lwxkbob 发表于 2006-4-20 01:22:04

终于做完了.

从星期一到刚才,整整忙火了三天,终于做成了.现在把我的经历写出来,让大家看一下,希望对大家有帮助!
我的网络情况是这样的:
  中心交换机是华为3526E的,需要代理上网的机器有700于台
由于特殊需要,划分成多个vlan 我这里是划分成了16个vlan
现要求各vlan可以上网,同时也可以访问内网的一台服务器,但各项工作vlan之间不能互访问,在这里ana版主的帮助.才最终做出来了.

过程大致如下:

先在交换机上划分出16个vlan,并给每一个vlan分配ip 地址,我这里分配的都是:192.168.X.254
装好m0n0,我内网是100.100.100.1 再划分出一个vlan,vlaN IP地址分配为100.100.100.254 ,这个vlan里包括两个端口,另外一个用来放内网服务器用的.

在m0n0上加入静态路由: 192.168.0.0/16   100.100.100.254
要不然的话,m0n0访问不到其它vlan的主机.
现在用一台机器接到任意vlan端口,ip改成相应的网段,网关改成vlan 虚拟ip,即192.168.X.254 就可以ping通交换机其它的vlan的其它机器了.

接下来,在交换机中加入默认路由
ip route static 0.0.0.0 0.0.0.0 100.100.100.1
让交换机中上路由指向 m0n0的内网网卡.把内网服务器接入vlan 2000即m0n0在同一个vlan中(刚才划分vlan的时候是包括两个端口的),ip为了100.100.100.2
这里在服务器中也应该加入静态路由,我用的是freebsd
route add 192.168.0.0 100.100.100.254
现在正确设置dns的话.任意vlan里的客户机就应可以通过m0n0上网了.并可以访问内网服务器了.
至此完成了大半工作.


最后还需要限制vlan之间互访问,前提是能正常上网和正常访问内网服务器,由于对交换机ACL不太熟悉,让我用了一天多的时候才搞定,哎.
定义高级访问列表
acl number 3000
然后往里面添加规则,规则顺序不能变弄乱了哦.
rule 0per ip source any des 100.100.100.1   0.0.0.255( 充许任意地址访问100.100.100.0段)
rule 1 per ip source 100.100.100.10.0.0.255 de192.168.1.1 0.0.255.255 ( 允许100.100.100.0段访问 192.168.0.0/16段)

接下来添加让每个ip段都能够访问它自己的网关
rule 2 per ip source 192.168.1.1 0.0.0.255 des 192.168.1.254 0
rule 3 per ip source 192.168.2.1 0.0.0.255 des 192.168.2.254 0
rule 4 per ip source 192.168.3.1 0.0.0.255 des 192.168.3.254 0
.....
......

下面的就省略了,根据实际情况而定,多少个
最后来一条
rule per ip source 192.168.1.1   0.0.255.255des 192.168.1.1   0.0.255.255
就可以了,测试,可以实现每个VLAN客户机能正常上网和访问内网服务器,但各vlan之间不能互访问.

注:写ACL时注意规则顺序,还有注意交换机默认规则顺序是不是按rule 序号的,不是的话要指定.在华为里面是config
好了,就写到这里吧,1点多了,睡觉去了

在这里很久了,很少发表文章,写出来这点希望对大家有点帮助,另外不对的地方,希望大家指出来,改正!
:P

张浩峰 发表于 2006-4-20 08:36:16

支持

sweet191 发表于 2006-4-20 09:24:00

支持原创,精彩!

samloo_lcs 发表于 2007-3-4 05:18:04

正在吸收中~~~:)

lbt5210 发表于 2007-3-4 22:02:15

想问下LZMONO带700台机
MONO并发修改过吗?
页: [1]
查看完整版本: 终于做完了.