局域網(wǎng)交換機管理IP的規(guī)劃與配置方案的探討

林臻 福建省泉州市農(nóng)業(yè)學校

一、引言

隨著交換機技術(shù)的發(fā)展，可網(wǎng)管交換機在局域網(wǎng)中的使用越來越頻繁。特別是在中小規(guī)劃的局域網(wǎng)，利用可網(wǎng)管交換機進行網(wǎng)絡(luò)管理可以有效解決網(wǎng)絡(luò)的大部分問題、大量地節(jié)省管理成本。

可網(wǎng)管交換機是指通過管理端口執(zhí)行監(jiān)控交換機端口、劃分VLAN、設(shè)置Trunk端口等管理功能的交換機。對于有一定規(guī)模的網(wǎng)絡(luò)，可網(wǎng)管交換機通常超過10臺以上。要對這些可網(wǎng)管的交換機進行管理，除了要給每臺可網(wǎng)管交換機配置管理IP外，還要合理的規(guī)劃、配置、管理可網(wǎng)管交換機IP。

二、拓撲結(jié)構(gòu)

用以下拓撲結(jié)構(gòu)為例，在華為eNSP模擬器中模擬。

拓撲圖說明

VLAN 網(wǎng)段 網(wǎng)關(guān) 其它VLAN 10 192.168.10.0/24 192.168.10.1 S3700-1只接屬于VLAN 10的計算機VLAN 20 192.168.20.0/24 192.168.20.1 S3700-2只接屬于VLAN 20的計算機VLAN 30 192.168.30.0/24 192.168.30.1 VLAN 40無法直接接到核心交換機，通過S3700-3進行級聯(lián)，S3700-3除了GE0/0/2端口用于接S3700-4，其他接口只接屬于VLAN 30的計算機VLAN 40 192.168.40.0/24 192.168.40.1 S3700-4只接屬于VLAN 40的計算機

PC的配置說明

PC IP 網(wǎng)關(guān)PC1 192.168.10.2/24 192.168.10.1 PC2 192.168.20.2/24 192.168.20.1 PC3 192.168.30.2/24 192.168.30.1 PC4 192.168.40.2/24 192.168.40.1

三、方案規(guī)劃

可網(wǎng)管交換機管理IP的規(guī)劃通常有兩種方案可以選擇。

方案1：將可網(wǎng)管交換機的管理IP直接規(guī)劃于當前交換機負責的VLAN網(wǎng)段中管理。

方案2：將可網(wǎng)管交換機的管理IP獨立并集中在單獨的VLAN中管理。

四、實現(xiàn)配置

1. 方案1的實現(xiàn)

采用這種方法，交換機的管理IP可以直接從它服務(wù)的VLAN對應的網(wǎng)段中取一個當作管理IP使用。

假 設(shè)：S3700-1的 管 理 IP為192.168.10.254；S3700-2的 管理 IP為192.168.20.254；S3700-3的管理 IP為192.168.30.254；S3700-4的管理IP為192.168.40.254。

（1） 核心交換機S5700配置：

（2） 接入交換機S3700-1配置：

(3）接入交換機S3700-2上所做配置與s3700-1類似。

(4）接入交換機S3700-3配置：

其中：

(5）接入交換機S3700-4上所做配置與s3700-1、S3700-2類似。

2.方案2的實現(xiàn)

采用交換機管理IP集中在一個VLAN中思路是：創(chuàng)建一個管理交換機管理IP地址的VLAN，多分配一個網(wǎng)段，并在核心交換機上配置該VLAN的網(wǎng)關(guān)，其它交換機上添加這個管理VLAN，配置位于該VLAN內(nèi)的網(wǎng)段的IP地址且默認路由指向核心交換機中該VLAN的地址。

假設(shè)：用于管理交換機IP地址的VLAN ID為200，網(wǎng)段192.168.200.0/24，網(wǎng) 關(guān)192.168.200.254。S5700的 管 理 IP為192.168.200.254；S3700-1的 管 理 IP 為 192.168.200.1；S3700-2的管理IP為192.168.200.2；S3700-3的管理IP為192.168.200.3；S3700-4的管理IP為192.168.200.4。

（1） 核心交換機S5700配置：

為了能讓VLAN 200的管理VLAN能通行，必須在GigabitEthernet0/0/1-3端口都放行VLAN200。

（2） 接入交換機S3700-1配置：

在GigabitEthernet 0/0/1除了放行VLAN 10還要放行管理VLAN 200。

（3）接入交換機S3700-2上所做配置與s3700-1類似。

（4）接入交換機S3700-3配置：

因為VLAN 40“借道”S3700-3，因此S3700-3的GigabitEthernet 0/0/1端口要放行的除了VLAN 200的管理端口還要放行VLAN 40。

(5）接入交換機S3700-4上所做配置與s3700-1、S3700-2類似。

五、總結(jié)

方案1的配置難度比方案2小，但是方案2將管理IP集中一個VLAN管理，可以更好的提高交換機管理的安全性，依托VLAN的優(yōu)勢在后續(xù)做更多的安全策略。