網(wǎng)絡設備應用7(醫(yī)院網(wǎng)絡交換機配置)

1、1網(wǎng)絡設備應用（醫(yī)院網(wǎng)絡交換機配置 ） 尚邦治2006.82十四十四.醫(yī)院網(wǎng)絡交換機配置 n設計一個醫(yī)院的局域網(wǎng)。由一個3526交換機和兩個3026E交換機組成一個網(wǎng)絡，配置4個VLAN。nVLAN按端口劃分。VLAN要跨交換機。nVLAN2名為“門診”，VLAN2分布在兩個3026E和3526上；nVLAN4名為“住院”，VLAN4分布在兩個3026E和3526上；nVLAN3名為“服務器”，分布在3526上。nVLAN5名為“辦公”，分布在三個交換機上。nVLAN2、VLAN4和VLAN5可以通過第三層訪問VLAN3，但是部門之間不能互訪。 3VLAN 2VLAN 4三層交換機S3526二

2、層交換機S3026E-1二層交換機S3026E-2VLAN3：192.168.3.1/24VLAN 2VLAN 5VLAN 4VLAN 5服務器門珍住院辦公門珍住院辦公組網(wǎng)示意圖4n1)組網(wǎng)總體規(guī)劃n網(wǎng)絡結構如上圖所示，nS3526的端口e0/1與S3026E的端口e0/1相連，nS3526的端口e0/24與S3026E的端口e0/1相連；n端口配置為trunk，且允許所有VLAN通過。5n2) VLAN的劃分的劃分nS3526上創(chuàng)建VLAN2VLAN5，端口e0/2-e0/8屬于門診部VLAN2，端口e0/9-e0/12屬于住院部VLAN4，端口e0/13-e0/18屬于服務器組VLAN3，

3、將服務器組部署在S3526上的VLAN3，端口e0/19-e0/23屬于辦公VLAN5，n在兩臺二層交換機S3026E上分別創(chuàng)建門診、住院和辦公三個VLAN，即VLAN2、VLAN4、VLAN5，配置端口e0/2-e0/12屬于VLAN2，端口e0/13-e0/18屬于VLAN4，端口e0/19-e0/24屬于VLAN5。 6n3) IP地址的劃分地址的劃分n門診部IP為192.168.2.2-192.168.2.254，網(wǎng)關為192.168.2.1；n服務器組IP為192.168.3.2-192.168.3.254，網(wǎng)關為192.168.3.1；n住院部IP為192.168.4.2-192.

4、168.4.254，網(wǎng)關為192.168.4.1；n辦公部IP為192.168.5.2-192.168.5.254，網(wǎng)關為192.168.5.1；7交換機配置 n4)在三層交換機在三層交換機S3526上劃分上劃分VLANnQuidway sysname S3526n配置門診部VLAN為VLAN2nS3526vlan 2nS3526vlan2 port Ethernet 0/2 to Ethernet 0/8n配置住院部VLAN為VLAN4nS3526vlan3vlan 4nS3526vlan4 port Ethernet 0/9 to Ethernet 0/12n配置服務器組VLAN為VLAN

5、3nS3526vlan2vlan 3nS3526-vlan3 port Ethernet 0/13 to Ethernet 0/18n配置辦公部VLAN為VLAN5nS3526vlan4vlan 5nS3526vlan5 port Ethernet 0/19 to Ethernet 0/238n5) 在二層交換機在二層交換機S3026E-1上劃分上劃分VLANnQuidway sysname S3026E-1n配置門診部VLAN為VLAN2nS3026E-1vlan 2nS3026E-1 vlan2 port Ethernet 0/2 to Ethernet 0/12n配置住院部VLAN為VL

6、AN4nS3026E-1 vlan2vlan 4nS3026E-1 vlan4 port Ethernet 0/13 to Ethernet 0/18n配置辦公部VLAN為VLAN5nS3026E-1 vlan4vlan 5nS3026E-1 vlan5 port Ethernet 0/19 to Ethernet 0/249n6) 在二層交換機在二層交換機S3026E-2上劃分上劃分VLANn與在二層交換機S3026E-1上的配置完全相同。10n7)配置三臺交換機之間鏈路為配置三臺交換機之間鏈路為trunk鏈路鏈路n配置三層交換機S3526的e0/1和e0/24端口nS3526interfa

7、ce e0/1nS3526 -Ethernet0/1 port link-type trunknS3526 -Ethernet0/1 port trunk permit vlan allnS3526 -Ethernet0/1interface e0/24nS3526 -Ethernet0/24 port link-type trunknS3526 -Ethernet0/24 port trunk permit vlan alln配置二層交換機S3026E-1的e0/1端口nS3026E-1interface e0/1nS3026E-1 -Ethernet0/1 port link-type t

8、runknS3026E-1 -Ethernet0/1 port trunk permit vlan alln配置二層交換機S3026E-2的e0/1端口n與在二層交換機S3026E-1上的配置完全相同。118)第一次第一次網(wǎng)絡連通性測試網(wǎng)絡連通性測試n按照組網(wǎng)圖將相應的主機或服務器與交換機相連，按照IP地址的規(guī)劃，分配給每臺主機相應的IP地址；n驗證同一部門能否互通？如門診部的兩臺主機能否互通？不同部門能否互通？如門診部和住院部的兩臺主機能否互通？試分析為什么？n首先，可以看到，同一部門之間的任意兩臺主機都可以互通，因為它們屬于同一VLAN，而且交換機之間鏈路允許所有VLAN通過；而不同部門的

9、任意兩臺主機都不能互通，因為它們屬于不同的VLAN，在二層被隔離了，并且，它們的IP地址也分屬不同的網(wǎng)段。因此需要在三層交換機上啟用路由功能，使不同部門能夠互通。也就是在三層交換機的相應VLAN接口配置IP地址，啟用三層路由轉發(fā)。12n9) 在三層交換機在三層交換機S3526上啟用三層路由轉發(fā)功能上啟用三層路由轉發(fā)功能n在三層交換機的VLAN接口上配置IP地址，啟用三層路由轉發(fā)功能，每個VLAN接口的IP地址作為相應部門主機的網(wǎng)關，這樣就可以保證不同部門之間的互通。 13n配置門診部的網(wǎng)關nS3526interface vlan 2nS3526-Vlan-interface2ip add 19

10、2.168.2.1 255.255.255.0n配置服務器組的網(wǎng)關nS3526-Vlan-interface2interface vlan 3nS3526-Vlan-interface3ip add 192.168.3.1 255.255.255.014n配置住院部的網(wǎng)關nS3526-Vlan-interface3interface vlan 3nS3526-Vlan-interface4ip add 192.168.4.1 255.255.255.0n配置辦公部的網(wǎng)關nS3526-Vlan-interface4interface vlan 5nS3526-Vlan-interface5ip

11、add 192.168.5.1 255.255.255.0 15n10)第二次第二次驗證網(wǎng)絡連通性驗證網(wǎng)絡連通性n請驗證任意兩個部門的主機能否互通，并解釋為什么？n由于啟用了三層路由功能，分屬不同部門的主機在通信時，報文先被轉發(fā)到發(fā)送主機的網(wǎng)關，S3526交換機的VLAN間路由模塊，根據(jù)該報文的目的IP地址，進行路由轉發(fā)，這樣能夠保證不同部門之間互通。n但是，這樣不符合我們的設計要求，因此需要進一步加上訪問控制，對三層交換機S3526的路由轉發(fā)進行控制。16n11)設置設置訪問控制：訪問控制：n配置訪問控制列表nS3526acl number 3001n禁止所有網(wǎng)段互訪nS3526-acl-a

12、dv-3001rule 10 deny ip source any destination any17n允許所有部門訪問服務器組nS3526-acl-adv-3001rule 20 permit ip source 192.168.3.0 0.0.0.255 destination any nS3526-acl-adv-3001rule 30 permit ip source any destination 192.168.3.0 0.0.0.255n在交換機上應用訪問控制列表nS3526packet-filter ip-group 300118n12) 第三次第三次驗證網(wǎng)絡連通性驗證網(wǎng)絡連通性n驗證同一部門內部的連通性；n驗證不同部門之間的連通性；n驗證門診、住院和辦公三個部門與服務器組的連通性。n最后，經(jīng)過驗證，局域網(wǎng)的設計滿足設計要求。19n局域網(wǎng)網(wǎng)絡的維護舉例n修改內容：將S3026E-1中原屬于住院部VLAN4的e0/13端口，重新分配給門診部VLAN2。20n13)住院部住院部VLAN中減少一個端口中減少一個端口n將S3