局域網(wǎng)中交換機的配置（交換機上網(wǎng)配置）：

01 組網(wǎng)需求、拓撲、配置要點

02 出口路由器配置

03 核心交換機配置

04 接入交換機配置

一、組網(wǎng)需求

某公司新建網(wǎng)絡(luò)，采購了路由器、核心交換機、POE交換機、無線設(shè)備（AP、AC）等設(shè)備，內(nèi)網(wǎng)涉及到有線辦公網(wǎng)絡(luò)、無線辦公網(wǎng)絡(luò)、財務(wù)專用網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)等。整網(wǎng)需求如下：

1、要求將有線辦公網(wǎng)絡(luò)、無線辦公網(wǎng)絡(luò)、財務(wù)專用網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)區(qū)分開；

2、有線辦公網(wǎng)絡(luò)、無線辦公網(wǎng)絡(luò)的用戶需要自動獲取IP，財務(wù)專用網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)的用戶需要手動配置IP（靜態(tài)IP）；

3、只允許有線辦公網(wǎng)絡(luò)可以訪問財務(wù)網(wǎng)絡(luò)，其余網(wǎng)絡(luò)之間均可以互訪；

二、組網(wǎng)拓撲

    交換機管理VLAN 10：192.168.10.0/24

AP管理     VLAN 20：192.168.20.0/24

無線用戶   VLAN 30： 192.168.30.0 /24

辦公網(wǎng)絡(luò)   VLAN 40： 192.168.40.0 /24

財務(wù)網(wǎng)絡(luò)   VLAN 50： 192.168.50.0/24

監(jiān)控網(wǎng)絡(luò)   VLAN 60： 192.168.60.0/24

三、配置要點

1、配置出口路由器：

1）配置上網(wǎng)，并寫回指路由；

2）保存配置；

2、配置核心交換機（這里以S5750-E為例）：

1）VLAN及SVI配置：創(chuàng)建對應(yīng)的VLAN ，并且針對每個VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP；

2）接口配置：

2.1）AC（無線控制器）是直連在核心交換機上的，核心交換機和AC（無線控制器）互聯(lián)接口配置為TRUNK（案例中為G0/1口），并對TRUNK進行修剪，只允許必要的VLAN通過：

2.2）核心交換機和監(jiān)控服務(wù)器互聯(lián)的接口（案例中為G0/2口），配置為ACCESS接口，并劃分到對應(yīng)VLAN：

2.3）核心交換機與接入交換機互聯(lián)的接口（案例中為G0/3口），配置成TRUNK接口，并對TRUNK接口進行修剪，只允許必要的VLAN通過：

2.4）核心交換機和出口路由器互聯(lián)的接口配置為No Switchport口（案例中為G0/24口），并配置IP；

3）路由配置：核心交換機上配置默認路由，下一跳為出口網(wǎng)關(guān)設(shè)備與核心交換機互連接口的IP；

4）Telnet登錄管理配置：核心交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

5）DHCP配置：核心交換機上配置DHCP功能，為用戶動態(tài)分配地址；

6）ACL配置：核心交換機上通過配置ACL，只允許有線辦公網(wǎng)絡(luò)訪問財務(wù)網(wǎng)絡(luò)，其余網(wǎng)絡(luò)之間均可以互訪；

7）保存配置

3、配置接入交換機（這里以S2928G-24P為例）：

1）VLAN及SVI配置：創(chuàng)建對應(yīng)的VLAN，并且針對管理VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP；

2）接口配置：

2.1）接入交換機與核心交換機互聯(lián)的接口（案例中為G0/24口），配置成TRUNK接口，并對TRUNK接口進行修剪，只允許必要的VLAN通過；

2.2）接入交換機連接辦公（案例中為G0/1-6）、財務(wù)（案例中為G0/7-12）、監(jiān)控等終端的接口（G0/13），配置為ACCESS接口，并劃分到對應(yīng)VLAN；

2.3）接入交換機與無線AP互聯(lián)接口的配置，會因為無線AP是本地轉(zhuǎn)發(fā)還是集中轉(zhuǎn)發(fā)模式而有所區(qū)別：

2.3.1）本地轉(zhuǎn)發(fā)，無線AP的接口（G0/14-20）配置為TRUNK接口，Native VLAN為無線管理網(wǎng)段VLAN，對TRUNK進行VLAN裁剪，只允許無線AP管理VLAN（VLAN20）及無線用戶VLAN（VLAN30）通過；

2.3.2）集中轉(zhuǎn)發(fā)，無線AP的接口（G0/14-20）配置為ACCESS接口，ACCESS接口對應(yīng)的VLAN為無線AP管理VLAN20；

3）接入交換機上配置默認路由，下一跳為核心交換機與接入交換機互連接口管理VLAN的地址（即核心交換機上SVI10的IP地址）；

4）Telnet登錄管理配置：接入交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

5）保存配置

1、配置出口路由器

1）配置上網(wǎng)，并寫回指路由：

Ruijie>en

Ruijie#conf t

Ruijie(config)#int g0/1

Ruijie(config-if-GigabitEthernet 0/1)#ip address 10.10.10.1 255.255.255.0

Ruijie(config-if-GigabitEthernet 0/1)#exit

Ruijie(config)# ip  route 192.168.0.0 255.255.0.0 10.10.10.2     //配置回指路由，因為內(nèi)網(wǎng)用戶都屬于192.168.0.0/16網(wǎng)段

2）保存配置

Ruijie(config)#exit

Ruijie#write

2、配置核心交換機（這里以S5750-E為例）：

1）創(chuàng)建對應(yīng)的VLAN ，并且針對每個VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP：

Ruijie>en

Ruijie# conf t

Ruijie(config)#vlan 10        //創(chuàng)建交換機管理VLAN，VLAN10

Ruijie(config-vlan)#vlan 20        //創(chuàng)建AP管理VLAN，VLAN20

Ruijie(config-vlan)#vlan 30      //創(chuàng)建無線用戶VLAN，VLAN30

Ruijie(config-vlan)#vlan 40      //創(chuàng)建辦公網(wǎng)絡(luò)VLAN，VLAN40

Ruijie(config-vlan)#vlan 50    //創(chuàng)建財務(wù)網(wǎng)絡(luò)VLAN，VLAN50

Ruijie(config-vlan)#vlan 60    //創(chuàng)建監(jiān)控網(wǎng)絡(luò)VLAN，VLAN60

Ruijie(config-vlan)#exit

Ruijie(config)#int vlan 10        //針對交換機管理VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP 192.168.10.1/24

Ruijie(config-if-VLAN 10)#ip add 192.168.10.1 255.255.255.0 

Ruijie(config-if-VLAN 10)#exit

Ruijie(config)#int vlan 20      //針對AP管理VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP 192.168.20.1/24

Ruijie(config-if-VLAN 20)#ip add 192.168.20.1  255.255.255.0

Ruijie(config-if-VLAN 20)#exit

Ruijie(config)#int vlan 30     //針對無線用戶VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP 192.168.30.1/24

Ruijie(config-if-VLAN 30)#ip add 192.168.30.1  255.255.255.0

Ruijie(config-if-VLAN 30)#exit

Ruijie(config)#int vlan 40     //針對辦公網(wǎng)絡(luò)VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP 192.168.40.1/24

Ruijie(config-if-VLAN 40)#ip add  192.168.40.1  255.255.255.0

Ruijie(config-if-VLAN 40)#exit

Ruijie(config)#int vlan 50     //針對財務(wù)網(wǎng)絡(luò)VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP 192.168.50.1/24

Ruijie(config-if-VLAN 50)#ip add 192.168.50.1  255.255.255.0

Ruijie(config-if-VLAN 50)#exit

Ruijie(config)#int vlan 60     //針對監(jiān)控網(wǎng)絡(luò)VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP 192.168.60.1/24

Ruijie(config-if-VLAN 60)#ip add 192.168.60.1  255.255.255.0

Ruijie(config-if-VLAN 60)#exit

2）接口配置：

2.1）AC（無線控制器）是直連在核心交換機上的，核心交換機和AC（無線控制器）互聯(lián)接口配置為TRUNK（案例中為G0/1口），并對TRUNK進行修剪，只允許必要的VLAN通過：

Ruijie(config)#int g0/1       

Ruijie(config-if-GigabitEthernet 0/1)#switchport mode trunk   //將與AC（無線控制器）互聯(lián)接口G0/1配置為TRUNK

Ruijie(config-if-GigabitEthernet 0/1)# switchport trunk allowed vlan remove 1-9,11-19,21-29,31-39,41-49,51-59,61-4094

 //TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許VLAN10,20,30,40,50,60通過

Ruijie(config-if-GigabitEthernet 0/1)#exit

2.2）核心交換機和監(jiān)控服務(wù)器互聯(lián)的接口（案例中為G0/2口），配置為ACCESS接口，并劃分到對應(yīng)VLAN：

Ruijie(config)#int g0/2

Ruijie(config-if-GigabitEthernet 0/2)#switchport mode access  //將與監(jiān)控服務(wù)器互聯(lián)的接口G0/2配置為ACCESS

Ruijie(config-if-GigabitEthernet 0/2)# switchport access vlan 60 //將與監(jiān)控服務(wù)器互聯(lián)的接口G0/2劃入VLAN 60

Ruijie(config-if-GigabitEthernet 0/2)#exit

2.3）核心交換機與接入交換機互聯(lián)的接口（案例中為G0/3口），配置成TRUNK接口，并對TRUNK接口進行修剪，只允許必要的VLAN通過：

Ruijie(config)#int g0/3

Ruijie(config-if-GigabitEthernet 0/3)#switchport mode trunk   //將與接入交換機互聯(lián)的接口G0/1配置為TRUNK

Ruijie(config-if-GigabitEthernet 0/3)# switchport trunk allowed vlan remove 1-9,11-19,21-29,31-39,41-49,51-59,61-4094

 //TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許VLAN10,20,30,40,50,60通過

Ruijie(config-if-GigabitEthernet 0/1)#exit

2.4）核心交換機和出口路由器互聯(lián)的接口配置為No Switchport（案例中為G0/24口），并配置IP：

Ruijie(config)#int g0/24        //上聯(lián)口連接路由器的接口

Ruijie(config-if-GigabitEthernet 0/24)#no switchport    //將與口路由器互聯(lián)的接口G0/24配置為No Switchport

Ruijie(config-if-GigabitEthernet 0/24)#ip add 10.10.10.2 255.255.255.0       //將與口路由器互聯(lián)的接口G0/24配置IP 10.10.10.2/24

Ruijie(config-if-GigabitEthernet 0/24)#exit

3）路由配置：核心交換機上配置默認路由，下一跳為出口網(wǎng)關(guān)設(shè)備與核心交換機互連接口的IP：

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1          //配置默認路由，下一跳為出口網(wǎng)關(guān)設(shè)備與核心交換機互連接口的IP10.10.10.1

4）Telnet登錄管理配置：核心交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

Ruijie(config)#enable password ruijie             //配置Enable密碼為ruijie

Ruijie(config)#line vty 0 4

Ruijie(config-line)#password ruijie              //配置Telnet密碼為ruijie

Ruijie(config-line)#exit

4）DHCP配置：核心交換機上配置DHCP功能，為用戶動態(tài)分配地址：

Ruijie(config)#service dhcp         //啟用DHCP務(wù)

Ruijie(config)#ip dhcp pool AP        //為AP的管理網(wǎng)段創(chuàng)建DHCP地址池，名字為AP，該地址池中需要配置option，不需要配置DNS

Ruijie(dhcp-config)#option 138 ip 1.1.1.1    //這里的1.1.1.1為AC上與AP建立隧道的地址

Ruijie(dhcp-config)#network 192.168.20.0 255.255.255.0  //為AP的管理網(wǎng)段動態(tài)分配192.168.20.0/24網(wǎng)段的地址

Ruijie(dhcp-config)#default-router 192.168.20.1      //AP管理網(wǎng)段的網(wǎng)關(guān)地址為192.168.20.1

Ruijie(dhcp-config)#exit

Ruijie(config)#ip dhcp pool wuxian        //為無線用戶創(chuàng)建DHCP地址池，名字為wuxian

Ruijie(dhcp-config)#network 192.168.30.0 255.255.255.0    //為無線用戶動態(tài)分配192.168.30.0/24網(wǎng)段的地址

Ruijie(dhcp-config)#dns-server 114.114.114.114 8.8.8.8  //為無線用戶分配2個DNS地址，分別為114.114.114.114和8.8.8.8

Ruijie(dhcp-config)#default-router 192.168.30.1  //無線用戶的網(wǎng)關(guān)地址為192.168.30.1

Ruijie(dhcp-config)#exit

Ruijie(config)#ip dhcp pool youxian        //為有線用戶創(chuàng)建DHCP地址池，名字為youxian

Ruijie(dhcp-config)#network 192.168.40.0 255.255.255.0     //為有線用戶動態(tài)分配192.168.40.0/24網(wǎng)段的地址

Ruijie(dhcp-config)#dns-server 114.114.114.114 8.8.8.8      //為有線用戶分配2個DNS地址，分別為114.114.114.114和8.8.8.8

Ruijie(dhcp-config)#default-router 192.168.40.1     //有線用戶的網(wǎng)關(guān)地址為192.168.40.1

Ruijie(dhcp-config)#exit

5）ACL配置：核心交換機上通過配置ACL，只允許有線辦公網(wǎng)絡(luò)訪問財務(wù)網(wǎng)絡(luò)，其余網(wǎng)絡(luò)之間均可以互訪；

Ruijie(config)#ip access-list extended 100        //創(chuàng)建擴展訪問控制列表，ACL列表名為100

Ruijie(config-ext-nacl)#deny ip 192.168.50.0 0.0.0.255 192.168.20.0 0.0.0.255       //阻斷財務(wù)網(wǎng)段192.168.50.0/24和AP網(wǎng)段192.168.20.0/24互訪

Ruijie(config-ext-nacl)#deny ip 192.168.50.0 0.0.0.255 192.168.30.0.0 0.0.0.255      //阻斷財務(wù)網(wǎng)段192.168.50.0/24和無線網(wǎng)段192.168.30.0/24互訪

Ruijie(config-ext-nacl)#deny ip 192.168.50.0 0.0.0.255 192.168.60.0 0.0.0.255      //阻斷財務(wù)網(wǎng)段192.168.50.0/24和監(jiān)控網(wǎng)段192.168.60.0/24互訪

Ruijie(config-ext-nacl)#permit ip any any       //放通其他所有流量

Ruijie(config-ext-nacl)#exit

Ruijie(config)#int vlan 50 

Ruijie(config-if-VLAN 50)#ip access-group 100 in      //在SVI 50（財務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)）的in方向調(diào)用ACL100

Ruijie(config)#exit

6）保存配置

Ruijie(config)#exit

Ruijie#write

3、配置接入交換機（這里以S2928G-24P為例）：

1）VLAN及SVI配置：創(chuàng)建對應(yīng)的VLAN，并且針對管理VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP；

Ruijie>en

Ruijie# conf t

Ruijie(config)#vlan 10        //創(chuàng)建交換機管理VLAN，VLAN10

Ruijie(config-vlan)#vlan 20        //創(chuàng)建AP管理VLAN，VLAN20

Ruijie(config-vlan)#vlan 30      //創(chuàng)建無線用戶VLAN，VLAN30

Ruijie(config-vlan)#vlan 40      //創(chuàng)建辦公網(wǎng)絡(luò)VLAN，VLAN40

Ruijie(config-vlan)#vlan 50    //創(chuàng)建財務(wù)網(wǎng)絡(luò)VLAN，VLAN50

Ruijie(config-vlan)#vlan 60    //創(chuàng)建監(jiān)控網(wǎng)絡(luò)VLAN，VLAN60

Ruijie(config-vlan)#exit

Ruijie(config)#int vlan 10        //針對交換機管理VLAN創(chuàng)建對應(yīng)的三層接口（SVI口）并配置IP 192.168.10.1/24

Ruijie(config-if-VLAN 10)#ip add 192.168.10.2 255.255.255.0 

Ruijie(config-if-VLAN 10)#exit

2）接口配置：

2.1）接入交換機與核心交換機互聯(lián)的接口，配置成TRUNK接口（案例中為G0/24口），，并對TRUNK接口進行修剪，只允許必要的VLAN通過：

Ruijie(config)#int g0/24       

Ruijie(config-if-GigabitEthernet 0/24)#switchport mode trunk   //將與接入交換機互聯(lián)的接口G0/1配置為TRUNK

Ruijie(config-if-GigabitEthernet 0/24)# switchport trunk allowed vlan remove 1-9,11-19,21-29,31-39,41-49,51-59,61-4094

 //TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許VLAN10,20,30,40,50,60通過

Ruijie(config-if-GigabitEthernet 0/24)#exit

2.2）接入交換機連接辦公（案例中為G0/1-6）、財務(wù)（案例中為G0/7-12）、監(jiān)控等終端的接口（G0/13），配置為ACCESS接口，并劃分到對應(yīng)VLAN：

Ruijie(config)#interface range gigabitEthernet 0/1-6    //批量化配置接口，G0/1-6口是連接辦公終端的，將G0/1-6口都配置為ACCESS口，并劃入VLAN40

Ruijie(config-if-range)#switchport mode access          //將G0/1-6口都配置為ACCESS口，用來連接辦公終端

Ruijie(config-if-range)#switchport access vlan 40   //將與辦公終端互聯(lián)的接口G0/1-6口劃入VLAN 40

Ruijie(config-if-range)#exit

Ruijie(config)#interface range gigabitEthernet 0/7-12    //批量化配置接口，G0/7-12口是連接財務(wù)終端的，將G0/7-12口都配置為ACCESS口，并劃入VLAN50

Ruijie(config-if-range)#switchport mode access          //將G0/7-12口都配置為ACCESS口，用來連接財務(wù)終端的

Ruijie(config-if-range)#switchport access vlan 50   //將與財務(wù)終端的互聯(lián)的接口G0/7-12口劃入VLAN 50

Ruijie(config-if-range)#exit

Ruijie(config)#interface  gigabitEthernet 0/13   //G0/13口是連接監(jiān)控終端的，將G0/13口都配置為ACCESS口，并劃入VLAN60

Ruijie(config-if)#switchport mode access          //將G0/13口都配置為ACCESS口，用來連接監(jiān)控終端

Ruijie(config-if)#switchport access vlan 60   //將與監(jiān)控終端互聯(lián)的接口G0/13口劃入VLAN 60

Ruijie(config-if)#exit

2.3）接入交換機與無線AP互聯(lián)接口的配置，會因為無線AP是本地轉(zhuǎn)發(fā)還是集中轉(zhuǎn)發(fā)模式而有所區(qū)別：

2.3.1）本地轉(zhuǎn)發(fā)，無線AP的接口（G0/14-20）配置為TRUNK接口，Native VLAN為無線管理網(wǎng)段VLAN，對TRUNK進行VLAN裁剪，只允許無線AP管理VLAN及無線用戶VLAN通過

Ruijie(config)#interface range gigabitEthernet 0/14-20    //批量化配置接口，G0/14-20口是連接無線AP的

Ruijie(config-if-range)#switchport mode trunk   //將與無線AP的接口（G0/14-20）配置為TRUNK接口

Ruijie(config-if-range)#switchport trunk native vlan 20   //將TRUNK的Native VLAN修改為無線管理網(wǎng)段VLAN 20

Ruijie(config-if-range)#switchport trunk allowed vlan remove 1-19,21-29,31-4094

 //TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許無線AP管理VLAN20及無線用戶VLAN30通過

Ruijie(config-if-range)#exit

2.3.2）集中轉(zhuǎn)發(fā)，無線AP的接口（G0/14-20）配置為ACCESS接口，ACCESS接口對應(yīng)的VLAN為無線AP管理VLAN20

Ruijie(config)#interface range gigabitEthernet 0/14-20    //批量化配置接口，G0/14-20口是連接無線AP的

Ruijie(config-if-range)#switchport mode access   //將與無線AP的接口（G0/14-20）配置為ACCESS接口

Ruijie(config-if-range)#switchport access vlan 20  //將與無線AP互聯(lián)接口（G0/14-20）劃入VLAN20

Ruijie(config-if-range)#exit

3）路由配置：接入交換機上配置默認路由，下一跳為核心交換機與接入交換機互連接口管理VLAN的地址（即核心交換機上SVI10的IP地址）；

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1      //配置默認路由，下一跳為出口網(wǎng)關(guān)設(shè)備與核心交換機互連接口的IP192.168.10.1

4）Telnet登錄管理配置：接入交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

Ruijie(config)#enable password ruijie             //配置Enable密碼為ruijie

Ruijie(config)#line vty 0 4

Ruijie(config-line)#password ruijie              //配置Telnet密碼為ruijie

Ruijie(config-line)#exit

5）保存配置

Ruijie(config)#exit

Ruijie#write