拓扑图(这拓扑图用GNS画得有点挫,常用GNS3的朋友可能知道其中不对,此图仅作图像表达):
整个网络可以分为两部分来理解,即一间公司分配两个vlan,一个在内网用于客户的瘦客户机连接服务器上VM使用,一个用于通过该公司的路由器供服务器上VM上外网使用的VLAN。
内网Vlan:
客户的交换机和服务器器所连接的交换机接入到园区三层交换机,在三层设备做访问控制策略管理不同公司的网络(例如资源隔离)和vlan间路由,园区的三层交换机需要做DHCP中继给服务器的DHCP SERVER,由此瘦客户机获得ip连接到服务器的VM。
外网VLAN:
客户路由负责该公司的外网vlan内VM连接internet,该公司的交换机通过trunk直接与服务器所连接的交换机直连,可以在该公司的路由器做dhcp或中继或使用静态IP,使用该路由IP作为网关,服务器使用另一网络端口接受该vlan。
这种网络拓扑有利于方便管理客户的网络管理,做资源隔离,日后的业务扩展。
--------------------------------三层交换机---------------------------------
en vlan database vlan 10 vlan 20 vlan 30 exit conf t ip routing int vlan 20 ip address 192.168.20.10 255.255.255.0 ip helper-address 192.168.30.1 int vlan 10 ip address 192.168.10.10 255.255.255.0 ip helper-address 192.168.30.1 int vlan 30 ip address 192.168.30.10 255.255.255.0 ip helper-address 192.168.30.1 no sh int f1/13 sw mode access sw access vlan 30 no sh int f1/14 sw mode access sw access vlan 20 no sh int f1/15 sw mode access sw access vlan 10 no sh end
---------------------switch-A--------------------
en vlan database vlan 10 vlan 100 exit conf t int f1/15 sw mode access sw access vlan 10 int f1/14 switchport trunk encapsulation dot1q switchport mode trunk int range f1/1 - 10 sw mo access sw access vlan 10 int vlan 10 ip address 192.168.10.11 255.255.255.0 no sh end
-----------------------switch B-----------------------------
en vlan database vlan 20 vlan 200 exit conf t int vlan 20 ip address 192.168.20.12 255.255.255.0 no sh int f1/14 sw mode access sw access vlan 20 int f1/1 sw mode access sw access vlan 20 int f1/15 switchport trunk encapsulation dot1q switchport mode trunk end
-----------------------manage switch-----------------------------
en vlan database vlan 30 vlan 100 vlan 200 exit conf t int vlan 30 ip address 192.168.30.12 255.255.255.0 no sh int f1/13 sw mo access sw access vlan 30 int f1/1 sw mode access sw access vlan 30 int f1/15 switchport trunk encapsulation dot1q switchport mode trunk int f1/14 switchport trunk encapsulation dot1q switchport mode trunk end
---------------------riuter------------------
en conf t int f0/1 ip address 192.168.100.1 255.255.255.0 no sh exit ip dhcp pool VLAN100 network 192.168.100.0 255.255.255.0 default-router 192.168.100.1 dns-server 8.8.8.8 202.106.148.10 lease 20 end
我使用window server 2008做DHCP SERVER:
模拟瘦客户机获取到IP:
模拟客户路由器分配IP给服务器的VM:
现在的网络结构,vlan-10内的vm可以通过三层交换机的虚接口IP作为网关与vlan-20内vm,即公司A可以访问公司B的资源,这在生产环境中是不允许的。
个人初步打算添加如下ACL做管理:
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 100 deny ip any any int f1/15 ip access-group 100 out