|
配置静态路由访问INTERNET 交换机通过路由器(网关)连接到INTERNET,在交换机与网关之间我们配置了一个VLAN,标识为VLAN100(WAN)。VLAN100的网络状况其实是比较糟糕的,它是一个半公开的小型办公网络,很多私人设备通过无线连接上来访问INTERNET,为了阻止无意义的广播流量进入其它VLAN,所以我们将上网链路放在了单独的VLAN中,并设置端口模式为 Access。
当交换机收到客户端发来的INTERNET请求时,它如何处理这些数据包?正确的做法是它应该将这些数据包发送给路由器(192.168.100.1),看似很简单的逻辑,但如果你不告诉交换机这样做,那么它只会简单地将这些数据包丢弃,因为在交换机的路由表中没有除直连路由(Local)之外的路由。路由表容量是有限的,不可能装下INTERNET上所有的网络地址,所以我们需要默认路由,它的作用是转发无法匹配的网络地址所携带的数据到下一跳路由器。在当前场景中,下一跳为192.168.100.1。
在交换机上配置好静态默认路由就可以访问INTERNET了?答案可能是否定的。问题出在,网关可能不知道返回192.168.20.0 / 10.0 / 0.0 这些网络的路怎么走,所以我们还需要在网关上设置静态路由。到此,实现全网互联互通这一目标我们做到了。 DHCP Relay 手动为网络中每台主机配置IP地址,网关和DNS是件非常可怕的事情,所以我们需要DHCP服务。主机在向DHCP服务器请求网络配置信息时发送的是二层广播,而二层广播帧是无法被路由的,所以必须为每一个子网放置一台DHCP服务器,真的是这样吗?当然不是。思科 300 系列提供了DHCP Relay功能,正好用于解决这一问题。
DHCP Relay 大致是这样工作的:客户机启动时向网络请求IP地址等信息,DHCP广播被交换机收到,DHCP Relay 功能将其转发给指定的DHCP服务器,服务器响应这一请求,将结果返回给交换机,交换机再转发给源主机。有了DHCP Relay 功能,在整个网络中只要部署一台DHCP服务器就可以了,我们将其部署在了VLAN200(Server Group)中,IP地址为 192.168.200.10。 Trunk链路及VLAN过滤 在我们搭建的环境中还有一台文件服务器,当然,你可以选择将它部署在VLAN200(Server Group)中,好处是服务器更加安全,更易于管理,但此时,客户机与服务器之间的流量必须经过路由,多用户访问时,交换机将工作在高负荷状态。这里还有另一种方法,那就是将文件服务器连接到交换机的Trunk端口,并在服务器上启用Trunk连接。简单的讲,Trunk链路工做在OSI模型的第二层,即数据链路层,它允许所有VLAN流量通过,这样就达到了高速访问的目的,交换机的工作负荷也较低,因为此时不会产生三层流量。
简单说一下如何在服务器上启用Trunk:首先需要网卡支持,一般在网卡的高级配置属性中可以找到相关选项,启用它;接下来使用厂商提供的设置工具,也可能在网卡高级选项中可以找到相应的功能标签,逐一添加VLAN即可。此时要注意,VLAN ID必须一一对应,并在每个“本地连接”上配置正确的IP地址。
|
正在阅读:立体安全网络 思科全新300交换机试用立体安全网络 思科全新300交换机试用
2010-11-16 16:52
出处:PConline原创
责任编辑:gaohongjun
键盘也能翻页,试试“← →”键
