某公司有销售部、研发部和财务部三个部门,共计50名员工,5台内网服务器和一条外网线路。为了实现各部门之间的网络权限灵活设置,公司采用了VLAN技术和静态路由功能。
首先,公司根据部门需求,配置了不同型号的交换机。销售部使用一台TL-SL2452WEB交换机作为接入交换机,研发部和财务部各使用一台TL-SL3428交换机作为接入交换机。核心交换机则选用具备静态路由功能的TL-SG5428。
接下来,对交换机端口进行划分。研发部门占用1-3号端口,销售部门占用4-6号端口,财务部门占用7-9号端口,服务器群占用10-19号端口,外网线路占用20-24号端口。同时,对每个部门进行分网段管理,并设置相应的ip地址。
在TL-SG5428上,为每个VLAN分配一个IP地址,实现不同VLAN间的通信。具体如下:
- VLAN1:保留为默认VLAN,不进行配置; - VLAN2:研发部门,IP地址为172.16.0.1,掩码为255.255.255.0; - VLAN3:销售部门,IP地址为172.16.1.1,掩码为255.255.255.0; - VLAN4:财务部门,IP地址为172.16.2.1,掩码为255.255.255.0; - VLAN5:服务器群,IP地址为172.16.3.1,掩码为255.255.255.0; - VLAN6:外网线路,IP地址为192.168.1.2,掩码为255.255.255.0。
在配置24号接口时,将其划分到VLAN6中,并设置管理PC的IP地址为172.16.0.20,接入VLAN2中。在交换机上配置一条静态路由,将所有外网IP地址转发至路由器。
此外,为了确保网络安全,还需要对各个部门的访问权限进行设置。这可以通过ACL控制实现。具体操作为:
1. 进入交换机管理界面,选择“安全”选项; 2. 选择“访问控制”功能,进入ACL配置页面; 3. 根据实际需求,配置各部门的访问控制规则。
最后,为方便客户端接入网络,还需设置客户端自动获取IP。这可以通过以下步骤实现:
1. 进入交换机管理界面,选择“网络”选项; 2. 选择“DHCP服务器”功能,进入dhcp配置页面; 3. 根据实际需求,配置DHCP地址池、租约时间等信息。
经过以上配置,整个网络基本完成。通过VLAN和静态路由技术,实现了各部门之间的灵活设置、安全隔离和高效通信。
背景
出于安全和管理方便的考虑,必须把大型局域网按功能或地域等因素划成一个个小的局域网,这就使VLAN技术在网络中得以大量应用,而各个不同VLAN间的通信都要经过路由来完成转发,TL-SG5428可以通过在不同VLAN间设置静态路由功能实现该需求。
某公司现有3个部门,销售部50名员工,研发部20名员工,财务部20名员工,5台内网服务器,一条外网线路。几个部门之间可以分别灵活第设置相应的网络权限。
网络规划
根据用户需求,销售部员工较多,使用一台TL-SL2452WEB交换机做为接入交换机,研发部和财务部,各分别用一台TL-SL3428作为接入交换机,各个部分分网段进行管理,核心交换机使用带有静态路由功能的TL-SG5428,服务器和外网线路直接接在核心交换机上。
TL-SG5428端口划分:
研发部门:1-3号端口(1号口接交换机TL-SL2452WEB,其他2个口冗余)
销售部门:4-6号端口(4号口接交换机TL-SL3428,其他2接口冗余)
财务部门:7-9号端口(7号口接交换机TL-SL3428,其他2个口冗余)
服务器群:10-19号端口(10-14号口接服务器,其他5个接口冗余)
外网线路:20-24号端口(20号口接外网,其他4个接口冗余)
研发部门:172.16.0.0/24
销售部门:172.16.1.0/24
财务部门:172.16.2.0/24
服务器群:172.16.3.0/24
路由器:192.168.1.0/24
本文仅介绍通过TL-SG5428的配置实现上述需求
步骤1:划分VLAN
进入管理页面—>VLAN—>802.1Q VLAN
根据上文规划划分VLAN:
VLAN1为Default VLAN 不动它;
VLAN2:1-3号端口(研发部门)
VLAN3:4-6号端口(销售部门)
VLAN4:7-9号端口(财务部门)
VLAN5:10-19号端口(服务器群)
VLAN6:20-23号端口(外网线路)
注意:电脑接在24号口进行管理,暂时不对24号口划分VLAN,后面在单独对这个口进行划分,否则会造成电脑管理不了交换机。
步骤2:配置VLAN接口IP
进入管理界面—>路由功能—>静态路由—>接口管理
根据上文规划设置VLAN接口IP:
VLAN1为Default VLAN 不动它;
VLAN2:172.16.0.1 掩码 255.255.255.0(研发部门)
VLAN3:172.16.1.1 掩码 255.255.255.0(销售部门)
VLAN4:172.16.2.1 掩码 255.255.255.0(财务部门)
VLAN5:172.16.3.1 掩码 255.255.255.0(服务器群)
VLAN6:192.168.1.2 掩码 255.255.255.0(外网线路)
注意:各个接口IP不可以与网络中的客户端,路由器等网络设备冲突,VLAN 1的IP地址在系统管理—>系统配置—>管理IP 中修改。
步骤3:配置24号接口
将管理PC的IP设置为172.16.0.20,接在VLAN2中,使用172.16.0.1管理交换机。
将24号接口划分到VLAN 6中
进入管理页面—>VLAN—>802.1Q VLAN,编辑VLAN 6,增加24号接口
步骤4:配置外网线路的静态路由
将路由器的LAN口IP设置为192.168.1.1,在交换机上需要设置一条静态路由,表示所有外网IP都向路由器进行转发。
进入管理界面—>路由功能—>静态路由—>静态路由条目
添加条目
目的地址:0.0.0.0 子网掩码:0.0.0.0 下一跳:192.168.1.1
注意:在前端路由器上需要添加数据返回的路由条目
目的地址:172.16.0.0 子网掩码:255.255.255.0 下一跳:192.168.1.2
步骤5:设置各个部门的访问权限
参考TL-SG5428应用——ACL控制不同部门的网络权限
步骤6:设置客户端自动获取IP
参考TL-SG5428应用——不同网段网络终端自动获取IP
这样,整个网络就基本配置完成了。
