網(wǎng)絡(luò)設(shè)備應(yīng)用7(醫(yī)院網(wǎng)絡(luò)交換機配置)

1網(wǎng)絡(luò)設(shè)備應(yīng)用

（醫(yī)院網(wǎng)絡(luò)交換機配置

）

尚邦治2006.82十四.醫(yī)院網(wǎng)絡(luò)交換機配置設(shè)計一個醫(yī)院的局域網(wǎng)。由一個3526交換機和兩個3026E交換機組成一個網(wǎng)絡(luò)，配置4個VLAN。VLAN按端口劃分。VLAN要跨交換機。VLAN2名為“門診”，VLAN2分布在兩個3026E和3526上；VLAN4名為“住院”，VLAN4分布在兩個3026E和3526上；VLAN3名為“服務(wù)器”，分布在3526上。VLAN5名為“辦公”，分布在三個交換機上。VLAN2、VLAN4和VLAN5可以通過第三層訪問VLAN3，但是部門之間不能互訪。

3

VLAN2VLAN4三層交換機S3526二層交換機S3026E-1二層交換機S3026E-2VLAN3：192.168.3.1/24VLAN2VLAN5VLAN4VLAN5服務(wù)器門珍住院辦公門珍住院辦公

組網(wǎng)示意圖41)組網(wǎng)總體規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示，S3526的端口e0/1與S3026E的端口e0/1相連，S3526的端口e0/24與S3026E的端口e0/1相連；端口配置為trunk，且允許所有VLAN通過。52)

VLAN的劃分S3526上創(chuàng)建VLAN2－VLAN5，端口e0/2-e0/8屬于門診部VLAN2，端口e0/9-e0/12屬于住院部VLAN4，端口e0/13-e0/18屬于服務(wù)器組VLAN3，將服務(wù)器組部署在S3526上的VLAN3，端口e0/19-e0/23屬于辦公VLAN5，在兩臺二層交換機S3026E上分別創(chuàng)建門診、住院和辦公三個VLAN，即VLAN2、VLAN4、VLAN5，配置端口e0/2-e0/12屬于VLAN2，端口e0/13-e0/18屬于VLAN4，端口e0/19-e0/24屬于VLAN5。

63)IP地址的劃分門診部IP為192.168.2.2-192.168.2.254，網(wǎng)關(guān)為192.168.2.1；服務(wù)器組IP為192.168.3.2-192.168.3.254，網(wǎng)關(guān)為192.168.3.1；住院部IP為192.168.4.2-192.168.4.254，網(wǎng)關(guān)為192.168.4.1；辦公部IP為192.168.5.2-192.168.5.254，網(wǎng)關(guān)為192.168.5.1；7交換機配置

4)在三層交換機S3526上劃分VLAN[Quidway]sysnameS3526配置門診部VLAN為VLAN2[S3526]vlan2[S3526–vlan2]portEthernet0/2toEthernet0/8配置住院部VLAN為VLAN4[S3526–vlan3]vlan4[S3526–vlan4]portEthernet0/9toEthernet0/12配置服務(wù)器組VLAN為VLAN3[S3526–vlan2]vlan3[S3526-vlan3]portEthernet0/13toEthernet0/18配置辦公部VLAN為VLAN5[S3526–vlan4]vlan5[S3526–vlan5]portEthernet0/19toEthernet0/2385)

在二層交換機S3026E-1上劃分VLAN[Quidway]sysnameS3026E-1配置門診部VLAN為VLAN2[S3026E-1]vlan2[S3026E-1–vlan2]portEthernet0/2toEthernet0/12配置住院部VLAN為VLAN4[S3026E-1–vlan2]vlan4[S3026E-1–vlan4]portEthernet0/13toEthernet0/18配置辦公部VLAN為VLAN5[S3026E-1–vlan4]vlan5[S3026E-1–vlan5]portEthernet0/19toEthernet0/2496)

在二層交換機S3026E-2上劃分VLAN與在二層交換機S3026E-1上的配置完全相同。107)配置三臺交換機之間鏈路為trunk鏈路配置三層交換機S3526的e0/1和e0/24端口[S3526]interfacee0/1[S3526-Ethernet0/1]portlink-typetrunk[S3526-Ethernet0/1]porttrunkpermitvlanall[S3526-Ethernet0/1]interfacee0/24[S3526-Ethernet0/24]portlink-typetrunk[S3526-Ethernet0/24]porttrunkpermitvlanall配置二層交換機S3026E-1的e0/1端口[S3026E-1]interfacee0/1[S3026E-1-Ethernet0/1]portlink-typetrunk[S3026E-1-Ethernet0/1]porttrunkpermitvlanall配置二層交換機S3026E-2的e0/1端口與在二層交換機S3026E-1上的配置完全相同。118)第一次網(wǎng)絡(luò)連通性測試按照組網(wǎng)圖將相應(yīng)的主機或服務(wù)器與交換機相連，按照IP地址的規(guī)劃，分配給每臺主機相應(yīng)的IP地址；驗證同一部門能否互通？如門診部的兩臺主機能否互通？不同部門能否互通？如門診部和住院部的兩臺主機能否互通？試分析為什么？首先，可以看到，同一部門之間的任意兩臺主機都可以互通，因為它們屬于同一VLAN，而且交換機之間鏈路允許所有VLAN通過；而不同部門的任意兩臺主機都不能互通，因為它們屬于不同的VLAN，在二層被隔離了，并且，它們的IP地址也分屬不同的網(wǎng)段。因此需要在三層交換機上啟用路由功能，使不同部門能夠互通。也就是在三層交換機的相應(yīng)VLAN接口配置IP地址，啟用三層路由轉(zhuǎn)發(fā)。129)

在三層交換機S3526上啟用三層路由轉(zhuǎn)發(fā)功能在三層交換機的VLAN接口上配置IP地址，啟用三層路由轉(zhuǎn)發(fā)功能，每個VLAN接口的IP地址作為相應(yīng)部門主機的網(wǎng)關(guān)，這樣就可以保證不同部門之間的互通。

13配置門診部的網(wǎng)關(guān)[S3526]interfacevlan2[S3526-Vlan-interface2]ipadd192.168.2.1255.255.255.0配置服務(wù)器組的網(wǎng)關(guān)[S3526-Vlan-interface2]interfacevlan3[S3526-Vlan-interface3]ipadd192.168.3.1255.255.255.014配置住院部的網(wǎng)關(guān)[S3526-Vlan-interface3]interfacevlan3[S3526-Vlan-interface4]ipadd192.168.4.1255.255.255.0配置辦公部的網(wǎng)關(guān)[S3526-Vlan-interface4]interfacevlan5[S3526-Vlan-interface5]ipadd192.168.5.1255.255.255.0

1510)第二次驗證網(wǎng)絡(luò)連通性請驗證任意兩個部門的主機能否互通，并解釋為什么？由于啟用了三層路由功能，分屬不同部門的主機在通信時，報文先被轉(zhuǎn)發(fā)到發(fā)送主機的網(wǎng)關(guān)，S3526交換機的VLAN間路由模塊，根據(jù)該報文的目的IP地址，進行路由轉(zhuǎn)發(fā)，這樣能夠保證不同部門之間互通。但是，這樣不符合我們的設(shè)計要求，因此需要進一步加上訪問控制，對三層交換機S3526的路由轉(zhuǎn)發(fā)進行控制。1611)設(shè)置訪問控制：配置訪問控制列表[S3526]aclnumber3001禁止所有網(wǎng)段互訪[S3526-acl-adv-3001]rule10denyipsourceanydestinationany17允許所有部門訪問服務(wù)器組[S3526-acl-adv-3001]rule20permitipsource192.168.3.00.0.0.255destinationany[S3526-acl-adv-3001]rule30permitipsourceanydestination192.168.3.00.0.0.255在交換機上應(yīng)用訪問控制列表[S3526]packet-filterip-group30011812)

第三次驗證網(wǎng)絡(luò)連通性驗證同一部門內(nèi)部的連通性；驗證不同部門之間的連通性；驗證門診、住院和辦公三個部門與服務(wù)器組的連通性。最后，經(jīng)過驗證，局域網(wǎng)的設(shè)計滿足設(shè)計要求。19局域網(wǎng)網(wǎng)絡(luò)的維護舉例修改內(nèi)容：將S3026E-1中原屬于住院部VLAN4的e0/13端口，重新分配給門診部VLAN2。2013)住院部VLAN中減少一個端口將S3026E-1中的e0