小区经典案例+端口隔离后访问交换机分享

yuckeyli · 发表于 2015-5-11 16:01:58

本帖最后由 yuckeyli 于 2015-5-11 16:01 编辑

各位大侠您们好！很荣幸当了第一批的2.4小白鼠。由于太忙没空做作业，最后答应真真做个案例分享。希望能帮到大家。
小区分A、B 两座，1层为商铺2-9层为住宅。核心交换机和爱快是用光纤模块和光纤跳线连接。A、B两座的汇聚交换机跟核心交换机是用超六类网线连接。而楼层的傻瓜交换机与汇聚交换机则是用五类网线连接。宽带使用的是4条电信100M的FTTP宽带，所有线路都使用了负载均衡。核心交换机和A、B座的汇聚交换机都启用了端口隔离。X用户能直接访问A座汇聚交换机和核心交换机，而Y用户能直接访问B座汇聚交换机和核心交换机。X用户无法访问B座汇聚交换机，Y用户无法访问A座汇聚交换机。
在小区宽带接入环境中，为了防止线路环路而导致的大面积断网，启用防环功能非常有必要。加之个别计算机中毒发包、广播、攻击等都会影响其它用户的使用，同时也会占用网络带宽，所以端口隔离技术对网络静化、安全和病毒隔离都有非常良好的作用。大家都知道当交换机都启用了端口隔离后，区内任一用户只能访问上联的交换机，而无法访问其它端口的交换机。这对于网管诊断网络、重启交换机都非常不便的。想问有没有方法可以让区内任意用户能访问任意交换机？这里先给大家留个悬念。好了，废话不多说，上图。

网络拓扑图如下：

核心交换机设置如下：

汇聚交换机设置如下：

爱快设置如下：

到这里设置工作已经基本完成。对于上面提出的问题，现在公布答案了。我知道的方法至少有2种。第一种方法是做端口映射，把交换机的管理地址和端口映射到外网去。相信这种方法大家都会配置了，我就不上图了。此种方法的优点是，不仅仅内网可以访问外网访问。缺点是，如果要管理的交换机数量很多的话，就要设置很多条映射记录，操作有点麻烦。第二种方式就是做ACL规则（只针对PPPOE用户，固定IP用户无法访问。而且交换机管理IP必须与内网口的IP同段）。此种方法的优点是，做1条规则就可以访问网内任意交换机，对于管理的交换机数量很多的话，操作就非常简单。缺点就是，只能内网访问。设置好规则后，Y用户就能访问A座的交换机了。好了有图有真相。