场景描述

一级路由器下有个交换机,交换机下有个二级路由器和普通设备,二级路由器使用单独的网段10.0.0.0/24,其他设备使用192.168.0.0/24 ,两个网段要能互通

graph LR
  A[一级路由器] -->|LAN口| B[交换机]
  B -->|普通设备| C[192.168.0.x]
  B -->|WAN口| D[二级路由器]
  D -->|LAN口| E[10.0.0.x设备]

数据流向

graph LR
  A[普通设备] -->|目标IP 10.0.0.100| B[一级路由器]
  B -->|查路由表:下一跳 192.168.0.254 通过LAN1口转发| C[交换机]
  C -->|透传数据帧| D[二级路由器WAN口]
  D -->|路由到LAN口| E[10.0.0.100设备]

方案一 路由器做DHCP

一级路由配置静态路由

1.png

  • 目标网络地址和掩码: 二级路由的网段范围
  • 网关: 二级路由的IP地址
  • 接口: 交换机是数据透传设备,认为是二级路由的接入一级路由的端口(LAN口)

注意: 一级路由的DHCP范围不要包含二级路由的IP,例如这里的 192.168.0.254

二级路由器配置

WAN配置

配置一级路由网段的固定IP地址,这里是192.168.0.254,关闭NAT地址转换
2.png

LAN配置

配置二级路由器的网段范围,注意关闭DHCP服务3.png

二级路由静态路由配置

二级路由10.0.0.0网段需要正常访问192.168.0.0,放行所有地址,下一跳为一级路由网关4.png

测试

## 在 192.168.0.x 网段的设备上
ping 192.168.0.254
ping 10.0.0.1
## 建议二级路由挂载设备测试
ping 10.0.0.10
tracert 10.0.0.10

方案二 交换机做DHCP

路由只负责NAT和宽带限速,其他工作交给交换机来做,VLAN也是在交换机上划分,路由器IP:192.168.168.1,交换机IP:192.168.168.2 (VLAN1)

交换机VLAN

  • VLAN1 默认VLAN,包含用于连接路由器的端口
  • VLAN10 服务器网,10.0.0.x,包含服务器网段的接入端口
  • VLAN20 办公网,192.168.0.x,包含办公网段接入的端口

vlan.jpg

路由配置

vlan网段是在交换机配置的,路由器需要配置静态路由,实现回程识别,把不认识的网段都下一跳到交换机来处理static-router.jpg

交换机需要把联网的请求,使用静态路由下一条到路由器,进行联网访问,vlan内的访问是在交换机内完成的.all-router.jpg

DHCP

路由器关闭DHCP,交换机打开DHCP,建议只给办公网开DHCP,同时设置DHCP的DNS服务器.DHCP-1.png

DHCP-DNS.png

限定IP访问服务器VLAN

在交换机的包过滤中,对服务器的端口/VLAN做出方向的ACL控制ACL-1.png

ACL中只允许指定的IP进行访问,其他的全部拒绝ACL-2.png

QoS对端口限速

实现内网访问不限制,访问公网对端口限制,避免拖垮网络出口首先要创建qos策略名称,然后把策略应用到接口的入方向和出方向qos-1.png

修改策略:qos-2.png

需要有两条策略:

  • 放行所有的内网访问,比如192.168.0.x访问 10.0.0.x,全部 通过数据包
  • 拦截所有的其他访问qos-3.png

qos-4.png

qos-5.png

qos-6.png

ACL-2001:匹配内网的请求,只设置来源IP:qos-7.png