3. Huawei H3C 중소기업 네트워크 아키텍처 구축 [각 장치의 인터페이스 유형 정의를 포함하여 해당 VLAN에 인터페이스 할당]

토폴로지
3. Huawei H3C 중소기업 네트워크 아키텍처 구축 [각 장치의 인터페이스 유형 정의를 포함하여 해당 VLAN에 인터페이스 할당]

토폴로지를 로컬에 저장 한 다음 확대하여 볼 수 있으므로 더 명확하게 볼 수 있습니다.

VLAN 구성 및 인터페이스 분할, 업 링크 인터페이스로 트렁크 구성, 특정 VLAN 통과 만 허용
설명 : 방문자 홀, 고위 직원 및 재무를 예로 들어 설명합니다. 생산 부서와 비즈니스 부서는 여기서 설명하지 않습니다. 방법은 이전 세 가지와 동일합니다.

3.1 방문자 홀을 구성해야하는
VLAN은 VLAN 19입니다. 또한 방문자 홀에는 통과해야하는 무선 AP 및 VLAN 1 관리 트래픽도 있으므로 허용되는 VLAN은 1, 19입니다.

system-view
[FKT] vlan 19
설명 : 여기서 VLAN은 기본 VLAN 1이 이미 존재하기 때문에 19로 정의되고 19는 방문자 홀을 통과하는 트래픽입니다.

PC 接入接口
[FKT] 포트 그룹 1
[FKT-port-group-1] 그룹 구성원 이더넷 0/0
/2- 이더넷 0/0/22 [FKT-port-group-1] 포트 링크 유형 액세스
[FKT-port-group-1] 포트 기본 vlan 19

참고 : 포트 그룹의 역할은 그룹에 여러 인터페이스를 추가 한 다음 중앙에서 정책을 구성하여 구성을 단순화하는 것입니다. 여기서는 E0 / 0 / 2-22 인터페이스를 액세스 인터페이스로 정의하고 추가하도록 구성됩니다. to VLAN 19에서 기본값은 하이브리드 포트입니다.

무선 AP 인터페이스
인터페이스에 연결 e0 / 0 / 1
포트 하이브리드 태그 vlan 19

참고 : 무선 AP에 연결된 인터페이스는 2 개의 VLAN 통과를 허용해야합니다. 하나는 VLAN 1이고 다른 하나는 VLAN 19입니다. 기본적으로 VLAN 1은 태그없이 통과 할 수 있습니다. VLAN 1은 AP의 관리 트래픽입니다. 이후 AP가 주소를 얻음 IP 주소는 터널을 협상하기 위해 AC와 통신해야하며 VLAN 19는 PC에서 외부 네트워크 또는 내부 트래픽 전달에 액세스하는 데 사용하는 비즈니스 트래픽이므로 2 개의 VLAN이 허용되어야합니다.

업 링크 인터페이스 [코어 1 및 2를 연결하는 인터페이스]
[FKT] 포트 그룹 2
[FKT-port-group-2] 그룹 멤버 GigabitEthernet
0/0/1-GigabitEthernet 0/0/2 [FKT-GigabitEthernet0 / 0 / 2 ] 포트 링크 유형 트렁크
[FKT-port-group-2] 포트 트렁크 allow-pass vlan 1 19

참고 : Group의 역할은 위와 동일하며 여기서 두 개의 업 링크 인터페이스가 Trunk로 정의되고 VLAN 1과 19의 트래픽이 통과 할 수 있습니다. G0 / 0 / 1은 코어 1에 연결되고 G0 / 0 / 2는 코어 2에 연결됩니다.

3.2
선임 직원이 구성한 VLAN 선임 직원 VLAN은 20이고 방문자 홀의 무선 AP 및 VLAN 1의 관리 트래픽은 통과해야하므로 허용되는 VLAN은 1, 20입니다.

구성 아이디어는 방문자 홀과 동일하고 효과는 동일하다고 설명하고 방문자 홀의 메모를 참조하십시오.
system-view
[boss] vlan 20
[boss] port-group 1
[boss-port-group-1] group-member e0 / 0 / 2 to e0 / 0 / 22
[boss-port-group-1] port link- 유형 액세스
[boss-port-group-1] 포트 기본 vlan 2

[boss] int e0 / 0 / 1
[boss-Ethernet0 / 0 / 1] 포트 하이브리드 태그 VLAN 20

[boss] port-group 2
[boss-port-group-2] group-member GigabitEthernet 0/0/1 ~ g0 / 0 / 2
[boss-port-group-2] 포트 링크 유형 트렁크
[boss-port- group-2] 포트 트렁크 allow-pass vlan 1 20

3.3
재정 을 위해 구성해야하는 VLAN 에 대한 설명 : 재정 VLAN은 21이고 VLAN 1의 관리 트래픽은 통과해야하므로 허용되는 VLAN은 1, 21입니다. 재정은 무선이 아니며 나머지는 다음과 같습니다. 방문자 홀과 유사하고 고위 직원은
system-view
[caiwu] vlan 21 과 유사합니다.

[caiwu] port-group 1
[caiwu-port-group-1] group-member 이더넷 0/0/
1- e0 / 0 / 22 [caiwu-port-group-1] 포트 링크 유형 액세스
[caiwu-port- group-1] 포트 기본 vlan 21

[caiwu] port-group 2
[caiwu-port-group-2] group-member g0 / 0 / 1-g0 / 0 / 2
[caiwu-port-group-2] 포트 링크 유형 트렁크
[caiwu-port-group -2] 포트 트렁크 allow-pass vlan 1 21

특히 업 링크 스위치의 인터페이스에 대한 설명을 정의하는 것이 좋으며,이 기능을 통해 인터페이스가 연결된 위치를 더 많이 알 수 있으므로 후속 문제 해결이나보기에 편리합니다.

[FKT] int g0 / 0 / 1
[FKT-GigabitEthernet0 / 0 / 1] Core-A g0 / 0 / 24에
대한 설명 연결 여기서 설명은 인터페이스가 Core A의 G0 / 0 / 24 인터페이스에 연결되었음을 의미합니다.

3.4 코어 레이어 A에 구성해야하는 VLAN 및 인터페이스.
여기에서는 방문자 홀, 고위 인사 및 재무 만 예로 보여 주므로 VLAN 19 ~ 21 만 생성되고 생산 부서 및 비즈니스 부서의 구성이 동일하므로 자원 절약이 없습니다.

[Core-A] vlan 배치 19 ~ 21,

참고 : VLAN 19 ~ 21은 일괄 적으로 생성됩니다. 아래 액세스 레이어의 모든 VLAN은 여기에 포함되어야합니다. 아래 스위치는 코어 A와 B에 연결되어 있으므로 모든 VLAN 트래픽을 요약하려면 모든 VLAN을 생성해야합니다.

[Core-A] 인터페이스 g0 / 0 / 24
[Core-A-GigabitEthernet0 / 0 / 24] fkt-g0 / 0 / 1에 대한 설명 연결
[Core-A-GigabitEthernet0 / 0 / 24] 포트 링크 유형 트렁크
[Core -A-GigabitEthernet0 / 0 / 24] 포트 트렁크 allow-pass vlan 1 19

설명 :이 인터페이스는 게스트 홀에 연결된 스위치로 설명이 작성되고 VLAN 1과 19의 트래픽 만 게스트 홀을 통과하기 때문에 vlan 1과 19의 트래픽이 통과 할 수 있습니다.

[Core-A] 인터페이스 g0 / 0 / 23
[Core-A-GigabitEthernet0 / 0 / 23] boss-g0 / 0 / 2에 대한 설명 연결
[Core-A-GigabitEthernet0 / 0 / 23] 포트 링크 유형 트렁크
[Core -A-GigabitEthernet0 / 0 / 23] 포트 트렁크 allow-pass vlan 1 20

설명 :이 인터페이스는 상사와 연결된 스위치로 설명이 작성되고 방문자 홀의 VLAN 1과 20의 트래픽 만 통과 할 수 있기 때문에 VLAN 1과 20의 트래픽이 통과 할 수 있습니다.

[Core-A] int g0 / 0 / 21
[Core-A-GigabitEthernet0 / 0 / 21] 포트 링크 유형 트렁크
[Core-A-GigabitEthernet0 / 0 / 21] 포트 트렁크 allow-pass vlan 1 21
[Core-A -GigabitEthernet0 / 0 / 21] caiwu-g0 / 0 / 1에 대한 설명 연결

설명 :이 인터페이스는 금융 스위치에 연결되어 설명이 작성되고 VLAN 1과 21의 트래픽 만 객실을 통과하기 때문에 VLAN 1과 21의 트래픽이 통과 할 수 있습니다.

특별 제안 : 중요한 인터페이스를 설명하는 것이 좋습니다. 연결 위치를 한 눈에 알 수 있고 인터페이스가 표시되어 있으므로 나중에 인터페이스가 연결되는 위치를 잊어 버리지 않도록 쉽게 구성 할 수 있습니다. .

3.5 코어 B에 대해 구성해야하는 VLAN 및 인터페이스.
사례는 방문자 홀, 고위 인사 및 재무에 대한 예제 만 제공하므로 VLAN 19 ~ 21 만 생성하고 생산 부서와 비즈니스 부서를 구성합니다. 같은 방식으로 리소스가 저장되고 구성이 없습니다.
[Core-B] vlan 배치 19 ~ 21

[Core-B] int g0 / 0 / 24
[Core-B-GigabitEthernet0 / 0 / 24] FKT g0 / 0 / 2에 대한 설명 연결
[Core-B-GigabitEthernet0 / 0 / 24] 포트 링크 유형 트렁크
[Core- B-GigabitEthernet0 / 0 / 24] 포트 트렁크 allow-pass VLAN 1 19

[Core-B] int g0 / 0 / 23
[Core-B-GigabitEthernet0 / 0 / 23] 포트 링크 유형 트렁크
[Core-B-GigabitEthernet0 / 0 / 23] 포트 트렁크 allow-pass vlan 1 20
[Core-B -GigabitEthernet0 / 0 / 23] 보스에 대한 설명 연결 g0 / 0 / 1
설명 :이 인터페이스는 보스와 연결된 스위치로 설명이 작성되고 vlan 1과 20의 트래픽은 방문자가 통과 할 수 있습니다. 홀에는 VLAN 1과 20 개의 트래픽 패스 만 있습니다.

[Core-B] int g0 / 0 / 22
[Core-B-GigabitEthernet0 / 0 / 22] caiwu g0 / 0 / 2에 대한 설명 연결
[Core-B-GigabitEthernet0 / 0 / 22] 포트 링크 유형 트렁크
[Core- B-GigabitEthernet0 / 0 / 22] 포트 트렁크 allow-pass VLAN 1 21

특별 제안 : 연결 위치를 한 눈에 알 수 있도록 중요한 인터페이스를 설명하고 인터페이스가 표시되도록하는 것이 좋습니다.
[여기서 Core-A와 B 사이의 두 링크는 아직 구성되지 않았습니다. 이는 Aggregation 구성시 함께 구성 될 것이기 때문입니다. 하나는 Aggregation 용입니다.]

3.6이 그레스 방화벽과 코어 스위치 간의 인터페이스 분할
분석 : 코어 스위치와이 그레스 방화벽은 삼각형 구조로되어 있습니다. 인터페이스는 스위치에서 VLAN으로 분할되어야하며, VLAN 인터페이스를 사용하여 방화벽. 방화벽에는 스위치와 통신하는 두 가지 방법이 있습니다. 하나는 VLAN 인터페이스를 통해 통신하는 것이고 두 번째는 3 계층 포트를 통해 3 계층 스위치와 통신하는 것입니다. 첫 번째를 선택하는 것이 더 낫습니다.이 구조는 비교적 간단하고 라우팅 구성이 명확합니다. 두 번째 방법은 2 개의 VLAN을 구성한 다음 방화벽과 통신하기 위해 2 개의 네트워크 세그먼트를 구성해야합니다.

3.6.1 Core-A 구성
[Core-A] vlan 100
설명 :이 100은 방화벽에 별도로 연결하는 데 사용됩니다.
[Core-A] interface g0 / 0 / 22
[Core-A-GigabitEthernet0 / 0 / 22] 포트 링크
-type access [Core-A-GigabitEthernet0 / 0 / 22] port default vlan 100
[Core-A-GigabitEthernet0 / 0 / 22] description connection to FW g0 / 0 / 8
Description : 인터페이스를 100으로 나누고 설명을 작성합니다. g0 / 0 / 8 인터페이스가 방화벽에 연결되었음을 나타냅니다.

3.6.2 Core-B 구성
[Core-B] 인터페이스 g0 / 0 / 21
[Core-B-GigabitEthernet0 / 0 / 21] 포트 링크 유형 액세스
[Core-B-GigabitEthernet0 / 0 / 21] 포트 기본 vlan 100
[ Core-B-GigabitEthernet0 / 0 / 21] FW G0 / 0 / 7에
대한 설명 연결 설명 : 인터페이스를 100 개로 나누고 설명을 작성하여 방화벽에 연결된 g0 / 0 / 7 인터페이스를 설명합니다.

3.6.3 FW 구성
시스템보기
[USG-GW] 포트 스위치 배치 GigabitEthernet 0/0/7 ~ 0/0/8
설명 :이 명령의 의미는 레이어 3 인터페이스를 레이어 2 인터페이스로 전환하는 것입니다. 기본값은 다음과 같습니다. 레이어 3 인터페이스

[USG-GW] vlan 100
[USG-GW-vlan-100] port GigabitEthernet 0/0/7 ~ 0/0/8
설명 : VLAN 100이 생성되고 G0 / 0 / 7 ~ 8이 VLAN 100에 추가됩니다.

3.7 코어 스위치 및 서버 클러스터 스위치 구성
3.7.1 코어 스위치 A 및 B
[Core-A] vlan 88
[Core-A] int g0 / 0 / 20
[Core-A-GigabitEthernet0 / 0 / 20] 서버에 대한 설명 연결 g0 / 0 / 2
[Core-A-GigabitEthernet0 / 0 / 20] 포트 링크 유형 트렁크
[Core-A-GigabitEthernet0 / 0 / 20] 포트 트렁크 allow-pass vlan 1 88
설명 : 여기서 트렁크는 다음을 위해 구성됩니다. 후속 조치 서버 스위치를 관리하는 것이 편리하며, 관리 할 필요가없는 경우 Access 인터페이스를 직접 전달할 수 있습니다.

[Core-B] vlan 88
[Core-B] int g0 / 0 / 20
[Core-B-GigabitEthernet0 / 0 / 20] 포트 링크 유형 트렁크
[Core-B-GigabitEthernet0 / 0 / 20] 포트 트렁크 허용 통과 vlan 1
설명 88 : Trunk는 서버 스위치의 후속 관리의 편의를 위해 여기에서 구성하며 관리가 필요하지 않은 경우 Access 인터페이스를 통해 직접 전달할 수 있습니다.

3.7.2 서버 클러스터 스위치 구성
시스템보기
[클러스터 서버] vlan 88

[Cluster Server] port-group 1
[Cluster Server-port-group-1] group-member g0 / 0 / 1-g0 / 0 / 2
[Cluster Server-port-group-1] 포트 링크 유형 트렁크
[Cluster Server -port-group-1] port trunk allow-pass vlan 1 88
[Cluster Server-port-group-1] Description connection to Core-AB
설명 : 첫 번째 포트 그룹은 코어 스위치에 연결되는 인터페이스를 Trunk로 정의합니다. 1과 88이 통과하도록 허용

[Cluster Server] port-group 2
[Cluster Server-port-group-2] group-member e0 / 0 / 1-e0 / 0 / 2
[Cluster Server-Ethernet0 / 0 / 2] 포트 링크 유형 액세스
[Cluster Server -Ethernet0 / 0 / 2] port default vlan 88
설명 : 2 개의 인터페이스는 서버에 연결하는 데 사용되며 해당 VLAN 88에 할당됩니다.

요약 : 지금까지 전체 VLAN의 배포는 인터페이스로 구분되었습니다. 여기서 주목할 점은 트렁크입니다. 기본적으로 VLAN 1의 트래픽 만 통과 할 수 있고 나머지 트래픽은 허용되지 않으므로 필요한 트래픽의 통과를 허용해야합니다. 어떤 VLAN 트래픽을 통과할지 확실하지 않은 경우 모든 트래픽을 직접 허용 할 수 있습니다. 궁금한 점이 있거나 본문에 오류나 누락이있는 경우 메시지를 남겨 주시고 블로거가 보자 마자 수정한다는 점을 알려주세요. 성원 해 주셔서 감사합니다.

이 기사는 공개 계정 : Network Road 블로그에 처음 게시되었습니다.

3. Huawei H3C 중소기업 네트워크 아키텍처 구축 [각 장치의 인터페이스 유형 정의를 포함하여 해당 VLAN에 인터페이스 할당]

추천