详细网络拓扑结构如下图:
RT1、RT2、RT3都是路由器H3C ER5200G2;
SW1、SW2、SW3、SW4都是交换机H3C S1848G;
RT2作为主路由,拓扑图只标明连接一条上网链路,其实WAN1、WAN2是分别接了两条上网链路的。
RT2创建了6个VLAN地址池,分别如下:
路由器RT2的Trunk口设置如下:
路由器RT2的DHCP设置如下:
路由器RT2的LAN1~LAN4下接4个H3C S1848G交换机,如拓扑图所示,每个交换机都有基于端口划分的VLAN,上联口都是Trunk模式。其中一个交换机SW4的 vlan信息 如下:
GE1/0/1是上联口。
SW4的GE1/0/18是连接内网文件服务器的接口,是Trunk模式;SW4的GE1/0/19是连接路由器RT3的WLAN2口,是Access模式。
SW1~SW4这4台交换机的带机量共200多台,这些交换机都需要访问内网文件服务器,还有通过无线连接的打印机,因此RT3我关闭了NAT转换,RT1、RT2、RT3都写有静态路由表,如拓扑图所示。
AC控制器为H3C WAC 360,旁挂模式,SW5为POE交换机,下联三个无线WAP 712C,打印机通过无线联网。
三个路由都开启了一些安全设置,如下图:
问题:
1、vlan1~vlan7这7个ip段都可以互相ping通,是不是vlan隔离没生效,还是只是单台交换机内不同vlan广播报文已隔离,几个ip段可以互通是因为报文经过路由器RT2转发的呢?
2、我在路由器RT3的ARP绑定列表看到10.0.5.0/24网段的ip,那连接三个ap的无线用户发出的报文会不会对10.0.5.0/24网段的主机造成干扰?
想实现的目的如下:
1、vlan1~vlan7这7个网段的ip都不允许互通,避免广播泛洪,相同vlan的主机,只能通过交换机互通,确保网络稳定和畅通(最重要);
2、vlan1~vlan7整合7个网段的主机都可以访问内网文件服务器和打印机,打印机只能走无线,该如何调整网络结构实现(次重要)。
3、SW1~SW4中曾有某个或几个vlan内的主机可能中毒或环路,对路由器RT2造成攻击,即使路由器开了上面所述的防护也无济于事,路由器cpu飙升80%以上,导致网络瘫痪,断开交换机链接则恢复正常。对应这种问题,需要怎么改善或增加设备,防止网络被某些主机干扰。
希望各位大神指点一下不足或有误地方,提供一下建议,很需要这方面的帮助,先谢谢大家啦。
(0)
最佳答案
问题1,不同网段应该是走三层转发到RT2实现互通了
问题2,mac不一样,理论上不会造成啥干扰吧
需求1,在路由器上做入站策略,禁止内网不通端口网段间的互访,或者在交换机上使用包过滤禁止这些报文。
需求2,不太清楚,是否给内网这些服务器资源单独用一个网段vlan比较方便
需求3,这个没啥办法,路由器的安全功能有限,需要专业的安全设备去做
(0)
主路由路由器做入站策略,上面说明只能控制从因特网到局域网方向的数据流,并不能控制多个网段间互访吧?只能用出站策略,如源接口VLAN1不能访问其他VLAN2~VLAN7这几个网段的主机,但这个只是数据包没到达目标主机而已,对路由负担还是有影响的吧?
搞的好复杂啊,不知道您为什么那么设计,这样的结构上,就不是太合理,流量大的时候肯定对通信有影响,如果可以,建议调整下网络结构,采用标准星型结构,用一台路由器,下连一台核心交换机,所有vlan和vlan网关都建在核心交换机上,vlan间根据需求建立访问策略,广播泛洪只在vlan内传播,不在vlan间传播,
(0)
谢谢大神解答。刚开始的搭建的时候,设备还是比较少的,没考虑太多,后来人员增加太快了,开始逐渐出问题了。由于当时没有三层交换机,不同交换机之间的数据交换只能让路由来处理了。我以后采用你给的方案,谢谢啦。
谢谢大神解答。刚开始的搭建的时候,设备还是比较少的,没考虑太多,后来人员增加太快了,开始逐渐出问题了。由于当时没有三层交换机,不同交换机之间的数据交换只能让路由来处理了。我以后采用你给的方案,谢谢啦。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
主路由路由器做入站策略,上面说明只能控制从因特网到局域网方向的数据流,并不能控制多个网段间互访吧?只能用出站策略,如源接口VLAN1不能访问其他VLAN2~VLAN7这几个网段的主机,但这个只是数据包没到达目标主机而已,对路由负担还是有影响的吧?