校园网实战:从VLAN划分到RIP路由的完整命令手册
1. 校园网实战环境搭建
刚接手校园网改造项目时,我和很多新手一样被各种设备型号和协议搞得头晕。但实际搭建起来你会发现,只要掌握几个关键步骤,整个网络架构就会像搭积木一样清晰。我们先从最基础的物理连接说起——想象你正在组装一个巨型乐高模型,每块积木都必须严丝合缝。
典型校园网需要准备的核心设备包括:二层交换机(建议选择48口千兆型号如H3C S5130)、三层交换机(推荐H3C S6850系列)、企业级路由器(比如华为AR2200)。布线时有个细节容易忽略:核心交换机与汇聚交换机之间建议采用光纤直连,教学楼到宿舍区的远距离传输使用单模光纤,而同一楼层的设备间用六类网线就够了。
在实验室环境模拟时,我习惯先用Cisco Packet Tracer绘制拓扑图。比如学生宿舍区划入VLAN 10,对应网段192.168.1.0/24;教师办公区用VLAN 20,网段192.168.2.0/24。这里有个实用技巧:给每个VLAN编号时,尾数最好与IP地址第三段一致(如VLAN 30对应192.168.3.x),这样后期排查时能快速定位问题区域。
2. 内网VLAN精细化配置
2.1 二层交换机VLAN划分
第一次配置VLAN时,我把交换机的access端口和trunk端口搞混了,结果整个网络通信瘫痪。后来才明白:连接终端设备的端口必须设为access模式,而交换机级联端口需要trunk模式。具体操作时,先创建VLAN:
Switch> enable Switch# vlan database Switch(vlan)# vlan 10 name Student_Dorm Switch(vlan)# vlan 20 name Classroom Switch(vlan)# exit接着配置端口模式,以学生宿舍区的接入交换机为例:
Switch(config)# interface range fastEthernet 0/1-24 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# exit关键点在于:连接上层交换机的端口必须开启trunk。有次我忘记配置这个,导致跨交换机VLAN通信失败:
Switch(config)# interface gigabitEthernet 1/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan all2.2 三层交换机网关部署
三层交换机就像网络中的交通枢纽,我更喜欢把它比作机场的塔台。配置时首先要开启路由功能,这个步骤新手经常遗漏:
Switch(config)# ip routing然后给每个VLAN接口配置网关地址。这里有个坑:网关IP必须与VLAN内设备的默认网关一致。比如学生宿舍区的配置:
Switch(config)# interface vlan 10 Switch(config-if)# ip address 192.168.1.254 255.255.255.0 Switch(config-if)# no shutdown实测中发现,如果子网掩码配错(比如写成255.255.0.0),会导致跨网段通信异常。建议配置完成后立即用ping命令测试:
ping 192.168.1.1 ping 192.168.2.13. 外网动态路由实战
3.1 三层接口转换技巧
连接路由器前,需要把交换机的物理接口从二层模式转为三层模式。这个操作就像把普通车道改成公交专用道:
Switch(config)# interface gigabitEthernet 0/24 Switch(config-if)# no switchport Switch(config-if)# ip address 192.168.6.2 255.255.255.0有次项目验收时,客户临时要求更改互联IP段。我总结出快速修改技巧:先执行"shutdown"关闭接口,修改IP后再"no shutdown",比直接改更稳妥。
3.2 RIP协议深度配置
静态路由适合小型网络,但校园网这种复杂环境还是动态路由更智能。RIP协议虽然简单,但有几个参数需要特别注意:
Switch(config)# router rip Switch(config-router)# version 2 Switch(config-router)# no auto-summary Switch(config-router)# network 192.168.1.0 Switch(config-router)# network 192.168.6.0在路由器上同样需要配置RIP。曾经遇到个典型故障:两边都配了RIP但路由表不更新,最后发现是防火墙拦截了UDP 520端口。建议配置完成后立即检查路由表:
show ip route4. 安全策略与服务器集成
4.1 ACL访问控制实战
限制学生宿舍访问外网时,ACL规则顺序很重要。就像安检通道的检查流程,规则是从上到下逐条匹配的:
Router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.255 any Router(config)# access-list 100 permit ip any any Router(config)# interface gigabitEthernet 0/0 Router(config-if)# ip access-group 100 in有个易错点:ACL默认隐含deny any规则,所以最后一定要加permit any,否则所有流量都会被阻断。
4.2 服务器集群部署
校园网通常需要部署DHCP、DNS和Web服务器。以Windows Server为例,配置DHCP作用域时要注意排除静态IP地址段:
Add-DhcpServerv4Scope -Name "Student" -StartRange 192.168.1.100 -EndRange 192.168.1.200 -SubnetMask 255.255.255.0 Set-DhcpServerv4OptionValue -ScopeId 192.168.1.0 -DnsServer 192.168.5.1 -Router 192.168.1.254DNS服务器配置正向查找区域时,建议同时创建反向查找区域,能显著提高解析效率。Web服务器部署后,别忘了在防火墙上放行80和443端口。