NetBuddy.Org论坛 - 讨论下，此种拓扑可行嘛？


	欢迎访客 ( 登陆 \| 注册 )

NetBuddy.Org论坛 ->技术论坛 ->网络世界

讨论下，此种拓扑可行嘛？

« 上一篇主题 | 下一篇主题 »

跟踪主题 | 邮寄主题 | 打印主题

天落雪

1. 讨论下，此种拓扑可行嘛？

HP : 0 / 80

MP : 10 / 674

EXP : 22%

江湖游客

成员等级: 4
发表总数: 30
金币总数: 55
所属组别: 普通成员
注册日期: 2006/02/26

核心交换机6509下联3550（EMI），接入用2950
设置如下：
1.每个3550及下联的2950做为一个独立的VTP domain，在3550做vlan的划分并且发布路由使得VLAN1，2，3，4可以互相访问。
2.在3550上开启DHCP功能，给所属VLAN的机器自动分配IP地址。

问题点：
1.如果将3550的VTP模式设为server，2950设为client，如何保证两台3550的vlan信息不互相传递也不会传给上联的6509（仅设置VTP domain name就可以了嘛/）
2.使用3550做dhcp服务器如何保证将不同地址分配给不同的VLAN（比如只将172.16.1.0/24的地址段分配给VLAN1；仅将172.16.2.0/24位的地址段分配给VLAN2）并且保证VLAN1，2，3，4中的PC不从现有的DHCP server那获取到地址（目前情况是已存在这么一台pc做dhcp server）？

附带图片

access-list 101 permit MM any host me
access-list 101 permit Money any host me

发表于2006/03/4, 12:13

麦子

2. Re:讨论下，此种拓扑可行嘛？

HP : 250 / 1254

MP : 1625 / 21993

EXP : 16%

迟则生变

成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9

1.可以
2.可以
35--65--35之间通过路由方式互联，DHCP数据包默认不会转发；也可以通过2/3层访问控制列表阻止DHCP数据包

没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.

发表于2006/03/4, 20:56

天落雪

3. Re:讨论下，此种拓扑可行嘛？

HP : 0 / 80

MP : 10 / 674

EXP : 22%

江湖游客

成员等级: 4
发表总数: 30
金币总数: 55
所属组别: 普通成员
注册日期: 2006/02/26

多谢麦子哥……
还有一个问题没解决，就是：使用3550做dhcp服务器如何保证将不同地址分配给不同的VLAN

access-list 101 permit MM any host me
access-list 101 permit Money any host me

发表于2006/03/5, 10:01

happydj

4. Re:讨论下，此种拓扑可行嘛？

HP : 103 / 1033

MP : 956 / 16153

EXP : 33%

名动江湖

成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4

楼主参考一下：C3550配置作为DHCP服务器工程实例。

使用3550做DHCP服务器只要配置正确，就可以将不同地址分配给不同的VLAN 的。

能否请楼主解释一下，为什么要这样设计网络拓扑呢？

谢谢！！

发表于2006/03/5, 12:58

天落雪

5. Re:讨论下，此种拓扑可行嘛？

HP : 0 / 80

MP : 10 / 674

EXP : 22%

江湖游客

成员等级: 4
发表总数: 30
金币总数: 55
所属组别: 普通成员
注册日期: 2006/02/26

多谢DJ兄~!
唉……很变态啊……
情况是这样的我们公司网络好几年前建的……最早时候就专门的server联在6509上做DHCP服务器，然后下联的3550开dhcp中继获取IP地址，每个3550就是一个VLAN
ok，刚建起来的时候很好，运行也稳定，我们是制造行业（特点就是人多，地方大，机器也约来越多），随着公司规模的扩大，下联的pc越来越多，现在获取ip地址的速度越越慢了……估计DHCPserver快顶不住了，而且就3550就划分一个VLAN,机器越来越多管理起来就不方便了，所以就萌发了使用上面的拓扑，计划一步步的吧3550的dhcp服务开启并且进一步细分VLAN，然后移除DHCP PC。
不知道大家有么有更好的建议。

access-list 101 permit MM any host me
access-list 101 permit Money any host me

发表于2006/03/5, 19:56

happydj

6. Re:讨论下，此种拓扑可行嘛？

HP : 103 / 1033

MP : 956 / 16153

EXP : 33%

名动江湖

成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4

知道了，谢谢介绍，个人感觉6509好象没有发挥太大作用，挺浪费的。
你们公司的网络结构和我们这的很类似，楼主你为什么不在65上做DHCP呢，
三层交换交给65来处理，65和35之间用trunk，另外，你这里用了2个VTP域
似乎也没有必要啊。
这2种拓扑结构，不知道哪种更合理一些，请朋友们发表一下意见，谢谢！

发表于2006/03/5, 22:50

天落雪

7. Re:讨论下，此种拓扑可行嘛？

HP : 0 / 80

MP : 10 / 674

EXP : 22%

江湖游客

成员等级: 4
发表总数: 30
金币总数: 55
所属组别: 普通成员
注册日期: 2006/02/26

这个拓扑已经实现，就运行的情况来说还不错。
另外我在3550上起了dhcp snooping和arp inspection来限制手工指定ip地址的pc访问网络。
可是又有新问题出现（拿一个vtpdomain举例说明）
共划分四个vlan，vlan10，20，30是必须设为动态获取ip地址方可访问网络，vlan40(172.16.43.*)必须手工指定ip地址。
由于vlan40中机器比较重要，故只允许访问公司的OA，internet和其它都无法访问，但该该vlan中的机器需起ftp和telnet服务供vlan10～30中的机器使用。
我在3550上接6509的端口的in上加了以下访问控制列表
access-list 101 permit ip host 172.16.1.105 172.16.43.0 0.0.0.255(OA)
access-list 101 permit ip host 172.16.1.127 172.16.43.0 0.0.0.255(AD&DNS)
access-list 101 deny ip any 172.16.43.0 0.0.0.255
access-list 101 permit ip any any
加上去之后限制vlan40中机器访问的目的达到了，可是vlan10~30中的机器远程登录vlan40中的机器特别慢（居然3分钟），想不通为什么，我又不是在trunk口上加acl……在三层口上加acl会影响吗？
实际中拿掉ACL,ftp正常……so puzzle