基于CATALYST 3550-24交换机的VLAN实现案例

    下面将介绍一个实例。某移动通信公司的内部办公网络有12台CATALYST 3550-24 SMI （标准版）交换机，有一台服务器。用户要求：把整个办公局域网划分成三个VLAN，要求服务器只能接受被授权访问的主机访问。正如我已经知道的那样，CATALYST 3550-24 SMI不具有三层交换功能，要使它具有三层交换功能，我们须要把它的镜像文件升级到EMI（增强版） ，IOS升级为12.1(11)EA1版本。在这个网络中我们将用一台CATALYST 3550-24 SMI来做中心交换机，所以我们希望它具有三层交换功能，因此把它升级到EMI，其它11台CATALYST 3550-24 SMI则不用升级，全部用来做接入层交换机。我们将要划分三个VLAN，也就是要划分三个网段。分别是VLAN2——网络号为192.168.2.0，指定的网关为192.168.2.1；VLAN3——网络号为192.168.3.0指定的网关为192.168.3.1；VLAN10——网络号为192.168.10.0，指定的网关为192.168.10.1，服务器在这个VLAN中。（注：由于思科的交换机在没有划分VLAN时，所有端口默认为VLAN1，所以划分VLAN一般会从VLAN2开始。）我先来看整个局域网网络的拓朴图：（见图2）
#$[*121775.jpg*#图2（点击看大图）*#0*#0*#center*]$#
    从上图我可以看出12台CATALYST 3550-24交换机是采用堆叠的方式连接的。最上的那台交换机已升级到EMI，其它仍为SMI。交换机之间的堆叠通过1000BaseT GBIC模块（见图3）来实现。单端口 Cisco 1000BASE-T GBIC模块能在堆叠交换机之间提供1000M的高速传输，也可用来连接服务器，或在配线间之间搭成千兆的主干连接。在这个方案中，服务器是重点保护对象，我们将禁止来自VLAN3的所有主机访问服务器。服务器就接在中心交换机的第13口上，所以我在中心交换机上设置访问控制列表（ACL），控制所有来自VLAN3的主机从这个13号端口出去。详细见以下第9。
#$[*121777.jpg*#图3（点击看大图）*#0*#0*#center*]$#