林臻 福建省泉州市农业学校

一、引言

随着交换机技术的发展，可网管交换机在局域网中的使用越来越频繁。特别是在中小规划的局域网，利用可网管交换机进行网络管理可以有效解决网络的大部分问题、大量地节省管理成本。

可网管交换机是指通过管理端口执行监控交换机端口、划分VLAN、设置Trunk端口等管理功能的交换机。对于有一定规模的网络，可网管交换机通常超过10台以上。要对这些可网管的交换机进行管理，除了要给每台可网管交换机配置管理IP外，还要合理的规划、配置、管理可网管交换机IP。

二、拓扑结构

用以下拓扑结构为例，在华为eNSP模拟器中模拟。

拓扑图说明

VLAN 网段 网关 其它VLAN 10 192.168.10.0/24 192.168.10.1 S3700-1只接属于VLAN 10的计算机VLAN 20 192.168.20.0/24 192.168.20.1 S3700-2只接属于VLAN 20的计算机VLAN 30 192.168.30.0/24 192.168.30.1 VLAN 40无法直接接到核心交换机，通过S3700-3进行级联，S3700-3除了GE0/0/2端口用于接S3700-4，其他接口只接属于VLAN 30的计算机VLAN 40 192.168.40.0/24 192.168.40.1 S3700-4只接属于VLAN 40的计算机

PC的配置说明

PC IP 网关PC1 192.168.10.2/24 192.168.10.1 PC2 192.168.20.2/24 192.168.20.1 PC3 192.168.30.2/24 192.168.30.1 PC4 192.168.40.2/24 192.168.40.1

三、方案规划

可网管交换机管理IP的规划通常有两种方案可以选择。

方案1：将可网管交换机的管理IP直接规划于当前交换机负责的VLAN网段中管理。

方案2：将可网管交换机的管理IP独立并集中在单独的VLAN中管理。

四、实现配置

1. 方案1的实现

采用这种方法，交换机的管理IP可以直接从它服务的VLAN对应的网段中取一个当作管理IP使用。

假 设：S3700-1的 管 理 IP为192.168.10.254；S3700-2的 管理 IP为192.168.20.254；S3700-3的管理 IP为192.168.30.254；S3700-4的管理IP为192.168.40.254。

（1） 核心交换机S5700配置：

（2） 接入交换机S3700-1配置：

(3）接入交换机S3700-2上所做配置与s3700-1类似。

(4）接入交换机S3700-3配置：

其中：

(5）接入交换机S3700-4上所做配置与s3700-1、S3700-2类似。

2.方案2的实现

采用交换机管理IP集中在一个VLAN中思路是：创建一个管理交换机管理IP地址的VLAN，多分配一个网段，并在核心交换机上配置该VLAN的网关，其它交换机上添加这个管理VLAN，配置位于该VLAN内的网段的IP地址且默认路由指向核心交换机中该VLAN的地址。

假设：用于管理交换机IP地址的VLAN ID为200，网段192.168.200.0/24，网 关192.168.200.254。S5700的 管 理 IP为192.168.200.254；S3700-1的 管 理 IP 为 192.168.200.1；S3700-2的管理IP为192.168.200.2；S3700-3的管理IP为192.168.200.3；S3700-4的管理IP为192.168.200.4。

（1） 核心交换机S5700配置：

为了能让VLAN 200的管理VLAN能通行，必须在GigabitEthernet0/0/1-3端口都放行VLAN200。

（2） 接入交换机S3700-1配置：

在GigabitEthernet 0/0/1除了放行VLAN 10还要放行管理VLAN 200。

（3）接入交换机S3700-2上所做配置与s3700-1类似。

（4）接入交换机S3700-3配置：

因为VLAN 40“借道”S3700-3，因此S3700-3的GigabitEthernet 0/0/1端口要放行的除了VLAN 200的管理端口还要放行VLAN 40。

(5）接入交换机S3700-4上所做配置与s3700-1、S3700-2类似。

五、总结

方案1的配置难度比方案2小，但是方案2将管理IP集中一个VLAN管理，可以更好的提高交换机管理的安全性，依托VLAN的优势在后续做更多的安全策略。