組網需求：某公司新建網絡，有路由器、核心交換機、POE交換機、無線設備（AP、AC）等銳捷設備，內網涉及到有線辦公網絡、無線辦公網絡、財務專用網絡、監控網絡等。整網

需求如下：

1、要求將有線辦公網絡、無線辦公網絡、財務專用網絡、監控網絡區分開；

2、有線辦公網絡、無線辦公網絡的用戶需要自動獲取IP，財務專用網絡、監控網絡的用戶配置靜態IP；

3、只允許有線辦公網絡可以訪問財務網絡，其余網絡之間均可以互訪；

網絡拓撲如下：

網絡規劃：

交換機管理VLAN 10：192.168.10.0/24

AP管理 VLAN 20：192.168.20.0/24

無線用戶 VLAN 30： 192.168.30.0 /24

辦公網絡 VLAN 40： 192.168.40.0 /24

財務網絡 VLAN 50： 192.168.50.0/24

監控網絡 VLAN 60： 192.168.60.0/24

配置思路：

1.配置出口路由器并寫回程路由；

2.配置核心交換機

1）VLAN及SVI配置：創建對應的VLAN ，并且針對每個VLAN創建對應的三層接口（SVI口）并配置IP；

2）接口配置：

2.1）AC（無線控制器）是直連在核心交換機上的，核心交換機和AC（無線控制器）互聯接口配置為TRUNK（案例中為G0/1口），并對TRUNK進行修剪，只允許必要的VLAN通過：

2.2）核心交換機和監控服務器互聯的接口（案例中為G0/2口），配置為ACCESS接口，并劃分到對應VLAN：

2.3）核心交換機與接入交換機互聯的接口（案例中為G0/3口），配置成TRUNK接口，并對TRUNK接口進行修剪，只允許必要的VLAN通過：

2.4）核心交換機和出口路由器互聯的接口配置為No Switchport口（案例中為G0/24口），并配置IP；

3）路由配置：核心交換機上配置默認路由，下一跳為出口網關設備與核心交換機互連接口的IP；

4）Telnet登錄管理配置：核心交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

5）DHCP配置：核心交換機上配置DHCP功能，為用戶動態分配地址；

6）ACL配置：核心交換機上通過配置ACL，只允許有線辦公網絡訪問財務網絡，其余網絡之間均可以互訪；

3.配置接入層交換機

1）VLAN及SVI配置：創建對應的VLAN，并且針對管理VLAN創建對應的三層接口（SVI口）并配置IP；

2）接口配置：

2.1）接入交換機與核心交換機互聯的接口（案例中為G0/24口），配置成TRUNK接口，并對TRUNK接口進行修剪，只允許必要的VLAN通過；

2.2）接入交換機連接辦公（案例中為G0/1-6）、財務（案例中為G0/7-12）、監控等終端的接口（G0/13），配置為ACCESS接口，并劃分到對應VLAN；

2.3）接入交換機與無線AP互聯接口的配置，會因為無線AP是本地轉發還是集中轉發模式而有所區別：

2.3.1）本地轉發，無線AP的接口（G0/14-20）配置為TRUNK接口，Native VLAN為無線管理網段VLAN，對TRUNK進行VLAN裁剪，只允許無線AP管理VLAN（VLAN20）及無線用戶VLAN（VLAN30）通過；

2.3.2）集中轉發，無線AP的接口（G0/14-20）配置為ACCESS接口，ACCESS接口對應的VLAN為無線AP管理VLAN20；

3）接入交換機上配置默認路由，下一跳為核心交換機與接入交換機互連接口管理VLAN的地址（即核心交換機上SVI10的IP地址）；

4）Telnet登錄管理配置：接入交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

4.AP和AC配置

具體配置如下：

出口路由器配置：

Ruijie(config)#int g0/1

Ruijie(config-if-GigabitEthernet 0/1)#ip address 10.10.10.1 255.255.255.0

Ruijie(config-if-GigabitEthernet 0/1)#exit

Ruijie(config)# ip route 192.168.0.0 255.255.0.0 10.10.10.2 //配置回程路由

核心交換機配置：

1）創建對應的VLAN ，并且針對每個VLAN創建對應的三層接口（SVI口）并配置IP：

Ruijie>en

Ruijie# conf t

Ruijie(config)#vlan 10 //創建交換機管理VLAN，VLAN10

Ruijie(config-vlan)#vlan 20 //創建AP管理VLAN，VLAN20

Ruijie(config-vlan)#vlan 30 //創建無線用戶VLAN，VLAN30

Ruijie(config-vlan)#vlan 40 //創建辦公網絡VLAN，VLAN40

Ruijie(config-vlan)#vlan 50 //創建財務網絡VLAN，VLAN50

Ruijie(config-vlan)#vlan 60 //創建監控網絡VLAN，VLAN60

Ruijie(config-vlan)#int vlan 10 //針對交換機管理VLAN創建對應的三層接口（SVI口）并配置IP 192.168.10.1/24

Ruijie(config-if-VLAN 10)#ip add 192.168.10.1 255.255.255.0

Ruijie(config-if-VLAN 10)#exit

Ruijie(config)#int vlan 20 //針對AP管理VLAN創建對應的三層接口（SVI口）并配置IP 192.168.20.1/24

Ruijie(config-if-VLAN 20)#ip add 192.168.20.1 255.255.255.0

Ruijie(config-if-VLAN 20)#int vlan 30 //針對無線用戶VLAN創建對應的三層接口（SVI口）并配置IP 192.168.30.1/24

Ruijie(config-if-VLAN 30)#ip add 192.168.30.1 255.255.255.0

Ruijie(config-if-VLAN 30)#int vlan 40 //針對辦公網絡VLAN創建對應的三層接口（SVI口）并配置IP 192.168.40.1/24

Ruijie(config-if-VLAN 40)#ip add 192.168.40.1 255.255.255.0

Ruijie(config-if-VLAN 40)#int vlan 50 //針對財務網絡VLAN創建對應的三層接口（SVI口）并配置IP 192.168.50.1/24

Ruijie(config-if-VLAN 50)#ip add 192.168.50.1 255.255.255.0

Ruijie(config-if-VLAN 50)#int vlan 60 //針對監控網絡VLAN創建對應的三層接口（SVI口）并配置IP 192.168.60.1/24

Ruijie(config-if-VLAN 60)#ip add 192.168.60.1 255.255.255.0

Ruijie(config-if-VLAN 60)#exit

2）接口配置：

2.1）AC（無線控制器）是直連在核心交換機上的，核心交換機和AC（無線控制器）互聯接口配置為TRUNK（案例中為G0/1口），并對TRUNK進行修剪，只允許必要的VLAN通過：

Ruijie(config)#int g0/1

Ruijie(config-if-GigabitEthernet 0/1)#switchport mode trunk //將與AC（無線控制器）互聯接口G0/1配置為TRUNK

Ruijie(config-if-GigabitEthernet 0/1)# switchport trunk allowed vlan remove 1-9,11-19,21-29,31-39,41-49,51-59,61-4094

//TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許VLAN10,20,30,40,50,60通過

Ruijie(config-if-GigabitEthernet 0/1)#exit

2.2）核心交換機和監控服務器互聯的接口（案例中為G0/2口），配置為ACCESS接口，并劃分到對應VLAN：

Ruijie(config)#int g0/2

Ruijie(config-if-GigabitEthernet 0/2)#switchport mode access //將與監控服務器互聯的接口G0/2配置為ACCESS

Ruijie(config-if-GigabitEthernet 0/2)# switchport access vlan 60 //將與監控服務器互聯的接口G0/2劃入VLAN 60

Ruijie(config-if-GigabitEthernet 0/2)#exit

2.3）核心交換機與接入交換機互聯的接口（案例中為G0/3口），配置成TRUNK接口，并對TRUNK接口進行修剪，只允許必要的VLAN通過：

Ruijie(config)#int g0/3

Ruijie(config-if-GigabitEthernet 0/3)#switchport mode trunk //將與接入交換機互聯的接口G0/1配置為TRUNK

Ruijie(config-if-GigabitEthernet 0/3)# switchport trunk allowed vlan remove 1-9,11-19,21-29,31-39,41-49,51-59,61-4094

//TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許VLAN10,20,30,40,50,60通過

Ruijie(config-if-GigabitEthernet 0/1)#exit

2.4）核心交換機和出口路由器互聯的接口配置為No Switchport（案例中為G0/24口），并配置IP：

Ruijie(config)#int g0/24 //上聯口連接路由器的接口

Ruijie(config-if-GigabitEthernet 0/24)#no switchport //將與口路由器互聯的接口G0/24配置為No Switchport

Ruijie(config-if-GigabitEthernet 0/24)#ip add 10.10.10.2 255.255.255.0 //將與口路由器互聯的接口G0/24配置IP 10.10.10.2/24

Ruijie(config-if-GigabitEthernet 0/24)#exit

3）路由配置：核心交換機上配置默認路由，下一跳為出口網關設備與核心交換機互連接口的IP：

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1 //配置默認路由，下一跳為出口網關設備與核心交換機互連接口的IP10.10.10.1

4）Telnet登錄管理配置：核心交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

Ruijie(config)#enable password ruijie //配置Enable密碼為ruijie

Ruijie(config)#line vty 0 4

Ruijie(config-line)#password ruijie //配置Telnet密碼為ruijie

Ruijie(config-line)#exit

4）DHCP配置：核心交換機上配置DHCP功能，為用戶動態分配地址：

Ruijie(config)#service dhcp //啟用DHCP務

Ruijie(config)#ip dhcp pool AP //為AP的管理網段創建DHCP地址池，名字為AP，該地址池中需要配置option，不需要配置DNS

Ruijie(dhcp-config)#option 138 ip 1.1.1.1 //這里的1.1.1.1為AC上與AP建立隧道的地址

Ruijie(dhcp-config)#network 192.168.20.0 255.255.255.0 //為AP的管理網段動態分配192.168.20.0/24網段的地址

Ruijie(dhcp-config)#default-router 192.168.20.1 //AP管理網段的網關地址為192.168.20.1

Ruijie(dhcp-config)#exit

Ruijie(config)#ip dhcp pool WIFI //為無線用戶創建DHCP地址池，名字為WIFI

Ruijie(dhcp-config)#network 192.168.30.0 255.255.255.0 //為無線用戶動態分配192.168.30.0/24網段的地址

Ruijie(dhcp-config)#dns-server 114.114.114.114 8.8.8.8 //為無線用戶分配2個DNS地址，分別為114.114.114.114和8.8.8.8

Ruijie(dhcp-config)#default-router 192.168.30.1 //無線用戶的網關地址為192.168.30.1

Ruijie(dhcp-config)#exit

Ruijie(config)#ip dhcp pool youxian //為有線用戶創建DHCP地址池，名字為youxian

Ruijie(dhcp-config)#network 192.168.40.0 255.255.255.0 //為有線用戶動態分配192.168.40.0/24網段的地址

Ruijie(dhcp-config)#dns-server 114.114.114.114 8.8.8.8 //為有線用戶分配2個DNS地址，分別為114.114.114.114和8.8.8.8

Ruijie(dhcp-config)#default-router 192.168.40.1 //有線用戶的網關地址為192.168.40.1

Ruijie(dhcp-config)#exit

5）ACL配置：核心交換機上通過配置ACL，只允許有線辦公網絡訪問財務網絡，其余網絡之間均可以互訪；

Ruijie(config)#ip access-list extended 100 //創建擴展訪問控制列表，ACL列表名為100

Ruijie(config-ext-nacl)#deny ip 192.168.50.0 0.0.0.255 192.168.20.0 0.0.0.255 //阻斷財務網段192.168.50.0/24和AP網段192.168.20.0/24互訪

Ruijie(config-ext-nacl)#deny ip 192.168.50.0 0.0.0.255 192.168.30.0.0 0.0.0.255 //阻斷財務網段192.168.50.0/24和無線網段192.168.30.0/24互訪

Ruijie(config-ext-nacl)#deny ip 192.168.50.0 0.0.0.255 192.168.60.0 0.0.0.255 //阻斷財務網段192.168.50.0/24和監控網段192.168.60.0/24互訪

Ruijie(config-ext-nacl)#permit ip any any //放通其他所有流量

Ruijie(config-ext-nacl)#exit

Ruijie(config)#int vlan 50

Ruijie(config-if-VLAN 50)#ip access-group 100 in //在SVI 50（財務網絡網關）的in方向調用ACL100

接入層交換機配置：

1）VLAN及SVI配置：創建對應的VLAN，并且針對管理VLAN創建對應的三層接口（SVI口）并配置IP；

Ruijie>en

Ruijie# conf t

Ruijie(config)#vlan 10 //創建交換機管理VLAN，VLAN10

Ruijie(config-vlan)#vlan 20 //創建AP管理VLAN，VLAN20

Ruijie(config-vlan)#vlan 30 //創建無線用戶VLAN，VLAN30

Ruijie(config-vlan)#vlan 40 //創建辦公網絡VLAN，VLAN40

Ruijie(config-vlan)#vlan 50 //創建財務網絡VLAN，VLAN50

Ruijie(config-vlan)#vlan 60 //創建監控網絡VLAN，VLAN60

Ruijie(config-vlan)#exit

Ruijie(config)#int vlan 10 //針對交換機管理VLAN創建對應的三層接口（SVI口）并配置IP 192.168.10.1/24

Ruijie(config-if-VLAN 10)#ip add 192.168.10.2 255.255.255.0

Ruijie(config-if-VLAN 10)#exit

2）接口配置：

2.1）接入交換機與核心交換機互聯的接口，配置成TRUNK接口（案例中為G0/24口），，并對TRUNK接口進行修剪，只允許必要的VLAN通過：

Ruijie(config)#int g0/24

Ruijie(config-if-GigabitEthernet 0/24)#switchport mode trunk //將與接入交換機互聯的接口G0/1配置為TRUNK

Ruijie(config-if-GigabitEthernet 0/24)# switchport trunk allowed vlan remove 1-9,11-19,21-29,31-39,41-49,51-59,61-4094

//TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許VLAN10,20,30,40,50,60通過

Ruijie(config-if-GigabitEthernet 0/24)#exit

2.2）接入交換機連接辦公（案例中為G0/1-6）、財務（案例中為G0/7-12）、監控等終端的接口（G0/13），配置為ACCESS接口，并劃分到對應VLAN：

Ruijie(config)#interface range gigabitEthernet 0/1-6 //批量化配置接口，G0/1-6口是連接辦公終端的，將G0/1-6口都配置為ACCESS口，并劃入VLAN40

Ruijie(config-if-range)#switchport mode access //將G0/1-6口都配置為ACCESS口，用來連接辦公終端

Ruijie(config-if-range)#switchport access vlan 40 //將與辦公終端互聯的接口G0/1-6口劃入VLAN 40

Ruijie(config-if-range)#exit

Ruijie(config)#interface range gigabitEthernet 0/7-12 //批量化配置接口，G0/7-12口是連接財務終端的，將G0/7-12口都配置為ACCESS口，并劃入VLAN50

Ruijie(config-if-range)#switchport mode access //將G0/7-12口都配置為ACCESS口，用來連接財務終端的

Ruijie(config-if-range)#switchport access vlan 50 //將與財務終端的互聯的接口G0/7-12口劃入VLAN 50

Ruijie(config-if-range)#exit

Ruijie(config)#interface gigabitEthernet 0/13 //G0/13口是連接監控終端的，將G0/13口都配置為ACCESS口，并劃入VLAN60

Ruijie(config-if)#switchport mode access //將G0/13口都配置為ACCESS口，用來連接監控終端

Ruijie(config-if)#switchport access vlan 60 //將與監控終端互聯的接口G0/13口劃入VLAN 60

Ruijie(config-if)#exit

2.3）接入交換機與無線AP互聯接口的配置，會因為無線AP是本地轉發還是集中轉發模式而有所區別：

2.3.1）本地轉發，無線AP的接口（G0/14-20）配置為TRUNK接口，Native VLAN為無線管理網段VLAN，對TRUNK進行VLAN裁剪，只允許無線AP管理VLAN及無線用戶VLAN通過

Ruijie(config)#interface range gigabitEthernet 0/14-20 //批量化配置接口，G0/14-20口是連接無線AP的

Ruijie(config-if-range)#switchport mode trunk //將與無線AP的接口（G0/14-20）配置為TRUNK接口

Ruijie(config-if-range)#switchport trunk native vlan 20 //將TRUNK的Native VLAN修改為無線管理網段VLAN 20

Ruijie(config-if-range)#switchport trunk allowed vlan remove 1-19,21-29,31-4094

//TRUNK默認允許VLAN 1-4094通過，對TRUNK進行修剪，只允許無線AP管理VLAN20及無線用戶VLAN30通過

Ruijie(config-if-range)#exit

2.3.2）集中轉發，無線AP的接口（G0/14-20）配置為ACCESS接口，ACCESS接口對應的VLAN為無線AP管理VLAN20

Ruijie(config)#interface range gigabitEthernet 0/14-20 //批量化配置接口，G0/14-20口是連接無線AP的

Ruijie(config-if-range)#switchport mode access //將與無線AP的接口（G0/14-20）配置為ACCESS接口

Ruijie(config-if-range)#switchport access vlan 20 //將與無線AP互聯接口（G0/14-20）劃入VLAN20

Ruijie(config-if-range)#exit

3）路由配置：接入交換機上配置默認路由，下一跳為核心交換機與接入交換機互連接口管理VLAN的地址（即核心交換機上SVI10的IP地址）；

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1 //配置默認路由，下一跳為出口網關設備與核心交換機互連接口的IP192.168.10.1

4）Telnet登錄管理配置：接入交換機上配置Enable密碼，同時配置VTY等讓交換機可以被Telnet登錄管理；

Ruijie(config)#enable password ruijie //配置Enable密碼為ruijie

Ruijie(config)#line vty 0 4

Ruijie(config-line)#password ruijie //配置Telnet密碼為ruijie

Ruijie(config-line)#exit