【实战】学校中考电脑阅卷任务网络配置方案

• 点击查看更多→【项目实战】

一、项目背景与需求

某校计算机系承办市级中考电脑阅卷任务，根据市教育局要求，需满足以下网络需求：

• 提供 400 台客户端电脑（分布在 7 间机房，分属 4 个 IP 网段）供改卷教师使用；

• 配置 4 台高性能服务器，供所有客户端电脑访问；

• 核心安全要求

  4 个网段的客户端电脑之间禁止互访，但均需能访问 4 台服务器；

• 实现方式：通过三层交换机配置满足上述需求，网络拓扑参考图 13-7。

二、网络拓扑与资源分配

1. 端口与设备连接方案

三层交换机端口与机房 / 服务器的连接对应关系如下：

2. IP 地址与 VLAN 分配方案

为实现网段隔离与服务器访问需求，IP 地址及 VLAN 规划如下表：

三、三层交换机配置步骤（以思科 3560 为例）

1. 基础配置与 VLAN 创建

通过划分 VLAN 实现物理网段的逻辑隔离，步骤如下：

bash

Switch> enable                // 进入特权模式
Switch# configure terminal    // 进入全局配置模式
Switch(config)# hostname 3560 // 重命名交换机为3560

// 创建5个VLAN（对应4个客户端网段+1个服务器网段）
3560(config)# vlan 10         // 创建VLAN 10（机房一、二）
3560(config-vlan)# vlan 20    // 创建VLAN 20（机房三、四）
3560(config-vlan)# vlan 30    // 创建VLAN 30（机房五、六）
3560(config-vlan)# vlan 40    // 创建VLAN 40（机房七）
3560(config-vlan)# vlan 50    // 创建VLAN 50（服务器）
3560(config-vlan)# exit       // 退出VLAN配置模式

2. 端口划分至对应 VLAN

将交换机端口分配到上述 VLAN，确保同一机房 / 服务器的设备处于同一 VLAN：

bash

// 机房一、二对应端口（F0/1-F0/5）加入VLAN 10
3560(config)# interface range fastethernet 0/1 - 0/5  
3560(config-if-range)# switchport mode access       // 设置端口为Access模式（仅允许所属VLAN流量）
3560(config-if-range)# switchport access vlan 10    // 分配至VLAN 10
3560(config-if-range)# exit                         // 退出端口配置

// 机房三、四对应端口（F0/6-F0/10）加入VLAN 20
3560(config)# interface range fastethernet 0/6 - 0/10  
3560(config-if-range)# switchport mode access  
3560(config-if-range)# switchport access vlan 20  
3560(config-if-range)# exit  

// 机房五、六对应端口（F0/11-F0/15）加入VLAN 30
3560(config)# interface range fastethernet 0/11 - 0/15  
3560(config-if-range)# switchport mode access  
3560(config-if-range)# switchport access vlan 30  
3560(config-if-range)# exit  

// 机房七对应端口（F0/16-F0/20）加入VLAN 40
3560(config)# interface range fastethernet 0/16 - 0/20  
3560(config-if-range)# switchport mode access  
3560(config-if-range)# switchport access vlan 40  
3560(config-if-range)# exit  

// 服务器对应端口（F0/21-F0/22）加入VLAN 50
3560(config)# interface range fastethernet 0/21 - 0/22  
3560(config-if-range)# switchport mode access  
3560(config-if-range)# switchport access vlan 50  // 修正原文笔误“switchporta ccess”
3560(config-if-range)# exit  

3. 启用路由功能并配置 VLAN IP（网关）

三层交换机需启用路由功能，同时为各 VLAN 配置 IP 地址（作为对应网段的网关）：

bash

// 启用路由功能（三层交换机核心功能，实现VLAN间通信控制）
3560(config)# no ip domain-lookup  // 关闭DNS解析（避免无效域名查询）
3560(config)# ip routing           // 启用IP路由功能

// 配置VLAN 10的IP（机房一、二的网关）
3560(config)# interface vlan 10  
3560(config-if)# ip address 192.168.7.254 255.255.255.0  
3560(config-if)# no shutdown       // 启用端口
3560(config-if)# exit  

// 配置VLAN 20的IP（机房三、四的网关）
3560(config)# interface vlan 20  
3560(config-if)# ip address 192.168.8.254 255.255.255.0  
3560(config-if)# no shutdown  
3560(config-if)# exit  

// 配置VLAN 30的IP（机房五、六的网关）
3560(config)# interface vlan 30  
3560(config-if)# ip address 192.168.10.254 255.255.255.0  
3560(config-if)# no shutdown  
3560(config-if)# exit  

// 配置VLAN 40的IP（机房七的网关）
3560(config)# interface vlan 40  
3560(config-if)# ip address 192.168.11.254 255.255.255.0  
3560(config-if)# no shutdown  
3560(config-if)# exit  

// 配置VLAN 50的IP（服务器的网关）
3560(config)# interface vlan 50  
3560(config-if)# ip address 192.168.12.254 255.255.255.0  
3560(config-if)# no shutdown  
3560(config-if)# exit  

4. 创建访问控制列表（ACL）

通过 ACL 限制客户端网段间的互访，但允许所有客户端访问服务器（192.168.12.0/24）：

ACL 作用说明

访问控制列表（ACL）是一组规则，用于允许或拒绝特定流量通过接口。本方案通过 ACL 实现 “客户端网段互斥、但均能访问服务器” 的需求。

具体 ACL 配置

bash

// 规则1：拒绝VLAN 10（192.168.7.0/24）访问其他客户端网段（8/10/11网段），允许访问服务器及其他流量
3560(config)# access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255  
3560(config)# access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.10.0 0.0.0.255  
3560(config)# access-list 101 deny ip 192.168.7.0 0.0.0.255 192.168.11.0 0.0.0.255  
3560(config)# access-list 101 permit ip any any  // 允许访问服务器（192.168.12.0/24）及其他流量

// 规则2：拒绝VLAN 20（192.168.8.0/24）访问其他客户端网段（7/10/11网段）
3560(config)# access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.7.0 0.0.0.255  
3560(config)# access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255  
3560(config)# access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.11.0 0.0.0.255  
3560(config)# access-list 102 permit ip any any  

// 规则3：拒绝VLAN 30（192.168.10.0/24）访问其他客户端网段（7/8/11网段）
3560(config)# access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.7.0 0.0.0.255  
3560(config)# access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.8.0 0.0.0.255  
3560(config)# access-list 103 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255  
3560(config)# access-list 103 permit ip any any  

// 规则4：拒绝VLAN 40（192.168.11.0/24）访问其他客户端网段（7/8/10网段）
3560(config)# access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.7.0 0.0.0.255  
3560(config)# access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.8.0 0.0.0.255  
3560(config)# access-list 104 deny ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255  
3560(config)# access-list 104 permit ip any any  

5. 应用 ACL 至 VLAN 接口

将上述 ACL 规则应用到对应 VLAN 的接口，实现流量控制：

bash

// VLAN 10应用ACL 101
3560(config)# interface vlan 10  
3560(config-if)# ip access-group 101 in  // 对进入VLAN 10的流量生效
3560(config-if)# exit  

// VLAN 20应用ACL 102
3560(config)# interface vlan 20  
3560(config-if)# ip access-group 102 in  
3560(config-if)# exit  

// VLAN 30应用ACL 103
3560(config)# interface vlan 30  
3560(config-if)# ip access-group 103 in  
3560(config-if)# exit  

// VLAN 40应用ACL 104
3560(config)# interface vlan 40  
3560(config-if)# ip access-group 104 in  
3560(config-if)# exit  

// 保存配置（避免重启后丢失）
3560# write memory  // 或简写为“wr”

四、配置验证测试

通过以下测试验证配置是否满足需求：

1. 机房一、二（192.168.7.0/24）：

   • 无法 Ping 通 192.168.8.0/24、192.168.10.0/24、192.168.11.0/24 网段；
   • 可正常 Ping 通 192.168.12.0/24（服务器）。

2. 机房三、四（192.168.8.0/24）：

   • 无法 Ping 通 192.168.7.0/24、192.168.10.0/24、192.168.11.0/24 网段；
   • 可正常 Ping 通 192.168.12.0/24（服务器）。

3. 机房五、六（192.168.10.0/24）：

   • 无法 Ping 通 192.168.7.0/24、192.168.8.0/24、192.168.11.0/24 网段；
   • 可正常 Ping 通 192.168.12.0/24（服务器）。

4. 机房七（192.168.11.0/24）：

   • 无法 Ping 通 192.168.7.0/24、192.168.8.0/24、192.168.10.0/24 网段；
   • 可正常 Ping 通 192.168.12.0/24（服务器）。

结论：若上述测试均通过，说明三层交换机配置满足项目需求，可保障中考阅卷任务的网络安全与稳定运行。