Mikrotik Ros + 华为S5720 基于Vlan做L2 L3互通

本文详细介绍了基于Ros的二层网络、服务器公网及内部通讯的Vlan配置,以及远程管理IPMI的网络设置。通过交换机和路由器的具体配置示例,展示了不同网络间的互访实现,并通过ping和traceroute等测试验证了网络连通性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基本拓扑+接线如下图:
Mikrotik Ros + 华为S5720 基于Vlan做L2 L3互通

需求说明:
1:基于Ros的二层网络是10.0.0.0/8
2:服务器出公网用的是Vlan2002的172.30.0.0/21
3:服务器内部通讯的是基于openstack的虚拟vlan
4:服务器的远程管理IPMI用的是Vlan2000的172.16.0.0/21
5:10.0.0.0/8不基于网关NAT的方式可以访问172.30.0.0/21、172.16.0.0/21和openstack的虚拟vlan
6:172.30.0.0/21可以访问公网

实现:
下面来看看交换机配置:

001

002

003

004

005

006

007

008

009

010

011

012

013

014

015

016

017

018

019

020

021

022

023

024

025

026

027

028

029

030

031

032

033

034

035

036

037

038

039

040

041

042

043

044

045

046

047

048

049

050

051

052

053

054

055

056

057

058

059

060

061

062

063

064

065

066

067

068

069

070

071

072

073

074

075

076

077

078

079

080

081

082

083

084

085

086

087

088

089

090

091

092

093

094

095

096

097

098

099

100

101

102

103

104

<guang1>dis cu

!Software Version V200R010C00SPC600

#

sysname guang1

#

dns server 8.8.4.4

#

vlan batch 20 2002

#

authentication-profile name default_authen_profile

authentication-profile name dot1x_authen_profile

authentication-profile name mac_authen_profile

authentication-profile name portal_authen_profile

authentication-profile name dot1xmac_authen_profile

authentication-profile name multi_authen_profile

#

telnet server enable

#

dhcp enable

#

diffserv domain default

#

radius-server template default

#

free-rule-template name default_free_rule

#                                        

portal-access-profile name portal_access_profile

#

drop-profile default

#

aaa

 authentication-scheme default

 authentication-scheme radius

  authentication-mode radius

 authorization-scheme default

 accounting-scheme default

 domain default

  authentication-scheme radius

  radius-server default

 domain default_admin

  authentication-scheme default

 local-user dtkj password irreversible-cipher $1a$;RN_-p,t*($)+qu.M9&&D[N(CL$I!Y3M/E<5D'N4.AM+zBv$\7%$

 local-user dtkj privilege level 15

 local-user dtkj service-type telnet

 local-user admin password irreversible-cipher $1a$RN<m::9hcL$y5IkSR|tG75vsR-zY+3W;>qd'0SjRXBv0hF)>qiS$

 local-user admin privilege level 15

 local-user admin service-type telnet terminal ssh ftp http

#

interface Vlanif2001

#

interface Vlanif2002

 ip address 172.30.0.1 255.255.248.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8 8.8.4.4

#

interface MEth0/0/1

#

interface XGigabitEthernet0/0/1

 port link-type access

 port default vlan 2002

#

interface XGigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

#

interface XGigabitEthernet0/0/3

 port link-type access

 port default vlan 2002

#

interface XGigabitEthernet0/0/4

 port link-type trunk                    

 port trunk allow-pass vlan 2 to 4094

#

interface XGigabitEthernet0/0/48

 port link-type trunk

 port trunk allow-pass vlan 2001 to 2002

#

interface 40GE0/0/1

#

interface 40GE0/0/2

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 172.30.0.2

ip route-static 192.168.1.0 255.255.255.0 192.168.1.2

#

snmp-agent

snmp-agent local-engineid 800007DB03E868196600D0

snmp-agent community write cipher %^%#ia)*T\GFPJH&r6P{_m84D=Q+GZio"Dh=`9!#vkJDgBoK>Dzj#/|m=F1-LLP8lhdRF~5%K*=T[N/V|h51%^%#

snmp-agent sys-info version all

#                                        

user-interface con 0

 authentication-mode none

user-interface vty 0 4

 authentication-mode aaa

 protocol inbound telnet

user-interface vty 16 20

#

dot1x-access-profile name dot1x_access_profile

#

mac-access-profile name mac_access_profile

#

return

<guang1>

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

<dian1>dis cu

!Software Version V200R008C00SPC500

#

sysname dian1

#

vlan batch 20 2000 to 2002

#

telnet server enable

#

dhcp enable

#

diffserv domain default

#

drop-profile default

#

aaa

 authentication-scheme default

 authorization-scheme default

 accounting-scheme default

 domain default

 domain default_admin

 local-user dtkj password irreversible-cipher %^%#Jx}+C6=[U6b,W>U_OE$R3jjpAlo"_~Jx1a,9}^=G5=9RAv]g+#6a7q1Pq0iT%^%#

 local-user dtkj privilege level 3

 local-user dtkj service-type telnet

 local-user admin password irreversible-cipher %^%#SvtvT:'|V(Fi)2;ZWDa.OxT<<^VXsU]B&*H:fYy<yh>V7N8n44;kqXWI_<h6%^%#

 local-user admin privilege level 15     

 local-user admin service-type http

 local-user lookback password irreversible-cipher %^%#G!->B12MkNo/<|)TH\a4SCs]Kxr`^#vx'%0'i"NYFV->Vd}W=%~]x!Q$0,`<%^%#

 local-user lookback privilege level 15

 local-user lookback service-type telnet terminal http

#

interface Vlanif2000

 ip address 172.16.0.1 255.255.248.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8 8.8.4.4

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 2000

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 2000

#

interface GigabitEthernet0/0/3           

 port link-type access

 port default vlan 2000

#

interface GigabitEthernet0/0/17

 port link-type access

 port default vlan 2000

#

interface GigabitEthernet0/0/18

 port link-type access

 port default vlan 2000

#

interface XGigabitEthernet0/0/4

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 172.16.0.2

#

snmp-agent

snmp-agent local-engineid 800007DB03AC617573A580

snmp-agent community write cipher %^%#gTC"=0T.=)$f`nY_,613=dfYE.392S=fvHR9@a)+E"<7QMsR^>}bJ*/Wd$47wLr926*|*UN&~GKM,i+.%^%#

snmp-agent sys-info version all

#                                        

user-interface con 0

user-interface vty 0 4

 authentication-mode aaa

 protocol inbound telnet

user-interface vty 16 20

#

wlan

#

return

<dian1>

下面是路由ROS的配置

01

02

03

04

05

06

07

08

09

10

11

12

/interface vlan

add interface=ether2 name=vlan2000 vlan-id=2000

add interface=ether1 name=vlan2002 vlan-id=2002

/ip address

add address=172.30.0.2/16 interface=vlan2002 network=172.30.0.0

add address=172.16.0.2/21 interface=vlan2000 network=172.16.0.0

/ip firewall mangle

add action=accept chain=prerouting dst-address=172.16.0.0/21

add action=accept chain=prerouting dst-address=172.30.0.0/21

/ip firewall nat

add action=accept chain=srcnat comment="Vlan2000-172.16.0.0/21-L3-\B5\E71" dst-address=172.16.0.0/21 src-address=10.0.0.0/8 to-addresses=172.16.0.2

add action=accept chain=srcnat comment="Vlan2002-172.30.0.0/21-L3-\B9\E21" dst-address=172.30.0.0/21 src-address=10.0.0.0/8 to-addresses=172.30.0.2

做好了就可以来测试了

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

[lookback@LookBack-iMac ~]$ traceroute -n 172.30.7.1

traceroute to 172.30.7.1 (172.30.7.1), 64 hops max, 52 byte packets

 1  10.0.0.1  0.894 ms  0.287 ms  0.460 ms

 2  172.30.7.1  0.497 ms !Z  0.554 ms !Z  0.478 ms !Z

[lookback@LookBack-iMac ~]$ ping -t1 -c2 172.30.7.1

PING 172.30.7.1 (172.30.7.1): 56 data bytes

64 bytes from 172.30.7.1: icmp_seq=0 ttl=63 time=0.482 ms

 

--- 172.30.7.1 ping statistics ---

2 packets transmitted, 1 packets received, 50.0% packet loss

round-trip min/avg/max/stddev = 0.482/0.482/0.482/0.000 ms

[lookback@LookBack-iMac ~]$ ssh root@172.30.7.1

Last login: Tue Aug 21 03:29:08 2018 from 10.0.1.201

[root@ceph-master ~]# w

 01:15:26 up 2 days, 20:29,  2 users,  load average: 0.00, 0.00, 0.00

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

root     tty1                       һ04    2days  0.72s  0.72s -bash

root     pts/0    10.10.248.105    01:15    2.00s  0.05s  0.00s w

[root@ceph-master ~]# exit

Connection to 172.30.7.1 closed.

[lookback@LookBack-iMac ~]$

从上面可以看出10.0.0.0/8 访问172.30.0.0/21是没有问题了,172.16.0.0/21这里的验证就不做了,因为和30没有任何区别

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

[root@DS-VM-Node_172_30_7_9 ~]# ping -W1 -c2 8.8.8.8

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

64 bytes from 8.8.8.8: icmp_seq=1 ttl=45 time=130 ms

64 bytes from 8.8.8.8: icmp_seq=2 ttl=45 time=76.7 ms

 

--- 8.8.8.8 ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 1001ms

rtt min/avg/max/mdev = 76.721/103.717/130.713/26.996 ms

[root@DS-VM-Node_172_30_7_9 ~]# ping -W1 -c2 10.10.248.105

PING 10.10.248.105 (10.10.248.105) 56(84) bytes of data.

64 bytes from 10.10.248.105: icmp_seq=1 ttl=63 time=0.367 ms

64 bytes from 10.10.248.105: icmp_seq=2 ttl=63 time=0.365 ms

 

--- 10.10.248.105 ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 1037ms

rtt min/avg/max/mdev = 0.365/0.366/0.367/0.001 ms

[root@DS-VM-Node_172_30_7_9 ~]#

从上面可以看出172.30.0.0/21 出公网和到ROS的二层网是没有问题

1

2

3

4

5

6

7

8

9

[root@DS-VM-Node_172_30_7_9 ~]# ping -W1 -c2 172.16.7.13

PING 172.16.7.13 (172.16.7.13) 56(84) bytes of data.

64 bytes from 172.16.7.13: icmp_seq=1 ttl=62 time=5.48 ms

64 bytes from 172.16.7.13: icmp_seq=2 ttl=62 time=0.607 ms

 

--- 172.16.7.13 ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 1001ms

rtt min/avg/max/mdev = 0.607/3.044/5.482/2.438 ms

[root@DS-VM-Node_172_30_7_9 ~]#

从上面可以看出172.30.0.0/21和172.16.0.0/21的Vlan间互通也是没有问题的

<think>好的,我现在需要帮用户规划智能家居无线网络的拓扑图,并给出设备型号和详细配置过程。首先,用户之前已经了解了如何按功能划分VLAN,现在需要具体的设备选型和配置步骤,可能还需要拓扑案例或草稿。 用户可能对网络设备不太熟悉,需要推荐合适的家用或中小型企业级设备,比如华为、H3C、TP-Link这些常见品牌。考虑到智能家居设备数量,设备型号应该能够支持多个VLAN和SSID,以及足够的端口和无线性能。 需要确定核心设备,比如路由器和交换机的型号,以及无线AP的选择。例如,华为的AR系列路由器,S系列交换机,以及AC控制器和AP。还要考虑PoE交换机为AP供电,特别是如果AP安装在屋顶或墙壁,不方便接电源的话。 接下来是拓扑结构的设计。通常智能家居网络会有一个主路由器连接光猫,下接核心交换机,再连接PoE交换机和无线AP,以及安防设备和IoT设备的接入。需要确保VLAN的配置在交换机和AP上正确应用,比如Trunk端口允许所有VLAN通过,AP绑定不同的SSID到不同VLAN。 配置步骤需要详细,比如创建VLAN、配置网关、SSID绑定、ACL规则等,但用户之前已经用eNSP过一些配置,可能需要更具体的命令行示例。此外,用户可能需要一个拓扑图的草稿,用文字描述各设备的连接方式和VLAN分配。 还要考虑用户的实际应用场景,比如是否需要远程访问安防摄像头,如何保证IoT设备的安全性,访客网络的隔离等。可能需要提醒用户注意DHCP服务的配置,不同VLAN的地址池分配,以及测试步骤,如ping测试和抓包验证。 用户可能需要扩展性建议,比如预留VLAN ID,未来设备添加的注意事项。此外,如果用户预算有限,可能需要推荐性价比高的设备,或者简化拓扑结构,比如将路由器和核心交换机合并,如果设备端口足够的话。 最后,确保回答结构清晰,分步骤说明设备选型、拓扑设计、配置过程和验证方法,并提供拓扑草稿示例,帮助用户更好地理解和实施。</think>以下是智能家居无线网络拓扑设计与配置的详细方案,包含设备选型、拓扑结构、配置步骤及示意图: --- ### 一、设备选型建议 #### 1. **核心设备推荐表** | 设备类型 | 推荐型号 | 关键参数 | 适用场景 | |----------|----------|----------|----------| | **主路由器** | 华为AR161-D | 4千兆LAN口<br>支持VLAN/IPv6/ACL | 中小户型核心路由 | | **POE交换机** | 华为S5720-28P-PWR | 24口千兆POE+<br>支持802.1Q VLAN | AP供电与数据回传 | | **无线AP** | 华为AP4050DN | 双频1200Mbps<br>支持8个SSID/VLAN绑定 | 全屋WiFi覆盖 | | **安防网关** | 海康威视DS-3E0505P-E | 5口POE<br>独立安防VLAN通道 | 摄像头/门锁专用 | #### 2. **备选经济方案** - **TP-Link TL-SG2218**(支持VLAN的WEB管理交换机) - **H3C WA5320**(双频吸顶AP,支持多SSID) - **MikroTik hEX S**(支持VLAN/QoS的千兆路由器) --- ### 二、典型拓扑结构 #### 逻辑拓扑图(文字描述): ``` [光纤宽带] | [光猫]─[华为AR161路由器](配置VLAN路由) | [华为S5720交换机](Trunk端口放行所有VLAN) ├──[AP4050DN](SSID1→VLAN100,SSID2VLAN400) ├──[海康威视NVR](VLAN200专用通道) └──[智能家居网关](VLAN300 IoT设备管理) ``` #### 物理布线示意图: $$ \begin{array}{ccc} \text{弱电箱} & \xrightarrow{\text{光纤}} & \text{光猫} \\ & \downarrow \text{Cat6} & \\ \text{AR161路由器} & \leftrightarrow & \text{S5720交换机} \\ & \downarrow \text{POE供电} & \\ \text{AP4050DN(客厅天花板)} & & \text{海康摄像头(门口)} \end{array} $$ --- ### 三、详细配置流程(以华为设备为例) #### 1. **核心路由器配置** ```cisco <AR161> system-view [AR161] vlan batch 100 200 300 400 [AR161] interface GigabitEthernet0/0/1 //连接光猫的WAN口 [AR161-GigabitEthernet0/0/1] ip address dhcp-alloc [AR161] interface Vlanif100 //家庭用户网关 [AR161-Vlanif100] ip address 192.168.100.1 24 [AR161] ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 //默认路由 ``` #### 2. **POE交换机VLAN配置** ```cisco [S5720] vlan batch 100 200 300 400 [S5720] interface GigabitEthernet0/0/24 //连接路由器的上行口 [S5720-GigabitEthernet0/0/24] port link-type trunk [S5720-GigabitEthernet0/0/24] port trunk allow-pass vlan all [S5720] interface range GigabitEthernet0/0/1-4 //AP连接端口 [S5720-GigabitEthernet0/0/1] port link-type trunk [S5720-GigabitEthernet0/0/1] port trunk pvid vlan 100 //默认VLAN [S5720-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 200 300 400 ``` #### 3. **无线AP多SSID配置** ```cisco [AP4050DN] ssid-profile name Family [AP4050DN-ssid-prof-Family] ssid Home_Main [AP4050DN-ssid-prof-Family] service-vlan vlan-id 100 [AP4050DN] ssid-profile name Guest [AP4050DN-ssid-prof-Guest] ssid Home_Guest [AP4050DN-ssid-prof-Guest] service-vlan vlan-id 400 [AP4050DN] radio-profile name 5G [AP4050DN-radio-prof-5G] channel 149 //5GHz高频信道 ``` --- ### 四、安全增强配置 #### 1. **安防设备隔离规则** ```cisco [AR161] acl 3001 [AR161-acl-adv-3001] rule 5 deny ip source 192.168.200.0 0.0.0.255 destination any [AR161-acl-adv-3001] quit [AR161] interface Vlanif200 [AR161-Vlanif200] traffic-filter outbound acl 3001 //禁止摄像头外联 ``` #### 2. **访客网络限速** ```cisco [AR161] traffic classifier Guest [AR161-classifier-Guest] if-match vlan-id 400 [AR161] traffic behavior Guest [AR161-behavior-Guest] car cir 10 //限制10Mbps带宽 [AR161] traffic policy Guest [AR161-trafficpolicy-Guest] classifier Guest behavior Guest [AR161] interface Vlanif400 [AR161-Vlanif400] traffic-policy Guest inbound ``` --- ### 五、拓扑图草稿示例 ``` +----------------+ +---------------+ +-----------------+ | 互联网 | | 华为AR161 | | 华为S5720 | | (光纤接入) |-----| 路由器 |-----| POE交换机 | +----------------+ +---------------+ +-----------------+ | | | | | | | | +-------------+ | | | | | | | +-----v----+ +------v---+ +--v-----+ +v--------+ | 家庭用户 | | 安防设备 | | IoT设备 | | 访客终端 | | (VLAN100)| | (VLAN200)| |(VLAN300)| |(VLAN400)| +----------+ +----------+ +---------+ +---------+ ``` --- ### 六、实施建议 1. **布线规划**: - 每个房间预留**双网口**(1个给AP,1个给有线设备) - 使用**Cat6类线**保证千兆传输 2. **信号覆盖优化**: - AP安装高度建议2.5-3米 - 使用WiFi分析工具(如**Huawei eSight**)检测信道干扰 3. **配置备份**: ```cisco [AR161] save config.cfg //保存配置文件 [AR161] ftp 192.168.100.100 //上传到本地服务器 ``` 4. **扩展能力预留**: - 交换机保留至少20%空闲端口 - VLAN ID规划预留500-600段 --- **总结**:该方案通过华为AR161+S5720+AP4050DN组合实现功能型VLAN划分,典型配置耗时约2-3小时。实际部署时建议先用eNSP模拟测试,重点关注VLAN间通信策略与无线漫游效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值