跨Vlan实现主机动态地址分配及名字解释.docVIP

跨Vlan实现动态主机地址分配及名字解释 概述： 单位近期进行网络升级改造，在更换网络的同时，也对网络进行重新规划，但在实施过程当中碰到工作站无法从DHCP服务器获取IP，服务器机器名无法解释等问题，后经研究实践终于解决问题，以下就是谈谈问题处理过程，供大家参考。 组网策略及设备配置： 在网络改造规则中，我们组网的策略如下： 为不同部门单独建立Vlan，各部门的工作站仅属于各个的Vlan，各Vlan之间不可相互访问。 所有应用服务器均属于同一Vlan，仅允许各部门的工作站访问授权访问的服务器。 要求各Vlan的工作站可通过服务器机器名访问服务器，并且通过一台DHCP服务器为各Vlan分配IP地址。 我们核心层采用的是两台Csico Catalyst 6509E交换机，两台交换机之间运行Cisco GLBP（网关负载均衡协议），楼层采用的是Cisco Catalyst 3560交换机，每台3560交换机通过千兆光纤分别连接到两台核心6509E交换机上，网络拓扑图如图1所示。根据组网的要求，我们在相应的设备上做了以下设置。 图1 1．DHCP服务器设置 为多个Vlan建立多个作用域，如图2示，网络内共建立了13个Vlan。DHCP服务器分别为不同的Vlan分配IP地址。 图2 2．6509E核心交换机设置 2.1 IP访问控制列表 在6509E核心交换机上我们根据不同的服务器做了IP访问控制列表（IP-ACL），即控制特定的Vlan仅能访问特定的应用服务器。以核心交换机6509E-1上的Vlan30 IP-ACl举例说明： 6509E-1#ip access-list extended Vlan30-ACL （定义Vlan30访问控制列表） 6509E-1#permit ip host 192.168.20.11 192.168.30.0 0.0.0.255 log （允许Vlan30的工作站访问IP地址为192.168.20.11的服务器） 6509E-1#permit ip host 192.168.20.12 192.168.30.0 0.0.0.255 log （允许Vlan30的工作站访问IP地址为192.168.20.12的服务器） 6509E-1# permit ip host 192.168.30.2 any 6509E-1# permit ip host 192.168.30.1 192.168.30.0 0.0.0.255 6509E-1# permit ip host 192.168.30.3 192.168.30.0 0.0.0.255 （允许Vlan30的工作站通过两个核心交换机192.168.30.2、192.168.30.3及统一虚拟网关192.168.30.1通信） 2.2 针对Vlan应用IP访问控制列表 当配额好IP访问控制列表后，必须将其应用到Vlan上设置方可生效，以下就是核心交换机6509E-1上设置的命令。 6509E-1#interface Vlan30 （进入Vlan30设置界面） 6509E-1# description Vlan30 6509E-1# ip access-group Vlan30 in （在Vlan 30上应用上述的IP访问控制列表） 6509E-1# ip helper-address 192.168.20.23 （允许访问DHCP服务器192.168.20.23，ip helper-address的作用是把本网段的UDP广播转到到另一个网段的指定的机器上，而且转发到另一个网端是以unicast的方式进行的） DHCP服务器信息时，会发送端口号是UDP 67的广播信息，因此，为了使每个网段的都能获取到DHCP分配的IP地址，在原有的访问控制中必须要UDP 67的广播信息通过。要添加以下命令： permit udp any any eq 67 当我们将此命令添加到IP-ACL当中之后，工作站可获取到DHCP服务器分配的IP地址，问题解决。 问题2解决经过： 工作站可获取到IP地址之后，仍然无法通过机器名ping或者访问服务器。通过查找Windows网络系统技术资料得知，网络中把机器名翻译成IP地址的转换过程成为名字解释，应用程序大多需要使用到NetBIOS，而NetBIOS会从Windows因特网名字服务器（Windows Internet Name Service，WINS）寻求名字解释。由于我们设置服务器与工作站不属于同一网段即属于不同Vlan，如果没有WINS服务器进行名字解释，跨网段工作站必然无法通过机器名访问服务器。 知道原因之后就好处理问题了，于是我们在DHCP服务器上同时安装WINS服务，并将所有服务器