#原创分享# 记一次学校网络整改实施案例

【项目描述】

最近接到一个学校网络整改项目，经过与校方沟通，须满足以下条件：

由于学校跟某公司专网是点对点专线，学校上网统一经过某公司。学校会向教育申请几个内网网段用于上网，采用的是三层转发，并不需要学校路由器作NAT。但是学校希望自己也有私有网段，用于监控等用途，也要求能上互联网。

由于学校电脑全部采用手动IP分配，目前用的是自己的私网地址，并不是某公司分配的网段，需要整改。但是由于上网终端数量多，一时半会改不完，因此希望新旧网段能共存，上网终端无论设置新网段和旧网段都能正常上网，实现平滑过渡

各网段之前须能互相访问，互联互通

【解决方案】

把网关移至AF，通过调整NAT策略针对性地对私有网段作NAT转换

在网关上设置第二IP，终端无论调到哪个网段都能用

网关在同一台设备上，通过直连路由即可互联互通

【IP地址与规划】

专网通讯地址：172.16.1.2/30

教学区：10.0.6.0/24

宿舍区：10.0.7.0/24

原来使用IP：192.168.6.0/24

监控设备：192.168.10.0/24

【网络拓扑】

【操作步骤】

1. eth2作内网口，设置成透明trunk口，并允许6，7，10三个VLAN通过

2. eth1口为外网口，配置上专网分配的通讯IP

3. 新建三个VLAN接口。分别用作三个内网的网关

由于客户希望新分配的网段（10.0.6.0/24）和目前正在使用段(192.168.6.0/24)都能正常使用，因此采用为接口添加双IP的方法

4. 添加默认路由

5. 核心交换机配置

vlan 6 to 7

vlan 10

interface GigabitEthernet1/0/1

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 6 to 7 10

port trunk pvid vlan 6

6. 配置NAT转换规则。由于教学区新网段和宿舍段是专网分配的网段。上层有回包路由，因此并不需要NAT。内部私网IP段才需要做NAT

7. 应用控制策略客户无要求，先全局放通

8. 最后按客户需要配置常用的防护安全策略（此处略）

您好，感谢您参与社区原创分享计划3，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

厉害了，很专业，努力学习

谢谢分享，很详细

学习一下 很详细

很详细的单臂路由配置，之前一直不清楚到底需要怎么配置，这个帖子很好的解答了我的疑问

新手看着不太懂，请教一下楼主两个问题：
１、教学区原网段192.168.6，监控网段192.168.10这两个网段上网时需要转换为172网段，而教学区10.0.6和宿舍区10.0.7这两个网段上网时不需要转换为172网段。
２、vlan6中包含两个段的ＩＰ的址，那么核心交换机中与这２个段的地址相关的端口如何设置？接入层的交换机的端口如何设置，都是设为trunk吗？

学习下透传

学习，设置基本全在AF做了