我也是IT这个行业的新人，但我还算幸运已经在神州数码网络公司实习了将半年。其他的不说，我先说点关于建设局域网的一些心得吧，希望对各位有点用，当然也希望各位批评指正。 在我接触的局域网中大部分都很简单，简单到一说就明白的地步，但是现在想想我在上学那会还是不知如何去做，至少是不敢肯定应该怎么做。所以我在这里写出来一种方法，希望对各位有用。 在下面的这个例子当中，我以一个学校的网络来说明情况。因为我觉得很有代表性。可以触类旁通。网络的拓扑图如下：       下面我想把整个网络进行概述一下。线路是网通的10M光纤，然后接防火墙，防火墙再接核心路由器DCRS-7608，核心再接汇聚层的交换机DCRS-5824,汇聚到核心走单模光纤，接入层交换机是DCS-2026E和DCS-3926S。接入到汇聚走的是六类双绞线，有百兆也有千兆的，具体见上图。 首先我们从运营商的线路开始说起。一般都是10M光纤，或者100M的光纤。那么这根线都是有运营商接到机房里并且融接好的。所以这时要提前对运营商说与这根线相接的是什么样的接口，比如LC接口。同时运营商还会给IP方面的信息：有几个IP可以用，另外下一跳是哪个IP，DNS是什么都会给的。这些信息一般都会给单位的信息科的相关人员的。 在防火墙上一般做NAT转换，也就是把内部的地址转成公网的地址，另外还有路由，指一条默认路由，把内部的数据发布到公网上;再指几条往局域网的路由，其他的基本就不做什么了。这样就可以让内部的PC上网了。至于一些防病毒之类的操作在此勿略不讲。 核心与汇聚相接的端口都是TRUNK的。汇聚层的交换机上的所有端口也全都是TRUNK的。接入层交换机与汇聚相接的端口是TRUNK，其他端口均属于某一个VLAN。管理VLAN用的是VLAN1,这样在校园的任何地方都可以进行交换机的管理，安全不是问题，首先学生不知管理地址，另外还有telnet的用户名和密码进行第二道防护，还有超级管理员的密码，所以不用担心安全。我们在汇聚层上进行VLAN间访问的控制。当然如果你想得到更高的安全极别，完全可以只让本VLAN的信息通过，而不让VLAN1的数据通过，这时即使学生知道管理地址，根本就不能和VLAN1进行通讯了，当然更不用说进行控制了。 核心所配置的内容为：VLAN和VLAN的地址，但不加任何端口到VLAN中，这里的VLAN地址也就是电脑的网关。还有一条默认路由到防火墙的内网口。这样就可以实现上网，而且可以实现VLAN间互访。但为了安全也为了减少网络的流量，不会让VLAN间互相访问的。不让VLAN间互访最简单和高效的方法就是在TRUNK端口上限定要通过的VLAN数据。在此项目中我是在汇聚层交换机配置的，让接入层VLAN的数据和VLAN1的数据都通过的。 这样当PC要上网时，数据会直接到核心，然后核心会把数据转发给防火墙，防火墙再把数据往公网上传，至于说这个数据往哪里走，该怎么走，那就是网通的事了。 如果各位有不明白的和指正的请告知。 出处http://zgxworks.blog.51cto.com/blog/86136/15244