【實驗】綜合實驗（VLAN間通信，ACL技術，DNS/WEB服務器架設，RIP路由）

實驗名稱：綜合實驗

實驗目的：
1實現全網互通
2Client1可以訪問www.ntd1711.com並保存網頁文件
3PC1與PC2之間的任何類型的流量都無法互通
涉及技術：VLAN間通信/RIP/DNS/WEB/3層交換機/ACL

拓撲圖：

相關設備：

二層交換機：SW1/SW2/SW3
三層交換機：MSW1/MSW2（MSW1爲VLAN10/20的網關）（MSW2爲VLAN30/40的網關）
服務器：DNS服務器/WEB服務器
終端設備：主機1-5/客戶端1
配置思路：
一-全網互通（VLAN間暢通）
#2層交換機配置VLAN/access/trunk
#3層交換機配置VLAN/RIP
#終端配置IP，子網掩碼，網關
二-WEB/DNS服務器並通過client1去訪問其網頁（實現DNS及WEB的技術）
三-配置ACL
四-驗證
**

實驗開始

一.全網互通
SW1
<Huawei>undo terminal monitor
（關閉信息彈出提示功能---此功能僅建議學習測試環境使用，工作環境不推薦使用）
Info: Current terminal monitor is off.
<Huawei>system-view （進入系統視圖）
[Huawei]sysname SW1（爲交換機更改名稱爲SW1）
[SW1]vlan batch 10 20 30 40 50（批量創建VLAN10/20/30/40/50）
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]interface e0/0/1(進入e0/0/1接口）
[SW1-Ethernet0/0/1]port link-type access（將接口配置爲access鏈路模式）
[SW1-Ethernet0/0/1]port default vlan 10（將該接口劃分至VLAN10）
[SW1-Ethernet0/0/1]int e0/0/2(進入e0/0/2接口）
[SW1-Ethernet0/0/2]port link-ty ac（將接口配置爲access鏈路模式）
[SW1-Ethernet0/0/2]port default vlan 20（將該接口劃分至VLAN20）
[SW1-Ethernet0/0/2]int e0/0/22(進入e0/0/22接口）
[SW1-Ethernet0/0/22]port link-type trunk （將接口配置爲trunk鏈路模式）
[SW1-Ethernet0/0/22]port trunk allow-pass vlan all（允許此端口通過所有VLAN）
備註：華爲與思科在配置trunk鏈路時，有些不同。思科默認允許所有VLAN進行trunk通過，而華爲則需要手動配置一條允許命令。allow-pass vlan all即爲允許通過所有VLAN
[SW1-Ethernet0/0/22]int e0/0/21(進入e0/0/21接口）
[SW1-Ethernet0/0/21]port link-type trunk （將接口配置爲trunk鏈路模式）
[SW1-Ethernet0/0/21]port trunk allow-pass vlan all（允許此端口通過所有VLAN）
[SW1-Ethernet0/0/21]q（退出接口視圖-q爲quit的縮寫）
[SW1]

SW2/SW3配置與SW1配置相同，這裏便不再複述每條命令對應其作用

SW2
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname SW2
[SW2]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW2]int e0/0/3
[SW2-Ethernet0/0/3]port link-type access
[SW2-Ethernet0/0/3]port default vlan 10
[SW2-Ethernet0/0/3]int e0/0/22
[SW2-Ethernet0/0/22]port link-type trunk
[SW2-Ethernet0/0/22]
[SW2-Ethernet0/0/22]port trunk allow-pass vlan all
[SW2-Ethernet0/0/22]int e0/0/20
[SW2-Ethernet0/0/20]port link-type trunk
[SW2-Ethernet0/0/20]port trunk allow-pass vlan all
[SW2-Ethernet0/0/20]q
[SW2]

SW3
<Huawei>
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname SW3
[SW3]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW3]int e0/0/1
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port def
[SW3-Ethernet0/0/1]port default vlan 40
[SW3-Ethernet0/0/1]
[SW3-Ethernet0/0/1]int e0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 40
[SW3-Ethernet0/0/2]int e0/0/3
[SW3-Ethernet0/0/3]port link-type access
[SW3-Ethernet0/0/3]port default vlan 40
[SW3-Ethernet0/0/3]int e0/0/10
[SW3-Ethernet0/0/10]port link-type trunk
[SW3-Ethernet0/0/10]port trunk allow-pass vlan all
[SW3-Ethernet0/0/10]q
[SW3]
MSW1
<Huawei>
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname MSW1
[MSW1]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[MSW1]int g0/0/21
[MSW1-GigabitEthernet0/0/21]port link-type trunk
[MSW1-GigabitEthernet0/0/21]port trunk allow-pass vlan all
[MSW1-GigabitEthernet0/0/21]int g0/0/20
[MSW1-GigabitEthernet0/0/20]port link-type trunk
[MSW1-GigabitEthernet0/0/20]port trunk allow-pass vlan all
[MSW1-GigabitEthernet0/0/20]int g0/0/1
[MSW1-GigabitEthernet0/0/1]port link-type access
[MSW1-GigabitEthernet0/0/1]port default vlan 30
[MSW1-GigabitEthernet0/0/1]int g0/0/2
[MSW1-GigabitEthernet0/0/2]port link-type access
[MSW1-GigabitEthernet0/0/2]port default vlan 30
[MSW1-GigabitEthernet0/0/2]q
[MSW1]int vlanif 10 （進入VLAN10虛擬接口）
[MSW1-Vlanif10]ip address 192.168.10.254 24
爲VLAN10所屬的PC機配置其對應的網關IP地址，24爲C類默認子網掩碼255.255.255.0的縮寫，思科不支持此項功能
備註：由於華爲3層交換機無法給物理接口配置IP。這一點和思科有所不同，思科可以通過在3層物理接口輸入no switchport命令來開啓3層交換功能，從而實現IP地址的配置工作
隨後的VLAN20/30/40/50命令操作相同，不再複述其對應作用
[MSW1-Vlanif10]un shu
Info: Interface Vlanif10 is not shutdown.
[MSW1-Vlanif10]int vlanif 20
[MSW1-Vlanif20]ip address 192.168.20.254 24（配置VLAN20所屬終端的網關地址）
[MSW1-Vlanif20]un shu
Info: Interface Vlanif20 is not shutdown.
[MSW1-Vlanif20]int vlanif 30
[MSW1-Vlanif30]ip add 192.168.30.200 24
[MSW1-Vlanif30]un shu
[MSW1-Vlanif30]int vlanif 50
[MSW1-Vlanif50]ip address 192.168.50.1 24
[MSW1-Vlanif50]un shu
[MSW1-Vlanif50]q
[MSW1]rip（開啓RIP功能）
[MSW1-rip-1]version 2（選擇RIPv2版本）
[MSW1-rip-1]network 192.168.10.0（宣告192.168.10.0網段）
[MSW1-rip-1]network 192.168.20.0（宣告192.168.20.0網段）
[MSW1-rip-1]network 192.168.50.0（宣告192.168.50.0網段）
備註：華爲設備在開啓RIPv2功能後，會自動關閉auto-summary（自動彙總）。思科需要手動輸入纔會關閉
除此之外，華爲3層設備自動開啓3層轉發功能。此功能對應思科3層交換機設備上的ip routing。思科需要手動開啓。才能實現路由轉發功能

MSW2
<Huawei>
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname MSW2
[MSW2]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[MSW2]int g0/0/10
[MSW2-GigabitEthernet0/0/10]port link-type trunk
[MSW2-GigabitEthernet0/0/10]port trunk allow-pass vlan all
[MSW2-GigabitEthernet0/0/10]int g0/0/22
[MSW2-GigabitEthernet0/0/10]int vlanif 30
[MSW2-Vlanif30]ip address 192.168.30.254 24（配置對應VLAN30-服務器設備的網關地址）
[MSW2-Vlanif30]un shu
Info: Interface Vlanif30 is not shutdown.
[MSW2-Vlanif30]int vlanif 40
[MSW2-Vlanif40]ip address 192.168.40.254 24（配置對應VLAN40所屬終端的網關地址）
[MSW2-Vlanif40]un shu
[MSW2-Vlanif40]q
[MSW2]int vlanif 50
[MSW2-Vlanif50]ip add
[MSW2-Vlanif50]ip address 192.168.50.2 24
[MSW2-Vlanif50]un shu
Info: Interface Vlanif50 is not shutdown.
[MSW2-Vlanif50]q
[MSW2]rip
[MSW2-rip-1]vers
[MSW2-rip-1]version 2
[MSW2-rip-1]network 192.168.40.0（宣告192.168.40.0網段）
[MSW2-rip-1]network 192.168.50.0（宣告192.168.50.0網段）
[MSW2-rip-1]network 192.168.30.0（宣告192.168.30.0網段）
[MSW2-rip-1]q
[MSW2]

驗證全網互通
主機5與各網段互通

目前已實現全網段互通

二DNS/WEB服務器並通過client1去訪問其網頁（實現DNS及WEB的支持功能）

DNS服務器配置
1.服務器自身IP，子網掩碼，網關配置（網關指向的是MSW2的VLAN30）

2.DNS配置
#寫入主機域名（FWNQ）
#寫入對應WEB服務器的IP地址（192.168.30.100）
#單擊啓用按鈕

WEB服務器配置
1.服務器自身IP，子網掩碼，網關配置（網關指向的是MSW2的VLAN30）

2.WEB配置
#在文件根目錄區域添加需要配置的網頁文件（這裏已經添加了一個名爲Index.html網頁文件）
#單擊啓動按鈕**

至此DNS/WEB服務器便配置完畢
**小計：

WEB服務器與DNS服務器之間的聯繫

1.DNS服務器提供域名解析服務，在實驗中網站的域名爲：www.ntd1711.com，而該網站鎖對應的IP地址爲WEB服務器的IP地址，即192.168.30.100
2.WEB服務器在接收到客戶發送的請求時。會根據自身設置的DNS服務器地址，指向DNS服務器。由DNS服務器爲其進行解析服務。**

三.配置ACL
實驗效果：PC1與PC2之間的任何類型的流量都無法互通
[SW1]acl name PC1deny advance （創建一個名爲PC1deny的高級ACL）
[SW1-acl-adv-PC1deny]rule 5 deny ip source 192.168.10.1 0.0.0.0（配置其對應規則）
[SW1-acl-adv-PC1deny]q
[SW1]acl name PC2deny advance（創建一個名爲PC2deny的高級ACL）
[SW1-acl-adv-PC2deny] rule 5 deny ip source 192.168.20.1 0.0.0.0（配置其對應規則）
[SW1-acl-adv-PC2deny]q
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]traffic-filter inbound acl 3999（進入該接口後，進行ACL調用）
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2] traffic-filter inbound acl 3998（進入該接口後，進行ACL調用）

小計：

在華爲中，ACL分爲基本ACL和高級ACL

二者的區別在於

**基本ACL：只能定義源IP地址，無法定義目標IP地址
高級ACL：可以定義源IP地址，目標IP地址。同時還可以配置額外的協議進行配置（例如我們常用的PING命令，即ICMP協議）

其次，在創建ACL的時候，又可以分爲：
1以數字模式來創建（數字模式可以根據其對應的ACL ID數值來自動判斷其對應基本還是高級）
2以命名模式來創建（自定義名稱則需要後續添加基本或是高級才能爲其定義。如不添加則默認爲基本）**

命令詳解：
rule 5 deny ip source 192.168.20.1 0.0.0.0 destination any
rule:規則
5：規則的ID號
deny：拒絕（ premit爲允許）
source：源IP地址
192.168.20.1：以PC機1爲源IP地址
0.0.0.0：爲通配符（如果前面的源IP地址爲192.168.20.0網段時，則通配符爲0.0.0.255）
destination any：如果定義爲源IP地址去網任何網段都不放行流量的話，則可以輸入這條。但是實際上是可以省略該條命令，默認不寫便爲任何目的IP地址。即所有

驗證PC1/PC2

結論：主機1和主機2無法訪問任何網段。即ACL生效

至此實驗完畢。