實驗要求:① 信息中心配置Eth-trunk實現鏈路冗餘
② 企業內網劃分多個vlan ,減小廣播域大小,提高網絡穩定性
③ 核心交換機作爲用戶網關實現vlan間路由
④ 所有用戶均爲自動獲取ip地址
⑤ 出口配置NAT實現地址轉換
⑥ 在企業出口將內網服務器的80端口映射出去,允許外網用戶訪問
⑦ 所有設備都可以被telnet遠程管理
⑧ 所有校區之間可以互訪且出口實現冗餘 —— 這個我沒做,就出口加個聯通
⑨ 企業財務服務器,只允許(vlan 40)的員工訪問
⑩ 禁止vlan 20 員工訪問外網且關鍵設備做好實時監控
- 出口路由器 其實還要接一個防火牆才比較好
通過防火牆 做 各種需求策略, 識別應用 去分配流量
VLAN
①VLAN trunk
信息中心配置Eth-trunk實現鏈路冗餘,劃分VLAN
內網劃分多個vlan ,減小廣播域大小,提高網絡穩定性
vlan 900作爲管理vlan 後期配置telnet的時候會用到
接入sw8
[sw8]sysname JR_sw8
[JR_sw8]int Eth-Trunk 1
[JR_sw8-Eth-Trunk1]mode lacp-static //靜態LACP
[JR_sw8-Eth-Trunk1]trunkport GigabitEthernet 0/0/1
[JR_sw8-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[JR_sw8-Eth-Trunk1]port link-type trunk
[JR_sw8-Eth-Trunk1]port trunk allow-pass vlan 200
[JR_sw8]vlan 200
[JR_sw8-vlan200]q
[JR_sw8]vlan 900
[JR_sw8-vlan900]q
[JR_sw8]port-g g Ethernet0/0/2 Ethernet0/0/3
[JR_sw8-port-group]port link-type access
[JR_sw8-port-group]port defa vlan 200
❤核心sw1——1
[Huawei]sys HX_sw1
[HX_sw1]un in en
[HX_sw1]vlan batch 10 20 30 40 200 800 900
[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]mode lacp-static
[HX_sw1-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[HX_sw1-Eth-Trunk1]trunkport GigabitEthernet 0/0/5
[HX_sw1-Eth-Trunk1]port link-type trunk
[HX_sw1-Eth-Trunk1]port trunk allow-pass vlan 200 900
[HX_sw1-Eth-Trunk1]q
接入sw5
[Huawei]sys JR_sw5
[JR_sw5]undo info-center enable
[JR_sw5]vlan batch 10 900
[JR_sw5]port-g g e0/0/2 e0/0/3
[JR_sw5-port-group]port link-type access
[JR_sw5-port-group]port de vlan 10
[JR_sw5-port-group]q
[JR_sw5]int g0/0/1
[JR_sw5-GigabitEthernet0/0/1]port link-type trunk
[JR_sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 900
接入sw6
[Huawei]sys JR_sw6
[JR_sw6]vlan batch 20 900
[JR_sw6]int e0/0/1
[JR_sw6-Ethernet0/0/1]port link-type access
[JR_sw6-Ethernet0/0/1]port de vlan 20
[JR_sw6-Ethernet0/0/1]int g0/0/1
[JR_sw6-GigabitEthernet0/0/1]port link-type trunk
[JR_sw6-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 900
匯聚sw2
[HJ_sw2]vlan batch 10 20 900
Info: This operation may take a few seconds. Please wait for a moment...done.
[HJ_sw2]int g0/0/2
[HJ_sw2-GigabitEthernet0/0/2]port link-ty trunk
[HJ_sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 900
[HJ_sw2-GigabitEthernet0/0/2]int g0/0/3
[HJ_sw2-GigabitEthernet0/0/3]port link-ty trunk
[HJ_sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 20 900
[HJ_sw2]int g0/0/1 //上行需要都通過的VLAN
[HJ_sw2-GigabitEthernet0/0/1]port link-type trunk
[HJ_sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900
接入sw7
[JR_sw7]vlan batch 30 900
[JR_sw7]port-g g e0/0/1 to e0/0/22
[JR_sw7-port-group]port link-ty acc
[JR_sw7-port-group]port de vlan 30
[JR_sw7]int g0/0/1
[JR_sw7-GigabitEthernet0/0/1]port link-type trunk
[JR_sw7-GigabitEthernet0/0/1]port trunk allow-pass vlan 30 900
[JR_sw7-GigabitEthernet0/0/1]
匯聚sw3
[HJ_sw3]vlan batch 30 900
[HJ_sw3]int g0/0/2
[HJ_sw3-GigabitEthernet0/0/2]port link-type trunk
[HJ_sw3-GigabitEthernet0/0/2]port trunk allow-pass vlan 30 900
[HJ_sw3-GigabitEthernet0/0/2]int g0/0/1
[HJ_sw3-GigabitEthernet0/0/1]port link-type trunk
[HJ_sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 30 900
[HJ_sw3-GigabitEthernet0/0/1]q
接入sw9
[JR_sw9]vlan batch 40 900
[JR_sw9]int e0/0/2
[JR_sw9-Ethernet0/0/2]port link-type access
[JR_sw9-Ethernet0/0/2]port de vlan 40
[JR_sw9-Ethernet0/0/2]int g0/0/1
[JR_sw9-GigabitEthernet0/0/1]port link-type trunk
[JR_sw9-GigabitEthernet0/0/1]port trunk allow-pass vlan 40 900
[JR_sw9-GigabitEthernet0/0/1]q
匯聚sw4
[HJ_sw4]vlan batch 40 900
[HJ_sw4]port-g g gi 0/0/1 gi 0/0/2
[HJ_sw4-port-group]port link-type trunk
[HJ_sw4-port-group]port trunk allow-pass vlan 40 900
核心交換機SW1:
核心sw1——2,上面只配置了核心sw1——1
①vlan
[HX_sw1]int g0/0/1
[HX_sw1-GigabitEthernet0/0/1]port link-type trunk
[HX_sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900
[HX_sw1]int g0/0/3
[HX_sw1-GigabitEthernet0/0/3]port link-type trunk
[HX_sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan 30 900
[HX_sw1]int g0/0/4
[HX_sw1-GigabitEthernet0/0/4]port link-type trunk
[HX_sw1-GigabitEthernet0/0/4]port trunk allow-pass vlan 40 900
[HX_sw1]int g0/0/24
[HX_sw1-GigabitEthernet0/0/24]port link-type access
[HX_sw1-GigabitEthernet0/0/24]port de vlan 800
網關 SVI
②網關 SVI switch virtual interface——Vlanif
SVI是三層接口
核心交換機 交換機接口上配置網關,來實現VLAN的路由
vlanif10 對應的就是 vlan10
核心sw1:
[HX_sw1]int Vlanif 10
[HX_sw1-Vlanif10]ip add 192.168.10.1 24
[HX_sw1-Vlanif10]int vlanif 20
[HX_sw1-Vlanif20]ip add 192.168.20.1 24
[HX_sw1-Vlanif20]int vlanif 30
[HX_sw1-Vlanif30]ip add 192.168.30.1 24
[HX_sw1-Vlanif30]int vlanif 40
[HX_sw1-Vlanif40]ip add 192.168.40.1 24
[HX_sw1-Vlanif40]int vlanif 200
[HX_sw1-Vlanif200]ip add 192.168.200.1 24
[HX_sw1-Vlanif200]int vlanif 800
[HX_sw1-Vlanif800]ip add 192.168.254.2 24
DHCP
③DHCP配置
多少個vlan就建立多少個地址池
[HX_sw1]dhcp enable
[HX_sw1]ip pool SYL_vlan10
[HX_sw1-ip-pool-syl_vlan10]network 192.168.10.0 mask 24
[HX_sw1-ip-pool-syl_vlan10]gateway-list 192.168.10.1
[HX_sw1-ip-pool-syl_vlan10]dns-list 114.114.114.114 8.8.8.8
[HX_sw1]ip pool SYL_vlan20
[HX_sw1-ip-pool-syl_vlan20]network 192.168.20.0 mask 24
[HX_sw1-ip-pool-syl_vlan20]gateway-list 192.168.20.1
[HX_sw1-ip-pool-syl_vlan20]dns-list 114.114.114.114 8.8.8.8
[HX_sw1]ip pool JXL_vlan30
[HX_sw1-ip-pool-jxl_vlan30]network 192.168.30.0 mask 24
[HX_sw1-ip-pool-jxl_vlan30]gateway-list 192.168.30.1
[HX_sw1-ip-pool-jxl_vlan30]dns-list 114.114.114.114 8.8.8.8
[HX_sw1]ip pool xzl_vlan40
[HX_sw1-ip-pool-xzl_vlan40]network 192.168.40.0 mask 24
[HX_sw1-ip-pool-xzl_vlan40]gateway-list 192.168.40.1
[HX_sw1-ip-pool-xzl_vlan40]dns-list 114.114.114.114 8.8.8.8
當用戶發來dhcp廣播報文的時候,讓它在全局(全局即指在地址池中)拿地址
vlan 10用戶請求報文時,有vlan10標籤,因此核心交換機知道,會分配vlan 10相應網段地址.
[HX_sw1]int vlanif 10
[HX_sw1-Vlanif10]dhcp select global
[HX_sw1-Vlanif10]q
[HX_sw1]int vlanif 20
[HX_sw1-Vlanif20]dhcp select global
[HX_sw1-Vlanif20]int vlanif 30
[HX_sw1-Vlanif30]dhcp select global
[HX_sw1-Vlanif30]int vlanif 40
[HX_sw1-Vlanif40]dhcp select global
OSPF
④OSPF配置
總分型結構,有分所。 總分公司的網段不要重疊
讓分支機構 能訪問 總所的服務器,因此要宣告,讓別人知道
匯聚交換機和接入交換機是 二層協議,沒有必要宣告路由協議。
出口路由
[Huawei]sys CK_Router
[CK_Router]int g4/0/0
[CK_Router-GigabitEthernet4/0/0]ip add 192.168.254.1 24
[CK_Router-GigabitEthernet4/0/0]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]ip add 12.1.1.1 29
[CK_Router-GigabitEthernet0/0/1]int g1/0/0
[CK_Router-GigabitEthernet1/0/0]ip add 192.168.104.1 30
宣告254 104 12.1.1.0 網段
- 第一種方式:宣告整個網段
- 第二種方式:只要宣告的網段 有接口的地址,即一個接口地址 (推薦這種,精確)
[CK_Routeri]ospf 1 router-id 2.2.2.2
[CK_Router]area 0
[CK_Router-ospf-1-area-0.0.0.0]net 192.168.254.0 0.0.0.255
[CK_Router-ospf-1-area-0.0.0.0]net 192.168.104.1 0.0.0.0
核心sw1
宣告 10 20 30 40 200 254 網段
[HX_sw1]ospf 1 router-id 1.1.1.1
[HX_sw1-ospf-1]area 0
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.254.0 0.0.0.255
新校區路由
[XXQ1_R4]ospf 1 r
[XXQ1_R4]ospf 1 router-id 3.3.3.3
[XXQ1_R4-ospf-1]area 0
[XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.104.2 0.0.0.0
[XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.100.2 0.0.0.0
到此爲止,查看SW1有沒學習到,看新校區1的路由表學習情況 dis ip routing-table
自己在做的時候發現少了一個路由條目,經過排查,模擬器沒有將 那接口開啓, 因此要手動undo shutdown,然後發覺也解決不了還是down,發現是客戶機client沒有開啓 挖槽,醉了。
配置靜態路由
[HX_sw1]ip route-static 0.0.0.0 0 192.168.254.1
[CK_Router]ip route-static 0.0.0.0 0 12.1.1.6 去移動
⑤廣域網出口選路
(策略路由也OK,設置缺省路由,修改優先級
其實選擇聯通和移動,這個通過防火牆做比較好)
[CK_Router]ip route-static 0.0.0.0 0 12.1.1.6 去移動
[CK_Router]ip route-static 0.0.0.0 0 13.1.1.6 preference 70 去聯通
這個在我自己做的實驗拓撲沒有配,可以自行添加哦,知道個思路即可,設置兩個運營商 可以讓移動中斷了,我就去聯通,如果移動修好了,會自動切換回去。
NAT
⑥NAT配置
理論上我配置OSPF能達到新校區,我也能配置OSPF到運營商,但事實上,運營商的路由器是不可能給我操控的,因此這裏使用NAT
上面已經配置了 默認路由 0.0.0.0 0 12.1.1.6
現在在出口路由器上:
[CK_Router]acl 2000
[CK_Router-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[CK_Router]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]nat outbound 2000
將內網服務器的80端口映射成公網出去,讓外網用戶訪問
接口nat
[CK_Router]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.200.10 80
//如果想使用接口的公網地址,不能直接寫12.1.1.1,需要寫current-interface
7.7.7.7是移動的,訪問公網12.1.1.1即可,因爲上面已經配置好NAT了
⑦telnet遠程管理配置
管理VLAN 900 192.168.255.x /24
接入和匯聚 需要一個 缺省路由 指向255.1,缺省路由的目的就是管理流量的回包,同時 配置一個統一的用戶名密碼
所有設備都得這麼配:
aaa
local-user aa privilege level 3 password cipher 123
local-user aa service-type telnet
user-interface vty 0 4
authentication-mode aaa
如果是真機(真實環境) 還需要配置一個
[HX_sw1]telnet server enable
[HX_sw1-ui-vty0-4]protocol inbound telnet //表示這個接口允許telnet進來,因爲新版本的華爲只允許ssh
接下來是配置管理地址
[HX_sw1]int vlanif 900
[HX_sw1-Vlanif900]ip add 192.168.255.1 24
[JR_sw8]int vlanif 900
[JR_sw8-Vlanif900]ip add 192.168.255.8 24
[JR_sw8]ip route-static 0.0.0.0 0 192.168.255.1 //回包路由
其他略。
補充:作爲匯聚和接入的所有交換機 都需要配置一個回包路由,爲了讓管理的流量能夠回去。
所有接入交換的回包路由都是 255.1
事實上,ENSP模擬器的PC是沒辦法telnet,因此可用路由器來測試 接入
[PC]dhcp enable
[PC]int e0/0/0
[PC-Ethernet0/0/0]ip add dhcp-alloc //會自動獲取網關(缺省形式)
ACL
⑧訪問控制配置
企業財務服務器,只允許(vlan 40)的員工訪問
在覈心交換機上
sw1
[HX_sw1]acl 3000
[HX_sw1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.20 0
[HX_sw1-acl-adv-3000]rule deny ip source any destination 192.168.200.20 0
[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]traffic-filter outbound acl 3000
SNMP運維監控
⑨SNMP運維監控
禁止vlan 20 員工訪問外網且關鍵設備做好實時監控
讓出口路由器 丟棄 員工的請求外網報文就行,但要放行請求新校區的報文
要在inbound口做,即g4/0/0
· 如果outbound的話,報文是先進行NAT轉換,再進行ACL匹配
[CK_Router]acl 3001
[CK_Router-acl-adv-3001]rule permit ip destination 192.168.0.0 0.0.255.255
[CK_Router-acl-adv-3001]rule deny ip source 192.168.20.0 0.0.0.255
[CK_Router-acl-adv-3001]int g 4/0/0
[CK_Router-GigabitEthernet4/0/0]traffic-filter inbound acl 3001
[CK_Router-GigabitEthernet4/0/0]
SNMP監控
把設備添加到網管軟件前,需要在網絡設備上配置SNMP參數
網管服務器接到核心交換機上, 可通過雲Cloud接核心,橋接雲模擬服務器。
[HX_sw1]int g0/0/6
[HX_sw1-GigabitEthernet0/0/6]port link-type access
[HX_sw1-GigabitEthernet0/0/6]port default vlan 900
所有設備都要這樣配置
snmp-agent
snmp-agent community write 123
snmp-agent community read 456
snmp-agent sys-info version all
[HX_sw1]snmp-agent sys-info version all
[HX_sw1]snmp-agent //啓動snmp
[HX_sw1]snmp-agent community write 123
[HX_sw1]snmp-agent community read 456
剩下設備略
雲橋接
以下是 雲橋接
網管軟件
輸入IP地址——》輸入團體名(相當於密碼)
完整配置文件
完整配置文件:
https://download.csdn.net/download/qq_39578545/12381436