ensp 三層架構配置

原創 lik_lik 2020-07-05 21:09

三層架構

image.png

使用到的技術:
	多區域 ospf 
  dhcp
  nat
  端口映射
  
  gre over ipsec
  	配置前,驗證兩端是否互通

需求

image.png

接入層

jieruA

sys
sysname jieruA


# 創建vlan
vlan batch 10 20 200

# 分配Access 端口
int e0/0/1
port link-type access 
port default vlan 10

# trunk
int e0/0/2 
port link-type trunk 
port trunk allow-pass vlan all

jieruB

sys
sysname jieruB

# 創建vlan
vlan batch 10 20 200

# 分配Access 端口
int e0/0/4
port link-type access 
port default vlan 20

# trunk
int e0/0/3 
port link-type trunk 
port trunk allow-pass vlan all

匯聚層

huijuA

sys
sysname huijuA

# 創建vlan
vlan batch 10 20 200


# trunk
int e0/0/3 
port link-type trunk 
port trunk allow-pass vlan all

int e0/0/2
port link-type trunk 
port trunk allow-pass vlan all

int e0/0/1
port link-type trunk 
port trunk allow-pass vlan all

huijuB

sys
sysname huijuB

# 創建vlan
vlan batch 10 20 200


# trunk
int e0/0/2 
port link-type trunk 
port trunk allow-pass vlan all

int e0/0/1
port link-type access 
port default vlan 200

核心層

sys
sysname core

# 創建vlan
vlan batch 10 20 200 800


# trunk
int g0/0/1 
port link-type trunk 
port trunk allow-pass vlan all

int g0/0/2
port link-type trunk 
port trunk allow-pass vlan all

int g0/0/3
port link-type access 
port default vlan 800

# vlan 管理 IP
int vlan 10
ip address 192.168.10.254  24

int vlan 20
ip address 192.168.20.254 24

int vlan 200
ip address 192.168.200.254 24

int vlan 800
ip address 192.168.254.1 30

# 配置dhcp(基於全局地址池的)
dhcp enable

ip pool dhcp10
dns-list 8.8.8.8
gateway-list 192.168.10.254
# 對應網段
network 192.168.10.0 mask 24 

# 應用
int vlan 10
dhcp select global 

ip pool dhcp20
dns-list 8.8.8.8
gateway-list 192.168.20.254
# 對應網段
network 192.168.20.0 mask 24 

# 應用
int vlan 20
dhcp select global 

# 配置ospf
ospf 100 router-id 1.1.1.1
area 0
network 0.0.0.0 255.255.255.255

邊界

AR1

sys
sysname AR1

# 配置ip
int g0/0/0
ip address 192.168.254.2 30

int g0/0/1
ip address 120.36.2.21 30

int s1/0/0
ip address 12.1.1.1 29

int lo 0 
ip address 2.2.2.2 32

# 默認路由
ip route-static 0.0.0.0 0.0.0.0 120.36.2.22

# nat 配置
acl 3000

###  只有下面三條時,會存在一個問題,內網訪問web服務的時候,地址會被nat轉換,而無法回包,暫時解決不來

# 需要配置ipsec vpn的話,需要排除福州分公司的
rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 
# 這條是爲了解決上海分公司 通過本部nat訪問 外網
rule 10 permit ip source 12.1.1.0 0.0.0.255
rule 15 permit ip source 192.168.0.0 0.0.255.255 


int g0/0/1
nat outbound 3000

# 端口映射,只能通過外網訪問,內網通過接口地址訪問不到。
int g0/0/1
# 這裏需要手動輸入個y
nat server protocol tcp global current-interface 80 inside 192.168.200.20 80


ospf 100 router-id 2.2.2.2
# 默認路由重分佈
default-route-advertise 
area 0
network 192.168.254.0 0.0.0.3
network 2.2.2.2 0.0.0.0

# 宣告上海分公司
area 1
network 12.1.1.0 0.0.0.7

# gre 配置,這樣只有14.1.1.0/24間通信才加密,需要將其他路由轉到隧道上
int Tunnel 0/0/0
ip address 14.1.1.1 24 
tunnel-protocol gre 
# 這裏不要用環回接口,否則加密不了通信流量
source 120.36.2.21
destination 218.85.157.99

# 配置ipsec vpn

## 創建proposal
ipsec proposal wlgc-proposal
esp encryption-algorithm 3des 
esp authentication-algorithm sha1
quit

## 創建ike
ike proposal 5
quit
ike peer spub v2

pre-shared-key cipher wlgc 
ike-proposal 5

quit
## 創建 profile
ipsec profile wlgc-profile
proposal wlgc-proposal
ike-peer spub

## 在隧道上,應用profile
int Tunnel 0/0/0
ipsec profile wlgc-profile 

quit
# gre 配合ospf,實現福州分部學習到總部路由
ospf 111
area 0 
network 14.1.1.0 0.0.0.255

互聯網

internet

sys
sysname internet

# 配置ip
int g0/0/2
ip address 218.85.157.254 24

int g0/0/1
ip address 120.36.2.22 30

AR4

sys
sysname AR4

# 配置ip
int g0/0/0
ip address 172.16.1.254 24

int g0/0/1
ip address 218.85.157.99 24

int lo 0 
ip address 10.10.10.10 32

# 靜態路由
ip route-static 0.0.0.0 0.0.0.0 218.85.157.254

# 配置ospf
ospf 100 router-id 10.10.10.10
area 0 
network 218.85.157.0 0.0.0.255
network 10.10.10.10  0.0.0.0

# nat 配置
acl 3000 

# 需要配置ipsec vpn的話,需要排除福州分公司的
rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 
rule 10 permit ip source 172.16.0.0 0.0.255.255

int g0/0/1
nat outbound 3000


# gre 配置,這樣只有14.1.1.0/24間通信才加密,需要將其他路由轉到隧道上
int Tunnel 0/0/0
ip address 14.1.1.2 24 
tunnel-protocol gre 
# 這裏不要用環回接口,否則加密不了通信流量???
source 218.85.157.99
destination 120.36.2.21

# 配置ipsec vpn
## 創建proposal
ipsec proposal wlgc-proposal
esp encryption-algorithm 3des 
esp authentication-algorithm sha1
quit

## 創建ike
ike proposal 5
quit
ike peer spub v2

pre-shared-key cipher wlgc 
ike-proposal 5

quit
## 創建 profile
ipsec profile wlgc-profile
proposal wlgc-proposal
ike-peer spub

## 在隧道上,應用profile
int Tunnel 0/0/0
ipsec profile wlgc-profile 

quit
# gre 配合ospf,實現福州分部學習到總部路由
ospf 111
area 0 
network 14.1.1.0 0.0.0.255

上海分公司

AR2

sys
sysname AR2

# 配置ip
int s2/0/0
ip address 12.1.1.2 29

int g0/0/0
ip address 192.168.100.254 24

# 配置ospf
ospf 100 router-id 9.9.9.9 
area 1
network 0.0.0.0 255.255.255.255

結果圖

核心層 路由表
image.png




AR2 可以通過本部上網


AR4、AR1 只有在經過隧道時,纔可以加密

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

路由策略版:mstp +vrrp +雙線nat

路由策略版:mstp +vrrp +雙線nat 拓撲 使用技術 使用到的技術: 單區域ospf dhcp nat mstp vrrp+track 端口聚合 nqa+路由策略

lik_lik 2020-07-05 21:09:43

ensp router+mstp+vrrp+單nat

router+mstp+vrrp+單nat 拓撲圖 使用技術 使用到的技術: 單區域ospf dhcp nat mstp vrrp+track 端口聚合 接入層 huijuA s

lik_lik 2020-07-05 21:09:42

策略路由pbr+mstp +vrrp +雙線nat

策略路由pbr+mstp +vrrp +雙線nat 拓撲 使用技術 使用到的技術: 單區域ospf dhcp nat mstp vrrp+track 端口聚合 nqa+pbr 策略路由

lik_lik 2020-07-05 21:09:42

H3C二層架構綜合配置

拓撲 還需要補充dhcp 需求 tips h3c 使用tracert的話,需要在所有設備上啓用 ip unreachables enable ip ttl-expires enable 參考鏈接 華三H3C端口聚合與

lik_lik 2020-07-05 21:09:42

防火牆+route+vrrp+mstp

防火牆+route+vrrp+mstp 拓撲圖 使用技術 使用到的技術: 單區域ospf dhcp nat mstp vrrp+track 鏈路聚合 telnet+aaa

lik_lik 2020-07-05 21:09:42

華爲中級認證HCIP知識點,看這個就夠了

各個知識點OSPF 知識點IS-IS 知識點BGP 知識點IGMP 知識點路由控制知識點生成樹協議MPLSDHCPVRRPBFDSDN(瞭解) OSPF 知識點 OSPF基本配置,OSPF 5種報文,7種鄰居狀態,4種網絡類型,4

果子哥丶 2020-06-22 10:56:56

ensp交換機和路由器啓動異常問題

首先是路由器問題,有些異常情況會出現AR 錯誤40這種情況,大部分人都會按照官網解決這個問題,但是有人會出現刪除VBox,而且沒刪除VBox乾淨,或者刪除錯誤,導致出現VirtualBox Host-Only Network 變成

RGBMarco 2020-06-24 06:50:51

快速生成樹協議 RSTP

我們都知道STP協議能夠很好的避免網絡環路,造成廣播風暴帶來的危害,那麼RSTP是來幹嘛的呢? RSTP (Rapid Spanning-Tree Protcol)是快速生成樹協議,是STP的一種優化版本,通過我們對STP的學習,

RGBMarco 2020-06-24 06:50:51

生成樹 STP協議

STP協議主要是保證網絡中不會出現環路,防止廣播風暴產生 STP協議主要進行的運行過程是 1.選舉根交換機(所有交換機而言) 2.選舉根端口(非根交換機) 3.選舉指定端口(不同網段交換機) 選舉步

RGBMarco 2020-06-24 06:50:51

華爲eNSP模擬器無法啓動AR路由器,40報錯或者41報錯,一直#號

原文鏈接:blog.v587xpt.top 一、背景 因爲最近在學習 HCIP課程,需要使用ensp模擬器,但是用到AR系列路由器的時候,不是報錯就是一直 # 號; 二、嘗試過的解決方法 以下辦法可能會解決你電腦上AR路由器無法啓動的問題

星火燎愿 2020-06-21 13:05:43

三層架構與MVC的區別與聯繫(轉)

三層架構和 MVC 模式的區別與聯繫 http://blog.csdn.net/qq_16603341/article/details/70446648 MVC模式與三層架構的區別 https://www.cnblogs.co

清--水 2020-06-26 11:37:23

AJAX和三層架構實現分頁功能

-----------------------------HTMLPage1.htm--------------------------------- <html xmlns="http://www.w3.org/1999/xhtml"

liu_111111 2020-06-23 21:43:12

三層數據庫四大法寶之“查”

    在做完這四個功能之後感覺“查”是這四個功能裏面算最簡單的了,下面就來看看它是怎麼實現的吧:     實體層,就不說了和前三個功能是一樣的。 UI層: <span style="font-family:KaiTi_GB2312;fo

冠越灵 2020-06-22 10:03:48

三層數據庫四大法寶之“增”

    因爲之前機房重構無從下手,所以師父給我的建議是自己試着先敲三層的增、刪、改、查,機房重構大都無非是圍繞着對數據庫的操作進行展開的。實事證明,師父是正確的。現如今敲完三層登錄又在此基礎上敲了三層的增刪改查,頓時感覺對機房重構豁然開朗

冠越灵 2020-06-22 10:03:48

【三層架構】入門知識梳理

   1.什麼是三層?   三層架構(3-tierarchitecture) 通常意義上的三層架構就是將整個業務應用劃分爲:表現層(UI)、業務邏輯層  (BLL)、數據訪問層(DAL)。   2.三層架構使用背景   當業務複雜到一定

于丹丹 2020-06-19 04:29:41