总体设计要求
![](https://img-blog.csdnimg.cn/img_convert/7e6132d3f73e0b11891c5239f45313de.png)
本项目需完成内外网的设计与实现,如图搭建网络拓扑。
内网架构分为三层,接入层、汇聚层和核心层。如图所示按照所示代号在相关交换机上分配VLAN及对应IP地址,并在相关路由器上配置IP地址。
在HJ1和HJ2之间配置链路聚合。
在JR1、JR2、HJ1和HJ2上启用STP,其中HJ1为主根,HJ2为备根。
在HJ1上为销售部、宣传部、客服部主机提供默认网关,在HJ2上为财务处主机提供默认网关。
在汇聚层、核心层交换机以及出口路由器上配置OSPF协议,使内网互通。
在数据中心服务器上开启WWW服务,测试客户端的访问。
实现除客服部外其他部门主机对财务处主机的访问。
在出口路由器CK与运营商路由器ISP之间开启CHAP认证,认证用户名为姓名全拼首字母,密码相同。
在CK与ISP之间配置OSPF,实现外网互通。
在CK路由器上配置NAT,实现企业网内除财务处主机外的Internet访问。
在CK路由器上配置NAT Server,实现公网PC对数据中心WWW服务器的WEB访问。
详细步骤与调试(代号为115)
网络拓扑搭建
![](https://img-blog.csdnimg.cn/img_convert/8ae0e204392f85077be5eff24277cb8c.png)
ip地址规划如上图所示
如图所示按照所示代号在相关交换机上分配VLAN及对应IP地址,并在相关路由器上配置IP地址。
准备知识:
接入层交换机为二层交换机,汇聚层和核心层交换机为三层交换机。二层交换机与主机之间端口类型为access端口,二层交换机与三层交换机之间为端口类型为trunk类型,三层交换机和三层交换机之间端口类型可以是access类型,也可以是trunk类型。
二层交换机上面不用配置ip地址,二层和三层交换机之间的端口也不用配置ip地址。
ip地址唯一,不可以在同一拓扑中配置相同ip地址。
配置过程:
接入层交换机JR1配置举例:
[JR1]int g0/0/3
[JR1-GigabitEthernet0/0/3]port link-type access
[JR1-GigabitEthernet0/0/3]qu
[JR1]vlan 115
[JR1-vlan115]port g0/0/3
[JR1]int g0/0/4
[JR1-GigabitEthernet0/0/4]port link-type access
[JR1-GigabitEthernet0/0/4]qu
[JR1]vlan 115
[JR1-vlan115]port g0/0/4
[JR1]int g0/0/1
[JR1-GigabitEthernet0/0/1]port link-type trunk
[JR1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[JR1]int g0/0/2
[JR1-GigabitEthernet0/0/2]port link-type trunk
[JR1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
JR2、JR3和JR4的配置与JR1的配置类似,这里省略。
汇聚层交换机HJ1配置举例:
#因为HJ1连接有vlan 115-122的设备,所以在HJ1上需要创建vlan 115 to 122,若没有配置,最后的设备连通性会出问题
[HJ1]vlan batch 115 to 122 #创建多个vlan
[HJ1]int g0/0/3
[HJ1-GigabitEthernet0/0/3]port link-type trunk
[HJ1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[HJ1]int g0/0/2
[HJ1-GigabitEthernet0/0/2]port link-type trunk
[HJ1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
#这里汇聚层和核心层之间选择使用access端口,并配置ip地址(也可以选择配置trunk端口,不用配置ip地址)
[HJ1]int g0/0/1
[HJ1-GigabitEthernet0/0/1]port link-type access
[HJ1-GigabitEthernet0/0/1]vlan 120
[JR1-vlan120]port g0/0/1
[JR1-vlan120]qu
[JR1]int vlan 120
[HJ1-Vlanif120]ip add 192.20.10.1 24
HJ2的配置与HJ1的配置类似,这里省略。
核心层交换机HX配置举例:
[HX]vlan batch 115 to 122 #创建多个vlan
[HX]int g0/0/1
[HX-GigabitEthernet0/0/1]port link-type access
[HX-GigabitEthernet0/0/1]vlan 122
[HX-vlan122]port g0/0/1
[HX-vlan122]int vlan 122
[HX-Vlanif122]ip add 192.20.122.2 24
[HX]int g0/0/2
[HX-GigabitEthernet0/0/2]port link-type access
[HX-GigabitEthernet0/0/2]vlan 120
[HX-vlan120]port g0/0/2
[HX-vlan120]int vlan 120
[HX-Vlanif120]ip add 192.20.120.2 24
[HX]int g0/0/3
[HX-GigabitEthernet0/0/3]port link-type access
[HX-GigabitEthernet0/0/3]vlan 121
[HX-vlan121]port g0/0/3
[HX-vlan121]int vlan 121
[HX-Vlanif121]ip add 192.20.121.2 24
[HX]int g0/0/4
[HX-GigabitEthernet0/0/4]port link-type access
[HX-GigabitEthernet0/0/4]vlan 119
[HX-vlan119]port g0/0/4
[HX-vlan119]int vlan 122
[HX-Vlanif119]ip add 192.20.119.2 24
在HJ1和HJ2之间配置链路聚合。
配置链路聚合的前提要求:
加入Eth-Trunk口的接口必须是hybrid接口(默认的接口类型);
一个以太接口只能加入一个Eth-Trunk口;
一个Eth-Trunk口的成员口类型必须相同。
配置过程:
汇聚层交换机HJ1配置举例:
[HJ1]int Eth-Trunk 1
[HJ1-Eth-Trunk1]qu
[HJ1]int g0/0/5
[HJ1-GigabitEthernet0/0/5]eth-trunk 1
[HJ1-GigabitEthernet0/0/5]int g0/0/6
[HJ1-GigabitEthernet0/0/6]eth-trunk 1
汇聚层交换机HJ2配置举例:
[HJ2]int Eth-Trunk 1
[HJ2-Eth-Trunk1]qu
[HJ2]int g0/0/5
[HJ2-GigabitEthernet0/0/5]eth-trunk 1
[HJ2-GigabitEthernet0/0/5]int g0/0/6
[HJ2-GigabitEthernet0/0/6]eth-trunk 1
以上配置完之后,需要在HJ1和HJ2上面分别配置:
[HJ1]int Eth-Trunk 1
[HJ1-Eth-Trunk1]port link-type trunk
[HJ1-Eth-Trunk1]port trunk allow-pass vlan all
在JR1、JR2、HJ1和HJ2上启用STP,其中HJ1为主根,HJ2为备根。
准备知识:
生成树协议(stp)
STP运算第一步:通过比较每台交换机的ID(交换机优先级+MAC地址构成)选举根交换机。(交换机默认优先级为32768)。
交换机优先级数低为根交换机,次之为备份交换机(优先级相同比较交换机MAC地址,MAC地址小 的选为根交换机)。
可以通过修改优先级,配置STP主根交换机,和备份根交换机;也可以通过stp root primary 指定该交换机为主根交换机,通过命令stp root secondary指定该交换机为备份根交换机。通过命令配置完成后查看主根交换机优先级改为0,备份根交换机优先级为4096。
修改优先级时,只能是4096的整数倍,且小于等于32768.
配置过程
JR1启用STP:
[JR1]stp enable
[JR1]stp mode stp #更改stp模式为普通stp,交换机默认开启mstp
JR2启用STP:
[JR2]stp enable
[JR2]stp mode stp #更改stp模式为普通stp,交换机默认开启mstp
HJ1启用STP,并配置HJ1为根交换机
[HJ1]stp enable
[HJ1]stp mode stp #更改stp模式为普通stp,交换机默认开启mstp
[HJ1]stp prilrity 0 #修改HJ1交换机优先级为0
HJ2启用STP,并配置HJ2为备根交换机
[HJ2]stp enable
[HJ2]stp mode stp #更改stp模式为普通stp,交换机默认开启mstp
[HJ2]stp prilrity 4096 #修改HJ1交换机优先级为4096
分别在HJ1和HJ2的上行接口关闭stp,如果不关闭的话,会导致HX的g0/0/3端口被阻塞,从而导致全网不能连通。(也可以选择直接关闭HX的stp)
关闭HJ1上行接口的stp
[HJ1]int g0/0/1
[HJ1-GigabitEthernet0/0/1]stp disable
关闭HJ2上行接口的stp
[HJ2]int g0/0/1
[HJ2-GigabitEthernet0/0/1]stp disable
在HJ1上为销售部、宣传部、客服部主机提供默认网关,在HJ2上为财务处主机提供默认网关。
准备知识:
一般取xx.xx.xx.254作为网关地址,(其他也可以)。
在交换机上配置网关,是在对应主机的vlan下配置。
配置过程:
在HJ1上为销售部、宣传部、客服部主机提供默认网关
#在HJ1上为销售部提供默认网关
[HJ1]int vlan 115
[HJ1-Vlanif115]ip add 192.20.115.254 24
#在HJ1上为宣传部提供默认网关
[HJ1]int vlan 116
[HJ1-Vlanif116]ip add 192.20.116.254 24
#在HJ1上为客服部提供默认网关
[HJ1]int vlan 117
[HJ1-Vlanif117]ip add 192.20.117.254 24
在HJ2上为财务处主机提供默认网关。
#在HJ2上为财务处主机提供默认网关
[HJ2]int vlan 118
[HJ2-Vlanif118]ip add 192.20.118.254 24
在汇聚层、核心层交换机以及出口路由器上配置OSPF协议,使内网互通。
配置过程
在汇聚层交换机HJ1上配置OSPF协议:
[HJ1]ospf 1
[HJ1-ospf-1]area 0
[HJ1-ospf-1-area-0.0.0.0]network 192.20.115.0 0.0.0.255
[HJ1-ospf-1-area-0.0.0.0]network 192.20.116.0 0.0.0.255
[HJ1-ospf-1-area-0.0.0.0]network 192.20.117.0 0.0.0.255
[HJ1-ospf-1-area-0.0.0.0]network 192.20.120.0 0.0.0.255
在汇聚层交换机HJ2上配置OSPF协议:
[HJ2]ospf 1
[HJ2-ospf-1]area 0
[HJ2-ospf-1-area-0.0.0.0]network 192.20.115.0 0.0.0.255
[HJ2-ospf-1-area-0.0.0.0]network 192.20.118.0 0.0.0.255
[HJ2-ospf-1-area-0.0.0.0]network 192.20.121.0 0.0.0.255
核心层交换机HX上配置OSPF协议:
[HX]ospf 1
[HX-ospf-1]area 0
[HX-ospf-1-area-0.0.0.0]network 192.20.119.0 0.0.0.255
[HX-ospf-1-area-0.0.0.0]network 192.20.120.0 0.0.0.255
[HX-ospf-1-area-0.0.0.0]network 192.20.121.0 0.0.0.255
[HX-ospf-1-area-0.0.0.0]network 192.20.122.0 0.0.0.255
在出接口路由器CK上配置OSPF协议:
[CK]ospf 1
[CK-ospf-1]area 0
[CK-ospf-1-area-0.0.0.0]network 192.20.122.0 0.0.0.255
测试结果:(测试结果为内网互通,这里只显示几个)
边界路由器CK与数据中心连通性测试:
![](https://img-blog.csdnimg.cn/img_convert/184e82b389144f9dfe70ad726076788c.png)
边界路由器CK与销售部连通性测试:
![](https://img-blog.csdnimg.cn/img_convert/129e78a9d70d762981bb6e1929e211d0.png)
边界路由器CK与宣传部连通性测试:
![](https://img-blog.csdnimg.cn/img_convert/cc8e64cb2c54420d5cf4f272813495ea.png)
在数据中心服务器上开启WWW服务,测试客户端的访问。
![](https://img-blog.csdnimg.cn/img_convert/9ad4e0461f06503c4b7ed643bfa039c4.png)
![](https://img-blog.csdnimg.cn/img_convert/0b70f2cfb5b9ca849a5a7a8571993602.png)
实现除客服部外其他部门主机对财务处主机的访问。
准备知识:
实现某一网段不能访问另一网段,选择使用高级acl(3000-3999)
实现拒绝或允许某一网段访问,选择使用基本acl(2000-2999)
配置过程
我选择在靠近财务部的主机上配置,由于二层交换机上面没有配置路由信息,所以选择在HJ2上面配置。
在HJ2上配置acl,拒绝客服部访问财务部:
[HJ2-acl-adv-3000]acl 3000
[HJ2-acl-adv-3000]rule deny ip source 192.20.117.0 0.0.0.255 destination 192.20.118.0 0.0.0.255
[HJ2-acl-adv-3000]rule permit ip
在HJ2的g0/0/2端口的出方向上调用acl 3000:
[HJ2]int g0/0/2
[HJ2-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
测试结果
![](https://img-blog.csdnimg.cn/img_convert/ab994a6e4839bb02b8ff02c28dfc3a45.png)
在出口路由器CK与运营商路由器ISP之间开启CHAP认证,认证用户名为姓名全拼首字母,密码相同。
准备知识
CHAP认证分为单向认证和双向认证。
配置有”ppp authentication-mode chap”命令的一段,说明是主认证方,若两个路由器都有,说明是双向认证。
配置过程
这里,我选择ISP为主认证方,CK为被认证方
主认证方ISP的配置:
[ISP]aaa
[ISP-aaa]local-user huawei password cipher huawei
[ISP-aaa]local-user huawei service-type ppp
[ISP]int s4/0/0
[ISP-Serial4/0/0]link-protocol ppp
[ISP-Serial4/0/0]ppp authentication-mode chap
被认证方CK的配置:
#这里的user和password要与主认证方的一致
[CK]int s4/0/0
[CK-Serial4/0/0]link-protocol ppp
[CK-Serial4/0/0]ppp chap user huawei
[CK-Serial4/0/0]ppp chap password cipher huawei
测试结果
![](https://img-blog.csdnimg.cn/img_convert/6ea11256699d46e5d0367ab836987278.png)
在CK与ISP之间配置OSPF,实现外网互通。
准备知识
内外网分别配置OSPF协议。说明内网和外网配置ospf协议的进程号不能相同,区域号可以相同。
配置过程
在CK上配置OSPF协议:
[CK]ospf 2
[CK-ospf-2]area 0
[CK-ospf-2-area-0.0.0.0]network 200.20.115.0 0.0.0.255
在ISP上配置OSPF协议:
[ISP]ospf 2
[ISP-ospf-2]area 0
[ISP-ospf-2-area-0.0.0.0]network 200.20.115.0 0.0.0.255
[ISP-ospf-2-area-0.0.0.0]network 200.20.116.0 0.0.0.255
测试结果
CK ping GWPC测试结果:
![](https://img-blog.csdnimg.cn/img_convert/89e2b0271fd096f29bdc14dff2c45c02.png)
在CK路由器上配置NAT,实现企业网内除财务处主机外的Internet访问。
准备过程:
NAT分为:Basic NAT、NAPT、Easy-ip(特殊的NAPT)。
华为设备acl默认拒绝所有。
想要实现私网到公网,需要在汇聚层和核心层有外网的路由,所以需要配置默认路由或者静态路由。
配置过程:(在CK上配置)
配置NAT:
Basic NAT配置过程:
[CK]acl 2000
[CK-acl-basic-2000]rule 5 deny source 192.20.118.0 0.0.0.255
[CK-acl-basic-2000]rule 10 permit
[CK]nat address-group 1 address 200.20.115.6 200.20.115.10 #地址池自己设置
[CK]int s4/0/0
[CK-Serial4/0/0]nat outbound 2000 address-group 1 no-pat
NAPT配置过程:
[CK]acl 2000
[CK-acl-basic-2000]rule 5 deny source 192.20.118.0 0.0.0.255
[CK-acl-basic-2000]rule 10 permit
[CK]nat address-group 1 address 200.20.115.6 200.20.115.10 #地址池自己设置
[CK]int s4/0/0
[CK-Serial4/0/0]nat outbound 2000 address-group 1
EASY-IP配置过程:
[CK]acl 2000
[CK-acl-basic-2000]rule 5 deny source 192.20.118.0 0.0.0.255
[CK-acl-basic-2000]rule 10 permit
[CK]int s4/0/0
[CK-Serial4/0/0]nat outbound 2000
配置默认路由
在HJ1上面配置默认路由:
[HJ1]ip route-static 0.0.0.0 0.0.0.0 192.20.120.2
在HJ2上面配置默认路由:
[HJ2]ip route-static 0.0.0.0 0.0.0.0 192.20.121.2
在HX上面配置默认路由:
[HX]ip route-static 0.0.0.0 0.0.0.0 192.20.122.1
测试结果:
财务部访问公网PC:
![](https://img-blog.csdnimg.cn/img_convert/222b059ce9819dfdf2a806826a724982.png)
销售部访问公网PC:
![](https://img-blog.csdnimg.cn/img_convert/a374eabe7f45956c58236e648ebca7ee.png)
在CK路由器上配置NAT Server,实现公网PC对数据中心WWW服务器的WEB访问。
配置过程
[CK]int s4/0/0
[CK-Serial4/0/0]nat server protocol tcp global 200.20.115.5 www inside 192.20.119.1 www
#nat server是将内网ip和公网ip地址做映射。访问公网地址相当于内网ip地址
测试结果
![](https://img-blog.csdnimg.cn/img_convert/775135320fa384e18f84d77d7a52f01c.png)