本文档由md软件编写后导入,如若存在格式错乱,请移步原始文档
组网需求:
- 200人左右
- 满足当前业务需求
- 拓扑简单,维护方便
- 提供有线接入供办公使用,提供wifi服务供访客使用
- 简单网络流量管理
- 一定的安全性
1 交换机工作原理
1.1 组网拓扑
每个设备都有自己独有的MAC地址,交换机根据MAC地址去转发数据包
1.2 配置PC
1.2.1 配置IP
-
VPC2
VPC2> ip 1.1.1.2 24 Checking for duplicate address... VPC2 : 1.1.1.2 255.255.255.0 VPC2> show ip NAME : VPC2[1] IP/MASK : 1.1.1.2/24 GATEWAY : 0.0.0.0 DNS : MAC : 00:50:79:66:68:02 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 -
VPC3
VPC3> ip 1.1.1.3 24 Checking for duplicate address... VPC3 : 1.1.1.3 255.255.255.0 VPC3> show ip NAME : VPC3[1] IP/MASK : 1.1.1.3/24 GATEWAY : 0.0.0.0 DNS : MAC : 00:50:79:66:68:03 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 -
VPC4
VPC4> ip 1.1.1.4 24 Checking for duplicate address... VPC4 : 1.1.1.4 255.255.255.0 VPC4> show ip NAME : VPC4[1] IP/MASK : 1.1.1.4/24 GATEWAY : 0.0.0.0 DNS : MAC : 00:50:79:66:68:04 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500 -
VPC5
VPC5> ip 1.1.1.5 24 Checking for duplicate address... VPC5 : 1.1.1.5 255.255.255.0 VPC5> show ip NAME : VPC5[1] IP/MASK : 1.1.1.5/24 GATEWAY : 0.0.0.0 DNS : MAC : 00:50:79:66:68:05 LPORT : 20000 RHOST:PORT : 127.0.0.1:30000 MTU : 1500
1.2.2 ping测试
VPC2 ping VPC5
VPC2> ping 1.1.1.5
84 bytes from 1.1.1.5 icmp_seq=1 ttl=64 time=2.241 ms
84 bytes from 1.1.1.5 icmp_seq=2 ttl=64 time=3.547 ms
84 bytes from 1.1.1.5 icmp_seq=3 ttl=64 time=2.824 ms
84 bytes from 1.1.1.5 icmp_seq=4 ttl=64 time=2.449 ms
84 bytes from 1.1.1.5 icmp_seq=5 ttl=64 time=7.147 ms
1.2.3 工作原理
查看交换机MAC地址表
[HUAWEI]display mac-address
Flags: * - Backup
BD : bridge-domain Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type Age
-------------------------------------------------------------------------------
0050-7966-6802 1/- GE1/0/0 dynamic -
0050-7966-6803 1/- GE1/0/1 dynamic -
0050-7966-6804 1/- GE1/0/2 dynamic -
0050-7966-6805 1/- GE1/0/3 dynamic -
-------------------------------------------------------------------------------
Total items: 4
| MAC Address | VLAN/VSI | Learned-From | Type | Age |
|---|---|---|---|---|
| 设备物理地址,即MAC地址 | VLAN是虚拟局域网的缩写,VSI是虚拟交换实例。"1/-"可能表示这些MAC地址属于VLAN 1,并且没有指定VSI。 | 表示设备从哪个接口学习到这个MAC地址 | MAC地址的类型;dynamic表示动态学习 | 设备学习到这个MAC地址的时间;-表示最近学习的,还未超时 |
查看GE1/0/0抓包
| No. | Time | Source | Destination | Protocol | Length | Info |
|---|---|---|---|---|---|---|
| 序号 | 时间戳,记录数据包捕获确切时间 | 发送数据包的设备的MAC地址 | 目标MAC地址,如果是广播地址(例如"ff:ff:ff:ff:ff:ff"),则表示该数据包被发送给了网络上的所有设备。显示Broadcast可能是抓包工具进行了简化 | 数据包使用的协议名称 | 数据包的长度 | 数据包信息 |
工作原理:
可以看到数据报文中包含了目标MAC地址,交换机会查看目标MAC,在MAC地址表中查找对应的MAC,从对应的接口转发
问题:
数据包发包时封装好的,那VPC1怎么知道VPC5的MAC地址?
VPC1通过广播形式,发出arp(地址解析协议)询问,
告诉我(1.1.1.2),谁是1.1.1.5?,广播包所有设备均可收到,VPC5收到发现是找自己的,就给1.1.1.2回消息,说我是1.1.1.5,MAC是XXXXX交换机怎么知道该MAC地址对应哪个接口呢?
当交换机的接口收到数据包,就会把数据包的源MAC地址和接收接口映射到自己的MAC地址表中。
有很多电脑的时候,会有大量的广播包,导致网络卡顿,怎么办?
使用VLAN技术,划分虚拟局域网,分割广播域,隔离故障等
1.2.4 ARP工作原理
- IP 地址到 MAC 地址的映射查询:当一个设备需要向另一个设备发送数据时,首先需要知道目标设备的 MAC 地址。发送设备会检查自己的 ARP 缓存表,如果找不到目标设备的 MAC 地址,则会发送一个 ARP 请求广播,询问局域网中所有设备:“谁的 IP 地址是 X.X.X.X,告诉我你的 MAC 地址是什么?”这个广播会被发送到局域网中的所有设备。
- 目标设备的应答:目标设备收到 ARP 请求后,会检查自己的 IP 地址是否与请求中的 IP 地址匹配,如果匹配,则会发送一个 ARP 应答,包含自己的 MAC 地址。这个应答会直接发送给请求设备,而不是广播给整个局域网。
- ARP 缓存表更新:发送设备收到目标设备的应答后,会将目标设备的 IP 地址和 MAC 地址的映射关系存储在自己的 ARP 缓存表中,以便下次直接使用,避免再次发送 ARP 请求。
- ARP 缓存表的过期处理:ARP 缓存表中的映射关系会有一个过期时间,如果在一定时间内没有使用,就会被清除,下次需要通信时会重新发送 ARP 请求。
2 VLAN
2.1 组网拓扑
2.1.1 设备配置
2.1.1.1 配置划分vlan
CE6800需要使用system-view immediately 进入系统视图,只使用system-view进入后,配置不会生效,需要配置后进行commit,为了方便直接执行system-view immediately
VPC配置参考[1.2.1 配置IP](###1.2.1 配置IP)
接口划分vlan
<HUAWEI>system-view immediately
Enter system view, return user view with return command.
[HUAWEI]sysname CE1
[CE1]vlan 10
[CE1-vlan10]q
[CE1]interface GE 1/0/0
[CE1-GE1/0/0]port link-type access
[CE1-GE1/0/0]port default vlan 10
[CE1-GE1/0/0]q
[CE1]int GE 1/0/1
[CE1-GE1/0/1]port link-type access
[CE1-GE1/0/1]port default vlan 10
[CE1-GE1/0/1]q
[CE1]vlan 20
[CE1-vlan20]q
[CE1]int GE 1/0/2
[CE1-GE1/0/2]port link-type access
[CE1-GE1/0/2]port default vlan 20
[CE1-GE1/0/2]q
[CE1]int GE 1/0/3
[CE1-GE1/0/3]port link-type access
[CE1-GE1/0/3]port default vlan 20
[CE2]vlan 10
[CE2-vlan10]q
[CE2]vlan 20
[CE2-vlan20]q
[CE2]interface GE 1/0/1
[CE2-GE1/0/1]port link-type access
[CE2-GE1/0/1]port default vlan 10
[CE2-GE1/0/1]q
[CE2]interface GE 1/0/2
[CE2-GE1/0/2]port link-type access
[CE2-GE1/0/2]port default vlan 20
[CE2-GE1/0/2]
查看配置结果
[CE1]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
MAC-LRN: MAC-address learning; STAT: Statistic;
BC: Broadcast; MC: Multicast; UC: Unknown-unicast;
FWD: Forward; DSD: Discard;
--------------------------------------------------------------------------------
VID Ports
--------------------------------------------------------------------------------
1 UT:GE1/0/4(U) GE1/0/5(U) GE1/0/6(U) GE1/0/7(U)
GE1/0/8(U) GE1/0/9(U) GE1/0/10(U) GE1/0/11(U)
GE1/0/12(U) GE1/0/13(U) GE1/0/14(U) GE1/0/15(U)
GE1/0/16(U) GE1/0/17(U) GE1/0/18(U) GE1/0/19(U)
GE1/0/20(D) GE1/0/21(D) GE1/0/22(D) GE1/0/23(D)
GE1/0/24(D) GE1/0/25(D) GE1/0/26(D) GE1/0/27(D)
GE1/0/28(D) GE1/0/29(D) GE1/0/30(D) GE1/0/31(D)
GE1/0/32(D) GE1/0/33(D) GE1/0/34(D) GE1/0/35(D)
GE1/0/36(D) GE1/0/37(D) GE1/0/38(D) GE1/0/39(D)
GE1/0/40(D) GE1/0/41(D) GE1/0/42(D) GE1/0/43(D)
GE1/0/44(D) GE1/0/45(D) GE1/0/46(D) GE1/0/47(D)
10 UT:GE1/0/0(U) GE1/0/1(U)
20 UT:GE1/0/2(U) GE1/0/3(U)
VID Type Status Property MAC-LRN STAT BC MC UC Description
--------------------------------------------------------------------------------
1 common enable default enable disable FWD FWD FWD VLAN 0001
10 common enable default enable disable FWD FWD FWD VLAN 0010
20 common enable default enable disable FWD FWD FWD VLAN 0020
2.1.1.2 配置trunk放通vlan
[CE1]int GE 1/0/4
[CE1-GE1/0/4]port link-type trunk
[CE1-GE1/0/4]port trunk allow-pass vlan 10 20
[CE2]int GE 1/0/0
[CE2]port link-type trunk
[CE2]port trunk allow-pass vlan 10 20
ping测试,由于VPC2与VPC5不在同vlan,已经无法通信;VPC2与VPC7可以通信
VPC2> ping 1.1.1.5
host (1.1.1.5) not reachable
VPC7> ping 1.1.1.2
84 bytes from 1.1.1.2 icmp_seq=1 ttl=64 time=3.587 ms
84 bytes from 1.1.1.2 icmp_seq=2 ttl=64 time=8.485 ms
84 bytes from 1.1.1.2 icmp_seq=3 ttl=64 time=3.929 ms
84 bytes from 1.1.1.2 icmp_seq=4 ttl=64 time=7.898 ms
84 bytes from 1.1.1.2 icmp_seq=5 ttl=64 time=10.609 ms
2.1.2 工作原理
问题:
CE2怎么知道VPC1是属于vlan 10还是属于vlan20?
因为CE1与CE2连接的接口配置属于Trunk口,数据包在经过Trunk链路时,会携带vlan标签,交换机收到数据包根据vlan标签判断是属于哪个vlan
3 路由器工作原理
- 路由是指导报文转发的路径信息,通过路由可以确认转发IP报文的路径
- 路由器是依靠路由转发报文到目的网段的设备
- 路由设备维护着一张路由表,保存着路由信息
3.1 组网拓扑(一)
3.2 配置
3.2.1 VPC配置IP+网关
VPC3> ip 192.168.10.3 192.168.10.1 24
Checking for duplicate address...
VPC3 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1
VPC7> ip 192.168.30.7 192.168.30.1 24
Checking for duplicate address...
VPC7 : 192.168.30.7 255.255.255.0 gateway 192.168.30.1
VPC配置类似,参照组网图IP进行配置
3.2.2 CE交换机配置
- 创建vlan 10 20
- 接口GE1/0/1、GE1/0/2划分到vlan10;GE1/0/3、GE1/0/4划分到vlan20
- GE1/0/0配置Trunk,放行vlan 10 20
[HUAWEI]display current-configuration
#
vlan batch 10 20
#
interface GE1/0/0
undo shutdown
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GE1/0/1
undo shutdown
port default vlan 10
#
interface GE1/0/2
undo shutdown
port default vlan 10
#
interface GE1/0/3
undo shutdown
port default vlan 20
#
interface GE1/0/4
undo shutdown
port default vlan 20
#
查看vlan
[HUAWEI]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
MAC-LRN: MAC-address learning; STAT: Statistic;
BC: Broadcast; MC: Multicast; UC: Unknown-unicast;
FWD: Forward; DSD: Discard;
--------------------------------------------------------------------------------
VID Ports
--------------------------------------------------------------------------------
1 UT:GE1/0/0(U) GE1/0/5(U) GE1/0/6(U) GE1/0/7(U)
GE1/0/8(U) GE1/0/9(U)
10 UT:GE1/0/1(U) GE1/0/2(U)
TG:GE1/0/0(U)
20 UT:GE1/0/3(U) GE1/0/4(U)
TG:GE1/0/0(U)
VID Type Status Property MAC-LRN STAT BC MC UC Description
--------------------------------------------------------------------------------
1 common enable default enable disable FWD FWD FWD VLAN 0001
10 common enable default enable disable FWD FWD FWD VLAN 0010
20 common enable default enable disable FWD FWD FWD VLAN 0020
| VID | Ports | U/D | MP | ST | # | * | FWD | DSD | Type | Status | Property | MAC-LRN | STAT | BC | MC | UC | Description |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| VLAN ID,表示虚拟局域网的唯一标识符。 | 端口配置,显示了哪些端口被分配到了特定的VLAN。这里的UT表示Untagged,即未标记端口,TG表示Tagged,即标记端口。 | 表示端口的状态,U代表Up(正常工作),D代表Down(关闭或故障)。 | Vlan-mapping,表示VLAN映射。 | Vlan-stacking,表示VLAN堆叠。 | ProtocolTransparent-vlan,表示协议透明的VLAN。 | Management-vlan,表示管理VLAN。 | Forward,表示转发。 | Discard,表示丢弃。 | VLAN类型,common表示普通VLAN。 | VLAN状态,enable表示启用。 | VLAN属性,default表示默认设置。 | MAC-address learning,表示MAC地址学习功能是否启用。 | Statistic,表示统计功能是否启用。 | Broadcast,表示广播包的处理方式,FWD表示Forward(转发),DSD表示Discard(丢弃)。 | Multicast,表示组播包的处理方式。 | Unknown-unicast,表示未知单播包的处理方式。 | VLAN描述,这里显示为VLAN 0001、VLAN 0010和VLAN 0020。 |
3.2.3 AR路由器配置
- 进入接口G0/0/0清空配置,进入其子接口G0/0/0.1,通过dot1q命令封装vlan,来接收带标签的vlan数据
- 配置vlan对应网段的网关IP
- G0/0/1与G0/0/2配置IP为VPC7和VPC8的网关
[Huawei]display current-configuration
[V300R021C00SPC100T]
#
vlan batch 10 20
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/0.1
dot1q termination vid 10
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet0/0/0.2
dot1q termination vid 20
ip address 192.168.20.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.40.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.30.1 255.255.255.0
#
查看路由表
[Huawei]display ip routing-table
Route Flags: R - relay, D - download to fib, T - to vpn-instance
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 16 Routes : 16
Destination/Mask Proto Pre Cost Flags NextHop Interface
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/0.1
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0.1
192.168.10.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0.1
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/0.2
192.168.20.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0.2
192.168.20.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0.2
192.168.30.0/24 Direct 0 0 D 192.168.30.1 GigabitEthernet0/0/2
192.168.30.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2
192.168.30.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2
192.168.40.0/24 Direct 0 0 D 192.168.40.1 GigabitEthernet0/0/1
192.168.40.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
192.168.40.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
| Route Flags | Routing Tables | Destinations | Routes | Destination/Mask | Proto | Pre | Cost | Flags | NextHop | Interface |
|---|---|---|---|---|---|---|---|---|---|---|
| - R: 表示该路由可以被转发。 - D: 表示该路由信息可以下载到FIB(Forwarding Information Base,转发信息库)。 - T: 表示该路由是指向VPN实例的。 | 路由表名称,这里显示为"Public",表示公共路由表。 | 目的地址的数量。 | 路由条目总数。 | 目的网络地址和子网掩码。 | 路由协议,这里"Direct"表示直连接路,即设备直接连接的网络。 | 优先级,路由选择时使用,数值越小优先级越高。 | 到达目的地的代价或开销。 | 路由标志,这里"D"表示该路由已经下载到FIB。 | 下一跳地址,数据包将被发送到这个地址。 | 出接口,数据包将通过这个接口发送。 |
ping测试不用vlan间通信结果,VPC3:192.168.10.3
VPC3> ping 192.168.40.8
192.168.40.8 icmp_seq=1 timeout
84 bytes from 192.168.40.8 icmp_seq=2 ttl=63 time=29.980 ms
84 bytes from 192.168.40.8 icmp_seq=3 ttl=63 time=5.374 ms
84 bytes from 192.168.40.8 icmp_seq=4 ttl=63 time=7.287 ms
84 bytes from 192.168.40.8 icmp_seq=5 ttl=63 time=4.350 ms
VPC3> trace 192.168.40.8
trace to 192.168.40.8, 8 hops max, press Ctrl+C to stop
1 192.168.10.1 340.063 ms 124.398 ms 26.992 ms
2 *192.168.40.8 2.844 ms (ICMP type:3, code:3, Destination port unreachable)
3.3 组网拓扑(二)
3.3.1 内网互通
3.3.1.1 VPC配置
参考[3.2.1 VPC配置IP+网关](###3.2.1 VPC配置IP+网关)
3.3.1.2 CE1交换机配置
参考[3.2.2 CE交换机配置](###3.2.2 CE交换机配置)
3.3.1.3 CE2交换机配置
- 创建vlan 10 20
- 在SVI接口创建网关IP
- 接口GE1/0/0配置Trunk,放行vlan 10 20
- GE1/0/1划分vlan10;GE1/0/2划分vlan20
[CE2]display current-configuration
#
vlan batch 10 20
#
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
#
interface GE1/0/0
undo shutdown
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GE1/0/1
undo shutdown
port default vlan 20
#
interface GE1/0/2
undo shutdown
port default vlan 10
#
ping测试
VPC11> ping 192.168.20.14
192.168.20.14 icmp_seq=1 timeout
84 bytes from 192.168.20.14 icmp_seq=2 ttl=63 time=9.225 ms
84 bytes from 192.168.20.14 icmp_seq=3 ttl=63 time=15.933 ms
84 bytes from 192.168.20.14 icmp_seq=4 ttl=63 time=6.600 ms
84 bytes from 192.168.20.14 icmp_seq=5 ttl=63 time=12.426 ms
VPC11> trace 192.168.20.14
trace to 192.168.20.14, 8 hops max, press Ctrl+C to stop
1 192.168.10.1 68.036 ms 3.289 ms 4.550 ms
2 *192.168.20.14 16.223 ms (ICMP type:3, code:3, Destination port unreachable)
因为CE1只进行划分vlan,当做二层交换机使用。通过CE2路由表也可看出,所有的VPC的IP都是直连路由。
此时,在CE2上连接一台路由器,配置IP为172网段,对于该路由器来说,192网段IP不是直连路由,无法访问。所以需要配置路由。
CE2交换机的GE1/0/3接口配置IP:172.16.1.2/24;后在路由器上配置172.16.1.1/24,在配置路由
#
interface GE1/0/3
undo portswitch
undo shutdown
ip address 172.16.1.2 255.255.255.0
#
3.3.1.4 NE9000路由器配置
- 配置IP
- 配置静态路由
[NE]display current-configuration
#
sysname NE
#
interface Ethernet1/0/0
undo shutdown
ip address 172.16.1.1 255.255.255.0
dcn
dcn mode vlan
#
ip route-static 192.168.10.0 255.255.255.0 172.16.1.2
ip route-static 192.168.20.0 255.255.255.0 172.16.1.2
#
ping测试
VPC11> ping 172.16.1.1
84 bytes from 172.16.1.1 icmp_seq=1 ttl=254 time=65.991 ms
84 bytes from 172.16.1.1 icmp_seq=2 ttl=254 time=10.951 ms
84 bytes from 172.16.1.1 icmp_seq=3 ttl=254 time=20.063 ms
84 bytes from 172.16.1.1 icmp_seq=4 ttl=254 time=10.677 ms
84 bytes from 172.16.1.1 icmp_seq=5 ttl=254 time=14.355 ms
VPC11> trace 172.16.1.1
trace to 172.16.1.1, 8 hops max, press Ctrl+C to stop
1 192.168.10.1 73.258 ms 4.525 ms 3.031 ms
2 *172.16.1.1 64.736 ms (ICMP type:3, code:3, Destination port unreachable)
3.3.2 访问外网
3.3.2.1 缺省路由
内网想要访问外网,因为外网的IP非常多,不可能一条条写,所以这时候直接在CE2上添加一条缺省路由,只要是访问外网的,我都把它交给路由器。
[CE2]ip route-static 0.0.0.0 0.0.0.0 172.16.1.1
查看路由表
[CE2]display ip routing-table
Proto: Protocol Pre: Preference
Route Flags: R - relay, D - download to fib, T - to vpn-instance, B - black hole route
------------------------------------------------------------------------------
Routing Table : _public_
Destinations : 14 Routes : 14
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 172.16.1.1 GE1/0/3
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
172.16.1.0/24 Direct 0 0 D 172.16.1.2 GE1/0/3
172.16.1.2/32 Direct 0 0 D 127.0.0.1 GE1/0/3
172.16.1.255/32 Direct 0 0 D 127.0.0.1 GE1/0/3
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Vlanif10
192.168.10.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
192.168.10.255/32 Direct 0 0 D 127.0.0.1 Vlanif10
192.168.20.0/24 Direct 0 0 D 192.168.20.1 Vlanif20
192.168.20.1/32 Direct 0 0 D 127.0.0.1 Vlanif20
192.168.20.255/32 Direct 0 0 D 127.0.0.1 Vlanif20
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
路由器拿到访问互联网的数据包后,继续交给电信公司,即缺省路由下一跳为1.1.1.1/24
[NE]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
查看路由表
[NE]display ip routing-table
Route Flags: R - relay, D - download to fib, T - to vpn-instance, B - black hole route
------------------------------------------------------------------------------
Routing Table : _public_
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 1.1.1.1 Ethernet1/0/1
1.1.1.0/24 Direct 0 0 D 1.1.1.2 Ethernet1/0/1
1.1.1.2/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1
1.1.1.255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
172.16.1.0/24 Direct 0 0 D 172.16.1.1 Ethernet1/0/0
172.16.1.1/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0
172.16.1.255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0
192.168.10.0/24 Static 60 0 RD 172.16.1.2 Ethernet1/0/0
192.168.20.0/24 Static 60 0 RD 172.16.1.2 Ethernet1/0/0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
此时,内网PC只能访问到出口1.1.1.2,真正想要访问外网,还需要进行NAT地址转换配置
3.3.2.2 私网IP
公有地址:由专门的机构管理、分配,可以在Internet上直接通信的IP地址。
私有地址:组织和个人可以任意使用,无法在Internet上直接通信,只能在内网使用的IP地址
A、B、C类地址审各预留子一些地址专门作为私有IP地址:
- A类:10.0.00~10.255.255.255
- B类:172.16.0.0~172.31.255.255
- C类:192.168.0.0~192.168.255.255
3.3.2.3 NAT
工作原理
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或防火墙上,
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内到外的流量,网络设备通过NAT将数据包的源地址进行转(转换成特定的公有地址),而对于“从外到内的流量,则对数据包的目的地址进行转换。
通过私有地址的使用结合NAT技术,可以有效节约公网IPv4地址
配置步骤
- 配置ACL,设备哪些IP可以访问外网
- 设置外网口,开启NAT
注:
开启后,会将匹配到的IP自动转换为出接口的IP地址与外网进行通信
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source any
[Huawei-acl-basic-2000]q
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]nat outbound 2000
ping服务器测试
VPC11> ping 6.6.6.6
84 bytes from 6.6.6.6 icmp_seq=1 ttl=61 time=125.537 ms
84 bytes from 6.6.6.6 icmp_seq=2 ttl=61 time=11.524 ms
84 bytes from 6.6.6.6 icmp_seq=3 ttl=61 time=21.449 ms
84 bytes from 6.6.6.6 icmp_seq=4 ttl=61 time=15.905 ms
84 bytes from 6.6.6.6 icmp_seq=5 ttl=61 time=43.273 ms
VPC11> trace 6.6.6.6
trace to 6.6.6.6, 8 hops max, press Ctrl+C to stop
1 192.168.10.1 111.498 ms 4.066 ms 3.056 ms
2 172.16.1.1 61.568 ms 5.546 ms 6.918 ms
3 1.1.1.1 60.510 ms 1.581 ms 3.885 ms
4 1.1.1.1 0.632 ms 0.823 ms
在内网抓包,报文携带的是VPC的实际IP地址
在出接口抓包,发现VPC的IP地址已经被NAT转换为公网地址
4 防火墙
将出口的路由器替换为防火墙,防火墙本质就是相当于路由器+安全策略。所以配置步骤比路由器多一个安全策略的配置。
4.1 组网拓扑
4.1.1 配置USG6000V CLI
- 配置安全策略(信任域为内网,非信任域为外网)
- 配置安全规则,允许哪些数据包放行
- 进入安全域
- 配置规则
- 配置源区域及目标区域
- 放行
- 配置IP
- 配置静态路由
- 配置NAT策略(与路由器有差异)
[USG6000V2]firewall zone tr
[USG6000V2]firewall zone trust
[USG6000V2-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V2-zone-trust]q
[USG6000V2]firewall zone untrust
[USG6000V2-zone-untrust]add interface GigabitEthernet 1/0/1
[USG6000V2-zone-untrust]q
[USG6000V2]security-policy
[USG6000V2-policy-security]rule name shangwang
[USG6000V2-policy-security-rule-shangwang]source-zone trust
[USG6000V2-policy-security-rule-shangwang]destination-zone untrust
[USG6000V2-policy-security-rule-shangwang]action permit
[USG6000V2-policy-security-rule-shangwang]q
[USG6000V2-policy-security]q
[USG6000V2]int g1/0/0
[USG6000V2-GigabitEthernet1/0/0]ip address 172.16.1.1 24
[USG6000V2-GigabitEthernet1/0/0]q
[USG6000V2]int GigabitEthernet 1/0/1
[USG6000V2-GigabitEthernet1/0/1]ip address 1.1.1.2 24
[USG6000V2-GigabitEthernet1/0/1]q
[USG6000V2]ip route-static 192.168.10.0 24 172.16.1.2
[USG6000V2]ip route-static 192.168.20.0 24 172.16.1.2
[USG6000V2]ip route-static 0.0.0.0 0 1.1.1.1
[USG6000V2]nat-policy
[USG6000V2-policy-nat]rule name shangwang
[USG6000V2-policy-nat-rule-shangwang]source-zone trust
[USG6000V2-policy-nat-rule-shangwang]destination-zone untrust
# easy-ip 表示自动转换为出接口的IP地址
[USG6000V2-policy-nat-rule-shangwang]action source-nat easy-ip
ping外网服务器
VPC11> ping 6.6.6.6
6.6.6.6 icmp_seq=1 timeout
84 bytes from 6.6.6.6 icmp_seq=2 ttl=61 time=29.219 ms
84 bytes from 6.6.6.6 icmp_seq=3 ttl=61 time=7.094 ms
84 bytes from 6.6.6.6 icmp_seq=4 ttl=61 time=70.365 ms
84 bytes from 6.6.6.6 icmp_seq=5 ttl=61 time=18.491 ms
VPC11> trace 6.6.6.6
trace to 6.6.6.6, 8 hops max, press Ctrl+C to stop
1 192.168.10.1 101.021 ms 5.088 ms 8.229 ms
2 * * *
3 1.1.1.1 107.681 ms 4294967.115 ms 19.951 ms
4 1.1.1.1 3.673 ms 4294966.617 ms
4.1.2 配置Web登录防火墙
- 设备防火墙的管理IP与虚拟机分配到的IP在同一网段,将管理口连接到云端
- 通过IP+8443端口(默认)进入Web页面,默认密码账号是admin/Admin@123
- 进入页面后会要求改密码。改完密码重新登录就可以正常使用了
5 通信原理
- 最开始PC开机首先会去获取IP及参数,此次通过手动配置
- 子网掩码:确定IP地址的网络位,通过网络位判断IP是不是在同一个网段
- 网关:如果是不同网段进行通信,需要先找自己的网关
- DNS:进行地址解析,如果需要访问的是一个网址,就把该网址发给DNS服务器,经过服务器转换为IP地址在返回,访问该网址本质就是访问该IP
- 拿到域名对应的IP判断是不是在同网段,不是则把数据包发给网关
- 数据包发送到网关之前先需要将网关的MAC地址封装到数据包,通过MAC地址查找MAC地址交给网关
- 网关拿到数据包后,会拿到目标IP地址,查询路由表,找到对应路由的下一跳地址(防火墙),将下一跳IP对应的MAC地址封装到数据包,从对应的接口发出
- 防火墙拿到数据包之后同样获取目的IP查询路由表,找到下一跳地址,发现下一跳是外网地址,区域是非信任区,此时会查看安全策略,判断从trust到untrust区域的流量是否放行,如果放行就继续查看NAT策略,将内网地址转换为出接口地址,将下一跳地址的MAC地址封装到数据包,从对应的接口发出
- 服务器拿到数据包发现是公网IP(防火墙出接口)在访问它,就给其回包,防火墙收到数据包后会根据NAT转换时的表进行反转,将公网IP转为之前的内网IP,将数据包原路发回
扫一扫
2186
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
