园区网两层架构的配置:两层架构包括核心层和接入层

于 2021-09-04 21:38:33 发布
阅读量2.3k 收藏 12
点赞数
分类专栏: 网络 文章标签: 网络
原文链接:https://blog.csdn.net/qq_45331873/article/details/105765864
版权

版权声明:本文为CSDN博主「朝阳…晚霞」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_45331873/article/details/105765864

园区网两层架构的配置:两层架构包括核心层和接入层

在这里插入图片描述

一、实验要求:

1.用户的网关配置在核心交换机
2.企业内网划分多个vlan,减少广播域大小,提高网络稳定性
3.所有设备,在任何位置都可以telnet远程管理
4.出口配置NAT
5.stp运行RSTP模式,确保核心交换机为根桥。并将接入用户的接口配置为缘端口加快收敛。
6.配置根桥保护措施,确保根桥不被抢占
7.所有用户均为自动获取ip地址
8.在企业出口将内网服务器的80端口映射出去,允许外网用户访问
9.企业财务服务器,只允许财务部(vlan 30)的员工访问。

二、思路与配置:

  • 先划分vlan,连接用户和数据中心的接入层交换机接口类型为access,交换机之间为trunk
SW1上:
	undo info-center enable 关闭信息中心
	sysname SW1 
	vlan batch 10 30 200
	interface Vlanif10
	ip address 192.168.10.1 255.255.255.0
	interface Vlanif30
	ip address 192.168.30.1 255.255.255.0
	interface Vlanif200
	ip address 192.168.200.1 255.255.255.0
	interface GigabitEthernet0/0/1
	port link-type trunk
	port trunk allow-pass vlan 10 30
	interface GigabitEthernet0/0/2
	port link-type trunk
	port trunk allow-pass vlan 200
SW2上:
	sysname SW2
	undo info-center enable
	vlan batch 10 30
	interface Ethernet0/0/1
	port link-type trunk
	port trunk allow-pass vlan 10 30
	interface Ethernet0/0/2
	port link-type access
	port default vlan 10
	interface Ethernet0/0/3
	port link-type access
	port default vlan 30
SW3上:
	undo info-center enable
	sysname SW3
	vlan batch 200
	interface Ethernet0/0/1
	port link-type trunk
	port trunk allow-pass vlan 200
	interface Ethernet0/0/2
	port link-type access
	port default vlan 200
	interface Ethernet0/0/3
	port link-type access
	port default vlan 200
注:此时可以在主机上手工配置地址测试能否ping通网关看上述配置是否正确
  • 配置DHCP(核心上配置)建立三个地址池,分别为vlan 10、30、200分配地址。
    一般服务器的地址是不会动态获取的,手工配置即可
第一个地址池:
	ip pool vlan_10
	gateway-list 192.168.10.1
	network 192.168.10.0 mask 24
	dns-list 114.114.114.114 8.8.8.8
第二个地址池:
	ip pool vlan_30
	gateway-list 192.168.30.1
	network 192.168.30.0 mask 24
	dns-list 114.114.114.114 8.8.8.8
此时会发现还是不能获取到地址,这是因为没有启用dhcp,接口下也没有全局采用
	dhcp enable
	int Vlanif 10
	dhcp select global 
	int vlanif 30
	dhcp select global 
注:如果接入层交换机是三层的,需要启用DHCP中继

 
 

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • telnet服务设置
配置:
	telnet server enable  华为设备默认开启的
	aaa
	local-user hcip password simple hcip123 privilege level 3 账户密码和优先级
	local-user hcip service-type telnet 服务类型
	quit 退出
	user-interface vty 0 4 登录人数5人
	authentication-mode aaa 
注:所有交换机上都需要配置

 
 

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 如何telnet到二层交换机?此时可以专门来设置一个管理vlan对telnet进行统一的管理
    配置管理vlan 999
    管理地址段:192.168.255.X
SW1:
	vlan 999
	int vlan 999
	ip add 192.168.255.1 24
SW2:
	vlan 999
	int vlan 999
	ip add 192.168.255.2 24
	ip route-static 0.0.0.0 0 192.168.255.1 给管理流量回包的缺省路由
SW3:
	vlan 999
	int vlan 999
	ip add 192.168.255.3 24
	ip route-static 0.0.0.0 0 192.168.255.1
此时还是无法telnet,原因是管理vlan并没有被允许通过各个交换机,设置所有接口允许vlan 999通过
进入接口:port trunk allow-pass vlan 999 追加到允许通过的vlan中
注:由于enspPC不支持telnet,可以用 SW2telnet其他地址进行测试,测试必须在用户视图下进行。

 
 

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 华为的核心交换机上G0/0/3上默认是不能配置地址的,所以需要采用SVI技术配置地址,并配置好其他IP地址
SW1:
	vlan 800
	int g0/0/3
	port link-type access 
	port default vlan 800
	interface Vlanif800
	ip address 192.168.254.1 24
R1:
	interface g0/0/0
	ip address 192.168.254.2 24
	interface g0/0/1
	ip address 12.1.1.1 29
R2:
	SYS R2
	int g0/0/0
	ip add 12.1.1.6 29
	int loopback 0
	ip add 9.9.9.9 24

 
 

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 此时还是无法访问外网,所以需要在核心上配置缺省路由,然后在出口配置转换
SW1:
	ip route-static 0.0.0.0 0 192.168.254.2
R1:
	acl 2000
	rule  5 permit source 192.168.0.0  0.0.255.255    
	int g0/0/1
	nat outbound 2000
注:此时R1上没有访问外网的路由
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6
此时就可以访问外网,但是没有回包,数据包由外网
经过R1时,没有到达192.168.10.0、20.0的路由
ip route-static 192.168.0.0 255.255.0.0 192.168.254.1
此时用户可以进行上网

 
 

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • RSTP相关配置
SW1:
	stp mode rstp  所有交换机全部开启rstp
	stp priority 0  修改优先级确保SW1为根桥
	SW2:
	stp mode rstp
	port-group group-member e0/0/2 to e0/0/3
	stp edged-port enable 开启stp边缘端口
	stp bpdu-protection  交换机从边缘端口收到stp报文,
	会将该接口shutdown
SW3:
	stp mode rstp
	port-group group-member e0/0/2 to e0/0/3
	stp edged-port enable 
	stp bpdu-protection
注:在核心的指定端口做stp root-protection,如果用户
私自接入交换机,会导致整个内网断网
  • 映射80端口
    web服务器地址192.168.200.10
    网关:192.168.200.1
nat server protocol tcp global 12.1.1.4 www inside 192.168.200.100 www 将私网地址映射成公网地址访问

 
 

 
 
  • 1
  • 企业财务服务器,只允许财务部(vlan 30)的员工访问
    一般服务器是存在防火墙的,可以在核心做防火墙策略
SW1:
	acl number 3000
	rule 5 permit ip source 192.168.30.0 0.0.0.255 
destination 192.168.200.20 0
允许30.0网段访问200.20
	rule 10 deny ip destination 192.168.200.20 0
	拒绝其他用户的访问
	traffic-filter outbound acl 3000 
	在靠近服务器的接口上启用acl 3000

 
 

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

此时所有要求全部完成!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值