拓扑图
设备选型说明
PC1-4为终端设备中的PC设备
LSW1、LSW2为交换机中的S3700设备
AR1、AR2为路由器AR2220型号设备
业务需求
1.研发部之内两个子部门(研发1部,研发2部)之间划分VLAN实现二层流量隔离,在AR1设备上部署单臂路由技术实现VLAN间三层流量可达,参数如拓扑所示
2.市场部之内两个子部门(市场1部,市场2部)之间划分VLAN实现二层流量隔离,在AR2设备上部署单臂路由技术实现VLAN间三层流量可达,参数如拓扑所示
3.为避免手动配置终端设备网络参数带来的大工作量和地址冲突,分别在AR1设备和AR2设备上配置DHCP技术让各个部门终端自动获取网络参数
4.为确保研发部和市场部之间的正常业务交互,在全网部署OSPF协议,实现市场部和研发部的通信
5.为确保业务安全性,需部署ACL技术去规范研发部和市场部的通信,具体要求如下:
研发1部可以和市场1部通信,但不能和市场2部通信
研发2部可以和市场2部通信,但不能和市场1部通信
配置思路
1.开启终端设备的DHCP功能
2.在LSW设备上创建需要的VLAN并配置其端口类型及VLAN绑定
3.在AR设备上创建逻辑子接口,并进行单臂路由相关配置
4.在AR设备上开启DHCP功能并创建各部门地址池
5.在AR设备上的逻辑子接口下调用地址池,并在相应终端设备上查看地址获取情况
6.在AR设备上配置OSPF路由协议实现两大部门的互通
7.创建ACL并在接口下调用,阻断局部通信达到业务连通性要求
操作步骤
1.开启终端设备DHCP功能
以PC1为例:
注:PC2-4流程一致
2.登录LSW1和LSW2设备,完成重命名、VLAN创建,端口类型配置
LSW1:
sysname Sw1
undo info-center enable //关闭系统消息提示,避免后续影响配置
vlan batch 10 20 //批量创建VLAN
#
interface Ethernet0/0/1
port link-type access //修改端口类型
port default vlan 10 //配置接口所属VLAN
#
interface Ethernet0/0/2
port link-type access
port default vlan 20
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 //配置允许通过Trunk接口的VLAN
#
return
LSW2:
sysname Sw2
undo info-center enable
vlan batch 30 40
#
interface Ethernet0/0/1
port link-type access
port default vlan 30
#
interface Ethernet0/0/2
port link-type access
port default vlan 40
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 30 40
#
return
3.分别在AR1、AR2设备上完成重命名,配置物理接口IP地址、创建逻辑子接口并配置IP地址以及单臂路由相关配置
AR1:
sysname R1
#
undo info-center enable
#
interface GigabitEthernet0/0/0
ip address 10.0.12.1 255.255.255.0
#
interface GigabitEthernet0/0/1.1 //创建逻辑子接口
dot1q termination vid 10 //处理VLAN ID为10的报文
ip address 172.16.10.254 255.255.255.0
arp broadcast enable //开启ARP广播功能
#
interface GigabitEthernet0/0/1.2
dot1q termination vid 20
ip address 172.16.20.254 255.255.255.0
arp broadcast enable
#
return
AR2:
sysname R2
#
undo info-center enable
#
interface GigabitEthernet0/0/0
ip address 10.0.12.2 255.255.255.0
#
interface GigabitEthernet0/0/1.3
dot1q termination vid 30
ip address 172.16.30.254 255.255.255.0
arp broadcast enable
#
interface GigabitEthernet0/0/1.4
dot1q termination vid 40
ip address 172.16.40.254 255.255.255.0
arp broadcast enable
#
return
4.开启AR1、AR2设备的DHCP功能,并创建相关部门的地址池
AR1:
dhcp enable //开启DHCP功能
#
ip pool vlan10 //创建地址池
gateway-list 172.16.10.254 //设置网关
network 172.16.10.0 mask 255.255.255.0 //设置网段&掩码
excluded-ip-address 172.16.10.11 172.16.10.253 //设置保留地址段
lease day 3 hour 4 minute 5 //设置租期
dns-list 8.8.8.8 //设置DNS地址
#
ip pool vlan20
gateway-list 172.16.20.254
network 172.16.20.0 mask 255.255.255.0
excluded-ip-address 172.16.20.11 172.16.20.253
lease day 3 hour 4 minute 5
dns-list 8.8.8.8
#
AR2:
dhcp enable
#
ip pool vlan30
gateway-list 172.16.30.254
network 172.16.30.0 mask 255.255.255.0
excluded-ip-address 172.16.30.11 172.16.30.253
lease day 3 hour 4 minute 5
dns-list 8.8.8.8
#
ip pool vlan40
gateway-list 172.16.40.254
network 172.16.40.0 mask 255.255.255.0
excluded-ip-address 172.16.40.11 172.16.40.253
lease day 3 hour 4 minute 5
dns-list 8.8.8.8
#
5.将第4步创建的地址池在AR设备连接交换机的子接口下调用,并查看终端设备的网路参数获取情况
AR1:
interface GigabitEthernet0/0/1.1
dhcp select global //调用刚才创建的全局地址池
#
interface GigabitEthernet0/0/1.2
dhcp select global
AR2:
interface GigabitEthernet0/0/1.3
dhcp select global
#
interface GigabitEthernet0/0/1.4
dhcp select global
PC1地址获取:
PC2地址获取:
PC3地址获取:
PC4地址获取:
6.在AR1、AR2上配置OSPF协议,实现两大部门的通信
AR1:
ospf 1 router-id 1.1.1.1 //进入协议并配置Router-ID标识路由器
area 0.0.0.0 //进入区域
network 10.0.12.0 0.0.0.255 //宣告网段
network 172.16.10.0 0.0.0.255
network 172.16.20.0 0.0.0.255
AR2:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 10.0.12.0 0.0.0.255
network 172.16.30.0 0.0.0.255
network 172.16.40.0 0.0.0.255
连通性验证:
7.部署ACL实现局部通信的阻断
方案1(基本ACL):在AR2上创建基本ACL,并在靠近流量目的端最近的逻辑子接口上调用
AR2:
acl number 2000 //创建基本ACL
rule 5 deny source 172.16.10.0 0.0.0.255 //创建规则阻断来自PC1网段的数据
acl number 2001
rule 5 deny source 172.16.20.0 0.0.0.255 //创建规则阻断来自PC2网段的数据
#
interface GigabitEthernet0/0/1.3
traffic-filter outbound acl 2001 //接口下调用ACL使其生效
#
interface GigabitEthernet0/0/1.4
traffic-filter outbound acl 2000
方案2(高级ACL):在AR1上创建高级ACL,并在靠近流量源端较近的物理接口上调用
AR1:
acl number 3000 //创建高级ACL
rule 5 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.40.0 0.0.0.255
//阻断PC1去往PC4的流量
rule 10 deny ip source 172.16.20.0 0.0.0.255 destination 172.16.30.0 0.0.0.255
//阻断PC2去往PC3的流量
#
interface GigabitEthernet0/0/0
ip address 10.0.12.1 255.255.255.0
traffic-filter outbound acl 3000 //接口下调用创建的高级ACL使其生效
说明:基本ACL筛选流量的条件比较少,针对的流量范围较大,所以为了避免阻断其他无关流量,一般在靠近流量目的端调用;相反,高级ACL筛选流量的条件较多,针对的流量比较精准,所以为了防止无用流量浪费带宽资源,一般会在靠近流量源端调用。
结果验证
PC1:
PC2: