前面的两篇文章,已经把我们在初级篇所需要使用的技术和基础的网络技术概念给大家分享了,这一篇主要就是做实验,也是我们初级篇中的最后一篇,对我们前面所学的理论做一下验证,以及对我们前面所掌握的做一些总结。
下面是本次实验的拓扑图,使用的是H3C的HCL模拟器,在上一篇中已经给大家提供官方的下载地址了,可以一起动手做一下,学习一个新东西最主要是要上手操练,这样记忆会比较深刻。
简单介绍一下拓扑结构,正常情况下是没有左边的Host和S5820的,在本次实验中主要用来做管理,以便大家更直观的看到实际的调试内容,在实际生产环境中,左边的Host相当于我们自己的笔记本,用console线登录设备,进行调试。
实验拓扑硬件:
1.F1090防火墙作为边界出口设备
2.S6850作为接入层交换机
3.两台VPC作为终端接入
4.一台S6850模拟互联网的网关
实验需求:
1.终端需要可以自动获取IP地址
2.所有的网络设备均可以远程管理
3.终端可以访问互联网
配置思路:
1.先配置好防火墙,防火墙作为网关设备使用,所有控制以及与外网通信
都由防火墙进行转发与控制,需要配置VLAN、ACL、DHCP、路由以及NAT,
开启HTTPS管理方式,配置远程管理账号密码。
2.接入交换机配置VLAN并透传至终端接入端口,配置基于SSH的远程登录
方式,配置远程管理账号密码。
业务地址
VLAN号 | IP地址 | 备注 | 设备 |
---|---|---|---|
100 | 10.21.10.254/24 | 业务VLAN | 防火墙 |
100 | 10.21.10.253/24 | 业务VLAN | 交换机 |
/ | 1.1.1.1/30 | 互联网IP | 防火墙侧 |
/ | 1.1.1.2/30 | 互联网IP | 运营商侧 |
开始配置
1
先查看虚拟网卡的IP地址,以便可以连接到模拟器的网络
2
配置S5820,修改设备名称
1.使用system-view进入设备的全局配置界面
2.sysname MGMT修改交换机名称为MGMT
3
S5820配置VLAN,并配置IP
1.vlan 1000 #新建vlan100的vlan号
2.interface vlan 1000 #进入到vlan配置ip的视图
3.ip address 192.168.100.11 24 #配置交换机的IP以及子网掩码
4
配置与本地终端互联的接口
5
测试S5820与我们的虚拟网卡联通性
ping 192.168.100.10 #ping我们的虚拟网卡地址,通信正常
6
配置防火墙,首先命令行登录防火墙,初始账号密码都是admin
7
配置接口IP,防火墙默认为三层接口,修改IP为同网段
1.interface g1/0/1
2.ip address 192.168.100.12 24
8
配置防火墙策略(实际生产环境不需要这一步)
1.security-zone name Management #进入Management安全域
2.import interface g1/0/1 #把g1/0/1接口加入安全域
9
创建ACL访问策略
1.acl advanced 3000 #创建高级ACL策略
2.rule permit ip #允许所有的地址互访
10
创建域间访问策略
1.zone-pair security source management destination local
#配置management到local的策略
2.packet-filter 3000
#调用ACL 3000的策略
3.zone-pair security source local destination management
#配置local到management的策略
4.packet-filter 3000
#调用ACL 3000的策略
11
测试与终端通信
ping 192.168.100.10 #通信正常
12
进入用户视图查看一下有没有开启https登录,结果发现没有,手动加一下
1.local-user admin #进入用户admin视图
2.display this #查看当前视图的配置
3.service-type https #添加https协议登录
13
浏览器输入https://192.168.100.12登录web界面,账号密码都是admin
14
第一次登录会强制修改密码,修改自己记住的密码即可
15
配置g1/0/0接口,该接口接的是内网,配置安全域为Trust,三层接口,开启对应协议允许访问和测试,其他默认
16
切换至IP地址界面,对应的接口IP,这个IP是内网的网关地址
17
g1/0/2一样的配置,把规划的地址配置上去
-
步骤1
-
步骤2
-
步骤3查看配置
18
配置DHCP,自动下发g1/0/0的IP地址作为业务网段,导航至网络-DHCP,开启DHCP服务
19
关闭其他接口的DHCP服务,保留内网口即可 -
其他未使用的端口不用做修改
-
添加一条策略使DHCP生效
20
导航至地址池新建地址池
21
创建需要分配的地址池网段
22
配置地址池选项,添加网关,DNS等配置,点击确定,并点击右上角的配置保存,要习惯性的保存配置,很重要!!!
23
导航至网络-路由-静态路由选项,新建静态路由
24
配置目的地址,地址和掩码0.0.0.0/0,表示所有,下一跳选择g1/0/2因为是互联网接口,下一跳就写对方的IP地址,优先级可以修改,默认静态路由为60(优先级越低则路由优先越高),配置完后确定然后保存一下
25
配置业务地址访问互联网策略
- 新建策略,配置名称,源地址和目的地址
- 选择服务和操作,服务选择any,操作选择允许
- 配置完成后点击提交,确认后在保存一下配置
26
配置NAT策略,源地址选择10.21.10.0,目的地址选择Internet组(组内配置地址为0.0.0.0/0)互联网接口地址
27
开始配置接入交换机,接入交换机就简单了,右键启动命令行终端,修改设备名称
28
配置vlan和地址
29
配置上联口
1.interface g1/0/1 #进入接口
2.port link-type access #配置access模式
3.port access vlan 100 #透传vlan100
30
接口要习惯写描述,不然过一段时间想回来看就有可能忘了
31
测试与防火墙通信
ping 10.21.10.254 #ping防火墙地址,通信正常
32
写静态路由,下一跳写防火墙接口地址
ip route-static 0.0.0.0 0 10.21.10.254
#0.0.0.0 0表示访问所有,10.21.10.254表示网关地址
33
对下联接口配置,配置成access接口并放行vlan100
1.interface range g1/0/2 to g1/0/3 #同时进入多接口进行配置
2.port link-type access #配置接口为access类型
3.port access vlan 100 #放行vlan100
34
生成RSA和DSA密钥对
1.public-key local create rsa #生成RSA密钥对
2.public-key local create dsa #生成DAS密钥对
35
开启ssh服务并创建登录用户
开启服务
1.ssh server enable #开启ssh服务
2.local-user testuser #创建登录用户testuser
配置用户密码
允许用户使用的服务
配置用户级别
authorization-attribute user-role network-admin
#配置用户角色
进入用户认证视图进行配置
1.user-interface vty 0 4 #进入用户视图
2.authentication-mode scheme #配置认证模式,使用AAA
3.protocol inbound ssh #允许使用的协议
全局配置下开启用户认证
ssh user testuser service-type stelnet authentication-type
password
用笔记本测试登录,登录成功,交换机有日志提示
36
查看VPC是否可以正常获取到地址,可以正常获取到地址
37
打开命令行终端测试与网关的通信
ping 10.21.10.254 #通信正常
38
终端测试与互联网地址通信
ping 1.1.1.1和1.1.1.2 #通信正常,现在已经可以访问互联网啦
PS:在上一篇提到的路由表和ARP表还有MAC地址表,我给大家看下区别
这是ARP表,该表记录着所有经过本设备的ARP记录,可以直观看到某个地址来自哪个接口哪个VLAN,MAC地址是什么
这是MAC地址表,记录了所有与本机直连的设备MAC地址表,包括互联接口信息,这是二层通信的重要表项,也是在中,高级排错技能中不可忽略的一个方向
这是路由表,路由表承载的是本设备所有的流量转发,可以很直观的看到我们的数据发送路径,关于路由表有几个参数大家一点要理解
1.Proto #该参数代表路由类型,Static为静态路由,Direct为本地路由
2.Pre #这个是代表优先级,静态默认60
3.Cost #代表链路所有经过的路径开销,数字越大路径越差
4.NextHop #代表该目的地的下一跳路径,在路由追踪时可以判断是否正确
5.Interface #代表该路由所在子网
6.Destination/Mask #代表目的地地址
!!!这几个表都很重要,大家一定要能理解其中的参数和参数对应的值代表着什么.
至此我们初级的实验完美落幕,我们把这个实验吃透了以后,就已经掌握了网络工程师的初级技能了,可以搭建一套简易版本的网络架构了,可以满足只是简单上网的需求.
在本次实验中,如果有碰到问题的小伙伴,欢迎评论把问题描述一下或者私聊都行,看到后会及时回复的.
那么到这里我们的初级篇就结束了,下一篇开始我们就开始进行中级篇的分享了,欢迎大家关注微信公众号,会同时进行文章同步.