文章目录
前言
本实验用华为模拟器eNSP进行模拟(文中部分命令为简写,不影响配置结果)
项目规划、设备选型
根据具体的设计需求,项目报价进行整体规划,网络翻新项目注意设备利旧。
本实验拓扑:
本实验要求:
① 设置合理的STP优先级、边缘端口、Eth-trunk
② 企业内网划分多个vlan ,减少广播域大小,提高网络稳定性
③ 所有设备,在任何位置都可以telnet远程管理
④ 出口配置NAT
⑤ 所有用户均为自动获取ip地址
⑥ 在企业出口将内网服务器的80端口映射出去,允许外网用户访问
⑦ 企业财务服务器,只允许财务部(vlan 30)的员工访问。
步骤一:STP、Eth-trunk配置
STP配置:
<LSW1>sys 进入系统视图模式
[LSW1]sysname sw1 更改设备名
[sw1]un in en 关闭弹出日志(可选)
[sw1]stp root primary 将核心交换机设为根桥
[sw2]port-group group-member e0/0/1 to e0/0/22 批量配置端口
[sw2-port-group]stp edged-port enable 设为边缘端口(sw2-sw5)
同理对sw3、sw4、sw5进行配置
进行链路捆绑(sw2-sw5):
[sw2]int eth-trunk 2
[sw2-eth-trunk2]mode lacp-static 建议使用lacp模式
[sw2]trunkport gi 0/0/1 0/0/2 将捆绑端口划入eth-trunk 2
[sw2]int eth-trunk 2
[sw2-eth-trunk2]stp cost 10000 将STP的cost改为固定值(建议)
进入对端(核心交换机sw1)进行对应链路捆绑配置
同理对sw3、sw4、sw5进行链路捆绑配置
步骤二:VLAN、trunk配置
对交换机端口进行VLAN划分和trunk配置:
[sw2]vlan 10 创建VLAN10
[sw2-vlan10]vlan 20 创建VLAN20
[sw2-vlan10]qu 退出接口
[sw2]int e0/0/2 进入e0/0/2接口
[sw2-e0/0/2]port link-type access 设置链路类型为access
[sw2-e0/0/2]port default vlan 10 将e0/0/2划分到VLAN10
[sw2-e0/0/2]int e0/0/3 进入e0/0/3接口
[sw2-e0/0/3]port link-typr access 设置链路类型为access
[sw2-e0/0/3]port default vlan 20 将e0/0/3划分到VLAN20
[sw2-e0/0/3]qu 退出接口
[sw2]int eth-trunk 2 创建聚合链路eth-trunk2
[sw2-eth-trunk2]port link-type trunk 设置链路类型为trunk
[sw2-eth-trunk2]port trunk allow-pass vlan all 允许全部的VLAN数据包通过
同理对sw3、sw4、sw5进行vlan、trunk配置
核心交换机sw1配置:
[sw1]valn batch 10 20 30 40 50 200 批量创建多个VLAN
[sw1]port-g g eth-trunk 2 to eth-trunk 5 批量配置eth-trunk
[sw1-port-group]port link-type trunk 配置链路类型为trunk
[sw1-port-group]port trunk allow-pass vlan all 允许全部VLAN数据包通过
查看VLAN的配置情况:
[sw2]display vlan
[sw2]display port vlan active
步骤三:网关、SVI配置
将核心交换机sw1作为网关,配置如下:
[sw1]vlanif10 进入vlanif10接口
[sw1-vlanif10]ip add 192.168.10.1 24 配置ip地址(下同)
[sw1-vlanif10]vlanif 20
[sw1-vlanif20]ip add 192.168.20.1 24
[sw1-vlanif20]vlanif 30
[sw1-vlanif30]ip add 192.168.30.1 24
[sw1-vlanif30]vlanif 40
[sw1-vlanif40]ip add 192.168.40.1 24
[sw1-vlanif40]vlanif 200
[sw1-vlanif200]ip add 192.168.200.1 24
路由器和核心交换机sw1之间的对接,局部拓扑图如下:
方法:将核心交换机sw1的gi0/0/24口划入vlan800并在vlanif800接口配置ip地址即可与出口路由器R1对接
[sw1]vlan 800
[sw1-vlan800]int gi0/0/24
[sw1-gi0/0/24]port link-type access
[sw1-gi0/0/24]port default vlan 800
[sw1-gi0/0/24]qu
[sw1]int vlanif 800
[sw1-vlanif800]ip add 192.168.254.2 24
步骤四:DHCP配置
在核心交换机sw1上配置DHCP服务(有多少个网段就建立多少个地址池)
[sw1]dhcp enable 启用DHCP服务
[sw1]ip pool XiaoShou1 建立地址池1
[sw1-pool-xiaoshou1]network 192.168.10.0 mask 24 配置地址网段
[sw1-pool-xiaoshou1]gateway-list 192.168.10.1 配置网关
[sw1-pool-xiaoshou1]dns-list 114.114.114.114 8.8.8.8 配置DNS
[sw1-pool-xiaoshou1]qu
[sw1]ip pool XiaoShou2 建立地址池2
[sw1-pool-xiaoshou2]network 192.168.20.0 mask 24 配置地址网段
[sw1-pool-xiaoshou2]gateway-list 192.268.20.1 配置网关
[sw1-pool-xiaoshou2]dns-list 114.114.114.114 8.8.8.8 配置DNS
[sw1-pool-xiaoshou1]qu
[sw1]int vlanif 10 进入接口
[sw1-vlanif10]dhcp select global 全局分配地址
继续配置其它地址池
步骤五:出口NAT配置
出口部分拓扑如下:
首先在核心交换机sw1上配置一条通往出口的静态路由:
[sw1]ip route-static 0.0.0.0 0 192.168.254.1 配置缺省路由
对出口R1路由器做如下配置:
[R1]int gi0/0/0 配置接口地址
[R1-gi0/0/0]ip add 192.168.254.1 24
[R1-gi0/0/0]int gi0/0/1
[R1-gi0/0/0]ip add 12.1.1.1 29
[R1-gi0/0/0]qu
[R1]ip route-static 0.0.0.0 0 12.1.1.6 配置缺省路由转向运营商R2
[R1]ip route-static 192.168.0.0 16 192.168.254.2 配置回包路由指向核心sw1
[R1]acl 2000 创建访问控制列表
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 配置规则(匹配整个内网)
[R1-acl-basic-2000]int gi0/0/1
[R1-gi0/0/1]nat outbound 2000 在接口gi0/0/1调用acl2000
对运营商R2路由器进行配置:
[R2]int gi0/0/0
[R2-gi0/0/0]ip add 12.1.1.2 29
[R2-gi0/0/0]int loopback 0 启用一个环回接口模拟百度
[R2-loopback0]ip add 9.9.9.9 24 环回接口配置地址
步骤六:服务器端口映射
在出口路由器R1上进行nat server配置:
[R1]int gi0/0/1
[R1-gi0/0/1]nat server protocol tcp global 12.1.1.2 80 inside 192.168.200.10 80 将服务器192.168.200.10的80端口映射到12.1.1.2的80端口
步骤七:ACL配置
在核心交换机sw1上配置ACL:
[sw1]acl 3000 建立访问控制列表3000
[sw1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.255.255 destionation 192.168.200.20 0 允许30网段(财务部)访问财务服务器
[sw1-acl-adv-3000]rule deny ip source any destionation 192.168.200.20 0 拒绝其他任何网段访问财务服务器
[sw1-acl-adv-3000]qu
[sw1]int eth-trunk 5 进入eth-trunk5接口
[sw1-eth-trunk5]traffic-filter outband acl 3000 调用访问控制列表3000
步骤八:Telnet配置
Telnet远程管理配置:
[R1]aaa 配置aaa
[R1-aaa]local-user admin privilege level 3 password cipher 123456 设置用户名和密码
[R1-aaa]local-user admin service-type telnet 设置服务类型为Telnet
[R1-aaa]qu
[R1]telnet server enable 开启Telnet服务
[R1]stelnet server enable 开启ssh(可选配置)
[R1]user-interface vty 0 4 进入虚拟接口
[R1-ui-vty0-4]authentication-mode aaa 设置认证模式为aaa认证
对需要远程的所有交换机做以上同样配置
在eNSP模拟器里的PC不支持Telnet,可用路由器模拟PC,配置如下:
[pc]dhcp enable 开启DHCP服务
[pc]int e0/0/0
[pc-e0/0/0]ip add dhcp-alloc 设置为自动获得地址
[pc-e0/0/0]qu
[pc]qu 退到用户视图模式
<pc>telnet 192.168.254.1 Telnet测试
路由器模拟PC时自动获得地址和网关,网关以一条缺省路由实现。
由于进行了vlan划分,且接入层交换机无地址,部分交换机无法被ping通,不能进行远程管理,因此交换机还需做如下操作:
规划为 管理vlan:999 管理网段:192.168.253.0/24
sw1—192.168.253.1/24、sw2—192.168.253.2/24、…、sw5—192.168.253.5/24
[sw1]vlan 999 创建管理vlan 999
[sw1-vlan999]qu
[sw1]int vlanif 999
[sw1-vlanif999]ip add 192.168.253.1 24 配置管理地址
同理对其他交换机进行配置
除sw1外的交换机还需配置缺省路由(将核心交换机sw1的管理地址192.168.253.1作为其他交换机的网关):
[sw2]ip route-static 0.0.0.0 0 192.168.253.1 管理流量的回包路由
步骤九:VLAN限制
当前所有的eth-trunk链路允许所有的vlan通过,导致广播域过大,造成网络不稳定,因此可对每条eth-trunk链路的vlan进行限制(过滤、修剪):
[sw2]int eth-trunlk 2
[sw1-eth-trunlk2]undo port trunk allow-pass vlan 2 to 4094 清除原先的配置
[sw1-eth-trunlk2]port trunk allow-pass vlan 10 20 999 设置只允许vlan10、20和999通过
进入对端(核心交换机sw1)进行对应链路vlan限制
同理对sw3、sw4、sw5进行链路vlan限制
到这里园区网就配置完成啦!!!
--------------------------------------------------------------END--------------------------------------------------------------