基于 A 营业厅网络架构搭建项目实训 我司跟某通信公司建立网络搭建合作项目,设备已上架完成,现需一名售后 工程师根据客户需求,对网络设备进行部署配置。 项目网络拓扑如下:
附上完成的paper与ans:链接:https://pan.baidu.com/s/12E00g1-AKBfopEoqAxdrrg?pwd=1550
提取码:1550
拓扑与实验文档:链接:https://pan.baidu.com/s/1olCehl5123q23o6uskwmWQ?pwd=1550
提取码:1550
发布了一个进阶版的综合实例:HCIP or 1+X高级的一个综合案例-CSDN博客
大家可以看看~~~
客户需求:
1.营业厅内的 6 台终端设备(客户端)都能访问到 web-服务器。
2.营业厅内的不同区域不能相互访问,但同部门之间能够相互访问,除了访客区 域之外。
这里需要做MUX-VLAN隔离(Multiplex VLAN提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。)
参考交换机高级特性简介:MUX VLAN、端口隔离功能、端口安全功能简单原理与配置_mux vlan能够防御mitm攻击吗?为什么?-CSDN博客
3.为了避免三层设备单设备故障,使用两台三层核心交换机设备进行冗余网关配 置。
据冗余网关可知
核心层的俩台交换机需要做VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议
参考
秒懂VRRP协议原理及配置_vrrp虚拟ip与真实网关地址一致条件-CSDN博客
4.为了营业厅设备能够上网,在 chukou-AR 设备配置 easy ip,同时将 web-服务 器映射到公网上 10.1.1.100 80 >> 110.120.99.66 80, 让其他外网客户端以及营 业厅内网终端,能够通过 web 了解办事处官网相关信息。
Easy-IP与NAT SERVER的配置于出口路由器的外网接口GE0/0/2
参考
Easy IP配置easy-ip_easy ip-CSDN博客
NAT SERVER【网络基础】NET Server配置详述_nat server-CSDN博客
5.项目附加帮 A 办事处上网,在 A-chukou-AR 配置 easy ip,同时 A 办事处的 telent server 能够远程登录到 A 营业厅的出口路由器。
Telnet的配置,因为题目没有要求创建用户,所以仅使能password方式
创建的用户也一起写了叭
那么开始表演~
项目需求分析:
一、A 营业厅部署需求
(一)汇聚交换机与接入交换机之间配置 vlan 划分、使能 mux vlan 功能:
1.针对交换机接入终端设备的接口进行 vlan 划分,具体参考拓扑所分配 vlan 进行划分。
按照拓扑文字要求:前台区域为vlan10;运营部为vlan20;访客vlan30;web-服务器vlan100
huiju与jieru的所有交换机都需要创建vlan batch 10 20 30 100;
sysname jieru-SW1
#
vlan batch 10 20 30 100
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
#
sysname jieru-SW2
#
vlan batch 10 20 30 100
#
interface Ethernet0/0/5
port link-type access
port default vlan 30
#
interface Ethernet0/0/6
port link-type access
port default vlan 30
##
sysname huiju-SW
#
vlan batch 10 20 30 100
#
interface Ethernet0/0/1
port link-type access
port default vlan 1002.jieru-SW1、jieru-SW2、huiju-SW 之间配置 trunk ,允许系带 vid 10 20 30 100,同时将 vid 1 禁用 。
sysname jieru-SW1
#
interface Ethernet0/0/10
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 100
#
interface Ethernet0/0/11
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 100
#sysname jieru-SW2
#
interface Ethernet0/0/10
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 100
#
interface Ethernet0/0/12
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 100
#sysname huiju-SW
#
interface Ethernet0/0/11
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 100
#
interface Ethernet0/0/12
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 100
#3.针对 6 台设备能够访问营业厅数据库,但使不同区域不能互访。
(1)采用 mux-vlan 技术,将数据库(vlan 100)为主 vlan,而前台区域、 营运区域(vlan10 20)加入 mux vlan 互通组 ,访客区域(vlan 30)加入 mux vlan 隔离组中。
MUX-VLAN需要在jieru与huiju的三台交换机上主VLAN(100)使能以及端口使能(连接终端的端口)
sysname huiju-SW
#
vlan 100
mux-vlan //主VLAN下使能multiplex vlan(多路复用 VLAN)
subordinate separate 30 //访客区域vlan 区域内不可互相访问,只可以和主VLAN通信
subordinate group 10 20 //前台与运营部区域vlan 组内可互相访问,组与组之间不可互访
#
interface Ethernet0/0/1 //与终端连接的接口下 使能mux-vlan
port mux-vlan enable
#sysname jieru-SW1
#
vlan 100
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Ethernet0/0/1
port mux-vlan enable
#
interface Ethernet0/0/2
port mux-vlan enable
#
interface Ethernet0/0/3
port mux-vlan enable
#
interface Ethernet0/0/4
port mux-vlan enable
#sysname jieru-SW2
#
vlan 100
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface Ethernet0/0/5
port mux-vlan enable
#
interface Ethernet0/0/6
port mux-vlan enable
#group与separate的作用需自己领会~
(2)在接入交换机(jieru-SW2)的 E0/0/5 和 E0/0/6 配置端口安全技术, 对 mac-address 表数量进行设置限制为 2。
sysname jieru-SW2
#
interface Ethernet0/0/5
port-security enable //使能端口安全
port-security max-mac-num 2 //设置端口最大MAC地址表记录的数量为2
#
interface Ethernet0/0/6
port-security enable
port-security max-mac-num 2
#(二)汇聚交换机与核心交换机配置 hybrid 的链路类型:
4.由于汇聚交换机接入两台核心交换机的 E0/0/2 和 E0/0/3,需要剥离 vlan 10 20 30 100 的标记,采用 hybrid untagged 列表,同时两个端口打上 100 标记。
sysname huiju-SW
#
interface Ethernet0/0/2
port hybrid pvid vlan 100
port hybrid untagged vlan 10 20 30 100
#
interface Ethernet0/0/3
port hybrid pvid vlan 100
port hybrid untagged vlan 10 20 30 100
#5.两台核心层交换机接入汇聚交换机的端口,需配置 trunk,需打上 100 标 记,同时允许 vlan 100 通过。
vlan按照文字要求额外添加 SW1添加vlan 11~12 --"-- SW2添加vlan 12,21
sysname hexin-SW1
#
vlan batch 10 to 12 20 30 100
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
#sysname hexin-SW2
#
vlan batch 10 12 20 to 21 30 100
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
#(三)两台核心交换机在 vlanif100 配置 vrrp 功能,hexin-SW1 为 master:
6.在两台三层核心交换机配置 vrrp,vrid 为 1,虚拟网关 ip:10.1.1.254,同 时修改 heixn-SW1,vrrp 优先级为 120。
顺便把所有IP地址配了~
sysname hexin-SW1
#
interface Vlanif11
ip address 10.1.11.2 255.255.255.0
#
interface Vlanif12
ip address 10.1.12.1 255.255.255.0
#
interface Vlanif100
ip address 10.1.1.253 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.254 //vrrp配置指定vrid为1 虚拟网关 是 10.1.1.254
vrrp vrid 1 priority 120 //设置优先级为120,越大越优;默认优先级为100
#sysname hexin-SW2
#
#
interface Vlanif12
ip address 10.1.12.2 255.255.255.0
#
interface Vlanif21
ip address 10.1.21.2 255.255.255.0
#
interface Vlanif100
ip address 10.1.1.252 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.254
#7.两台核心交换机之间部署链路聚合的 lacp 模式, 链路组为 12,且允许 11 12 21 100 携带标签通过。
sysname hexin-SW1
#
interface Eth-Trunk12
port link-type trunk
port trunk allow-pass vlan 11 to 12 21 100
mode lacp-static
#
interface GigabitEthernet0/0/2
eth-trunk 12
#
interface GigabitEthernet0/0/3
eth-trunk 12
#sysname hexin-SW2
#
interface Eth-Trunk12
port link-type trunk
port trunk allow-pass vlan 11 to 12 21 100
mode lacp-static
#
interface GigabitEthernet0/0/2
eth-trunk 12
#
interface GigabitEthernet0/0/3
eth-trunk 12
#(四)核心交换机发送 chukou-AR 设备的数据帧携带标签:
8.在三层核心交换机-1 接入 chukou-AR 设备,配置 trunk,且不携带 vlan 11 标记发送。
sysname hexin-SW1
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 11
port trunk allow-pass vlan 11
#9.在三层核心交换机-2 接入 chukou-AR 设备,配置 trunk,且不携带 vlan 21 标记发送。
sysname hexin-SW2
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 21
port trunk allow-pass vlan 21
#(五)所有交换机配置 Rstp 模式:
10.所有交换机配置 Rstp 模式,同时配置 hexin-SW1 为根桥设备,hexin-SW2 为次根,修改 jieru-SW2 的 E0/0/10 cost 值为 40000,且 A 营业厅 jieru-SW1 和 jieru-SW2 对相应终端设备,开启 Rstp 边缘端口功能。
sysname hexin-SW1
#stp mode rstp
stp instance 0 root primary
#
sysname hexin-SW2
#stp mode rstp
stp instance 0 root secondary
#
sysname huiju-SW
#stp mode rstp
#
sysname jieru-SW1
#stp mode rstp
#
interface Ethernet0/0/1
stp edged-port enable
#
interface Ethernet0/0/2
stp edged-port enable
#
interface Ethernet0/0/3
stp edged-port enable
#
interface Ethernet0/0/4
stp edged-port enable
#
sysname jieru-SW2
#stp mode rstp
#interface Ethernet0/0/5
stp edged-port enable
#
interface Ethernet0/0/6
stp edged-port enable
#interface Ethernet0/0/10
stp instance 0 cost 40000#
(六)三层设备 ospf 配置要求:
11.为了保障设备正常通信,三层设备之间配置 ospf 进程 1,区域 0 的路由 协议,对设备 ip 地址进行精准宣告主机地址。同时,以环回接口的 ip 地址作为 ospf 的 router id。( chukou-AR 的 loopback IP 地址为 1.1.1.1/32、hexin-SW1 的 loopback IP 地址为 2.2.2.2/32、hexin-SW2 的 loopback IP 地址为 3.3.3.3/32 )。
12.在 chukou-AR、hexin-SW1、hexin-SW2 开启 ospf 区域认证模式,认证方 式 md5,key id 1,密文:Ayingye2023
13.将 chukou-AR 的 G0/0/2 配置 ospf 静默接口,不向外网发 ospf 报文。
14.在 chukou-AR 设备,ospf 进程 1 中强制下发缺省路由。
15.在 chukou-AR 设备,修改 G0/0/1 端口 ospf cost 值为 10。
记得配置IP地址喔~
sysname chukou-AR
#interface GigabitEthernet0/0/0
ip address 10.1.11.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.21.1 255.255.255.0
ospf cost 10 // 修改 G0/0/1 端口 ospf cost 值为 10
#interface LoopBack1
ip address 1.1.1.1 255.255.255.255
#ospf 1 router-id 1.1.1.1
default-route-advertise always // ospf 进程 1 中强制下发缺省路由。
silent-interface GigabitEthernet0/0/2 //配置 ospf 静默接口,不向外网发 ospf 报文。
area 0.0.0.0
authentication-mode md5 1 cipher Ayingye2023 //ospf 区域认证模式MD5
network 1.1.1.1 0.0.0.0
network 10.1.11.1 0.0.0.0
network 10.1.21.1 0.0.0.0
#
sysname hexin-SW1
#interface LoopBack1
ip address 2.2.2.2 255.255.255.255
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
authentication-mode md5 1 cipher Ayingye2023 //ospf 区域认证模式MD5
network 10.1.11.2 0.0.0.0
network 10.1.12.1 0.0.0.0
network 10.1.1.253 0.0.0.0
network 2.2.2.2 0.0.0.0
#
sysname hexin-SW2
#interface LoopBack1
ip address 3.3.3.3 255.255.255.255
#
ospf 1 router-id 3.3.3.3
area 0.0.0.0
authentication-mode md5 1 cipher Ayingye2023 //ospf 区域认证模式MD5
network 3.3.3.3 0.0.0.0
network 10.1.12.2 0.0.0.0
network 10.1.21.2 0.0.0.0
network 10.1.1.252 0.0.0.0
#
16.在 chukou-AR 的 G0/0/2 配置 easy ip,调用 acl 2000 策略,acl2000 要允许 10.1.1.0 /24。
sysname chukou-AR
#
acl number 2000
rule 5 permit source 10.1.1.0 0.0.0.255
#interface GigabitEthernet0/0/2
ip address 110.120.99.66 255.255.255.0
nat outbound 2000
#
验证: 
由PC1去ping
外网客户端并在出口路由器chukou-AR上display nat session all查看NAT会话
[chukou-AR]display nat session all
NAT Session Table Information:Protocol : ICMP(1)
SrcAddr Vpn : 10.1.1.1 //源地址
DestAddr Vpn : 110.120.99.99 //目的地址
Type Code IcmpId : 0 8 43765
NAT-Info
New SrcAddr : 110.120.99.66 //NAT后的地址
New DestAddr : ----
New IcmpId : 10240Protocol : ICMP(1)
SrcAddr Vpn : 10.1.1.1
DestAddr Vpn : 110.120.99.99
Type Code IcmpId : 0 8 43767
NAT-Info
New SrcAddr : 110.120.99.66
New DestAddr : ----
New IcmpId : 10241Protocol : ICMP(1)
SrcAddr Vpn : 10.1.1.1
DestAddr Vpn : 110.120.99.99
Type Code IcmpId : 0 8 43768
NAT-Info
New SrcAddr : 110.120.99.66
New DestAddr : ----
New IcmpId : 10242Protocol : ICMP(1)
SrcAddr Vpn : 10.1.1.1
DestAddr Vpn : 110.120.99.99
Type Code IcmpId : 0 8 43769
NAT-Info
New SrcAddr : 110.120.99.66
New DestAddr : ----
New IcmpId : 10243Protocol : ICMP(1)
SrcAddr Vpn : 10.1.1.1
DestAddr Vpn : 110.120.99.99
Type Code IcmpId : 0 8 43771
NAT-Info
New SrcAddr : 110.120.99.66
New DestAddr : ----
New IcmpId : 10244Total : 5
17.在 chukou-AR 的 G0/0/2 里将私网地址 10.1.1.100 的 web 服务,通过 nat server 方式映射成 110.120.99.166 80,让外网客户端以及 A 客户端都能获取到该 功能。
sysname chukou-AR
#interface GigabitEthernet0/0/2
nat server protocol tcp global 110.120.99.166 80 inside 10.1.1.100 80
#
验证 
由外网客户端访问映射地址110.120.99.166的web服务
先设置好web-服务器
外网客户端配置完成后点击获取~
成功验证~
二、A 办事处网络部署要求:
1.在 A-交换机中接入终端设备配置 access 接口模式,而连接 A-chukou-AR 配 置 hybrid 携带相应标记 vid 10 20。
sysname A-huiju-SW
#
vlan batch 10 20#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
#interface Ethernet0/0/4
port hybrid tagged vlan 10 20
#
2.在 A-chukou-AR 设备的 G0/0/0 口配置单臂路由,在 G0/0/0.10 口部署 DHCP 接口地址池,dns 列表为 8.8.8.8,将 PC100 和 telnet server 远程登录 由 DHCP 静态 mac 地址绑定方式获取,而客户端 A 用静态 ip 部署方式。
sysname A-chukou-AR
#
dhcp enable
#interface GigabitEthernet0/0/0.10
dot1q termination vid 10 //指定终端的vlan
ip address 10.10.10.254 255.255.255.0arp broadcast enable //开启arp广播
dhcp select interface //接口使能dhcp
dhcp server static-bind ip-address 10.10.10.100 mac-address 5489-98bd-491d //DHCP静态绑定
dhcp server static-bind ip-address 10.10.10.200 mac-address 00e0-fcd6-6ed8 //DHCP静态绑定
dhcp server dns-list 8.8.8.8 //dns 列表为 8.8.8.8
查看PC100的MAC地址
查看 telnet server的MAC地址
3.在 A-chukou-AR 设备,将 server6 的私网 ip 通告 nat server 转换到公网当 中(10.10.10.10:80>>110.120.99.200:80)。
因为该题没server6所以没法做!!!这里在放一下链接
拓扑与实验文档:链接:https://pan.baidu.com/s/1olCehl5123q23o6uskwmWQ?pwd=1550
提取码:1550
里边有topo
大家可以自行尝试添加
sysname A-chukou-AR
#interface GigabitEthernet0/0/1
ip address 110.120.99.188 255.255.255.0
nat server protocol tcp global 110.120.99.200 80 inside 10.10.10.10 80
#
4. 在 A-chukou-AR 设备的 G0/0/1,部署 easy ip,调用 acl 2001,允许 10.10.10.0/24、10.10.20.0/24 网段上网。
#
sysname A-chukou-AR
#acl number 2001
rule 5 permit source 10.10.10.0 0.0.0.255
rule 10 permit source 10.10.20.0 0.0.0.255
##
interface GigabitEthernet0/0/1
ip address 110.120.99.188 255.255.255.0
nat outbound 2001
#
5.通过端口隔离技术(默认 group 1),让 PC100 和 telnet server 互访不了。
sysname A-huiju-SW
#interface Ethernet0/0/1
port-isolate enable group 1
#
interface Ethernet0/0/2
port-isolate enable group 1
#
测试一下~
配置完后长PC100 长PING telnet server
隔离成功~~
反向验证~~~
在Ethemet0/0/1 上 undo port-isolate enable group 1
验证成功~~~
实验还没完呢~大家是不是还忘了telnet啦~~~
sysname chukou-AR
#user-interface vty 0 4
authentication-mode password //设置telnet认证模式为password
set authentication password cipher Ayingye2023 //设置认证时的密码为Ayingye2023
验证~~~在telnet server上telnet 110.120.99.66
输入密码后~
成功登录~
这里在额外配置一下AAA【Authentication(认证)、Authorization(授权)和Accounting(计费)】
sysname chukou-AR
#aaa
local-user chukou-ar password cipher Ayingye2023 //设置密码为Ayingye2023
local-user chukou-ar privilege level 14 //设置登录后的级别为14
local-user chukou-ar service-type telnet //设置用户服务类型为telnet#
user-interface vty 0 4
authentication-mode aaa //设置认证的模式为aaa
验证~~
查看等级也比刚刚的password认证权限高啦~
909
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
