实验拓扑
设备对应表ip及vlan划分
| 序号 | 设备逻辑名 | 设备型号 | |
|---|---|---|---|
| 1 | C-1 | 华三S5700 | |
| 2 | C-2 | 华三S5700 | |
| 3 | D-1 | 华为S5735 | |
| 4 | D-2 | 华为S5700 | |
| 5 | D-3 | 华为S5700 | |
| 6 | D-4 | 华为S5700 | |
| 7 | D-5 | 华为S5700 | |
| 8 | D-6 | 华为S5700 | |
| 9 | A-1 | 华为S5700 | |
| 10 | A-2 | 华为S5700 | |
| 11 | A-3 | 华为S5700 | |
| 12 | A-4 | 华为S5700 | |
| 13 | A-5 | 华为S5700 |
| VLAN | 用途 | 设备 | 接口 | 地址段 | 网关 | 备注 |
|---|---|---|---|---|---|---|
| 11 | 财务部 | A-4 | G1/0/3-5 | 172.16.11.0/24 | 172.16.11.1/24 | 办公区 |
| 12 | 销售部 | A-4 | G1/0/6-10 | 172.16.12.0/24 | 172.16.12.1/24 | |
| 13 | 后勤部 | A-4 | G1/0/11-15 | 172.16.13.0/24 | 172.16.13.1/24 | |
| 14 | 业务部 | A-5 | G1/0/3-5 | 172.16.14.0/24 | 172.16.14.1/24 | |
| 15 | 运维部 | A-5 | G1/0/6-10 | 172.16.15.0/24 | 172.16.15.1/24 | |
| 16 | 研发部 | A-5 | G1/0/11-15 | 172.16.16.0/24 | 172.16.16.1/24 | |
| 21 | 车间1 | A-1 | G1/0/3-24 | 172.16.21.0/24 | 172.16.21.1/24 | 生产区 |
| 22 | 车间2 | A-2 | G1/0/3-24 | 172.16.22.0/24 | 172.16.22.1/24 | |
| 23 | 车间3 | A-3 | G1/0/2-24 | 172.16.23.0/24 | 172.16.23.1/24 | |
| 31 | OA | D-3 | G0/0/5-7 | 172.16.31.0/24 | 172.16.31.1/24 | 服务器区 |
| 32 | ERP | D-4 | G0/0/5-7 | 172.16.32.0/24 | 172.16.32.1/24 | |
| 33 | 生产控制 | D-3 | G0/0/8-12 | 172.16.33.0/24 | 172.16.33.1/24 | |
| 34 | 生产数据 | D-4 | G0/0/8-12 | 172.16.34.0/24 | 172.16.34.1/24 | |
| 35 | 服务器管理 | D-4 | G0/0/13-20 | 172.16.35.0/24 | 172.16.35.1/24 | |
| 100 | 交换机管理 | C-1 | vlan100 接口 | 182.16.100.0/26 | 172.16.100.1 | |
| 100 | 交换机管理 | C-2 | vlan100 接口 | 182.16.100.0/26 | 172.16.100.2 | |
| 100 | 交换机管理 | D-3 | vlan100 接口 | 172.16.100.0/26 | 172.16.100.3 | |
| 100 | 交换机管理 | D-4 | vlan100 接口 | 172.16.100.0/26 | 172.16.100.4 | |
| 100 | 交换机管理 | D-1 | vlan100 接口 | 172.16.100.64/26 | 172.16.100.65 | |
| 100 | 交换机管理 | D-2 | vlan100 接口 | 172.16.100.64/26 | 172.16.100.66 | |
| 100 | 交换机管理 | D-5 | vlan100 接口 | 172.16.100.128/26 | 172.16.100.129 | |
| 100 | 交换机管理 | D-6 | vlan100 接口 | 172.16.100.128/26 | 172.16.100.130 | |
| 100 | 交换机管理 | A-1 | vlan100 接口 | 172.16.100.64/26 | 172.16.100.67 | |
| 100 | 交换机管理 | A-2 | vlan100 接口 | 172.16.100.64/26 | 172.16.100.68 | |
| 100 | 交换机管理 | A-3 | vlan100 接口 | 172.16.100.64/26 | 172.16.100.69 | |
| 100 | 交换机管理 | A-4 | vlan100 接口 | 172.16.100.128/26 | 172.16.100.131 | |
| 100 | 交换机管理 | A-5 | vlan100 接口 | 172.16.100.128/26 | 172.16.100.132 | |
| 1101 | C1与C2互联 | C-1,C-2 | vlan1101接口 | 172.16.0.0/30 | 172.16.0.1/30 | |
| 1102 | D1与D2互联 | D-1,D-2 | vlan1102接口 | 172.16.0.4/30 | 172.16.0.5/30 | |
| 1103 | D5与D6互联 | D-5,D-6 | vlan1103接口 | 172.16.0.8/30 | 172.16.0.9/30 | |
| 1104 | C1与D1互联 | C-1,D-1 | vlan1104接口 | 172.16.0.12/30 | 172.16.0.13/30 | |
| 1105 | C1与D2互联 | C-1,D-2 | vlan1105接口 | 172.16.0.16/30 | 172.16.0.17/30 | |
| 1106 | C1与F1互联 | C-1,F-1 | vlan1106接口 | 172.16.0.20/30 | 172.16.0.21/30 | |
| 1107 | C1与D5互联 | C-1,D-5 | vlan1107接口 | 172.16.0.24/30 | 172.16.0.25/30 | |
| 1108 | C1与D6互联 | C-1,D-6 | vlan1108接口 | 172.16.0.28/30 | 172.16.0.29/30 | |
| 1109 | C2与D1互联 | C-2,D-1 | vlan1109接口 | 172.16.0.32/30 | 172.16.0.33/30 | |
| 1110 | C2与D2互联 | C-2,D-2 | vlan1110接口 | 172.16.0.36/30 | 172.16.0.37/30 | |
| 1111 | C2与D5互联 | C-2,D-5 | vlan1111接口 | 172.16.0.40/30 | 172.16.0.41/30 | |
| 1112 | C2与D6互联 | C-2,D-6 | vlan1112接口 | 172.16.0.44/30 | 172.16.0.45/30 | |
| 1113 | C2与F1互联 | C-2,F-1 | vlan1113接口 | 172.16.0.48/30 | 172.16.0.49/30 |
| 线缆序号 | 源设备名称 | 设备接口 | 目标设备名称 | 设备接口 | 补充说明 |
|---|---|---|---|---|---|
| 1 | C-1 | 5口 | F-1 | 0/0/0 | 电口 |
| 2 | C-1 | 1口 | C-2 | 1口 | 聚合光口 |
| 3 | C-1 | 2口 | C-2 | 2口 | |
| 4 | C-1 | 6口 | D-1 | 1口 | 光口 |
| 5 | C-1 | 7口 | D-2 | 1口 | 光口 |
| 6 | C-1 | 3口 | D-3 | 1口 | 光口 |
| 7 | C-1 | 4口 | D-4 | 1口 | 光口 |
| 8 | C-1 | 8口 | D-5 | 1口 | 光口 |
| 9 | C-1 | 9口 | D-6 | 1口 | 光口 |
| 10 | C-2 | 3口 | F-1 | 1/0/0 | 电口 |
| 11 | C-2 | 4口 | D-1 | 2口 | 光口 |
| 12 | C-2 | 5口 | D-2 | 2口 | 光口 |
| 13 | C-2 | 6口 | D-3 | 2口 | 光口 |
| 14 | C-2 | 7口 | D-4 | 2口 | 光口 |
| 15 | C-2 | 8口 | D-5 | 2口 | 光口 |
| 16 | C-2 | 9口 | D-6 | 2口 | 光口 |
| 17 | D-3 | 3口 | D-4 | 3口 | 聚合电口 |
| 18 | D-3 | 4口 | D-4 | 4口 | |
| 19 | D-1 | 3口 | D-2 | 3口 | 聚合电口 |
| 20 | D-1 | 4口 | D-2 | 4口 | |
| 21 | D-1 | 5口 | A-1 | 0口 | 电口 |
| 22 | D-1 | 6口 | A-2 | 0口 | 电口 |
| 23 | D-2 | 5口 | A-1 | 1口 | 电口 |
| 24 | D-2 | 6口 | A-2 | 1口 | 电口 |
| 25 | D-2 | 7口 | A-3 | 0口 | 电口 |
| 26 | D-5 | 3口 | D-6 | 3口 | 聚合电口 |
| 27 | D-5 | 4口 | D-6 | 4口 | |
| 28 | D-5 | 5口 | A-4 | 0口 | 电口 |
| 29 | D-5 | 6口 | A-5 | 0口 | 电口 |
| 30 | D-6 | 5口 | A-4 | 1口 | 电口 |
| 31 | D-6 | 6口 | A-5 | 1口 | 电口 |
实验需求及步骤
实验步骤
1. 方案验证准备阶段(线上完成):
1.1 充分理解需求,用华为ENSP模拟器完成配置并测试完备
1.2 确认真机设备型号与接口,调整模拟器配置脚本匹配现场设备与接口,对于华三设备使用命令翻译器或者参看华三配置手册完成配置脚本匹配。
2. 现场联调阶段(线下完成):
2.1 确认现场物料与环境,包括机柜,设备,线缆,电源,标签纸等。
2.2 设备加电导入脚本,检查配置是否完备并保存配置。
2.3 设备贴标上架安装至预定位置。
2.4 设备安装光模块并连线做好线标。
2.5 确认现场电源,设备加电。
3. 测试阶段(线下完成):
3.1 基础链路对接测试
3.2 二层协议互通测试
3.3 三层路由互通测试
3.4 路径测试
3.5 双机热备测试
3.6 业务测试
二层配置
生产区
生产区需求
配置
先关闭接口关闭接口再进行配置主要是出于管理和安全性的考虑。
-
管理考虑:华为交换机的某些配置要求先关闭接口,然后再进行配置。这是因为在接口开启的状态下,某些配置可能无法生效或者可能导致网络故障。关闭接口后,可以确保配置的正确性和一致性,避免配置冲突或错误。
-
安全性考虑:关闭接口可以防止未经授权的设备或用户连接到交换机,从而提高网络的安全性。
1.配置之后无法链路聚合,因此先进行链路聚合-------需求2
[d1]int e 0 [d1]int g0/0/3 [d1]int g0/0/4 [d1-GigabitEthernet0/0/3]eth-trunk 0 [d1-GigabitEthernet0/0/4]eth-trunk 0
根据图表创建与d1相关的vlan
[d1]v b 21 22 100 1102 1104 1109
创建trunk接口,放通必要vlan实现最小透传原则,同理配置g0/0/6---------需求1
[d1]int g0/0/5 [d1-GigabitEthernet0/0/5]p l t [d1-GigabitEthernet0/0/5]p t a v 21 22 100 [d1-Eth-Trunk0]p t a v 21 22 100 1102
配置IP地址[d1-Vlanif1109]ip add 172.16.0.34 30
[d1-Vlanif21]ip add 172.16.21.1 24 [d1-Vlanif22]ip add 172.16.22.1 24 [d1-Vlanif100]ip add 172.16.100.65 26 [d1-Vlanif1102]ip add 172.16.0.5 30 [d1-Vlanif1104]ip add 172.16.0.14 30 [d1-Vlanif1109]ip add 172.16.0.34 30
配置STP服务------需求3456
[d1]stp enable [d1]stp mode mstp [d1]stp region-configuration [d1-mst-region]region-name SC [d1-mst-region]instance 1 v 21 [d1-mst-region]instance 2 v 22 23 100 [d1-mst-region]active region-configuration [d1]stp instance 1 root primary [d1]stp instance 2 root secondary
配置vrrp--------需求89 10
双上行down时优先级减少22,优先级为98小于100会切换网关
[d1]int v 21 [d1-Vlanif21]vrrp vrid 1 virtual-ip 172.16.21.254 [d1-Vlanif21]vrrp vrid 1 priority 120 /增加优先级为master [d1-Vlanif21]vrrp vrid 1 preempt-mode timer delay 20 [d1-Vlanif21]vrrp vrid 1 track interface v 1104 reduced 11 [d1-Vlanif21]vrrp vrid 1 track interface v 1109 reduced 11 [d1-Vlanif22]vrrp vrid 1 virtual-ip 172.16.22.254
打开接口 [d2]interface range g0/0/3 tog0/0/6
同理 配置d2
[d2-GigabitEthernet0/0/5]p t a v 21 22 100 [d2-GigabitEthernet0/0/6]p t a v 21 22 100 [d2-GigabitEthernet0/0/7]p t a v 23 100 [d2-Eth-Trunk0]p t a v 21 22 100 1102 [d2-Vlanif21]ip add 172.16.21.2 24 [d2-Vlanif22]ip add 172.16.22.2 24 [d2-Vlanif23]ip add 172.16.23.1 24 [d2-Vlanif100]ip add 172.16.100.66 26 [d2-Vlanif1102]ip add 172.16.0.6 30 [d2-Vlanif1105]ip add 172.16.0.18 30 [d2-Vlanif1110]ip add 172.16.0.38 30 [d2]stp enable [d2]stp mode mstp [d2]stp region-configuration [d2-mst-region]region-name SC [d2-mst-region]instance 1 v 21 [d2-mst-region]instance 2 v 22 23 100 [d2-mst-region]active region-configuration [d2]stp instance 1 root secondary [d2]stp instance 2 root primary [d2-Vlanif21]vrrp vrid 1 virtual-ip 172.16.21.254 [d2-Vlanif22]vrrp vrid 1 virtual-ip 172.16.22.254 [d2-Vlanif22]vrrp vrid 1 priority 120 [d2-Vlanif22]vrrp vrid 1 preempt-mode timer delay 20 [d2-Vlanif22]vrrp vrid 1 track interface v 1105 r 11 [d2-Vlanif22]vrrp vrid 1 track interface v 1110 r 11
配置a1-------需求7
[a1-GigabitEthernet0/0/1]p t a v 21 22 100 [a1-GigabitEthernet0/0/2]p t a v 21 22 100 [a1]port-group group-member g0/0/3 to g0/0/24 [a1-port-group]p l a [a1-port-group]p d v 21 [a1-Vlanif100]ip add 172.16.0.67 26 [a1-mst-region]region-name SC [a1-mst-region]instance 1 v 21 [a1-mst-region]instance 2 v 22 100 [a1-mst-region]active region-configuration [a1]port-group group-member g0/0/3 to g0/0/24 [a1-port-group]stp edged-port enable [a1]stp bpdu-protection
同理配置a2 a3
[a3]v b 23 100 [a3-GigabitEthernet0/0/1]p t a v 23 100 [a3]port-group group-member g0/0/2 to g0/0/24 [a3-port-group]p l a [a3-port-group]p d v 23 [a3-Vlanif100]ip add 172.16.100.69 26 [a3-port-group]stp edged-port enable [a3-port-group]undo shutdown a3没有vlan21 22 且直连设备只有d2
查看配置
链路集合
vlan创建及关闭接口
查看最小生成树
vrrp及实例映射
办公区
办公区需求
配置
配置与生产区相同
创建vlan---链路聚合---放通vlan(实现最小透传原则 )---配置ip
[d5-GigabitEthernet0/0/5]p t a v 11 12 13 14 15 16 100 [d5-GigabitEthernet0/0/6]p t a v 11 12 13 14 15 16 100 [d5-Eth-Trunk0]p t a v 11 12 13 14 15 16 100
d5配置stp vrrp
[d5]stp enable [d5]stp mode mstp [d5]stp region-configuration [d5-mst-region]region-name BG [d5-mst-region]instance 1 V 11 12 13 [d5-mst-region]instance 2 v 14 15 16 100 [d5-mst-region]active region-configuration [d5]stp instance 1 root primary [d5]stp instance 2 root secondary [d5]int v 11 [d5-Vlanif11]vrrp vrid 1 v [d5-Vlanif11]vrrp vrid 1 virtual-ip 172.16.11.254 [d5-Vlanif11]vrrp vrid 1 priority 120 [d5-Vlanif11]vrrp vrid 1 preempt-mode timer delay 20 [d5-Vlanif11]vrrp vrid 1 track interface v 1107 reduced 11 [d5-Vlanif11]vrrp vrid 1 track interface v 1111 reduced 11
vlanif 11 与12 13 配置相同,14 15 16 为备默认优先级且不监控上行链路 只需配置ip
d6与d5配置相似
a4 a5配置与a1 a2类似
[d5]v b 11 12 13 14 15 16 100 [d5-GigabitEthernet0/0/1]p t a v 11 12 13 14 15 16 100 [d5-GigabitEthernet0/0/2]p t a v 11 12 13 14 15 16 100 [d5]port-group group-member g0/0/3 t g0/0/5 [d5-port-group]p l a [d5-port-group]p d v 14 [d5]port-group group-member g0/0/6 t g0/0/10 [d5-port-group]p l a [d5-port-group]p d v 15 [d5]port-group group-member g0/0/11 t g0/0/15 [d5-port-group]p l a [d5-port-group]p d v 16 [d5]int v 100 [d5-Vlanif100]ip add 172.16.100.132 26 [d5]stp mode mstp [d5]stp region-configuration [d5-mst-region]region-name BG [d5-mst-region]instance 1 v 11 12 13 [d5-mst-region]instance 2 v 14 15 16 100 [d5-mst-region]active region-configuration [d5]port-group group-member g0/0/3 t g0/0/15 [d5-port-group]stp edged-port enable [d5]stp bpdu-protection [d5]port-group group-member g0/0/3 t g0/0/15 [d5-port-group]undo shutdown
查看
vlan
双击热备
最小生成树
服务区
服务器区需求
配置
配置同上,c1配置
创建vlan---链路集合---设置接口---放通vlan---配置ip
```
开启stp服务完成需求4,5
[c1]stp enable
[c1]stp mode mstp
[c1]stp region-configuration
[c1-mst-region]region-name FWQ
[c1-mst-region]instance 1 v 31 33 100
[c1-mst-region]instance 2 v 32 34 35
[c1-mst-region]active region-configuration
需求6
[c1]stp instance 1 root primary
[c1]stp instance 2 root secondary
需求9 10 11
[c1-Vlanif31]vrrp vrid 1 virtual-ip 172.16.31.254
[c1-Vlanif31]vrrp vrid 1 priority 120 ----------------------通过提高优先级成为master
[c1-Vlanif31]vrrp vrid 1 preempt-mode timer delay 20
[c1-Vlanif31]vrrp vrid 1 track interface Vlanif 1106 reduced 30----------上行链路只有一条连接f1 的,优先级需要降低20以上
同理配置其他vlanif33提高优先级,32 34 35不变配置虚拟ip
```
a3配置,a4与a3相同
```
[d3]v b 31 t 35 100
[d3]int e 0
[d3-Eth-Trunk0]int g0/0/3
[d3-GigabitEthernet0/0/3]eth-trunk 0
[d3-GigabitEthernet0/0/3]int g0/0/4
[d3-GigabitEthernet0/0/4]eth-trunk 0
[d3-GigabitEthernet0/0/1]p l t
[d3-GigabitEthernet0/0/1]p t a v 31 t 35 100
[d3-GigabitEthernet0/0/2]p l t
[d3-GigabitEthernet0/0/2]p t a v 31 t 35 100
[d3]int e 0
[d3-Eth-Trunk0]p l t
[d3-Eth-Trunk0]p t a v 31 t 35 100
[d3]port-group group-member g0/0/5 t g 0/0/7
[d3-port-group]p l a
[d3-port-group]p d v 31
[d3]p g g0/0/8 t g0/0/12
[d3-port-group]p l a
[d3-port-group]p d v 33
[d3]int v 100
[d3-Vlanif100]ip add 172.16.100.3 26
[d3]stp enable
[d3]stp mode mstp
[d3]stp region-configuration
[d3-mst-region]region-name FWQ
[d3-mst-region]instance 1 v 31 33 100
[d3-mst-region]instance 2 v 32 34 35
[d3-mst-region]active region-configuration
[d3]p g g0/0/5 to g0/0/12
[d3-port-group]stp edged-port enable
[d3]stp bpdu-protection
[d3]p g g0/0/1 t g0/0/12
[d3-port-group]undo shutdown
```
查看
上行链路down时
最小生成树
三层策略及优化
需求
c1
c1配置
把接口划入vlan,设置为access类型(使用access不用设置pvid)
关闭与d1 d2 f1 d5 d6相连接口的stp服务,防止出现阻塞
划分ospf区域并进行宣告
```
[c1]ospf 1 router-id 2.2.2.2
[c1-ospf-1]area 0
[c1-ospf-1-area-0.0.0.0]network 172.16.0.1 0.0.0.0
[c1-ospf-1-area-0.0.0.0]network 172.16.0.21 0.0.0.0
[c1-ospf-1-area-0.0.0.0]network 172.16.100.1 0.0.0.0
```
同理配置其它接口
c1查看
同理配置c2 d2及其他
c2 d6 查看
ospf表
f1
f1配置
```
[f1-GigabitEthernet0/0/0]ip add 172.16.0.22 30
[f1-GigabitEthernet1/0/0]ip add 172.16.0.50 30
[f1]firewall zone trust
[f1-zone-trust]add int g0/0/0
[f1-zone-trust]add int g1/0/0
[f1]security-policy
[f1-policy-security]rule name policy-1
f1-policy-security-rule-policy-1]source-zone trust
[f1-policy-security-rule-policy-1]destination-zone untrust
[f1-policy-security-rule-policy-1]action permit
[f1]ospf 1 r 1.1.1.1
[f1-ospf-1]a 0
[f1-ospf-1-area-0.0.0.0]net 172.16.0.22 0.0.0.0
[f1-ospf-1-area-0.0.0.0]net 172.16.0.50 0.0.0.0
```
f1查看
其余配置
区域认证
[f1-ospf-1-area-0.0.0.0]authentication-mode md5 1 plain 123456 [c1-ospf-1-area-0.0.0.0]authentication-mode md5 1 plain 123456 [c2-ospf-1-area-0.0.0.0]authentication-mode md5 1 plain 123456
末梢区域,同理配置area2
[c1-ospf-1-area-0.0.0.1]stub [c1-ospf-1-area-0.0.0.2]stub no-summary [d1-ospf-1-area-0.0.0.1]stub
设置静默接口,简化ospf表
[d1-ospf-1]silent-interface v 21 [d1-ospf-1]silent-interface v 22 [d1-ospf-1]silent-interface v 100 [d1-ospf-1]silent-interface v 1102
接口类型变为p2p简化邻居关系
[c2]int Vlanif 1109 [c2-Vlanif1109]ospf network-type p2p [c2-Vlanif1109]int v 1110 [c2-Vlanif1110]ospf network-type p2p [c2-Vlanif1110]int v 1111 [c2-Vlanif1111]ospf network-type p2p [c2-Vlanif1111]int v 1112 [c2-Vlanif1112]ospf network-type p2p [c2-Vlanif1112]int v 1113 [c2-Vlanif1113]ospf network-type p2p [f1-GigabitEthernet0/0/0]ospf network-type p2p [f1-GigabitEthernet0/0/0]int g1/0/0 [f1-GigabitEthernet1/0/0]ospf network-type p2p
与其他接口设置hello包时间-------6.3
[c1]int v 1104 [c1-Vlanif1104]OSPF timer hello 1 [c1-Vlanif1104]int v 1105 [c1-Vlanif1105]OSPF timer hello 1 [c1-Vlanif1105]int v 1106 [c1-Vlanif1106]OSPF timer hello 1 [c1-Vlanif1106]int v 1107 [c1-Vlanif1107]OSPF timer hello 1 [c1-Vlanif1107]int v 1108 [c1-Vlanif1108]OSPF timer hello 1
增加c1区域2cost值, 增加c2区域1cost值,实现2 3
[c1-ospf-1-area-0.0.0.2]default-cost 5 [c2-ospf-1-area-0.0.0.1]default-cost 5
制定acl规则,控制列表实现6.4 6.5
d1部分配置,同理配置d2
rule 5 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.31.0 0.0.0.255 rule 50 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.16.0 0.0.0.255 rule 55 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.12.0 0.0.0.255 rule 100 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.35.0 0.0.0.255 [d1-acl-adv-3000]rule 110 permit ip source 172.16.22.0 0.0.0.255 destination 172 .16.23.0 0.0.0.255------------连通v23 [d1-acl-adv-3000]rule 10000 d ip source 172.16.21.0 0.0.0.255 [d2-acl-adv-3000]rule 10005 d ip source 172.16.22.0 0.0.0.255
d2查看
[d2-acl-adv-3000]dis th # acl number 3000 rule 5 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.31.0 0.0.0.255 rule 10 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.32.0 0.0.0.255 rule 15 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.33.0 0.0.0.255 rule 20 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.34.0 0.0.0.255 rule 25 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.35.0 0.0.0.255 rule 30 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.12.0 0.0.0.255 rule 35 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.13.0 0.0.0.255 rule 40 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.14.0 0.0.0.255 rule 45 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.15.0 0.0.0.255 rule 50 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.16.0 0.0.0.255 rule 55 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.16.0 0.0.0.255 rule 60 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.15.0 0.0.0.255 rule 65 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.14.0 0.0.0.255 rule 70 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.13.0 0.0.0.255 rule 75 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.12.0 0.0.0.255 rule 80 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.31.0 0.0.0.255 rule 85 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.32.0 0.0.0.255 rule 90 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.33.0 0.0.0.255 rule 95 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.34.0 0.0.0.255 rule 100 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.35.0 0.0.0.255 rule 105 permit ip source 172.16.22.0 0.0.0.255 destination 172.16.23.0 0.0.0.255 rule 110 permit ip source 172.16.21.0 0.0.0.255 destination 172.16.23.0 0.0.0.255 rule 115 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.12.0 0.0.0.255 rule 120 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.13.0 0.0.0.255 rule 125 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.14.0 0.0.0.255 rule 130 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.15.0 0.0.0.255 rule 135 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.16.0 0.0.0.255 rule 140 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.31.0 0.0.0.255 rule 145 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.32.0 0.0.0.255 rule 150 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.33.0 0.0.0.255 rule 155 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.34.0 0.0.0.255 rule 160 permit ip source 172.16.23.0 0.0.0.255 destination 172.16.35.0 0.0.0.255 rule 10000 deny ip source 172.16.23.0 0.0.0.255 rule 10005 deny ip source 172.16.22.0 0.0.0.255 rule 10010 deny ip source 172.16.21.0 0.0.0.255 [d5-GigabitEthernet0/0/6]traffic-filter inbound acl 3000----
c1配置
[c1-acl-adv-3000]dis th # acl number 3000 rule 5 permit ip source 172.16.15.0 0.0.0.255 destination 172.16.35.0 0.0.0.255 rule 10 deny ip destination 172.16.35.0 0.0.0.255 rule 1000 permit ip [c1-GigabitEthernet0/0/6]traffic-filter inbound acl 3000 [c1-GigabitEthernet0/0/6]int g0/0/7 [c1-GigabitEthernet0/0/7]traffic-filter inbound acl 3000 [c1-GigabitEthernet0/0/7]int g0/0/8 [c1-GigabitEthernet0/0/8]traffic-filter inbound acl 3000 [c1-GigabitEthernet0/0/8]int g0/0/9 [c1-GigabitEthernet0/0/9]traffic-filter inbound acl 3000
创建新用户
[d5]telnet server enable [d5]user-interface vty 0 4 [d5-ui-vty0-4]authentication-mode aaa [d5-ui-vty0-4]authentication-mode password [d5-ui-vty0-4]user privilege level 3 [d5]aaa [d5-aaa]local-user huawei password cipher admin@123
总结
通过本次实验我明白了放通VLAN时选择逐个放通而不是全部放通(all)的原因是逐个放通VLAN可以提供更精细的控制和更好的安全性也可以减少消耗。通过逐个放通,网络管理员可以明确地知道哪些VLAN需要被放通,哪些不需要,从而避免不必要的安全风险。配置之前关闭交换机配置可以实现对特定设备的隔离。例如,当需要对某个设备进行排查或者修复时,关闭交换机配置可以避免其他设备的干扰,提高维护效率。关闭交换机配置可以增强网络的安全性。在某些情况下,可能需要限制某些设备之间的通信,关闭交换机配置可以实现网络分段或隔离,从而提高网络安全性。
2847
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
