一、题目要求
设置家庭网络(多层) 保持全覆盖(涵盖无线网)
1.在路由器上配置PAT
2.路由器就配置静态外网IP
3.路由器配置DHCP
4.单独划分vlan
二、使用工具
1.电脑
2.华为ensp模拟器
三、项目实施
1.使用到的虚拟设备
Server x 2、AR1220 x 2、S3700 x 1、AC6605 x 1、AP2050 x 3、PC x 5、Cellphone x 1、STA x 1。
2.拓补图规划
3. Server基础配置
百度:
NAS:
4.PC配置
所有PC都同下配置,通过dhcp自动获取ip。
4.配置过程命令
ISP:
<Huawei>system-view //进入全局配置模式
[Huawei]un in en //关闭信息中心
[Huawei]sysname yp-isp //修改设备名称
[yp-isp]int g0/0/0 //进入端口
[yp-isp-GigabitEthernet0/0/0]ip add 172.20.122.254 24 //配置端口ip
[yp-isp-GigabitEthernet0/0/0]q //退出端口
[yp-isp]int g0/0/1 //进入端口0/0/1
[yp-isp-GigabitEthernet0/0/1]ip add 192.168.1.1 24 //配置端口ip
yangpeng-家用路由器:
<Huawei>sys //进入全局配置模式
[Huawei]un in en //关闭信息中心
[Huawei]sys yp-r1 //修改设备名称
[yp-r1]vlan batch 10 20 30 40 50 //创建vlan
[yp-r1]int e0/0/0 //进入端口
[yp-r1-Ethernet0/0/0]port link-type access //设置端口类型
[yp-r1-Ethernet0/0/0]port default vlan 30 //设置缺省vlan
[yp-r1-Ethernet0/0/0]q //退出端口
[yp-r1]int e0/0/1 //进入端口
[yp-r1-Ethernet0/0/1]port link-type access //设置端口类型
[yp-r1-Ethernet0/0/1]port default vlan 20 //设置缺省vlan
[yp-r1-Ethernet0/0/1]q //退出端口
[yp-r1]int e0/0/3 //进入端口
[yp-r1-Ethernet0/0/3]port link-type access //设置端口类型
[yp-r1-Ethernet0/0/3]port default vlan 50 //设置缺省vlan
[yp-r1-Ethernet0/0/3]q //退出端口
[yp-r1]int e0/0/4 //进入端口
[yp-r1-Ethernet0/0/4]port link-type access //设置端口类型
[yp-r1-Ethernet0/0/4]port default vlan 10 //设置缺省vlan
[yp-r1-Ethernet0/0/4]q //退出端口
[yp-r1]int g0/0/1 //进入端口
[yp-r1-GigabitEthernet0/0/1]ip add 192.168.40.1 24 //配置端口ip
[yp-r1-GigabitEthernet0/0/1]q //退出端口
[yp-r1]int g0/0/0 //进入端口
[yp-r1-GigabitEthernet0/0/0]ip add 192.168.1.2 24 //配置端口ip
[yp-r1-GigabitEthernet0/0/0]q //退出端口
[yp-r1]dhcp enable //开启dhcp功能
[yp-r1]int Vlanif 10 //进入vlan10配置
[yp-r1-Vlanif10]ip add 192.168.10.254 24 //配置vlan ip
[yp-r1-Vlanif10]dhcp select interface //dhcp选择接口
[yp-r1-Vlanif10]int vlan 20 //进入vlan20配置
[yp-r1-Vlanif20]ip add 192.168.20.254 24 //配置vlan ip
[yp-r1-Vlanif20]dhcp select interface //dhcp选择接口
[yp-r1-Vlanif20]int vlan 30 //进入vlan30配置
[yp-r1-Vlanif30]ip add 192.168.30.254 24 //配置vlan ip
[yp-r1-Vlanif30]dhcp select interface //dhcp选择接口
[yp-r1-Vlanif30]int vlan 50 //进入vlan50配置
[yp-r1-Vlanif50]ip add 192.168.30.254 24 //配置vlan ip
[yp-r1-Vlanif50]dhcp select interface //dhcp选择接口
[yp-r1]acl 2000 //创建规则列表
[yp-r1-acl-basic-2000]rule permit source any //设置来源规则
[yp-r1-acl-basic-2000]q //退出规则列表
[yp-r1]int g0/0/0 //进入端口
[yp-r1-GigabitEthernet0/0/0]nat outbound 2000 //nat规则引用
[yp-r1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 //静态路由
yangpeng-模拟家用无线网控制器:
<AC6605>sys //进入全局配置模式
[AC6605]sys yp-ac1 //修改设备名称
[yp-ac1]dhcp enable //开启dhcp功能
[yp-ac1]un in en //关闭信息中心
[yp-ac1]port-group 1-4 //创建虚拟聚合接口
[yp-ac1-port-group-1-4]group-member g0/0/1 to g0/0/4 //绑定端口
[yp-ac1-port-group-1-4]port link-type trunk //设置端口模式
[yp-ac1-port-group-1-4]port trunk allow-pass vlan all //设置端口放行所有vlan
[yp-ac1-port-group-1-4]q //退出聚合组
[yp-ac1]int g0/0/1 //进入端口
[yp-ac1-GigabitEthernet0/0/1]port trunk pvid vlan 40 //设置缺省vlan
[yp-ac1]vlan batch 40 //创建vlan
[yp-ac1]int Vlanif 40 //进入vlan配置
[yp-ac1-Vlanif40]ip add 192.168.40.254 24 //配置vlan ip
[yp-ac1-Vlanif40]dhcp select interface //dhcp选择接口
[yp-ac1-Vlanif40]q //退出
[yp-ac1]capwap source interface Vlanif 40 //设置源端口
[yp-ac1]wlan //进入无线配置
[yp-ac1-wlan-view]ap-group name apg //创建ap组
[yp-ac1-wlan-ap-group-apg]q //退出ap组
[yp-ac1-wlan-view]regulatory-domain-profile name domain //创建域管理模板
[yp-ac1-wlan-regulate-domain-domain]country-code cn //选择中国模板
[yp-ac1-wlan-regulate-domain-domain]q //退出模板
[yp-ac1-wlan-view]ap-group name apg //进入ap组
[yp-ac1-wlan-ap-group-apg]regulatory-domain-profile domain //使用管理模板
Warning: Modifying the country code will clear channel, power and antenna gain c
onfigurations of the radio and reset the AP. Continue?[Y/N]:y //y确认使用
[yp-ac1-wlan-ap-group-apg]q //退出ap组
[yp-ac1-wlan-view]ap auth-mode mac-auth //ap mac认证
[yp-ac1-wlan-view]dis arp //查看各端口的mac获取情况
[yp-ac1-wlan-view]ap-id 0 ap-mac 00e0-fcb7-0b60 //识别ap的mac地址
[yp-ac1-wlan-ap-0]ap-name area0 //设置ap区域名
[yp-ac1-wlan-ap-0]ap-group apg //加入ap组
Warning: This operation may cause AP reset. If the country code changes, it will
clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y //y确认加入
[yp-ac1-wlan-ap-0]q //退出ap
[yp-ac1-wlan-view]ap-id 1 ap-mac 00e0-fcd1-5c50 //识别ap的mac地址
[yp-ac1-wlan-ap-1]ap-name area1 //设置ap区域名
[yp-ac1-wlan-ap-1]ap-group apg //加入ap组
Warning: This operation may cause AP reset. If the country code changes, it will
clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y //y确认加入
[yp-ac1-wlan-ap-1]q //退出ap
[yp-ac1-wlan-view]ap-id 2 ap-mac 00e0-fcb4-5f80 //识别ap的mac地址
[yp-ac1-wlan-ap-2]ap-name area2 //设置ap区域名
[yp-ac1-wlan-ap-2]ap-group apg //加入ap组
Warning: This operation may cause AP reset. If the country code changes, it will
clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y //y确认加入
[yp-ac1-wlan-ap-2]q //退出ap
[yp-ac1-wlan-view]dis ap all //查看ap上线情况,为nor是正常上线
[yp-ac1-wlan-view]ssid-profile name wssid //创建ssid模板
[yp-ac1-wlan-ssid-prof-wssid]ssid yp //设置ssid为“yp”,可根据自己需求设置
[yp-ac1-wlan-ssid-prof-wssid]q //退出模板
[yp-ac1-wlan-view]security-profile name wse //创建安全策略
[yp-ac1-wlan-sec-prof-wse]security wpa-wpa2 psk pass-phrase yp123456 aes //设置安全策略为wpa-wpa2+psk+aes,以及密码为yp123456,可根据自己需求设置
[yp-ac1-wlan-sec-prof-wse]q //退出安全策略
[yp-ac1-wlan-view]vap-profile name wvap //创建vap模板
[yp-ac1-wlan-vap-prof-wvap]forward-mode tunnel //创建转发隧道
[yp-ac1-wlan-vap-prof-wvap]service-vlan vlan-id 40 //设置业务vlan为40
[yp-ac1-wlan-vap-prof-wvap]security-profile wse //使用刚刚的安全策略
[yp-ac1-wlan-vap-prof-wvap]ssid-profile wssid //使用刚刚的ssid模板
[yp-ac1-wlan-vap-prof-wvap]q //退出vap模板
[yp-ac1-wlan-view]ap-group name apg //进入ap组
[yp-ac1-wlan-ap-group-apg]vap-profile wvpa wlan 1 radio all //使用刚刚的vap模板并发布射频
[yp-ac1-wlan-ap-group-apg]dis vap ssid yp //查询ap发射情况,Status为ON表示成功
5.最终效果
5.1.效果图
5.2Ping
5.3抓包情况
观察发现IP从192.168.30.0网段nat转换成192.168.1.0网段ip,说明nat转换已生效。
四、得出结论
VLAN划分可以实现逻辑隔离:通过将不同的设备或用户分配到不同的VLAN中,可以实现逻辑隔离,增加网络安全性。
VLAN划分可以优化网络性能:将网络按功能划分为不同的VLAN,可以减少广播域,提高网络性能和可管理性。
VLAN划分需要合理规划:在进行VLAN划分时,需要考虑网络拓扑、设备支持、IP地址规划等因素,并进行合理规划,以满足业务需求并确保网络的可扩展性和灵活性。
NAT转换结论: 进行NAT转换时,我们得出以下结论:
NAT转换可以实现内部私有IP地址到外部公共IP地址的映射,方便内部网络与外部网络进行通信。
NAT转换可以增加网络安全性:通过隐藏内部网络的真实IP地址,可以起到一定的安全保护作用,防止外部网络直接访问内部网络。
NAT转换需要考虑地址池和端口的使用:在进行NAT转换时,需要合理规划和管理地址池,确保地址资源的有效使用,并考虑端口转换的方式,以避免端口耗尽和冲突问题。
NAT转换需要考虑业务需求和性能:在进行NAT转换时,应该根据业务需求和网络负载情况来选择适当的转换方式(如SNAT、DNAT等),并进行性能测试和优化,以确保转换的效率和稳定性。
综上所述,VLAN划分和NAT转换是网络设计和管理中常见的技术手段,通过合理划分VLAN和灵活使用NAT转换,可以提高网络的安全性、性能和灵活性,满足不同业务需求。但在实际应用中,需要根据具体情况进行规划和调整,并注意网络设备的兼容性和性能影响。