实验目的:
- 在sw1和sw2之间配置链路聚合,并采用静态lacp模式,以增加核心交换机之间的转发速度
- 创建vlan以控制广播,提高安全与性能
- 在两个三层交换机上配置路由转发,以实现内部vlan之间的通信
- 在核心交换机与路由器之间配置ospf
- 在公司路由器上创建loopback接口模拟主机并配置rip
- 在网关路由器上配置ospf与rip之间进行重分发,以实现内部互联
- 在网关路由器上配置nat,以让公司内部主机的vlan2和vlan3主机可以访问分公司网络
- 在网关路由器上配置静态nat发布内部的服务器,让外网的用户可以访问内部的服务器
- 在isp路由器上配置静态路由实现与公司网络互联
- 在ar2上配置单臂路由,以实现分公司内部vlan之间的通信
总公司配置
一、在sw1和sw2之间配置链路聚合
<system>sys
[Huawei]sysame sw1
[sw1]lacp priority 1000 (lacp优先级为1000)
[sw1]int Eth-Trunk 12 (创建链路聚合接口12)
[sw1-Eth-Trunk12]mode lacp-static (设置链路聚合模式为静态lacp模式)
[sw1-Eth-Trunk12]load-balance dst-mac (负载分担模式为目的mac地址)
[sw1-Eth-Trunk12]trunkport GigabitEthernet 0/0/23(向链路聚合接口中添加接口)
[sw1-Eth-Trunk12]trunkport GigabitEthernet 0/0/24
[Huawei]sysname sw2
[sw2]int Eth-Trunk 12
[sw2-Eth-Trunk12]mode lacp-static
[sw2-Eth-Trunk12]trunkport g0/0/23
[sw2-Eth-Trunk12]trunkport g0/0/24
二、配置vlan间路由
Sw1设置
1.创建vlan
[sw1]vlan batch 2 to 5 10 (创建vlan)
2.将链路聚合接口设置为中继链路并允许所有的vlan通过
[sw1]int eth-trunk 12 (进入链路聚合接口)
[sw1-Eth-Trunk12]port link-type trunk(设置链路聚合接口为中继模式)
[sw1-Eth-Trunk12]port trunk allow-pass vlan all设置所有vlan均可通过中继接口)
3.将sw1上连接sw4和sw5的接口设置为中继链路,并允许转发所有的vlan
[sw1-Eth-Trunk12]int g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type trunk
[sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[sw1-GigabitEthernet0/0/2]int g0/0/3
[sw1-GigabitEthernet0/0/3]port link-type trunk
[sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[sw1-GigabitEthernet0/0/3]int g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access(设置接口为接入链路)
[sw1-GigabitEthernet0/0/1]port default vlan 10(将接口加入vlan)
[sw1-GigabitEthernet0/0/1]quit
4.配置虚接口地址,实现vlan之间的路由
[sw1]int Vlanif 2
[sw1-Vlanif2]ip add 192.168.2.1 24
[sw1-Vlanif2]int vlan 3
[sw1-Vlanif3]ip add 192.168.3.1 24
[sw1-Vlanif3]int vlan 4
[sw1-Vlanif4]ip add 192.168.4.1 24
[sw1-Vlanif4]int vlan 5
[sw1-Vlanif5]ip add 192.168.5.1 24
[sw1-Vlanif5]int vlan 10
[sw1-Vlanif10]ip add 192.168.10.1 24
Sw2设置(配置与原理同sw1)
[sw2]vlan batch 2 to 5 100
[sw2]int eth-trunk 12
[sw2-Eth-Trunk12]port link-type trunk
[sw2-Eth-Trunk12]port trunk allow-pass vlan all
[sw2-Eth-Trunk12]int g0/0/2
[sw2-GigabitEthernet0/0/2]port link-type trunk
[sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[sw2-GigabitEthernet0/0/2]int g0/0/3
[sw2-GigabitEthernet0/0/3]port link-type trunk
[sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[sw2-GigabitEthernet0/0/3]int g0/0/1
[sw2-GigabitEthernet0/0/1]port link-type access
[sw2-GigabitEthernet0/0/1]port default vlan 10
[sw2-GigabitEthernet0/0/1]quit
[sw2]int vlan 2
[sw2-Vlanif2]ip add 192.168.2.2 24
[sw2-Vlanif2]int vlan 3
[sw2-Vlanif3]ip add 192.168.3.2 24
[sw2-Vlanif3]int vlan 4
[sw2-Vlanif4]ip add 192.18.4.2 24
[sw2-Vlanif4]int vlan 5
[sw2-Vlanif5]ip add 192.168.5.2 24
[sw1-Vlanif5]int vlan 100
[sw1-Vlanif10]ip add 192.168.100.1 24
三、接入层交换机配置
Sw4设置
1.准备
<Huawei>sys
[Huawei]undo info enable
[Huawei]sysname sw4
2.创建vlan
[sw4]vlan batch 2 to 5
3.将sw4上与与交换机之间互联的接口创建为中继接口
[sw4]int g0/0/1
[sw4-GigabitEthernet0/0/1]port link-type trunk
[sw4-GigabitEthernet0/0/1]port trunk allow-pass vlan all
4.将连接pc的接口设置为接入链路,并将相应的接口加入vlan
[sw4-GigabitEthernet0/0/1]int g0/0/2
[sw4-GigabitEthernet0/0/2]port link-type access
[sw4-GigabitEthernet0/0/2]port default vlan 2
[sw4-GigabitEthernet0/0/2]int g0/0/3
[sw4-GigabitEthernet0/0/3]port link-type access
[sw4-GigabitEthernet0/0/3]port default vlan 2
Sw5设置(同sw4)
[Huawei]undo info enable
[Huawei]vlan batch 2 to 5
[Huawei]sysname sw5
[sw5]int g0/0/1
[sw5-GigabitEthernet0/0/1]port link-type trunk
[sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw5-GigabitEthernet0/0/1]int g0/0/2
[sw5-GigabitEthernet0/0/2]port link-type access
[sw5-GigabitEthernet0/0/2]port default vlan 3
[sw5-GigabitEthernet0/0/2]
Sw6设置
<Huawei>sys
[Huawei]sysname sw6
[sw6]undo info enable
[sw6]vlan batch 2 to 5
[sw6]int g0/0/1
[sw6-GigabitEthernet0/0/1]port link-type trunk
[sw6-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw6-GigabitEthernet0/0/1]int g0/0/2
[sw6-GigabitEthernet0/0/2]port link-type access
[sw6-GigabitEthernet0/0/2]port default vlan 4
[sw6-GigabitEthernet0/0/2]
Sw7设置
<Huawei>sys
[Huawei]undo info enable
[Huawei]sysname sw7
[sw7]vlan batch 2 to 5
[sw7]int g0/0/1
[sw7-GigabitEthernet0/0/1]port link-type trunk
[sw7-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw7-GigabitEthernet0/0/1]int g0/0/2
[sw7-GigabitEthernet0/0/2]port link-type access
[sw7-GigabitEthernet0/0/2]port default vlan 5
[sw7-GigabitEthernet0/0/2]
- 测试
- 查看sw1的vlan配置
sw1>disp vlan
- 查看sw1各接口ip
sw1>disp ip int bri
- 查看sw1的链路聚合配置
sw1>disp eth-trunk
4.内部所有pc配置ip和网关
5.在pc1上 ping其它主机
分公司配置
一、配置vlan和trunk
Sw8设置
<Huawei>sys
[Huawei]undo info enable
[Huawei]sysname sw8
[sw8]vlan batch 6 to 7
[sw8]int g0/0/1
[sw8-GigabitEthernet0/0/1]port link-type trunk
[sw8-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw8-GigabitEthernet0/0/1]int g0/0/2
[sw8-GigabitEthernet0/0/2]port link-type access
[sw8-GigabitEthernet0/0/2]port default vlan 6
[sw8-GigabitEthernet0/0/2]int g0/0/3
[sw8-GigabitEthernet0/0/3]port link-type access
[sw8-GigabitEthernet0/0/3]port default vlan 7
[sw8-GigabitEthernet0/0/3]
- 在r2上配置单臂路由,以实现分公司内部通信
R2基本设置
<Huawei>sys
[Huawei]undo info enable
[Huawei]sysname r2
[tr2]sysname r2
R2单臂路由设置
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]undo sh
[r2-GigabitEthernet0/0/0]int g0/0/0.6
[r2-GigabitEthernet0/0/0.6]ip add 192.168.6.1 24
[r2-GigabitEthernet0/0/0.6]dot1q termination vid 6(子接口与vlan6关联)
[r2-GigabitEthernet0/0/0.6]arp broadcast enable(子接口打开arp广播)
[r2-GigabitEthernet0/0/0.6]int g0/0/0.7
[r2-GigabitEthernet0/0/0.7]ip add 192.168.7.1 24
[r2-GigabitEthernet0/0/0.7]dot1q termination vid 7
[r2-GigabitEthernet0/0/0.7]arp broadcast enable
[r2-GigabitEthernet0/0/0.7]
[r2]int g0/0/2
[r2-GigabitEthernet0/0/0]ip add 100.1.1.2 24
- 测试
- 分公司客户机配置ip和网关
- 利用ping测试
路由部分配置
-
总公司内部路由
-
基本配置
R1基本设置
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.10.2 24
[r1-GigabitEthernet0/0/0]undo sh
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 192.168.100.2 24
[r1-GigabitEthernet0/0/1]undo sh
[r1]int g0/0/2
[r1-GigabitEthernet0/0/2]ip add 100.1.1.1 24
[r1-GigabitEthernet0/0/2]undo sh
[r1]int g2/0/0
[r1-LoopBack0]ip add 192.168.10.1 24
[r1-LoopBack0]quit
[r1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.2 (默认路由)
r3的基本配置
<r3>sys
[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]ip add 192.168.20.2 24
[r3-GigabitEthernet0/0/0]int g0/0/1
[r3-GigabitEthernet0/0/1]ip add 192.168.30.1 24
二、配置ospf和rip以实现总公司骨干网络之间的互联
1.ospf配置:在sw1、sw2以及r1上配置ospf
<sw1>sys
[sw1]ospf 1 router-id 1.1.1.1(可以省略router-id)
[sw1-ospf-1]area 0
[sw1-ospf-1-area-0.0.0.0]net 192.168.10.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]
<sw2>sys
[sw2]ospf 1
[sw2-ospf-1]area 0
[sw2-ospf-1-area-0.0.0.0]net 192.168.100.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]
[r1]ospf 1
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]net 192.168.10.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]net 192.168.100.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]
2.配置rip:在r1和r3配置rip
r1的配置
[r1]rip 默认进程id为1
[r1-rip-1]ver 2 (启用rip版本2)
[r1-rip-1]undo summary (关闭自动汇总)
[r1-rip-1]net 192.168.20.0 (宣告接口)
[r1-rip-1] quit
r3的配置
[r3]rip 默认进程id为1
[r3-rip-1]ver 2 (启用rip版本2)
[r3-rip-1]undo summary (关闭自动汇总)
[r3-rip-1]net 192.168.20.0 (宣告接口)
[r3-rip-1]net 192.168.30.0 (宣告接口)
[r3-rip-1] quit
- 重分发以实现ospf与rip之间可以互通
1.在ospf中重分发rip
[r1]ospf 1
[r1-ospf-1]import direct
[r1-ospf-1]import-route rip 1 (ospf中重分发rip)
[r1-ospf-1]default-route-advertise (ospf中重分发默认路由)
[r1-ospf-1]quit
在rip中重分发ospf
[r1]rip
[r1-rip-1]import ospf 1
[r1-rip-1]default-route originate (向rip中注入一条默认路由)
-
测试
- 查看r1的路由表
r1>disp ip routing-table
r1>disp ip routing-table protocol ospf //只查看ospf路由
- 查看r1的ospf的邻居关系
r1>disp ospf peer brief
3.在总公司客户机上访问server1,到目前为止总公司内部可以完全互通了
pc1>ping 192.168.30.2
nat及acl访问控制部分配置
说明:在r2上我们没有配置任何路由,所以在r2上没有回来的路由,所以在r1上必须要配置nat,这样让内部客户机访问外部网络的时候都转换成与r1出口同网段的地址,这样就相当于r1在访问外部
- r1上配置pat:使内部客户机可以访问外部
1.创建公网地址组(池)
[r1]nat address-group 1 100.1.1.20 100.1.1.20 (创建公网地址池)
2.创建可以进行地址转换的acl,只对192.168.2.0和192.168.3.0进行地址转换
[r1]acl 2000 (创建标准acl)
[r1-acl-basic-2000]rule 0 permit source 192.168.2.0 0.0.0.255
[r1-acl-basic-2000]rule 5 permit source 192.168.3.0 0.0.0.255
- 在接口g0/0/2上应用nat
[r1]int g0/0/2 (在g0/0/2接口上应用nat)
[r1-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 (配置pat)
[r1-GigabitEthernet0/0/2]quit
4.创建不能访问分公司的acl(可以略),上面在进行地址转换的时候就已经不给192.168.4.0客户机做转换了,所以,即使这一步不做192.168.4.0也访问不了6.0和7.0
[r1]acl 3000
[r1-acl-adv-3000]rule 0 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.6.0 0.0.0.255
[r1-acl-adv-3000]rule 5 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255
[r1-acl-adv-3000]rule 10 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.7.0 0.0.0.255
[r1-acl-adv-3000]rule 15 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255
[r1-acl-adv-3000]quit
5.在g0/0/2接口上应用acl3000
[r1]int g0/0/2
[r1-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
6.测试
- 在r1上查看nat转换表
r1>disp nat session all
- 在r1查看acl
r1>disp acl all
3)在总公司的vlan2和vlan3客户机上可以访问分公司客户机
pc1>ping 192.168.6.2
4)在总公司的vlan4和vlan5客户机上不能访问分公司客户机
pc1>ping 192.168.6.2
二、r1上配置静态nat,发布dmz中的服务器server1
1.静态nat配置:使外部的主机可以访问dmz中的服务器
[r1-GigabitEthernet0/0/2]nat server global 100.1.1.150 inside 192.168.30.2 (静态nat)
说明:192.168.30.2是dmz中的真实服务器地址,100.1.1.150为192.168.20.2映射的全局地址,最终,外面的用户可以使用100.1.1.150访问192.168.30.2
2.在分公司客户机上测试
pc5>ping 100.1.1.150(实际访问到的就是192.168.30.2)
156
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
