1000人 规模园区网设计
1000人 规模园区网设计
- VLAN
- 网关 SVI
- DHCP
- OSPF
- NAT
- ACL
- SNMP运维监控
- 云桥接
- 完整配置文件
实验要求:
① 信息中心配置Eth-trunk实现链路冗余
② 企业内网划分多个vlan ,减小广播域大小,提高网络稳定性
③ 核心交换机作为用户网关实现vlan间路由
④ 所有用户均为自动获取ip地址
⑤ 出口配置NAT实现地址转换
⑥ 在企业出口将内网服务器的80端口映射出去,允许外网用户访问
⑦ 所有设备都可以被telnet远程管理
⑧ 所有校区之间可以互访且出口实现冗余 —— 这个我没做,就出口加个联通
⑨ 企业财务服务器,只允许(vlan 40)的员工访问
⑩ 禁止vlan 20 员工访问外网且关键设备做好实时监控
- 出口路由器 其实还要接一个防火墙才比较好
通过防火墙 做 各种需求策略, 识别应用 去分配流量
VLAN
①VLAN trunk
信息中心配置Eth-trunk实现链路冗余,划分VLAN
内网划分多个vlan ,减小广播域大小,提高网络稳定性
vlan 900作为管理vlan 后期配置telnet的时候会用到
接入sw8
[sw8]sysname JR_sw8
[JR_sw8]int Eth-Trunk 1
[JR_sw8-Eth-Trunk1]mode lacp-static //静态LACP
[JR_sw8-Eth-Trunk1]trunkport GigabitEthernet 0/0/1
[JR_sw8-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[JR_sw8-Eth-Trunk1]port link-type trunk
[JR_sw8-Eth-Trunk1]port trunk allow-pass vlan 200
[JR_sw8]vlan 200
[JR_sw8-vlan200]q
[JR_sw8]vlan 900
[JR_sw8-vlan900]q
[JR_sw8]port-g g Ethernet0/0/2 Ethernet0/0/3
[JR_sw8-port-group]port link-type access
[JR_sw8-port-group]port defa vlan 200
❤核心sw1——1
[Huawei]sys HX_sw1
[HX_sw1]un in en
[HX_sw1]vlan batch 10 20 30 40 200 800 900
[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]mode lacp-static
[HX_sw1-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[HX_sw1-Eth-Trunk1]trunkport GigabitEthernet 0/0/5
[HX_sw1-Eth-Trunk1]port link-type trunk
[HX_sw1-Eth-Trunk1]port trunk allow-pass vlan 200 900
[HX_sw1-Eth-Trunk1]q
接入sw5
[Huawei]sys JR_sw5
[JR_sw5]undo info-center enable
[JR_sw5]vlan batch 10 900
[JR_sw5]port-g g e0/0/2 e0/0/3
[JR_sw5-port-group]port link-type access
[JR_sw5-port-group]port de vlan 10
[JR_sw5-port-group]q
[JR_sw5]int g0/0/1
[JR_sw5-GigabitEthernet0/0/1]port link-type trunk
[JR_sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 900
接入sw6
[Huawei]sys JR_sw6
[JR_sw6]vlan batch 20 900
[JR_sw6]int e0/0/1
[JR_sw6-Ethernet0/0/1]port link-type access
[JR_sw6-Ethernet0/0/1]port de vlan 20
[JR_sw6-Ethernet0/0/1]int g0/0/1
[JR_sw6-GigabitEthernet0/0/1]port link-type trunk
[JR_sw6-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 900
汇聚sw2
[HJ_sw2]vlan batch 10 20 900
Info: This operation may take a few seconds. Please wait for a moment...done.
[HJ_sw2]int g0/0/2
[HJ_sw2-GigabitEthernet0/0/2]port link-ty trunk
[HJ_sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 900
[HJ_sw2-GigabitEthernet0/0/2]int g0/0/3
[HJ_sw2-GigabitEthernet0/0/3]port link-ty trunk
[HJ_sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 20 900
[HJ_sw2]int g0/0/1 //上行需要都通过的VLAN
[HJ_sw2-GigabitEthernet0/0/1]port link-type trunk
[HJ_sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900
接入sw7
[JR_sw7]vlan batch 30 900
[JR_sw7]port-g g e0/0/1 to e0/0/22
[JR_sw7-port-group]port link-ty acc
[JR_sw7-port-group]port de vlan 30
[JR_sw7]int g0/0/1
[JR_sw7-GigabitEthernet0/0/1]port link-type trunk
[JR_sw7-GigabitEthernet0/0/1]port trunk allow-pass vlan 30 900
[JR_sw7-GigabitEthernet0/0/1]
汇聚sw3
[HJ_sw3]vlan batch 30 900
[HJ_sw3]int g0/0/2
[HJ_sw3-GigabitEthernet0/0/2]port link-type trunk
[HJ_sw3-GigabitEthernet0/0/2]port trunk allow-pass vlan 30 900
[HJ_sw3-GigabitEthernet0/0/2]int g0/0/1
[HJ_sw3-GigabitEthernet0/0/1]port link-type trunk
[HJ_sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 30 900
[HJ_sw3-GigabitEthernet0/0/1]q
接入sw9
[JR_sw9]vlan batch 40 900
[JR_sw9]int e0/0/2
[JR_sw9-Ethernet0/0/2]port link-type access
[JR_sw9-Ethernet0/0/2]port de vlan 40
[JR_sw9-Ethernet0/0/2]int g0/0/1
[JR_sw9-GigabitEthernet0/0/1]port link-type trunk
[JR_sw9-GigabitEthernet0/0/1]port trunk allow-pass vlan 40 900
[JR_sw9-GigabitEthernet0/0/1]q
汇聚sw4
[HJ_sw4]vlan batch 40 900
[HJ_sw4]port-g g gi 0/0/1 gi 0/0/2
[HJ_sw4-port-group]port link-type trunk
[HJ_sw4-port-group]port trunk allow-pass vlan 40 900
核心交换机SW1:
核心sw1——2,上面只配置了核心sw1——1
①vlan
[HX_sw1]int g0/0/1
[HX_sw1-GigabitEthernet0/0/1]port link-type trunk
[HX_sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900
[HX_sw1]int g0/0/3
[HX_sw1-GigabitEthernet0/0/3]port link-type trunk
[HX_sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan 30 900
[HX_sw1]int g0/0/4
[HX_sw1-GigabitEthernet0/0/4]port link-type trunk
[HX_sw1-GigabitEthernet0/0/4]port trunk allow-pass vlan 40 900
[HX_sw1]int g0/0/24
[HX_sw1-GigabitEthernet0/0/24]port link-type access
[HX_sw1-GigabitEthernet0/0/24]port de vlan 800
网关 SVI
②网关 SVI switch virtual interface——Vlanif
SVI是三层接口
核心交换机 交换机接口上配置网关,来实现VLAN的路由
vlanif10 对应的就是 vlan10
核心sw1:
[HX_sw1]int Vlanif 10
[HX_sw1-Vlanif10]ip add 192.168.10.1 24
[HX_sw1-Vlanif10]int vlanif 20
[HX_sw1-Vlanif20]ip add 192.168.20.1 24
[HX_sw1-Vlanif20]int vlanif 30
[HX_sw1-Vlanif30]ip add 192.168.30.1 24
[HX_sw1-Vlanif30]int vlanif 40
[HX_sw1-Vlanif40]ip add 192.168.40.1 24
[HX_sw1-Vlanif40]int vlanif 200
[HX_sw1-Vlanif200]ip add 192.168.200.1 24
[HX_sw1-Vlanif200]int vlanif 800
[HX_sw1-Vlanif800]ip add 192.168.254.2 24
DHCP
③DHCP配置
多少个vlan就建立多少个地址池
[HX_sw1]dhcp enable
[HX_sw1]ip pool SYL_vlan10
[HX_sw1-ip-pool-syl_vlan10]network 192.168.10.0 mask 24
[HX_sw1-ip-pool-syl_vlan10]gateway-list 192.168.10.1
[HX_sw1-ip-pool-syl_vlan10]dns-list 114.114.114.114 8.8.8.8
[HX_sw1]ip pool SYL_vlan20
[HX_sw1-ip-pool-syl_vlan20]network 192.168.20.0 mask 24
[HX_sw1-ip-pool-syl_vlan20]gateway-list 192.168.20.1
[HX_sw1-ip-pool-syl_vlan20]dns-list 114.114.114.114 8.8.8.8
[HX_sw1]ip pool JXL_vlan30
[HX_sw1-ip-pool-jxl_vlan30]network 192.168.30.0 mask 24
[HX_sw1-ip-pool-jxl_vlan30]gateway-list 192.168.30.1
[HX_sw1-ip-pool-jxl_vlan30]dns-list 114.114.114.114 8.8.8.8
[HX_sw1]ip pool xzl_vlan40
[HX_sw1-ip-pool-xzl_vlan40]network 192.168.40.0 mask 24
[HX_sw1-ip-pool-xzl_vlan40]gateway-list 192.168.40.1
[HX_sw1-ip-pool-xzl_vlan40]dns-list 114.114.114.114 8.8.8.8
当用户发来dhcp广播报文的时候,让它在全局(全局即指在地址池中)拿地址
vlan 10用户请求报文时,有vlan10标签,因此核心交换机知道,会分配vlan 10相应网段地址.
[HX_sw1]int vlanif 10
[HX_sw1-Vlanif10]dhcp select global
[HX_sw1-Vlanif10]q
[HX_sw1]int vlanif 20
[HX_sw1-Vlanif20]dhcp select global
[HX_sw1-Vlanif20]int vlanif 30
[HX_sw1-Vlanif30]dhcp select global
[HX_sw1-Vlanif30]int vlanif 40
[HX_sw1-Vlanif40]dhcp select global
OSPF
④OSPF配置
总分型结构,有分所。 总分公司的网段不要重叠
让分支机构 能访问 总所的服务器,因此要宣告,让别人知道
汇聚交换机和接入交换机是 二层协议,没有必要宣告路由协议。
出口路由
[Huawei]sys CK_Router
[CK_Router]int g4/0/0
[CK_Router-GigabitEthernet4/0/0]ip add 192.168.254.1 24
[CK_Router-GigabitEthernet4/0/0]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]ip add 12.1.1.1 29
[CK_Router-GigabitEthernet0/0/1]int g1/0/0
[CK_Router-GigabitEthernet1/0/0]ip add 192.168.104.1 30
宣告254 104 12.1.1.0 网段
- 第一种方式:宣告整个网段
- 第二种方式:只要宣告的网段 有接口的地址,即一个接口地址 (推荐这种,精确)
[CK_Routeri]ospf 1 router-id 2.2.2.2
[CK_Router]area 0
[CK_Router-ospf-1-area-0.0.0.0]net 192.168.254.0 0.0.0.255
[CK_Router-ospf-1-area-0.0.0.0]net 192.168.104.1 0.0.0.0
核心sw1
宣告 10 20 30 40 200 254 网段
[HX_sw1]ospf 1 router-id 1.1.1.1
[HX_sw1-ospf-1]area 0
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.254.0 0.0.0.255
新校区路由
[XXQ1_R4]ospf 1 r
[XXQ1_R4]ospf 1 router-id 3.3.3.3
[XXQ1_R4-ospf-1]area 0
[XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.104.2 0.0.0.0
[XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.100.2 0.0.0.0
到此为止,查看SW1有没学习到,看新校区1的路由表学习情况 dis ip routing-table
自己在做的时候发现少了一个路由条目,经过排查,模拟器没有将 那接口开启, 因此要手动undo shutdown,然后发觉也解决不了还是down,发现是客户机client没有开启 挖槽,醉了。
配置静态路由
[HX_sw1]ip route-static 0.0.0.0 0 192.168.254.1
[CK_Router]ip route-static 0.0.0.0 0 12.1.1.6 去移动
⑤广域网出口选路
(策略路由也OK,设置缺省路由,修改优先级
其实选择联通和移动,这个通过防火墙做比较好)
[CK_Router]ip route-static 0.0.0.0 0 12.1.1.6 去移动
[CK_Router]ip route-static 0.0.0.0 0 13.1.1.6 preference 70 去联通
这个在我自己做的实验拓扑没有配,可以自行添加哦,知道个思路即可,设置两个运营商 可以让移动中断了,我就去联通,如果移动修好了,会自动切换回去。
NAT
⑥NAT配置
理论上我配置OSPF能达到新校区,我也能配置OSPF到运营商,但事实上,运营商的路由器是不可能给我操控的,因此这里使用NAT
上面已经配置了 默认路由 0.0.0.0 0 12.1.1.6
现在在出口路由器上:
[CK_Router]acl 2000
[CK_Router-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[CK_Router]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]nat outbound 2000
将内网服务器的80端口映射成公网出去,让外网用户访问
接口nat
[CK_Router]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.200.10 80
//如果想使用接口的公网地址,不能直接写12.1.1.1,需要写current-interface
7.7.7.7是移动的,访问公网12.1.1.1即可,因为上面已经配置好NAT了
⑦telnet远程管理配置
管理VLAN 900 192.168.255.x /24
接入和汇聚 需要一个 缺省路由 指向255.1,缺省路由的目的就是管理流量的回包,同时 配置一个统一的用户名密码
所有设备都得这么配:
aaa
local-user aa privilege level 3 password cipher 123
local-user aa service-type telnet
user-interface vty 0 4
authentication-mode aaa
如果是真机(真实环境) 还需要配置一个
[HX_sw1]telnet server enable
[HX_sw1-ui-vty0-4]protocol inbound telnet //表示这个接口允许telnet进来,因为新版本的华为只允许ssh
接下来是配置管理地址
[HX_sw1]int vlanif 900
[HX_sw1-Vlanif900]ip add 192.168.255.1 24
[JR_sw8]int vlanif 900
[JR_sw8-Vlanif900]ip add 192.168.255.8 24
[JR_sw8]ip route-static 0.0.0.0 0 192.168.255.1 //回包路由
其他略。
补充:作为汇聚和接入的所有交换机 都需要配置一个回包路由,为了让管理的流量能够回去。
所有接入交换的回包路由都是 255.1
事实上,ENSP模拟器的PC是没办法telnet,因此可用路由器来测试 接入
[PC]dhcp enable
[PC]int e0/0/0
[PC-Ethernet0/0/0]ip add dhcp-alloc //会自动获取网关(缺省形式)
ACL
⑧访问控制配置
企业财务服务器,只允许(vlan 40)的员工访问
在核心交换机上
sw1
[HX_sw1]acl 3000
[HX_sw1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.20 0
[HX_sw1-acl-adv-3000]rule deny ip source any destination 192.168.200.20 0
[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]traffic-filter outbound acl 3000
SNMP运维监控
⑨SNMP运维监控
禁止vlan 20 员工访问外网且关键设备做好实时监控
让出口路由器 丢弃 员工的请求外网报文就行,但要放行请求新校区的报文
要在inbound口做,即g4/0/0
· 如果outbound的话,报文是先进行NAT转换,再进行ACL匹配
[CK_Router]acl 3001
[CK_Router-acl-adv-3001]rule permit ip destination 192.168.0.0 0.0.255.255
[CK_Router-acl-adv-3001]rule deny ip source 192.168.20.0 0.0.0.255
[CK_Router-acl-adv-3001]int g 4/0/0
[CK_Router-GigabitEthernet4/0/0]traffic-filter inbound acl 3001
[CK_Router-GigabitEthernet4/0/0]
SNMP监控
把设备添加到网管软件前,需要在网络设备上配置SNMP参数
网管服务器接到核心交换机上, 可通过云Cloud接核心,桥接云模拟服务器。
[HX_sw1]int g0/0/6
[HX_sw1-GigabitEthernet0/0/6]port link-type access
[HX_sw1-GigabitEthernet0/0/6]port default vlan 900
所有设备都要这样配置
snmp-agent
snmp-agent community write 123
snmp-agent community read 456
snmp-agent sys-info version all
[HX_sw1]snmp-agent sys-info version all
[HX_sw1]snmp-agent //启动snmp
[HX_sw1]snmp-agent community write 123
[HX_sw1]snmp-agent community read 456
剩下设备略
云桥接
以下是 云桥接
网管软件
输入IP地址——》输入团体名(相当于密码)
完整配置文件
完整配置文件:
https://download.csdn.net/download/qq_39578545/12381436