ensp实现1000人中型校园网络基本架构

本实验拓扑图为网上资源下载用于实验，实验过程自己实操。

简单过一遍实验过程：

按照自己实验习惯：优先配置下层接入交换机：

接PC端的配置access口，交换机之间配置trunk

用vlan10来举例：

LW2：先在交换机上创建vlan

interface Ethernet0/0/2
 port link-type access
 port default vlan 10

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10

左下角路由器用于tracert ，本次实验不配置，接口就不配置了

LW10：

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 20

接口配置都一样，就不再一个个介绍。

主要的配置在核心层的LW1上：

先配置接口：与LSW3，也就是图标的接入SW8，配置一样。

interface Eth-Trunk13
 port link-type trunk
 port trunk allow-pass vlan 200
 load-balance src-dst-mac

接入SW8的两个接服务器接口配成access

interface Ethernet0/0/2
 port link-type access
 port default vlan 200

interface Ethernet0/0/3
 port link-type access
 port default vlan 200

在SW1上配置地址池给所有主机动态分配地址

用vlan10 举例：先开启dhcp enable

int vlan 10
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.254
dns-list 8.8.8.8

配置vlanif10地址为192.168.10.254作为vlan10主机的网关：并开启dhcp select global

dhcp select global命令用来开启接口采用全局地址池的DHCP Server功能

interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select global

在vlan10 的PC机上打开dhcp

 成功获得IP地址

并ping自己的网关地址192.168.10.254

其他地址池和网关地址一样配置：

 

 接下来配置路由器：

首先就是接口地址配置：

interface GigabitEthernet0/0/1
 ip address 13.1.1.1 255.255.255.0 

interface GigabitEthernet1/0/0
 ip address 192.168.104.1 255.255.255.0 

interface GigabitEthernet2/0/0
 ip address 192.168.105.1 255.255.255.0 

interface GigabitEthernet3/0/0
 ip address 12.1.1.1 255.255.255.0 
 
interface GigabitEthernet4/0/0
 ip address 192.168.100.1 255.255.255.0 
 

右边路由器由上往下一次配置地址：

配置环回口：当外网地址

interface Ethernet0/0/0
 ip address 12.1.1.2 255.255.255.0

interface LoopBack0
 ip address 8.8.8.8 255.255.255.255

interface Ethernet0/0/0
 ip address 13.1.1.3 255.255.255.0

interface Ethernet0/0/0
 ip address 192.168.14.4 255.255.255.0

interface Ethernet0/0/1
 ip address 192.168.104.4 255.255.255.0

interface Ethernet0/0/0
 ip address 192.168.105.5 255.255.255.0

interface Ethernet0/0/1
 ip address 192.168.15.5 255.255.255.0

配置OSPF

在SW1上：起一个ospf 进程10 router id 为 1.1.1.1

在区域0下：

把自己接口网短宣告进OSPF中

ospf 10 router-id 1.1.1.1
 area 0.0.0.0
  network 192.168.10.0 0.0.0.255
  network 192.168.20.0 0.0.0.255
  network 192.168.30.0 0.0.0.255
  network 192.168.40.0 0.0.0.255
  network 192.168.100.0 0.0.0.255
  network 192.168.200.0 0.0.0.255

路由器

ospf 10 router-id 2.2.2.2 
 area 0.0.0.0 
  network 192.168.100.0 0.0.0.255 
  network 192.168.104.0 0.0.0.255 
  network 192.168.105.0 0.0.0.255 

新校区两个路由器一样：

ospf 10 router-id 4.4.4.4
 area 0.0.0.0
  network 192.168.104.0 0.0.0.255
  network 192.168.14.0 0.0.0.255

ospf 10 router-id 5.5.5.5
 area 0.0.0.0
  network 192.168.105.0 0.0.0.255
  network 192.168.15.0 0.0.0.255

查看OSPF邻居

查看OSPF学习到的路由表

用本校区主机ping这个192.168.14.1

 

 成功ping通。

在新校区的终端设备上ping本校区的WE访问服务器

在本校区的主机上ping学校的WEB服务器

到此，已经实现基本通信。。。

接下来配置路由器出口：

首先SW1上配置静态路由指向路由器

ip route-static 0.0.0.0 0.0.0.0 192.168.100.1

在路由器上：

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
ip route-static 0.0.0.0 0.0.0.0 13.1.1.2 preference 70

这样配置流量主要从上面12.1.1.0上走

当上面线路出现问题时将使用第二条线路。

这只是一个简单配置。。。。。。。。。。

NAT配置

先写ACL

内网使用 的网段都是192.168.0.0,所以写一条ACL 2000就OK

acl number 2000  

rule 5 permit source 192.168.0.0 0.0.255.255

将ACL 2000挂在连个出口上

interface GigabitEthernet0/0/1
 ip address 13.1.1.1 255.255.255.0 
 nat outbound 2000

interface GigabitEthernet3/0/0
 ip address 12.1.1.1 255.255.255.0 
 nat outbound 2000

 使用内网主机ping外网的环回接口8.8.8.8

 

实验还涉及到将内网WEB映射出去，由于对此还不熟练

挂一下产品文档的介绍，还是得学习一下

最后最后最后配置ACL访问控制：

配置方法：

只允许行政楼所在的vlan40可以访问财务服务器

在SW1 上配置ACL

acl number 3000
 rule 5 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.20 0
 rule 10 deny ip destination 192.168.200.20 0

只允许192.168.40.0网段通过，其余都deny掉
并在SW1的Eth-Trunk下挂接

traffic-filter outbound acl 3000

interface Eth-Trunk13
 port link-type trunk
 port trunk allow-pass vlan 200
 traffic-filter outbound acl 3000
 load-balance src-dst-mac

并测试一下是否匹配

右边为vlan40的主机

配置第二条：不允许vlan 20的主机访问外网：可以访问新校区

在路由器上配置ACL 3000

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 permit ip destination 192.168.0.0 0.0.255.255
[Huawei-acl-adv-3000]rule  10 deny ip source 192.168.20.0 0.0.0.255


interface GigabitEthernet4/0/0
 traffic-filter inbound acl 3000

 检查ACL是否匹配：vlan20 网段在没有配置ACL之前可以ping通8.8.8.8

配置ACL之后不能ping通8.8.8.8，但是可以ping通新校区的网段：

 

 到此实验结束。。。。。