华为ensp模拟校园网/企业网实例--中型企业无线网络的设计

文章简介:本文做了一个中型企业无线网络的设计,课题重点突出无线网络和高安全性,除了基础的功能要通,还需要实现无线AP,防火墙功能,VLAN技术,ACL访问控制实现过滤,生成树协议,负载分担,NAT技术实现私有网络IP地址转换为公有网络IP地址,无线技术,加密技术。GRE over IPSec VPN技术,部门的话设置为可以按楼层划分,总裁办,IT部门,市场发展部,行政部,财务部,人力资源部,工程技术部,外来人员办公室(外来人员办公使用外网,可通过VPN验证登录内网)

作者简介:网络工程师,希望能认识更多的小伙伴一起交流,可私信或QQ号:1686231613

-------------------------------------------------------------------------------------------------------------------

一、拓扑图

华为ensp模拟校园网/企业网实例--中型企业无线网络的设计_第1张图片

二、地址规划

华为ensp模拟校园网/企业网实例--中型企业无线网络的设计_第2张图片

配置思路与过程

1、接入层实现

 对于接入层根据规划,分别设置为vlan10、vlan20、vlan30、vlan40、vlan50、vlan60,接入用户的端口加入相关VLAN,上行trunk口允许相关vlan通过。

[Cw-access]vlan  batch  10 20 30 40 50 60   //创建vlan

//接入用户接口

[Cw-access-Ethernet0/0/1]port link-type access

[Cw-access-Ethernet0/0/1]port default vlan 10

//上行口

[Cw-access]port-group group-member  GigabitEthernet 0/0/1 to  GigabitEthernet 0/0/2

[Cw-access-port-group]port link-type trunk

[Cw-access-port-group]port trunk allow-pass vlan 10 20 30 40 50 60

(其他接入配置相同)

另在接入层交换机、汇聚交换机上配置MSTP多实例生成树,将相关vlan加入不同的实例。

stp region-configuration    //进入MSTP模式

region-name huawei            //配置域名为huawei

instance 1 vlan 10 20 30      //将vlan10 、20、30加入实例1中

instance 2 vlan 40 50 60        //将vlan40、50、60加入实例2中

active region-configuration  //激活配置

2、汇聚层实现

(1)DHCP实现

核心交换机上部署DHCP

配置DHCP:

dhcp enable          //打开DHCP功能

ip pool vlan10       //创建 IP 地址池取名为vlan10

network 10.0.10.0 mask 255.255.255.0  //配置地址池网段

gateway-list 10.0.10.254         //配置该地址池地址的网关地址

dns-list 114.114.114.114   //DNS网关  

[SW-A-Vlanif10]dhcp select global         //定义dhcp为全局模式

(2)MSTP+VRRP:

stp instance 1 root primary     //指定本交换机为主根桥

stp instance 2 root secondary   //指定本交换机为备份根桥

3)VRRP关键代码,其他网关配置同理:

以后勤部门vlan为例

interface Vlanif20  //后勤vlan 网关

ip address 10.0.20.1 255.255.255.0   //配置ip地址

//创建VRRP备份组20,并配置VRRP备份组的虚拟IP地址10.0.20.254

vrrp vrid 20 virtual-ip 10.0.20.254

//设置主交换机在VRRP备份组20中的优先级为120,高于备份交换机的优先级100

vrrp vrid 20 priority 120

(备份交换机配置相同)

(4)链路聚合

在两个核心交换机间设置链路聚合,关键代码如下:

interface eth-trunk 0     //创建ID为0的Eth-Trunk接口

trunkport GigabitEthernet 0/0/23 to 0/0/24    将 23  24号口加入到聚合组中

(对端配置完全相同)

3、网络出口实现

(1)部署NAT:

NAT关键代码如下:

//创建内网需要上网的源地址到外网的安全策略:

security-policy

rule name nat

source-zone trust

destination-zone untrust

action permit

//创建需要上网的源地址的安全NAT策略:

nat-policy

 rule name nat

  source-zone trust

  destination-zone untrust

  action source-nat easy-ip

//创建NAT server 映射  使外网用户访问内部特殊服务器

nat server 0 protocol tcp global 100.100.100.100 www inside 192.168.100.1 www

 nat server 1 protocol tcp global 100.100.100.100 ftp inside 192.168.100.2 ftp

4、路由协议实现

核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术

//此配置 其他设备 均相同 宣告各自直连网段即可

[Core-A-ospf-1]area 0

[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.255.255

5、WLan

[AC6605]vlan  200

[AC6605-vlan200]int vlan 200

[AC6605-Vlanif200]ip address  10.0.200.200 24

[AC6605]capwap source interface Vlanif 200

[AC6605-wlan-view]ssid-profile  name  wlan

[AC6605-wlan-ssid-prof-wlan]ssid wlan

[AC6605-wlan-view]security-profile name  wlan

[AC6605-wlan-sec-prof-wlan]security  wpa2 psk  pass-phrase  a1234567 aes

[AC6605-wlan-view]vap-profile  name  wlan

[AC6605-wlan-vap-prof-wlan]ssid-profile  wlan

[AC6605-wlan-vap-prof-wlan]security-profile wlan

[AC6605-wlan-vap-prof-wlan]service-vlan vlan-id 30

[AC6605-wlan-view]ap-group  name  aps

[AC6605-wlan-ap-group-aps]vap-profile  wlan wlan 1 radio  all

5、VPN配置

(1) GRE over IPsec

interface Tunnel0  //配置隧道  

 ip address unnumbered interface GigabitEthernet1/0/0  

 tunnel-protocol gre

 source 1.1.1.2  //隧道源

 destination 4.4.4.2  //隧道终结点

ike proposal 1  //ike安全提议

 encryption-algorithm aes-256

 dh group14

 authentication-algorithm sha2-256

 authentication-method pre-share

 integrity-algorithm hmac-sha2-256

 prf hmac-sha2-256

ike peer fwc   //ike对等体

 undo version 1

 pre-shared-key %^%#CT>/P"t8FF%ir#Q%+|y3uM147GeyFAr0)GD

 ike-proposal 1  //绑定ike提议

 remote-address 4.4.4.2   //协商的对端地址

ipsec proposal 1   //ipsec 安全提议

 esp authentication-algorithm sha2-256

 esp encryption-algorithm aes-256

ipsec policy p1 1 isakmp

 security acl 3000  //需要加密的流量

 ike-peer fwc  //绑定ike对等体

 proposal 1  //ipsec 安全提议

 tunnel local 1.1.1.2  //隧道本端地址

//配置去往分部的路由  指向GRE隧道

HRP_M[FW-A]ip route-static 10.1.10.0 24 Tunnel  0

HRP_M[FW-A]ip route-static 10.1.11.0 24 Tunnel  0

//分部同理

ip route-static 10.0.0.0 255.255.0.0 Tunnel0

(3)SSL

华为ensp模拟校园网/企业网实例--中型企业无线网络的设计_第3张图片

测试结果截图请私信作者获取 

 

你可能感兴趣的:(网络规划与设计,p2p,网络,网络协议)