文章简介:本文做了一个中型企业无线网络的设计,课题重点突出无线网络和高安全性,除了基础的功能要通,还需要实现无线AP,防火墙功能,VLAN技术,ACL访问控制实现过滤,生成树协议,负载分担,NAT技术实现私有网络IP地址转换为公有网络IP地址,无线技术,加密技术。GRE over IPSec VPN技术,部门的话设置为可以按楼层划分,总裁办,IT部门,市场发展部,行政部,财务部,人力资源部,工程技术部,外来人员办公室(外来人员办公使用外网,可通过VPN验证登录内网)
作者简介:网络工程师,希望能认识更多的小伙伴一起交流,可私信或QQ号:1686231613
-------------------------------------------------------------------------------------------------------------------
一、拓扑图
二、地址规划
1、接入层实现
对于接入层根据规划,分别设置为vlan10、vlan20、vlan30、vlan40、vlan50、vlan60,接入用户的端口加入相关VLAN,上行trunk口允许相关vlan通过。
[Cw-access]vlan batch 10 20 30 40 50 60 //创建vlan
//接入用户接口
[Cw-access-Ethernet0/0/1]port link-type access
[Cw-access-Ethernet0/0/1]port default vlan 10
//上行口
[Cw-access]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[Cw-access-port-group]port link-type trunk
[Cw-access-port-group]port trunk allow-pass vlan 10 20 30 40 50 60
(其他接入配置相同)
另在接入层交换机、汇聚交换机上配置MSTP多实例生成树,将相关vlan加入不同的实例。
stp region-configuration //进入MSTP模式
region-name huawei //配置域名为huawei
instance 1 vlan 10 20 30 //将vlan10 、20、30加入实例1中
instance 2 vlan 40 50 60 //将vlan40、50、60加入实例2中
active region-configuration //激活配置
2、汇聚层实现
(1)DHCP实现
核心交换机上部署DHCP
配置DHCP:
dhcp enable //打开DHCP功能
ip pool vlan10 //创建 IP 地址池取名为vlan10
network 10.0.10.0 mask 255.255.255.0 //配置地址池网段
gateway-list 10.0.10.254 //配置该地址池地址的网关地址
dns-list 114.114.114.114 //DNS网关
[SW-A-Vlanif10]dhcp select global //定义dhcp为全局模式
(2)MSTP+VRRP:
stp instance 1 root primary //指定本交换机为主根桥
stp instance 2 root secondary //指定本交换机为备份根桥
3)VRRP关键代码,其他网关配置同理:
以后勤部门vlan为例
interface Vlanif20 //后勤vlan 网关
ip address 10.0.20.1 255.255.255.0 //配置ip地址
//创建VRRP备份组20,并配置VRRP备份组的虚拟IP地址10.0.20.254
vrrp vrid 20 virtual-ip 10.0.20.254
//设置主交换机在VRRP备份组20中的优先级为120,高于备份交换机的优先级100
vrrp vrid 20 priority 120
(备份交换机配置相同)
(4)链路聚合
在两个核心交换机间设置链路聚合,关键代码如下:
interface eth-trunk 0 //创建ID为0的Eth-Trunk接口
trunkport GigabitEthernet 0/0/23 to 0/0/24 将 23 24号口加入到聚合组中
(对端配置完全相同)
3、网络出口实现
(1)部署NAT:
NAT关键代码如下:
//创建内网需要上网的源地址到外网的安全策略:
security-policy
rule name nat
source-zone trust
destination-zone untrust
action permit
//创建需要上网的源地址的安全NAT策略:
nat-policy
rule name nat
source-zone trust
destination-zone untrust
action source-nat easy-ip
//创建NAT server 映射 使外网用户访问内部特殊服务器
nat server 0 protocol tcp global 100.100.100.100 www inside 192.168.100.1 www
nat server 1 protocol tcp global 100.100.100.100 ftp inside 192.168.100.2 ftp
4、路由协议实现
核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术
//此配置 其他设备 均相同 宣告各自直连网段即可
[Core-A-ospf-1]area 0
[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.255.255
5、WLan
[AC6605]vlan 200
[AC6605-vlan200]int vlan 200
[AC6605-Vlanif200]ip address 10.0.200.200 24
[AC6605]capwap source interface Vlanif 200
[AC6605-wlan-view]ssid-profile name wlan
[AC6605-wlan-ssid-prof-wlan]ssid wlan
[AC6605-wlan-view]security-profile name wlan
[AC6605-wlan-sec-prof-wlan]security wpa2 psk pass-phrase a1234567 aes
[AC6605-wlan-view]vap-profile name wlan
[AC6605-wlan-vap-prof-wlan]ssid-profile wlan
[AC6605-wlan-vap-prof-wlan]security-profile wlan
[AC6605-wlan-vap-prof-wlan]service-vlan vlan-id 30
[AC6605-wlan-view]ap-group name aps
[AC6605-wlan-ap-group-aps]vap-profile wlan wlan 1 radio all
5、VPN配置
(1) GRE over IPsec
interface Tunnel0 //配置隧道
ip address unnumbered interface GigabitEthernet1/0/0
tunnel-protocol gre
source 1.1.1.2 //隧道源
destination 4.4.4.2 //隧道终结点
ike proposal 1 //ike安全提议
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
ike peer fwc //ike对等体
undo version 1
pre-shared-key %^%#CT>/P"t8FF%ir#Q%+|y3uM147GeyFAr0)GD ike-proposal 1 //绑定ike提议 remote-address 4.4.4.2 //协商的对端地址 ipsec proposal 1 //ipsec 安全提议 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 ipsec policy p1 1 isakmp security acl 3000 //需要加密的流量 ike-peer fwc //绑定ike对等体 proposal 1 //ipsec 安全提议 tunnel local 1.1.1.2 //隧道本端地址 //配置去往分部的路由 指向GRE隧道 HRP_M[FW-A]ip route-static 10.1.10.0 24 Tunnel 0 HRP_M[FW-A]ip route-static 10.1.11.0 24 Tunnel 0 //分部同理 ip route-static 10.0.0.0 255.255.0.0 Tunnel0 (3)SSL 测试结果截图请私信作者获取