目录
企业网项目建设实践
一、 项目背景
二、 需求分析
三、 项目拓扑规划
四、 规划表
1. vlan规划
2. 设备管理规划
3. 端口互联规划
4. IP规划
5. SSH服务规划
五、 仿真拓扑
六、 项目实践(配置过程)
七、 项目测试 7
Jan16公司新建了一栋办公大楼,为了满足日常的办公需求,公司决定为财务部、项目管理部和服务器群建立互联互通的有线网络。其中,为方便项目管理部开展业务,需要自动获取公司DNS服务器IP地址。公司已经申请了一条互联网专线并配有一个公网IP,希望所有员工都能访问internet。后期规划所有设备由网络管理员进行远程管理。
服务器群交换机使用两条链路连接到核心交换机,两条链路可以配置端口聚合,防止单链路出现故障。财务部和项目管理部处于同一区域,各部门交换机使用一条链路连接到核心交换机,为防止单链路故障,可以在财务部交换机和项目管理部交换机上采用一条链路互联,当上行链路出现故障时可以通过其他部门的交换机到达核心交换机。采用这种方式连接时,三台交换机会形成环路,可以采用生成树解决该问题。
项目管理部为方便员工获取DNS服务器IP地址,可以采用DHCP方式为该局域网自动分配IP及DNS地址。核心交换机、服务器群交换机和出口路由器各均采用三层互联,可以配置动态路由协议自动学习路由实现全网互联互通。
公司有一个公网IP,各部门所有员工都有访问internet的需求,可以在出口路由器上配置网络地址转换。
为方便网络管理员对设备进行远程管理,需要启用所有设备的SSH服务。
综上,本项目实施具体有以下工作任务:
1. 根据网络拓扑机需求分析,对本项目做详细规划设计;
2. 根据规划完成设备的调试;
3. 验收测试项目是否达到预期效果。
4,外网客户端可以通过域名访问内网web服务器,dns服务器映射成公网地址
(利用visio软件绘制网络规划图)
vlan-ID |
vlan命名 |
网段 |
用途 |
vlan10 |
财务部 |
172.22.0.x/19 |
用于财务部 |
vlan20 |
项目管理部 |
172.22.64.x/19 |
项目管理部 |
vlan30 |
DNS服务器 |
172.22.128.x/19 |
DNS服务器 |
vlan40 |
网管计算机 |
172.22.96.x/19 |
网管计算机 |
vlan100 |
管理vlan |
172.22.32.x/19 |
S4管理vlan |
vlan100 |
管理vlan |
172.22.32.x/19 |
用于S1的管理vlan |
vlan100 |
管理vlan |
172.22.32.x/19 |
用于S2的管理vlan |
vlan100 |
管理vlan |
172.22.32.x/19 |
用于S3的管理vlan |
vlan400 |
互联vlan |
172.22.160.x/19 |
互联vlan |
vlan50 |
Web服务器 |
172.22.196.0/19 |
Web服务器 |
设备类型 |
型号 |
设备命名 |
登录密码 |
交换机 |
S5700 |
S1 |
123456 |
交换机 |
S5700 |
S2 |
123456 |
交换机 |
S3700 |
S3 |
123456 |
交换机 |
S3700 |
S4 |
123456 |
路由器 |
AR2220 |
R1 |
123456 |
路由器 |
AR2220 |
R2 |
123456 |
本端设备 |
本端端口 |
端口配置 |
对端设备 |
对端端口 |
S1 |
G/0/0/1 |
trunk |
Ar1 |
G/0/1 |
S1 |
G/0/0/2 |
Trunk(合并成链路聚合) |
S2 |
G0/0/1 |
S1 |
G/0/0/3 |
Trunk(合并成链路聚合) |
S2 |
G0/0/2 |
S1 |
G/0/0/4 |
trunk |
S3 |
E0/0/1 |
S1 |
G/0/0/5 |
trunk |
S4 |
E0/0/2 |
S2 |
G0/0/2 |
Trunk(合并成链路聚合) |
S1 |
G0/0/3 |
S2 |
G0/0/1 |
Trunk(合并成链路聚合) |
S1 |
G0/0/2 |
S2 |
G0/0/3 |
access |
DNS服务器 |
E0/0/0 |
S2 |
G0/0/4 |
access |
网管计算机 |
E0/0/0 |
S2 |
G0/0/5 |
Access |
web服务器 |
E0/0/0 |
S3 |
E0/0/1 |
trunk |
S1 |
G0/0/4 |
S3 |
E0/0/2 |
trunk |
S4 |
E0/0/1 |
S3 |
E0/0/3 |
access |
财务部 |
E0/0/1 |
S4 |
E0/0/1 |
trunk |
S3 |
E0/0/2 |
S4 |
E0/0/2 |
trunk |
S1 |
G0/0/5 |
S4 |
E0/0/3 |
access |
项目管理部 |
E0/0/1 |
R1 |
G0/0/0 |
IP地址(三层以及以上配置) |
Ar2 |
G0/0/0 |
R1 |
G0/0/1 |
IP地址(三层以及以上配置) |
S1 |
G0/0/1 |
R2 |
G0/0/0 |
IP地址(三层以及以上配置) |
R1 |
G0/0/0 |
R2 |
G0/0/1 |
IP地址(三层以及以上配置) |
Client2 |
E0/0/1 |
设备命名 |
接口 |
IP地址 |
用途 |
S1 |
vlanif10 |
172.22.1.254/19 |
用于财务部的网关 |
S1 |
Vlanif20 |
172.22.65.254/19 |
用于项目部的网关 |
S1 |
Vlanif100 |
172.22.37.1/19 |
管理vlan |
S1 |
Vlanif400 |
172.22.161.254/19 |
用于与AR1互联vlan |
S2 |
Vlanif100 |
172.22.37.2/19 |
管理vlan |
S2 |
Vlanif30 |
172.22.129.254/19 |
Dns网关 |
S2 |
Vlanif40 |
172.22.97.254/19 |
网管的网关 |
S2 |
Vlanif50 |
172.22.199.254/19 |
web服务器的网关 |
S3 |
Vlanif100 |
172.22.37.3/19 |
管理vlan |
S4 |
Vlanif100 |
172.22.37.4/19 |
管理vlan |
r1 |
G0/0/1 |
172.22.97.253/19 |
公网地址与internet通信 |
R1 |
G0/0/2 |
172.22.37.6/19 |
R1管理地址 |
R1 |
Diarl |
200.1.1.253/19 |
与S1互联 |
R2 |
G0/0/0 |
200.1.1.254/19 |
与内网互联 |
R2 |
G0/0/1 |
200.2.2.2/24 |
Client2网关 |
R1 |
Loopback0 |
2.2.2.2/32 |
环回口用来测试 |
S2 |
Vlanifif50 |
172.22.199.254/19 |
Web服务器 |
云 |
E0/0/1 |
172.22.37.5/19 |
终端设备远程登录 |
型号 |
设备命名 |
SSH用户名 |
密码 |
用户等级 |
VTY认证方式 |
Ar2220 |
Ar1 |
Lwh |
123456 |
3 |
Aaa |
S5700 |
S1 |
Lsl |
123456 |
3 |
Aaa |
S5700 |
S2 |
Cx |
123456 |
3 |
Aaa |
S3700 |
S3 |
Lxy |
123456 |
3 |
Aaa |
S3700 |
S4 |
Zy |
123456 |
3 |
Aaa |
交换机配置
S3
[s3]sys
[s3]sysname S3 //更改设备的名称命名为S3
[S3]vlan batch 10 20
[S3]int vlanif 100 //打开vlanif100的虚拟接口
[S3-vlanif100]ip add
[S3-vlanif100]ip address 172.22.37.3 19 //配置ip地址
[S3-vlanif100]int e0/0/1 //打开e0/0/1接口
[S3-Ethernet0/0/1]p l t //配置该接口的端口类型为trunk
[S3-Ethernet0/0/1]p t a v 10 20 100 //配置放行vlan为10 20 100
[S3-Ethernet0/0/1]int e0/0/2 //打开e0/0/2接口
[S3-Ethernet0/0/2]p l t //配置该接口的端口类型为trunk
[S3-Ethernet0/0/2]p t a v 10 20 100 //配置放行vlan为10 20 100
[S3-Ethernet0/0/2]int e0/0/3 //打开e0/0/3接口
[S3-Ethernet0/0/3]p l a //配置端口类型为access
[S3-Ethernet0/0/3]p d v 10 //配置入接口打上标签出接口摘掉标签10
Ctrl+z //返回用户视图
查看端口vlan规划
S4
[s4]sys
[s4]sysname S3 //更改设备的名称命名为S3
[S4]vlan batch 10 20
[S4]int vlanif 100 //打开vlanif100的虚拟接口
[S4-vlanif100]ip add
[S4-vlanif100]ip address 172.22.37.4 19 //配置ip地址
[S4-vlanif100]int e0/0/1 //打开e0/0/1接口
[S4-Ethernet0/0/1]p l t //配置该接口的端口类型为trunk
[S4-Ethernet0/0/1]p t a v 10 20 100 //配置放行vlan为10 20 100
[S4-Ethernet0/0/1]int e0/0/2 //打开e0/0/2接口
[S4-Ethernet0/0/2]p l t //配置该接口的端口类型为trunk
[S4-Ethernet0/0/2]p t a v 10 20 100 //配置放行vlan为10 20 100
[S4-Ethernet0/0/2]int e0/0/3 //打开e0/0/3接口
[S4-Ethernet0/0/3]p l a //配置端口类型为access
[S4-Ethernet0/0/3]p d v 20 //配置入接口打上标签出接口摘掉标签20
Ctrl+z //返回用户视图
查看端口vlan规划
S1
[Huawei]sys S1 //更改设备的名称命名为S1
[S1]un in en //关闭消息通知
[S1]vlan batch 10 20 30 40 100 400 // 创建vlan 10 20 30 40 100 400
[S1]int g0/0/4 //打开g0/0/4接口
[S1-GigabitEthernet0/0/4]p l t //配置该接口的端口类型为trunk
[S1-GigabitEthernet0/0/4]p t a v 10 20 100 //配置放行vlan为10 20 100
[S1-GigabitEthernet0/0/4]int g0/0/5 //打开g0/0/5接口
[S1-GigabitEthernet0/0/5]p l t //配置该接口的端口类型为trunk
[S1-GigabitEthernet0/0/5]p t a v 10 20 100 //配置放行vlan为10 20 100
[S1-GigabitEthernet0/0/5]q
[S1]int e
[S1]int Eth-Trunk 1 //打开Eth-Trunk 1接口
[S1-Eth-Trunk1]mode lacp-static //配置模式为自动负载分担,思科这个是手工负载分担
[S1-Eth-Trunk1]int g0/0/2 //打开g0/0/2接口
[S1-GigabitEthernet0/0/2]e 1 //把该接口加入进Eth-Trunk 1接口
[S1-GigabitEthernet0/0/2]int g0/0/3 //打开g0/0/3接口
[S1-GigabitEthernet0/0/3]eth-trunk 1 //把该接口加入进Eth-Trunk 1接口
[S1-GigabitEthernet0/0/3]int e1 //打开Eth-Trunk 1接口
[S1-Eth-Trunk1]p t a v 30 40 100 //配置放行vlan为30 40 100
[S1-Eth-Trunk1]port trunk pvid vlan 100
[S1-Eth-Trunk1]int v100 //打开vlanif100接口
[S1-vlanif100]ip add 172.22.37.1 19 //配置ip地址
[S1-vlanif100]int g0/0/1 //打开G0/0/1接口
[S1-GigabitEthernet0/0/1]p l a //配置接口类型为access
[S1-GigabitEthernet0/0/1]p d v 400 //配置默认的vlan为400
[S1-GigabitEthernet0/0/1]q
查看端口vlan规划
[S1]int v 10
[S1-vlanif10]ip add 172.22.1.254 19
[S1-vlanif10]dhcp relay server-ip 172.22.161.253 //在这我直接做中继了可以参考下面的地址池子和r1,服务地址为r1的g0/0/1口的IP地址
[S1-vlanif10]int v 20
[S1-vlanif20]ip add 172.22.32.254 19
[S1-vlanif20]dhcp relay server-ip 172.22.161.253
[S1-vlanif20]int v 400
[S1-vlanif400]ip add 172.22.161.254 19
S2
[Huawei]sys S2 //更改设备的名称命名为S2
[S2]un in en //关闭消息通知
[S2]v b 30 40 100 // 创建vlan 30 40 100
[S2]int e 1 //打开Eth-Trunk 1接口
[S2-Eth-Trunk1]mode la //配置模式为自动负载分担
[S2-Eth-Trunk1]q //quit回到上一级视图
[S2]int g0/0/2 //打开g0/0/2接口
[S2-GigabitEthernet0/0/2]e 1 //把该接口加入进Eth-Trunk 1接口
[S2-GigabitEthernet0/0/2]int g0/0/1 //打开g0/0/1接口
[S2-GigabitEthernet0/0/1]e 1 //把该接口加入进Eth-Trunk 1接口
[S2-GigabitEthernet0/0/1]q
[S2]int g0/0/3 //打开g0/0/3接口
[S2-GigabitEthernet0/0/3]p l a //配置接口类型为access
[S2-GigabitEthernet0/0/3]p d v 30 //配置默认的vlan为30
[S2-GigabitEthernet0/0/3]int g0/0/4 //打开g0/0/4接口
[S2-GigabitEthernet0/0/4]p l a //配置接口类型为access
[S2-GigabitEthernet0/0/4]p d v 40 //配置默认的vlan为40
[S2-GigabitEthernet0/0/4]int e 1 //打开Eth-Trunk 1接口
[S2-Eth-Trunk1]p l t //配置该接口的端口类型为trunk
[S2-Eth-Trunk1]p t a v 100 30 40 //配置放行vlan为30 40 100
[S2-Eth-Trunk1]port trunk pvid vlan 100
[S2-Eth-Trunk1]int v 100 //打开vlanif100接口
[S2-vlanif100]ip add 172.22.37.2 19 //配置ip地址
[S2-vlanif100]q
查看端口vlan规
路由器
R1
[Huawei]un in en
[Huawei]sys R1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 172.22.13.253 19
[R1-GigabitEthernet0/0/1]dhcp sel gl //开启全局地址池映射 这里可以和s1的中继服务连着看
地址池配置
[R1]ip pool vlan10 //创建地址池的名称
[R1-ip-pool-vlan10]gateway-list 172.22.1.254 //创建该地址网段的网关
[R1-ip-pool-vlan10]network 172.22.0.0 mask 19 //标明该网段以及掩码
[R1-ip-pool-vlan10]dns-list 172.22.129.254 //设置dns地址这里我写的是dns服务器的地址
[R1-ip-pool-vlan10]q
[R1]ip pool vlan20 //创建地址池的名称
[R1-ip-pool-vlan20]gateway-list 172.22.65.254 //创建该地址网段的网关
[R1-ip-pool-vlan20]network 172.22.64.0 mask 19 //标明该网段以及掩码
[R1-ip-pool-vlan20]dns
[R1-ip-pool-vlan20]dns-list 172.22.129.253 //设置dns地址这里我写的是dns服务器的地址
[R1-ip-pool-vlan20]
Ospf 配置
S2
[S2]ospf //宣告ospf进程
[S2-ospf-1] area 0 //选择区域0
[S2-ospf-1-area-0.0.0.0]net
[S2-ospf-1-area-0.0.0.0]network 172.22.129.254 0.0.0.0 //精确宣告网段
[S2-ospf-1-area-0.0.0.0]network 172.22.97.254 0.0.0.0 //精确宣告网段
[S2-ospf-1-area-0.0.0.0]network 172.22.37.2 0.0.0.0 //精确宣告网段
[S2-ospf-1-area-0.0.0.0]q
S1
[S1]ospf //宣告ospf进程
[S1-ospf-1]area 0 //选择区域0
[S1-ospf-1-area-0.0.0.0]network 172.22.37.1 0.0.0.0 //精确宣告网段
[S1-ospf-1-area-0.0.0.0]network 172.22.1.254 0.0.0.0 //精确宣告网段
[S1-ospf-1-area-0.0.0.0]network 172.22.65.254 0.0.0.0 //精确宣告网段
[S1-ospf-1-area-0.0.0.0]network 172.22.161.254 0.0.0.0 //精确宣告网段
Ar1
[R1]ospf //宣告ospf进程
[R1-ospf-1]area 0 //选择区域0
[R1-ospf-1-area-0.0.0.0]network 172.22.161.253 0.0.0.0 //精确宣告网段
路由表查看
R1
S1
S2
拨号配置(这个主要用于运营商,用于运营商下发地址,所以这里没写的那么细致,只做一些简单的解释)
R2
第一步:创建地址池
[Huawei]sys R2
[R2]ip pool waiwang
[R2-ip-pool-waiwang]network 200.1.1.0 mask 24
[R2-ip-pool-waiwang]gateway-list 200.1.1.254
[R2-ip-pool-waiwang]dns-list 114.114.114.114
[R2-ip-pool-waiwang]q、
创建一个waiwang地址池,用来做拨号使用发给r1的地址就是属于这个地址池内
第二步:创建用户名和密码
[R2]aaa //进入aaa视图
[R2-aaa]local-user lwh password cipher 1234 //创建用户名字为lwh密码为1234
[R2-aaa]local-user lwh service-type ppp //设置用户名为lwh的服务类型是ppp
[R2-aaa]q
第三步:创建虚拟模板
[R2]interface Virtual-Template 1 //创建vt接口
[R2-Virtual-Template1]ip add 200.1.1.254 24 //将网关地址配置在vt接口
[R2-Virtual-Template1]ppp authentication-mode pap //配置ppp的认证类型是pap
[R2-Virtual-Template1]remote address pool waiwang //调用为客户端分配地址的地址池waiwang
[R2-Virtual-Template1]q
第四步:管理物理接口
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1 // 设置本设备为pppoe服务端,并且关联vt接口
[R2-GigabitEthernet0/0/0]q
第五步:配置环回口
[R2]interface LoopBack 0 //进入环回口loop back0
[R2-LoopBack0]ip add 2.2.2.2 32
[R2-LoopBack0]
R1
第一步:拨号口的设置
[R1]interface Dialer 0
[R1-Dialer0]dialer user lwh //使能共享DDC功能
[R1-Dialer0]dialer bundle 1 //指定该dialer口的dialer bundle
[R1-Dialer0]ppp pap local-user lwh password cipher 1234 //配置服务端分配的用户名与密码
[R1-Dialer0]ip address ppp-negotiate //使用ppp协商获取ip地址
[R1-Dialer0]q
第二步:绑定物理口
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1 //绑定dialer口的dialer bundle
[R1-GigabitEthernet0/0/0]q
第三步:查看是否拨号成功
看拨号获得的地
Nat与Acl配置
R1
[R1]ip route-static 0.0.0.0 0.0.0.0 Dialer 0 //写一条默认路由出接口是dialer 0
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit ip source 172.22.64.0 0.0.31.255 destination any //写一条规则为5 源地址是172.22.64.0 去往任意网段动作是允许
[R1-acl-adv-3000]rule 15 permit ip source 172.22.0.0 0.0.31.255 destination any //写一条规则为15 源地址是172.22.00 去往任意网段动作是允许
[R1-acl-adv-3000]rule 10 permit ip source 172.22.96.0 0.0.31.255 destination any //写一条规则为10 源地址是172.22.96.0 去往任意网段动作是允许
//这里也可以直接写172.22.0.0 0.0.0.255 但是这样写的话不够精确不赞同这种做法
[R1-acl-adv-3000]q
[R1]int d
[R1]int Dialer 0
[R1-Dialer0]nat outbound 3000
[R1-Dialer0]q
[R1-Dialer0]na ser pr tcp gl 200.1.1.2 8888 inside 172.22.199.253 www
// 这是一条nat server的私网地址像公网的映射,这里要注重协议udp和tcp以及端口号的大小。首先基于模拟器的限制,如果你dns配置的端口号是8889 他无法映射,因为我最终是要去web服务器所以我的web服务器的端口号得是8888,
[R1-Dialer0]na ser pr udp gl 200.1.1.3 dns inside 172.22.128.253 dns
这是一条nat server的私网地址像公网的映射,这里要注重协议udp和tcp以及端口号的大小,在模拟器上面做不了那么高的映
stp配置 差点忘记了
S1
[S1]stp mode mstp //设置stp的模式为mstp
[S1]stp region-configuration //进入stp预配置
[S1-mst-region]region-name lwh //域名
[S1-mst-region]instance 1 vlan 10 //一个实例是vlan10
[S1-mst-region]instance 2 vlan 20//一个实例是vlan20
[S1-mst-region]active region-configuration //激活
[S1-mst-region]q
[S1]stp instance 1 root primary //设置该桥为实例1的根桥
[S1]stp instance 2 root primary//设置该桥为实例2的根桥
下面解释同上
//这里我做解释一下,这里三个交换机比较特殊,可以直接以sw1为根,它默认会down掉下面r3和r4连接的口(这里不理解可以在研究一下stp),反而如果这里你用mstp可能回引发环路导致下面主机获取不到地址。所以可以直接把region-configuration删掉。
第二种用rstp,在这里也可以用rstp,在生成树上面可以采用rstp,在交换机上启用STP功能,指定核心交换机的STP的优先级,配置连接各PC的端口为生成树边缘端口:
配置命令:
综上我比较喜欢直接配置根桥方便
效果
S1 s1是vlan10 和vlan20 的根桥所以所有端口都是指定端口
S3 s3的连接根桥的是根端口这里是全部
看详细的实例1:可以说明e0/0/1口是根端口连接根桥
S4 同上
详细描述,图文并茂
Ssh登录配置
做之前启动记得 ssh client first-time enable
[R1]rsa local-key-pair create //创建RSA密钥,在此过程中需要设置RSA密钥长度为2048
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]protocol inbound ssh
[R1-ui-vty0-4]q
[R1]aaa
[R1-aaa]local-user lwh password cipher 123456
[R1-aaa]local-user lwh service-type ssh
[R1-aaa]local-user lwh privilege level 3
[R1-aaa]q
[R1]ssh user lwh authentication-type password
[R1]stelnet server enable
S1
[S1]rsa local-key-pair create
[S1]user-interface v
[S1]user-interface vty 0 4
[S1-ui-vty0-4]authentication-mode aaa
[S1-ui-vty0-4]protocol inbound ssh
[S1-ui-vty0-4]q
[S1]aaa
[S1-aaa]local-user lsl password cipher 123456
[S1-aaa]local-user lsl service-type ssh
[S1-aaa]local-user lsl privilege level 3
[S1-aaa]q
[S1]stelnet server enable
S2
[S2]rsa local-key-pair create
[S2]user-interface v
[S2]user-interface vty 0 4
[S2-ui-vty0-4]authentication-mode aaa
[S2-ui-vty0-4]protocol inbound ssh
[S2-ui-vty0-4]q
[S2]aaa
[S2-aaa]local-user cx password cipher 123456
[S2-aaa]local-user cx service-type ssh
[S2-aaa]local-user cx privilege level 3
[S2-aaa]q
[S2]stelnet server enable
S3
[S3]rsa local-key-pair create
[S3]user-interface v
[S3]user-interface vty 0 4
[S3-ui-vty0-4]authentication-mode aaa
[S3-ui-vty0-4]protocol inbound ssh
[S3-ui-vty0-4]q
[S3]aaa
[S3-aaa]local-user lxy password cipher 123456
[S3-aaa]local-user lxy service-type ssh
[S3-aaa]local-user col inbound ssh
[S4-ui-vty0-4]q
[S4]aaa
[S4-aaa]local-user zy password cipher 123456
[S4-aaa]local-user zy service-type ssh
[S4-aaa]local-user zy privilege level 3
[S4-aaa]q
[S4]stelnet server enable
lxy privilege level 3
[S3-aaa]q
[S3]stelnet server enable
S4
[S4]rsa local-key-pair create
[S4]user-interface v
[S4]user-interface vty 0 4
[S4-ui-vty0-4]authentication-mode aaa
[S4-ui-vty0-4]proto
财务部获取到地址
项目管理部门获取到地址
网管静态配置的IP
网管ping财务和项目管理部
和外网互通情况
Ping r2的环回口
测试如下
可以看见成功的做了地址转换
接下来是几组ping
外网client访问内网:
Dns服务器配置:
Ssh远程登录R1
其余的同上
详细描述,图文并茂