HCIA-综合实验
拓扑
规划说明
如图 1 实现一个典型的企业网,其中总部(包含 R1、SW1、SW2 和 SW3)为企业主园
区网络,分支为企业分支网络,云部分代表互联网设备(8.8.8.8)。读者需要完成总部和分支
基本的网络功能,可以访问互联网(8.8.8.8)以及通过 GRE VPN 使得位于两个 AS 的终端实
现跨越广域网的通信
整体架构说明
在总部中,R1 作为企业网关出口,负责接入互联网以及同 R3 的 VPN 互联,同时作为
AS 内部的核心路由器;SW1 和 SW2 作为总部的汇聚层交换机,其上的 SVI 接口如图 1 所示;
SW3 作为接入层交换机。
在分支中,R3 作为该分支网络的网关出口,由于分支机构人员较少,在分支中仅仅有
一台 SW4 作为接入 2 层交换机,连接了终端设备和路由器
交换网络部分
交换网络是一个园区网的重点内容,请先实施 2 层网络,然后再进行 3 层网络和其他特
性的调整
VLAN规划和接入
总部交换机和分部交换机创建相应的VLNA,根据表中要求进行划分
LSW1
sys
[Huawei]sys LSW1
[LSW1]vlan batch 11
[LSW1]inte gi 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 11
LSW2
sys
[Huawei]sys LSW2
[LSW2]vlan batch 12
[LSW2]inte gi 0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 12
LSW3
SYS
[Huawei]sys LSW3
[LSW3]vlan batch 8 9 10
[LSW3]inte gi 0/0/10
[LSW3-GigabitEthernet0/0/10]port link-type access
[LSW3-GigabitEthernet0/0/10]port default vlan 8
[LSW3-GigabitEthernet0/0/10]inte gi 0/0/11
[LSW3-GigabitEthernet0/0/11]port link-type access
[LSW3-GigabitEthernet0/0/11]port default vlan 9
[LSW3-GigabitEthernet0/0/11]inte gi 0/0/12
[LSW3-GigabitEthernet0/0/12]port link-type access
[LSW3-GigabitEthernet0/0/12]port default vlan 10
LSW4
SYS
[Huawei]sys LSW4
[LSW4]vlan batch 20 30
[LSW4]inte gi 0/0/1
[LSW4-GigabitEthernet0/0/1]port link-type access
[LSW4-GigabitEthernet0/0/1]port default vlan 20
[LSW4-GigabitEthernet0/0/1]inte gi 0/0/2
[LSW4-GigabitEthernet0/0/2]port link-type access
[LSW4-GigabitEthernet0/0/2]port default vlan 30
实施TRUNK封装
在总部内交换机互联接口实施标准封装格式的 Trunk链路,总部内所有Trunk上允许除了VLAN1之外的所有VLAN通过,同时所有VLAN的流量必须携带 TAG((SW1 与 SW2 的 g0/0/5 和 g0/0/6 暂时不做,在之后配置链路聚合的时候做);
LSW1
[LSW1]inte gi 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type trunk
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[LSW1-GigabitEthernet0/0/3]undo port trunk allow-pass vlan 1
LSW2
[LSW2]inte gi 0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type trunk
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[LSW2-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
LSW3
[LSW3]inte gi 0/0/01
[LSW3-GigabitEthernet0/0/1]port link-type trunk
[LSW3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[LSW3-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
[LSW3-GigabitEthernet0/0/1]inte gi 0/0/3
[LSW3-GigabitEthernet0/0/3]port link-type trunk
[LSW3-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[LSW3-GigabitEthernet0/0/3]undo port trunk allow-pass vlan 1
在分支内的交换机上实施 Trunk,安全期间仅仅允许对应 VLAN 通过
LSW4
[LSW4]inte gi 0/0/10
[LSW4-GigabitEthernet0/0/10]port link-type trunk
[LSW4-GigabitEthernet0/0/10]port trunk allow-pass vlan 20 30
实施生成树协议
在总部和分支内实施 802.1s的生成树 SW1 成为整个 STP 所有 VLAN 的主根(通过优先级实现) SW2 反之成为备份根(不允许通过直接修改优先级实现)
LSW1
[LSW1]stp mode stp
[LSW1]stp priority 4096
LSW2
[LSW2]stp mode stp
[LSW2]stp root secondary
LSW3
[LSW3]stp mode stp
LSW4
[LSW4]stp mode stp
在 SW4 的接口下配置命令,使得连接其他设备的接口快速进入转发状态为了保护交换网络,在接入层交换机(SW3、SW4)上,一旦收到非法的 BPDU 关闭接口
LSW4
[LSW4]inte gi 0/0/1
[LSW4-GigabitEthernet0/0/1]stp edged-port enable
[LSW4-GigabitEthernet0/0/1]inte gi 0/0/2
[LSW4-GigabitEthernet0/0/2]stp edged-port enable
[LSW4]stp bpdu-protection
查看生成树端口角色状态
LSW1
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/3 DESI FORWARDING NONE
0 Eth-Trunk1 DESI FORWARDING NONE
LSW2
[LSW2]dis stp b
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
0 Eth-Trunk1 ROOT FORWARDING NONE
LSW3
[LSW3]dis stp b
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ALTE DISCARDING NONE
0 GigabitEthernet0/0/3 ROOT FORWARDING NONE
0 GigabitEthernet0/0/10 DESI FORWARDING NONE
0 GigabitEthernet0/0/11 DESI FORWARDING NONE
0 GigabitEthernet0/0/12 DESI FORWARDING NONE
[LSW4]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1