实验拓扑:
实验需求:
实验场景:
某公司分为公司总部和公司分支,现要求按照以下需求进行组网。
1、总公司IP地址规划;
无线网络:
vlan 10 ip网段10.0.10.0/24 网关 10.0.10.254
vlan 20 ip网段10.0.20.0/24 网关 10.0.20.254
有线网络:
vlan 30 ip网段10.0.30.0/24 网关 10.0.30.254
vlan 40 ip网段10.0.40.0/24 网关 10.0.40.254
AC管理vlan 200
Ip 10.0.200.254/24
FW1与SW1互联vlan 100 ip网段10.0.100.0/24
FW1与SW2互联vlan 101 ip网段10.0.101.0/24
其他互联网段如图所示,请自行配置。
交换网络组网需求:
SW1、SW2作为总公司的汇聚层交换机,SW3、SW4作为接入层交换机。
四台交换设备运行MSTP+VRRP的组网模式。
规划如下:
Vlan 10 、vlan 20 加入mstp的实例 1 ;vlan 30 、vlan 40 加入mstp 的实例2 。
将SW1配置为实例1的根桥、实例2 的备份根桥。
将SW2配置为实例2的根桥、实例1的备份根桥。
SW1和SW2作为终端设备的网关,为了实现网关冗余,需要配置VRRP。
规划如下:
Vlan 10的网关ip为10.0.10.254
Vlan 20的网关ip为10.0.20.254
Vlan 30的网关ip为10.0.30.254
Vlan 40的网关ip为10.0.40.254
SW1作为vlan 10和vlan20 的主网关、vlan30 和vlan 40的备份网关。
SW2作为vlan 30 和vlan 40的主网关、vlan 10 和vlan 20的备份网关。
将连接终端设备的接口配置为边缘端口,加快收敛。
DHCP规划:
终端用户的业务vlan dhcp服务器配置在防火墙上,在网关设备使用DHCP中继的方式获取IP地址。
无线组网:
配置AC1管理 AP设备,AC的管理vlan 为200 ,下发配置的业务vlan为 10 、20 。
SSID :配置为hcip-datacom
无线密码:huawei123
转发模式:直连转发
路由规划:
公司总部内网使用ospf学习路由。
2、分公司IP地址规划;
有线网络:
vlan 50 ip网段10.0.50.0/24 网关 10.0.50.254
vlan 60 ip网段10.0.60.0/24 网关 10.0.60.254
互联ip如题所示,请自行配置。
交换网络规划:
SW7、8、9运行RSTP,将连接终端的接口配置为边缘端口,并且开启dhcp-snooping,避免dhcp攻击。
SW7作为PC的网关设备,并配置dhcp分配ip地址。
路由规划:
公司分部内网使用ospf学习路由。
3、internet网络配置。
ISP1、2、3 三台设备为internet 设备,运行ospf ,并且将isp1 和ips3 连接CE的接口配置为静默接口。
ISP2 配置环回口0 ip地址为100.100.100.100 。
4、mpls 广域网配置。
Mpls广域网内部IGP协议选择IS-IS,PE1、P、PE2、RR设备上分别创建环回口0 .ip地址分别为1.1.1.1/32、2.2.2.2/32、3.3.3.3/32、4.4.4.4/32。
配置mpls 及mpls ldp ,建立公网隧道。
在PE设备上开启ISIS 的FRR 功能,实现链路故障的快速收敛。
5、总公司和分公司的互联需求。
① CE1和CE2设备通过internet 与CE3设备建立GRE ,并且使用GRE 与对端公司建立ospf 邻居关系。
② CE1和CE2设备通过mpls 广域网与CE3建立mpls 。
③ 公司内部设备互访时缺省情况下走mpls ,当mpls 故障切换到GRE 。
Mpls 规划:
PE1和CE1、CE2之间运行EBGP协议。
PE2和CE3之间运行EBGP协议。
PE1、PE2与RR设备建立VPNV4邻居。(RR学习不到v4路由请自行查文档解决问题)
通过在CE设备上的BGP进程引入ospf 路由,让对端公司学习到本端公司的路由,此时注意路由过滤。由于对端公司的路由通过GRE建立的ospf邻居可以学习到,如果在引入到BGP中可能会导致环路或无法通过BGP学习到对端路由的情况。
提示:由于GRE 可以通过ospf 学习到对端公司的路由,而mpls 是通过BGP 学习到对端站点的路由,此时注意修改BGP协议的路由优先级来实现路径选路。
6、防火墙规划。
G0/0/0 、G0/0/1 口划分到untrust区域,vlanif 100 、vlanif 101 接口划分到trust 区域。
在防火墙上配置安全策略,方向公司之间互访的流量,以及公司PC访问外部网络的流量。
7、NAT
在CE1和CE2、CE3上配置nat,实现公司内部能够访问internet 。