中小型企业网络综合实战案例分享

实验背景

某公司总部在厦门,北京、上海都有分部,网络结构如图所示:

中小型企业网络综合实战案例分享_第1张图片

一、网络连接描述:

厦门总部:内部网络使用SW1、SW2、SW3三台交换机,SW1为作为核心交换机,SW2、SW3作为接入层交换机,每台交换机所连接的网络设备如图所示;使用R1将总部网络接入到Internet,R1还使用DDN专线跟北京分部的R2和上海分部R3相连接。

    北京分部:使用R2将内部网络连接到总部和上海分部,如图所示。

    上海分部:使用R3将局域网连接到北京分部和总部,如图所示。

二、IP地址分配

IP地址按拓扑图所示进行分配,所有网络的子网掩码都是255.255.255.0

基本配置

一、配置每台设备的主机名,Console口和VTY登录通过AAA进行认证,idle-timeout设置为两分钟。

system-view

[Huawei]sysname R1  如R1、R2、 R3、SW1、SW2、 SW3、 SW4、 SW5

aaa

local-user admin password cipher admin

local-user admin service-type telnet terminal

user-interface con 0

 authentication-mode aaa

 idle-timeout 2 0

telnet server enable

user-interface vty 0 4

 authentication-mode aaa

 user privilege level 15

 idle-timeout 2 0

 protocol inbound all

配置生成树

一、在SW1\SW2\SW3上运行RSTP,确保SW1为根桥,请确认哪些接口为替代端口。

配置SW1:

stp mode rstp

stp priority 0

配置SW2:

stp mode rstp

配置SW3:

stp mode rstp

验证:display stp

      display stp brief

二、配置用户接口为边缘端口,并启用BPDU保护。

配置SW1的边缘端口:

interface GigabitEthernet0/0/1

stp edged-port enable

interface GigabitEthernet0/0/5

stp edged-port enable

interface GigabitEthernet0/0/6

stp edged-port enable

interface GigabitEthernet0/0/24

stp edged-port enable

配置SW2的边缘端口:

interface GigabitEthernet0/0/1

stp edged-port enable

interface GigabitEthernet0/0/4

stp edged-port enable

配置SW3的边缘端口:

interface GigabitEthernet0/0/1

stp edged-port enable

配置SW1\SW2\SW3 BPDU保护:

stp bpdu-protection

三、配置了BPDU保护后,边缘端口接收到BPDU时会shutdown,请确认30秒后自动恢复。

配置SW1\SW2\SW3:

error-down auto-recovery cause bpdu-protection interval 30

配置交换机链路聚合

一、在SW1和SW2上配置链路汇聚,使得SW1和SW2之间的带宽达到2G,链路聚合为手工模式。

配置SW1:

interface Eth-Trunk1

interface GigabitEthernet0/0/2

 eth-trunk 1

interface GigabitEthernet0/0/3

 eth-trunk 1

配置SW2:

interface Eth-Trunk1

interface GigabitEthernet0/0/2

 eth-trunk 1

interface GigabitEthernet0/0/3

 eth-trunk 1

验证:

display interface eth-trunk 1

display eth-trunk 1

 

厦门总部内网要求

一、交换机之间Trunk配置要求

中小型企业网络综合实战案例分享_第2张图片
配置SW1:

interface Eth-Trunk1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/4

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

配置SW2:

interface Eth-Trunk1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/12

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

配置SW3:

interface GigabitEthernet0/0/4

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/12

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

二、VLAN划分

公司总部设立了综合部、业务部、财务部,分别给这三个部门划分VLAN,SW1跟R1连接使用单独VLAN,VLAN信息如下表,并且按拓扑显示把相应端口加入相应的VLAN。

VLAN

VLAN

设备管理

1

Netmanager

财务部

2

Caiwu

综合部

3

Zonghe

业务部

4

Yewu

服务器

8

Server

连接R1

100

ToR1

配置SW1\SW2\SW3:

批量创建VLAN(共5个)

vlan batch 2 to 4 8 100

配置SW1,按扑图把相应端口加入VLAN

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 4

interface GigabitEthernet0/0/5

 port link-type access

 port default vlan 8

interface GigabitEthernet0/0/6

 port link-type access

 port default vlan 8

interface GigabitEthernet0/0/24

 port link-type access

 port default vlan 100

配置SW2,按扑图把相应端口加入VLAN

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 2

interface GigabitEthernet0/0/4

 port link-type access

 port default vlan 2

配置SW3,按扑图把相应端口加入VLAN

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 3

三、配置交换机的管理地址,以方便交换机的远程管理

配置VLAN

管理地址

网关

SW1

1

10.1.1.254/24

作为SW2\SW3的网关

SW2

1

10.1.1.12/24

10.1.1.254

SW3

1

10.1.1.13/24

10.1.1.254

配置SW1:

interface Vlanif1

 ip address 10.1.1.254 255.255.255.0

 undo shut

配置SW2:

interface Vlanif1

 ip address 10.1.1.12 255.255.255.0

 undo shut

ip route-static 0.0.0.0 0.0.0.0 10.1.1.254

配置SW3:

interface Vlanif1

 ip address 10.1.1.13 255.255.255.0

 undo shut

ip route-static 0.0.0.0 0.0.0.0 10.1.1.254

四、在SW1上配置VLAN间路由,使各个部门VLAN、服务器VLAN间可以互通

配置SW1,启用每个VLAN的三层口,并配置IP地址:

interface Vlanif2

 ip address 10.1.2.254 255.255.255.0

interface Vlanif3

 ip address 10.1.3.254 255.255.255.0

interface Vlanif4

 ip address 10.1.4.254 255.255.255.0

interface Vlanif8

 ip address 10.1.8.254 255.255.255.0

interface Vlanif100

 ip address 10.1.100.254 255.255.255.0

上海分部内网要求

一、上海分部有销售部和市场部两个部门,要求两个部门的计算机分别在不同的网络中,如下所示:

中小型企业网络综合实战案例分享_第3张图片

配置SW5:

stp mode rstp

vlan batch 10 20

interface Ethernet0/0/1

 port link-type access

 port default vlan 10

 stp edged-port enable

interface Ethernet0/0/2

 port link-type access

 port default vlan 20

 stp edged-port enable

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

二、在R3配置单臂路由,使得销售部和市场部两个部门的计算机可以互通。

配置R3:

interface GigabitEthernet0/0/1

 undo shut

interface GigabitEthernet0/0/1.10

 dot1q termination vid 10

 ip address 192.168.1.126 255.255.255.128

 arp broadcast enable

interface GigabitEthernet0/0/1.20

 dot1q termination vid 20

 ip address 192.168.1.254 255.255.255.128

 arp broadcast enable

三、配置SW5的管理IP。

interface Vlanif10

 ip address 192.168.1.15 255.255.255.128

 undo shut

ip route-static 0.0.0.0 0.0.0.0 192.168.1.126

验证:

北京分部内网要求

一、北京分部只有一个VLAN,如下图,按拓扑中的IP规划配置地址,使得北京分部内部可以连通,把交换机生成树模式改为RSTP,并配置相关端口为边缘端口。

配置SW4:

stp mode rstp

interface Ethernet0/0/1

 port link-type access

 port default vlan 1

 stp edged-port enable

interface Ethernet0/0/2

 port link-type access

 port default vlan 1

 stp edged-port enable

interface GigabitEthernet0/0/1

port link-type access

 port default vlan 1

 stp edged-port enable

配置SW4网管IP:

interface Vlanif1

 ip address 172.16.1.14 255.255.255.0

 undo shut

ip route-static 0.0.0.0 0.0.0.0 172.16.1.254

配置R3内网接口:

interface GigabitEthernet0/0/1

  ip address 172.16.1.254 255.255.255.0

  undo shut

远程连接需求

一、R1、R2、R3之间使用DDN专线互联,将北京分部、上海分部和厦门总部连接起来,按拓扑图进行IP地址等基本配置:

要求:

1、R1和R2、R3之间封装PPP协议且使用CHAP的认证,认证用户名为huawei,密码为huawei123认证方为R1,被认证方为R2,R3

配置R1:

aaa

local-user huawei password cipher huawei123

local-user huawei service-type ppp

interface Serial1/0/0

 link-protocol ppp

 ppp authentication-mode chap

 ip address 10.1.12.1 255.255.255.0

interface Serial1/0/1

 link-protocol ppp

 ppp authentication-mode chap

 ip address 10.1.13.1 255.255.255.0

配置R2:

interface Serial1/0/0

 link-protocol ppp

 ppp chap user huawei

 ppp chap password cipher huawei123

 ip address 10.1.12.2 255.255.255.0

配置R3:

interface Serial1/0/0

 link-protocol ppp

 ppp chap user huawei

 ppp chap password cipher huawei123

 ip address 10.1.13.3 255.255.255.0

2、R2和R3之间使用pap认证,认证方为R2,被认证方为R3,认证用户名为hcna,密码为hcna123

配置R2:

aaa

local-user hcna password cipher hcna123

local-user hcna service-type ppp

interface Serial1/0/1

 link-protocol ppp

 ppp authentication-mode pap

 ip address 10.1.23.2 255.255.255.0

配置R3:

interface Serial1/0/1

 link-protocol ppp

 ppp pap local-user hcna password cipher hcna123

 ip address 10.1.23.3 255.255.255.0

路由需求

一、在R1、R2、R3和SW1上配置OSPF路由协议,使厦门总部、北京分部和上海分部能互相通信,并验证R1、R2、R3之间链路的冗余性。

OSPF配置基本要求:

  1. 每台设备所在区域为AREA 0 ,
  2. 运行OSPF协议的每台设备配置一个环回口地址作为Router id
  3. R1的环回口地址为1.1.1.1,R2的环回口地址为1.1.1.2,R3的环回口地址为1.1.1.3,SW1的环回口地址为1.1.1.4,环回口掩码为32位。

配置R1:

interface GigabitEthernet0/0/0

  ip address 10.1.100.253 255.255.255.0

  undo shut

interface LoopBack0

 ip address 1.1.1.1 255.255.255.255

ospf 1 router-id 1.1.1.1

area 0.0.0.0

  network 1.1.1.1 0.0.0.0

  network 10.1.0.0 0.0.255.255

配置R2:

interface LoopBack0

 ip address 1.1.1.2 255.255.255.255

ospf 1 router-id 1.1.1.2

 area 0.0.0.0

  network 1.1.1.2 0.0.0.0

  network 10.1.0.0 0.0.255.255

  network 172.16.1.0 0.0.0.255

配置R3:

interface LoopBack0

 ip address 1.1.1.3 255.255.255.255

ospf 1 router-id 1.1.1.3

 area 0.0.0.0

  network 1.1.1.3 0.0.0.0

  network 10.1.0.0 0.0.255.255

  network 192.168.1.0 0.0.0.255

配置SW1:

interface LoopBack0

 ip address 1.1.1.4 255.255.255.255

ospf 1 router-id 1.1.1.4

 area 0.0.0.0

  network 1.1.1.4 0.0.0.0

  network 10.1.0.0 0.0.255.255

总部Internet接入

一、在R1上配置默认路由,使R1能访问Internet,配置R1动态发送默认路由给邻居SW1,R2,R3.

配置R1:

interface GigabitEthernet0/0/1

  ip address 200.1.1.1 255.255.255.0

  undo shut

ip route-static 0.0.0.0 0.0.0.0 200.1.1.254

ospf 1

 default-route-advertise

二、在R1上配置NAT,使厦门总部每个VLAN用户通过R1访问Internet,NAT地址转换要求如下图:

子网

转换后地址

10.1.1.0/24

10.1.2.0/24

10.1.100.0/24

200.1.1.10

10.1.3.0/24

200.1.1.11

10.1.4.0/24

200.1.1.12

10.1.8.0/24

200.1.1.13

acl number 2000 

 rule 5 permit source 10.1.1.0 0.0.0.255

 rule 10 permit source 10.1.2.0 0.0.0.255

 rule 15 permit source 10.1.100.0 0.0.0.255

acl number 2001 

 rule 5 permit source 10.1.3.0 0.0.0.255

acl number 2002

 rule 5 permit source 10.1.4.0 0.0.0.255

acl number 2003

 rule 5 permit source 10.1.8.0 0.0.0.255

nat address-group 1 200.1.1.10 200.1.1.10

 nat address-group 2 200.1.1.11 200.1.1.11

 nat address-group 3 200.1.1.12 200.1.1.12

 nat address-group 4 200.1.1.13 200.1.1.13

interface GigabitEthernet0/0/1

nat outbound 2000 address-group 1

 nat outbound 2001 address-group 2

 nat outbound 2002 address-group 3

 nat outbound 2003 address-group 4

北京分部Internet接入

一、R2通过PPPOE宽带拨号技术连接到Internet,请确保北京分部用户可以正常访问互联网, 宽带帐号为user1密码为huawei

在R2配置PPPOE拨号:

dialer-rule

 dialer-rule 1 ip permit

interface Dialer1

 mtu 1492

link-protocol ppp

 ppp chap user user1

 ppp chap password cipher huawei

 ip address ppp-negotiate

 dialer user user1

 dialer bundle 1

 dialer-group 1

interface GigabitEthernet0/0/0

 pppoe-client dial-bundle-number 1

 undo shut

ip route-static 0.0.0.0 0.0.0.0 Dialer1

在R2配置easy ip,确认内部可以上网:

acl number 2000 

 rule 5 permit source 172.16.1.0 0.0.0.255

interface Dialer1

nat outbound 2000

调整Dialer1接口MTU为1492

interface Dialer1

  mtu 1492

问题:PPPoE帧为什么要降低MTU大小?

答:以太网中默认最大支持1500字节的有效载荷,PPPoE头部长度为6字节,PPP协议ID长度为2字节,所以PPPoE帧中的MTU不能超过1492字节。

上海分部Internet接入

一、通过配置,确保上海分部用户可以通过总部R1 internet出口正常访问互联网。

配置R1:

acl number 2005 

 rule 5 permit source 192.168.1.0 0.0.0.255

nat address-group 5 200.1.1.14 200.1.1.14

interface GigabitEthernet0/0/1

nat outbound 2005 address-group 5

配置访问控制列表

一、配置公司内部的网络设备,只允许子网10.1.1.0/24通过Telnet来管理这些设备。

配置R1\R2\R3\SW1\SW2\SW3\SW4\SW5:

acl number 2010 

 rule 5 permit source 10.1.1.0 0.0.0.255

user-interface vty 0 4

 acl 2010 inbound

二、禁止总部VLAN3的用户访问上海的VLAN20:

配置R1:

acl number 3000 

 rule 5 deny ip source 10.1.3.0 0.0.0.255 destination 192.168.1.128 0.0.0.127

interface GigabitEthernet0/0/0

traffic-filter inbound acl 3000

配置NAT服务器

一、总部内网有FTP和WEB两台服务器,通过配置R1,使得Internet的用户可以访问这两台服务器的21和80端口服务。

配置R1:

interface GigabitEthernet0/0/1

nat server protocol tcp global 200.1.1.188 ftp inside 10.1.8.1 ftp

   nat server protocol tcp global 200.1.1.188 www inside 10.1.8.2 www

测试要求: 在Internet Client4上进行测试验证.

PPPOE服务器配置

R5作为Internet (ISP)的基本配置:

sysname R5-Internet

interface LoopBack0

 ip address 8.8.8.8 255.255.255.255

interface GigabitEthernet0/0/0

 ip address 101.1.1.254 255.255.255.0

 undo shut

interface GigabitEthernet0/0/1

 ip address 200.1.1.254 255.255.255.0

 undo shut

ip pool xmws

 network 211.1.1.0 mask 255.255.255.0

配置R5作为PPPOE服务器:

aaa

local-user user1 password cipher huawei

 local-user user1 service-type ppp

interface Virtual-Template1

 ppp authentication-mode chap

 remote address pool xmws

 ip address 211.1.1.1 255.255.255.0

interface GigabitEthernet0/0/2

 pppoe-server bind Virtual-Template 1

 undo shut

 

你可能感兴趣的:(php,服务器,开发语言,网络,网络协议,网络安全,运维)