ICT应用解决方案实验01-园区网项目
Posted Qurare
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ICT应用解决方案实验01-园区网项目相关的知识,希望对你有一定的参考价值。
ICT应用解决方案实验01-园区网项目
1 项目背景
上图所示的为某园区的网络拓扑,该园区网由YX和YC两个小园区组成,其中YX包括数据中心网络和办公网络,数据中心网络用于部署服务器应用系统,YC只包含办公网络,同时,YX和YC通过两条运营商专线互联。
为了满足园区网络的建设要求,请基于以上的拓扑完成本网络的规划调试。
2 项目需求
2.1 基础需求
- 园区网络中,接入层做二层配置,网关的位置放在核心交换机上,YX-Core下行链路的PC使用192.168.1.0/24网段的地址并使用静态IP地址进行通信,并划分进vlan10。YC-Core下行链路的PC使用192.168.2.0/24网段的地址并使用动态IP地址进行通信,要求DHCP server部署在核心层,并划分进vlan20。
2.2 二层需求
- 接入交换机与PC之间的接口链路类型为Access,核心交换机之间,核心与接入之间的互连接口的链路类型为Trunk,仅允许相应vlan通过。
- 为保证安全性,接入交换机下连的设备不允许通过二层网络进行互访。
- 为减少不必要的数据包泛洪,将交换机与PC相连的接口设置为边缘端口。
2.3 远程需求
为了方便管理员对各台设备进行管理,在各台交换机上部署telnet,要求仅允许通过telnet的方式登录到这些设备,认证方式为AAA,用户名均为huawei,密码均为goktech。
2.4 安全需求
- 接入层使用端口安全技术,将连接终端的地址设置成sticky mac地址,接口学习的MAC地址限制数量为1。
- 在VLAN10和网络中,仅允许已知的IP访问核心交换机。在VLAN 20的网络中,在接入层部署DHCP Snooping,并配置信任功能
2.5 路由需求
- 园区整体采用的动态路由协议为OSPF,请合理规划配置OSPF,并将没有用来建立邻居的接口设置为静默接口。
- 为加快收敛速度,将设备之间的网络类型设置成p2p。
- 现在园区租用了两条专线,10.1.1.0/24这条链路所使用的带宽为100M,10.1.2.0/24这条链路所使用的带宽是10M。现要求核心交换机之间的流量模型为主备模式,通常情况下流量走100M带宽链路,当这条链路故障后能够自动切换到10M链路。专线的主要用途包括,允许两个园区的网络互访,尤其是使YC的网络能够访问YX的数据中心服务器应用系统,同时两个园区的出口能否互为备份
2.6 出口需求
- 出口路由器YX-CK上使用easy ip技术实现内网对外网的访问,拥有单独的公网地址200.0.1.2。同时,出口路由器YC-CK上使用NAT地址池,将内网地址转换为202.0.1.3-202.0.1.6,AR2拥有单独的公网地址202.0.1.2。
2.7 数据中心需求
- 服务器通过两台交换机访问外部网络,要求在这两台交换机上做堆叠配置,保证其可靠性。
- 备注:拓扑中服务器直接通过两条线缆连接到YX-SJZX的交换机上,在实际的环境中,如果没有服务器可以进行实验,可以在YX-SJZX下联一台交换机,通过链路捆绑方式各连接一台线缆到YX-SJZX-S1和S2,在新加的交换机上连接测试的PC。
2.8 可靠性测试
- 客户对于拓扑的可靠性存在疑问,请测试两台核心交换机之间的100M专线在发生故障时,能够快速切换到10M联络。
- 测试YX-Core和YX-SJZX交换机之间的可靠性,确保其中一条链路发生故障后,流量能够切换到另外一条链路。
2.9 管理需求
- 使用个人电脑配置网管软件,配置相应路由确保电脑与园区内设备的连通性。
- 为了方便管理员管理设备,需要在所有设备上开启LLDP功能,并且在各台设备上部署SNMP,要求使用的版本为v2c,其中,读密码和写密码均为goktech@123。并使能告警功能。
- 为客户添加一个管理员用户,用户名为gok001,密码为gok@123。
- 创建发现凭证,读密码和写密码均为goktech@123,snmp端口为161,超时时间为5秒,重试次数为5次。
- 根据拓扑图,在网管软件上手动添加设备,要求所有路由交换设备均使用SNMP协议进行发现,将设备名修改成与真实设备一致。
- 为所有设备创建业务视图,并根据实际连接情况绘制拓扑。
- 为YX-CORE添加性能监视器,监视过大的数据包,要求监视间隔为1分钟,重整值为5包,危机值的包数为50。
- 搭建邮件服务器,确保邮件服务器正常工作,客户可以正常接收。
- 为YX-CORE配置通知配置文件,要求主题名包含告警源,消息变量包含消息、设备、分类、生成时间和严重性,通过邮件发出,发送条件为发送通知时的严重性达到要关注的等级及以上,且发生任意级别的设备停机,以及硬件,或者接口出现了问题
3 项目环境确认表
4 项目规划配置
按照上面提供的需求逐个满足, 如果设备没有命名优先进行命名
4.1 基础需求
YX的PC1为192.168.1.253/24, PC2为192.168.1.252/24
YX-Core
vlan batch 10 20
int vlanif 10
ip add 192.168.1.254 24
qu
YC-Core
vlan batch 10 20
int vlanif 20
ip add 192.168.2.254 24
qu
dhcp enable
ip pool vlan20
network 192.168.2.0 mask 24
gateway-list 192.168.2.254
qu
int vlanif 20
dhcp select global
qu
4.2 二层需求
配置接口类型(access、trunk)、配置二层(默认)隔离组、配置mstp(默认开启)和边缘端口
YX-Core
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 2 3 10 20
undo port trunk allow-pass vlan 1
qu
YX-Access
vlan 10
qu
int e0/0/1
port link-type access
port default vlan 10
stp edged-port enable
port-isolate enable group 1
qu
int e0/0/2
port link-type access
port default vlan 10
stp edged-port enable
port-isolate enable group 1
qu
int e0/0/3
port link-type trunk
port trunk allow-pass vlan 2 3 10 20
undo port trunk allow-pass vlan 1
qu
stp bpdu-protection
YC-Core
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 2 3 10 20
undo port trunk allow-pass vlan 1
qu
YC-Access
vlan 20
qu
int e0/0/1
port link-type access
port default vlan 20
stp edged-port enable
port-isolate enable group 1
qu
int e0/0/2
port link-type access
port default vlan 20
stp edged-port enable
port-isolate enable group 1
qu
int e0/0/3
port link-type trunk
port trunk allow-pass vlan 2 3 10 20
undo port trunk allow-pass vlan 1
qu
stp bpdu-protection
4.3 远程需求
Telnet、AAA
YX-Core、YX-Access、YC-Core、YC-Access、YX-SJZX-S1、YX-SJZX-S2
aaa
local-user huawei password cipher goktech
local-user huawei service-type telnet
local-user huawei privilege leve 15
qu
telnet server enable
user-int vty 0 4
protocol inbound telnet
authentication-mode aaa
qu
4.4 安全需求
端口安全、DHCP Snooping、ACL
YX-Core
acl 2001
rule 5 permit source 192.168.1.252 0.0.0.0
rule 10 permit source 192.168.1.253 0.0.0.0
rule 100 deny source any
qu
int g0/0/1
traffic-filter inbound acl 2001
qu
YX-Access
int e0/0/1
port-security enable
port-security mac-address sticky
port-security max-mac-num 1
qu
int e0/0/2
port-security enable
port-security mac-address sticky
port-security max-mac-num 1
qu
YC-Access
dhcp enable
int e0/0/1
port-security enable
port-security mac-address sticky
port-security max-mac-num 1
qu
int e0/0/2
port-security enable
port-security mac-address sticky
port-security max-mac-num 1
qu
dhcp snooping enable ipv4
int vlanif 20
dhcp snooping enable
dhcp snooping trusted
int e0/0/1
dhcp snooping trusted
qu
int e0/0/2
dhcp snooping trusted
qu
4.5 路由需求
ospf、p2p、cost
YX-CK
ospf 1
area 0
network 192.168.3.1 0.0.0.0
silent-int g0/0/1
qu
int g0/0/0
ip add 192.168.3.1 24
ospf network-type p2p
qu
YX-Core
ospf 1
area 0
network 192.168.1.254 0.0.0.0
network 192.168.3.2 0.0.0.0
network 10.1.1.1 0.0.0.0
network 10.1.2.1 0.0.0.0
silent-int g0/0/1
qu
vlan batch 2 3 4
qu
int vlanif 2
ip add 192.168.3.2 24
ospf network-type p2p
qu
int vlanif 3
ip add 10.1.1.1 24
ospf cost 1
ospf network-type p2p
qu
int vlanif 4
ip add 10.1.2.1 24
ospf network-type p2p
ospf cost 10
qu
int g0/0/2
port link-type access
port default vlan 2
qu
int g0/0/5
port link-type access
port default vlan 3
qu
int g0/0/6
port link-type access
port default vlan 4
qu
YC-CK
ospf 1
area 0
network 192.168.4.1 0.0.0.0
silent-int g0/0/1
qu
int g0/0/0
ip add 192.168.4.1 24
ospf network-type p2p
qu
YC-Core
ospf 1
area 0
network 192.168.2.254 0.0.0.0
network 192.168.4.2 0.0.0.0
network 10.1.1.2 0.0.0.0
network 10.1.2.2 0.0.0.0
silent-int g0/0/1
qu
vlan batch 2 3 4
qu
int vlanif 2
ip add 192.168.4.2 24
ospf network-type p2p
qu
int vlanif 3
ip add 10.1.1.2 24
ospf cost 1
ospf network-type p2p
qu
int vlanif 4
ip add 10.1.2.2 24
ospf cost 10
ospf network-type p2p
qu
int g0/0/2
port link-type access
port default vlan 2
qu
int g0/0/3
port link-type access
port default vlan 3
qu
int g0/0/4
port link-type access
port default vlan 4
qu
4.6 出口需求
easy-ip、NAPT(默认路由、ACL)、ospf下放默认路由
YX-CK
acl 2001
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 permit source 172.16.0.0 0.0.255.255
qu
int g0/0/1
ip add 200.0.1.2 24
qu
ip route-static 0.0.0.0 0.0.0.0 200.0.1.1
ospf 1
default-route-advertise
qu
YC-CK
nat address-group 1 202.0.1.3 202.0.1.6
acl 2001
rule 5 permit source 192.168.2.0 0.0.0.255
qu
int g0/0/1
ip add 202.0.1.2 24
nat outbound 2001 address-group 1
qu
ip route-static 0.0.0.0 0.0.0.0 202.0.1.1
ospf 1
default-route-advertise
qu
使用路由器Internet模拟外网
int g0/0/0
ip add 200.0.1.1 24
qu
int g0/0/1
ip add 202.0.1.1 24
qu
ip route-static 192.168.2.0 255.255.255.0 202.0.1.2
ip route-static 192.168.4.0 255.255.255.0 202.0.1.2
ip route-static 192.168.1.0 255.255.255.0 200.0.1.2
ip route-static 192.168.3.0 255.255.255.0 200.0.1.2
4.7 数据中心需求
堆叠
ensp不支持模拟交换机堆叠, 这里就简单配置一下使得服务器能够被访问
服务器
int g0/0/0
ip add 172.16.2.1 24
qu
int g0/0/1
ip add 172.16.1.1 24
qu
ip route-static 0.0.0.0 0.0.0.0 172.16.1.2
YX-SJZX-S1
vlan batch 11 12
int vlan 11
ip add 172.16.2.2 24
qu
int g0/0/2
port link-type access
port default vlan 11
qu
int g0/0/1
port link-type access
port default vlan 11
qu
YX-SJZX-S2
vlan batch 11 12
int vlan 12
ip add 172.16.1.2 24
qu
int g0/0/2
port link-type access
port default vlan 12
qu
int g0/0/1
port link-type access
port default vlan 12
qu
4.8 可靠性测试
1)YX-Core和YC-Core之间两条专线可靠性测试
PC3 ping PC1时, 流量从10.1.1.0转发
关闭YC-HX的g0/0/3
再次ping操作, 流量从10.1.2.0转发
2)YH-SJZX的两台交换机未做堆叠, 无法测试可靠性
4.9 管理需求
LLDP、SNMPv2、网管软件
YX-Core
lldp enable
snmp-agent
snmp-agent sys-info version v2c
undo snmp-agent sys-info version v3
snmp-agent mib-view include gok iso
snmp-agent target-host trap address udp-domain 192.168.18.1 params securityname gok001
snmp-agent community read goktech@123 mib-view iso
snmp-agent community write goktech@321 mib-view iso
snmp-agent trap enable y
vlan 100
qu
int vlan100
ip add 192.168.18.254 24
qu
int g0/0/2
port link-type access
port default vlan 100
qu
ospf 1
area 0
network 192.168.18.0 0.0.0.255
qu
qu
aaa
local-user gok001 password cipher gok@123
local-user gok001 privilege level 15
local-user gok001 service-type ssh telnet http
qu
YX-CK、YC-CK
lldp enable
snmp-agent
snmp-agent sys-info version v2c
snmp-agent mib-view gok include iso
snmp-agent target-host trap-paramsname gok001 v2 securityname gok@123
snmp-agent target-host trap-hostname gok001 address 192.168.18.1 trap-paramsname gok001
snmp-agent community read goktech@123 mib-view iso
snmp-agent community write goktech@321 mib-view iso
snmp-agent trap enable y
aaa
local-user gok001 password cipher gok@123
local-user gok001 privilege level 15
local-user gok001 service-type ssh telnet http
qu
其他交换机
lldp enable
snmp-agent
snmp-agent sys-info version v2c
undo snmp-agent sys-info version v3
snmp-agent mib-view include gok iso
snmp-agent target-host trap address udp-domain 192.168.18.1 params securityname gok001
snmp-agent community read goktech@123 mib-view iso
snmp-agent community write goktech@321 mib-view iso
snmp-agent trap enable y
aaa
local-user gok001 password cipher gok@123
local-user gok001 privilege level 15
local-user gok001 service-type ssh telnet http
qu
个人电脑使用Cloud模拟, 配置如下
本机网卡配置
网管软件的凭证添加
5 项目验收
5.1 项目基本情况
| 项目合同甲方: | |
| 项目合同乙方: | |
| 项目开工时间: | |
| 项目竣工时间: | |
| 项目验收日期: |
5.2 项目验收计划
5.2.1 项目验收原则
-
审查提供验收的文档的正确性、完整性和统一性,审查文档是否齐全、合理;
-
审查项目功能是否达到了合同规定的要求;
-
审查项目有关服务指标是否达到了合同的要求;
-
审查项目投资以及实施进度的情况;
-
对项目的技术水平做出评价,并得出项目的验收结论。
5.2.2 项目验收方式
记录项目验收的组织方式和参与验收工作的人员情况,原则上由讲师负责验收
| 验收人员 | 所属单位 | 所属角色 | 相关职责 |
|---|---|---|---|
5.2.3 项目验收内容
硬件设备验收情况参照<<设备确认表>>,功能模块验收按照需求来实现,需要相应的验证或者测试功能模块按照需求部署
-
功能模块验收
-
为保证安全性,接入交换机下连的设备不允许通过二层网络进行互访。
使用ping命令进行测试,测试结果如下:
-
为了方便管理员对各台设备进行管理,在各台交换机上部署telnet,要求仅允许通过telnet的方式登录到这些设备,认证方式为AAA,用户名均为huawei,密码均为goktech
使用设备登录:
-
接入层使用端口安全技术,将连接终端的地址设置成sticky mac地址,接口学习的MAC地址限制数量为1。
检查MAC地址表项:
-
在VLAN10和网络中,仅允许已知的IP访问核心交换机。在VLAN 20的网络中,在接入层部署DHCP Snooping,并配置信任功能
测试合法地址ping交换机(192.168.1.253 ping YX-Core):
测试非法地址ping核心交换机(192.168.1.251 ping YX-Core):
查看信任功能部署情况:
untrust端口(g0/0/4)不会接收DHCP DISCOVER, 所以在untrust端口抓包不会出现DHCP OFFER、DHCP REQUEST、DHCP ACK
-
园区整体采用的动态路由协议为OSPF,网络类型为p2p,核心交换机之间采用主备模式,通过修改开销实现。
检查OSPF的邻居关系:
使用tracert命令查看PC经过专线访问外网的流量路径:
-
服务器通过两台交换机访问外部网络,这两台交换机上做堆叠配置,保证其可靠性。
检查设备的堆叠状态:eNSP不支持模拟交换机堆叠(istack)
-
可靠性测试:客户对于拓扑的可靠性存在疑问,测试两台核心交换机之间的100M专线在发生故障时,能够快速切换到10M联络。
测试环境示意图:
使用tracert命令测试流量路径:
测试YX-Core和YX-SJZX交换机之间的可靠性,确保其中一条链路发生故障后,流量能够切换到另外一条链路。
测试环境示意图:使用tracert命令测试流量路径:
eNSP不支持模拟交换机堆叠(istack)
-
根据客户需求,创建一个管理员账户,手动添加路由交换设备,描绘业务视图,添加性能监视器,搭建邮件服务器并实现告警功能。
使用新建账号登录:
业务视图:
邮件服务器测试截图:
未配置
告警测试截图:
-
-
附件验收: 即验收实际的设备配置脚本文件
200人 500人规模园区网设计(中小企业网络)
200人 500人规模园区网
实验要求
① 设置合理的STP优先级、边缘端口、Eth-trunk
环路会引起广播风暴,设置STP可二层防环,STP是破环协议
② 企业内网划分多个vlan ,减少广播域大小,提高网络稳定性
③ 所有设备,在任何位置都可以telnet远程管理
④ 出口配置NAT
⑤ 所有用户均为自动获取ip地址(核心交换机)
⑥ 在企业出口将内网(web)服务器的80端口映射出去,允许外网用户访问
⑦ 企业财务服务器,只允许财务部(vlan 30)的员工访问。
-
对于中小企业网络,医院,高校,酒店。 两层架构(核心层和接入层)
假设企业达到1000人,就加上汇聚层,在我的博客里也能看到1000人 -
中小型企业,尽量扁平化,如果设备太多,每一个设备都可成为故障点,传输速率也会慢点
-
人员分布
同个部门员工都在同一层楼,布线好布置,这样就两层架构。
如果员工分散在N层楼,这样就三层架构
企业网按部门划分网段,校园网按宿舍楼层划分网段 -
PC2是用一个路由器来模拟PC(telnet)
一、设备选型(光口和电口的交换机,注意设备利旧)
…
二、技术需求
①二层:STP Eth-trunk 即冗余技术,把接入层到核心层的两条线捆绑成一条线
让交换机运行快速生成树,核心交换机的优先级要调最低。
②vlan、trunk
vlan即虚拟局域网,隔离广播域,提升网络的稳定性 安全性,同时方便管理和控制这个网络,满足特殊网络的访问控制要求
一个vlan 对应一个网段 对应一个广播域
trunk是对vlan的一个提升,允许多个VLAN通信,接入交换机和核心交换机 通过trunk。
专门单独设置一个管理VLAN,用作远程管理
③网关、SVI配置
④DHCP配置
第一种方式:DHCP是在核心交换机上做的,启用DHCP功能
第二种方式:若找DHCP服务器分配的话,就要在核心交换机上做DHCP中继
配置DHCP地址池,网关DNS
⑤出口NAT配置
NAT:网络地址翻译,将内网私网地址转换成公网地址。在出口的时候 转换成公网地址
⑥服务器端口映射
将内网的某一台服务器的某一个端口 映射到公网上,方便外网直接访问某台设备和服务
⑦ACL配置
控制部门之间的互访
如:财务服务器,禁止部分员工去访问,只允许财务部和董事长
⑧telnet远程管理配置
远程登录,方便运维
⑨vlan修剪配置
通过进一步缩小广播域,进一步提升网络的稳定性和安全性
trunk 只允许有划分的vlan通过,而不是所有vlan通过。 使广播范围小了
三、详细配置
STP Eth-trunk
①STP Eth-trunk设置合理的优先级(越小越优先),设置边缘端口
设置边缘端口的好处:可以提高网络的收敛速度,增加稳定性
千兆口连接上行,百兆口连接下行用户
1.STP
核心:sw1
[sw1]stp root primary //成为主根桥
接入:sw2 sw3 sw4 sw5
[sw2]port-g group-member e0/0/1 to e0/0/22 //g是group
[sw2-port-group]stp edged-port enable
2.Eth-trunk,将两条链路捆绑起来
sw1:
int eth-trunk 2
mode lacp-static
trunkport gi 0/0/1
trunkport gi 0/0/4
int eth-trunk 2
stp cost 10000
sw2:
interface eth-trunk 2
mode lacp-static
trunkport gi 0/0/1
trunkport gi 0/0/2
int eth-trunk 2
stp cost 10000 //强制这个stp口的开销,设置了可以优化网络,让STP更稳定。如果一条链路断了,stp会重新收敛。 为了避免重新收敛这种,将其捆绑后设定一个固定cost
dis eth-trunk 2
省略其他交换机的配置,都是类似的
sw3--sw1 eth-trunk3
sw4--sw1 eth-trunk4
sw5--sw1 eth-trunk5
VLAN
②vlan trunk
接入SW2 SW3 SW4 SW5,创建vlan,将接口划入vlan
[sw2]vlan 10
[sw2-vlan10]vlan 20
[sw2]int eth-trunk2
[sw2-Eth-Trunk2]port link-type trunk
[sw2-Eth-Trunk2]port trunk allow-pass vlan all //all的范围就是 2 to 4094,因此这种也要修剪
[sw2]int e0/0/2
[sw2-Ethernet0/0/2]port link-type access
[sw2-Ethernet0/0/2]port default vlan 10
[sw2]int e0/0/3
[sw2-Ethernet0/0/3]port link-type access
[sw2-Ethernet0/0/3]port default vlan 20
针对交换机下很多PC,直接按组配置
[sw3]vlan 20
[sw3]int eth-trunk3
[sw3-Eth-Trunk3]port link-type trunk
[sw3-Eth-Trunk3]port trunk allow-pass vlan all
[sw3]port-g g Ethernet 0/0/3 to Ethernet 0/0/22
[sw3-port-group]port link-type access
[sw3-port-group]port default vlan 3 0
sw4 sw5 配置略
..........
核心SW1,修剪
接入交换机有的VLAN,也要在核心交换机上一并创建
[sw1]vlan 10
[sw1]vlan 20
[sw1]int eth-trunk 2
[sw1-Eth-Trunk2]port link-type trunk
[sw1-Eth-Trunk2]port trunk allow-pass vlan 10 20 999
这种就是VLAN修剪,原因:
如果是trunk all,它的广播域会过大,整个trunk链路都是广播域,使网络不稳定
因为用户发送的广播报文,带着vlan10的标签的广播会发送到所有trunk中,即所有的交换机都会收到,即使接下来其他交换机收到不会发到PC。
直接一次性按组配置,这种就全是all,后期要修剪比较好
[sw1]vlan batch 10 20 30 40 200
[sw1]port-g g Eth-Trunk 2 to Eth-Trunk 5
[sw1-port-group]port link type turnk
[sw1-port-group]port turnk allow-pass vlan all
网关 SVI
③网关 SVI SVI就是VLAN IF接口
DHCP自动获取IP地址,就是通过网关来获取的
这里先配置接口
sw1: 交换机虚拟接口
int vlanif10
ip add 192.168.10.1 255.255.255.0
int vlanif20
ip add 192.168.20.1 255.255.255.0
int vlanif30
ip add 192.168.30.1 255.255.255.0
int vlanif40
ip add 192.168.40.1 255.255.255.0
int vlanif200
ip add 192.168.200.1 255.255.255.0
三层交换机和路由器的三层对接:
交换机接口 默认是不能配置IP地址的。 所以这时使用vlan if 接口对接
然后给交换机vlanif 800 配置 192.168.254.2
出口R1的ge0/0/0 配置 192.168.254.1
SW1的具体配置
sw1:
[sw1]vlan 800
[sw1]int g 0/0/24
port link-type access //配置成access,别配置成trunk
port default vlan 800
[sw1]int vlanif 800
ip add 192.168.254.2 255.255.255.0
DHCP
④DHCP配置 服务器地址是静态配置
sw1:
[sw1]dhcp enable
[sw1]ip pool caiwu
[sw1-ip-pool-caiwu]gateway-list 192.168.30.1
[sw1-ip-pool-caiwu]network 192.168.30.0 mask 24
[sw1-ip-pool-caiwu]dns-list 114.114.114.114 8.8.8.8
#
ip pool jishu
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_1
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_2
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
#用户请求,交换机查看用户请求报文,看用户是来自VLAN 10,然后会查看路由表的VLAN IF 10上配的地址网段是 192.168.10.0网段,让用户去全局上拿地址池
[sw1]int vlanif 10
[sw1-vlanif10]dhcp select global
[sw1]int vlanif 20
[sw1-vlanif20]dhcp select global
30 40 50 略
出口路由 NAT
⑤出口路由 NAT
核心sw1上设置缺省路由 指向出口路由器
[sw1]ip route-static 0.0.0.0 0 192.168.254.1
出口路由器上设置缺省路由 指向运营商
[R1]ip route-static 0.0.0.0 0 12.1.1.6
出去后 要回来
路由器要根据路由表回去
[R1]ip route-static 192.168.0.0 16 192.168.254.2
NAT
⑥NAT
acl 2000
rule 5 permit source 192.168.0.0 0.0.255.255
[R1]int g0/1
[ ]nat outbound 2000
端口映射
⑦服务器端口映射
R1:
int g0/0/1
nat server protocol tcp global 12.1.1.2 80 inside 192.168.200.10 80
ACL
⑧ACL配置 只有财务部vlan30可以访问财务服务器
sw1:
acl number 3000
rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.200.20 0
rule 10 deny ip destination 192.168.200.20 0
int eth-trunk5
traffic-filter outbound acl 3000
Telnet
⑨Telnet配置
所有设备(路由 交换机)都需如下配置
telnet server enable
aaa
local-user aa privilege level 3 password cipher 123
local-user aa service-type telnet
user-interface vty 0 4
authentication-mode aaa
接入交换机(二层交换机)配置管理地址(交换机有了管理地址才能telnet):
使用专门管理vlan 999承载telnet的管理流量,建议将管理IP地址配置在一个网段即可
管理vlan:vlan 999
管理网段:192.168.253.0/24
sw1:
vlan 999
int vlanif 999
ip add 192.168.253.1 24
sw2
vlan 999 //创建vlan
int vlanif 999 //配置vlan 管理地址
ip add 192.168.253.2 24
sw3 sw4 sw5 配置略,只要ip地址最后一位改一下
❤下面该缺省路由是为了管理流量回包。每个接入层交换机都需要配置。
因为这里管理和业务是分开的。
[sw2]ip route-s 0.0.0.0 0 192.168.253.1 //sw2配置缺省路由 回到核心交换机
sw3 sw4 sw5 配置略,一模一样的
VLAN 修剪
⑨VLAN修剪
为了进一步减少trunk链路上的广播报文的发送范围,进一步缩小广播域,在trunk链路上配置VLAN的过滤
sw2
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
sw3 sw4 也是类似这样配置。修剪
sw1
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
补充知识点
- 创建vlan,配置vlan管理地址,根据管理地址对应的网段 去DHCP地址池找相应,自动分配
- 因为交换机 不可以在接口直接配置IP地址,即使是核心交换机也不行
因此使用vlanif接口方式 使交换机和路由器 三层对接 - 楼宇还是楼层,都要根据需求去划分vlan。如果是学生宿舍,每层楼的vlan就独立
楼宇之间 光纤千兆Gigabitethernet, 楼层之间 百兆Ethernet - 用户上网是走二层的MAC地址
- VLAN间的本质是 标签的转换, VLAN间通信
拓扑配置文件
附上网络配置(积分可以去淘宝搜一下CSDN):
https://download.csdn.net/download/qq_39578545/12381369
以上是关于ICT应用解决方案实验01-园区网项目的主要内容,如果未能解决你的问题,请参考以下文章
智慧园区SaaS管理系统解决方案:赋能园区实现信息化数字化管理