华为ENSP两层架构综合实验
- 一、企业网划分多个VLAN,减少广播域大小,提高网络稳定性。
- 二、在核心上配置DHCP地址段,有3个VLAN,配置三个地址池。
- 三、所有设备在任何位置都可以telnet远程管理。
- 四、配置出口NAT
- 五、优化配置
1.企业内网划分多个VLAN,减少广播域大小,提高网络稳定性。
2.用户的网关配置在核心交换机,所有用户均为自动获取IP地址。
3.所有设备,在任何位置都可以telnet远程管理。
4.出口配置NAT
5.stp运行RSTP模式,确保核心交换机为根桥。并将接入的用户接口配置为边缘端口加快收敛。
6.配置根桥保护措施,确保根桥不被抢占
7.在企业出口将内网服务器的80端口映射出去,允许外网用户访问。
8.企业财务服务器,只允许财务部VLAN30的员工访问。
一、企业网划分多个VLAN,减少广播域大小,提高网络稳定性。
用户的网关配置在核心交换机上。接入层交换机配置VLAN,并将用户划入相应的VLAN;配置好Trunk链路;核心上配置VLAN和SVI虚拟VLAN接口。
配置接口顺序从底往上。
交换机S3700有两个22个百兆接口Ethernet,端口为23和24的两个千兆接口Gigabit:gi0/0/1、gi0/0/2,连接核心交换机是上联级联接口gi0/0/1。
(一)配置接入交换机SW2接口。
1.创建VLAN10和VLAN20
system-view
[Huawei]sysname SW2
[SW2]undo info-center enable #关闭消息中心
[SW2]vlan batch 10 30 #批量创建VLAN10和30
[SW2]interface e0/0/1
[SW2-Ethernet0/0/1]port link-type access
[SW2-Ethernet0/0/1]port default vlan 10 #配置接口为VLAN 10
[SW2-Ethernet0/0/1]dis this
interface Ethernet0/0/1
port link-type access
port default vlan 10
return
[SW2]interface e0/0/2
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 30
[SW2-Ethernet0/0/2]dis this
interface Ethernet0/0/2
port link-type access
port default vlan 30
return
[SW2]niterface gi0/0/1
[SW2]interface gi0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 30
(二)配置接入交换机SW3接口。
system-view
[Huawei]sysname SW3
[SW3]undo info-center enable
[SW3]interface e0/0/1
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port default vlan 200
[SW3-Ethernet0/0/1]quit
[SW3]interface e0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 200
[SW3]interface gi0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 200 #允许VLAN 200数据通过
[SW3-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
return
(三)配置核心交换机SW1接口。
1.创建VLAN10 30 200
system-view
[Huawei]sysname SW1
[SW1]undo info-center enable
[SW1]interface gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 30 #允许VLAN10 和VLAN30通过
system-view
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 200 #允许VLAN200数据通过
[SW1-GigabitEthernet0/0/2]dis this
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
return
TG:tagged,表明是标号的是接口Trunk。
2.配置VLAN10 30 200的网关接口,用户可以ping通网关。
[SW1]interface vlan 10
[SW1-Vlanif10]ip address 192.168.10.1 24 #配置VLAN 10的网关
[SW1-Vlanif10]quit
[SW1]interface vlan 30 #配置VLAN 30的网关
[SW1-Vlanif30]ip address 192.168.30.1 24
[SW1-Vlanif30]quit
[SW1]interface vlan 200 #配置VLAN 30的网关
[SW1-Vlanif200]ip address 192.168.200.1 24
用户PC1可以ping通网关
system-view
[Huawei]sysname R2
[R2]undo info-center enable
二、在核心上配置DHCP地址段,有3个VLAN,配置三个地址池。
服务器可以使用静态的地址,故不做地址池VLAN200配置。
[SW1]ip pool vlan_10 #用户名为vlan_10 的地址池
[SW1-ip-pool-vlan_10]network 192.168.10.0 mask 24 #配置IP地址池
[SW1-ip-pool-vlan_10]gateway-list 192.168.10.1 #配置网关
[SW1-ip-pool-vlan_10]dns-list 119.29.29.29 #配置DNS
[SW1-ip-pool-vlan_10]dis this
ip pool vlan_10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 119.29.29.29
return
[SW1]ip pool vlan_30
[SW1-ip-pool-vlan_30]network 192.168.30.0 mask 24
[SW1-ip-pool-vlan_30]gateway-list 192.168.30.1
[SW1-ip-pool-vlan_30]dns-list 119.29.29.29
[SW1-ip-pool-vlan_30]dis this
ip pool vlan_30
gateway-list 192.168.30.1
network 192.168.30.0 mask 255.255.255.0
dns-list 119.29.29.29
return
[SW1]dhcp enable #启用DHCP功能
[SW1]interface vlan 10
[SW1-Vlanif10]dhcp select global
[SW1-Vlanif10]dis this
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
dhcp select global
[SW1]interface vlan 30
[SW1-Vlanif30]dhcp select global
[SW1-Vlanif30]dis this
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
dhcp select global
return
PC2主机DHCP自动获取IP地址
三、所有设备在任何位置都可以telnet远程管理。
(一)配置核心交换机SW1
[SW2]telnet server enable #开启telnet功能,华为默认开启
[SW2-aaa]local-user apple password simple 123456 privilege level 3
#用户名apple,密码123456,权限级别为3级
[SW2-aaa]local-user apple service-type telnet #指定账号的服务类型为telnet
[SW2-aaa]dis this
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
local-user apple password simple 123456
local-user apple privilege level 3
local-user apple service-type telnet
return
[SW2]user-interface vty 0 4 #同时允许5个人远程控制
[SW2-ui-vty0-4]authentication-mode aaa #认证模式采用aaa
[SW2-ui-vty0-4]dis this
user-interface con 0
user-interface vty 0 4
authentication-mode aaa
return
(二)同理,把下面的配置分别复制到SW2、SW3和路由器R1上。R2是运营商,不做配置。
aaa
local-user apple password simple 123456
local-user apple privilege level 3
local-user apple service-type telnet
user-interface vty 0 4
authentication-mode aaa
(三)配置管理VLAN999:管理地址段:192.168.255.X
system-view
[SW1]vlan 999
[SW1-vlan999]qu
[SW1]interface vlan 999
[SW1-Vlanif999]ip address 192.168.255.1 24 #配置管理IP地址
[SW1-Vlanif999]dis this
interface Vlanif999
ip address 192.168.255.1 255.255.255.0
return
[SW1]interface gi0/0/1
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
[SW1-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30 999
return
[SW1-GigabitEthernet0/0/1]qu
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 999
save
[SW2]vlan 999
[SW2]interface vlan 999
[SW2-Vlanif999]ip address 192.168.255.2 24
[SW2-Vlanif999]dis this
interface Vlanif999
ip address 192.168.255.2 255.255.255.0
return
[SW2]interface gi0/0/1
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
[SW2-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30 999
return
[SW2]ip route-static 0.0.0.0 0 192.168.255.1 #给管理流量回包的缺省路由
save
[SW3]vlan 999
[SW3-vlan999]qu
[SW3]interface vlan 999
[SW3-Vlanif999]ip address 192.168.255.3 24
[SW3-Vlanif999]dis this
interface Vlanif999
ip address 192.168.255.3 255.255.255.0
return
[SW3]interface gi0/0/1
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
save
可在SW2交换机上telnet核心交换机SW1
四、配置出口NAT
(一)配置互联接口IP地址
[SW1]interface gi0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 800
[SW1]interface vlan 800
[SW1-Vlanif800]ip address 192.168.254.1 24 #配置SVI254.1和R1对联
[SW1-Vlanif800]dis this
interface Vlanif800
ip address 192.168.254.1 255.255.255.0
return
[R1]interface gi0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.254.2 24
[R1-GigabitEthernet0/0/0]dis this
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 192.168.254.2 255.255.255.0
return
[R1]ping 192.168.254.1
PING 192.168.254.1: 56 data bytes, press CTRL_C to break
Reply from 192.168.254.1: bytes=56 Sequence=1 ttl=255 time=110 ms
Reply from 192.168.254.1: bytes=56 Sequence=2 ttl=255 time=40 ms
Reply from 192.168.254.1: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 192.168.254.1: bytes=56 Sequence=4 ttl=255 time=40 ms
Reply from 192.168.254.1: bytes=56 Sequence=5 ttl=255 time=10 ms
— 192.168.254.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 29
[R1-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
return
save
[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]ip address 12.1.1.6 29
[R2-GigabitEthernet0/0/0]dis this
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.6 255.255.255.248
return
save
(二)配置缺省路由联通外网
[SW1]ip route-static 0.0.0.0 0 192.168.254.2 #核心交换机甩到出口外网R1的路由
[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]ip route-static 0.0.0.0 0 12.1.1.6 #出口外网R1甩到运营商的路由
[R1]ip route-static 192.168.0.0 255.255.0.0 192.168.254.1
#数据包从R1回传到企业内网192.168网段,将回包交给核心交换机
此时,PC1可以访问路由器R1和服务器R2,ping通9.9.9.9。
EasyIP:允许多个私网地址转换成一个公网IP,企业常用。
2.先写ACL匹配内网私网地址段
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R1-acl-basic-2000]dis this
[V200R003C00]
acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
return
2.在公网出口调用ACL
[R1]interface gi0/0/1 #出口配置
[R1-GigabitEthernet0/0/1]nat outbound 2000
save
五、优化配置
(一)配置STP和根网桥
STP:运行RSTP模式,确保核心交换机为根桥。并将接入用户的接口配置为边缘接口加快收敛。
配置根桥保护措施,确保根桥不被抢占。所有用户均为自动获取IP地址。
交换机配置RSTP快速模式。
[SW1]stp mode rstp
[SW2]stp mode rstp
[SW3]stp mode rstp
[SW1]stp priority 0 #核心桥为根桥
到根桥的接口配置根保护功能,发现抢占立即阻塞SW1两端接口,不建议用此功能。
[SW1]interface g0/0/1
[SW1-GigabitEthernet0/0/1]stp root-protection
[SW1-GigabitEthernet0/0/1]qu
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]stp root-protection
建议在接入交换机配置stp bpdu防护:保护根桥
作用:开启bpdu保护后,如果从边缘端口收到stp报文,交换机会自动将该接口shutdown。
从而确保根桥不被抢占,同时确保不会出现环路。
[SW2]stp bpdu-protection
[SW3]stp bpdu-protection
[SW2]port-group group-member e0/0/1 to e0/0/2 #用户的接口配置为边缘接口加快收敛
[SW2-Ethernet0/0/2]stp edged-port enable
[SW3]port-group group-member e0/0/1 to e0/0/2
[SW3-port-group]stp edged-port enable
[SW3-Ethernet0/0/1]stp edged-port enable
(二)在企业出口将内网服务器的80端口映射出去,允许外网用户访问。
在R1的出口配置
[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.4 www inside 192.
168.200.10 www
#将内网服务器192.168.200.10映射成公网地址 12.1.1.4 ,外网访问12.1.1.4可直接访问网页服务器192.168.200.10。
[R1-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
nat server protocol tcp global 12.1.1.4 www inside 192.168.200.10 www
nat outbound 2000
return
[R2]interface gi0/0/1
[R2-GigabitEthernet0/0/1]ip address 9.9.9.1 24
(三)企业财务服务器,只允许财务部(vlan 30)的员工访问
在核心交换机SW1上配置允许30,拒绝所有包通过
[SW1]acl 3000
[SW1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255 destination 192.1
68.200.20 0
允许192.168.30.0的VLAN30访问企业财务服务器192.168.200.20
[SW1-acl-adv-3000]rule deny ip source any destination 192.168.200.20 0
拒绝其他访问目标地址是192.168.200.20的财务部服务器
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 #在出接口启用acl3000