实验目的及要求:HCIA全部知识点,全网可通
具体是实现会一一介绍
本人已经将全部做完的实验拓扑保存:链接:https://pan.baidu.com/s/1l8JlXiJlWJIhNNNswxY9tQ
提取码:y1j5
配置思想:
首先从最低层开始进行配置
先将二层配置好再对三层进行配置
将vlan10、20、30、40分别划入LSW3、LSW4中,并使用access接口
LSW1、LSW2分别为vlan80、90
LSW5上分别为vlan100、101、900,并使用access接口
lldp enable 便于以后查看周围设备情况
display lldp neighbor brief 查看设备连接情况
将两个核心交换机上的21、22口使用Trunk接口
核心交换机上配置E-T链路,接口必须是默认,不能有其他配置
display current-configuration interface GigabitEthernet 0/0/23查看接口的配置
将E-T链路配置成Trunk接口
将核心交换机的g0/0/1口配置成access接口,并划入vlan80、90并关闭核心交换机的stp
stp disable(不要在全局上面关闭,在0/0/1接口上关闭即可)
在核心交换机上创建vlan子接口,IP地址为10.1.80.2/24 10.1.90.2/24
在总部的路由器上配置其他的接口0/0/0、0/0/1、0/0/2、1/0/0地址分别为10.1.80.1/24 10.1.90.1/24、172.16.9.1/24 202.1.1.1/24
记得在总部写一条静态路由
在LSW5上,创建子接口 IP地址分别为172.16.9.2/24、172.16.100.254/24、172.16.101.254/24
在DHCP服务器上,IP地址为172.16.100.100/24,由于是路由器充当,加上一条默认路由
在sever上IP地址为172.16.101.100/24 网关为172.16.101.254 在http上添加一个工作目录即可
四台电脑全部改为自动获取IP地址
DNS服务器上IP地址为202.96.134.133 网关为202.96.134.254
dnserver的主机域名为qq.com,并添加A记录并启动
internet路由器上地址:
0/0/0 101.1.1.254/24
0/0/1 202.1.1.254/24
0/0/2 61.1.1.254/24
2/0/0 9.9.9.254/24
2/0/1 8.8.8.254/24
2/0/2 202.96.134.254/24
PC7上IP地址8.8.8.8 网关8.8.8.254 client3上IP地址9.9.9.9 网关9.9.9.254
基本部署完成后开始部署生成树
华为默认为MSTP
要求vlan10、30的流量走LSW1,并且LSW1作为主根,LSW2作为备份根
vlan20、40走LSW2
stp region-configuration
instance 10 vlan 10 30
instance 20 vlan 20 40
active region-configuration 激活
stp instance 10 root primary
stp instance 20 root secondary
在两个三层交换机上创建vlanif接口:LSW1上是192.168.X.1/24 LSW2上是192.168.X.2/24
Vlanif10 192.168.10.1/24
Vlanif20 192.168.20.1/24
Vlanif30 192.168.30.1/24
Vlanif40 192.168.40.1/24
配置vlanif的虚拟IP地址:
命令:
interface vlanif 40
vrrp vrid 40 virtual-ip 192.168.40.254
Vlanif10 192.168.10.254
Vlanif20 192.168.20.254
Vlanif30 192.168.30.254
Vlanif40 192.168.40.254
注:上述配置在LSW1、LSW2上都做
在LSW1上并将vlan10、30的优先级修改大
vrrp vrid 10/30 priority 105
在LSW2上将vlan20/40的优先级修改大
vrrp vrid 20/40 priority 105
此时display vrrp brief查看状态
部署路由
部署ospf协议(LSW1、LSW2、LSW5、AR1上部署)
注:vlanif在宣告时既可以
network 192.168.10.1 0.0.0.0
也可以将将网段宣告:
10 00001010————00101————00001010————0不变,不相同位变为1————00111110
20 00010100————01010————00010100——————————————————————————00111110
30 00011110————01111————00011110—————————————————————————— 00111110
40 00101000————10100————00101000——————————————————————————00111110
故应为192.168.0.1 0011110变为10进制为62
network 192.168.0.1 0.0.62.0
注:华为平台不支持此类方式,作为练习即可,真机可以
z在两个核心交换机上不用vlanif建立邻居,故可以静默掉
silent-interface Vlanif 10/20/30/40
注:vlanif 900 不能silent 900
在总部发布一条默认路由:
default-route-advertise
全局部署DHCP
G0/0/0接口上调用全局
dhcp select global
在核心交换机上必须开启DHCP中继,否则主机无法学到IP地址
dhcp enable
进入vlanif接口:dhcp select relay
dhcp relay server-ip 172.16.100.100
注:两个核心交换机上的所有vlanif接口都要做
现在主机无法ping同外网的互联网主机8.8.8.8
需要做NAT地址转换
在总部的g1/0/0接口上抓取所有流量,将该接口作为转换后的接口即可
acl 2000
rule permit
进入g1/0/0接口:
nat outbound 2000
此时也无法ping通qq.com,是因为总部未开启DNS解析功能
dns-server 202.96.134.133
dns resolve
注:多测试几次看能否ping通qq.com
以上总部的所有配置基本完成,现在对BJ和GZ分支进行配置,并且打通总部、BJ、GZ之间的VPN
在BJ分支上:
对BJ-VPN的接口配置IP地址,并写上一条静态路由
g0/0/0 101.1.1.1/24
g0/0/1 192.168.80.254/24
两台主机上配置 192.168.80.100/24 网关192.168.80.254
192.168.80.101/24 网关192.168.80.254
此时保证内网用户能够上网:
在BJ-VPN上做nat地址转换:
acl 2000
rule permit source 192.168.0.0 0.0.255.255
进g0/0/0接口:
nat outbound 2000
配置好主机地址、网关和DNS地址即可
此时做与总部的VPN
使用GRE协议,并且使用静态将路由引入到Tunnel口中
总部:ip route-static 192.168.80.0 24 tunnel 0/0/0
BJ-VPN:ip route-static 192.168.0.0 16 tunnel 0/0/0
此时双方主机能互相访问
但分支无法访问总部的server,原因在于,分支的主机路由在BJ-VPN上查找目的ip地址,发现没有明细路由,就会使用8个0的默认路由,经过Internet后发送到了公网中,公网也没有路由就会将数据包丢弃
所以应该在BJ-VPN上做引流,使其能够走VPN隧道
ip route-static 172.16.101.100 32 tunnel 0/0/0
此时查看在总部有没有去往192.168.80.0的路由,之前配置过。
此时,BJ-VPN分支就全部完成
在GZ分支上:
和BJ配置完全一样
注:此时就存在一个问题,如果有1000个分支,那么你的VPN隧道该如何设置呢,此时GRE的缺陷就显示出来了。
你可以试着用IPSec VPN来对总部和GZ进行配置
这里就不详细介绍