目录
某大学网络规划与部署
第一章项目概述
1.1 项目背景
1.2 网络需求分析
第二章网络总体设计方案
2.1 网络整体架构
2.2 网络设计思路
第三章 网络技术应用
3.1 DHCP
3.2 MSTP
3.3 VRRP
3.4 OSPF
3.5 VLAN
3.6 NAT
3.7 WLAN
3.8 ACL
3.9 链路聚合
4.1 接入层设备选型
4.2 汇聚层设备选型
4.3 核心层设备选型
4.4 无线设备选型
第六章附件
汇聚核心层配置(路由器)
汇聚核心层配置(交换机)
Ip地址规划
汇聚核心层配置(路由器)
汇聚核心层配置(交换机)
第一章项目概述
1.1 项目背景
该学校位于深圳在北京,上海都有分校,中间通过运营商通信。是一所市示范性大学,现深圳占地102 亩北京70亩,上海80亩,建筑面积有25000 平方米,学校投入大量资金,兴建了田 径场,男生公寓,女生公寓, IC 卡食堂,两栋教职工宿舍,两栋教学大楼,行 政办公楼。学校形成了生活区域,教学区域,运动区域三区分立的格局。由于 校园面积占用大,而且不集中,导致网络无法全面覆盖,有些地方无法提供上 网等服务。还有现在随着信息科学技术的不断发展,无线网络发展迅速,计划 将无线网络引入校园网络中,配合有线网络进一步满足广大师生的网络需求, 提高学校的信息交流功能,使师生们能充分的利用 Internet 上的教学资源,提 高老师们的教学能力和学生的整体水平能力。为了满足当前网络需求去扩展校 园网,重新为学校设计了网络规划和部署方案,以次来解决网络拥堵,速率慢 等问题,加快日常办公效率,提高网络覆盖面积,现对校园网络进行了详细的规划和部署,并作出如下设计。
1.2 网络需求分析
校园网作为学校的重要教学资源。通过校园网的服务,老师们能快速的查 询和利用网络上的资源,为其教学和备课做好准备。学生们能通过校园网浏览 下载网上的学习资料和学习材料。办公人员能通过校园网提高办公效率,提高 为全校师生服务的质量口。本方案的设计目标就是建立一个高性能,高可靠性, 可管理性,灵活性,可扩充性,实用性强的校园网络。使网络信号可以覆盖到整个校园环境中,为教师和学生们提供一个高质量的网络服务。1.提供 DHCP 服务,使学校师生上网时能自动获取 IP 地址,连入网络,去进行网络冲浪。2.建立高可靠的设备冗余,链路冗余,单板冗余,防止局部网络故障时能继续保障网络的连通性3.学校各个部门能够相互通信访问,除了行政办公楼pc4不能与服务器互访,实现校园内资源共享。4.各个楼中装有无线AP, 为全校师生提供无线服务,通过连接WIFI 来提供上网服务
第二章网络总体设计方案
2.1 网络整体架构
详细网络拓扑结构如图2-1所示:
图2-1 网络拓扑图
深圳校区
在此校园网络接入层中, PC1 代表博志楼属于VLAN10;PC2 代表笃学楼属于 VLAN20;PC3 代表宿舍楼属于VLAN30;PC4 代表图书馆属于VLAN40;PC5 代表 体 育 馆 属 于VLAN50;PC6 代表行政办公楼属于VLAN60;STA1-6 为各楼的无线终 端设备;接入层交换机和主机 PC 之间的互联端口配置为 acesss, 划分相应的 VLAN。在汇聚层中,将各汇聚交换机与接入层和核心层的交换机的互联端口配 置为 trunk, 允许放行所有 VLAN; 在核心层中,核心层交换机和汇聚层交换机之 间运行MSTP与ac之间也运行mstp, 两台核心层交换机运行VRRP 和链路聚合(这里要注意的是不仅仅是有线部分的备份无线部分也要备份)。在两台核心交换机和路由器之间运行 OSPF; 在核心路由器上运行 DHCP, 配置地址池(注意排除地址,你虚拟网关的地址要排除,避免地址冲突); 在WLAN中 ,AC 和 AP之间的配置管理使用的是VLAN100,AP和无线终端之间的业务使用的是VLAN102;在出口方面,配置默认路由和 NAT 策略。PC7 为公网上的主机用户,client3为互联网www主机。
北京校区
Pc5为学校办公楼,pc10为学生宿舍等其他,client1为客户机访问深圳的服务器。
在路由器出口采用的nat地址转换。路由器上部署dhcp服务器,并且划分子接口用来给各个pc划分ip地址。
上海校区
Pc5为图书馆,client2用来访问外部服务器,以及sta1和sta2分别是教学楼和宿舍楼。Ac采用三层组网,dhcp部署在路由器上面。
2.2 网络设计思路
1.各楼中搭建无线接入点,为其提供无线上网服务(以及深圳和上海校区)。
2.核心层交换机之间进行链路聚合和 VRRP, 提高网络带宽和实现链路冗余。3.在出口路由器上搭建NAT, 实现内网访问外网,做nat server实现内网服务器能够映射在公网 。4.采用高级ACL, 实现pc4不能与深圳内部服务器互访,提高安全性。5.核心层使用 OSPF 动态路由协议,提高网络效率和链路冗余。6.在核心路由器配置DHCP 服务器,使用户能动态获取 IP 地址以及无线。7.使用MAC地址与交换机绑定,提高服务器的安全性。8.核心层和汇聚层交换机运行MSTP, 实现 VLAN间数据流量的负载均衡。上海和北京分部总体规划一致(dhcp部署在路由器上面,但是由于占地面积不大所以采用的子接口来自动规划ip)
vlan10 属于 10.1.10.0/24 vlan20 属于 10.1.20.0/24,vlan30 属于 10.1.30.0/24, vlan40 属于 10.1.40.0/24。所有 pc 都通过 dhcp 获得地址。dhcp 服务器部署在 AR1 上,DHCP基于全局地址池方式配置,LSW1、LSW2 上做 DHCP 中继。
2.3 VLAN 及 IP 地址规划1.学校各部门网段及VLAN 规划学校各部门IP 地址范围,默认网关, VLAN划分如表2-1 所示
深圳ip地址规划
设备 | 接口 | IP地址 | 网关 | 部门 |
深圳S1 | Vlanif10 | 10.1.1.1/27 | 10.1.1.30/27 | 深圳 |
深圳S1 | Vlanif20 | 10.1.1.33/27 | 10.1.1.62/27 | 深圳 |
深圳S1 | Vlanif30 | 10.1.1.65/27 | 10.1.1.94/27 | 深圳 |
深圳S1 | Vlanif40 | 10.1.1.97/27 | 10.1.1.126/27 | 深圳 |
深圳S1 | Vlanif100 | 10.1.100.253/24 | 10.1.100.254/24 | 深圳 |
深圳S1 | Vlanof102 | 10.1.102.253/24 | 10.1.102.254/24 | 深圳 |
深圳S1 | Vlanif200 | 深圳 | ||
深圳S1 | Vlanif300 | 10.1.1.130/27 | 深圳 | |
深圳S2 | Vlanif10 | 10.1.1.2/27 | 10.1.1.30/27 | 深圳 |
深圳S2 | Vlanif20 | 10.1.1.34/27 | 10.1.1.62/27 | 深圳 |
深圳S2 | Vlanif30 | 10.1.1.66/27 | 10.1.1.94/27 | 深圳 |
深圳S2 | Vlanif40 | 10.1.1.98/27 | 10.1.1.126/27 | 深圳 |
深圳S2 | Vlanif100 | 10.1.100.252/24 | 10.1.100.254/24 | 深圳 |
深圳S2 | Vlanof102 | 10.1.102.252/24 | 10.1.102.254/24 | 深圳 |
深圳S2 | Vlanif200 | 10.1.1.162/27 | 深圳 | |
深圳DHCP | GigabitEthernet0/0/0 | 10.1.1.129/27 | 深圳 | |
深圳DHCP | GigabitEthernet0/0/1 | 10.1.1.161/27 | 深圳 | |
深圳DHCP | GigabitEthernet0/0/2 | 10.1.80.254/24 | 深圳 | |
深圳DHCP | GigabitEthernet1/0/0 | Diall 0 | 深圳 | |
深圳AC | Vlanif100 | 10.1.100.1/24 | 深圳 | |
深圳AC | Vlanof102 | 10.1.102.1/24 | 深圳 |
北京ip地址规划
设备 | 接口 | IP地址 | 网关 | 部门 |
北京DHCP | GigabitEthernet0/0/1.1 | 10.1.10.254/24 | 北京 | |
北京DHCP | GigabitEthernet0/0/1.2 | 10.1.20.254/24 | 北京 |
上海ip地址规划
设备 | VLAN | IP地址 | 网关 | 部门 |
上海DHCP | GigabitEthernet0/0/1.1 | 10.1.101.254/24 | 上海 | |
上海DHCP | GigabitEthernet0/0/1.2 | 10.1.102.254/24 | 上海 | |
上海DHCP | GigabitEthernet0/0/1.3 | 10.1.100.2/24 | 上海 | |
上海DHCP | GigabitEthernet0/0/1.10 | 10.1.10.254/24 | 上海 | |
上海DHCP | Serial4/0/1 | 100.1.1.42/28 | 上海 | |
上海AC | Vlanif1 | 192.168.169.2/8 | 上海 | |
上海AC | Vlanif100 | 10.1.100.1/8 | 上海 |
第三章 网络技术应用
3.1 DHCP
DHCP全名为动态主机配置协议,其是一种用于集中对用户IP 地址进行动态管理和配置的协议,DHCP 采用 C/S(Client/Server) 架构,用户主机不需要配置IP 地址,而是直接从服务器获取 IP 地址,接入网络后就可以使用; DHCP 相 较于手工配置而言,其效率很高,不需要手工一台一台配置, DHCP 的灵活性很 高,能统一分配管理,另外 DHCP 分配的 IP 地址是有租期的,使得其能有效提 高地址的利用率。在核心路由器 shenzhenR1 上创建地址池 VLAN10,VLAN20,VLAN30, vlan40,vlan100,vlan101地 址 范 围 分 别 为10.1.1.1/27,10.1.1.33/27,10.1.1.65/27,10.1.1.97/27,10.1.100.253/24,10.1.102.253/24在 VLANIF10,20,30,40,100 101接口启动基于全局地址池的DHCP 功能,在核心交换机shenzhenS1 上开启 DHCP功 能 , 在VLANIF10,20,30 ,100,40,101接口开启 DHCP中继功能,指明 DHCP服 务器的 IP 地址10.1.1.129/27,主要为VLAN10,20,30 ,40的用户分配 IP 地址;在核心交换机 shenzhenS2 上开启DHCP 功 能 ,在 VLANIF10,20,30 接口开启 DHCP 中继功能,指明 DHCP 服务器的 IP 地址 10.0.45.4/24,主要为VLAN40,50,60 的用户分配IP 地址;当其中一台DHCP服 务器出现故障时,另一台能够继续替代其工作,这样减轻了核心交换机一部分 压力,利于网络更加稳定。为AP分配地址范围为10.1.100.2~10.1.100.254/24的 IP 地址,在 核心交换机 shenzhenS1 上的VLANIF100 接口上启动基于全局的 DHCP 功能,为无线用户分配地址范围为10.1.102.1~10.1.102.254/24的 IP 地址。在路由器的出接口部署pppoe协议,上内网的主机能够访问各个校区的主机。
在北京分校区上配置子接口,给各个部门分配地址,在出口配置ppp协议动态获取ip地址,自动协商,并且采用nat地址转换,能让北京校区的各个主机能访问深圳校区和上海校区
在上海分校区上配置子接口通往ac以及子接口的各个网段,这里上海校区采用的ac是三层组网的方式,dhcp部署在路由器上面,ap和sta的地址采用的是接口地址池的方式给各个主机分配ip地址。在出口部署专线上网,并且部署nat地址转换能让上海校区访问其他校区的ip地址。
3.2 MSTP
MSTP 全名为多生成树协议, MSTP 弥补了 STP 和 RSTP 的缺陷,在 STP 和 RSTP中,网络中只有一棵生成树,导致所有的VLAN只能共享一棵树,造成数据 流量无法负载均衡,链路带宽利用率低,设备资源的利用率低,还会导致次优 路径的产生。MSTP 可以快速收敛,提供了多条备份链路,实现了数据的负载均 衡。在两台核心交换机shenzhneS1,shenzhneS2 和两台台汇聚交换机shanghais3,shaghais4以及ac 上 运行MSTP, 配置MSTP 域名lwh, 将VLAN10,20,100,101映射到实例1上,配置实例1 的根桥为 shanghaiS1, 备份根桥为 shanghaiS2, 根据选举规则,汇聚交换机shanghais3,shaghais4 与 shenzhens2 到shenzhenS1 的根路径开销一样,然后比较桥 ID, 因 为 shenzhenS2 为备份根桥,所以 shenzhenS2 与汇聚交换机互联的三个端口成为指定 端口,进入转发模式,而汇聚交换机与 shenzhenS2 互联的的端口GO/0/6 会被成为 替代端口,会被阻塞掉,VLAN10,20,30,100,101 的数据通过核心交换机 shenzhen S1转发; VLAN 40 30,映射到实例2上,配置实例2的根桥为shenzhen S2,备份根桥为 shenzhenS1, 根据选举规则,汇聚交换机 数据通过核心交换机shenzhenS2 转发;通过配置MSTP实现VLAN数据的负载均衡,使整体网络更加稳定。
3.3 VRRP
VRRP全名为虚拟路由器冗余协议,是一种在部署冗余网关时最常用的FHRP (第一跳冗余协议)。VRRP 是一种容错协议,通过将几台物理路由设备虚拟化 为一台路由设备,当主机的下一跳设备出现问题时能自动切换到另外一台工作 正常的备份设备上进行数据业务的转发,实现网关冗余,保障通信的可靠性回; 在两台核心交换机上部署VRRP,在核心交换机shenzhenS1 上,进入VLANIF10,20,100,101 接口配置 VRRP 组 VRRP1,VRRP2,VRRP3 ,VRRP4 的优先级为110,使其成为主用设备, VRRP 组 VRRP4,VRRP5 优先级不变,默认100,成为备用设备;在核心交 换机shenzhenS2 上,进入VLANIF40,50接口配置VRRP组 VRRP4,VRRP5 的 优先级为120,使其成为主用设备,VRRP组 VRRP1,VRRP2,VRRP3,VRRP4 成为备用设备; 主用出现故障时,备用会替代主用成为新的主用设备;通过优先级的大小选举 主备,优先级大的自然成为主,相同时则比较接口IP 地址大小,大者优先。还可以跟踪上行链路,当主用设备上行链路出现故障时可以减小设备的优先级,使其优先级低于备用设备,备用立即成为主用转发数据,保障网络的连续性。
3.4 OSPF
OSPF 全名为开放式最短路径优先协议,它是一种基于链路状态的内部网关 路由协议,可以在网络拓扑和链路状态发生变化时,自动的去收敛网络,根据 SPF 算法自动的去计算出无环的路径,其多区域的规划使得 OSPF 能够支持更大 规模的网络。在本校园网络核心层中使用OSPF 动态路由协议,提高数据流量传 输速率。在两台核心交换机和两台核心路由器和防火墙之间运行 OSPF 协议,实现路由互通。将两台核心交换机 shenzhenS1,shenzhenS2, 核心路由器 shenzheR1之间划分为骨干区域 area0, 三台核心层设备间的互联链路属于骨 干区域area0 。 两台核心路由器shenzhenR1上引入一条外部默认路由,使得用户去访问外网时路由可达。
3.5 VLAN
VLAN 全名为虚拟局域网,将一个物理的局域网在逻辑层面上划分为多个广 播域,使得在同一个 VLAN 里面的主机可以相互通信,而不同的 VLAN 间的主机 就被相互隔离,不能通信。这种技术能有效缩小广播域规模,提高通信效率, 提高网络的整体性能”,还可以保证各部门的独立和安全。在本校园网络方案 中将博志楼划分为VLAN10, 笃学楼楼划分为VLAN20, 宿舍楼划分为VLAN30,体育 馆划分为 VLAN40, 图书馆划分为 VLAN50,行政办公楼划分为 VLAN60, 创建 VLAN100 负责无线控制器AC 和无线接入点AP之间隧道转发数据,创建 VLAN101负责无线终端用户数据传递上网。将接入交换机shenzhens4和shenzhens5 与终端用户 PC1-5 互联 的端口工作模式设置为access 模式,并且划入对应VLAN; 接入交换机和汇聚交 换机之间的互联端口配置为 trunk 模式,允许所有 VLAN 通过;汇聚交换机和核 心交换机之间的互联端口配置为 trunk 模式,允许所有 VLAN 通过;汇聚层交换机与AP 互联的端口配置PVID为 VLAN100, 用于准确获取到AC 上 VLANIF101 基于全局的DHCP 分配的IP 地址;在两台核心交换机创建VLAN 200 和300 配置VLANIF接 口IP 地址,用于与路由器互联
3.6 NAT
NAT 全名为网络地址转换, NAT 技术是将内部私有网络地址转换成合法的外 部公有网络地址的技术,实现私有网络和公有网络中资源的互访, NAT 技术能 有效的缓解 IPV4 地址不够用的问题,也能让外网无法与使用私有 IP 地址的内 网进行通信,可以提高内网的安全,还能提供一定的安全访问功能。在本校园 网络方案中,使用的是NAT技术中的一种为NAPT的技术,首先建立一个公有IP地址池,池中有两个公有 IP 地址100.1.1.4和100.1.1.5,学院内网用户去访
问外网时,会选择一个地址池中的地址,同时转换 IP, 端口,不仅可以实现 IP 地址的转换,还可以转换端口号(1024-65535),实现公有 IP 地址与私有 IP 地 址的1: n 映射,使得地址映射关系数量很多,可以大大提高地址使用率,学校内部主机用户使用转换后的公网 IP 地址去访问外网。
3.7 WLAN
WLAN 全名为无线局域网,是指通过无线技术构建的无线局域网络,无线网 络与有线网络最大的不同就在于传输介质不一样,无线网络以无线电技术取代 了网线。无线网络的灵活性高,使用无线信号进行网络通信,只要有信号就可 以接入网络;其可扩展性较有线来说很高,可以使多个无线终端同时一起接 入网络中,而有线网络, 一个端口只能接入一个设备,无线网络优势更加的明 显。加之现在5G 技术的到来,推进新一代信息网络技术广泛运用。无线网络规 模将持续扩大。在本校园网络方案中,搭建一个无线局域网,为全校师生提供 无线 WIFI 服务,创建两个VLAN,VLAN100 为管理 VLAN, 负责无线控制器 AC 和 无线接入点AP之间隧道转发数据, VLAN101 为业务VLAN, 负责无线终端用户数 据传递上网。首先在AC上部署DHCP, 为 AP分配 IP 地址,AP获取到IP 地址, 发现 AC后通过CAPWAP隧道与AC建立连接; AC将WLAN业务配置下发到AP上; 无线用户通过搜索无线网络 SSID 名为 shenzhen, 通过认证后,核心交换机 shenzhen-S1为其分配IP 地址;最后通过CAPWAP隧道转发或者直接转发用户上网业务数据。
3.8 ACL
ACL 全名为访问控制列表,ACL 是一种网络安全技术。是由一系列规则组成 集合, ACL 通过这些规则对报文进行分类,使得设备可以对不同类型的报文进 行不一样的处理。 一条ACL由若干条permit 或 deny 语句组成。ACL又分几种, 有基本 ACL,高 级ACL,二层 ACL,还有用户自定义ACL。 在本校园网络方案中,使 用的是高级ACL, 在shenzhendhcp这台路由器上面配置acl,首先配置pc4不能访问服务器,做acl deny掉pc4的流量,然后运用太去往服务器的出接口。第二个acl是做nat允许内网的所有流量访问外网,在出接口的dialr0口配置easyip。
3.9 链路聚合
以太网链路聚合是指通过将多个物理接口聚成一个逻辑接口,有效增加了 链路带宽,使得链路间带宽都能用来转发设备之间的数据流量,提高了传输速 率,还有效提高了设备间的链路的可靠性,实现了端口和链路双层面的冗余, 在本方案中,在核心交换机之间配置链路聚合,创建聚合组,将两端互联端口 GO/0/21到 GO/0/24 加入到组中,配置模式为 LACP 模式,在shenzhenS1 上配置系统 LACP优先级10000,默认值为32768,数值越低,优先级越高,使shenzhenS1 成为主动端,将Eth-Trunk 端口工作模式配置为 Trunk, 允许放行所以VLAN通过。
- 网络设备选型
4.1 接入层设备选型
接入层位于网络三层架构中的最底层,接入层交换机是直接面向用户连接 的,其目的是允许终端用户连接到网络,具有低成本和高端口密度特性,适用广泛,所以对其性能要求不高,选用的接入层交换机如下图3-1所示:
图3-1 接入层交换机交换机详细参数如下表3-1所示:表3-1接入层交换机详细参数
交换容量 | 64Gbps | |||
包转发率 | S3700-28TP-SI-AC:14.1MppSS3700-52P-SI-AC:17.7Mpps | |||
端口描述 | 下行24个或者48个百兆端口上行4个千兆端口 | |||
可靠性 | 支持RRPP/Smart-Link/智能以太保护SEP | |||
IP路由 | 静态路由,RIP v1/v2,ECMP | |||
IPv6特性 | 支持ND支持PMTU支持IPv6 Ping,IPv6 Tracert,IPv6 Telnet 支持手动配置Tunne1支持6to4 tunnel支持基于源IPv6地址,目的IPv6地址,TCP/UDP协 议端口号,协议类型等ACL | |||
接入和安全特性 | 支持防止DOS,ARP攻击,ICMP防攻击功能支持IP,MAC,端口,VLAN的组合绑定支持端口隔离,端口安全,Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证,支持单端口最大用户数限制 支持AAA认证,支持Radius,HWTACACS支持SSH V2.0支持CPU保护功能支持黑名单和白名单支持DHCP Server,DHCP Relay,DHCP Snooping,DHCP Security | |||
管理和维护 | 支持智能堆叠支持Telnet远程配置和维护支持SSH V2支持SNMP v1/v2/v3;支持RMON支持MUX VLAN特性;支持GVRP协议 | |||
支持eSught 网管系统,支持WEB管理特性 | ||||
台数 | 5台 |
4.2 汇聚层设备选型
汇聚层位于接入层和核心层之间,发挥着承上启下的作用,要处理接入层 传上来的数据流量,又要将数据传输到核心层,汇聚层交换机是多台接入层交 换机的汇聚点,所以其性能要比接入交换机强,处理速度要较快。选用的汇聚层交换机如下图所示:
图3- 2 汇聚层交换机
交换机详细参数如下表3-1所示:表3-2 汇聚层交换机详细参数
交换容量 | 256Gbps |
包转发率 | 66Mpps |
固定端口 | 12x10/100/1000BASE-T,12x100/1000Base- X,2x10GE SFP+ |
MAC地址表 | 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态,动态,黑洞MAC表项支持源MAC地址过滤MAC地址容量:16K |
IP路由 | 静态路由支持三层动态路由 |
VLAN特性 | 支持4K个VLAN支持SuperVLAN支持MUX VLAN功能 支持基于MAC/协议/IP子网/策略/端口的 VLAN |
环网保护技术 | 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例,提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持BPDU保护,根保护和环回保护 |
接入安全 | 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security ,SAVI等 |
管理和维护 | 支持eSight网管系统,支持WEB网管 支持自动配置,Easy Operation方案 |
支持SNMP v1/v2/v3支持系统日志,分级告警 | |
可靠性 | 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACF |
台数 | 2 |
4.3 核心层设备选型
核心层处于网络三层架构中的最上层,也是最重要最核心的部分,核心层 是整个网络的高速交换主干,所有要出内网的数据流量都必须经过核心层,所 以对其设备要求很高,必须要有很快的处理能力,非常快的转发速率,高带宽, 还需要有高可靠性,保障设备出现故障时不影响正常的转发,也能防止设备压力过大而导致的设备故障问题。核心交换机产品图如下图所示:
图3-3 核心交换机产品图
核心交换机详细参数如表3-3所示:表3-3核心交换机详细参数
交换容量 | 416Gbps |
包转发率 | 156Mpps |
固定端口 | 12x10/100/1000BASE-T,4个复用的千兆SFP端 口,4x10GE SFP+ |
扩展插槽 | 提供两个扩展插槽,支持上行插卡 |
MAC地址表 | 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态,动态,黑洞MAC表项支持源MAC地址过滤MAC地址容量:32K |
IP路由 | 静态路由支持三层动态路由 |
VLAN特性 | 支持4K个VLAN支持Guest VLAN ,Voice VLAN支持Super VLAN支持MUX VLAN功能 |
支持GVRP协议 支持基于MAC/协议/IP子网/策略/端口的 VLAN | |
环网保护技术 | 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例,提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持ERPS以太保护协议支持智能以太保护SEP协议支持BPDU保护,根保护和环回保护 支持BPDU Tunne] |
接入安全 | 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security,SAVI等 |
管理和维护 | 支持eSight网管系统,支持WEB网管 支持自动配置,Easy Operation方案 支持SNMP v1/v2/v3支持系统日志,分级告警支持HTTPS支持RMON支持sFlow支持NetStream支持智能堆叠 |
可靠性 | 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACP支持BFD For OSPF/ISIS/VRRP/PIM协议 |
如下图3-4核心路由器产品图所示:
图3 - 4核心路由器产品图
核心路由器详细参数如下表3-4所示表3-4核心路由器详细参数
处理器 | ARM644核 |
转发性能 | 9Mpps-40Mpps |
整机交换容量 | 20Gbps-80Gbps |
固定WAN接口 | 1*GE Combo+1*GE电+1*10GE光 |
固定LAN接口 | 8*GE电 |
SCI插槽 | 2 |
WSIC插槽(默认/最大) | 0/1 |
5G | 支持5G-SIC业务板卡 |
串行辅助/控制台端口 | 1*RJ45 Console串口 |
USB接口 | 2*USB |
内存 | 2GB |
Flash | 1GB/512M |
热插拔 | 支持 |
台数 | 5 |
4.4 无线设备选型
如下图3 - 6无线接入控制器产品图所示:
图3-6无线接入控制器产品图
无线接入控制器参数如下表3-6所示:表3-6无线接入控制器参数
端口 | 12xGE+12x10GE+2x40GE |
电源 | AC/AD |
转发模式 | 直接转发和隧道转发 |
隧道转发 | 120Gbps |
直接转发 | 120Gbps |
最大可管理AP数量 | 6144 |
最大可接入用户数 | 65536 |
AP和AC间组网方式 | L2/L3层网络拓扑 |
AC冗余备份 | 1+1热备/N+1备份方式 |
无线协议 | 802.1la/b/g/n/ac wave2/ax |
台数 | 2 |
如下图3-7无线接入点产品图所示:
图3-7无线接入点产品图
无线接入点产品详细参数如下表3-7所示:表3-7无线接入点产品详细参数
尺寸 | 220mm x 220mm x 47mm |
电源输入 | DC:12V±10% |
最大功耗 | 19.3W |
用户数 | 小于768 |
工作温度 | -10°C~+50°C |
天线类型 | 自适应阵列天线 |
最高速率 | 3Gbps |
无线协议 | 802.1la/b/g/n/ac/ac wave2 |
最大发射功率 | 2.4GHz:23dBm5GHz-0:24dBm5GHz-1:27dBm |
台数 | 2 |
第六章附件
汇聚核心层配置(路由器)
北京
[V200R003C00]
#
sysname Beijing
#
acl number 3000 //创建高级acl
rule 5 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过
rule 10 permit ip source 10.1.20.0 0.0.0.255 //允许来自10.1.20.0/24网段的IP报文通过
#
aaa //aaa认证
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0 //进入Serial 4/0/0视图
link-protocol ppp //配置接口链路层协议
#
interface Serial4/0/1
link-protocol ppp //配置接口链路层协议
ppp chap user client // 配置chap验证用户名client
ppp chap password cipher %$%$-/R*TvC1NU*bgT"nPFk5,(W3%$%$ //创建chap用户密码
ip address ppp-negotiate //允许接口进行ip地址协商
nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/1.1
dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.10.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.2
dot1q termination vid 20 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.20.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
ISP
[V200R003C00]
#
sysname ISP
#
ip pool ISP //IP地址池名称
gateway-list 100.1.1.6 //网关
network 100.1.1.0 mask 255.255.255.248 //地址池网段范围
dns-list 114.114.114.114 //dns地址
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
local-user client password cipher %$%$+4'i0<G'u9qi*'3s;Dp~G@9{%$%$ //创建本地用户client
local-user client service-type ppp //配置用户client的接入类型为http
#
interface Virtual-Template1 //创建VT
ppp authentication-mode pap //ppp认证模式为pap认证
remote address pool ISP //为远程PPP客户端分配ISP地址池的IP地址
ip address 100.1.1.6 255.255.255.248 //设置VT IP地址为网关地址
#
interface GigabitEthernet0/0/0
ip address 100.1.1.9 255.255.255.248
#
interface GigabitEthernet0/0/1
pppoe-server bind Virtual-Template 1 //在此接口启用pppoe功能
#
ospf 1
default-route-advertise always type 2 //下放默认路由
area 0.0.0.0
network 100.1.1.0 0.0.0.7 //ospf宣告直连网段
network 100.1.1.8 0.0.0.7
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.10 //配置静态路由
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
ISP2
[V200R003C00]
#
sysname ISP2
#
dhcp enable //启用dhcp服务
#
ip pool Beijing
gateway-list 100.1.1.38 //ip地址池网关配置
network 100.1.1.32 mask 255.255.255.248 //地址池网段配置
dns-list 114.114.114.114 //dns地址配置
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
local-user client password cipher %$%$+4'i0<G'u9qi*'3s;Dp~G@9{%$%$ //创建本地用户client
local-user client service-type ppp //配置用户client的接入类型为http
#
interface Serial4/0/0
link-protocol ppp //配置接口链路层协议
ip address 100.1.1.41 255.255.255.248
#
interface Serial4/0/1
link-protocol ppp //配置接口链路层协议
ppp authentication-mode chap //ppp认证模式为chap认证
remote address 100.1.1.34 //为远程PPP客户端分配此ip
ip address 100.1.1.33 255.255.255.248
#
interface Virtual-Template1 //创建vt
ppp authentication-mode chap //ppp认证模式为chap认证
remote address pool Beijing /为远程PPP客户端分配Beijing地址池的IP地址
#
interface GigabitEthernet0/0/0
ip address 100.1.1.10 255.255.255.248
#
interface GigabitEthernet2/0/0
ip address 100.1.1.25 255.255.255.248
#
interface GigabitEthernet2/0/1
ip address 100.1.1.17 255.255.255.248
dhcp select interface //开启dhcp接口地址池服务
#
ospf 1
area 0.0.0.0 //ospf宣告直连网段
network 100.1.1.8 0.0.0.7
network 100.1.1.16 0.0.0.7
network 100.1.1.24 0.0.0.7
network 100.1.1.40 0.0.0.7
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
上海
[V200R003C00]
#
sysname Shanghai
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl
rule 5 permit ip source 10.1.102.0 0.0.0.255 //允许来自10.1.102.0/24网段的IP报文通过
rule 10 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过
#
ip pool ap
gateway-list 10.1.101.254 //地址池网关配置
network 10.1.101.0 mask 255.255.255.0 //地址池可分配ip网段设置
option 43 sub-option 3 ascii 10.1.100.1
#
ip pool STA
gateway-list 10.1.102.254 //地址池网关配置
network 10.1.102.0 mask 255.255.255.0 //地址池可分配ip网段设置
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0
link-protocol ppp //配置接口链路层协议
ip address 100.1.1.42 255.255.255.248
nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface Serial4/0/1
link-protocol ppp //配置接口链路层协议
#
interface GigabitEthernet0/0/1.1
dot1q termination vid 101 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.101.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.2
dot1q termination vid 102 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.102.254 255.255.255.248
arp broadcast enable //终结子接口的ARP广播
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.3
dot1q termination vid 100 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.100.2 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.10
dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.10.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
ospf 1
area 0.0.0.0
network 10.1.100.0 0.0.0.255 //ospf宣告直连网段
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
深圳
[V200R003C00]
#
sysname r1
#
vlan batch 102
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl 3000
rule 10 permit ip source 10.1.0.0 0.0.255.255 //允许来自10.1.0.0/16网段的IP报文通过
acl number 3001 //创建高级acl 3001
rule 5 deny ip source 10.1.1.96 0.0.0.31 destination 10.1.80.0 0.0.0.255 //允许来自10.1.80.0/24网段的IP报文通过
#
ip pool vlan10
gateway-list 10.1.1.30 //设置网关
network 10.1.1.0 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.1 10.1.1.2 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan20
gateway-list 10.1.1.62 //设置网关
network 10.1.1.32 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.33 10.1.1.34 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan30
gateway-list 10.1.1.94 //设置网关
network 10.1.1.64 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.65 10.1.1.66 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan40
gateway-list 10.1.1.126 //设置网关
network 10.1.1.96 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.97 10.1.1.98 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan100
gateway-list 10.1.100.254 //设置网关
network 10.1.100.0 mask 255.255.255.0 //设置分配地址池网段
c
excluded-ip-address 10.1.100.100 //此ip地址不参与分配
#
ip pool vlan102
gateway-list 10.1.102.254 //网关配置
excluded-ip-address 10.1.102.254
network 10.1.102.0 mask 255.255.255.0 //设置分配地址网段
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户的接入类型为http
#
interface Dialer0
link-protocol ppp //配置接口链路层协议
ppp pap local-user client password cipher %$%$O"z)Pj[/N~>,&Z8:;q1K,*HJ%$%$ //指定被对端设备采用pap认证方式时发送的口令
ip address ppp-negotiate //允许接口进行IP地址协商
dialer user lwh
dialer bundle 1 //编号为1
nat server protocol tcp global 100.1.1.4 8080 inside 10.1.80.1 www
nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/0
ip address 10.1.1.129 255.255.255.224
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1
ip address 10.1.1.161 255.255.255.224
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet1/0/0
pppoe-client dial-bundle-number 1 //实现Dialer Bundle和物理接口的绑定 编号为1
#
ospf 1
area 0.0.0.0
network 10.1.1.128 0.0.0.31 //ospf宣告直连网段
network 10.1.1.160 0.0.0.31
network 10.1.80.0 0.0.0.255
汇聚核心层配置(交换机)
北京
#
sysname Huawei
#
vlan batch 10 20 //声明vlan 10 20
#
aaa
domain default_admin //创建默认认证方案
local-user admin password simple admin
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3
port link-type access //配置接口类型为access
port default vlan 20 //允许vlan20通过
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 //允许vlan10 20通过
上海s1
#
sysname Huawei
#
vlan batch 10 20 30 100 to 102 //声明vlan 10 20 30 100 102
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk pvid vlan 101 //经过此的报文加上vlan101标签
port trunk allow-pass vlan 101 to 102 //允许vlan101 102通过
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 100 to 102 //trunk接口加入vlan100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 100 //trunk接口加入vlan100
上海AC1
#
http server enable //http协议配置
#
ssl renegotiation-rate 1 //配置ssl连接重协商速率为缺省
#
vlan batch 100 to 102 //声明vlan 100 1.2
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
authentication-scheme radius
radius-server default
domain default_admin
authentication-scheme default
local-user admin password irreversible-cipher $1a$GI/`WWyZv)$NT^AUuVe*3)SNcQ$jE
7UVi>ZR7<'&Y=nC+V"y(9C$ //创建本地用户admin的密码
local-user admin privilege level 15 //配置用户admin的命令级别
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif1
ip address 192.168.169.2 255.255.255.0
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0 //vlanif接口配置
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 100 trunk接口加入vlan100
#
interface GigabitEthernet0/0/7
undo negotiation auto
duplex half //半双工模式
#
interface GigabitEthernet0/0/8
undo negotiation auto
duplex half //半双工模式
#
ospf 1
area 0.0.0.0 //ospf 宣告直连网段
network 10.1.100.0 0.0.0.255
#
capwap source ip-address 10.1.100.1 //指定AC的源IPv4地址
上海AC2
#
vlan batch 102 //声明vlan 102
#
interface GigabitEthernet0/0/0
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/1
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/2
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/3
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/4
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
深圳s1
#
sysname S1
#
vlan batch 10 20 30 40 100 102 200 300 //声明vlan 10 20 30 40 100 200 300
#
stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root primary
stp pathcost-standard legacy
#
dhcp enable //开启dhcp服务
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default //创建默认认证方案
domain default
domain default_admin
local-user admin password simple admin
//创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.224
vrrp vrid 1 virtual-ip 10.1.1.30 创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 1 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能
vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20
ip address 10.1.1.33 255.255.255.224
vrrp vrid 2 virtual-ip 10.1.1.62 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 2 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能
vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.201.2
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30
ip address 10.1.1.65 255.255.255.224
vrrp vrid 3 virtual-ip 10.1.1.94 /创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 3 priority 90 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40
ip address 10.1.1.97 255.255.255.224
vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 4 priority 90 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100
ip address 10.1.100.253 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 10 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 10 track interface GigabitEthernet0/0/3 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102
ip address 10.1.102.253 255.255.255.0
vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 12 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif300
ip address 10.1.1.130 255.255.255.224
#
interface Eth-Trunk1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan 10 20 30 40 100 102
mode lacp-static
max active-linknumber 2
#
interface GigabitEthernet0/0/1
port link-type access //配置接口类型为access
port default vlan 300 //配置接口的默认vlan 300
stp disable //禁用stp功能
#
interface GigabitEthernet0/0/2
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
interface GigabitEthernet0/0/21
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/23
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24
eth-trunk 1 //链路聚合
#
ospf 1
silent-interface Vlanif10
silent-interface Vlanif20
silent-interface Vlanif30
silent-interface Vlanif40
area 0.0.0.0
network 10.1.100.0 0.0.0.255
network 10.1.1.96 0.0.0.31
network 10.1.1.64 0.0.0.31
network 10.1.1.32 0.0.0.31
network 10.1.1.0 0.0.0.31
network 10.1.1.128 0.0.0.31
network 10.1.102.0 0.0.0.255 //ospf宣告直连网段
深圳s2
#
sysname S2
#
router id 2.2.2.2
#
vlan batch 10 20 30 40 100 102 200 //声明vlan 10 20 30 40 100 102 200
#
stp instance 1 root secondary
stp instance 2 root primary
stp instance 3 root secondary
stp pathcost-standard legacy
#
dhcp enable //配置dhcp服务
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin //创建默认认证方案
local-user admin password simple admin //创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.224
vrrp vrid 1 virtual-ip 10.1.1.30 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 1 priority 90 //配置在vrrp备份组的优先级
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30
vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20
ip address 10.1.1.34 255.255.255.224
vrrp vrid 2 virtual-ip 10.1.1.62 //VRRP通过监视接口的状态实现主备快速切换的功能
vrrp vrid 2 priority 90 //配置在vrrp备份组的优先级
vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30
vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30
ip address 10.1.1.66 255.255.255.224
vrrp vrid 3 virtual-ip 10.1.1.94 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 3 priority 110 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40
ip address 10.1.1.98 255.255.255.224
vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 4 priority 110 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100
ip address 10.1.100.252 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 10 priority 90 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102
ip address 10.1.102.252 255.255.255.0
vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 12 priority 90 //配置在vrrp备份组的优先级
vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.200.2
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif200
ip address 10.1.1.162 255.255.255.224
#
interface Eth-Trunk1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/1
port link-type access //配置接口类型为access
port default vlan 200 //缺省vlan为vlan200
stp disable //关闭stp功能
#
interface GigabitEthernet0/0/2
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/21
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40
#
interface GigabitEthernet0/0/23
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24
eth-trunk 1 //链路聚合
#
ospf 1
silent-interface Vlanif10
silent-interface Vlanif20
silent-interface Vlanif30
silent-interface Vlanif40
area 0.0.0.0
network 10.1.1.160 0.0.0.31
network 10.1.1.96 0.0.0.31
network 10.1.1.64 0.0.0.31
network 10.1.1.32 0.0.0.31
network 10.1.1.0 0.0.0.31
network 10.1.100.0 0.0.0.31
network 10.1.102.0 0.0.0.255 //ospf宣告直连网段
深圳s3
#
sysname S3
#
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40 100 102
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin //创建默认认证方案
local-user admin password simple admin //创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1
port link-type access //配置接口类型为access
port default vlan 10 //配置缺省vlan为10
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 20 //配置缺省vlan为20
#
interface Ethernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk pvid vlan 100 //配置缺省vlan为100
port trunk allow-pass vlan 100 102 //trunk接口加入vlan100 102
#
interface Ethernet0/0/4
port link-type access
port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
深圳s4
#
sysname S4
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40
100 102
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default //创建默认认证方案
domain default
domain default_admin
local-user admin password simple admin //创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1
port link-type access //配置接口类型为access
port default vlan 30 //配置缺省vlan为40
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 40 //配置缺省vlan为40
#
interface Ethernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk pvid vlan 100 //配置trunk接口的缺省vlan为100
port trunk allow-pass vlan 100 102 .//trunk接口加入vlan100 102
#
interface Ethernet0/0/4
port link-type access //配置接口类型为access
port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102
深圳AP1
#
ssl renegotiation-rate 1 //配置ssl连接重协商
#
vlan batch 100 102 //声明vlan100 102
#
stp enable //开启stp服务
#
dhcp enable //开启dhcp服务
#
aaa
local-user admin password irreversible-cipher $1a$'XvU%UC/J+$ShXGNfp-''CW#QW690
vW^H+{=ms:$#$0C!>vCxs~$ //创建用户admin的密码
local-user admin privilege level 15 //配置用户admin的命令等级
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface //配置dhcp接口地址池
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
capwap source ip-address 10.1.100.1
安全防护:
在深圳两台核心交换机上面启用dhcp snopping enable
进入相应的接口
[sw1]port-group group-member GigabitEthernet 0/0/21 to GigabitEthernet 0/0/22 #将G0/0/21~G0/0/22端口加入端口组
[sw1-port-group]dhcp snooping enable #批量开启端口snooping
[sw1
毕业设计类别 方案设计
湖南科技职业技术学院Hunan Vocational and Technical College of Science and Technology
某大学网络规划与部署
指导老师_
企业教师_
学生姓名 李伟豪
专业名称_
班级名称_
目录
第一章项目概述
1.1 项目背景
1.2 网络需求分析
第二章网络总体设计方案
2.1 网络整体架构
2.2 网络设计思路
2.3 VLAN 及 IP 地址规划
Ip地址规划
第三章 网络技术应用
3.1 DHCP
3.2 MSTP
3.3 VRRP
3.4 OSPF
3.5 VLAN
3.6 NAT
3.7 WLAN
3.8 ACL
3.9 链路聚合
第四章 网络设备选型
4.1 接入层设备选型
4.2 汇聚层设备选型
4.3 核心层设备选型
4.5 出口设备选型
4.4 无线设备选型
第五章测试
第六章附件
汇聚核心层配置(路由器)
汇聚核心层配置(交换机)
第一章项目概述
1.1 项目背景
该学校位于深圳在北京,上海都有分校,中间通过运营商通信。是一所市示范性大学,现深圳占地102 亩北京70亩,上海80亩,建筑面积有25000 平方米,学校投入大量资金,兴建了田 径场,男生公寓,女生公寓, IC 卡食堂,两栋教职工宿舍,两栋教学大楼,行 政办公楼。学校形成了生活区域,教学区域,运动区域三区分立的格局。由于 校园面积占用大,而且不集中,导致网络无法全面覆盖,有些地方无法提供上 网等服务。还有现在随着信息科学技术的不断发展,无线网络发展迅速,计划 将无线网络引入校园网络中,配合有线网络进一步满足广大师生的网络需求, 提高学校的信息交流功能,使师生们能充分的利用 Internet 上的教学资源,提 高老师们的教学能力和学生的整体水平能力。为了满足当前网络需求去扩展校 园网,重新为学校设计了网络规划和部署方案,以次来解决网络拥堵,速率慢 等问题,加快日常办公效率,提高网络覆盖面积,现对校园网络进行了详细的规划和部署,并作出如下设计。
1.2 网络需求分析
校园网作为学校的重要教学资源。通过校园网的服务,老师们能快速的查 询和利用网络上的资源,为其教学和备课做好准备。学生们能通过校园网浏览 下载网上的学习资料和学习材料。办公人员能通过校园网提高办公效率,提高 为全校师生服务的质量口。本方案的设计目标就是建立一个高性能,高可靠性, 可管理性,灵活性,可扩充性,实用性强的校园网络。使网络信号可以覆盖到整个校园环境中,为教师和学生们提供一个高质量的网络服务。1.提供 DHCP 服务,使学校师生上网时能自动获取 IP 地址,连入网络,去进行网络冲浪。2.建立高可靠的设备冗余,链路冗余,单板冗余,防止局部网络故障时能继续保障网络的连通性3.学校各个部门能够相互通信访问,除了行政办公楼pc4不能与服务器互访,实现校园内资源共享。4.各个楼中装有无线AP, 为全校师生提供无线服务,通过连接WIFI 来提供上网服务
第二章网络总体设计方案
2.1 网络整体架构
详细网络拓扑结构如图2-1所示:
图2-1 网络拓扑图
深圳校区
在此校园网络接入层中, PC1 代表博志楼属于VLAN10;PC2 代表笃学楼属于 VLAN20;PC3 代表宿舍楼属于VLAN30;PC4 代表图书馆属于VLAN40;PC5 代表 体 育 馆 属 于VLAN50;PC6 代表行政办公楼属于VLAN60;STA1-6 为各楼的无线终 端设备;接入层交换机和主机 PC 之间的互联端口配置为 acesss, 划分相应的 VLAN。在汇聚层中,将各汇聚交换机与接入层和核心层的交换机的互联端口配 置为 trunk, 允许放行所有 VLAN; 在核心层中,核心层交换机和汇聚层交换机之 间运行MSTP与ac之间也运行mstp, 两台核心层交换机运行VRRP 和链路聚合(这里要注意的是不仅仅是有线部分的备份无线部分也要备份)。在两台核心交换机和路由器之间运行 OSPF; 在核心路由器上运行 DHCP, 配置地址池(注意排除地址,你虚拟网关的地址要排除,避免地址冲突); 在WLAN中 ,AC 和 AP之间的配置管理使用的是VLAN100,AP和无线终端之间的业务使用的是VLAN102;在出口方面,配置默认路由和 NAT 策略。PC7 为公网上的主机用户,client3为互联网www主机。
北京校区
Pc5为学校办公楼,pc10为学生宿舍等其他,client1为客户机访问深圳的服务器。
在路由器出口采用的nat地址转换。路由器上部署dhcp服务器,并且划分子接口用来给各个pc划分ip地址。
上海校区
Pc5为图书馆,client2用来访问外部服务器,以及sta1和sta2分别是教学楼和宿舍楼。Ac采用三层组网,dhcp部署在路由器上面。
2.2 网络设计思路
1.各楼中搭建无线接入点,为其提供无线上网服务(以及深圳和上海校区)。
2.核心层交换机之间进行链路聚合和 VRRP, 提高网络带宽和实现链路冗余。3.在出口路由器上搭建NAT, 实现内网访问外网,做nat server实现内网服务器能够映射在公网 。4.采用高级ACL, 实现pc4不能与深圳内部服务器互访,提高安全性。5.核心层使用 OSPF 动态路由协议,提高网络效率和链路冗余。6.在核心路由器配置DHCP 服务器,使用户能动态获取 IP 地址以及无线。7.使用MAC地址与交换机绑定,提高服务器的安全性。8.核心层和汇聚层交换机运行MSTP, 实现 VLAN间数据流量的负载均衡。上海和北京分部总体规划一致(dhcp部署在路由器上面,但是由于占地面积不大所以采用的子接口来自动规划ip)
vlan10 属于 10.1.10.0/24 vlan20 属于 10.1.20.0/24,vlan30 属于 10.1.30.0/24, vlan40 属于 10.1.40.0/24。所有 pc 都通过 dhcp 获得地址。dhcp 服务器部署在 AR1 上,DHCP基于全局地址池方式配置,LSW1、LSW2 上做 DHCP 中继。
2.3 VLAN 及 IP 地址规划1.学校各部门网段及VLAN 规划学校各部门IP 地址范围,默认网关, VLAN划分如表2-1 所示
Ip地址规划
深圳ip地址规划
设备 | 接口 | IP地址 | 网关 | 部门 |
深圳S1 | Vlanif10 | 10.1.1.1/27 | 10.1.1.30/27 | 深圳 |
深圳S1 | Vlanif20 | 10.1.1.33/27 | 10.1.1.62/27 | 深圳 |
深圳S1 | Vlanif30 | 10.1.1.65/27 | 10.1.1.94/27 | 深圳 |
深圳S1 | Vlanif40 | 10.1.1.97/27 | 10.1.1.126/27 | 深圳 |
深圳S1 | Vlanif100 | 10.1.100.253/24 | 10.1.100.254/24 | 深圳 |
深圳S1 | Vlanof102 | 10.1.102.253/24 | 10.1.102.254/24 | 深圳 |
深圳S1 | Vlanif200 | 深圳 | ||
深圳S1 | Vlanif300 | 10.1.1.130/27 | 深圳 | |
深圳S2 | Vlanif10 | 10.1.1.2/27 | 10.1.1.30/27 | 深圳 |
深圳S2 | Vlanif20 | 10.1.1.34/27 | 10.1.1.62/27 | 深圳 |
深圳S2 | Vlanif30 | 10.1.1.66/27 | 10.1.1.94/27 | 深圳 |
深圳S2 | Vlanif40 | 10.1.1.98/27 | 10.1.1.126/27 | 深圳 |
深圳S2 | Vlanif100 | 10.1.100.252/24 | 10.1.100.254/24 | 深圳 |
深圳S2 | Vlanof102 | 10.1.102.252/24 | 10.1.102.254/24 | 深圳 |
深圳S2 | Vlanif200 | 10.1.1.162/27 | 深圳 | |
深圳DHCP | GigabitEthernet0/0/0 | 10.1.1.129/27 | 深圳 | |
深圳DHCP | GigabitEthernet0/0/1 | 10.1.1.161/27 | 深圳 | |
深圳DHCP | GigabitEthernet0/0/2 | 10.1.80.254/24 | 深圳 | |
深圳DHCP | GigabitEthernet1/0/0 | Diall 0 | 深圳 | |
深圳AC | Vlanif100 | 10.1.100.1/24 | 深圳 | |
深圳AC | Vlanof102 | 10.1.102.1/24 | 深圳 |
北京ip地址规划
设备 | 接口 | IP地址 | 网关 | 部门 |
北京DHCP | GigabitEthernet0/0/1.1 | 10.1.10.254/24 | 北京 | |
北京DHCP | GigabitEthernet0/0/1.2 | 10.1.20.254/24 | 北京 |
上海ip地址规划
设备 | VLAN | IP地址 | 网关 | 部门 |
上海DHCP | GigabitEthernet0/0/1.1 | 10.1.101.254/24 | 上海 | |
上海DHCP | GigabitEthernet0/0/1.2 | 10.1.102.254/24 | 上海 | |
上海DHCP | GigabitEthernet0/0/1.3 | 10.1.100.2/24 | 上海 | |
上海DHCP | GigabitEthernet0/0/1.10 | 10.1.10.254/24 | 上海 | |
上海DHCP | Serial4/0/1 | 100.1.1.42/28 | 上海 | |
上海AC | Vlanif1 | 192.168.169.2/8 | 上海 | |
上海AC | Vlanif100 | 10.1.100.1/8 | 上海 |
第三章 网络技术应用
3.1 DHCP
DHCP全名为动态主机配置协议,其是一种用于集中对用户IP 地址进行动态管理和配置的协议,DHCP 采用 C/S(Client/Server) 架构,用户主机不需要配置IP 地址,而是直接从服务器获取 IP 地址,接入网络后就可以使用; DHCP 相 较于手工配置而言,其效率很高,不需要手工一台一台配置, DHCP 的灵活性很 高,能统一分配管理,另外 DHCP 分配的 IP 地址是有租期的,使得其能有效提 高地址的利用率。在核心路由器 shenzhenR1 上创建地址池 VLAN10,VLAN20,VLAN30, vlan40,vlan100,vlan101地 址 范 围 分 别 为10.1.1.1/27,10.1.1.33/27,10.1.1.65/27,10.1.1.97/27,10.1.100.253/24,10.1.102.253/24在 VLANIF10,20,30,40,100 101接口启动基于全局地址池的DHCP 功能,在核心交换机shenzhenS1 上开启 DHCP功 能 , 在VLANIF10,20,30 ,100,40,101接口开启 DHCP中继功能,指明 DHCP服 务器的 IP 地址10.1.1.129/27,主要为VLAN10,20,30 ,40的用户分配 IP 地址;在核心交换机 shenzhenS2 上开启DHCP 功 能 ,在 VLANIF10,20,30 接口开启 DHCP 中继功能,指明 DHCP 服务器的 IP 地址 10.0.45.4/24,主要为VLAN40,50,60 的用户分配IP 地址;当其中一台DHCP服 务器出现故障时,另一台能够继续替代其工作,这样减轻了核心交换机一部分 压力,利于网络更加稳定。为AP分配地址范围为10.1.100.2~10.1.100.254/24的 IP 地址,在 核心交换机 shenzhenS1 上的VLANIF100 接口上启动基于全局的 DHCP 功能,为无线用户分配地址范围为10.1.102.1~10.1.102.254/24的 IP 地址。在路由器的出接口部署pppoe协议,上内网的主机能够访问各个校区的主机。
在北京分校区上配置子接口,给各个部门分配地址,在出口配置ppp协议动态获取ip地址,自动协商,并且采用nat地址转换,能让北京校区的各个主机能访问深圳校区和上海校区
在上海分校区上配置子接口通往ac以及子接口的各个网段,这里上海校区采用的ac是三层组网的方式,dhcp部署在路由器上面,ap和sta的地址采用的是接口地址池的方式给各个主机分配ip地址。在出口部署专线上网,并且部署nat地址转换能让上海校区访问其他校区的ip地址。
3.2 MSTP
MSTP 全名为多生成树协议, MSTP 弥补了 STP 和 RSTP 的缺陷,在 STP 和 RSTP中,网络中只有一棵生成树,导致所有的VLAN只能共享一棵树,造成数据 流量无法负载均衡,链路带宽利用率低,设备资源的利用率低,还会导致次优 路径的产生。MSTP 可以快速收敛,提供了多条备份链路,实现了数据的负载均 衡。在两台核心交换机shenzhneS1,shenzhneS2 和两台台汇聚交换机shanghais3,shaghais4以及ac 上 运行MSTP, 配置MSTP 域名lwh, 将VLAN10,20,100,101映射到实例1上,配置实例1 的根桥为 shanghaiS1, 备份根桥为 shanghaiS2, 根据选举规则,汇聚交换机shanghais3,shaghais4 与 shenzhens2 到shenzhenS1 的根路径开销一样,然后比较桥 ID, 因 为 shenzhenS2 为备份根桥,所以 shenzhenS2 与汇聚交换机互联的三个端口成为指定 端口,进入转发模式,而汇聚交换机与 shenzhenS2 互联的的端口GO/0/6 会被成为 替代端口,会被阻塞掉,VLAN10,20,30,100,101 的数据通过核心交换机 shenzhen S1转发; VLAN 40 30,映射到实例2上,配置实例2的根桥为shenzhen S2,备份根桥为 shenzhenS1, 根据选举规则,汇聚交换机 数据通过核心交换机shenzhenS2 转发;通过配置MSTP实现VLAN数据的负载均衡,使整体网络更加稳定。
3.3 VRRP
VRRP全名为虚拟路由器冗余协议,是一种在部署冗余网关时最常用的FHRP (第一跳冗余协议)。VRRP 是一种容错协议,通过将几台物理路由设备虚拟化 为一台路由设备,当主机的下一跳设备出现问题时能自动切换到另外一台工作 正常的备份设备上进行数据业务的转发,实现网关冗余,保障通信的可靠性回; 在两台核心交换机上部署VRRP,在核心交换机shenzhenS1 上,进入VLANIF10,20,100,101 接口配置 VRRP 组 VRRP1,VRRP2,VRRP3 ,VRRP4 的优先级为110,使其成为主用设备, VRRP 组 VRRP4,VRRP5 优先级不变,默认100,成为备用设备;在核心交 换机shenzhenS2 上,进入VLANIF40,50接口配置VRRP组 VRRP4,VRRP5 的 优先级为120,使其成为主用设备,VRRP组 VRRP1,VRRP2,VRRP3,VRRP4 成为备用设备; 主用出现故障时,备用会替代主用成为新的主用设备;通过优先级的大小选举 主备,优先级大的自然成为主,相同时则比较接口IP 地址大小,大者优先。还可以跟踪上行链路,当主用设备上行链路出现故障时可以减小设备的优先级,使其优先级低于备用设备,备用立即成为主用转发数据,保障网络的连续性。
3.4 OSPF
OSPF 全名为开放式最短路径优先协议,它是一种基于链路状态的内部网关 路由协议,可以在网络拓扑和链路状态发生变化时,自动的去收敛网络,根据 SPF 算法自动的去计算出无环的路径,其多区域的规划使得 OSPF 能够支持更大 规模的网络。在本校园网络核心层中使用OSPF 动态路由协议,提高数据流量传 输速率。在两台核心交换机和两台核心路由器和防火墙之间运行 OSPF 协议,实现路由互通。将两台核心交换机 shenzhenS1,shenzhenS2, 核心路由器 shenzheR1之间划分为骨干区域 area0, 三台核心层设备间的互联链路属于骨 干区域area0 。 两台核心路由器shenzhenR1上引入一条外部默认路由,使得用户去访问外网时路由可达。
3.5 VLAN
VLAN 全名为虚拟局域网,将一个物理的局域网在逻辑层面上划分为多个广 播域,使得在同一个 VLAN 里面的主机可以相互通信,而不同的 VLAN 间的主机 就被相互隔离,不能通信。这种技术能有效缩小广播域规模,提高通信效率, 提高网络的整体性能”,还可以保证各部门的独立和安全。在本校园网络方案 中将博志楼划分为VLAN10, 笃学楼楼划分为VLAN20, 宿舍楼划分为VLAN30,体育 馆划分为 VLAN40, 图书馆划分为 VLAN50,行政办公楼划分为 VLAN60, 创建 VLAN100 负责无线控制器AC 和无线接入点AP之间隧道转发数据,创建 VLAN101负责无线终端用户数据传递上网。将接入交换机shenzhens4和shenzhens5 与终端用户 PC1-5 互联 的端口工作模式设置为access 模式,并且划入对应VLAN; 接入交换机和汇聚交 换机之间的互联端口配置为 trunk 模式,允许所有 VLAN 通过;汇聚交换机和核 心交换机之间的互联端口配置为 trunk 模式,允许所有 VLAN 通过;汇聚层交换机与AP 互联的端口配置PVID为 VLAN100, 用于准确获取到AC 上 VLANIF101 基于全局的DHCP 分配的IP 地址;在两台核心交换机创建VLAN 200 和300 配置VLANIF接 口IP 地址,用于与路由器互联
3.6 NAT
NAT 全名为网络地址转换, NAT 技术是将内部私有网络地址转换成合法的外 部公有网络地址的技术,实现私有网络和公有网络中资源的互访, NAT 技术能 有效的缓解 IPV4 地址不够用的问题,也能让外网无法与使用私有 IP 地址的内 网进行通信,可以提高内网的安全,还能提供一定的安全访问功能。在本校园 网络方案中,使用的是NAT技术中的一种为NAPT的技术,首先建立一个公有IP地址池,池中有两个公有 IP 地址100.1.1.4和100.1.1.5,学院内网用户去访
问外网时,会选择一个地址池中的地址,同时转换 IP, 端口,不仅可以实现 IP 地址的转换,还可以转换端口号(1024-65535),实现公有 IP 地址与私有 IP 地 址的1: n 映射,使得地址映射关系数量很多,可以大大提高地址使用率,学校内部主机用户使用转换后的公网 IP 地址去访问外网。
3.7 WLAN
WLAN 全名为无线局域网,是指通过无线技术构建的无线局域网络,无线网 络与有线网络最大的不同就在于传输介质不一样,无线网络以无线电技术取代 了网线。无线网络的灵活性高,使用无线信号进行网络通信,只要有信号就可 以接入网络;其可扩展性较有线来说很高,可以使多个无线终端同时一起接 入网络中,而有线网络, 一个端口只能接入一个设备,无线网络优势更加的明 显。加之现在5G 技术的到来,推进新一代信息网络技术广泛运用。无线网络规 模将持续扩大。在本校园网络方案中,搭建一个无线局域网,为全校师生提供 无线 WIFI 服务,创建两个VLAN,VLAN100 为管理 VLAN, 负责无线控制器 AC 和 无线接入点AP之间隧道转发数据, VLAN101 为业务VLAN, 负责无线终端用户数 据传递上网。首先在AC上部署DHCP, 为 AP分配 IP 地址,AP获取到IP 地址, 发现 AC后通过CAPWAP隧道与AC建立连接; AC将WLAN业务配置下发到AP上; 无线用户通过搜索无线网络 SSID 名为 shenzhen, 通过认证后,核心交换机 shenzhen-S1为其分配IP 地址;最后通过CAPWAP隧道转发或者直接转发用户上网业务数据。
3.8 ACL
ACL 全名为访问控制列表,ACL 是一种网络安全技术。是由一系列规则组成 集合, ACL 通过这些规则对报文进行分类,使得设备可以对不同类型的报文进 行不一样的处理。 一条ACL由若干条permit 或 deny 语句组成。ACL又分几种, 有基本 ACL,高 级ACL,二层 ACL,还有用户自定义ACL。 在本校园网络方案中,使 用的是高级ACL, 在shenzhendhcp这台路由器上面配置acl,首先配置pc4不能访问服务器,做acl deny掉pc4的流量,然后运用太去往服务器的出接口。第二个acl是做nat允许内网的所有流量访问外网,在出接口的dialr0口配置easyip。
3.9 链路聚合
以太网链路聚合是指通过将多个物理接口聚成一个逻辑接口,有效增加了 链路带宽,使得链路间带宽都能用来转发设备之间的数据流量,提高了传输速 率,还有效提高了设备间的链路的可靠性,实现了端口和链路双层面的冗余, 在本方案中,在核心交换机之间配置链路聚合,创建聚合组,将两端互联端口 GO/0/21到 GO/0/24 加入到组中,配置模式为 LACP 模式,在shenzhenS1 上配置系统 LACP优先级10000,默认值为32768,数值越低,优先级越高,使shenzhenS1 成为主动端,将Eth-Trunk 端口工作模式配置为 Trunk, 允许放行所以VLAN通过。
- 网络设备选型
4.1 接入层设备选型
接入层位于网络三层架构中的最底层,接入层交换机是直接面向用户连接 的,其目的是允许终端用户连接到网络,具有低成本和高端口密度特性,适用广泛,所以对其性能要求不高,选用的接入层交换机如下图3-1所示:
图3-1 接入层交换机交换机详细参数如下表3-1所示:表3-1接入层交换机详细参数
交换容量 | 64Gbps | |||
包转发率 | S3700-28TP-SI-AC:14.1MppSS3700-52P-SI-AC:17.7Mpps | |||
端口描述 | 下行24个或者48个百兆端口上行4个千兆端口 | |||
可靠性 | 支持RRPP/Smart-Link/智能以太保护SEP | |||
IP路由 | 静态路由,RIP v1/v2,ECMP | |||
IPv6特性 | 支持ND支持PMTU支持IPv6 Ping,IPv6 Tracert,IPv6 Telnet 支持手动配置Tunne1支持6to4 tunnel支持基于源IPv6地址,目的IPv6地址,TCP/UDP协 议端口号,协议类型等ACL | |||
接入和安全特性 | 支持防止DOS,ARP攻击,ICMP防攻击功能支持IP,MAC,端口,VLAN的组合绑定支持端口隔离,端口安全,Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证,支持单端口最大用户数限制 支持AAA认证,支持Radius,HWTACACS支持SSH V2.0支持CPU保护功能支持黑名单和白名单支持DHCP Server,DHCP Relay,DHCP Snooping,DHCP Security | |||
管理和维护 | 支持智能堆叠支持Telnet远程配置和维护支持SSH V2支持SNMP v1/v2/v3;支持RMON支持MUX VLAN特性;支持GVRP协议 | |||
支持eSught 网管系统,支持WEB管理特性 | ||||
台数 | 5台 |
4.2 汇聚层设备选型
汇聚层位于接入层和核心层之间,发挥着承上启下的作用,要处理接入层 传上来的数据流量,又要将数据传输到核心层,汇聚层交换机是多台接入层交 换机的汇聚点,所以其性能要比接入交换机强,处理速度要较快。选用的汇聚层交换机如下图所示:
图3- 2 汇聚层交换机
交换机详细参数如下表3-1所示:表3-2 汇聚层交换机详细参数
交换容量 | 256Gbps |
包转发率 | 66Mpps |
固定端口 | 12x10/100/1000BASE-T,12x100/1000Base- X,2x10GE SFP+ |
MAC地址表 | 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态,动态,黑洞MAC表项支持源MAC地址过滤MAC地址容量:16K |
IP路由 | 静态路由支持三层动态路由 |
VLAN特性 | 支持4K个VLAN支持SuperVLAN支持MUX VLAN功能 支持基于MAC/协议/IP子网/策略/端口的 VLAN |
环网保护技术 | 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例,提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持BPDU保护,根保护和环回保护 |
接入安全 | 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security ,SAVI等 |
管理和维护 | 支持eSight网管系统,支持WEB网管 支持自动配置,Easy Operation方案 |
支持SNMP v1/v2/v3支持系统日志,分级告警 | |
可靠性 | 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACF |
台数 | 2 |
4.3 核心层设备选型
核心层处于网络三层架构中的最上层,也是最重要最核心的部分,核心层 是整个网络的高速交换主干,所有要出内网的数据流量都必须经过核心层,所 以对其设备要求很高,必须要有很快的处理能力,非常快的转发速率,高带宽, 还需要有高可靠性,保障设备出现故障时不影响正常的转发,也能防止设备压力过大而导致的设备故障问题。核心交换机产品图如下图所示:
图3-3 核心交换机产品图
核心交换机详细参数如表3-3所示:表3-3核心交换机详细参数
交换容量 | 416Gbps |
包转发率 | 156Mpps |
固定端口 | 12x10/100/1000BASE-T,4个复用的千兆SFP端 口,4x10GE SFP+ |
扩展插槽 | 提供两个扩展插槽,支持上行插卡 |
MAC地址表 | 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态,动态,黑洞MAC表项支持源MAC地址过滤MAC地址容量:32K |
IP路由 | 静态路由支持三层动态路由 |
VLAN特性 | 支持4K个VLAN支持Guest VLAN ,Voice VLAN支持Super VLAN支持MUX VLAN功能 |
支持GVRP协议 支持基于MAC/协议/IP子网/策略/端口的 VLAN | |
环网保护技术 | 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例,提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持ERPS以太保护协议支持智能以太保护SEP协议支持BPDU保护,根保护和环回保护 支持BPDU Tunne] |
接入安全 | 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security,SAVI等 |
管理和维护 | 支持eSight网管系统,支持WEB网管 支持自动配置,Easy Operation方案 支持SNMP v1/v2/v3支持系统日志,分级告警支持HTTPS支持RMON支持sFlow支持NetStream支持智能堆叠 |
可靠性 | 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACP支持BFD For OSPF/ISIS/VRRP/PIM协议 |
如下图3-4核心路由器产品图所示:
图3 - 4核心路由器产品图
核心路由器详细参数如下表3-4所示表3-4核心路由器详细参数
处理器 | ARM644核 |
转发性能 | 9Mpps-40Mpps |
整机交换容量 | 20Gbps-80Gbps |
固定WAN接口 | 1*GE Combo+1*GE电+1*10GE光 |
固定LAN接口 | 8*GE电 |
SCI插槽 | 2 |
WSIC插槽(默认/最大) | 0/1 |
5G | 支持5G-SIC业务板卡 |
串行辅助/控制台端口 | 1*RJ45 Console串口 |
USB接口 | 2*USB |
内存 | 2GB |
Flash | 1GB/512M |
热插拔 | 支持 |
台数 | 5 |
4.4 无线设备选型
如下图3 - 6无线接入控制器产品图所示:
图3-6无线接入控制器产品图
无线接入控制器参数如下表3-6所示:表3-6无线接入控制器参数
端口 | 12xGE+12x10GE+2x40GE |
电源 | AC/AD |
转发模式 | 直接转发和隧道转发 |
隧道转发 | 120Gbps |
直接转发 | 120Gbps |
最大可管理AP数量 | 6144 |
最大可接入用户数 | 65536 |
AP和AC间组网方式 | L2/L3层网络拓扑 |
AC冗余备份 | 1+1热备/N+1备份方式 |
无线协议 | 802.1la/b/g/n/ac wave2/ax |
台数 | 2 |
如下图3-7无线接入点产品图所示:
图3-7无线接入点产品图
无线接入点产品详细参数如下表3-7所示:表3-7无线接入点产品详细参数
尺寸 | 220mm x 220mm x 47mm |
电源输入 | DC:12V±10% |
最大功耗 | 19.3W |
用户数 | 小于768 |
工作温度 | -10°C~+50°C |
天线类型 | 自适应阵列天线 |
最高速率 | 3Gbps |
无线协议 | 802.1la/b/g/n/ac/ac wave2 |
最大发射功率 | 2.4GHz:23dBm5GHz-0:24dBm5GHz-1:27dBm |
台数 | 2 |
第五章测试
第六章附件
汇聚核心层配置(路由器)
北京
[V200R003C00]
#
sysname Beijing
#
acl number 3000 //创建高级acl
rule 5 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过
rule 10 permit ip source 10.1.20.0 0.0.0.255 //允许来自10.1.20.0/24网段的IP报文通过
#
aaa //aaa认证
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0 //进入Serial 4/0/0视图
link-protocol ppp //配置接口链路层协议
#
interface Serial4/0/1
link-protocol ppp //配置接口链路层协议
ppp chap user client // 配置chap验证用户名client
ppp chap password cipher %$%$-/R*TvC1NU*bgT"nPFk5,(W3%$%$ //创建chap用户密码
ip address ppp-negotiate //允许接口进行ip地址协商
nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/1.1
dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.10.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.2
dot1q termination vid 20 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.20.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
ISP
[V200R003C00]
#
sysname ISP
#
ip pool ISP //IP地址池名称
gateway-list 100.1.1.6 //网关
network 100.1.1.0 mask 255.255.255.248 //地址池网段范围
dns-list 114.114.114.114 //dns地址
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
local-user client password cipher %$%$+4'i0<G'u9qi*'3s;Dp~G@9{%$%$ //创建本地用户client
local-user client service-type ppp //配置用户client的接入类型为http
#
interface Virtual-Template1 //创建VT
ppp authentication-mode pap //ppp认证模式为pap认证
remote address pool ISP //为远程PPP客户端分配ISP地址池的IP地址
ip address 100.1.1.6 255.255.255.248 //设置VT IP地址为网关地址
#
interface GigabitEthernet0/0/0
ip address 100.1.1.9 255.255.255.248
#
interface GigabitEthernet0/0/1
pppoe-server bind Virtual-Template 1 //在此接口启用pppoe功能
#
ospf 1
default-route-advertise always type 2 //下放默认路由
area 0.0.0.0
network 100.1.1.0 0.0.0.7 //ospf宣告直连网段
network 100.1.1.8 0.0.0.7
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.10 //配置静态路由
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
ISP2
[V200R003C00]
#
sysname ISP2
#
dhcp enable //启用dhcp服务
#
ip pool Beijing
gateway-list 100.1.1.38 //ip地址池网关配置
network 100.1.1.32 mask 255.255.255.248 //地址池网段配置
dns-list 114.114.114.114 //dns地址配置
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
local-user client password cipher %$%$+4'i0<G'u9qi*'3s;Dp~G@9{%$%$ //创建本地用户client
local-user client service-type ppp //配置用户client的接入类型为http
#
interface Serial4/0/0
link-protocol ppp //配置接口链路层协议
ip address 100.1.1.41 255.255.255.248
#
interface Serial4/0/1
link-protocol ppp //配置接口链路层协议
ppp authentication-mode chap //ppp认证模式为chap认证
remote address 100.1.1.34 //为远程PPP客户端分配此ip
ip address 100.1.1.33 255.255.255.248
#
interface Virtual-Template1 //创建vt
ppp authentication-mode chap //ppp认证模式为chap认证
remote address pool Beijing /为远程PPP客户端分配Beijing地址池的IP地址
#
interface GigabitEthernet0/0/0
ip address 100.1.1.10 255.255.255.248
#
interface GigabitEthernet2/0/0
ip address 100.1.1.25 255.255.255.248
#
interface GigabitEthernet2/0/1
ip address 100.1.1.17 255.255.255.248
dhcp select interface //开启dhcp接口地址池服务
#
ospf 1
area 0.0.0.0 //ospf宣告直连网段
network 100.1.1.8 0.0.0.7
network 100.1.1.16 0.0.0.7
network 100.1.1.24 0.0.0.7
network 100.1.1.40 0.0.0.7
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
上海
[V200R003C00]
#
sysname Shanghai
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl
rule 5 permit ip source 10.1.102.0 0.0.0.255 //允许来自10.1.102.0/24网段的IP报文通过
rule 10 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过
#
ip pool ap
gateway-list 10.1.101.254 //地址池网关配置
network 10.1.101.0 mask 255.255.255.0 //地址池可分配ip网段设置
option 43 sub-option 3 ascii 10.1.100.1
#
ip pool STA
gateway-list 10.1.102.254 //地址池网关配置
network 10.1.102.0 mask 255.255.255.0 //地址池可分配ip网段设置
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0
link-protocol ppp //配置接口链路层协议
ip address 100.1.1.42 255.255.255.248
nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface Serial4/0/1
link-protocol ppp //配置接口链路层协议
#
interface GigabitEthernet0/0/1.1
dot1q termination vid 101 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.101.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.2
dot1q termination vid 102 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.102.254 255.255.255.248
arp broadcast enable //终结子接口的ARP广播
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.3
dot1q termination vid 100 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.100.2 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.10
dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID
ip address 10.1.10.254 255.255.255.0
arp broadcast enable //终结子接口的ARP广播
#
ospf 1
area 0.0.0.0
network 10.1.100.0 0.0.0.255 //ospf宣告直连网段
#
user-interface con 0 //通过consle口登录
authentication-mode password //密码登录
深圳
[V200R003C00]
#
sysname r1
#
vlan batch 102
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl 3000
rule 10 permit ip source 10.1.0.0 0.0.255.255 //允许来自10.1.0.0/16网段的IP报文通过
acl number 3001 //创建高级acl 3001
rule 5 deny ip source 10.1.1.96 0.0.0.31 destination 10.1.80.0 0.0.0.255 //允许来自10.1.80.0/24网段的IP报文通过
#
ip pool vlan10
gateway-list 10.1.1.30 //设置网关
network 10.1.1.0 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.1 10.1.1.2 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan20
gateway-list 10.1.1.62 //设置网关
network 10.1.1.32 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.33 10.1.1.34 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan30
gateway-list 10.1.1.94 //设置网关
network 10.1.1.64 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.65 10.1.1.66 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan40
gateway-list 10.1.1.126 //设置网关
network 10.1.1.96 mask 255.255.255.224 //设置分配地址网段
excluded-ip-address 10.1.1.97 10.1.1.98 //此ip地址不参与分配
dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan100
gateway-list 10.1.100.254 //设置网关
network 10.1.100.0 mask 255.255.255.0 //设置分配地址池网段
c
excluded-ip-address 10.1.100.100 //此ip地址不参与分配
#
ip pool vlan102
gateway-list 10.1.102.254 //网关配置
excluded-ip-address 10.1.102.254
network 10.1.102.0 mask 255.255.255.0 //设置分配地址网段
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ //创建本地用户admin的密码
local-user admin service-type http //配置用户的接入类型为http
#
interface Dialer0
link-protocol ppp //配置接口链路层协议
ppp pap local-user client password cipher %$%$O"z)Pj[/N~>,&Z8:;q1K,*HJ%$%$ //指定被对端设备采用pap认证方式时发送的口令
ip address ppp-negotiate //允许接口进行IP地址协商
dialer user lwh
dialer bundle 1 //编号为1
nat server protocol tcp global 100.1.1.4 8080 inside 10.1.80.1 www
nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/0
ip address 10.1.1.129 255.255.255.224
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1
ip address 10.1.1.161 255.255.255.224
dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet1/0/0
pppoe-client dial-bundle-number 1 //实现Dialer Bundle和物理接口的绑定 编号为1
#
ospf 1
area 0.0.0.0
network 10.1.1.128 0.0.0.31 //ospf宣告直连网段
network 10.1.1.160 0.0.0.31
network 10.1.80.0 0.0.0.255
汇聚核心层配置(交换机)
北京
#
sysname Huawei
#
vlan batch 10 20 //声明vlan 10 20
#
aaa
domain default_admin //创建默认认证方案
local-user admin password simple admin
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3
port link-type access //配置接口类型为access
port default vlan 20 //允许vlan20通过
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 //允许vlan10 20通过
上海s1
#
sysname Huawei
#
vlan batch 10 20 30 100 to 102 //声明vlan 10 20 30 100 102
#
aaa
authentication-scheme default //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin //创建本地用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk pvid vlan 101 //经过此的报文加上vlan101标签
port trunk allow-pass vlan 101 to 102 //允许vlan101 102通过
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3
port link-type access //配置接口类型为access
port default vlan 10 //允许vlan10通过
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 100 to 102 //trunk接口加入vlan100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 100 //trunk接口加入vlan100
上海AC1
#
http server enable //http协议配置
#
ssl renegotiation-rate 1 //配置ssl连接重协商速率为缺省
#
vlan batch 100 to 102 //声明vlan 100 1.2
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius //创建默认认证方案
authorization-scheme default
accounting-scheme default
domain default
authentication-scheme radius
radius-server default
domain default_admin
authentication-scheme default
local-user admin password irreversible-cipher $1a$GI/`WWyZv)$NT^AUuVe*3)SNcQ$jE
7UVi>ZR7<'&Y=nC+V"y(9C$ //创建本地用户admin的密码
local-user admin privilege level 15 //配置用户admin的命令级别
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif1
ip address 192.168.169.2 255.255.255.0
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0 //vlanif接口配置
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 100 trunk接口加入vlan100
#
interface GigabitEthernet0/0/7
undo negotiation auto
duplex half //半双工模式
#
interface GigabitEthernet0/0/8
undo negotiation auto
duplex half //半双工模式
#
ospf 1
area 0.0.0.0 //ospf 宣告直连网段
network 10.1.100.0 0.0.0.255
#
capwap source ip-address 10.1.100.1 //指定AC的源IPv4地址
上海AC2
#
vlan batch 102 //声明vlan 102
#
interface GigabitEthernet0/0/0
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/1
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/2
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/3
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/4
port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096
lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
深圳s1
#
sysname S1
#
vlan batch 10 20 30 40 100 102 200 300 //声明vlan 10 20 30 40 100 200 300
#
stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root primary
stp pathcost-standard legacy
#
dhcp enable //开启dhcp服务
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default //创建默认认证方案
domain default
domain default_admin
local-user admin password simple admin
//创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.224
vrrp vrid 1 virtual-ip 10.1.1.30 创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 1 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能
vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20
ip address 10.1.1.33 255.255.255.224
vrrp vrid 2 virtual-ip 10.1.1.62 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 2 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能
vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.201.2
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30
ip address 10.1.1.65 255.255.255.224
vrrp vrid 3 virtual-ip 10.1.1.94 /创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 3 priority 90 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40
ip address 10.1.1.97 255.255.255.224
vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 4 priority 90 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100
ip address 10.1.100.253 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 10 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 10 track interface GigabitEthernet0/0/3 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102
ip address 10.1.102.253 255.255.255.0
vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 12 priority 110 //配置在vrrp备份组的优先级
vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif300
ip address 10.1.1.130 255.255.255.224
#
interface Eth-Trunk1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan 10 20 30 40 100 102
mode lacp-static
max active-linknumber 2
#
interface GigabitEthernet0/0/1
port link-type access //配置接口类型为access
port default vlan 300 //配置接口的默认vlan 300
stp disable //禁用stp功能
#
interface GigabitEthernet0/0/2
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
interface GigabitEthernet0/0/21
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/23
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24
eth-trunk 1 //链路聚合
#
ospf 1
silent-interface Vlanif10
silent-interface Vlanif20
silent-interface Vlanif30
silent-interface Vlanif40
area 0.0.0.0
network 10.1.100.0 0.0.0.255
network 10.1.1.96 0.0.0.31
network 10.1.1.64 0.0.0.31
network 10.1.1.32 0.0.0.31
network 10.1.1.0 0.0.0.31
network 10.1.1.128 0.0.0.31
network 10.1.102.0 0.0.0.255 //ospf宣告直连网段
深圳s2
#
sysname S2
#
router id 2.2.2.2
#
vlan batch 10 20 30 40 100 102 200 //声明vlan 10 20 30 40 100 102 200
#
stp instance 1 root secondary
stp instance 2 root primary
stp instance 3 root secondary
stp pathcost-standard legacy
#
dhcp enable //配置dhcp服务
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin //创建默认认证方案
local-user admin password simple admin //创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.224
vrrp vrid 1 virtual-ip 10.1.1.30 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 1 priority 90 //配置在vrrp备份组的优先级
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30
vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20
ip address 10.1.1.34 255.255.255.224
vrrp vrid 2 virtual-ip 10.1.1.62 //VRRP通过监视接口的状态实现主备快速切换的功能
vrrp vrid 2 priority 90 //配置在vrrp备份组的优先级
vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30
vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30
vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30
ip address 10.1.1.66 255.255.255.224
vrrp vrid 3 virtual-ip 10.1.1.94 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 3 priority 110 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40
ip address 10.1.1.98 255.255.255.224
vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 4 priority 110 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100
ip address 10.1.100.252 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 10 priority 90 //配置在vrrp备份组的优先级
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102
ip address 10.1.102.252 255.255.255.0
vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址
vrrp vrid 12 priority 90 //配置在vrrp备份组的优先级
vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30
dhcp select relay //配置dhcp中继功能
dhcp relay server-ip 10.1.200.2
dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif200
ip address 10.1.1.162 255.255.255.224
#
interface Eth-Trunk1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/1
port link-type access //配置接口类型为access
port default vlan 200 //缺省vlan为vlan200
stp disable //关闭stp功能
#
interface GigabitEthernet0/0/2
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/21
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40
#
interface GigabitEthernet0/0/23
eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24
eth-trunk 1 //链路聚合
#
ospf 1
silent-interface Vlanif10
silent-interface Vlanif20
silent-interface Vlanif30
silent-interface Vlanif40
area 0.0.0.0
network 10.1.1.160 0.0.0.31
network 10.1.1.96 0.0.0.31
network 10.1.1.64 0.0.0.31
network 10.1.1.32 0.0.0.31
network 10.1.1.0 0.0.0.31
network 10.1.100.0 0.0.0.31
network 10.1.102.0 0.0.0.255 //ospf宣告直连网段
深圳s3
#
sysname S3
#
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40 100 102
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin //创建默认认证方案
local-user admin password simple admin //创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1
port link-type access //配置接口类型为access
port default vlan 10 //配置缺省vlan为10
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 20 //配置缺省vlan为20
#
interface Ethernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk pvid vlan 100 //配置缺省vlan为100
port trunk allow-pass vlan 100 102 //trunk接口加入vlan100 102
#
interface Ethernet0/0/4
port link-type access
port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
深圳s4
#
sysname S4
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40
100 102
#
stp region-configuration
region-name lwh
revision-level 2
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 100 102
active region-configuration
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default //创建默认认证方案
domain default
domain default_admin
local-user admin password simple admin //创建用户admin的密码
local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1
port link-type access //配置接口类型为access
port default vlan 30 //配置缺省vlan为40
#
interface Ethernet0/0/2
port link-type access //配置接口类型为access
port default vlan 40 //配置缺省vlan为40
#
interface Ethernet0/0/3
port link-type trunk //配置接口类型为trunk
port trunk pvid vlan 100 //配置trunk接口的缺省vlan为100
port trunk allow-pass vlan 100 102 .//trunk接口加入vlan100 102
#
interface Ethernet0/0/4
port link-type access //配置接口类型为access
port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102
深圳AP1
#
ssl renegotiation-rate 1 //配置ssl连接重协商
#
vlan batch 100 102 //声明vlan100 102
#
stp enable //开启stp服务
#
dhcp enable //开启dhcp服务
#
aaa
local-user admin password irreversible-cipher $1a$'XvU%UC/J+$ShXGNfp-''CW#QW690
vW^H+{=ms:$#$0C!>vCxs~$ //创建用户admin的密码
local-user admin privilege level 15 //配置用户admin的命令等级
local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface //配置dhcp接口地址池
#
interface GigabitEthernet0/0/1
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/2
port link-type trunk //配置接口类型为trunk
undo port trunk allow-pass vlan 1 //避免环路
port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
capwap source ip-address 10.1.100.1
安全防护:
在深圳两台核心交换机上面启用dhcp snopping enable
进入相应的接口
[sw1]port-group group-member GigabitEthernet 0/0/21 to GigabitEthernet 0/0/22 #将G0/0/21~G0/0/22端口加入端口组
[sw1-port-group]dhcp snooping enable #批量开启端口snooping
[sw1-port-group]quit #退出端口组
[sw1]interface GigabitEthernet 0/0/1 #进入G0/0/1端口
[sw1-GigabitEthernet0/0/1]undo dhcp snooping enable #删除端口snooping服务
[sw1-GigabitEthernet0/0/1]dhcp snooping trusted
S2同上
-port-group]quit #退出端口组
[sw1]interface GigabitEthernet 0/0/1 #进入G0/0/1端口
[sw1-GigabitEthernet0/0/1]undo dhcp snooping enable #删除端口snooping服务
[sw1-GigabitEthernet0/0/1]dhcp snooping trusted
S2同上