实验背景
某公司总部在厦门,北京、上海都有分部,网络结构如图所示:
一、网络连接描述:
厦门总部:内部网络使用SW1、SW2、SW3三台交换机,SW1为作为核心交换机,SW2、SW3作为接入层交换机,每台交换机所连接的网络设备如图所示;使用R1将总部网络接入到Internet,R1还使用DDN专线跟北京分部的R2和上海分部R3相连接。
北京分部:使用R2将内部网络连接到总部和上海分部,如图所示。
上海分部:使用R3将局域网连接到北京分部和总部,如图所示。
二、IP地址分配
IP地址按拓扑图所示进行分配,所有网络的子网掩码都是255.255.255.0
基本配置
一、配置每台设备的主机名,Console口和VTY登录通过AAA进行认证,idle-timeout设置为两分钟。
<Huawei>system-view
[Huawei]sysname R1 如R1、R2、 R3、SW1、SW2、 SW3、 SW4、 SW5
aaa
local-user admin password cipher admin
local-user admin service-type telnet terminal
user-interface con 0
authentication-mode aaa
idle-timeout 2 0
telnet server enable
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
idle-timeout 2 0
protocol inbound all
配置生成树
一、在SW1\SW2\SW3上运行RSTP,确保SW1为根桥,请确认哪些接口为替代端口。
配置SW1:
stp mode rstp
stp priority 0
配置SW2:
stp mode rstp
配置SW3:
stp mode rstp
验证:display stp
display stp brief
二、配置用户接口为边缘端口,并启用BPDU保护。
配置SW1的边缘端口:
interface GigabitEthernet0/0/1
stp edged-port enable
interface GigabitEthernet0/0/5
stp edged-port enable
interface GigabitEthernet0/0/6
stp edged-port enable
interface GigabitEthernet0/0/24
stp edged-port enable
配置SW2的边缘端口:
interface GigabitEthernet0/0/1
stp edged-port enable
interface GigabitEthernet0/0/4
stp edged-port enable
配置SW3的边缘端口:
interface GigabitEthernet0/0/1
stp edged-port enable
配置SW1\SW2\SW3 BPDU保护:
stp bpdu-protection
三、配置了BPDU保护后,边缘端口接收到BPDU时会shutdown,请确认30秒后自动恢复。
配置SW1\SW2\SW3:
error-down auto-recovery cause bpdu-protection interval 30
配置交换机链路聚合
一、在SW1和SW2上配置链路汇聚,使得SW1和SW2之间的带宽达到2G,链路聚合为手工模式。
配置SW1:
interface Eth-Trunk1
interface GigabitEthernet0/0/2
eth-trunk 1
interface GigabitEthernet0/0/3
eth-trunk 1
配置SW2:
interface Eth-Trunk1
interface GigabitEthernet0/0/2
eth-trunk 1
interface GigabitEthernet0/0/3
eth-trunk 1
验证:
display interface eth-trunk 1
display eth-trunk 1
厦门总部内网要求
一、交换机之间Trunk配置要求
配置SW1:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 2 to 4094
配置SW2:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/12
port link-type trunk
port trunk allow-pass vlan 2 to 4094
配置SW3:
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/12
port link-type trunk
port trunk allow-pass vlan 2 to 4094
二、VLAN划分
公司总部设立了综合部、业务部、财务部,分别给这三个部门划分VLAN,SW1跟R1连接使用单独VLAN,VLAN信息如下表,并且按拓扑显示把相应端口加入相应的VLAN。
VLAN号 | VLAN名 | |
设备管理 | 1 | Netmanager |
财务部 | 2 | Caiwu |
综合部 | 3 | Zonghe |
业务部 | 4 | Yewu |
服务器 | 8 | Server |
连接R1 | 100 | ToR1 |
配置SW1\SW2\SW3:
批量创建VLAN(共5个)
vlan batch 2 to 4 8 100
配置SW1,按扑图把相应端口加入VLAN
interface GigabitEthernet0/0/1
port link-type access
port default vlan 4
interface GigabitEthernet0/0/5
port link-type access
port default vlan 8
interface GigabitEthernet0/0/6
port link-type access
port default vlan 8
interface GigabitEthernet0/0/24
port link-type access
port default vlan 100
配置SW2,按扑图把相应端口加入VLAN
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
interface GigabitEthernet0/0/4
port link-type access
port default vlan 2
配置SW3,按扑图把相应端口加入VLAN
interface GigabitEthernet0/0/1
port link-type access
port default vlan 3
三、配置交换机的管理地址,以方便交换机的远程管理
配置VLAN | 管理地址 | 网关 | |
SW1 | 1 | 10.1.1.254/24 | 作为SW2\SW3的网关 |
SW2 | 1 | 10.1.1.12/24 | 10.1.1.254 |
SW3 | 1 | 10.1.1.13/24 | 10.1.1.254 |
配置SW1:
interface Vlanif1
ip address 10.1.1.254 255.255.255.0
undo shut
配置SW2:
interface Vlanif1
ip address 10.1.1.12 255.255.255.0
undo shut
ip route-static 0.0.0.0 0.0.0.0 10.1.1.254
配置SW3:
interface Vlanif1
ip address 10.1.1.13 255.255.255.0
undo shut
ip route-static 0.0.0.0 0.0.0.0 10.1.1.254
四、在SW1上配置VLAN间路由,使各个部门VLAN、服务器VLAN间可以互通
配置SW1,启用每个VLAN的三层口,并配置IP地址:
interface Vlanif2
ip address 10.1.2.254 255.255.255.0
interface Vlanif3
ip address 10.1.3.254 255.255.255.0
interface Vlanif4
ip address 10.1.4.254 255.255.255.0
interface Vlanif8
ip address 10.1.8.254 255.255.255.0
interface Vlanif100
ip address 10.1.100.254 255.255.255.0
上海分部内网要求
一、上海分部有销售部和市场部两个部门,要求两个部门的计算机分别在不同的网络中,如下所示:
配置SW5:
stp mode rstp
vlan batch 10 20
interface Ethernet0/0/1
port link-type access
port default vlan 10
stp edged-port enable
interface Ethernet0/0/2
port link-type access
port default vlan 20
stp edged-port enable
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
二、在R3配置单臂路由,使得销售部和市场部两个部门的计算机可以互通。
配置R3:
interface GigabitEthernet0/0/1
undo shut
interface GigabitEthernet0/0/1.10
dot1q termination vid 10
ip address 192.168.1.126 255.255.255.128
arp broadcast enable
interface GigabitEthernet0/0/1.20
dot1q termination vid 20
ip address 192.168.1.254 255.255.255.128
arp broadcast enable
三、配置SW5的管理IP。
interface Vlanif10
ip address 192.168.1.15 255.255.255.128
undo shut
ip route-static 0.0.0.0 0.0.0.0 192.168.1.126
验证:
北京分部内网要求
一、北京分部只有一个VLAN,如下图,按拓扑中的IP规划配置地址,使得北京分部内部可以连通,把交换机生成树模式改为RSTP,并配置相关端口为边缘端口。
配置SW4:
stp mode rstp
interface Ethernet0/0/1
port link-type access
port default vlan 1
stp edged-port enable
interface Ethernet0/0/2
port link-type access
port default vlan 1
stp edged-port enable
interface GigabitEthernet0/0/1
port link-type access
port default vlan 1
stp edged-port enable
配置SW4网管IP:
interface Vlanif1
ip address 172.16.1.14 255.255.255.0
undo shut
ip route-static 0.0.0.0 0.0.0.0 172.16.1.254
配置R3内网接口:
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
undo shut
远程连接需求
一、R1、R2、R3之间使用DDN专线互联,将北京分部、上海分部和厦门总部连接起来,按拓扑图进行IP地址等基本配置:
要求:
1、R1和R2、R3之间封装PPP协议且使用CHAP的认证,认证用户名为huawei,密码为huawei123认证方为R1,被认证方为R2,R3
配置R1:
aaa
local-user huawei password cipher huawei123
local-user huawei service-type ppp
interface Serial1/0/0
link-protocol ppp
ppp authentication-mode chap
ip address 10.1.12.1 255.255.255.0
interface Serial1/0/1
link-protocol ppp
ppp authentication-mode chap
ip address 10.1.13.1 255.255.255.0
配置R2:
interface Serial1/0/0
link-protocol ppp
ppp chap user huawei
ppp chap password cipher huawei123
ip address 10.1.12.2 255.255.255.0
配置R3:
interface Serial1/0/0
link-protocol ppp
ppp chap user huawei
ppp chap password cipher huawei123
ip address 10.1.13.3 255.255.255.0
2、R2和R3之间使用pap认证,认证方为R2,被认证方为R3,认证用户名为hcna,密码为hcna123
配置R2:
aaa
local-user hcna password cipher hcna123
local-user hcna service-type ppp
interface Serial1/0/1
link-protocol ppp
ppp authentication-mode pap
ip address 10.1.23.2 255.255.255.0
配置R3:
interface Serial1/0/1
link-protocol ppp
ppp pap local-user hcna password cipher hcna123
ip address 10.1.23.3 255.255.255.0
路由需求
一、在R1、R2、R3和SW1上配置OSPF路由协议,使厦门总部、北京分部和上海分部能互相通信,并验证R1、R2、R3之间链路的冗余性。
OSPF配置基本要求:
- 每台设备所在区域为AREA 0 ,
- 运行OSPF协议的每台设备配置一个环回口地址作为Router id
- R1的环回口地址为1.1.1.1,R2的环回口地址为1.1.1.2,R3的环回口地址为1.1.1.3,SW1的环回口地址为1.1.1.4,环回口掩码为32位。
配置R1:
interface GigabitEthernet0/0/0
ip address 10.1.100.253 255.255.255.0
undo shut
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.0.0 0.0.255.255
配置R2:
interface LoopBack0
ip address 1.1.1.2 255.255.255.255
ospf 1 router-id 1.1.1.2
area 0.0.0.0
network 1.1.1.2 0.0.0.0
network 10.1.0.0 0.0.255.255
network 172.16.1.0 0.0.0.255
配置R3:
interface LoopBack0
ip address 1.1.1.3 255.255.255.255
ospf 1 router-id 1.1.1.3
area 0.0.0.0
network 1.1.1.3 0.0.0.0
network 10.1.0.0 0.0.255.255
network 192.168.1.0 0.0.0.255
配置SW1:
interface LoopBack0
ip address 1.1.1.4 255.255.255.255
ospf 1 router-id 1.1.1.4
area 0.0.0.0
network 1.1.1.4 0.0.0.0
network 10.1.0.0 0.0.255.255
总部Internet接入
一、在R1上配置默认路由,使R1能访问Internet,配置R1动态发送默认路由给邻居SW1,R2,R3.
配置R1:
interface GigabitEthernet0/0/1
ip address 200.1.1.1 255.255.255.0
undo shut
ip route-static 0.0.0.0 0.0.0.0 200.1.1.254
ospf 1
default-route-advertise
二、在R1上配置NAT,使厦门总部每个VLAN用户通过R1访问Internet,NAT地址转换要求如下图:
子网 | 转换后地址 |
10.1.1.0/24 10.1.2.0/24 10.1.100.0/24 | 200.1.1.10 |
10.1.3.0/24 | 200.1.1.11 |
10.1.4.0/24 | 200.1.1.12 |
10.1.8.0/24 | 200.1.1.13 |
acl number 2000
rule 5 permit source 10.1.1.0 0.0.0.255
rule 10 permit source 10.1.2.0 0.0.0.255
rule 15 permit source 10.1.100.0 0.0.0.255
acl number 2001
rule 5 permit source 10.1.3.0 0.0.0.255
acl number 2002
rule 5 permit source 10.1.4.0 0.0.0.255
acl number 2003
rule 5 permit source 10.1.8.0 0.0.0.255
nat address-group 1 200.1.1.10 200.1.1.10
nat address-group 2 200.1.1.11 200.1.1.11
nat address-group 3 200.1.1.12 200.1.1.12
nat address-group 4 200.1.1.13 200.1.1.13
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 1
nat outbound 2001 address-group 2
nat outbound 2002 address-group 3
nat outbound 2003 address-group 4
北京分部Internet接入
一、R2通过PPPOE宽带拨号技术连接到Internet,请确保北京分部用户可以正常访问互联网, 宽带帐号为user1密码为huawei
在R2配置PPPOE拨号:
dialer-rule
dialer-rule 1 ip permit
interface Dialer1
mtu 1492
link-protocol ppp
ppp chap user user1
ppp chap password cipher huawei
ip address ppp-negotiate
dialer user user1
dialer bundle 1
dialer-group 1
interface GigabitEthernet0/0/0
pppoe-client dial-bundle-number 1
undo shut
ip route-static 0.0.0.0 0.0.0.0 Dialer1
在R2配置easy ip,确认内部可以上网:
acl number 2000
rule 5 permit source 172.16.1.0 0.0.0.255
interface Dialer1
nat outbound 2000
调整Dialer1接口MTU为1492
interface Dialer1
mtu 1492
问题:PPPoE帧为什么要降低MTU大小?
答:以太网中默认最大支持1500字节的有效载荷,PPPoE头部长度为6字节,PPP协议ID长度为2字节,所以PPPoE帧中的MTU不能超过1492字节。
上海分部Internet接入
一、通过配置,确保上海分部用户可以通过总部R1 internet出口正常访问互联网。
配置R1:
acl number 2005
rule 5 permit source 192.168.1.0 0.0.0.255
nat address-group 5 200.1.1.14 200.1.1.14
interface GigabitEthernet0/0/1
nat outbound 2005 address-group 5
配置访问控制列表
一、配置公司内部的网络设备,只允许子网10.1.1.0/24通过Telnet来管理这些设备。
配置R1\R2\R3\SW1\SW2\SW3\SW4\SW5:
acl number 2010
rule 5 permit source 10.1.1.0 0.0.0.255
user-interface vty 0 4
acl 2010 inbound
二、禁止总部VLAN3的用户访问上海的VLAN20:
配置R1:
acl number 3000
rule 5 deny ip source 10.1.3.0 0.0.0.255 destination 192.168.1.128 0.0.0.127
interface GigabitEthernet0/0/0
traffic-filter inbound acl 3000
配置NAT服务器
一、总部内网有FTP和WEB两台服务器,通过配置R1,使得Internet的用户可以访问这两台服务器的21和80端口服务。
配置R1:
interface GigabitEthernet0/0/1
nat server protocol tcp global 200.1.1.188 ftp inside 10.1.8.1 ftp
nat server protocol tcp global 200.1.1.188 www inside 10.1.8.2 www
测试要求: 在Internet Client4上进行测试验证.
PPPOE服务器配置
R5作为Internet (ISP)的基本配置:
sysname R5-Internet
interface LoopBack0
ip address 8.8.8.8 255.255.255.255
interface GigabitEthernet0/0/0
ip address 101.1.1.254 255.255.255.0
undo shut
interface GigabitEthernet0/0/1
ip address 200.1.1.254 255.255.255.0
undo shut
ip pool xmws
network 211.1.1.0 mask 255.255.255.0
配置R5作为PPPOE服务器:
aaa
local-user user1 password cipher huawei
local-user user1 service-type ppp
interface Virtual-Template1
ppp authentication-mode chap
remote address pool xmws
ip address 211.1.1.1 255.255.255.0
interface GigabitEthernet0/0/2
pppoe-server bind Virtual-Template 1
undo shut