标签:架构 vlan GigabitEthernet0 192.168 interface 华为 SW1 eNSP port
华为ENSP两层架构综合实验
- 一、企业网划分多个VLAN,减少广播域大小,提高网络稳定性。
- 二、在核心上配置DHCP地址段,有3个VLAN,配置三个地址池。
- 三、所有设备在任何位置都可以telnet远程管理。
- 四、配置出口NAT
- 五、优化配置
1.企业内网划分多个VLAN,减少广播域大小,提高网络稳定性。
2.用户的网关配置在核心交换机,所有用户均为自动获取IP地址。
3.所有设备,在任何位置都可以telnet远程管理。
4.出口配置NAT
5.stp运行RSTP模式,确保核心交换机为根桥。并将接入的用户接口配置为边缘端口加快收敛。
6.配置根桥保护措施,确保根桥不被抢占
7.在企业出口将内网服务器的80端口映射出去,允许外网用户访问。
8.企业财务服务器,只允许财务部VLAN30的员工访问。
一、企业网划分多个VLAN,减少广播域大小,提高网络稳定性。
用户的网关配置在核心交换机上。接入层交换机配置VLAN,并将用户划入相应的VLAN;配置好Trunk链路;核心上配置VLAN和SVI虚拟VLAN接口。
配置接口顺序从底往上。
交换机S3700有两个22个百兆接口Ethernet,端口为23和24的两个千兆接口Gigabit:gi0/0/1、gi0/0/2,连接核心交换机是上联级联接口gi0/0/1。
(一)配置接入交换机SW2接口。
1.创建VLAN10和VLAN20
system-view
[Huawei]sysname SW2
[SW2]undo info-center enable #关闭消息中心
[SW2]vlan batch 10 30 #批量创建VLAN10和30
[SW2]interface e0/0/1
[SW2-Ethernet0/0/1]port link-type access
[SW2-Ethernet0/0/1]port default vlan 10 #配置接口为VLAN 10
[SW2-Ethernet0/0/1]dis this
interface Ethernet0/0/1
port link-type access
port default vlan 10
return
[SW2]interface e0/0/2
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 30
[SW2-Ethernet0/0/2]dis this
interface Ethernet0/0/2
port link-type access
port default vlan 30
return
[SW2]niterface gi0/0/1
[SW2]interface gi0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 30
(二)配置接入交换机SW3接口。
system-view
[Huawei]sysname SW3
[SW3]undo info-center enable
[SW3]interface e0/0/1
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port default vlan 200
[SW3-Ethernet0/0/1]quit
[SW3]interface e0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 200
[SW3]interface gi0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 200 #允许VLAN 200数据通过
[SW3-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
return
(三)配置核心交换机SW1接口。
1.创建VLAN10 30 200
system-view
[Huawei]sysname SW1
[SW1]undo info-center enable
[SW1]interface gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 30 #允许VLAN10 和VLAN30通过
system-view
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 200 #允许VLAN200数据通过
[SW1-GigabitEthernet0/0/2]dis this
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
return
TG:tagged,表明是标号的是接口Trunk。
2.配置VLAN10 30 200的网关接口,用户可以ping通网关。
[SW1]interface vlan 10
[SW1-Vlanif10]ip address 192.168.10.1 24 #配置VLAN 10的网关
[SW1-Vlanif10]quit
[SW1]interface vlan 30 #配置VLAN 30的网关
[SW1-Vlanif30]ip address 192.168.30.1 24
[SW1-Vlanif30]quit
[SW1]interface vlan 200 #配置VLAN 30的网关
[SW1-Vlanif200]ip address 192.168.200.1 24
用户PC1可以ping通网关
system-view
[Huawei]sysname R2
[R2]undo info-center enable
二、在核心上配置DHCP地址段,有3个VLAN,配置三个地址池。
服务器可以使用静态的地址,故不做地址池VLAN200配置。
[SW1]ip pool vlan_10 #用户名为vlan_10 的地址池
[SW1-ip-pool-vlan_10]network 192.168.10.0 mask 24 #配置IP地址池
[SW1-ip-pool-vlan_10]gateway-list 192.168.10.1 #配置网关
[SW1-ip-pool-vlan_10]dns-list 119.29.29.29 #配置DNS
[SW1-ip-pool-vlan_10]dis this
ip pool vlan_10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 119.29.29.29
return
[SW1]ip pool vlan_30
[SW1-ip-pool-vlan_30]network 192.168.30.0 mask 24
[SW1-ip-pool-vlan_30]gateway-list 192.168.30.1
[SW1-ip-pool-vlan_30]dns-list 119.29.29.29
[SW1-ip-pool-vlan_30]dis this
ip pool vlan_30
gateway-list 192.168.30.1
network 192.168.30.0 mask 255.255.255.0
dns-list 119.29.29.29
return
[SW1]dhcp enable #启用DHCP功能
[SW1]interface vlan 10
[SW1-Vlanif10]dhcp select global
[SW1-Vlanif10]dis this
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
dhcp select global
[SW1]interface vlan 30
[SW1-Vlanif30]dhcp select global
[SW1-Vlanif30]dis this
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
dhcp select global
return
PC2主机DHCP自动获取IP地址
三、所有设备在任何位置都可以telnet远程管理。
(一)配置核心交换机SW1
[SW2]telnet server enable #开启telnet功能,华为默认开启
[SW2-aaa]local-user apple password simple 123456 privilege level 3
#用户名apple,密码123456,权限级别为3级
[SW2-aaa]local-user apple service-type telnet #指定账号的服务类型为telnet
[SW2-aaa]dis this
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
local-user apple password simple 123456
local-user apple privilege level 3
local-user apple service-type telnet
return
[SW2]user-interface vty 0 4 #同时允许5个人远程控制
[SW2-ui-vty0-4]authentication-mode aaa #认证模式采用aaa
[SW2-ui-vty0-4]dis this
user-interface con 0
user-interface vty 0 4
authentication-mode aaa
return
(二)同理,把下面的配置分别复制到SW2、SW3和路由器R1上。R2是运营商,不做配置。
aaa
local-user apple password simple 123456
local-user apple privilege level 3
local-user apple service-type telnet
user-interface vty 0 4
authentication-mode aaa
(三)配置管理VLAN999:管理地址段:192.168.255.X
system-view
[SW1]vlan 999
[SW1-vlan999]qu
[SW1]interface vlan 999
[SW1-Vlanif999]ip address 192.168.255.1 24 #配置管理IP地址
[SW1-Vlanif999]dis this
interface Vlanif999
ip address 192.168.255.1 255.255.255.0
return
[SW1]interface gi0/0/1
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
[SW1-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30 999
return
[SW1-GigabitEthernet0/0/1]qu
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 999
save
[SW2]vlan 999
[SW2]interface vlan 999
[SW2-Vlanif999]ip address 192.168.255.2 24
[SW2-Vlanif999]dis this
interface Vlanif999
ip address 192.168.255.2 255.255.255.0
return
[SW2]interface gi0/0/1
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
[SW2-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30 999
return
[SW2]ip route-static 0.0.0.0 0 192.168.255.1 #给管理流量回包的缺省路由
save
[SW3]vlan 999
[SW3-vlan999]qu
[SW3]interface vlan 999
[SW3-Vlanif999]ip address 192.168.255.3 24
[SW3-Vlanif999]dis this
interface Vlanif999
ip address 192.168.255.3 255.255.255.0
return
[SW3]interface gi0/0/1
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
save
可在SW2交换机上telnet核心交换机SW1
四、配置出口NAT
(一)配置互联接口IP地址
[SW1]interface gi0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 800
[SW1]interface vlan 800
[SW1-Vlanif800]ip address 192.168.254.1 24 #配置SVI254.1和R1对联
[SW1-Vlanif800]dis this
interface Vlanif800
ip address 192.168.254.1 255.255.255.0
return
[R1]interface gi0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.254.2 24
[R1-GigabitEthernet0/0/0]dis this
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 192.168.254.2 255.255.255.0
return
[R1]ping 192.168.254.1
PING 192.168.254.1: 56 data bytes, press CTRL_C to break
Reply from 192.168.254.1: bytes=56 Sequence=1 ttl=255 time=110 ms
Reply from 192.168.254.1: bytes=56 Sequence=2 ttl=255 time=40 ms
Reply from 192.168.254.1: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 192.168.254.1: bytes=56 Sequence=4 ttl=255 time=40 ms
Reply from 192.168.254.1: bytes=56 Sequence=5 ttl=255 time=10 ms
— 192.168.254.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 29
[R1-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
return
save
[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]ip address 12.1.1.6 29
[R2-GigabitEthernet0/0/0]dis this
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.6 255.255.255.248
return
save
(二)配置缺省路由联通外网
[SW1]ip route-static 0.0.0.0 0 192.168.254.2 #核心交换机甩到出口外网R1的路由
[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]ip route-static 0.0.0.0 0 12.1.1.6 #出口外网R1甩到运营商的路由
[R1]ip route-static 192.168.0.0 255.255.0.0 192.168.254.1
#数据包从R1回传到企业内网192.168网段,将回包交给核心交换机
此时,PC1可以访问路由器R1和服务器R2,ping通9.9.9.9。
EasyIP:允许多个私网地址转换成一个公网IP,企业常用。
2.先写ACL匹配内网私网地址段
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R1-acl-basic-2000]dis this
[V200R003C00]
acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
return
2.在公网出口调用ACL
[R1]interface gi0/0/1 #出口配置
[R1-GigabitEthernet0/0/1]nat outbound 2000
save
五、优化配置
(一)配置STP和根网桥
STP:运行RSTP模式,确保核心交换机为根桥。并将接入用户的接口配置为边缘接口加快收敛。
配置根桥保护措施,确保根桥不被抢占。所有用户均为自动获取IP地址。
交换机配置RSTP快速模式。
[SW1]stp mode rstp
[SW2]stp mode rstp
[SW3]stp mode rstp
[SW1]stp priority 0 #核心桥为根桥
到根桥的接口配置根保护功能,发现抢占立即阻塞SW1两端接口,不建议用此功能。
[SW1]interface g0/0/1
[SW1-GigabitEthernet0/0/1]stp root-protection
[SW1-GigabitEthernet0/0/1]qu
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]stp root-protection
建议在接入交换机配置stp bpdu防护:保护根桥
作用:开启bpdu保护后,如果从边缘端口收到stp报文,交换机会自动将该接口shutdown。
从而确保根桥不被抢占,同时确保不会出现环路。
[SW2]stp bpdu-protection
[SW3]stp bpdu-protection
[SW2]port-group group-member e0/0/1 to e0/0/2 #用户的接口配置为边缘接口加快收敛
[SW2-Ethernet0/0/2]stp edged-port enable
[SW3]port-group group-member e0/0/1 to e0/0/2
[SW3-port-group]stp edged-port enable
[SW3-Ethernet0/0/1]stp edged-port enable
(二)在企业出口将内网服务器的80端口映射出去,允许外网用户访问。
在R1的出口配置
[R1]interface gi0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.4 www inside 192.
168.200.10 www
#将内网服务器192.168.200.10映射成公网地址 12.1.1.4 ,外网访问12.1.1.4可直接访问网页服务器192.168.200.10。
[R1-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
nat server protocol tcp global 12.1.1.4 www inside 192.168.200.10 www
nat outbound 2000
return
[R2]interface gi0/0/1
[R2-GigabitEthernet0/0/1]ip address 9.9.9.1 24
(三)企业财务服务器,只允许财务部(vlan 30)的员工访问
在核心交换机SW1上配置允许30,拒绝所有包通过
[SW1]acl 3000
[SW1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255 destination 192.1
68.200.20 0
允许192.168.30.0的VLAN30访问企业财务服务器192.168.200.20
[SW1-acl-adv-3000]rule deny ip source any destination 192.168.200.20 0
拒绝其他访问目标地址是192.168.200.20的财务部服务器
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 #在出接口启用acl3000
标签:架构,vlan,GigabitEthernet0,192.168,interface,华为,SW1,eNSP,port 来源: https://blog.csdn.net/qq_27383609/article/details/113447194
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。