目录
项目背景
A企业计划建成高速、可靠、安全的企业内部网络,实现园区内信息网络的互联互通,并连接外部城域网及Internet网络,实现信息资源的访问和发布。项目总体设计情况为:
1 接入层设计
接入层交换机提供网络到桌面的数据业务连接服务,因此,接入层交换机必须具有灵活的业务处理能力、安全策略、扩展能力和强大的QoS能力等。接入层采用2台华为S3700交换机,具体为:
(1)根据业务需求,在接入层配置百兆或千兆二层交换机;
(2)交换机支持802.1q、SNMP协议和端口安全功能,根据学校业务划分多个不同的业务VLAN,用于分隔广播域;
(3)交换机端口上实现对允许连接计算机数量的控制,提高接入的安全性;
(4)每个接入层交换机通过2条上行链路连接到2台核心交换机,实现上行线路备份和负载分担。
2 汇聚层设计
汇聚层是核心层和接入层的分界点,为接入层的中高速业务提供接入服务。汇聚层交换机采用2台华为S5700交换机。具体为:
(1)汇聚层核心交换机采用高性能的三层交换机,2台核心交换机作为校园局域网的网关,实现互为备份,接入层交换机通过双链路连接到,并实现接入层VLAN之间的联通;
(2)2台核心交换机之间采用双链路连接,配置链路聚合,提高核心交换机之间的链路带宽和可靠性;
(3)采用MSTP+VRRP技术,实现接入层网关的备份和环路避免,提高网络可靠性;
(4)三层交换机的上行端口(路由端口)进行TRACK监测,并将监测与VRRP联动配合,实现网络在部分线路中断情况下的稳定运行;
(5)在三层交换机路由接口和核心层路由器内网接口之间启用RIPv2路由协议。
3)核心层设计
根据项目需求,核心层采用高性能华为AR2220系列路由器,实现企业网与外部Internet网的高速互联。其中,
(1)路由器AR1与三层交换机之间采用RIPv2路由协议;
(2)路由器AR1配置默认路由连接外部城域网;
(3)外部城域网内部采用OSPF协议,并在链路上启用OSPF协议CHAP认证。
项目拓扑图
IP地址分配
设备 | 接口 | 地址 | 掩码 | 网关 |
---|---|---|---|---|
PC-1 | E0/0/1 | 172.94.10.101 | 24 | 172.94.10.100 |
FTP服务器 | E0/0/1 | 172.94.10.102 | 24 | 172.94.10.100 |
PC-2 | E0/0/1 | 172.94.20.101 | 24 | 172.94.20.200 |
WWW服务器 | E0/0/1 | 172.94.20.102 | 24 | 172.94.20.200 |
SW1 | VLANIF2 | 172.94.10.100 | 24 | N/A |
VLANIF3 | 172.94.20.100 | 24 | N/A | |
VLANIF4 | 172.94.30.100 | 24 | N/A | |
VRRP | VRID1 | 172.94.10.254 | 24 | N/A |
VRRP | VRID2 | 172.94.20.254 | 24 | N/A |
SW2 | VLANIF2 | 172.94.10.200 | 24 | N/A |
VLANIF3 | 172.94.20.200 | 24 | N/A | |
VLANIF4 | 172.94.40.200 | 24 | N/A | |
SW3 | VLAN 10 | |||
SW4 | VLAN 20 | |||
AR1 | G0/0/1 | 172.94.30.101 | 24 | N/A |
G0/0/2 | 172.94.40.101 | 24 | N/A | |
G0/0/0 | 202.94.0.1 | 28 | N/A | |
公网地址池 | 202.94.0.5 - 202.94.0.14 | |||
AR2 | G0/0/0 | 202.94.0.2 | 28 | N/A |
G0/0/1 | 202.94.13.2 | 24 | N/A | |
G0/0/2 | 202.94.24.2 | 24 | N/A | |
AR3 | G0/0/1 | 202.94.13.3 | 24 | N/A |
G0/0/2 | 202.94.34.3 | 24 | N/A | |
AR4 | G0/0/1 | 202.94.24.4 | 24 | N/A |
G0/0/2 | 202.94.34.4 | 24 | N/A | |
G0/0/0 | 202.94.1.254 | 24 | N/A | |
Clinet1 | E0/0/0 | 202.94.1.1 | 24 | N/A |
配置步骤
1 搭建拓扑,配置计算机、服务器地址、网关。
2 完成配置交换机VLAN。
1) 在交换设备SW1、SW2、SW3、SW4上创建VLAN2、VLAN3
2 )在SW3、SW4下行端口配置默认VLAN,端口类型access,上行端口端口类型trunk,允许通过VLAN2,VLAN3。
[SW3]int e0/0/1
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port default vlan 2
[SW3-Ethernet0/0/1]int e0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 2
[SW3-Ethernet0/0/2]int e0/0/3
[SW3-Ethernet0/0/3]port link-type trunk
[SW3-Ethernet0/0/3]port trunk allow-pass vlan 2 3
[SW3-Ethernet0/0/3]int e0/0/5
[SW3-Ethernet0/0/5]port link-type trunk
[SW3-Ethernet0/0/5]port trunk allow-pass vlan 2 3
[SW4]int e0/0/1
[SW4-Ethernet0/0/1]port link-type access
[SW4-Ethernet0/0/1]port default vlan 3
[SW4-Ethernet0/0/1]int e0/0/2
[SW4-Ethernet0/0/2]port link-type access
[SW4-Ethernet0/0/2]port default vlan 3
[SW4-Ethernet0/0/2]int e0/0/4
[SW4-Ethernet0/0/4]port link-type trunk
[SW4-Ethernet0/0/4]port trunk allow-pass vlan 2 3
[SW4-Ethernet0/0/4]int e0/0/5
[SW4-Ethernet0/0/5]port link-type trunk
[SW4-Ethernet0/0/5]port trunk allow-pass vlan 2 3
3 )将交换设备SW1、SW2下行端口类型设置为trunk,SW1、SW2下行端口配置允许通过的VLAN。
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3
[SW1-GigabitEthernet0/0/5]int g0/0/4
[SW1-GigabitEthernet0/0/4]port link-type trunk
[SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3
[SW2]int g0/0/5
[SW2-GigabitEthernet0/0/5]port link-type trunk
[SW2-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3
[SW2-GigabitEthernet0/0/5]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type trunk
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
3 配置链路聚合。
SW1、SW2连接链路创建聚合链路Eth-trunk1,模式为手工链路负载均衡。分别在SW1、SW2上配置Eth-trunk1接口模式为trunk,允许通过VLAN2和VLAN3。
[SW1]int eth-trunk 1
[SW1-Eth-Trunk1]mode manual load-balance
[SW1-Eth-Trunk1]port link-type trunk
[SW1-Eth-Trunk1]port trunk allow-pass vlan 2 3
[SW1]int g0/0/7
[SW1-GigabitEthernet0/0/7]eth-trunk 1
[SW1-GigabitEthernet0/0/7]int g0/0/8
[SW1-GigabitEthernet0/0/8]eth-trunk 1
[SW2]int eth-trunk 1
[SW2-Eth-Trunk1]mode manual load-balance
[SW2-Eth-Trunk1]port link-type trunk
[SW2-Eth-Trunk1]port trunk allow-pass vlan 2 3
[SW2]int g0/0/7
[SW2-GigabitEthernet0/0/7]eth-trunk 1
[SW2-GigabitEthernet0/0/7]int g0/0/8
[SW2-GigabitEthernet0/0/8]eth-trunk 1
测试:SW1上查看Eth-trunk1接口情况dis Eth-trunk1。
4 配置VLAN三层接口实现VLAN间通信。
SW1、SW2上分别配置VLANIF2、VLANIF3接口,以实现VLAN间互通。在SW1、SW2上配置VLANIF4接口实现与AR1互联。
[SW1]int vlan 2
[SW1-Vlanif2]ip add 172.94.10.100 24
[SW1-Vlanif2]int vlan 3
[SW1-Vlanif3]ip add 172.94.20.100 24
[SW1-Vlanif3]q
[SW1]vlan 4
[SW1-vlan4]q
[SW1]int vlan 4
[SW1-Vlanif4]ip add 172.94.30.100 24
[SW2]int vlan 2
[SW2-Vlanif2]ip add 172.94.10.200 24
[SW2-Vlanif2]int vlan 3
[SW2-Vlanif3]ip add 172.94.20.200 24
[SW2]vlan 4
[SW2-vlan4]q
[SW2]int vlan 4
[SW2-Vlanif4]ip add 172.94.40.200 24
测试:使用PC1 ping PC2 ,验证不同VLAN用户的连通性并截图。
5 二层网络配置MSTP(10分)。
分别在SW1、SW2、SW3、SW4上配置MSTP。
1)配置SW1域名为RG1,创建实例MSTI1和实例MSTI2
[SW1]stp region-configuration
[SW1-mst-region]region-name RG1
[SW1-mst-region]instance 1 vlan 2
[SW1-mst-region]instance 2 vlan 3
[SW1-mst-region]active region-configuration
同样,进行SW2配置。
[SW2]stp region-configuration
[SW2-mst-region]region-name RG1
[SW2-mst-region]instance 1 vlan 2
[SW2-mst-region]instance 2 vlan 3
[SW2-mst-region]active region-configuration
SW3上配置域名RG1,创建实例MSTI1。
[SW3]stp region-configuration
[SW3-mst-region]region-name RG1
[SW3-mst-region]instance 1 vlan 2
[SW3-mst-region]active region-configuration
同理,SW4上配置域名RG1,创建实例MSTI2。
[SW4]stp region-configuration
[SW4-mst-region]region-name RG1
[SW4-mst-region]instance 2 vlan 3
[SW4-mst-region]active region-configuration
2)在域RG1内,配置MSTI1与MSTI2的根桥与备份根桥
配置MSTI1的根桥与备份根桥
[SW1]stp instance 1 root primary
[SW2]stp instance 1 root secondary
配置MSTI2的根桥与备份根桥
[SW2]stp instance 2 root primary
[SW1]stp instance 2 root secondary
3)使能MSTP,实现破除环路
设备全局使能MSTP
[SW1]stp enable
同理,在SW2、SW3、SW4启动MSTP。
4)将与AR1相连SW1和SW2的上行路由端口配置为边缘端口
配置SW1路由端口。
[SW1]interface gigabitethernet 0/0/1
[SW1-GigabitEthernet0/0/1]stp edged-port enable
同样配置SW2的路由端口为stp边缘端口。
[SW2]interface gigabitethernet 0/0/1
[SW2-GigabitEthernet0/0/1]stp edged-port enable
测试:在SW2上截图查看MSTP配置dis stp instance 1 brief,dis stp instance 2 brief。并简要解释。
6 配置VRRP备份组
在SW1和SW2上创建VRRP备份组1,配置SW1的优先级为120,抢占延时为20秒,作为Master设备;SW2的优先级为缺省值,作为Backup设备。
[SW1] interface vlanif 2
[SW1-Vlanif2] vrrp vrid 1 virtual-ip 172.94.10.254
[SW1-Vlanif2] vrrp vrid 1 priority 120
[SW1-Vlanif2] vrrp vrid 1 preempt-mode timer delay 20
[SW2] interface vlanif 2
[SW2] vrrp vrid 1 virtual-ip 172.94.10.254
在SW1和SW2上创建VRRP备份组2,配置SW2的优先级为120,抢占延时为20秒,作为Master设备;SW1的优先级为缺省值,作为Backup设备。
[SW2] interface vlanif 3
[SW2-Vlanif3] vrrp vrid 2 virtual-ip 172.94.20.254
[SW2-Vlanif3] vrrp vrid 2 priority 120
[SW2-Vlanif3] vrrp vrid 2 preempt-mode timer delay 20
[SW1] interface vlanif 3
[SW1-Vlanif3] vrrp vrid 2 virtual-ip 172.94.20.254
测试:在交换机SW2上display vrrp验证VRRP的配置结果,分别指出VRRP vrid2的Master和Backup设备。
7 配置VRRP1与TRACK1,VRRP2与TRACK2联动(5分)。
[SW1-Vlanif2]vrrp vrid 1 track interface g0/0/1 reduced 50
[SW2-Vlanif3]vrrp vrid 2 track interface g0/0/1 reduced 50
测试:关闭SW2的G0/0/1接口,再次指出VRRP vrid 2的Master和Backup设备,然后开启SW2的G0/0/1接口。
8 配置RIP协议。
在SW1、SW2、AR1上配置RIPv2,通告各相关接口网段,关闭路由汇总,实现内网互通。
[SW1]rip 1
[SW1-rip-1]ver 2
[SW1-rip-1]undo summary
[SW1-rip-1]network 172.94.0.0
[SW2]rip 1
[SW2-rip-1]ver 2
[SW2-rip-1]undo summary
[SW2-rip-1]network 172.94.0.0
[AR1]rip 1
[AR1-rip-1]ver 2
[AR1-rip-1]undo summary
[AR1-rip-1]network 172.94.0.0
9 配置AR1访问外网上的默认静态路由,并在AR1中发布RIP协议默认路由以实现SW1,SW2访问外网默认路由。
[AR1]ip route-static 0.0.0.0 0.0.0.0 202.94.0.2
[AR1]rip 1
[AR1-rip-1]default-route originate
10 城域网配置。
1)配置城域网AR2,AR3,AR4间ospf协议(AR2连接AR1的网段不启用OSPF,AR4连接终端的网段不启用OSPF)。
[AR2]ospf 1
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 202.94.13.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]network 202.94.24.0 0.0.0.255
[AR3]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 202.94.13.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]network 202.94.34.0 0.0.0.255
[AR4]ospf 1
[AR4-ospf-1]area 0
[AR4-ospf-1-area-0.0.0.0]network 202.94.34.0 0.0.0.255
[AR4-ospf-1-area-0.0.0.0]network 202.94.24.0 0.0.0.255
2)配置终端Clinet的IP地址,网关。
3)AR2上发布direct路由到OSPF。AR4上发布direct路由到OSPF。
[AR2]ospf 1
[AR2-ospf-1]import-route direct
[AR4]ospf 1
[AR4-ospf-1]import-route direct
11 配置NAPT。
使内网的用户共享公网IP地址池202.10.0.5-202.10.0.14访问外网。
[AR1]nat address-group 1 202.94.0.5 202.94.0.14
[AR1]acl 2001
[AR1-acl-basic-2001]rule 5 permit source 172.94.0.0 0.0.255.255
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1
12 配置服务器静态NAT。
使内网的FTP和WWW服务器分别使用公网IP地址202.94.1.3和202.94.1.4对外提供服务;
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]Nat server protocol tcp global 202.94.1.3 ftp inside 172.94.10.102 ftp
[AR1-GigabitEthernet0/0/0]Nat server protocol tcp global 202.94.1.4 www inside 172.94.20.102 www
[AR1]nat alg ftp enable
13 测试
1) 同时关闭SW1的G0/0/4和SW2的G0/0/3接口,测试PC1 到PC2的连通性并截图。而后再次开启接口。
2) 验证路由。在SW1上使用dis ip routing-table protocol rip和dis ip routing-table查看路由学习情况并截图。AR2上查看OSPF LSDB,并截图说明LSA的类型和数量。AR2查看OSPF协议学习到的路由并截图。
3) 分别测试PC1、PC2到Client的连通性,并在AR1的G0/0/0接口抓包,验证NAPT功能,并截图进行说明。
4) 使用外网客户端client分别访问FTP服务器、www服务器并截图验证。
最后附上本次实验项目的完整代码地址:https://download.csdn.net/download/LIMINGRUI_/18514400