Bootstrap

某高校园区网络的规划与建设

实验考试拓扑

在这里插入图片描述

VLAN 信息表

设备名称端口链路类型VLAN参数
HZ-HZCampus-Acc01-S5731GE0/0/1TrunkPVID:1
Allow pass:1 10 20
GE0/0/2AccessPVID:10
GE0/0/3TrunkPVID:
Allow pass:1 10 20
HZ-HZCampus-Acc02-S5731GE0/0/1TrunkPVID:1
Allow pass:1 10 20
GE0/0/2AccessPVID:20
GE0/0/3TrunkPVID:1
Allow pass:1 10 20
HZ-HZCampus-Agg01-S5731GE0/0/1TrunkPVID:1
Allow pass:1 10 20
GE0/0/2TrunkPVID:1
Allow pass:1 10 20
GE0/0/5TrunkPVID:1
Allow pass:1 10 20
Eth-Trunk1TrunkPVID:1
Allow pass:10 20
HZ-HZCampus-Acc03-S5731Eth-Trunk1TrunkPVID:1
Allow pass:10 20

IP 地址规划表

设备名称端口IP地址
HZ-HZCampus-Core01-AR6140GE0/0/0.1192.168.10.254/24
GE0/0/0.2192.168.20.254/24
GE0/0/11.2.3.1/30
GE0/0/23.2.1.1/30
InternetGE0/0/11.2.3.2/30
SH-SHEDU-Backbone01-AR6140GE0/0/110.2.34.3/24
GE0/0/23.2.1.2/30
Loopback03.3.3.3/32
SH-SHEDU-Backbone02-AR6140GE0/0/010.2.34.4/24
GE0/0/110.2.45.4/24
Loopback04.4.4.4/32
SH-SHEDU-Backbone03-AR6140GE0/0/010.2.45.5/24
Loopback05.5.5.5/32

实验步骤

任务 1:设备命名

为了方便后期维护和故障定位及网络的规范性,需要对网络设备进行规范化命名。 根据实验考试拓扑对设备进行命名。 命名规则为:城市-设备的设置地点-设备的功能属性和序号-设备型号。 例如:处于杭州校园的核心层路由器,命名为:HZ-HZCampus-Core01-AR6140。
注意大小写,务必与实验考试拓扑保持一致。 每台设备上都需配置

#交换机 四台
[Huawei]sysname HZ-HZCampus-Acc01-S5731
[Huawei]sysname HZ-HZCampus-Acc02-S5731
[Huawei]sysname HZ-HZCampus-Agg01-S5731
[Huawei]sysname HZ-HZCampus-Acc03-S5731 

#路由器 五台
[Huawei]sysname HZ-HZCampus-Core01-AR6140
[Huawei]sysname Internet
[Huawei]sysname SH-SHEDU-Backbone01-AR6140
[Huawei]sysname SH-SHEDU-Backbone02-AR6140
[Huawei]sysname SH-SHEDU-Backbone03-AR6140

任务 2:链路聚合

园区本地服务器区,为校园用户提供内网服务。为了保证链路的稳定性,同时在不升级硬件设备的前提下最大限度的提升带宽。在 Agg01与 Acc03之间配置链路聚合。通过Lacp模式实现二层链路聚合,成员接口为 GE0/0/3、GE0/0/4,链路聚合接口ID为1。

[HZ-HZCampus-Agg01-S5731]int Eth-Trunk 1 
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]mode lacp-static
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]q
[HZ-HZCampus-Acc03-S5731]int Eth-Trunk 1
[HZ-HZCampus-Acc03-S5731-Eth-Trunk1]mode lacp-static
[HZ-HZCampus-Acc03-S5731-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4
[HZ-HZCampus-Acc03-S5731-Eth-Trunk1]q

任务 3:VLAN

全网设备按照要求配置所需的VLAN。 根据实验考试拓扑和VLAN信息,在对应交换机上配置所需的VLAN。
注意:为了保证网络的连通性,交换机只允许题目中规定的 VLAN 通过。

[HZ-HZCampus-Acc01-S5731]vlan batch 10 20
[HZ-HZCampus-Acc01-S5731]int g0/0/2
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/2]port link-type access 
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/2]port default  vlan 10
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/2]q
[HZ-HZCampus-Acc01-S5731]int g0/0/3
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/3]port link-type trunk 	
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/3]port trunk allow-pass vlan 1 10 20
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/3]q
[HZ-HZCampus-Acc01-S5731]int g0/0/1
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/1]port link-type trunk 
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/1]port trunk allow-pass vlan 1 10 20
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/1]q
[HZ-HZCampus-Acc02-S5731]vlan batch 10 20 
[HZ-HZCampus-Acc02-S5731]int g0/0/2
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/2]port link-type access 
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/2]port default vlan 20
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/2]q
[HZ-HZCampus-Acc02-S5731]int g0/0/3
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/3]port link-type trunk 
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/3]q
[HZ-HZCampus-Acc02-S5731]int g0/0/1
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/1]port link-type trunk
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20	
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/1]q
[HZ-HZCampus-Agg01-S5731]vlan batch 10 20 
[HZ-HZCampus-Agg01-S5731]int g0/0/1
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]port link-type trunk
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]port trunk allow-pass vlan 1 10 20
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]q
[HZ-HZCampus-Agg01-S5731]int g0/0/2
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/2]port link-type trunk
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/2]port trunk allow-pass vlan 1 10 20
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/2]q
[HZ-HZCampus-Agg01-S5731]int g0/0/5
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/5]port link-type trunk
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/5]port link-type trunk 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/5]port trunk allow-pass vlan 1 10 20 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/5]q
[HZ-HZCampus-Agg01-S5731]int Eth-Trunk 1
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]port link-type trunk 
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]undo port trunk allow-pass vlan 1
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]port trunk allow-pass vlan 10 20 
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]q
[HZ-HZCampus-Acc03-S5731]vlan batch 10 20 
[HZ-HZCampus-Acc03-S5731]int Eth-Trunk 1
[HZ-HZCampus-Acc03-S5731-Eth-Trunk1]port link-type trunk 
[HZ-HZCampus-Acc03-S5731-Eth-Trunk1]port trunk allow-pass vlan 10 20 
[HZ-HZCampus-Acc03-S5731-Eth-Trunk1]undo  port trunk allow-pass vlan 1
[HZ-HZCampus-Acc03-S5731-Eth-Trunk1]q

任务 4:IP 编址

请根据实验考试拓扑和IP地址规划给出的信息,配置对应网络设备接口的IP地址。

[HZ-HZCampus-Core01-AR6140]int g0/0/0.1 
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.1]ip address 192.168.10.254 24
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.1]dot1q termination vid 10
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.1]arp broadcast enable
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.1]q
[HZ-HZCampus-Core01-AR6140]int g0/0/0.2
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.2]ip address 192.168.20.254 24 
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.2]dot1q termination vid 20
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.2]arp broadcast enable
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/0.2]q
[HZ-HZCampus-Core01-AR6140]int g0/0/1
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/1]ip address 1.2.3.1 30
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/1]q
[HZ-HZCampus-Core01-AR6140]int g0/0/2
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/2]ip address 3.2.1.1 30
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/2]q
[Internet]int g0/0/1	
[Internet-GigabitEthernet0/0/1]ip address 1.2.3.2 30 
[Internet-GigabitEthernet0/0/1]q
[SH-SHEDU-Backbone01-AR6140]int g0/0/2
[SH-SHEDU-Backbone01-AR6140-GigabitEthernet0/0/2]ip address 3.2.1.2 30 
[SH-SHEDU-Backbone01-AR6140-GigabitEthernet0/0/2]q
[SH-SHEDU-Backbone01-AR6140]int g0/0/1
[SH-SHEDU-Backbone01-AR6140-GigabitEthernet0/0/1]ip address 10.2.34.3 24 
[SH-SHEDU-Backbone01-AR6140-GigabitEthernet0/0/1]q
[SH-SHEDU-Backbone01-AR6140]int LoopBack 0
[SH-SHEDU-Backbone01-AR6140-LoopBack0]ip address 3.3.3.3 32
[SH-SHEDU-Backbone01-AR6140-LoopBack0]q
[SH-SHEDU-Backbone02-AR6140]int g0/0/0
[SH-SHEDU-Backbone02-AR6140-GigabitEthernet0/0/0]ip address 10.2.34.4 24 
[SH-SHEDU-Backbone02-AR6140-GigabitEthernet0/0/0]q
[SH-SHEDU-Backbone02-AR6140]int g0/0/1
[SH-SHEDU-Backbone02-AR6140-GigabitEthernet0/0/1]ip address 10.2.45.4 24 
[SH-SHEDU-Backbone02-AR6140-GigabitEthernet0/0/1]q
[SH-SHEDU-Backbone02-AR6140]int LoopBack 0
[SH-SHEDU-Backbone02-AR6140-LoopBack0]ip address 4.4.4.4 32
[SH-SHEDU-Backbone02-AR6140-LoopBack0]q
[SH-SHEDU-Backbone03-AR6140]int g0/0/0
[SH-SHEDU-Backbone03-AR6140-GigabitEthernet0/0/0]ip address 10.2.45.5 24
[SH-SHEDU-Backbone03-AR6140-GigabitEthernet0/0/0]q
[SH-SHEDU-Backbone03-AR6140]int LoopBack 0
[SH-SHEDU-Backbone03-AR6140-LoopBack0]ip address 5.5.5.5 32
[SH-SHEDU-Backbone03-AR6140-LoopBack0]q

任务 5:RSTP

为了防止二层网络中出现环路和提高网络可靠性,在Acc01、Acc02和Agg01之间配置STP协议。

  1. STP模式为RSTP。设置Agg01的优先级为4096使其成为根桥。
[HZ-HZCampus-Acc01-S5731]stp mode rstp


[HZ-HZCampus-Acc02-S5731]stp mode rstp


[HZ-HZCampus-Agg01-S5731]stp mode rstp
[HZ-HZCampus-Agg01-S5731]stp priority 4096
  1. 为了最大限度的保证网络的稳定性,避免主机频繁重启导致的网络波动。要求所有与PC相连的交换机端口,不参加STP计算,直接进入Forwarding状态转发。
[HZ-HZCampus-Acc01-S5731]int g0/0/2
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/2]stp edged-port enable
[HZ-HZCampus-Acc01-S5731-GigabitEthernet0/0/2]q


[HZ-HZCampus-Acc02-S5731]int g0/0/2
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/2]stp edged-port enable
[HZ-HZCampus-Acc02-S5731-GigabitEthernet0/0/2]q

任务 6:出口设计

以上ACL均使用基本ACL,编号2000匹配192.168.10.0/24网段。编号2001匹配192.168.20.0/24网段,rule编号从5开始,采用默认步长。

  1. 为了能够让校园用户访问互联网和通过教育骨干网访问其他学校的资料库。
  • 在Core01上部署两条缺省的静态路由,下一跳分别指向Internet和Backbone01。
  • 在Backbone01上部署明细静态路由,目的网段是192.168.20.0,下一跳指向Core01。
  • 在Internet上部署明细静态路由,目的网段是192.168.10.0,下一跳指向Core01。
[HZ-HZCampus-Core01-AR6140]ip route-static 0.0.0.0 0.0.0.0 1.2.3.2 
[HZ-HZCampus-Core01-AR6140]ip route-static 0.0.0.0 0.0.0.0 3.2.1.2 


[SH-SHEDU-Backbone01-AR6140]ip route-static 192.168.20.0 255.255.255.0 3.2.1.1 


[Internet]ip route-static 192.168.10.0 255.255.255.0 1.2.3.1 
  1. 为了实现内网192.168.10.0/24网段用户能够访问外网(Internet),在 Core01上配 置NAT,结合 ACL permit语句,使用Easy IP实现。
[HZ-HZCampus-Core01-AR6140]acl 2000
[HZ-HZCampus-Core01-AR6140-acl-basic-2000]rule 5 permit source 192.168.10.0 0.0.0.255
[HZ-HZCampus-Core01-AR6140-acl-basic-2000]q
[HZ-HZCampus-Core01-AR6140]int g0/0/1
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/1]nat outbound 2000
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/1]q
  1. 为了保证教育骨干网的安全,只允许内网192.168.20.0/24网段用户能够访问其他 学校的资料库。结合 ACL permit语句,在Core01接口的出方向实现。
[HZ-HZCampus-Core01-AR6140]acl 2001
[HZ-HZCampus-Core01-AR6140-acl-basic-2001]rule 5 permit source 192.168.20.0 0.0.0.255 
[HZ-HZCampus-Core01-AR6140-acl-basic-2001]int g0/0/2
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/2]traffic-filter outbound acl 2001
[HZ-HZCampus-Core01-AR6140-GigabitEthernet0/0/2]q

任务 7:OSPF

为了保证教育骨干网之间的通信,选用动态路由协议OSPF作为教育骨干网的IGP。

  1. Backbone01、Backbone 02 和 Backbone 03之间运行OSPF,配置OSPF进程号为1,都在骨干区域0内。
  2. 在创建OSPF进程时手动设定Router ID与环回口地址一致。要求互联接口和Loopback接口所在网段采用32位精确宣告。

例如:将 1.2.3.4/24 此地址进行32位宣告的命令为 Network 1.2.3.4 0.0.0.0

  1. 为了保证路由交互的安全性,在Backbone01、Backbone 02和Backbone 03上采用区域认证,选择 md5 加密算法,认证密钥ID为1,密钥类型为cipher,密码为“huawei@123”。
#SH-SHEDU-Backbone01-AR6140
[SH-SHEDU-Backbone01-AR6140]ospf 1 router-id 3.3.3.3
[SH-SHEDU-Backbone01-AR6140-ospf-1]area 0
[SH-SHEDU-Backbone01-AR6140-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher huawei@123
[SH-SHEDU-Backbone01-AR6140-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[SH-SHEDU-Backbone01-AR6140-ospf-1-area-0.0.0.0]network 10.2.34.3 0.0.0.0
[SH-SHEDU-Backbone01-AR6140-ospf-1-area-0.0.0.0]q


#SH-SHEDU-Backbone02-AR6140
[SH-SHEDU-Backbone02-AR6140]ospf 1 router-id 4.4.4.4
[SH-SHEDU-Backbone02-AR6140-ospf-1]area 0
[SH-SHEDU-Backbone02-AR6140-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher huawei@123
[SH-SHEDU-Backbone02-AR6140-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[SH-SHEDU-Backbone02-AR6140-ospf-1-area-0.0.0.0]network 10.2.45.4 0.0.0.0
[SH-SHEDU-Backbone02-AR6140-ospf-1-area-0.0.0.0]network 10.2.34.4 0.0.0.0
[SH-SHEDU-Backbone02-AR6140-ospf-1-area-0.0.0.0]q


#SH-SHEDU-Backbone03-AR6140
[SH-SHEDU-Backbone03-AR6140]ospf 1 router-id 5.5.5.5
[SH-SHEDU-Backbone03-AR6140-ospf-1]area 0
[SH-SHEDU-Backbone03-AR6140-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher huawei@123
[SH-SHEDU-Backbone03-AR6140-ospf-1-area-0.0.0.0]network 5.5.5.5 0.0.0.0
[SH-SHEDU-Backbone03-AR6140-ospf-1-area-0.0.0.0]network 10.2.45.5 0.0.0.0
[SH-SHEDU-Backbone03-AR6140-ospf-1-area-0.0.0.0]q

任务 8:路由引入

为了使内网用户能够通过教育骨干网和其他校区正常通信,在 Backbone01 上将静态路由引入 OSPF。
路由引入的命令为:Import-route

[SH-SHEDU-Backbone01-AR6140]ospf 1 
[SH-SHEDU-Backbone01-AR6140-ospf-1]import-route static
[SH-SHEDU-Backbone01-AR6140-ospf-1]q

任务 9:Telnet

为了方便后期对 Core01 进行远程管理,需在该设备上配置远程登录设置。
用户认证方式为 AAA 认证,用户名为 huawei,密码为 Huawei@123,加密形式为cipher,服务类型为 telnet,配置服务器的用户权限等级为 3 级,设置同时在线人数为5 人,认证方式为 aaa。

[HZ-HZCampus-Core01-AR6140]user-interface vty 0 4 
[HZ-HZCampus-Core01-AR6140-ui-vty0-4]authentication-mode aaa
[HZ-HZCampus-Core01-AR6140-ui-vty0-4]aaa
[HZ-HZCampus-Core01-AR6140-aaa]local-user huawei password cipher Huawei@123 
[HZ-HZCampus-Core01-AR6140-aaa]local-user huawei privilege level 3
[HZ-HZCampus-Core01-AR6140-aaa]local-user huawei access-limit 5
[HZ-HZCampus-Core01-AR6140-aaa]local-user huawei service-type telnet
[HZ-HZCampus-Core01-AR6140-aaa]q

验证

  1. 检查Eth-Trunk的配置:display eth-trunk 1,查看接口ID、工作模式、成员接口等配置是否符合要求。
  2. 检查VLAN的配置:display vlan、display current-configuration。
  3. 检查IP的配置:display ip interface brief、display current-configuration。
  4. 检查RSTP的配置:display stp、display stp brief。
  5. 检查OSPF、路由引入的配置:display ospf routing、display current-configuration、抓包、ping测试。
  6. 检查出口设计的配置:display ip routing、display current-configuration、使用PC ping测试。
  7. 检查telnet的配置:display local-user、在网络互通的设备上telnet验证配置。
    在这里插入图片描述
;