总部网络的设计围绕STP和OSPF协议进行。STP(生成树协议)用于构建无环拓扑结构,避免网络环路带来的广播风暴问题。OSPF(开放式最短路径优先)则用于路由选择,确保数据包能够高效、准确地在网络中传输。总部交换网络中的SW1被设置为根桥,并配置了低优先级,以确保其成为网络的中心。同时,R1与SW1之间运行OSPF协议,并设置区域验证,增强了网络安全。
在总部网络中,我们还使用了DHCP服务。PC5模拟内网服务器,对外网用户提供服务。R1和R2分别配置了NAT、ACL等策略,确保网络安全,并允许内网主机访问外网资源。为了实现网络冗余,我们还采用了PPP链路,以便在一条链路发生故障时,数据可以自动切换到备用链路上。
分部网络的配置与总部类似,但有所简化。SW4作为分部网络的核心交换机,负责配置VLAN和dhcp服务。R2与SW4之间也运行OSPF协议,并通过NAT策略实现内网主机访问外网资源。分部网络还配置了PPP链路与总部网络互联,确保数据能够在这两个网络之间高效传输。
为了提高网络可靠性,我们还为R2配置了默认路由,当外网链路发生故障时,数据可以自动切换到总部网络,通过PPP链路访问外网。这种网络冗余机制可以有效提高网络可用性,降低故障对业务的影响。
综上所述,本文介绍了总部和分部网络的设计案例,包括STP、OSPF、NAT、ACL、DHCP等关键配置。在实际网络环境中,我们还需要根据具体需求调整配置,确保网络稳定、高效、安全。此外,随着网络技术的不断发展,我们还需要关注新技术和新协议,以便在网络规划和设计中更好地利用这些技术。
1、实验要求
假如你是某公司网管员,要为总部和分部规划网络。左边蓝色区域为总公司内部网络,右边黄色区域为分公司内部网络,上方模拟ISP。
总部交换网络,生成树采用STP,SW1为根桥,优先级0;
R1与SW1之间运行之间运行 OSPF,进程号 1,RID手动设置为环回口地址,起区域验证;
PC5模拟内网服务器,使用公网地址 101.1.1.111 为外网用户提供各种服务;
R2与SW4之间运行OSPF,进程号 1,RID手动设置为环回口地址,起区域验证;
SW4启用DHCP,为vlan30分配ip和网关,名称30,租期2天。
R1/R2配置相应ACL、NAT、默认路由等
总部与分部,实现线路的冗余。这里采用PPP链路实验,实际环境可以采用更好的IPSec VPN。
网络优化,当R2的外网故障时,要求vlan30的主机可以通过PPP链路走R1与外网通信。
等更多,细看代码解读。。。。。。。
2、实验拓扑
3、实验需求
如图所示,配置ISP、R1、R2的公网IP地址和设备名称。
网络的IP规划如下:
R1与ISP相连的网段为101.1.1.0/24;
R2与ISP相连的网段为101.1.2.0/24;
R1与R2相连的网段为192.168.12.0/30;
R1与SW1相连的网段为192.168.2.0/24;
R2与SW4相连的网段为192.168.4.0/24;
PC5的地址为172.16.1.1/24,网关为172.16.1.254/24;(vlan 172)
PC1属于Vlan10,ip地址为:192.168.10.1,网关是192.168.10.254/24;
PC2属于Vlan20,ip地址为:192.168.20.1,网关是192.168.20.254/24;
PC3属于Vlan30,IP地址自动获取,网关是192.168.30.254/24;
R1的loopback0地址为1.1.1.1/32;
R2的loopback0地址为2.2.2.2/32;
SW1的loopback0地址为10.1.1.1/32;
SW4的loopback0地址为10.4.4.4/32;
4、配置思路
4.1 总部配置
4.1.1 在SW1、SW2、SW3上配置交换网络
SW1:
[Huawei]sysnameSW1 [SW1]vlanbatch1020172 [SW1]interfaceg0/0/2 [SW1-GigabitEthernet0/0/2]portlink-typeTrunk [SW1-GigabitEthernet0/0/2]porttrunkallow-passvlan1020172 [SW1-GigabitEthernet0/0/2]interfaceg0/0/3 [SW1-GigabitEthernet0/0/3]portlink-typetrunk [SW1-GigabitEthernet0/0/3]porttrunkallow-passvlan1020172 [SW1-GigabitEthernet0/0/3]interfaceg0/0/4 [SW1-GigabitEthernet0/0/4]portlink-typeAccess [SW1-GigabitEthernet0/0/3]portdefaultvlan172
SW2:
[Huawei]sysnameSW2 [SW2]vlanbatch1020172 [SW2]interfaceg0/0/2 [SW2-GigabitEthernet0/0/2]portlink-typetrunk [SW2-GigabitEthernet0/0/2]porttrunkallow-passvlan1020172 [SW2-GigabitEthernet0/0/2]interfaceg0/0/1 [SW2-GigabitEthernet0/0/1]portlink-typetrunk [SW2-GigabitEthernet0/0/1]porttrunkallow-passvlan1020172 [SW2-GigabitEthernet0/0/1]interfaceg0/0/3 [SW2-GigabitEthernet0/0/3]portlink-typeaccess [SW2-GigabitEthernet0/0/3]portdefaultvlan20
SW3:
[Huawei]sysnameSW3 [SW3]vlanbatch1020172 [SW3]interfaceg0/0/2 [SW3-GigabitEthernet0/0/2]portlink-typetrunk [SW3-GigabitEthernet0/0/2]porttrunkallow-passvlan1020172 [SW3-GigabitEthernet0/0/2]interfaceg0/0/1 [SW3-GigabitEthernet0/0/1]portlink-typetrunk [SW3-GigabitEthernet0/0/1]porttrunkallow-passvlan1020172 [SW3-GigabitEthernet0/0/1]interfaceg0/0/3 [SW3-GigabitEthernet0/0/3]portlink-typeaccess [SW3-GigabitEthernet0/0/3]portdefaultvlan10
4.1.2 SW1、SW2、SW3 运行 STP,且 SW1 为根桥
#SW1: [SW1]stpmodestp [SW1]stppriority0 #SW2: [SW2]stpmodestp #SW3: [SW3]stpmodestp
4.1.3 查看 SW1 的 stp 状态,确保是根桥
4.1.4 SW1 上创建 VLAN 网关
[SW1]interfacevlanif10 [SW1-Vlanif10]ipaddress192.168.10.25424 [SW1-Vlanif10]interfacevlanif20 [SW1-Vlanif20]iPaddress192.168.20.25424 [SW1-Vlanif20]interfacevlanif172 [SW1-Vlanif172]ipaddress172.16.1.25424
4.1.5 SW1、R1 进行配置,使得可以通信
SW1:
[SW1]interfaceloopback0 [SW1-LoopBack0]ipaddress10.1.1.132 [SW1]vlan100 [SW1-vlan100]interfacevlanif100 [SW1-Vlanif100]ipaddress192.168.2.224 [SW1]interfaceg0/0/1 [SW1-GigabitEthernet0/0/1]portlink-typeaccess [SW1-GigabitEthernet0/0/1]portdefaultvlan100
R1:
[Huawei]sysnameR1 [R1]interfaceg0/0/1 [R1-GigabitEthernet0/0/1]ipaddress192.168.2.124 [R1-GigabitEthernet0/0/1]interfaceloopback0 [R1-LoopBack0]ipaddress1.1.1.132
4.1.6 SW1、R1 配置 OSPF,并配置区域验证,密文显示。
SW1:
[SW1]ospf1router-id10.1.1.1 [SW1-ospf-1]area1 [SW1-ospf-1-area-0.0.0.1]network10.1.1.10.0.0.0 [SW1-ospf-1-area-0.0.0.1]network192.168.2.00.0.0.255 [SW1-ospf-1-area-0.0.0.1]network192.168.10.00.0.0.255 [SW1-ospf-1-area-0.0.0.1]network192.168.20.00.0.0.255 [SW1-ospf-1-area-0.0.0.1]network172.16.1.00.0.0.255 [SW1-ospf-1-area-0.0.0.1]authentication-Modemd51cipherhuawei
R1:
[R1]ospf1router-id1.1.1.1 [R1-ospf-1]area1 [R1-ospf-1-area-0.0.0.1]network192.168.2.00.0.0.255 [R1-ospf-1-area-0.0.0.1]authentication-modemd51cipherhuawei
4.1.7 检查 R1 上可以学习到 VLAN10、20、172 的路由,主机能与 R1 互通
4.1.8 配置ISP相应接口
[ISP]interfaceg0/0/0 [ISP-GigabitEthernet0/0/0]ipadd101.1.1.324 [ISP-GigabitEthernet0/0/0]interfaceg0/0/01 [ISP-GigabitEthernet0/0/1]ipaddress101.1.2.324 [ISP-GigabitEthernet0/0/1]interfaceloopback0 [ISP-LoopBack0]ipaddress8.8.8.832
4.1.9 R1、SW1 配置相应接口、默认路由、NAT
PC5模拟内网服务器,使用公网地址 101.1.1.111 为外网用户提供各种服务
SW1:
[SW1]iproute-static0.0.0.00.0.0.0192.168.2.1
R1:
[R1]iproute-static0.0.0.00.0.0.0101.1.1.3 [R1]acl2000 [R1-acl-bASIC-2000]rule5permitsourcE192.168.10.00.0.0.255 [R1-acl-basic-2000]rule10permitsource192.168.20.00.0.0.255 [R1]interfaceg0/0/0 [R1-GigabitEthernet0/0/0]ipadd101.1.1.124 [R1-GigabitEthernet0/0/0]natoutbound2000 [R1-GigabitEthernet0/0/0]natstaticglobal101.1.1.111inside172.16.1.1netmask255.255.255.255 *说明:此处使用natserverglobal101.1.1.111inside172.16.1.1也可以,没有区别。
4.1.10 检查 PC 机与 ISP 通信
4.2 分部配置
4.2.1 在 SW 4上配置交换网络
SW4:
[Huawei]sysnameSW4 [SW4]vlan30 [SW4-vlan30]interfaceg0/0/2 [SW4-GigabitEthernet0/0/2]portlink-typeaccess [SW4-GigabitEthernet0/0/2]portdefaultvlan30
4.2.2 在 SW4 上配置 DHCP
SW4:
[SW4]interfacevlanif30 [SW4-Vlanif30]ipaddress192.168.30.25424 [SW4]ippool30 [SW4-ip-pool-30]gateway-list192.168.30.254 [SW4-ip-pool-30]network192.168.30.0mask255.255.255.0 [SW4-ip-pool-30]leaseday2 [SW4]interfacevlanif30 [SW4-Vlanif30]dhcpseLECtglobal
4.2.3 检查 PC3 可以正常获取地址
4.2.4 SW4、R2 进行配置,使得可以通信
SW4:
[SW4]vlan100 [SW4-vlan100]interfacevlanif100 [SW4-Vlanif100]ipaddress192.168.4.224 [SW4-Vlanif100]interfaceg0/0/1 [SW4-GigabitEthernet0/0/1]portlink-typeaccess [SW4-GigabitEthernet0/0/1]portdefaultvlan100 [SW4-GigabitEthernet0/0/1]interfacelo0 [SW4-LoopBack0]ipaddress10.4.4.432
R2:
[Huawei]sysnameR2 [R2]interfaceg0/0/1 [R2-GigabitEthernet0/0/1]ipaddress192.168.4.124 [R2-GigabitEthernet0/0/1]interfaceloopback0 [R2-LoopBack0]ipaddress2.2.2.232
4.2.5 SW4、R4 配置 OSPF,并起区域验证。
SW4:
[SW4]ospf1router-id10.4.4.4 [SW4-ospf-1]area2 [SW4-ospf-1-area-0.0.0.2]network192.168.30.00.0.0.255 [SW4-ospf-1-area-0.0.0.2]network10.4.4.40.0.0.0 [SW4-ospf-1-area-0.0.0.2]network192.168.4.00.0.0.255 [SW4-ospf-1-area-0.0.0.2]authentication-modemd51cipherhuawei
R2:
[R2]ospf1router-id2.2.2.2 [R2-ospf-1]area2 [R2-ospf-1-area-0.0.0.2]network2.2.2.20.0.0.0 [R2-ospf-1-area-0.0.0.2]network192.168.4.00.0.0.255 [R2-ospf-1-area-0.0.0.2]authentication-modemd51cipherhuawei
4.2.6 检查 R2 上可以学习到 VLAN30 的路由,主机能与 R2 互通
4.2.7 R2、SW4 配置相应接口、默认路由、NAT
SW4: [SW4]iproute-static0.0.0.00.0.0.0192.168.4.1 R2: [R2]iproute-static0.0.0.00.0.0.0101.1.2.3 [R2]acl2000 [R2-acl-basic-2000]rule5permitsource192.168.30.00.0.0.255 [R2]interfaceg0/0/0 [R2-GigabitEthernet0/0/0]ipaddress101.1.2.224 [R2-GigabitEthernet0/0/0]natoutbound2000
4.2.8 检查 PC 机与 ISP 通信
4.3 配置总部和分部互联
4.3.1 配置 R1 的 AAA
R1为认证方,R2为被认证方,使用CHAP验证。
用户名为:zongbu,密码为:huawei,服务器类型为PPP。
R1:
[R1-aaa]local-userzongbupasswordcipherhuawei [R1-aaa]local-userzongbuservice-typeppp
4.3.2 配置 R1 的 IP,并为 R2 分配地址,采用 CHAP 认证
#R1: [R1]interfaces1/0/0 [R1-Serial1/0/0]ipaddress192.168.12.130 [R1-Serial1/0/0]remoteaddress192.168.12.2 [R1-Serial1/0/0]pppauthentication-modechap #R2: [R2]interfaces1/0/0 [R2-Serial1/0/0]pppchapuserzongbu [R2-Serial1/0/0]pppchappasswordcipherhuawei [R2-Serial1/0/0]ipaddressppp-negotiate
4.3.3 R1、R2 配置 ospf,启用区域MD5验证,key-id为1,密码为huawei
R1:
[R1]ospf1 [R1-ospf-1]area0 [R1-ospf-1-area-0.0.0.0]network1.1.1.10.0.0.0 [R1-ospf-1-area-0.0.0.0]network192.168.12.00.0.0.3 [R1-ospf-1-area-0.0.0.0]authentication-modemd51cipherhuawei
R2:
[R2]ospf1 [R1-ospf-1]area0 [R1-ospf-1-area-0.0.0.0]network2.2.2.20.0.0.0 [R1-ospf-1-area-0.0.0.0]network192.168.12.00.0.0.3 [R1-ospf-1-area-0.0.0.0]authentication-modemd51cipherhuawei
4.3.4 验证 PC1、PC2 能与 PC3 通信
4.4 网络优化
4.4.1 在 R1 和 R2 上配置,实现线路的冗余
当R2的外网故障时,要求vlan30的主机可以通过PPP链路走R1与外网通信。
#R1 [R1]acl2000 [R1-acl-basic-2000]rulepermitsource192.168.30.00.0.0.255 #R2 [R2]iproute-static0.0.0.00.0.0.0192.168.12.1preference70
完结,配置完成。。
审核编辑:汤梓红
