實驗目的及要求:HCIA全部知識點,全網可通
具體是實現會一一介紹
本人已經將全部做完的實驗拓撲保存:鏈接:https://pan.baidu.com/s/1l8JlXiJlWJIhNNNswxY9tQ
提取碼:y1j5
配置思想:
首先從最低層開始進行配置
先將二層配置好再對三層進行配置
將vlan10、20、30、40分別劃入LSW3、LSW4中,並使用access接口
LSW1、LSW2分別爲vlan80、90
LSW5上分別爲vlan100、101、900,並使用access接口
lldp enable 便於以後查看周圍設備情況
display lldp neighbor brief 查看設備連接情況
將兩個核心交換機上的21、22口使用Trunk接口
核心交換機上配置E-T鏈路,接口必須是默認,不能有其他配置
display current-configuration interface GigabitEthernet 0/0/23查看接口的配置
將E-T鏈路配置成Trunk接口
將核心交換機的g0/0/1口配置成access接口,並劃入vlan80、90並關閉核心交換機的stp
stp disable(不要在全局上面關閉,在0/0/1接口上關閉即可)
在覈心交換機上創建vlan子接口,IP地址爲10.1.80.2/24 10.1.90.2/24
在總部的路由器上配置其他的接口0/0/0、0/0/1、0/0/2、1/0/0地址分別爲10.1.80.1/24 10.1.90.1/24、172.16.9.1/24 202.1.1.1/24
記得在總部寫一條靜態路由
在LSW5上,創建子接口 IP地址分別爲172.16.9.2/24、172.16.100.254/24、172.16.101.254/24
在DHCP服務器上,IP地址爲172.16.100.100/24,由於是路由器充當,加上一條默認路由
在sever上IP地址爲172.16.101.100/24 網關爲172.16.101.254 在http上添加一個工作目錄即可
四臺電腦全部改爲自動獲取IP地址
DNS服務器上IP地址爲202.96.134.133 網關爲202.96.134.254
dnserver的主機域名爲qq.com,並添加A記錄並啓動
internet路由器上地址:
0/0/0 101.1.1.254/24
0/0/1 202.1.1.254/24
0/0/2 61.1.1.254/24
2/0/0 9.9.9.254/24
2/0/1 8.8.8.254/24
2/0/2 202.96.134.254/24
PC7上IP地址8.8.8.8 網關8.8.8.254 client3上IP地址9.9.9.9 網關9.9.9.254
基本部署完成後開始部署生成樹
華爲默認爲MSTP
要求vlan10、30的流量走LSW1,並且LSW1作爲主根,LSW2作爲備份根
vlan20、40走LSW2
stp region-configuration
instance 10 vlan 10 30
instance 20 vlan 20 40
active region-configuration 激活
stp instance 10 root primary
stp instance 20 root secondary
在兩個三層交換機上創建vlanif接口:LSW1上是192.168.X.1/24 LSW2上是192.168.X.2/24
Vlanif10 192.168.10.1/24
Vlanif20 192.168.20.1/24
Vlanif30 192.168.30.1/24
Vlanif40 192.168.40.1/24
配置vlanif的虛擬IP地址:
命令:
interface vlanif 40
vrrp vrid 40 virtual-ip 192.168.40.254
Vlanif10 192.168.10.254
Vlanif20 192.168.20.254
Vlanif30 192.168.30.254
Vlanif40 192.168.40.254
注:上述配置在LSW1、LSW2上都做
在LSW1上並將vlan10、30的優先級修改大
vrrp vrid 10/30 priority 105
在LSW2上將vlan20/40的優先級修改大
vrrp vrid 20/40 priority 105
此時display vrrp brief查看狀態
部署路由
部署ospf協議(LSW1、LSW2、LSW5、AR1上部署)
注:vlanif在宣告時既可以
network 192.168.10.1 0.0.0.0
也可以將將網段宣告:
10 00001010————00101————00001010————0不變,不相同位變爲1————00111110
20 00010100————01010————00010100——————————————————————————00111110
30 00011110————01111————00011110—————————————————————————— 00111110
40 00101000————10100————00101000——————————————————————————00111110
故應爲192.168.0.1 0011110變爲10進製爲62
network 192.168.0.1 0.0.62.0
注:華爲平臺不支持此類方式,作爲練習即可,真機可以
z在兩個核心交換機上不用vlanif建立鄰居,故可以靜默掉
silent-interface Vlanif 10/20/30/40
注:vlanif 900 不能silent 900
在總部發布一條默認路由:
default-route-advertise
全局部署DHCP
G0/0/0接口上調用全局
dhcp select global
在覈心交換機上必須開啓DHCP中繼,否則主機無法學到IP地址
dhcp enable
進入vlanif接口:dhcp select relay
dhcp relay server-ip 172.16.100.100
注:兩個核心交換機上的所有vlanif接口都要做
現在主機無法ping同外網的互聯網主機8.8.8.8
需要做NAT地址轉換
在總部的g1/0/0接口上抓取所有流量,將該接口作爲轉換後的接口即可
acl 2000
rule permit
進入g1/0/0接口:
nat outbound 2000
此時也無法ping通qq.com,是因爲總部未開啓DNS解析功能
dns-server 202.96.134.133
dns resolve
注:多測試幾次看能否ping通qq.com
以上總部的所有配置基本完成,現在對BJ和GZ分支進行配置,並且打通總部、BJ、GZ之間的VPN
在BJ分支上:
對BJ-VPN的接口配置IP地址,並寫上一條靜態路由
g0/0/0 101.1.1.1/24
g0/0/1 192.168.80.254/24
兩臺主機上配置 192.168.80.100/24 網關192.168.80.254
192.168.80.101/24 網關192.168.80.254
此時保證內網用戶能夠上網:
在BJ-VPN上做nat地址轉換:
acl 2000
rule permit source 192.168.0.0 0.0.255.255
進g0/0/0接口:
nat outbound 2000
配置好主機地址、網關和DNS地址即可
此時做與總部的VPN
使用GRE協議,並且使用靜態將路由引入到Tunnel口中
總部:ip route-static 192.168.80.0 24 tunnel 0/0/0
BJ-VPN:ip route-static 192.168.0.0 16 tunnel 0/0/0
此時雙方主機能互相訪問
但分支無法訪問總部的server,原因在於,分支的主機路由在BJ-VPN上查找目的ip地址,發現沒有明細路由,就會使用8個0的默認路由,經過Internet後發送到了公網中,公網也沒有路由就會將數據包丟棄
所以應該在BJ-VPN上做引流,使其能夠走VPN隧道
ip route-static 172.16.101.100 32 tunnel 0/0/0
此時查看在總部有沒有去往192.168.80.0的路由,之前配置過。
此時,BJ-VPN分支就全部完成
在GZ分支上:
和BJ配置完全一樣
注:此時就存在一個問題,如果有1000個分支,那麼你的VPN隧道該如何設置呢,此時GRE的缺陷就顯示出來了。
你可以試着用IPSec VPN來對總部和GZ進行配置
這裏就不詳細介紹