上節回顧
HCIP之交換部分(二)
一、實驗要求:
1.用戶的網關配置在覈心交換機
2.企業內網劃分多個vlan,減少廣播域大小,提高網絡穩定性
3.所有設備,在任何位置都可以telnet遠程管理
4.出口配置NAT
5.stp運行RSTP模式,確保核心交換機爲根橋。並將接入用戶的接口配置爲緣端口加快收斂。
6.配置根橋保護措施,確保根橋不被搶佔
7.所有用戶均爲自動獲取ip地址
8.在企業出口將內網服務器的80端口映射出去,允許外網用戶訪問
9.企業財務服務器,只允許財務部(vlan 30)的員工訪問。
二、思路與配置:
- 先劃分vlan,連接用戶和數據中心的接入層交換機接口類型爲access,交換機之間爲trunk
SW1上:
undo info-center enable 關閉信息中心
sysname SW1
vlan batch 10 30 200
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
SW2上:
sysname SW2
undo info-center enable
vlan batch 10 30
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 30
SW3上:
undo info-center enable
sysname SW3
vlan batch 200
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
interface Ethernet0/0/2
port link-type access
port default vlan 200
interface Ethernet0/0/3
port link-type access
port default vlan 200
注:此時可以在主機上手工配置地址測試能否ping通網關看上述配置是否正確
- 配置DHCP(核心上配置)建立三個地址池,分別爲vlan 10、30、200分配地址。
一般服務器的地址是不會動態獲取的,手工配置即可
第一個地址池:
ip pool vlan_10
gateway-list 192.168.10.1
network 192.168.10.0 mask 24
dns-list 114.114.114.114 8.8.8.8
第二個地址池:
ip pool vlan_30
gateway-list 192.168.30.1
network 192.168.30.0 mask 24
dns-list 114.114.114.114 8.8.8.8
此時會發現還是不能獲取到地址,這是因爲沒有啓用dhcp,接口下也沒有全局採用
dhcp enable
int Vlanif 10
dhcp select global
int vlanif 30
dhcp select global
注:如果接入層交換機是三層的,需要啓用DHCP中繼
- telnet服務設置
配置:
telnet server enable 華爲設備默認開啓的
aaa
local-user hcip password simple hcip123 privilege level 3 賬戶密碼和優先級
local-user hcip service-type telnet 服務類型
quit 退出
user-interface vty 0 4 登錄人數5人
authentication-mode aaa
注:所有交換機上都需要配置
- 如何telnet到二層交換機?此時可以專門來設置一個管理vlan對telnet進行統一的管理
配置管理vlan 999
管理地址段:192.168.255.X
SW1:
vlan 999
int vlan 999
ip add 192.168.255.1 24
SW2:
vlan 999
int vlan 999
ip add 192.168.255.2 24
ip route-static 0.0.0.0 0 192.168.255.1 給管理流量回包的缺省路由
SW3:
vlan 999
int vlan 999
ip add 192.168.255.3 24
ip route-static 0.0.0.0 0 192.168.255.1
此時還是無法telnet,原因是管理vlan並沒有被允許通過各個交換機,設置所有接口允許vlan 999通過
進入接口:port trunk allow-pass vlan 999 追加到允許通過的vlan中
注:由於enspPC不支持telnet,可以用 SW2telnet其他地址進行測試,測試必須在用戶視圖下進行。
- 華爲的核心交換機上G0/0/3上默認是不能配置地址的,所以需要採用SVI技術配置地址,並配置好其他IP地址
SW1:
vlan 800
int g0/0/3
port link-type access
port default vlan 800
interface Vlanif800
ip address 192.168.254.1 24
R1:
interface g0/0/0
ip address 192.168.254.2 24
interface g0/0/1
ip address 12.1.1.1 29
R2:
SYS R2
int g0/0/0
ip add 12.1.1.6 29
int loopback 0
ip add 9.9.9.9 24
- 此時還是無法訪問外網,所以需要在覈心上配置缺省路由,然後在出口配置轉換
SW1:
ip route-static 0.0.0.0 0 192.168.254.2
R1:
acl 2000
rule 5 permit source 192.168.0.0 0.0.255.255
int g0/0/1
nat outbound 2000
注:此時R1上沒有訪問外網的路由
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6
此時就可以訪問外網,但是沒有回包,數據包由外網
經過R1時,沒有到達192.168.10.0、20.0的路由
ip route-static 192.168.0.0 255.255.0.0 192.168.254.1
此時用戶可以進行上網
- RSTP相關配置
SW1:
stp mode rstp 所有交換機全部開啓rstp
stp priority 0 修改優先級確保SW1爲根橋
SW2:
stp mode rstp
port-group group-member e0/0/2 to e0/0/3
stp edged-port enable 開啓stp邊緣端口
stp bpdu-protection 交換機從邊緣端口收到stp報文,
會將該接口shutdown
SW3:
stp mode rstp
port-group group-member e0/0/2 to e0/0/3
stp edged-port enable
stp bpdu-protection
注:在覈心的指定端口做stp root-protection,如果用戶
私自接入交換機,會導致整個內網斷網
- 映射80端口
web服務器地址192.168.200.10
網關:192.168.200.1
nat server protocol tcp global 12.1.1.4 www inside 192.168.200.100 www 將私網地址映射成公網地址訪問
- 企業財務服務器,只允許財務部(vlan 30)的員工訪問
一般服務器是存在防火牆的,可以在覈心做防火牆策略
SW1:
acl number 3000
rule 5 permit ip source 192.168.30.0 0.0.0.255
destination 192.168.200.20 0
允許30.0網段訪問200.20
rule 10 deny ip destination 192.168.200.20 0
拒絕其他用戶的訪問
traffic-filter outbound acl 3000
在靠近服務器的接口上啓用acl 3000
此時所有要求全部完成!