上節回顧
HCIP之二層架構(三)
一、實驗要求
- 用戶的網關配置在覈心交換機
- 企業內網劃分多個vlan,減少廣播域大小,提高網絡穩定性
- 所有設備,在任何位置都可以被telnet遠程管理
- 出口配置NAT
- 所有用戶均爲自動獲取ip地址
- 企業總部和分支採用PPP廣域網鏈路連接。並採用CHAP對鏈路做認證
- 企業總部和分支採用ospf路由協議連接。
二、實驗配置
- 先將交換機接口類型更改爲access和trunk。並默認允許通過的vlan,並在核心交換機上配置網關
SW1:
sysname SW1
vlan batch 10 20 200
dhcp enable
ip pool vlan_10 第一個地址池
gateway-list 192.168.10.1 設置網關
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool vlan_20 第二個地址池
gateway-list 192.168.20.1 設置網關
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
interface Vlanif10 配置SVI接口
ip address 192.168.10.1 255.255.255.0
dhcp select global 全局採用
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
dhcp select global
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
SW2:
sysname SW2
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20
SW3:
sysname SW3
vlan batch 200
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
interface Ethernet0/0/2
port link-type access
port default vlan 200
SW4:
sysname SW4
vlan batch 10
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 10
SW5:
sysname SW5
vlan batch 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 20
- 創建管理vlan 999 ,使用SVI技術創建虛擬IP地址,並配置telnet遠程管理
在所有交換機上創建vlan999用於管理,並設置IP地址
例如在SW1上:
vlan 999
int vlan 999
ip address 192.168.255.1 24 其他都要配置
在所有交換機上配置telnet
例如在SW1上:
telnet server enable
aaa
local-user hcip password simple hcip123 privilege level 3
local-user hcip service-type telnet
quit
user-interface vty 0 4
authentication-mode aaa
注:真實情況下要讓管理vlan999回包,使得PC能夠telnet其他設備
ip route-static 0.0.0.0 0 192.168.255.1 所有配置telnet設備都需配置
- 配置NAT轉換
將所有地址配置完成後再進行NAT轉換(地址在圖中標註清楚)
注:SW1上先創建vlan800,然後修改接口類型爲access,默認允許800即可,其他不變
R1:
acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
interface g0/0/2
nat outbound 2000
注:此時主機還是無法與外網進行通信,採用最後一個
條件進行配置(往下看奧)
- 使用單向認證
CHAP認證:
R1:認證端
aaa
local-user hcip password cipher 123
local-user hcip service-type ppp
interface s1/0/0
ppp authentication-mode chap
R2:客戶端
interface s1/0/0
ppp chap user hcip
ppp chap password simple 123
注:華爲、H3C串口默認封裝方式爲PPP,思科默認爲HDLC
所有三層設備啓用OSPF協議,實現全網互通
左邊area0,右邊area1即可
SW1:
ospf 1
area 0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.200.0 0.0.0.255
network 192.168.254.0 0.0.0.255
R1:
ospf 1
area 0
network 192.168.254.0 0.0.0.255
quit
ospf 1
area 1
network 192.168.253.0 0.0.0.255
R2:
ospf 1
area 1
network 192.168.253.0 0.0.0.255
network 192.168.100.0 0.0.0.255
- 後續測試
此時發現內網互通,但是無法ping通外網,可以在SW1和出口R1上設置缺省路由,允許內網用戶上外網
SW1:
ip route-static 0.0.0.0 0 192.168.254.2
R1:
ip route-static 0.0.0.0 0 12.1.1.2
此時全網可通
注;telnet並未全部佈置