上节回顾
HCIP之交换部分(二)
一、实验要求:
1.用户的网关配置在核心交换机
2.企业内网划分多个vlan,减少广播域大小,提高网络稳定性
3.所有设备,在任何位置都可以telnet远程管理
4.出口配置NAT
5.stp运行RSTP模式,确保核心交换机为根桥。并将接入用户的接口配置为缘端口加快收敛。
6.配置根桥保护措施,确保根桥不被抢占
7.所有用户均为自动获取ip地址
8.在企业出口将内网服务器的80端口映射出去,允许外网用户访问
9.企业财务服务器,只允许财务部(vlan 30)的员工访问。
二、思路与配置:
- 先划分vlan,连接用户和数据中心的接入层交换机接口类型为access,交换机之间为trunk
SW1上:
undo info-center enable 关闭信息中心
sysname SW1
vlan batch 10 30 200
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
SW2上:
sysname SW2
undo info-center enable
vlan batch 10 30
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 30
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 30
SW3上:
undo info-center enable
sysname SW3
vlan batch 200
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
interface Ethernet0/0/2
port link-type access
port default vlan 200
interface Ethernet0/0/3
port link-type access
port default vlan 200
注:此时可以在主机上手工配置地址测试能否ping通网关看上述配置是否正确
- 配置DHCP(核心上配置)建立三个地址池,分别为vlan 10、30、200分配地址。
一般服务器的地址是不会动态获取的,手工配置即可
第一个地址池:
ip pool vlan_10
gateway-list 192.168.10.1
network 192.168.10.0 mask 24
dns-list 114.114.114.114 8.8.8.8
第二个地址池:
ip pool vlan_30
gateway-list 192.168.30.1
network 192.168.30.0 mask 24
dns-list 114.114.114.114 8.8.8.8
此时会发现还是不能获取到地址,这是因为没有启用dhcp,接口下也没有全局采用
dhcp enable
int Vlanif 10
dhcp select global
int vlanif 30
dhcp select global
注:如果接入层交换机是三层的,需要启用DHCP中继
- telnet服务设置
配置:
telnet server enable 华为设备默认开启的
aaa
local-user hcip password simple hcip123 privilege level 3 账户密码和优先级
local-user hcip service-type telnet 服务类型
quit 退出
user-interface vty 0 4 登录人数5人
authentication-mode aaa
注:所有交换机上都需要配置
- 如何telnet到二层交换机?此时可以专门来设置一个管理vlan对telnet进行统一的管理
配置管理vlan 999
管理地址段:192.168.255.X
SW1:
vlan 999
int vlan 999
ip add 192.168.255.1 24
SW2:
vlan 999
int vlan 999
ip add 192.168.255.2 24
ip route-static 0.0.0.0 0 192.168.255.1 给管理流量回包的缺省路由
SW3:
vlan 999
int vlan 999
ip add 192.168.255.3 24
ip route-static 0.0.0.0 0 192.168.255.1
此时还是无法telnet,原因是管理vlan并没有被允许通过各个交换机,设置所有接口允许vlan 999通过
进入接口:port trunk allow-pass vlan 999 追加到允许通过的vlan中
注:由于enspPC不支持telnet,可以用 SW2telnet其他地址进行测试,测试必须在用户视图下进行。
- 华为的核心交换机上G0/0/3上默认是不能配置地址的,所以需要采用SVI技术配置地址,并配置好其他IP地址
SW1:
vlan 800
int g0/0/3
port link-type access
port default vlan 800
interface Vlanif800
ip address 192.168.254.1 24
R1:
interface g0/0/0
ip address 192.168.254.2 24
interface g0/0/1
ip address 12.1.1.1 29
R2:
SYS R2
int g0/0/0
ip add 12.1.1.6 29
int loopback 0
ip add 9.9.9.9 24
- 此时还是无法访问外网,所以需要在核心上配置缺省路由,然后在出口配置转换
SW1:
ip route-static 0.0.0.0 0 192.168.254.2
R1:
acl 2000
rule 5 permit source 192.168.0.0 0.0.255.255
int g0/0/1
nat outbound 2000
注:此时R1上没有访问外网的路由
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6
此时就可以访问外网,但是没有回包,数据包由外网
经过R1时,没有到达192.168.10.0、20.0的路由
ip route-static 192.168.0.0 255.255.0.0 192.168.254.1
此时用户可以进行上网
- RSTP相关配置
SW1:
stp mode rstp 所有交换机全部开启rstp
stp priority 0 修改优先级确保SW1为根桥
SW2:
stp mode rstp
port-group group-member e0/0/2 to e0/0/3
stp edged-port enable 开启stp边缘端口
stp bpdu-protection 交换机从边缘端口收到stp报文,
会将该接口shutdown
SW3:
stp mode rstp
port-group group-member e0/0/2 to e0/0/3
stp edged-port enable
stp bpdu-protection
注:在核心的指定端口做stp root-protection,如果用户
私自接入交换机,会导致整个内网断网
- 映射80端口
web服务器地址192.168.200.10
网关:192.168.200.1
nat server protocol tcp global 12.1.1.4 www inside 192.168.200.100 www 将私网地址映射成公网地址访问
- 企业财务服务器,只允许财务部(vlan 30)的员工访问
一般服务器是存在防火墙的,可以在核心做防火墙策略
SW1:
acl number 3000
rule 5 permit ip source 192.168.30.0 0.0.0.255
destination 192.168.200.20 0
允许30.0网段访问200.20
rule 10 deny ip destination 192.168.200.20 0
拒绝其他用户的访问
traffic-filter outbound acl 3000
在靠近服务器的接口上启用acl 3000
此时所有要求全部完成!
