HCIP-DATACOM综合实验

实验拓扑：

实验需求：

实验场景：

某公司分为公司总部和公司分支，现要求按照以下需求进行组网。

1、总公司IP地址规划；

无线网络：

vlan 10 ip网段10.0.10.0/24 网关 10.0.10.254

vlan 20 ip网段10.0.20.0/24 网关 10.0.20.254

有线网络：

vlan 30 ip网段10.0.30.0/24 网关 10.0.30.254

vlan 40 ip网段10.0.40.0/24 网关 10.0.40.254

AC管理vlan 200

Ip 10.0.200.254/24

FW1与SW1互联vlan 100  ip网段10.0.100.0/24

FW1与SW2互联vlan 101  ip网段10.0.101.0/24

其他互联网段如图所示，请自行配置。

交换网络组网需求：

SW1、SW2作为总公司的汇聚层交换机，SW3、SW4作为接入层交换机。

四台交换设备运行MSTP+VRRP的组网模式。

规划如下：

Vlan 10 、vlan 20 加入mstp的实例 1 ；vlan 30 、vlan 40 加入mstp 的实例2 。

将SW1配置为实例1的根桥、实例2 的备份根桥。

将SW2配置为实例2的根桥、实例1的备份根桥。

SW1和SW2作为终端设备的网关，为了实现网关冗余，需要配置VRRP。

规划如下：

Vlan 10的网关ip为10.0.10.254

Vlan 20的网关ip为10.0.20.254

Vlan 30的网关ip为10.0.30.254

Vlan 40的网关ip为10.0.40.254

SW1作为vlan 10和vlan20 的主网关、vlan30 和vlan 40的备份网关。

SW2作为vlan 30 和vlan 40的主网关、vlan 10 和vlan 20的备份网关。

将连接终端设备的接口配置为边缘端口，加快收敛。

DHCP规划：

终端用户的业务vlan dhcp服务器配置在防火墙上，在网关设备使用DHCP中继的方式获取IP地址。

无线组网：

配置AC1管理 AP设备，AC的管理vlan 为200 ，下发配置的业务vlan为 10 、20 。

SSID ：配置为hcip-datacom

无线密码：huawei123

转发模式：直连转发

路由规划：

公司总部内网使用ospf学习路由。

2、分公司IP地址规划；

有线网络：

vlan 50 ip网段10.0.50.0/24 网关 10.0.50.254

vlan 60 ip网段10.0.60.0/24 网关 10.0.60.254

互联ip如题所示，请自行配置。

交换网络规划：

SW7、8、9运行RSTP，将连接终端的接口配置为边缘端口，并且开启dhcp-snooping，避免dhcp攻击。

SW7作为PC的网关设备，并配置dhcp分配ip地址。

路由规划：

公司分部内网使用ospf学习路由。

3、internet网络配置。

ISP1、2、3 三台设备为internet 设备，运行ospf ，并且将isp1 和ips3 连接CE的接口配置为静默接口。

ISP2 配置环回口0 ip地址为100.100.100.100 。

4、mpls vpn广域网配置。

Mpls广域网内部IGP协议选择IS-IS，PE1、P、PE2、RR设备上分别创建环回口0 .ip地址分别为1.1.1.1/32、2.2.2.2/32、3.3.3.3/32、4.4.4.4/32。

配置mpls 及mpls ldp ，建立公网隧道。

在PE设备上开启ISIS 的FRR 功能，实现链路故障的快速收敛。

5、总公司和分公司的vpn互联需求。

① CE1和CE2设备通过internet 与CE3设备建立GRE vpn ，并且使用GRE vpn与对端公司建立ospf 邻居关系。

② CE1和CE2设备通过mpls vpn广域网与CE3建立mpls vpn 。

③ 公司内部设备互访时缺省情况下走mpls vpn ，当mpls vpn故障切换到GRE vpn 。

Mpls vpn规划：

PE1和CE1、CE2之间运行EBGP协议。

PE2和CE3之间运行EBGP协议。

PE1、PE2与RR设备建立VPNV4邻居。（RR学习不到vpnv4路由请自行查文档解决问题）

通过在CE设备上的BGP进程引入ospf 路由，让对端公司学习到本端公司的路由，此时注意路由过滤。由于对端公司的路由通过GRE建立的ospf邻居可以学习到，如果在引入到BGP中可能会导致环路或无法通过BGP学习到对端路由的情况。

提示：由于GRE vpn可以通过ospf 学习到对端公司的路由，而mpls vpn 是通过BGP 学习到对端站点的路由，此时注意修改BGP协议的路由优先级来实现路径选路。

6、防火墙规划。

G0/0/0 、G0/0/1 口划分到untrust区域，vlanif 100 、vlanif 101 接口划分到trust 区域。

在防火墙上配置安全策略，方向公司之间互访的流量，以及公司PC访问外部网络的流量。

7、NAT

在CE1和CE2、CE3上配置nat，实现公司内部能够访问internet 。