デバイスモデルの説明
ENSP バージョン: 1.3.00.100
すべてのルーター: AR2220
DHCP_Server: ルーター
FW: USG6000V
AC: AC6005
AP: AP6050
コア スイッチ: S5700
アクセス スイッチ: S3700
最終TOPO
この記事では、詳細な構成プロセスについては説明せず、必要な構成のみを説明します。
1. IPアドレスの計画
FW1
AR1
AR2
AR3
LSW1
LSW2
LSW3
LSW4
LSW5
LSW6
DHCP_Server
FTP
DNS
www.test.com
Clinet
2. すべてのホストは、DHCP を通じてアドレス (DNS アドレスを含む) を取得します。
DHCP 構成情報
DHCP リレー構成
リレー サービスは、LSW1 および 2 の vlanif10 20 30 40 100 101 102 で構成する必要があります。
3. STPの設定
LSW1
LSW2
LSW3~LSW6は同じ構成です
4. Eth-Trunkの構成
LSW1
LSW2
5. VRRP設定
LSW1 は vlan10、30、100、および 101 のメイン ゲートウェイであり、LSW2 は vlan20、40、および 102 のメイン ゲートウェイです。
LSW1
LSW2
6. VLAN分割
LSW1
LSW2
LSW3
LSW4とLSW5は同じです
LSW6
7. ルーティング設定
AR1
#
ospf 10 router-id 1.1.1.1
default-route-advertise
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.11.11.0 0.0.0.3
network 10.21.21.0 0.0.0.3
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
#
AR2
#
ospf 10 router-id 2.2.2.2
default-route-advertise cost 5
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.12.12.0 0.0.0.3
network 10.22.22.0 0.0.0.3
#
ip route-static 0.0.0.0 0.0.0.0 10.2.2.2
LSW1
#
ospf 10 router-id 3.3.3.3
area 0.0.0.0
network 10.11.11.0 0.0.0.3
network 10.12.12.0 0.0.0.3
network 3.3.3.3 0.0.0.0
area 0.0.0.10
network 192.168.10.0 0.0.0.255
area 0.0.0.11
network 192.168.11.0 0.0.0.255
area 0.0.0.20
network 192.168.20.0 0.0.0.255
area 0.0.0.30
network 192.168.30.0 0.0.0.255
area 0.0.0.40
network 192.168.40.0 0.0.0.255
area 0.0.0.100
network 192.168.100.0 0.0.0.255
area 0.0.0.101
network 192.168.101.0 0.0.0.255
area 0.0.0.102
network 192.168.102.0 0.0.0.255
#
LSW2
#
ospf 10 router-id 4.4.4.4
area 0.0.0.0
network 10.21.21.0 0.0.0.3
network 10.22.22.0 0.0.0.3
network 4.4.4.4 0.0.0.0
area 0.0.0.10
network 192.168.10.0 0.0.0.255
area 0.0.0.20
network 192.168.20.0 0.0.0.255
area 0.0.0.22
network 192.168.22.0 0.0.0.255
area 0.0.0.30
network 192.168.30.0 0.0.0.255
area 0.0.0.40
network 192.168.40.0 0.0.0.255
area 0.0.0.100
network 192.168.100.0 0.0.0.255
area 0.0.0.101
network 192.168.101.0 0.0.0.255
area 0.0.0.102
network 192.168.102.0 0.0.0.255
#
LSW3~LSW6は同一構成です
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
#
DHCP_サーバー
#
ip route-static 0.0.0.0 0.0.0.0 192.168.11.254
#
交流
#
ip route-static 0.0.0.0 0.0.0.0 192.168.22.254
#
FW
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
ip route-static 192.168.0.0 255.255.192.0 10.1.1.1 preference 10
ip route-static 192.168.0.0 255.255.192.0 10.2.2.1
ip route-static 192.168.100.0 255.255.252.0 10.1.1.1 preference 10
ip route-static 192.168.100.0 255.255.252.0 10.2.2.1
#
OSPF オーバーヘッド設定
AR2 では、ポート g0/0/2 の OSPF オーバーヘッドを増やす必要もあります。
LSW2 上の vlanif34 の OSPF オーバーヘッドを増やす必要もあります。
8. AC の設定
まず AP1 と 2 のアドレス取得を確認します。
AP1
AP2
AC構成情報
vlan batch 22
#
vlan pool vlan101
vlan 101
vlan pool vlan102
vlan 102
#
interface Vlanif22
ip address 192.168.22.22 255.255.255.0
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 22
#
capwap source interface vlanif22 #配置信令源
#
regulatory-domain-profile name cfig
country-code CN #配置国家代码
#
ap-group name bg #创建AP组
regulatory-domain-profile cfig
ap-group name guest
regulatory-domain-profile cfig
#配置AP上线
ap authentication-mode mac
ap-id 1 type-id 56 ap-mac 00e0-fcca-4f90 ap-sn 210235448310A8025C2D
ap-name GUEST
ap-group guest
ap-id 2 type-id 56 ap-mac 00e0-fc25-1100 ap-sn 210235448310383BD072
ap-name BanGong
ap-group bg
#
security-profile name bg #创建密码文件,用于办公区域
security wpa2 psk pass-phrase 1234abcd aes #办公区域WiFi密码为:1234abcd
security-profile name guest #创建密码文件,用于访客区域
security wpa2 psk pass-phrase abcd1234 aes #访客区域WiFi密码为:abcd1234
#
ssid-profile name bg #创建WiFi名称文件
ssid BanGong #办公区域WiFi名称为“BanGong”
ssid-profile name guest
ssid guest #访客区域WiFi名称为“guest”
#
vap-profile name bg #创建VAP文件,并将对应的密码、SSID文件应用其中。
service-vlan vlan-pool vlan102
ssid-profile bg
security-profile bg
vap-profile name guest
service-vlan vlan-pool vlan101
ssid-profile guest
security-profile guest
#
ap-group name bg #配置AP组‘bg’中的ap设备发射wifi信号
vap-profile bg wlan 1 radio 0
vap-profile bg wlan 1 radio 1
ap-group name guest #配置AP组‘guest’中的ap设备发射wifi信号
vap-profile bg wlan 1 radio 0
vap-profile bg wlan 1 radio 1
ワイヤレスデバイスをWLANに接続する
9. ファイアウォールの設定
対応するセキュリティ ゾーンにインターフェイスを追加します
内部 FTP がインターネット ユーザーに FTP サービスを提供するように NAT サーバーを構成する
#FTP服务公网地址为202.1.1.4,且外网用户必须使用2121端口才能访问企业内部服务器。
nat server ut->d-ftp protocol tcp global 202.1.1.4 2121 inside 172.16.1.100 ftp no-reverse
指定されたリージョン間でのデータ交換を許可する
security-policy
rule name t->d #允许trust区域流量到DMZ区域
source-zone trust
destination-zone dmz
action permit
rule name ut->d #允许untrust区域流量到DMZ区域
source-zone untrust
destination-zone dmz
service ftp
action permit
rule name t->ut #允许trust区域流量到Untrust区域
source-zone trust
destination-zone untrust
action permit
#
内部ユーザーが外部ネットワークにアクセスできるように Easy IP を構成する
nat-policy
rule name t->ut
source-zone trust
destination-zone untrust
action source-nat easy-ip
10 接続テスト
イントラネット ユーザーがエクストラネットにアクセスする
PC1
STA1
携帯電話2
外部ネットワーク ユーザーが内部サーバーにアクセスする
FTP サービス
Client1 を開き、FTP サーバーにアクセスします
。 上記は、このトポロジの一般的な構成です。読者は、
内部ユーザー アクセス用に対応するサーバーを内部的に追加する、内部ユーザー用の対応するアクセス制御、
内部ユーザー アクセスなど、このトポロジを拡張できます。外部ネットワークの動作管理 (シミュレーターでの制御には時間ベースの ACL のみが使用可能)、
SSH 経由で本社の一部のデバイスにリモートでログインできるブランチの追加、
VPN の構成 (GRE、IPSec、PPPoE、MPLS、など)、本社および支店の対応するトラフィックへのアクセスを実現できます。
この記事では、構成のために企業の大まかなトポロジをシミュレートするだけであり、特定の展開状況を DIY で実現できます。
読んでいただき、誠にありがとうございます。不正確な箇所や間違っている箇所がございましたら、ご指摘いただければ修正させていただきます。
(質問: 1254628828)