企业网项目设计组网【文末送书】
企业网项目设计组网【文末送书】
随着网络的普及和internet的飞速发展,人们已经把更多的生活、娱乐和学习等事务转移到移动网络这个平台上去开展。企业通过internet开展远程视频会议、家人和朋友通过internet进行跨地域的沟通交流,学校开展网上课堂供学生随时随地开展学习,可以说现代社会中的人们几乎已经无法离开网络,无法离开internet。今天以一个公司的新建网络建设为案例,介绍中小型企业网项目建设的相关流程。
1.1 项目背景介绍
某公司新建了一栋办公大楼,为了满足日常的办公需求,公司决定为财务部、项目管理部和服务器群建立互联互通的有线网络。其中,为方便项目管理部开展业务,需要自动获取公司DNS服务器IP地址。公司已经申请了一条互联网专线并配有一个公网IP,希望所有员工都能访问internet。后期规划所有设备由网络管理员进行远程管理。
1.1.1公司网络拓扑
1.2 项目需求分析
如拓扑中服务器群交换机使用两条链路连接到核心交换机,两条链路可以配置端口聚合,防止单链路出现故障。财务部和项目管理部处于同一区域,各部门交换机使用一条链路连接到核心交换机,为防止单链路故障,可以在财务部交换机和项目管理部交换机上采用一条链路互联,当上行链路出现故障时可以通过其他部门的交换机到达核心交换机。采用这种方式连接时,三台交换机会形成环路,可以采用生成树解决该问题。
项目管理部为方便员工获取DNS服务器IP地址,可以采用DHCP方式为该局域网自动分配IP及DNS地址。核心交换机、服务器群交换机和出口路由器各均采用三层互联,可以配置动态路由协议自动学习路由实现全网互联互通。
公司有一个公网IP,各部门所有员工都有访问internet的需求,可以在出口路由器上配置网络地址转换。
为方便网络管理员对设备进行远程管理,需要启用所有设备的SSH服务。
本项目实施具体有以下工作任务:
1. 根据网络拓扑机需求分析,对本项目做详细规划设计;
2. 根据规划完成设备的调试;
3. 验收测试项目是否达到预期效果。
2.1 项目规划设计
本项目为新建网络,根据需求分析,对拓扑进行规划。核心交换机、财务部接入交换机和项目管理部接入交换机各有一条线路互联,计划使用RSTP提高网络可靠性;
核心交换机与服务器群交换机使用两条链路互联,可以使用链路聚合提高链路带宽;核心交换机、服务器群和路由器使用IP互联,可以配置OSPF动态路由实现网络互联互通。
公司网络拓扑规划如下图所示:
2.2 项目规划表
1、VLAN规划
VLAN-ID | VLAN命名 | 网段 | 用途 |
|---|---|---|---|
vlan 10 | FA | 192.168.10.0/24 | 财务部 |
vlan 20 | PM | 192.168.20.0/24 | 项目管理部 |
vlan 90 | DC | 192.168.90.0/24 | 服务器群 |
vlan 100 | SW-MGMT | 192.168.100.0/24 | 交换机管理 |
vlan 201 | SW1-R1 | 10.1.1.0/30 | 交换机SW1与路由器R1互联 |
2、设备管理规划
设备类型 | 型号 | 设备命名 | 登录密码 |
|---|---|---|---|
路由器 | AR2220 | R2 | huawei123 |
路由器 | AR2220 | R1 | huawei123 |
三层交换机 | S5700 | SW1 | huawei123 |
三层交换机 | S5700 | SW2 | huawei123 |
二层交换机 | S3700 | SW3 | huawei123 |
二层交换机 | S3700 | SW4 | huawei123 |
3、端口互联规划
本端设备 | 本端端口 | 端口配置 | 对端设备 | 对端端口 |
|---|---|---|---|---|
R2 | GE0/0/0 | IP:16.16.16.16/24 | R1 | GE0/0/0 |
R1 | GE0/0/0 | IP:16.16.16.1/24 | R2 | GE0/0/0 |
R1 | GE0/0/1 | IP:10.1.1.2/30 | SW1 | GE0/0/24 |
SW1 | GE0/0/1 | TRUNK | SW3 | GE0/0/1 |
SW1 | GE0/0/2 | TRUNK | SW4 | GE0/0/1 |
SW1 | GE0/0/21 | ETH-TRUNK | SW2 | GE0/0/21 |
SW1 | GE0/0/22 | ETH-TRUNK | SW2 | GE0/0/22 |
SW1 | GE0/0/24 | IP:10.1.1.1/30 | R1 | GE0/0/1 |
SW2 | GE0/0/1-10 | VLAN 90 | 服务器群 | |
SW2 | GE0/0/21 | ETH-TRUNK | SW1 | GE0/0/21 |
SW2 | GE0/0/22 | ETH-TRUNK | SW1 | GE0/0/22 |
SW3 | eth1-20 | VLAN10 | 财务部 | |
SW3 | GE0/0/1 | TRUNK | SW1 | GE0/0/1 |
SW3 | GE0/0/2 | TRUNK | SW4 | GE0/0/2 |
SW4 | eth1-20 | VLAN 20 | 项目管理部 | |
SW4 | GE0/0/1 | TRUNK | SW1 | GE0/0/2 |
SW4 | GE0/0/2 | TRUNK | SW3 | GE0/0/2 |
4、IP规划
设备命名 | 接口 | IP地址 | 用途 |
|---|---|---|---|
R1 | GE0/0/1 | 10.1.1.2/30 | 路由器R1与交换机SW1互联 |
R1 | GE0/0/2 | 10.1.1.6/30 | 路由器R1与SW2互联 |
SW1 | VLANIF 10 | 192.168.10.1/24 | 财务网关 |
SW1 | VLANIF 20 | 192.168.20.1/24 | 项目管理部网关 |
SW1 | VLANIF 100 | 192.168.100.1/24 | 设备管理地址网关 |
SW1 | VLANIF 201 | 10.1.1.1/30 | 交换机SW1与路由器R1互联 |
SW2 | VLANIF 90 | 192.168.90.1/24 | 服务器群网关 |
SW2 | VLANIF 100 | 192.168.100.2/24 | 设备管理地址 |
SW3 | VLANIF 100 | 192.168.100.3/24 | 设备管理地址 |
SW4 | VLANIF 100 | 192.168.100.4/24 | 设备管理地址 |
DNS | eth0 | 192.168.90.100/24 | DNS服务器IP |
5、SSH服务规划
型号 | 设备命名 | SSH用户名 | 密码 | 用户等级 | VTY认证方式 |
|---|---|---|---|---|---|
S5700 | SW1 | admin | HwEdu12#$ | 15 | aaa |
S5700 | SW2 | admin | HwEdu12#$ | 15 | aaa |
S3700 | SW3 | admin | HwEdu12#$ | 15 | aaa |
S3700 | SW4 | admin | HwEdu12#$ | 15 | aaa |
3、项目实施
任务1、VLAN配置,部署设备管理与各部门局域网,主要在核心交换机、各部门交换机上创建VLAN,并将接入交换机的接口划分给VLAN。
任务2、以太网配置;部署TRUNK链路,实现交换机之间互联及VLAN互通,同时配置ETH-TRUNK提高核心交换机互联带宽,配置生成树提高各部门网络与核心网络的健壮性。
任务3、IP业务配置;路由器、核心交换机和服务器群交换机上配置VLANif接口的IP作为各部门的网关及设备互联IP,并在核心交换机上启用DHCP,为项目管理部PC自动分配IP地址。
任务4、路由配置,在核心交换机出口路由器和交换机上开启OSPF动态路由协议,接入交换机上配置默认路由,实现公司内网互联互通。
任务5、出口配置,在核心交换机出口路由器上配置NAT地址转换,实现内网用户通过地址转换可访问Internet。
3.1 VLAN配置
(1)在交换机SW1、SW2、SW3、SW4上创建VLAN并修改VLAN备注。
SW1
<Huawei>system-view //进入系统视图
[Huawei] sysname SW1 //修改设备名称为SW1
[SW1] vlan 10 //创建VLAN 10
[SW1-vlan10] description FA //修改VLAN10备注为FA
[SW1] vlan 20 //创建VLAN 20
[SW1-vlan20] description PM //修改VLAN20备注为PM
[SW1] vlan 100 //创建VLAN 100
[SW1-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMT
[SW1] vlan 201 //创建VLAN 201
[SW1-vlan201] description SW1-R1 //修改VLAN201备注为SW1-R1SW2
<Huawei>system-view //进入系统视图
[Huawei] sysname SW2 //修改设备名称为SW2
[SW2] vlan 90 //创建VLAN 90
[SW2-vlan90] description DC //修改VLAN90备注为DC
[SW2] vlan 100 //创建VLAN 100
[SW2-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMTSW3
<Huawei>system-view //进入系统视图
[Huawei] sysname SW3 //修改设备名称为SW3
[SW3] vlan 10 //创建VLAN 10
[SW3-vlan10] description FA //修改VLAN10备注为FA
[SW3] vlan 20 //创建VLAN 20
[SW3-vlan20] description PM //修改VLAN20备注为PM
[SW3] vlan 100 //创建VLAN 100
[SW3-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMTSW4
<Huawei>system-view //进入系统视图
[Huawei] sysname SW4 //修改设备名称为SW4
[SW4] vlan 10 //创建VLAN 10
[SW4-vlan10] description FA //修改VLAN10备注为FA
[SW4] vlan 20 //创建VLAN 20
[SW4-vlan20] description PM //修改VLAN20备注为PM
[SW4] vlan 100 //创建VLAN 100
[SW4-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMT(2)在交换机SW1、SW2、SW3、SW4上将接口划分给VLAN。
SW1
[SW1] interface GigabitEthernet 0/0/24 //进入Gi0/0/24接口
[SW1-GigabitEthernet 0/0/24] port link-type access
//配置接口模式为access
[SW1-GigabitEthernet 0/0/24] port default vlan 201
//配置接口默认VLAN为VLAN 201
[SW1-GigabitEthernet 0/0/24] quit //退出SW2
[SW2] port-group 1 //创建端口组1
[SW2-port-group-1] group-member Gi 0/0/1 to Gi 0/0/10
//将Gi0/0/1至Gi0/0/10接口加入到端口组中
[SW2-port-group-1] port link-type access
//配置接口模式为access
[SW2-port-group-1] port default vlan 90
//配置接口默认VLAN为VLAN 90
[SW2-port-group-1] quit //退出SW3
[SW3] port-group 1 //创建端口组1
[SW3-port-group-1] group-member Eth 0/0/1 to Eth 0/0/20
//将eth0/0/1至eth0/0/20接口加入到端口组中
[SW3-port-group-1] port link-type access
//配置接口模式为access
[SW3-port-group-1] port default vlan 10
//配置接口默认VLAN为VLAN 10
[SW3-port-group-1] quit //退出SW4
[SW4] port-group 1 //创建端口组1
[SW4-port-group-1] group-member Eth 0/0/1 to Eth 0/0/20
//将eth0/0/1至eth0/0/20接口加入到端口组中
[SW4-port-group-1] port link-type access
//配置接口模式为access
[SW4-port-group-1] port default vlan 20
//配置接口默认VLAN为VLAN 20
[SW4-port-group-1] quit //退出验证VLAN配置
(1)在交换机上使用【display vlan】命令查看VLAN配置是否生效,以SW3为例。
[SW3]display vlan
The total number of vlans is : 4
----------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
----------------------------------------------------------------------------
VID Status Property MAC-LRN Statistics Description
----------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable FA
20 enable default enable disable PM
100 enable default enable disable SW-MGMT(2)在各接入交换机上使用【display port vlan】命令查看接口分配状态,以SW3为例。
[SW3]display port vlan
Port Link Type PVID Trunk VLAN List
----------------------------------------------------------------------------
Ethernet0/0/1 access 10 -
Ethernet0/0/2 access 10 -
省略部分内容……
Ethernet0/0/18 access 10 -
Ethernet0/0/19 access 10 -
Ethernet0/0/20 access 10 -
Ethernet0/0/21 hybrid 1 -
Ethernet0/0/22 hybrid 1 -
GigabitEthernet0/0/1 hybrid 1 -
GigabitEthernet0/0/2 hybrid 1 -3.2 以太网配置
(1)配置交换机SW1、SW3、SW4的互联接口为Trunk模式,配置TRUNK放通相应VLAN。
SW1
[SW1] interface GigabitEthernet 0/0/1 //进入Gi0/0/1接口
[SW1-GigabitEthernet 0/0/1] port link-type trunk
//配置接口模式为trunk
[SW1-GigabitEthernet 0/0/1] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW1-GigabitEthernet 0/0/1] quit //退出
[SW1] interface GigabitEthernet 0/0/2 //进入Gi0/0/2接口
[SW1-GigabitEthernet 0/0/2] port link-type trunk
//配置接口模式为trunk
[SW1-GigabitEthernet 0/0/2] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW1-GigabitEthernet 0/0/2] quit //退出SW3
[SW3] interface GigabitEthernet 0/0/1
//进入Gi0/0/1接口
[SW3-GigabitEthernet 0/0/1] port link-type trunk
//配置接口模式为trunk
[SW3-GigabitEthernet 0/0/1] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW3-GigabitEthernet 0/0/1] quit
//退出
[SW3] interface GigabitEthernet 0/0/2
//进入Gi0/0/2接口
[SW3-GigabitEthernet 0/0/2] port link-type trunk
//配置接口模式为trunk
[SW3-GigabitEthernet 0/0/2] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW3-GigabitEthernet 0/0/2] quit //退出SW4
[SW4] interface GigabitEthernet 0/0/1 //进入Gi0/0/1接口
[SW4-GigabitEthernet 0/0/1] port link-type trunk
//配置接口模式为trunk
[SW4-GigabitEthernet 0/0/1] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW4-GigabitEthernet 0/0/1] quit //退出
[SW4] interface GigabitEthernet 0/0/2 //进入Gi0/0/2接口
[SW4-GigabitEthernet 0/0/2] port link-type trunk
//配置接口模式为trunk
[SW4-GigabitEthernet 0/0/2] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW4-GigabitEthernet 0/0/2] quit //退出(2)配置核心交换机与服务器群交换机互联线路为ETH-TRUNK,配置接口模式为TRUNK并放通相应VLAN。
SW1
[SW1] interface Eth-Trunk 1 //创建eth-trunk接口1
[SW1-Eth-Trunk1] port link-type trunk //配置接口模式为trunk
[SW1-Eth-Trunk1] port trunk allow-pass vlan 100
//配置trunk放通VLAN 100
[SW1-Eth-Trunk1] quit //退出
[SW1] interface gi0/0/21 //进入Gi0/0/21接口
[SW1-GigabitEthernet0/0/21] eth-trunk 1 //加入eth-trunk 1
[SW1] interface gi0/0/22 //进入Gi0/0/22接口
[SW1-GigabitEthernet0/0/22] eth-trunk 1 //加入eth-trunk 1
[SW1-GigabitEthernet0/0/22] quit //退出SW2
[SW2] interface Eth-Trunk 1 //创建eth-trunk接口1
[SW2-Eth-Trunk1] port link-type trunk //配置接口模式为trunk
[SW2-Eth-Trunk1] port trunk allow-pass vlan 100
//配置trunk放通VLAN 100
[SW2-Eth-Trunk1] quit //退出
[SW2] interface gi0/0/21 //进入Gi0/0/21接口
[SW2-GigabitEthernet0/0/21] eth-trunk 1 //加入eth-trunk 1
[SW2] interface gi0/0/22 //进入Gi0/0/22接口
[SW2-GigabitEthernet0/0/22] eth-trunk 1 //加入eth-trunk 1
[SW2-GigabitEthernet0/0/22] quit //退出(3)在交换机开启多生成树,指定核心交换机的生成树优先级,配置连接PC的接口为生成树边缘端口。
SW1
[SW1] stp enable //开启生成树
[SW1] stp mode rstp //配置生成树模式为RSTP
[SW1] stp priority 4096 //配置生成树优先级为4096SW3
[SW3] stp enable //开启生成树
[SW3] stp mode rstp //配置生成树模式为RSTP
[SW3] port-group 1 //进入端口组1
[SW3-port-group-1] stp edged-port enable
//配置端口为生成树边缘端口
[SW3-port-group-1] quit //退出SW4
[SW4] stp enable //开启生成树
[SW4] stp mode rstp //配置生成树模式为RSTP
[SW4] port-group 1 //进入端口组1
[SW4-port-group-1] stp edged-port enable
//配置端口为生成树边缘端口
[SW4-port-group-1] quit //退出验证以太网配置
(1)在核心交换机上使用【display port vlan】命令查看接口VLAN配置信息。
[SW1]display port vlan
Port Link Type PVID Trunk VLAN List
----------------------------------------------------------------------------
GigabitEthernet0/0/1 trunk 1 1 10 20 100
GigabitEthernet0/0/2 trunk 1 1 10 20 100
GigabitEthernet0/0/3 hybrid 1 -
GigabitEthernet0/0/4 hybrid 1 -
GigabitEthernet0/0/5 hybrid 1 -
省略部分内容……(2)在各接入交换机上使用【display port vlan】命令查看接口分配状态,以SW3为例。
[SW3]display port vlan
Port Link Type PVID Trunk VLAN List
----------------------------------------------------------------------------
Ethernet0/0/1 access 10 -
Ethernet0/0/2 access 10 -
省略部分内容……
Ethernet0/0/18 access 10 -
Ethernet0/0/19 access 10 -
Ethernet0/0/20 access 10 -
Ethernet0/0/21 hybrid 1 -
Ethernet0/0/22 hybrid 1 -
GigabitEthernet0/0/1 trunk 1 1 10 20 100
GigabitEthernet0/0/2 trunk 1 1 10 20 100(3)在核心交换机、服务器群交换机上使用【display eth-trunk】命令查看eth-trunk端口状态,以SW1为例。
[SW1]display eth-trunk
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
----------------------------------------------------------------------------
PortName Status Weight
GigabitEthernet0/0/21 Up 1
GigabitEthernet0/0/22 Up 1(4)在交换机上使用【display stp】命令查看生成树配置状态,以SW3为例。
[SW3]display stp
-------[CIST Global Info][Mode RSTP]-------
CIST Bridge :32768.4c1f-cc24-5024
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :4096 .4c1f-ccb3-69ef / 20000
CIST RegRoot/IRPC :32768.4c1f-cc24-5024 / 0
CIST RootPortId :128.23
BPDU-Protection :Disabled
TC or TCN received :57
TC count per hello :0
STP Converge Mode :Normal
Time since last TC :0 days 0h:0m:11s
Number of TC :36
Last TC occurred :GigabitEthernet0/0/1
省略部分内容……(5)在交换机上查看使用【display stp brief】命令生成树实例的端口状态,以SW3为例。
[SW3]display stp brief
MSTID Port Role STP State Protection
0 Ethernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE3.3IP业务配置
(1)在交换机的Vlanif接口和路由器的GE接口上配置IP地址。
SW1
[SW1] interface Vlanif 10 //进入VLANif10接口视图
[SW1-Vlanif10] ip address 192.168.10.1 24 //配置IP地址为10
[SW1-Vlanif10] quit //退出接口视图
[SW1] interface Vlanif 20 //进入VLANif20接口视图
[SW1-Vlanif20] ip address 192.168.20.1 24 //配置IP地址为20
[SW1-Vlanif20] quit //退出接口视图
[SW1] interface Vlanif 100 //进入VLANif100接口视图
[SW1-Vlanif100] ip address 192.168.100.1 24
//配置IP地址为192.168.100.1/24
[SW1-Vlanif100] quit //退出接口视图
[SW1] interface Vlanif 201 //进入VLANif201接口视图
[SW1-Vlanif201] ip address 10.1.1.1 30
//配置IP地址为10.1.1.1/30
[SW1-Vlanif201] quit //退出接口视图SW2
[SW2] interface Vlanif 90 //进入VLANif90接口视图
[SW2-Vlanif90] ip address 192.168.90.1 24
//配置IP地址为192.168.90.1/24
[SW2-Vlanif90] quit //退出接口视图
[SW2] interface Vlanif 100 //进入VLANif100接口视图
[SW2-Vlanif100] ip address 192.168.100.2 24
//配置IP地址为192.168.100.2/24
[SW2-Vlanif100] quit //退出接口视图SW3
[SW3] interface Vlanif 100 //进入VLANif100接口视图
[SW3-Vlanif100] ip address 192.168.100.3 24
//配置IP地址为192.168.100.3/24
[SW3-Vlanif100] quit //退出接口视图SW4
[SW4] interface Vlanif 100 //进入VLANif100接口视图
[SW4-Vlanif100] ip address 192.168.100.4 24
//配置IP地址为192.168.100.4/24
[SW4-Vlanif100] quit //退出接口视图R1
<Huawei>system-view //进入系统视图
[Huawei] sysname R1 //修改设备名称为R1
[R1] interface GigabitEthernet 0/0/0
//进入Gi0/0/0接口
[R1-GigabitEthernet0/0/0] ip address 16.16.16.1 24
//配置IP地址为16.16.16.1/24
[R1] interface GigabitEthernet 0/0/1
//进入Gi0/0/1接口
[R1-GigabitEthernet0/0/1] ip address 10.1.1.2 30
//配置IP地址为10.1.1.2/30
[R1] interface GigabitEthernet 0/0/2
//进入Gi0/0/2接口
[R1-GigabitEthernet0/0/2] ip address 10.1.1.6 30
//配置IP地址为10.1.1.6/30(2)在R2(模拟Internet设备)上配置IP地址。
R2
<Huawei>system-view //进入系统视图
[Huawei] sysname R2 //修改设备名称为R2
[R2] interface GigabitEthernet 0/0/0
//进入Gi0/0/0接口
[R2-GigabitEthernet0/0/0] ip address 16.16.16.16 24
//配置IP地址为16.16.16.16/24(3)在核心交换机SW1上对VLAN 20启用DHCP,配置客户端从接口地址池中获取IP地址。
SW1
[SW1]dhcp enable //全局开启DHCP功能
[SW1]interface Vlanif 20 //进入VLANif20接口
[SW1-Vlanif20]dhcp select interface
//配置客户端从接口地址池中获取IP地址
[SW1-Vlanif20]dhcp server dns-list 192.168.90.100
//配置客户端从DHCP服务器获取DNS地址
[SW1-Vlanif20]quit //退出IP业务配置验证
(1)在核心交换机、出口路由器上使用【display ip interface brief】命令查看IP地址配置是否生效,以SW1为例。
[SW1] display ip interface brief
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned up down
Vlanif10 192.168.10.1/24 up up
Vlanif20 192.168.20.1/24 up up
Vlanif100 192.168.100.1/24 up up
Vlanif201 10.1.1.1/30 up up(2)在交换机上使用【display ip pool interface vlanif20】命令查看VLAN IF20接口的地址池信息。
[SW1]display ip pool interface vlanif20
Pool-name : vlanif20
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : 192.168.90.100
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 192.168.20.1
Mask : 255.255.255.0
VPN instance : --
---------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
---------------------------------------------------------------------------
192.168.20.1 192.168.20.254 253 1 252(0) 0 0
---------------------------------------------------------------------------3.4 路由配置
(1)在路由器R1、交换机SW1、SW2上启用OSPF路由协议,并将对应网段加入到OSPF区域0中,R1将缺省路由通告到OSPF区域。
R1
[R1]ospf 10 //创建OSPF进程10
[R1-ospf-10]area 0 //进入OSPF区域0
[R1-ospf-10-area-0.0.0.0]network 10.1.1.0 0.0.0.3
//将10.1.1.0/30加入到区域0
[R1-ospf-10-area-0.0.0.0]quit //退出到OSPF进程视图
[R1-ospf-10]default-route-advertise always
//将缺省路由通告到OSPF区域
[R1-ospf-10]quit //退出到系统视图SW1
[SW1]ospf 10 //创建OSPF进程10
[SW1-ospf-10]area 0 //进入OSPF区域0
[SW1-ospf-10-area-0.0.0.0]network 192.168.10.0 0.0.0.255
//将192.168.10.0/24加入到区域0
[SW1-ospf-10-area-0.0.0.0]network 192.168.20.0 0.0.0.255
//将192.168.20.0/24加入到区域0
[SW1-ospf-10-area-0.0.0.0]network 192.168.100.0 0.0.0.255
//将192.168.100.0/24加入到区域0
[SW1-ospf-10-area-0.0.0.0]network 10.1.1.0 0.0.0.3
//将10.1.1.0/30加入到区域0
[SW1-ospf-10-area-0.0.0.0]quit //退出到OSPF进程视图
[SW1-ospf-10]quit //退出到系统视图SW2
[SW2]ospf 10 //创建OSPF进程10
[SW2-ospf-10]area 0 //进入OSPF区域0
[SW2-ospf-10-area-0.0.0.0]network 192.168.90.0 0.0.0.255
//将192.168.90.0/24加入到区域0
[SW2-ospf-10-area-0.0.0.0]network 192.168.100.0 0.0.0.255
//将192.168.100.0/24加入到区域0
[SW2-ospf-10-area-0.0.0.0]quit //退出到OSPF进程视图
[SW2-ospf-10]quit //退出到系统视图(2)接入交换机SW3、SW4上配置默认路由指向SW1。
SW3
[SW3] ip route-static 0.0.0.0 0 192.168.100.1
//配置默认路由指向192.168.100.1SW4
[SW4] ip route-static 0.0.0.0 0 192.168.100.1
//配置默认路由指向192.168.100.1路由配置验证
在各设备上使用【display ip routing-table】命令查看路由表,以SW2为例。
[SW2]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 12 Routes : 13
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 O_ASE 150 1 D 192.168.100.1 Vlanif100
10.1.1.0/30 OSPF 10 2 D 192.168.100.1 Vlanif100
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.10.0/24 OSPF 10 2 D 192.168.100.1 Vlanif100
192.168.20.0/24 OSPF 10 2 D 192.168.100.1 Vlanif100
192.168.90.0/24 Direct 0 0 D 192.168.90.1 Vlanif90
192.168.90.1/32 Direct 0 0 D 127.0.0.1 Vlanif90
192.168.100.0/24 Direct 0 0 D 192.168.100.2 Vlanif100
192.168.100.2/32 Direct 0 0 D 127.0.0.1 Vlanif1003.5 出口配置
创建访问控制列表2000,配置规则允许内网用户网段同构,在R1的Gi0/0/0接口上配置Easy IP方式的NAT Outbound,调用的访问控制列表编号为2000。
[R1]acl 2000 //创建ACL,编号为2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
//配置规则允许源192.168.10.0/24网段通过
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
//配置规则允许源192.168.20.0/24网段通过
[R1-acl-basic-2000]rule permit source 192.168.90.0 0.0.0.255
//配置规则允许源192.168.90.0/24网段通过
[R1-acl-basic-2000]quit //退出到全局模式
[R1]interface GigabitEthernet 0/0/0 //进入Gi0/0/0接口
[R1-GigabitEthernet0/0/0]nat outbound 2000
//配置接口启用Easy IP方式的NAT
[R1-GigabitEthernet0/0/0]quit //退出
出口配置验证
在出口路由器上使用【display nat outbound】命令查看NAT配置。
[R1]display nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/0 2000 16.16.16.1 easyip
--------------------------------------------------------------------------
Total : 13.6 SSH服务配置
(1)以SW1为例在网络设备上配置SSH服务。
[SW1]rsa local-key-pair create
Input the bits in the modulus[default = 512]:2048
//创建RSA密钥,在此过程中需要填写RSA密钥长度为2048
[SW1]stelnet server enable //使能stelnet服务(开启SSH)
[SW1]user-interface vty 0 4 //进入VTY用户界面
[SW1-ui-vty0-4]authentication-mode aaa
//配置VTY用户界面认证方式为aaa
[SW1-ui-vty0-4]protocol inbound ssh
//配置VTY用户界面支持SSH
[SW1-ui-vty0-4]quit //退出VTY用户界面
[SW1]ssh user admin //创建SSH用户
[SW1]ssh user admin authentication-type password
//配置admin用户认证类型为密码认证
[SW1]ssh user admin service-type stelnet
//配置admin用户服务方式为stelnet
[SW1]aaa //进入AAA视图
[SW1-aaa]local-user admin password cipher HwEdu12#$
//配置本地用户admin,密码为HwEdu12#$
[SW1-aaa]local-user admin service-type ssh
//配置本地用户admin的服务方式为ssh
[SW1-aaa]local-user admin privilege level 15
//配置本地用户admin的用户等级为15
[SW1-aaa]quit //退出AAA视图(2)其他交换机或路由器都执行同样的操作启用SSH服务,过程略过,自行配置。
SSH配置验证
(1)在交换机上使用【display ssh server status】查看SSH状态信息(以SW1为例)。
[SW1]display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH authentication retries :3 times
SFTP server :Disable
Stelnet server :Enable
Scp server :Disable
[SW1](2)在交换机上使用【display ssh user-information】查看SSH用户信息(以SW1为例)
[SW1]display ssh user-information
User 1:
User Name : admin
Authentication-type : password
User-public-key-name : -
User-public-key-type : -
Sftp-directory : -
Service-type : stelnet
Authorization-cmd : No4 项目测试
(1)在项目管理部PC上配置IP地址为自动获取,使用【ipconfig】命令查看获取的IP地址信息。
PC>ipconfig
Link local IPv6 address...........: fe80::5689:98ff:fea4:79db
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 192.168.20.254
Subnet mask.......................: 255.255.255.0
Gateway...........................: 192.168.20.1
Physical address..................: 54-89-98-A4-79-DB
DNS server........................:192.168.90.100(2)为财务部PC手动配置IP地址为192.168.10.254/24,网关指向192.168.10.1,服务器群PC手动配置IP地址为192.168.90.254/24,网关指向192.168.90.1,在财务部PC上分别ping测试与项目管理部、服务器群的连通性。
PC>ping 192.168.20.254
Ping 192.168.20.254: 32 data bytes, Press Ctrl_C to break
From 192.168.20.254: bytes=32 seq=1 ttl=127 time=78 ms
From 192.168.20.254: bytes=32 seq=2 ttl=127 time=79 ms
PC>ping 192.168.90.254
Ping 192.168.90.254: 32 data bytes, Press Ctrl_C to break
From 192.168.90.254: bytes=32 seq=1 ttl=253 time=62 ms
From 192.168.90.254: bytes=32 seq=2 ttl=253 time=78 ms(3)财务部PC上ping 16.16.16.16,测试NAT是否正常。
PC>ping 16.16.16.16
Ping 16.16.16.16: 32 data bytes, Press Ctrl_C to break
From 16.16.16.16: bytes=32 seq=1 ttl=253 time=62 ms
From 16.16.16.16: bytes=32 seq=2 ttl=253 time=47 ms
From 16.16.16.16: bytes=32 seq=3 ttl=253 time=63 ms
From 16.16.16.16: bytes=32 seq=4 ttl=253 time=78 ms
From 16.16.16.16: bytes=32 seq=5 ttl=253 time=47 ms
--- 16.16.16.16 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/59/78 ms(4)财务部PC ping 16.16.16.16过程中,在出口路由器R1上使用【display nat session all】命令可以看到NAT会话信息。
[R1]display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.10.254
DestAddr Vpn : 16.16.16.16
Type Code IcmpId : 0 8 33732
NAT-Info
New SrcAddr : 16.16.16.1
New DestAddr : ----
New IcmpId : 10250
省略部分内容……(5)在网管计算机上使用【ssh admin@192.168.100.1】测试连接交换机SW1。
[root@manage ~]# ssh admin@192.168.100.1
The authenticity of host '192.168.100.1 (192.168.100.1)' can't be established.
RSA key fingerprint is ce:79:d7:86:22:f3:37:50:12:f1:06:0d:6e:95:4b:89.
Are you sure you want to continue connecting (yes/no)? yes
//首次SSH连接设备需要确认保存rsa密钥信息
Warning: Permanently added '192.168.100.1' (RSA) to the list of known hosts.
admin@192.168.100.1's password:
//输入用户admin的密码
Info: The max number of VTY users is 5, and the number
of current VTY users on line is 1.
The current login time is 2020-01-18 11:33:28.
//成功SSH登录的时间
<SW1>
//在此模式下通过【quit】命令可以退出SSH连接
强烈推荐书单
1
赠书数量(3本)
本期书籍抽取3本书籍
《深入浅出TCP/IP和VPN(重点推荐)》
未来,应该是AI 的时代;未来,更是连接的时代。无论是在校学生、 对网络感兴趣的人,还是计算机系统维护的管理员 、网络协议开发 / 测试人员 、网络相关的设计和开发人员,学习网络协议都可以阅读这本《深入浅出TCP/IP和VPN》,本书以幽默诙谐的笔调图解 HTTP、图解 TCP/IP、图解MPLS、图解OSPF/RIP/IS-IS/BGP、图解VPN,全面阐述和透彻分析网络协议的工作原理和实现细节,涵盖新的网络协议和实践方法。
《黑客攻防从入门到精通(全新升级)》
百度、腾讯、360、趋势科技等专家面对面交流网络安全热点问题的成果荟萃,经典教程+黑客攻防全能视频+计算机硬件管理手册+Windows文件管理手册+Linux命令应用大全共同集合而成的“网络安全超值学习套餐”,你确定不来了解一下?
《黑客攻防从入门到精通(全新升级版)》,在攻与防的对立统一中寻求黑客攻防的全新突破,认准这本书就对啦!
《企业信息安全建设与运维指南》
为什么企业投入大量的人力物力,得到的结果始终不尽如人意?
为什么明明建设计划完美无缺,一落地就状况百出?
为什么花大价钱开发的安全系统,推广时却备受员工反对,甚至影响公司业务?
如果你的信息安全建设正在遭遇如上困局,赶快翻开这本书,提高安全建设能力,走上人生巅峰指日可待!
北京大学出版社全力打造的《企业信息安全建设与运维指南》,覆盖企业3个阶段安全建设指南+30个真实案例实践+20个实施指南,全面助力企业信息安全建设;从基础安全设施建设到全面风控系统构建全覆盖,为大中小企业量身定制安全方案,完美满足各类企业安全建设需求!
2
腾讯云开发者
