模拟企业网络项目建设
一:项目总体设计
1) 接入层设计
接入层交换机提供网络到桌面的数据业务连接服务,因此,接入层交换机必须具有灵活的业务处理能力、安全策略、扩展能力和强大的QoS能力等。接入层采用2台华为S3700交换机,具体为:
(1)根据业务需求,在接入层配置百兆或千兆二层交换机;
(2)交换机支持802.1q、SNMP协议和端口安全功能,根据学校业务划分多个不同的业务VLAN,用于分隔广播域;
(3)交换机端口上实现对允许连接计算机数量的控制,提高接入的安全性;
(4)每个接入层交换机通过2条上行链路连接到2台核心交换机,实现上行线路备份和负载分担。
2) 汇聚层设计
汇聚层是核心层和接入层的分界点,为接入层的中高速业务提供接入服务。汇聚层交换机采用2台华为S5700交换机。具体为:
(1)汇聚层核心交换机采用高性能的三层交换机,2台核心交换机作为校园局域网的网关,实现互为备份,接入层交换机通过双链路连接到,并实现接入层VLAN之间的联通;
(2)2台核心交换机之间采用双链路连接,配置链路聚合,提高核心交换机之间的链路带宽和可靠性;
(3)采用MSTP+VRRP技术,实现接入层网关的备份和环路避免,提高网络可靠性;
(4)三层交换机的上行端口(路由端口)进行TRACK监测,并将监测与VRRP联动配合,实现网络在部分线路中断情况下的稳定运行;
(5)在三层交换机路由接口和核心层路由器内网接口之间启用RIPv2路由协议。
3)核心层设计
根据项目需求,核心层采用高性能华为AR2220系列路由器,实现校园网与外部Internet网的高速互联。
(1)路由器R1与三层交换机之间采用RIPv2路由协议;
(2)路由器配置静态默认路由连接外部城域网;
(3)模拟外部城域网部分采用OSPF协议,并在链路上启用OSPF协议CHAP认证;
IP地址分配:
二、实验步骤
2.1 基础配置。
按照拓扑配置所有设备名称、接口地址。FTP服务器开启FTP服务、WWW1开启http服务。
1)PC1基础配置截图如下:
2)FTP基础配置截图如下:
3)FTP服务器信息截图如下:
4)WWW服务器截图配置如下:
2.2 配置交换机二层转发功能。
1)在交换设备SW1、SW2、SW3、SW4上创建VLAN2、VLAN3
2)在SW3、SW4下行端口配置默认VLAN,端口类型access,上行端口的端口类型trunk,允许通过VLAN2,VLAN3。
3)将交换设备SW1、SW2下行端口类型设置为trunk,SW1、SW2下行端口配置允许通过的VLAN。
SW3配置如下:
[S3]vlan batch 2 3 4
[S3-Ethernet0/0/1]port link-type access
[S3-Ethernet0/0/1]port default vlan 2
[S3-Ethernet0/0/1]int e0/0/2
[S3-Ethernet0/0/2]port link-type access
[S3-Ethernet0/0/2]port default vlan 2
[S3]int g0/0/1
[S3-GigabitEthernet0/0/1]port link-type trunk
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[S3]int e0/0/3
[S3-Ethernet0/0/3]port link-type trunk
[S3-Ethernet0/0/3]port trunk allow-pass vlan 2 3
SW4配置如下:
[S4]vlan batch 2 3 4
[S4]int e0/0/1
[S4-Ethernet0/0/1]port link-type access
[S4-Ethernet0/0/1]port default vlan 3
[S4-Ethernet0/0/1]int e0/0/2
[S4-Ethernet0/0/2]port link-type access
[S4-Ethernet0/0/2]port default vlan 3
[S4]int g0/0/1
[S4-GigabitEthernet0/0/1]port link-type trunk
[S4-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[S4]int e0/0/3
[S4-Ethernet0/0/3]port link-type trunk
[S4-Ethernet0/0/3]port trunk allow-pass vlan 2 3
SW1配置如下:
[S1]vlan batch 2 3 4
[S1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type trunk
[S1-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 3
[S1]int g0/0/5
[S1-GigabitEthernet0/0/5]port link-type trunk
[S1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3
SW2配置如下:
[S2]vlan batch 2 3 4
[S2]int g0/0/5
[S2-GigabitEthernet0/0/5]port link-type trunk
[S2-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3
[S2]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type trunk
[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 3
2.3配置链路聚合。
SW1、SW2连接链路创建聚合链路Eth-trunk1,模式为手工链路负载均衡。分别在SW1、SW2上配置Eth-trunk1接口模式为trunk,允许通过VLAN2和VLAN3。
SW1配置如下:
[S1]int Eth-Trunk 1
[S1-Eth-Trunk1]mode manual load-balance
[S1-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4
[S1-Eth-Trunk1]port link-type trunk
[S1-Eth-Trunk1]port trunk allow-pass vlan 2 3 4
SW2配置如下:
[S2]int Eth-Trunk 1
[S2-Eth-Trunk1]mode manual load-balance
[S2-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4
[S2-Eth-Trunk1]port link-type trunk
[S2-Eth-Trunk1]port trunk allow-pass vlan 2 3 4
2.4 配置VLANIF。
SW1、SW2上分别配置VLANIF2、VLANIF3接口,以实现VLAN间互通。在SW1、SW2上配置VLANIF4接口实现与AR1互联。
SW1配置如下:
[S1]int vlanif 2
[S1-Vlanif2]ip add 172.119.10.100 24
[S1-Vlanif2]int vlanif 3
[S1-Vlanif3]ip add 172.119.20.100 24
[S1]int vlanif 4
[S1-Vlanif4]ip add 172.119.30.100 24
SW2配置如下:
[S2]int vlanif 2
[S2-Vlanif2]ip add 172.119.10.200 24
[S2-Vlanif2]int vlanif 3
[S2-Vlanif3]ip add 172.110.20.200 24
[S2]int vlanif 4
[S2-Vlanif4]ip add 172.119.40.200 24
2.5 配置MSTP。
分别在SW1、SW2、SW3、SW4上配置MSTP。
1)配置SW1域名为RG1,创建实例MSTI1和实例MSTI2
[SW1] stp region-configuration //进入MST域视图。
[SW1-mst-region] region-name RG1 //配置域名为RG1。
[SW1-mst-region] instance 1 vlan 2 //将VLAN 2映射到实例1上。
[SW1-mst-region] instance 2 vlan 3 //将VLAN 3映射到实例2上。
[SW1-mst-region] active region-configuration //激活MST域的配置。
[SW1-mst-region] quit
同样,进行SW2配置。
SW2配置如下:
[S2]stp region-configuration
[S2-mst-region]region-name rg1
[S2-mst-region]instance 1 vlan 2
[S2-mst-region]instance 2 vlan 3
[S2-mst-region]active region-configuration
SW3上配置域名RG1,创建实例MSTI1。
[SW3] stp region-configuration //进入MST域视图。
[SW3-mst-region] region-name RG1 //配置域名为RG1。
[SW3-mst-region] instance 1 vlan 2 //将VLAN 2映射到实例1上。
[SW3-mst-region] active region-configuration //激活MST域的配置。
[SW3-mst-region] quit
同理,SW4上配置域名RG1,创建实例MSTI2。将VLAN3映射到实例2上。
SW4配置如下:
[S4]stp region-configuration
[S4-mst-region]region-name rg1
[S4-mst-region]instance 1 vlan 2
[S4-mst-region]active region-configuration
2)在域RG1内,配置MSTI1与MSTI2的根桥与备份根桥
配置MSTI1的根桥与备份根桥
[SW1] stp instance 1 root primary // 配置SW1为MSTI1的根桥。
[SW2] stp instance 1 root secondary //配置SW2为MSTI1的备份根桥。
配置MSTI2的根桥与备份根桥,配置SW2为MSTI2的根桥,配置SW1为MSTI2的备份根桥。配置如下:
[S1]stp instance 2 root secondary
[S2]stp instance 2 root primary
3)使能MSTP,实现破除环路
设备全局使能MSTP
[SW1] stp enable
同理,在SW2、SW3、SW4启动MSTP。
配置如下:
[S2]stp enable
[S3]stp enable
[S4]stp enable
4)将与AR1相连SW1和SW2的上行路由端口配置为边缘端口
配置SW1路由端口。
[SW1] interface gigabitethernet 0/0/3
[SW1-GigabitEthernet0/0/3] stp edged-port enable
[SW1-GigabitEthernet0/0/3] quit
同样配置SW2的路由端口为stp边缘端口。
配置如下:
[S2]int g0/0/1
[S2-GigabitEthernet0/0/1]stp edged-port enable
2.6 配置VRRP备份组
在SW1和SW2上创建VRRP备份组1,配置SW1的优先级为120,设置抢占方式,抢占延时为20秒,作为Master设备;SW2的优先级为缺省值,作为Backup设备。
在SW1和SW2上创建VRRP备份组2,配置SW2的优先级为120,抢占延时为20秒,作为Master设备;SW1的优先级为缺省值,作为Backup设备。
SW1配置如下:
[S1]int vlanif 2
[S1-Vlanif2]vrrp vrid 1 virtual-ip 172.119.10.254
[S1-Vlanif2]vrrp vrid 1 priority 120
[S1]int vlan 3
[S1-Vlanif3]vrrp vrid 2 virtual-ip 172.119.20.254
SW2配置如下:
[S2]int vlan 2
[S2-Vlanif2]vrrp vrid 1 virtual-ip 172.119.10.254
[S2]int vlanif 3
[S2-Vlanif3]vrrp vrid 2 virtual-ip 172.119.20.254
[S2-Vlanif3]vrrp vrid 2 priority 120
2.7 配置VRRP1与TRACK1,VRRP2与TRACK2联动。
SW1配置如下:
[S1-Vlanif2]vrrp vrid 1 track interface g0/0/1 reduced 50
SW2配置如下:
[S2-Vlanif2]vrrp vrid 1 track interface g0/0/1 reduced 50
2.8 配置RIP协议。
在AR1配置IP地址,在SW1、SW2、AR1上配置RIPv2,通告各相关接口网段,关闭路由汇总,实现内网互通。
[AR1-GigabitEthernet0/0/1]ip add 172.119.30.101 24
[AR1-GigabitEthernet0/0/2]ip add 172.119.40.102 24
[AR1-GigabitEthernet0/0/0]ip add 202.119.0.1 28
[AR1]rip
[AR1-rip-1]network 172.119.0.0
[AR1-rip-1]network 202.119.0.0
[AR1-rip-1]undo summary
[AR1]int G0/0/1
[AR1-GigabitEthernet0/0/1]rip metricin 2 //将SW1发布的路由增加meric值2,形成备用路由。
SW1配置:
[SW1]rip
[SW1-rip-1]network 172.119.0.0
[SW1-rip-1]undo summary
同理配置SW2.配置如下:
[S2]rip
[S2-rip-1]net 172.119.0.0
[S2-rip-1]undo summary
2.9 配置AR1访问外网上的默认静态路由,并在AR1中发布RIP协议默认路由以实现SW1,SW2访问外网的默认路由。
AR1默认路由配置如下:
[R1]ip route-static 0.0.0.0 0 202.119.0.2
在AR1中发布RIP协议默认路由配置如下:
[AR1]rip 1
[AR1-rip-1]default-route originate
2.10 内网测试验证。
1)在SW1和SW2上使用display stp instance 1 和display stp instance 2截图MSTP配置结果。指出MSTI1的根桥,备份根桥;指出MSTI2的根桥,备份根桥;
截图如下:
2)使用PC1 ping PC2 ,验证不同VLAN用户的连通性并截图。
截图如下:
3)在交换机SW2上display vrrp验证VRRP的配置结果,分别指出VRRP vrid2的Master和Backup设备。
截图如下:
VRRP vrid2 的Master是SW2,Backup是SW1
4)关闭SW2的G0/0/1接口,再次指出VRRP vrid 2的Master和Backup设备,并使用PC2 tracert 202.119.0.1截图,指出数据包的路径。然后开启SW2的G0/0/1接口。
截图如下:
VRRP vrid2 的Master是SW2,Backup是SW1
可以看到数据包发送途径:SW4→SW1→AR1
5)同时关闭SW1的G0/0/1和SW2的G0/0/1接口,测试PC1 到PC2的连通性并截图。而后再次开启接口。
截图如下:
6)使用PC2 ping AR1 G0/0/0接口,验证并截图。
截图如下:
7)验证路由。在SW1上使用dis ip routing-table protocol rip和dis ip routing-table查看路由学习情况并截图。
截图如下:
2.11 配置NAPT。
使内网的用户共享公网IP地址池202.119.0.5-202.119.0.14访问外网。
AR1的配置如下:
[R1]nat address-group 1 202.119.0.5 202.119.0.14
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 172.119.0.0 0.0.255.255
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
使用PC1 ping AR2 G0/0/0接口,并在AR1外网接口抓包,查看NAT是否实现。
截图如下:
2.12 配置服务器静态NAT。
使内网的FTP和WWW服务器分别使用公网IP地址202.119.0.3和202.119.0.4对外提供服务;
AR1上配置如下:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat static global 202.119.0.3 inside 172.119.10.102
[R1-GigabitEthernet0/0/0]nat static global 202.119.0.4 inside 172.119.20.102
2.13 城域网配置。
1)配置城域网AR2,AR3,AR4、AR5、AR6ospf协议。其中,AR2(G0/0/1、G0/0/2接口)、AR3(G0/0/0、G0/0/1接口)、AR4(G0/0/0、G0/0/2接口)间为OSPF骨干区域area0。
各路由器配置如下:
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]net 202.119.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]net 202.119.24.0 0.0.0.255
[R3-ospf-1]a 0
[R3-ospf-1-area-0.0.0.0]net 202.119.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]net 202.119.34.0 0.0.0.255
[R4-ospf-1]a 0
[R4-ospf-1-area-0.0.0.0]net 202.119.24.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]net 202.119.34.0 0.0.0.255
2)AR5(G0/0/0、G0/0/1、G0/0/2接口)、AR3(E1/0/0接口)、AR4(E1/0/0接口)间为OSPF stub区域 area1。
各路由器配置如下:
[R3-ospf-1]a 1
[R3-ospf-1-area-0.0.0.1]net 202.119.35.0 0.0.0.255
[R4-ospf-1]a 1
[R4-ospf-1-area-0.0.0.1]net 202.119.45.0 0.0.0.255
[R5-ospf-1]a 1
[R5-ospf-1-area-0.0.0.1]net 202.119.35.0 0.0.0.255
[R5-ospf-1-area-0.0.0.1]net 202.119.45.0 0.0.0.255
[R5-ospf-1-area-0.0.0.1]net 202.119.50.0 0.0.0.255
3)AR6(G0/0/0、G0/0/1、G0/0/2接口)、AR3(E1/0/1接口)、AR4(E1/0/1接口)间为OSPF stub区域 area2。
各路由器配置如下:
[R3-ospf-1]a 2
[R3-ospf-1-area-0.0.0.2]net 202.119.36.0 0.0.0.255
[R4-ospf-1]a 2
[R4-ospf-1-area-0.0.0.2]net 202.119.46.0 0.0.0.255
[R6-ospf-1]a 2
[R6-ospf-1-area-0.0.0.2]net 202.119.36.0 0.0.0.255
[R6-ospf-1-area-0.0.0.2]net 202.119.46.0 0.0.0.255
[R6-ospf-1-area-0.0.0.2]net 202.119.60.0 0.0.0.255
4)AR2上direct路由重分布到OSPF。
路由器配置如下:
[R2]ospf
[R2-ospf-1]import-route direct
5)在R3的区域1中,将发送到该Stub区域的Type-3 LSA的缺省开销值设为10;在R4的区域2中,将发送到该Stub区域的Type-3 LSA的缺省开销值设为10;
[R4-ospf-1-area-0.0.0.1]default-cost 10
[R3-ospf-1-area-0.0.0.2]default-cost 10
6)查看R3、R4上的OSPF邻居建立情况并截图;查看R2、R5、R6的LSDB并截图。查看R2、R5、R6的OSPF路由表并截图。
截图如下:
7)PC3上tracert 202.119.0.1 ,说明数据包路径并截图。
截图如下:
2.114全网性能测试
1)分别测试PC1、PC2到Client的连通性,并在AR1查看的G0/0/0接口抓包,验证NAPT功能,并截图进行说明。
截图如下:
2)使用PC1测试到PC3的连通性,并截图。
截图如下:
3)使用外网客户端client分别访问FTP服务器、www服务器并截图验证。
配置结束。
