基于OSPF技术的某企业网络设计(完整文档+ENSP拓扑图)
主要对网络规划与设计,以企业网络为背景,对某个中型企业网络进行规划设计,该企业总部在南京,在常州有一个分公司,需要实现总部和分公司能够访问外网,能够让分公司内的用户或主机访问总部服务器的资源,并且保证数据的安全性。在这次总部企业网络设计中,考虑到资金的问题,核心层部署2台核心三层交换机,负责转发总部内部用户的流量,并充当内部用户网关,能够实现内部不同网段的用户之间的连通性。对于一些对网络比较敏感的
文章共17,562字 · 阅读需要大约59分钟
大家好,我是小华学长,一名计算机领域的博主。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员。
作为一名计算机博主,我一直专注于编程、算法、软件开发等领域,在这些方面积累了大量的经验。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。
在我的文章中,你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验,为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够帮助你解决当前遇到的问题,还能够提升你的编程思维和解决问题的能力。
除了技术方面的分享,我还会涉及到一些关于职业发展和学习方法的话题。作为一名曾经的学生,我深知在计算机领域如何更好地提升自己和面对挑战。我会分享一些学习方法、面试技巧和职场经验,希望能够对你的职业发展产生积极的影响。
我的文章会发布在CSDN社区,这是一个非常活跃和专业的计算机技术社区。在这里,你可以与其他热爱技术的人们交流、学习和分享。通过关注我的博客,你可以第一时间获取到我的最新文章,并与我和其他读者互动交流。
如果你对计算机领域有兴趣,希望能够更好地提升自己的编程能力和技术水平,那么请关注我的CSDN博客。我相信我的分享会带给你帮助和启发,让你在计算机领域取得更大的成就!
让我们一起成为更好的程序员,共同探索计算机领域的精彩世界吧!感谢你的关注与支持!
分享的所有计算机项目源码均包含文档,可做毕业设计或课程设计,欢迎留言分享问题,交流经验!
摘 要
全国经济的飞速发展,信息化的飞速发展,标志着信息时代的到来。随着科技的发展和网络的普遍存在,用户对网络的需求和要求越来越高,不仅仅只是要求能够满足用户能够上外网,能够共享网络资源,在实现这些基础上还需要保证网络的稳定和安全性。对于一些对网络比较敏感的企业或用户,对网络的要求较高,对于网络的稳定性和安全性也有较高的要求。
这次我的毕业设计主要对网络规划与设计,以企业网络为背景,对某个中型企业网络进行规划设计,该企业总部在南京,在常州有一个分公司,需要实现总部和分公司能够访问外网,能够让分公司内的用户或主机访问总部服务器的资源,并且保证数据的安全性。总部可能有多个部门,需要让有些部门不能访问一些重要的部门,限制一些部门之间的连通性。网络拓扑设计用经典的接入层和核心层,接入层连接用户终端PC、打印机和服务器;总部内部用户网关配置在核心层交换机上,部署两台核心交换机通过集群术虚拟化成一台,核心层交换机连接出口路由器,与路由器间配置动态OSPF路由,实现网络的连通性。分公司网络拓扑设计用二层结构(接入层、核心层),接入层连接用户终端、核心层配置用户网关。总部和分公司之间部署VPN,在internet公共网络基础上通过配置IPsec VPN实现总部与分公司之间的相互访问。
网络设计仿真通过华为ensp模拟器仿真,添加一些网络设备二层交换机、三层交换机、路由器、PC和服务器进行组网连接。通过相关配置实现网络的连通性,并进行网络相关测试。
关键词:企业网;网络规划;IPsec VPN
ABSTRACT
The rapid development of national economy and informatization marks the arrival of the information age. With the development of science and technology and the widespread existence of the network, the demand and requirements of users for the network are more and more high, not only to meet the requirements of users can be on the external network, to share network resources, in order to achieve these on the basis of the need to ensure the stability and security of the network. For some enterprises or users who are more sensitive to the network, the requirements for the network are higher, and the stability and security of the network are also higher.
This time my graduation design is mainly for network planning and design, its background of enterprise network, for a medium-sized enterprise network planning and design, the company is headquartered in nanjing, in changzhou has a branch, the need to implement headquarters and branch office to be able to access the network, can let users within the branch or host access to the headquarters of the server resources, and ensure the security of data. Headquarters may have multiple departments, and some need to be denied access to important departments and limited connectivity between some departments. The network topology design uses classical access layer and core layer. The access layer connects the user terminal PC, printer and server. The internal user gateway of the headquarters is configured on the core layer switch. Two core switches are deployed and virtualized into one by clustering technique. The core layer switch is connected with the export router and configured with dynamic OSPF routing between the router to achieve network connectivity. The branch network topology design uses two layer structure (access layer, core layer), the access layer connects the user terminal, the core layer configures the user gateway. VPN is deployed between the headquarter and the branch, and the mutual access between the headquarter and the branch is realized by configuring IPSec VPN on the basis of Internet public network.
Through the simulation of Huawei ENSP simulator, some network equipment are added to make network connection with Layer 2 switch, Layer 3 switch, router, PC and server. Through the relevant configuration to achieve network connectivity, and network related tests.
Key words: Enterprise Network; Network planning; IPsec VPN
6.1、测试分公司与总部之间的访问............................................................................... 25
6.7、查看OSPF邻居建立和路由信息........................................................................... 35
1、绪论
1.1、背景
本课题以中型企业网络搭建为背景,实现网络规划设计和模拟。该企业有一个总公司和一个分公司,总公司有人事部、市场部、科研部、信息部、行政部等,分公司有行政部、科研部和市场部。不同部门分别划分不同的VLAN,不同VLAN间分配不同的IP地址段。总部与分公司之间需要相互访问。
1.2、发展趋势
市场经济的快速发展和计算机网络的普及使得网络与人们的日常生活越来越密切。在我们日常生活中,网络随处可见,常见的就有移动网络,有线网络,无线网络,视频监控和电子眼等。毫无疑问,网络的普及给我们生活带来了极大的便利,同时也使我们的人生安全在无形之中得到保障。比如:电子眼的出现,既保障了交通的安全,也使我们的人生安全得到保障。其次,无线网络的普及同样给我们生活带来了诸多便利,它使我们上网不再受到有线网络的限制。人们可以拿着IPAD和手机随时随地享受网上冲浪。相信在不久的未来,计算机网络的普及和发展规模将会越来越庞大;与此同时,无线网络的发展是一个必然趋势,现在的无线网络仍然还存在着些许缺陷,如无线网络的安全性和无线网络信号的稳定性一直都是我们关心的问题。
1.3、意义
在当今的信息化时代,网络在我们生活中处处可见。计算机网络的发展使得传统的网络架构模式不能满足现有企业用户的需求。计算机网络的普及也给我们日常生活和工作都带来了诸多方便,它不仅使我们的工作效率大大提高,也丰富了我们的业余娱乐活动,同时网络的快速发展也带动了社会经济的发展。
2、企业需求分析
2.1、项目概述
本次设计主要中型企业为主,该企业有两层办公楼。该企业有一总部和一个分公司。主要有人事部、市场部、科研部、信息部、行政部等,分公司有行政部、科研部和市场部。核心机房部署在一层楼,第二层楼有小型机房。1层楼主要有,人事部、市场部、科研部。人事部门有4人左右,市场部、科研部共40人,共45台PC。2楼主要有信息部、行政部,共60人,需要PC60台。
2.2、用户需求分析
(1)企业总部和分部有多个部门,要求每个部门单独划分到一个VLAN,VLAN ID可以自己规划
(2)企业总部部门之间要求能够实现内部资源共享,部门之间的一些资源和资料可以相互访问
(3)核心设备部署2台
(4)总部内部服务器的资源需要安全保障,尽量减少不必要的攻击
(5)考虑到企业资金的原因,该企业总部向ISP网络运营商申请了200.200.200.0/29网段的地址,可以公网地址只有6个。如果要实现内部用户访问外网,需要使用网络地址转换来实现。基于端口转换,转换为企业出口设备出接口地址。
(6)企业有自己的分公司,总部与分公司间需要相互访问。为了节约成本而且又能保证网络数据安全的传输,需要在总部和分公司间建立IPsec VPN。
(7)总公司分人事部、市场部、科研部、信息部、行政部。划分不同部门为不同VLAN,实现网络间的互通。 分公司行政部、科研部、市场部,实现网络间的互通
2.3、服务器需求分析
(1)WEB服务器:每个企业几乎都有自己的网站,能够对外宣传自己的企业,大大增加企业的知名度和关注度。WEB服务器可以供企业总部内部用户、分公司内部用户以及外网用户访问和浏览。如果需要实现外网用户访问,需要将WEB服务器进行静态地址转换
(2)FTP服务器:FTP文件传输服务器,能够保存企业内部用户的一些主要资料和视频,以及一些常用的软件和工具。FTP服务器要求能够有足够的磁盘或存储空间,能够实现内部用户的资料的保存和共享。可以对一些重要的文件和相关资料进行权限设置,对于FTP服务器的访问,可以设置用户名和密码,还可以设置文件或共享资料的读写权限,保证安全性。
(3)DHCP服务器:总部内部用户人数较多,并不是所有员工对IP地址设置及相关配置有所了解,为了减少网络管理员和用户的工作量,一般企业内部都是通过DHCP动态分配IP地址的方式为用户分配IP地址。DHCP服务器可以配置三层的交换机和路由器等网络设备上,也可以用专门的服务器配置DHCP Server。DHCP服务器的部署避免了用户配置IP地址冲突和减少了网络管理员的工作量。
(4)DNS服务器:DNS域名服务器,通过配置域名与IP地址对应映射,方便用户对一些网站的访问。一般的用户对于IP地址的记忆力不是很强和IP地址较多的情况下很难记住,现在的网站很多,如果需要记住那些IP地址的话很麻烦。DNS域名服务器,通过配置域名与IP地址对应映射,通过在浏览器里面输入相应的域名,查找到相应的IP地址后,在进行访问,对于用户来说是透明的。
2.4、网络安全需求分析
(1)防止外部的IP地址欺骗
(2)控制内部网的非法IP地址进入外部网 ,公司内部规划使用IP,通过地址转换协议连接到外网,防止外网用户入侵公司内部
(3)对内部网资源主机的访问控制
(4)防止外部的ICMP重定向欺骗
(5)防止外部的资源路由选择欺骗
(6)内部网络流量的控制
2.5、网络设备需求分析
网络的快速发展,导致网络设备厂商越来多,不能设备厂商对于设备的性能和价格有所差距。Cisco的网络设备价格相关较高,h3c和华为的网络设备相对于Cisco来说,便宜了很多。但是在稳定性和性能上Cisco设备占据很大优势。该企业对网络设备的需求,应该尽量从这几方面考虑:
(1)性能方面:网络设备需要具有较高的转发性能,这样可以实现数据包在网络中快速转发,避免数据包流量过多,出现流量拥塞的情况
(2)安全方面:网络的安全在现在的网络设计中至关重要,所有在设备安全方面需要设备自身支持一些基本的安全协议,来保护网络的安全性,或通过购买专门的安全设备来保护网络的安全
(3)管理性方面:所有的网络设备需要支持可配置管理,支持一些常见的telnet、SSH、SNMP等相关协议,实现网络管理员远程管理和配置网络设备
(4)可靠性方面:用户需求实现链路冗余和用户网关备份,在汇聚层交换机选型需要支持相应的STP生成树、HSRP和VRRP网关备份冗余协议,保证用户网络的可靠性。
2.6、信息点需求分析
根据不同部门的人数,以及PC的数量,可以对该企业的信息点进行统计。在统计信息点时,不仅仅要根据PC的数量进行统计。
表-1信息点统计
| 楼层 | 部门 | 信息点 |
| 1F | 人事部 | 4 |
| 1F | 市场部 | 20 |
| 1F | 科研部 | 20 |
| 2F | 信息部 | 35 |
| 2F | 行政部 | 25 |
3、网络的概要设计
3.1、网络设计原则
3.1.1、先进性
当今信息技术的发展非常迅速,网络更新换代的周期越来越短,同时信息化技术的快速发展和不断更新也使得不同的网络厂商也不断更新。因此,在进行选购设备时我们要充分注意产品的先进性,不仅仅为了满足眼前的需求,也要与时俱进地考虑到时代的发展。在选择硬件时,我们要预测未来的发展方向,选择软件要注意考虑其开放性,工具性以及软件集成优势等。同时,网络设计还要考虑通信发展的要求。
3.1.2、可靠性
对于一些重要企业来说,网络运行的可靠性发挥着十分重要的角色。企业不允许网络出现大幅度的动荡,这样不仅仅会影响公司的运营情况,也对企业形象有一定影响。因此,在对企业进行设计时,我们应该考虑网络设计的可靠性。系统可以较长时间进行相对稳定可靠地运行,并保证其系统安全性,以防止非法用户的非法访问。系统也不允许出现故障,或者说即使有设备出现故障情况,也需要有相应的备份解决措施。如果对网络和网上的数据不构成大的威胁,也要有设备对数据作相应的备份。
3.1.3、实用性
系统的设计需要满足现有用户的需求,能够实现用户对网络的使用,能够满足企业内部用户的体验,网络的设计不用太复杂,要从实际情况出发,要实现用户一些基本的要求,如用户能够访问外网、内部用户之间实现资源共享等。
3.1.4、安全性
在进行该企业设计时,我们应该重点考虑系统网络的安全性。安全性,在物理上和网络设计时都需要进行考虑。在进行网络设备安装时或者在由网络设备安装的地方,我们需要保证所有进入机房的人员都是合法的,并不是任何人都被允许进入机房的。在进行网络设计时,我们可以在网络设备上设置密码,在服务器区域部署防火墙。为了保证网络的安全性,我们必须避免不合法的攻击和人员对其进行不合法的操作。
4、网络的详细设计
4.1、网络架构
4.1.1、总部网络架构规划
总部网络在稳定性和安全性上有相应的需求,接入层到汇聚层避免出现线路单点故障,同时要求用户网关设备实现主备。实现总部内部用户访问外网,实现总部与分公司相互访问。总部网络规划设计思路如下:
1、核心层(汇聚层)
核心层是整个网络结构中最重要的一层,内部用户的流量都需要经过核心层交换机进行转发, 是网络三层架构中的核心部分,是不可缺少的一层。在这次总部企业网络设计中,考虑到资金的问题,核心层部署2台核心三层交换机,负责转发总部内部用户的流量,并充当内部用户网关,能够实现内部不同网段的用户之间的连通性。核心层和出口路由器之间都通过动态路由协议,通过OSPF动态协议保证网络了连通性和可扩展性。服务器区域交换机也连接在核心交换机上。
2、接入层
接入层一般下联用户终端,如PC机、打印机、无线接入点和服务器等。接入层交换机默认端口类型为access,如果内部需要划分多个vlan,需要将与用户终端连接的端口划分到相应的某个VLAN,而和交换机互联接口的话需要配置为TRUNK。
企业总部有多个部门,需要规划和创建多个VLAN。不同部门的与接入层交换机、与终端相连接的端口必须划分到相应的VLAN,上联核心层交换机的端口需要配置为TRUNK,并配置相应的VLAN通过。企业总部接入交换机开启STP协议,因为接入层交换机上双连接的,起到防止环路的作用。
3、服务系统
企业总部部署办公系统和业务系统,服务器使用一台三层交换机作为服务器接入,实现数据高转发,接口带宽较大。办公系统部署一些常用的FTP、DHCP和WEB服务器;业务系统部署多台服务器,部署集群技术保证业务系统稳定性。
4.1.2、分公司网络架构规划
分公司的网络架构相对于总部来说比较简单,分公司用一台核心交换机作为用户的网关,出口的话还是部署一台路由器,接入层部署几台二层交换机。网络的稳定性和安全性没有总部的考虑周到,因为分公司较小,资金问题考虑比较周到。但是实现用户访问外网和访问总部资源都是可以的。
- 核心层
核心层是整个网络结构中最重要的一层,内部用户的流量都需要经过核心层交换机进行转发, 是网络三层架构中的核心部分,是不可缺少的一层。在这次分公司网络设计中,考虑到资金的问题,核心层部署一台核心三层交换机。核心交换机通过下联接入层交换机,上联出口路由器,通过VLAN接口配置IP地址的方式实现用户网关配置。与路由器之间还是通过配置OSPF动态路由实现互通。
- 接入层
接入层一般下联用户终端,如PC机、打印机、无线接入点和服务器等。接入层交换机默认端口类型为access,如果内部需要划分多个vlan,需要将与用户终端连接的端口划分到相应的某个VLAN,而和交换机互联接口的话需要配置为TRUNK。
分公司有三个部门,需要规划和创建多个VLAN。不同部门的与接入层交换机、与终端相连接的端口必须划分到相应的VLAN,上联汇聚层交换机的端口需要配置为TRUNK,并配置相应的VLAN通过。
4.2、网络拓扑
4.2.1、网络描叙
该企业总部在南京,在常州有一家分公司,需要实现总部和分公司能够访问外网,能够让分公司内的用户或主机访问总部服务器的资源,并且保证数据的安全性。总部可能由多个部门,需要让有些部门不能访问一些重要的部门,限制一些部门之间的连通性。网络拓扑设计用经典的三层架构(接入层、汇聚层、核心层),接入层连接用户终端PC、打印机和服务器;汇聚层连接接入层交换机和核心交换机,总部内部用户网关配置在汇聚层交换机上,减少核心对数据流量的处理;核心层交换机连接出口路由器和汇聚交换机、服务器区域防火墙,配置静态路由和动态OSPF路由,实现网络的连通性。分公司网络拓扑设计用二层结构(接入层、核心层),接入层连接用户终端、核心层配置用户网关。总部和分公司之间部署VPN,在internet公共网络基础上通过配置IPsec VPN实现总部与分公司之间的相互访问。
网络设计仿真通过huawei ensp模拟器仿真,添加一些网络设备二层交换机、三层交换机、路由器、PC和服务器进行组网连接。通过相关配置实现网络的连通性,并进行网络相关测试。
图-2 网络拓扑图
4.3、IP地址规划和VLAN划分
4.3.1、VLAN划分
表2 VLAN划分
| VLAN | VLAN描述 | 备注 |
| VLAN 101 | 人事部 | 总部 |
| VLAN 102 | 市场部 | 总部 |
| VLAN 103 | 科研部 | 总部 |
| VLAN 104 | 信息部 | 总部 |
| VLAN 105 | 行政部 | 总部 |
| VLAN 101 | 行政部 | 分支机构 |
| VLAN 102 | 科研部 | 分支机构 |
| VLAN 103 | 市场部 | 分支机构 |
4.3.2、IP地址规划
表3 IP地址规划
| VLAN | VLAN描述 | IP地址 | 子网掩码 | 网关 | 备注 |
| VLAN 101 | 人事部 | 192.168.101.0 | 255.255.255.0 | 192.168.101.254 | 总部 |
| VLAN 102 | 市场部 | 192.168.102.0 | 255.255.255.0 | 192.168.102.254 | 总部 |
| VLAN 103 | 科研部 | 192.168.103.0 | 255.255.255.0 | 192.168.103.254 | 总部 |
| VLAN 104 | 信息部 | 192.168.104.0 | 255.255.255.0 | 192.168.104.254 | 总部 |
| VLAN 105 | 行政部 | 192.168.105.0 | 255.255.255.0 | 192.168.105.254 | 总部 |
| VLAN 101 | 行政部 | 172.16.10.0 | 255.255.255.0 | 172.16.10.254 | 分支机构 |
| VLAN 102 | 科研部 | 172.16.20.0 | 255.255.255.0 | 172.16.20.254 | 分支机构 |
| VLAN 103 | 市场部 | 172.16.30.0 | 255.255.255.0 | 172.16.30.254 | 分支机构 |
| 设备 | 接口 | IP地址 |
| 总部核心交换机1 | Vlanif 101 | 192.168.101.252 |
| Vlanif 102 | 192.168.102.252 | |
| Vlanif 103 | 192.168.103.252 | |
| Vlanif 104 | 192.168.104.252 | |
| Vlanif 105 | 192.168.105.252 | |
| Vlanif 200 | 10.0.0.1 | |
| 总部核心交换机2 | Vlanif 101 | 192.168.101.253 |
| Vlanif 102 | 192.168.102.253 | |
| Vlanif 103 | 192.168.103.253 | |
| Vlanif 104 | 192.168.104.253 | |
| Vlanif 105 | 192.168.105.253 | |
| Vlanif 200 | 10.0.0.5 | |
| 总部出口路由器 | Eth0/0/0 | 10.0.0.2 |
| Eth0/0/1 | 10.0.0.6 | |
| Gi0/0/0 | 10.10.10.1 | |
| S 0/0/0 | 200.200.200.1 | |
| 总部防火墙 | Gi0/0/0 | 10.10.10.2 |
| Gi0/0/1 | 192.168.100.254 | |
| 分部核心交换机1 | Vlanif 101 | 172.16.10.254 |
| Vlanif 102 | 172.16.20.254 | |
| Vlanif 103 | 172.16.30.254 | |
| Vlanif 200 | 10.0.0.1 | |
| 分部出口路由器 | Eth0/0/0 | 10.0.0.2 |
| S 0/0/0 | 100.100.100.1 | |
| ISP路由器 | S 0/0/0 | 200.200.200.6 |
| S 0/0/1 | 100.100.100.6 |
4.4、网络实施
4.4.1、接入层实施
接入层交换机上主要配置相应的用户VLAN,连接终端的设备和用户的接口划分为access接口,与交换机互联的接口配置为trunk。已人事部接入层交换机为例。
4.4.2、核心层实施
核心层交换机上主要配置相应的用户VLAN,与交换机互联的接口配置为trunk。
核心层交换机之间配置端口聚合,配置用户网关,通过VRRP和MSTP协议实现用户网关主备和链路冗余。
核心层交换机与路由器之间运行OSPF动态路由协议,在核心层交换机开启ospf协议,宣告用户网段和路由器互联的接口地址
内部用户网段通过自动获取IP地址的方式获取IP地址,DHCP servr服务器配置在核心交换机上,动态为用户分配IP地址,避免用户手动配置IP地址出现地址冲突。
4.4.3、出口路由器实施
出口路由器上需要配置相应的静态路由和默认路由,配置相应的接口地址和NAT网络地址转换
总部和分公司间需要部署VPN,实现总部与分公司资源公司,同时还需要保证数据的安全性。
4.5、设备选型
表4 设备清单
| 品牌 | 设备型号 | 设备类型 | 数量 | 备注 |
| Huawei | S3700-26C-HI | 接入层交换机 | 6 | 总部 |
| Huawei | S5700-28C-HI | 核心层交换机 | 2 | 总部 |
| Huawei | AR1220-S | 出口路由器 | 1 | 总部 |
| Huawei | USG5500 | 防火墙 | 1 | 总部 |
| Huawei | S3700-26C-HI | 接入层交换机 | 3 | 分公司 |
| Huawei | S5700-28C-HI | 汇聚层交换机 | 1 | 分公司 |
| Huawei | AR1220-S | 出口路由器 | 1 | 分公司 |
5、网络的实现
5.1、网络仿真配置
5.1.1、接入交换机配置
在接入层为了隔离广播域,防止广播风暴,将不同部门划分到不同的VLAN。在接入层交换机上创建了VLAN,然后基于端口的划分将用户加入到对应的VLAN中。接入层交换机与上联交换机互联端口配置为中继端口,允许所有的VLAN通过。
[Huawei]vlan 100 //创建相应的VLAN
[Huawei]interface eth0/0/1 //进入接口将接口配置为中继端口
[Huawei-Ethernet0/0/1] port link-type trunk
[Huawei-Ethernet0/0/1] port trunk allow-pass vlan 2 to 4094
[Huawei]interface Ethernet0/0/3 //将接口划分到VLAN101
[Huawei-Ethernet0/0/3]port link-type access
[Huawei-Ethernet0/0/3] port default vlan 101
5.1.2、核心交换机配置
核心层交换机上创建相应的VLAN,与交换机互联的端口配置为中继,用户网关配置在核心交换机上。与路由器互联的接口配置IP地址,与路由器之间配置OSPF动态路由实现互通。
[Core-SW-1]vlan 100 //创建相应的VLAN
在接入交换机命令行的全局配置模式下创建用户vlan106
[Core-SW-1]vlan 101
在接入交换机命令行的全局配置模式下创建用户vlan101
[Core-SW-1]vlan 102
在接入交换机命令行的全局配置模式下创建用户vlan102
[Core-SW-1]vlan 103
在接入交换机命令行的全局配置模式下创建用户vlan103
[Core-SW-1]vlan 104
在接入交换机命令行的全局配置模式下创建用户vlan104
[Core-SW-1]vlan 105
在接入交换机命令行的全局配置模式下创建用户vlan105
[Core-SW-1]interface Ethernet0/0/1
[Core-SW-1-Ethernet0/0/1] port link-type trunk
[Core-SW-1-Ethernet0/0/1] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/1]#
[Core-SW-1-Ethernet0/0/1]interface Ethernet0/0/2
[Core-SW-1-Ethernet0/0/2] port link-type trunk
[Core-SW-1-Ethernet0/0/2] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/2]#
[Core-SW-1-Ethernet0/0/2]interface Ethernet0/0/3
[Core-SW-1-Ethernet0/0/3] port link-type trunk
[Core-SW-1-Ethernet0/0/3] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/3]#
[Core-SW-1-Ethernet0/0/3]interface Ethernet0/0/4
[Core-SW-1-Ethernet0/0/4] port link-type trunk
[Core-SW-1-Ethernet0/0/4] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/4]#
[Core-SW-1-Ethernet0/0/4]interface Ethernet0/0/5
[Core-SW-1-Ethernet0/0/5] port link-type trunk
[Core-SW-1-Ethernet0/0/5] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/5]#
[Core-SW-1-Ethernet0/0/5]interface Ethernet0/0/6
[Core-SW-1-Ethernet0/0/6] port link-type trunk
[Core-SW-1-Ethernet0/0/6] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Ethernet0/0/6]#
将接口Ethernet0/0/1 -6配置为中继端口
[Core-SW-1]interface Eth-Trunk0
[Core-SW-1-Eth-Trunk0] port link-type trunk
[Core-SW-1-Eth-Trunk0] port trunk allow-pass vlan 2 to 4094
[Core-SW-1-Eth-Trunk0]interface GigabitEthernet0/0/23
[Core-SW-1-GigabitEthernet0/0/23] eth-trunk 0
[Core-SW-1-GigabitEthernet0/0/23]interface GigabitEthernet0/0/24
[Core-SW-1-GigabitEthernet0/0/24] eth-trunk 0
配置端口聚合,增加链路带宽
[Core-SW-1]mstp mode mstp
[Core-SW-1]stp region-configuration
[Core-SW-1-mst-region] region-name Core-SW-1
[Core-SW-1-mst-region] instance 1 vlan 100 to 105
[Core-SW-1-mst-region] active region-configuration
配置stp生成树协议模式为多生成树协议
[Core-SW-1]interface Vlanif101
[Core-SW-1-Vlanif101] ip address 192.168.101.252 255.255.255.0
[Core-SW-1-Vlanif101] vrrp vrid 101 virtual-ip 192.168.101.254
[Core-SW-1-Vlanif101] vrrp vrid 101 priority 120
[Core-SW-1-Vlanif101]interface Vlanif102
[Core-SW-1-Vlanif102] ip address 192.168.102.252 255.255.255.0
[Core-SW-1-Vlanif102] vrrp vrid 102 virtual-ip 192.168.102.254
[Core-SW-1-Vlanif102] vrrp vrid 102 priority 120
[Core-SW-1-Vlanif102]interface Vlanif103
[Core-SW-1-Vlanif103] ip address 192.168.103.252 255.255.255.0
[Core-SW-1-Vlanif103] vrrp vrid 103 virtual-ip 192.168.103.254
[Core-SW-1-Vlanif103] vrrp vrid 103 priority 120
[Core-SW-1-Vlanif103]interface Vlanif104
[Core-SW-1-Vlanif104] ip address 192.168.104.252 255.255.255.0
[Core-SW-1-Vlanif104] vrrp vrid 104 virtual-ip 192.168.104.254
[Core-SW-1-Vlanif104] vrrp vrid 104 priority 120
[Core-SW-1-Vlanif104]interface Vlanif105
[Core-SW-1-Vlanif105] ip address 192.168.105.252 255.255.255.0
[Core-SW-1-Vlanif105] vrrp vrid 105 virtual-ip 192.168.105.254
[Core-SW-1-Vlanif105] vrrp vrid 105 priority 120
[Core-SW-1-Vlanif105]interface Vlanif100
[Core-SW-1-Vlanif106] ip address 192.168.100.252 255.255.255.0
[Core-SW-1-Vlanif106] vrrp vrid 100 virtual-ip 192.168.100.254
[Core-SW-1-Vlanif106] vrrp vrid 100 priority 120
配置VRRP协议,实现网关冗余备份
开启OSPF动态路由协议,进程100
[Core-SW-1]ospf 100
[Core-SW-1-ospf-100] silent-interface Vlanif101
[Core-SW-1-ospf-100] silent-interface Vlanif102
[Core-SW-1-ospf-100] silent-interface Vlanif103
[Core-SW-1-ospf-100] silent-interface Vlanif104
[Core-SW-1-ospf-100] silent-interface Vlanif105
[Core-SW-1-ospf-100] silent-interface Vlanif100
[Core-SW-1-ospf-100] area 0.0.0.0
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.101.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.102.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.103.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.104.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.105.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 192.168.100.0 0.0.0.255
宣告用户vlan接口地址网络
[Core-SW-1-ospf-100-area-0.0.0.0] network 10.0.0.0 0.0.0.3
宣告互联接口地址
[Core-SW-1]ip pool vlan101
[Core-SW-1-ip-pool-vlan101] gateway-list 192.168.101.254
[Core-SW-1-ip-pool-vlan101] network 192.168.101.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan101] dns-list 192.168.100.3
创建总部人事部用户地址池,地址池名称为vlan101,用户网段为192.168.101.0,子网掩码24为,用户网关为192.168.101.254
[Core-SW-1-ip-pool-vlan101]ip pool vlan102
[Core-SW-1-ip-pool-vlan102] gateway-list 192.168.102.254
[Core-SW-1-ip-pool-vlan102] network 192.168.102.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan102] dns-list 192.168.100.3
创建总部市场部用户地址池,地址池名称为vlan102,用户网段为192.168.102.0,子网掩码24为,用户网关为192.168.102.254,dns服务器地址为192.168.100.3
[Core-SW-1-ip-pool-vlan102]ip pool vlan103
[Core-SW-1-ip-pool-vlan103] gateway-list 192.168.103.254
[Core-SW-1-ip-pool-vlan103] network 192.168.103.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan103] dns-list 192.168.100.3
创建总部科研部用户地址池,地址池名称为vlan103,用户网段为192.168.103.0,子网掩码24为,用户网关为192.168.103.254 dns服务器地址为192.168.100.3
[Core-SW-1-ip-pool-vlan103]ip pool vlan104
[Core-SW-1-ip-pool-vlan104] gateway-list 192.168.104.254
[Core-SW-1-ip-pool-vlan104] network 192.168.104.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan104] dns-list 192.168.100.3
创建总部信息技术部用户地址池,地址池名称为vlan104,用户网段为192.168.104.0,子网掩码24为,用户网关为192.168.104.254 dns服务器地址为192.168.100.3
[Core-SW-1-ip-pool-vlan104]ip pool vlan105
[Core-SW-1-ip-pool-vlan105] gateway-list 192.168.105.254
[Core-SW-1-ip-pool-vlan105] network 192.168.105.0 mask 255.255.255.0
[Core-SW-1-ip-pool-vlan105] dns-list 192.168.100.3
创建总部行政部用户地址池,地址池名称为vlan105,用户网段为192.168.105.0,子网掩码24为,用户网关为192.168.105.254 dns服务器地址为192.168.100.3
5.1.3、出口路由器配置
配置路由器接口IP地址,并将接口接入相应的区域
[R1]interface Ethernet0/0/0
[R1-GigabitEthernet0/0/0] ip address 10.0.0.2 255.255.255.252
[R1-GigabitEthernet0/0/0]interface Ethernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 10.0.0.6 255.255.255.252
[R1-GigabitEthernet0/0/1] ospf cost 100
[R1-GigabitEthernet0/0/1]interface se0/0/0
[R1-GigabitEthernet0/0/2] ip address 200.200.200.1 255.255.255.248
路由配置
开启动态OSPF路由,进程为100.配置静态默认路由
[R1]ospf 100
[R1-ospf-100] default-route-advertise always
[R1-ospf-100] area 0.0.0.0
[R1-ospf-100-area-0.0.0.0] network 10.0.0.0 0.0.0.3
[R1-ospf-100-area-0.0.0.0] network 10.0.0.4 0.0.0.3
[R1 ip route-static 0.0.0.0 0.0.0.0 200.200.200.6
NAT配置
配置地址转换,将内部私有地址转换为路由器出接口公网地址
[R1]acl number 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.255.255
[R1-Serial0/0/0]nat outbound 2000
IPsec VPN配置
[R1]acl number 3000 //定义感兴趣流
[R1-acl-adv-3000] rule permit ip source 200.200.200.1 0 destination 100.100.100.1 0
[R1-acl-adv-3000]ipsec proposal vpn //配置默认的安全提议
[R1-ipsec-proposal-vpn] esp authentication-algorithm sha1
[R1-ipsec-proposal-vpn] esp encryption-algorithm aes-192
[R1-ipsec-proposal-vpn]ike proposal 10
[R1-ike-proposal-10]ike peer R3 v1 //配置到分公司的IKE peer
[R1-ike-peer-R3] pre-shared-key cipher Huawei //配置预共享密钥huawei
[R1-ike-peer-R3] ike-proposal 10
[R1-ike-peer-R3] remote-address 100.100.100.1
[R1-ike-peer-R3]ipsec policy map1 10 isakmp //配置IPsec策略
[R1-ipsec-policy-isakmp-map1-10] security acl 3000
[R1-ipsec-policy-isakmp-map1-10] ike-peer R3
[R1-ipsec-policy-isakmp-map1-10] proposal vpn
[R1-ipsec-policy-isakmp-map1-10]interface se0/0/0
[R1-Serial0/0/0] ipsec policy map1 //将安全策略调用在se0/0/0接口下
6、网络测试
6.1、测试分公司与总部之间的访问
总部与分公司间个别部门需要通过VPN访问,总部与分公司之间通信是VPN隧道来安全传输数据的。通过在分公司pc机上测试与总部服务器间连通性,在路由器上通过命令查看IKE二个阶段是否正常建立。
图-3总部FTP服务器地址信息
图-4分公司行政PC IP地址信息
图-5分公司行政部门与服务器连通性测试
图-6在路由器上查看VPN建立情况
6.2、测试总部与外网连通性
在总部人事部拿一台PC测试总部到外网的连通性,通过ping外网的公网地址为200.200.200.6。如果通的话,网络连通性就没有问题。
图-7 总部人事部PC IP地址信息
图-8总部人事部测试与外网的连通性
图-9 查看NAT配置信息
6.3、测试总部与服务器连通性
在总部科研部拿一台PC测试总部到服务器的连通性,通过ping服务器地址192.168.100.1。如果通的话,网络连通性就没有问题。
图-10 FTP服务器IP地址信息
图-11 总部FTP服务器配置
图-12 总部科研部PC地址信息
图-13测试总部内部部门与服务器的连通性
6.4、测试分公司与外网连通性
图-14 分公司行政部PC地址信息
图-15 测试分公司PC访问外网的连通性
6.5、测试telnet远程设备管理
测试用户远程管理网络设备,通过telent远程管理设备,因为PC不支持telnet客户端,所以在路由器上进行telnet测试。
图-16 测试网络设备telnet远程管理
6.6、查看VRRP状态信息
两台核心交换机之间通过VRRP协议实现网关备份,通过display vrrp brief命令可以查重vrrp主备状态信息。
图-17核心层主交换机VRRP状态信息
图-18核心层备交换机VRRP状态信
6.7、查看OSPF邻居建立和路由信息
核心交换机和路由器之间通过动态ospf路由实现全网互通,通display ospf peer brief命令查看ospf邻居状态信息;并通过display ip routing-table查看路由表。
图-19核心层交换机上查看OPSF邻居
图-20路由器上查看OSPF邻居
图-21核心层交换机上查看路由表
图-22出口路由器上查看路由表
旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。
更多推荐
23
0- 0
已为社区贡献6条内容
所有评论(0)