a.
配置接入层交换机
以接入交换机ACC1为例,创建ACC1的业务VLAN10
<HUAWEI> system-view
[HUAWEI] sysname ACC1 //修改设备名称为ACC1
[ACC1] vlan batch 10 20 //批量创建VLAN
配置ACC1连接CORE的Eth-Trunk1,透传部门A的VLAN。
[ACC1]interface eth-trunk 1
[ACC1-Eth-Trunk1] port link-type trunk //配置为trunk模式,用于透传VLAN。
[ACC1-Eth-Trunk1] port trunk allow-pass vlan10 //配置Eth-Trunk1透传ACC1上的业务VLAN
[ACC1-Eth-Trunk1] mode lacp //配置Eth-Trunk1为LACP模式
[ACC1-Eth-Trunk1] quit
[ACC1] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[ACC1-GigabitEthernet0/0/1] eth-Trunk 1
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet0/0/2
[ACC1-GigabitEthernet0/0/2] eth-Trunk 1
[ACC1-GigabitEthernet0/0/2] quit
配置ACC1连接用户的接口,使用户加入VLAN,并将接口配置成边缘端口。
[ACC1] interface Ethernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan10
[ACC1-Ethernet0/0/2] stp edged-port enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interfaceEthernet 0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] port link-type access
[ACC1-Ethernet0/0/3] port default vlan10
[ACC1-Ethernet0/0/3] stp edged-port enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interfaceEthernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] port link-type access
[ACC1-Ethernet0/0/4] port default vlan10
[ACC1-Ethernet0/0/4] stp edged-port enable
[ACC1-Ethernet0/0/4] quit
如果把ACC1下接入的用户都加入VLAN 10,为了配置简单,也可以ACC1上不配置VLAN,而是把CORE的
Eth-Trunk1以access方式加入VLAN10,这样Eth-Trunk1接入的用户全部属于VLAN10。
配置BPDU保护功能,加强网络的稳定性。
[ACC1] stpbpdu-protection
配置核心层交换机
批量创建CORE与ACC1、ACC2以及园区出口路由器互通的VLAN。
<HUAWEI> system-view
[HUAWEI] sysnameCORE //修改设备名称为CORE
[CORE] vlanbatch 10 20 100 //批量创建VLAN
配置下行接口和VLANIF接口 ,VLANIF接口用于部门A与部门B之间互访。以CORE连接ACC1的Eth-Trunk1为例。
[CORE] interface eth-trunk 1
[CORE-Eth-Trunk1] port link-type trunk //配置为trunk模式,用于透传VLAN
[CORE-Eth-Trunk1] port trunk allow-pass vlan10 //配置Eth-Trunk1透传ACC1上的业务VLAN
[CORE-Eth-Trunk1] mode lacp //配置为LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[CORE-GigabitEthernet0/0/1] eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet0/0/2
[CORE-GigabitEthernet0/0/2] eth-Trunk 1
[CORE-GigabitEthernet0/0/2] quit
[CORE] interface Vlanif10 //配置VLANIF,使部门A与部门B之间三层互通
[CORE-Vlanif10] ip address 10.10.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif 20 //配置VLANIF,使部门B与部门A之间三层互通
[CORE-Vlanif20] ip address 10.10.20.1 24
[CORE-Vlanif20] quit
配置上行接口和VLANIF接口,使园区网络与Internet互通
[CORE] interface GigabitEthernet0/0/20
[CORE-GigabitEthernet0/0/20] port link-type trunk //配置为trunk模式
[CORE-GigabitEthernet0/0/20] port trunk allow-pass vlan100 //配置透传VLAN为CORE与上行设备的互联VLAN
[CORE-GigabitEthernet0/0/20] quit
[CORE] interface Vlanif100 //配置VLANIF,使CORE与路由器之间三层互通
[CORE-Vlanif100] ip address 10.10.100.1.24
[CORE-Vlanif100] quit
执行display eth-trunk命令检查ACC1上的Eth-Trunk接口配置结果
可以看到,ACC1上,接口GE0/0/1和GE0/0/2 加入了Eth-Trunk 1。
完成接口和VLAN的配置后,可以通过以下命令查看配置结果,显示信息说明可查阅
执行display eth-trunk命令检查ACC1上的Eth-Trunk接口配置结果。4执行display vlan命令检查ACC1上的VLAN配置结
可以看到,ACC1上,接口Eth0/0/2~Eth0/0/4以Untagged方式加入VLAN10,Eth-Trunk 1以Tagged方式加入VLAN10。
执行display vlan命令检查CORE上VLAN配置结
可以看到,CORE上,接口Eth-Trunk1、Eth-Trunk2分别以Tagged方式加入VLAN10和VLAN20;GE0/0/20以Tagged方式加入VLAN100
创建全局地址池
,配置出口网关、租期(
采用缺省值1天, 不需配置)并配置为打印机(MAC地址为a-b-c)分配固定的IP地址10.10.10.254。1
<CORE> system-view
[CORE] dhcp enable
[CORE] ippool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 //配置部门A的用户可分配的地址池范围
[CORE-ip-pool-10] gateway-list 10.10.10.1 //配置部门A的用户的网关地址
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c//配置为打印机分配固定的IP地址
[CORE-ip-pool-10] quit
配置部门A的用户从全局地址池获取IP地址
[CORE] interface vlanif10
[CORE-Vlanif10] dhcpselect global //配置部门A的用户从全局地址池获取IP地址
[CORE-Vlanif10] quit
使用 display ip pool命令 ,分别查看全局地址池10的配置和使
#关闭接口的生成树协议
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stp disable //undo stp enable命令也可完成该功能
#
配置连接终端设备的交换机接口为边缘端口
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stp edged-port enabl
根据以上任意一种方法,终端电脑刚开机获取地址速度慢的问题就可以有效解决
配置核心交换机路由
在CORE上配置一条到园区出口网关的缺省静态路由,使内网数据可以发到出口路由器
[CORE] ip route-static 0.0.0.0 0 10.10.100.2
在CORE上使用display iprouting-table命令查看IP路由
能够查看到有一条下一跳地址为10.10.100.2的缺省静态路由,表示静态路由配置完成
三条直连路由是链路发现自动生成。
在配置出口路由器之前需要准备如下数据:公网IP地址:202.101.111.2/30,公网网关地址:202.101.111.1,
DNS地址:202.101.111.195,这些参数在申请宽带的时候由运营商提供,实际网络中请以运营商提供的数据为准。
1.配置出口路由器内网接口和公网接口的IP地址
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/0] ip address 202.101.111.2 30
[Router] interface GigabitEthernet1/0/0
[Router-GigabitEthernet0/0/1] ip address 10.10.100.2 24
2.配置允许上网的acl,将所有允许访问Internet的用户网段写入该acl
[Router] acl 2000
[Router-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.20.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.100.0 0.0.0.255
3.在连接公网的接口配置NAT转换实现内网用户访问Internet。
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2000
4.配置到内网的明细路由和到公网的静态缺省路由
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 202.101.111.1
5.配置DNS地址解析功能,DNS服务器地址为运营商给的。
[Router] dns resolve
[Router] dns server 202.101.111.195
[Router] dns proxy enable
配置DHCPSnooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCPSnooping功能。
以下以部门A为例,说明DHCPSnooping的配置过程。
1.在接入交换机ACC1上开启DHCPSnooping功能 。
<ACC1> system-view
[ACC1] dhcpenable //使能DHCP功能
[ACC1] dhcpsnooping enable //使能DHCP Snooping功能
在连接DHCP服务器的接口上使能DHCPSnooping功能,并将此接口配置为信任接口。
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] dhcp snooping enable //使能DHCPSnooping功能
[ACC1-Eth-Trunk1] dhcp snooping trusted //配置为信任接口
[ACC1-Eth-Trunk1] quit
3.在连接终端的接口上使能DHCP Snooping功能
[ACC1] interfaceethernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] dhcp snooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface ethernet0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interfaceethernet0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping
功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
4.在接入交换机ACC1上开启VLAN10的IP报文检查功能。功能。
[ACC1] vlan10
[ACC1-vlan10] ip source check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN
收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
评论列表