文章目录
- 网络拓扑
- 网络规划
- 网络配置
- Core交换机Telnet配置
- ACC1 配置
- CORE配置VLAN互通
- CORE ACC1配置DHCP服务器
- 关闭接口的生成树协议
- 配置连接终端设备的交换机接口为边缘端口
- Core配置静态路由
- 出口路由器 配置
- ACC1 配置DHCP Snooping和IPSG
- 保存配置
网络拓扑
- 在小型园区中,S2700&S3700通常部署在网络的接入层,S5700&S6700通常部署在网络的核心,出口路由器一般选用AR系列路由器。
- 接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。
- 每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。
- 核心交换机作为DHCP Server,为园区用户分配IP地址。
- 接入交换机上配置DHCP Snooping功能,防止内网用户私接小路由器分配IP地址;同时配置IPSG功能,防止内网用户私自更改IP地址。
网络规划
网络配置
按照下列流程配置各设备的数据,连通园区内用户,并使园区内用户可访问外网
Core交换机Telnet配置
配置管理IP和Telnet后,可以通过管理IP远程登录设备,以交换机CORE为例。
- 配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] vlan 5 //创建交换机管理VLAN 5
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5
[HUAWEI-vlanif5] ip address 10.10.1.1 24
[HUAWEI-vlanif5] quit
- 将管理接口加入到管理VLAN 。
[HUAWEI] interface GigabitEthernet 0/0/8 //假设连接网管的接口为GigabitEthernet 0/0/8
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan 5
[HUAWEI-GigabitEthernet0/0/8] quit
- 配置Telnet
[HUAWEI] telnet server enable //Telnet出厂时是关闭的
[HUAWEI] user-interface vty 0 4 //Telnet常用于设备管理员登录,推荐使用AAA认证
[HUAWEI-ui-vty0-4] protocol inbound telnet // V200R006及之前版本缺省支持telnet协议,但是V200R007及之后版本缺省的是SSH协议,因此使用telnet登录之前,必须要先配置这条命令
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 //配置管理员Telnet登录交换机的用户名和密码。用户名不区分大小写,密码区分大小写
[HUAWEI-aaa] local-user admin privilege level 15 //将管理员的账号权限设置为15(最高)
[HUAWEI-aaa] local-user admin service-type telnet
ACC1 配置
- 以接入交换机ACC1为例,创建ACC1的业务VLAN 10。
<HUAWEI> system-view
[HUAWEI] sysname ACC1 //修改设备名称为ACC1
[ACC1] vlan batch 10 //批量创建VLAN
- 配置ACC1连接CORE的Eth-Trunk1,透传部门A的VLAN
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] port link-type trunk //配置为trunk模式,用于透传VLAN。
[ACC1-Eth-Trunk1] port trunk allow-pass vlan 10 //配置Eth-Trunk1透传ACC1上的业务VLAN
[ACC1-Eth-Trunk1] mode lacp //配置Eth-Trunk1为LACP模式
[ACC1-Eth-Trunk1] quit
[ACC1] interface GigabitEthernet 0/0/1 //将成员接口加入Eth-Trunk1
[ACC1-GigabitEthernet0/0/1] eth-Trunk 1
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2
[ACC1-GigabitEthernet0/0/2] eth-Trunk 1
[ACC1-GigabitEthernet0/0/2] quit```
- 配置ACC1连接用户的接口,使用户加入VLAN,并将接口配置成边缘端口。
[ACC1] interface Ethernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan 10
[ACC1-Ethernet0/0/2] stp edged-port enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface Ethernet 0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] port link-type access
[ACC1-Ethernet0/0/3] port default vlan 10
[ACC1-Ethernet0/0/3] stp edged-port enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface Ethernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] port link-type access
[ACC1-Ethernet0/0/4] port default vlan 10
[ACC1-Ethernet0/0/4] stp edged-port enable
[ACC1-Ethernet0/0/4] quit
- 配置BPDU保护功能,加强网络的稳定性。
[ACC1] stp bpdu-protection
CORE配置VLAN互通
- 创建CORE与ACC1、ACC2以及出口路由器互通的VLAN。
<HUAWEI> system-view
[HUAWEI] sysname CORE //修改设备名称为CORE
[CORE] vlan batch 10 20 100 //批量创建VLAN
- 配置下行接口和VLANIF接口,VLANIF接口用于部门A与部门B之间互访。以CORE连接ACC1的Eth-Trunk1为例。
[CORE] interface eth-trunk 1
[CORE-Eth-Trunk1] port link-type trunk //配置为trunk模式,用于透传VLAN
[CORE-Eth-Trunk1] port trunk allow-pass vlan 10 //配置Eth-Trunk1透传ACC1上的业务VLAN
[CORE-Eth-Trunk1] mode lacp //配置为LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet 0/0/1 //将成员接口加入Eth-Trunk1
[CORE-GigabitEthernet0/0/1] eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet 0/0/2
[CORE-GigabitEthernet0/0/2] eth-Trunk 1
[CORE-GigabitEthernet0/0/2] quit
[CORE] interface Vlanif 10 //配置VLANIF,使部门A与部门B之间三层互通
[CORE-Vlanif10] ip address 10.10.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif 20 //配置VLANIF,使部门B与部门A之间三层互通
[CORE-Vlanif20] ip address 10.10.20.1 24
[CORE-Vlanif20] quit
- 配置上行接口和VLANIF接口,使园区网络与Internet互通。
[CORE] interface GigabitEthernet 0/0/20
[CORE-GigabitEthernet0/0/20] port link-type access //配置为access模式
[CORE-GigabitEthernet0/0/20] port default vlan 100
[CORE-GigabitEthernet0/0/20] quit
[CORE] interface Vlanif 100 //配置VLANIF,使CORE与路由器之间三层互通
[CORE-Vlanif100] ip address 10.10.100.1 24
[CORE-Vlanif100] quit
- 完成接口和VLAN的配置后,可以通过以下命令查看配置结果
[ACC1] display eth-trunk 1
[ACC1] display vlan
CORE ACC1配置DHCP服务器
在CORE上配置DHCP Server,使部门A(VLAN10)和部门B (VLAN20)的用户都能获取到正确的IP地址。以下以部门A为例,说明DHCP Server的配置步骤。
- 创建全局地址池,配置出口网关、租期(采用缺省值1天,不需配置)并配置为打印机(MAC地址为a-b-c)分配固定的IP地址10.10.10.254。
<CORE> system-view
[CORE] dhcp enable
[CORE] ip pool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 //配置部门A的用户可分配的地址池范围
[CORE-ip-pool-10] gateway-list 10.10.10.1 //配置部门A的用户的网关地址
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c //配置为打印机分配固定的IP地址
[CORE-ip-pool-10] quit
- 配置部门A的用户从全局地址池获取IP地址。
[CORE] interface vlanif 10
[CORE-Vlanif10] dhcp select global //配置部门A的用户从全局地址池获取IP地址
[CORE-Vlanif10] quit
- 使用display ip pool命令,分别查看全局地址池10的配置和使用信息。
display ip pool name 10
在DHCP服务器配置完成后,需要设置终端电脑网卡为自动获取地址,这样终端才能正常从DHCP服务器获取到地址,正常上网。
配置完动态分配地址之后,刚开电脑获取地址的时间比较长,这是因为对于开启了生成树协议的交换机,每当有电脑接入之后导致生成树重新收敛,所以需要的时间比较长;通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。
关闭接口的生成树协议
[ACC1] interface Ethernet 0/0/2
[ACC1-Ethernet 0/0/2] stp disable //undo stp enable命令也可完成该功能
配置连接终端设备的交换机接口为边缘端口
[ACC1] interface Ethernet 0/0/2
[ACC1-Ethernet0/0/2] stp edged-port enable
[ACC1-Ethernet0/0/2] quit
以上两种方法选择一种进行配置,终端电脑刚开机获取地址速度慢的问题就可以有效解决。
Core配置静态路由
- 在CORE上配置一条到园区出口网关的缺省静态路由,使内网数据可以发到出口路由器。
[CORE] ip route-static 0.0.0.0 0 10.10.100.2- 在CORE上使用display ip routing-table命令查看IP路由表。能够查看到有一条下一跳地址为10.10.100.2的缺省静态路由,表示静态路由配置完成。三条直连路由是链路发现自动生成
出口路由器 配置
在配置出口路由器之前需要准备如下数据:公网IP地址:1.1.1.2/30,公网网关地址:1.1.1.1,DNS地址:8.8.8.8,这些参数在申请宽带的时候由运营商提供,实际网络中请以运营商提供的数据为准。
- 配置出口路由器内网接口和公网接口的IP地址。
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/0] ip address 1.1.1.2 30
[Router] interface GigabitEthernet 1/0/0
[Router-GigabitEthernet0/0/1] ip address 10.10.100.2 24
- 配置允许上网的acl,将所有允许访问Internet的用户网段写入该acl 。
[Router] acl 2000
[Router-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.20.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.100.0 0.0.0.255
- 在连接公网的接口配置NAT转换实现内网用户访问Internet。
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2000
- 配置到内网的明细路由和到公网的静态缺省路由。
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
- 配置DNS地址解析功能,DNS服务器地址为运营商给的。
[Router] dns resolve
[Router] dns server 8.8.8.8
[Router] dns proxy enable
ACC1 配置DHCP Snooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能。
以下以部门A为例,说明DHCP Snooping的配置过程。
- 在接入交换机ACC1上开启DHCP Snooping功能。
<ACC1> system-view
[ACC1] dhcp enable //使能DHCP功能
[ACC1] dhcp snooping enable //使能DHCP Snooping功能
- 在连接DHCP服务器的接口上使能DHCP Snooping功能,并将此接口配置为信任接口。
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] dhcp snooping enable //使能DHCP Snooping功能
[ACC1-Eth-Trunk1] dhcp snooping trusted //配置为信任接口
[ACC1-Eth-Trunk1] quit
- 在连接终端的接口上使能DHCP Snooping功能。
[ACC1] interface ethernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] dhcp snooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface ethernet 0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface ethernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
在接入交换机ACC1上开启VLAN10的IP报文检查功能。
[ACC1] vlan10
[ACC1-vlan10] ip source check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
如果网络中采用静态分配IP地址,为防止用户私自修改地址攻击网络,可以配置IP+MAC绑定
保存配置
<CORE> save
