案例
最近在出差,参与了一家企业的内部实训课程,不敢吃独食,经过重新整编,和大家分享,一共有两个案例,今天讲解第一个案例--“企业网组网和互联网接入”。
实验环境:eNSP(华为模拟器),目前国内华为设备用的比较多,eNSP也是一款相当实用的模拟器软件,不同于Cisco Packet Tracer这种纯模拟器,eNSP可以接入物理网络。
企业网组网和互联网接入
图1中,企业网分为三个局域网:172.16.3.0/24、172.16.6.0/24、172.16.9.0/24。企业网通过FW1防火墙接入互联网络,内部用OSPF协议构建,拓扑图分析完毕,开始进入配置。
整个配置过程分为三步:
- 二层vlan配置
- 三层IP配置和动态路由配置
- 接入网部分配置
vlan信息规划:172.16.3.0/24属于vlan3、172.16.6.0/24属于vlan6、172.16.9.0/24属于vlan9。
二层VLAN配置
图2、图3、图4、图5是vlan的划分其中和pc1、pc2、pc3相连的口是access口,S1-S3和S2-S3是Trunk口,分别在S1和S2上创建vlan3和vlan9,S3上也创建vlan3和vlan9,作为两个它们的网关。S3的vlan1000和S4的vlan1001是做上联接口连接路由器用的,因为华为和思科命令不同,思科可以直接通过no switchport指令把三层交换机的交换口变为路由口,华为只能把交换口放入到vlan中,再把vlan当做一个三层接口,再配置ip地址。所用到的指令如下,以S1进行举例:
- vlan batch 3 9 创建vlan3和vlan9
- interface g0/0/2 进入接口
- port link-type access 设置Access口
- port default vlan 3 设置当前接口属于vlan3
- interface g0/0/1 进入接口
- port link-type trunk 设置Trunk口
- port trunk allow-pass vlan 3 9 设置Trunk上允许通过的vlan(很关键,和思科不同,华为的Trunk链路默认关闭所有vlan)
三层vlan配置和动态路由配置
图6、图7、图8、图9,设置所有三层设备的IP地址,包括R1、R2、FW1、S3和S4.。以S3为例,操作指令如下:
- interface vlanif 3 进入接口
- ip address 172.16.3.1 24 设置IP地址(24为网络后缀,省去了写255.255.255.0的麻烦)
- vlanif 0 和vlanif 1002的配置同上(略)
IP地址设置完毕后,在所有三层设备上加载ospf路由协议,拟定于所有设备都属于area0,以R1为例配置指令如下:
- ospf 1 进入ospf 1号进程
- area 0 进入骨干区域
- network 192.168.2.0 0.0.0.255 宣告直连网段
- network 192.168.3.0 0.0.0.255 宣告直连网段
- display ip routing-table 查询路由表
图10重点解释下,cloud云中添加两个接口GE1和FW1相连,GE2桥接在VMNET8上,VMNET8是vmware软件安装时创建的虚拟网卡,具有NAT功能,连接上后,表示接入到物理网络中,具体原理不再赘述,大家自行查阅相关知识,这个说来话长了。
接入网部分配置
图11中,配置防火墙NAT规则,将源地址172.16.*.*转换为G0/0/1口地址,该接口连接cloud1,属于外网接口。
图12中,配置防火墙出站规则允许172.16.*.*主机通过。
补充防火墙区域的相关指令
防火墙分为trust(信任)和untrust(非信任)两个区域,一般情况,内网属于信任区域,外网属于非信任区域,根据网络拓扑图,G0/0/1连接cloud,属于外网,它是非信任区域,G0/0/2口属于内网,它是信任区域,相关指令如下:
- firewall zone trust 进入信任区域
- add interface G0/0/2 将接口加入当前区域
- firewall zone untrust 进入非信任区域
- add interface G0/0/1 将接口加入当前区域
补充防火墙路由信息配置相关指令
防火墙在网络拓扑中很特殊,它连接局域网和广域网,所以要配置默认路由,并下发默认路由,默认路由用于访问互联网,下发默认路由是帮助内网设备找到上联接口,访问互联网,最终使终端用户能够上网。相关指令如下:
- ip route-static 0.0.0.0 0 192.168.110.2 设置默认路由
- default-route-advertise always 下发默认路由(注意该指令在ospf子配置模式下)
图13,是DHCP服务配置,在S3上做,考虑到实际网络中存在大量接入用户,需要DHCP服务进行IP地址管理。上图中创建两个地址池vlan3和vlan9(该名字任意取),分别为172.16.3.0/24和172.16.9.0/24分配IP信息。相关指令如下:
- ip pool xxx 创建地址池xxx
- gateway-list a.b.c.d 定义网关a.b.c.d
- network 网络地址 mask 子网掩码
- dns-list 8.8.8.8 定义dns客户端
- lease day 1 定义租期1天
测试验收
总结
总体上,华为的指令集更加有针对性,比思科的命令更加简单易懂,可能大多数人都是从思科命令接触路由交换的,有一种先入为主的思想,但两者的核心技术都是一样的,该案例出自企业真实组网案例,全部采用华为设备,希望大家喜欢。
閱讀更多 年糕IT講堂 的文章