华为ensp搭建小型园区网络规划

文章目录


前言

搭建一个小型园区网络的必备技术:

  • 以太网链路聚合(Eth-Trunk)
  • 生成树(stp)
  • 虚拟局域网(VLAN)
  • 网络地址转换(NAT)
  • 域名系统(DNS)
  • 安全相关配置(IPSG-DHCP Snooping-ACL)

一、拓扑图

二、数据规划

数据项 描述
VLAN ACC1 VLAN 10,ACC2 VLAN 20,CORE VLAN 10 20 100
Eth-Tunk CORE的Eth-Trunk 1 trunk模式,Eth-Trunk 2 access模式(了解两种配置)
DHCP Server CORE
ip地址 CORE : vlan10 10.10.10.1/24,vlan20 20.1/24,vlan100 100.1/24
公网ip 5.5.5.10/24
公网网关 5.5.5.5/24
dns 8.8.8.8
内网接口 10.10.100.2/24

三、设备配置

|------|---------------|--------|---------------------------|
| ACC1 | Eth-Trunk 1 | trunk模式,加入vlan 10,配置为LACP模式,成员接口GE0/0/1,GE0/0/2,使能DHCP snooping,配置信任接口 ||
| ACC1 | 用户端 | access模式,放行vlan10,配置为边缘端口,使能DHCP Snooping ||
| ACC1 | vlan 10 | 开启vlan 10的ip报文检查功能 ||
| ACC1 | 全局 | 配置BPDU保护,使能DHCP, 全局使能DHCP snooping ||
| ACC2 | Eth-Trunk 1 | access模式,放行vlan 10,配置为LACP模式,成员接口GE0/0/1,GE0/0/2 ||
| ACC2 | 用户端 | access模式,放行vlan10,配置为边缘端口,使能DHCP snooping ||
| ACC2 | 全局 | 配置BPDU保护,使能DHCP, 全局使能DHCP snooping ||
| CORE | Eth-Trunk 1 | trunk模式,加入vlan 10,配置为LACP模式,成员接口GE0/0/2,GE0/0/4 ||
| CORE | Eth-Trunk 2 | access模式,放行vlan 20,配置为LACP模式,成员接口GE0/0/8,GE0/0/9 ||
| CORE | vlan 10 | 10.10.10.1/24,配置从全局地址池获取ip ||
| CORE | vlan 20 | 10.10.20.1/24 ||
| CORE | vlan 100 | 10.10.100.1/24 ||
| CORE | 上行接口G0/0/1 | access模式,放行vlan100 ||
| CORE | 全局 | DHCP使能,静态出口路由 0.0.0.0 0 10.10.100.2 ||
| CORE | 全局地址池 pool 10 | 可分配 10.10.10.0/24,部门地址10.10.10.1,dns 8.8.8.8 pc2固定ip10.10.10.88 ||
| AR1 | 接口 | G0/0/0 | 10.10.100.2/24 |
| AR1 | 接口 | G0/0/1 | 5.5.5.10/24,ACL2000和nat关联 |
| AR1 | ACL 2000 | 允许访问外网的地址 ||
| AR1 | 全局 | 内网到公网的静态路由,DNS地址解析功能 ||
| AR1 |
| AR1 |
| AR1 |
| AR1 |

四.配置命令

1.配置接入层交换机ACC1

1.1 设备命名,创建VLAN

rust 复制代码
#
sysname ACC1
#
vlan batch 10
#

1.2 配置eth-trunk 1

rust 复制代码
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 10
 mode lacp-static  #该命令功能等同于命令mode lacp
#将成员加入Eth-Trunk 1
interface GigabitEthernet0/0/1
 eth-trunk 1
interface GigabitEthernet0/0/2
 eth-trunk 1
#

1.3 配置用户端

rust 复制代码
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 10
 stp edged-port enable  #配置为边缘端口
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 10
 stp edged-port enable
#

2.配置核心层交换机CORE

2.1设备命名

rust 复制代码
#
sysname ACC1
#
vlan batch 10 20 100
#

2.2配置Eth-Trunk

rust 复制代码
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 10
 mode lacp-static
#
interface Eth-Trunk2
 port link-type access
 port default vlan 20
 mode lacp-static
#
#
interface GigabitEthernet0/0/2
 eth-trunk 1
interface GigabitEthernet0/0/4
 eth-trunk 1
lacp priority 100 #配置当前设备的LACP优先级,缺省为32768.值越小,优先级越高
#
interface GigabitEthernet0/0/8
 eth-trunk 2
 lacp priority 100  #当前接口的LACP优先级
interface GigabitEthernet0/0/9
 eth-trunk 2
 lacp priority 100
#

2.3 vlan配置ip

rust 复制代码
#
interface Vlanif10
 ip address 10.10.10.1 255.255.255.0
#
interface Vlanif20
 ip address 10.10.20.1 255.255.255.0
#
interface Vlanif100
 ip address 10.10.100.1 255.255.255.0
#

2.4 上行接口配置

rust 复制代码
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 100
#

3.DHCP配置

3.1 CORE:

rust 复制代码
dhcp enable
# 基于全局地址池
ip pool 10
 gateway-list 10.10.10.1
 network 10.10.10.0 mask 255.255.255.0
 # 给PC2配置一个固定ip地址
 static-bind ip-address 10.10.10.88 mac-address 5489-98eb-56db
 dns-list 8.8.8.8
#
ip pool 20
 gateway-list 10.10.20.1
 network 10.10.20.0 mask 255.255.255.0
 dns-list 8.8.8.8
#
interface Vlanif10
 dhcp select global
#
interface Vlanif20
 dhcp select global
#

4.配置路由

4.1 CORE 静态路由:

rust 复制代码
# 让内网数据可以发到出口路由器AR1
ip route-static 0.0.0.0 0.0.0.0 10.10.100.2
#

4.2 出口路由器AR1相关配置

rust 复制代码
# 静态路由
ip route-static 0.0.0.0 0.0.0.0 5.5.5.5
ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
# 允许上网的ip和不允许
acl number 2000  
 rule 5 permit source 10.10.10.0 0.0.0.255  
 rule 10 permit source 10.10.100.0 0.0.0.255 
 rule 15 deny source 10.10.20.0 0.0.0.255
#接口Ip
interface GigabitEthernet0/0/0
 ip address 10.10.100.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 5.5.5.10 255.255.255.0 
 nat outbound 2000
#DNS地址解析
 dns resolve  
 dns server 8.8.8.8 
 dns proxy enable
#

5.ACC1和ACC2的DHCP Snooping配置(防止私接路由器)

rust 复制代码
#  ACC1配置举例
dhcp enable
dhcp snooping enable  #全局使能DHCP Snooping
#
interface Eth-Trunk1
 dhcp snooping enable #接口使能DHCP Snooping
 dhcp snooping trusted  #配置为信任接口
# 连接用户端的接口
interface Ethernet0/0/2
 dhcp snooping enable
#
interface Ethernet0/0/3
 dhcp snooping enable
# 开启vlan 10报文检查功能,防止网络中仿冒源ip和MAC信息的非法用户访问
vlan 10
 ip source check user-bind enable

五、结尾

基础配置就这些,后面可以验证一下配置结果。

  • 1.看pc能否正常通过DHCP获取Ip地址。
  • 2.ping测试ping公网网关,正常是vlan 10能ping通,vlan 20不能ping通
  • 3.在acc和core上dis eth-trunk + 数字 查看eth-trunk接口是否正常
  • 4.dis ip routing-table 查看CORE和AR1路由表是否正常
  • 5.dis ip pool name + 数字 查看CORE对应地址池使用信息
  • 6.dis vlan 查看vlan的配置是否正确
相关推荐
初级代码游戏2 分钟前
关于linux的ld.so.conf.d
linux·运维·服务器
xianwu5438 分钟前
反向代理模块。开发
linux·开发语言·网络·c++·git
m0_7482323912 分钟前
在Linux centos7环境下部署wblogic使用weblogic部署war包项目
linux·运维·服务器
handsomestWei24 分钟前
Nginx整合Lua脚本
运维·nginx·lua
brhhh_sehe25 分钟前
重生之我在异世界学编程之C语言:深入文件操作篇(下)
android·c语言·网络
地球空间-技术小鱼28 分钟前
YUM(Yellowdog Updater, Modified)和DNF(Dandified YUM)简介
linux·运维·服务器·笔记·学习
忆源29 分钟前
Linux高级--2.4.2 linux TCP 系列操作函数 -- 深层理解
linux·网络·tcp/ip
哈利巴多先生40 分钟前
HTTP,续~
网络·网络协议·http
白了个白i42 分钟前
http的访问过程或者访问页面会发生什么
网络·网络协议·http
ZHOUPUYU1 小时前
Centos常用命令,按功能分类,用户和权限管理等
linux·运维·centos