网络运维与网络安全 学习笔记2023.11.24

网络运维与网络安全 学习笔记 第二十五天

今日目标

DHCP中继代理、三层交换机DHCP、子网划分的原理、子网划分的应用

项目需求分析、技术方案选型、网络拓扑绘制

基础交换网络设计、内网优化、连接外网服务器

DHCP中继代理

DHCP中继概述

场景：

DHCP客户端与DHCP服务器不在一个网段时，才需要DHCP中继
作用：

DHCP服务器和DHCP客户端之间的DHCP报文

DHCP中继配置

DHCP客户端的网关接口，才有资格成为DHCP中继

开启DHCP中继的DHCP功能

设置DHCP中继接口的模式为relay

指定DHCP中继接口的DHCP服务器的地址

配置设备之间的互联接口及静态路由

R1\]interface GigabitEthernet 0/0/0 \[R1-GigabitEthernet0/0/0\]ip address 10.10.10.1 24 \[R1-GigabitEthernet0/0/0\]quit \[R2\]interface GigabitEthernet 0/0/0 \[R2-GigabitEthernet0/0/0\]ip address 10.10.10.2 24 \[R2-GigabitEthernet0/0/0\]quit \[R2\]interface GigabitEthernet 0/0/1 \[R2-GigabitEthernet0/0/1\]ip address 192.168.1.254 24 \[R2-GigabitEthernet0/0/1\]quit \[R1\]ip route-static 192.168.1.0 24 10.10.10.2 在R1上配置DHCP地址池，启用DHCP \[R1\]ip pool tedu \[R1-ip-pool-tedu\]network 192.168.1.0 mask 255.255.255.0 \[R1-ip-pool-tedu\]gateway-list 192.168.1.254 \[R1-ip-pool-tedu\]dns-list 8.8.8.8 \[R1-ip-pool-tedu\]excluded-ip-address 192.168.1.200 \[R1\]dhcp enable \[R1\]interface GigabitEthernet 0/0/0 \[R1-GigabitEthernet0/0/0\]dhcp select global //基于全局的DHCP 在R2上配置DHCP中继 \[R2\]dhcp enable \[R2\]interface GigabitEthernet 0/0/1 \[R2-GigabitEthernet0/0/1\]dhcp select relay //在接口G0/0/1应用DHCP中继功能 \[R2-GigabitEthernet0/0/1\]dhcp relay server-ip 10.10.10.1 //指向DHCP服务器的IP地址 主机获取到IP地址，能够ping通R1  #### 配置DHCP中继 **问题** ①配置DHCP中继，让客户端从DHCP服务器获取地址 ②客户机可以ping通R1 **方案**  **步骤** ①配置DHCP服务器（R1） dhcp enable ip pool pool gateway-list 192.168.1.254 network 192.168.1.0 mask 255.255.255.0 lease day 3 dns-list 8.8.8.8 interface GigabitEthernet0/0/0 ip address 10.10.10.1 255.255.255.0 dhcp select global ip route-static 192.168.1.0 255.255.255.0 10.10.10.2 ②配置DHCP中继（R2） dhcp enable interface GigabitEthernet0/0/0 ip address 10.10.10.2 255.255.255.0 quit interface GigabitEthernet0/0/1 ip address 192.168.1.254 255.255.255.0 dhcp select ralay dhcp relay server-ip 10.10.10.1 ③验证  验证主机可以ping通R1  ### 三层交换机DHCP **交换机配置为DHCP服务器** 配置两个地址池：192.168.1.0/24和192.168.2.0/24 配置两个VLAN：VLAN10和VLAN20 将四台主机分别加入VLAN 自动获取IP地址，确保全网互通  **配置步骤** ①配置DHCP服务器 vlan batch 10 20 dhcp enable ip pool pool1 gateway-list 192.168.1.254 network 192.168.1.0 mask 255.255.255.0 dns-list 8.8.8.8 ip pool pool2 gateway-list 192.168.2.254 network 192.168.2.0 mask 255.255.255.0 dns-list 8.8.8.8 interface Vlanif10 ip address 192.168.1.254 255.255.255.0 dhcp select global quit interface Vlanif20 ip address 192.168.2.254 255.255.255.0 dhcp select global quit interface GigabitEthernet0/0/1 port link-type trunk pot trunk allow-pass vlan all quit interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan all quit ②配置SW1 vlan batch 10 20 interface Ethernet 0/0/1 port link-type access port default vlan 10 quit interface Ethernet0/0/2 port link-type access port default vlan 10 quit interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan all ③配置SW2 vlan batch 10 20 interface Ethernet0/0/1 port link-type access port default vlan 20 quit interface Ethernet0/0/2 port link-type access port default vlan 20 quit interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan all quit ④验证 四台主机均可以获得ip地址，并互相ping通。 ### 子网划分原理 #### 子网划分的原因 节省IP地址，减少IP地址的浪费 满足不同网络对IP地址的需求 实现网络设备遍址的层次化需求 #### 子网划分的理解 将 192.168.1.0/24划分成4个小网段 将主机位划到网络位    #### 子网划分的应用 **C类地址划分** IP地址经过一次子网划分后，被分成三个部分------网络位、子网位和主机位  #### 子网划分与VLAN配置 **问题** 公司网段192.168.22.0/24，生产部VLAN1有主机50台，销售部VLAN2有90台 财务部VLAN3有15台，客服部VLAN4有26台，要求划分子网实现网络互通 **方案**  **步骤** **步骤一：子网划分**  **步骤二：VLAN配置** ①配置SW3 vlan batch 2 3 4 interface Vlanif1 ip address 192.168.22.190 255.255.255.192 quit interface Vlanif2 ip address 192.168.22.126 255.255.255.128 quit interface Vlanif3 ip address 192.168.22.222 255.255.255.224 quit interface Vlanif4 ip address 192.168.22.254 255.255.255.224 quit interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 to 4094 ②配置SW1 vlan batch 2 3 4 interface Ethernet0/0/1 port link-type access port default vlan 1 quit interface Ethernet0/0/2 port link-type access port default vlan 2 quit interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan all quit ③配置SW2 vlan batch 2 3 4 interface Ethernet0/0/1 port link-type access port default vlan 3 quit interface Ethernet0/0/2 port link-type vlan 4 quit interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan all quit ④配置主机并验证 VLAN1主机如下所示  VLAN2主机如下所示  VLAN3主机如下所示  VLAN4主机如下所示  验证四台主机均可以互相ping通。 ### 项目需求分析 #### 项目需求 **技术需求分析** 公司有三个部门，为确保通信安全，每个部门都处于独立的广播域 每个部门的IP地址规划为：192.168.xx.0/24 每个部门的主机均通过DHCP服务器获取IP地址，并且每个部门的网关地址为192.168.xx.254 DHCP服务器所在的网段，网关配置在SW5上 **技术需求描述** 所有部门都使用了网关冗余技术，为了增强网关稳定性和冗余性 交换机之间存在很多冗余链路，必须防止环路的发生，并且能够提高链路的利用率 要求每个部门的主机访问其他主机时，使用的都是最优的转发路径 公司有一个出口设备R1，连接一台外网的web服务器 内网大量主机都需要访问这台外网的web服务器  **配置步骤** **步骤一：配置二层交换机** undo terminal monitor system-view \[Huawei\]sysname sw1 \[sw1\]vlan batch 10 20 30 50 \[sw1\]interface e0/0/1 \[sw1-Ethernet0/0/1\]port link-type access \[sw1-Ethernet0/0/1\]port default vlan 10 \[sw1\]interface e0/0/2 \[sw1-Ethernet0/0/2\]port link-type trunk \[sw1-Ethernet0/0/2\]port trunk allow-pass vlan all undo terminal monitor system-view \[Huawei\]sysname sw2 \[sw2\]vlan batch 10 20 30 50 \[sw2\]interface e0/0/1 \[sw2-Ethernet0/0/1\]port link-type access \[sw2-Ethernet0/0/1\]port default vlan 20 \[sw2\]interface e0/0/2 \[sw2-Ethernet0/0/2\]port link-type trunk \[sw2-Ethernet0/0/2\]port trunk allow-pass vlan all undo terminal monitor system-view \[Huawei\]sysname sw3 \[sw3\]interface e0/0/1 \[sw3-Ethernet0/0/1\]port link-type access \[sw3-Ethernet0/0/1\]port default vlan 30 \[sw3\]interface e0/0/2 \[sw3-Ethernet0/0/2\]port link-type trunk \[sw3-Ethernet0/0/2\]port trunk allow-pass vlan all **步骤二：配置三层交换机** undo terminal monitor system-view \[Huawei\]sysname sw5 \[sw5\]vlan batch 10 20 30 50 \[sw5\]port-group group-member g0/0/1 to g0/0/3 \[sw5-port-group\]port link-type trunk \[sw5-port-group\]port trunk allow-pass vlan all \[sw5\]interface g0/0/5 \[sw5-GigabitEthernet0/0/5\]port link-type access \[sw5-GigabitEthernet0/0/5\]port default vlan 50 \[sw5\]int Vlanif 10 \[sw5-Vlanif10\]ip address 192.168.10.251 24 \[sw5\]int Vlanif 20 \[sw5-Vlanif20\]ip address 192.168.20.251 24 \[sw5\]int Vlanif 30 \[sw5-Vlanif30\]ip address 192.168.30.251 24 \[sw5\]int Vlanif 50 \[sw5-Vlanif50\]ip address 192.168.50.251 24 **步骤三：配置DHCP服务器** undo terminal monitor system-view \[Huawei\]sysname dhcp \[dhcp\]dhcp enable \[dhcp\]ip pool vlan10 \[dhcp-ip-pool-vlan10\]network 192.168.10.0 mask 24 \[dhcp-ip-pool-vlan10\]gateway-list 192.168.10.254 \[dhcp\]ip pool vlan20 \[dhcp-ip-pool-vlan20\]network 192.168.20.0 mask 24 \[dhcp-ip-pool-vlan20\]gateway-list 192.168.20.254 \[dhcp\]ip pool vlan30 \[dhcp-ip-pool-vlan30\]network 192.168.30.0 mask 24 \[dhcp-ip-pool-vlan30\]gateway-list 192.168.30.254 \[dhcp\]int g0/0/0 \[dhcp-GigabitEthernet0/0/0\]ip address 192.168.50.1 24 \[dhcp-GigabitEthernet0/0/0\]dhcp select global \[dhcp\]ip route-static 0.0.0.0 0 192.168.50.251 **步骤四：配置DHCP中继代理** \[sw5\]dhcp enable \[sw5\]int Vlanif 10 \[sw5-Vlanif10\]dhcp select relay \[sw5-Vlanif10\]dhcp relay server-ip 192.168.50.1 \[sw5\]int Vlanif 20 \[sw5-Vlanif20\]dhcp select relay \[sw5-Vlanif20\]dhcp relay server-ip 192.168.50.1 \[sw5\]int Vlanif 30 \[sw5-Vlanif30\]dhcp select relay \[sw5-Vlanif30\]dhcp relay server-ip 192.168.50.1 **步骤五：测试客户机** 使用ipconfig命令测试 #### 技术方案选型 **技术需求描述11** 公司有三个部门，为确保通信安全，每个部门都处于独立的广播域 每个部门的IP地址规划为：192.168.xx.0/24 每个部门的主机均通过为DHCP服务器获取IP地址，并且每个部门的网关IP地址为192.168.xx.254 **技术选型1** VLAN DHCP **技术需求描述2** 为DHCP服务器所在的网段，网关配置在SW5上 所有部门中都使用了网关冗余技术，为了增强网关稳定性和冗余性 交换机之间存在很多冗余链路，必须防止环路的发生，并且能够提高链路的利用率 要求每个部门的主机访问其他主机时，使用的都是最优的转发路径 **技术选型2** 三层交换 VRRP/MSTP **技术需求描述3** 公司有个一个出口设备R1，连接一台外网的web服务器 内网大量主机都需要访问这台外网的web服务器 **技术选型3** 静态路由/默认路由 浮动路由 #### 网络拓扑绘制 **技术选型1网络拓扑**  **技术选型2网络拓扑**  **技术选型3网络拓扑**  #### 基础交换网络设计 **技术选型1实施思路** 在所有交换机上创建相同的Vlan 把连接主机的端口加入响应的Vlan 交换机之间相连的端口设置为Trunk模式 配置DHCP服务器 在三层交换机上配置DHCP中继代理 #### 内网优化 **技术需求描述** Vlan50为DHCP服务器所在的网段，网关配置在SW5上 所有部门中都使用了网关冗余技术，为了增强网关稳定性和冗余性 交换机之间存在很多冗余链路，必须防止环路的发生，并且能够提高链路的利用率 要求每个vlan的主机访问其他主机时，使用的都是最优的转发路径 **技术选型2** 三层交换 VRRP/MSTP **项目拓扑**  **实施思路** 配置三层交换机中继代理 配置VRRP协议 设置DHCP的地址排除 配置MSTP协议 验证客户端都可以获得正确的网络参数 #### 连接外网服务器 **技术需求描述** 公司有个一个出口设备R1，连接一台外网的web服务器 内网大量主机都需要访问这台外网的web服务器 **技术选型** 静态路由/默认路由 浮动路由 **项目拓扑**  **实施思路** 三层交换机上配置默认路由，访问外网 出口路由器上配置默认路由，指向外网 出口路由器配置去往企业内网的浮动路由 外网路由器上配置返回企业内部网段的路由