网络运维与网络安全 学习笔记 第二十五天
今日目标
DHCP中继代理、三层交换机DHCP、子网划分的原理、子网划分的应用
项目需求分析、技术方案选型、网络拓扑绘制
基础交换网络设计、内网优化、连接外网服务器
DHCP中继代理
DHCP中继概述
场景:
DHCP客户端与DHCP服务器不在一个网段时,才需要DHCP中继
作用:
DHCP服务器和DHCP客户端之间的DHCP报文
DHCP中继配置
DHCP客户端的网关接口,才有资格成为DHCP中继
开启DHCP中继的DHCP功能
设置DHCP中继接口的模式为relay
指定DHCP中继接口的DHCP服务器的地址
配置设备之间的互联接口及静态路由
R1interface GigabitEthernet 0/0/0
R1-GigabitEthernet0/0/0ip address 10.10.10.1 24
R1-GigabitEthernet0/0/0quit
R2interface GigabitEthernet 0/0/0
R2-GigabitEthernet0/0/0ip address 10.10.10.2 24
R2-GigabitEthernet0/0/0quit
R2interface GigabitEthernet 0/0/1
R2-GigabitEthernet0/0/1ip address 192.168.1.254 24
R2-GigabitEthernet0/0/1quit
R1ip route-static 192.168.1.0 24 10.10.10.2
在R1上配置DHCP地址池,启用DHCP
R1ip pool tedu
R1-ip-pool-tedunetwork 192.168.1.0 mask 255.255.255.0
R1-ip-pool-tedugateway-list 192.168.1.254
R1-ip-pool-tedudns-list 8.8.8.8
R1-ip-pool-teduexcluded-ip-address 192.168.1.200
R1dhcp enable
R1interface GigabitEthernet 0/0/0
R1-GigabitEthernet0/0/0dhcp select global //基于全局的DHCP
在R2上配置DHCP中继
R2dhcp enable
R2interface GigabitEthernet 0/0/1
R2-GigabitEthernet0/0/1dhcp select relay //在接口G0/0/1应用DHCP中继功能
R2-GigabitEthernet0/0/1dhcp relay server-ip 10.10.10.1 //指向DHCP服务器的IP地址
主机获取到IP地址,能够ping通R1
配置DHCP中继
问题
①配置DHCP中继,让客户端从DHCP服务器获取地址
②客户机可以ping通R1
方案
步骤
①配置DHCP服务器(R1)
dhcp enable
ip pool pool
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
lease day 3
dns-list 8.8.8.8
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.0
dhcp select global
ip route-static 192.168.1.0 255.255.255.0 10.10.10.2
②配置DHCP中继(R2)
dhcp enable
interface GigabitEthernet0/0/0
ip address 10.10.10.2 255.255.255.0
quit
interface GigabitEthernet0/0/1
ip address 192.168.1.254 255.255.255.0
dhcp select ralay
dhcp relay server-ip 10.10.10.1
③验证
验证主机可以ping通R1
三层交换机DHCP
交换机配置为DHCP服务器
配置两个地址池:192.168.1.0/24和192.168.2.0/24
配置两个VLAN:VLAN10和VLAN20
将四台主机分别加入VLAN
自动获取IP地址,确保全网互通
配置步骤
①配置DHCP服务器
vlan batch 10 20
dhcp enable
ip pool pool1
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool pool2
gateway-list 192.168.2.254
network 192.168.2.0 mask 255.255.255.0
dns-list 8.8.8.8
interface Vlanif10
ip address 192.168.1.254 255.255.255.0
dhcp select global
quit
interface Vlanif20
ip address 192.168.2.254 255.255.255.0
dhcp select global
quit
interface GigabitEthernet0/0/1
port link-type trunk
pot trunk allow-pass vlan all
quit
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan all
quit
②配置SW1
vlan batch 10 20
interface Ethernet 0/0/1
port link-type access
port default vlan 10
quit
interface Ethernet0/0/2
port link-type access
port default vlan 10
quit
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
③配置SW2
vlan batch 10 20
interface Ethernet0/0/1
port link-type access
port default vlan 20
quit
interface Ethernet0/0/2
port link-type access
port default vlan 20
quit
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit
④验证
四台主机均可以获得ip地址,并互相ping通。
子网划分原理
子网划分的原因
节省IP地址,减少IP地址的浪费
满足不同网络对IP地址的需求
实现网络设备遍址的层次化需求
子网划分的理解
将 192.168.1.0/24划分成4个小网段
将主机位划到网络位
子网划分的应用
C类地址划分
IP地址经过一次子网划分后,被分成三个部分------网络位、子网位和主机位
子网划分与VLAN配置
问题
公司网段192.168.22.0/24,生产部VLAN1有主机50台,销售部VLAN2有90台
财务部VLAN3有15台,客服部VLAN4有26台,要求划分子网实现网络互通
方案
步骤
步骤一:子网划分
步骤二:VLAN配置
①配置SW3
vlan batch 2 3 4
interface Vlanif1
ip address 192.168.22.190 255.255.255.192
quit
interface Vlanif2
ip address 192.168.22.126 255.255.255.128
quit
interface Vlanif3
ip address 192.168.22.222 255.255.255.224
quit
interface Vlanif4
ip address 192.168.22.254 255.255.255.224
quit
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
②配置SW1
vlan batch 2 3 4
interface Ethernet0/0/1
port link-type access
port default vlan 1
quit
interface Ethernet0/0/2
port link-type access
port default vlan 2
quit
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit
③配置SW2
vlan batch 2 3 4
interface Ethernet0/0/1
port link-type access
port default vlan 3
quit
interface Ethernet0/0/2
port link-type vlan 4
quit
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit
④配置主机并验证
VLAN1主机如下所示
VLAN2主机如下所示
VLAN3主机如下所示
VLAN4主机如下所示
验证四台主机均可以互相ping通。
项目需求分析
项目需求
技术需求分析
公司有三个部门,为确保通信安全,每个部门都处于独立的广播域
每个部门的IP地址规划为:192.168.xx.0/24
每个部门的主机均通过DHCP服务器获取IP地址,并且每个部门的网关地址为192.168.xx.254
DHCP服务器所在的网段,网关配置在SW5上
技术需求描述
所有部门都使用了网关冗余技术,为了增强网关稳定性和冗余性
交换机之间存在很多冗余链路,必须防止环路的发生,并且能够提高链路的利用率
要求每个部门的主机访问其他主机时,使用的都是最优的转发路径
公司有一个出口设备R1,连接一台外网的web服务器
内网大量主机都需要访问这台外网的web服务器
配置步骤
步骤一:配置二层交换机
undo terminal monitor
system-view
Huaweisysname sw1
sw1vlan batch 10 20 30 50
sw1interface e0/0/1
sw1-Ethernet0/0/1port link-type access
sw1-Ethernet0/0/1port default vlan 10
sw1interface e0/0/2
sw1-Ethernet0/0/2port link-type trunk
sw1-Ethernet0/0/2port trunk allow-pass vlan all
undo terminal monitor
system-view
Huaweisysname sw2
sw2vlan batch 10 20 30 50
sw2interface e0/0/1
sw2-Ethernet0/0/1port link-type access
sw2-Ethernet0/0/1port default vlan 20
sw2interface e0/0/2
sw2-Ethernet0/0/2port link-type trunk
sw2-Ethernet0/0/2port trunk allow-pass vlan all
undo terminal monitor
system-view
Huaweisysname sw3
sw3interface e0/0/1
sw3-Ethernet0/0/1port link-type access
sw3-Ethernet0/0/1port default vlan 30
sw3interface e0/0/2
sw3-Ethernet0/0/2port link-type trunk
sw3-Ethernet0/0/2port trunk allow-pass vlan all
步骤二:配置三层交换机
undo terminal monitor
system-view
Huaweisysname sw5
sw5vlan batch 10 20 30 50
sw5port-group group-member g0/0/1 to g0/0/3
sw5-port-groupport link-type trunk
sw5-port-groupport trunk allow-pass vlan all
sw5interface g0/0/5
sw5-GigabitEthernet0/0/5port link-type access
sw5-GigabitEthernet0/0/5port default vlan 50
sw5int Vlanif 10
sw5-Vlanif10ip address 192.168.10.251 24
sw5int Vlanif 20
sw5-Vlanif20ip address 192.168.20.251 24
sw5int Vlanif 30
sw5-Vlanif30ip address 192.168.30.251 24
sw5int Vlanif 50
sw5-Vlanif50ip address 192.168.50.251 24
步骤三:配置DHCP服务器
undo terminal monitor
system-view
Huaweisysname dhcp
dhcpdhcp enable
dhcpip pool vlan10
dhcp-ip-pool-vlan10network 192.168.10.0 mask 24
dhcp-ip-pool-vlan10gateway-list 192.168.10.254
dhcpip pool vlan20
dhcp-ip-pool-vlan20network 192.168.20.0 mask 24
dhcp-ip-pool-vlan20gateway-list 192.168.20.254
dhcpip pool vlan30
dhcp-ip-pool-vlan30network 192.168.30.0 mask 24
dhcp-ip-pool-vlan30gateway-list 192.168.30.254
dhcpint g0/0/0
dhcp-GigabitEthernet0/0/0ip address 192.168.50.1 24
dhcp-GigabitEthernet0/0/0dhcp select global
dhcpip route-static 0.0.0.0 0 192.168.50.251
步骤四:配置DHCP中继代理
sw5dhcp enable
sw5int Vlanif 10
sw5-Vlanif10dhcp select relay
sw5-Vlanif10dhcp relay server-ip 192.168.50.1
sw5int Vlanif 20
sw5-Vlanif20dhcp select relay
sw5-Vlanif20dhcp relay server-ip 192.168.50.1
sw5int Vlanif 30
sw5-Vlanif30dhcp select relay
sw5-Vlanif30dhcp relay server-ip 192.168.50.1
步骤五:测试客户机
使用ipconfig命令测试
技术方案选型
技术需求描述11
公司有三个部门,为确保通信安全,每个部门都处于独立的广播域
每个部门的IP地址规划为:192.168.xx.0/24
每个部门的主机均通过为DHCP服务器获取IP地址,并且每个部门的网关IP地址为192.168.xx.254
技术选型1
VLAN
DHCP
技术需求描述2
为DHCP服务器所在的网段,网关配置在SW5上
所有部门中都使用了网关冗余技术,为了增强网关稳定性和冗余性
交换机之间存在很多冗余链路,必须防止环路的发生,并且能够提高链路的利用率
要求每个部门的主机访问其他主机时,使用的都是最优的转发路径
技术选型2
三层交换
VRRP/MSTP
技术需求描述3
公司有个一个出口设备R1,连接一台外网的web服务器
内网大量主机都需要访问这台外网的web服务器
技术选型3
静态路由/默认路由
浮动路由
网络拓扑绘制
技术选型1网络拓扑
技术选型2网络拓扑
技术选型3网络拓扑
基础交换网络设计
技术选型1实施思路
在所有交换机上创建相同的Vlan
把连接主机的端口加入响应的Vlan
交换机之间相连的端口设置为Trunk模式
配置DHCP服务器
在三层交换机上配置DHCP中继代理
内网优化
技术需求描述
Vlan50为DHCP服务器所在的网段,网关配置在SW5上
所有部门中都使用了网关冗余技术,为了增强网关稳定性和冗余性
交换机之间存在很多冗余链路,必须防止环路的发生,并且能够提高链路的利用率
要求每个vlan的主机访问其他主机时,使用的都是最优的转发路径
技术选型2
三层交换
VRRP/MSTP
项目拓扑
实施思路
配置三层交换机中继代理
配置VRRP协议
设置DHCP的地址排除
配置MSTP协议
验证客户端都可以获得正确的网络参数
连接外网服务器
技术需求描述
公司有个一个出口设备R1,连接一台外网的web服务器
内网大量主机都需要访问这台外网的web服务器
技术选型
静态路由/默认路由
浮动路由
项目拓扑
实施思路
三层交换机上配置默认路由,访问外网
出口路由器上配置默认路由,指向外网
出口路由器配置去往企业内网的浮动路由
外网路由器上配置返回企业内部网段的路由