综合组网实验

综合组网实验报告

1. 1. 实验目标

某学校信息平台拥有6层楼50多个机房1600多台计算机，承担面向全校学生的几乎全部专业课程上机和公共上机的教学任务。每年为6000多名学生提供课程的教学支持。

该学校分配到的公网地址为：198.26.28.1-198.26.28.127。要求：

（1）所有的内网机器能够相互访问；

（2）所有的内网机器都能访问外网；

（3）核心路由器要设置备份；

（4）网络连通可控，可以让某些机房不能访问外网。

1. 1. 实验需求

（1）将整个平台建成一个相对独立的局域网，保证网络互联互通、学生自由上机、正常上网、刷卡系统、网络服务器、考试系统的正常运行；

（2）网络的连通性完全可控，要求满足某些机房考试时，能够禁止该机房访问互联网，而不影响其他机房正常上网；

（3）网络设备支持抗ARP病毒攻击、广播风暴抑制、DHCP协议、IPv6协议等功能。

1. 1. 总体规划

（1）平台网络采用分层设计模式，设计为核心层、汇聚层、接入层；

（2）每个机房划分为一个网段；例如，使用10.0.0.0/8内的地址来为每个机房的机器制定地址，IP地址中的第二段的值表示所处楼层，第三段的值表示所处房间号，第四段的值表示该房间内的机器位置，如10.3.4.6表示第3层第4个房间的第6号机器。

（3）采用NAT技术；

（4）采用ACL技术达到部分考试机房断网的目标；

（5）网络可靠性设计：包括核心路由器备份和连接核心路由器的交换机的路由备份。具体为：网络的核心层采用设备备份技术，设置两台核心路由，正常情况下，只通过核心路由器SR6602-1连入校园网，但当这台路由器down掉的时候，网络会自动启用核心路由器SR6602-2,连入校园网；采用了设备备份技术后，必然会有路由备份，如案例中，当经过核心路由器SR6602-1进入校园网的路由失效时，就可以走经过核心路由器SR6602-2的路由；

（6）设备选型时考虑设备对IPv6协议、DHCP协议、路由协议、组播协议的支持，以及抗ARP病毒攻击、广播风暴抑制等基本安全功能。

（7）网络拓扑规划如下：

图 1　网络拓扑规划图

（8）设备选型建议：

核心路由器：两台H3C SR6602 系列路由器；

核心交换机： 一台H3C S7503E 路由交换机；

汇聚交换机：选择H3C S5800系列交换机，每个楼层一台，共6台；

接入交换机：选择H3C E552和H3C E528系列交换机，共61台。

1. 1. 组网实现

用eNsp模拟软件实现上述组网任务，具体实现如下：

1. 1. 1. 网络拓扑实现如下：

1. 1. 1. IP地址的规划。各类型设备的IP地址配置如下：
         1.
         1. VLAN 101 及DHCP
2. 配置c1

1 配置连接 PC1 和PC2的接口

2 配置连接 sw1 的上行端口 (Trunk 模式)

为了让 c1 和 sw1 之间能正常通信，上行口通常配置为 Trunk，并允许 VLAN 101 通过。

1. 配置 sw1

2. 创建 VLAN 和配置下行接口

sw1 需要识别 VLAN 101，并且连接 c1 的接口需要配置为 Trunk。

配置网关

PC 需要自动获取 IP，我们在 sw1 上配置 DHCP 池。

1. DHCP

1. 测试

打开pc1控制台，发现PC1 成功获取到了 IP 地址 10.1.1.253 ，网关也是正确的 10.1.1.1。而且能ping 10.1.1.1。证明明配置的 接入层 (c1) 和 汇聚层 (sw1) 的 VLAN 101 链路、网关以及 DHCP 服务都已经完全打通了。

1. 1. 1. 1. 1. Vlan101和102通信
2. 配置 C2

1配置接入交换机 c2, 创建 VLAN 102，将 PC3、PC4 划入该 VLAN，配置上行 Trunk。

2配置连接 PC 的接口 (Access)

配置上行接口 (Trunk)

1. DHCP

在 sw1 上增加 VLAN 102 的配置, 配置连接 c2 的接口，配置 VLAN 102 的网关和 DHCP 池。

1. 配置连接 c2 的下行接口

2. 配置 VLAN 102 的网关

3. 配置 VLAN 102 的 DHCP 池

验证成果

打开 PC3 (属于 VLAN 102)，输入 ipconfig /renew, 并ping

1. 验证

PC3 (10.1.2.252) 成功 Ping 通了 PC1 (10.1.1.253)。

• Packet Loss 20% ： 第一个包丢失（Request timeout）是完全正常的。这是因为网络设备正在进行 ARP 解析（查找 MAC 地址），后续的 4 个包都通了，说明链路完全稳定。
• 结论： 这证明汇聚交换机 sw1 已经成功发挥了"三层交换机"的作用，打通了 VLAN 101 和 VLAN 102 之间的路由。

1. 1. 1. 1. 1. 链路聚合 连接汇聚层和核心层
2. 配置汇聚交换机 (sw1)

我们需要创建一个聚合接口 Eth-Trunk 1，将这三个端口加入，并把之前的 VLAN 10 配置移到这个聚合接口上。

1. 创建互联 VLAN 并配置 IP

2. 创建聚合接口 Eth-Trunk 1

3. 将物理接口加入聚合组

4. 配置聚合接口为 Trunk 并放行 VLAN 10

1. 配置核心交换机 (sw)

2. 创建聚合接口 Eth-Trunk 1

2. 将物理接口加入聚合组

3. 配置聚合接口为 Trunk 并放行 VLAN 10

第三步：验证配置

查看聚合状态：

 Operate status: up ：表示整个聚合链路处于开启状态。

 Status: Selected ：下面的三个接口（GE0/0/3, GE0/0/4, GE0/0/5）状态全都是 Selected。这代表物理链路正常，且 LACP 协议协商成功，三根线都在工作中。

 Partner 信息：下方的 Partner 区域显示了对端设备（核心交换机 sw）的信息，说明两台设备已经"握手"成功。

现在物理链路（Layer 2）已经通了，我们需要配置逻辑链路（Layer 3），也就是给核心交换机配置 IP，让 sw1 和 sw 能互相 Ping 通。

创建 VLAN 10并配置 VLANIF 10 接口 IP

1. 验证互通性

核心交换机 sw (192.168.1.2) 成功 Ping 通了汇聚交换机 sw1 (192.168.1.1)，且没有丢包。这说明：

1. 物理层：链路聚合（Eth-Trunk 1）工作正常，三条线都通了。

2. 网络层：VLAN 10 的 IP 地址配置正确，核心层和汇聚层已经建立了互联。

3. 1. 1. 1. 1. 路由实现使用OSPF协议自动生成路由

目前用 PC1 去 Ping 核心交换机 192.168.1.2，是不通的，因为核心交换机没有去往 10.1.1.0 网段的路由。

1. 配置SW1

让 sw1 把底下的用户网段"告诉" sw。

1. 配置SW

创建 VLAN 40 并配置网关 IP

1. 将连接路由器的端口加入 VLAN 40

将新网段宣告进 OSPF，让大家都知道 RT1/RT2 的存在

1. 测试

配置完 OSPF 后，稍微等待几秒钟（等待路由收敛），

接入层(PC) -> 汇聚层(sw1) -> 核心层(sw)"这条垂直通道。PC1 已经可以跨越三层网络访问核心设备了。

1. 1. 1. 1. 1. 备份路由的实现如下：

2. 配置RT1

3. 配置下行接口 (连接 sw)

2. 配置 OSPF (加入骨干区域 0)

1. 验证rt1

1. 配置RT2

配置下行接口 (连接 sw)

配置上行接口 (连接 RT)

1. 配置 OSPF 协议

将 RT2 加入 OSPF 骨干区域，使其能学习到全网路由。

验证操作

配置完成后，在 RT2 上进行 Ping 测试，确认它也能连通核心交换机：

1. 验证rt2

配置成功！

截图显示备份核心路由器 RT2 (192.168.4.3) 成功 Ping 通了核心交换机 sw (192.168.4.1)。

1. 配置RT

连接 RT1和RT2

连接 OSW

1. 配置 OSPF (内网路由)

让 RT 学习到学校内部（PC、SW）的路由。

配置默认路由 (通往互联网)

告诉 RT，所有不知道去哪的数据包，都扔给外网 ISP 外网网关是 198.76.28.1

1. 验证

配置完成后，用 PC1 尝试 Ping 边界路由器 RT 的内网接口。

我们可以通过 TTL=252 倒推由于经过了 3 跳路由（PC -> sw1 -> sw -> RT1 -> RT，初始 255 - 3 = 252），

查看路径

② 查看路由表 在核心交换机 sw 上查看当前的 OSPF 路由表，确认默认路由指向了 RT1。

③ 模拟链路故障

Down掉rt2后

观察到原来经过rt2, 现在经过rt1.

1. 1. 1. 1. 1. NAT实现的设备接口及实现配置命令如下：
2. 配置NAPT

目前如果用 PC 去 Ping 外网地址（ 198.76.28.1），是肯定不通的，因为外网不知道 10.1.1.0 这种私有地址怎么回包。我们需要在边界路由器 RT 上配置 NAT (网络地址转换)。

定义 ACL (访问控制列表)。告诉路由器："允许哪些内部 IP 上网"

1. 配置外网模拟设备 (OSW)

1. 验证

PC1 能 Ping 通 198.76.28.1

1. 配置NAT Server

2. 配置服务器IP

配置 RT1 IP 地址

1. 验证

可以ping 通

1. 1. 1. 1. 1. ACL 访问控制

1. 1. 测试

（1）用Ping命令进行内网连通性测试，结果如下：

①同网段PC1->PC2：

• • 不同网段PC1->PC3:

（2）用Ping命令进行内网到外网的连通性测试，结果如下：

（3）用Ping命令进行禁止某机房访问外网的连通性测试，结果如下：

主机PC2开始可以上网， 后来不能上网了

（4）用Ping命令进行内网和外网到服务器的连通性测试，结果如下：

①内网->服务器

• • 外网->服务器