一.设备命名

AR1

[Huawei]sysn AR1
[AR1]

同理可得,所有设备的命名如上图所示

二.VLAN

LSW1

[LSW1]vlan 10
[LSW1-vlan10]q
[LSW1]int g0/0/1 
[LSW1-GigabitEthernet0/0/1]port linktype access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]port linktype access
[LSW1-GigabitEthernet0/0/2]port default vlan 10
[LSW1-GigabitEthernet0/0/2]int e0/0/10
[LSW1-Ethernet0/0/10]port linktype trunk
[LSW1-Ethernet0/0/10]port trunk allowpass vlan 10
[LSW1-Ethernet0/0/10]int e0/0/11
[LSW1-Ethernet0/0/11]port linktype trunk
[LSW1-Ethernet0/0/11]port trunk allowpass vlan 10
[LSW1-Ethernet0/0/11]int eth 1
[LSW1-Eth-Trunk1]port linktype trunk
[LSW1-Eth-Trunk1]port trunk allowpass vlan 10
[LSW1-Eth-Trunk1]q
[LSW1]dis po vlan

LSW2

[LSW2]vlan 10
[LSW2-vlan10]q
[LSW2]int e0/0/10
[LSW2-Ethernet0/0/10]port linktype trunk
[LSW2-Ethernet0/0/10]port trunk allowpass vlan 10
[LSW2-Ethernet0/0/10]int e0/0/12
[LSW2-Ethernet0/0/12]port linktype trunk
[LSW2-Ethernet0/0/12]port trunk allowpass vlan 10
[LSW2-Ethernet0/0/12]int e0/0/1
[LSW2-Ethernet0/0/1]port linktype access
[LSW2-Ethernet0/0/1]port default vlan 10

LSW3

[LSW3]int e0/0/10
[LSW3-Ethernet0/0/10]port link-type trunk 
[LSW3-Ethernet0/0/10]port trunk allowpass vlan 10
[LSW3-Ethernet0/0/10]int e0/0/12
[LSW3-Ethernet0/0/12]port link-type trunk
[LSW3-Ethernet0/0/12]port trunk allowpass vlan 10
[LSW3-Ethernet0/0/12]int e0/0/1
[LSW3-Ethernet0/0/1]port link-type access 
[LSW3-Ethernet0/0/1]port default vlan 10
[LSW3-Ethernet0/0/1]dis po vlan

LSW4

[LSW4]vlan 10
[LSW4-vlan10]int e0/0/1
[LSW4-Ethernet0/0/1]port link-type access
[LSW4-Ethernet0/0/1]port default vlan 10
[LSW4-Ethernet0/0/1]int eth 1
[LSW4-Eth-Trunk1]port link-type trunk
[LSW4-Eth-Trunk1]port trunk allowpass vlan 10
[LSW4-Eth-Trunk1]q
[LSW4]dis po vlan

三.IP编址

AR1

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.1.12.1 30
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.10.100 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 10.1.14.1 30
[AR1-GigabitEthernet0/0/2]int loo0
[AR1-LoopBack0]ip add 1.1.1.1 32

AR2

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 10.1.12.2 30
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 10.1.23.1 30
[AR2-GigabitEthernet0/0/1]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip add 192.168.10.101 24
[AR2-GigabitEthernet0/0/2]int loo0
[AR2-LoopBack0]ip add 2.2.2.2 32

AR3

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 10.1.23.2 30
[AR3-GigabitEthernet0/0/0]int loo0
[AR3-LoopBack0]ip add 3.3.3.3 32

AR4

[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]ip add 10.1.14.2 30
[AR4-GigabitEthernet0/0/0]int loo0
[AR4-LoopBack0]ip add 4.4.4.4 32

四.STP

为了防止二层网络出现环路和提高网络可靠性,在 LSW1 和LSW2,LSW3 之间配置STP协议
1.STP模式为 STP。设置LSW1 的优先级为 4096 使其成为根桥。

LSW1

[LSW1]stp mode stp

[LSW1]stp priority 4096

LSW2

[LSW2]stp mode stp

LSW3

[LSW3]stp mode stp

LSW4

[LSW4]stp mode stp

五.链路聚合配置

为了保证链路稳定性,同时在不升级硬件设备的前提下最大限度的提升带宽。在 LSW1 与LSW4 之间配置链路聚合。请通过 Lacp 模式实现二层链路聚合成员接口为 Ethernet0/0/20,Ethernet 0/0/21,链路聚合接口ID 为1并且SW1 作为 LACP 的主动端,优先级4096

LSW1

[LSW1]int Eth-Trunk 1
[LSW1-Eth-Trunk1]mode lacpstatic
[LSW1-Eth-Trunk1]trunkport e 0/0/20 to 0/0/21

[LSW1-Eth-Trunk1]q

[LSW1]lacp priority 4096

[LSW1]dis ethtrunk 1

LSW4

[LSW4]int Eth-Trunk 1
[LSW4-Eth-Trunk1]mode lacpstatic
[LSW4-Eth-Trunk1]trunkport e 0/0/20 to 0/0/21
[LSW4-Eth-Trunk1]q
[LSW4]dis ethtrunk 1

六.路由配置

1.AR1上配置一条前往AR4的 Loopback0 接口地址静态路由,下一跳为对端 AR4物理接口.
AR1、AR2、AR3 之间使用OSPF 路由协议调通,路由器需要开启OSPF 1进程,并手动配置 RouterID与其设备 Loopback0 口地址一致。
2.在路由器AR1、AR2、AR3 上启用 OSPF 路由协议,并将对应网络地址及掩码进行宣告加入到 OSPF 区域0中。
3.为了保证路由交互安全性,在 AR1、AR2、AR3 之间采用区域认证选择 md5 加密算法认证密销ID 为1,密钥类型cipher,密码为“Huawei@123′

AR1

[AR1]ospf 1 routerid 1.1.1.1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]authenticationmode md5 1 cipher Huawei@123
[AR1-ospf-1-area-0.0.0.0]network 10.1.12.1 0.0.0.3
[AR1-ospf-1-area-0.0.0.0]network 192.168.10.100  0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

AR2

[AR2]ospf 1 routerid 2.2.2.2
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 10.1.12.2 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]network 10.1.23.1 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]network 192.168.10.101 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[AR2-ospf-1-area-0.0.0.0]authenticationmode md5 1 cipher Huawei@123

AR3

[AR3]ospf 1 routerid 3.3.3.3
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]authenticationmode md5 1 cipher Huawei@123

[AR3-ospf-1-area-0.0.0.0]network 10.1.23.2 0.0.0.3
[AR3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

七.网关备份

确保工作的正常开展,需要对出口网关进行备份提高网络整体可靠性
1.路由器AR1、AR2之间使能VRRP 协议,VRID 为 15,虚拟IP 地址为192.168.10.254/。
2.修改AR1 接口优先级为 150,使得 AR1 成为 Master 设备,AR2 作为 Backup 设备

AR1

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]vrrp vrid 15 virtual-ip 192.168.10.254
[AR1-GigabitEthernet0/0/1]vrrp vrid 15 priority 150
[AR1-GigabitEthernet0/0/1]q
[AR1]dis vrrp brief

AR2

[AR2]int g0/0/2
[AR2-GigabitEthernet0/0/2]vrrp vrid 15 virtual-ip 192.168.10.254

八.出口配置

支持校园网络用户访问外部网络需求
1.AR1 创建访问控制列表 2000,配置规则允许实验楼、教学楼以及教务处用户网段通过,在 AR1 的GO/0/2接口上配置 Easy IP,调用访问控制列表编号为 2000。

AR1

[AR1]acl 2000
[AR1-aclbasic-2000]rule permit source 192.168.10.0 0.0.0.255
[AR1-aclbasic-2000]q
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]nat outbound 2000
[AR1-GigabitEthernet0/0/2]dis nat out

九.Telnet服务配置

为方便日后对设备维护检查。现需进行以下操作
1.AR1、AR2、AR3配置开启 telnet服务调用虚拟接口04,认证模式aaa 认证新建本地用户用户名admin密码密文显示设置为 huawei,配置用户等级为3 级

AR1

[AR1]aaa

[AR1-aaa]localuser admin password cipher huawei
[AR1-aaa]localuser admin privilege level 3
[AR1-aaa]localuser admin service-type telnet
[AR1-aaa]q
[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]authenticationmode aaa

AR2

[AR2]aaa
[AR2-aaa]localuser admin password cipher huawei
[AR2-aaa]localuser admin privilege level 3
[AR2-aaa]localuser admin service-type telnet
[AR2-aaa]q
[AR2]user-interface vty 0 4
[AR2-ui-vty0-4]authenticationmode aaa
[AR2-ui-vty0-4]q

AR3

[AR3]aaa
[AR3-aaa]localuser admin password cipher huawei
[AR3-aaa]localuser admin privilege level 3
[AR3-aaa]localuser admin service-type telnet
[AR3-aaa]q
[AR3]user-interface vty 0 4
[AR3-ui-vty0-4]authenticationmode aaa
[AR3-ui-vty0-4]q

十.访问控制

出于安全性考虑,现需教学楼设备、实验楼设备访问教务处。
1.在 LSW1 设备上创建访问控制列表 3000,配置规则拒绝教学楼设备、实验楼设备访问教务处,在Eth-Trunk1 接口上使能该规则,选择合适的过滤方向

LSW1

[LSW1]acl 3000
[LSW1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.3 destination 192.168.
10.3 0.0.0.0
[LSW1-acl-adv-3000]q
[LSW1]int Eth-Trunk 1
[LSW1-Eth-Trunk1]traffic-filter outbound acl 3000

原文地址:https://blog.csdn.net/lin__ying/article/details/134762432

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_48930.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注