|
第一章 网络基础知识 实验29 综合组网 实验任务1: 内网部署 步骤1: 总部内网部署 第1步: 按照前期的命名规划及端口描述个给每台设备命名并添加端口描述,此处只给出单台设备的命名及端口描述,命令如下: [H3C]sysname BJ-MSR3020-0 进入互连端口,按照设计要求添加端口描述 [BJ-MSR3020-0] interface GigabitEthernet0/0 [BJ-MSR3020-0-GigabitEthernet0/0] description Link-To-BJ-S5626-0-G1/0/1 第2步: 配置核心交换机与服务器区交换机的端口聚合,参与聚合的端口为G1/0/2与G1/0/3,使用基于手工方式的链路聚合。具体配置如下: 核心交换机BJ-S5626C-0配置: 创建手工聚合组1 [BJ-S5626C-0]link-aggregation group 1 mode manual 将G1/0/2和G1/0/3加入聚合组1 [BJ-S5626C-0] interface GigabitEthernet 1/0/2 [BJ-S5626C-0-GigabitEthernet1/0/2] port link-aggregation group 1 [BJ-S5626C-0-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [BJ-S5626C-0-GigabitEthernet1/0/3] port link-aggregation group 1 服务器区交换机BJ-S5116P-0配置: 创建手工聚合组1 [BJ-S5116P-0]link-aggregation group 1 mode manual 将G1/0/1和G1/0/2加入聚合组1 [BJ-S5116P-0] interface GigabitEthernet 1/0/1 [BJ-S5116P-0-GigabitEthernet1/0/1] port link-aggregation group 1 [BJ-S5116P-0-GigabitEthernet1/0/1] interface GigabitEthernet 1/02 [BJ-S5116P-0-GigabitEthernet1/0/2] port link-aggregation group 1 查看端口聚合摘要信息,验证链路聚合是否成功 Aggregation Group Type:D -- Dynamic, S -- Static , M -- Manual Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Actor ID: 0x8000, 000f-e254-49d5 AL AL Partner ID Select Unselect Share Master ID Type Ports Ports Type Port --------------------------------------------------------------------------------------------------------- 1 M none 2 0 Shar GigabitEthernet 1/0/1 第3步: 根据前期的VLAN及端口分配规划,在各接入交换机上配置VLAN,并将上行接口配置为Trunk链路,允许相关VLAN通过。本步骤以BJ-S3152TP-0为例演示如何配置。 创建VLAN 10 [BJ-S3152TP-0]vlan 10 将E1/0/1到E1/0/30端口分配给VLAN 10 [BJ-S3152TP-0-vlan10]port e1/0/1 to e1/0/30 创建VLAN 20 [BJ-S3152TP-0-vlan10]vlan 20 将E1/0/31到E1/0/48端口分配给VLAN 20 [BJ-S3152TP-0-vlan10]port e1/0/31 to e1/0/48 进入上行端口G1/1/1 [BJ-S3152TP-0-vlan10]int g1/1/1 设置上行端口类型为Trunk [BJ-S3152TP-0-GigabitEthernet1/1/1] port link-type trunk 设置上行G1/1/1端口允许 VLAN 10、VLAN 20通过 [BJ-S3152TP-0-GigabitEthernet1/1/1] port trunk permit trunk vlan 10 20 第4步: 为了让VLAN之间能够通信,在核心交换机BJ-S5626C-0上为每个VLAN配置IP地址,启动VLAN间路由功能,具体IP地址见前期规划。 进入VLAN 10的三层虚接口 [BJ-S5626C-0]int vlan 10 为VLAN 10三层接口配置IP地址 [BJ-S5626C-0-Vlan-interface10]ip add 192.168.1.254 24 进入VLAN 20的三层虚接口 [BJ-S5626C-0-Vlan-interface10]int vlan 20 为VLAN 20三层接口配置IP地址 [BJ-S5626C-0-Vlan-interface20]ip add 192.168.2.254 24 进入VLAN 30的三层虚接口 [BJ-S5626C-0-Vlan-interface20]int vlan 30 为VLAN 30三层接口配置IP地址 [BJ-S5626C-0-Vlan-interface30]ip add 192.168.3.254 24 进入VLAN 40的三层虚接口 [BJ-S5626C-0-Vlan-interface30]int vlan 40 为VLAN 40三层接口配置IP地址 [BJ-S5626C-0-Vlan-interface40]ip add 192.168.4.254 24 进入VLAN 50的三层虚接口 [BJ-S5626C-0-Vlan-interface40]int vlan 50 为VLAN 50三层接口配置IP地址 [BJ-S5626C-0-Vlan-interface50]ip add 192.168.0.1 30 以上配置完成之后,可以通过ping命令验证前期的配置是否正确,验证的方法是将PC机接入任意一个VLAN,将PC机的IP地址修改为所在VLAN的IP地址。 第5步: 配置DHCP协议 开启DHCP功能 [BJ-S5626C-0]dhcp enable 创建VLAN 10 对应的DHCP地址池 [BJ-S5626C-0]dhcp server ip-pool vlan10 配置VLAN 10地址池动态分配的地址范围 [BJ-S5626C-0-dhcp-pool-vlan10]network 192.168.1.0 mask 255.255.255.0 指定为VLAN 10内客户端分配的的网关地址 [BJ-S5626C-0-dhcp-pool-vlan10]gateway-list 192.168.1.254 指定为VLAN 10内客户端分配的DNS服务器地址 [BJ-S5626C-0-dhcp-pool-vlan10]dns-list 202.102.99.68 [BJ-S5626C-0-dhcp-pool-vlan10]quit 创建VLAN 20 对应的DHCP地址池 [BJ-S5626C-0]dhcp server ip-pool vlan20 配置VLAN 20地址池动态分配的地址范围 [BJ-S5626C-0-dhcp-pool-vlan20]network 192.168.2.0 mask 255.255.255.0 指定为VLAN 20内客户端分配的DNS服务器地址 [BJ-S5626C-0-dhcp-pool-vlan20]dns-list 202.102.99.68 指定为VLAN 20内客户端分配的的网关地址 [BJ-S5626C-0-dhcp-pool-vlan20]gateway-list 192.168.2.254 [BJ-S5626C-0-dhcp-pool-vlan20]quit 创建VLAN 30 对应的DHCP地址池 [BJ-S5626C-0]dhcp server ip-pool vlan30 配置VLAN 30地址池动态分配的地址范围 [BJ-S5626C-0-dhcp-pool-vlan30]network 192.168.3.0 mask 255.255.255.0 指定为VLAN 30内客户端分配的的网关地址 [BJ-S5626C-0-dhcp-pool-vlan30]gateway-list 192.168.3.254 指定为VLAN 30内客户端分配的DNS服务器地址 [BJ-S5626C-0-dhcp-pool-vlan30]dns-list 202.102.99.68 [BJ-S5626C-0-dhcp-pool-vlan30]quit 配置DHCP地址池中不参与自动分配的IP地址(网关地址) [BJ-S5626C-0]dhcp server forbidden-ip 192.168.1.254 [BJ-S5626C-0]dhcp server forbidden-ip 192.168.2.254 [BJ-S5626C-0]dhcp server forbidden-ip 192.168.3.254 如果要在PC上测试DHCP配置是否成功,需在PC机的【开始】|【运行】处输入CMD命令进入命令行模式,在此模式下输入 命令可以查看本机Ipconfig 地址的详细情况。 第6步: 配置交换机的管理地址,在本例中使用VLAN 1作为管理VLAN,接入交换机以BJ-S5116P-0为例,其他交换机本部分配置与此类似。 BJ-S5626C-0交换机: 进入VLAN 1的三层虚接口 [BJ-S5626C-0]int vlan 1 为VLAN 1三层接口配置IP地址 [BJ-S5626C-0-Vlan-interface1]ip add 192.168.0.25 29 BJ-S5116P-0交换机: 进入VLAN 1的三层虚接口 [BJ-S5116P-0]int vlan 1 为VLAN 1三层接口配置IP地址 [BJ-S5116P-0-Vlan-interface1]ip add 192.168.0.26 29 [BJ-S5116P-0-Vlan-interface1]quit 配置到达上层交换机的路由,下一跳指向核心交换机的管理地址 [BJ-S5116P-0]ip route-static 0.0.0.0 0.0.0.0 192.168.0.25 步骤2: 深圳办事处内网部署 第7步: 给设备命名并添加端口描述 SZ-MSR2020-0路由器: [H3C]sysname SZ-MSR2020-0 进入各互连端口,按照设计要求添加端口描述 [SZ-MSR2020-0] interface Ethernet0/0 [SZ-MSR2020-0-GigabitEthernet0/0] description Link-To-SZ-S3152TP-0-E1/0/1 SZ-S3152TP-0交换机: [H3C]sysname SZ-S3152TP-0 进入各互连端口,按照设计要求添加端口描述 [SZ-S3152TP-0] interface Ethernet 1/0/1 [SZ-S3152TP-0-Ethernet1/0/1] description Link-To-SZ-MSR2020-0-E0/0 第8步: DHCP配置 在深圳办事处,也使用DHCP方式为接入PC机分配IP地址,DHCP服务器为MSR2020路由器,具体DHCP的配置如下: 为E0/0接口配置IP地址,此地址为内网所有PC机的网关 [SZ-MSR2020-0-Ethernet0/0]ip add 192.168.5.254 24 [SZ-MSR2020-0-Ethernet0/0]quit 开启DHCP功能 [SZ-MSR2020-0]dhcp enable 创建DHCP地址池 1 [SZ-MSR2020-0]dhcp server ip-pool 1 配置地址池动态分配的地址范围 [SZ-MSR2020-0-dhcp-pool-1]network 192.168.5.0 mask 255.255.255.0 指定为客户端分配的的网关地址 [SZ-MSR2020-0-dhcp-pool-1]gateway-list 192.168.5.254 指定为客户端分配的DNS服务器地址 [SZ-MSR2020-0-dhcp-pool-1]dns-list 202.102.99.68 [SZ-MSR2020-0-dhcp-pool-1]quit 配置DHCP地址池中不参与自动分配的IP地址 [SZ-MSR2020-0]dhcp server forbidden-ip 192.168.5.254 [SZ-MSR2020-0]dhcp server forbidden-ip 192.168.5.250 第9步: 交换机管理地址配置 进入VLAN 1的三层虚接口 [SZ-S3152TP-0]int vlan 1 为VLAN 1三层接口配置IP地址 [SZ-S3152TP-0-Vlan-interface1]ip add 192.168.5.250 24 [SZ-S3152TP-0-Vlan-interface1]quit 配置到达上层路由器的路由,下一跳指向路由器接口地址 [SZ-S3152TP-0]ip rout 0.0.0.0 0.0.0.0 192.168.5.254 步骤3: 上海研究所内网部署 第10步: 给设备命名并添加端口描述 SH-MSR2020-0路由器: [H3C]sysname SH-MSR2020-0 进入各互连端口,按照设计要求添加端口描述 [SH-MSR2020-0] interface Ethernet0/0 [SH-MSR2020-0-GigabitEthernet0/0] description Link-To-SH-S3152TP-0-E1/0/1 SH-S3152TP-0交换机: [H3C]sysname SH-S3152TP-0 进入各互连端口,按照设计要求添加端口描述 [SH-S3152TP-0] interface Ethernet 1/0/1 [SH-S3152TP-0-Ethernet1/0/1] description Link-To-SH-MSR2020-0-E0/0 第11步: DHCP配置 在上海研究所,也使用DHCP方式为接入PC机分配IP地址,DHCP服务器为MSR2020路由器,具体DHCP的配置如下: 为E0/0接口配置IP地址,此地址为内网所有PC机的网关 [SH-MSR2020-0-Ethernet0/0]ip add 192.168.6.254 24 [SH-MSR2020-0-Ethernet0/0]quit 开启DHCP功能 [SH-MSR2020-0]dhcp enable 创建DHCP地址池 1 [SH-MSR2020-0]dhcp server ip-pool 1 配置地址池动态分配的地址范围 [SH-MSR2020-0-dhcp-pool-1]network 192.168.6.0 mask 255.255.255.0 指定为客户端分配的的网关地址 [SH-MSR2020-0-dhcp-pool-1]gateway-list 192.168.6.254 指定为客户端分配的DNS服务器地址 [SH-MSR2020-0-dhcp-pool-1]dns-list 202.102.99.68 [SH-MSR2020-0-dhcp-pool-1]quit 配置DHCP地址池中不参与自动分配的IP地址 [SH-MSR2020-0]dhcp server forbidden-ip 192.168.6.254 [SH-MSR2020-0]dhcp server forbidden-ip 192.168.6.250 第12步: 交换机管理地址配置 进入VLAN 1的三层虚接口 [SH-S3152TP-0]int vlan 1 为VLAN 1三层接口配置IP地址 [SH-S3152TP-0-Vlan-interface1]ip add 192.168.6.250 24 [SH-S3152TP-0-Vlan-interface1]quit 配置到达上层路由器的路由,下一跳指向路由器接口地址 [SH-S3152TP-0]ip rout 0.0.0.0 0.0.0.0 192.168.6.254 实验任务2: 广域网部署 第13步: BJ-MSR3020-0配置 [BJ-MSR3020-0]int s1/0 按照规划为S1/0接口添加描述 [BJ-MSR3020-0 Serial1/0]description Link-To-SZ-MSR2020-0-S1/0 给S1/0接口配置IP地址 [BJ-MSR3020-0-Serial1/0]ip add 192.168.0.5 30 [BJ-MSR3020-0]int s1/1 按照规划为S1/1接口添加描述 [BJ-MSR3020-0 Serial1/1]description Link-To-SH-MSR2020-0-S1/0 进入S1/2接口 [BJ-MSR3020-0-Serial1/1]int s1/2 按照规划为S1/2接口添加描述 [BJ-MSR3020-0 Serial1/2]description Link-To-SH-MSR2020-0-S1/1 [BJ-MSR3020-0 Serial1/2]quit 创建并进入MP-group 0接口 [BJ-MSR3020-0] interface Mp-group 0 给MP-group 0接口配置IP地址 [BJ-MSR3020-0- Mp-group0] ip add 192.168.0.9 30 [BJ-MSR3020-0- Mp-group0]int s1/1 将S1/1接口加入MP-group 0 [BJ-MSR3020-0-Serial1/1]ppp mp mp-group 0 进入S1/2接口 [BJ-MSR3020-0-Serial1/1] int s1/2 将S1/1接口加入MP-group 0 [BJ-MSR3020-0-Serial1/2]ppp mp mp-group 0 第14步: SZ-MSR2020-0配置 [SZ-MSR2020-0]int s1/0 按照规划为S1/0接口添加描述 [SZ-MSR2020-0 Serial1/0]description Link-To-BJ-MSR2020-0-S1/0 给S1/0接口配置IP地址 [SZ-MSR2020-0-Serial1/0]ip add 192.168.0.6 30 第15步: SH-MSR2020-0配置 [SH-MSR2020-0]int s1/0 按照规划为S1/0接口添加描述 [SH-MSR2020-0 Serial1/0]description Link-To-BJ-MSR3020-0-S1/1 [SH-MSR2020-0-Serial1/0]int s1/1 按照规划为S1/1接口添加描述 [SH-MSR2020-0 Serial1/1]description Link-To-BJ-MSR3020-0-S1/2 [SH-MSR2020-0 Serial1/1]quit 创建并进入MP-group 0接口 [SH-MSR2020-0] interface Mp-group0 给MP-group 0接口配置IP地址 [SH-MSR2020-0- Mp-group0] ip add 192.168.0.10 30 将S1/0接口加入MP-group 0 [SH-MSR2020-0- Mp-group0]int s1/0 [SH-MSR2020-0-Serial1/0]ppp mp mp-group 0 将S1/1接口加入MP-group 0 [SH-MSR2020-0-Serial1/0] int s1/1 [SH-MSR2020-0-Serial1/1]ppp mp mp-group 0 实验任务3: 路由部署 第16步: BJ-S5626C-0交换机路由配置 手工指定router id,为VLAN 1的接口地址 [BJ-S5626C-0]router id 192.168.0.25 [BJ-S5626C-0]ospf [BJ-S5626C-0-ospf-1]area 1 在区域里发布网段,后面跟的是反掩码,但有些地址我们很难口算出它的反掩码,CMW提供了这样一个特性:可以将掩码自动转化为反掩码;为此我们演示一下,发布网段时使用掩码,并验证是否能自动转换。 [BJ-S5626C-0-ospf-1-area-0.0.0.1]net 192.168.1.0 255.255.255.0 验证是否能自动将掩码转换成反掩码 [BJ-S5626C-0-ospf-1-area-0.0.0.1]dis this # area 0.0.0.1 network 192.168.1.0 0.0.0.255 # return 继续发布VLAN 20、VLAN 30、VLAN 40所在的网段 [BJ-S5626C-0-ospf-1-area-0.0.0.1]net 192.168.2.0 0.0.0.255 [BJ-S5626C-0-ospf-1-area-0.0.0.1]net 192.168.3.0 0.0.0.255 [BJ-S5626C-0-ospf-1-area-0.0.0.1]net 192.168.4.0 0.0.0.255 #发布同BJ-MSR3020-0路由器互连接口地址 [BJ-S5626C-0-ospf-1-area-0.0.0.1]net 192.168.0.1 0.0.0.3 #发布交换机管理VLAN 地址网段 [BJ-S5626C-0-ospf-1-area-0.0.0.1]net 192.168.0.24 0.0.0.7 第17步: BJ-MSR3020-0路由器路由配置 创建并进入loopback 0接口 [BJ-MSR3020-0]int loop 0 为loopback 0接口配置IP地址,注意掩码为32位 [BJ-MSR3020-0-LoopBack0]ip add 192.168.0.17 32 手工指定router id [BJ-MSR3020-0]router id 192.168.0.17 [BJ-MSR3020-0]ospf 创建并进入area 1 [BJ-MSR3020-0-ospf-1]area 1 发布同BJ-S5626C-0的互连网段 [BJ-MSR3020-0-ospf-1-area-0.0.0.1]net 192.168.0.0 0.0.0.3 为了便于管理,发布loopback接口地址(作为网管地址) [BJ-MSR3020-0-ospf-1-area-0.0.0.1]net 192.168.0.17 0.0.0.0 创建并进入area 0 [BJ-MSR3020-0-ospf-1]area 0 #发布同SZ-MSR2020-0及SH-MSR2020-0的互连网段 [BJ-MSR3020-0-ospf-1-area-0.0.0.0]net 192.168.0.4 0.0.0.3 [BJ-MSR3020-0-ospf-1-area-0.0.0.0]net 192.168.0.8 0.0.0.3 第18步: SZ-MSR2020-0路由器路由配置 创建并进入loopback 0接口 [SZ-MSR2020-0]int loop 0 为loopback 0接口配置IP地址,注意掩码为32位 [SZ-MSR2020-0-LoopBack0]ip add 192.168.0.18 32 手工指定router id [SZ-MSR2020-0]router id 192.168.0.18 [SZ-MSR2020-0]ospf [SZ-MSR2020-0-ospf-1]area 0 发布同BJ-MSR3020-0的互连网段 [SZ-MSR2020-0-ospf-1-area-0.0.0.0]net 192.168.0.4 0.0.0.3 [SZ-MSR2020-0-ospf-1]area 2 发布深圳办事处内网网段地址 [SZ-MSR2020-0-ospf-1-area-0.0.0.2]net 192.168.5.0 0.0.0.255 发布loopback地址(作为网管地址) [SZ-MSR2020-0-ospf-1-area-0.0.0.2]net 192.168.0.18 0.0.0.0 第19步: SH-MSR2020-0路由器路由配置 [SH-MSR2020-0]int loop 0 为loopback 0接口配置IP地址,注意掩码为32位 [SH-MSR2020-0-LoopBack0]ip add 192.168.0.19 32 [SH-MSR2020-0]router id 192.168.0.19 [SH-MSR2020-0]ospf [SH-MSR2020-0-ospf-1]area 0 发布同BJ-MSR3020-0的互连网段 [SH-MSR2020-0-ospf-1-area-0.0.0.0]net 192.168.0.8 0.0.0.3 [SH-MSR2020-0-ospf-1]area 3 发布上海研究所内网网段地址 [SH-MSR2020-0-ospf-1-area-0.0.0.3]net 192.168.6.0 0.0.0.255 发布loopback地址(作为网管地址) [SH-MSR2020-0-ospf-1-area-0.0.0.3]net 192.168.0.19 0.0.0.0 第20步: 配置访问Internet的路由 [BJ-MSR3020-0- GigabitEthernet]0/1]ip add 202.38.160.2 30 配置一条缺省路由,下一跳指向ISP给的网关地址 [BJ-MSR3020-0] ip route-static 0.0.0.0 0.0.0.0 202.38.160.1 将缺省路由发布到OSPF中 [BJ-MSR3020-0-ospf-1]default-route-advertise 实验任务4: 网络安全部署 第21步: 地址转换及服务器发布 创建ACL 2000 [BJ-MSR3020-0]acl number 2000 match-order auto [BJ-MSR3020-0- acl-basic-2000]rule 0 permit 进入连接Internet的接口 [BJ-MSR3020-0]interface G0/1 使用Easy IP方式使能NAT [BJ-MSR3020-0-GigabitEthernet0/1]nat outbound 2000 发布WWW及OA服务器 [BJ-MSR3020-0-GigabitEthernet0/1]nat server protocol tcp global 202.38.160.2 www inside 192.168.4.131 www [BJ-MSR3020-0- GigabitEthernet0/1]nat server protocol tcp global 202.38.160.2 8080 inside 192.168.4.130 8080 第22步: 攻击防范配置 常见的病毒及攻击端口,如ACL3001 acl number 3001 rule 0 deny tcp source-port eq 3127 rule 1 deny tcp source-port eq 1025 rule 2 deny tcp source-port eq 5554 rule 3 deny tcp source-port eq 9996 rule 4 deny tcp source-port eq 1068 rule 5 deny tcp source-port eq 135 rule 6 deny udp source-port eq 135 rule 7 deny tcp source-port eq 137 rule 8 deny udp source-port eq netbios-ns rule 9 deny tcp source-port eq 138 rule 10 deny udp source-port eq netbios-dgm rule 11 deny tcp source-port eq 139 rule 12 deny udp source-port eq netbios-ssn rule 13 deny tcp source-port eq 593 rule 14 deny tcp source-port eq 4444 rule 15 deny tcp source-port eq 5800 rule 16 deny tcp source-port eq 5900 rule 18 deny tcp source-port eq 8998 rule 19 deny tcp source-port eq 445 rule 20 deny udp source-port eq 445 rule 21 deny udp source-port eq 1434 rule 30 deny tcp destination-port eq 3127 rule 31 deny tcp destination-port eq 1025 rule 32 deny tcp destination-port eq 5554 rule 33 deny tcp destination-port eq 9996 rule 34 deny tcp destination-port eq 1068 rule 35 deny tcp destination-port eq 135 rule 36 deny udp destination-port eq 135 rule 37 deny tcp destination-port eq 137 rule 38 deny udp destination-port eq netbios-ns rule 39 deny tcp destination-port eq 138 rule 40 deny udp destination-port eq netbios-dgm rule 41 deny tcp destination-port eq 139 rule 42 deny udp destination-port eq netbios-ssn rule 43 deny tcp destination-port eq 593 rule 44 deny tcp destination-port eq 4444 rule 45 deny tcp destination-port eq 5800 rule 46 deny tcp destination-port eq 5900 rule 48 deny tcp destination-port eq 8998 rule 49 deny tcp destination-port eq 445 rule 50 deny udp destination-port eq 445 rule 51 deny udp destination-port eq 1434 将ACL 3001应用与连接外网接口的IN方向,阻止外网的入侵 [BJ-MSR3020-0-GigabitEthernet0/1] firewall packet-filter 3001 inbound 实验任务5: 网管部署 打开SNMP代理功能 [BJ-S5626C-0]snmp-agent 指定SNMP的读团体名为CD-public [BJ-S5626C-0]snmp-agent community read CD-public 指定SNMP的读团体名为CD- private [BJ-S5626C-0]snmp-agent community write CD-private 指定SNMP的版本为V2C版本 [BJ-S5626C-0]snmp-agent sys-info version v2c 打开的告警触发功能 [BJ-S5626C-0]snmp-agent trap enable 设置Trap目标主机地址 [BJ-S5626C-0]snmp-agent target-host trap address udp-domain 192.168.4.1 udp-port 5000 params securityname CD-public 实验29 综合组网 实验任务一: 内网部署 实验任务二: 广域网部署 实验任务三: 路由部署 实验任务四: 网络安全部署 实验任务五: 网管部署 |
|
|
来自: 昵称11935121 > 《未命名》
