网络工程怎么做
一、网络设备交换机的应用:
要求:在此接入交换机S3700,上划分两个vlan,vlan10和vlan20分别有两个PC,按拓扑图完成要求:
划分vlan添加端口
sys
[Huawei]sys S1
[S1]undo in e
[S1]undo t m
[S1]vlan b 10 20
[S1]interface e0/0/1
[S1-Ethernet0/0/1]p l a
[S1-Ethernet0/0/1]p d v 10
[S1-Ethernet0/0/1]int e0/0/2
[S1-Ethernet0/0/2]p l a
[S1-Ethernet0/0/2]p d v 10
[S1-Ethernet0/0/2]
[S1-Ethernet0/0/2]int e0/0/3
[S1-Ethernet0/0/3]p l a
[S1-Ethernet0/0/3]p d v 20
[S1-Ethernet0/0/3]int e0/0/4
[S1-Ethernet0/0/4]p l a
[S1-Ethernet0/0/4]p d v 20
[S1-Ethernet0/0/4]
测试网络设备终端的联通性-----相同vlan可以直接通信,不同vlan之间不能直接通信。
PC1和PC2可以通信
vlan10和vlan20中的终端之间不能够直接通信
Q1:问题:如何让不同vlan之间的设备可以通信?
公司网络中增加一台核心交换机S5700(三层交换机—作为该网络中的核心交换机)
启用交换机S5700上的三层功能,实现不同vlan间的通信起到网关作用。
sys
[Huawei]sys S-CORE
[S-CORE]undo in e
[S-CORE]undo t m
[S-CORE]vlan b 10 20
[S-CORE]int vlan 10
[S-CORE-Vlanif10]ip add 192.168.10.254 24
[S-CORE-Vlanif10]int vlan 20
[S-CORE-Vlanif20]ip add 192.168.20.254 24
[S-CORE-Vlanif20]
将核心交换机S5700和接入交换机S3700通过trunk连接
[S-CORE]int g0/0/1
[S-CORE-GigabitEthernet0/0/1]p l t
[S-CORE-GigabitEthernet0/0/1]p t a v a
[S-CORE-GigabitEthernet0/0/1]
[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]p l t
[S1-GigabitEthernet0/0/1]p t a v a
[S1-GigabitEthernet0/0/1]
测试不同vlan之间是否可以通信
小结:用了核心交换机上的三层功能实现了不同vlan之间的通信问题。
Q2:问题:公司规模要继续扩大,又需要增加一个边界路由器准备和外网连接
任务,如何让PC1能够和R1通信?
给路由器AR1端口配置IP地址
在核心交换机S-CORE上配置IP地址172.16.1.2/24,没法直接配就给vlan配
先创建一个vlan100,再给vlan100配置IP地址,把G0/0/2口加入vlan100即可。
sys
Enter system view, return user view with Ctrl+Z.
[S-CORE]vlan 100
[S-CORE-vlan100]q
[S-CORE]int vlan 100
[S-CORE-Vlanif100]ip add 172.16.1.2 24
[S-CORE-Vlanif100]q
[S-CORE]int g0/0/2
[S-CORE-GigabitEthernet0/0/2]p l a
[S-CORE-GigabitEthernet0/0/2]p d v 100
[S-CORE-GigabitEthernet0/0/2]
路由器AR1配完端口地址后仍然不能够通信原因是路由表中没有可达的条目,不是直连路由,所以需要配路由(配置了一条静态路由,下一跳就是核心交换机与AR1的接口G0/0/2地址172.16.1.2)
[AR1]ip route-static 192.168.10.0 24 172.16.1.2 可以直达192.168.10.X网段
[AR1]ip route-static 192.168.20.0 24 172.16.1.2 可以直达vlan20所在的192.168.20.X网段
Q3问题:企业内部的PC需要访问外网的服务,例如和服务器5.5.5.5通信。
方法:先给两个路由器分别配置端口IP
内网要到外网怎么实现?数据包怎么走?
在边界路由器上配置一条默认路由指向ISP运营商
[AR1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
有了路由条目,这个时候PC1还是没法和服务器通信,原因是内部私有地址没法直接上公网,需要做NAT转换(内网—转外网;外网数据转内网才能完成通信)
要想实现这个目标需要在边界路由器AR1做两件事:
第一件事情:哪些数据包可以出去?
需要做ACL访问控制列表
第二件事情:这些数据包从哪里出去且怎么出去?
需要做NAT地址转换且在边界路由器的公网地址(出口)
步骤:
完成第一件事情
[AR1]acl 2000 创建标准访问控制列表
[AR1-acl-basic-2000]rule permit source any 创建规则允许内网所有PC都可以访问外网。
完成第二件事情,
首先查看那个接口是公网接口,本案例中是g0/0/1为公网出口
[AR1-GigabitEthernet0/0/1]nat outbound 2000 将ACL2000的规则应用于边界路由器的公网出口上。
在核心交换机上也需要做一条默认路由
[S-CORE]ip route-static 0.0.0.0 0.0.0.0 172.16.1.1
测试后,内网这时候可以访问外网了。
通过抓包查看NAT地址转换的情况