1.拓扑
地址规划
业务地址规划
| 部门 | 地址空间 | vlan | 网关 |
| 市场部门 | 10.0.100.0/24 | Vlan100 | 10.0.100.254/24 |
| 研发部门 | 10.0.101.0/24 | Vlan101 | 10.0.101.254/24 |
| 财务部门 | 10.0.102.0/24 | Vlan102 | 10.0.102.254/24 |
| 人力部门 | 10.0.103.0/24 | Vlan103 | 10.0.103.254/24 |
| 后勤部门 | 10.0.104.0/24 | Vlan104 | 10.0.104.254/24 |
| 会议室 | 10.0.200.0/24 | VLAN200 | 10.0.200.254/24 |
| 网管网络 | 10.0.99.0/24 | Vlan99 | 10.0.99.254 |
| 服务器 | 192.168.10.0/24 | 192.168.10.254/24 |
配置思路与过程
1、接入层实现
对于接入层根据规划,接入用户的端口加入相关VLAN,上行trunk口允许相关vlan通过。
[Acc-01]vlan batch 100 101 102 103 104 //创建vlan
配置接入用户接口
[Acc-01-Ethernet0/0/3]port link-type access
[Acc-01-Ethernet0/0/3]port default vlan 100
配置上行口
[Acc-01-Ethernet0/0/1]port link-type trunk
[Acc-01-Ethernet0/0/1]port trunk allow-pass vlan 100 101 102 103 104
[Acc-01-Ethernet0/0/1]int e0/0/2
[Acc-01-Ethernet0/0/2]port link-type trunk
[Acc-01-Ethernet0/0/2]port trunk allow-pass vlan 100 101 102 103 104
(其他接入配置相同)
另在接入层交换机、汇聚交换机上配置MSTP多实例生成树,将相关vlan加入不同的实例。
stp region-configuration //进入MSTP模式
region-name huawei //配置域名为huawei
instance 1 vlan 100 101 102 //将vlan100 、101、102 加入实例1中
instance 2 vlan 103 104 200 //将vlan103 、104 、200加入实例2中
active region-configuration //激活配置
2、汇聚层实现
(1)DHCP实现
交换机上部署DHCP
配置DHCP:
dhcp enable //打开DHCP功能
ip pool vlan100 //创建 IP 地址池取名为vlan10
network 10.0.100.0 mask 255.255.255.0 //配置地址池网段
gateway-list 10.0.100.254 //配置该地址池地址的网关地址
dhcp select global //定义dhcp为全局模式
(2)MSTP+VRRP:
stp instance 1 root primary //指定本交换机为主根桥
stp instance 2 root secondary //指定本交换机为备份根桥
(3)VRRP关键代码,其他网关配置同理:
interface Vlanif100 //市场部vlan 网关
ip address 10.0.100.1 255.255.255.0
//创建VRRP备份组100,并配置VRRP备份组的虚拟IP地址10.0.100.254
vrrp vrid 100 virtual-ip 10.0.100.254
//设置主交换机在VRRP备份组100中的优先级为120,高于备份交换机的优先级100
vrrp vrid 100 priority 120
(备份交换机配置相同)
3、网络出口实现
(1)部署NAT:
NAT关键代码如下:
防火墙设备下配置
[Huawei-acl-basic-2000]rule permit source 10.0.0.0 0.0.255.255
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]nat outbound 2000
//创建NAT server 映射 使外网用户访问内部特殊服务器
[Huawei-GigabitEthernet0/0/2]nat server protocol tcp global 202.1.1.202 8080 insi
de 192.168.10.11 www
4、路由协议实现
核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术
//此配置 其他设备 均相同 宣告各自直连网段即可
[Core-A-ospf-1]area 0
[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.255.255
出口路由配置
[Huawei]ip route-static 0.0.0.0 0 202.1.1.2 description Internet
5、配置防火墙安全策略
security-policy
rule name ISP
source-zone trust
destination-zone untrust
action permit
rule name NAT-server
source-zone trust
destination-zone dmz
action permit
6、QOS策略配置
6.1 qos部署需求
企业网内部存在视频(视频会议)和数据业务(研发等总要部门)流量,通过AR1连接到WAN侧网络。
各类报文被打上不同的DSCP优先级、视频会议流和数据流分别为af43(38)、af32(28),在AR1上根据报文的DSCP优先级入队列,由于上行服务商提供的带宽有限,在接口GE0/0/2出方向处可能会发生拥塞。为了减轻网络拥塞造成的影响,保证用户对于高优先级、低延迟业务的服务要求,配置需求如下表所述:
| 业务类型 | DSCP优先级 | 队列号 | 调度方式 | 丢弃方式 |
| 视频会议 | 38 | 4 | WFQ | WRED 阈值下限(%):60 阈值上限(%):80 丢弃概率(%):20 |
| 数据 | 28 | 3 | WFQ | WRED 阈值下限(%):40 阈值上限(%):60 丢弃概率(%):40 |
企业用户通过RA从而访问互联网。现要求对企业内部网段,工作期间访问互联网的总流量上限限制为10Mbit/s。
6.2 qos 部署方案
拥塞管理、拥塞避免配置
对数据进行区分、标记
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 10.0.200.0 0.0.0.255
[Huawei-acl-basic-2000]description video
[Huawei]traffic classifier data
[Huawei-classifier-data]if-match acl 2001
[Huawei]traffic classifier video
[Huawei-classifier-data]if-match acl 2000
[Huawei]traffic behavior video
[Huawei-behavior-video]remark dscp af43
[Huawei]traffic behavior data
[Huawei-behavior-data]remark dscp af32
[Huawei]traffic policy p1
[Huawei-trafficpolicy-video]classifier video behavior video
[Huawei-trafficpolicy-video]classifier data behavior data
[Huawei]traffic-policy p1 global inbound
定义丢弃模板
[Huawei]drop-profile data
[Huawei-drop-profile-data]wred dscp
[Huawei-drop-profile-data]dscp af32 low-limit 40 high-limit 60 discard-percentag
e 40
[Huawei-drop-profile-data]q
[Huawei]drop-profile video
[Huawei-drop-profile-video]wred dscp
[Huawei-drop-profile-video]dscp af43 low-limit 60 high-limit 80 discard-perce
ntage 20
[Huawei]qos queue-profile q
[Huawei-qos-queue-profile-q]schedule wfq 3 to 4
[Huawei-qos-queue-profile-q]queue 3 drop-profile data
[Huawei-qos-queue-profile-q]queue 4 drop-profile video
[Huawei-qos-queue-profile-q]q
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]qos queue-profile q
流量监管配置
[Huawei]time-range work 9:00 to 18:00 working-day
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 10.0.96.0 0.0.15.255 time-range work
[Huawei]traffic classifier data
[Huawei-classifier-data]if-match acl 2000
[Huawei]traffic behavior data
[Huawei-behavior-data]car cir 4096 pir 10240
[Huawei-behavior-data]
[Huawei]traffic policy data
[Huawei-trafficpolicy-data]classifier data behavior data
[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]traffic-policy data outbound
测试
- DHCP测试
各部门均正常获取地址
3、用户互联网访问测试
4.用户内部访问、 访问内部服务器
6、公网用户访问内网服务器
![[nmap] 端口扫描工具的下载及详细安装使用过程(附有下载文件)](https://i-blog.csdnimg.cn/direct/722011a7bcd84360960ad7e42fef03ab.png)
