本博客是基于模拟器ensp的校园网组网方案，有总校区和分校区，主要用了vlan划分、dhcp、nat、ospf、acl、bgp等技术。首先说一下本博客的局限性：

• 总校区和分校区之间只是使用的传统的bgp建立连接，这样可以在运营商上看到内网的明细，存在一定的安全风险
• 两个校区规模不大，没有使用复杂的技术，总公司只是使用单核心汇聚交换机的组网方案，分公司只做了模拟效果，推荐自行发挥，增减规模，例如添加二层交换机多分几个部门
• 总感觉有考虑不周的地方，只适合学习课程要求不高的系统集成、路由与交换、计算机网络等课程的同学参考

目录

一 实验分析

二 实验拓扑

三 实验配置

3.1 vlan划分

3.2 svi口配置

3.3 dhcp配置

3.4 ospf内网互通

3.5 nat配置

3.6 bgp配置

 3.7 acl

---

一 实验分析

实验需求和所用到的需求如下：

• vlan划分

       为总校区行政楼划分vlan10 网段为192.168.10.0/24，宿舍楼划分vlan 20，网段为192.168.20.0/24 ，教学楼为vlan30，网段192.168.30.0/24 实验楼 vlan40 ，网段192.168.40.0/24，分校区的教学楼vlan 100 ，网段是192.168.100.0/24

合理利用trunk和acces技术，明白打tag和去tag的原理

• svi口

三层交换机配置svi口，作为pc的网关，并设置vlanif800上连公司出口路由器

• dhcp自动分配ip

汇聚交换机开启dhcp功能，建立地址池，全局配置dhcp功能

• nat

nat使用napt技术，将内网地址转换为外网地址+端口的方式，并将内网的web服务器映射出去，可供外网访问校园web服务器

• ospf

内网使用ospf协议完成互通，运营商使用ospf模拟互通

• bgp

总校区和运营商，运营商和分校区之间建立bgo邻居，两校区之间的流量通过bgp进行传输

• acl访问控制列表

只允许行政楼才能访问财政服务器

ip地址规划：

R1	G4/0/0	100.1.1.1/24
	G0/0/1	192.168.1.1/24
	G0/0/2	13.1.1.1/24
	G0/0/0	12.1.1.1/24
R7	G0/0/0	100.1.1.12/24
财政服务器		192.168.1.10/24
web服务器		192.168.1.20/24
LSW2	vlanif10	192.168.10.254/24
	vlanif20	192.168.20.254/24
	vlanif30	192.168.30.254/24
	vlanif40	192.168.40.254/24
	vlanif800	12.1.1.2/24
R3	G0/0/0	13.1.1.3/24
	G0/0/1	34.1.1.3./24
	LOOP	1.1.1.1/32
R4	G0/0/0	34.1.1.4/24
	G0/0/1	46.1.1.4/24
	LOOP	3.3.3.3/24
R6	G0/0/0	46.1.1.6/24
	G0/0/1	192.168.100.1/24

注意，一般路由器只允许连三根线，如过遇到如下图r1一样超过三根线，会报错，此时解决方法如下：

二 实验拓扑

三 实验配置

3.1 vlan划分

lsw2：

vlan batch 10 20 30 40 800
int e0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 
int e0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 

lsw3：

vlan batch 10 20 30 40
int e0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 
int e0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 
int e0/0/4
port link-type access
port default vlan 10
int e0/0/5
port link-type access
port default vlan 20

lsw4：

vlan batch 10 20 30 40
int e0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 
int e0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 
int e0/0/4
port link-type access
port default vlan 30
int e0/0/5
port link-type access
port default vlan 40

3.2 svi口配置

lsw2：

int vlan 10 
ip add 192.168.10.254 24
int vlan 20 
ip add 192.168.20.254 24
int vlan 30 
ip add 192.168.30.254 24
int vlan 40 
ip add 192.168.40.254 24
int vlan 800
ip add 12.1.1.1 24
int g0/0/3
port link-type access
port default vlan 800

3.3 dhcp配置

dhcp enable
ip pool vlan10
net 192.168.10.0 mask 24
gateway-list 192.168.10.254
dns-list 8.8.8.8
int vlan10
dhcp select global
ip pool vlan20
net 192.168.20.0 mask 24
gateway-list 192.168.20.254
dns-list 8.8.8.8
int vlan20
dhcp select global
ip pool vlan30
net 192.168.30.0 mask 24
gateway-list 192.168.30.254
dns-list 8.8.8.8
int vlan30
dhcp select global
ip pool vlan40
net 192.168.40.0 mask 24
gateway-list 192.168.40.254
dns-list 8.8.8.8
int vlan40
dhcp select global

此时验一下：

pc设置成dhcp后，输入ipconfig后显示ip，说明到此配置成功

3.4 ospf内网互通

lsw2;

ospf 1
area 0.0.0.0
  network 192.168.0.0 0.0.255.255
  network 12.1.1.2 0.0.0.0

r1:

ospf 1 
area 0.0.0.0 
  network 12.1.1.1 0.0.0.0 
  network 192.168.1.0 0.0.0.255

 r3:

ospf 1
 area 0.0.0.0 
  network 1.1.1.1 0.0.0.0 
  network 34.1.1.3 0.0.0.0

r4:

ospf 1 
 area 0.0.0.0 
  network 4.4.4.4 0.0.0.0 
  network 34.1.1.4 0.0.0.0 

此时验证一下：

用下面的pc去ping r1的g0/0/1和g0/0/0口，在r3上ping4.4.4.4.4，要是能通，就没问题

 

3.5 nat配置

AR1:

acl number 2000  
 rule 5 permit source 192.168.0.0 0.0.255.255 
nat address-group 1 100.1.1.5 100.1.1.5
interface GigabitEthernet4/0/0
 ip address 100.1.1.1 255.255.255.0 
 nat server protocol tcp global 100.1.1.6 www inside 192.168.1.20 www
 nat outbound 2000 address-group 1 

lsw2：

ip route-static 0.0.0.0 0.0.0.0 12.1.1.1

这里验证一下：

用下面路由器ping一下外网接口的ip地址，要是能通，就没问题

3.6 bgp配置

 R1:

bgp 100
 peer 13.1.1.3 as-number 200 
 #
 ipv4-family unicast
  undo synchronization
  network 192.168.1.0 
  network 192.168.10.0 
  network 192.168.20.0 
  network 192.168.30.0 
  network 192.168.40.0 
  peer 13.1.1.3 enable

R3:

bgp 200
 peer 4.4.4.4 as-number 200 
 peer 4.4.4.4 connect-interface LoopBack0
 peer 13.1.1.1 as-number 100 
 #
 ipv4-family unicast
  undo synchronization
  peer 4.4.4.4 enable
  peer 4.4.4.4 next-hop-local 
  peer 13.1.1.1 enable

R4:

bgp 200
 peer 1.1.1.1 as-number 200 
 peer 1.1.1.1 connect-interface LoopBack0
 peer 46.1.1.6 as-number 300 
 #
 ipv4-family unicast
  undo synchronization
  peer 1.1.1.1 enable
  peer 1.1.1.1 next-hop-local 
  peer 46.1.1.6 enable

R6:

bgp 300
 peer 46.1.1.4 as-number 200 
 #
 ipv4-family unicast
  undo synchronization
  network 192.168.100.0 
  peer 46.1.1.4 enable

此时验证一下：

在r1上dis ip route 查看到192.168.100.0，并且协议是ebgp

 在r6上dis  ip rou 发现有总校区的内网网段，就没问题了

然后做引入

r1：

ospf 1 
 import-route bgp

此时总校区的pc已经能和分校区的pc通信了，ping通了就没问题了

 3.7 acl

R1：

acl number 3001  
 rule 5 permit icmp source 192.168.10.0 0.0.0.255 destination 192.168.1.10 0 
 rule 10 deny icmp 
interface GigabitEthernet0/0/1
 traffic-filter outbound acl 3001

此时只有192.168.10.0网段的才能ping192.168.1.10 其余不能

 实验完成