本博客是基于模拟器ensp的校园网组网方案,有总校区和分校区,主要用了vlan划分、dhcp、nat、ospf、acl、bgp等技术。首先说一下本博客的局限性:
- 总校区和分校区之间只是使用的传统的bgp建立连接,这样可以在运营商上看到内网的明细,存在一定的安全风险
- 两个校区规模不大,没有使用复杂的技术,总公司只是使用单核心汇聚交换机的组网方案,分公司只做了模拟效果,推荐自行发挥,增减规模,例如添加二层交换机多分几个部门
- 总感觉有考虑不周的地方,只适合学习课程要求不高的系统集成、路由与交换、计算机网络等课程的同学参考
目录
一 实验分析
二 实验拓扑
三 实验配置
3.1 vlan划分
3.2 svi口配置
3.3 dhcp配置
3.4 ospf内网互通
3.5 nat配置
3.6 bgp配置
3.7 acl
一 实验分析
实验需求和所用到的需求如下:
- vlan划分
为总校区行政楼划分vlan10 网段为192.168.10.0/24,宿舍楼划分vlan 20,网段为192.168.20.0/24 ,教学楼为vlan30,网段192.168.30.0/24 实验楼 vlan40 ,网段192.168.40.0/24,分校区的教学楼vlan 100 ,网段是192.168.100.0/24
合理利用trunk和acces技术,明白打tag和去tag的原理
- svi口
三层交换机配置svi口,作为pc的网关,并设置vlanif800上连公司出口路由器
- dhcp自动分配ip
汇聚交换机开启dhcp功能,建立地址池,全局配置dhcp功能
- nat
nat使用napt技术,将内网地址转换为外网地址+端口的方式,并将内网的web服务器映射出去,可供外网访问校园web服务器
- ospf
内网使用ospf协议完成互通,运营商使用ospf模拟互通
- bgp
总校区和运营商,运营商和分校区之间建立bgo邻居,两校区之间的流量通过bgp进行传输
- acl访问控制列表
只允许行政楼才能访问财政服务器
ip地址规划:
R1 | G4/0/0 | 100.1.1.1/24 |
G0/0/1 | 192.168.1.1/24 | |
G0/0/2 | 13.1.1.1/24 | |
G0/0/0 | 12.1.1.1/24 | |
R7 | G0/0/0 | 100.1.1.12/24 |
财政服务器 | 192.168.1.10/24 | |
web服务器 | 192.168.1.20/24 | |
LSW2 | vlanif10 | 192.168.10.254/24 |
vlanif20 | 192.168.20.254/24 | |
vlanif30 | 192.168.30.254/24 | |
vlanif40 | 192.168.40.254/24 | |
vlanif800 | 12.1.1.2/24 | |
R3 | G0/0/0 | 13.1.1.3/24 |
G0/0/1 | 34.1.1.3./24 | |
LOOP | 1.1.1.1/32 | |
R4 | G0/0/0 | 34.1.1.4/24 |
G0/0/1 | 46.1.1.4/24 | |
LOOP | 4.4.4.4/24 | |
R6 | G0/0/0 | 46.1.1.6/24 |
G0/0/1 | 192.168.100.1/24 |
注意,一般路由器只允许连三根线,如过遇到如下图r1一样超过三根线,会报错,此时解决方法如下:
二 实验拓扑
三 实验配置
3.1 vlan划分
lsw2:
vlan batch 10 20 30 40 800
int e0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int e0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
lsw3:
vlan batch 10 20 30 40
int e0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int e0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int e0/0/4
port link-type access
port default vlan 10
int e0/0/5
port link-type access
port default vlan 20
lsw4:
vlan batch 10 20 30 40
int e0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int e0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int e0/0/4
port link-type access
port default vlan 30
int e0/0/5
port link-type access
port default vlan 40
3.2 svi口配置
lsw2:
int vlan 10
ip add 192.168.10.254 24
int vlan 20
ip add 192.168.20.254 24
int vlan 30
ip add 192.168.30.254 24
int vlan 40
ip add 192.168.40.254 24
int vlan 800
ip add 12.1.1.2 24
int g0/0/3
port link-type access
port default vlan 800
3.3 dhcp配置
lsw2:
dhcp enable
ip pool vlan10
net 192.168.10.0 mask 24
gateway-list 192.168.10.254
dns-list 8.8.8.8
int vlan10
dhcp select global
ip pool vlan20
net 192.168.20.0 mask 24
gateway-list 192.168.20.254
dns-list 8.8.8.8
int vlan20
dhcp select global
ip pool vlan30
net 192.168.30.0 mask 24
gateway-list 192.168.30.254
dns-list 8.8.8.8
int vlan30
dhcp select global
ip pool vlan40
net 192.168.40.0 mask 24
gateway-list 192.168.40.254
dns-list 8.8.8.8
int vlan40
dhcp select global
此时验一下:
pc设置成dhcp后,输入ipconfig后显示ip,说明到此配置成功
3.4 ospf内网互通
lsw2;
ospf 1
area 0.0.0.0
network 192.168.0.0 0.0.255.255
network 12.1.1.2 0.0.0.0
r1:
ospf 1
area 0.0.0.0
network 12.1.1.1 0.0.0.0
network 192.168.1.0 0.0.0.255
r3:
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 34.1.1.3 0.0.0.0
r4:
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 34.1.1.4 0.0.0.0
此时验证一下:
用下面的pc去ping r1的g0/0/1和g0/0/0口,在r3上ping4.4.4.4.4,要是能通,就没问题
3.5 nat配置
AR1:
acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
nat address-group 1 100.1.1.5 100.1.1.5
interface GigabitEthernet4/0/0
ip address 100.1.1.1 255.255.255.0
nat server protocol tcp global 100.1.1.6 www inside 192.168.1.20 www
nat outbound 2000 address-group 1
lsw2:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.1
这里验证一下:
用下面路由器ping一下外网接口的ip地址,要是能通,就没问题
3.6 bgp配置
R1:
bgp 100
peer 13.1.1.3 as-number 200
#
ipv4-family unicast
undo synchronization
network 192.168.1.0
network 192.168.10.0
network 192.168.20.0
network 192.168.30.0
network 192.168.40.0
peer 13.1.1.3 enable
R3:
bgp 200
peer 4.4.4.4 as-number 200
peer 4.4.4.4 connect-interface LoopBack0
peer 13.1.1.1 as-number 100
#
ipv4-family unicast
undo synchronization
peer 4.4.4.4 enable
peer 4.4.4.4 next-hop-local
peer 13.1.1.1 enable
R4:
bgp 200
peer 1.1.1.1 as-number 200
peer 1.1.1.1 connect-interface LoopBack0
peer 46.1.1.6 as-number 300
#
ipv4-family unicast
undo synchronization
peer 1.1.1.1 enable
peer 1.1.1.1 next-hop-local
peer 46.1.1.6 enable
R6:
bgp 300
peer 46.1.1.4 as-number 200
#
ipv4-family unicast
undo synchronization
network 192.168.100.0
peer 46.1.1.4 enable
此时验证一下:
在r1上dis ip route 查看到192.168.100.0,并且协议是ebgp
在r6上dis ip rou 发现有总校区的内网网段,就没问题了
然后做引入
r1:
ospf 1
import-route bgp
此时总校区的pc已经能和分校区的pc通信了,ping通了就没问题了
3.7 acl
R1:
acl number 3001
rule 5 permit icmp source 192.168.10.0 0.0.0.255 destination 192.168.1.10 0
rule 10 deny icmp
interface GigabitEthernet0/0/1
traffic-filter outbound acl 3001
此时只有192.168.10.0网段的才能ping192.168.1.10 其余不能
实验完成