单核心单出口综合实验案例.docx

单核心单出口综合实验案例.docx

《单核心单出口综合实验案例.docx》由会员分享，可在线阅读，更多相关《单核心单出口综合实验案例.docx（32页珍藏版）》请在冰豆网上搜索。

单核心单出口综合实验案例

场景描述：

某学校的网络拓扑如下图所示。

其中CR是网络的出口设备，61.1.1.254为互联网上的一个服务器。

运营商给学校分配的公网地址为：

61.1.1.2~61.1.1.5。

网络连接与相关地址如拓扑图标示所示（三层设备互联地址自行规划），用户接入VLAN为10和20，服务器VLAN为200，网管主机的VLAN为100，交换机管理VLAN为VLAN1，用户和服务器网关为本网段最后一位。

如果你是售后网络工程师，请按照以下用户需求完成设备调试：

1．按照拓扑做好场景的搭建和线缆连接，所有设备上未接入用户的接口，必须物理关闭；为了减少网络中的广播，trunk链路必须进行VLAN修剪。

2．Vlan10、VLAN20用户通过DHCP服务器CR动态获得IP地址；Server和网管主机的地址为手工指定（service与网关主机不在DHCP地址池的范围，因此不需要排除地址）

3．在CR上配置VLAN10和VLAN20的DHCPServer，只允许VLAN10的用户通过NAT访问外网（能ping通61.1.1.254），为了保证服务器的安全，VLAN10的用户不能访问电子图书服务器，VLAN20可以访问，但不能上网。

（在出口路由CR创建NAT）

4．为保证网管主机的安全，VLAN10和VLAN20的主机不能访问网管主机。

（在核心创建ACL）

5．所有设备开启远程管理，仅允许网络管理员（172.16.100.1/24）可以远程管理设备。

（在所有设备的linevty模式配置ACL）

6．电子图书服务器对外提供WWW服务，映射地址为61.1.1.5。

7．SW26要能防用户私自架设DHCP服务器，所有用户的端口必须能防止环路，能防arp欺骗；

8．所有设备按照拓扑要求命名，设置telnet密码为：

ruijie；特权密码为：

admin；密码不允许明文显示

9．二层设备的管理地址为172.16.1.0/24网段，网关为172.16.1.254/24

实际拓扑端口修正以及设备型号：

第一步：

IP地址规划设计

1.二层设备DS-OA和DS-LS设备配置地址规划：

设备名字

设备型号

VLANIP（不是网段）

VLAN用途

网关：

OA-01

S2628G

Vlan10:

172.16.10.254/24

用户PC接入VLAN10

172.16.10.254

Vlan1:

172.16.1.1/25

二层交换机管理

172.16.1.126

SA-01

S2628G

VLAN20:

172.16.20.254/24

用户PC接入VLAN20

172.16.20.254

Vlan1:

172.16.1.129/25

二层交换机管理

172.16.1.254

OA-01开一个loopback0:

172.16.10.2/24valn10

SA-01开一个loopback0172.16.20.2/24vlan20代替PC主机进行测试

有如下配置网关的想法：

设备管理IP网段：

172.16.1.0/24两台二层因此设计为：

网段：

172.16.1.0/25VLAN1IP：

172.16.1.1/25网关172.16.1.126和网段：

172.16.1.128/25vlan1IP：

172.16.1.129网关：

172.16.1.254

子网掩码：

”255.255.255.128

2.三层汇聚交换机设备OA-01和SA-01具体地址规划：

设备名字

设备型号

VLAN

VLAN用途

OA-01

S3760E-

24

Vlan1:

172.16.1.126/25

汇聚层交换机管理

SA-01

S3760E-

24

Vlan1:

172.16.1.254/25

汇聚层交换机管理

3.核心交换机设备CS和CR具体地址规划

设备名字

设备型号

VLAN

VLAN用途

CS

S3760E-

24

Vlan100:

172.16.100.254/24

核心交换机管理地址以及网关VLAN100

CR

RSR20

Vlan1:

172.16.100.253/24

出口交路由管理

4.设备互联地址段设计

互联IP网段

本地地址（上联）

本地设备

本端端口

对端地址（下联）

对端设备

对端端口

172.16.253.0/30

172.16.253.2/30

DS-OA

F0/24

172.16.253.1/30

CS

F0/1

172.16.253.4/30

172.16.253.6/30

DS-LS

F0/24

172.16.253.5/30

CS

F0/2

172.16.253.252/30

172.16.253.254/30

CS

F0/24

172.16.253.253/30

CR

GE0/0

5.已分配地址总计

总体网段设计：

172.16.0.0/16

网段

所属VLAN

用途

172.16.10.0/24

VLAN10

用户组1

172.16.20.0/24

VLAN20

用户组2

172.16.30.0/24-172.16.90.0/24

VLAN30-90

用户扩展备用

172.16.100.0/24

VLAN100

网管主机

172.16.110.0/24-172.16.120.0/24

Valn110-190

扩展

172.16.200.0/24

VLAN200

电子图书服务器

172.16.254.0/24

LOOPBACK

172.16.253.0/24

设备互联网段

172.16.1.0/24

二层设备管理

第二步：

网络设备功能设计

所有设计设计单核心所学所有知识：

1.接入层设计：

OA-01与SA-01功能设计

（1）VLAN与TRUNK配置：

设备：

OA-01:

Ruijie（config）#hostnameDA-01

DA-01（config）#end

DA-01#configt

DA-01（config）#vlan10

DA-01（config-vlan）#end

DA-01#configt

DA-01（config）#interfacevlan10

DA-01（config-if-VLAN10）#exit

DA-01（config）#interfacefa0/1

DA-01（config-if-FastEthernet0/1）#switchmodeaccess

DA-01（config-if-FastEthernet0/1）#switchportaccessvlan10

DA-01（config-if-FastEthernet0/1）#exit

DA-01（config）#interfacevlan1

DA-01（config-if-VLAN1）#ipadd172.16.1.1255.255.255.128

DA-01（config-if-VLAN1）#end

DA-01（config-if-FastEthernet0/24）#switchmodeaccess

DA-01（config-if-FastEthernet0/24）#switchmodetrunk

二层设备S2628无法设置网关网关：

只有IPdefault-network没有ipdefault-gateway

因此配置：

iproute0.0.0.00.0.0.0172.16.1.126作为网关的代替配置

配好网关后二层交换机可以ping通跨网段172.16.253.2但是同样跨网段却ping不通172.16.100.1网段

Ip

设备：

LS-01:

Ruijie（config）#hostnameLS-01

LS-01（config）#vlan20

LS-01（config-vlan）#exit

LS-01（config）#

LS-01（config）#interfacevlan1

LS-01（config-if-VLAN1）#ipadd192.168.1.129255.255.255.128（发现的第一次错误）

更改：

LS-01（config-if-VLAN1）#ipadd172.16.1.129255.255.255.128

LS-01（config-if-VLAN1）#end

LS-01（config-if-VLAN1）#exit

LS-01（config）#interfacefa0/1

LS-01（config-if-FastEthernet0/1）#switchmodeaccess

LS-01（config-if-FastEthernet0/1）#switchaccessvlan20

LS-01（config-if-FastEthernet0/1）#exit

LS-01（config）#

LS-01（config）#interfacefa0/24

LS-01（config-if-FastEthernet0/24）#switchmodeaccess

LS-01（config-if-FastEthernet0/24）#switchmodetrunk

LS-01（config）#

LS-01（config）#iproute0.0.0.00.0.0.0172.16.1.254

LS-01（config）#

（2）关闭闲置的物理端口：

设备：

OA-01:

OA-01（config）#

OA-01（config）#interfacerangefa0/2-23

OA-01（config-if-range）#shutdown

OA-01（config-if-range）#

OA-01（config-if-range）#exit

OA-01（config）#

OA-01（config）#interfacerangegi0/25-26

OA-01（config-if-range）#shutsown

设备：

LS-01:

LS-01（config）#

LS-01（config）#interfacerangefa0/2-23

LS-01（config-if-range）#shutdown

LS-01（config-if-range）#

LS-01（config-if-range）#exit

LS-01（config）#

LS-01（config）#interfacerangegi0/25-26

LS-01（config-if-range）#shutsown

（3）trunk口VLAN修剪：

Switch（config）#interfacefastethernet0/2

Switch（config-if）#switchporttrunkallowedvlanremove20

LS-01（config-if-FastEthernet0/24）#switchporttrunkallowedvlan?

addAddVLANstothecurrentlist

allAllVLANs（误删恢复）

exceptAllVLANsexceptthefollowing

removeRemoveVLANsfromthecurrentlist

OA-01（config-if-FastEthernet0/24）#switchporttrunkallowedvlanremove2-9

OA-01（config-if-FastEthernet0/24）#switchporttrunkallowedvlanremove11-4094

OA-01（config-if-FastEthernet0/24）#end

OA-01#*Oct1202:

14:

12:

%SYS-5-CONFIG_I:

Configuredfromconsolebyconsole

LS-01（config-if-FastEthernet0/24）#switchporttrunkallowedvlanremove2-19

LS-01（config-if-FastEthernet0/24）#switchporttrunkallowedvlanremove21-4094

LS-01（config-if-FastEthernet0/24）#end

LS-01#*Oct1202:

14:

12:

%SYS-5-CONFIG_I:

Configuredfromconsolebyconsole

（4）防止私自设立DHCP服务器：

设备：

OA-01:

DA-01（config）#

DA-01（config）#

DA-01（config）#ipdhcpsnooping

DA-01（config）#interfacefa0/24

DA-01（config-if-FastEthernet0/24）#ipdhcpsnoopingtrust

DA-01（config-if-FastEthernet0/24）#

设备：

LS-01:

LS-01#configt

LS-01（config）#ipdhcpsnooping

LS-01（config）#interfacefa0/24

LS-01（config-if-FastEthernet0/24）#ipdhcpsnoopingtrust

LS-01（config-if-FastEthernet0/24）#

LS-01（config-if-FastEthernet0/24）#end

（5）防止出现环路：

设备：

OA-01:

DA-01>en

DA-01#

DA-01#

DA-01#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

DA-01（config）#

DA-01（config）#rldpenable

DA-01（config）#intrangefa0/1-24

DA-01（config-if-range）#rldpportloop-detectshutdown-port

DA-01（config-if-range）#exit

自动恢复时间为300S

DA-01（config）#errdisablerecoveryinterval300

DA-01（config）#exit

DA-01#*Oct1201:

51:

17:

%SYS-5-CONFIG_I:

Configu

环路测试：

设备：

LS-01:

LS-01（config）#

LS-01（config）#rldpenable

LS-01（config）#intrangefa0/1-24

LS-01（config-if-range）#rldpportloop-detectshutdown-port

LS-01（config-if-range）#exit

LS-01（config）#

LS-01（config）#errdisablerecoveryinterval300

LS-01（config）#exit

LS-01#

LS-01#

环路测试：

（6）防止ARP欺骗：

因为之前已经开启了DHCPsnooping,并且地址是动态获取的，因此：

采用：

DHCPSnooping+IPSourceguard+ARP-check方案

之前已经开启了DHCPsnooping

开启IPSEG功能

LS-01（config）#interfacefa0/1

LS-01（config-if-FastEthernet0/1）#ipverifysourceport-security

LS-01（config-if-FastEthernet0/1）#arp-check

LS-01（config-if-FastEthernet0/1）#exit

LS-01（config）#

验证：

2.汇聚层设计：

DS-OA与DS-LS功能设计

（1）VLAN与TRUNK配置：

设备DS-OA：

Ruijie（config）#hostnameDS-OA

DS-OA（config）#

DS-OA（config）#end

DS-OA#configt

DS-OA（config）#vlan10

DS-OA（config-vlan）#exit

DS-OA（config）#interfacevlan10

DS-OA（config-if-VLAN10）#ipadd172.16.10.254255.255.255.0

DS-OA（config-if-VLAN10）#exit

DS-OA（config）#interfacevlan1

DS-OA（config-if-VLAN1）#ipadd172.16.1.126255.255.255.128

DS-OA（config-if-VLAN1）#end

DS-OA#*Oct1115:

04:

10:

%SYS-5-CONFIG_I:

Configuredfromconsolebyconsole

DS-OA（config）#

DS-OA（config）#interfacefa0/1

DS-OA（config-if-FastEthernet0/1）#switchmodeaccess

DS-OA（config-if-FastEthernet0/1）#switchmodetrunk

DS-OA#

DS-OA#wr

设备DS-LS：

Ruijie（config）#

Ruijie（config）#hostnameDS-LS

DS-LS（config）#vlan20

DS-LS（config-vlan）#exit

DS-LS（config）#

DS-LS（config）#interfacevlan20

DS-LS（config-if-VLAN20）#ipadd172.16.20.254255.255.255.0

DS-LS（config-if-VLAN20）#exit

DS-LS（config）#interfacevlan1

DS-LS（config-if-VLAN1）#ipadd172.16.1.254255.255.255.128

DS-LS（config-if-VLAN1）#exit

DS-LS（config）#

DS-LS（config）#interfacefa0/1

DS-LS（config-if-FastEthernet0/1）#switchmodeaccess

DS-LS（config-if-FastEthernet0/1）#switchmodetrunk

DS-LS（config-if-FastEthernet0/1）#

（2）关闭闲置的物理端口：

设备DS-OA：

DS-OA（config）#

DS-OA（config）#interfacerangefa0/2-23

DS-OA（config-if-range）#shutdown

DS-OA（config）#

DS-OA（config）#interfacerangegi0/25-26

DS-OA（config-if-range）#shutdown

设备DS-LS：

DS-LS（config）#

DS-LS（config）#interfacerangefa0/2-23

DS-LS（config-if-range）#shutdown

DS-LS（config）#

DS-LS（config）#interfacerangegi0/25-26

DS-LS（config-if-range）#shutdown

（3）trunk口vlan修剪：

DS-OA（config-if-FastEthernet0/1）#switchporttrunkallowedvlanremove2-9

DS-OA（config-if-FastEthernet0/1）#$kallowedvlanremove11-4094

DS-LS（config-if-FastEthernet0/1）#switchporttrunkallowedvlanremove2-19

DS-LS（config-if-FastEthernet0/1）#$kallowedvlanremove21-4094

（4）汇聚层与核心层的设备互联：

设备DS-OA：

DS-OA（config）#interfacefa0/24

DS-OA（config-if-FastEthernet0/24）#noswitchport

DS-OA（config-if-FastEthernet0/24）#ipadd172.16.253.2255.255.255.252

DS-OA（config-if-FastEthernet0/24）#exit

DS-OA（config）#

连通性测试：

利用用户主机：

172.16.10.1ping汇聚层DS-OA的出口地址：

172.16.253.2/30

设备DS-LS：

DS-LS#configt

DS-LS（config）#interfacefa0/24

DS-LS（config-if-FastEthernet0/24）#noswitchport

DS-LS（config-if-FastEthernet0/24）#ipadd172.16.253.6255.255.255.252

DS-LS（config-if-FastEthernet0/24）#exit

DS-LS（config）#

DS-LS（config）#

连通性测试：

利用用户主机：

172.16.20.1ping汇聚层DS-LS的出口地址：

172.16.253.6/30

（5）汇聚层静态路由表：

设备DS-OA：

出口默认路由一条：

DS-OA（config）#

DS-OA（config）#iproute0.0.0.00.0.0.0172.16.253.1

DS-OA（config）#end

在核心CR指定回指路由

设备DS-LS：

DS-LS（config）#

DS-LS（config）#iproute0.0.0.00.0.0.0172.16.253.5

DS-LS（config）#end

（6）汇聚层DHCP中继：

设备DS-OA：

DS-OA#

DS-OA#configt

DS-OA（config）#servicedhcp

DS-OA（config）#iphelper-ad