1000人 规模园区网设计
1000人 规模园区网设计
- VLAN
- 网关 SVI
- DHCP
- OSPF
- NAT
- ACL
- SNMP运维监控
- 云桥接
- 完整配置文件
实验要求:
① 信息中心配置Eth-trunk实现链路冗余
② 企业内网划分多个vlan ,减小广播域大小,提高网络稳定性
③ 核心交换机作为用户网关实现vlan间路由
④ 所有用户均为自动获取ip地址
⑤ 出口配置NAT实现地址转换
⑥ 在企业出口将内网服务器的80端口映射出去,允许外网用户访问
⑦ 所有设备都可以被telnet远程管理
⑧ 所有校区之间可以互访且出口实现冗余 —— 这个我没做,就出口加个联通
⑨ 企业财务服务器,只允许(vlan 40)的员工访问
⑩ 禁止vlan 20 员工访问外网且关键设备做好实时监控
- 出口路由器 其实还要接一个防火墙才比较好
通过防火墙 做 各种需求策略, 识别应用 去分配流量
VLAN
①VLAN trunk
信息中心配置Eth-trunk实现链路冗余,划分VLAN
内网划分多个vlan ,减小广播域大小,提高网络稳定性
vlan 900作为管理vlan 后期配置telnet的时候会用到
接入sw8
[sw8]sysname JR_sw8
[JR_sw8]int Eth-Trunk 1
[JR_sw8-Eth-Trunk1]mode lacp-static //静态LACP
[JR_sw8-Eth-Trunk1]trunkport GigabitEthernet 0/0/1
[JR_sw8-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[JR_sw8-Eth-Trunk1]port link-type trunk
[JR_sw8-Eth-Trunk1]port trunk allow-pass vlan 200
[JR_sw8]vlan 200
[JR_sw8-vlan200]q
[JR_sw8]vlan 900
[JR_sw8-vlan900]q[JR_sw8]port-g g Ethernet0/0/2 Ethernet0/0/3
[JR_sw8-port-group]port link-type access
[JR_sw8-port-group]port defa vlan 200❤核心sw1——1
[Huawei]sys HX_sw1
[HX_sw1]un in en
[HX_sw1]vlan batch 10 20 30 40 200 800 900[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]mode lacp-static
[HX_sw1-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[HX_sw1-Eth-Trunk1]trunkport GigabitEthernet 0/0/5
[HX_sw1-Eth-Trunk1]port link-type trunk
[HX_sw1-Eth-Trunk1]port trunk allow-pass vlan 200 900
[HX_sw1-Eth-Trunk1]q接入sw5
[Huawei]sys JR_sw5
[JR_sw5]undo info-center enable
[JR_sw5]vlan batch 10 900
[JR_sw5]port-g g e0/0/2 e0/0/3
[JR_sw5-port-group]port link-type access
[JR_sw5-port-group]port de vlan 10
[JR_sw5-port-group]q
[JR_sw5]int g0/0/1
[JR_sw5-GigabitEthernet0/0/1]port link-type trunk
[JR_sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 900接入sw6
[Huawei]sys JR_sw6
[JR_sw6]vlan batch 20 900
[JR_sw6]int e0/0/1
[JR_sw6-Ethernet0/0/1]port link-type access
[JR_sw6-Ethernet0/0/1]port de vlan 20
[JR_sw6-Ethernet0/0/1]int g0/0/1
[JR_sw6-GigabitEthernet0/0/1]port link-type trunk
[JR_sw6-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 900汇聚sw2
[HJ_sw2]vlan batch 10 20 900
Info: This operation may take a few seconds. Please wait for a moment...done.
[HJ_sw2]int g0/0/2
[HJ_sw2-GigabitEthernet0/0/2]port link-ty trunk
[HJ_sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 900
[HJ_sw2-GigabitEthernet0/0/2]int g0/0/3
[HJ_sw2-GigabitEthernet0/0/3]port link-ty trunk
[HJ_sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 20 900[HJ_sw2]int g0/0/1 //上行需要都通过的VLAN
[HJ_sw2-GigabitEthernet0/0/1]port link-type trunk
[HJ_sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900接入sw7
[JR_sw7]vlan batch 30 900
[JR_sw7]port-g g e0/0/1 to e0/0/22
[JR_sw7-port-group]port link-ty acc
[JR_sw7-port-group]port de vlan 30
[JR_sw7]int g0/0/1
[JR_sw7-GigabitEthernet0/0/1]port link-type trunk
[JR_sw7-GigabitEthernet0/0/1]port trunk allow-pass vlan 30 900
[JR_sw7-GigabitEthernet0/0/1]汇聚sw3
[HJ_sw3]vlan batch 30 900
[HJ_sw3]int g0/0/2
[HJ_sw3-GigabitEthernet0/0/2]port link-type trunk
[HJ_sw3-GigabitEthernet0/0/2]port trunk allow-pass vlan 30 900
[HJ_sw3-GigabitEthernet0/0/2]int g0/0/1
[HJ_sw3-GigabitEthernet0/0/1]port link-type trunk
[HJ_sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 30 900
[HJ_sw3-GigabitEthernet0/0/1]q接入sw9
[JR_sw9]vlan batch 40 900
[JR_sw9]int e0/0/2
[JR_sw9-Ethernet0/0/2]port link-type access
[JR_sw9-Ethernet0/0/2]port de vlan 40
[JR_sw9-Ethernet0/0/2]int g0/0/1
[JR_sw9-GigabitEthernet0/0/1]port link-type trunk
[JR_sw9-GigabitEthernet0/0/1]port trunk allow-pass vlan 40 900
[JR_sw9-GigabitEthernet0/0/1]q汇聚sw4
[HJ_sw4]vlan batch 40 900
[HJ_sw4]port-g g gi 0/0/1 gi 0/0/2
[HJ_sw4-port-group]port link-type trunk
[HJ_sw4-port-group]port trunk allow-pass vlan 40 900核心交换机SW1:
核心sw1——2,上面只配置了核心sw1——1
①vlan
[HX_sw1]int g0/0/1
[HX_sw1-GigabitEthernet0/0/1]port link-type trunk
[HX_sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900[HX_sw1]int g0/0/3
[HX_sw1-GigabitEthernet0/0/3]port link-type trunk
[HX_sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan 30 900[HX_sw1]int g0/0/4
[HX_sw1-GigabitEthernet0/0/4]port link-type trunk
[HX_sw1-GigabitEthernet0/0/4]port trunk allow-pass vlan 40 900[HX_sw1]int g0/0/24
[HX_sw1-GigabitEthernet0/0/24]port link-type access
[HX_sw1-GigabitEthernet0/0/24]port de vlan 800网关 SVI
②网关 SVI switch virtual interface——Vlanif
SVI是三层接口
核心交换机 交换机接口上配置网关,来实现VLAN的路由
vlanif10 对应的就是 vlan10
核心sw1:
[HX_sw1]int Vlanif 10
[HX_sw1-Vlanif10]ip add 192.168.10.1 24
[HX_sw1-Vlanif10]int vlanif 20
[HX_sw1-Vlanif20]ip add 192.168.20.1 24
[HX_sw1-Vlanif20]int vlanif 30
[HX_sw1-Vlanif30]ip add 192.168.30.1 24
[HX_sw1-Vlanif30]int vlanif 40
[HX_sw1-Vlanif40]ip add 192.168.40.1 24
[HX_sw1-Vlanif40]int vlanif 200
[HX_sw1-Vlanif200]ip add 192.168.200.1 24
[HX_sw1-Vlanif200]int vlanif 800
[HX_sw1-Vlanif800]ip add 192.168.254.2 24DHCP
③DHCP配置
多少个vlan就建立多少个地址池
[HX_sw1]dhcp enable
[HX_sw1]ip pool SYL_vlan10
[HX_sw1-ip-pool-syl_vlan10]network 192.168.10.0 mask 24
[HX_sw1-ip-pool-syl_vlan10]gateway-list 192.168.10.1
[HX_sw1-ip-pool-syl_vlan10]dns-list 114.114.114.114 8.8.8.8[HX_sw1]ip pool SYL_vlan20
[HX_sw1-ip-pool-syl_vlan20]network 192.168.20.0 mask 24
[HX_sw1-ip-pool-syl_vlan20]gateway-list 192.168.20.1
[HX_sw1-ip-pool-syl_vlan20]dns-list 114.114.114.114 8.8.8.8[HX_sw1]ip pool JXL_vlan30
[HX_sw1-ip-pool-jxl_vlan30]network 192.168.30.0 mask 24
[HX_sw1-ip-pool-jxl_vlan30]gateway-list 192.168.30.1
[HX_sw1-ip-pool-jxl_vlan30]dns-list 114.114.114.114 8.8.8.8[HX_sw1]ip pool xzl_vlan40
[HX_sw1-ip-pool-xzl_vlan40]network 192.168.40.0 mask 24
[HX_sw1-ip-pool-xzl_vlan40]gateway-list 192.168.40.1
[HX_sw1-ip-pool-xzl_vlan40]dns-list 114.114.114.114 8.8.8.8当用户发来dhcp广播报文的时候,让它在全局(全局即指在地址池中)拿地址
vlan 10用户请求报文时,有vlan10标签,因此核心交换机知道,会分配vlan 10相应网段地址.
[HX_sw1]int vlanif 10
[HX_sw1-Vlanif10]dhcp select global
[HX_sw1-Vlanif10]q
[HX_sw1]int vlanif 20
[HX_sw1-Vlanif20]dhcp select global
[HX_sw1-Vlanif20]int vlanif 30
[HX_sw1-Vlanif30]dhcp select global
[HX_sw1-Vlanif30]int vlanif 40
[HX_sw1-Vlanif40]dhcp select globalOSPF
④OSPF配置
总分型结构,有分所。 总分公司的网段不要重叠
让分支机构 能访问 总所的服务器,因此要宣告,让别人知道
汇聚交换机和接入交换机是 二层协议,没有必要宣告路由协议。
出口路由
[Huawei]sys CK_Router
[CK_Router]int g4/0/0
[CK_Router-GigabitEthernet4/0/0]ip add 192.168.254.1 24
[CK_Router-GigabitEthernet4/0/0]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]ip add 12.1.1.1 29
[CK_Router-GigabitEthernet0/0/1]int g1/0/0
[CK_Router-GigabitEthernet1/0/0]ip add 192.168.104.1 30宣告254 104 12.1.1.0 网段
- 第一种方式:宣告整个网段
- 第二种方式:只要宣告的网段 有接口的地址,即一个接口地址 (推荐这种,精确)
[CK_Routeri]ospf 1 router-id 2.2.2.2
[CK_Router]area 0
[CK_Router-ospf-1-area-0.0.0.0]net 192.168.254.0 0.0.0.255
[CK_Router-ospf-1-area-0.0.0.0]net 192.168.104.1 0.0.0.0
核心sw1
宣告 10 20 30 40 200 254 网段
[HX_sw1]ospf 1 router-id 1.1.1.1
[HX_sw1-ospf-1]area 0
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]network 192.168.254.0 0.0.0.255新校区路由
[XXQ1_R4]ospf 1 r
[XXQ1_R4]ospf 1 router-id 3.3.3.3
[XXQ1_R4-ospf-1]area 0
[XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.104.2 0.0.0.0
[XXQ1_R4-ospf-1-area-0.0.0.0]network 192.168.100.2 0.0.0.0
到此为止,查看SW1有没学习到,看新校区1的路由表学习情况 dis ip routing-table
自己在做的时候发现少了一个路由条目,经过排查,模拟器没有将 那接口开启, 因此要手动undo shutdown,然后发觉也解决不了还是down,发现是客户机client没有开启 挖槽,醉了。
配置静态路由
[HX_sw1]ip route-static 0.0.0.0 0 192.168.254.1
[CK_Router]ip route-static 0.0.0.0 0 12.1.1.6 去移动
⑤广域网出口选路
(策略路由也OK,设置缺省路由,修改优先级
其实选择联通和移动,这个通过防火墙做比较好)
[CK_Router]ip route-static 0.0.0.0 0 12.1.1.6 去移动
[CK_Router]ip route-static 0.0.0.0 0 13.1.1.6 preference 70 去联通这个在我自己做的实验拓扑没有配,可以自行添加哦,知道个思路即可,设置两个运营商 可以让移动中断了,我就去联通,如果移动修好了,会自动切换回去。
NAT
⑥NAT配置
理论上我配置OSPF能达到新校区,我也能配置OSPF到运营商,但事实上,运营商的路由器是不可能给我操控的,因此这里使用NAT
上面已经配置了 默认路由 0.0.0.0 0 12.1.1.6
现在在出口路由器上:
[CK_Router]acl 2000
[CK_Router-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[CK_Router]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]nat outbound 2000将内网服务器的80端口映射成公网出去,让外网用户访问
接口nat
[CK_Router]int g0/0/1
[CK_Router-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.200.10 80
//如果想使用接口的公网地址,不能直接写12.1.1.1,需要写current-interface
7.7.7.7是移动的,访问公网12.1.1.1即可,因为上面已经配置好NAT了
⑦telnet远程管理配置
管理VLAN 900 192.168.255.x /24
接入和汇聚 需要一个 缺省路由 指向255.1,缺省路由的目的就是管理流量的回包,同时 配置一个统一的用户名密码
所有设备都得这么配:
aaa
local-user aa privilege level 3 password cipher 123
local-user aa service-type telnet
user-interface vty 0 4
authentication-mode aaa如果是真机(真实环境) 还需要配置一个
[HX_sw1]telnet server enable
[HX_sw1-ui-vty0-4]protocol inbound telnet //表示这个接口允许telnet进来,因为新版本的华为只允许ssh接下来是配置管理地址
[HX_sw1]int vlanif 900
[HX_sw1-Vlanif900]ip add 192.168.255.1 24[JR_sw8]int vlanif 900
[JR_sw8-Vlanif900]ip add 192.168.255.8 24
[JR_sw8]ip route-static 0.0.0.0 0 192.168.255.1 //回包路由
其他略。
补充:作为汇聚和接入的所有交换机 都需要配置一个回包路由,为了让管理的流量能够回去。 所有接入交换的回包路由都是 255.1
事实上,ENSP模拟器的PC是没办法telnet,因此可用路由器来测试 接入
[PC]dhcp enable
[PC]int e0/0/0
[PC-Ethernet0/0/0]ip add dhcp-alloc //会自动获取网关(缺省形式)
ACL
⑧访问控制配置
企业财务服务器,只允许(vlan 40)的员工访问
在核心交换机上
sw1
[HX_sw1]acl 3000
[HX_sw1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.20 0
[HX_sw1-acl-adv-3000]rule deny ip source any destination 192.168.200.20 0[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]traffic-filter outbound acl 3000SNMP运维监控
⑨SNMP运维监控
禁止vlan 20 员工访问外网且关键设备做好实时监控
让出口路由器 丢弃 员工的请求外网报文就行,但要放行请求新校区的报文
要在inbound口做,即g4/0/0
· 如果outbound的话,报文是先进行NAT转换,再进行ACL匹配
[CK_Router]acl 3001
[CK_Router-acl-adv-3001]rule permit ip destination 192.168.0.0 0.0.255.255
[CK_Router-acl-adv-3001]rule deny ip source 192.168.20.0 0.0.0.255
[CK_Router-acl-adv-3001]int g 4/0/0
[CK_Router-GigabitEthernet4/0/0]traffic-filter inbound acl 3001
[CK_Router-GigabitEthernet4/0/0]
SNMP监控
把设备添加到网管软件前,需要在网络设备上配置SNMP参数
网管服务器接到核心交换机上, 可通过云Cloud接核心,桥接云模拟服务器。
[HX_sw1]int g0/0/6
[HX_sw1-GigabitEthernet0/0/6]port link-type access
[HX_sw1-GigabitEthernet0/0/6]port default vlan 900
所有设备都要这样配置
snmp-agent
snmp-agent community write 123
snmp-agent community read 456
snmp-agent sys-info version all[HX_sw1]snmp-agent sys-info version all
[HX_sw1]snmp-agent //启动snmp
[HX_sw1]snmp-agent community write 123
[HX_sw1]snmp-agent community read 456
剩下设备略云桥接
以下是 云桥接
网管软件
输入IP地址——》输入团体名(相当于密码)
完整配置文件
完整配置文件:
https://download.csdn.net/download/qq_39578545/12381436
1000人 规模园区网设计相关推荐
- 200人 500人规模园区网设计(中小企业网络)
200人 500人规模园区网 一.设备选型(光口和电口的交换机,注意设备利旧) 二.技术需求 三.详细配置 STP Eth-trunk VLAN 网关 SVI DHCP 出口路由 NAT NAT 端口 ...
- 1000人 冗余 规模园区网设计(校园网)
1000人 冗余 规模园区网 1.底层配置 Eth-Trunk VLAN 2.MSTP配置 3.VRRP配置 4.BFD配置 5.OSPF 7.NAT 8.DHCP中继配置 9.DHCP的安全技术 1 ...
- ensp中小型企业网配置_如何构建1000人规模的网络,详细配置?
采用华为的ensp模拟器,接入交换机采用双上联的方式接入核心交换机,两台核心交换机之间两条链路捆绑连接,提高可靠性.路由器负责internet接入. 涉及的网络协议, STP:全局开启STP协议,防止 ...
- 千人规模互联网公司研发效能成功之路
这是「研发效能团队规模.职能划分和优劣势分析」系列的第四篇.上篇文章「中小互联网公司研发效能团队规模.职能划分和优劣势分析」主要分析产研团队在 200 人以下的中小公司现状以及给出一些建议.本篇文章主 ...
- 亲身经历3家1000人互联网公司,分享 25 条潜规则!
蓝色关注,回复"9"获取个人如何快速成长.架构,能力模型,技术管理等资料. 见字如面,我是军哥. 首先申明一下,标题的千人规模指是 1000 人+产品技术团队. 我们都希望自己可以 ...
- 双轮载人平衡车设计完整教程之调校测试篇
双轮载人平衡车设计完整教程之调校测试篇 实验及路测结果 6.1 硬件测试 6.1.1车体与元件安装 车体采用的是精钢打造的船型包厢,车体机械部分的安装及重量分布,直接影响到小车的平衡性能.拿起螺丝准备 ...
- 博士延毕 南大计算机,南京大学延期博士或超1000人 媒体呼吁对其善始善终
对"延期博士生"也要善始善终 6月5日,南京大学(分数线,专业设置)仙林校区各宿舍楼贴出一份<2019年暑期学生宿舍安排及调整通知>(下称<通知>),延期超 ...
- HR的难又有谁懂?裁过1000人,被爆粗恐吓,进过派出所!
作者 | 闫丽娇 孔明明 苏琦 唐亚华 黎明 赵磊 编辑 | 魏佳 近期,大公司"暴力裁员"话题刷屏朋友圈.裁员从来不是新鲜事.因战略调整或资本问题引起组织结构优化.规模缩减的公司 ...
- 高管频繁离职,创始人缺乏远见和管理数千人规模团队的能力
点击上方蓝字关注我 脉脉有人爆料,某明星公司一位高级技术总监离职. 底下有个回复亮了. 这个回答得到不少内部员工的认同,跟我了解的情况差不多. 帖子下面有内部员工说,这位总监是内斗离场. 顺藤摸瓜,找 ...
最新文章
- 软件测试人员必备Linux命令(初、中、高级)
- 4 流程控制》4.5 比较for循环和while循环
- 手持发光棒的结构解析
- JAVA中的多线程(一)
- EL之Bagging(DTR):利用DIY数据集(预留30%数据+两种树深)训练Bagging算法(DTR)
- RecSys 2016总结
- linux服务器网页出现错误,常见网页错误 | Linux 主机 (cPanel) - GoDaddy 帮助 SG
- 【机器学习基础】四个小项目完全解读支持向量机
- shoot for用法
- 庆功会(信息学奥数一本通-T1269)
- web开发应届生入职_我如何从全职妈妈着手完成第一份Web开发人员工作
- ios 图片裁剪框架_iOS 图片裁剪与修改
- 你真的了解“真的了解”的含义吗
- NYOJ 7-街区最短路径问题(曼哈顿距离)
- linux 禁ping
- 【TWVRP】基于matalb蚁群算法求解带时间窗的车辆路径规划问题【含Matlab源码 1406期】
- 深度学习与目标检测电子书
- 船用炉灶的全球与中国市场2022-2028年:技术、参与者、趋势、市场规模及占有率研究报告
- 走近棒球运动·全国青年棒球锦标赛·MLB棒球创造营
- 对于跳过Google应用SetupWizard.apk以及其他设备软件包名