一、拓扑图
二、地址规划
部门 | 地址空间 | vlan | 网关 |
财务部门 | 10.0.10.0/24 | Vlan10 | 10.0.10.254/24 |
业务部门 | 10.0.20.0/24 | Vlan20 | 10.0.20.254/24 |
研发部门 | 10.0.30.0/24 | Vlan30 | 10.0.30.254/24 |
IT部门 | 10.0.40.0/24 | Vlan40 | 10.0.40.254/24 |
服务器 | 10.0.200.0/24 |
| 10.0.200.254/24 |
三、配置思路与过程
1、接入层实现
对于接入层根据规划,分别设置为vlan10、vlan20、vlan30、vlan40、vlan50、vlan60,接入用户的端口加入相关VLAN,上行trunk口允许相关vlan通过。
[Acc-01]vlan batch 10 20 30 40 //创建vlan
配置接入用户接口
[Acc-01-Ethernet0/0/3]port link-type access
[Acc-01-Ethernet0/0/3]port default vlan 10
配置上行口
[Acc-01-Ethernet0/0/1]port link-type trunk
[Acc-01-Ethernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[Acc-01-Ethernet0/0/1]int e0/0/2
[Acc-01-Ethernet0/0/2]port link-type trunk
[Acc-01-Ethernet0/0/2]port trunk allow-pass vlan 10 20 30 40
(其他接入配置相同)
另在接入层交换机、汇聚交换机上配置MSTP多实例生成树,将相关vlan加入不同的实例。
stp region-configuration //进入MSTP模式
region-name huawei //配置域名为huawei
instance 1 vlan 10 20 30 40 //将vlan10 、20、30 40 加入实例1中
active region-configuration //激活配置
2、汇聚层实现
(1)DHCP实现
核心交换机上部署DHCP
配置接口DHCP:
[Huawei-Vlanif10]dhcp select interface
(2)MSTP+VRRP:
stp instance 1 root primary //指定本交换机为主根桥
3)网关配置,以vlan10 为例 其他网关配置同理:
interface Vlanif10 //后勤vlan 网关
ip address 10.0.10.254 255.255.255.0 //配置ip地址
(4)链路聚合
在两个核心交换机间设置链路聚合,关键代码如下:
interface eth-trunk 0 //创建ID为0的Eth-Trunk接口
trunkport GigabitEthernet 0/0/23 to 0/0/24 将23 24号口加入到聚合组中
(对端配置完全相同)
3、网络出口实现
(1)部署NAT:
NAT关键代码如下:
//创建内网需要上网的源地址到外网的ACL列表:
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 10.0.0.0 0.0.255.255
进入接口配置NAT 类型为easy-ip
[Huawei-GigabitEthernet0/0/2]nat outbound 2000
//创建NAT server 映射 使外网用户访问内部特殊服务器
[Huawei-GigabitEthernet0/0/2]nat server protocol tcp global 17.1.1.100 8080 insi
de 10.0.200.100 www
4、路由协议实现
核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术
//此配置其他设备均相同宣告各自直连网段即可
[Core-A-ospf-1]area 0
[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.255.255
出口路由配置
[Huawei]ip route-static 0.0.0.0 0 17.1.1.7 description Internet
5、单臂路由配置
[Huawei]int g0/0/1.70
[Huawei-GigabitEthernet0/0/1.70]ip add 10.0.70.254 24
[Huawei-GigabitEthernet0/0/1.70]dot1q termination vid 70
[Huawei-GigabitEthernet0/0/1.70]arp broadcast enable
[Huawei]int g0/0/1.80
[Huawei-GigabitEthernet0/0/1.70]ip add 10.0.80.254 24
[Huawei-GigabitEthernet0/0/1.70]dot1q termination vid 80
[Huawei-GigabitEthernet0/0/1.70]arp broadcast enable
6、配置防火墙安全策略,提高服务器区域安全
rule name server
source-zone trust
destination-zone dmz
destination-address 10.0.200.0 mask 255.255.255.0
action permit
7、VPN配置
(3)GRE隧道配置
//手动创建去往公网的默认路由 保证各个分公司、总部公网地址可达
[Huawei]ip route-static 0.0.0.0 0 78.1.1.7
[Huawei]ip route-static 0.0.0.0 0 79.1.1.7
//总部建立2条VPN隧道 分别连接两个公司
interface Tunnel0/0/0 //隧道1
ip address 172.16.18.1 255.255.255.0
tunnel-protocol gre
source 17.1.1.1
destination 78.1.1.8
interface Tunnel0/0/1 //隧道2
ip address 172.16.19.1 255.255.255.0
tunnel-protocol gre
source 17.1.1.1
destination 79.1.1.9
分部相同配置隧道即可
配置总部到达分部的路由
[Huawei]ip route-static 10.0.70.0 24 Tunnel 0/0/0
[Huawei]ip route-static 10.0.80.0 24 Tunnel 0/0/0
[Huawei]ip route-static 10.0.90.0 24 Tunnel 0/0/1
[Huawei]ip route-static 10.0.95.0 24 Tunnel 0/0/1
分部的配置 均指向总公司
[Huawei]ip route-static 10.0.0.0 16 Tunnel 0/0/0
[Huawei]ip route-static 10.0.0.0 16 Tunnel 0/0/0
8、WLAN配置
创建管理vlan
AC、AP采用三层组网、转发模式为隧道转发,AP管理VLAN为100
[AC6605]ip route-static 0.0.0.0 0 10.0.100.254 //配置默认网关
b) 创建AP组 将AP加入不同组
d) AP与AC之间通过源接口方式建立capwap隧道
[AC6605]capwap source interface Vlanif 100
e) AP的SSID设置为Wlan-net,密码a1234567
四、测试
DHCP测试
各部门均正常获取地址
WLAN测试
用户互联网访问测试
用户内部访问、访问内部服务器
VPN 测试
分部访问总部
来源地址:https://blog.csdn.net/m0_59193722/article/details/129467150