網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第七章網(wǎng)絡(luò)技術(shù)綜合應(yīng)用

第七章網(wǎng)絡(luò)技術(shù)綜合應(yīng)用網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)

本章通過(guò)綜合實(shí)訓(xùn)項(xiàng)目的實(shí)施，進(jìn)一步加深讀者對(duì)網(wǎng)絡(luò)組建方案和網(wǎng)絡(luò)設(shè)備的了解,提高配置能力。使讀者從最初的了解網(wǎng)絡(luò)項(xiàng)目需求分析、設(shè)備選型、現(xiàn)場(chǎng)勘查等基本的入門(mén)工作到網(wǎng)絡(luò)設(shè)備配置、調(diào)試等全過(guò)程的網(wǎng)絡(luò)技術(shù)工作中來(lái)。

通過(guò)完成本項(xiàng)目，使讀者進(jìn)一步掌握網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)接入的方式、組網(wǎng)模式的選擇、網(wǎng)絡(luò)設(shè)備的選擇和網(wǎng)絡(luò)設(shè)備的配置，進(jìn)一步提高局域網(wǎng)布線和組建的能力，以及相互交流、團(tuán)隊(duì)協(xié)作和分析問(wèn)題的能力?！局R(shí)目標(biāo)】

?了解校園網(wǎng)建設(shè)的需求。

?掌握構(gòu)建安全網(wǎng)絡(luò)的策略。

?理解防火墻的作用。【技能目標(biāo)】

?熟悉防火墻的配置內(nèi)容。

?能夠進(jìn)行OSPF配置。

?能夠進(jìn)行VRRP配置。

CONTENTS7.1校園網(wǎng)升級(jí)改造項(xiàng)目7.27.3企業(yè)網(wǎng)絡(luò)組建項(xiàng)目政府上網(wǎng)工程7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.1.1項(xiàng)目需求分析校園網(wǎng)的建設(shè)目的是給老師和學(xué)生提供相應(yīng)的網(wǎng)絡(luò)服務(wù)。在網(wǎng)絡(luò)搭建的過(guò)程中需要對(duì)網(wǎng)絡(luò)進(jìn)行VLAN的劃分，從而減小廣播風(fēng)暴的影響，保證教室、辦公室的網(wǎng)絡(luò)安全性。為方便IP地址配置，在整個(gè)網(wǎng)絡(luò)中實(shí)現(xiàn)IP的自動(dòng)分配等基本功能。一個(gè)基本的校園網(wǎng)應(yīng)具有高速的局域網(wǎng)連接、信息結(jié)構(gòu)多樣化、安全可靠和經(jīng)濟(jì)實(shí)用的特點(diǎn)。校園網(wǎng)應(yīng)以寬帶IP網(wǎng)為目標(biāo)，具有數(shù)據(jù)、語(yǔ)音、圖形、圖像等多種信息媒體傳遞功能，具備性能優(yōu)越的資源共享功能。校園網(wǎng)主干傳輸帶寬應(yīng)達(dá)到1000Mb/s要求，樓宇之間千兆連接。建設(shè)校園網(wǎng)的同時(shí)必須考慮網(wǎng)絡(luò)安全、資源共享和帶寬的要求。校園網(wǎng)建設(shè)的具體需求如下：①支持全?，F(xiàn)有的計(jì)算機(jī)，連接校園內(nèi)實(shí)驗(yàn)大樓、行政大樓、電教大樓、圖書(shū)館和成教大樓等，將本校現(xiàn)有的及將來(lái)要配置的各種PC、工作站和終端通過(guò)高性能的網(wǎng)絡(luò)設(shè)備連接起來(lái)，組成分布式、開(kāi)放性的網(wǎng)絡(luò)環(huán)境，以提高教育科研水平。②充分利用原有的主干光纜和樓內(nèi)布線系統(tǒng)，將目前的百兆主干以太網(wǎng)升級(jí)到千兆主干以太網(wǎng)、百兆以太網(wǎng)接入到桌面的。同時(shí)，保護(hù)原有網(wǎng)絡(luò)設(shè)備投資，將目前運(yùn)行的網(wǎng)絡(luò)產(chǎn)品有效地集成到升級(jí)系統(tǒng)中。③在Internet互連網(wǎng)絡(luò)系統(tǒng)平臺(tái)上，以數(shù)據(jù)庫(kù)系統(tǒng)、Web平臺(tái)、電子郵件平臺(tái)為基礎(chǔ)，構(gòu)建內(nèi)部Intranet系統(tǒng)，與已有系統(tǒng)實(shí)現(xiàn)互聯(lián)。④網(wǎng)絡(luò)與數(shù)據(jù)安全是目前計(jì)算機(jī)信息技術(shù)所面臨的重要挑戰(zhàn)，解決安全問(wèn)題的技術(shù)與方案有很多，通過(guò)防火墻、WebCache服務(wù)器確定完整統(tǒng)一的安全策略（Security

Policy）也是校園網(wǎng)可靠運(yùn)行的保證。⑤考慮與其它學(xué)校、科學(xué)教育網(wǎng)絡(luò)相連，可通過(guò)CERNET與國(guó)內(nèi)外其它網(wǎng)絡(luò)相連接、實(shí)現(xiàn)遠(yuǎn)程教學(xué)。7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.1.2項(xiàng)目設(shè)計(jì)1．拓?fù)浣Y(jié)構(gòu)

目前的校園網(wǎng)大多數(shù)是純?nèi)龑拥慕粨Q網(wǎng)絡(luò)。由于交換機(jī)都具有三層功能，匯聚層一般已經(jīng)可以與接入層歸納為一個(gè)層次。各樓層和各樓之間的交換設(shè)備都直接上連到核心設(shè)備上。

校園網(wǎng)的簡(jiǎn)明拓?fù)鋱D如圖所示。

其中校園局域網(wǎng)以三層交換機(jī)為交換核心，即網(wǎng)絡(luò)中心，下設(shè)二層交換機(jī)若干，如圖中所示兩臺(tái)交換機(jī)進(jìn)行模擬，形成匯聚層。匯聚層交換機(jī)用作模擬校園中各個(gè)樓宇的網(wǎng)絡(luò)節(jié)點(diǎn)，在同一個(gè)樓宇，如教學(xué)樓、學(xué)生宿舍樓中依據(jù)需求劃分VLAN,隔離網(wǎng)絡(luò)風(fēng)暴，提升網(wǎng)絡(luò)安全性和效率。7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2．IP地址設(shè)計(jì)本項(xiàng)目中IP地址規(guī)劃如表所示。樓幢機(jī)構(gòu)端口分配VLANIDVLAN命名網(wǎng)關(guān)行政樓黨政辦領(lǐng)導(dǎo)1?18VLAN10DangZheng54人事處19?24VLAN11RenShi54教務(wù)處25?27VLAN12JiaoWu54科研財(cái)務(wù)28?32VLAN13Xz_l_west54研究所33?36VLAN14YanjiuSheng54組織、宣傳、綜合37?42VLAN15XuanChuan54離休等

54紀(jì)監(jiān)、后勤、高教等43?46VLAN17Xz_2_west54電教CAD1?2VLAN18Cad54電教3?4VLAN19DianJiao54計(jì)算中心5?10VLAN20ComputerCenter54408自備房11?14VLAN21Student547.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程樓幢機(jī)構(gòu)端口分配VLANIDVLAN命名網(wǎng)關(guān)實(shí)驗(yàn)樓文理學(xué)院1?2VLAN22WenLi54機(jī)電分院3?4VLAN23JiDian54自動(dòng)化分院5?6VLAN24ZiDongHua54財(cái)經(jīng)分院7?8VLAN25Caijing54管理分院9?10VLAN26GuanLi54計(jì)算機(jī)分院11?12VLAN27JiSuanJi54電子分院13?14VLAN28DianZi54通信分院15?16VLAN29Tongxin54信息分院17?18VLAN30XinXi54CAE所19?20VLAN31CAE54設(shè)備處21?22VLAN32SB_other54網(wǎng)管23?35VLAN37NIC_1（服務(wù)器）5437?42VLAN33NIC_2（備用）5443?48VLAN46NIC_3（學(xué)生）54圖書(shū)館服務(wù)器

VLAN45LIBserver54客戶端1?24VLAN36Lib_l547.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.1.3項(xiàng)目實(shí)施1.HUAWEIS5700HUAWEIS5700由工廠根據(jù)用戶需求直接安裝好標(biāo)準(zhǔn)配置的模塊，但電源、路由等尚未安裝，所以應(yīng)先將待安裝的各模塊拆開(kāi)，裝入S5700的電源插槽。上電檢查S5700的各個(gè)模塊的工作狀態(tài)是否正常：接入S5700電源，由于S5700有兩個(gè)電源作為冗余，所以最好兩個(gè)電源分別接入兩路UPS電源上，這樣即使當(dāng)UPS其中一路電源故障時(shí)，不會(huì)影響整個(gè)S5700交換機(jī)的正常遠(yuǎn)行，當(dāng)S5700交換機(jī)上電初始化結(jié)束后，從面板上的LED燈的狀態(tài)可以判斷各個(gè)模塊的工作狀態(tài)是否正常。2.配置

HUAWEIS5700的系統(tǒng)參數(shù)當(dāng)HUAWEIS5700交換機(jī)初始化結(jié)束后，就進(jìn)入系統(tǒng)單機(jī)配置階段，包括機(jī)器名、口令和遠(yuǎn)程登錄等部分的配置。具體配置過(guò)程如下：<Huawei>system-view[Huawei]sysnameS5700[S5700]vlan1[S5700-vlan1]descriptionadmin_vlan[S5700]interfaceVlanif1[S5700-Vlanif1]ipaddress247.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.配置Telnet服務(wù)。在S5700上配置Telnet服務(wù)的具體要求如下：①配置認(rèn)證方式為AAA認(rèn)證，認(rèn)證用戶名為huawei，密碼為huawei。②配置服務(wù)類型為T(mén)elnet，用戶命令級(jí)別為15級(jí)。③在vty0到vty4視圖下配置用戶采用AAA的認(rèn)證方式。具體配置過(guò)程如下：[S5700-aaa]local-userhuaweipasswordsimplehuawei[S5700-aaa]local-userhuaweiservice-typetelnet[S5700-aaa]local-userhuaweiprivilegelevel15[S5700]user-interfacevty04[S5700-ui-vty0-4]authentication-modeaaa4.配置HUAWEIS2700HUAWEIS2700系列是華為公司的提供100M上行端口的桌面交換機(jī)。具體配置過(guò)程如下：[Huawei]sysnameS2700[S2700]vlan1[S2700-vlan1]descriptionadmin_vlan[S2700]interfaceVlanif1[S2700-Vlanif1]ipaddress247.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.配置Telnet服務(wù)。在S2700上配置Telnet服務(wù)的具體要求如下：①配置認(rèn)證方式為AAA認(rèn)證，認(rèn)證用戶名為huawei，密碼huawei。②配置服務(wù)類型為T(mén)elnet，用戶命令級(jí)別為15級(jí)。③在vty0到vty4視圖下配置用戶采用AAA的認(rèn)證方式。[S2700]aaa[S2700-aaa]local-userhuaweipasswordsimplehuawei[S2700-aaa]local-userhuaweiservice-typetelnet[S2700-aaa]local-userhuaweiprivilegelevel15[S2700-aaa]quit[S2700]user-interfacevty04[S2700-ui-vty0-4]authentication-modeaaa6.配置HUAWEI防火墻USG6000配置USG6000的基本屬性，將USG6000安放至機(jī)架，經(jīng)檢測(cè)電源系統(tǒng)正常后，接上電源，對(duì)主機(jī)進(jìn)行送電。將Console口連接到PC的串口上，運(yùn)行”超級(jí)終端”，從Console口進(jìn)入

USG6000系統(tǒng)配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程①配置接口IP地址。具體配置如下：<NGFW>system-view[NGFW]interfaceGigabitEthernet1/0/1[NGFW-GigabitEthernet1/0/1]ipaddress24[NGFW-GigabitEthernet1/0/1]quit[NGFW]interfaceGigabitEthernet1/0/2[NGFW-GigabitEthernet1/0/2]ipaddress24[NGFW-GigabitEthernet1/0/2]quit②配置接口加入相應(yīng)安全區(qū)域。具體配置如下：[NGFW]firewallzonetrust[NGFW-zone-trust]addinterfaceGigabitEthernet1/0/1[NGFW-zone-trust]quit[NGFW]firewallzoneuntrust[NGFW-zone-untrust]addinterfaceGigabitEthernet1/0/2[NGFW-zone-untrust]quit7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程③配置安全策略，允許私網(wǎng)指定網(wǎng)段的指定服務(wù)與Internet進(jìn)行報(bào)文交互。具體配置如下：[NGFW]security-policy[NGFW-policy-security]rulenamepolicy_sec_1[NGFW-policy-security-rule-policy_sec_1]source-zonetrust[NGFW-policy-security-rule-policy_sec_1]destination-zoneuntrust[NGFW-policy-security-rule-policy_sec_1]source-address24[NGFW-policy-security-rule-policy_sec_1]servicednsdns-tcppop3smtphttp[NGFW-policy-security-rule-policy_sec_1]actionpermit[NGFW-policy-security-rule-policy_sec_1]quit[NGFW-policy-security]quit④配置NAT地址池，并允許端口轉(zhuǎn)換，實(shí)現(xiàn)公網(wǎng)地址復(fù)用。具體配置如下：[NGFW]nataddress-groupaddressgroup1[NGFW-nat-address-group-addressgroup1]section004[NGFW-nat-address-group-addressgroup1]nat-modepat[NGFW-nat-address-group-addressgroup1]quit7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程⑤配置源NAT策略，實(shí)現(xiàn)私網(wǎng)指定網(wǎng)段訪問(wèn)Internet時(shí)自動(dòng)進(jìn)行源地址轉(zhuǎn)換。具體配置如下：[NGFW]nat-policy[NGFW-policy-nat]rulenamepolicy_nat_1[NGFW-policy-nat-rule-policy_nat_1]source-address24[NGFW-policy-nat-rule-policy_nat_1]source-zonetrust[NGFW-policy-nat-rule-policy_nat_1]destination-zoneuntrust[NGFW-policy-nat-rule-policy_nat_1]actionnataddress-groupaddressgroup1[NGFW-policy-nat-rule-policy_nat_1]quit[NGFW-policy-nat]quit⑥在NGFW上配置缺省路由，使私網(wǎng)流量可以正常轉(zhuǎn)發(fā)至ISP的路由器。具體配置如下：[NGFW]iproute-static54⑦在NGFW上配置黑洞路由，避免NGFW與Router之間產(chǎn)生路由環(huán)路。具體配置如下：[NGFW]iproute-static055Null0[NGFW]iproute-static155Null0[NGFW]iproute-static255Null0[NGFW]iproute-static355Null0[NGFW]iproute-static455Null0[NGFW]iproute-static555Null0⑧配置服務(wù)器映射功能，創(chuàng)建靜態(tài)映射，映射內(nèi)網(wǎng)的Web服務(wù)器。具體配置如下：[NGFW]natserverprotocoltcpglobal5wwwinside54www7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程⑤配置源NAT策略，實(shí)現(xiàn)私網(wǎng)指定網(wǎng)段訪問(wèn)Internet時(shí)自動(dòng)進(jìn)行源地址轉(zhuǎn)換。具體配置如下：[NGFW]nat-policy[NGFW-policy-nat]rulenamepolicy_nat_1[NGFW-policy-nat-rule-policy_nat_1]source-address24[NGFW-policy-nat-rule-policy_nat_1]source-zonetrust[NGFW-policy-nat-rule-policy_nat_1]destination-zoneuntrust[NGFW-policy-nat-rule-policy_nat_1]actionnataddress-groupaddressgroup1[NGFW-policy-nat-rule-policy_nat_1]quit[NGFW-policy-nat]quit⑥在NGFW上配置缺省路由，使私網(wǎng)流量可以正常轉(zhuǎn)發(fā)至ISP的路由器。具體配置如下：[NGFW]iproute-static54⑦在NGFW上配置黑洞路由，避免NGFW與Router之間產(chǎn)生路由環(huán)路。具體配置如下：[NGFW]iproute-static055Null0[NGFW]iproute-static155Null0[NGFW]iproute-static255Null0[NGFW]iproute-static355Null0[NGFW]iproute-static455Null0[NGFW]iproute-static555Null0⑧配置服務(wù)器映射功能，創(chuàng)建靜態(tài)映射，映射內(nèi)網(wǎng)的Web服務(wù)器。具體配置如下：[NGFW]natserverprotocoltcpglobal5wwwinside54www7.1校園網(wǎng)升級(jí)改造項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.1.4項(xiàng)目總結(jié)在將整個(gè)系統(tǒng)遷移到10M專線的同時(shí)，我們將USG6000防火墻放在系統(tǒng)與外部連接處，以提供網(wǎng)絡(luò)的安全保障。在進(jìn)入內(nèi)部系統(tǒng)后，連接到USG6000內(nèi)部網(wǎng)段的PC機(jī)通過(guò)上網(wǎng)計(jì)費(fèi)服務(wù)器進(jìn)入統(tǒng)一管理。對(duì)處于Internet服務(wù)的WEB、DNS、SMTP和POP3服務(wù)器接入U(xiǎn)SG6000的DMZ段，用于保護(hù)應(yīng)有服務(wù)器的安全和對(duì)內(nèi)外提供服務(wù)。需要注意的幾點(diǎn)：①防火墻上做了地址轉(zhuǎn)換，將內(nèi)部的私有地址轉(zhuǎn)換成公有地址訪問(wèn)Internet。②防火墻上開(kāi)放了用于Internet信息發(fā)布所需要的幾個(gè)端口，包括TCP的53，23，25，110，80和UDP的53端口，分別用于DNS，SMTP，POP3和WEB等服務(wù)。③在防火墻上做了靜態(tài)的地址映射將內(nèi)部地址54映射為5的外部地址。④保護(hù)應(yīng)用服務(wù)器的安全，當(dāng)Internet上的用戶訪問(wèn)這個(gè)公有地址時(shí)，防火墻將自動(dòng)將訪問(wèn)請(qǐng)求轉(zhuǎn)給這個(gè)公網(wǎng)地址映射的內(nèi)部私有地址。7.2企業(yè)網(wǎng)絡(luò)組建項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.2.1項(xiàng)目需求分析

某企業(yè)現(xiàn)有300個(gè)點(diǎn)，需要建設(shè)一個(gè)網(wǎng)絡(luò)以實(shí)現(xiàn)該企業(yè)內(nèi)部的相互通信和與外部的聯(lián)系，通過(guò)該網(wǎng)絡(luò)提高企業(yè)的發(fā)展和企業(yè)內(nèi)部辦公的信息化、辦公自動(dòng)化。該企業(yè)有15個(gè)部門(mén),則需要讓這15個(gè)部門(mén)能夠通過(guò)該網(wǎng)絡(luò)訪問(wèn)Internet,并能實(shí)現(xiàn)部門(mén)之間信息化的合作。該網(wǎng)絡(luò)必須體現(xiàn)辦公的方便性、迅速性、高效性、可靠性、科技性、資源共享、相互通信、信息發(fā)布及查詢等功能，以作為支持企業(yè)內(nèi)部辦公自動(dòng)化、供應(yīng)鏈管理以及各應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施。

該網(wǎng)絡(luò)是一個(gè)單核心的網(wǎng)絡(luò)結(jié)構(gòu)，采用典型的三層結(jié)構(gòu)，包括核心層、匯聚層和接入層。各部門(mén)獨(dú)立成區(qū)域，防止個(gè)別區(qū)域發(fā)生問(wèn)題后影響整個(gè)網(wǎng)的穩(wěn)定運(yùn)行，若某匯聚交換機(jī)發(fā)生問(wèn)題只會(huì)影響到某幾個(gè)部門(mén)，該網(wǎng)絡(luò)使用VLAN進(jìn)行隔離，方便員工調(diào)換部門(mén)。

核心交換機(jī)連接3臺(tái)匯聚交換機(jī)，該核心交換機(jī)不但對(duì)所有數(shù)據(jù)進(jìn)行接收還能進(jìn)行分流，因此核心交換機(jī)必須是高質(zhì)量的、功能具全的，責(zé)任重大的；通過(guò)高速轉(zhuǎn)發(fā)，提高優(yōu)化的、可靠的傳輸結(jié)構(gòu)。通常核心交換機(jī)不會(huì)承擔(dān)訪問(wèn)列表檢査、數(shù)據(jù)加密、地址翻譯或者其他影響的最快速率分組的任務(wù)。

匯聚層交換機(jī)位于接入層和核心層之間，該網(wǎng)絡(luò)有3臺(tái)匯聚層交換機(jī)分擔(dān)15個(gè)部門(mén)的數(shù)據(jù)交換任務(wù)，能幫助定義和分離核心交換機(jī)的負(fù)載。該層的交換機(jī)主要提供一個(gè)邊界的定義，并在其內(nèi)進(jìn)行分組處理；該層將網(wǎng)絡(luò)分段為多個(gè)廣播域。匯聚層是將網(wǎng)絡(luò)問(wèn)題限制在發(fā)生問(wèn)題的工作組內(nèi)，防止這些問(wèn)題影響到核心層。

接入層為網(wǎng)絡(luò)提供通信，并且實(shí)現(xiàn)網(wǎng)絡(luò)入口控制。最終用戶通過(guò)接入層訪問(wèn)網(wǎng)絡(luò)的。作為網(wǎng)絡(luò)的“前門(mén)”，接入層交換機(jī)使用訪問(wèn)列表以阻止非授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)。7.2企業(yè)網(wǎng)絡(luò)組建項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.2.2項(xiàng)目設(shè)計(jì)1.拓?fù)湓O(shè)計(jì)企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖所示。7.2企業(yè)網(wǎng)絡(luò)組建項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IP地址設(shè)計(jì)各設(shè)備的IP地址規(guī)劃列表。設(shè)

備接

口IP地址S5700-SVLAN1005/29VLAN2005/29VLAN3005/29VLAN4007/28AR2220-AE00/28El8/30S5700-AVLAN11/24VLAN12/24VLAN13/24VLAN14/24VLAN15/24VLAN1004/29S5700-BVLAN16/24VLAN17/24VLAN18/24VLAN19/24VLAN20/24VLAN2004/29S5700-CVLAN21/24VLAN22/24VLAN23/24VLAN24/24VLAN25/24VLAN3004/297.2企業(yè)網(wǎng)絡(luò)組建項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.2.3項(xiàng)目實(shí)施1.S2700-A1交換機(jī)基本配置給交換機(jī)命名的配置命令如下：<Huawei>system-view[Huawei]sysnameS2700-A1創(chuàng)建VLAN配置命令如下:[S2700-A1]vlanbatch11to15配置遠(yuǎn)程登錄密碼如下：[S2700-A1]aaa[S2700-A1-aaa]local-userhuaweipasswordsimplehuawei[S2700-A1-aaa]local-userhuaweiservice-typetelnet[S2700-A1-aaa]local-userhuaweiprivilegelevel15[S2700-A1-aaa]quit[S2700-A1]user-interfacevty04[S2700-A1-ui-vty0-4]authentication-modeaaa設(shè)置管理IP地址如下：[S2700-A1]interfaceVlanif1[S2700-A1-Vlanif1]ipaddress247.2企業(yè)網(wǎng)絡(luò)組建項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.S2700-B1交換機(jī)基本配置、S2700-C1交換機(jī)基本配置與S2700-A1交換機(jī)基本配置相同，此處不再贅述。3.S5700-A的基本配置更改S5700-A設(shè)備名稱的配置命令如下：<Huawei>system-view[Huawei]sysnameS5700-A創(chuàng)建VLAN,vlan11?vlan15、vlan100的配置命令如下：[S5700-A]vlanbatch11to15100按照地址分配表為VLAN1、VLAN11?VLAN15、VLAN100分配IP地址，以VLAN1為例，具體如下：[S5700-A]interfaceVlanif1[S5700-A-Vlanif1]ipaddress6244.S3550-24-B的基本配置、S3550-24-C的基本配置同S5700-A的基本配置。7.2企業(yè)網(wǎng)絡(luò)組建項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.S5700-S的基本配置更改S5700-S設(shè)備名稱的配置命令如下:<Huawei>system-view[Huawei]sysnameS5700-S配置遠(yuǎn)程登錄密碼如下：[S5700-S]aaa[S5700-S-aaa]local-userhuaweipasswordsimplehuawei[S5700-S-aaa]local-userhuaweiservice-typetelnet[S5700-S-aaa]local-userhuaweiprivilegelevel15[S5700-S-aaa]quit[S5700-S]user-interfacevty04[S5700-S-ui-vty0-4]authentication-modeaaa按照地址分配表為VLAN1、VLAN100、VLAN200、VLAN300、VLAN400分配IP地址,以VLAN1為例，具體如下：[S5700-S]interfaceVlanif1[S5700-S-Vlanif1]ipaddress54246.AR2220-A的基本配置更改AR2220-A設(shè)備名稱的配置命令如下：<Huawei>system-view[Huawei]sysnameAR2220-A7.2企業(yè)網(wǎng)絡(luò)組建項(xiàng)目網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程配置遠(yuǎn)程登錄密[AR2220-A]aaa的命令如下：[AR2220-A-aaa]local-userhuaweipasswordsimplehuawei[AR2220-A-aaa]local-userhuaweiservice-typetelnet[AR2220-A-aaa]local-userhuaweiprivilegelevel15[AR2220-A-aaa]quit[AR2220-A]user-interfacevty04[AR2220-A-ui-vty0-4]authentication-modeaaa：配置以太口的IP地址以及NAT轉(zhuǎn)換的命令如下：[AR2200-A]ACL2000[AR2200-A-acl-basic-2000]rulepermitsource

55[AR2200-A]interfaceGigabitEthernet0/0/1[AR2200-A-GigabitEthernet0/0/1]ipaddress552[AR2200-A-GigabitEthernet0/0/1]natoutbound2000

7.2.4項(xiàng)目總結(jié)本項(xiàng)目的實(shí)施是為了提升讀者對(duì)企業(yè)級(jí)網(wǎng)絡(luò)組建方案中網(wǎng)絡(luò)設(shè)備的配置能力。通過(guò)完成本項(xiàng)目，使讀者對(duì)企業(yè)網(wǎng)絡(luò)中的核心交換、匯聚交換、接入交換的組網(wǎng)模式有了進(jìn)一步的認(rèn)識(shí)，還能提高對(duì)企業(yè)及網(wǎng)絡(luò)布線、組網(wǎng)能力，以及團(tuán)隊(duì)協(xié)作和分析問(wèn)題的能力。7.3政府上網(wǎng)工程網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.3.1項(xiàng)目需求分析

某政府機(jī)關(guān)總部在市中心某區(qū)域，分部在另一區(qū)域，分部和總部之間有一條線路連接，在總部和分部間運(yùn)行OSPF（OpenShortestPathFirst）路由。在使用網(wǎng)絡(luò)過(guò)程中經(jīng)常出現(xiàn)由于線路故障導(dǎo)致網(wǎng)絡(luò)中斷的情況，為了實(shí)現(xiàn)分部與總部之間的高可用性，在分部的網(wǎng)絡(luò)中通過(guò)配置VRRP（VirtualRouterRedundancyProtocol）路由協(xié)議來(lái)實(shí)現(xiàn)兩條線連接到總部，且兩條線路互為備份。

設(shè)計(jì)要求：①建立總部和分部之間網(wǎng)絡(luò)高效穩(wěn)定。②鏈路可實(shí)現(xiàn)遇到故障自動(dòng)切換。③具有完善的網(wǎng)絡(luò)安全機(jī)制。7.3政府上網(wǎng)工程網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.3.2項(xiàng)目設(shè)計(jì)1.拓?fù)湓O(shè)計(jì)該政府機(jī)關(guān)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖所示。2.IP地址設(shè)計(jì)本項(xiàng)目中IP地址規(guī)劃方案如表所示。區(qū)

域鏈路1鏈路2設(shè)

備總部Sl：Fal/0:Fal/1:華為路由器分部Sl:Fal/0：Fal/1:Fal/0：華為路由器2臺(tái)7.3政府上網(wǎng)工程網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程7.3.3項(xiàng)目實(shí)施1.

在路由器上配置IP地址在路由器上配置IP地址的命令如下:[RA]ints0/0/0[RA-Serial0/0/0]ipad30[RA]inte0/0/0[RA-Ethernet0/0/0]ipad24

[RB]inte0/0/1[RB-Ethernet0/0/1]ipad30[RB]inte0/0/0[RB-Ethernet0/0/0]ipad24

[RC]ints0/0/0[RC-Serial0/0/0]ipad30[RC]inte0/0/0[RC-Ethernet0/0/0]ipad30[RC]intg0/0/0[RC-GigabitEthernet0/0/0]ipad242.

配置OSPF創(chuàng)建OSPF的配置命令如下:[RA]ospf[RA-ospf-1]a0[RA-ospf-1-area-]net[RA-ospf-1-area-]net

[RB]ospf[RB-ospf-1]a0[RB-ospf-1-area-]net[RB-ospf-1-area-]net

[RC]ospf[RC-ospf-1]a0[RC-ospf-1-area-]net[RC-ospf-1-area-]net[RC-ospf-1-area-]net7.3政府上網(wǎng)工程網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.

配置VRRP配置VRRP的命令如下:[RA]inte0/0/0[RA-Ethernet0/0/0]vrrpvrid1virtual-ip54[RA-Ethernet0/0/0]vrrpvrid1priority120上述配置信息是將RA在VRRP組1中的優(yōu)先級(jí)配置為較高的的120,從而能夠成為Master路由器。另外，將RA在VRRP組1中