項目總結(jié)

項目拓撲如下圖：

項目要求1:要求企業(yè)網(wǎng)絡(luò)內(nèi)部所有設(shè)備能夠互相通信IP地址規(guī)劃設(shè)計，網(wǎng)絡(luò)設(shè)備配置IP地址；為設(shè)備配置路由協(xié)議（ospf），讓其有能夠到達網(wǎng)絡(luò)的路徑；

項目要求2:不同部門之間的用戶數(shù)據(jù)互相隔離，但能夠?qū)崿F(xiàn)通信；創(chuàng)建VLAN并將不同部門的主機劃入不同的VLAN中（隔離）并不影響通信；

項目要求3:經(jīng)理辦公室可以訪問其他部門，其他部門不能訪問經(jīng)理室；創(chuàng)建ACL高級配置規(guī)則：拒絕其他部門的數(shù)據(jù)流量訪問經(jīng)理辦公室；在連接經(jīng)理辦公室的設(shè)備接口上應(yīng)用該高級ACL單向訪問控制

項目要求4:提升網(wǎng)關(guān)設(shè)備的備份冗余性；在各網(wǎng)關(guān)上創(chuàng)建vrrp備份組；設(shè)置虛擬主網(wǎng)關(guān)的IP地址；為主機分配網(wǎng)關(guān)地址為虛擬主網(wǎng)關(guān)的IP地址；當(dāng)一臺網(wǎng)關(guān)設(shè)備發(fā)生故障，主機會自動切換到備份網(wǎng)關(guān)，繼續(xù)與外網(wǎng)的通信。

項目要求5:要求企業(yè)內(nèi)部主機訪問外網(wǎng)時轉(zhuǎn)換成指定的公網(wǎng)地址；使用地址轉(zhuǎn)換技術(shù)NAT；

設(shè)置將企業(yè)網(wǎng)絡(luò)內(nèi)部的私網(wǎng)地址轉(zhuǎn)換成合法的公網(wǎng)地址；企業(yè)內(nèi)部主機訪問公網(wǎng)設(shè)備時，源IP地址為指定的公網(wǎng)地址

項目設(shè)備選型：

1. PC端：八臺；

2. 路由器：四臺；

3. 交換機：四臺；

4. 線纜：直通線若干，交叉線若干。

項目實驗手冊

• 對接入層進行IP地址規(guī)劃和配置,為實現(xiàn)vlan之間的隔離通信分別在四個交換機上創(chuàng)建vlan：vlan batch 10 20 30 40(其他交換機相同配置)

二.配置交換機的接口類型，交換機與PC端使用access類型，進入相對應(yīng)的接口：port link-type access ??port default vlan 10

交換機與路由之間使用trunk類型，進入相對應(yīng)的接口：port link-type trunk ?port trunk pvid vlan 10 ?port trunk allow-pass vlan all(其余交換機相同)

三.對匯聚層進行相關(guān)的配置，該項目的匯聚層原本是采用三層交換機來實現(xiàn)要求，但由于版本兼容，高級ACL在此處無法實現(xiàn)要求，所以換成AR2220，在開啟該路由時需要添加多個網(wǎng)卡。

四.在AR1上g0/0/0上配置物理IP地址： ip address 192.168.1.252 24

并在該接口上實現(xiàn)vrrp備份：vrrp vrid 1 virtual-ip 192.168.1.254（虛擬主網(wǎng)關(guān)）vrrp vrid 1 priority 120（優(yōu)先級越大搶占功能越強，默認為100），在vlan30 40不用配置優(yōu)先級（默認為100），在此實現(xiàn)主備的前提下在該路由上實現(xiàn)負載均衡vlan10 20為Master，vlan30 40為Backup.

在AR2上1/0/0上配置物理IP地址： ip add 192.168.4.253 24(該物理IP地址與AR1上的物理IP不能相同)，備份：vrrp vrid 4 virtual-ip 192.168.4.254（虛擬主網(wǎng)關(guān)）vrrp vrid 4 priority 120（優(yōu)先級越大搶占功能越強，默認為100）.

在配置vrrp遇到的問題：在配置好vrrp后使用dis vrrp 查詢時，發(fā)現(xiàn)全部都顯示的是Master，后查詢資料得知可能是二層線路環(huán)路，STP主要是防止出現(xiàn)線路環(huán)路。也有備份的功能，但常用做二層備份。
VRRP主要是設(shè)備直接的備份，它可以根據(jù)配置中監(jiān)控某個端口的狀態(tài)來決定是否改變自己的優(yōu)先級，從而改變工作狀態(tài)（Master或Backup），通常用于設(shè)備中網(wǎng)關(guān)的備份（多用于備份三層接口）
STP是解決交換網(wǎng)絡(luò)中循環(huán)問題.vrrp是解決網(wǎng)關(guān)冗余的問題.

五．通過上面的配置接入層的配置已經(jīng)完成，現(xiàn)在對匯聚層進行配置AR1上配置ospf：

<Huawei>system-view ??//進入系統(tǒng)視圖

[Huawei]ospf 1 ??//使用ospf

[Huawei-ospf-1]area 0 ?//進入?yún)^(qū)域（本人在此只使用了一個區(qū)域，如果后期公司需要擴充可以使用多個區(qū)域，一般0區(qū)域為骨干區(qū)域）需要注意的是如果劃分多個區(qū)域時，必須配置一個骨干區(qū)域，也可以使用虛鏈路。

[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 ??0.0.0.255 ??

[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 ??0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 ??0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 ??0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 ??0.0.0.255

在AR2上配置基本一樣，最有一條網(wǎng)段不一樣

[Huawei-ospf-1-area-0.0.0.0]network 192.168.6.0 ??0.0.0.255

• 通過上面的配置匯聚層已經(jīng)配置完畢，后對核心層AR3進行配置

進入接口配置ip地址：<Huawei>system-view ??//進入系統(tǒng)視圖

????[Huawei]interface GigabitEthernet ?0/0/0

[Huawei-GigabitEthernet0/0/0]ip address 192.168.5.2 24

其他三個接口也一樣。

而后開始配置ospf:<Huawei>system-view ??//進入系統(tǒng)視圖

[Huawei]ospf 1 ??//使用ospf

[Huawei-ospf-1]area 0 ??

[Huawei-ospf-1-area-0.0.0.0]network 192.168.6.0 ??0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 ??0.0.0.255

[Huawei-ospf-1-area-0.0.0.0]network 200.1.1.0 ????0.0.0.255

使用地址轉(zhuǎn)換技術(shù)NAT，企業(yè)內(nèi)部主機訪問外網(wǎng)時轉(zhuǎn)換成指定的公網(wǎng)地址

先在AR3上配置acl訪問控制 , 讓指定的內(nèi)網(wǎng)網(wǎng)段 , 可以訪問外網(wǎng)

rule 5 permit source 192.168.1.0 0.0.0.255

rule 10 permit source 192.168.2.0 0.0.0.255

rule 15 permit source 192.168.3.0 0.0.0.255

rule 20 permit source 192.168.4.0 0.0.0.255

配置nat地址池

nat address-group 1 200.1.1.3 ?200.1.1.253

進入AR3的 2/0/0進入邊界路由器連接外網(wǎng)的端口并將nat地址池 和acl 應(yīng)用在外網(wǎng)出去的端口:nat ?outbound ?2000 address-group 1

??

在AR4上配置接口IP地址

檢驗方法：用內(nèi)網(wǎng)隨意PCping外網(wǎng)PC并打開抓包工具對2/0/0接口進行抓包看是否全是200.1.1.0網(wǎng)段的IP地址

• 在AR1上配置高級acl控制策略，實現(xiàn)單向訪問控制；

acl number 3001 ?

rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo

rule 10 deny icmp source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo

rule 15 deny icmp source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo

rule 20 permit ip all

進入AR1g0/0/0接口,應(yīng)用高級acltraffic-filter outbound ?acl ?3001

在AR2上也進行相應(yīng)的配置

檢驗方法：用vlan10的PC可以ping通vlan20的PC，而其他網(wǎng)段的ping不通vlan10網(wǎng)段的

以上就是實現(xiàn)該項目的步驟文章來源地址http://www.zghlxwxcb.cn/news/detail-485748.html

到了這里，關(guān)于使用Ensp搭建中小型企業(yè)網(wǎng)絡(luò)項目的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！