导图社区 H3C小型园区组网典型
- 115
- 8
- 2
- 举报
H3C小型园区组网典型
基于华三官方制作,对华三组网典型进行整理。
编辑于2020-10-22 21:59:03- 网络技术
- 相似推荐
- 大纲
H3C小型园区 组网典型
组网需求
在小型园区中,S5130 系列或 S5130S 系列以太网交换机通常部署在网络的接入层,S5560X 系列或 S6520X 系列以太网交换机可部署在网络的核心,出口路由器一般选用 MSR 系列路由器。
1. 开启STP功能
1. 各交换机开启 STP 功能防止环路。
2. 链路聚合
2. 接入交换机与核心交换机通过链路聚合组网保证可靠性。
3. VLAN划分
3. 园区网中不同的业务部门划分到不同的 VLAN 中,部门间的业务在核心交换机上通过 VLAN 接口进行三层互通。
4. 核心交换机提供DHCP服务
4. 核心交换机作为 DHCP 服务器,为园区网用户动态分配 IP 地址。
5. 接入交换机开启配套服务
5. 接入交换机上开启 DHCP Snooping 功能,防止内网用户私接小路由器分配 IP 地址; 配置IP source guard 功能,防止内网用户私自更改 IP 地址。
组网图 p
配置思路
1. 登录设备
1. 设备与PC连接
1. 通常是用USB转RS232线+control线连接 也可以control线直接插入PC上的RS232接口(建议关闭PC后操作)
2. 打开终端仿真软件
2. 常见终端仿真软件:XShell、SecureCRT、PuTTY 配置参数: p
3. 给设备加电
2. 配置管理 IP 地址和 Telnet 功能
1. 创建管理VLAN并添加接口
1. <Sysname> system-view [Sysname] sysname ACCSW1 [ACCSW1] vlan 5 [ACCSW1-vlan5] port ten-gigabitethernet 1/0/10 [ACCSW1] quit
2. 为管理VLAN配置IP
2. [ACCSW1] interface vlan-interface 5 [ACCSW1-Vlan-interface5] ip address 10.10.1.1 24 [ACCSW1-Vlan-interface5] quit
3. 开启Ternet服务
3. [ACCSW1] telnet server enable
4. 配置认证方式
4. [ACCSW1] line vty 0 63 [ACCSW1-line-vty0-63] authentication-mode scheme [ACCSW1-line-vty0-63] quit
5. 创建网络用户
5. [ACCSW1] local-user admin [ACCSW1-luser-manage-admin] password simple admin [ACCSW1-luser-manage-admin] authorization-attribute user-role network-admin [ACCSW1-luser-manage-admin] service-type telnet [ACCSW1-luser-manage-admin] quit
3. 配置接口和 VLAN
4. 配置核心交换机 DHCP 服务器功能
5. 配置核心交换机路由
6. 配置出口路由器
7. 配置接入交换机的 DHCP Snooping 功能
8. 配置接入交换机 IP source Guard 功能
配置规划 p p
配置步骤
1. 配置接入交换机
1.1. 配置接口与VLAN
1.1. # 在接入交换机上创建 VLAN 10。 [ACCSW1] vlan 10 [ACCSW1-vlan10] quit # 配置连接 PC1 的接口 GigabitEthernet1/0/1,并配置为边缘端口。 [ACCSW1] interface gigabitethernet 1/0/1 [ACCSW1-GigabitEthernet1/0/1] port link-type access [ACCSW1-GigabitEthernet1/0/1] port acess vlan 10 [ACCSW1-GigabitEthernet1/0/1] stp edged-port [ACCSW1-GigabitEthernet1/0/1] quit # 配置连接 PC2 的接口 GigabitEthernet1/0/2,并配置为边缘端口。 [ACCSW1] interface gigabitethernet 1/0/2 [ACCSW1-GigabitEthernet1/0/2] port link-type access [ACCSW1-GigabitEthernet1/0/2] port acess vlan 10 [ACCSW1-GigabitEthernet1/0/2] stp edged-port [ACCSW1-GigabitEthernet1/0/2] quit # 配置连接打印机的接口 GigabitEthernet1/0/3,并配置为边缘端口。 [ACCSW1] interface gigabitethernet 1/0/3 [ACCSW1-GigabitEthernet1/0/3] port link-type access [ACCSW1-GigabitEthernet1/0/3] port acess vlan 10 [ACCSW1-GigabitEthernet1/0/3] stp edged-port [ACCSW1-GigabitEthernet1/0/3] quit
1.2. 配置上行链路聚合
1.2. # 创建二层聚合接口 1,并配置该接口为动态聚合模式。 [ACCSW1] interface bridge-aggregation 1 [ACCSW1] link-aggregation mode dynamic [ACCSW1-Bridge-Aggregation1] quit # 分别将端口 Ten-GigabitEthernet1/0/7 至 Ten-GigabitEthernet1/0/8 加入到聚合组 1 中。 [ACCSW1] interface ten-gigabitethernet 1/0/7 [ACCSW1-Ten-GigabitEthernet1/0/7] port link-aggregation group 1 [ACCSW1-Ten-GigabitEthernet1/0/7] quit [ACCSW1] interface ten-gigabitethernet 1/0/8 [ACCSW1-Ten-GigabitEthernet1/0/8] port link-aggregation group 1 [ACCSW1-Ten-GigabitEthernet1/0/8] quit # 配置二层聚合接口 1 为 Trunk 端口,并允许 VLAN 10 的报文通过。 [ACCSW1] interface bridge-aggregation 1 [ACCSW1-Bridge-Aggregation1] port link-type trunk [ACCSW1-Bridge-Aggregation1] port trunk permit vlan 10 [ACCSW1-Bridge-Aggregation1] quit # 通过 display link-aggregation verbose 命令查看聚合接口 1 配置结果。 <ACCSW1> display link-aggregation verbose Bridge-Aggregation 1 Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Port Status: S -- Selected, U -- Unselected, I -- Individual Port: A -- Auto port, M -- Management port, R -- Reference port Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Aggregate Interface: Bridge-Aggregation1 Creation Mode: Manual Aggregation Mode: Dynamic Loadsharing Type: Shar Management VLANs: None System ID: 0x8000, 000f-e267-6c6a Local: Port Status Priority Index Oper-Key Flag XGE1/0/7 S 32768 61 2 {ACDEF} XGE1/0/8 S 32768 62 2 {ACDEF} Remote: Actor Priority Index Oper-Key SystemID Flag XGE1/0/7(R) 32768 111 2 0x8000, 000f-e267-57ad {ACDEF} XGE1/0/8 32768 112 2 0x8000, 000f-e267-57ad {ACDEF} # 查看 ACCSW1 上 VLAN 10 的配置信息,验证以上配置是否生效。 [ACCSW1] display vlan 10 VLAN ID: 10 VLAN type: Static Route interface: Not configured Description: VLAN 0010 Name: VLAN 0010 6 Tagged ports: None Untagged ports: Bridge-Aggregation1 GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 GigabitEthernet1/0/7 GigabitEthernet1/0/8
1.3. 配置BPDU服务
1.3. [ACCSW1] stp bpdu-protection
1.4. 配置DHCP Snooping
1.4. # 开启 DHCP Snooping 功能。 [ACCSW1] dhcp snooping enable # 指定二层聚合接口 1 为 DHCP Snooping 功能的信任端口。 [ACCSW1] interface bridge-aggregation 1 [ACCSW1-Bridge-Aggregation1] dhcp snooping trust interface Bridge-Aggregation 1 [ACCSW1-Bridge-Aggregation1] quit
1.5. 配置 IP Source Guard
1.5. # 开启接口 GigabitEthernet1/0/1、GigabitEthernet1/0/2 的 IPv4 接口绑定功能,绑定源 IP 地 址和 MAC 地址,并启用接口的 DHCP Snooping 表项记录功能。 [ACCSW1] interface gigabitethernet 1/0/1 [ACCSW1-GigabitEthernet1/0/1] ip verify source ip-address mac-address [ACCSW1-GigabitEthernet1/0/1] dhcp snooping binding record [ACCSW1-GigabitEthernet1/0/1] quit [ACCSW1] interface gigabitethernet 1/0/2 [ACCSW1-GigabitEthernet1/0/2] ip verify source ip-address mac-address [ACCSW1-GigabitEthernet1/0/2] dhcp snooping binding record [ACCSW1-GigabitEthernet1/0/2] quit
2. 配置核心交换机
2.1. 配置VLAN与VLAN接口
2.1. # 创建 VLAN 10、VLAN 20 和 VLAN 100。 <Sysname> system-view [Sysname] sysname CORESW1 [CORESW1] vlan 10 20 100 # 创建 VLAN 接口 10,并将接口的 IP 地址配置为 10.10.10.1/24。 [CORESW1] interface vlan-interface 10 [CORESW1-Vlan-interface2]ip address 10.10.10.1 24 # 创建 VLAN 接口 20,并将接口的 IP 地址配置为 10.10.20.1/24。 [CORESW1] interface vlan-interface 20 [CORESW1-Vlan-interface2]ip address 10.10.20.1 24 # 创建 VLAN 接口 100,并将接口的 IP 地址配置为 10.10.100.1/24。 [CORESW1] interface vlan-interface 100 [CORESW1-Vlan-interface2]ip address 10.10.100.1 24
2.2. 配置下行链路聚合
2.2. # 创建二层聚合接口 1,并配置该接口为动态聚合模式。 [CORESW1] interface bridge-aggregation 1 [CORESW1] link-aggregation mode dynamic [CORESW1-Bridge-Aggregation1] quit # 分别将端口 Ten-GigabitEthernet1/0/7 至 Ten-GigabitEthernet1/0/8 加入到聚合组 1 中。 [CORESW1] interface ten-gigabitethernet 1/0/7 [CORESW1-Ten-GigabitEthernet1/0/7] port link-aggregation group 1 [CORESW1-Ten-GigabitEthernet1/0/7] quit [CORESW1] interface ten-gigabitethernet 1/0/8 [CORESW1-Ten-GigabitEthernet1/0/8] port link-aggregation group 1 [CORESW1-Ten-GigabitEthernet1/0/8] quit # 配置二层聚合接口 1 为 Trunk 端口,并允许 VLAN 10 的报文通过。 [CORESW1] interface bridge-aggregation 1 [CORESW1-Bridge-Aggregation1] port link-type trunk [CORESW1-Bridge-Aggregation1] port trunk permit vlan 10 [CORESW1-Bridge-Aggregation1] quit # 通过 display link-aggregation verbose 命令查看聚合接口 1 配置结果。 <CORESW1> display link-aggregation verbose Bridge-Aggregation 1 Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Port Status: S -- Selected, U -- Unselected, I -- Individual Port: A -- Auto port, M -- Management port, R -- Reference port Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Aggregate Interface: Bridge-Aggregation1 Creation Mode: Manual Aggregation Mode: Dynamic Loadsharing Type: Shar Management VLANs: None System ID: 0x8000, 000f-e267-6c6a Local: Port Status Priority Index Oper-Key Flag XGE1/0/7(R) S 32768 61 2 {ACDEF} XGE1/0/8 S 32768 62 2 {ACDEF} Remote: Actor Priority Index Oper-Key SystemID Flag XGE1/0/7 32768 111 2 0x8000, 000f-e267-57ad {ACDEF} XGE1/0/8 32768 112 2 0x8000, 000f-e267-57ad {ACDEF} # 查看 CORESW1 上 VLAN 10、VLAN 100 的配置信息,验证以上配置是否生效。 [CORESW1] display vlan 10 VLAN ID: 10 VLAN type: Static Route interface: Configured IPv4 address: 10.10.10.1 IPv4 subnet mask: 255.255.255.0 Description: VLAN 0010 Name: VLAN 0010 Tagged ports: None Untagged ports: Bridge-Aggregation1 GigabitEthernet1/0/7 GigabitEthernet1/0/8 [CORESW1] display vlan 100 VLAN ID: 10 VLAN type: Static Route interface: Configured IPv4 address: 10.10.100.1 IPv4 subnet mask: 255.255.255.0 Description: VLAN 0100 Name: VLAN 0100 Tagged ports: None Untagged ports: None
2.3. 配置DHCP服务器
2.3. # 开启 DHCP 服务。 [CORESW1] dhcp enable # 创建 DHCP 地址池 1,用来为 10.10.10.0/24 网段内的客户端分配动态 IP 地址,并配置 DNS 服务器地址、出口网关、租期,为打印机配置固定的 IP 地址 10.10.10.254。 [CORESW1] dhcp server ip-pool 1 [CORESW1-dhcp-pool-1] network 10.10.10.0 mask 255.255.255.0 [CORESW1-dhcp-pool-1] gateway-list 10.10.10.1 [CORESW1-dhcp-pool-1] dns-list 202.101.100.199 [CORESW1-dhcp-pool-1] expired day 30 [CORESW1-dhcp-pool-1] static-bind ip-address 10.10.10.254 24 client-identifier aabb-cccc-dd [CORESW1-dhcp-pool-1] quit # 创建 DHCP 地址池 2,用来为 10.10.20.0/24 网段内的客户端分配动态 IP 地址,并配置 DNS 服务器地址、出口网关、租期。 [CORESW1] dhcp server ip-pool 2 [CORESW1-dhcp-pool-2] network 10.10.20.0 mask 255.255.255.0 [CORESW1-dhcp-pool-2] gateway-list 10.10.20.1 [CORESW1-dhcp-pool-1] dns-list 202.101.100.199 [CORESW1-dhcp-pool-2] expired day 30 [CORESW1-dhcp-pool-2] quit # 配置 VLAN 接口 10 和 VLAN 接口 20 工作在 DHCP 服务器模式,并指定接口引用的地址池。 [CORESW1] interface vlan-interface 10 [CORESW1-Vlan-interface10] dhcp select server [CORESW1-Vlan-interface10] dhcp server apply ip-pool 1 [CORESW1-Vlan-interface10] quit [CORESW1 interface vlan-interface 20 [CORESW1-Vlan-interface20] dhcp select server [CORESW1-Vlan-interface20] dhcp server apply ip-pool 2 [CORESW1-Vlan-interface20] quit # 使用 display dhcp server pool 命令查看 DHCP 地址池的信息。 [CORESW1] display dhcp server pool Pool name: 1 Network: 10.10.10.0 mask 255.255.255.0 expired 30 0 0 0 gateway-list 10.10.10.1 static bindings: ip-address 10.10.10.254 mask 255.255.255.0 client-identifier aabb-cccc-dd Pool name: 2 Network: 10.10.20.0 mask 255.255.255.0 expired 30 0 0 0 gateway-list 10.10.20.1
2.4. 配置路由
2.4. # 配置缺省静态路由,下一跳指向出口路由器,使内网数据可以发到出口路由器。 [CORESW1] ip route-static 0.0.0.0 0 10.10.100.2 # 使用 display ip routing-table 命令查看路由表信息。 [CORESW1] display ip routing-table
3. 配置出口路由器
3.1. 配置公网接口和内网接口IP
3.1. # 配置公网接口 IP 地址。 [Router] interface GigabitEthernet0/0 [Router-GigabitEthernet0/0] ip address 202.101.100.2 30 # 配置内网接口 IP 地址。 [Router] interface GigabitEthernet0/1 [Router-GigabitEthernet0/1] ip address 10.10.100.2 24
3.2. 配置允许上网的ACL
3.2. # 配置 ACL。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permiet source 10.10.10.0 0.0.0.255 [Router-acl-ipv4-basic-2000] rule permiet source 10.10.20.0 0.0.0.255 [Router-acl-ipv4-basic-2000] rule permiet source 10.10.100.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 配置报文过滤。 [Router] interface gigabitethernet 0/1 [Router-GigabitEthernet0/1] packet-filter 2000 inbound [Router-GigabitEthernet0/1] quit [Router] packet-filter default deny # 使用 display acl 命令查看 ACL 的配置信息。 [Router] display acl 2000 Basic IPv4 ACL 2000, 2 rules, ACL's step is 5, start ID is 0 rule 0 permit source 10.10.10.0 0.0.0.255 rule 5 permit source 10.10.20.0 0.0.0.255 rule 10 permit source 10.10.100.0 0.0.0.255 # 使用 display packet-filter 命令查看 ACL 在报文过滤中的应用情况。 [Router] display packet-filter interface gigabitethernet 0/1 inbound Interface: GigabitEthernet0/1 Inbound policy: IPv4 ACL 2000
3.3. 配置到内网、公网的路由
3.3. [Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1 [Router] ip route-static 10.10.20.0 255.255.255.0 10.10.100.1 [Router] ip route-static 0.0.0.0 0.0.0.0 202.101.100.1
3.4. 配置DNS解析
3.4. [Router] dns server 202.101.100.199 [Router] dns proxy enable
验证、保存
验证
同一VLAN内两台PC能相互ping通 不同VLAN内两台PC能相互ping通 各VLAN内任选两台PC能ping通公网
保存
接入交换机、核心交换机、出口路由器 [CORESW1] save