上节回顾
HCIP之二层架构(三)
一、实验要求
- 用户的网关配置在核心交换机
- 企业内网划分多个vlan,减少广播域大小,提高网络稳定性
- 所有设备,在任何位置都可以被telnet远程管理
- 出口配置NAT
- 所有用户均为自动获取ip地址
- 企业总部和分支采用PPP广域网链路连接。并采用CHAP对链路做认证
- 企业总部和分支采用ospf路由协议连接。
二、实验配置
- 先将交换机接口类型更改为access和trunk。并默认允许通过的vlan,并在核心交换机上配置网关
SW1:
sysname SW1
vlan batch 10 20 200
dhcp enable
ip pool vlan_10 第一个地址池
gateway-list 192.168.10.1 设置网关
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool vlan_20 第二个地址池
gateway-list 192.168.20.1 设置网关
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
interface Vlanif10 配置SVI接口
ip address 192.168.10.1 255.255.255.0
dhcp select global 全局采用
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
dhcp select global
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
SW2:
sysname SW2
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20
SW3:
sysname SW3
vlan batch 200
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 200
interface Ethernet0/0/2
port link-type access
port default vlan 200
SW4:
sysname SW4
vlan batch 10
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 10
SW5:
sysname SW5
vlan batch 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 20
- 创建管理vlan 999 ,使用SVI技术创建虚拟IP地址,并配置telnet远程管理
在所有交换机上创建vlan999用于管理,并设置IP地址
例如在SW1上:
vlan 999
int vlan 999
ip address 192.168.255.1 24 其他都要配置
在所有交换机上配置telnet
例如在SW1上:
telnet server enable
aaa
local-user hcip password simple hcip123 privilege level 3
local-user hcip service-type telnet
quit
user-interface vty 0 4
authentication-mode aaa
注:真实情况下要让管理vlan999回包,使得PC能够telnet其他设备
ip route-static 0.0.0.0 0 192.168.255.1 所有配置telnet设备都需配置
- 配置NAT转换
将所有地址配置完成后再进行NAT转换(地址在图中标注清楚)
注:SW1上先创建vlan800,然后修改接口类型为access,默认允许800即可,其他不变
R1:
acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
interface g0/0/2
nat outbound 2000
注:此时主机还是无法与外网进行通信,采用最后一个
条件进行配置(往下看奥)
- 使用单向认证
CHAP认证:
R1:认证端
aaa
local-user hcip password cipher 123
local-user hcip service-type ppp
interface s1/0/0
ppp authentication-mode chap
R2:客户端
interface s1/0/0
ppp chap user hcip
ppp chap password simple 123
注:华为、H3C串口默认封装方式为PPP,思科默认为HDLC
所有三层设备启用OSPF协议,实现全网互通
左边area0,右边area1即可
SW1:
ospf 1
area 0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.200.0 0.0.0.255
network 192.168.254.0 0.0.0.255
R1:
ospf 1
area 0
network 192.168.254.0 0.0.0.255
quit
ospf 1
area 1
network 192.168.253.0 0.0.0.255
R2:
ospf 1
area 1
network 192.168.253.0 0.0.0.255
network 192.168.100.0 0.0.0.255
- 后续测试
此时发现内网互通,但是无法ping通外网,可以在SW1和出口R1上设置缺省路由,允许内网用户上外网
SW1:
ip route-static 0.0.0.0 0 192.168.254.2
R1:
ip route-static 0.0.0.0 0 12.1.1.2
此时全网可通
注;telnet并未全部布置
