ENSPネットワーク総合実験(WALN+トンネル+NAT)

開発 2023-06-19 00:33:26 訪問数: null

実験的なトポロジ https://wwa.lanzoub.com/ivTyH0w8vz6d 

例として、デバイス アクセス、アグリゲーション スイッチ (S3700、S5700)、およびルーター (AR3200) が使用されます。

  • アクセス層: ユーザーの役割には、従業員 (アクセス方法には有線と無線が含まれます) と訪問者 (無線アクセスのみ)、オフィス WIFI パスワード認証、認証なしの訪問者 WIFI が含まれます。

  • アグリゲーション層: リンクの冗長性を実現するためのスイッチのリンクアグリゲーション。LSW1 は、ワイヤレス ネットワークおよび AP 管理ネットワーク用の DHCP レイヤ 3 サーバーとして集中展開するためのソリューションです。
  • コア層: 有線アクセス ネットワーク用の DHCP リレー サーバー。アクセストラフィックに静的ルーティングを設定して、異なる役割を持つユーザーのネットワークアクセス権を実現します。
  • 従業員の自宅にあるホスト コンピュータ PC1 は、MAC アドレスを介してバインドされ、公衆ネットワークにアクセスするための特定の IP アドレスを取得します。デフォルトでは、トンネルの実装とパブリック ネットワークへのアクセスに PPPOE と NAT が使用されます。ダイヤルアップ ネットワークに障害が発生し、リンクが切り替わった場合、現時点ではトンネルのみが実現されます。
  • トンネリング プロトコルを実装して、クロスパブリック ネットワーク アクセスを実現します。

構成プロセス

ステップ

構成アイデア

基本的なネットワーク通信を構成する

1. リンクアグリゲーション、IPアドレス、VLAN分割を設定します。

アグリゲーションスイッチとACを構成する

2. AP と AC がオンラインになります。

3. レイヤ 3 VLAN ネットワークを構成します。

4. DHCP リレーを設定します。

コアスイッチを設定する


 

6. 有線ネットワークを DHCP サーバーに接続します。
7. トンネル プロトコルを実行し、静的ルーティングを設定して、出入りするトラフィック フローを制御します。

キャリアネットワークを構成する

8. PPPOE パラメータを設定します。
コンフィギュレーター ホーム ネットワーク 9. PC1で取得したIPアドレスを指定します。
10. トンネル プロトコルを実行し、流入および流出するフローを制御する静的ルーティングを設定します。

VLANサービスデータ部 

装置

計画

VLAN ID

ネットワークセグメント
LSW1\AC LSW1 と AC 間のインターワーキング VLAN VLAN 88 192.168.88.0/24

LSW1

LSW2

LSW3

APの管理VLAN

VLAN 100

10.1.100.0/24

ワイヤレス ユーザー向けのサービス VLAN

VLAN 102(オフィス)

 10.1.102.0/24

VLAN 101(ゲスト)

 10.1.101.0/24

有線ユーザー向けのサービス VLAN

VLAN 77

 10.1.77.0/24
LSW1

コア層を接続するネットワークセグメント

VLAN 99

 192.168.99.0/24

 ACワイヤレスサービスデータプランニング

計画

スタッフ

訪問者

セキュリティテンプレート

sec2: WPA/WPA2-802.1X 認証

sec1: オープン認証 (デフォルトのセキュリティ ポリシー)

SSIDテンプレート

ssid1:オフィス

ssid2:ゲスト

APグループ

ap-グループ1

ドメイン管理者テンプレート

ドメイン1

ビジネスデータ転送モード

トンネルダイレクトフォワーディングモード

VAP テンプレート

VAPオフィス

vap-ゲスト

設定手順

1. リンクアグリゲーション、VLAN分割、IPアドレスを設定します。

リンクアグリゲーション

要求.LSW1、LSW2.LSW3链路聚合最大活跃数量1、端口号大的作为主链路。
相关配置命令
trunk号有:12、13、23 (其他同理)
[LSW2]interface Eth-Trunk 12
[LSW2-Eth-Trunk12]display this
#
interface Eth-Trunk12
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 mode lacp-static
 lacp preempt enable
 max active-linknumber 1
 lacp preempt delay 10
#
interface GigabitEthernet0/0/1
 eth-trunk 12
#
interface GigabitEthernet0/0/2
 eth-trunk 12
 lacp priority 100 
#

 確認

 2. VLAN分割

1.链路多个vlan运行使用trunk、单个vlan运行使用access
VLAN 88 99 分别是AC互通VLAN、上层核心互通VLAN
[LSW1]display port vlan
[LSW1]int g0/0/24
[LSW1-GigabitEthernet0/0/24]display this
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 99
#
interface GigabitEthernet0/0/10
 port link-type access
 port default vlan 88
#
2. LSW2、LSW3VLAN划分(相同)
有线接入VLAN77、无线接入VLAN101(访客)、VLAN101(办公室)
AP有AC的管理VLAN100控制、业务数据流VLAN101\102、链路多个VLAN运行使用trunk
#
interface GigabitEthernet0/0/7
 port link-type access
 port default vlan 77
#
interface GigabitEthernet0/0/8
 port link-type access
 port default vlan 77
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 2 to 4094
#
3.AC也有VLAN划分
[AC6005-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 88
#

3.IPアドレス

Cloud云(模拟访问公网)
IP地址设为61.128.1.10 /24 网关61.128.1.254 /24。
方法:http://t.csdn.cn/hDuN0
display ip interface brief

アグリゲーションスイッチとACを構成する

AC/APオンライン

1.S5700与AC6005互通的路由
[AC6005]ip route-static 0.0.0.00.0.0.0 192.168.88.1
2、配置AP管理VLAN100(AP获取地址)
DHCP option43字段主要是用来:AP可通过DHCP的Option 43属性直接获取无线控制器的IP地址,
从而完成在AC无线控制器上的注册。
#
ip pool vlan100
 gateway-list 10.1.100.1
 network 10.1.100.0 mask 255.255.255.0
 excluded-ip-address 10.1.100.2 10.1.100.45
 option 43 sub-option 2 ip-address 192.168.88.2
#

interface Vlanif100
 ip address 10.1.100.1 255.255.255.0
 dhcp select global
#
2、配置无线业务 VLAN101、102(用户获取地址)
#
ip pool vlan101
 gateway-list 10.1.101.1
 network 10.1.101.0 mask 255.255.255.0
 excluded-ip-address 10.1.101.240 10.1.101.254
 dns-list 114.114.114.114
#
interface Vlanif101
 ip address 10.1.101.1 255.255.255.0
 dhcp select global
#
interface Vlanif102
 ip address 10.1.102.1 255.255.255.0
 dhcp select global
#
ip pool vlan102
 gateway-list 10.1.102.1
 network 10.1.102.0 mask 255.255.255.0
 excluded-ip-address 10.1.102.250 10.1.102.254
 dns-list 114.114.114.114
#
3、配置AP在AC上线
步骤1
在AC6005上创建域管理模板,名称为domain1,配置AC的国家码为中国CN,
然后创建AP组ap-group1,绑定域管理模板domain1到AP组ap-group1
[AC6005]wlan
regulatory-domain-profile name domain1
country-code cn
quit
ap-group name ap-group1
regulatory-domain-profile domain1
步骤2:配置AC的源接口(AC所在的VLAN)
[AC6005]capwap source interface Vlanif 88
步骤3:配置AP认证方式
MAC认证地址
[LSW2]dis int g0/0/8 查看AP获得的硬件地址。
[AC6005]wlan
ap auth-mode mac-auth
ap-mac 4c1f-ccb6-6e71 ap-id 0
ap-group ap-group1
quit
ap-mac 4c1f-ccfa-3470 ap-id 1
ap-group ap-group1
4、配置安全模板
步骤1:配置安全模板,名称为security-1,为open (访客)
名称为security-2,为WPA加密,密码是xxxxx。(办公室)
[AC6005-wlan-view]security-profile name security-1
security open
quit
security-profile name security-1
security wpa psk pass-phrase xxxxxx aes
步骤2:配置SSID模板,名称为ssid-0,Ssid guest
名称为ssid-1配置SSID模板:名称为office。
[AC6005]wlan
ssid-profile name ssid-0
ssid guest
quit
ssid-profile name ssid-1
ssid office
步骤3:配置VAP模板
vap-guest,设置转发方式为直接转发,设置无线业务VLAN为101,
并绑定安全模板security-1和SSID模板ssid-0。
vap-office,设置转发方式为直接转发,设置无线业务VLAN为102,
并绑定安全模板security-2和SSID模板ssid-1。
[AC6005]wlan
vap-profile name vap-guest
forward-mode direct
service-vlan vlan-id 101
security-profile security-1
ssid-profile ssid-0
quit
vap-profile name vap-office
forward-mode direct
service-vlan vlan-id 102
security-profile security-2
ssid-profile ssid-1
步骤4:绑定两个VAP模板到AP组
[AC6005]wlan
ap-group name ap-group1
vap-profile vap-guest wlan 1 radio all
vap-profilevap-office wlan 2 radio all

 

 コアスイッチを設定する

 

有線ネットワークアクセス DHCP サーバー

1.LSW1配置去核心交换机的路由,以及中继VLAN77
#
interface Vlanif77
 ip address 10.1.77.1 255.255.255.0
 dhcp select relay
 dhcp relay server-ip 192.168.99.1
#
ip route-static 0.0.0.0 0.0.0.0 192.168.99.1
#
2.AR1核心路由器创建地址池,以及回程路由,
排除的路由是固定终端IP的地址例如client、监控
#
ip pool vlan77
 gateway-list 10.1.77.1 
 network 10.1.77.0 mask 255.255.255.0 
 excluded-ip-address 10.1.77.10 10.1.77.15 
 dns-list 114.114.114.114 
#
ip route-static 10.1.77.0 255.255.255.0 192.168.99.2
#

トンネリングプロトコルを実行する

1.AR1创建tunel隧道
#
interface Tunnel0/0/1
 ip address 50.1.1.1 255.255.255.0 
 tunnel-protocol gre
 source 20.1.1.1
 destination 30.1.1.1
#

设置静态路由控制流量进出
1.去往公网的IP地址的默认路由
2.去往员工家里的隧道路由
无线接入用户无法访问ftp、公网、核心层。
#
ip route-static 0.0.0.0 0.0.0.0 20.1.1.2
ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/1 50.1.1.2
#

 キャリアネットワークを構成する

 

PPPOE リンクはトンネルとパブリック ネットワーク アクセスを実現します。

固定リンクはトンネルのみを実装できます。

ダイヤルアップ ネットワーク リンクに障害が発生した場合は、固定リンク g/0/0 に切り替えます。

PPPOE ダイヤルアップ 

1.AR2作为PPPoe的服务端提供认证、下发地址。
#
ip pool pppoe
 network 123.1.1.0 mask 255.255.255.0 
 excluded-ip-address 123.1.1.250 123.1.1.252 
 dns-list 114.114.114.114 
#
interface Virtual-Template1
 ppp authentication-mode chap 
 remote address pool pppoe
 ip address 123.1.1.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
 pppoe-server bind Virtual-Template 1
#
 local-user test password cipher 你的密码
 local-user test service-type ppp
#
2.AR3作为PPPoe的客户端挑战认证。
#
interface Dialer1
 link-protocol ppp
 ppp chap user test
 ppp chap password cipher 密码
 ip address ppp-negotiate
 dialer user test
 dialer bundle 1
#
#
interface GigabitEthernet0/0/2
 pppoe-client dial-bundle-number 1 
#

AR3 はリンクスイッチングを実現します 

1.当实际g0/0/2链路出现问题、dialer虚拟链路也失效。
2.默认dialer访问。
#
interface Dialer1
 dialer number 1 autodial
#
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2
ip route-static 0.0.0.0 0.0.0.0 Dialer1 preference 59
#

スタッフホーム

ホストPC1で取得したIPアドレスを指定します

绑定mac地址对应的IP地址
PC1的mac地址54-89-98-A9-70-8A
AR3
#
ip pool 1
 gateway-list 192.168.0.254 
 network 192.168.0.0 mask 255.255.255.0 
 static-bind ip-address 192.168.0.253 mac-address 5489-98a9-708a 
 dns-list 114.114.114.114 
#
interface GigabitEthernet0/0/1
 ip address 192.168.0.254 255.255.255.0 
 dhcp select global
#

 トンネリングプロトコルを実行し、出入りするトラフィックを制御します

1.AR3隧道协议、只能访问公司主机VLAN77
#
interface Tunnel0/0/0
 ip address 50.1.1.2 255.255.255.0 
 tunnel-protocol gre
 source 30.1.1.1
 destination 20.1.1.1
#
ip route-static 10.1.77.0 255.255.255.0 Tunnel0/0/0
#
2.ACL抓取PC1的IP地址,NAT访问公网
#
acl number 2000  
 rule 5 permit source 192.168.0.253 0 
#
interface Dialer1
nat outbound 2000
#

結果検証 

1. PC1/PC2 は 10.1.77.0/24 (会社ホスト) に ping できます。

      PC4 ping 192.168.0.253 (従業員の自宅)

2. PC1 が 61.128.1.10 (パブリック ネットワーク) に ping を実行します。

      int g0/0/2 シャットダウン ping はパブリック ネットワークに接続できません

3. Clinet4 は FTP サーバー (会社) にアクセスできます

      PC3/4 ping 192.168.77.1 (会社の FTP)

    Experiment.zip -実験構成 (.cfg) をLanzuo クラウドにインポートします

Wi-Fi パスワード admin123

 不安を和らげる最善の方法は、毎日インプットとアウトプットをしていると感じることです。

おすすめ

転載: blog.csdn.net/qq_56095985/article/details/130675499
おすすめ
ランキング
ワンポイントほぼ3正確なサイズの見積もり46128582
jqueryのIMGタグを削除
Brain-like sensors: Dynamic Vision Sensor and Dynamic Audio Sensor
フラグメントのAndroidドットスライドスイッチページは以下に示すと
C# 抽象クラス (抽象)
論文研究:堅牢なPDFマルウェア分類子のトレーニングについて
入力タグ付きのファイルをアップロードします(1つの記事を実行できます)
フラッター(9) - 引き出しスライドメニューとパッケージ管理
キーボードフック取得で
話し言葉412毎日20の英単語
アーカイブ
もっと
2024-07-30(0)
2024-07-29(0)
2024-07-28(0)
2024-07-27(0)
2024-07-26(0)
2024-07-25(0)
2024-07-24(0)
2024-07-23(0)
2024-07-22(0)
2024-07-21(0)

コードワールド

© 2018 codetd.com