【保姆级教程】中小型企业网络从零到一（实用版）

精选原创

运维实战分享 2024-09-11 10:56:14 博主文章分类：网络安全 ©著作权

文章标签 #企业网络 #VLAN #MVRP #网络规划 #交换机配置 文章分类 运维 yyds干货盘点

©著作权归作者所有：来自51CTO博客作者运维实战分享的原创作品，如需转载，请与作者联系，否则将追究法律责任

实验目标

企业内各部门可以访问互联网站点
互联网用户可以访问企业官网站点
企业内各部门电脑IP地址自动分配

实验涉及技术要点

静态路由、VLAN、MVRP（多VLAN注册协议）、NAT、VLSM（可变长子网掩码）、DHCP、ACL（访问控制策略）

实验环境

H3C网络设备模拟器：V5.10.3 官网下载

实验拓扑图

【保姆级教程】中小型企业网络从零到一（实用版）_#交换机配置

实验信息

设备信息

名称	IP地址	子网掩码	网关地址
互联网用户	220.65.135.18	255.255.255.240	220.65.135.17
互联网站点	220.65.135.34	255.255.255.240	220.65.135.33
企业官网站点	172.16.20.2	255.255.255.0	172.16.20.1
企业OA站点	172.16.20.3	255.255.255.0	172.16.20.1

运营商信息

名称	IP地址	子网掩码	网关地址
企业出口	220.65.135.2	255.255.255.240	220.65.135.1

企业内网规划

名称	所属vlan	IP段	网关
网络设备互联	vlan10	172.16.10.0/24	172.16.10.1
服务器	vlan20	172.16.20.0/24	172.16.20.1
行政部	vlan30	172.16.30.0/24	172.16.30.1
财务部	vlan40	172.16.40.0/24	172.16.40.1
研发部	vlan50	172.16.50.0/24	172.16.50.1
管理层	vlan60	172.16.60.0/24	172.16.60.1

实验配置

运营商光猫

# 设置设备名称为GW
sysname GW

# 创建vlan20和vlan30
vlan 20
vlan 30

# 进入vlan20接口，配置vlan20的地址为220.65.135.17并设置子网掩码255.255.255.240
interface Vlan-interface20
 ip address 220.65.135.17 255.255.255.240

# 进入vlan30接口，配置vlan30的地址为220.65.135.33并设置子网掩码255.255.255.240
interface Vlan-interface30
 ip address 220.65.135.33 255.255.255.240

# 进入物理接口GE_0/0接口，配置运营商光猫网关地址为220.65.135.1并设置子网掩码255.255.255.240
interface GigabitEthernet0/0
 ip address 220.65.135.1 255.255.255.240

# 进入物理接口GE_0/1接口，更改接口模式为桥接，把接口加入vlan30
interface GigabitEthernet0/1
 port link-mode bridge
 port access vlan 30

# 进入物理接口GE_0/2接口，更改接口模式为桥接，把接口加入vlan20
interface GigabitEthernet0/2
 port link-mode bridge
 port access vlan 20

路由器

# 设置设备名称为Route
 sysname Route
 
# 创建nat公网地址池
nat address-group 0
 address 220.65.135.2 220.65.135.2

# 创建基础ACL规则编号2000，配置允许172.16.0.0/16网段所有IP访问任意地址
acl basic 2000
 rule 0 permit source 172.16.0.0 0.0.255.255

# 进入物理接口GE_0/0接口，配置公网出口地址为220.65.135.2，设置子网掩码255.255.255.240，
# 公网NAT地址池出方向应用ACL规则2000，设置企业官网站点IP和80端口映射公网地址和80端口
interface GigabitEthernet0/0
 ip address 220.65.135.2 255.255.255.240
 nat outbound 2000 address-group 0
 nat server protocol tcp global 220.65.135.2 80 inside 172.16.20.2 80
 
# 进入物理接口GE_0/1接口，配置路由器内网地址为172.16.10.2并设置子网掩码255.255.255.0
interface GigabitEthernet0/1
 ip address 172.16.10.2 255.255.255.0

# 配置静态路由默认路由，下一跳地址为公网网关地址220.65.135.1；配置回值路由访问17.16.0.0/16网段的地址，
# 下一跳地址核心交换机vlan10网关地址172.16.10.1
 ip route-static 0.0.0.0 0 220.65.135.1
 ip route-static 172.16.0.0 16 172.16.10.1

核心交换机

# 设置设备名称为SW_CORE
 sysname SW_CORE
 
# 开启DHCP服务
 dhcp enable

# 开启vlan全局自动同步
 mvrp global enable

# 依次创建vlan10、20、30、40、50、60
vlan 10
vlan 20
vlan 30
vlan 40
vlan 50
vlan 60

# 进入vlan10接口，配置vlan10的地址为172.16.10.1，子网掩码255.255.255.0
interface Vlan-interface10
 ip address 172.16.10.1 255.255.255.0
 
# 进入vlan20接口，配置vlan20的地址为172.16.20.1，子网掩码255.255.255.0
interface Vlan-interface20
 ip address 172.16.20.1 255.255.255.0
 
# 进入vlan30接口，配置vlan30的地址为172.16.30.1，子网掩码255.255.255.0
interface Vlan-interface30
 ip address 172.16.30.1 255.255.255.0
 
# 进入vlan40接口，配置vlan40的地址为172.16.40.1，子网掩码255.255.255.0
interface Vlan-interface40
 ip address 172.16.40.1 255.255.255.0
 
# 进入vlan50接口，配置vlan50的地址为172.16.50.1，子网掩码255.255.255.0
interface Vlan-interface50
 ip address 172.16.50.1 255.255.255.0
 
# 进入vlan60接口，配置vlan10的地址为172.16.60.1，子网掩码255.255.255.0
interface Vlan-interface60
 ip address 172.16.60.1 255.255.255.0

# 进入物理接口GE_1/0/1接口，把接口加入vlan10
interface GigabitEthernet1/0/1
 port access vlan 10
 
# 进入物理接口GE_1/0/2接口，配置接口为trunk模式，trunk模式运行所有vlan通过，开启vlan自动同步
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk permit vlan all
 mvrp enable
 
# 进入物理接口GE_1/0/3接口，配置接口为trunk模式，trunk模式运行所有vlan通过，开启vlan自动同步
interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk permit vlan all
 mvrp enable
 
# 进入物理接口GE_1/0/4接口，配置接口为trunk模式，trunk模式运行所有vlan通过，开启vlan自动同步
interface GigabitEthernet1/0/4
 port link-type trunk
 port trunk permit vlan all
 mvrp enable

# 配置静态默认路由，下一跳地址为路由器内网地址172.16.10.2
 ip route-static 0.0.0.0 0 172.16.10.2

# 创建vlan30地址池的DHCP服务器，设置网关为172.16.30.1，网段172.16.30.0，子网掩码255.255.255.0，
# 可分配地址段172.16.30.2到172.16.30.254，DNS地址223.5.5.5，禁止分配IP地址172.16.30.1
dhcp server ip-pool vlan30
 gateway-list 172.16.30.1
 network 172.16.30.0 mask 255.255.255.0
 address range 172.16.30.2 172.16.30.254
 dns-list 223.5.5.5
 forbidden-ip 172.16.30.1
 
# 创建vlan40地址池的DHCP服务器，设置网关为172.16.40.1，网段172.16.40.0，子网掩码255.255.255.0，
# 可分配地址段172.16.40.2到172.16.40.254，DNS地址223.5.5.5，禁止分配IP地址172.16.40.1
dhcp server ip-pool vlan40
 gateway-list 172.16.40.1
 network 172.16.40.0 mask 255.255.255.0
 address range 172.16.40.2 172.16.40.254
 dns-list 223.5.5.5
 forbidden-ip 172.16.40.1
 
# 创建vlan50地址池的DHCP服务器，设置网关为172.16.50.1，网段172.16.50.0，子网掩码255.255.255.0，
# 可分配地址段172.16.50.2到172.16.50.254，DNS地址223.5.5.5，禁止分配IP地址172.16.50.1
dhcp server ip-pool vlan50
 gateway-list 172.16.50.1
 network 172.16.50.0 mask 255.255.255.0
 address range 172.16.50.2 172.16.50.254
 dns-list 223.5.5.5
 forbidden-ip 172.16.50.1

# 创建vlan60地址池的DHCP服务器，设置网关为172.16.60.1，网段172.16.60.0，子网掩码255.255.255.0，
# 可分配地址段172.16.60.2到172.16.60.254，DNS地址223.5.5.5，禁止分配IP地址172.16.60.1
dhcp server ip-pool vlan60
 gateway-list 172.16.60.1
 network 172.16.60.0 mask 255.255.255.0
 address range 172.16.60.2 172.16.60.254
 dns-list 223.5.5.5
 forbidden-ip 172.16.60.1

服务器接入交换机

# 设置设备名称为SW_SERVER
 sysname SW_SERVER

# 开启vlan全局自动同步
 mvrp global enable
 
# 进入物理接口GE_1/0/1接口，配置接口为trunk模式，trunk模式运行所有vlan通过，开启vlan自动同步 
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk permit vlan all
 mvrp enable
 
# 进入物理接口GE_1/0/2接口，把接口加入vlan20
interface GigabitEthernet1/0/2
 port access vlan 20
 
# 进入物理接口GE_1/0/3接口，把接口加入vlan20
interface GigabitEthernet1/0/3
 port access vlan 20

# 进入vlan10接口，配置网络设备互联vlan10的地址为172.16.10.3，子网掩码255.255.255.0
interface Vlan-interface10
 ip address 172.16.10.3 255.255.255.0

# 配置静态默认路由，下一跳地址核心交换机vlan10网关地址172.16.10.1
ip route-static 0.0.0.0 0 172.16.10.1

办公区接入交换机1

# 设置设备名称为SW_ACCESS1
 sysname SW_ACCESS1
 
# 开启vlan全局自动同步
 mvrp global enable

# 进入物理接口GE_1/0/1接口，配置接口为trunk模式，trunk模式运行所有vlan通过，开启vlan自动同步 
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk permit vlan all
 mvrp enable
  
# 进入物理接口GE_1/0/2接口，把接口加入vlan30
interface GigabitEthernet1/0/2
 port access vlan 30
 
# 进入物理接口GE_1/0/3接口，把接口加入vlan40
interface GigabitEthernet1/0/3
 port access vlan 40

# 进入vlan10接口，配置网络设备互联vlan10的地址为172.16.10.4，子网掩码255.255.255.0
interface Vlan-interface10
 ip address 172.16.10.4 255.255.255.0
 
# 配置静态默认路由，下一跳地址核心交换机vlan10网关地址172.16.10.1
 ip route-static 0.0.0.0 0 172.16.10.1

办公区接入交换机2

# 设置设备名称为SW_ACCESS2
 sysname SW_ACCESS2
 
# 开启vlan全局自动同步
 mvrp global enable

# 进入物理接口GE_1/0/1接口，配置接口为trunk模式，trunk模式运行所有vlan通过，开启vlan自动同步 
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk permit vlan all
 mvrp enable
  
# 进入物理接口GE_1/0/2接口，把接口加入vlan50
interface GigabitEthernet1/0/2
 port access vlan 50
 
# 进入物理接口GE_1/0/3接口，把接口加入vlan60
interface GigabitEthernet1/0/3
 port access vlan 60

# 进入vlan10接口，配置网络设备互联vlan10的地址为172.16.10.5，子网掩码255.255.255.0
interface Vlan-interface10
 ip address 172.16.10.5 255.255.255.0
 
# 配置静态默认路由，下一跳地址核心交换机vlan10网关地址172.16.10.1
 ip route-static 0.0.0.0 0 172.16.10.1