0x01 项目需求:

Jan16公司新建一栋办公大楼,为了满足日常的办公需求,公司决定为财务部,项目管理部和服务器群建立互联互通的有线网络。其中为了方便项目管理部开展业务,需要自动获取公司DNS服务器的IP地址;公司已经申请了一条互联网专线并配有一个公网IP地址,希望所有员工都能访问Internet,后期规划所有设备由网络管理员进行远程管理。



0x02 配置需求:

服务器交换机使用两条链路连接到核心交换机,两条链路可以配置链路聚合,以防单链路出现故障,财务部和项目管理部处于同一区域,各部门的交换机使用一条链路连接到核心交换机,为防止单链路出现故障,可以通过其他部门的交换机到达核心交换机。采用这种方式连接时,三台交换机会形成环路,可以采用生成树技术解决该问题。

项目管理部为方便员工获取DNS服务器的IP地址,可以采用DHCP方式为该局域网自动分配IP地址和DNS地址,核心交换机,服务器群交换机和出口路由器采用均采用三层互联,可以配置动态路由协议自动学习路由,实现全网互联互通。

Jan16公司配有一个公网IP地址,各部门的所有员工都有访问Internet的需求,可以在出口路由器配置NAT。

为方便网络管理员对设备进行远程管理需要启用所有设备的SSH服务。


0x03 项目实施:

需要设备清单:两台5700交换机,两台3700交换机,两台AR2220路由器。设备之间互相连接



0x04 详细过程:


1. 规划vlan,使得二层互通

2. 规划IP地址

3. 配置DHCP,使得项目管理部能够自动获取地址

4. 配置OSPF动态路由,使得全网路由互通

5. 配置NAT


0x05 实验拓扑:

小型企业网项目建设实践(详细过程)_服务器


       基础配置:  VLAN规划

小型企业网项目建设实践(详细过程)_链路_02


       基础配置:设备管理规划

小型企业网项目建设实践(详细过程)_用户界面_03

       基础配置:IP规划

小型企业网项目建设实践(详细过程)_链路_04

      基础配置:SSH服务规划

小型企业网项目建设实践(详细过程)_链路_05


 0x06 任务1 VLAN配置

        1.1任务描述部署设备管理与各部门局域网,主要包括在核心交换机、各部门交换机上创建VLAN,并将接入交换机的端口划分给VLAN。

        1.2.1 创建VLAN在交换机SW1、SW2、SW3、SW4上创建VLAN并修改VLAN备注。

            ① 在交换机SW1上创建VLAN并修改VLAN备注。


<Huawei>system-view //进入系统视图

[Huawei]sysname SW1 //修改设备名称为SW1

[SW1]vlan 10 //创建VLAN 10

[SW1-vlan10]description FA //修改VLAN 10备注为FA

[SW1]vlan 20 //创建VLAN 20

[SW1-vlan20]description PM //修改VLAN 20备注为PM

[SW1]vlan 100 //创建VLAN 100

[SW1-vlan100]description SW-MGMT //修改VLAN 100备注为SW-MGMT

[SW1]vlan 201 //创建VLAN 201

[SW1-vlan201]description SW1-R1 //修改VLAN 100备注为SW1-R1

[SW1-vlan201]quit

               ② 在交换机SW2上创建VLAN并修改VLAN备注。

<Huawei>system-view

[Huawei]sysname SW2

[SW2]vlan 90

[SW2-vlan90]description DC

[SW2]vlan 100

[SW2-vlan100]description SW-MGMT

[SW2-vlan100]quit

              ③ 在交换机SW3上创建VLAN并修改VLAN备注

<Huawei>system-view

[Huawei]sysname SW3

[SW3]vlan 10

[SW3-vlan10]description FA

[SW3]vlan 20

[SW3-vlan20]description PM

[SW3]vlan 100

[SW3-vlan100]description SW-MGMT

[SW3-vlan100]quit

            ④ 在交换机SW4上创建VLAN并修改VLAN备注。


<Huawei>system-view

[Huawei]sysname SW4

[SW4]vlan 10

[SW4-vlan10]description FA

[SW4]vlan 20

[SW4-vlan20]description PM

[SW4]vlan 100

[SW4-vlan100]description SW-MGMT

[SW4-vlan100]quit


  1.2.2 划分VLAN

在交换机SW1、SW2、SW3、SW4上将端口划分给VLAN。① 在交换机SW1上将端口划分给VLAN。

[SW1]interface GigabitEthernet0/0/24 //进入GE0/0/24端口

[SW1-GigabitEthernet0/0/24]port link-type access //配置端口模式为access

[SW1-GigabitEthernet0/0/24]port default vlan 201 //配置端口默认VLAN为VLAN201

[SW1-GigabitEthernet0/0/24]quit //退出


          ② 在交换机SW2上将端口划分给VLAN。

SW2]port-group 1 //创建端口组1

[SW2-port-group-1]group-member Gi 0/0/1 to Gi 0/0/10 //将GE0/0/1~GE0/0/10端口加入端口组中

[SW2-port-group-1]port link-type access //配置端口模式为access

[SW2-port-group-1]port default vlan 90 //配置端口默认VLAN为VLAN90

[SW2-port-group-1]quit //退出 

         ③ 在交换机SW3上将端口划分给VLAN。

[SW3]interface GigabitEthernet0/0/3

[SW3-GigabitEthernet0/0/3]port link-type access

[SW3-GigabitEthernet0/0/3]port default vlan 10

[SW3-GigabitEthernet0/0/3]quit

        ④ 在交换机SW4上将端口划分给VLAN。

[SW4]interface GigabitEthernet0/0/3

[SW4-GigabitEthernet0/0/3]port link-type access

[SW4-GigabitEthernet0/0/3]port default vlan 20

[SW4-GigabitEthernet0/0/3]quit



0x07 任务2 以太网配置

      2.1 任务描述部署Trunk链路,实现交换机之间的互连及VLAN的互通,配置Eth-Trunk,提高核心交换机带宽,配置STP,提高各部门网络与核心网络的健壮性。

      2.2.1 配置Trunk配置交换机sW1、SW3、SW4的互连端口为Trunk模式,配置干道放行相应VLAN。

            ① 配置交换机SW1。

[SW1]interface GigabitEthernet0/0/1 //进入GE0/0/1端口

[SW1-GigabitEthernet0/0/1]port link-type trunk //配置端口模式为trunk

[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 100 //配置干道放行VLAN10、20、100

[SW1-GigabitEthernet0/0/1]quit //退出

[SW1]interface GigabitEthernet0/0/2 //进入GE0/0/2端口

[SW1-GigabitEthernet0/0/2]port link-type trunk //配置端口模式为trunk

[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 100 //配置干道放行VLAN10、20、100

[SW1-GigabitEthernet0/0/2]quit //退出

           ② 配置交换机SW3

[SW1]interface GigabitEthernet0/0/1 //进入GE0/0/1端口

[SW1-GigabitEthernet0/0/1]port link-type trunk //配置端口模式为trunk

[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 100 //配置干道放行VLAN10、20、100

[SW1-GigabitEthernet0/0/1]quit //退出

[SW1]interface GigabitEthernet0/0/2 //进入GE0/0/2端口

[SW1-GigabitEthernet0/0/2]port link-type trunk //配置端口模式为trunk

[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 100 //配置干道放行VLAN10、20、100

[SW1-GigabitEthernet0/0/2]quit //退出

           ③ 配置交换机SW4

[SW4]interface GigabitEthernet0/0/1 //进入GE0/0/1端口

[SW4-GigabitEthernet0/0/1]port link-type trunk //配置端口模式为trunk

[SW4-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 100 //配置干道放行VLAN10、20、100

[SW4-GigabitEthernet0/0/1]quit //退出

[SW4]interface GigabitEthernet0/0/2 //进入GE0/0/2端口

[SW4-GigabitEthernet0/0/2]port link-type trunk //配置端口模式为trunk

[SW4-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 100 //配置干道放行VLAN10、20、100

[SW4-GigabitEthernet0/0/2]quit //退出

2.2.2 配置Eth-trunk,并放行相应VLAN

配置核心交换机与服务器群交换机互连线路为Eth-Trunk,配置端口模式为Trunk并放行相应VLAN。

            ① 配置交换机SW1。

[SW1]interface eth-trunk 1 //创建Eth-Trunk 1

[SW1-Eth-Trunk1]port link-type trunk //配置端口模式为Trunk

[SW1-Eth-Trunk1]port trunk allow-pass vlan 100 //配置干道放行VLAN100[SW1-Eth-Trunk1]quit //退出

[SW1]interface g0/0/21 //进入GE0/0/21端口

[SW1-GigabitEthernet0/0/21]eth-trunk 1 //加入Eth-Trunk 1

[SW1]interface g0/0/22 //进入GE0/0/21端口

[SW1-GigabitEthernet0/0/22]eth-trunk 1 //加入Eth-Trunk 1

[SW1-GigabitEthernet0/0/22]quit //退出

           ② 配置交换机SW2。

[SW2]interface eth-trunk 1 //创建Eth-Trunk 1

[SW2-Eth-Trunk1]port link-type trunk //配置端口模式为Trunk

[SW2-Eth-Trunk1]port trunk allow-pass vlan 100 //配置干道放行VLAN100

[SW2-Eth-Trunk1]quit //退出

[SW2]interface g0/0/21 //进入GE0/0/21端口

[SW2-GigabitEthernet0/0/21]eth-trunk 1 //加入Eth-Trunk 1

[SW2]interface g0/0/22 //进入GE0/0/21端口

[SW2-GigabitEthernet0/0/22]eth-trunk 1 //加入Eth-Trunk 1

[SW2-GigabitEthernet0/0/22]quit //退出     


0x08 2.2.3 配置生成树

在交换机上启用STP功能,指定核心交换机的STP的优先级,配置连接各PC的端口为生成树边缘端口。


            ① 配置交换机SW1。

[SW1]stp enable //启用STP功能[SW1]stp mode rstp //配置STP模式为RSTP

[SW1]stp priority 4096 //配置STP优先级为4096

            ② 配置交换机SW3

[SW3]stp enable

[SW3]stp mode rstp

[SW3]interface g0/0/3

[SW3-GigabitEthernet0/0/3]stp edged-port enable

[SW3-GigabitEthernet0/0/3]quit

            ③ 配置交换机SW4。

[SW4]stp enable

[SW4]stp mode rstp

[SW4]interface g0/0/3

[SW4-GigabitEthernet0/0/3]stp edged-port enable



0x09 任务3 IP业务配置

3.1 任务描述在路由器、核心交换机和服务器群交换机上配置VLANIF接口的IP地址,并将其作为各部门的网关及设备互连IP地址,在核心交换机上启用DHCP功能,为项目管理部PC自动分配IP地址。


3.2 任务实施3.2.1 配置IP地址在各交换机的VLANIF接口和路由器的GE端口上配置IP地址。



           ① 配置交换机SW1。

[SW1]interface Vlanif 10 //进入VLANIF 10接口视图

[SW1-Vlanif10]ip address 192.168.10.1 24 //配置IP地址为192.168.10.1

[SW1-Vlanif10]quit //退出接口视图

[SW1]interface Vlanif 20 //进入VLANIF 20接口视图

[SW1-Vlanif20]ip address 192.168.20.1 24 //配置IP地址为192.168.20.1

[SW1-Vlanif20]quit //退出接口视图

[SW1]interface Vlanif 100 //进入VLANIF 20接口视图

[SW1-Vlanif100]ip address 192.168.100.1 24 //配置IP地址为192.168.100.1/24

[SW1-Vlanif100]quit //退出接口视图

[SW1]interface Vlanif 201 //进入VLANIF 20接口视图

[SW1-Vlanif201]ip address 10.1.1.1 30 //配置IP地址为10.1.1.1/30

[SW1-Vlanif201]quit //退出接口视图

             ② 配置交换机SW2。

[SW2]interface Vlanif 90

[SW2-Vlanif90]ip address 192.168.90.1 24

[SW2-Vlanif90]quit

[SW2]interface Vlanif 100

[SW2-Vlanif100]ip address 192.168.100.2 24

[SW2-Vlanif100]quit

             ③ 配置交换机SW3。

[SW3]interface Vlanif 100

[SW3-Vlanif100]ip address 192.168.100.3 24

[SW3-Vlanif100]quit

             ④ 配置交换机SW4。

[SW4]interface Vlanif 100

[SW4-Vlanif100]ip address 192.168.100.4 24

[SW4-Vlanif100]quit


             ⑤ 配置路由器R1。 

<Huawei>system-view //进入系统视图

[Huawei]sysname R1 //修改设备名称为R1

[R1]interface GigabitEthernet0/0/0 //进入GE0/0/0端口

[R1-GigabitEthernet0/0/0]ip address 16.16.16.1 24 //配置IP地址为16.16.16.1/24

[R1]interface GigabitEthernet0/0/1 //进入GE0/0/1端口

[R1-GigabitEthernet0/0/1]ip address 10.1.1.2 30 //配置IP地址为10.1.1.2/30

[R1-GigabitEthernet0/0/1]quit //退出

[R1]interface GigabitEthernet0/0/2 //进入GE0/0/2端口

[R1-GigabitEthernet0/0/2]ip address 10.1.1.6 30 //配置IP地址为10.1.1.6/30

[R1-GigabitEthernet0/0/2]quit



            ⑥ 在路由器R2(模拟Internet设备)上配置IP地址。

<Huawei>system-view //进入系统视图

[Huawei]sysname R2 //修改设备名称为R2

[R2]interface GigabitEthernet0/0/0 //进入GE0/0/0端口

[R2-GigabitEthernet0/0/0]ip address 16.16.16.16 24 //配置IP地址为16.16.16.16/24

[R2-GigabitEthernet0/0/0]quit


0x10 3.2.2 配置DHCP

在核心交换机 SW1上对VLAN 20启用DHCP功能,配置客户端从 IP地址池中获取IP地址。

[SW1]dhcp enable //全局启动DHCP功能

[SW1]interface Vlanif 20 //进入VLANIF 20接口

[SW1-Vlanif20]dhcp select interface //配置客户端从IP地址池获取IP地址[SW1-Vlanif20]dhcp server dns-list 192.168.90.100 //配置客户端从DHCP服务器上获取DNS地址




0x11 任务4 路由配置



4.1 任务描述在出口路由器、核心交换机、服务器群交换机上启用OSPF功能,在接入交换机上配置默认路由,实现公司内网的互连互通。

4.2 任务实施

      4.2.1 配置OSPF在路由器R1、交换机SW1和SW2上启用OSPF功能,并将对应网段加入OSPF Area 0中,路由器R1将默认路由通告到OSPF区域。

在路由器R1、交换机SW1和SW2上启用OSPF功能,并将对应网段加入OSPF Area 0中,路由器R1将默认路由通告到OSPF区域。

             ① 配置路由器R1。

[R1]ospf 10 //创建OSPF进程10

[R1-ospf-10]default-route-advertise always //将默认路由通告到OSPF区域[R1-ospf-10]area 0 //进入OSPF Area 0

[R1-ospf-10-area-0.0.0.0]network 10.1.1.0 0.0.0.3 //将10.1.1.0/30加入Area 0

[R1-ospf-10-area-0.0.0.0]quit //返回OSPF进程视图

[R1-ospf-10]quit //返回系统视图



            ② 配置交换机SW1。

[SW1]ospf 10

[SW1-ospf-10]area 0

[SW1-ospf-10-area-0.0.0.0]network 192.168.10.0 0.0.0.255

[SW1-ospf-10-area-0.0.0.0]network 192.168.20.0 0.0.0.255

[SW1-ospf-10-area-0.0.0.0]network 192.168.100.0 0.0.0.255

[SW1-ospf-10-area-0.0.0.0]network 10.1.1.0 0.0.0.3

[SW1-ospf-10-area-0.0.0.0]quit

[SW1-ospf-10]quit



           ③ 配置交换机SW2。

[SW2]ospf 10

[SW2-ospf-10]area 0

[SW2-ospf-10-area-0.0.0.0]network 192.168.90.0 0.0.0.255

[SW2-ospf-10-area-0.0.0.0]network 192.168.100.0 0.0.0.255

[SW2-ospf-10-area-0.0.0.0]quit

[SW2-ospf-10]quit



4.2.2 配置默认路由在接入交换机SW3、SW4上配置默认路由指向SW1。

           ① 配置交换机SW3。

[SW3]ip route-static 0.0.0.0 0 192.168.100.1 //配置默认路由指向192.168.100.1 

           ② 配置交换机SW4。

[SW4]ip route-static 0.0.0.0 0 192.168.100.1 //配置默认路由指向192.168.100.1


4.3 验证现象

[SW2] display ip routing-table


小型企业网项目建设实践(详细过程)_项目管理_06



0x11 任务5 出口配置

5.1 任务描述在核心交换机、出口路由器上配置NAT,使内网用户可以通过NAT访问Internet。

     5.2 任务实施

      5.2.1 配置NAT创建ACL 2000,配置规则为允许内网用户网段通过,在路由器R1的GE0/0/0接口上配置Easy IP方式的NAT Outbound,调用的访问控制列表编号为2000。


[R1]acl 2000 //创建ACL,编号为2000

[R1-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255 //配置规则,允许源IP地址192.168.10.0/24网段通过

[R1-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255 //配置规则,允许源IP地址192.168.20.0/24网段通过

[R1-acl-basic-2000] rule permit source 192.168.90.0 0.0.0.255 //配置规则,允许源IP地址192.168.90.0/24网段通过

[R1-acl-basic-2000]quit //返回全局模式

[R1]interface GigabitEthernet0/0/0 //进入GE0/0/0端接口

[R1-GigabitEthernet0/0/0]nat outbound 2000 //配置接口启用Easy IP方式的NAT

[R1-GigabitEthernet0/0/0]quit //退出



0x12 任务6 SSH服务配置

6.1 任务描述根据表4的相关内容配置各网络设备,启用SSH服务,使网管计算机能够通过SSH服务登录交换机设备并进行远程管理。

6.2 任务实施这里以交换机SW1为例进行介绍,在网络设备上配置SSH服务。其他交换机或路由器执行同样的操作,启用SSH服务


[SW1]rsa local-key-pair createInput the bits in the modulus[default = 512]:2048 //创建RSA密钥,在此过程中需要设置RSA密钥长度为2048

[SW1]stelnet server enable //使能STelnet服务(启用SSH服务)

[SW1]user-interface vty 0 4 //进入VTY用户界面

[SW1-ui-vty0-4]authentication-mode aaa //配置VTY用户界面认证方式为AAA

[SW1-ui-vty0-4]protocol inbound ssh //配置VTY用户界面支持SSH功能[SW1-ui-vty0-4]quit //退出VTY用户界面

[SW1]ssh user admin //创建SSH用户

[SW1]ssh user admin authentication-type password //配置admin用户认证类型为密钥认证

[SW1]ssh user admin service-type stelnet //配置admin用户认证服务方式为STelnet

[SW1]aaa

[SW1-aaa]local-user admin password cipher HwEdu12#$ //配置本地用户admin,密钥为HwEdu12#$

[SW1-aaa]local-user admin service-type ssh //配置本地用户admin的服务方式为SSH

[SW1-aaa]local-user admin privilege level 15 //配置本地用户admin的用户等级为15

[SW1-aaa]quit //退出AAA视图



0x12 任务7 项目测试

在项目管理部PC上进行以下验证:

PC>ipconfig

小型企业网项目建设实践(详细过程)_ip地址_07根据输出信息得出结论项目管理部PC成功通过DHCP成功获取IP地址。

PC>ping 16.16.16.16

小型企业网项目建设实践(详细过程)_用户界面_08在财务部的PC执行[ping 16.16.16.16 ]命令的过程中,在出口路由器R1上执行[display nat session all]命令, 查看NAT信息。

小型企业网项目建设实践(详细过程)_项目管理_09小型企业网项目建设实践(详细过程)_服务器_10

display nat session all