1、实验拓扑:
2、实验要求:
将主机放在多个网段,提高性能,减少广播域,使网络更稳定。
-
网络中有3个不同部门,均可自动获取地址,各部门可互相访问,也可访问内网服务器172.16.100.1;内网服务器的域名是www.lige.net,各PC可以通过域名访问
-
PC1不允许访问互联网,PC2和PC3可以访问互联网
-
内网服务器对外发布的地址为64.1.1.3,互联网用户可以访问这台服务器
3、配置过程:
1、网络中有3个不同部门,均可自动获取地址,各部门可互相访问,也可访问内网服务器172.16.100.1;内网服务器的域名是www.lige.net,各PC可以通过域名访问
1.1 配置区域:
思路:将三个不同部门放在三个VLAN域,PC1放入VLAN 10,PC2放入VLAN 20,PC3放入VLAN30,开启DHCP自动获取地址,利用网关进行跨网段通信,访问域名采用DNS。
1.2 命令配置如下:
LSW3:
[Huawei]vlan batch 20 30
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]port default vlan 20
[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 30
[Huawei]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type trunk
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan all
LSW1:
预先配置VLAN 40 ,以供服务器使用;由于交换机接口无法直接配置IP地址,使用三层交换技术,将VLAN口与物理接口绑定,IP地址配置在VLAN口上,并开启DHCP和DNS服务。(在这里我有过一个失败尝试:我只创建了三个VLAN,企图以单臂路由的方式,打开子接口DHCP为各个主机分配地址,主机也确实都成功分配到各自网段的地址,但在推进DNS时无法推进,交换机接口无法直接配置IP地址,故卡在这,无法让主机访问到服务器)
[Huawei]vlan batch 10 20 30 40
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 40
[Huawei]dhcp enable
[Huawei]int vlan 10
[Huawei-Vlanif10]ip add 192.168.10.254 24
[Huawei-Vlanif10]dhcp select interface
[Huawei-Vlanif10]dhcp server dns-list 172.16.100.1
[Huawei]int vlan 20
[Huawei-Vlanif20]ip add 192.168.20.254 24
[Huawei-Vlanif10]dhcp select interface
[Huawei-Vlanif10]dhcp server dns-list 172.16.100.1
[Huawei]int vlan 30
[Huawei-Vlanif30]ip add 192.168.30.254 24
[Huawei-Vlanif10]dhcp select interface
[Huawei-Vlanif10]dhcp server dns-list 172.16.100.1
[Huawei]int vlan 40
[Huawei-Vlanif40]ip add 172.16.100.254 24
PC1/PC2/PC3:
验证:
Server1:
验证:
2、PC1不允许访问互联网,PC2和PC3可以访问互联网
思路:使用ACL控制访问外网权限,使用NAT技术使内网访问外网,LSW1和AR1和AR2之间互联采用静态路由方式。
配置如下:
2.1 AR1接口地址与外网设备配置:
AR2:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 64.1.1.10 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 8.8.8.254 24
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 9.9.9.254 24
AR1:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.10.10.1 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 64.1.1.1 24
Server2:
PC4:
2.2 配置ACL、NAT、静态路由命令如下:
LSW1:
三层交换机接口无法直接配置ip地址,创建VLAN口配置IP地址,并将物理接口与VLAN口绑定
[Huawei]clear configuration interface GigabitEthernet 0/0/3 //由于之前对G0/0/3口有些错误配置,将接口配置清空
[Huawei-GigabitEthernet0/0/3]undo shutdown //因清除接口下的配置后为shuadown(关闭)状态,故需undo shutdown开启接口
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 100
[Huawei]int vlan 100
[Huawei-Vlanif100]ip add 10.10.10.2 24
[Huawei]ping 10.10.10.1 //验证交换机是否可以ping通路由器
LSW1:
[Huawei]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1 //配置一条出去的路由
AR1:
[Huawei]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 //出去的路由
[Huawei]ip route-static 192.168.0.0 255.255.0.0 10.10.10.2 //回包给主机的路由转发路径
[Huawei]ip route-static 172.16.100.0 255.255.255.0 10.10.10.2 //服务器的路由转发路径
[Huawei]acl 2000 //创建编号为2000的ACL
[Huawei-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 //允许192.168.0.0网段通过(子网掩码反写)
[Huawei]nat address-group 1 64.1.1.5 64.1.1.5 //提供一个NAT地址池1,将内网地址转换为64.1.1.5这一外网地址
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //在必经接口调用ACL 2000的规则将192.168.0.0网段地址过滤出来全部转换为64.1.1.5再进行转发
[Huawei]acl 2001 //创建编号为2001的ACL
[Huawei-acl-basic-2001]rule deny source 192.168.10.0 0.0.0.255 //不允许192.168.10.0网段通过(子网掩码反写)
[Huawei-acl-basic-2001]rule permit source any //允许除192.168.10.0网段以外的其他网段通过
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2001 //在必经接口调用ACL 2001
在调用ACL 2001时我犯了个错误:
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
并未在g0/0/0入口调用,而是调用在g0/0/1出口(g0/0/1已调用ACL 2000),PC1仍能访问Server2,这就涉及到同一个接口调用一条以上ACL规则执行优先级问题,ACL 规则可以设置优先级,优先级的数值越小,优先级越高。2000比2001优先级高,先执行2000,而2001与2000规则冲突,便不会执行2001。
验证:
3、内网服务器对外发布的地址为64.1.1.3,互联网用户可以访问这台服务器
思路:以静态NAT实现。
配置如下:
AR1:
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server global 64.1.1.3 inside 172.16.100.1
验证:
至此,所有实验要求已完成。
标签:g0,int,ip,GigabitEthernet0,中小型,Huawei,实验,网络系统,port From: https://blog.csdn.net/weixin_64393029/article/details/143782805