开发公司空置房物业费会计科目,关键词优化seo外包,php语言 网站建设,综合网站推广毕业设计类别 某大学网络规划与部署 目录 某大学网络规划与部署 第一章项目概述 1.1 项目背景 1.2 网络需求分析 第二章网络总体设计方案 2.1 网络整体架构 2.2 网络设计思路 第三章 网络技术应用 3.1 DHCP 3.2 MSTP 3.3 VRRP 3.4 OSPF 3.5 VLAN 3.6 NAT 3.7 WLAN 3… 毕业设计类别 某大学网络规划与部署 目录 某大学网络规划与部署 第一章项目概述 1.1 项目背景 1.2 网络需求分析 第二章网络总体设计方案 2.1 网络整体架构 2.2 网络设计思路 第三章 网络技术应用 3.1 DHCP 3.2 MSTP 3.3 VRRP 3.4 OSPF 3.5 VLAN 3.6 NAT 3.7 WLAN 3.8 ACL 3.9 链路聚合 4.1 接入层设备选型 4.2 汇聚层设备选型 4.3 核心层设备选型 4.4 无线设备选型 第六章附件 汇聚核心层配置(路由器) 汇聚核心层配置(交换机) Ip地址规划 汇聚核心层配置(路由器) 汇聚核心层配置(交换机) 第一章项目概述 1.1 项目背景 该学校位于深圳在北京上海都有分校中间通过运营商通信。是一所市示范性大学现深圳占地102 亩北京70亩上海80亩建筑面积有25000 平方米学校投入大量资金兴建了田 径场男生公寓女生公寓 IC 卡食堂两栋教职工宿舍两栋教学大楼行 政办公楼。学校形成了生活区域教学区域运动区域三区分立的格局。由于 校园面积占用大而且不集中导致网络无法全面覆盖有些地方无法提供上 网等服务。还有现在随着信息科学技术的不断发展无线网络发展迅速计划 将无线网络引入校园网络中配合有线网络进一步满足广大师生的网络需求 提高学校的信息交流功能使师生们能充分的利用 Internet 上的教学资源提 高老师们的教学能力和学生的整体水平能力。为了满足当前网络需求去扩展校 园网重新为学校设计了网络规划和部署方案以次来解决网络拥堵速率慢 等问题加快日常办公效率提高网络覆盖面积现对校园网络进行了详细的规划和部署并作出如下设计。 1.2 网络需求分析 校园网作为学校的重要教学资源。通过校园网的服务老师们能快速的查 询和利用网络上的资源为其教学和备课做好准备。学生们能通过校园网浏览 下载网上的学习资料和学习材料。办公人员能通过校园网提高办公效率提高 为全校师生服务的质量口。本方案的设计目标就是建立一个高性能高可靠性 可管理性灵活性可扩充性实用性强的校园网络。使网络信号可以覆盖到整个校园环境中为教师和学生们提供一个高质量的网络服务。1.提供 DHCP 服务使学校师生上网时能自动获取 IP 地址连入网络去进行网络冲浪。2.建立高可靠的设备冗余链路冗余单板冗余防止局部网络故障时能继续保障网络的连通性3.学校各个部门能够相互通信访问除了行政办公楼pc4不能与服务器互访实现校园内资源共享。4.各个楼中装有无线AP, 为全校师生提供无线服务通过连接WIFI 来提供上网服务 第二章网络总体设计方案 2.1 网络整体架构 详细网络拓扑结构如图2-1所示 图2-1 网络拓扑图 深圳校区 在此校园网络接入层中 PC1 代表博志楼属于VLAN10;PC2 代表笃学楼属于 VLAN20;PC3 代表宿舍楼属于VLAN30;PC4 代表图书馆属于VLAN40;PC5 代表 体 育 馆 属 于VLAN50;PC6 代表行政办公楼属于VLAN60;STA1-6 为各楼的无线终 端设备接入层交换机和主机 PC 之间的互联端口配置为 acesss, 划分相应的 VLAN。在汇聚层中将各汇聚交换机与接入层和核心层的交换机的互联端口配 置为 trunk, 允许放行所有 VLAN; 在核心层中核心层交换机和汇聚层交换机之 间运行MSTP与ac之间也运行mstp, 两台核心层交换机运行VRRP 和链路聚合这里要注意的是不仅仅是有线部分的备份无线部分也要备份。在两台核心交换机和路由器之间运行 OSPF; 在核心路由器上运行 DHCP, 配置地址池注意排除地址你虚拟网关的地址要排除避免地址冲突 在WLAN中 AC 和 AP之间的配置管理使用的是VLAN100,AP和无线终端之间的业务使用的是VLAN102;在出口方面配置默认路由和 NAT 策略。PC7 为公网上的主机用户client3为互联网www主机。 北京校区 Pc5为学校办公楼pc10为学生宿舍等其他client1为客户机访问深圳的服务器。 在路由器出口采用的nat地址转换。路由器上部署dhcp服务器并且划分子接口用来给各个pc划分ip地址。 上海校区 Pc5为图书馆client2用来访问外部服务器以及sta1和sta2分别是教学楼和宿舍楼。Ac采用三层组网dhcp部署在路由器上面。 2.2 网络设计思路 1.各楼中搭建无线接入点为其提供无线上网服务以及深圳和上海校区。 2.核心层交换机之间进行链路聚合和 VRRP, 提高网络带宽和实现链路冗余。3.在出口路由器上搭建NAT, 实现内网访问外网做nat server实现内网服务器能够映射在公网 。4.采用高级ACL, 实现pc4不能与深圳内部服务器互访提高安全性。5.核心层使用 OSPF 动态路由协议提高网络效率和链路冗余。6.在核心路由器配置DHCP 服务器使用户能动态获取 IP 地址以及无线。7.使用MAC地址与交换机绑定提高服务器的安全性。8.核心层和汇聚层交换机运行MSTP, 实现 VLAN间数据流量的负载均衡。上海和北京分部总体规划一致dhcp部署在路由器上面但是由于占地面积不大所以采用的子接口来自动规划ip vlan10 属于 10.1.10.0/24 vlan20 属于 10.1.20.0/24vlan30 属于 10.1.30.0/24 vlan40 属于 10.1.40.0/24。所有 pc 都通过 dhcp 获得地址。dhcp 服务器部署在 AR1 上DHCP基于全局地址池方式配置LSW1、LSW2 上做 DHCP 中继。 2.3 VLAN 及 IP 地址规划1.学校各部门网段及VLAN 规划学校各部门IP 地址范围默认网关 VLAN划分如表2-1 所示 Ip地址规划 深圳ip地址规划 设备 接口 IP地址 网关 部门 深圳S1 Vlanif10 10.1.1.1/27 10.1.1.30/27 深圳 深圳S1 Vlanif20 10.1.1.33/27 10.1.1.62/27 深圳 深圳S1 Vlanif30 10.1.1.65/27 10.1.1.94/27 深圳 深圳S1 Vlanif40 10.1.1.97/27 10.1.1.126/27 深圳 深圳S1 Vlanif100 10.1.100.253/24 10.1.100.254/24 深圳 深圳S1 Vlanof102 10.1.102.253/24 10.1.102.254/24 深圳 深圳S1 Vlanif200 深圳 深圳S1 Vlanif300 10.1.1.130/27 深圳 深圳S2 Vlanif10 10.1.1.2/27 10.1.1.30/27 深圳 深圳S2 Vlanif20 10.1.1.34/27 10.1.1.62/27 深圳 深圳S2 Vlanif30 10.1.1.66/27 10.1.1.94/27 深圳 深圳S2 Vlanif40 10.1.1.98/27 10.1.1.126/27 深圳 深圳S2 Vlanif100 10.1.100.252/24 10.1.100.254/24 深圳 深圳S2 Vlanof102 10.1.102.252/24 10.1.102.254/24 深圳 深圳S2 Vlanif200 10.1.1.162/27 深圳 深圳DHCP GigabitEthernet0/0/0 10.1.1.129/27 深圳 深圳DHCP GigabitEthernet0/0/1 10.1.1.161/27 深圳 深圳DHCP GigabitEthernet0/0/2 10.1.80.254/24 深圳 深圳DHCP GigabitEthernet1/0/0 Diall 0 深圳 深圳AC Vlanif100 10.1.100.1/24 深圳 深圳AC Vlanof102 10.1.102.1/24 深圳 北京ip地址规划 设备 接口 IP地址 网关 部门 北京DHCP GigabitEthernet0/0/1.1 10.1.10.254/24 北京 北京DHCP GigabitEthernet0/0/1.2 10.1.20.254/24 北京 上海ip地址规划 设备 VLAN IP地址 网关 部门 上海DHCP GigabitEthernet0/0/1.1 10.1.101.254/24 上海 上海DHCP GigabitEthernet0/0/1.2 10.1.102.254/24 上海 上海DHCP GigabitEthernet0/0/1.3 10.1.100.2/24 上海 上海DHCP GigabitEthernet0/0/1.10 10.1.10.254/24 上海 上海DHCP Serial4/0/1 100.1.1.42/28 上海 上海AC Vlanif1 192.168.169.2/8 上海 上海AC Vlanif100 10.1.100.1/8 上海 第三章 网络技术应用 3.1 DHCP DHCP全名为动态主机配置协议其是一种用于集中对用户IP 地址进行动态管理和配置的协议DHCP 采用 C/S(Client/Server) 架构用户主机不需要配置IP 地址而是直接从服务器获取 IP 地址接入网络后就可以使用 DHCP 相 较于手工配置而言其效率很高不需要手工一台一台配置 DHCP 的灵活性很 高能统一分配管理另外 DHCP 分配的 IP 地址是有租期的使得其能有效提 高地址的利用率。在核心路由器 shenzhenR1 上创建地址池 VLAN10,VLAN20,VLAN30, vlan40vlan100vlan101地 址 范 围 分 别 为10.1.1.1/27,10.1.1.33/27,10.1.1.65/27,10.1.1.97/2710.1.100.253/2410.1.102.253/24在 VLANIF10,20,3040,100 101接口启动基于全局地址池的DHCP 功能在核心交换机shenzhenS1 上开启 DHCP功 能 在VLANIF10,20,30 ,100,40,101接口开启 DHCP中继功能指明 DHCP服 务器的 IP 地址10.1.1.129/27,主要为VLAN10,20,30 40的用户分配 IP 地址在核心交换机 shenzhenS2 上开启DHCP 功 能 在 VLANIF10,20,30 接口开启 DHCP 中继功能指明 DHCP 服务器的 IP 地址 10.0.45.4/24,主要为VLAN40,50,60 的用户分配IP 地址当其中一台DHCP服 务器出现故障时另一台能够继续替代其工作这样减轻了核心交换机一部分 压力利于网络更加稳定。为AP分配地址范围为10.1.100.210.1.100.254/24的 IP 地址在 核心交换机 shenzhenS1 上的VLANIF100 接口上启动基于全局的 DHCP 功能为无线用户分配地址范围为10.1.102.110.1.102.254/24的 IP 地址。在路由器的出接口部署pppoe协议上内网的主机能够访问各个校区的主机。 在北京分校区上配置子接口给各个部门分配地址在出口配置ppp协议动态获取ip地址自动协商并且采用nat地址转换能让北京校区的各个主机能访问深圳校区和上海校区 在上海分校区上配置子接口通往ac以及子接口的各个网段这里上海校区采用的ac是三层组网的方式dhcp部署在路由器上面ap和sta的地址采用的是接口地址池的方式给各个主机分配ip地址。在出口部署专线上网并且部署nat地址转换能让上海校区访问其他校区的ip地址。 3.2 MSTP MSTP 全名为多生成树协议 MSTP 弥补了 STP 和 RSTP 的缺陷在 STP 和 RSTP中网络中只有一棵生成树导致所有的VLAN只能共享一棵树造成数据 流量无法负载均衡链路带宽利用率低设备资源的利用率低还会导致次优 路径的产生。MSTP 可以快速收敛提供了多条备份链路实现了数据的负载均 衡。在两台核心交换机shenzhneS1,shenzhneS2 和两台台汇聚交换机shanghais3shaghais4以及ac 上 运行MSTP, 配置MSTP 域名lwh, 将VLAN10,20,100,101映射到实例1上配置实例1 的根桥为 shanghaiS1, 备份根桥为 shanghaiS2, 根据选举规则汇聚交换机shanghais3shaghais4 与 shenzhens2 到shenzhenS1 的根路径开销一样然后比较桥 ID, 因 为 shenzhenS2 为备份根桥所以 shenzhenS2 与汇聚交换机互联的三个端口成为指定 端口进入转发模式而汇聚交换机与 shenzhenS2 互联的的端口GO/0/6 会被成为 替代端口会被阻塞掉VLAN10,20,30,100,101 的数据通过核心交换机 shenzhen S1转发 VLAN 40 30,映射到实例2上配置实例2的根桥为shenzhen S2,备份根桥为 shenzhenS1, 根据选举规则汇聚交换机 数据通过核心交换机shenzhenS2 转发通过配置MSTP实现VLAN数据的负载均衡使整体网络更加稳定。 3.3 VRRP VRRP全名为虚拟路由器冗余协议是一种在部署冗余网关时最常用的FHRP (第一跳冗余协议)。VRRP 是一种容错协议通过将几台物理路由设备虚拟化 为一台路由设备当主机的下一跳设备出现问题时能自动切换到另外一台工作 正常的备份设备上进行数据业务的转发实现网关冗余保障通信的可靠性回 在两台核心交换机上部署VRRP,在核心交换机shenzhenS1 上进入VLANIF10,20,100,101 接口配置 VRRP 组 VRRP1,VRRP2,VRRP3 VRRP4 的优先级为110,使其成为主用设备 VRRP 组 VRRP4,VRRP5 优先级不变默认100,成为备用设备在核心交 换机shenzhenS2 上进入VLANIF40,50接口配置VRRP组 VRRP4,VRRP5 的 优先级为120,使其成为主用设备VRRP组 VRRP1,VRRP2,VRRP3VRRP4 成为备用设备 主用出现故障时备用会替代主用成为新的主用设备通过优先级的大小选举 主备优先级大的自然成为主相同时则比较接口IP 地址大小大者优先。还可以跟踪上行链路当主用设备上行链路出现故障时可以减小设备的优先级使其优先级低于备用设备备用立即成为主用转发数据保障网络的连续性。 3.4 OSPF OSPF 全名为开放式最短路径优先协议它是一种基于链路状态的内部网关 路由协议可以在网络拓扑和链路状态发生变化时自动的去收敛网络根据 SPF 算法自动的去计算出无环的路径其多区域的规划使得 OSPF 能够支持更大 规模的网络。在本校园网络核心层中使用OSPF 动态路由协议提高数据流量传 输速率。在两台核心交换机和两台核心路由器和防火墙之间运行 OSPF 协议实现路由互通。将两台核心交换机 shenzhenS1,shenzhenS2, 核心路由器 shenzheR1之间划分为骨干区域 area0, 三台核心层设备间的互联链路属于骨 干区域area0 。 两台核心路由器shenzhenR1上引入一条外部默认路由使得用户去访问外网时路由可达。 3.5 VLAN VLAN 全名为虚拟局域网将一个物理的局域网在逻辑层面上划分为多个广 播域使得在同一个 VLAN 里面的主机可以相互通信而不同的 VLAN 间的主机 就被相互隔离不能通信。这种技术能有效缩小广播域规模提高通信效率 提高网络的整体性能”,还可以保证各部门的独立和安全。在本校园网络方案 中将博志楼划分为VLAN10, 笃学楼楼划分为VLAN20, 宿舍楼划分为VLAN30,体育 馆划分为 VLAN40, 图书馆划分为 VLAN50,行政办公楼划分为 VLAN60, 创建 VLAN100 负责无线控制器AC 和无线接入点AP之间隧道转发数据创建 VLAN101负责无线终端用户数据传递上网。将接入交换机shenzhens4和shenzhens5 与终端用户 PC1-5 互联 的端口工作模式设置为access 模式并且划入对应VLAN; 接入交换机和汇聚交 换机之间的互联端口配置为 trunk 模式允许所有 VLAN 通过汇聚交换机和核 心交换机之间的互联端口配置为 trunk 模式允许所有 VLAN 通过汇聚层交换机与AP 互联的端口配置PVID为 VLAN100, 用于准确获取到AC 上 VLANIF101 基于全局的DHCP 分配的IP 地址在两台核心交换机创建VLAN 200 和300 配置VLANIF接 口IP 地址用于与路由器互联 3.6 NAT NAT 全名为网络地址转换 NAT 技术是将内部私有网络地址转换成合法的外 部公有网络地址的技术实现私有网络和公有网络中资源的互访 NAT 技术能 有效的缓解 IPV4 地址不够用的问题也能让外网无法与使用私有 IP 地址的内 网进行通信可以提高内网的安全还能提供一定的安全访问功能。在本校园 网络方案中使用的是NAT技术中的一种为NAPT的技术首先建立一个公有IP地址池池中有两个公有 IP 地址100.1.1.4和100.1.1.5,学院内网用户去访 问外网时会选择一个地址池中的地址同时转换 IP, 端口不仅可以实现 IP 地址的转换还可以转换端口号(1024-65535),实现公有 IP 地址与私有 IP 地 址的1: n 映射使得地址映射关系数量很多可以大大提高地址使用率学校内部主机用户使用转换后的公网 IP 地址去访问外网。 3.7 WLAN WLAN 全名为无线局域网是指通过无线技术构建的无线局域网络无线网 络与有线网络最大的不同就在于传输介质不一样无线网络以无线电技术取代 了网线。无线网络的灵活性高使用无线信号进行网络通信只要有信号就可 以接入网络其可扩展性较有线来说很高可以使多个无线终端同时一起接 入网络中而有线网络 一个端口只能接入一个设备无线网络优势更加的明 显。加之现在5G 技术的到来推进新一代信息网络技术广泛运用。无线网络规 模将持续扩大。在本校园网络方案中搭建一个无线局域网为全校师生提供 无线 WIFI 服务创建两个VLAN,VLAN100 为管理 VLAN, 负责无线控制器 AC 和 无线接入点AP之间隧道转发数据 VLAN101 为业务VLAN, 负责无线终端用户数 据传递上网。首先在AC上部署DHCP, 为 AP分配 IP 地址AP获取到IP 地址 发现 AC后通过CAPWAP隧道与AC建立连接 AC将WLAN业务配置下发到AP上 无线用户通过搜索无线网络 SSID 名为 shenzhen, 通过认证后核心交换机 shenzhen-S1为其分配IP 地址最后通过CAPWAP隧道转发或者直接转发用户上网业务数据。 3.8 ACL ACL 全名为访问控制列表ACL 是一种网络安全技术。是由一系列规则组成 集合 ACL 通过这些规则对报文进行分类使得设备可以对不同类型的报文进 行不一样的处理。 一条ACL由若干条permit 或 deny 语句组成。ACL又分几种 有基本 ACL,高 级ACL,二层 ACL,还有用户自定义ACL。 在本校园网络方案中使 用的是高级ACL, 在shenzhendhcp这台路由器上面配置acl首先配置pc4不能访问服务器做acl deny掉pc4的流量然后运用太去往服务器的出接口。第二个acl是做nat允许内网的所有流量访问外网在出接口的dialr0口配置easyip。 3.9 链路聚合 以太网链路聚合是指通过将多个物理接口聚成一个逻辑接口有效增加了 链路带宽使得链路间带宽都能用来转发设备之间的数据流量提高了传输速 率还有效提高了设备间的链路的可靠性实现了端口和链路双层面的冗余 在本方案中在核心交换机之间配置链路聚合创建聚合组将两端互联端口 GO/0/21到 GO/0/24 加入到组中配置模式为 LACP 模式在shenzhenS1 上配置系统 LACP优先级10000,默认值为32768,数值越低优先级越高使shenzhenS1 成为主动端将Eth-Trunk 端口工作模式配置为 Trunk, 允许放行所以VLAN通过。 网络设备选型 4.1 接入层设备选型 接入层位于网络三层架构中的最底层接入层交换机是直接面向用户连接 的其目的是允许终端用户连接到网络具有低成本和高端口密度特性适用广泛所以对其性能要求不高选用的接入层交换机如下图3-1所示 图3-1 接入层交换机交换机详细参数如下表3-1所示表3-1接入层交换机详细参数 交换容量 64Gbps 包转发率 S3700-28TP-SI-AC:14.1MppSS3700-52P-SI-AC:17.7Mpps 端口描述 下行24个或者48个百兆端口上行4个千兆端口 可靠性 支持RRPP/Smart-Link/智能以太保护SEP IP路由 静态路由RIP v1/v2,ECMP IPv6特性 支持ND支持PMTU支持IPv6 Ping,IPv6 Tracert,IPv6 Telnet 支持手动配置Tunne1支持6to4 tunnel支持基于源IPv6地址目的IPv6地址TCP/UDP协 议端口号协议类型等ACL 接入和安全特性 支持防止DOS,ARP攻击ICMP防攻击功能支持IP,MAC,端口VLAN的组合绑定支持端口隔离端口安全Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证支持单端口最大用户数限制 支持AAA认证支持Radius,HWTACACS支持SSH V2.0支持CPU保护功能支持黑名单和白名单支持DHCP Server,DHCP Relay,DHCP Snooping,DHCP Security 管理和维护 支持智能堆叠支持Telnet远程配置和维护支持SSH V2支持SNMP v1/v2/v3;支持RMON支持MUX VLAN特性支持GVRP协议 支持eSught 网管系统支持WEB管理特性 台数 5台 4.2 汇聚层设备选型 汇聚层位于接入层和核心层之间发挥着承上启下的作用要处理接入层 传上来的数据流量又要将数据传输到核心层汇聚层交换机是多台接入层交 换机的汇聚点所以其性能要比接入交换机强处理速度要较快。选用的汇聚层交换机如下图所示 图3- 2 汇聚层交换机 交换机详细参数如下表3-1所示表3-2 汇聚层交换机详细参数 交换容量 256Gbps 包转发率 66Mpps 固定端口 12x10/100/1000BASE-T,12x100/1000Base- X,2x10GE SFP MAC地址表 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态动态黑洞MAC表项支持源MAC地址过滤MAC地址容量16K IP路由 静态路由支持三层动态路由 VLAN特性 支持4K个VLAN支持SuperVLAN支持MUX VLAN功能 支持基于MAC/协议/IP子网/策略/端口的 VLAN 环网保护技术 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持BPDU保护根保护和环回保护 接入安全 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security ,SAVI等 管理和维护 支持eSight网管系统支持WEB网管 支持自动配置Easy Operation方案 支持SNMP v1/v2/v3支持系统日志分级告警 可靠性 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACF 台数 2 4.3 核心层设备选型 核心层处于网络三层架构中的最上层也是最重要最核心的部分核心层 是整个网络的高速交换主干所有要出内网的数据流量都必须经过核心层所 以对其设备要求很高必须要有很快的处理能力非常快的转发速率高带宽 还需要有高可靠性保障设备出现故障时不影响正常的转发也能防止设备压力过大而导致的设备故障问题。核心交换机产品图如下图所示 图3-3 核心交换机产品图 核心交换机详细参数如表3-3所示表3-3核心交换机详细参数 交换容量 416Gbps 包转发率 156Mpps 固定端口 12x10/100/1000BASE-T,4个复用的千兆SFP端 口,4x10GE SFP 扩展插槽 提供两个扩展插槽支持上行插卡 MAC地址表 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态动态黑洞MAC表项支持源MAC地址过滤MAC地址容量32K IP路由 静态路由支持三层动态路由 VLAN特性 支持4K个VLAN支持Guest VLAN ,Voice VLAN支持Super VLAN支持MUX VLAN功能 支持GVRP协议 支持基于MAC/协议/IP子网/策略/端口的 VLAN 环网保护技术 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持ERPS以太保护协议支持智能以太保护SEP协议支持BPDU保护根保护和环回保护 支持BPDU Tunne] 接入安全 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security,SAVI等 管理和维护 支持eSight网管系统支持WEB网管 支持自动配置Easy Operation方案 支持SNMP v1/v2/v3支持系统日志分级告警支持HTTPS支持RMON支持sFlow支持NetStream支持智能堆叠 可靠性 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACP支持BFD For OSPF/ISIS/VRRP/PIM协议 如下图3-4核心路由器产品图所示 图3 - 4核心路由器产品图 核心路由器详细参数如下表3-4所示表3-4核心路由器详细参数 处理器 ARM644核 转发性能 9Mpps-40Mpps 整机交换容量 20Gbps-80Gbps 固定WAN接口 1*GE Combo1*GE电1*10GE光 固定LAN接口 8*GE电 SCI插槽 2 WSIC插槽(默认/最大) 0/1 5G 支持5G-SIC业务板卡 串行辅助/控制台端口 1*RJ45 Console串口 USB接口 2*USB 内存 2GB Flash 1GB/512M 热插拔 支持 台数 5 4.4 无线设备选型 如下图3 - 6无线接入控制器产品图所示 图3-6无线接入控制器产品图 无线接入控制器参数如下表3-6所示表3-6无线接入控制器参数 端口 12xGE12x10GE2x40GE 电源 AC/AD 转发模式 直接转发和隧道转发 隧道转发 120Gbps 直接转发 120Gbps 最大可管理AP数量 6144 最大可接入用户数 65536 AP和AC间组网方式 L2/L3层网络拓扑 AC冗余备份 11热备/N1备份方式 无线协议 802.1la/b/g/n/ac wave2/ax 台数 2 如下图3-7无线接入点产品图所示 图3-7无线接入点产品图 无线接入点产品详细参数如下表3-7所示表3-7无线接入点产品详细参数 尺寸 220mm x 220mm x 47mm 电源输入 DC:12V±10% 最大功耗 19.3W 用户数 小于768 工作温度 -10°C50°C 天线类型 自适应阵列天线 最高速率 3Gbps 无线协议 802.1la/b/g/n/ac/ac wave2 最大发射功率 2.4GHz:23dBm5GHz-0:24dBm5GHz-1:27dBm 台数 2 第五章 第六章附件
汇聚核心层配置(路由器)
北京 [V200R003C00]
# sysname Beijing
#
acl number 3000 //创建高级acl rule 5 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过 rule 10 permit ip source 10.1.20.0 0.0.0.255 //允许来自10.1.20.0/24网段的IP报文通过
#
aaa //aaa认证 authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0 //进入Serial 4/0/0视图 link-protocol ppp //配置接口链路层协议
#
interface Serial4/0/1 link-protocol ppp //配置接口链路层协议 ppp chap user client // 配置chap验证用户名client ppp chap password cipher %$%$-/R*TvC1NU*bgTnPFk5,(W3%$%$ //创建chap用户密码 ip address ppp-negotiate //允许接口进行ip地址协商 nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/1.1 dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID ip address 10.1.10.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.2 dot1q termination vid 20 //配置子接口终结dot1q的单层vlan ID ip address 10.1.20.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录 ISP [V200R003C00]
# sysname ISP
#
ip pool ISP //IP地址池名称 gateway-list 100.1.1.6 //网关 network 100.1.1.0 mask 255.255.255.248 //地址池网段范围 dns-list 114.114.114.114 //dns地址
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http local-user client password cipher %$%$4i0Gu9qi*3s;Dp~G9{%$%$ //创建本地用户client local-user client service-type ppp //配置用户client的接入类型为http #
interface Virtual-Template1 //创建VT ppp authentication-mode pap //ppp认证模式为pap认证 remote address pool ISP //为远程PPP客户端分配ISP地址池的IP地址 ip address 100.1.1.6 255.255.255.248 //设置VT IP地址为网关地址
#
interface GigabitEthernet0/0/0 ip address 100.1.1.9 255.255.255.248
#
interface GigabitEthernet0/0/1 pppoe-server bind Virtual-Template 1 //在此接口启用pppoe功能
#
ospf 1 default-route-advertise always type 2 //下放默认路由 area 0.0.0.0 network 100.1.1.0 0.0.0.7 //ospf宣告直连网段 network 100.1.1.8 0.0.0.7
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.10 //配置静态路由
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录
ISP2 [V200R003C00]
# sysname ISP2
#
dhcp enable //启用dhcp服务
#
ip pool Beijing gateway-list 100.1.1.38 //ip地址池网关配置 network 100.1.1.32 mask 255.255.255.248 //地址池网段配置 dns-list 114.114.114.114 //dns地址配置
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http local-user client password cipher %$%$4i0Gu9qi*3s;Dp~G9{%$%$ //创建本地用户client local-user client service-type ppp //配置用户client的接入类型为http
#
interface Serial4/0/0 link-protocol ppp //配置接口链路层协议 ip address 100.1.1.41 255.255.255.248
#
interface Serial4/0/1 link-protocol ppp //配置接口链路层协议 ppp authentication-mode chap //ppp认证模式为chap认证 remote address 100.1.1.34 //为远程PPP客户端分配此ip ip address 100.1.1.33 255.255.255.248
#
interface Virtual-Template1 //创建vt ppp authentication-mode chap //ppp认证模式为chap认证 remote address pool Beijing /为远程PPP客户端分配Beijing地址池的IP地址
#
interface GigabitEthernet0/0/0 ip address 100.1.1.10 255.255.255.248
#
interface GigabitEthernet2/0/0 ip address 100.1.1.25 255.255.255.248
#
interface GigabitEthernet2/0/1 ip address 100.1.1.17 255.255.255.248 dhcp select interface //开启dhcp接口地址池服务
#
ospf 1 area 0.0.0.0 //ospf宣告直连网段 network 100.1.1.8 0.0.0.7 network 100.1.1.16 0.0.0.7 network 100.1.1.24 0.0.0.7 network 100.1.1.40 0.0.0.7
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录 上海 [V200R003C00]
# sysname Shanghai
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl rule 5 permit ip source 10.1.102.0 0.0.0.255 //允许来自10.1.102.0/24网段的IP报文通过 rule 10 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过
#
ip pool ap gateway-list 10.1.101.254 //地址池网关配置 network 10.1.101.0 mask 255.255.255.0 //地址池可分配ip网段设置 option 43 sub-option 3 ascii 10.1.100.1
#
ip pool STA gateway-list 10.1.102.254 //地址池网关配置 network 10.1.102.0 mask 255.255.255.0 //地址池可分配ip网段设置
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0 link-protocol ppp //配置接口链路层协议 ip address 100.1.1.42 255.255.255.248 nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface Serial4/0/1 link-protocol ppp //配置接口链路层协议
#
interface GigabitEthernet0/0/1.1 dot1q termination vid 101 //配置子接口终结dot1q的单层vlan ID ip address 10.1.101.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.2 dot1q termination vid 102 //配置子接口终结dot1q的单层vlan ID ip address 10.1.102.254 255.255.255.248 arp broadcast enable //终结子接口的ARP广播 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.3 dot1q termination vid 100 //配置子接口终结dot1q的单层vlan ID ip address 10.1.100.2 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.10 dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID ip address 10.1.10.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
ospf 1 area 0.0.0.0 network 10.1.100.0 0.0.0.255 //ospf宣告直连网段
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录 深圳 [V200R003C00]
# sysname r1
#
vlan batch 102
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl 3000 rule 10 permit ip source 10.1.0.0 0.0.255.255 //允许来自10.1.0.0/16网段的IP报文通过
acl number 3001 //创建高级acl 3001 rule 5 deny ip source 10.1.1.96 0.0.0.31 destination 10.1.80.0 0.0.0.255 //允许来自10.1.80.0/24网段的IP报文通过
#
ip pool vlan10 gateway-list 10.1.1.30 //设置网关 network 10.1.1.0 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.1 10.1.1.2 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan20 gateway-list 10.1.1.62 //设置网关 network 10.1.1.32 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.33 10.1.1.34 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan30 gateway-list 10.1.1.94 //设置网关 network 10.1.1.64 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.65 10.1.1.66 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址 #
ip pool vlan40 gateway-list 10.1.1.126 //设置网关 network 10.1.1.96 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.97 10.1.1.98 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan100 gateway-list 10.1.100.254 //设置网关 network 10.1.100.0 mask 255.255.255.0 //设置分配地址池网段
c excluded-ip-address 10.1.100.100 //此ip地址不参与分配
#
ip pool vlan102 gateway-list 10.1.102.254 //网关配置 excluded-ip-address 10.1.102.254 network 10.1.102.0 mask 255.255.255.0 //设置分配地址网段 #
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户的接入类型为http
#
interface Dialer0 link-protocol ppp //配置接口链路层协议 ppp pap local-user client password cipher %$%$Oz)Pj[/N~,Z8:;q1K,*HJ%$%$ //指定被对端设备采用pap认证方式时发送的口令 ip address ppp-negotiate //允许接口进行IP地址协商 dialer user lwh dialer bundle 1 //编号为1 nat server protocol tcp global 100.1.1.4 8080 inside 10.1.80.1 www nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/0 ip address 10.1.1.129 255.255.255.224 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1 ip address 10.1.1.161 255.255.255.224 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet1/0/0 pppoe-client dial-bundle-number 1 //实现Dialer Bundle和物理接口的绑定 编号为1
#
ospf 1 area 0.0.0.0 network 10.1.1.128 0.0.0.31 //ospf宣告直连网段 network 10.1.1.160 0.0.0.31 network 10.1.80.0 0.0.0.255 汇聚核心层配置(交换机)
北京
#
sysname Huawei
#
vlan batch 10 20 //声明vlan 10 20
#
aaa domain default_admin //创建默认认证方案 local-user admin password simple admin local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3 port link-type access //配置接口类型为access port default vlan 20 //允许vlan20通过
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 //允许vlan10 20通过 上海s1 #
sysname Huawei
#
vlan batch 10 20 30 100 to 102 //声明vlan 10 20 30 100 102
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk pvid vlan 101 //经过此的报文加上vlan101标签 port trunk allow-pass vlan 101 to 102 //允许vlan101 102通过
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 100 to 102 //trunk接口加入vlan100 102 #
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 100 //trunk接口加入vlan100 上海AC1
# http server enable //http协议配置
#
ssl renegotiation-rate 1 //配置ssl连接重协商速率为缺省
#
vlan batch 100 to 102 //声明vlan 100 1.2
#
aaa authentication-scheme default authentication-scheme radius authentication-mode radius //创建默认认证方案 authorization-scheme default accounting-scheme default domain default authentication-scheme radius radius-server default domain default_admin authentication-scheme default local-user admin password irreversible-cipher $1a$GI/WWyZv)$NT^AUuVe*3)SNcQ$jE
7UViZR7YnCVy(9C$ //创建本地用户admin的密码 local-user admin privilege level 15 //配置用户admin的命令级别 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif1 ip address 192.168.169.2 255.255.255.0
#
interface Vlanif100 ip address 10.1.100.1 255.255.255.0 //vlanif接口配置
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 100 trunk接口加入vlan100 #
interface GigabitEthernet0/0/7 undo negotiation auto duplex half //半双工模式
#
interface GigabitEthernet0/0/8 undo negotiation auto duplex half //半双工模式
#
ospf 1 area 0.0.0.0 //ospf 宣告直连网段 network 10.1.100.0 0.0.0.255
#
capwap source ip-address 10.1.100.1 //指定AC的源IPv4地址 上海AC2 #
vlan batch 102 //声明vlan 102
#
interface GigabitEthernet0/0/0 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/1 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/2 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/3 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/4 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准 深圳s1 #
sysname S1 #
vlan batch 10 20 30 40 100 102 200 300 //声明vlan 10 20 30 40 100 200 300
#
stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root primary
stp pathcost-standard legacy
#
dhcp enable //开启dhcp服务
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default //创建默认认证方案 domain default domain default_admin local-user admin password simple admin
//创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10 ip address 10.1.1.1 255.255.255.224 vrrp vrid 1 virtual-ip 10.1.1.30 创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 1 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能 vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20 ip address 10.1.1.33 255.255.255.224 vrrp vrid 2 virtual-ip 10.1.1.62 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 2 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能 vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.201.2 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30 ip address 10.1.1.65 255.255.255.224 vrrp vrid 3 virtual-ip 10.1.1.94 /创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 3 priority 90 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40 ip address 10.1.1.97 255.255.255.224 vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 4 priority 90 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100 ip address 10.1.100.253 255.255.255.0 vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 10 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 10 track interface GigabitEthernet0/0/3 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102 ip address 10.1.102.253 255.255.255.0 vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 12 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif300 ip address 10.1.1.130 255.255.255.224
#
interface Eth-Trunk1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan 10 20 30 40 100 102 mode lacp-static max active-linknumber 2
#
interface GigabitEthernet0/0/1 port link-type access //配置接口类型为access port default vlan 300 //配置接口的默认vlan 300 stp disable //禁用stp功能
#
interface GigabitEthernet0/0/2 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
interface GigabitEthernet0/0/21 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102 #
interface GigabitEthernet0/0/23 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24 eth-trunk 1 //链路聚合
#
ospf 1 silent-interface Vlanif10 silent-interface Vlanif20 silent-interface Vlanif30 silent-interface Vlanif40 area 0.0.0.0 network 10.1.100.0 0.0.0.255 network 10.1.1.96 0.0.0.31 network 10.1.1.64 0.0.0.31 network 10.1.1.32 0.0.0.31 network 10.1.1.0 0.0.0.31 network 10.1.1.128 0.0.0.31 network 10.1.102.0 0.0.0.255 //ospf宣告直连网段 深圳s2 #
sysname S2
#
router id 2.2.2.2
#
vlan batch 10 20 30 40 100 102 200 //声明vlan 10 20 30 40 100 102 200
#
stp instance 1 root secondary
stp instance 2 root primary
stp instance 3 root secondary
stp pathcost-standard legacy
#
dhcp enable //配置dhcp服务
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin //创建默认认证方案 local-user admin password simple admin //创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10 ip address 10.1.1.2 255.255.255.224 vrrp vrid 1 virtual-ip 10.1.1.30 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 1 priority 90 //配置在vrrp备份组的优先级 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20 ip address 10.1.1.34 255.255.255.224 vrrp vrid 2 virtual-ip 10.1.1.62 //VRRP通过监视接口的状态实现主备快速切换的功能 vrrp vrid 2 priority 90 //配置在vrrp备份组的优先级 vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30 vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30 ip address 10.1.1.66 255.255.255.224 vrrp vrid 3 virtual-ip 10.1.1.94 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 3 priority 110 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40 ip address 10.1.1.98 255.255.255.224 vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 4 priority 110 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100 ip address 10.1.100.252 255.255.255.0 vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 10 priority 90 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102 ip address 10.1.102.252 255.255.255.0 vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 12 priority 90 //配置在vrrp备份组的优先级 vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.200.2 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif200 ip address 10.1.1.162 255.255.255.224
#
interface Eth-Trunk1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/1 port link-type access //配置接口类型为access port default vlan 200 //缺省vlan为vlan200 stp disable //关闭stp功能
#
interface GigabitEthernet0/0/2 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/21 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40
#
interface GigabitEthernet0/0/23 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24 eth-trunk 1 //链路聚合
#
ospf 1 silent-interface Vlanif10 silent-interface Vlanif20 silent-interface Vlanif30 silent-interface Vlanif40 area 0.0.0.0 network 10.1.1.160 0.0.0.31 network 10.1.1.96 0.0.0.31 network 10.1.1.64 0.0.0.31 network 10.1.1.32 0.0.0.31 network 10.1.1.0 0.0.0.31 network 10.1.100.0 0.0.0.31 network 10.1.102.0 0.0.0.255 //ospf宣告直连网段 深圳s3 #
sysname S3
#
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40 100 102
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin //创建默认认证方案 local-user admin password simple admin //创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1 port link-type access //配置接口类型为access port default vlan 10 //配置缺省vlan为10
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 20 //配置缺省vlan为20
#
interface Ethernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk pvid vlan 100 //配置缺省vlan为100 port trunk allow-pass vlan 100 102 //trunk接口加入vlan100 102
#
interface Ethernet0/0/4 port link-type access port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102 深圳s4 #
sysname S4
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40
100 102
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default //创建默认认证方案 domain default domain default_admin local-user admin password simple admin //创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1 port link-type access //配置接口类型为access port default vlan 30 //配置缺省vlan为40
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 40 //配置缺省vlan为40
#
interface Ethernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk pvid vlan 100 //配置trunk接口的缺省vlan为100 port trunk allow-pass vlan 100 102 .//trunk接口加入vlan100 102
#
interface Ethernet0/0/4 port link-type access //配置接口类型为access port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102
#
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102 深圳AP1 #
ssl renegotiation-rate 1 //配置ssl连接重协商
#
vlan batch 100 102 //声明vlan100 102
#
stp enable //开启stp服务
#
dhcp enable //开启dhcp服务
#
aaa local-user admin password irreversible-cipher $1a$XvU%UC/J$ShXGNfp-CW#QW690
vW^H{ms:$#$0C!vCxs~$ //创建用户admin的密码 local-user admin privilege level 15 //配置用户admin的命令等级 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif100 ip address 10.1.100.1 255.255.255.0
#
interface Vlanif102 ip address 10.1.102.1 255.255.255.0 dhcp select interface //配置dhcp接口地址池
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102 #
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
capwap source ip-address 10.1.100.1
安全防护
在深圳两台核心交换机上面启用dhcp snopping enable
进入相应的接口
[sw1]port-group group-member GigabitEthernet 0/0/21 to GigabitEthernet 0/0/22 #将G0/0/21~G0/0/22端口加入端口组
[sw1-port-group]dhcp snooping enable #批量开启端口snooping
[sw1 毕业设计类别 方案设计 湖南科技职业技术学院Hunan Vocational and Technical College of Science and Technology 某大学网络规划与部署 指导老师_ 企业教师_ 学生姓名 李伟豪 专业名称_ 班级名称_ 目录 第一章项目概述 1.1 项目背景 1.2 网络需求分析 第二章网络总体设计方案 2.1 网络整体架构 2.2 网络设计思路 2.3 VLAN 及 IP 地址规划 Ip地址规划 第三章 网络技术应用 3.1 DHCP 3.2 MSTP 3.3 VRRP 3.4 OSPF 3.5 VLAN 3.6 NAT 3.7 WLAN 3.8 ACL 3.9 链路聚合 第四章 网络设备选型 4.1 接入层设备选型 4.2 汇聚层设备选型 4.3 核心层设备选型 4.5 出口设备选型 4.4 无线设备选型 第五章测试 第六章附件 汇聚核心层配置(路由器) 汇聚核心层配置(交换机) 第一章项目概述 1.1 项目背景 该学校位于深圳在北京上海都有分校中间通过运营商通信。是一所市示范性大学现深圳占地102 亩北京70亩上海80亩建筑面积有25000 平方米学校投入大量资金兴建了田 径场男生公寓女生公寓 IC 卡食堂两栋教职工宿舍两栋教学大楼行 政办公楼。学校形成了生活区域教学区域运动区域三区分立的格局。由于 校园面积占用大而且不集中导致网络无法全面覆盖有些地方无法提供上 网等服务。还有现在随着信息科学技术的不断发展无线网络发展迅速计划 将无线网络引入校园网络中配合有线网络进一步满足广大师生的网络需求 提高学校的信息交流功能使师生们能充分的利用 Internet 上的教学资源提 高老师们的教学能力和学生的整体水平能力。为了满足当前网络需求去扩展校 园网重新为学校设计了网络规划和部署方案以次来解决网络拥堵速率慢 等问题加快日常办公效率提高网络覆盖面积现对校园网络进行了详细的规划和部署并作出如下设计。 1.2 网络需求分析 校园网作为学校的重要教学资源。通过校园网的服务老师们能快速的查 询和利用网络上的资源为其教学和备课做好准备。学生们能通过校园网浏览 下载网上的学习资料和学习材料。办公人员能通过校园网提高办公效率提高 为全校师生服务的质量口。本方案的设计目标就是建立一个高性能高可靠性 可管理性灵活性可扩充性实用性强的校园网络。使网络信号可以覆盖到整个校园环境中为教师和学生们提供一个高质量的网络服务。1.提供 DHCP 服务使学校师生上网时能自动获取 IP 地址连入网络去进行网络冲浪。2.建立高可靠的设备冗余链路冗余单板冗余防止局部网络故障时能继续保障网络的连通性3.学校各个部门能够相互通信访问除了行政办公楼pc4不能与服务器互访实现校园内资源共享。4.各个楼中装有无线AP, 为全校师生提供无线服务通过连接WIFI 来提供上网服务 第二章网络总体设计方案 2.1 网络整体架构 详细网络拓扑结构如图2-1所示 图2-1 网络拓扑图 深圳校区 在此校园网络接入层中 PC1 代表博志楼属于VLAN10;PC2 代表笃学楼属于 VLAN20;PC3 代表宿舍楼属于VLAN30;PC4 代表图书馆属于VLAN40;PC5 代表 体 育 馆 属 于VLAN50;PC6 代表行政办公楼属于VLAN60;STA1-6 为各楼的无线终 端设备接入层交换机和主机 PC 之间的互联端口配置为 acesss, 划分相应的 VLAN。在汇聚层中将各汇聚交换机与接入层和核心层的交换机的互联端口配 置为 trunk, 允许放行所有 VLAN; 在核心层中核心层交换机和汇聚层交换机之 间运行MSTP与ac之间也运行mstp, 两台核心层交换机运行VRRP 和链路聚合这里要注意的是不仅仅是有线部分的备份无线部分也要备份。在两台核心交换机和路由器之间运行 OSPF; 在核心路由器上运行 DHCP, 配置地址池注意排除地址你虚拟网关的地址要排除避免地址冲突 在WLAN中 AC 和 AP之间的配置管理使用的是VLAN100,AP和无线终端之间的业务使用的是VLAN102;在出口方面配置默认路由和 NAT 策略。PC7 为公网上的主机用户client3为互联网www主机。 北京校区 Pc5为学校办公楼pc10为学生宿舍等其他client1为客户机访问深圳的服务器。 在路由器出口采用的nat地址转换。路由器上部署dhcp服务器并且划分子接口用来给各个pc划分ip地址。 上海校区 Pc5为图书馆client2用来访问外部服务器以及sta1和sta2分别是教学楼和宿舍楼。Ac采用三层组网dhcp部署在路由器上面。 2.2 网络设计思路 1.各楼中搭建无线接入点为其提供无线上网服务以及深圳和上海校区。 2.核心层交换机之间进行链路聚合和 VRRP, 提高网络带宽和实现链路冗余。3.在出口路由器上搭建NAT, 实现内网访问外网做nat server实现内网服务器能够映射在公网 。4.采用高级ACL, 实现pc4不能与深圳内部服务器互访提高安全性。5.核心层使用 OSPF 动态路由协议提高网络效率和链路冗余。6.在核心路由器配置DHCP 服务器使用户能动态获取 IP 地址以及无线。7.使用MAC地址与交换机绑定提高服务器的安全性。8.核心层和汇聚层交换机运行MSTP, 实现 VLAN间数据流量的负载均衡。上海和北京分部总体规划一致dhcp部署在路由器上面但是由于占地面积不大所以采用的子接口来自动规划ip vlan10 属于 10.1.10.0/24 vlan20 属于 10.1.20.0/24vlan30 属于 10.1.30.0/24 vlan40 属于 10.1.40.0/24。所有 pc 都通过 dhcp 获得地址。dhcp 服务器部署在 AR1 上DHCP基于全局地址池方式配置LSW1、LSW2 上做 DHCP 中继。 2.3 VLAN 及 IP 地址规划1.学校各部门网段及VLAN 规划学校各部门IP 地址范围默认网关 VLAN划分如表2-1 所示 Ip地址规划 深圳ip地址规划 设备 接口 IP地址 网关 部门 深圳S1 Vlanif10 10.1.1.1/27 10.1.1.30/27 深圳 深圳S1 Vlanif20 10.1.1.33/27 10.1.1.62/27 深圳 深圳S1 Vlanif30 10.1.1.65/27 10.1.1.94/27 深圳 深圳S1 Vlanif40 10.1.1.97/27 10.1.1.126/27 深圳 深圳S1 Vlanif100 10.1.100.253/24 10.1.100.254/24 深圳 深圳S1 Vlanof102 10.1.102.253/24 10.1.102.254/24 深圳 深圳S1 Vlanif200 深圳 深圳S1 Vlanif300 10.1.1.130/27 深圳 深圳S2 Vlanif10 10.1.1.2/27 10.1.1.30/27 深圳 深圳S2 Vlanif20 10.1.1.34/27 10.1.1.62/27 深圳 深圳S2 Vlanif30 10.1.1.66/27 10.1.1.94/27 深圳 深圳S2 Vlanif40 10.1.1.98/27 10.1.1.126/27 深圳 深圳S2 Vlanif100 10.1.100.252/24 10.1.100.254/24 深圳 深圳S2 Vlanof102 10.1.102.252/24 10.1.102.254/24 深圳 深圳S2 Vlanif200 10.1.1.162/27 深圳 深圳DHCP GigabitEthernet0/0/0 10.1.1.129/27 深圳 深圳DHCP GigabitEthernet0/0/1 10.1.1.161/27 深圳 深圳DHCP GigabitEthernet0/0/2 10.1.80.254/24 深圳 深圳DHCP GigabitEthernet1/0/0 Diall 0 深圳 深圳AC Vlanif100 10.1.100.1/24 深圳 深圳AC Vlanof102 10.1.102.1/24 深圳 北京ip地址规划 设备 接口 IP地址 网关 部门 北京DHCP GigabitEthernet0/0/1.1 10.1.10.254/24 北京 北京DHCP GigabitEthernet0/0/1.2 10.1.20.254/24 北京 上海ip地址规划 设备 VLAN IP地址 网关 部门 上海DHCP GigabitEthernet0/0/1.1 10.1.101.254/24 上海 上海DHCP GigabitEthernet0/0/1.2 10.1.102.254/24 上海 上海DHCP GigabitEthernet0/0/1.3 10.1.100.2/24 上海 上海DHCP GigabitEthernet0/0/1.10 10.1.10.254/24 上海 上海DHCP Serial4/0/1 100.1.1.42/28 上海 上海AC Vlanif1 192.168.169.2/8 上海 上海AC Vlanif100 10.1.100.1/8 上海 第三章 网络技术应用 3.1 DHCP DHCP全名为动态主机配置协议其是一种用于集中对用户IP 地址进行动态管理和配置的协议DHCP 采用 C/S(Client/Server) 架构用户主机不需要配置IP 地址而是直接从服务器获取 IP 地址接入网络后就可以使用 DHCP 相 较于手工配置而言其效率很高不需要手工一台一台配置 DHCP 的灵活性很 高能统一分配管理另外 DHCP 分配的 IP 地址是有租期的使得其能有效提 高地址的利用率。在核心路由器 shenzhenR1 上创建地址池 VLAN10,VLAN20,VLAN30, vlan40vlan100vlan101地 址 范 围 分 别 为10.1.1.1/27,10.1.1.33/27,10.1.1.65/27,10.1.1.97/2710.1.100.253/2410.1.102.253/24在 VLANIF10,20,3040,100 101接口启动基于全局地址池的DHCP 功能在核心交换机shenzhenS1 上开启 DHCP功 能 在VLANIF10,20,30 ,100,40,101接口开启 DHCP中继功能指明 DHCP服 务器的 IP 地址10.1.1.129/27,主要为VLAN10,20,30 40的用户分配 IP 地址在核心交换机 shenzhenS2 上开启DHCP 功 能 在 VLANIF10,20,30 接口开启 DHCP 中继功能指明 DHCP 服务器的 IP 地址 10.0.45.4/24,主要为VLAN40,50,60 的用户分配IP 地址当其中一台DHCP服 务器出现故障时另一台能够继续替代其工作这样减轻了核心交换机一部分 压力利于网络更加稳定。为AP分配地址范围为10.1.100.210.1.100.254/24的 IP 地址在 核心交换机 shenzhenS1 上的VLANIF100 接口上启动基于全局的 DHCP 功能为无线用户分配地址范围为10.1.102.110.1.102.254/24的 IP 地址。在路由器的出接口部署pppoe协议上内网的主机能够访问各个校区的主机。 在北京分校区上配置子接口给各个部门分配地址在出口配置ppp协议动态获取ip地址自动协商并且采用nat地址转换能让北京校区的各个主机能访问深圳校区和上海校区 在上海分校区上配置子接口通往ac以及子接口的各个网段这里上海校区采用的ac是三层组网的方式dhcp部署在路由器上面ap和sta的地址采用的是接口地址池的方式给各个主机分配ip地址。在出口部署专线上网并且部署nat地址转换能让上海校区访问其他校区的ip地址。 3.2 MSTP MSTP 全名为多生成树协议 MSTP 弥补了 STP 和 RSTP 的缺陷在 STP 和 RSTP中网络中只有一棵生成树导致所有的VLAN只能共享一棵树造成数据 流量无法负载均衡链路带宽利用率低设备资源的利用率低还会导致次优 路径的产生。MSTP 可以快速收敛提供了多条备份链路实现了数据的负载均 衡。在两台核心交换机shenzhneS1,shenzhneS2 和两台台汇聚交换机shanghais3shaghais4以及ac 上 运行MSTP, 配置MSTP 域名lwh, 将VLAN10,20,100,101映射到实例1上配置实例1 的根桥为 shanghaiS1, 备份根桥为 shanghaiS2, 根据选举规则汇聚交换机shanghais3shaghais4 与 shenzhens2 到shenzhenS1 的根路径开销一样然后比较桥 ID, 因 为 shenzhenS2 为备份根桥所以 shenzhenS2 与汇聚交换机互联的三个端口成为指定 端口进入转发模式而汇聚交换机与 shenzhenS2 互联的的端口GO/0/6 会被成为 替代端口会被阻塞掉VLAN10,20,30,100,101 的数据通过核心交换机 shenzhen S1转发 VLAN 40 30,映射到实例2上配置实例2的根桥为shenzhen S2,备份根桥为 shenzhenS1, 根据选举规则汇聚交换机 数据通过核心交换机shenzhenS2 转发通过配置MSTP实现VLAN数据的负载均衡使整体网络更加稳定。 3.3 VRRP VRRP全名为虚拟路由器冗余协议是一种在部署冗余网关时最常用的FHRP (第一跳冗余协议)。VRRP 是一种容错协议通过将几台物理路由设备虚拟化 为一台路由设备当主机的下一跳设备出现问题时能自动切换到另外一台工作 正常的备份设备上进行数据业务的转发实现网关冗余保障通信的可靠性回 在两台核心交换机上部署VRRP,在核心交换机shenzhenS1 上进入VLANIF10,20,100,101 接口配置 VRRP 组 VRRP1,VRRP2,VRRP3 VRRP4 的优先级为110,使其成为主用设备 VRRP 组 VRRP4,VRRP5 优先级不变默认100,成为备用设备在核心交 换机shenzhenS2 上进入VLANIF40,50接口配置VRRP组 VRRP4,VRRP5 的 优先级为120,使其成为主用设备VRRP组 VRRP1,VRRP2,VRRP3VRRP4 成为备用设备 主用出现故障时备用会替代主用成为新的主用设备通过优先级的大小选举 主备优先级大的自然成为主相同时则比较接口IP 地址大小大者优先。还可以跟踪上行链路当主用设备上行链路出现故障时可以减小设备的优先级使其优先级低于备用设备备用立即成为主用转发数据保障网络的连续性。 3.4 OSPF OSPF 全名为开放式最短路径优先协议它是一种基于链路状态的内部网关 路由协议可以在网络拓扑和链路状态发生变化时自动的去收敛网络根据 SPF 算法自动的去计算出无环的路径其多区域的规划使得 OSPF 能够支持更大 规模的网络。在本校园网络核心层中使用OSPF 动态路由协议提高数据流量传 输速率。在两台核心交换机和两台核心路由器和防火墙之间运行 OSPF 协议实现路由互通。将两台核心交换机 shenzhenS1,shenzhenS2, 核心路由器 shenzheR1之间划分为骨干区域 area0, 三台核心层设备间的互联链路属于骨 干区域area0 。 两台核心路由器shenzhenR1上引入一条外部默认路由使得用户去访问外网时路由可达。 3.5 VLAN VLAN 全名为虚拟局域网将一个物理的局域网在逻辑层面上划分为多个广 播域使得在同一个 VLAN 里面的主机可以相互通信而不同的 VLAN 间的主机 就被相互隔离不能通信。这种技术能有效缩小广播域规模提高通信效率 提高网络的整体性能”,还可以保证各部门的独立和安全。在本校园网络方案 中将博志楼划分为VLAN10, 笃学楼楼划分为VLAN20, 宿舍楼划分为VLAN30,体育 馆划分为 VLAN40, 图书馆划分为 VLAN50,行政办公楼划分为 VLAN60, 创建 VLAN100 负责无线控制器AC 和无线接入点AP之间隧道转发数据创建 VLAN101负责无线终端用户数据传递上网。将接入交换机shenzhens4和shenzhens5 与终端用户 PC1-5 互联 的端口工作模式设置为access 模式并且划入对应VLAN; 接入交换机和汇聚交 换机之间的互联端口配置为 trunk 模式允许所有 VLAN 通过汇聚交换机和核 心交换机之间的互联端口配置为 trunk 模式允许所有 VLAN 通过汇聚层交换机与AP 互联的端口配置PVID为 VLAN100, 用于准确获取到AC 上 VLANIF101 基于全局的DHCP 分配的IP 地址在两台核心交换机创建VLAN 200 和300 配置VLANIF接 口IP 地址用于与路由器互联 3.6 NAT NAT 全名为网络地址转换 NAT 技术是将内部私有网络地址转换成合法的外 部公有网络地址的技术实现私有网络和公有网络中资源的互访 NAT 技术能 有效的缓解 IPV4 地址不够用的问题也能让外网无法与使用私有 IP 地址的内 网进行通信可以提高内网的安全还能提供一定的安全访问功能。在本校园 网络方案中使用的是NAT技术中的一种为NAPT的技术首先建立一个公有IP地址池池中有两个公有 IP 地址100.1.1.4和100.1.1.5,学院内网用户去访 问外网时会选择一个地址池中的地址同时转换 IP, 端口不仅可以实现 IP 地址的转换还可以转换端口号(1024-65535),实现公有 IP 地址与私有 IP 地 址的1: n 映射使得地址映射关系数量很多可以大大提高地址使用率学校内部主机用户使用转换后的公网 IP 地址去访问外网。 3.7 WLAN WLAN 全名为无线局域网是指通过无线技术构建的无线局域网络无线网 络与有线网络最大的不同就在于传输介质不一样无线网络以无线电技术取代 了网线。无线网络的灵活性高使用无线信号进行网络通信只要有信号就可 以接入网络其可扩展性较有线来说很高可以使多个无线终端同时一起接 入网络中而有线网络 一个端口只能接入一个设备无线网络优势更加的明 显。加之现在5G 技术的到来推进新一代信息网络技术广泛运用。无线网络规 模将持续扩大。在本校园网络方案中搭建一个无线局域网为全校师生提供 无线 WIFI 服务创建两个VLAN,VLAN100 为管理 VLAN, 负责无线控制器 AC 和 无线接入点AP之间隧道转发数据 VLAN101 为业务VLAN, 负责无线终端用户数 据传递上网。首先在AC上部署DHCP, 为 AP分配 IP 地址AP获取到IP 地址 发现 AC后通过CAPWAP隧道与AC建立连接 AC将WLAN业务配置下发到AP上 无线用户通过搜索无线网络 SSID 名为 shenzhen, 通过认证后核心交换机 shenzhen-S1为其分配IP 地址最后通过CAPWAP隧道转发或者直接转发用户上网业务数据。 3.8 ACL ACL 全名为访问控制列表ACL 是一种网络安全技术。是由一系列规则组成 集合 ACL 通过这些规则对报文进行分类使得设备可以对不同类型的报文进 行不一样的处理。 一条ACL由若干条permit 或 deny 语句组成。ACL又分几种 有基本 ACL,高 级ACL,二层 ACL,还有用户自定义ACL。 在本校园网络方案中使 用的是高级ACL, 在shenzhendhcp这台路由器上面配置acl首先配置pc4不能访问服务器做acl deny掉pc4的流量然后运用太去往服务器的出接口。第二个acl是做nat允许内网的所有流量访问外网在出接口的dialr0口配置easyip。 3.9 链路聚合 以太网链路聚合是指通过将多个物理接口聚成一个逻辑接口有效增加了 链路带宽使得链路间带宽都能用来转发设备之间的数据流量提高了传输速 率还有效提高了设备间的链路的可靠性实现了端口和链路双层面的冗余 在本方案中在核心交换机之间配置链路聚合创建聚合组将两端互联端口 GO/0/21到 GO/0/24 加入到组中配置模式为 LACP 模式在shenzhenS1 上配置系统 LACP优先级10000,默认值为32768,数值越低优先级越高使shenzhenS1 成为主动端将Eth-Trunk 端口工作模式配置为 Trunk, 允许放行所以VLAN通过。 网络设备选型 4.1 接入层设备选型 接入层位于网络三层架构中的最底层接入层交换机是直接面向用户连接 的其目的是允许终端用户连接到网络具有低成本和高端口密度特性适用广泛所以对其性能要求不高选用的接入层交换机如下图3-1所示 图3-1 接入层交换机交换机详细参数如下表3-1所示表3-1接入层交换机详细参数 交换容量 64Gbps 包转发率 S3700-28TP-SI-AC:14.1MppSS3700-52P-SI-AC:17.7Mpps 端口描述 下行24个或者48个百兆端口上行4个千兆端口 可靠性 支持RRPP/Smart-Link/智能以太保护SEP IP路由 静态路由RIP v1/v2,ECMP IPv6特性 支持ND支持PMTU支持IPv6 Ping,IPv6 Tracert,IPv6 Telnet 支持手动配置Tunne1支持6to4 tunnel支持基于源IPv6地址目的IPv6地址TCP/UDP协 议端口号协议类型等ACL 接入和安全特性 支持防止DOS,ARP攻击ICMP防攻击功能支持IP,MAC,端口VLAN的组合绑定支持端口隔离端口安全Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证支持单端口最大用户数限制 支持AAA认证支持Radius,HWTACACS支持SSH V2.0支持CPU保护功能支持黑名单和白名单支持DHCP Server,DHCP Relay,DHCP Snooping,DHCP Security 管理和维护 支持智能堆叠支持Telnet远程配置和维护支持SSH V2支持SNMP v1/v2/v3;支持RMON支持MUX VLAN特性支持GVRP协议 支持eSught 网管系统支持WEB管理特性 台数 5台 4.2 汇聚层设备选型 汇聚层位于接入层和核心层之间发挥着承上启下的作用要处理接入层 传上来的数据流量又要将数据传输到核心层汇聚层交换机是多台接入层交 换机的汇聚点所以其性能要比接入交换机强处理速度要较快。选用的汇聚层交换机如下图所示 图3- 2 汇聚层交换机 交换机详细参数如下表3-1所示表3-2 汇聚层交换机详细参数 交换容量 256Gbps 包转发率 66Mpps 固定端口 12x10/100/1000BASE-T,12x100/1000Base- X,2x10GE SFP MAC地址表 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态动态黑洞MAC表项支持源MAC地址过滤MAC地址容量16K IP路由 静态路由支持三层动态路由 VLAN特性 支持4K个VLAN支持SuperVLAN支持MUX VLAN功能 支持基于MAC/协议/IP子网/策略/端口的 VLAN 环网保护技术 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持BPDU保护根保护和环回保护 接入安全 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security ,SAVI等 管理和维护 支持eSight网管系统支持WEB网管 支持自动配置Easy Operation方案 支持SNMP v1/v2/v3支持系统日志分级告警 可靠性 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACF 台数 2 4.3 核心层设备选型 核心层处于网络三层架构中的最上层也是最重要最核心的部分核心层 是整个网络的高速交换主干所有要出内网的数据流量都必须经过核心层所 以对其设备要求很高必须要有很快的处理能力非常快的转发速率高带宽 还需要有高可靠性保障设备出现故障时不影响正常的转发也能防止设备压力过大而导致的设备故障问题。核心交换机产品图如下图所示 图3-3 核心交换机产品图 核心交换机详细参数如表3-3所示表3-3核心交换机详细参数 交换容量 416Gbps 包转发率 156Mpps 固定端口 12x10/100/1000BASE-T,4个复用的千兆SFP端 口,4x10GE SFP 扩展插槽 提供两个扩展插槽支持上行插卡 MAC地址表 遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态动态黑洞MAC表项支持源MAC地址过滤MAC地址容量32K IP路由 静态路由支持三层动态路由 VLAN特性 支持4K个VLAN支持Guest VLAN ,Voice VLAN支持Super VLAN支持MUX VLAN功能 支持GVRP协议 支持基于MAC/协议/IP子网/策略/端口的 VLAN 环网保护技术 支持STP/RSTP/MSTP协议支持Smart Link树型拓扑和Smart Link多实例提供主备链路的毫秒级保护支持RRPP环形拓扑和RRPP多实例支持ERPS以太保护协议支持智能以太保护SEP协议支持BPDU保护根保护和环回保护 支持BPDU Tunne] 接入安全 支持DHCP Relay,DHCP Server, DHCPSnooping,DHCP Security,SAVI等 管理和维护 支持eSight网管系统支持WEB网管 支持自动配置Easy Operation方案 支持SNMP v1/v2/v3支持系统日志分级告警支持HTTPS支持RMON支持sFlow支持NetStream支持智能堆叠 可靠性 支持以太网OAM 802.3ah和802.lag支持ITU-Y.1731支持Enhanced Trunk支持DLDP支持LACP支持BFD For OSPF/ISIS/VRRP/PIM协议 如下图3-4核心路由器产品图所示 图3 - 4核心路由器产品图 核心路由器详细参数如下表3-4所示表3-4核心路由器详细参数 处理器 ARM644核 转发性能 9Mpps-40Mpps 整机交换容量 20Gbps-80Gbps 固定WAN接口 1*GE Combo1*GE电1*10GE光 固定LAN接口 8*GE电 SCI插槽 2 WSIC插槽(默认/最大) 0/1 5G 支持5G-SIC业务板卡 串行辅助/控制台端口 1*RJ45 Console串口 USB接口 2*USB 内存 2GB Flash 1GB/512M 热插拔 支持 台数 5 4.4 无线设备选型 如下图3 - 6无线接入控制器产品图所示 图3-6无线接入控制器产品图 无线接入控制器参数如下表3-6所示表3-6无线接入控制器参数 端口 12xGE12x10GE2x40GE 电源 AC/AD 转发模式 直接转发和隧道转发 隧道转发 120Gbps 直接转发 120Gbps 最大可管理AP数量 6144 最大可接入用户数 65536 AP和AC间组网方式 L2/L3层网络拓扑 AC冗余备份 11热备/N1备份方式 无线协议 802.1la/b/g/n/ac wave2/ax 台数 2 如下图3-7无线接入点产品图所示 图3-7无线接入点产品图 无线接入点产品详细参数如下表3-7所示表3-7无线接入点产品详细参数 尺寸 220mm x 220mm x 47mm 电源输入 DC:12V±10% 最大功耗 19.3W 用户数 小于768 工作温度 -10°C50°C 天线类型 自适应阵列天线 最高速率 3Gbps 无线协议 802.1la/b/g/n/ac/ac wave2 最大发射功率 2.4GHz:23dBm5GHz-0:24dBm5GHz-1:27dBm 台数 2 第五章测试 第六章附件
汇聚核心层配置(路由器)
北京 [V200R003C00]
# sysname Beijing
#
acl number 3000 //创建高级acl rule 5 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过 rule 10 permit ip source 10.1.20.0 0.0.0.255 //允许来自10.1.20.0/24网段的IP报文通过
#
aaa //aaa认证 authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0 //进入Serial 4/0/0视图 link-protocol ppp //配置接口链路层协议
#
interface Serial4/0/1 link-protocol ppp //配置接口链路层协议 ppp chap user client // 配置chap验证用户名client ppp chap password cipher %$%$-/R*TvC1NU*bgTnPFk5,(W3%$%$ //创建chap用户密码 ip address ppp-negotiate //允许接口进行ip地址协商 nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/1.1 dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID ip address 10.1.10.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.2 dot1q termination vid 20 //配置子接口终结dot1q的单层vlan ID ip address 10.1.20.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录 ISP [V200R003C00]
# sysname ISP
#
ip pool ISP //IP地址池名称 gateway-list 100.1.1.6 //网关 network 100.1.1.0 mask 255.255.255.248 //地址池网段范围 dns-list 114.114.114.114 //dns地址
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http local-user client password cipher %$%$4i0Gu9qi*3s;Dp~G9{%$%$ //创建本地用户client local-user client service-type ppp //配置用户client的接入类型为http #
interface Virtual-Template1 //创建VT ppp authentication-mode pap //ppp认证模式为pap认证 remote address pool ISP //为远程PPP客户端分配ISP地址池的IP地址 ip address 100.1.1.6 255.255.255.248 //设置VT IP地址为网关地址
#
interface GigabitEthernet0/0/0 ip address 100.1.1.9 255.255.255.248
#
interface GigabitEthernet0/0/1 pppoe-server bind Virtual-Template 1 //在此接口启用pppoe功能
#
ospf 1 default-route-advertise always type 2 //下放默认路由 area 0.0.0.0 network 100.1.1.0 0.0.0.7 //ospf宣告直连网段 network 100.1.1.8 0.0.0.7
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.10 //配置静态路由
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录
ISP2 [V200R003C00]
# sysname ISP2
#
dhcp enable //启用dhcp服务
#
ip pool Beijing gateway-list 100.1.1.38 //ip地址池网关配置 network 100.1.1.32 mask 255.255.255.248 //地址池网段配置 dns-list 114.114.114.114 //dns地址配置
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http local-user client password cipher %$%$4i0Gu9qi*3s;Dp~G9{%$%$ //创建本地用户client local-user client service-type ppp //配置用户client的接入类型为http
#
interface Serial4/0/0 link-protocol ppp //配置接口链路层协议 ip address 100.1.1.41 255.255.255.248
#
interface Serial4/0/1 link-protocol ppp //配置接口链路层协议 ppp authentication-mode chap //ppp认证模式为chap认证 remote address 100.1.1.34 //为远程PPP客户端分配此ip ip address 100.1.1.33 255.255.255.248
#
interface Virtual-Template1 //创建vt ppp authentication-mode chap //ppp认证模式为chap认证 remote address pool Beijing /为远程PPP客户端分配Beijing地址池的IP地址
#
interface GigabitEthernet0/0/0 ip address 100.1.1.10 255.255.255.248
#
interface GigabitEthernet2/0/0 ip address 100.1.1.25 255.255.255.248
#
interface GigabitEthernet2/0/1 ip address 100.1.1.17 255.255.255.248 dhcp select interface //开启dhcp接口地址池服务
#
ospf 1 area 0.0.0.0 //ospf宣告直连网段 network 100.1.1.8 0.0.0.7 network 100.1.1.16 0.0.0.7 network 100.1.1.24 0.0.0.7 network 100.1.1.40 0.0.0.7
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录 上海 [V200R003C00]
# sysname Shanghai
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl rule 5 permit ip source 10.1.102.0 0.0.0.255 //允许来自10.1.102.0/24网段的IP报文通过 rule 10 permit ip source 10.1.10.0 0.0.0.255 //允许来自10.1.10.0/24网段的IP报文通过
#
ip pool ap gateway-list 10.1.101.254 //地址池网关配置 network 10.1.101.0 mask 255.255.255.0 //地址池可分配ip网段设置 option 43 sub-option 3 ascii 10.1.100.1
#
ip pool STA gateway-list 10.1.102.254 //地址池网关配置 network 10.1.102.0 mask 255.255.255.0 //地址池可分配ip网段设置
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Serial4/0/0 link-protocol ppp //配置接口链路层协议 ip address 100.1.1.42 255.255.255.248 nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface Serial4/0/1 link-protocol ppp //配置接口链路层协议
#
interface GigabitEthernet0/0/1.1 dot1q termination vid 101 //配置子接口终结dot1q的单层vlan ID ip address 10.1.101.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.2 dot1q termination vid 102 //配置子接口终结dot1q的单层vlan ID ip address 10.1.102.254 255.255.255.248 arp broadcast enable //终结子接口的ARP广播 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1.3 dot1q termination vid 100 //配置子接口终结dot1q的单层vlan ID ip address 10.1.100.2 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
interface GigabitEthernet0/0/1.10 dot1q termination vid 10 //配置子接口终结dot1q的单层vlan ID ip address 10.1.10.254 255.255.255.0 arp broadcast enable //终结子接口的ARP广播
#
ospf 1 area 0.0.0.0 network 10.1.100.0 0.0.0.255 //ospf宣告直连网段
#
user-interface con 0 //通过consle口登录 authentication-mode password //密码登录 深圳 [V200R003C00]
# sysname r1
#
vlan batch 102
#
dhcp enable //启用dhcp服务
#
acl number 3000 //创建高级acl 3000 rule 10 permit ip source 10.1.0.0 0.0.255.255 //允许来自10.1.0.0/16网段的IP报文通过
acl number 3001 //创建高级acl 3001 rule 5 deny ip source 10.1.1.96 0.0.0.31 destination 10.1.80.0 0.0.0.255 //允许来自10.1.80.0/24网段的IP报文通过
#
ip pool vlan10 gateway-list 10.1.1.30 //设置网关 network 10.1.1.0 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.1 10.1.1.2 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan20 gateway-list 10.1.1.62 //设置网关 network 10.1.1.32 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.33 10.1.1.34 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan30 gateway-list 10.1.1.94 //设置网关 network 10.1.1.64 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.65 10.1.1.66 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址 #
ip pool vlan40 gateway-list 10.1.1.126 //设置网关 network 10.1.1.96 mask 255.255.255.224 //设置分配地址网段 excluded-ip-address 10.1.1.97 10.1.1.98 //此ip地址不参与分配 dns-list 8.8.8.8 //设置dns服务器地址
#
ip pool vlan100 gateway-list 10.1.100.254 //设置网关 network 10.1.100.0 mask 255.255.255.0 //设置分配地址池网段
c excluded-ip-address 10.1.100.100 //此ip地址不参与分配
#
ip pool vlan102 gateway-list 10.1.102.254 //网关配置 excluded-ip-address 10.1.102.254 network 10.1.102.0 mask 255.255.255.0 //设置分配地址网段 #
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#08bmE3Uw}%$%$ //创建本地用户admin的密码 local-user admin service-type http //配置用户的接入类型为http
#
interface Dialer0 link-protocol ppp //配置接口链路层协议 ppp pap local-user client password cipher %$%$Oz)Pj[/N~,Z8:;q1K,*HJ%$%$ //指定被对端设备采用pap认证方式时发送的口令 ip address ppp-negotiate //允许接口进行IP地址协商 dialer user lwh dialer bundle 1 //编号为1 nat server protocol tcp global 100.1.1.4 8080 inside 10.1.80.1 www nat outbound 3000 //配置nat服务 将公网地址映射为私网地址
#
interface GigabitEthernet0/0/0 ip address 10.1.1.129 255.255.255.224 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet0/0/1 ip address 10.1.1.161 255.255.255.224 dhcp select global //配置dhcp全局地址池服务
#
interface GigabitEthernet1/0/0 pppoe-client dial-bundle-number 1 //实现Dialer Bundle和物理接口的绑定 编号为1
#
ospf 1 area 0.0.0.0 network 10.1.1.128 0.0.0.31 //ospf宣告直连网段 network 10.1.1.160 0.0.0.31 network 10.1.80.0 0.0.0.255 汇聚核心层配置(交换机)
北京
#
sysname Huawei
#
vlan batch 10 20 //声明vlan 10 20
#
aaa domain default_admin //创建默认认证方案 local-user admin password simple admin local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3 port link-type access //配置接口类型为access port default vlan 20 //允许vlan20通过
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 //允许vlan10 20通过 上海s1 #
sysname Huawei
#
vlan batch 10 20 30 100 to 102 //声明vlan 10 20 30 100 102
#
aaa authentication-scheme default //创建默认认证方案 authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin //创建本地用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Ethernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk pvid vlan 101 //经过此的报文加上vlan101标签 port trunk allow-pass vlan 101 to 102 //允许vlan101 102通过
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface Ethernet0/0/3 port link-type access //配置接口类型为access port default vlan 10 //允许vlan10通过
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 100 to 102 //trunk接口加入vlan100 102 #
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 100 //trunk接口加入vlan100 上海AC1
# http server enable //http协议配置
#
ssl renegotiation-rate 1 //配置ssl连接重协商速率为缺省
#
vlan batch 100 to 102 //声明vlan 100 1.2
#
aaa authentication-scheme default authentication-scheme radius authentication-mode radius //创建默认认证方案 authorization-scheme default accounting-scheme default domain default authentication-scheme radius radius-server default domain default_admin authentication-scheme default local-user admin password irreversible-cipher $1a$GI/WWyZv)$NT^AUuVe*3)SNcQ$jE
7UViZR7YnCVy(9C$ //创建本地用户admin的密码 local-user admin privilege level 15 //配置用户admin的命令级别 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif1 ip address 192.168.169.2 255.255.255.0
#
interface Vlanif100 ip address 10.1.100.1 255.255.255.0 //vlanif接口配置
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 100 trunk接口加入vlan100 #
interface GigabitEthernet0/0/7 undo negotiation auto duplex half //半双工模式
#
interface GigabitEthernet0/0/8 undo negotiation auto duplex half //半双工模式
#
ospf 1 area 0.0.0.0 //ospf 宣告直连网段 network 10.1.100.0 0.0.0.255
#
capwap source ip-address 10.1.100.1 //指定AC的源IPv4地址 上海AC2 #
vlan batch 102 //声明vlan 102
#
interface GigabitEthernet0/0/0 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/1 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/2 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/3 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准
#
interface GigabitEthernet0/0/4 port hybrid tagged vlan 2 to 4094 //指定hybrid所属vlan 2到4096 lldp dot3-tlv power 802.3at //配置接口发布802.3 Power via MDI TLV符合的标准 深圳s1 #
sysname S1 #
vlan batch 10 20 30 40 100 102 200 300 //声明vlan 10 20 30 40 100 200 300
#
stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root primary
stp pathcost-standard legacy
#
dhcp enable //开启dhcp服务
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default //创建默认认证方案 domain default domain default_admin local-user admin password simple admin
//创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10 ip address 10.1.1.1 255.255.255.224 vrrp vrid 1 virtual-ip 10.1.1.30 创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 1 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能 vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20 ip address 10.1.1.33 255.255.255.224 vrrp vrid 2 virtual-ip 10.1.1.62 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 2 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30 //VRRP通过监视接口的状态实现主备快速切换的功能 vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.201.2 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30 ip address 10.1.1.65 255.255.255.224 vrrp vrid 3 virtual-ip 10.1.1.94 /创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 3 priority 90 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40 ip address 10.1.1.97 255.255.255.224 vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 4 priority 90 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100 ip address 10.1.100.253 255.255.255.0 vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 10 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 10 track interface GigabitEthernet0/0/3 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102 ip address 10.1.102.253 255.255.255.0 vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 12 priority 110 //配置在vrrp备份组的优先级 vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.129 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif300 ip address 10.1.1.130 255.255.255.224
#
interface Eth-Trunk1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan 10 20 30 40 100 102 mode lacp-static max active-linknumber 2
#
interface GigabitEthernet0/0/1 port link-type access //配置接口类型为access port default vlan 300 //配置接口的默认vlan 300 stp disable //禁用stp功能
#
interface GigabitEthernet0/0/2 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
interface GigabitEthernet0/0/21 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //接口加入vlan10 20 30 40 100 102 #
interface GigabitEthernet0/0/23 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24 eth-trunk 1 //链路聚合
#
ospf 1 silent-interface Vlanif10 silent-interface Vlanif20 silent-interface Vlanif30 silent-interface Vlanif40 area 0.0.0.0 network 10.1.100.0 0.0.0.255 network 10.1.1.96 0.0.0.31 network 10.1.1.64 0.0.0.31 network 10.1.1.32 0.0.0.31 network 10.1.1.0 0.0.0.31 network 10.1.1.128 0.0.0.31 network 10.1.102.0 0.0.0.255 //ospf宣告直连网段 深圳s2 #
sysname S2
#
router id 2.2.2.2
#
vlan batch 10 20 30 40 100 102 200 //声明vlan 10 20 30 40 100 102 200
#
stp instance 1 root secondary
stp instance 2 root primary
stp instance 3 root secondary
stp pathcost-standard legacy
#
dhcp enable //配置dhcp服务
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin //创建默认认证方案 local-user admin password simple admin //创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif10 ip address 10.1.1.2 255.255.255.224 vrrp vrid 1 virtual-ip 10.1.1.30 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 1 priority 90 //配置在vrrp备份组的优先级 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 vrrp vrid 1 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 1 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif20 ip address 10.1.1.34 255.255.255.224 vrrp vrid 2 virtual-ip 10.1.1.62 //VRRP通过监视接口的状态实现主备快速切换的功能 vrrp vrid 2 priority 90 //配置在vrrp备份组的优先级 vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30 vrrp vrid 2 track interface GigabitEthernet0/0/21 reduced 30 vrrp vrid 2 track interface GigabitEthernet0/0/22 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif30 ip address 10.1.1.66 255.255.255.224 vrrp vrid 3 virtual-ip 10.1.1.94 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 3 priority 110 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif40 ip address 10.1.1.98 255.255.255.224 vrrp vrid 4 virtual-ip 10.1.1.126 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 4 priority 110 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif100 ip address 10.1.100.252 255.255.255.0 vrrp vrid 10 virtual-ip 10.1.100.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 10 priority 90 //配置在vrrp备份组的优先级 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif102 ip address 10.1.102.252 255.255.255.0 vrrp vrid 12 virtual-ip 10.1.102.254 //创建VRRP备份组并为备份组指定虚拟IP地址 vrrp vrid 12 priority 90 //配置在vrrp备份组的优先级 vrrp vrid 12 track interface GigabitEthernet0/0/3 reduced 30 dhcp select relay //配置dhcp中继功能 dhcp relay server-ip 10.1.200.2 dhcp relay server-ip 10.1.1.161 //配置DHCP中继所代理的DHCP服务器的IP地址
#
interface Vlanif200 ip address 10.1.1.162 255.255.255.224
#
interface Eth-Trunk1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/1 port link-type access //配置接口类型为access port default vlan 200 //缺省vlan为vlan200 stp disable //关闭stp功能
#
interface GigabitEthernet0/0/2 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/21 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/22 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40
#
interface GigabitEthernet0/0/23 eth-trunk 1 //链路聚合
#
interface GigabitEthernet0/0/24 eth-trunk 1 //链路聚合
#
ospf 1 silent-interface Vlanif10 silent-interface Vlanif20 silent-interface Vlanif30 silent-interface Vlanif40 area 0.0.0.0 network 10.1.1.160 0.0.0.31 network 10.1.1.96 0.0.0.31 network 10.1.1.64 0.0.0.31 network 10.1.1.32 0.0.0.31 network 10.1.1.0 0.0.0.31 network 10.1.100.0 0.0.0.31 network 10.1.102.0 0.0.0.255 //ospf宣告直连网段 深圳s3 #
sysname S3
#
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40 100 102
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin //创建默认认证方案 local-user admin password simple admin //创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1 port link-type access //配置接口类型为access port default vlan 10 //配置缺省vlan为10
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 20 //配置缺省vlan为20
#
interface Ethernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk pvid vlan 100 //配置缺省vlan为100 port trunk allow-pass vlan 100 102 //trunk接口加入vlan100 102
#
interface Ethernet0/0/4 port link-type access port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102
#
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入vlan10 20 30 40 100 102 深圳s4 #
sysname S4
vlan batch 10 20 30 40 100 102 //声明 vlan 10 20 30 40
100 102
#
stp region-configuration region-name lwh revision-level 2 instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 100 102 active region-configuration
#
aaa authentication-scheme default authorization-scheme default accounting-scheme default //创建默认认证方案 domain default domain default_admin local-user admin password simple admin //创建用户admin的密码 local-user admin service-type http //配置用户admin的接入类型为http
interface Ethernet0/0/1 port link-type access //配置接口类型为access port default vlan 30 //配置缺省vlan为40
#
interface Ethernet0/0/2 port link-type access //配置接口类型为access port default vlan 40 //配置缺省vlan为40
#
interface Ethernet0/0/3 port link-type trunk //配置接口类型为trunk port trunk pvid vlan 100 //配置trunk接口的缺省vlan为100 port trunk allow-pass vlan 100 102 .//trunk接口加入vlan100 102
#
interface Ethernet0/0/4 port link-type access //配置接口类型为access port default vlan 100 //配置缺省vlan为100
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102
#
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk port trunk allow-pass vlan 10 20 30 40 100 102 //trunk接口加入10 20 30 40 100 102 深圳AP1 #
ssl renegotiation-rate 1 //配置ssl连接重协商
#
vlan batch 100 102 //声明vlan100 102
#
stp enable //开启stp服务
#
dhcp enable //开启dhcp服务
#
aaa local-user admin password irreversible-cipher $1a$XvU%UC/J$ShXGNfp-CW#QW690
vW^H{ms:$#$0C!vCxs~$ //创建用户admin的密码 local-user admin privilege level 15 //配置用户admin的命令等级 local-user admin service-type http //配置用户admin的接入类型为http
#
interface Vlanif100 ip address 10.1.100.1 255.255.255.0
#
interface Vlanif102 ip address 10.1.102.1 255.255.255.0 dhcp select interface //配置dhcp接口地址池
#
interface GigabitEthernet0/0/1 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102 #
interface GigabitEthernet0/0/2 port link-type trunk //配置接口类型为trunk undo port trunk allow-pass vlan 1 //避免环路 port trunk allow-pass vlan 10 20 30 40 100 102 //trunk口加入vlan10 20 30 40 100 102
#
capwap source ip-address 10.1.100.1
安全防护
在深圳两台核心交换机上面启用dhcp snopping enable
进入相应的接口
[sw1]port-group group-member GigabitEthernet 0/0/21 to GigabitEthernet 0/0/22 #将G0/0/21~G0/0/22端口加入端口组
[sw1-port-group]dhcp snooping enable #批量开启端口snooping
[sw1-port-group]quit #退出端口组
[sw1]interface GigabitEthernet 0/0/1 #进入G0/0/1端口
[sw1-GigabitEthernet0/0/1]undo dhcp snooping enable #删除端口snooping服务
[sw1-GigabitEthernet0/0/1]dhcp snooping trusted S2同上 -port-group]quit #退出端口组
[sw1]interface GigabitEthernet 0/0/1 #进入G0/0/1端口
[sw1-GigabitEthernet0/0/1]undo dhcp snooping enable #删除端口snooping服务
[sw1-GigabitEthernet0/0/1]dhcp snooping trusted S2同上
