一区二区三区日韩精品-日韩经典一区二区三区-五月激情综合丁香婷婷-欧美精品中文字幕专区

分享

華為設(shè)備中小園區(qū)組網(wǎng)配置

 新用戶0118F7lQ 2022-04-14

中小園區(qū)網(wǎng)絡(luò)組網(wǎng)

組網(wǎng)場(chǎng)景圖

圖片

在中小園區(qū)中,S2700&S3700通常部署在網(wǎng)絡(luò)的接入層,S5700&S6700通常部署在網(wǎng)絡(luò)的核心,出口路由器一般選用AR系列路由器。

核心交換機(jī)配置VRRP保證網(wǎng)絡(luò)可靠性,配置負(fù)載分擔(dān)有效利用資源。

每個(gè)部門業(yè)務(wù)劃分到一個(gè)VLAN中,部門間的業(yè)務(wù)在CORE上通過(guò)VLANIF三層互通。

核心交換機(jī)作為DHCPServer,為園區(qū)用戶分配IP地址。

接入交換機(jī)上配置DHCPSnooping功能,防止內(nèi)網(wǎng)用戶私接小路由器分配IP地址;同時(shí)配置IP報(bào)文檢查功能,防止內(nèi)網(wǎng)用戶私自更改IP地址。

在配置之前,需按照下面的表格準(zhǔn)備好數(shù)據(jù)。以下數(shù)據(jù)將在本文后續(xù)章節(jié)使用。

操作

準(zhǔn)備項(xiàng)

數(shù)據(jù)

說(shuō)明

配置管理IP和Telnet

管理口IP地址

10.10.1.1/24

管理IP用于登錄交換機(jī)。

管理VLAN

VLAN5

框式交換機(jī)管理口是Ethernet0/0/0。盒式交換機(jī)管理口是MEth0/0/1。 對(duì)于沒(méi)有管理口的交換機(jī)建議使用VLANIF接口進(jìn)行帶內(nèi)管理。

配置接口和VLAN

端口類型

連接交換機(jī)的端口

建議設(shè)置為trunk,連接PC的端口設(shè)置為access。

trunk類型端口一般用于連接交換機(jī)。access 類型端口一般用戶連接PC。hybrid類型端口是通用端口,既可以用來(lái)連接交換機(jī),也可用來(lái)以連接PC。

VLAN ID

ACC1:VLAN 10 20CORE1:VLAN10、

20、30、40、50、

100、300

交換機(jī)有缺省VLAN1。為二層隔離部門A和部門B,將部門A劃分到 VLAN 10中,部門B劃分到VLAN20中。CORE1通過(guò)VLANIF100連接出口路由器。

配置DHCP

DHCPServer

CORE1、CORE2

在CORE1、CORE2上部署DHCPServer。

地址池

VLAN 10:ip pool10 VLAN 20:ip pool 20

部門A的終端從ip pool 10中獲取IP地址。部門B的終端從ip pool20中獲取IP地址。

地址分配方式

基于全局地址池

無(wú)

配置核心交換機(jī)

IP地址

CORE1:

VLANIF100 172.16.1.1/24 VLANIF300 172.16.3.1/24 VLANIF10 192.168.10.1/24  VLANIF20 192.168.20.1/24

VLANIF100用于CORE1與園區(qū)出口路由器對(duì)接。VLANIF300用于CORE1與CORE2對(duì)接。CORE1上需要配置一條主用路由,下一跳指向出口路由器;一條備用路由,下一跳指向CORE2。在CORE1上配置VLANIF10、VLANIF20的IP地址后,部門A與部門B之間可以通過(guò)CORE1互訪。

鏈路聚合

Eth-Trunk鏈路聚合有手工負(fù)載分擔(dān)和靜態(tài)LACP兩種工作模式。

操作

準(zhǔn)備項(xiàng)

數(shù)據(jù)

說(shuō)明


公網(wǎng)接口

GE0/0/0:

GE0/0/0用于出口路由器連接Internet的接口,一般稱為公網(wǎng)接口。


IP地址

202.101.111.2/30





該地址是與出口路由器對(duì)接的運(yùn)營(yíng)商設(shè)備

配置出口路

由器

公網(wǎng)網(wǎng)關(guān)

202.101.111.1/30

的IP地址,出口路由器上需要配置一條缺

省路由指向該地址,用于指導(dǎo)內(nèi)網(wǎng)流量轉(zhuǎn)發(fā)至Internet。






DNS地址

202.101.111.195

DNS服務(wù)器用于將域名解析成IP地址。



GE0/0/1:



內(nèi)網(wǎng)接口

172.16.1.2/24

GE0/0/1、GE0/0/2為出口路由器連接內(nèi)


IP地址

GE0/0/2:

網(wǎng) 的 接 口 , GE0/0/1 連 接 主 設(shè) 備,



172.16.2.2/24

GE0/0/2連接備設(shè)備。

配置DHCP


GE0/0/3

配置信任接口后,用戶只會(huì)接收從信任接

Snooping

信任接口

GE0/0/4

口進(jìn)入的DHCP報(bào)文,防止內(nèi)網(wǎng)私接小路

和IPSG



由器為主機(jī)分配IP地址。

您可以按照下列流程配置各個(gè)設(shè)備的數(shù)據(jù),連通園區(qū)內(nèi)部用戶,并使內(nèi)部用戶可訪問(wèn)外網(wǎng)。

圖片

一:交換機(jī)連接登陸

1:使用Console通信電纜(產(chǎn)品隨機(jī)附帶)連接交換機(jī)與PC

圖片

在PC上打開(kāi)終端仿真軟件,新建連接,設(shè)置連接的接口以及通信參數(shù)。

連接的接口請(qǐng)根據(jù)實(shí)際情況進(jìn)行選擇。例如,在Windows系統(tǒng)中,可以通過(guò)在 “設(shè)備管理器”中查看端口信息,選擇連接的接口。交換機(jī)上的通信參數(shù)如表1 所示。

參數(shù)

缺省值

傳輸速率

9600bit/s

流控方式

無(wú)

校驗(yàn)方式

無(wú)

停止位

1

數(shù)據(jù)位

8

在PC的終端仿真軟件界面按Connect鍵,直到出現(xiàn)如下信息,提示用戶設(shè)置登錄密碼。

圖片

V200R010C00之前版本首次登錄,系統(tǒng)會(huì)提示用戶設(shè)置登錄密碼。V200R010C00及之后版本首次登錄時(shí)缺省的用戶名為admin,密碼為admin@huawei.com。登錄后必須修改密碼。

完成Console登錄密碼設(shè)置后,用戶便可以配置交換機(jī),需要幫助可隨時(shí)鍵入“?”。

二:配置管理IP和Telnet

配置設(shè)備管理IP地址后,可以通過(guò)管理IP遠(yuǎn)程登錄設(shè)備,下面以交換機(jī)CORE1為例說(shuō)明配置管理IP和Telnet的方法。

  1. 配置管理IP地址

<HUAWEI>system-view       

[HUAWEI] vlan 5                                         //創(chuàng)建交換機(jī)管理VLAN5

[HUAWEI-VLAN5]management-vlan       

[HUAWEI-VLAN5]quit

[HUAWEI]interface vlanif 5                       

[HUAWEI-Vlanif5] ip address 10.10.1.1 24   //配置VLANIF接口IP地址

2. 將管理接口加入到管理

[HUAWEI] interface GigabitEthernet 0/0/8  //配置管理接口為GE0/0/8

[HUAWEI-GigabitEthernet0/0/8]port link-type trunk

[HUAWEI-GigabitEthernet0/0/8]port trunk allow-pass vlan5

[HUAWEI-GigabitEthernet0/0/8]quit

3. 配置telnet

[HUAWEI] telnet server enable        //開(kāi)啟telnet

[HUAWEI] user-interface vty 0 4      //配置使用設(shè)備管理員登錄,推薦使用AAA認(rèn)證

[HUAWEI-ui-vty0-4]protocol inbound telnet

[HUAWEI-ui-vty0-4]authentication-mode aaa

[HUAWEI-ui-vty0-4]idle-timeout 15 

[HUAWEI-ui-vty0-4]quit

[HUAWEI]aaa

[HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789   //配置telnet登陸交換機(jī)的用戶名及密碼

[HUAWEI-aaa]local-user admin privilege level 15  //配置賬號(hào)權(quán)限為15(最高)

[HUAWEI-aaa] local-user admin service-type telnet

[HUAWEI-aaa]quit

4. 電腦上使用telnet登陸到交換機(jī)。

C:\Documents andSettings\Administrator> telnet 10.10.1.1    //輸入交換機(jī)管理ip

Username:admin

Password:

Info:The max number of VTY users is 5, and thenumber

       of current VTY users on line is1.

       Thecurrent login time is 2014-05-0618:33:18+00:00.

<HUAWEI>

三:配置網(wǎng)絡(luò)互連互通

1. 配置接入層交換機(jī)

以接入交換機(jī)ACC1為例,創(chuàng)建ACC1的業(yè)務(wù)VLAN10和20。其余接入交換機(jī)按照相關(guān)拓?fù)浼芭渲妹钸M(jìn)行配置。

<HUAWEI>system-view

[HUAWEI] sysname  ACC1                           //修改交換機(jī)名稱為ACC1

[ACC1]vlan batch 10  20                             //創(chuàng)建VLAN 10和VLAN 20

配置ACC1連接CORE1和CORE2的GE0/0/3和GE0/0/4,透?jìng)鞑块TA和部門B的VLAN。

[ACC1] interface GigabitEthernet 0/0/3            //進(jìn)入端口GE0/0/3接口模式

[ACC1-GigabitEthernet0/0/3]port link-type trunk    //配置接口為trunk

[ACC1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20  //配置接口透?jìng)鱒LAN10 20業(yè)務(wù)VLAN

[ACC1-GigabitEthernet0/0/3]quit

[ACC1] interfaceGigabitEthernet 0/0/4     //進(jìn)入端口GE0/0/4口模式

[ACC1-GigabitEthernet0/0/4]port link-typetrunk   //配置接口為trunk

[ACC1-GigabitEthernet0/0/4]port trunk allow-pass vlan 10 20  //配置接口透?jìng)?/span>VLAN10 20業(yè)務(wù)VLAN

配置ACC1連接用戶的接口,使各部門加入VLAN

[ACC1] interface GigabitEthernet 0/0/1     //配置連接部門A的接口為GE0/0/1

[ACC1-GigabitEthernet0/0/1]port link-type access   //配置接口access,連接終端設(shè)備接口

[ACC1-GigabitEthernet0/0/1]port default vlan 10      //配置接口加入到VLAN10

[ACC1-GigabitEthernet0/0/1]quit

[ACC1] interface GigabitEthernet 0/0/2    //配置連接部門B接口GE0/0/2

[ACC1-GigabitEthernet0/0/2]port link-type access

[ACC1-GigabitEthernet0/0/2]port default vlan 20   //配置接口加入到VLAN20

[ACC1-GigabitEthernet0/0/2]quit

配置BPDU保護(hù)功能,加強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性

[ACC1] stp bpdu-protection

2. 配置匯聚/核心層交換機(jī)

以匯聚/核心交換機(jī)CORE1為例,創(chuàng)建其與接入交換機(jī)、備份設(shè)備以及園區(qū)出口路由器互通的VLAN。其余匯聚核心交換機(jī)按照相關(guān)拓?fù)浼?/span>配置命令進(jìn)行配置。

<HUAWEI>system-view

[HUAWEI]sysname CORE1     //修改交換機(jī)名稱為CORE1

[CORE1] vlan batch 10 20 30 40 50 100 300  //批量創(chuàng)建VLAN 

配置置用戶側(cè)的接口VLAN和VLANIF,VLANIF接口用于部門之間互訪。以CORE1連接ACC1的GE0/0/1接口為例,其他接口不再贅述。

[CORE1] interface GigabitEthernet 0/0/1    //配置與ACC1連接接口,進(jìn)入GE0/0/1

[CORE1-GigabitEthernet0/0/1]port link-type trunk   //配置接口模式為trunk

[CORE1-GigabitEthernet0/0/1]port trunkallow-pass vlan 10 20

[CORE1-GigabitEthernet0/0/1]quit

[CORE1] interface Vlanif 10

[CORE1-Vlanif10] ip address 192.168.10.1 24  //配置vlanif 10網(wǎng)絡(luò)地址

[CORE1-Vlanif10]quit

[CORE1] interface Vlanif 20

[CORE1-Vlanif20] ip address 192.168.20.124

[CORE1-Vlanif20]quit

配置連接出口路由器的接口VLAN和VLANIF

[CORE1]interface GigabitEthernet 0/0/7

[CORE1-GigabitEthernet0/0/7] port link-type access  //配置接口模式為access

[CORE1-GigabitEthernet0/0/7]   port default vlan100

[CORE1-GigabitEthernet0/0/7]quit

[CORE1] interface Vlanif 100

[CORE1-Vlanif100] ip address 172.16.1.1 24    //配置vlanif 100網(wǎng)絡(luò)

[CORE1-Vlanif100]quit

配置兩個(gè)核心交換機(jī)直連的接口VLAN和VLANIF

[CORE1] interface gigabitethernet 0/0/5

[CORE1-GigabitEthernet0/0/5]port link-type access 

[CORE1-GigabitEthernet0/0/5] port default vlan300

[CORE1-GigabitEthernet0/0/5]quit

[CORE1] interface Vlanif 300

[CORE1-Vlanif300] ip address 172.16.3.1 24

[CORE1-Vlanif300]quit

3. 配置出口路由器的接口地址

配置連接內(nèi)網(wǎng)的接口地址

<HUAWEI>system-view

[HUAWEI] sys name Router    //配置路由器名稱為Router

[Router]interface GigabitEthernet 0/0/1    //配置與主設(shè)備互連的接口地址

[Router-GigabitEthernet0/0/1]ip address 172.16.1.2 24  

[Router-GigabitEthernet0/0/1]quit

[Router] interface GigabitEthernet 0/0/2

[Router-GigabitEthernet0/0/2]ip address 172.16.2.2 24  //配置與備設(shè)備互連的接口地址

[Router-GigabitEthernet0/0/2]quit

配置連接公網(wǎng)的接口地址

[Router]interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0]ip address 202.101.111.2 30  //配置路由器連接公網(wǎng)的接口地址

[Router-GigabitEthernet0/0/0]quit

4. 配置靜態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)互通(若配置動(dòng)態(tài)路由,此步驟則不需配置)

分別在CORE1和CORE2上面分別配置一條缺省靜態(tài)路由指向出口路由器及其備份路由

[CORE1]ip route-static 0.0.0.0 0.0.0.0 172.16.1.2   //CORE1指向出口路由器的缺省靜態(tài)路由

[CORE1]ip route-static 0.0.0.0 0.0.0.0 172.16.3.2 preference 70  //CORE1指向CORE2的備份靜態(tài)路由

在出口路由器配置一條缺省靜態(tài)路由指向運(yùn)營(yíng)商

[Router]ip route-static 0.0.0.0 0.0.0.0 202.101.111.1

在出口路由器配置到內(nèi)網(wǎng)的主備路由,主路由下一跳指向CORE1,備路由下一跳指向CORE2 。

[Router]iproute-static 192.168.10.0 255.255.255.0 172.16.1.1

[Router]iproute-static 192.168.10.0 255.255.255.0 172.16.2.1 preference 70 //配置到達(dá)VLAN10網(wǎng)段指向備設(shè)備的備路由

[Router]iproute-static 192.168.20.0 255.255.255.0 172.16.1.1

[Router]iproute-static 192.168.20.0 255.255.255.0 172.16.2.1 preference 70  //配置到達(dá)VLAN20網(wǎng)段指向備設(shè)備的備路由

5. 配置VRRP主備備份實(shí)現(xiàn)虛擬網(wǎng)關(guān)冗余

正常情況下內(nèi)網(wǎng)用戶流量都上送到CORE1進(jìn)行處理,只有當(dāng)CORE1出故障之后,VRRP備份組切換CORE2為主設(shè)備,內(nèi)網(wǎng)用戶流量上送到CORE2

配置示例:在CORE1和CORE2上創(chuàng)建VRRP備份組1和2,配置CORE1的優(yōu)先級(jí)為120,搶占延時(shí)為20秒,作為VLAN10和VLAN20的Master設(shè)備

[CORE1]interface Vlanif 10

[CORE1-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3    //配置VLAN10的虛地址

[CORE1-Vlanif10] vrrp vrid 1 priority1 20    //配置CORE1的優(yōu)先級(jí)為120

[CORE1-Vlanif10] vrrp vrid 1 preempt-mode timer delay 20

[CORE1-Vlanif10]quit

[CORE1]interface Vlanif 20

[CORE1-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3   //配置VLAN20的虛地址

[CORE1-Vlanif20] vrrp vrid 2 priority 120

CORE2的優(yōu)先級(jí)為缺省值,作為VLAN10和VLAN20的Backup設(shè)備。

[CORE2] interface Vlanif 10

[CORE2-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3

[CORE2-Vlanif10]quit

[CORE2] interface Vlanif 20

[CORE2-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3

[CORE2-Vlanif20]quit

由于CORE1、CORE2和ACC1之間物理成環(huán),實(shí)際鏈路不成環(huán),而X7交換機(jī)默認(rèn)是開(kāi)啟stp功能的。為了避免影響CORE1和CORE2之間VRRP主備備份的狀態(tài),在此需要關(guān)閉接入交換機(jī)連接上行鏈路接口的stp功能,具體配置命令如下。

[ACC1]interface GigabitEthernet 0/0/3

[ACC1-GigabitEthernet0/0/3]stp disable    //配置關(guān)閉ACC1上行鏈路接口的stp功能

[ACC1-GigabitEthernet0/0/3]quit

[ACC1]interface GigabitEthernet 0/0/4

[ACC1-GigabitEthernet0/0/4] stp disable 

如果確保網(wǎng)絡(luò)中沒(méi)有環(huán)路的話也可以直接關(guān)閉整機(jī)的stp功能,配置命令如下:

[ACC1] stp disable

Warning:The global STP state will bechanged. Continue?[ Y/N] y

6. 配置出口路由器實(shí)現(xiàn)內(nèi)網(wǎng)共享上網(wǎng)

配置允許上網(wǎng)的ACL 。以VLAN10和20的用戶為例:

[Router] acl 2000

[Router-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255   //配置允許VLAN10的用戶上網(wǎng)

[Router-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255  //配置允許VLAN20的用戶上網(wǎng)

[Router-acl-basic-2000] rule permit source 172.16.1.0 0.0.0.255

[Router-acl-basic-2000]rule permit source172.16.2.0 0.0.0.255

[Router-acl-basic-2000]quit

在連接公網(wǎng)的接口配置NAT轉(zhuǎn)換實(shí)現(xiàn)內(nèi)網(wǎng)上網(wǎng)

[Router]interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0]nat out bound 2000

[Router-GigabitEthernet0/0/0]quit

配置DNS地址解析功能,DNS服務(wù)器地址為運(yùn)營(yíng)商指定。

[Router] dns resolve

[Router] dns server 202.101.111.195

[Router] dns proxy enable

做完上述配置之后,給內(nèi)網(wǎng)VLAN10的用戶配置靜態(tài)地址,網(wǎng)關(guān)設(shè)置為192.168.10.3即可以實(shí)現(xiàn)上網(wǎng)。

四:配置DHCP(如全部使用手動(dòng)配置IP地址可不進(jìn)行配置)

網(wǎng)絡(luò)管理員為每個(gè)終端配置固定的IP地址,當(dāng)網(wǎng)絡(luò)規(guī)模逐漸增大,為終端手工配置地址變得繁瑣和難以管理。為減輕管理負(fù)擔(dān),管理員決定所有終端用戶全部改為自動(dòng)從DHCP服務(wù)器獲取地址,除了個(gè)別必須固定地址的終端。

配置核心交換機(jī)作為DHCPServer,使所有部門的用戶都能動(dòng)態(tài)獲取到正確的IP地址。以下以CORE1作為主用DHCP Server,以部門A為例,說(shuō)明DHCPServer的配置步驟。

說(shuō)明:VRRP組網(wǎng)環(huán)境下,為防止主備切換切換而產(chǎn)生IP地址沖突的問(wèn)題,因此在配置DHCP服務(wù)器時(shí),主設(shè)備分配地址段的前一半地址,備設(shè)備分配地址段的后一半地址。

1.配置CORE1作為主用DHCP服務(wù)器,分配地址段的前一半地址

<CORE1>system-view

[CORE1] dhcp enable

[CORE1] ip pool 10

[CORE1-ip-pool-10] gateway-list 192.168.10.3  //配置網(wǎng)關(guān)地址

[CORE1-ip-pool-10]network 192.168.10.0 mask 24  //配置可分配的IP地址范圍

[CORE1-ip-pool-10]excluded-ip-address 192.168.10.128 192.168.10.254  //配置排除地址段后一半地址

[CORE1-ip-pool-10] lease day 0 hour 20 minute 0  //配置租期

[CORE1-ip-pool-10] dns-list 202.101.111.195  //配置DNS服務(wù)器地址

[CORE1-ip-pool-10]quit

2. 配置CORE2作為備用DHCP服務(wù)器,分配地址段的后一半地址。

<CORE2>system-view 

[CORE2]dhcp enable

[CORE2]ip pool 10

[CORE2-ip-pool-10]gateway-list 192.168.10.3

[CORE2-ip-pool-10] network 192.168.10.0 mask 24

[CORE2-ip-pool-10]excluded-ip-address 192.168.10.1 192.168.10.2

[CORE2-ip-pool-10]excluded-ip-address 192.168.10.41 92.168.10.127

[CORE2-ip-pool-10] lease day 0 hour 20 minute 0

[CORE2-ip-pool-10] dns-list 202.101.111.195

[CORE2-ip-pool-10]quit

說(shuō)明:對(duì)VLAN20配置DHCP動(dòng)態(tài)分配地址方式同上

3. 配置部門A的用戶從全局地址池獲取IP地址。

[CORE1] interface vlanif 10

[CORE1-Vlanif10] dhcp select global

[CORE1-Vlanif10]quit

[CORE2] interface vlanif 10

[CORE2-Vlanif10] dhcp select global

[CORE2-Vlanif10]quit

4. 使用display ippool命令,查看全局地址池10的配置和使用情況。

說(shuō)明:配置置完動(dòng)態(tài)分配地址之后,剛開(kāi)電腦獲取地址的時(shí)間比較長(zhǎng),這是因?yàn)?/span>對(duì)于開(kāi)啟了生成樹(shù)協(xié)議的交換機(jī),每當(dāng)有電腦接入之后導(dǎo)致生成樹(shù)重新計(jì)算收斂,所以需要的時(shí)間比較長(zhǎng);通過(guò)關(guān)閉接口的生成樹(shù)協(xié)議或者把連接終端的交換機(jī)接口配置為邊緣端口即可解決。下面以ACC1為例,說(shuō)明配置步驟。

#關(guān)閉接口的生成樹(shù)協(xié)議

[ACC1]interface GigabitEthernet0/0/1

[ACC1- GigabitEthernet0/0/1] stpdisable //undo stpenable命令也可完成該功能

[ACC1- GigabitEthernet0/0/1]quit

#配置連接終端設(shè)備的交換機(jī)接口為邊緣端口

[ACC1] interfaceGigabitEthernet0/0/1

[ACC1- GigabitEthernet0/0/1]stp edged-portenable

[ACC1- GigabitEthernet0/0/1]quit

以上兩種方法選擇一種進(jìn)行配置,終端電腦剛開(kāi)機(jī)獲取地址速度慢的問(wèn)題就可以有效

解決。

5.  配置DHCPsnooping和IPSG

配置了DHCP功能之后,部門內(nèi)用戶主機(jī)可以自動(dòng)獲取地址。但是為了防止員工在內(nèi)網(wǎng)私自接一個(gè)小路由器并開(kāi)啟DHCP自動(dòng)分配地址的功能,導(dǎo)致內(nèi)網(wǎng)合法用戶獲取到了私接的小路由器分配的地址而不能正常上網(wǎng),還需要配置DHCPSnooping功能。以下以部門A為例,說(shuō)明DHCPSnooping的配置過(guò)程。

在接入交換機(jī)ACC1上開(kāi)啟DHCPSnooping功能。

<ACC1>system-view

[ACC1] dhcp enable     //使能DHCP功能

[ACC1] dhcp snooping enable //使能DHCPSnooping功能

在連接終端的接口上使能DHCPSnooping功能。

[ACC1]interface GigabitEthernet 0/0/1    //配置連接部門A的接口

[ACC1-GigabitEthernet0/0/1] dhcp snooping enable

[ACC1-GigabitEthernet0/0/1]quit

[ACC1]interface GigabitEthernet0/0/2   //配置連接部門B的接口

[ACC1-GigabitEthernet0/0/2] dhcp snooping enable

[ACC1-GigabitEthernet0/0/2]quit

在連接DHCP服務(wù)器的接口上使能DHCPSnooping功能,并將此接口配置為信任接口。

[ACC1]interfaceGigabitEthernet0/0/3    //配置連接CORE1的接口

[ACC1-GigabitEthernet0/0/3]dhcp snooping enable    //使能DHCPSnooping功能

[ACC1-GigabitEthernet0/0/3]dhcp snooping trusted

[ACC1-GigabitEthernet0/0/3]quit

[ACC1]interface GigabitEthernet 0/0/4     //配置連接CORE2的接口

[ACC1-GigabitEthernet0/0/4] dhcp snooping enable

[ACC1-GigabitEthernet0/0/4]dhcp snooping trusted

[ACC1-GigabitEthernet0/0/4]quit

完成上述配置之后,部門A的用戶就可以從合法的DHCP服務(wù)器獲取IP地址,內(nèi)網(wǎng)私接 的小路由器分配地址不會(huì)干擾到內(nèi)網(wǎng)正常用戶。

為了防止部門內(nèi)用戶私自更改IP地址后攻擊網(wǎng)絡(luò),在接入交換機(jī)開(kāi)啟DHCPSnooping 功能后,還需要開(kāi)啟IP報(bào)文檢查功能,具體配置以ACC1為例。

在接入交換機(jī)ACC1上開(kāi)啟VLAN10的IP報(bào)文檢查功能。

[ACC1]vlan10

[ACC1-vlan10] ip source checkuser-bind enable  //使能IP報(bào)文檢查功能

[ACC1-vlan10]quit

這樣ACC1從VLAN10收到報(bào)文后會(huì)將報(bào)文與動(dòng)態(tài)綁定表的表項(xiàng)進(jìn)行匹配,放行匹配的

報(bào)文,丟棄不匹配的報(bào)文。如果不想對(duì)整個(gè)VLAN收到的報(bào)文進(jìn)行檢查,可以只在連接某個(gè)終端的接口上開(kāi)啟IP報(bào)文檢查功能。

五. 配置可靠性和負(fù)載分擔(dān)

配置VRRP聯(lián)動(dòng)接口檢測(cè)鏈路

當(dāng)CORE1到出口路由器的鏈路出現(xiàn)故障后,流量會(huì)通過(guò)CORE1到CORE2的互聯(lián)鏈路經(jīng)由CORE2到達(dá)出口路由器,此時(shí)就增加了互聯(lián)鏈路負(fù)擔(dān),對(duì)互聯(lián)鏈路的穩(wěn)定性和帶寬負(fù)載要求都很高?,F(xiàn)網(wǎng)環(huán)境中我們往往希望主備設(shè)備的上行接口出現(xiàn)故障的時(shí)候可以實(shí)現(xiàn)主備的快速切換,通過(guò)配置VRRP與接口狀態(tài)聯(lián)動(dòng)功能可以實(shí)現(xiàn)此快速切換。在VRRP備份組中配置對(duì)上行接口進(jìn)行監(jiān)聽(tīng),當(dāng)監(jiān)聽(tīng)到接口down了,設(shè)備會(huì)通過(guò)降低優(yōu)先級(jí)來(lái)實(shí)現(xiàn)主備切換。

#VRRP聯(lián)動(dòng)接口監(jiān)視上行鏈路。

[CORE1] interface Vlanif 10

[CORE1-Vlanif10] vrrpvrid 1 track interface GigabitEthernet 0/0/7 reduced 100  //配置VRRP與上行接口狀態(tài)聯(lián)動(dòng)監(jiān)視接口功能

[CORE1-Vlanif10]quit

[CORE1] interface Vlanif 20

[CORE1-Vlanif20]vrrp vrid 2 track interface GigabitEthernet0/0/7 reduced 100

[CORE1-Vlanif20]quit

配置負(fù)載分擔(dān)

隨著業(yè)務(wù)的增長(zhǎng),經(jīng)由CORE1的鏈路帶寬占用率太高,但是經(jīng)過(guò)CORE2的鏈路是閑置的,這樣不但可靠性不好而且浪費(fèi)資源,有效利用左右兩邊兩條鏈路顯得尤為重要。把VRRP主備備份配置為負(fù)載分擔(dān),一些VLAN以CORE1為主設(shè)備,另一些VLAN以CORE2為主設(shè)備,不同VLAN的流量被分配到了左右兩條鏈路上,有效的利用現(xiàn)網(wǎng)資源。此處CORE1繼續(xù)作為VLAN10的主設(shè)備,修改CORE2的優(yōu)先級(jí)使其成為VLAN20的主設(shè)備。

首先刪除CORE1上面VRRP備份組2的優(yōu)先級(jí)和搶占延時(shí)配置。

[CORE1] interface Vlanif20

[CORE1-Vlanif20] undo vrrp vrid 2 preempt-mode timer delay

[CORE1-Vlanif20] undo vrrp vrid 2 priority

[CORE1-Vlanif20]quit

配置CORE2為VLAN20的主設(shè)備,搶占延時(shí)為20S。

[CORE2] interface Vlanif 20

[CORE2-Vlanif20] vrrp vrid 2 priority 120

[CORE2-Vlanif20] vrrp vrid 2 preempt-mode timer delay 20

配置VRRP備份組聯(lián)動(dòng)上行接口監(jiān)視上行鏈路情況。

[CORE2-Vlanif20]vrrp vrid 2 track interface GigabitEthernet 0/0/7 reduced 100

[CORE2-Vlanif20]quit

六:配置鏈路聚合

當(dāng)CORE1或者CORE2的上行發(fā)生故障時(shí),流量經(jīng)過(guò)CORE1和CORE2互聯(lián)的鏈路,但是單條鏈路有可能帶寬不夠,因而造成數(shù)據(jù)丟失。為了增加帶寬,把多條物理鏈路捆綁為一條邏輯鏈路,增加帶寬的同時(shí)提高了鏈路的可靠性,具體配置如下:

圖片

恢復(fù)接口默認(rèn)配置(如果接口是默認(rèn)配置,請(qǐng)直接進(jìn)行配置即可),將接口恢復(fù)為默認(rèn)配置的步驟和命令如下:

[CORE1] interface GigabitEthernet 0/0/5

[CORE1-GigabitEthernet0/0/5] dis this

#

interface GigabitEthernet 0/0/5

   portlink-type access

   port default vlan 300

#

return

[CORE1-GigabitEthernet0/0/5] undo port default vlan

[CORE1-GigabitEthernet0/0/5] undo portlink-type

V2R5及之后的版本可以用一條命令把接口恢復(fù)為初始配置,恢復(fù)之后接口被關(guān)閉了,需要手動(dòng)undoshutdown來(lái)開(kāi)啟:

[CORE1-GigabitEthernet0/0/5] clear configuration this

Warning: All configurations of the interface will be cleared,and itsstate will be shutdown. Continue? [Y/N]:y

Info:Total 2 command(s)  executed, 2 successful, 0 failed.

[CORE1-GigabitEthernet0/0/5] undo shutdown

[CORE1-GigabitEthernet0/0/5]quit

配置鏈路聚合,配置的步驟和命令如下:

方式一:配置手工負(fù)載分擔(dān)方式的鏈路聚合。

[CORE1] interface Eth-Trunk1

[CORE1-Eth-Trunk1] trunk port GigabitEthernet 0/0/5 to 0/0/6

[CORE1-Eth-Trunk1]port link-type access

[CORE1-Eth-Trunk1]port default vlan 300

[CORE1-Eth-Trunk1]quit

方式二:配置LACP模式的鏈路聚合

[CORE1] interface Eth-Trunk 1

[CORE1-Eth-Trunk1] mode lacp

[CORE1-Eth-Trunk1] trunk port GigabitEthernet 0/0/5 to 0/0/6

[CORE1-Eth-Trunk1]port link-type access 

[CORE1-Eth-Trunk1]port default vlan 300

[CORE1-Eth-Trunk1]quit

#在CORE1上配置系統(tǒng)優(yōu)先級(jí)為100,使其成為L(zhǎng)ACP主動(dòng)端

[CORE1] lacp priority 100

#在CORE1上配置活動(dòng)接口上限閾值為2

[CORE1] interface Eth-Trunk1

[CORE1-Eth-Trunk1] max active-link number 2

[CORE1-Eth-Trunk1]quit

#在CORE1上配置接口優(yōu)先級(jí)確定活動(dòng)鏈路(配置GE0/0/5和GE0/0/6為活動(dòng)鏈路)

[CORE1]interface GigabitEthernet 0/0/5

[CORE1-GigabitEthernet0/0/5]lacp priority 100

[CORE1-GigabitEthernet0/0/5]quit

[CORE1]interface GigabitEthernet 0/0/6

[CORE1-GigabitEthernet0/0/6]lacp priority 100

[CORE1-GigabitEthernet0/0/6]quit

CORE2的配置同上,只是無(wú)需配置系統(tǒng)優(yōu)先級(jí),使用系統(tǒng)默認(rèn)的優(yōu)先級(jí)即可。

七:業(yè)務(wù)驗(yàn)證

兩個(gè)部門內(nèi)各選一臺(tái)PC進(jìn)行ping測(cè)試,驗(yàn)證部門之間通過(guò)VLANIF實(shí)現(xiàn)三層互通是否正常

以部門A和部門B為例,PC1和PC2是通過(guò)CORE1(或CORE2)實(shí)現(xiàn)三層互通的。如果 PC1和PC2之間互ping測(cè)試正常則說(shuō)明三層互通正常。

圖片

部門內(nèi)部選兩臺(tái)PC進(jìn)行ping測(cè)試,驗(yàn)證部門內(nèi)部二層互通是否正常。

部門A的用戶是通過(guò)ACC1實(shí)現(xiàn)二層互通的。如果部門A的用戶之間互ping測(cè)試正常則說(shuō) 明部門A內(nèi)二層互通正常。ping測(cè)試命令與步驟 1 類似。

每個(gè)部門各選一臺(tái)PC進(jìn)行ping公網(wǎng)地址測(cè)試,驗(yàn)證公司內(nèi)網(wǎng)用戶訪問(wèn)Internet是否正常。

以部門A為例,一般可以通過(guò)在PC1上ping公網(wǎng)網(wǎng)關(guān)地址(即與出口路由器對(duì)接的運(yùn)營(yíng) 商設(shè)備的IP地址)來(lái)驗(yàn)證是否可以訪問(wèn)Internet,如果ping測(cè)試正常則說(shuō)明內(nèi)網(wǎng)用戶訪 問(wèn)Internet正常。ping測(cè)試命令與步驟1 類似。

八:保存配置

通過(guò)命令行配置的數(shù)據(jù)是臨時(shí)性的。如果不保存,交換機(jī)重啟后這些配置都會(huì)丟失。如果要使當(dāng)前配置在交換機(jī)重啟后仍然有效,需要將當(dāng)前配置保存為配置文件。以CORE1為例:所有設(shè)備照此進(jìn)行配置保存。

<CORE1>save

The current configuration will be written to thedevice. 

Are you sure tocontinue?[Y/N]y

Now saving the current configuration to the slot0.. 

Save the configurationsuccessfully.

    本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊一鍵舉報(bào)。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評(píng)論

    發(fā)表

    請(qǐng)遵守用戶 評(píng)論公約

    類似文章 更多

    亚洲天堂国产精品久久精品| 欧美字幕一区二区三区| 午夜小视频成人免费看| 久久热麻豆国产精品视频| 视频在线观看色一区二区| 精品一区二区三区不卡少妇av| 亚洲一级二级三级精品| 亚洲一区二区精品免费视频| 日韩人妻免费视频一专区| 亚洲黄色在线观看免费高清| 国产黄色高清内射熟女视频| 东京热男人的天堂社区| 福利视频一区二区三区| 亚洲国产成人爱av在线播放下载| 国产精品免费福利在线| 欧美精品女同一区二区| 色综合视频一区二区观看| 成年人免费看国产视频| 香港国产三级久久精品三级| 亚洲夫妻性生活免费视频| 欧美视频在线观看一区| 九九热精品视频免费观看| 又大又长又粗又猛国产精品| 在线视频免费看你懂的| 色丁香之五月婷婷开心| 日本东京热加勒比一区二区 | 日本免费一区二区三女| 中文字幕欧美视频二区| 国产原创激情一区二区三区| 欧美一区二区三区不卡高清视| 国产熟女一区二区不卡| 日韩欧美91在线视频| 欧美中文日韩一区久久| 精品人妻久久一品二品三品| 一二区不卡不卡在线观看| 一级片黄色一区二区三区| 国产成人免费激情视频| 免费大片黄在线观看日本| 日本一区不卡在线观看| 最近的中文字幕一区二区| 三级高清有码在线观看|