智一面王老师讲解综合性网络环境案例

智一面初中级Linux运维工程师在线评测：http://www.gtalent.cn/exam/interview/eUrdXoILlsGnh6At

项目背景
        A企业计划建成高速、可靠、安全的企业内部网络，实现园区内信息网络的互联互通，并连接外部城域网及Internet网络，实现信息资源的访问和发布。项目总体设计情况为： 

1 接入层设计

接入层交换机提供网络到桌面的数据业务连接服务，因此，接入层交换机必须具有灵活的业务处理能力、安全策略、扩展能力和强大的QoS能力等。接入层采用2台华为S3700交换机，具体为：

（1）根据业务需求，在接入层配置百兆或千兆二层交换机；

（2）交换机支持802.1q、SNMP协议和端口安全功能，根据学校业务划分多个不同的业务VLAN，用于分隔广播域；

（3）交换机端口上实现对允许连接计算机数量的控制，提高接入的安全性；

（4）每个接入层交换机通过2条上行链路连接到2台核心交换机，实现上行线路备份和负载分担。

2 汇聚层设计

汇聚层是核心层和接入层的分界点，为接入层的中高速业务提供接入服务。汇聚层交换机采用2台华为S5700交换机。具体为：

（1）汇聚层核心交换机采用高性能的三层交换机，2台核心交换机作为校园局域网的网关，实现互为备份，接入层交换机通过双链路连接到，并实现接入层VLAN之间的联通；

（2）2台核心交换机之间采用双链路连接，配置链路聚合，提高核心交换机之间的链路带宽和可靠性；

（3）采用MSTP+VRRP技术，实现接入层网关的备份和环路避免，提高网络可靠性；

（4）三层交换机的上行端口（路由端口）进行TRACK监测，并将监测与VRRP联动配合，实现网络在部分线路中断情况下的稳定运行；

（5）在三层交换机路由接口和核心层路由器内网接口之间启用RIPv2路由协议。

3）核心层设计

根据项目需求，核心层采用高性能华为AR2220系列路由器，实现企业网与外部Internet网的高速互联。其中，

（1）路由器AR1与三层交换机之间采用RIPv2路由协议；

（2）路由器AR1配置默认路由连接外部城域网；

（3）外部城域网内部采用OSPF协议，并在链路上启用OSPF协议CHAP认证。

项目拓扑图
 

IP地址分配
设备    接口    地址    掩码    网关
PC-1    E0/0/1    172.94.10.101    24    172.94.10.100
FTP服务器    E0/0/1    172.94.10.102    24    172.94.10.100
PC-2    E0/0/1    172.94.20.101    24    172.94.20.200
WWW服务器    E0/0/1    172.94.20.102    24    172.94.20.200
SW1    VLANIF2    172.94.10.100    24    N/A
     VLANIF3    172.94.20.100    24    N/A
     VLANIF4    172.94.30.100    24    N/A
VRRP    VRID1    172.94.10.254    24    N/A
VRRP    VRID2    172.94.20.254    24    N/A
SW2    VLANIF2    172.94.10.200    24    N/A
     VLANIF3    172.94.20.200    24    N/A
     VLANIF4    172.94.40.200    24    N/A
SW3    VLAN 10              
SW4    VLAN 20              
AR1    G0/0/1    172.94.30.101    24    N/A
     G0/0/2    172.94.40.101    24    N/A
     G0/0/0    202.94.0.1    28    N/A
公网地址池         202.94.0.5 - 202.94.0.14         
AR2    G0/0/0    202.94.0.2    28    N/A
     G0/0/1    202.94.13.2    24    N/A
     G0/0/2    202.94.24.2    24    N/A
AR3    G0/0/1    202.94.13.3    24    N/A
     G0/0/2    202.94.34.3    24    N/A
AR4    G0/0/1    202.94.24.4    24    N/A
     G0/0/2    202.94.34.4    24    N/A
     G0/0/0    202.94.1.254    24    N/A
Clinet1    E0/0/0    202.94.1.1    24    N/A
 
 

配置步骤
1 搭建拓扑，配置计算机、服务器地址、网关。

 

2 完成配置交换机VLAN。

   1) 在交换设备SW1、SW2、SW3、SW4上创建VLAN2、VLAN3

 

   2 )在SW3、SW4下行端口配置默认VLAN,端口类型access，上行端口端口类型trunk，允许通过VLAN2，VLAN3。

[SW3]int e0/0/1

[SW3-Ethernet0/0/1]port link-type access

[SW3-Ethernet0/0/1]port default vlan 2

[SW3-Ethernet0/0/1]int e0/0/2

[SW3-Ethernet0/0/2]port link-type access

[SW3-Ethernet0/0/2]port default vlan 2

[SW3-Ethernet0/0/2]int e0/0/3

[SW3-Ethernet0/0/3]port link-type trunk

[SW3-Ethernet0/0/3]port trunk allow-pass vlan 2 3

[SW3-Ethernet0/0/3]int e0/0/5

[SW3-Ethernet0/0/5]port link-type trunk

[SW3-Ethernet0/0/5]port trunk allow-pass vlan 2 3

[SW4]int e0/0/1

[SW4-Ethernet0/0/1]port link-type access

[SW4-Ethernet0/0/1]port default vlan 3

[SW4-Ethernet0/0/1]int e0/0/2

[SW4-Ethernet0/0/2]port link-type access

[SW4-Ethernet0/0/2]port default vlan 3

[SW4-Ethernet0/0/2]int e0/0/4

[SW4-Ethernet0/0/4]port link-type trunk

[SW4-Ethernet0/0/4]port trunk allow-pass vlan 2 3

[SW4-Ethernet0/0/4]int e0/0/5

[SW4-Ethernet0/0/5]port link-type trunk

[SW4-Ethernet0/0/5]port trunk allow-pass vlan 2 3

3 )将交换设备SW1、SW2下行端口类型设置为trunk，SW1、SW2下行端口配置允许通过的VLAN。

[SW1]int g0/0/5

[SW1-GigabitEthernet0/0/5]port link-type trunk

[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

[SW1-GigabitEthernet0/0/5]int g0/0/4

[SW1-GigabitEthernet0/0/4]port link-type trunk

[SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3

[SW2]int g0/0/5

[SW2-GigabitEthernet0/0/5]port link-type trunk

[SW2-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

[SW2-GigabitEthernet0/0/5]int g0/0/3

[SW2-GigabitEthernet0/0/3]port link-type trunk

[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3

3 配置链路聚合。

SW1、SW2连接链路创建聚合链路Eth-trunk1，模式为手工链路负载均衡。分别在SW1、SW2上配置Eth-trunk1接口模式为trunk，允许通过VLAN2和VLAN3。

[SW1]int eth-trunk 1

[SW1-Eth-Trunk1]mode manual load-balance

[SW1-Eth-Trunk1]port link-type trunk

[SW1-Eth-Trunk1]port trunk allow-pass vlan 2 3

[SW1]int g0/0/7

[SW1-GigabitEthernet0/0/7]eth-trunk 1

[SW1-GigabitEthernet0/0/7]int g0/0/8

[SW1-GigabitEthernet0/0/8]eth-trunk 1

[SW2]int eth-trunk 1

[SW2-Eth-Trunk1]mode manual load-balance

[SW2-Eth-Trunk1]port link-type trunk

[SW2-Eth-Trunk1]port trunk allow-pass vlan 2 3

[SW2]int g0/0/7

[SW2-GigabitEthernet0/0/7]eth-trunk 1

[SW2-GigabitEthernet0/0/7]int g0/0/8

[SW2-GigabitEthernet0/0/8]eth-trunk 1

测试:SW1上查看Eth-trunk1接口情况dis Eth-trunk1。

 

4 配置VLAN三层接口实现VLAN间通信。

SW1、SW2上分别配置VLANIF2、VLANIF3接口，以实现VLAN间互通。在SW1、SW2上配置VLANIF4接口实现与AR1互联。

[SW1]int vlan 2

[SW1-Vlanif2]ip add 172.94.10.100 24

[SW1-Vlanif2]int vlan 3

[SW1-Vlanif3]ip add 172.94.20.100 24

[SW1-Vlanif3]q

[SW1]vlan 4

[SW1-vlan4]q

[SW1]int vlan 4

[SW1-Vlanif4]ip add 172.94.30.100 24

[SW2]int vlan 2

[SW2-Vlanif2]ip add 172.94.10.200 24

[SW2-Vlanif2]int vlan 3

[SW2-Vlanif3]ip add 172.94.20.200 24

[SW2]vlan 4

[SW2-vlan4]q

[SW2]int vlan 4

[SW2-Vlanif4]ip add 172.94.40.200 24

测试：使用PC1 ping PC2 ，验证不同VLAN用户的连通性并截图。

 

5 二层网络配置MSTP（10分）。

分别在SW1、SW2、SW3、SW4上配置MSTP。

1）配置SW1域名为RG1，创建实例MSTI1和实例MSTI2

[SW1]stp region-configuration

[SW1-mst-region]region-name RG1

[SW1-mst-region]instance 1 vlan 2

[SW1-mst-region]instance 2 vlan 3

[SW1-mst-region]active region-configuration

同样，进行SW2配置。

[SW2]stp region-configuration

[SW2-mst-region]region-name RG1

[SW2-mst-region]instance 1 vlan 2

[SW2-mst-region]instance 2 vlan 3

[SW2-mst-region]active region-configuration

SW3上配置域名RG1，创建实例MSTI1。

[SW3]stp region-configuration

[SW3-mst-region]region-name RG1

[SW3-mst-region]instance 1 vlan 2

[SW3-mst-region]active region-configuration

同理，SW4上配置域名RG1，创建实例MSTI2。

[SW4]stp region-configuration

[SW4-mst-region]region-name RG1

[SW4-mst-region]instance 2 vlan 3

[SW4-mst-region]active region-configuration

2）在域RG1内，配置MSTI1与MSTI2的根桥与备份根桥

配置MSTI1的根桥与备份根桥

[SW1]stp instance 1 root primary

[SW2]stp instance 1 root secondary

配置MSTI2的根桥与备份根桥

[SW2]stp instance 2 root primary

[SW1]stp instance 2 root secondary

3）使能MSTP，实现破除环路

设备全局使能MSTP

[SW1]stp enable

同理，在SW2、SW3、SW4启动MSTP。

 

4）将与AR1相连SW1和SW2的上行路由端口配置为边缘端口

配置SW1路由端口。

[SW1]interface gigabitethernet 0/0/1

[SW1-GigabitEthernet0/0/1]stp edged-port enable

同样配置SW2的路由端口为stp边缘端口。

[SW2]interface gigabitethernet 0/0/1

[SW2-GigabitEthernet0/0/1]stp edged-port enable

测试：在SW2上截图查看MSTP配置dis stp instance 1 brief，dis stp instance 2 brief。并简要解释。

 

6 配置VRRP备份组

 在SW1和SW2上创建VRRP备份组1，配置SW1的优先级为120，抢占延时为20秒，作为Master设备；SW2的优先级为缺省值，作为Backup设备。

[SW1] interface vlanif 2

[SW1-Vlanif2] vrrp vrid 1 virtual-ip 172.94.10.254

[SW1-Vlanif2] vrrp vrid 1 priority 120

[SW1-Vlanif2] vrrp vrid 1 preempt-mode timer delay 20

[SW2] interface vlanif 2

[SW2] vrrp vrid 1 virtual-ip 172.94.10.254

在SW1和SW2上创建VRRP备份组2，配置SW2的优先级为120，抢占延时为20秒，作为Master设备；SW1的优先级为缺省值，作为Backup设备。

[SW2] interface vlanif 3

[SW2-Vlanif3] vrrp vrid 2 virtual-ip 172.94.20.254

[SW2-Vlanif3] vrrp vrid 2 priority 120

[SW2-Vlanif3] vrrp vrid 2 preempt-mode timer delay 20

[SW1] interface vlanif 3

[SW1-Vlanif3] vrrp vrid 2 virtual-ip 172.94.20.254

测试：在交换机SW2上display vrrp验证VRRP的配置结果，分别指出VRRP vrid2的Master和Backup设备。

 

7 配置VRRP1与TRACK1，VRRP2与TRACK2联动（5分）。

[SW1-Vlanif2]vrrp vrid 1 track interface g0/0/1 reduced 50

[SW2-Vlanif3]vrrp vrid 2 track interface g0/0/1 reduced 50

测试：关闭SW2的G0/0/1接口，再次指出VRRP vrid 2的Master和Backup设备，然后开启SW2的G0/0/1接口。

 

8 配置RIP协议。

在SW1、SW2、AR1上配置RIPv2，通告各相关接口网段，关闭路由汇总，实现内网互通。

[SW1]rip 1

[SW1-rip-1]ver 2

[SW1-rip-1]undo summary

[SW1-rip-1]network 172.94.0.0

[SW2]rip 1

[SW2-rip-1]ver 2

[SW2-rip-1]undo summary

[SW2-rip-1]network 172.94.0.0

[AR1]rip 1

[AR1-rip-1]ver 2

[AR1-rip-1]undo summary

[AR1-rip-1]network 172.94.0.0

9 配置AR1访问外网上的默认静态路由，并在AR1中发布RIP协议默认路由以实现SW1,SW2访问外网默认路由。

[AR1]ip route-static 0.0.0.0 0.0.0.0 202.94.0.2

[AR1]rip 1

[AR1-rip-1]default-route originate

10 城域网配置。

1）配置城域网AR2，AR3，AR4间ospf协议（AR2连接AR1的网段不启用OSPF，AR4连接终端的网段不启用OSPF）。

[AR2]ospf 1

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]network 202.94.13.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]network 202.94.24.0 0.0.0.255

[AR3]ospf 1

[AR3-ospf-1]area 0

[AR3-ospf-1-area-0.0.0.0]network 202.94.13.0 0.0.0.255

[AR3-ospf-1-area-0.0.0.0]network 202.94.34.0 0.0.0.255

[AR4]ospf 1

[AR4-ospf-1]area 0

[AR4-ospf-1-area-0.0.0.0]network 202.94.34.0 0.0.0.255

[AR4-ospf-1-area-0.0.0.0]network 202.94.24.0 0.0.0.255

2）配置终端Clinet的IP地址，网关。

 

3）AR2上发布direct路由到OSPF。AR4上发布direct路由到OSPF。

[AR2]ospf 1

[AR2-ospf-1]import-route direct

[AR4]ospf 1

[AR4-ospf-1]import-route direct

11 配置NAPT。

使内网的用户共享公网IP地址池202.10.0.5-202.10.0.14访问外网。

[AR1]nat address-group 1 202.94.0.5 202.94.0.14

[AR1]acl 2001

[AR1-acl-basic-2001]rule 5 permit source 172.94.0.0 0.0.255.255

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1

12 配置服务器静态NAT。

使内网的FTP和WWW服务器分别使用公网IP地址202.94.1.3和202.94.1.4对外提供服务；

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]Nat server protocol tcp global 202.94.1.3 ftp inside 172.94.10.102 ftp

[AR1-GigabitEthernet0/0/0]Nat server protocol tcp global 202.94.1.4 www inside 172.94.20.102 www

[AR1]nat alg ftp enable

13 测试

1) 同时关闭SW1的G0/0/4和SW2的G0/0/3接口，测试PC1 到PC2的连通性并截图。而后再次开启接口。

 

2) 验证路由。在SW1上使用dis ip routing-table protocol rip和dis ip routing-table查看路由学习情况并截图。AR2上查看OSPF LSDB，并截图说明LSA的类型和数量。AR2查看OSPF协议学习到的路由并截图。

 

3) 分别测试PC1、PC2到Client的连通性，并在AR1的G0/0/0接口抓包，验证NAPT功能,并截图进行说明。

 

4) 使用外网客户端client分别访问FTP服务器、www服务器并截图验证。
 

【王老师说运维】：运维之linux基础入门实战