當(dāng)前H3C最新版模擬器加入了防火墻、AC、AP、Phone等新設(shè)備，本文重點(diǎn)介紹新設(shè)備的使用

整體規(guī)劃
采用三層網(wǎng)絡(luò)結(jié)構(gòu)，核心、匯聚、防火墻、AC、DHCP服務(wù)器均采用三層鏈接，AP采用三層上線，管理業(yè)務(wù)分離

功能實(shí)現(xiàn)
1、ospf三層互聯(lián)，為簡(jiǎn)化網(wǎng)絡(luò)，不配置lookback接口
2、配置DHCP服務(wù)器，配置DHCP中繼，為多個(gè)VLAN提供服務(wù)
3、外網(wǎng)通過防火墻NAT訪問

最終目標(biāo)
實(shí)現(xiàn)Phone通過AP聯(lián)網(wǎng)并自動(dòng)獲取IP，能夠訪問外網(wǎng)1.1.1.1

配置步驟

1、配置核心交換機(jī)

配置三層接口

interface GigabitEthernet1/0/1
port link-mode route
combo enable fiber
ip address 10.0.0.2 255.255.255.252
#
interface GigabitEthernet1/0/2
port link-mode route
combo enable fiber
ip address 10.0.0.9 255.255.255.252
#
interface GigabitEthernet1/0/3
port link-mode route
combo enable fiber
ip address 10.0.0.6 255.255.255.252
#
interface GigabitEthernet1/0/4
port link-mode route
combo enable fiber
ip address 10.0.0.13 255.255.255.252

配置ospf協(xié)議

ospf 1
area 0.0.0.0
?network 10.0.0.0 0.0.0.3
?network 10.0.0.4 0.0.0.3
?network 10.0.0.8 0.0.0.3
?network 10.0.0.12 0.0.0.3

2、配置DHCP服務(wù)器
使用路由器模擬，配置接口

interface GigabitEthernet1/0/2
port link-mode route
combo enable fiber
ip address 10.0.0.10 255.255.255.252

配置ospf

ospf 1
area 0.0.0.0
?network 10.0.0.8 0.0.0.3

配置dhcp池

dhcp enable
dhcp server ip-pool vlan10
gateway-list 10.0.1.254
network 10.0.1.0 mask 255.255.255.0
dns-list 10.0.0.1
#
dhcp server ip-pool vlan20
gateway-list 10.0.2.254
network 10.0.2.0 mask 255.255.255.0
dns-list 10.0.0.1
#
dhcp server ip-pool vlan30
gateway-list 10.0.3.254
network 10.0.3.0 mask 255.255.255.0
dns-list 10.0.0.1

3、配置匯聚交換機(jī)
配置VLANIF與三層接口

interface Vlan-interface10
ip address 10.0.1.254 255.255.255.0
dhcp select relay
dhcp relay server-address 10.0.0.10
#
interface Vlan-interface20
ip address 10.0.2.254 255.255.255.0
dhcp select relay
dhcp relay server-address 10.0.0.10
#
interface Vlan-interface30
ip address 10.0.3.254 255.255.255.0
dhcp select relay
dhcp relay server-address 10.0.0.10

#
interface GigabitEthernet1/0/4
port link-mode route
combo enable fiber
ip address 10.0.0.14 255.255.255.252

配置OSPF

ospf 1
area 0.0.0.0
?network 10.0.0.12 0.0.0.3
?network 10.0.1.0 0.0.0.255
?network 10.0.2.0 0.0.0.255
?network 10.0.3.0 0.0.0.255

開啟DHCP中繼服務(wù)

dhcp enable

4、調(diào)試pc
配置匯聚交換機(jī)對(duì)應(yīng)接口為vlan10

interface GigabitEthernet1/0/6
port link-mode bridge
port access vlan 10
combo enable fiber

PC配置自動(dòng)獲取，成功獲取IP

5、防火墻
將 本地主機(jī) vbox網(wǎng)卡接口 與 防火墻相連，登陸防火墻，為接口配置IP地址。
我的vbox網(wǎng)卡地址為192.168.56.254

為防火墻配置192.168.56.2

interface GigabitEthernet1/0/0
port link-mode route
combo enable copper
ip address 192.168.56.2 255.255.255.0

配置acl規(guī)則，允許此接口進(jìn)行web登錄

acl advanced 3000
rule 0 permit ip

為接口引入規(guī)則

security-zone name Management
import interface GigabitEthernet1/0/0
#
zone-pair security source Local destination Management
packet-filter 3000
#
zone-pair security source Management destination Local
packet-filter 3000

登錄防火墻進(jìn)行配置?admin?admin

配置內(nèi)網(wǎng)接口

配置外網(wǎng)接口

配置防火墻靜態(tài)路由，從防火墻返回內(nèi)網(wǎng)的路由

配置防火墻安全策略，所有區(qū)域互通

配置NAT轉(zhuǎn)換

配置核心默認(rèn)路由，聲明ospf默認(rèn)路由

ip route-static 0.0.0.0 0 10.0.0.1

ospf 1
default-route-advertise

配置外網(wǎng)設(shè)備1.1.1.1，配置IP

interface GigabitEthernet0/2
port link-mode route
combo enable copper
ip address 1.1.1.1 255.255.255.0

測(cè)試pc與防火墻內(nèi)外網(wǎng)地址互通，實(shí)現(xiàn)通訊

<H3C>ping 1.1.1.2
Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 1.1.1.2: icmp_seq=0 ttl=253 time=1.000 ms

注意，多外網(wǎng)接口通訊還需配置策略路由

防火墻配置至此完成

6、AC配置
斷開本地主機(jī)與防火墻的連接，將本地主機(jī)連接至AC

為ac配置IP并配置web登錄

[ac]int vlan 1
[ac-Vlan-interface1]ip add 192.168.56.3 24
[ac]ip http en
[ac]local-user admin
New local user added.
[ac-luser-manage-admin]password simple pass@123456
[ac-luser-manage-admin]authorization-attribute ?user-role level-15
[ac-luser-manage-admin]service-type http
[ac-luser-manage-admin]save

因模擬器存在bug，將AC接口改為三層接口后所有接口失效，因此為AC和核心交換機(jī)配置trunk及vlan，若已經(jīng)觸發(fā)bug，需要?jiǎng)h除AC重新添加

核心配置

interface Vlan-interface100
ip address 10.0.0.6 255.255.255.252
interface GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan all
combo enable fiber

AC配置

interface Vlan-interface100
ip address 10.0.0.5 255.255.255.252

interface GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan all

為AC設(shè)置默認(rèn)路由

ip route-static 0.0.0.0 0 10.0.0.6

使用pc測(cè)試，可以與AC通訊

<H3C>ping 10.0.0.5
Ping 10.0.0.5 (10.0.0.5): 56 data bytes, press CTRL_C to break
56 bytes from 10.0.0.5: icmp_seq=0 ttl=253 time=2.000 ms

為DHCP服務(wù)器配置option43選項(xiàng)，AP上線網(wǎng)段為VLAN20

option43格式簡(jiǎn)要說明：
80 07 00 00 01 02 02 02 02
80：固定值，不用改變；
07：長(zhǎng)度字段，其后面所跟數(shù)據(jù)的字節(jié)長(zhǎng)度；
00 00：固定值，不用改變；
01：表示后面的IP地址的個(gè)數(shù)，此處為一個(gè)IP地址；
02 02 02 02：IP地址

在線轉(zhuǎn)換工具?https://tool.520101.com/wangluo/jinzhizhuanhuan/
10.0.0.5 = A000005
拼接默認(rèn)字段option 43 hex 80070000010A000005，位數(shù)不夠補(bǔ)零
DHCP服務(wù)器配置

dhcp server ip-pool vlan20
gateway-list 10.0.2.254
network 10.0.2.0 mask 255.255.255.0
dns-list 10.0.0.1
option 43 hex 80070000010a000005

匯聚為AP對(duì)應(yīng)的接口配置trunk及默認(rèn)pvid

interface GigabitEthernet1/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 20

重啟AP，查看獲取IP情況
查看IP

dis int br
Vlan1 ? ? ? ? ? ? ? ?UP ? UP ? ? ? 10.0.2.1

登錄ac，開啟自動(dòng)AP

進(jìn)行AP固化及重命名

創(chuàng)建本地轉(zhuǎn)發(fā)網(wǎng)絡(luò)

為ap創(chuàng)建map文件，vlan30為業(yè)務(wù)vlan
自定義名字officecfg.txt，因?yàn)榻涌谂渲昧藀vid，所以對(duì)ap來說，管理vlan是vlan1，不需要再配置

system-view
vlan 30
quit
interface GigabitEthernet 0/0/0
port link-type trunk
port trunk permit vlan 30

在AP上部署map文件

在AP上部署無線網(wǎng)絡(luò)，vlan填寫業(yè)務(wù)vlan 30

客戶端聯(lián)網(wǎng)測(cè)試，成功獲取vlan30的ip

phone ping通外網(wǎng)1.1.1.1，實(shí)驗(yàn)完成

小結(jié)
華三模擬器，牛逼！