一：項(xiàng)目總體設(shè)計(jì)??

1） 接入層設(shè)計(jì)

接入層交換機(jī)提供網(wǎng)絡(luò)到桌面的數(shù)據(jù)業(yè)務(wù)連接服務(wù)，因此，接入層交換機(jī)必須具有靈活的業(yè)務(wù)處理能力、安全策略、擴(kuò)展能力和強(qiáng)大的QoS能力等。接入層采用2臺(tái)華為S3700交換機(jī)，具體為：

（1）根據(jù)業(yè)務(wù)需求，在接入層配置百兆或千兆二層交換機(jī)；

（2）交換機(jī)支持802.1q、SNMP協(xié)議和端口安全功能，根據(jù)學(xué)校業(yè)務(wù)劃分多個(gè)不同的業(yè)務(wù)VLAN，用于分隔廣播域；

（3）交換機(jī)端口上實(shí)現(xiàn)對(duì)允許連接計(jì)算機(jī)數(shù)量的控制，提高接入的安全性；

（4）每個(gè)接入層交換機(jī)通過(guò)2條上行鏈路連接到2臺(tái)核心交換機(jī)，實(shí)現(xiàn)上行線路備份和負(fù)載分擔(dān)。

2） 匯聚層設(shè)計(jì)

匯聚層是核心層和接入層的分界點(diǎn)，為接入層的中高速業(yè)務(wù)提供接入服務(wù)。匯聚層交換機(jī)采用2臺(tái)華為S5700交換機(jī)。具體為：

（1）匯聚層核心交換機(jī)采用高性能的三層交換機(jī)，2臺(tái)核心交換機(jī)作為校園局域網(wǎng)的網(wǎng)關(guān)，實(shí)現(xiàn)互為備份，接入層交換機(jī)通過(guò)雙鏈路連接到，并實(shí)現(xiàn)接入層VLAN之間的聯(lián)通；

（2）2臺(tái)核心交換機(jī)之間采用雙鏈路連接，配置鏈路聚合，提高核心交換機(jī)之間的鏈路帶寬和可靠性；

（3）采用MSTP+VRRP技術(shù)，實(shí)現(xiàn)接入層網(wǎng)關(guān)的備份和環(huán)路避免，提高網(wǎng)絡(luò)可靠性；

（4）三層交換機(jī)的上行端口（路由端口）進(jìn)行TRACK監(jiān)測(cè)，并將監(jiān)測(cè)與VRRP聯(lián)動(dòng)配合，實(shí)現(xiàn)網(wǎng)絡(luò)在部分線路中斷情況下的穩(wěn)定運(yùn)行；

（5）在三層交換機(jī)路由接口和核心層路由器內(nèi)網(wǎng)接口之間啟用RIPv2路由協(xié)議。

3）核心層設(shè)計(jì)

根據(jù)項(xiàng)目需求，核心層采用高性能華為AR2220系列路由器，實(shí)現(xiàn)校園網(wǎng)與外部Internet網(wǎng)的高速互聯(lián)。

（1）路由器R1與三層交換機(jī)之間采用RIPv2路由協(xié)議；

（2）路由器配置靜態(tài)默認(rèn)路由連接外部城域網(wǎng)；

（3）模擬外部城域網(wǎng)部分采用OSPF協(xié)議，并在鏈路上啟用OSPF協(xié)議CHAP認(rèn)證；

IP地址分配：

二、實(shí)驗(yàn)步驟

2.1 基礎(chǔ)配置。

按照拓?fù)渑渲盟性O(shè)備名稱(chēng)、接口地址。FTP服務(wù)器開(kāi)啟FTP服務(wù)、WWW1開(kāi)啟http服務(wù)。

1）PC1基礎(chǔ)配置截圖如下：

2）FTP基礎(chǔ)配置截圖如下：

3）FTP服務(wù)器信息截圖如下：

4）WWW服務(wù)器截圖配置如下：

2.2 配置交換機(jī)二層轉(zhuǎn)發(fā)功能。

1）在交換設(shè)備SW1、SW2、SW3、SW4上創(chuàng)建VLAN2、VLAN3

2）在SW3、SW4下行端口配置默認(rèn)VLAN，端口類(lèi)型access，上行端口的端口類(lèi)型trunk，允許通過(guò)VLAN2，VLAN3。

3）將交換設(shè)備SW1、SW2下行端口類(lèi)型設(shè)置為trunk，SW1、SW2下行端口配置允許通過(guò)的VLAN。

SW3配置如下：

[S3]vlan batch 2 3 4

[S3-Ethernet0/0/1]port link-type access?

[S3-Ethernet0/0/1]port default vlan 2

[S3-Ethernet0/0/1]int e0/0/2

[S3-Ethernet0/0/2]port link-type access

[S3-Ethernet0/0/2]port default vlan 2

[S3]int g0/0/1

[S3-GigabitEthernet0/0/1]port link-type trunk

[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

[S3]int e0/0/3

[S3-Ethernet0/0/3]port link-type trunk?

[S3-Ethernet0/0/3]port trunk allow-pass vlan 2 3

SW4配置如下：

[S4]vlan batch 2 3 4

[S4]int e0/0/1

[S4-Ethernet0/0/1]port link-type access

[S4-Ethernet0/0/1]port default vlan 3?

[S4-Ethernet0/0/1]int e0/0/2

[S4-Ethernet0/0/2]port link-type access

[S4-Ethernet0/0/2]port default vlan 3

[S4]int g0/0/1

[S4-GigabitEthernet0/0/1]port link-type trunk?

[S4-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

[S4]int e0/0/3

[S4-Ethernet0/0/3]port link-type trunk?

[S4-Ethernet0/0/3]port trunk allow-pass vlan 2 3

SW1配置如下：

[S1]vlan batch 2 3 4

[S1]int g0/0/2

[S1-GigabitEthernet0/0/2]port link-type trunk

[S1-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 3

[S1]int g0/0/5

[S1-GigabitEthernet0/0/5]port link-type trunk

[S1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

SW2配置如下：

[S2]vlan batch 2 3 4

[S2]int g0/0/5

[S2-GigabitEthernet0/0/5]port link-type trunk

[S2-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

[S2]int g0/0/2

[S2-GigabitEthernet0/0/2]port link-type trunk?

[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 3

2.3配置鏈路聚合。

SW1、SW2連接鏈路創(chuàng)建聚合鏈路Eth-trunk1，模式為手工鏈路負(fù)載均衡。分別在SW1、SW2上配置Eth-trunk1接口模式為trunk，允許通過(guò)VLAN2和VLAN3。

SW1配置如下：

[S1]int Eth-Trunk 1

[S1-Eth-Trunk1]mode manual load-balance?

[S1-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4

[S1-Eth-Trunk1]port link-type trunk

[S1-Eth-Trunk1]port trunk allow-pass vlan 2 3 4

SW2配置如下：

[S2]int Eth-Trunk 1

[S2-Eth-Trunk1]mode manual load-balance?

[S2-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4

[S2-Eth-Trunk1]port link-type trunk?

[S2-Eth-Trunk1]port trunk allow-pass vlan 2 3 4

2.4 配置VLANIF。

SW1、SW2上分別配置VLANIF2、VLANIF3接口，以實(shí)現(xiàn)VLAN間互通。在SW1、SW2上配置VLANIF4接口實(shí)現(xiàn)與AR1互聯(lián)。

SW1配置如下：

[S1]int vlanif 2

[S1-Vlanif2]ip add 172.119.10.100 24

[S1-Vlanif2]int vlanif 3

[S1-Vlanif3]ip add 172.119.20.100 24

[S1]int vlanif 4

[S1-Vlanif4]ip add 172.119.30.100 24

SW2配置如下：

[S2]int vlanif 2

[S2-Vlanif2]ip add 172.119.10.200 24

[S2-Vlanif2]int vlanif 3

[S2-Vlanif3]ip add 172.110.20.200 24

[S2]int vlanif 4

[S2-Vlanif4]ip add 172.119.40.200 24

2.5 配置MSTP。

分別在SW1、SW2、SW3、SW4上配置MSTP。

1）配置SW1域名為RG1，創(chuàng)建實(shí)例MSTI1和實(shí)例MSTI2

[SW1] stp region-configuration //進(jìn)入MST域視圖。

[SW1-mst-region] region-name RG1 //配置域名為RG1。

[SW1-mst-region] instance 1 vlan 2 //將VLAN 2映射到實(shí)例1上。

[SW1-mst-region] instance 2 vlan 3 //將VLAN 3映射到實(shí)例2上。

[SW1-mst-region] active region-configuration //激活MST域的配置。

[SW1-mst-region] quit

同樣，進(jìn)行SW2配置。

SW2配置如下：

[S2]stp region-configuration?

[S2-mst-region]region-name rg1

[S2-mst-region]instance 1 vlan 2

[S2-mst-region]instance 2 vlan 3

[S2-mst-region]active region-configuration

SW3上配置域名RG1，創(chuàng)建實(shí)例MSTI1。

[SW3] stp region-configuration //進(jìn)入MST域視圖。

[SW3-mst-region] region-name RG1 //配置域名為RG1。

[SW3-mst-region] instance 1 vlan 2 //將VLAN 2映射到實(shí)例1上。

[SW3-mst-region] active region-configuration //激活MST域的配置。

[SW3-mst-region] quit

同理，SW4上配置域名RG1，創(chuàng)建實(shí)例MSTI2。將VLAN3映射到實(shí)例2上。

SW4配置如下：

[S4]stp region-configuration?

[S4-mst-region]region-name rg1

[S4-mst-region]instance 1 vlan 2

[S4-mst-region]active region-configuration?

2）在域RG1內(nèi)，配置MSTI1與MSTI2的根橋與備份根橋

配置MSTI1的根橋與備份根橋

[SW1] stp instance 1 root primary // 配置SW1為MSTI1的根橋。

[SW2] stp instance 1 root secondary //配置SW2為MSTI1的備份根橋。

配置MSTI2的根橋與備份根橋，配置SW2為MSTI2的根橋，配置SW1為MSTI2的備份根橋。配置如下：

[S1]stp instance 2 root secondary?

[S2]stp instance 2 root primary?

3）使能MSTP，實(shí)現(xiàn)破除環(huán)路

設(shè)備全局使能MSTP

[SW1] stp enable

同理，在SW2、SW3、SW4啟動(dòng)MSTP。

配置如下：

[S2]stp enable

[S3]stp enable

[S4]stp enable

4）將與AR1相連SW1和SW2的上行路由端口配置為邊緣端口

配置SW1路由端口。

[SW1] interface gigabitethernet 0/0/3

[SW1-GigabitEthernet0/0/3] stp edged-port enable

[SW1-GigabitEthernet0/0/3] quit

同樣配置SW2的路由端口為stp邊緣端口。

配置如下：

[S2]int g0/0/1

[S2-GigabitEthernet0/0/1]stp edged-port enable?

2.6 配置VRRP備份組?

在SW1和SW2上創(chuàng)建VRRP備份組1，配置SW1的優(yōu)先級(jí)為120，設(shè)置搶占方式，搶占延時(shí)為20秒，作為Master設(shè)備；SW2的優(yōu)先級(jí)為缺省值，作為Backup設(shè)備。

在SW1和SW2上創(chuàng)建VRRP備份組2，配置SW2的優(yōu)先級(jí)為120，搶占延時(shí)為20秒，作為Master設(shè)備；SW1的優(yōu)先級(jí)為缺省值，作為Backup設(shè)備。

SW1配置如下：

[S1]int vlanif 2

[S1-Vlanif2]vrrp vrid 1 virtual-ip 172.119.10.254

[S1-Vlanif2]vrrp vrid 1 priority 120

[S1]int vlan 3

[S1-Vlanif3]vrrp vrid 2 virtual-ip 172.119.20.254

SW2配置如下：

[S2]int vlan 2

[S2-Vlanif2]vrrp vrid 1 virtual-ip 172.119.10.254

[S2]int vlanif 3

[S2-Vlanif3]vrrp vrid 2 virtual-ip 172.119.20.254

[S2-Vlanif3]vrrp vrid 2 priority 120

2.7 配置VRRP1與TRACK1，VRRP2與TRACK2聯(lián)動(dòng)。

SW1配置如下：

[S1-Vlanif2]vrrp vrid 1 track interface g0/0/1 reduced 50

SW2配置如下：

[S2-Vlanif2]vrrp vrid 1 track interface g0/0/1 reduced 50

2.8 配置RIP協(xié)議。

在AR1配置IP地址，在SW1、SW2、AR1上配置RIPv2，通告各相關(guān)接口網(wǎng)段，關(guān)閉路由匯總，實(shí)現(xiàn)內(nèi)網(wǎng)互通。

[AR1-GigabitEthernet0/0/1]ip add 172.119.30.101 24

[AR1-GigabitEthernet0/0/2]ip add 172.119.40.102 24

[AR1-GigabitEthernet0/0/0]ip add 202.119.0.1 28

[AR1]rip?

[AR1-rip-1]network 172.119.0.0

[AR1-rip-1]network 202.119.0.0

[AR1-rip-1]undo summary?

[AR1]int G0/0/1

[AR1-GigabitEthernet0/0/1]rip metricin 2 //將SW1發(fā)布的路由增加meric值2，形成備用路由。

SW1配置：

[SW1]rip?

[SW1-rip-1]network 172.119.0.0

[SW1-rip-1]undo summary

同理配置SW2.配置如下：

[S2]rip

[S2-rip-1]net 172.119.0.0

[S2-rip-1]undo summary?

2.9 配置AR1訪問(wèn)外網(wǎng)上的默認(rèn)靜態(tài)路由，并在AR1中發(fā)布RIP協(xié)議默認(rèn)路由以實(shí)現(xiàn)SW1,SW2訪問(wèn)外網(wǎng)的默認(rèn)路由。

AR1默認(rèn)路由配置如下：

[R1]ip route-static 0.0.0.0 0 202.119.0.2

在AR1中發(fā)布RIP協(xié)議默認(rèn)路由配置如下：

[AR1]rip 1

[AR1-rip-1]default-route originate

2.10 內(nèi)網(wǎng)測(cè)試驗(yàn)證。

1）在SW1和SW2上使用display stp instance 1 和display stp instance 2截圖MSTP配置結(jié)果。指出MSTI1的根橋，備份根橋；指出MSTI2的根橋，備份根橋；

截圖如下：

2）使用PC1 ping PC2 ，驗(yàn)證不同VLAN用戶的連通性并截圖。

截圖如下：

3）在交換機(jī)SW2上display vrrp驗(yàn)證VRRP的配置結(jié)果，分別指出VRRP vrid2的Master和Backup設(shè)備。

截圖如下：

VRRP vrid2 的Master是SW2，Backup是SW1

4）關(guān)閉SW2的G0/0/1接口，再次指出VRRP vrid 2的Master和Backup設(shè)備，并使用PC2 tracert 202.119.0.1截圖，指出數(shù)據(jù)包的路徑。然后開(kāi)啟SW2的G0/0/1接口。

截圖如下：

VRRP vrid2 的Master是SW2，Backup是SW1

可以看到數(shù)據(jù)包發(fā)送途徑：SW4→SW1→AR1

5）同時(shí)關(guān)閉SW1的G0/0/1和SW2的G0/0/1接口，測(cè)試PC1 到PC2的連通性并截圖。而后再次開(kāi)啟接口。

截圖如下：

6）使用PC2 ping AR1 G0/0/0接口，驗(yàn)證并截圖。

截圖如下：

7)驗(yàn)證路由。在SW1上使用dis ip routing-table protocol rip和dis ip routing-table查看路由學(xué)習(xí)情況并截圖。

截圖如下：

2.11 配置NAPT。

使內(nèi)網(wǎng)的用戶共享公網(wǎng)IP地址池202.119.0.5-202.119.0.14訪問(wèn)外網(wǎng)。

AR1的配置如下：

[R1]nat address-group 1 202.119.0.5 202.119.0.14

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 172.119.0.0 0.0.255.255

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat?

使用PC1 ping AR2 G0/0/0接口，并在AR1外網(wǎng)接口抓包，查看NAT是否實(shí)現(xiàn)。

截圖如下：

2.12 配置服務(wù)器靜態(tài)NAT。

使內(nèi)網(wǎng)的FTP和WWW服務(wù)器分別使用公網(wǎng)IP地址202.119.0.3和202.119.0.4對(duì)外提供服務(wù)；

AR1上配置如下：

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]nat static global 202.119.0.3 inside 172.119.10.102

[R1-GigabitEthernet0/0/0]nat static global 202.119.0.4 inside 172.119.20.102

2.13 城域網(wǎng)配置。

1）配置城域網(wǎng)AR2,AR3，AR4、AR5、AR6ospf協(xié)議。其中，AR2（G0/0/1、G0/0/2接口）、AR3（G0/0/0、G0/0/1接口）、AR4（G0/0/0、G0/0/2接口）間為OSPF骨干區(qū)域area0。

各路由器配置如下：

[R2-ospf-1]a 0

[R2-ospf-1-area-0.0.0.0]net 202.119.23.0 0.0.0.255

[R2-ospf-1-area-0.0.0.0]net 202.119.24.0 0.0.0.255

[R3-ospf-1]a 0

[R3-ospf-1-area-0.0.0.0]net 202.119.23.0 0.0.0.255

[R3-ospf-1-area-0.0.0.0]net 202.119.34.0 0.0.0.255

[R4-ospf-1]a 0

[R4-ospf-1-area-0.0.0.0]net 202.119.24.0 0.0.0.255

[R4-ospf-1-area-0.0.0.0]net 202.119.34.0 0.0.0.255

2）AR5（G0/0/0、G0/0/1、G0/0/2接口）、AR3（E1/0/0接口）、AR4（E1/0/0接口）間為OSPF stub區(qū)域 area1。

各路由器配置如下：

[R3-ospf-1]a 1

[R3-ospf-1-area-0.0.0.1]net 202.119.35.0 0.0.0.255

[R4-ospf-1]a 1

[R4-ospf-1-area-0.0.0.1]net 202.119.45.0 0.0.0.255

[R5-ospf-1]a 1

[R5-ospf-1-area-0.0.0.1]net 202.119.35.0 0.0.0.255

[R5-ospf-1-area-0.0.0.1]net 202.119.45.0 0.0.0.255

[R5-ospf-1-area-0.0.0.1]net 202.119.50.0 0.0.0.255

3）AR6（G0/0/0、G0/0/1、G0/0/2接口）、AR3（E1/0/1接口）、AR4（E1/0/1接口）間為OSPF stub區(qū)域 area2。

各路由器配置如下：

[R3-ospf-1]a 2

[R3-ospf-1-area-0.0.0.2]net 202.119.36.0 0.0.0.255

[R4-ospf-1]a 2

[R4-ospf-1-area-0.0.0.2]net 202.119.46.0 0.0.0.255

[R6-ospf-1]a 2

[R6-ospf-1-area-0.0.0.2]net 202.119.36.0 0.0.0.255

[R6-ospf-1-area-0.0.0.2]net 202.119.46.0 0.0.0.255

[R6-ospf-1-area-0.0.0.2]net 202.119.60.0 0.0.0.255

4）AR2上direct路由重分布到OSPF。

路由器配置如下：

[R2]ospf

[R2-ospf-1]import-route direct?

5）在R3的區(qū)域1中，將發(fā)送到該Stub區(qū)域的Type-3 LSA的缺省開(kāi)銷(xiāo)值設(shè)為10；在R4的區(qū)域2中，將發(fā)送到該Stub區(qū)域的Type-3 LSA的缺省開(kāi)銷(xiāo)值設(shè)為10；

[R4-ospf-1-area-0.0.0.1]default-cost 10

[R3-ospf-1-area-0.0.0.2]default-cost 10

6）查看R3、R4上的OSPF鄰居建立情況并截圖；查看R2、R5、R6的LSDB并截圖。查看R2、R5、R6的OSPF路由表并截圖。

截圖如下：

7）PC3上tracert 202.119.0.1 ，說(shuō)明數(shù)據(jù)包路徑并截圖。

截圖如下：

2.114全網(wǎng)性能測(cè)試

1）分別測(cè)試PC1、PC2到Client的連通性，并在AR1查看的G0/0/0接口抓包，驗(yàn)證NAPT功能,并截圖進(jìn)行說(shuō)明。

截圖如下：

2）使用PC1測(cè)試到PC3的連通性，并截圖。

截圖如下：

3）使用外網(wǎng)客戶端client分別訪問(wèn)FTP服務(wù)器、www服務(wù)器并截圖驗(yàn)證。

配置結(jié)束。