网络实施规划说明项目实施规划说明.doc

网络实施规划说明(2013.12.2)图1设备调试参考0登陆交换机开始配置 system-view #从用户视图进入系统视图，变为1配置核心交换机1/1设置主机名quidway sysname s97061/2 新建vlans9706 vlan bath 5 10 100 to 199 #创建vlan5、10、100199提示：华为各型号可管理型交换机支持最大4k（4094）个vlan，每个接口默认属于vlan1，工作在混合模式（hybird）1/3 配置汇聚vlan需求：汇聚型vlan（aggregate-vlan）除了具有标准vlan隔离广播域的功能，同时有效节约ip地址段，并减少vlan配置的工作量1/3/1定义主干vlan（super-vlan）和若干从属vlan（sub-vlan），s9706 vlan 100 #进入vlan100配置项s9706-vlan100 aggregate-vlan #将vlan100设为super-vlans9706-vlan100 access-vlan 101 to 199#将vlan101199添加至vlan100内成为99个sub vlans9706-vlan100 quit1/3定义主干vlan的3层接口ip地址s9706#interface vlanif 100 #进入vlan100的3层接口s9706-vlanif100 ip address 24 #输入vlanif100的ip地址和子网掩码s9706-vlanif100 arp-proxy inter-sub-vlan-proxy enable #启用vlanif100的arp代理使vlan101199的报文 3层互通s9706-vlanif100 quit提示：在聚合vlan中# super-vlan不能加入物理端口，但可以创建vlanif接口并配置ip地址，拥有多个sub-vlan# sub-vlan可以加入物理端口，但不能创建对应的vlanif接口，只能共用super-vlan的vlanif接口ip地址# 属于某一super-vlan的所有sub-vlan彼此2层隔离，与标准vlan的效果相同# 如果需要sub-vlan之间3层互通，需要对super-vlan的vlanif接口启用arp代理功能，借助3层转发实现互通1/4 配置接口1/4/1 配置接口为级联模式需求：直连终端的接口通常配置为级联模式，为了加入指定的vlan，还要修改接口的默认vlans9706 interface gigabitethernet 6/0/11 #进入6号板卡的11号千兆口s9706-gigabitethernet6/0/11 port link-type access #接口模式改为access（默认hybird）s9706-gigabitethernet6/0/11 port default vlan 5 #接口默认vlan改为5（默认vlan 1）s9706 interface gigabitethernet 6/0/25 #进入6号板卡的25号千兆口s9706-gigabitethernet6/0/11 port link-type access #接口模式改为access（默认hybird）s9706-gigabitethernet6/0/11 port default vlan 10 #接口默认vlan改为10（默认vlan 1）1/4/2 配置接口为中继模式需求：将vlan跨越设备透传，设备之间互联的2个接口需同时改为中继模式，并添加被透传的vlanids9706 interface gigabitethernet 6/0/13 #进入6号板卡的13号千兆口s9706-gigabitethernet6/0/13 port link-type trunk #定义接口模式为trunk（默认为hybird）s9706-gigabitethernet6/0/13 port trunk allow-pass vlan 101 to 199#透传vlan101199的报文（对端设备的接口也要作相同的配置）s9706-gigabitethernet6/0/13 quit #退出本接口提示：如果需要接口透传所有vlan，需进入该接口输入port trunk allow-pass vlan all1/5 配置端口隔离需求：为使1台交换机的接口彼此隔离，一般使用vlan和acl，还可以通过配置接口加入隔离组来实现。使用端口隔离特性，无需配置繁琐的vlan和acl轻松实现接口间的报文隔离。s9706 port-isolate mode all #系统模式下选择端口隔离模式为2层3层都隔离s9706 interface gigabitethernet 6/0/13 #进入6号板卡的13号千兆口s9706-gigabitethernet6/0/13 port-isolate enable group 1 #此接口开启隔离并加入1组s9706-gigabitethernet6/0/13 quit提示：配置端口隔离# 首先在系统视图下选择隔离模式为l2或all，然后进入被隔离接口开启此接口隔离功能，并加入某一隔离组# 同一隔离组内接口之间互相隔离，不同隔离组的接口之间不隔离# 如果不指定group-id参数时，默认加入的隔离组为11/6 配置静态路由需求：互联网路由器的内网接口ip地址是/24，接入交换机的vlan5，服务器ip地址/24，联接防火墙，防火墙上行口ip地址/24，接入交换机vlan101/6/1 配置vlan的3层接口地址s9706#interface vlanif 5 #进入vlan5的3层接口s9706-vlanif5 ip address 24 #输入vlanif5的ip地址和子网掩码s9706#interface vlanif 10 #进入vlan10的3层接口s9706-vlanif10 ip address 24 #输入vlanif10的ip地址和子网掩码s9706-vlanif10 quit1/6/2 缺省路由s9706 ip route-static vlanif 5 #指明任何数据发向外网的接口是vlanif 5或下一跳地址是1/6/3明细路由s9706 ip route-static vlanif10 #指明数据发向/24网段的接口是vlanif 10或下一跳地址是1/8配置登录口令1/8/1配置consle口登录需求：取消从consle接口登录的认证口令s7906 user-interface console 0 #进入console 0口配置项s9706-ui-console0 authentication-mode none #登录无需口令验证s9706-ui-console0 quit1/8/2 配置远程（telnet）登录需求：网管中心使用设备的vlan1，而一般用户使用设备的其他vlan；管理员通过telnet端口的密码验证访问设备，同时禁止别人登陆设备，在登录端口上配置acl策略，登录请求必须匹配规定的源ip（比如vlan1的网段）才能通过s9706#interface vlanif 1 #进入vlan1的3层接口s9706-vlanif1 ip address 16 #输入vlanif1的ip地址和子网掩码s9706-vlanif1 quits7906 acl 2000 #创建基本访问控制列表（序列号2000）s7700-acl-basic-2000 rule 0 permit source 55 #创建0号策略匹配源地址为/16的报文允许通过 s7700-acl-basic-2000 quits9706 user-interface vty 0 4 #进入虚拟用户端口配置项s9706-ui-vty0-4 authentication-mode password #登录模式口令验证s9706-ui-vty0-4 set authentication password cipher 123456 #输入登录口令并以密文保存s9706-ui-vty0-4 user privilege level 15 #设置权限为最高级别（015级）s9706-ui-vty0-4 acl 2000 inbound #对入方向的数据绑定acl2000的策略进行过滤s9706-ui-vty0-4 quit1/9 管理配置文件1/9/1 查看运行中的配置脚本s9706 display current-configuration #可在任何配置子项中操作1/9/2 运行中的配置脚本写入闪存s9706 quit #退出系统视图返回用户视图 save #必须在用户视图下保存1/9/3 查看以保存的配置脚本 display save-configuration #可在任何配置子项中操作1/9/4 查看闪存内的文件 dirdirectory of flash:/idx attr size(byte) date time filename0 -rw- 837 nov 10 2013 10:04:47 vrpcfg.zip#必须在用户视图下查看，文件名为vrpcfg.zip或vrpcfg.cfg的文件是记录配置脚本的文件配置脚本sysname s9706#vlan batch 5 10 100 to 199#port-isolate mode all#acl number 2000rule 0 permit source 55#vlan 100aggregate-vlanaccess-vlan 101 to 199#interface vlanif1ip address #interface vlanif5ip address #interface vlanif10ip address #interface vlanif100ip address arp-proxy inter-sub-vlan-proxy enable#interface gigabitethernet6/0/11port link-type accessport default vlan 5#interface gigabitethernet6/0/13port link-type trunkport trunk allow-pass vlan 101 to 199port-isolate enable group 1#interface gigabitethernet6/0/25port link-type accessport default vlan 10#ip route-static vlanif5 ip route-static vlanif10 #user-interface con 0authentication-mode noneuser-interface vty 0 4user privilege level 15acl 2000 inboundauthentication-mode passwordset authentication password cipher xxxxxx#return2配置路由器2/1设置主机名huawei sysname ar32002/2配置上网功能需求：大量用户同时访问公网必须将他们的私网地址转换成合法并有限的公网地址，通常在路由器的公网接口上配置地址转换（nat）实现2/2/1配置基本访控列表ar3200 acl 2999 #创建基本访问控制列表（序列号2999）ar3200-acl-basic-2999rule 1 permit 55#创建1号策略匹配源地址为/16的报文允许通过ar3200-acl-basic-2999rule 2 permit 55#创建2号策略匹配源地址为/16的报文允许通过ar3200-acl-basic-2999 quit2/2/2配置公网接口ar3200 interface gigabitethernet 0/0/1 #进入0号板卡1号千兆接口ar3200-gigabitethernet0/0/1 ip address 30 29 #输入isp分配的公网ip地址和子网掩码ar3200-gigabitethernet0/0/1 combo-port fiber #启用接口光模块ar3200-gigabitethernet0/0/1 nat outbound 2999 #启用nat出方向地址转换，源地址绑定访控列表29992/2/3 配置内网接口ar3200 interface gigabitethernet 0/0/0 #进入0号板卡0号千兆接口ar3200-gigabitethernet0/0/0 ip address 24 #输入与s9706的vlanif5同网段的ip地址和子网掩码ar3200-gigabitethernet0/0/0 combo-port fiber #启用接口光模块2/4 配置静态路由需求：内网访问公网需配置缺省路由，下一跳地址为isp网关地址，同时还要指明报文回程方向,，也就是配置明细路由通告内网的ip地址2/4/1 缺省路由ar3200 ip route-static gigabitethernet0/0/1 29 #指明任何数据发向外网的接口是gigabitethernet0/0/1或下一跳地址是isp网关292/4/2明细路由ar3200 ip route-static gigabitethernet0/0/0 ar3200 ip route-static gigabitethernet0/0/0 #指明报文发向/24和/16的接口是gigabitethernet0/0/0或下一跳地址是2/5配置登录口令参考s9706配置流程的1/82/6 管理配置文件参考s9706配置流程的1/9配置脚本sysname ar3200#acl number 2000rule 0 permit 55acl number 2999rule 1 permit 55rule 2 permit 55#interface gigabitethernet0/0/0ip address combo-port fiber#interface gigabitethernet0/0/1ip address 30 48combo-port fibernat outbound 2999#ip route-static gigabitethernet0/0/1 29ip route-static gigabitethernet0/0/0 ip route-static gigabitethernet0/0/0 #user-interface con 0authentication-mode noneuser-interface vty 0 4acl 2000 inboundauthentication-mode paswordset authentication password cipher xxxxxx#return设备完整接口配置参考表1、表2、图1表1internet路由器ar3200主机名接 口ip带 宽联 至ar3200g0/130/291gbit/s联 通g0/2移 动g0/0/241gbit/susgwww g0/6internet防火墙usg5530主机名接 口vlanif ip转发模式联 至usgwwwg0/600/24透 明ar3260 g0/0g0/5s9706 g6/11核心交换机s9706主机名接 口ipvlan模 式联 至s9706vlanif /1613层接口管理vlanvlanif 5/245外网防火墙vlanif 10/2410服务器防火墙g4/04/47/12层级联网管pcg6/115usgwww g0/5g6/2510usgsvr g0/6vlanif 100/16100supervlan3层接口ip dhcp servervlan101199vlanif 200/16200vlan201299vlanif 300/16300vlan301399vlanif 400/16400vlan401499vlanif 1000/241000外挂acvlanif 1028/241028g6/13/101199subvlan2层中继s7703/01 g3/0g6/15201299s7703/02 g3/0g6/17301399s7703/03 g3/0g6/19401499s7703/04 g3/0服务器防火墙usg5530主机名接口vlanif 1 ip转发模式联 至usgsvrg0/600/24透 明s9706 g6/25g0/5s7703svr g3/0服务器交换机 s7703主机名接 口ipvlan id模 式联 至s7703svrvlanif /2413层接口服务器防火墙vlanif 2/242服务器g3/0/0/12层级联usgsvr g0/5g1/01/23/2服务器汇聚交换机 s7703主机名接 口ipvlan id模 式联 至s7703/01vlanif /1613层接口g3/0/240942层中继s9706 g6/13g3/13/23s3700s7703/02vlanif /1613层接口g3/0/240942层中继s9706 g6/15g3/13/23s3700s7703/03vlanif /1613层接口g3/0/240942层中继s9706 g6/17g3/13/23s3700s7703/04vlanif /1613层接口g3/0/240942层中继s9706 g6/19g3/13/23s3700楼层设备 s3700s3700（39台）接 口ipvlan id模 式联 至vlanif 1详见表213层接口管理vlane0/00/44/vlan100499的其中之一2层级联办公区配线架e0/450/481000/10282层中继ap设备g0/10/424094s7703 g3/13/23表2楼层ip地址楼 层上 联主机名vlanif1 ip固定办公ip无线ip负一层s7