1.实验介绍及拓扑
(1)总部和分支机构均可访问Internet 8.8.8.8。
(2)总部和分支机构采用WAN专线作为主线路相互访问,建立GRE隧道作为备份线路通过Internet相互访问。
(3)总部采用两层架构(核心接入),AC双链路绕过核心,启用RSTP防环路。
(4) WLAN 管理VLAN 为100 192.168.100.1,AC 和AP 之间的cpawap 隧道由VLAN 100 控制。
AP 向两个SSID 发送信号。一份用于HR 部门,一份用于IT 部门。业务数据通过核心交换机直接发送到互联网/分支机构,无需经过AC。
(5)在总分行内部、总分行之间运行OSPF
2.掌握内容及配置思路
2.1掌握内容
配置VLAN 配置接口类型RSTPDHCP 链路聚合NATCAPWAPVRRPPPP 身份验证OSPF
2.2组网规划
2.2.1划分VLAN
VLAN10 A部门
VLAN20 B部门
VLAN30 人力资源部无线
VLAN40 IT 部门无线
VLAN50服务器
AP1 SSID:HR
AP2:IT SSID
2.2.2配置思路
总部内网配置总部-分支机构PPP链路认证配置分支机构内网配置总部-分支机构WAN OSPF配置总部-分支机构Internet GRE配置NAT验证冗余
3.配置步骤
3.1配置总部内网
3.1.1 配置服务器
步骤1:配置DNS服务器地址
步骤2:配置WEB服务器地址
3.1.2 配置交换机VLAN和接口
步骤1:所有交换机批量创建VLAN
VLAN批次10 20 30 40 50 100
步骤2:验证创建后的VLAN
例如SW9
步骤3:配置交换机上下行二层接口
S9
接口千兆以太网0/0/1
端口链路类型访问
端口默认VLAN 50
#
接口千兆以太网0/0/2
端口链路类型访问
端口默认VLAN 50
#
接口千兆以太网0/0/3
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
#
接口千兆以太网0/0/4
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
#业务交换机配置界面划分为VLAN50
#配置交换机之间的Trunk链路,并允许对应的VLAN通过
S10
整数g0/0/1
端口链路类型访问
端口默认VLAN 10
整数g0/0/2
端口链路类型中继
端口中继pvid vlan 100
端口中继允许路径VLAN 30 40 100
整数g0/0/5
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
整数g0/0/6
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
1台PC,2个AP
与AP连接的交换机接口配置Trunk默认VLAN,属于VLAN100,允许AP下的无线终端数据业务VLAN通过。
S11
整数g0/0/1
端口链路类型访问
端口默认VLAN 20
整数g0/0/2
端口链路类型中继
端口中继pvid vlan 100
端口中继允许路径VLAN 30 40 100
整数g0/0/7
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
整数g0/0/8
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
1端口PC,2端口AP
S1
#
虚拟局域网4
#
整数g0/0/3
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
整数g0/0/5
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
整数g0/0/7
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
#
接口千兆以太网0/0/11
端口链路类型中继
端口trunk 允许路径VLAN 100
#
接口千兆以太网0/0/22
端口链路类型访问
端口默认VLAN 4
#向下出口
#AC口
#向上退出
S2
#
虚拟局域网5
#
整数g0/0/4
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
整数g0/0/6
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
整数g0/0/8
端口链路类型中继
端口Trunk 允许路径VLAN 10 20 30 40 50 100
#
接口千兆以太网0/0/11
端口链路类型中继
端口trunk 允许路径VLAN 100
#
接口千兆以太网0/0/22
端口链路类型访问
端口默认vlan 5
#向下出口
#AC口
#向上退出
步骤4:配置核心三层互联接口
开关1
SW2
#
虚拟局域网6
#
接口Vlanif6
IP地址192.168.6.1 255.255.255.252
#
虚拟局域网6
#
接口Vlanif6
IP地址192.168.6.2255.255.255.252
步骤5:配置Eth-trunk
SW1和SW2
#
接口Eth-Trunk12
端口链路类型中继
端口Trunk 允许路径VLAN 6 10 20 30 40 50 100
#
接口千兆位以太网0/0/23
以太网中继12
#
接口千兆以太网0/0/24
以太网中继12
步骤6:验证Eth-trunk接口up
3.1.3 配置生成树RSTP
步骤1:所有交换机包括AC配置RSTP
stp模式rstp
注意:AC默认不启用生成树。如果所有设备同时使能,请先为AC配置生成树,以避免环路。
步骤2:配置主备根桥
开关1
SW2
stp 实例0 根主实例
//SW1优先级0,作为根桥
stp 实例0 根辅助
//SW2优先级为4096作为备份根桥
配置3:验证生成树网桥ID优先级
CIST Bridge:指本机的网桥ID。网桥ID 由该交换机上所有接口的最低MAC 地址和网桥优先级组成。
CIST Root/ERPC:指总路由的网桥ID和总路由的成本。
CIST RegRoot/IRPC:指域根的桥ID和到域根的开销。
CIST根端口ID:指交换机根端口在CIST生成树上的端口ID。
步骤4:验证生成树阻塞端口
被阻塞的端口将接入交换机连接到核心备份根桥接口。
3.1.4 配置VRRP主备网关
步骤1:配置VRRP
VRRP 的默认优先级为100。最好将其增加到120,以便终端网关流量通过核心SW1 主VRRP。
开关1
SW2
#
启用DHCP
#
接口Vlanif10
IP地址192.168.10.252 255.255.255.0
vrrp vrid 10虚拟ip 192.168.10.254
VRRP vrid 10 优先级120
dhcp 选择全局
#
接口Vlanif20
IP地址192.168.20.252 255.255.255.0
vrrp vrid 10 虚拟ip 192.168.20.254
VRRP vrid 10 优先级120
dhcp 选择全局
#
接口Vlanif30
IP地址192.168.30.252 255.255.255.0
vrrp vrid 10 虚拟ip 192.168.30.254
VRRP vrid 10 优先级120
dhcp 选择全局
#
接口Vlanif40
IP地址192.168.40.252 255.255.255.0
vrrp vrid 10虚拟ip 192.168.40.254
VRRP vrid 10 优先级120
dhcp 选择全局
#
接口Vlanif50 //服务器
IP地址192.168.50.252 255.255.255.0
vrrp vrid 10 虚拟ip 192.168.50.254
VRRP vrid 10 优先级120
#
接口Vlanif100
IP地址192.168.100.252 255.255.255.0
vrrp vrid 10 虚拟IP 192.168.100.254
VRRP vrid 10 优先级120
dhcp 选择全局
#
#
启用DHCP
#
接口Vlanif10
IP地址192.168.10.253 255.255.255.0
vrrp vrid 10虚拟ip 192.168.10.254
#
接口Vlanif20
IP地址192.168.20.253 255.255.255.0
vrrp vrid 10 虚拟ip 192.168.20.254
#
接口Vlanif30
IP地址192.168.30.253 255.255.255.0
vrrp vrid 10 虚拟ip 192.168.30.254
#
接口Vlanif40
IP地址192.168.40.253 255.255.255.0
vrrp vrid 10 虚拟ip 192.168.40.254
#
接口Vlanif50
IP地址192.168.50.253 255.255.255.0
vrrp vrid 10 虚拟ip 192.168.50.254
#
接口Vlanif100
IP地址192.168.100.253 255.255.255.0
vrrp vrid 10 虚拟IP 192.168.100.254
#
步骤2:验证VRRP主备状态
步骤3:VRRP双主的情况
例如,正常情况下所有master都在SW1上。现在,如果备份网关vlanif100也是sw2的master,则称为双主情况。
要重现实验行为,请配置聚合接口的一端以阻止vlanif100 数据包通过,这会阻塞端口并阻止VRRP 数据包交换。
3.1.5 配置DHCP
步骤1:SW1创建地址池
地址252和253被排除在地址池之外,因为它们已经被接口使用。
IP池vlan10
网络192.168.10.0 掩码255.255.255.0
网关列表192.168.10.254
排除的IP 地址192.168.10.252
排除的IP 地址192.168.10.253
#
IP池vlan20
网络192.168.20.0 掩码255.255.255.0
网关列表192.168.20.254
排除的IP 地址192.168.20.252
排除的IP 地址192.168.20.253
#
ip池vlan30
网络192.168.30.0 掩码255.255.255.0
网关列表192.168.30.254
排除的IP 地址192.168.30.252
排除的IP 地址192.168.30.253
#
ip池vlan40
网络192.168.40.0 掩码255.255.255.0
网关列表192.168.40.254
排除的IP 地址192.168.40.252
排除的IP 地址192.168.40.253
#
ip pool vlan100 //为AP分配地址。其中1个分配给ac,252和253为主网关和备份网关
网关列表192.168.100.254
网络192.168.100.0 掩码255.255.255.0
排除的IP 地址192.168.100.1
排除的IP 地址192.168.100.252
排除的IP 地址192.168.100.253
option 43 sub-option 3 ascii 192.168.100.1 //op43用于AP找到AC并建立CAPWAP隧道。
步骤2:验证电脑获取到地址
步骤3:验证AP获取到地址
步骤4:上下流量进入AP和交换机后拆剥tag分析
应特别注意以下几点:
交换机SW10上端口g0/0/2的配置如图所示。接口pvid为100,trunk接口传100。
剥离pvid 100标签后即可为AP分配地址池ip pool vlan100。此时,如果没有数据,则AP的地址默认为VLAN 1。 AP 接口g0/0/0 默认为VLAN1,为混合(Trunk 功能)端口。只有控制数据包capwap 通过交换机的下游g0/0/2 端口,并标记为pvid 100。通过capwap 隧道进行交流。如果AP下有笔记本流量,则AP的WLAN接口的PVID为30。经过WLAN端口的终端流量被标记PVID 30并通过g0/0/2释放。流量到达核心交换机网关后,转发到出口访问Internet。
3.1.6 配置AR1与交换机互联接口
开关1
SW2
AR1
内部VLAN 4
IP 地址192.168.4.1 30
内部VLAN 5
IP 地址192.168.5.1 30
#
接口G0/0/0
IP 地址192.168.4.2 30
#
接口G0/0/1
IP 地址192.168.5.2 30
#
3.1.7配置无线AC
您将主要了解嵌套并通常使用Web 配置。
步骤1:基础配置
#
stp模式rstp
#
VLAN 100
#
接口Vlanif100
IP地址192.168.100.1 255.255.255.0
#
接口千兆以太网0/0/1
端口链路类型中继
端口trunk允许路径VLAN 100和标签100与AP建立Capwap隧道
#
接口千兆以太网0/0/2
端口链路类型中继
端口trunk 允许路径VLAN 100
步骤2:创建域管理模板,并配置国家码
无线网络
监管域配置文件名称默认
国家代码cn
步骤3:创建AP组及capwap隧道源地址
无线网络
AP 组名称ap-group1
监管域配置文件名称默认
capwap source interface Vlanif 100//AC使用VLAN100与AP建立capwap隧道
步骤4:导入AP
无线网络
ap-id 0 ap-mac00e0-fcd9-51c0
创建ap-nameroom1//ap1
ap-group ap-group1//ap属于ap-group1组
ap-id 1 ap-mac 00e0-fcc6-0ae0
ap-名称room2
ap-组ap-组1
例如,对于AP1,您可以将显示设置为查看g0/0/0 接口或直接右键单击AP。
步骤5:配置安全模板
无线网络
创建名为security-profile namewlan-sec //wlan-sec 的安全配置文件
安全wpa-wpa2 psk 密码huawei@123aes
步骤6:配置SSID模板
无线网络
ssid-profile name HR//创建发送HR信号的ssid
人力资源部
Info: 此操作可能需要几秒钟。请稍等。已完成。
ssid 配置文件名称IT
SSIDIT
Info: 此操作可能需要几秒钟。请稍等。已完成。
步骤7:创建VAP模板
无线网络
vap-配置文件名称HR
forward-mode direct-forward //直接转发。业务直接进入核心,无需经过AC。
业务VLAN VLAN ID 30
安全配置文件wlan-sec
ssid 配置文件HR
VAP 配置文件名称IT
转发模式直接转发
业务VLAN VLAN ID 40
安全配置文件wlan-sec
ssid 配置文件IT
步骤8:配置AP组引用VAP模板射频0和1都使用VAP模板
无线网络
AP 组名称ap-group1
vap-profile HR wlan 1 radio 0 //radio 0是2.4G radio 1是5G
vap-profile HR wlan 1 无线1
vap-配置文件IT wlan 2 无线0
vap-配置文件IT WLAN 2 无线电1
配置完成后,AP信号如下图所示。
步骤9: 开启终端STA1连接WIFI获取地址
选择SSID-HR选择2.4G通道1连接输入密码显示已连接
步骤10:分析报文
(1)验证capwap隧道
捕获AC接口上的数据包,查看AP和AC之间交换的capwap数据包。详细信息包括VLAN ID 100。
(2)验证直接转发,经过核心直接到对端
笔记本电脑PING 服务器DNS 服务器
同时捕获两个接口上的数据包
同时显示S1-g0/0/3有ICMP消息,但AC-g0/0/1未验证并通过核心到达DNS服务器。
(3)验证笔记本流量上去打30标签
笔记本Ping通服务器后,在AP上行端口g0/0/0抓包。
显示AP1接口信息
发挥了作用
trunk 作用标签打上了30
(4)验证数据未到达S10下行口是不带VLAN标签
S10-g0/0/0这里抓包capwap隧道是没有vlan id 的
数据到达交换机下连口才打上vlan 100 经过capwap到AC G0/0/1,这里抓包S10-g0/0/6口
分析两种情况
数据直接从AP出来默认VLAN 1 ,到达交换机打上VLAN100,然后建立隧道(管理平面)业务经过AP打上30,经过30带上标签,到达交换机,交换机透传30到核心,可以访问互联网或者服务器。VLAN30到达网关VRRP主。
3.2配置总部和分支广域网专线PPP链路
AR1
AR2
#
int s1/0/0
ip add 10.1.12.1 30
ppp authentication-mode chap
quit
#
aaa
local-user hcie password cipher hcie@123
local-user hcie service-type ppp
#
int s1/0/0
ip add 10.1.12.2 30
ppp chap user hcie
ppp chap password cipher hcie@123
//这里ppp配置先不配置,因为后面验证下ppp认证,此时不配置认证,串口互联口依然是通的
3.3分支机构配置
3.3.1分支机构核心交换机配置:
步骤1:配置三层地址
#创建VLAN 10-13
#创建Vlanif11,PC网关
#创建Vlanif12,服务器网关
#创建Vlanif13,核心与出口路由器互联地址
#
vlan batch 11 to 13
#
interface Vlanif11
ip address 192.168.11.254 255.255.255.0
dhcp select interface
#
interface Vlanif12
ip address 192.168.12.254 255.255.255.0
#
interface Vlanif13
ip address 192.168.13.1 255.255.255.252
步骤2:配置上下行二层接口
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 11
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 12
#
interface GigabitEthernet0/0/24
port link-type access
port default vlan 13
3.3.2分支机构路由器R2配置
步骤1:配置到核心互联接口
interface GigabitEthernet0/0/0
ip address 192.168.13.2 255.255.255.252
步骤2:验证三层接
3.4总部与分支机构通过PPP专线实现OSPF互通
步骤1:配置总部OSPF
SW1:
SW2:
AR1:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.50.252 0.0.0.0
network 192.168.10.252 0.0.0.0
network 192.168.20.252 0.0.0.0
network 192.168.30.252 0.0.0.0
network 192.168.40.252 0.0.0.0
network 192.168.100.252 0.0.0.0
network 192.168.4.1 0.0.0.0
network 192.168.6.1 0.0.0.0
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.50.253 0.0.0.0
network 192.168.10.253 0.0.0.0
network 192.168.20.253 0.0.0.0
network 192.168.30.253 0.0.0.0
network 192.168.40.253 0.0.0.0
network 192.168.100.253 0.0.0.0
network 192.168.6.2 0.0.0.0
network 192.168.5.1 0.0.0.0
ospf 1 router-id 11.11.11.11
area 0.0.0.0
network 10.1.12.1 0.0.0.0
network 192.168.4.2 0.0.0.0
network 192.168.5.2 0.0.0.0
步骤2:验证OSPF邻居状态
步骤3:配置分支机构OSPF
AR2:
SW8:
ospf 1 router-id 22.22.22.22
area 0.0.0.0
network 10.1.12.2 0.0.0.0
network 192.168.13.2 0.0.0.0
ospf 1 router-id 33.33.33.33
area 0.0.0.0
network 192.168.11.254 0.0.0.0
network 192.168.12.254 0.0.0.0
network 192.168.13.1 0.0.0.0
步骤4:验证OSPF邻居状态
3.5总部与分支通过互联网线路建立backup链路
正常情况下,总部和内网走广域网串口专线,当其故障后可以走互联网GRE隧道备线。
3.5.1 建立GRE隧道
步骤1:配置R1、R2、R3接口
AR1
AR2
AR3
#
interface G0/0/2
ip add 202.1.1.1 30
#
interface G0/0/1
ip add 203.1.1.1 30
int g0/0/1
ip add 203.1.1.2 30
#
int g0/0/2
ip add 202.1.1.2 30
#
int loo 1
ip add 8.8.8.8 32
步骤2:配置GRE隧道接口
R1:
R2:
#
interface Tunnel0/0/0
ip address 11.11.11.1 255.255.255.0
tunnel-protocol gre
source GigabitEthernet0/0/2
destination 203.1.1.1
#
interface Tunnel0/0/0
ip address 11.11.11.2 255.255.255.0
tunnel-protocol gre
source GigabitEthernet0/0/1
destination 202.1.1.1
步骤3:验证隧道接口是否UP
步骤4:配置静态路由
R1:
R2:
ip route-static 0.0.0.0 0 202.1.1.2
#
ip route-static 0.0.0.0 0.0.0.0 203.1.1.2
#
步骤5:验证隧道已经接口UP
3.5.2 隧道建立OSPF并进行选路测试
总部和分支同时发布OSPF 两网段,使两者建立邻居关系。
步骤1:发布网段
AR1
AR2
ospf 1
are 0
network 11.11.11.1 0.0.0.0
ospf 1
are 0
network 11.11.11.2 0.0.0.0
步骤2:验证隧道口OSPF邻居关系
步骤3:验证AR1到分支PC走专线
从AR1上查看路由表,显示访问PC3到11网段走的广域网专线,其中cost值为50(因为串口线路48,分支内网路由器到核心是1,核心到终端是1)
步骤4:验证AR1到分支PC走互联网
现在我们模拟广域网专线故障,shutdown s1/0/0接口
查看R1路由表
显示到11网段走隧道线路cost值是1564(隧道1562,分支内cost还有2)
R1显示如下,到11网段cost 1564
R2显示如下,到11网段cost是2
步骤5:调大OSPF cost值影响选路走专线
因为互联网建立隧道发布了OSPF,所以流量此时即可以走互联网线路,也可以走专线。我们需要调整OSPF开销,形成主备链路。
(1)调整开销
AR1
AR2
#
int tunnel0/0/0
ospf cost 10000
#更改隧道接口cost为 10000,作为备份链路、
#
int tunnel0/0/0
ospf cost 10000
(2)验证OSPF 开销
(3)切换链路至广域网专线
打开串口链路,使其走广域网串口专线50cost值(48+2)
R1
int s1/0/0
undo shutdown
步骤6:AR2看总部服务器50网段流量走串口
步骤7:分支tracert 到服务器路径走向
(1)tracert显示走串口
(2)模拟R2串口故障并验证路由
shutdown R2的串口
R2串口故障后显示终端有丢包
验证路由,已经切换链路
(3)恢复R2串口故障
恢复后可以看到OSPF有建立过程,但 R3常PING的过程中未发现丢包现象。
#以上关于HCIA 18 结束 企业总部的相关内容来源网络仅供参考,相关信息请以官方公告为准!
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91846.html