HCIA 18 结束 企业总部?hci公司

HCIA 18 结束 企业总部1.实验介绍及拓扑 (1)总部和分支机构都可以上互联网访问8.8.8.8;
(2)总部和分支机构使用广域网专线互访作为主线,

1.实验介绍及拓扑

(1)总部和分支机构均可访问Internet 8.8.8.8。

(2)总部和分支机构采用WAN专线作为主线路相互访问,建立GRE隧道作为备份线路通过Internet相互访问。

(3)总部采用两层架构(核心接入),AC双链路绕过核心,启用RSTP防环路。

(4) WLAN 管理VLAN 为100 192.168.100.1,AC 和AP 之间的cpawap 隧道由VLAN 100 控制。

AP 向两个SSID 发送信号。一份用于HR 部门,一份用于IT 部门。业务数据通过核心交换机直接发送到互联网/分支机构,无需经过AC。

(5)在总分行内部、总分行之间运行OSPF

2.掌握内容及配置思路

2.1掌握内容

配置VLAN 配置接口类型RSTPDHCP 链路聚合NATCAPWAPVRRPPPP 身份验证OSPF

2.2组网规划

2.2.1划分VLAN

VLAN10 A部门

VLAN20 B部门

VLAN30 人力资源部无线

VLAN40 IT 部门无线

VLAN50服务器

AP1 SSID:HR

AP2:IT SSID

2.2.2配置思路

总部内网配置总部-分支机构PPP链路认证配置分支机构内网配置总部-分支机构WAN OSPF配置总部-分支机构Internet GRE配置NAT验证冗余

3.配置步骤

3.1配置总部内网

3.1.1 配置服务器

步骤1:配置DNS服务器地址

步骤2:配置WEB服务器地址

3.1.2 配置交换机VLAN和接口

步骤1:所有交换机批量创建VLAN

VLAN批次10 20 30 40 50 100

步骤2:验证创建后的VLAN

例如SW9

步骤3:配置交换机上下行二层接口

S9

接口千兆以太网0/0/1

端口链路类型访问

端口默认VLAN 50

#

接口千兆以太网0/0/2

端口链路类型访问

端口默认VLAN 50

#

接口千兆以太网0/0/3

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

#

接口千兆以太网0/0/4

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

#业务交换机配置界面划分为VLAN50

#配置交换机之间的Trunk链路,并允许对应的VLAN通过

S10

整数g0/0/1

端口链路类型访问

端口默认VLAN 10

整数g0/0/2

端口链路类型中继

端口中继pvid vlan 100

端口中继允许路径VLAN 30 40 100

整数g0/0/5

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

整数g0/0/6

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

1台PC,2个AP

与AP连接的交换机接口配置Trunk默认VLAN,属于VLAN100,允许AP下的无线终端数据业务VLAN通过。

S11

整数g0/0/1

端口链路类型访问

端口默认VLAN 20

整数g0/0/2

端口链路类型中继

端口中继pvid vlan 100

端口中继允许路径VLAN 30 40 100

整数g0/0/7

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

整数g0/0/8

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

1端口PC,2端口AP

S1

#

虚拟局域网4

#

整数g0/0/3

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

整数g0/0/5

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

整数g0/0/7

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

#

接口千兆以太网0/0/11

端口链路类型中继

端口trunk 允许路径VLAN 100

#

接口千兆以太网0/0/22

端口链路类型访问

端口默认VLAN 4

#向下出口

#AC口

#向上退出

S2

#

虚拟局域网5

#

整数g0/0/4

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

整数g0/0/6

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

整数g0/0/8

端口链路类型中继

端口Trunk 允许路径VLAN 10 20 30 40 50 100

#

接口千兆以太网0/0/11

端口链路类型中继

端口trunk 允许路径VLAN 100

#

接口千兆以太网0/0/22

端口链路类型访问

端口默认vlan 5

#向下出口

#AC口

#向上退出

步骤4:配置核心三层互联接口

开关1

SW2

#

虚拟局域网6

#

接口Vlanif6

IP地址192.168.6.1 255.255.255.252

#

虚拟局域网6

#

接口Vlanif6

IP地址192.168.6.2255.255.255.252

步骤5:配置Eth-trunk

SW1和SW2

#

接口Eth-Trunk12

端口链路类型中继

端口Trunk 允许路径VLAN 6 10 20 30 40 50 100

#

接口千兆位以太网0/0/23

以太网中继12

#

接口千兆以太网0/0/24

以太网中继12

步骤6:验证Eth-trunk接口up

3.1.3 配置生成树RSTP

步骤1:所有交换机包括AC配置RSTP

stp模式rstp

注意:AC默认不启用生成树。如果所有设备同时使能,请先为AC配置生成树,以避免环路。

步骤2:配置主备根桥

开关1

SW2

stp 实例0 根主实例

//SW1优先级0,作为根桥

stp 实例0 根辅助

//SW2优先级为4096作为备份根桥

配置3:验证生成树网桥ID优先级

CIST Bridge:指本机的网桥ID。网桥ID 由该交换机上所有接口的最低MAC 地址和网桥优先级组成。

CIST Root/ERPC:指总路由的网桥ID和总路由的成本。

CIST RegRoot/IRPC:指域根的桥ID和到域根的开销。

CIST根端口ID:指交换机根端口在CIST生成树上的端口ID。

步骤4:验证生成树阻塞端口

被阻塞的端口将接入交换机连接到核心备份根桥接口。

3.1.4 配置VRRP主备网关

步骤1:配置VRRP

VRRP 的默认优先级为100。最好将其增加到120,以便终端网关流量通过核心SW1 主VRRP。

开关1

SW2

#

启用DHCP

#

接口Vlanif10

IP地址192.168.10.252 255.255.255.0

vrrp vrid 10虚拟ip 192.168.10.254

VRRP vrid 10 优先级120

dhcp 选择全局

#

接口Vlanif20

IP地址192.168.20.252 255.255.255.0

vrrp vrid 10 虚拟ip 192.168.20.254

VRRP vrid 10 优先级120

dhcp 选择全局

#

接口Vlanif30

IP地址192.168.30.252 255.255.255.0

vrrp vrid 10 虚拟ip 192.168.30.254

VRRP vrid 10 优先级120

dhcp 选择全局

#

接口Vlanif40

IP地址192.168.40.252 255.255.255.0

vrrp vrid 10虚拟ip 192.168.40.254

VRRP vrid 10 优先级120

dhcp 选择全局

#

接口Vlanif50 //服务器

IP地址192.168.50.252 255.255.255.0

vrrp vrid 10 虚拟ip 192.168.50.254

VRRP vrid 10 优先级120

#

接口Vlanif100

IP地址192.168.100.252 255.255.255.0

vrrp vrid 10 虚拟IP 192.168.100.254

VRRP vrid 10 优先级120

dhcp 选择全局

#

#

启用DHCP

#

接口Vlanif10

IP地址192.168.10.253 255.255.255.0

vrrp vrid 10虚拟ip 192.168.10.254

#

接口Vlanif20

IP地址192.168.20.253 255.255.255.0

vrrp vrid 10 虚拟ip 192.168.20.254

#

接口Vlanif30

IP地址192.168.30.253 255.255.255.0

vrrp vrid 10 虚拟ip 192.168.30.254

#

接口Vlanif40

IP地址192.168.40.253 255.255.255.0

vrrp vrid 10 虚拟ip 192.168.40.254

#

接口Vlanif50

IP地址192.168.50.253 255.255.255.0

vrrp vrid 10 虚拟ip 192.168.50.254

#

接口Vlanif100

IP地址192.168.100.253 255.255.255.0

vrrp vrid 10 虚拟IP 192.168.100.254

#

步骤2:验证VRRP主备状态

步骤3:VRRP双主的情况

例如,正常情况下所有master都在SW1上。现在,如果备份网关vlanif100也是sw2的master,则称为双主情况。

要重现实验行为,请配置聚合接口的一端以阻止vlanif100 数据包通过,这会阻塞端口并阻止VRRP 数据包交换。

3.1.5 配置DHCP

步骤1:SW1创建地址池

地址252和253被排除在地址池之外,因为它们已经被接口使用。

IP池vlan10

网络192.168.10.0 掩码255.255.255.0

网关列表192.168.10.254

排除的IP 地址192.168.10.252

排除的IP 地址192.168.10.253

#

IP池vlan20

网络192.168.20.0 掩码255.255.255.0

网关列表192.168.20.254

排除的IP 地址192.168.20.252

排除的IP 地址192.168.20.253

#

ip池vlan30

网络192.168.30.0 掩码255.255.255.0

网关列表192.168.30.254

排除的IP 地址192.168.30.252

排除的IP 地址192.168.30.253

#

ip池vlan40

网络192.168.40.0 掩码255.255.255.0

网关列表192.168.40.254

排除的IP 地址192.168.40.252

排除的IP 地址192.168.40.253

#

ip pool vlan100 //为AP分配地址。其中1个分配给ac,252和253为主网关和备份网关

网关列表192.168.100.254

网络192.168.100.0 掩码255.255.255.0

排除的IP 地址192.168.100.1

排除的IP 地址192.168.100.252

排除的IP 地址192.168.100.253

option 43 sub-option 3 ascii 192.168.100.1 //op43用于AP找到AC并建立CAPWAP隧道。

步骤2:验证电脑获取到地址

步骤3:验证AP获取到地址

步骤4:上下流量进入AP和交换机后拆剥tag分析

应特别注意以下几点:

交换机SW10上端口g0/0/2的配置如图所示。接口pvid为100,trunk接口传100。

剥离pvid 100标签后即可为AP分配地址池ip pool vlan100。此时,如果没有数据,则AP的地址默认为VLAN 1。 AP 接口g0/0/0 默认为VLAN1,为混合(Trunk 功能)端口。只有控制数据包capwap 通过交换机的下游g0/0/2 端口,并标记为pvid 100。通过capwap 隧道进行交流。如果AP下有笔记本流量,则AP的WLAN接口的PVID为30。经过WLAN端口的终端流量被标记PVID 30并通过g0/0/2释放。流量到达核心交换机网关后,转发到出口访问Internet。

3.1.6 配置AR1与交换机互联接口

开关1

SW2

AR1

内部VLAN 4

IP 地址192.168.4.1 30

内部VLAN 5

IP 地址192.168.5.1 30

#

接口G0/0/0

IP 地址192.168.4.2 30

#

接口G0/0/1

IP 地址192.168.5.2 30

#

3.1.7配置无线AC

您将主要了解嵌套并通常使用Web 配置。

步骤1:基础配置

#

stp模式rstp

#

VLAN 100

#

接口Vlanif100

IP地址192.168.100.1 255.255.255.0

#

接口千兆以太网0/0/1

端口链路类型中继

端口trunk允许路径VLAN 100和标签100与AP建立Capwap隧道

#

接口千兆以太网0/0/2

端口链路类型中继

端口trunk 允许路径VLAN 100

步骤2:创建域管理模板,并配置国家码

无线网络

监管域配置文件名称默认

国家代码cn

步骤3:创建AP组及capwap隧道源地址

无线网络

AP 组名称ap-group1

监管域配置文件名称默认

capwap source interface Vlanif 100//AC使用VLAN100与AP建立capwap隧道

步骤4:导入AP

无线网络

ap-id 0 ap-mac00e0-fcd9-51c0

创建ap-nameroom1//ap1

ap-group ap-group1//ap属于ap-group1组

ap-id 1 ap-mac 00e0-fcc6-0ae0

ap-名称room2

ap-组ap-组1

例如,对于AP1,您可以将显示设置为查看g0/0/0 接口或直接右键单击AP。

步骤5:配置安全模板

无线网络

创建名为security-profile namewlan-sec //wlan-sec 的安全配置文件

安全wpa-wpa2 psk 密码huawei@123aes

步骤6:配置SSID模板

无线网络

ssid-profile name HR//创建发送HR信号的ssid

人力资源部

Info: 此操作可能需要几秒钟。请稍等。已完成。

ssid 配置文件名称IT

SSIDIT

Info: 此操作可能需要几秒钟。请稍等。已完成。

步骤7:创建VAP模板

无线网络

vap-配置文件名称HR

forward-mode direct-forward //直接转发。业务直接进入核心,无需经过AC。

业务VLAN VLAN ID 30

安全配置文件wlan-sec

ssid 配置文件HR

VAP 配置文件名称IT

转发模式直接转发

业务VLAN VLAN ID 40

安全配置文件wlan-sec

ssid 配置文件IT

步骤8:配置AP组引用VAP模板射频0和1都使用VAP模板

无线网络

AP 组名称ap-group1

vap-profile HR wlan 1 radio 0 //radio 0是2.4G radio 1是5G

vap-profile HR wlan 1 无线1

vap-配置文件IT wlan 2 无线0

vap-配置文件IT WLAN 2 无线电1

配置完成后,AP信号如下图所示。

步骤9: 开启终端STA1连接WIFI获取地址

选择SSID-HR选择2.4G通道1连接输入密码显示已连接

步骤10:分析报文

(1)验证capwap隧道

捕获AC接口上的数据包,查看AP和AC之间交换的capwap数据包。详细信息包括VLAN ID 100。

(2)验证直接转发,经过核心直接到对端

笔记本电脑PING 服务器DNS 服务器

同时捕获两个接口上的数据包

同时显示S1-g0/0/3有ICMP消息,但AC-g0/0/1未验证并通过核心到达DNS服务器。

(3)验证笔记本流量上去打30标签

笔记本Ping通服务器后,在AP上行端口g0/0/0抓包。

显示AP1接口信息

发挥了作用

trunk 作用标签打上了30

(4)验证数据未到达S10下行口是不带VLAN标签

S10-g0/0/0这里抓包capwap隧道是没有vlan id 的

数据到达交换机下连口才打上vlan 100 经过capwap到AC G0/0/1,这里抓包S10-g0/0/6口

分析两种情况

数据直接从AP出来默认VLAN 1 ,到达交换机打上VLAN100,然后建立隧道(管理平面)业务经过AP打上30,经过30带上标签,到达交换机,交换机透传30到核心,可以访问互联网或者服务器。VLAN30到达网关VRRP主。

3.2配置总部和分支广域网专线PPP链路

AR1
AR2
#
int s1/0/0
ip add 10.1.12.1 30
ppp  authentication-mode chap
quit
#
aaa
local-user hcie password cipher hcie@123
local-user hcie service-type ppp

#
int s1/0/0
ip add 10.1.12.2 30
ppp chap user hcie
ppp chap password cipher hcie@123

//这里ppp配置先不配置,因为后面验证下ppp认证,此时不配置认证,串口互联口依然是通的

3.3分支机构配置

3.3.1分支机构核心交换机配置:

步骤1:配置三层地址

#创建VLAN 10-13

#创建Vlanif11,PC网关

#创建Vlanif12,服务器网关

#创建Vlanif13,核心与出口路由器互联地址

#

vlan batch 11 to 13
#

interface Vlanif11

 ip address 192.168.11.254 255.255.255.0

 dhcp select interface

#

interface Vlanif12

 ip address 192.168.12.254 255.255.255.0

#

interface Vlanif13

 ip address 192.168.13.1 255.255.255.252

步骤2:配置上下行二层接口

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 11

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 12

#

interface GigabitEthernet0/0/24

 port link-type access

 port default vlan 13

3.3.2分支机构路由器R2配置

步骤1:配置到核心互联接口

interface GigabitEthernet0/0/0

 ip address 192.168.13.2 255.255.255.252

步骤2:验证三层接

3.4总部与分支机构通过PPP专线实现OSPF互通

步骤1:配置总部OSPF

SW1:
SW2:
AR1:
ospf 1 router-id 1.1.1.1
 area 0.0.0.0
  network 192.168.50.252 0.0.0.0
  network 192.168.10.252 0.0.0.0
  network 192.168.20.252 0.0.0.0
  network 192.168.30.252 0.0.0.0
  network 192.168.40.252 0.0.0.0
  network 192.168.100.252 0.0.0.0
  network 192.168.4.1 0.0.0.0
  network 192.168.6.1 0.0.0.0

ospf 1 router-id 2.2.2.2
 area 0.0.0.0
  network 192.168.50.253 0.0.0.0
  network 192.168.10.253 0.0.0.0
  network 192.168.20.253 0.0.0.0
  network 192.168.30.253 0.0.0.0
  network 192.168.40.253 0.0.0.0
  network 192.168.100.253 0.0.0.0
  network 192.168.6.2 0.0.0.0
  network 192.168.5.1 0.0.0.0

ospf 1 router-id 11.11.11.11
 area 0.0.0.0
  network 10.1.12.1 0.0.0.0
  network 192.168.4.2 0.0.0.0
  network 192.168.5.2 0.0.0.0

步骤2:验证OSPF邻居状态
步骤3:配置分支机构OSPF

AR2:
SW8:

ospf 1 router-id 22.22.22.22
 area 0.0.0.0
  network 10.1.12.2 0.0.0.0
  network 192.168.13.2 0.0.0.0

ospf 1 router-id 33.33.33.33
 area 0.0.0.0
  network 192.168.11.254 0.0.0.0
  network 192.168.12.254 0.0.0.0
  network 192.168.13.1 0.0.0.0

步骤4:验证OSPF邻居状态

3.5总部与分支通过互联网线路建立backup链路

正常情况下,总部和内网走广域网串口专线,当其故障后可以走互联网GRE隧道备线。

3.5.1 建立GRE隧道

步骤1:配置R1、R2、R3接口

AR1
AR2
AR3
#
interface G0/0/2
ip add 202.1.1.1 30
#
interface G0/0/1
ip add 203.1.1.1 30
int g0/0/1
ip add 203.1.1.2 30
#
int g0/0/2
ip add 202.1.1.2 30
#
int loo 1
ip add 8.8.8.8 32

步骤2:配置GRE隧道接口

R1:
R2:
#
interface Tunnel0/0/0
 ip address 11.11.11.1 255.255.255.0
 tunnel-protocol gre
 source GigabitEthernet0/0/2
 destination 203.1.1.1
#
interface Tunnel0/0/0
 ip address 11.11.11.2 255.255.255.0
 tunnel-protocol gre
 source GigabitEthernet0/0/1
 destination 202.1.1.1

步骤3:验证隧道接口是否UP
步骤4:配置静态路由

R1:
R2:
ip route-static 0.0.0.0 0 202.1.1.2
#
ip route-static 0.0.0.0 0.0.0.0 203.1.1.2
#

步骤5:验证隧道已经接口UP

3.5.2 隧道建立OSPF并进行选路测试

总部和分支同时发布OSPF 两网段,使两者建立邻居关系。

步骤1:发布网段

AR1
AR2
ospf 1
are 0
network  11.11.11.1 0.0.0.0
ospf 1
are 0
network  11.11.11.2 0.0.0.0

步骤2:验证隧道口OSPF邻居关系
步骤3:验证AR1到分支PC走专线

从AR1上查看路由表,显示访问PC3到11网段走的广域网专线,其中cost值为50(因为串口线路48,分支内网路由器到核心是1,核心到终端是1)

步骤4:验证AR1到分支PC走互联网

现在我们模拟广域网专线故障,shutdown s1/0/0接口

查看R1路由表

显示到11网段走隧道线路cost值是1564(隧道1562,分支内cost还有2)

R1显示如下,到11网段cost 1564

R2显示如下,到11网段cost是2

步骤5:调大OSPF cost值影响选路走专线

因为互联网建立隧道发布了OSPF,所以流量此时即可以走互联网线路,也可以走专线。我们需要调整OSPF开销,形成主备链路。

(1)调整开销

AR1
AR2
#
int tunnel0/0/0
ospf cost 10000
#更改隧道接口cost为 10000,作为备份链路、
#
int tunnel0/0/0
ospf cost 10000

(2)验证OSPF 开销
(3)切换链路至广域网专线

打开串口链路,使其走广域网串口专线50cost值(48+2)

R1

int s1/0/0

 undo shutdown

步骤6:AR2看总部服务器50网段流量走串口
步骤7:分支tracert 到服务器路径走向
(1)tracert显示走串口
(2)模拟R2串口故障并验证路由

shutdown R2的串口

R2串口故障后显示终端有丢包

验证路由,已经切换链路

(3)恢复R2串口故障

恢复后可以看到OSPF有建立过程,但 R3常PING的过程中未发现丢包现象。

#以上关于HCIA 18 结束 企业总部的相关内容来源网络仅供参考,相关信息请以官方公告为准!

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91846.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月23日 下午9:26
下一篇 2024年6月23日 下午9:43

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注