网络实施规划说明项目实施规划说明

《网络实施规划说明项目实施规划说明》由会员分享，可在线阅读，更多相关《网络实施规划说明项目实施规划说明（18页珍藏版）》请在装配图网上搜索。

1、网络实施规划说明(2013.12.2)图1设备调试参考0登陆交换机开始配置 system-view #从用户视图进入系统视图，变为1配置核心交换机1/1设置主机名quidway sysname S97061/2 新建vlanS9706 Vlan bath 5 10 100 to 199 #创建vlan5、10、100199提示：华为各型号可管理型交换机支持最大4k（4094）个vlan，每个接口默认属于vlan1，工作在混合模式（hybird）1/3 配置汇聚vlan需求：汇聚型vlan（aggregate-vlan）除了具有标准vlan隔离广播域的功能，同时有效节约IP地址段，并减少vlan

2、配置的工作量1/3/1定义主干vlan（super-vlan）和若干从属vlan（sub-vlan），S9706 Vlan 100 #进入vlan100配置项S9706-vlan100 aggregate-vlan #将vlan100设为super-vlanS9706-vlan100 access-vlan 101 to 199#将vlan101199添加至vlan100内成为99个sub vlanS9706-vlan100 quit1/3定义主干vlan的3层接口IP地址S9706#interface vlanif 100 #进入vlan100的3层接口S9706-Vlanif100 ip

3、address 192.181.0.1 24 #输入vlanif100的IP地址和子网掩码S9706-Vlanif100 arp-proxy inter-sub-vlan-proxy enable #启用vlanif100的Arp代理使vlan101199的报文 3层互通S9706-Vlanif100 quit提示：在聚合vlan中# super-vlan不能加入物理端口，但可以创建vlanif接口并配置IP地址，拥有多个sub-vlan# sub-vlan可以加入物理端口，但不能创建对应的vlanif接口，只能共用super-vlan的vlanif接口IP地址# 属于某一super-vlan

4、的所有sub-vlan彼此2层隔离，与标准vlan的效果相同# 如果需要sub-vlan之间3层互通，需要对super-vlan的vlanif接口启用Arp代理功能，借助3层转发实现互通1/4 配置接口1/4/1 配置接口为级联模式需求：直连终端的接口通常配置为级联模式，为了加入指定的vlan，还要修改接口的默认vlans9706 interface GigabitEthernet 6/0/11 #进入6号板卡的11号千兆口s9706-GigabitEthernet6/0/11 port link-type access #接口模式改为access（默认hybird）s9706-Gigabit

5、Ethernet6/0/11 port default vlan 5 #接口默认vlan改为5（默认vlan 1）s9706 interface GigabitEthernet 6/0/25 #进入6号板卡的25号千兆口s9706-GigabitEthernet6/0/11 port link-type access #接口模式改为access（默认hybird）s9706-GigabitEthernet6/0/11 port default vlan 10 #接口默认vlan改为10（默认vlan 1）1/4/2 配置接口为中继模式需求：将vlan跨越设备透传，设备之间互联的2个接口需同时改

6、为中继模式，并添加被透传的vlanIDs9706 interface GigabitEthernet 6/0/13 #进入6号板卡的13号千兆口s9706-GigabitEthernet6/0/13 port link-type trunk #定义接口模式为trunk（默认为hybird）s9706-GigabitEthernet6/0/13 port trunk allow-pass vlan 101 to 199#透传vlan101199的报文（对端设备的接口也要作相同的配置）s9706-GigabitEthernet6/0/13 quit #退出本接口提示：如果需要接口透传所有vlan，

7、需进入该接口输入port trunk allow-pass vlan all1/5 配置端口隔离需求：为使1台交换机的接口彼此隔离，一般使用vlan和acl，还可以通过配置接口加入隔离组来实现。使用端口隔离特性，无需配置繁琐的vlan和ACL轻松实现接口间的报文隔离。s9706 port-isolate mode all #系统模式下选择端口隔离模式为2层3层都隔离s9706 interface GigabitEthernet 6/0/13 #进入6号板卡的13号千兆口s9706-GigabitEthernet6/0/13 port-isolate enable group 1 #此接口开启隔

8、离并加入1组s9706-GigabitEthernet6/0/13 quit提示：配置端口隔离# 首先在系统视图下选择隔离模式为L2或all，然后进入被隔离接口开启此接口隔离功能，并加入某一隔离组# 同一隔离组内接口之间互相隔离，不同隔离组的接口之间不隔离# 如果不指定group-id参数时，默认加入的隔离组为11/6 配置静态路由需求：互联网路由器的内网接口IP地址是10.0.5.1/24，接入交换机的vlan5，服务器IP地址192.168.50.1/24，联接防火墙，防火墙上行口IP地址10.0.10.2/24，接入交换机vlan101/6/1 配置vlan的3层接口地址S9706#in

9、terface vlanif 5 #进入vlan5的3层接口S9706-Vlanif5 ip address 10.0.5.2 24 #输入vlanif5的IP地址和子网掩码S9706#interface vlanif 10 #进入vlan10的3层接口S9706-Vlanif10 ip address 10.0.10.1 24 #输入vlanif10的IP地址和子网掩码S9706-Vlanif10 quit1/6/2 缺省路由s9706 ip route-static 0.0.0.0 0.0.0.0 vlanif 5 10.0.5.1 #指明任何数据发向外网的接口是vlanif 5或下一跳地

10、址是10.0.5.11/6/3明细路由s9706 ip route-static 192.168.50.0 255.255.255.0 Vlanif10 10.0.10.2 #指明数据发向192.168.50.0/24网段的接口是vlanif 10或下一跳地址是10.0.10.21/8配置登录口令1/8/1配置consle口登录需求：取消从consle接口登录的认证口令s7906 user-interface console 0 #进入console 0口配置项s9706-ui-console0 authentication-mode none #登录无需口令验证s9706-ui-consol

11、e0 quit1/8/2 配置远程（telnet）登录需求：网管中心使用设备的vlan1，而一般用户使用设备的其他vlan；管理员通过telnet端口的密码验证访问设备，同时禁止别人登陆设备，在登录端口上配置acl策略，登录请求必须匹配规定的源IP（比如vlan1的网段）才能通过S9706#interface vlanif 1 #进入vlan1的3层接口S9706-Vlanif1 ip address 10.0.0.2 16 #输入vlanif1的IP地址和子网掩码S9706-Vlanif1 quits7906 acl 2000 #创建基本访问控制列表（序列号2000）s7700-acl-ba

12、sic-2000 rule 0 permit source 10.0.0.0 0.0.255.255 #创建0号策略匹配源地址为10.0.0.0/16的报文允许通过 s7700-acl-basic-2000 quits9706 user-interface vty 0 4 #进入虚拟用户端口配置项s9706-ui-vty0-4 authentication-mode password #登录模式口令验证s9706-ui-vty0-4 set authentication password cipher 123456 #输入登录口令并以密文保存s9706-ui-vty0-4 user privi

13、lege level 15 #设置权限为最高级别（015级）s9706-ui-vty0-4 acl 2000 inbound #对入方向的数据绑定acl2000的策略进行过滤s9706-ui-vty0-4 quit1/9 管理配置文件1/9/1 查看运行中的配置脚本s9706 display current-configuration #可在任何配置子项中操作1/9/2 运行中的配置脚本写入闪存s9706 quit #退出系统视图返回用户视图 save #必须在用户视图下保存1/9/3 查看以保存的配置脚本 display save-configuration #可在任何配置子项中操作1/9/

14、4 查看闪存内的文件 dirDirectory of flash:/Idx Attr Size(Byte) Date Time FileName0 -rw- 837 Nov 10 2013 10:04:47 vrpcfg.zip#必须在用户视图下查看，文件名为vrpcfg.zip或vrpcfg.cfg的文件是记录配置脚本的文件配置脚本sysname S9706#vlan batch 5 10 100 to 199#port-isolate mode all#acl number 2000rule 0 permit source 10.0.0.0 0.0.255.255#vlan 100aggr

15、egate-vlanaccess-vlan 101 to 199#interface Vlanif1ip address 10.0.0.2 255.255.0.0#interface Vlanif5ip address 10.0.5.2 255.255.255.0#interface Vlanif10ip address 10.0.10.1 255.255.255.0#interface Vlanif100ip address 192.181.0.1 255.255.0.0arp-proxy inter-sub-vlan-proxy enable#interface GigabitEthern

16、et6/0/11port link-type accessport default vlan 5#interface GigabitEthernet6/0/13port link-type trunkport trunk allow-pass vlan 101 to 199port-isolate enable group 1#interface GigabitEthernet6/0/25port link-type accessport default vlan 10#ip route-static 0.0.0.0 0.0.0.0 Vlanif5 10.0.5.1ip route-stati

17、c 192.168.50.0 255.255.255.0 Vlanif10 10.0.10.2#user-interface con 0authentication-mode noneuser-interface vty 0 4user privilege level 15acl 2000 inboundauthentication-mode passwordset authentication password cipher XXXXXX#Return2配置路由器2/1设置主机名HUAWEI sysname AR32002/2配置上网功能需求：大量用户同时访问公网必须将他们的私网地址转换成合

18、法并有限的公网地址，通常在路由器的公网接口上配置地址转换（Nat）实现2/2/1配置基本访控列表AR3200 acl 2999 #创建基本访问控制列表（序列号2999）AR3200-acl-basic-2999rule 1 permit 192.181.0.0 0.0.255.255#创建1号策略匹配源地址为192.181.0.0/16的报文允许通过AR3200-acl-basic-2999rule 2 permit 10.0.0.0 0.0.255.255#创建2号策略匹配源地址为10.0.0.0/16的报文允许通过AR3200-acl-basic-2999 quit2/2/2配置公网接口A

19、R3200 interface GigabitEthernet 0/0/1 #进入0号板卡1号千兆接口AR3200-GigabitEthernet0/0/1 ip address 116.112.206.130 29 #输入ISP分配的公网IP地址和子网掩码AR3200-GigabitEthernet0/0/1 combo-port fiber #启用接口光模块AR3200-GigabitEthernet0/0/1 nat outbound 2999 #启用Nat出方向地址转换，源地址绑定访控列表29992/2/3 配置内网接口AR3200 interface GigabitEthernet

20、0/0/0 #进入0号板卡0号千兆接口AR3200-GigabitEthernet0/0/0 ip address 10.0.5.1 24 #输入与S9706的vlanif5同网段的IP地址和子网掩码AR3200-GigabitEthernet0/0/0 combo-port fiber #启用接口光模块2/4 配置静态路由需求：内网访问公网需配置缺省路由，下一跳地址为ISP网关地址，同时还要指明报文回程方向,，也就是配置明细路由通告内网的IP地址2/4/1 缺省路由AR3200 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 116.

21、112.206.129 #指明任何数据发向外网的接口是GigabitEthernet0/0/1或下一跳地址是ISP网关116.112.206.1292/4/2明细路由AR3200 ip route-static 192.168.50.0 255.255.255.0GigabitEthernet0/0/0 10.0.5.2AR3200 ip route-static 192.181.0.0 255.255.0.0GigabitEthernet0/0/0 10.0.5.2 #指明报文发向192.168.50.0/24和192.181.0.0/16的接口是GigabitEthernet0/0/0或下

22、一跳地址是10.0.5.22/5配置登录口令参考S9706配置流程的1/82/6 管理配置文件参考S9706配置流程的1/9配置脚本sysname AR3200#acl number 2000rule 0 permit 10.0.0.0 0.0.255.255acl number 2999rule 1 permit 192.181.0.0 0.0.255.255rule 2 permit 10.0.0.0 0.0.255.255#interface GigabitEthernet0/0/0ip address 10.0.5.1 255.255.255.0combo-port fiber#int

23、erface GigabitEthernet0/0/1ip address 116.112.206.130 255.255.255.248combo-port fibernat outbound 2999#ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 116.112.206.129ip route-static 192.181.0.0 255.255.0.0 GigabitEthernet0/0/0 10.0.5.2ip route-static 10.0.0.0 255.255.0.0 GigabitEthernet0/0/0 10

24、.0.5.2#user-interface con 0authentication-mode noneuser-interface vty 0 4acl 2000 inboundauthentication-mode paswordset authentication password cipher XXXXXX#return设备完整接口配置参考表1、表2、图1表1Internet路由器Ar3200主机名接 口IP带 宽联 至AR3200G0/1116.112.206.230/291Gbit/s联 通G0/2移 动G0/010.0.5.1/241Gbit/susgwww G0/6Interne

25、t防火墙usg5530主机名接 口VlanIf IP转发模式联 至usgwwwG0/610.0.5.100/24透 明Ar3260 G0/0G0/5S9706 G6/11核心交换机S9706主机名接 口IPVlan模 式联 至S9706VlanIf 110.0.0.2/1613层接口管理vlanVlanIf 510.0.5.2/245外网防火墙VlanIf 1010.0.10.1/2410服务器防火墙G4/04/47/12层级联网管PCG6/115usgwww G0/5G6/2510usgsvr G0/6VlanIf 100192.181.0.1/16100Supervlan3层接口IP dh

26、cp servervlan101199VlanIf 200192.182.0.1/16200vlan201299VlanIf 300192.183.0.1/16300vlan301399VlanIf 400192.180.0.1/16400vlan401499VlanIf 1000192.192.0.1/241000外挂ACVlanIf 1028192.192.128.1/241028G6/13/101199Subvlan2层中继S7703/01 G3/0G6/15201299S7703/02 G3/0G6/17301399S7703/03 G3/0G6/19401499S7703/04 G3

27、/0服务器防火墙usg5530主机名接口VlanIf 1 IP转发模式联 至usgsvrG0/610.0.10.100/24透 明S9706 G6/25G0/5S7703svr G3/0服务器交换机 S7703主机名接 口IPVlan ID模 式联 至s7703svrVlanIf 110.0.10.2/2413层接口服务器防火墙VlanIf 2192.168.50.1/242服务器G3/0/0/12层级联usgsvr G0/5G1/01/23/2服务器汇聚交换机 S7703主机名接 口IPVlan ID模 式联 至S7703/01VlanIf 110.0.11.2/1613层接口G3/0/24

28、0942层中继S9706 G6/13G3/13/23S3700S7703/02VlanIf 110.0.12.2/1613层接口G3/0/240942层中继S9706 G6/15G3/13/23S3700S7703/03VlanIf 110.0.13.2/1613层接口G3/0/240942层中继S9706 G6/17G3/13/23S3700S7703/04VlanIf 110.0.14.2/1613层接口G3/0/240942层中继S9706 G6/19G3/13/23S3700楼层设备 S3700S3700（39台）接 口IPVlan ID模 式联 至VlanIf 1详见表213层接口管

29、理vlanE0/00/44/vlan100499的其中之一2层级联办公区配线架E0/450/481000/10282层中继AP设备G0/10/424094S7703 G3/13/23表2楼层IP地址楼 层上 联主机名Vlanif1 IP固定办公IP无线IP负一层S7703/01S3700/00010.0.11.11Vlan101199192.181.0.1/16192.192.128.0/24IP自动获取（vlan1028）一层S3700/00110.0.11.3二层S3700/00210.0.11.4三层S3700/00310.0.11.5S3700/00410.0.11.6四层S3700/

30、00510.0.11.7S3700/00610.0.11.8十九层S3700/00710.0.11.9S3700/00810.0.11.10五层S7703/02S3700/00910.0.12.3Vlan201299192.182.0.1/16S3700/01010.0.12.4六层S3700/01110.0.12.5S3700/01210.0.12.6七层S3700/01310.0.12.7S3700/01410.0.12.8八层S3700/01510.0.12.9S3700/01610.0.12.10九层S7703/03S3700/01710.0.13.3Vlan301399192.183

31、.0.1/16S3700/01810.0.13.4十层S3700/01910.0.13.5S3700/02010.0.13.6十一层S7703/04S3700/02110.0.14.3Vlan401499192.180.0.1/16S3700/02210.0.14.4十二层S3700/02310.0.14.5S3700/02410.0.14.6十三层S3700/02510.0.14.7S3700/02610.0.14.8十四层S3700/02710.0.14.9S3700/02810.0.14.10十五层S3700/02910.0.14.11S3700/03010.0.14.12十六层S3700/03110.0.14.13S3700/03210.0.14.14十七层S3700/03310.0.14.15S3700/03410.0.14.16S3700/03510.0.14.17十八层S3700/03610.0.14.18S3700/03710.0.14.19S3700/03810.0.14.20/补充：无线接入功能暂时集中在一个vlan 待以后完善