網(wǎng)絡(luò)實(shí)施規(guī)劃說明項(xiàng)目實(shí)施規(guī)劃說明_第1頁
網(wǎng)絡(luò)實(shí)施規(guī)劃說明項(xiàng)目實(shí)施規(guī)劃說明_第2頁
網(wǎng)絡(luò)實(shí)施規(guī)劃說明項(xiàng)目實(shí)施規(guī)劃說明_第3頁
網(wǎng)絡(luò)實(shí)施規(guī)劃說明項(xiàng)目實(shí)施規(guī)劃說明_第4頁
網(wǎng)絡(luò)實(shí)施規(guī)劃說明項(xiàng)目實(shí)施規(guī)劃說明_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、網(wǎng)絡(luò)實(shí)施規(guī)劃說明(2013.12.2)圖1設(shè)備調(diào)試參考0登陸交換機(jī)開始配置 system-view #從用戶視圖進(jìn)入系統(tǒng)視圖,變?yōu)?配置核心交換機(jī)1/1設(shè)置主機(jī)名quidway sysname s97061/2 新建vlans9706 vlan bath 5 10 100 to 199 #創(chuàng)建vlan5、10、100199提示:華為各型號(hào)可管理型交換機(jī)支持最大4k(4094)個(gè)vlan,每個(gè)接口默認(rèn)屬于vlan1,工作在混合模式(hybird)1/3 配置匯聚vlan需求:匯聚型vlan(aggregate-vlan)除了具有標(biāo)準(zhǔn)vlan隔離廣播域的功能,同時(shí)有效節(jié)約ip地址段,并減少vlan

2、配置的工作量1/3/1定義主干vlan(super-vlan)和若干從屬vlan(sub-vlan),s9706 vlan 100 #進(jìn)入vlan100配置項(xiàng)s9706-vlan100 aggregate-vlan #將vlan100設(shè)為super-vlans9706-vlan100 access-vlan 101 to 199#將vlan101199添加至vlan100內(nèi)成為99個(gè)sub vlans9706-vlan100 quit1/3定義主干vlan的3層接口ip地址s9706#interface vlanif 100 #進(jìn)入vlan100的3層接口s9706-vlanif100 ip

3、address 24 #輸入vlanif100的ip地址和子網(wǎng)掩碼s9706-vlanif100 arp-proxy inter-sub-vlan-proxy enable #啟用vlanif100的arp代理使vlan101199的報(bào)文 3層互通s9706-vlanif100 quit提示:在聚合vlan中# super-vlan不能加入物理端口,但可以創(chuàng)建vlanif接口并配置ip地址,擁有多個(gè)sub-vlan# sub-vlan可以加入物理端口,但不能創(chuàng)建對(duì)應(yīng)的vlanif接口,只能共用super-vlan的vlanif接口ip地址# 屬于某一super-vlan

4、的所有sub-vlan彼此2層隔離,與標(biāo)準(zhǔn)vlan的效果相同# 如果需要sub-vlan之間3層互通,需要對(duì)super-vlan的vlanif接口啟用arp代理功能,借助3層轉(zhuǎn)發(fā)實(shí)現(xiàn)互通1/4 配置接口1/4/1 配置接口為級(jí)聯(lián)模式需求:直連終端的接口通常配置為級(jí)聯(lián)模式,為了加入指定的vlan,還要修改接口的默認(rèn)vlans9706 interface gigabitethernet 6/0/11 #進(jìn)入6號(hào)板卡的11號(hào)千兆口s9706-gigabitethernet6/0/11 port link-type access #接口模式改為access(默認(rèn)hybird)s9706-gigabit

5、ethernet6/0/11 port default vlan 5 #接口默認(rèn)vlan改為5(默認(rèn)vlan 1)s9706 interface gigabitethernet 6/0/25 #進(jìn)入6號(hào)板卡的25號(hào)千兆口s9706-gigabitethernet6/0/11 port link-type access #接口模式改為access(默認(rèn)hybird)s9706-gigabitethernet6/0/11 port default vlan 10 #接口默認(rèn)vlan改為10(默認(rèn)vlan 1)1/4/2 配置接口為中繼模式需求:將vlan跨越設(shè)備透?jìng)?,設(shè)備之間互聯(lián)的2個(gè)接口需同時(shí)改

6、為中繼模式,并添加被透?jìng)鞯膙lanids9706 interface gigabitethernet 6/0/13 #進(jìn)入6號(hào)板卡的13號(hào)千兆口s9706-gigabitethernet6/0/13 port link-type trunk #定義接口模式為trunk(默認(rèn)為hybird)s9706-gigabitethernet6/0/13 port trunk allow-pass vlan 101 to 199#透?jìng)鱲lan101199的報(bào)文(對(duì)端設(shè)備的接口也要作相同的配置)s9706-gigabitethernet6/0/13 quit #退出本接口提示:如果需要接口透?jìng)魉衯lan,

7、需進(jìn)入該接口輸入port trunk allow-pass vlan all1/5 配置端口隔離需求:為使1臺(tái)交換機(jī)的接口彼此隔離,一般使用vlan和acl,還可以通過配置接口加入隔離組來實(shí)現(xiàn)。使用端口隔離特性,無需配置繁瑣的vlan和acl輕松實(shí)現(xiàn)接口間的報(bào)文隔離。s9706 port-isolate mode all #系統(tǒng)模式下選擇端口隔離模式為2層3層都隔離s9706 interface gigabitethernet 6/0/13 #進(jìn)入6號(hào)板卡的13號(hào)千兆口s9706-gigabitethernet6/0/13 port-isolate enable group 1 #此接口開啟隔

8、離并加入1組s9706-gigabitethernet6/0/13 quit提示:配置端口隔離# 首先在系統(tǒng)視圖下選擇隔離模式為l2或all,然后進(jìn)入被隔離接口開啟此接口隔離功能,并加入某一隔離組# 同一隔離組內(nèi)接口之間互相隔離,不同隔離組的接口之間不隔離# 如果不指定group-id參數(shù)時(shí),默認(rèn)加入的隔離組為11/6 配置靜態(tài)路由需求:互聯(lián)網(wǎng)路由器的內(nèi)網(wǎng)接口ip地址是/24,接入交換機(jī)的vlan5,服務(wù)器ip地址/24,聯(lián)接防火墻,防火墻上行口ip地址/24,接入交換機(jī)vlan101/6/1 配置vlan的3層接口地址s9706#in

9、terface vlanif 5 #進(jìn)入vlan5的3層接口s9706-vlanif5 ip address 24 #輸入vlanif5的ip地址和子網(wǎng)掩碼s9706#interface vlanif 10 #進(jìn)入vlan10的3層接口s9706-vlanif10 ip address 24 #輸入vlanif10的ip地址和子網(wǎng)掩碼s9706-vlanif10 quit1/6/2 缺省路由s9706 ip route-static vlanif 5 #指明任何數(shù)據(jù)發(fā)向外網(wǎng)的接口是vlanif 5或下一跳地

10、址是1/6/3明細(xì)路由s9706 ip route-static vlanif10 #指明數(shù)據(jù)發(fā)向/24網(wǎng)段的接口是vlanif 10或下一跳地址是1/8配置登錄口令1/8/1配置consle口登錄需求:取消從consle接口登錄的認(rèn)證口令s7906 user-interface console 0 #進(jìn)入console 0口配置項(xiàng)s9706-ui-console0 authentication-mode none #登錄無需口令驗(yàn)證s9706-ui-consol

11、e0 quit1/8/2 配置遠(yuǎn)程(telnet)登錄需求:網(wǎng)管中心使用設(shè)備的vlan1,而一般用戶使用設(shè)備的其他vlan;管理員通過telnet端口的密碼驗(yàn)證訪問設(shè)備,同時(shí)禁止別人登陸設(shè)備,在登錄端口上配置acl策略,登錄請(qǐng)求必須匹配規(guī)定的源ip(比如vlan1的網(wǎng)段)才能通過s9706#interface vlanif 1 #進(jìn)入vlan1的3層接口s9706-vlanif1 ip address 16 #輸入vlanif1的ip地址和子網(wǎng)掩碼s9706-vlanif1 quits7906 acl 2000 #創(chuàng)建基本訪問控制列表(序列號(hào)2000)s7700-acl-ba

12、sic-2000 rule 0 permit source 55 #創(chuàng)建0號(hào)策略匹配源地址為/16的報(bào)文允許通過 s7700-acl-basic-2000 quits9706 user-interface vty 0 4 #進(jìn)入虛擬用戶端口配置項(xiàng)s9706-ui-vty0-4 authentication-mode password #登錄模式口令驗(yàn)證s9706-ui-vty0-4 set authentication password cipher 123456 #輸入登錄口令并以密文保存s9706-ui-vty0-4 user privi

13、lege level 15 #設(shè)置權(quán)限為最高級(jí)別(015級(jí))s9706-ui-vty0-4 acl 2000 inbound #對(duì)入方向的數(shù)據(jù)綁定acl2000的策略進(jìn)行過濾s9706-ui-vty0-4 quit1/9 管理配置文件1/9/1 查看運(yùn)行中的配置腳本s9706 display current-configuration #可在任何配置子項(xiàng)中操作1/9/2 運(yùn)行中的配置腳本寫入閃存s9706 quit #退出系統(tǒng)視圖返回用戶視圖 save #必須在用戶視圖下保存1/9/3 查看以保存的配置腳本 display save-configuration #可在任何配置子項(xiàng)中操作1/9/

14、4 查看閃存內(nèi)的文件 dirdirectory of flash:/idx attr size(byte) date time filename0 -rw- 837 nov 10 2013 10:04:47 vrpcfg.zip#必須在用戶視圖下查看,文件名為vrpcfg.zip或vrpcfg.cfg的文件是記錄配置腳本的文件配置腳本sysname s9706#vlan batch 5 10 100 to 199#port-isolate mode all#acl number 2000rule 0 permit source 55#vlan 100aggr

15、egate-vlanaccess-vlan 101 to 199#interface vlanif1ip address #interface vlanif5ip address #interface vlanif10ip address #interface vlanif100ip address arp-proxy inter-sub-vlan-proxy enable#interface gigabitethern

16、et6/0/11port link-type accessport default vlan 5#interface gigabitethernet6/0/13port link-type trunkport trunk allow-pass vlan 101 to 199port-isolate enable group 1#interface gigabitethernet6/0/25port link-type accessport default vlan 10#ip route-static vlanif5 ip route-stati

17、c vlanif10 #user-interface con 0authentication-mode noneuser-interface vty 0 4user privilege level 15acl 2000 inboundauthentication-mode passwordset authentication password cipher xxxxxx#return2配置路由器2/1設(shè)置主機(jī)名huawei sysname ar32002/2配置上網(wǎng)功能需求:大量用戶同時(shí)訪問公網(wǎng)必須將他們的私網(wǎng)地址轉(zhuǎn)換成合

18、法并有限的公網(wǎng)地址,通常在路由器的公網(wǎng)接口上配置地址轉(zhuǎn)換(nat)實(shí)現(xiàn)2/2/1配置基本訪控列表ar3200 acl 2999 #創(chuàng)建基本訪問控制列表(序列號(hào)2999)ar3200-acl-basic-2999rule 1 permit 55#創(chuàng)建1號(hào)策略匹配源地址為/16的報(bào)文允許通過ar3200-acl-basic-2999rule 2 permit 55#創(chuàng)建2號(hào)策略匹配源地址為/16的報(bào)文允許通過ar3200-acl-basic-2999 quit2/2/2配置公網(wǎng)接口a

19、r3200 interface gigabitethernet 0/0/1 #進(jìn)入0號(hào)板卡1號(hào)千兆接口ar3200-gigabitethernet0/0/1 ip address 30 29 #輸入isp分配的公網(wǎng)ip地址和子網(wǎng)掩碼ar3200-gigabitethernet0/0/1 combo-port fiber #啟用接口光模塊ar3200-gigabitethernet0/0/1 nat outbound 2999 #啟用nat出方向地址轉(zhuǎn)換,源地址綁定訪控列表29992/2/3 配置內(nèi)網(wǎng)接口ar3200 interface gigabitethernet

20、0/0/0 #進(jìn)入0號(hào)板卡0號(hào)千兆接口ar3200-gigabitethernet0/0/0 ip address 24 #輸入與s9706的vlanif5同網(wǎng)段的ip地址和子網(wǎng)掩碼ar3200-gigabitethernet0/0/0 combo-port fiber #啟用接口光模塊2/4 配置靜態(tài)路由需求:內(nèi)網(wǎng)訪問公網(wǎng)需配置缺省路由,下一跳地址為isp網(wǎng)關(guān)地址,同時(shí)還要指明報(bào)文回程方向,,也就是配置明細(xì)路由通告內(nèi)網(wǎng)的ip地址2/4/1 缺省路由ar3200 ip route-static gigabitethernet0/0/1 116.

21、112.206.129 #指明任何數(shù)據(jù)發(fā)向外網(wǎng)的接口是gigabitethernet0/0/1或下一跳地址是isp網(wǎng)關(guān)292/4/2明細(xì)路由ar3200 ip route-static gigabitethernet0/0/0 ar3200 ip route-static gigabitethernet0/0/0 #指明報(bào)文發(fā)向/24和/16的接口是gigabitethernet0/0/0或下

22、一跳地址是2/5配置登錄口令參考s9706配置流程的1/82/6 管理配置文件參考s9706配置流程的1/9配置腳本sysname ar3200#acl number 2000rule 0 permit 55acl number 2999rule 1 permit 55rule 2 permit 55#interface gigabitethernet0/0/0ip address combo-port fiber#int

23、erface gigabitethernet0/0/1ip address 30 48combo-port fibernat outbound 2999#ip route-static gigabitethernet0/0/1 29ip route-static gigabitethernet0/0/0 ip route-static gigabitethernet0/0/0 10

24、.0.5.2#user-interface con 0authentication-mode noneuser-interface vty 0 4acl 2000 inboundauthentication-mode paswordset authentication password cipher xxxxxx#return設(shè)備完整接口配置參考表1、表2、圖1表1internet路由器ar3200主機(jī)名接 口ip帶 寬聯(lián) 至ar3200g0/130/291gbit/s聯(lián) 通g0/2移 動(dòng)g0/0/241gbit/susgwww g0/6interne

25、t防火墻usg5530主機(jī)名接 口vlanif ip轉(zhuǎn)發(fā)模式聯(lián) 至usgwwwg0/600/24透 明ar3260 g0/0g0/5s9706 g6/11核心交換機(jī)s9706主機(jī)名接 口ipvlan模 式聯(lián) 至s9706vlanif /1613層接口管理vlanvlanif 5/245外網(wǎng)防火墻vlanif 10/2410服務(wù)器防火墻g4/04/47/12層級(jí)聯(lián)網(wǎng)管pcg6/115usgwww g0/5g6/2510usgsvr g0/6vlanif 100/16100supervlan3層接口ip dh

26、cp servervlan101199vlanif 200/16200vlan201299vlanif 300/16300vlan301399vlanif 400/16400vlan401499vlanif 1000/241000外掛acvlanif 1028/241028g6/13/101199subvlan2層中繼s7703/01 g3/0g6/15201299s7703/02 g3/0g6/17301399s7703/03 g3/0g6/19401499s7703/04 g3

27、/0服務(wù)器防火墻usg5530主機(jī)名接口vlanif 1 ip轉(zhuǎn)發(fā)模式聯(lián) 至usgsvrg0/600/24透 明s9706 g6/25g0/5s7703svr g3/0服務(wù)器交換機(jī) s7703主機(jī)名接 口ipvlan id模 式聯(lián) 至s7703svrvlanif /2413層接口服務(wù)器防火墻vlanif 2/242服務(wù)器g3/0/0/12層級(jí)聯(lián)usgsvr g0/5g1/01/23/2服務(wù)器匯聚交換機(jī) s7703主機(jī)名接 口ipvlan id模 式聯(lián) 至s7703/01vlanif /1613層接口g3/0/24

28、0942層中繼s9706 g6/13g3/13/23s3700s7703/02vlanif /1613層接口g3/0/240942層中繼s9706 g6/15g3/13/23s3700s7703/03vlanif /1613層接口g3/0/240942層中繼s9706 g6/17g3/13/23s3700s7703/04vlanif /1613層接口g3/0/240942層中繼s9706 g6/19g3/13/23s3700樓層設(shè)備 s3700s3700(39臺(tái))接 口ipvlan id模 式聯(lián) 至vlanif 1詳見表213層接口管理vlane0/00/44/vlan100499的其中之一2層級(jí)聯(lián)辦公區(qū)配線架e0/450/481000/10282層中繼ap設(shè)備g0/10/424094s7703 g3/13/23表2樓層ip地址樓 層上 聯(lián)主機(jī)名vlanif1 ip固定辦公ip無線ip負(fù)一層s7

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論