項目2-構(gòu)建企業(yè)路由網(wǎng)絡

項目2構(gòu)建企業(yè)路由網(wǎng)絡《云網(wǎng)絡技術(shù)項目教程》目錄/Contents22-1項目2構(gòu)建企業(yè)路由網(wǎng)絡任務2-2使用NAT實現(xiàn)內(nèi)外網(wǎng)互訪2-2任務2-1使用直連和靜態(tài)路由實現(xiàn)企業(yè)內(nèi)網(wǎng)互聯(lián)項目1構(gòu)建企業(yè)交換網(wǎng)絡任務2-1配置路由實現(xiàn)企業(yè)內(nèi)網(wǎng)互聯(lián)2.1.1任務描述2.1.2必備知識2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)

2.1.4配置靜態(tài)路由實現(xiàn)核心與服務器互聯(lián)2.1.5應用WEB和DHCP服務器學習目標【知識目標】（1）掌握計算機網(wǎng)絡中路由的作用。（2）掌握靜態(tài)路由的配置方法。（3）掌握網(wǎng)關(guān)和DNS（DomainNameSystem，

域名系統(tǒng)）的作用。學習目標【技能目標】（1）能夠配置直連路由實現(xiàn)部門之間網(wǎng)絡互聯(lián)。（2）能夠配置靜態(tài)路由實現(xiàn)核心交換機與服務器之間互聯(lián)?！揪W(wǎng)絡拓撲】任務2-1的網(wǎng)絡拓撲如圖2-2所示。圖2-2任務2-1網(wǎng)絡拓撲2.1.2必備知識1.路由（1）路由過程計算機網(wǎng)絡也叫分組交換網(wǎng)，當某個數(shù)據(jù)分組到達一個網(wǎng)絡層設備（簡單理解成配置了接口和IP地址的設備）后，這個設備會查看分組的目的IP地址。接下來查看自己的路由表，根據(jù)路由表信息對該分組進行轉(zhuǎn)發(fā)，直到某個網(wǎng)絡層設備找到目標地址為止?？梢?，計算機網(wǎng)絡中最重要的設備就是網(wǎng)絡層設備，這些設備通常包括路由器、三層交換機、防火墻等，其中路由器是最重要的三層網(wǎng)絡設備。（2）路由器路由器是一種網(wǎng)絡設備，工作在網(wǎng)絡層。在物理上使用多個接口連接不同網(wǎng)絡，具備路由選擇、地址轉(zhuǎn)換、防火墻、DHCP等多種功能，實現(xiàn)安全、高效的網(wǎng)絡通信和資源共享。它的主要功能是根據(jù)目標地址將數(shù)據(jù)包從源網(wǎng)絡轉(zhuǎn)發(fā)到目標網(wǎng)絡，實現(xiàn)數(shù)據(jù)包的路由，按照功能可以分為家庭路由器、中小型企業(yè)路由器、大型企業(yè)和運營商級路由器等不同類型。2.1.2必備知識1.路由（3）路由表三層網(wǎng)絡設備依靠路由表進行分組轉(zhuǎn)發(fā)，生成路由表的方法通常包括配置設備接口IP地址生成直連路由表、手工指定某個網(wǎng)絡的下一跳地址生成靜態(tài)路由表、配置動態(tài)路由協(xié)議生成動態(tài)路由表。路由表中通常包括的字段如表2-1所示。目的網(wǎng)絡協(xié)議優(yōu)先級代價值下一跳出接口/24Direct00GigabitEthernet0/0/0/16Static600GigabitEthernet0/0/1/24OSPF102GigabitEthernet0/0/22.1.2必備知識1.路由①目的網(wǎng)絡目的網(wǎng)絡用來匹配目的IP地址，當分組中的IP地址屬于某個目的網(wǎng)絡時，就會匹配到這條路由條目，如目的IP地址是00的分組就會匹配到表中第一條/24路由條目，當某個目的IP地址匹配多個路由條目時，如目的IP地址00既匹配/24，又可以匹配00/32，那么會采用最長掩碼匹配的原則，匹配00/32這個路由條目。②協(xié)議協(xié)議字段表示該條路由條目是如何生成的，Direct表示直連路由、Static表示靜態(tài)路由、OSPF是動態(tài)路由的一種，還有RIP（RoutinginformationProtocol，路由信息協(xié)議）和BGP(BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議)等，目前在園區(qū)網(wǎng)絡內(nèi)部經(jīng)常使用OSPF動態(tài)路由協(xié)議，在廣域網(wǎng)中經(jīng)常使用BGP邊界網(wǎng)關(guān)動態(tài)路由協(xié)議生成路由表。③代價值代價值是從自身設備到達目的網(wǎng)絡的代價，不同的路由協(xié)議算法是不一樣的，直連和靜態(tài)路由的代價值是0，動態(tài)路由中RIP是以跳數(shù)作為度量單位，OSPF是以鏈路帶寬作為參考值，當同一種路由協(xié)議學習到了同一個路由條目，代價值小的會裝入路由表。④下一跳下一跳指的是去往這個目的網(wǎng)絡的下一跳地址，直連路由的下一跳是自身的某個接口IP地址，靜態(tài)和動態(tài)路由的下一跳是與本身直連設備的接口IP地址。⑤出接口出接口指從自身的哪個接口將數(shù)據(jù)分組發(fā)送出去，比如當設備接收到一個去往00的分組時，查看路由表后，發(fā)現(xiàn)00屬于/24這個網(wǎng)絡，那么這個數(shù)據(jù)分組會從GigabitEthernet0/0/0發(fā)送出去。2.1.2必備知識2.靜態(tài)路由靜態(tài)路由是指由用戶或網(wǎng)絡管理員手工配置的路由信息。當網(wǎng)絡的拓撲結(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私有的，不會傳遞給其他的路由器。當然，網(wǎng)管員也可以通過對路由器進行設置使之成為共享的。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡環(huán)境，在這樣的環(huán)境中，網(wǎng)絡管理員易于清楚地了解網(wǎng)絡的拓撲結(jié)構(gòu)，便于設置正確的路由信息。默認路由是一種特殊的靜態(tài)路由，當某個網(wǎng)絡設備接入網(wǎng)絡時，只連著另一個網(wǎng)絡設備，需要為這個設備配置默認路由，計算機終端配置的網(wǎng)關(guān)其實就是默認路由。2.1.2必備知識2.靜態(tài)路由靜態(tài)路由是指由用戶或網(wǎng)絡管理員手工配置的路由信息。當網(wǎng)絡的拓撲結(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私有的，不會傳遞給其他的路由器。當然，網(wǎng)管員也可以通過對路由器進行設置使之成為共享的。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡環(huán)境，在這樣的環(huán)境中，網(wǎng)絡管理員易于清楚地了解網(wǎng)絡的拓撲結(jié)構(gòu)，便于設置正確的路由信息。默認路由是一種特殊的靜態(tài)路由，當某個網(wǎng)絡設備接入網(wǎng)絡時，只連著另一個網(wǎng)絡設備，需要為這個設備配置默認路由，計算機終端配置的網(wǎng)關(guān)其實就是默認路由。3.SVI虛擬交換接口SVI指在交換機上創(chuàng)建虛擬的虛擬接口，一個虛擬接口對應一個VLAN，通常也把這種接口稱為邏輯三層接口，雖然SVI接口是虛擬的，但和真實的網(wǎng)卡接口功能是一致的，具備MAC地址和IP地址，可以完成ARP地址解析、數(shù)據(jù)轉(zhuǎn)發(fā)等真實網(wǎng)卡功能。為虛擬的接口配置IP地址后，在交換機上就會生成直連路由表，進而為各個部門的VLAN用戶提供路由轉(zhuǎn)發(fā)服務。2.1.2必備知識4.網(wǎng)關(guān)和DNS在計算機網(wǎng)絡中，如果一臺設備進行數(shù)據(jù)交換的目標地址不屬于自身知道的網(wǎng)絡地址內(nèi)，就無法進行數(shù)據(jù)轉(zhuǎn)發(fā)，而且這種情況是大多數(shù)情況，比如局域網(wǎng)絡中的某臺計算機知道的網(wǎng)絡中是不可能包含百度的IP地址的，那這臺計算機想訪問百度網(wǎng)站，該如何處理呢，答案是交給這臺計算機的網(wǎng)關(guān)地址，網(wǎng)關(guān)設備知道的網(wǎng)絡中也不包含百度的IP地址，那么就繼續(xù)交給網(wǎng)絡設備的下一跳，依次類推，所以說在計算機網(wǎng)絡中，99%的設備都要配置自己的網(wǎng)關(guān)，目的就是當某個目的地不在自己知道的網(wǎng)絡內(nèi)時，交給下一跳處理。DNS是域名服務系統(tǒng)，當用戶訪問某個互聯(lián)網(wǎng)上的主機應用時，比如訪問百度的WEB網(wǎng)站服務，用戶是無法記住百度的IP地址的，但可以記住百度的域名，當用戶在瀏覽器中訪問時，首先會訪問本機配置的DNS服務器，由DNS服務器返回百度的IP地址，用戶在通過IP地址訪問百度服務器。在計算機中，可以在配置IP地址和子網(wǎng)掩碼的對話框中配置網(wǎng)關(guān)和DNS，如圖2-3所示，需要注意的是網(wǎng)關(guān)和自身IP地址一定處于同一個網(wǎng)絡地址中，否則網(wǎng)關(guān)也不能到達。是谷歌公司提供的免費DNS服務地址，經(jīng)常使用。圖2-3任務2-1配置網(wǎng)關(guān)和DNS服務器4.網(wǎng)關(guān)和DNS1.1.2必備知識4.WEB（網(wǎng)站）服務WEB網(wǎng)站服務是互聯(lián)網(wǎng)上應用最廣泛的一種服務，使用http(HypertextTransferProtocol,超文本傳輸協(xié)議）在客戶端和服務器端進行數(shù)據(jù)交換，功能如下。（1）內(nèi)容展示W(wǎng)EB網(wǎng)站可以展示各種類型的內(nèi)容，如文字、圖片、音頻、視頻等。這些內(nèi)容可以是新聞、文章、產(chǎn)品信息、多媒體資源等。（2）電子商務許多企業(yè)和商家通過WEB網(wǎng)站提供在線購物、支付和訂單管理等電子商務功能，為用戶提供便捷的購物體驗。（3）社交互動社交媒體平臺和社區(qū)網(wǎng)站是WEB網(wǎng)站服務的重要組成部分，讓用戶能夠創(chuàng)建個人資料、發(fā)布內(nèi)容、與他人互動、分享興趣和經(jīng)驗等。（4）在線服務許多服務提供商通過WEB網(wǎng)站提供在線服務，如在線銀行、在線學習、在線預訂、在線咨詢等。1.1.2必備知識5.DHCP動態(tài)主機配置DHCP動態(tài)主機配置協(xié)議是一個局域網(wǎng)的網(wǎng)絡協(xié)議，在傳輸層使用UDP(UserDatagramProtocol，用戶數(shù)據(jù)報）協(xié)議工作，服務器端采用67端口,客戶端采用68端口。DHCP通常被用于局域網(wǎng)環(huán)境，主要作用是集中的管理、分配IP地址，使client動態(tài)的獲得IP地址、網(wǎng)關(guān)地址、DNS服務器地址等信息，工作過程如下。（1）尋找DHCP服務器當DHCP客戶端第一次登錄網(wǎng)絡的時候，計算機發(fā)現(xiàn)本機上沒有任何IP地址設定，將以廣播方式發(fā)送DHCPdiscover發(fā)現(xiàn)信息來尋找DHCP服務器，即向55發(fā)送特定的廣播信息。網(wǎng)絡上每一臺安裝了TCP/IP協(xié)議的主機都會接收這個廣播信息，但只有DHCP服務器才會做出響應。（2）分配IP地址在網(wǎng)絡中接收到DHCPdiscover發(fā)現(xiàn)信息的DHCP服務器就會做出響應，它從尚未分配的IP地址池中挑選一個分配給DHCP客戶機，向DHCP客戶機發(fā)送一個包含分配的IP地址和其他設置的DHCPoffer提供信息。（3）接受IP地址DHCP客戶端接受到DHCPoffer提供信息之后，選擇第一個接收到的提供信息，然后以廣播的方式回答一個DHCPrequest請求信息，該信息包含向它所選定的DHCP服務器請求IP地址的內(nèi)容。2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置SVI虛擬接口（1）創(chuàng)建SVI接口1樓的保衛(wèi)處用戶屬于VLAN10、后勤處用戶屬于VLAN20、2樓銷售部屬于VLAN30、技術(shù)部屬于VLAN40，所以首先在樓宇核心交換機上創(chuàng)建與用戶對應的VLAN。[hj]vlanbatch10203040#創(chuàng)建與部門用戶對應的vlan10、vlan20、vlan30、vlan40[hj]interfacevlan10#建立vlan10svi虛擬接口[hj-Vlanif10]quit[hj]interfacevlan20#建立vlan20svi虛擬接口[hj-Vlanif20]quit[hj]interfacevlan30#建立vlan30svi虛擬接口[hj-Vlanif30] [hj-Vlanif30]quit[hj]interfacevlan40#建立vlan40svi虛擬接口[hj-Vlanif40]quit2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置SVI虛擬接口（2）配置接口的IP地址，生成直連路由[hj]interfacevlan10#進入vlan10SVI接口[hj-Vlanif10]ipaddress24#配置IP地址為[hj-Vlanif10]quit[hj]interfacevlan20進入vlan20SVI接口[hj-Vlanif20]ipaddress24#配置IP地址為[hj-Vlanif20]quit[hj]interfacevlan30#進入vlan30SVI接口[hj-Vlanif30]ipaddress24#配置IP地址為

[hj-Vlanif30]quit[hj]interfacevlan40#進入vlan40SVI接口[hj-Vlanif40]ipaddress24#配置IP地址為三類私有IP地址范圍2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置SVI虛擬接口（3）查看某個虛擬接口地址配置完接口的IP地址后，可以通過disinterface加上接口名顯示某個接口的配置信息，如查看vlan10虛擬接口的信息，結(jié)果如圖2-4所示，vlan10虛擬接口的IP地址和硬件地址都存在了，和普通的網(wǎng)卡接口功能一致，可以正常接收和轉(zhuǎn)發(fā)數(shù)據(jù)了。圖2-4任務2-1查看vlan10虛擬接口地址2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置SVI虛擬接口（4）查看全部接口IP地址可以通過displayipinterfacebrief命令查看某個設備所有三層接口的IP地址信息，查看核心交換機的所有三層接口IP地址，如圖2-5所示，從圖中可以發(fā)現(xiàn)4個虛擬接口配置的IP地址和子網(wǎng)掩碼了，需要注意的是，只有當Physical（物理）和Protocol（協(xié)議）字段都是up狀態(tài)，該接口才能正常轉(zhuǎn)發(fā)數(shù)據(jù)。圖2-5任務2-1查看核心交換機的接口和IP地址2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置SVI虛擬接口（5）查看路由表配置了三層設備的接口IP地址后，就會在設備上自動的生成關(guān)于接口地址配置的直連路由，查看三層設備的路由表命令是displayiprouting-table，核心交換機的路由表如圖2-6所示，從表中可以發(fā)現(xiàn)，proto協(xié)議字段值是Direct的條目時直連路由。圖2-6任務2-1查看核心交換機的路由表2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置SVI虛擬接口其中是設備默認的環(huán)回接口。當配置了某個接口的IP地址后，會生成關(guān)于這個配置的兩條路由，其中一條是配置的IP地址所在的網(wǎng)絡，如配置了/24，那么會生成/24這條路由，下一跳是接口的IP地址，出接口即SVI虛擬接口VLAN10。同時還生成了/32的一條主機路由，代表就是本設備的一個接口，下一跳是代表自己，出接口是VLAN10。其它路由條目的生成與VLAN10道理一致。2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.測試部門用戶網(wǎng)絡互聯(lián)（1）配置部門用戶網(wǎng)關(guān)在核心交換機上配置虛擬接口和IP地址的目的是為每個VLAN用戶提供網(wǎng)關(guān)，即當某個VLAN用戶無法訪問某個目標主機時，將請求發(fā)送給網(wǎng)關(guān)，即配置的VLAN虛擬接口，所以首先配置每個VLAN用戶的網(wǎng)關(guān)地址。1樓101和102房間的保衛(wèi)處屬于VLAN10，所以配置這兩個房間主機的網(wǎng)關(guān)是。103房間后勤處屬于VLAN20，所以配置103房間主機的網(wǎng)關(guān)為。同理配置201房間銷售部的網(wǎng)關(guān)為,202房間技術(shù)部的網(wǎng)關(guān)為。其中101房間PC1主機的網(wǎng)關(guān)配置如圖2-7所示，其他主機的網(wǎng)關(guān)配置這里不再列出，請讀者按照說明自行配置。圖2-7任務2-1101房間主機網(wǎng)關(guān)配置2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.測試部門用戶網(wǎng)絡互聯(lián)（2）測試主機與網(wǎng)關(guān)的連通性在101房間的PC1命令行中輸入ping測試本機與網(wǎng)關(guān)的連通性，返回結(jié)果如圖2-8所示。發(fā)現(xiàn)PC1可以和網(wǎng)關(guān)正常通信了。圖2-8任務2-1PC1與網(wǎng)關(guān)正常通信2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.測試部門用戶網(wǎng)絡互聯(lián)在103房間的PC6的命令行中輸入ping測試本機與網(wǎng)關(guān)的連通性，返回結(jié)果如圖2-9所示。發(fā)現(xiàn)PC6可以和網(wǎng)關(guān)正常通信了。圖2-9任務2-1PC6與網(wǎng)關(guān)正常通信同理可以測試201房間主機能夠與網(wǎng)關(guān)正常通信，202房間主機能夠與網(wǎng)關(guān)正常通信。2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.測試部門用戶網(wǎng)絡互聯(lián)（3）測試部門之間的主機連通性在101房間的PC1上測試與103房間的PC6的連通性，結(jié)果如圖2-10所示，發(fā)現(xiàn)已經(jīng)能夠正常通信了，通信的過程如下。圖2-10任務2-1不同部門的用戶通信2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.測試部門用戶網(wǎng)絡互聯(lián)①發(fā)送請求到網(wǎng)關(guān)當PC1發(fā)現(xiàn)目標PC6的IP地址不在自己所知道的網(wǎng)絡時，會向自己的網(wǎng)關(guān)發(fā)送ARP請求，請求網(wǎng)關(guān)的網(wǎng)卡物理地址，然后將請求發(fā)送給網(wǎng)關(guān)，即核心交換機的VLAN10虛擬接口，到達VLAN10接口的數(shù)據(jù)會摘掉VLAN10的標簽。②查詢路由表核心交換機查詢自己的路由表，發(fā)現(xiàn)在直連路由表條目/24中，就會根據(jù)這個路由條目將請求從虛擬接口VLAN20發(fā)送出去，打上VLAN20的標簽，在數(shù)據(jù)轉(zhuǎn)發(fā)前，還要發(fā)送ARP請求的網(wǎng)卡物理地址。所以這時源IP地址和目標IP地址不變，源MAC地址為VLAN20的MAC地址，目標MAC地址為的MAC地址。當數(shù)據(jù)到達1樓接入交換機GE0/0/3接口口后，會摘掉VLAN20的標簽，數(shù)據(jù)到達PC6主機。③回送數(shù)據(jù)包過程網(wǎng)絡通信時雙向的，所以數(shù)據(jù)到達PC6后，發(fā)現(xiàn)源地址是，PC6會將請求發(fā)送給自己的網(wǎng)關(guān)，核心交換機再查詢路由表，把數(shù)據(jù)轉(zhuǎn)發(fā)到PC1上。這時才實現(xiàn)了不同VLAN用戶的網(wǎng)絡互聯(lián)。2.1.4配置靜態(tài)路由實現(xiàn)核心與服務器互聯(lián)1.配置設備直連接口IP地址（1）物理連接在設備區(qū)選擇2臺AR2220路由器，1臺作為服務器區(qū)路由器連接到核心交換機，另一臺作為DHCP服務器。服務器區(qū)路由器連接了WEB網(wǎng)站服務器和DHCP服務器，WEB服務器使用終端設備中的Server設備。拖拽設備到工作區(qū)后，按照任務2-1拓撲圖進行設備連接。（2）規(guī)劃IP地址需要配置路由的設備包括樓宇核心交換機、服務器區(qū)路由器、WEB服務器和DHCP服務器，規(guī)劃各個設備直連接口IP地址如表2-2所示。設備名稱直連接口VLAN/IP地址設備名稱直連接口IP地址核心交換機GE0/0/3VLAN50//24服務器區(qū)路由器GE0/0/0/24服務器區(qū)

路由器GE0/0/1/24WEB服務器Ethernet0/0/0GE0/0/2/24DHCP服務器GE0/0/0表2-2IP地址規(guī)劃表2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置設備直連接口IP地址（3）配置接口IP地址①配置服務器區(qū)路由器接口IP地址<Huawei>sys[Huawei]sysnamefwqq[fwqq]interfaceGigabitEthernet0/0/0[fwqq-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0接口IP地址[fwqq]interfaceGigabitEthernet0/0/1[fwqq-GigabitEthernet0/0/1]ipaddress24#配置GE0/0/1接口IP地址[fwqq-GigabitEthernet0/0/1]quit[fwqq]interfaceGigabitEthernet0/0/2[fwqq-GigabitEthernet0/0/2]ipaddress24#配置GE0/0/2接口IP地址2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置設備直連接口IP地址②配置服務器的接口IP地址和網(wǎng)關(guān)首先配置WEB服務器的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，WEB服務器連接到服務器區(qū)路由器的GE0/0/1接口，所以網(wǎng)關(guān)配置成，如圖2-11所示。圖2-11任務2-1配置WEB服務器IP地址2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置設備直連接口IP地址然后配置DHCP服務器接口GE0/0/0的IP地址。[Huawei]sysnamedhcp[dhcp]interfaceGigabitEthernet0/0/0[dhcp-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0接口的IP地址DHCP服務器使用的是一臺路由器，這個服務器的網(wǎng)關(guān)是，那么如何配置這臺服務器的網(wǎng)關(guān)呢，實際上就是在這臺設備上配置一條默認路由，默認路由是一條特殊的靜態(tài)路由，配置如下。[dhcp]iproute-static#配置DHCP服務器的默認路由其中

可以匹配任意的IP地址，當這臺設備不知道某個目的IP如何到達時，就會匹配到這條路由，并交給下一跳地址，這里是。與在計算機上配置網(wǎng)關(guān)道理是一樣的。③配置核心交換機的直連接口IP地址在交換機的普通端口上是無法配置IP地址的，所以在核心設備上首先建立2個VLAN，給VLAN配置IP地址后，分別將對應的直連接口加入相應的VLAN，就可以實現(xiàn)與服務器區(qū)路由器的直連通信了，配置如下。[hx]vlanbatch50#建立VLAN50[hx]interfacevlan50#創(chuàng)建進入VLAN50接口[hx-Vlanif50]ipaddress24#配置VLAN50接口的IP地址[hx-Vlanif50]quit[hx]interfaceGigabitEthernet0/0/3 [hx-GigabitEthernet0/0/3]portlink-typeaccess[hx-GigabitEthernet0/0/3]portdefaultvlan50#將3接口加入VLAN50圖2-11任務2-1配置WEB服務器IP地址2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)1.配置設備直連接口IP地址配置完成后，在核心交換機上測試與服務器區(qū)路由器的連通性，發(fā)現(xiàn)可以通過直連路由通信了，如圖2-12所示。圖2-12任務2-1測試核心交換機與服務器路由器的連通性2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.配置靜態(tài)路由（1）配置核心交換去往WEB服務器和DHCP服務器的靜態(tài)路由服務器的靜態(tài)路由，方法是在核心交換機上手工指定去往/24網(wǎng)絡的下一跳地址是，去往/24網(wǎng)絡的下一跳是。配置如下。[hx]iproute-static24#指定去往/24網(wǎng)絡下一跳[hx]iproute-static24#指定去往/24網(wǎng)絡下一跳配置完成后，在核心交換機上查看路由表，就可以發(fā)現(xiàn)配置的2條靜態(tài)路由了，如圖2-13所示。圖2-13任務2-1查看核心交換機的靜態(tài)路由配置2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.配置靜態(tài)路由（2）在服務器區(qū)路由器上配置回程默認路由網(wǎng)絡的通信是雙向的，在配置了核心交換機到WEB服務器和DHCP服務器的靜態(tài)路由后，數(shù)據(jù)可以從核心交換機到達兩臺服務器，當數(shù)據(jù)到達兩臺服務器后，WEB服務器和DHCP服務器都會將回程數(shù)據(jù)交給網(wǎng)關(guān)（服務器區(qū)路由器）處理，回程的數(shù)據(jù)已經(jīng)將源IP地址作為目標IP地址了，服務器區(qū)路由器是不知道如何去往目標地址的，比如目標地址為VLAN10用戶或者VLAN20用戶?？梢詾榉掌鲄^(qū)路由器配置靜態(tài)路由，指明所有訪問的所有目標網(wǎng)絡地址。但實際上，我們發(fā)現(xiàn)服務器與路由器去往任何目的IP的路由只有一條，就是交給核心交換機，所以可以為服務器區(qū)路由器配置一條默認路由，匹配所有的目標地址，配置如下。[fwqq]iproute-static#指定去往任意目標的下一跳地址配置完成后，在服務器區(qū)路由器上查看路由表，發(fā)現(xiàn)第一個路由條目就是配置的靜態(tài)路由，如圖2-14所示。圖2-14任務2-1查看核心交換機的靜態(tài)路由配置2.1.3配置核心交換機直連路由實現(xiàn)部門之間互聯(lián)2.配置靜態(tài)路由（3）測試核心交換機與兩臺服務器的連通性在核心交換機上測試與WEB服務器和DHCP服務器的連通性，發(fā)現(xiàn)可以正常通信了，如圖2-15所示。圖2-15任務2-1測試核心交換機與兩臺服務器的連通性2.1.5應用WEB和DHCP服務器1.應用WEB服務器在網(wǎng)絡連通之后，就可以使用網(wǎng)絡上的服務了，首先使用網(wǎng)絡中的WEB服務器。（1）準備簡單網(wǎng)頁在桌面建立一個文件夾，名稱為web，然后在文件夾中建立一個文本文件，打開文本文件，輸入內(nèi)容webserver,然后另存為index.html，網(wǎng)頁就準備好了。（2）配置WEB服務器使用網(wǎng)頁在WEB服務器的“服務器信息”選項卡中，選擇“HttpServer選項”，然后在“文件根目錄中”選擇桌面的web文件夾，單擊“啟動”按鈕，如圖2-16所示。圖2-16任務2-1導入網(wǎng)站目錄2.1.5應用WEB和DHCP服務器1.應用WEB服務器（3）使用客戶端測試在終端設備中，選擇Client設備，然后連接到101房間的任意接口，配置設備的IP地址和網(wǎng)關(guān)，如圖2-17所示。圖2-17任務2-1配置客戶端的IP地址2.1.5應用WEB和DHCP服務器1.應用WEB服務器在“客戶端信息”選項卡中，“選擇HttpClient”選項，在“地址欄”中輸入/index.html，單擊“獲取”按鈕，成功返回web網(wǎng)站文件，如圖2-18所示，保存文件后，打開文件可以發(fā)現(xiàn)內(nèi)容是webserver。圖2-18任務2-1訪問WEB服務器2.1.5應用WEB和DHCP服務器2.應用DHCP服務器DHCP服務器用來為用戶分配IP地址、子網(wǎng)掩碼、DNS等信息，可以節(jié)省配置IP地址等信息的時間，在大型網(wǎng)絡和無線網(wǎng)絡中是必備配置。在實際網(wǎng)絡中，通常使用中繼技術(shù)為用戶分配IP地址。以下配置DHCP中繼為VLAN10、VLAN20、VLAN30、VLAN40的用戶自動分配IP地址。（1）在核心交換機上配置DHCP中繼當VLAN10用戶自動獲取IP地址等信息時，首先會發(fā)送請求廣播到核心交換機的VLAN10虛擬接口，所以需要在接口上告訴這個用戶DHCP服務器的地址，其他的VLAN道理一樣，核心交換機DHCP中繼配置如下。[hx]dhcpenable#開啟DHCP功能[hx]interfacevlan10#進入VLAN10虛擬接口[hx-Vlanif10]dhcpselectrelay#開啟DHCP中繼模式[hx-Vlanif10]dhcprelayserver-ip#DHCP服務器的地址是[hx-Vlanif10]quit[hx]interfacevlan20#進入VLAN20虛擬接口[hx-Vlanif20]dhcpselectrelay#開啟DHCP中繼模式[hx-Vlanif20]dhcprelayserver-ip#DHCP服務器地址是[hx-Vlanif20]quit[hx]interfacevlan30 #進入VLAN30虛擬接口

[hx-Vlanif30]dhcpselectrelay#開啟DHCP中繼模式[hx-Vlanif30]dhcprelayserver-ip#DHCP服務器的地址[hx-Vlanif30]quit[hx]interfacevlan40#進入VLAN40虛擬接口[hx-Vlanif40]dhcpselectrelay#開啟DHCP中繼模式[hx-Vlanif40]dhcprelayserver-ip192.168.20.2#DHCP服務器的地址是2.1.5應用WEB和DHCP服務器2.應用DHCP服務器（2）在DHCP服務器上分配IP地址等信息。配置過程是首先開啟DHCP功能，然后在服務器接口下選擇global全局模式分配IP地址。接下來為每個VLAN用戶配置相對應的地址池，在地址池中定義分配的網(wǎng)絡地址、網(wǎng)關(guān)、DNS等信息。[dhcp]dhcpenable#開啟DHCP功能[dhcp]interfaceGigabitEthernet0/0/0#進入提供服務器的接口[dhcp-GigabitEthernet0/0/0]dhcpselectglobal#選擇在全局模式下分配IP地址[dhcp-GigabitEthernet0/0/0]quit[dhcp]ippoolvlan10#建立名稱為VLAN10的地址池[dhcp-ip-pool-vlan10]networkmask24#為用戶分配/24網(wǎng)絡[dhcp-ip-pool-vlan10]gateway-list#定義分配的網(wǎng)關(guān)地址[dhcp-ip-pool-vlan10]dns-list#定義分配的DNS地址[dhcp-ip-pool-vlan10]quit2.1.5應用WEB和DHCP服務器2.應用DHCP服務器[dhcp]ippoolvlan20#建立名稱為VLAN20的地址池[dhcp-ip-pool-vlan20]networkmask24#為用戶分配/24網(wǎng)絡[dhcp-ip-pool-vlan20]gateway-list#定義分配的網(wǎng)關(guān)地址[dhcp-ip-pool-vlan20]dns-list#定義分配的DNS地址[dhcp-ip-pool-vlan20]quit[dhcp]ippoolvlan30#建立VLAN30地址池[dhcp-ip-pool-vlan30]networkmask24#為用戶分配/24網(wǎng)絡[dhcp-ip-pool-vlan30]gateway-list#定義分配的網(wǎng)關(guān)地址[dhcp-ip-pool-vlan30]dns-list#定義分配的DNS地址[dhcp-ip-pool-vlan30]quit[dhcp]ippoolvlan40#建立VLAN40地址池[dhcp-ip-pool-vlan40]networkmask24#為用戶分配/24網(wǎng)絡[dhcp-ip-pool-vlan40]gateway-list#定義分配的網(wǎng)關(guān)地址[dhcp-ip-pool-vlan40]dns-list#定義分配的DNS地址在配置中繼時，需要注意的有三點，一是要在接口下開啟全局模式，二是配置地址池時，VLAN10只是一個名字，但盡量與業(yè)務VLAN名稱對應，VLAN10的用戶是靠網(wǎng)關(guān)對應的網(wǎng)絡地址匹配地址池的，如VLAN10在核心交換機的網(wǎng)關(guān)是，在/24網(wǎng)絡地址中，那么就會從地址池VLAN10中獲取IP地址等信息。2.1.5應用WEB和DHCP服務器2.應用DHCP服務器（3）客戶端自動獲取IP地址在PC1中“基礎配置中”，在“IPv4”配置中，選擇“DHCP”選項，單擊“應用”按鈕，如圖2-19所示。圖2-19任務2-1使用DHCP方式獲取IP地址2.1.5應用WEB和DHCP服務器2.應用DHCP服務器然后在命令行中，查看本機的IP地址，發(fā)現(xiàn)已經(jīng)獲取到IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等信息了，如圖2-20所示，和DHCP服務器配置一致，在其他計算機上同樣可以自動獲取到IP地址。圖2-20任務2-1查看PC1的IP地址信息任務2-2使用NAT實現(xiàn)內(nèi)外網(wǎng)互訪2.2.1任務描述2.2.2必備知識2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)2.2.4配置SNAT實現(xiàn)內(nèi)部用戶訪問互聯(lián)網(wǎng)2.2.5配置DNAT實現(xiàn)外部用戶訪問內(nèi)網(wǎng)Web服務器學習目標【知識目標】（1）掌握OSPF動態(tài)路由的配置方法。（2）掌握NAT網(wǎng)絡地址轉(zhuǎn)換的作用。（3）掌握ACL（AccessControlList，

訪問控制列表）的作用。學習目標【技能目標】（1）能夠配置OSPF實現(xiàn)內(nèi)網(wǎng)全互聯(lián)。（2）能夠配置源地址轉(zhuǎn)換實現(xiàn)內(nèi)部用戶訪問外部網(wǎng)絡。（3）能夠配置目標地址轉(zhuǎn)換實現(xiàn)外部用戶訪問內(nèi)部服務器?！揪W(wǎng)絡拓撲】任務2-2的網(wǎng)絡拓撲如圖2-21所示。圖2-21任務2-2網(wǎng)絡拓撲2.1.2必備知識1.OSPF動態(tài)路由協(xié)議（1）OSPF簡介OSPF(OpenShortestPathFirst開放式最短路徑優(yōu)先)是一個內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol，簡稱IGP)，用于在單一自治系統(tǒng)(AutonomousSystem,AS)內(nèi)決策路由。是對鏈路狀態(tài)路由協(xié)議的一種實現(xiàn)，隸屬內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)，故運作于自治系統(tǒng)內(nèi)部。著名的迪克斯加算法(Dijkstra)算法被用來計算最短路徑樹。（2）LSA（Link-StateAdvertisement，鏈路狀態(tài)通告）OSPF是根據(jù)鏈路狀態(tài)（LSA）計算生成路由表的，鏈路狀態(tài)(LSA)是OSPF接口上的描述信息，如接口上的IP地址，子網(wǎng)掩碼，網(wǎng)絡類型，Cost值等，OSPF路由器之間交換的并不是路由表，而是鏈路狀態(tài)(LSA)，OSPF通過獲得網(wǎng)絡中所有的鏈路狀態(tài)信息，從而計算出到達每個目標精確的網(wǎng)絡路徑。OSPF路由器會將自己所有的鏈路狀態(tài)毫不保留地全部發(fā)給鄰居，鄰居將收到的鏈路狀態(tài)全部放入鏈路狀態(tài)數(shù)據(jù)庫(Link-StateDatabase，鏈路狀態(tài)數(shù)據(jù)庫)，鄰居再發(fā)給自己的所有鄰居，并且在傳遞過程中，絕對不會有任何更改。通過這樣的過程，最終，網(wǎng)絡中所有的OSPF路由器都擁有網(wǎng)絡中所有的鏈路狀態(tài)，并且所有路由器的鏈路狀態(tài)應該能描繪出相同的網(wǎng)絡拓樸。（3）ospf區(qū)域OSPF路由器之間會將所有的鏈路狀態(tài)(LSA)相互交換，當網(wǎng)絡規(guī)模達到一定程度時，LSA將形成一個龐大的數(shù)據(jù)庫，勢必會給OSPF計算帶來巨大的壓力，為了能夠降低OSPF計算的復雜程度，減輕計算壓力，OSPF采用分區(qū)域計算，將網(wǎng)絡中所有OSPF路由器劃分成不同的區(qū)域，每個區(qū)域負責各自區(qū)域精確的LSA傳遞與路由計算，然后再將一個區(qū)域的LSA簡化和匯總之后轉(zhuǎn)發(fā)到另外一個區(qū)域，這樣一來，在區(qū)域內(nèi)部，擁有網(wǎng)絡精確的LSA，而在不同區(qū)域，則傳遞簡化的LSA。OSPF的區(qū)域0就是所有區(qū)域的核心，稱為BackBone區(qū)域(骨干區(qū)域)，而其它區(qū)域稱為Normal區(qū)域(常規(guī)區(qū)域)，在理論上，所有的常規(guī)區(qū)域應該直接和骨干區(qū)域相連。2.1.2必備知識1.OSPF動態(tài)路由協(xié)議（4）鄰居OSPF只有鄰接狀態(tài)才會交換LSA，路由器會將鏈路狀態(tài)數(shù)據(jù)庫中所有的內(nèi)容毫不保留地發(fā)給所有鄰居，要想在OSPF路由器之間交換LSA，必須先形成OSPF鄰居，OSPF鄰居靠發(fā)送Hello包來建立和維護，Hello包會在啟動了OSPF的接口上周期性發(fā)送，在不同的網(wǎng)絡中，發(fā)送Hello包的間隔也會不同，當超過4倍的Hello時間還沒有收到鄰居的Hello包，鄰居關(guān)系將被斷開，兩臺OSPF路由器要想建立鄰居關(guān)系，必須滿足相同的OSPF區(qū)域、相同的hello與失效時間、相同的認證密碼（如果配置了認證），相同的末節(jié)標簽（如果配置了末節(jié)標簽）4個條件，鄰居建立完成后，還要經(jīng)過若干報文交換才能處于鄰接狀態(tài)，交換LSA。（5）OSPF報文類型OSPF報文類型包括Hello報文，DatabaseDescription（鏈路狀態(tài)描述），Link-StateRequest（鏈路狀態(tài)請求），Link-StateUpdate（鏈路狀態(tài)更新），Link-StateAcknowledge（鏈路狀態(tài)確認）。LSA被封裝在Link-StateUpdate內(nèi)。（6）Router-ID(路由器標識）每一臺運行OSPF協(xié)議的路由器有唯一的Router-ID，Router-ID使用IP地址的形式來表示，可以手工指定路由器的Router-ID，若沒有手工指定，則采用活動Loopback接口最大的IP地址作為Router-ID，如果沒有活動的Loopback接口，則選擇活動物理接口IP地址最大的作為Router-ID。2.1.2必備知識2.NAT網(wǎng)絡地址轉(zhuǎn)換NAT（NetworkAddressTranslation，網(wǎng)絡地址轉(zhuǎn)換）是一種在計算機網(wǎng)絡中常用的技術(shù)，用于將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公網(wǎng)可路由的公共IP地址，以實現(xiàn)內(nèi)部網(wǎng)絡與外部網(wǎng)絡的通信。由于IPv4地址資源有限，無法滿足全球范圍內(nèi)所有設備的需求，因此在內(nèi)部網(wǎng)絡中使用私有IP地址，而將公共IP地址保留給互聯(lián)網(wǎng)上的路由器和服務器等設備。當內(nèi)部網(wǎng)絡的設備需要與外部網(wǎng)絡通信時，NAT會將內(nèi)部設備的私有IP地址轉(zhuǎn)換為公共IP地址，使其能夠在互聯(lián)網(wǎng)上進行通信。NAT技術(shù)分為2種，一種是SNAT(SourceNAT，源NAT)，一種是DNAT(DestinationNAT，目的NAT，當內(nèi)部網(wǎng)絡設備發(fā)送數(shù)據(jù)包到外部網(wǎng)絡時，數(shù)據(jù)包的源IP地址會被改寫為公共IP地址。這個過程稱為出站NAT（OutboundNAT）或源地址轉(zhuǎn)換（SourceNAT），外部網(wǎng)絡返回響應數(shù)據(jù)包時，數(shù)據(jù)包的目標IP地址會被改寫為對應的內(nèi)部設備的私有IP地址。這個過程稱為入站NAT（InboundNAT）或目標地址轉(zhuǎn)換（DestinationNAT）。NAT還提供了網(wǎng)絡安全方面的保護，因為內(nèi)部網(wǎng)絡的私有IP地址對外部網(wǎng)絡是不可見的，能夠一定程度上隱藏內(nèi)部網(wǎng)絡的拓撲結(jié)構(gòu)，提高了網(wǎng)絡的安全性。NAT有多種實現(xiàn)方式，包括靜態(tài)NAT、動態(tài)NAT、PAT（PortAddressTranslation，端口地址轉(zhuǎn)換）等。每種方式都有其特點和適用場景，本任務采用PAT技術(shù)實現(xiàn)內(nèi)外網(wǎng)互訪。需要注意的是，NAT只適用于IPv4網(wǎng)絡，而在IPv6網(wǎng)絡中，地址空間更加充裕，不再需要使用NAT來解決地址短缺問題。2.1.2必備知識3.ACL訪問控制列表ACL（AccessControlList，訪問控制列表）是一種用于在網(wǎng)絡設備上實現(xiàn)對網(wǎng)絡流量進行控制和管理的機制。它可以根據(jù)預定義的規(guī)則，對網(wǎng)絡中的數(shù)據(jù)包進行過濾和處理，從而控制數(shù)據(jù)包的流動和訪問權(quán)限。ACL通常用于路由器、交換機和防火墻等網(wǎng)絡設備上，通過配置ACL規(guī)則，可以實現(xiàn)以下功能。①流量過濾ACL可以根據(jù)源IP地址、目標IP地址、傳輸層協(xié)議、端口號等條件對數(shù)據(jù)包進行過濾，只允許符合規(guī)則的數(shù)據(jù)包通過，而拒絕不符合規(guī)則的數(shù)據(jù)包。②訪問控制ACL可以根據(jù)規(guī)則設置不同層次的安全策略，限制特定用戶或主機對網(wǎng)絡資源的訪問，如可以設置只有特定IP地址的主機可以訪問某個服務器，其他主機被禁止訪問。③訪問控制列表種類ACL訪問控制列表可以分為標準訪問控制列表和高級訪問控制列表，標準訪問控制列表只能匹配源IP和源MAC地址，高級訪問控制列表不但可以匹配源地址，還可以匹配目的地址和協(xié)議類型。④ACL規(guī)則類型ACL包括允許（permit）和拒絕（deny）兩種規(guī)則，當數(shù)據(jù)包與ACL規(guī)則匹配時，根據(jù)規(guī)則的配置，可以選擇允許或拒絕該數(shù)據(jù)包通過。⑤通配符掩碼當給設備配置ID地址時正常的子網(wǎng)掩碼，從左到右依次是連續(xù)的“1”和“0，“1”代表強匹配，“0”代表任意匹配。在做路由匹配如OSPF聲明直連接口時使用反掩碼，從左到右依次是連續(xù)的“0”和“1，“0”代表強匹配，“1”代表任意匹配。在配置ACL匹配規(guī)則時使用通配符掩碼，1和0的位置可以相互嵌套，“0”代表強匹配，“1”代表任意匹配。2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址（1）物理連接在設備區(qū)2臺選擇AR2220路由器，其中一臺作為樓宇出口路由器連接到核心交換機，另一臺作為聯(lián)通路由器連接到樓宇出口路由器。聯(lián)通路由器連接了WEB服務器測試終端Client2，另一端連接著百度服務器。拖拽設備到工作區(qū)后，按照任務2-21拓撲圖進行設備連接。（2）規(guī)劃IP地址需要配置的設備包括樓宇核心交換機、樓宇出口路由器、聯(lián)通路由器，Client2測試終端，百度服務器，規(guī)劃各個設備直連接口IP地址如表2-3所示。設備名稱直連接口VLAN/IP地址設備名稱直連接口IP地址核心交換機GE0/0/4VLAN60//24樓宇出口路由器GE0/0/0/24樓宇出口

路由器GE0/0/1/24聯(lián)通路由器GE0/0/0/24聯(lián)通路由器GE0/0/1/24WEB測試終端Ethernet0/0/0/24GE0/0/2/8百度服務器Ethernet0/0/08/8表2-3IP地址規(guī)劃表2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址（3）配置接口IP地址①配置核心交換機接口IP地址[hx]vlan60[hx-vlan60]quit[hx]interfacevlan60[hx-Vlanif60]ipaddress24#配置GE0/0/0接口IP地址[hx]interfaceGigabitEthernet0/0/4[hx-GigabitEthernet0/0/4]portlink-typeaccess[hx-GigabitEthernet0/0/4]portdefaultvlan60#將接口4加入VLAN60②配置樓宇出口路由器的接口IP地址[Huawei]sysnameck#修改路由器的名稱為ck[ck]interfaceGigabitEthernet0/0/0[ck-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0的接口IP地址[ck-GigabitEthernet0/0/0]quit[ck]interfaceGigabitEthernet0/0/1[ck-GigabitEthernet0/0/1]ipaddress24#配置GE0/0/1的接口IP地址2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址③配置聯(lián)通路由器的接口IP地址[Huawei]sysnamelt#修改路由器的名稱為lt[lt]interfaceGigabitEthernet0/0/0[lt-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0的接口IP地址[lt-GigabitEthernet0/0/0]quit[lt]interfaceGigabitEthernet0/0/1[lt-GigabitEthernet0/0/1]ipaddress24#配置GE0/0/1的接口IP地址[lt-GigabitEthernet0/0/1]quit[lt]interfaceGigabitEthernet0/0/2[lt-GigabitEthernet0/0/2]ipaddress8#配置GE0/0/2的接口IP地址2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址④配置WEB測試終端與百度服務器的IP地址根據(jù)表3-3配置測試終端和百度服務器的IP地址，WEB測試終端Client2配置如圖2-22所示。圖2-22任務2-2Client2測試終端IP地址2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址百度服務器IP地址配置如圖2-23所示。圖2-23任務2-2百度服務器IP地址2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址（4）配置核心交換機的路由①配置核心交換機的默認路由由于內(nèi)網(wǎng)的所有VLAN用戶要訪問互聯(lián)網(wǎng)，所以VLAN用戶數(shù)據(jù)可以到達出口路由器，這個需要可以在核心交換機上配置一條默認路由，指向與出口路由器相連的接口地址，配置如下。[hx]iproute-static配置完成后，所有部門用戶的數(shù)據(jù)到達核心交換機網(wǎng)關(guān)后，可以通過默認路由將數(shù)據(jù)發(fā)送到出口路由器上。②配置核心交換機的OSPF動態(tài)路由內(nèi)網(wǎng)用戶的業(yè)務數(shù)據(jù)到達出口路由器后，在出口路由器上是不具備回程路由的，如果使用靜態(tài)路由一條一條的去配置，工作量太大，而且容易出錯。所以在核心交換機和路由器上運行OSPF動態(tài)路由協(xié)議，傳遞各個直連接口的鏈路狀態(tài)，通過路由算法算出到達某個網(wǎng)絡地址的路徑。2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址配置OSPF動態(tài)路由協(xié)議的方法是在全局模式下配置OSPF的進程和路由器的router-id，然后聲明區(qū)域，將直連接口發(fā)布在區(qū)域內(nèi)。區(qū)域0是骨干區(qū)域，如果配置其它區(qū)域，要和骨干區(qū)域相連，核心交換機的OSPF配置如下。[hx]ospf1router-id#開啟OSPF進程1，進程只有本地意義，配置唯一的router-id。[hx-ospf-1]area0#聲明區(qū)域0[hx-ospf-1-area-]network55#聲明直連接口所在網(wǎng)絡，子網(wǎng)掩碼為反掩碼，是55減去的值[hx-ospf-1-area-]network55#聲明直連接口所在網(wǎng)絡[hx-ospf-1-area-]network55#聲明直連接口所在網(wǎng)絡[hx-ospf-1-area-]network55#聲明直連接口所在網(wǎng)絡[hx-ospf-1-area-]network55#聲明直連接口所在網(wǎng)絡[hx-ospf-1]import-routestatic#重分發(fā)靜態(tài)路由到OSPF進程中以上配置需要注意的由兩點，一是將直接接口發(fā)布到區(qū)域中時，要使用反掩碼，反掩碼是55減去正常的掩碼，由于正常的子網(wǎng)掩碼是，所以反掩碼是55。二是import-routestatic的目的是將核心交換機的去往服務器區(qū)的靜態(tài)路由信息發(fā)布到OSPF進程中，傳遞給出口路由器，這樣出口路由器就可以通過OSPF路由學習到如何將數(shù)據(jù)發(fā)送到服務器區(qū)了。2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址（5）配置出口路由器的路由①配置出口路由器的OSPF動態(tài)路由出口路由器與核心交換機同時運行OSPF后，兩個設備建立鄰居關(guān)系，然后互相發(fā)送LSA鏈路狀態(tài)，最終才能形成各自的OSPF路由表，所以需要在出口路由器上配置OSPF動態(tài)路由協(xié)議，發(fā)布直連接口，配置如下。[ck]ospf1router-id[ck-ospf-1]area0[ck-ospf-1-area-]network55以上配置沒有將出口路由器連接聯(lián)通的接口發(fā)布到OSPF進程中，這是因為內(nèi)網(wǎng)用戶是不需要知道出口路由器連接公網(wǎng)的IP地址的，即便想訪問出口的公網(wǎng)IP，也可以通過核心交換機的默認路由到達公網(wǎng)接口。所以只需要聲明與核心交換機的直連接口，建立OSPF鄰居后，獲得內(nèi)網(wǎng)的地址信息。②查看OSPF鄰居在出口路由器上使用displayospfpeerbrief命令查看OSPF鄰居，發(fā)現(xiàn)已經(jīng)與核心交換機建立鄰居了，如圖2-24所示。圖2-24任務2-2與核心交換機建立鄰居關(guān)系2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址（5）配置出口路由器的路由①配置出口路由器的OSPF動態(tài)路由出口路由器與核心交換機同時運行OSPF后，兩個設備建立鄰居關(guān)系，然后互相發(fā)送LSA鏈路狀態(tài)，最終才能形成各自的OSPF路由表，所以需要在出口路由器上配置OSPF動態(tài)路由協(xié)議，發(fā)布直連接口，配置如下。[ck]ospf1router-id[ck-ospf-1]area0[ck-ospf-1-area-]network55以上配置沒有將出口路由器連接聯(lián)通的接口發(fā)布到OSPF進程中，這是因為內(nèi)網(wǎng)用戶是不需要知道出口路由器連接公網(wǎng)的IP地址的，即便想訪問出口的公網(wǎng)IP，也可以通過核心交換機的默認路由到達公網(wǎng)接口。所以只需要聲明與核心交換機的直連接口，建立OSPF鄰居后，獲得內(nèi)網(wǎng)的地址信息。②查看OSPF鄰居在出口路由器上使用displayospfpeerbrief命令查看OSPF鄰居，發(fā)現(xiàn)已經(jīng)與核心交換機建立鄰居了，如圖2-24所示。圖2-24任務2-2與核心交換機建立鄰居關(guān)系從圖中發(fā)現(xiàn)State狀態(tài)已經(jīng)是Full了，說明已經(jīng)稱為鄰接關(guān)系，2臺設備已經(jīng)交換了鏈路狀態(tài)信息。2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址③查看路由表在出口路由器上使用displayiprouting-tableprotocolospf查看通過OSPF路由協(xié)議學習的路由表，結(jié)果如圖2-25所示。圖2-25任務2-2出口路由器的OSPF路由信息從圖中可以看出，通過OSPF路由協(xié)議學習到了VLAN10、VLAN20、VLAN30、VLAN40等4個部門的網(wǎng)絡地址信息，下一跳是直連的核心交換機接口，同時通過O_ASE的OSPF外部路由學習到了服務器區(qū)的地址信息，這個OSPF外部路由是通過核心交換機使用import-routestatic將自己知道的靜態(tài)路由信息發(fā)到OSPF進程，然后出口路由器進行學習獲取到的。2.2.3配置OSPF動態(tài)路由實現(xiàn)內(nèi)網(wǎng)全互聯(lián)1.配置接口IP地址④配置去往聯(lián)通服務器的默認路由通過配置OSPF動態(tài)路由協(xié)議學習到了內(nèi)網(wǎng)的網(wǎng)絡地址信息，當內(nèi)網(wǎng)用戶發(fā)送數(shù)據(jù)到出口時，出口路由器需要把數(shù)據(jù)發(fā)送給自己的下一跳路由，即聯(lián)通路由器，再由聯(lián)通路由器幫助找到目標IP。所以需要在出口路由器上配置一條默認路由，下一跳指向聯(lián)