signed

QiShunwang

“诚信为本、客户至上”

ensp 配置 mstp vrrp lacp ospf nat acl dhcp telnet 综合配置

2021/6/3 16:30:41   来源:

要求

1.规划拓扑图
2.合理配置IP地址
3.如图规划VLAN信息,PC1/PC2/PC3属于VLAN123,AR1属于VLAN111
4.需要合理配置MSTP,ETH-TRUNK,VRRP使网络达到最佳可用性
5.配置动态路由协议,使全网互通,私有地址不允许出现在ISP中
要求:AR3不允许配置任何路由
6.将PC5配置成DHCP服务器,所有的PC都需要通过DHCP自动获取地址。
7.在AR3上配置telnet功能,使AR1可以使用huawei/123456登陆到AR1上进行远程管理
8.只允许AR1 TELNET到AR3,其余所有设备都不能TELNET到AR3

第一步 ,搭建拓扑图

在这里插入图片描述

合理规划ip地址

首先配置vlan 111 和123 然后划分两个网段 10.1.1.0 /24 20.1.1.0 /24 lsw1 配置自己的ip地址 vlan111 是20.1.1.252 vlan123 为 10.1.1.252 。 lsw2 vlan111 20.1.1.253 vlan 123 为10.1.1.253 。虚拟网关分别是 10.1.1.254 20.1.1.254 。
路由器上面的接口ip 我没有演示。

规划vlan 111 123 PC1/PC2/PC3属于VLAN123,AR1属于VLAN111

lsw1 配置,先配置trunk 然后把1和2接口链路聚合,lsw2 同理

interface GigabitEthernet0/0/3  # 进入接口
 port link-type trunk  # 配置接口模式
 port trunk allow-pass vlan 111 123
interface GigabitEthernet0/0/4
 port link-type trunk
interface GigabitEthernet0/0/5
 port link-type trunk  
 配置ospf的时候 需要在再划分一个vlan 我这里用vlan 1 为了给5 口配置ip地址 
 interface Vlanif1
 ip address 40.1.1.2 255.255.255.0
 配置lacp
 port trunk allow-pass vlan 111 123
 interface Eth-Trunk 1      #将物理接口绑定到eth-trunk中
 mode lacp-static  # 模式lacp-static
trunkport GigabitEthernet 0/0/1 0/0/3  # 将两个接口变成一个接口

sw3 配置,lsw4 同理 ,交换机和交换机用trunk 交换机和pc 用access 口 交换机和路由器也是trunk

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 111 123
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 111 123
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 111
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 123

配置mstp多生成树协议,首先交换机本身默认的就是mstp 模式 ,每一个交换机都需要打这个

stp region-configuration
region-name huawei  
revision-level 2021 
instance 1 vlan 111
instance 2 vlan 123
active region-configuration  # 不打这一句配置就没有写进去
quit
stp mode mstp
stp instance 1 root primary  #在第一个交换机里面是主根
stp instance 2 root secondary # 在第二个交换机是备跟
stp instance 2 root primary #  在第二个交换机是主
stp instance 1 root secondary # 在第一个交换机是备

现在需要配置vrrp 虚拟网关

lsw1 
 interface Vlanif111 
 ip address 20.1.1.253 255.255.255.0
 vrrp vrid 111 virtual-ip 20.1.1.254  # 这是vlan 111 的虚拟网关 
 interface Vlanif123
 ip address 10.1.1.253 255.255.255.0
 vrrp vrid 123 virtual-ip 10.1.1.254 # 这是vlan 123 的虚拟网关 
 lsw2 
 interface Vlanif111
 ip address 20.1.1.252 255.255.255.0
 vrrp vrid 111 virtual-ip 20.1.1.254
 interface Vlanif123
 ip address 10.1.1.252 255.255.255.0
 vrrp vrid 123 virtual-ip 10.1.1.254

现在可以测试连通性 ,做完最好测试连通性 方便后面出问题了查错。
在这里插入图片描述

现在配置ospf 动态路由协议

ar2 的配置

ospf 10 router-id 2.2.2.2 
 default-route-advertise always
 area 0.0.0.0 
  network 40.1.1.0 0.0.0.255 
  network 50.1.1.0 0.0.0.255 
  退出去
  ip route-static 0.0.0.0 0.0.0.0 100.1.1.3 默认路由

lsw1 的配置

  ospf 10
 area 0.0.0.0
  network 40.1.1.0 0.0.0.255
  network 10.1.1.0 0.0.0.255
  network 20.1.1.0 0.0.0.255

lsw2 配置

 ospf 10
 area 0.0.0.0
  network 50.1.1.0 0.0.0.255
  network 20.1.1.0 0.0.0.255
  network 10.1.1.0 0.0.0.255

配置 ar2 nat

ar2 的配置
acl number 2000  
 rule 5 permit source 20.1.1.0 0.0.0.255 
 rule 10 permit source 10.1.1.0 0.0.0.255 
 rule 15 permit source 40.1.1.0 0.0.0.255 
 rule 20 permit source 50.1.1.0 0.0.0.255
 interface GigabitEthernet0/0/2
 nat outbound 2000
 ip address dhcp-alloc

ar3 的配置

interface LoopBack0  // 配置私有地址 
 ip address 8.8.8.8 255.255.255.255 

dhcp配置 pc5 做服务器

首先所有设备都要打 dhcp enable // 开启dhcp服务
pc5配置

interface GigabitEthernet0/0/0
 ip address 10.1.1.5 255.255.255.0 
 dhcp select global
 
 ip pool isp
 gateway-list 100.1.1.3 
 network 100.1.1.0 mask 255.255.255.0 
 dns-list 8.8.8.8 

ip pool vlan111
 gateway-list 20.1.1.254 
 network 20.1.1.0 mask 255.255.255.0 
 dns-list 8.8.8.8 
 
 ip pool vlan123
  gateway-list 10.1.1.254 
 network 10.1.1.0 mask 255.255.255.0 
 excluded-ip-address 10.1.1.252 10.1.1.253 
 dns-list 8.8.8.8
 默认路由
ip route-static 0.0.0.0 0 10.1.1.254
<Huawei>reset ip pool name vlan103 all //重置地址池分配地址的情况

lsw1 配置

interface Vlanif111
 dhcp select relay
 dhcp relay server-ip 10.1.1.5  // 中继的意思 

lsw2 配置

  interface Vlanif111
 dhcp select relay
 dhcp relay server-ip 10.1.1.5

r1 的配置

interface GigabitEthernet0/0/0
 ip address dhcp-alloc  // 获取ip地址的方式为dhcp
 默认路由
 ip route-static 0.0.0.0 0.0.0.0 20.1.1.254

高级acl 3000

ar2 的配置

rule 5 deny icmp source 20.1.1.251 0 destination 100.1.1.3 0 
 rule 10 deny icmp source 20.1.1.251 0 destination 8.8.8.8 0 
 rule 15 deny tcp source 10.1.1.5 0 destination 8.8.8.8 0 
 rule 20 deny tcp source 10.1.1.5 0 destination 100.1.1.3 0 
还得去接口里面禁用规则 ar2 1口和2口 
acl traffic-filter inbound acl 3000 

telnet远程登录

aaa
local-user huawei password cipher 123456
local-user huawei service-type telnet
local-user huawei privilege level 15
退出aaa
user-interface vty 0 4
authentication-mode password
authentication-mode aaa

按要求所示 ar1 不能ping ar3 但是可以远程登录ar3
在这里插入图片描述
pc5 可以ping 8.8.8.8 但是不能telnet ar3
在这里插入图片描述
如有错误,请指出,谢谢浏览!!!