基于ensp的园区网络搭建综合实验(详细步骤以及排错过程)

张开发
2026/5/21 13:49:59 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

基于ensp的园区网络搭建综合实验(详细步骤以及排错过程)
一、技术介绍本次实验运用到的技术有1、虚拟局域网VLAN2、开放式最短路径优先OSPF3、访问控制列表ACL4、网络地址转换协议NAT5、链路聚合E-trunk6、生成树协议STP7、多业务传送平台协议(MSTP)8、虚拟路由冗余协议VRRP9、DHCP中继技术二、需求分析项目背景和需求你被雇佣为某公司网络工程师该公司为小型企业总人数约xxx人。公司目前设有研发部xx人、市场部xx人、行政部xx人和财务部xx人。目前该公司仅有一个公司总部公司让你设计总部的园区网络现该公司的网络需求如下1公司内部各部门需实现正常通信能够进行资源共享和信息共享同时避免出现广播风暴提高办公效率。3实现IP地址 的自动化管理和分配。3公司提供网页服务公司各部门能够通过访问提供的URL访问该网页。4公司能够进行文件的统一管理各部门能够集中进行文件的上传和下载。5公司可以使用NAT技术与互联网接入三、网络结构设计根据企业的总体网络结构分析后采用三层结构组网的方式来实现数据的传输即接入层、汇聚层和核心层除了这三层结构以外还有DHCP区域、DMZ区域和ISP区域。四、实验拓扑五、设备基础配置首先我先将DMZ、核心层和ISP的设备终端配置了ip地址后两层因为涉及vlanif之后慢慢的配置。1、配置接入层的交换机以LSW1为例Huaweiundo ter monitor # 关闭终端显示信息中心发送信息 Huaweisys Huaweiundo info-center enable # 关闭信息中心 [Huawei]sysname LSW1 # 创建vlan [LSW1]vlan batch 10 20 30 40 # 对应4个部门 [LSW1]int e0/0/1 [LSW1-Ethernet0/0/1]port link-type trunk [LSW1-Ethernet0/0/1]port trunk allow-pass vlan all [LSW1-Ethernet0/0/1]int e0/0/2 [LSW1-Ethernet0/0/2]port link-type trunk [LSW1-Ethernet0/0/2]port trunk allow-pass vlan all # 当有多个端口需要创建且均为相同配置可以如下批量创建 [LSW1]port-group group-member Ethernet0/0/1 to Ethernet0/0/2 [LSW1-port-group]port link-type trunk [LSW1-port-group]port trunk allow-pass vlan all [LSW1]int e0/0/3 [LSW1-Ethernet0/0/3]port link-type access [LSW1-Ethernet0/0/3]port default vlan 10 [LSW1-Ethernet0/0/3]int e0/0/4 [LSW1-Ethernet0/0/4]port link-type access [LSW1-Ethernet0/0/4]port default vlan 10接入端口Access Port一般用于终端设备与交换机之间互连交换机与路由器连接的接口也需要使用接入端口。 干道端口Trunk Port一般用于交换机之间的互连。后面其他交换机同理只需要改变端口的vlan即可。2、汇聚层的交换机汇聚层的交换机需要使用到链路聚合的技术。下面简单来介绍一下这项技术链路聚合技术将个物理接口捆绑成一个逻辑接口从而在不升级硬件情况下实现增加链路带宽带目的。Eth-Trunk链路两端相连的物理接口的数量、速率、双工方式、流控方式必须—致。#以Core_LSW1为例 [Core-LSW1]int Eth-Trunk 1 [Core-LSW1-Eth-Trunk1]port link-type trunk [Core-LSW1-Eth-Trunk1]port trunk allow-pass vlan all [Core-LSW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 [Core-LSW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/4 [Core-LSW1]dis eth-trunk 1 Eth-Trunk1s state information is: WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8 Operate status: up Number Of Up Port In Trunk: 2 -------------------------------------------------------------------------------- PortName Status Weight GigabitEthernet0/0/3 Up 1 GigabitEthernet0/0/4 Up 13、MSTP部署MSTPMultiple Spanning tree Algorithm and protocol是多生成树技术允许在一个交换环境中运行多个生成树每个生成树称为一个实例instance。实例之间的生成树彼此独立如一个实例下的阻塞接口在另一个实例上可能是一个转发端口。MSTP允许多个VLAN运行一个生成树实例大部分情况下运行多个生成树实例的好处就在于链路的负载分担但是当只有一条冗余链路时运行两个生成树实例完全可以实现负载均衡同时又能节约系统开销。MSTP多生成树协议是什么它是一种二层协议用于防止以太网网络中的环路。它运行在交换机之间。MSTP 运行在哪里它运行在交换机之间连接接入、汇聚和核心层二层部分的链路网段上。需要在接入层和汇聚层配置下面以Core_LSW1为例[Core-LSW1]stp enable [Core-LSW1]stp mode mstp [Core-LSW1]stp region-configuration [Core-LSW1-mst-region]region-name mstp [Core-LSW1-mst-region]instance 1 vlan 10 20 # 配置MSTP实例并关联相应的VLAN [Core-LSW1-mst-region]instance 2 vlan 30 40 [Core-LSW1-mst-region]active region-configuration # 启用配置 [Core-LSW1-mst-region]quit [Core-LSW1]stp instance 1 root primary # 配置汇聚层LSW1为实例1的主根桥 [Core-LSW1]stp instance 2 root secondary # 配置汇聚层LSW1为实例2的备用根桥 # 优先级写法2 [Core-LSW1]stp instance 1 priority 4096 [Core-LSW1]stp instance 2 priority 81924、配置vlanif和VRRPVLANIF 和 VLAN 的区别和联系VLAN端口它是一个物理端口。通常我们配置access VLAN 10以使物理接口属于VLAN 10。 VLANIF接口VLAN是逻辑端口。通常此接口地址用作VLAN下用户的网关VRRP介绍虚拟路由冗余协议VRRPVirtual Router Redundancy Protocol是一种用于提高网络可靠性的容错协议。通过VRRP可以在主机的下一跳设备出现故障时及时将业务切换到备份设备从而保障网络通信的连续性和可靠性。(不是“两台设备各配一个不同的虚拟 IP”那是两个不同的 VRRP 组而不是一个组。)(同一个 VRRP 组里虚拟 IP 必须一致)(不同 VRRP 组VRID 不同可以用不同的虚拟 IP做负载分担。)以汇聚层Core_LSW1为例[Core-LSW1]vlan batch 10 20 30 40 [Core-LSW1]int Vlanif 10 [Core-LSW1-Vlanif10]ip address 192.168.10.1 24 # LSW1为10.1LSW2为10.2下同 [Core-LSW1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 [Core-LSW1-Vlanif10]vrrp vrid 10 priority 120 # 设置优先级默认为100让VLAN10和20的请求优先到LSW1处理 [Core-LSW1]int Vlanif 20 [Core-LSW1-Vlanif20]ip address 192.168.20.1 24 [Core-LSW1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 [Core-LSW1-Vlanif20]vrrp vrid 20 priority 120 [Core-LSW1]int Vlanif 30 [Core-LSW1-Vlanif30]ip address 192.168.30.1 24 [Core-LSW1-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254 [Core-LSW1]int Vlanif 40 [Core-LSW1-Vlanif40]ip address 192.168.40.1 24 [Core-LSW1-Vlanif40]vrrp vrid 40 virtual-ip 192.168.40.254故障排错#在配置完成的时候发现Core_LSW1的vlanif30\40的状态异常都为master实际上两个应该为Backup初步检查发现vlanif30的vrrp vrid配置错误。 #第二个问题vlanif40出现了双主的现象通讯故障 #原因可能是Core_L1没有收到来自Core_L2优先级为120的vrrp通告报文。 #这通常是由以下原因导致的 #1、VLAN 40 物理链路不通检查两台核心交换机之间互联链路是否允许 VLAN 40 通过。 #2、二层阻塞如果 MSTP 配置不当VLAN 40 的某条链路可能被 STP 阻塞了导致 VRRP 组播报文无法通过。 #3、配置未生效确认 Core_LSW1 的 Vlanif40 接口是否 Up。 #检查可以使用下面命令 dis interface Vlanif 40 #看接口状态 display ip interface brief vlanif 40 #看ip地址和接口的简要信息 display vrrp interface vlanif 40 #只看Vlanif40的VRRP状态 display stp brief #看端口是否被STP阻塞 #最终发现Core_LSW2上的vlanif40的ip地址配置的与LSW1的一致应该改为192.168.40.2\24。问题成果解决5、配置DHCP池塘#只在Core_LSW1上配置DHCP池塘 [Core-LSW1]dhcp enable [Core-LSW1]ip pool vlan10 [Core-LSW1-ip-pool-vlan10]gateway-list 192.168.10.254 # 网关地址 [Core-LSW1-ip-pool-vlan10]network 192.168.10.0 mask 24 # 加入地址池的网段 [Core-LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.1 192.168.10.2 # 排除已占用的接口汇聚层交换机上的vlanif接口 [Core-LSW1-ip-pool-vlan10]q [Core-LSW1]ip pool vlan20 [Core-LSW1-ip-pool-vlan20]gateway-list 192.168.20.254 [Core-LSW1-ip-pool-vlan20]network 192.168.20.0 mask 24 [Core-LSW1-ip-pool-vlan20]excluded-ip-address 192.168.20.1 192.168.20.2 [Core-LSW1-ip-pool-vlan20]q [Core-LSW1]ip pool vlan30 [Core-LSW1-ip-pool-vlan30]gateway-list 192.168.30.254 [Core-LSW1-ip-pool-vlan30]network 192.168.30.0 mask 24 [Core-LSW1-ip-pool-vlan30]excluded-ip-address 192.168.30.1 192.168.30.2 [Core-LSW1-ip-pool-vlan30]q [Core-LSW1]ip pool vlan40 [Core-LSW1-ip-pool-vlan40]gateway-list 192.168.40.254 [Core-LSW1-ip-pool-vlan40]network 192.168.40.0 mask 24 [Core-LSW1-ip-pool-vlan40]excluded-ip-address 192.168.40.1 192.168.40.2 [Core-LSW1-ip-pool-vlan40]q [Core-LSW1]int Vlanif 10 [Core-LSW1-Vlanif10]dhcp select global # 配置DHCP为全局模式 [Core-LSW1-Vlanif10]int Vlanif 20 [Core-LSW1-Vlanif20]dhcp select global [Core-LSW1-Vlanif20]int Vlanif 30 [Core-LSW1-Vlanif30]dhcp select global [Core-LSW1-Vlanif30]int Vlanif 40 [Core-LSW1-Vlanif40]dhcp select global #本次实验暂时不打算采用DHCP中继而是采用了核心交换机作为DHCP服务器。后面会遇到这个问题又会采用DHCP中继 #原因 ###避免 IP 冲突华为交换机的 DHCP 服务器功能默认不会自动同步租约表。如果你在两台交换机上都配置相同的地址池它们各自独立运行。Core_LSW1 可能分配了 192.168.10.2 给 PC1Core_LSW2 也不知道可能会把 192.168.10.2 再次分配给 PC2。这会导致严重的 IP 地址冲突。 ###VRRP 联动你已经在 Core_LSW1 上配置了 VRRP 优先级 120Master流量默认会优先走 Core_LSW1。DHCP 请求也是广播/单播到网关由 Master 处理最为合理。 #缺点如果 Core_LSW1 彻底挂了Core_LSW2 接管网关VRRP 切换但此时没有 DHCP 服务器新上线的 PC 将无法获取 IP 地址。但在一般的实验环境中这种单点故障通常是可以接受的。检查一下发现pc端并没有自动获取到ip地址[core_LSW1]dis dhcp server statistics DHCP Server Statistics: Client Request : 0 Dhcp Discover : 0 Dhcp Request : 0 Dhcp Decline : 0 Dhcp Release : 0 Dhcp Inform : 0 Server Reply : 0 Dhcp Offer : 0 Dhcp Ack : 0 Dhcp Nak : 0 Bad Messages : 0 #使用这个命令发现Core-LSW1 根本没有收到 PC 发来的 DHCP 请求包。说明PC 的广播包被“拦截”了没能到达核心交换机。 [core_LSW1]dis port vlan Port Link Type PVID Trunk VLAN List ------------------------------------------------------------------------------- Eth-Trunk1 trunk 1 1-4094 GigabitEthernet0/0/1 hybrid 1 - GigabitEthernet0/0/2 hybrid 1 - GigabitEthernet0/0/3 hybrid 0 - GigabitEthernet0/0/4 hybrid 0 - GigabitEthernet0/0/5 hybrid 1 - GigabitEthernet0/0/6 hybrid 1 - GigabitEthernet0/0/7 hybrid 1 - GigabitEthernet0/0/8 hybrid 1 - #最后发现原来是汇聚层的交换机接口的trunk没有配置。。。 ##如果 Core-LSW1 还连接了 LSW2、LSW3 等其他接入交换机你需要找到对应的接口如 GE0/0/7、GE0/0/6重复执行上述 port link-type trunk 和 port trunk allow-pass vlan all 命令。这时我将汇聚层与接入层相接交换机的接口上全都配置了trunk ##Eth-Trunk1 已经允许了所有 VLAN这通常是两台核心交换机之间的互联链路这个配置是正确的不要动它。配置完成后再检查DHCP统计发现计数开始增加这次PC端应该就可以了获取ip了。使用ipconfig的时候又出现了新的问题发现PC1、PC2成功获取了IP地址而PC3、PC4则还是没有。6、问题分析检查配置从配置步骤中发现了关键问题根本原因MSTP VRRP 配置不一致配置存在以下问题配置项VLAN 10/20VLAN 30/40MSTP实例Instance 1Instance 2Core_LSW1 根桥角色主根桥(priority 4096)备用根桥(priority 8192)VRRP优先级120(Master)默认100(可能为Backup)DHCP服务器Core_LSW1Core_LSW1问题所在1. Core_LSW1是VLAN 30/40的备用根桥这意味着VLAN 30/40的流量路径优先走Core_LSW22. VLAN 30/40的VRRP没有设置优先级如果Core_LSW2设置了更高优先级Core_LSW2会成为VRRP Master3. DHCP只在Core_LSW1上配置但VLAN30/40的流量可能被导向 Core_LSW2结果PC3/PC4的DHCP请求被转发到Core_LSW2但Core_LSW2没有DHCP服务解决方案这里选择的是第二种方法#方案一修改 VRRP 优先级推荐 ##在 Core_LSW1 上为 VLAN 30/40 设置更高的 VRRP 优先级确保 Core_LSW1 成为所有 VLAN 的 VRRP Master ##在 Core_LSW1 上配置 [Core-LSW1]int Vlanif 30 [Core-LSW1-Vlanif30]vrrp vrid 30 priority 120 [Core-LSW1]int Vlanif 40 [Core-LSW1-Vlanif40]vrrp vrid 40 priority 120 ##配置完成后Core_LSW1 将成为 VLAN 30/40 的主网关PC3/PC4 的 DHCP 请求将由 Core_LSW1 响应问题解决。#方案二在 Core_LSW2 上配置 DHCP 中继 ##如果希望保持负载分担VLAN 30/40 流量走 Core_LSW2需要在 Core_LSW2 上配置 DHCP 中继 ##在 Core_LSW2 上配置 [Core-LSW2]dhcp enable [Core-LSW2]int Vlanif 30 [Core-LSW2-Vlanif30]dhcp select relay [Core-LSW2-Vlanif30]dhcp relay server-ip 192.168.30.1 # 指向 Core_LSW1 [Core-LSW2]int Vlanif 40 [Core-LSW2-Vlanif40]dhcp select relay [Core-LSW2-Vlanif40]dhcp relay server-ip 192.168.40.1 ##配置完成后Core_LSW2 收到 DHCP 请求会单播转发给 Core_LSW1由 Core_LSW1 分配地址。#方案三修改 MSTP 根桥配置 ##让 Core_LSW1 成为所有 VLAN 的主根桥 ##在 Core_LSW1 上修改 [Core-LSW1]stp instance 1 root primary [Core-LSW1]stp instance 2 root primary ##在 Core_LSW2 上修改 [Core-LSW2]stp instance 1 root secondary [Core-LSW2]stp instance 2 root secondary到这里汇聚层和接入层实现了设备之间的互通接下来该核心层和汇聚层的设备这里就要用到OSPF了7、规划OSPF区域#汇聚层交换机配置 [Core-LSW1]ospf [Core-LSW1-ospf-1]area 1 [Core-LSW1-ospf-1-area-0.0.0.1]network 192.168.10.0 0.0.0.255 [Core-LSW1-ospf-1-area-0.0.0.1]area 2 [Core-LSW1-ospf-1-area-0.0.0.2]network 192.168.20.0 0.0.0.255 [Core-LSW1-ospf-1-area-0.0.0.2]area 3 [Core-LSW1-ospf-1-area-0.0.0.3]network 192.168.30.0 0.0.0.255 [Core-LSW1-ospf-1-area-0.0.0.3]area 4 [Core-LSW1-ospf-1-area-0.0.0.4]network 192.168.40.0 0.0.0.255 [Core-LSW1-ospf-1-area-0.0.0.4]area 0 [Core-LSW1-ospf-1-area-0.0.0.0]network 192.168.5.2 0.0.0.0 # 0代表严格匹配 [Core-LSW1-ospf-1-area-0.0.0.0]network 192.168.7.2 0.0.0.0 ##core_LSW2的配置与C_LSW1的配置一样但要注意ip地址。#核心层路由器R1的配置 [R1]ospf [R1-ospf-1] [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 192.168.4.1 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network 192.168.5.1 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network 192.168.6.1 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network 192.168.100.1 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network 192.168.2.1 0.0.0.0 ##R2、R3的配置与C_LSW1的配置一样但要注意ip地址。这里发现了一个问题就是核心层的ospf表上并没有汇聚层的信息可能是因为在core_LSW1上宣告了192.168.5.2地址但实际上并没有配置这个地址有两种方法1、使用vlanif2、使用三层物理接口#解决方法1 [Core_LSW1] vlan 5 [Core_LSW1] interface GigabitEthernet0/0/1 [Core_LSW1-GigabitEthernet0/0/1] port link-type access [Core_LSW1-GigabitEthernet0/0/1] port default vlan 5 [Core_LSW1-GigabitEthernet0/0/1] quit [Core_LSW1] interface Vlanif 5 [Core_LSW1-Vlanif5] ip address 192.168.5.2 255.255.255.0 [Core_LSW1-Vlanif5] quit #解决方法2 [Core_LSW1] interface GigabitEthernet0/0/1 [Core_LSW1-GigabitEthernet0/0/1] undo portswitch [Core_LSW1-GigabitEthernet0/0/1] ip address 192.168.5.2 255.255.255.0配置完后测试一下连通性。到此汇聚层、核心层、接入层全网互通。8、出口区Nat与ACL策略配置[Core-R3]acl 2000 # 设定基本ACL规则匹配网段 [Core-R3-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 # 筛选出内网的网段 [Core-R3-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255 [Core-R3-acl-basic-2000]rule permit source 192.168.30.0 0.0.0.255 [Core-R3-acl-basic-2000]rule permit source 192.168.40.0 0.0.0.255 [Core-R3]int g0/0/2 [Core-R3-GigabitEthernet0/0/2]nat outbound 2000 # 配置NAPT [Core-R3-GigabitEthernet0/0/2]int g3/0/0 [Core-R3-GigabitEthernet3/0/0]nat outbound 2000 [Core-R3]ospf [Core-R3-ospf-1]default-route-advertise always # 出口配置一条默认路由让 R3 自动向所有内网设备R1、R2 及其下的交换机“广播”自己就是通往互联网的出口。 ip route-static 0.0.0.0 0.0.0.0 102.1.24.2 ip route-static 0.0.0.0 0.0.0.0 102.1.42.2 preference 80 ##备份 ##配置静态路由测试到此内网PC设备可以ping通外网访问服务。。下面还剩下HTTP、FTP、DNS服务。9、服务配置点击设备直接进行配置FTP服务HTTP服务DNS服务刚开始配置完成后尝试使用域名访问HTTP发现并没有访问成功。检查一下发现原来是PC端的DNS服务器地址没有配置。总结这次实验收获了很多了解了小型公司中拓扑结构熟悉网络设备的流程。强化了我的设备配置能力和排错能力使我的网络水平得到了提升。

更多文章