经典案例系列分享之十五:华为设备企业网络典型配置案例 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

经典案例系列分享之十五:华为设备企业网络典型配置案例

【汇总】经典案例系列

文档帖子汇总学习视频Book与实验手册学习必备软件
    博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

环境简介

介绍:
下面为一般企业网络的结构、规划以及配置。
对内网部门划分vlan、无线配置、服务器的映射以及内网之间的互访都做了介绍。

1.各部门、服务器、无线都独立一个网段。
2.无线网络采用旁挂直接转发模式。
3.无线网络不能访问公司内网资源、只允许上网。

设备:
外网防火墙:USG5120
核心: S5700
接入: S3700
无线控制器:AC6005
无线AP: AP6010DN-AGN

网络拓扑:

 image001.png

地址规划:

地址规划:

设备 接口 IP地址 描述
FW1 G0/0/1 202.100.1.1/24 外网
G0/0/0 10.10.10.1/24 内网
LSW1 Vlanif 10 10.10.10.254/24 与USG对接地址
Vlanif 101 192.168.101.254/24 服务器网段
Vlanif 102 192.168.102.254/24 销售部门
Vlanif 103 192.168.103.254/24 技术部门
Vlanif 104 102.168.104.254/24 无线网段
Vlanif 200 192.168.200.254/24 管理网段
LSW2 Vlanif 200 192.168.200.2/24 LSW2管理地址
LSW3 Vlanif 200 192.168.200.3/24 LSW3管理地址
AC6005 Vlanif 88 192.168.88.6/24 无线管理网段
Vlanif 200 192.168.200.6/24 AC6005管理地址

 

Vlan 规划:

Vlan ID 描述
10 上行接口
88 无线AP管理
101 服务器
102 销售
103 技术
104 无线STA
200 管理

 

接口规划:

设备 接口 类型  
LSW1 G0/0/24 Access Port link-type access

Port default vlan 10

G0/0/8 Trunk Port link-type trunk

Port trunk allow-pass vlan 88 200

G0/0/11 Access Port link-type access

Port default vlan 101

G0/0/1 Trunk Port link-type trunk

Port trunk allow-pass vlan all

G0/0/2 Trunk Port link-type trunk

Port trunk allow-pass vlan all

LSW2 G0/0/1 Trunk Port link-type trunk

Port trunk allow-pass vlan all

E0/0/1 Access Port link-type access

Port default vlan 102

E0/0/22 Trunk Port link-type trunk  (接AP接口)

Port trunk pvid vlan 88

Port trunk allow-pass vlan 88 104

LSW3 G0/0/1 Trunk Port link-type trunk

Port trunk allow-pass vlan all

E0/0/1 Access Port link-type access

Port default vlan 102

E0/0/22 Trunk Port link-type trunk  (接AP接口)

Port trunk pvid vlan 88

Port trunk allow-pass vlan 88 104

AC6005 G0/0/8 Trunk Port link-type trunk

Port trunk allow-pass vlan 88 200

操作步骤:

1.防火墙配置。
#
sysname FW1
#
interface GigabitEthernet0/0/0
alias Lan
ip address 10.10.10.1 255.255.255.0
#
interface GigabitEthernet0/0/1
alias Wan
ip address 202.100.1.1 255.255.255.0
#
#
firewall zone trust
add interface GigabitEthernet0/0/0
#
firewall zone untrust
add interface GigabitEthernet0/0/1
#
ip route-static 0.0.0.0 0.0.0.0 202.100.1.2
ip route-static 192.168.0.0 255.255.0.0 10.10.10.254
#
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/1
#
firewall packet-filter default permit interzone trust untrust direction outbound //允许内网到外网的默认域间规则
#

2. LSW配置。
#
sysname LSW1
#
vlan batch 10 88 101 to 104 200
#
dhcp enable
#
interface Vlanif10
ip address 10.10.10.254 255.255.255.0
#
interface Vlanif101
description Server
ip address 192.168.101.254 255.255.255.0
#
interface Vlanif102
ip address 192.168.102.254 255.255.255.0
#
interface Vlanif103
ip address 192.168.103.254 255.255.255.0
#
interface Vlanif104
description WLAN-STA
ip address 192.168.104.254 255.255.255.0
dhcp select interface
dhcp server dns-list 192.168.101.2
#
interface Vlanif200
description Manager
ip address 192.168.200.254 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan all
#
interface GigabitEthernet0/0/8
port link-type trunk
port trunk allow-pass vlan 88 200
#
interface GigabitEthernet0/0/11
port link-type access
port default vlan 101
#
interface GigabitEthernet0/0/24
port link-type access
port default vlan 10
#
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
#

3. LSW2配置。
#
sysname LSW2
#
vlan batch 88 102 to 104 200
#
interface Vlanif200
ip address 192.168.200.2 255.255.255.0
#
interface Ethernet0/0/1
port link-type access
port default vlan 102
#
interface Ethernet0/0/22
port link-type trunk
port trunk pvid vlan 88
port trunk allow-pass vlan 88 104
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.200.254
#

4. LSW3配置。
#
sysname LSW3
#
vlan batch 88 102 to 104 200
#
interface Vlanif200
ip address 192.168.200.3 255.255.255.0
#
interface Ethernet0/0/1
port link-type access
port default vlan 103
#
interface Ethernet0/0/22
port link-type trunk
port trunk pvid vlan 88
port trunk allow-pass vlan 88 104
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.200.254
#

5. AC6005配置。
Vlan 88为无线AP管理网段、配置DHCP为AP分配地址。
#
sysname AC6005
#
vlan batch 88 200
#
dhcp enable
#
interface Vlanif88
ip address 192.168.88.6 255.255.255.0
dhcp select interface
#
interface Vlanif200
ip address 192.168.200.6 255.255.255.0
#
interface GigabitEthernet0/0/8
port link-type trunk
port trunk allow-pass vlan 88 200
#
interface Wlan-Ess104
port hybrid untagged vlan 104
#
wlan
wlan ac source interface vlanif88
ap-auth-mode no-auth
wmm-profile name wmm1 id 1
traffic-profile name tra1 id 1
security-profile name sec1 id 1
service-set name ser1 id 1
wlan-ess 104
ssid HUAWEI
traffic-profile id 1
security-profile id 1
service-vlan 104
radio-profile name radio1 id 1
wmm-profile id 1
#
等待AP上线后、AP绑定射频与服务集。
#
ap 0 radio 0
radio-profile id 1
service-set id 1 wlan 1
ap 1 radio 0
radio-profile id 1
service-set id 1 wlan 1

无线网络测试。
 image002.png
 image003.png
 image004.png

6. 内网服务器映射到外网、供外部用户访问。
#
nat server protocol tcp global 202.100.1.1 www inside 192.168.101.2 www
#
并要在防火墙配置转发策略、允许访问服务器。防火墙默认为拒绝访问。
#
policy interzone trust untrust inbound
policy 1
action permit
policy service service-set http
policy destination 192.168.101.2 0
#
测试从外网访问内部服务器。
服务器设置:
 image005.png

客户端访问测试:

 image006.png

7. 部门之间互访测试。
CLIENT1 PING CLIENT2

 image007.png

8. 访问之间做限制、无线接入用户无法访问销售部门、技术部门和服务器。
访问限制配置在核心交换机上:
#
acl number 3000
rule 5 permit ip source 192.168.104.0 0.0.0.255 destination 192.168.101.0 0.0.0.255
rule 10 permit ip source 192.168.104.0 0.0.0.255 destination 192.168.102.0 0.0.0.255
rule 15 permit ip source 192.168.104.0 0.0.0.255 destination 192.168.103.0 0.0.0.255
#
traffic classifier c1
if-match acl 3000
#
traffic behavior b1
deny
#
traffic policy p1
classifier c1 behavior b1
#
drop-profile default
#
vlan 104
traffic-policy p1 inbound
#
配置后测试:

 image008.png

下载文档

百度盘下载(博客资源汇总与学习思路
如果下载地址失效,请联系博主或者在下面留言,谢谢。下面也有其他您需要的资源推荐哦

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/头条号/百家号/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。

想第一时间收到最新更新内容吗,那就赶紧关注公众号/头条/B站/百家号吧~~

学习最新实用技术

远程技术支持(设备调试)

远程技术调试与技术支持,点击查看详情


原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (23)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 楼主,我做了这个实验但是没有结果呀
    huqingsong2017-06-10 14:57 回复 Windows 10 | Chrome 47.0.2526.108