网络运维与网络安全 学习笔记2023.11.24

网络运维与网络安全 学习笔记 第二十五天

今日目标

DHCP中继代理、三层交换机DHCP、子网划分的原理、子网划分的应用
项目需求分析、技术方案选型、网络拓扑绘制
基础交换网络设计、内网优化、连接外网服务器

DHCP中继代理

DHCP中继概述

场景：
DHCP客户端与DHCP服务器不在一个网段时，才需要DHCP中继
作用：
DHCP服务器和DHCP客户端之间的DHCP报文

DHCP中继配置
DHCP客户端的网关接口，才有资格成为DHCP中继
开启DHCP中继的DHCP功能
设置DHCP中继接口的模式为relay
指定DHCP中继接口的DHCP服务器的地址

配置设备之间的互联接口及静态路由
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.10.10.1 24
[R1-GigabitEthernet0/0/0]quit

[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.10.10.2 24
[R2-GigabitEthernet0/0/0]quit

[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R2-GigabitEthernet0/0/1]quit

[R1]ip route-static 192.168.1.0 24 10.10.10.2

在R1上配置DHCP地址池，启用DHCP
[R1]ip pool tedu
[R1-ip-pool-tedu]network 192.168.1.0 mask 255.255.255.0
[R1-ip-pool-tedu]gateway-list 192.168.1.254
[R1-ip-pool-tedu]dns-list 8.8.8.8
[R1-ip-pool-tedu]excluded-ip-address 192.168.1.200

[R1]dhcp enable
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]dhcp select global //基于全局的DHCP

在R2上配置DHCP中继
[R2]dhcp enable
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]dhcp select relay //在接口G0/0/1应用DHCP中继功能
[R2-GigabitEthernet0/0/1]dhcp relay server-ip 10.10.10.1 //指向DHCP服务器的IP地址

主机获取到IP地址，能够ping通R1

配置DHCP中继

问题
①配置DHCP中继，让客户端从DHCP服务器获取地址
②客户机可以ping通R1
方案

步骤
①配置DHCP服务器（R1）
dhcp enable
ip pool pool
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
lease day 3
dns-list 8.8.8.8

interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.0
dhcp select global

ip route-static 192.168.1.0 255.255.255.0 10.10.10.2

②配置DHCP中继（R2）
dhcp enable
interface GigabitEthernet0/0/0
ip address 10.10.10.2 255.255.255.0
quit

interface GigabitEthernet0/0/1
ip address 192.168.1.254 255.255.255.0
dhcp select ralay
dhcp relay server-ip 10.10.10.1

③验证

验证主机可以ping通R1

三层交换机DHCP

交换机配置为DHCP服务器
配置两个地址池：192.168.1.0/24和192.168.2.0/24
配置两个VLAN：VLAN10和VLAN20
将四台主机分别加入VLAN
自动获取IP地址，确保全网互通

配置步骤
①配置DHCP服务器
vlan batch 10 20
dhcp enable

ip pool pool1
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
dns-list 8.8.8.8

ip pool pool2
gateway-list 192.168.2.254
network 192.168.2.0 mask 255.255.255.0
dns-list 8.8.8.8

interface Vlanif10
ip address 192.168.1.254 255.255.255.0
dhcp select global
quit

interface Vlanif20
ip address 192.168.2.254 255.255.255.0
dhcp select global
quit

interface GigabitEthernet0/0/1
port link-type trunk
pot trunk allow-pass vlan all
quit

interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan all
quit

②配置SW1
vlan batch 10 20

interface Ethernet 0/0/1
port link-type access
port default vlan 10
quit

interface Ethernet0/0/2
port link-type access
port default vlan 10
quit

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all

③配置SW2
vlan batch 10 20

interface Ethernet0/0/1
port link-type access
port default vlan 20
quit

interface Ethernet0/0/2
port link-type access
port default vlan 20
quit

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit

④验证
四台主机均可以获得ip地址，并互相ping通。

子网划分原理

子网划分的原因

节省IP地址，减少IP地址的浪费
满足不同网络对IP地址的需求
实现网络设备遍址的层次化需求

子网划分的理解

将 192.168.1.0/24划分成4个小网段
将主机位划到网络位

子网划分的应用

C类地址划分
IP地址经过一次子网划分后，被分成三个部分——网络位、子网位和主机位

子网划分与VLAN配置

问题
公司网段192.168.22.0/24，生产部VLAN1有主机50台，销售部VLAN2有90台
财务部VLAN3有15台，客服部VLAN4有26台，要求划分子网实现网络互通
方案

步骤
步骤一：子网划分

步骤二：VLAN配置
①配置SW3
vlan batch 2 3 4

interface Vlanif1
ip address 192.168.22.190 255.255.255.192
quit

interface Vlanif2
ip address 192.168.22.126 255.255.255.128
quit

interface Vlanif3
ip address 192.168.22.222 255.255.255.224
quit

interface Vlanif4
ip address 192.168.22.254 255.255.255.224
quit

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094

②配置SW1
vlan batch 2 3 4

interface Ethernet0/0/1
port link-type access
port default vlan 1
quit

interface Ethernet0/0/2
port link-type access
port default vlan 2
quit

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit

③配置SW2
vlan batch 2 3 4

interface Ethernet0/0/1
port link-type access
port default vlan 3
quit

interface Ethernet0/0/2
port link-type vlan 4
quit

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit

④配置主机并验证
VLAN1主机如下所示

VLAN2主机如下所示

VLAN3主机如下所示

VLAN4主机如下所示

验证四台主机均可以互相ping通。

项目需求分析

项目需求

技术需求分析
公司有三个部门，为确保通信安全，每个部门都处于独立的广播域
每个部门的IP地址规划为：192.168.xx.0/24
每个部门的主机均通过DHCP服务器获取IP地址，并且每个部门的网关地址为192.168.xx.254
DHCP服务器所在的网段，网关配置在SW5上
技术需求描述
所有部门都使用了网关冗余技术，为了增强网关稳定性和冗余性
交换机之间存在很多冗余链路，必须防止环路的发生，并且能够提高链路的利用率
要求每个部门的主机访问其他主机时，使用的都是最优的转发路径
公司有一个出口设备R1，连接一台外网的web服务器
内网大量主机都需要访问这台外网的web服务器

配置步骤
步骤一：配置二层交换机
undo terminal monitor
system-view
[Huawei]sysname sw1
[sw1]vlan batch 10 20 30 50
[sw1]interface e0/0/1
[sw1-Ethernet0/0/1]port link-type access
[sw1-Ethernet0/0/1]port default vlan 10
[sw1]interface e0/0/2
[sw1-Ethernet0/0/2]port link-type trunk
[sw1-Ethernet0/0/2]port trunk allow-pass vlan all
undo terminal monitor
system-view
[Huawei]sysname sw2
[sw2]vlan batch 10 20 30 50
[sw2]interface e0/0/1
[sw2-Ethernet0/0/1]port link-type access
[sw2-Ethernet0/0/1]port default vlan 20
[sw2]interface e0/0/2
[sw2-Ethernet0/0/2]port link-type trunk
[sw2-Ethernet0/0/2]port trunk allow-pass vlan all
undo terminal monitor
system-view
[Huawei]sysname sw3
[sw3]interface e0/0/1
[sw3-Ethernet0/0/1]port link-type access
[sw3-Ethernet0/0/1]port default vlan 30
[sw3]interface e0/0/2
[sw3-Ethernet0/0/2]port link-type trunk
[sw3-Ethernet0/0/2]port trunk allow-pass vlan all
步骤二：配置三层交换机
undo terminal monitor
system-view
[Huawei]sysname sw5
[sw5]vlan batch 10 20 30 50
[sw5]port-group group-member g0/0/1 to g0/0/3
[sw5-port-group]port link-type trunk
[sw5-port-group]port trunk allow-pass vlan all
[sw5]interface g0/0/5
[sw5-GigabitEthernet0/0/5]port link-type access
[sw5-GigabitEthernet0/0/5]port default vlan 50
[sw5]int Vlanif 10
[sw5-Vlanif10]ip address 192.168.10.251 24
[sw5]int Vlanif 20
[sw5-Vlanif20]ip address 192.168.20.251 24
[sw5]int Vlanif 30
[sw5-Vlanif30]ip address 192.168.30.251 24
[sw5]int Vlanif 50
[sw5-Vlanif50]ip address 192.168.50.251 24
步骤三：配置DHCP服务器
undo terminal monitor
system-view
[Huawei]sysname dhcp
[dhcp]dhcp enable
[dhcp]ip pool vlan10
[dhcp-ip-pool-vlan10]network 192.168.10.0 mask 24
[dhcp-ip-pool-vlan10]gateway-list 192.168.10.254
[dhcp]ip pool vlan20
[dhcp-ip-pool-vlan20]network 192.168.20.0 mask 24
[dhcp-ip-pool-vlan20]gateway-list 192.168.20.254
[dhcp]ip pool vlan30
[dhcp-ip-pool-vlan30]network 192.168.30.0 mask 24
[dhcp-ip-pool-vlan30]gateway-list 192.168.30.254
[dhcp]int g0/0/0
[dhcp-GigabitEthernet0/0/0]ip address 192.168.50.1 24
[dhcp-GigabitEthernet0/0/0]dhcp select global
[dhcp]ip route-static 0.0.0.0 0 192.168.50.251
步骤四：配置DHCP中继代理
[sw5]dhcp enable
[sw5]int Vlanif 10
[sw5-Vlanif10]dhcp select relay
[sw5-Vlanif10]dhcp relay server-ip 192.168.50.1
[sw5]int Vlanif 20
[sw5-Vlanif20]dhcp select relay
[sw5-Vlanif20]dhcp relay server-ip 192.168.50.1
[sw5]int Vlanif 30
[sw5-Vlanif30]dhcp select relay
[sw5-Vlanif30]dhcp relay server-ip 192.168.50.1
步骤五：测试客户机
使用ipconfig命令测试

技术方案选型

技术需求描述11
公司有三个部门，为确保通信安全，每个部门都处于独立的广播域
每个部门的IP地址规划为：192.168.xx.0/24
每个部门的主机均通过为DHCP服务器获取IP地址，并且每个部门的网关IP地址为192.168.xx.254
技术选型1
VLAN
DHCP
技术需求描述2
为DHCP服务器所在的网段，网关配置在SW5上
所有部门中都使用了网关冗余技术，为了增强网关稳定性和冗余性
交换机之间存在很多冗余链路，必须防止环路的发生，并且能够提高链路的利用率
要求每个部门的主机访问其他主机时，使用的都是最优的转发路径
技术选型2
三层交换
VRRP/MSTP
技术需求描述3
公司有个一个出口设备R1，连接一台外网的web服务器
内网大量主机都需要访问这台外网的web服务器
技术选型3
静态路由/默认路由
浮动路由

网络拓扑绘制

技术选型1网络拓扑

技术选型2网络拓扑

技术选型3网络拓扑

基础交换网络设计

技术选型1实施思路
在所有交换机上创建相同的Vlan
把连接主机的端口加入响应的Vlan
交换机之间相连的端口设置为Trunk模式
配置DHCP服务器
在三层交换机上配置DHCP中继代理

内网优化

技术需求描述
Vlan50为DHCP服务器所在的网段，网关配置在SW5上
所有部门中都使用了网关冗余技术，为了增强网关稳定性和冗余性
交换机之间存在很多冗余链路，必须防止环路的发生，并且能够提高链路的利用率
要求每个vlan的主机访问其他主机时，使用的都是最优的转发路径
技术选型2
三层交换
VRRP/MSTP
项目拓扑

实施思路
配置三层交换机中继代理
配置VRRP协议
设置DHCP的地址排除
配置MSTP协议
验证客户端都可以获得正确的网络参数

连接外网服务器

技术需求描述
公司有个一个出口设备R1，连接一台外网的web服务器
内网大量主机都需要访问这台外网的web服务器
技术选型
静态路由/默认路由
浮动路由
项目拓扑

实施思路
三层交换机上配置默认路由，访问外网
出口路由器上配置默认路由，指向外网
出口路由器配置去往企业内网的浮动路由
外网路由器上配置返回企业内部网段的路由