这是b站上的一个视频,演示了如何搭建一个典型的中小网络,供企业使用
一、上行端口:上行端口就是连接汇聚或者核心层的口,或者是出广域网互联网的口。也可理解成上传数据的端口。
二、下行端口:连接数据线进行下载的端口。实现移动设备与计算机连接进行数据的下载传输。
通俗的说
根据设备所处的位置,确定设备的上行口,下行口。假如以简单的路由器设备来说,总部到分支网络结构为例,在分支部门,路由器与总部相连的专用光纤线路,即为上联口(上行口),而路由器与分支部门的交换机互联接口,即为下联口(下行口)。
同样,此种环境下,交换机与路由器相连的口,即为交换机的上联口,而交换机与接入交换机的互联口即为下联口。
一般来说,路由器的WAN口为上行口,连接宽带。LAN口为下行口,连接计算机等终端。
网络拓扑图
一、配置前的准备:
1.连接线
使用console线配置交换机路由器等
调试线:一般使用USB转232线,232转rj45水晶头线。
两根线结合,连接电脑和设备后,使用调试软件即可,也可以不使用console线,使用蓝牙连接
2.配置软件
常用的软件有SecureCRT、Xshell、PuTTY、MobaXterm
SecureCRT:实用的终端仿真软件,界面简洁、操作简便、易于上手
连接设备后,打开设备管理器,记住连接的端口COM*
打开CRT软件,新建连接
添加网段后的拓扑图
二、配置防火墙
1.配置外网接口,自动获取IP地址
int g1/0/5
ip add dhcp-alloc
q2.配置内网接口
int g1/0/0
ip add 172.16.1.1 24
service-manage all permit
q
3.把接口加入安全区域
外网加入untrust区域,内网加入trust区域
firewall zone untrust
add int g1/0/5
q
firewall zone trust
add int g1/0/0
q4.配置nat策略
[USG6300]nat-policy
[USG6300-policy-nat]rule name Internet
[USG6300-policy-nat-rule-Internet]source-zone trust
[USG6300-policy-nat-rule-Internet]destination-zone untrust
[USG6300-policy-nat-rule-Internet]action source-nat easy-ip
[USG6300-policy-nat-rule-Internet]quit
[USG6300-policy-nat]quit
[USG6300]5.配置安全策略
//这里做一个简单配置,放通trust区域到untrust区域的流量
[USG6300]security-policy
[USG6300-policy-security]rule name trust2untrust
[USG6300-policy-security-rule-trust2untrust]source-zone trust
[USG6300-policy-security-rule-trust2untrust]destination-zone untrust
[USG6300-policy-security-rule-trust2untrust]action permit
[USG6300-policy-security-rule-trust2untrust]quit
[USG6300-policy-security]quit
[USG6300]6.配置回程路由(添加到核心交换机上两个网段的回程路由)
//添加回程路由(去往192.168.10.0这个网段,下一跳的目的地时172.16.1.2)
[USG6300]ip route-static 192.168.10.0 24,172.16.1.2
[USG6300]ip route-static 192.168.11.0 24 172.16.1.2三、配置核心交换机
1.上行口和下行口配置
交换机直接和路由器连接的端口不能直接设置IP地址,可以设置一个vlan,并给vlan设置一个地址,将接口划分到这个vlan,这样变相的给上行口设置IP地址。
如果交换机支持切换成为三层口模式,也可以直接配置IP地址
//核心交换机的配置
[HUAWEI]sysname Core_SW
[Core_SW]int g1/0/1
[Core_SW-GigabitEthernet1/0/1]undo portSWitch
//交换机上行口不支持切换为三层口模式
Error: Unrecognized command found at 'A' position.
[Core_SW-GigabitEthernet1/0/1]quit
//创建vlan
[Core_SW]vlan 999
[Core_SW-vlan999]quit
[core_SW]int vlan 999
[Core_SW-vlanif999]ip add 172.16.1.2 24
[Core_SW-Vlanif999]quit
[Core_SW]int g1/0/1
[Core_SW-GigabitEthernet1/0/1]port link-t acc
[Core_SW-GigabitEthernet1/0/1]port def vlan 999
[Core_SW-GigabitEthernet1/0/1]quit
//尝试是否可以与防火墙内网地址通讯
[Core_SW]ping 172.16.1.1//添加去往外网的路由表
[Core_SW]ip route-s 0.0.0.0 0 172.16.1.1
//创建vlan对应拓扑图上规划的网段
[Core_SW]vlan batch 10 11
[Core_SW]int vlan 10
[Core_SW-Vlanif10]ip add 192.168.10.1 24
[Core_SW-Vlanif10]quit
[Core_SW]int vlan 11
[Core_SW-Vlanif11]ip add 192.168.11.1 24
[Core_SW-Vlanif11]quit//设置与华三交换机连接的两个端口,这里将华三交换机设置为傻瓜交换机使用,所以接口设置为access类型
[Core_Sw]int g1/0/23
[Core_SW-GigabitEthernet1/0/23]port link-t acc
[Core_SW-GigabitEthernet1/0/23]port def vlan 10
[Core_SW-GigabitEthernet1/0/23]int g1/0/24
[Core_SW-GigabitEthernet1/0/24]port link-t acc
[Core_SW-GigabitEthernet1/0/24]port def vlan 112.开启DHCP
通过核心交换机分配IP地址
dhcp enable
ip pool vlan10
network 192.168.10.0 mask 24
gateway 192.168.10.1
dns-list 114.114.114.114
quit
interface Vlanif 10
dhcp select globalip pool vlan11
network 192.168.11.0 mask 24
gateway 192.168.11.1
dns-list 114.114.114.114
quit
interface Vlanif 11
dhcp select global以上配置后,可以连接主机,查看是否实现自动分配了IP地址,访问外网功能
