当前位置: 首页 > news >正文

H3CNE 综合实验二解析与实施指南

news 2025/7/18 10:08:42

H3CNE 综合实验二解析与实施指南

一、知识解析

本实验涵盖了中小型企业网络构建的核心技术,涉及网络分层设计、设备配置与互联、路由协议应用、网络安全及服务配置等多个方面,具体关键技术如下:

  • VLAN(虚拟局域网):通过划分 VLAN(如 VLAN10、VLAN20 等)实现部门间的网络隔离,增强网络安全性和管理效率,同时减少广播风暴影响。

  • 静态路由:在特定区域(如 sw7-sw9 之间)手动配置路由条目,实现固定路径的网络互通,适用于拓扑结构简单且稳定的场景。

  • 动态路由协议

    • OSPF(开放式最短路径优先):一种链路状态路由协议,用于在较大规模、层次化的网络区域中实现动态路由更新,具有收敛速度快、无路由环路等特点,本实验中按区域配置并宣告环回口。
    • RIP(路由信息协议):一种距离矢量路由协议,适用于较小规模网络,本实验中用于特定区域的路由信息交换,且需确保业务网段不出现协议报文。

  • PPP-MP(点到点协议多链路捆绑):在 R1 和 R2 之间通过双线连接配置,实现多条物理链路的捆绑,提高带宽并实现负载分担,同时结合 CHAP 验证增强链路安全性。

  • Easy IP:一种 NAT(网络地址转换)技术,本实验中用于允许特定业务网段(192.168.1.0/24 和 192.168.2.0/24)访问互联网,实现私网地址到公网地址的转换。

  • ACL(访问控制列表):用于控制网络访问权限,如限制 Telnet 和 FTP 服务的登录源网段,保障设备管理安全。

  • 链路聚合:将交换机的多个物理接口聚合为一个逻辑接口(如 sw7 和 sw8 的 G1/0/3-5 聚合组 1),提高链路带宽和冗余能力。

  • STP(生成树协议):通过选举根网桥(本实验中为 sw9)避免交换网络中的环路,保证网络的稳定运行。

  • DHCP(动态主机配置协议):在 sw9 上配置,为 VLAN10 和 VLAN20 的 PC 自动分配 IP 地址、网关和 DNS 地址,简化客户端网络配置。

  • Telnet 与 FTP 服务:分别在 R12 和 R13 上配置,用于远程设备管理和文件传输,并通过 ACL 限制访问来源。

二、实验拓扑

在这里插入图片描述

三、实验需求

(一)项目背景

某集团公司为实现信息交流与资源共享,需构建统一网络,整合业务流程。总部采用双核心架构,通过租用运营商的两条 2M 专线及一条千兆专线,利用路由器实现负载分担;通过 VLAN 技术对各部门用户进行安全管理;采用多种路由协议及 DHCP 等服务,保障网络互通与安全。

(二)具体需求

  1. 按照图示配置各设备接口的 IP 地址。

  2. Sw7 和 sw8 之间的直连链路配置链路聚合。

  3. 对 VLAN 进行命名以区分部门,PC10 属于 VLAN10(市场部),PC11 属于 VLAN20(技术部);VLAN30、40 等用于交换机间 RIP 协议及互联。

  4. 所有交换机相连的端口配置为 Trunk,允许相关流量通过。

  5. 交换机连接 PC 的端口配置为边缘端口。

  6. 选举 sw9 为生成树的根网桥。

  7. 在 sw9 上配置 DHCP 服务,为 VLAN10 和 VLAN20 的 PC 动态分配 IP、网关(分别为 192.168.1.254 和 192.168.2.254)及 DNS 地址。

  8. 按图示区域配置 OSPF 协议,并将环回口宣告进对应区域。

  9. 按图示区域配置 RIP 协议,将环回口宣告进对应区域,且业务网段不允许出现协议报文。

  10. 实现内网全网互通。

  11. R1 和 R2 之间通过双线连接互联网,配置 PPP-MP,并进行双向 CHAP 验证。

  12. 配置 Easy IP,仅允许业务网段 192.168.1.0/24 和 192.168.2.0/24 通过 R2 和 R3 访问互联网。

  13. R12 开启 Telnet 远程登录,用名字缩写创建用户 1,密码为名字缩写 + 123@com,仅允许 192.168.1.0/24 网段登录。

  14. R13 开启 FTP 服务,用名字缩写创建用户 2,密码为名字缩写 + 123@com,仅允许 192.168.2.0/24 网段登录。

设备名称

接口

IP地址

MSR36-20_1

Ser_1/0与Ser_2/0做捆绑MP

202.100.1.1/24

G0/0

202.100.2.1/24

MSR36-20_2

Ser_1/0与Ser_2/0做捆绑MP

202.100.1.2/24

G0/0

172.16.2.1/24

G0/1

172.16.1.1/24

G0/2

172.16.5.1/24

MSR36-20_3

G5/0

202.100.2.2/24

G0/0

172.16.2.2/24

G0/1

172.16.3.1/24

G0/2

172.16.7.1/24

MSR36-20_4

G0/0

172.16.1.2/24

G0/1

172.16.4.1/24

G0/2

10.1.3.1/24

G5/0

10.1.1.1/24

G5/1

172.16.6.2/24

MSR36-20_5

G0/0

172.16.4.2/24

G0/1

172.16.3.2/24

G0/2

10.1.4.1/24

G5/0

10.1.2.1/24

G5/1

172.16.8.2/24

MSR36-20_12

G0/0

172.15.5.2/24

G0/1

172.16.6.1/24

MSR36-20_13

G0/0

172.16.7.2/24

G0/1

172.16.8.1/24

S6850_6

G1/0/1

Vlan140:10.1.3.2/24

G1/0/2

Vlan150:10.1.4.2/24

G1/0/3

Vlan50:10.1.5.1/24

G1/0/4

Vlan60:10.1.6.1/24

S6850_7

G1/0/1

Vlan70:10.1.5.2/24

G1/0/2

Vlan80:192.168.3.1/24

G1/0/6

Vlan90:10.1.1.2/24

G1/0/3-5做聚合组为1

Vlan130:192.168.5.1/24

S6850_8

G1/0/1

Vlan100:10.1.6.2/24

G1/0/2

Vlan110:192.168.4.1/24

G1/0/6

Vlan120:10.1.2.2/24

G1/0/3-5做聚合组为1

Vlan130:192.168.5.2/24

S6850_9

G1/0/1

Vlan30:192.168.3.2/24

G1/0/2

Vlan40:192.168.4.2/24

G1/0/3

Vlan10:192.168.1.254/24

G1/0/4

Vlan20:192.168.2.254/24

PC10

G0/1

192.168.1.1/24

GT:192.168.1.254

PC11

G0/1

192.168.2.1/24

GT:192.168.2.254

四、实验步骤

(一)前期准备

  • 检查所有网络设备(路由器、交换机、PC 等)是否正常运行,连接是否符合拓扑要求。

  • 记录各设备的型号及接口标识,以便后续配置。

(二)IP 地址配置

  1. 交换机VLAN IP 地址配置
    • 配置 SW6各接口 对应VLAN IP和环回IP:
​
[sw6]int lo0
[sw6-LoopBack0]ip add 6.6.6.6 32
[sw6-LoopBack0]vlan 140
[sw6-vlan140]vlan 150
[sw6-vlan150]vlan 50
[sw6-vlan50]vlan 60
[sw6-vlan60]int vlan 140
[sw6-Vlan-interface140]ip add 10.1.3.2 24
[sw6-Vlan-interface140]int vlan 150
[sw6-Vlan-interface150]ip add 10.1.4.2 24
[sw6-Vlan-interface150]int vlan 50
[sw6-Vlan-interface50]ip add 10.1.5.1 24
[sw6-Vlan-interface50]int vlan 60
[sw6-Vlan-interface60]ip add 10.1.6.1 24
[sw6-Vlan-interface60]exit​
    • 配置 SW7各接口对应VLAN IP :
[sw7]int lo0
[sw7-LoopBack0]ip add 7.7.7.7 32
[sw7-LoopBack0]vlan 70
[sw7-vlan70]vlan 80
[sw7-vlan80]vlan 90
[sw7-vlan90]vlan 130
[sw7-vlan130]int vlan 70
[sw7-Vlan-interface70]ip add 10.1.5.2 24
[sw7-Vlan-interface70]int vlan 80
[sw7-Vlan-interface80]ip add 192.168.3.1 24
[sw7-Vlan-interface80]int vlan 90
[sw7-Vlan-interface90]ip add 10.1.1.2 24
[sw7-Vlan-interface90]int vlan 130
[sw7-Vlan-interface130]ip add 192.168.5.1 24
[sw7-Vlan-interface130]exit
    • 配置 SW8各接口对应VLAN IP :
[sw8]int lo0
[sw8-LoopBack0]ip add 8.8.8.8 32
[sw8-LoopBack0]exit
[sw8]vlan 100
[sw8-vlan100]vlan 110
[sw8-vlan110]vlan 120
[sw8-vlan120]vlan 130
[sw8-vlan130]int vlan 100
[sw8-Vlan-interface100]ip add 10.1.6.2 24
[sw8-Vlan-interface100]int vlan 110
[sw8-Vlan-interface110]ip add 192.168.4.1 24
[sw8-Vlan-interface110]int vlan 120
[sw8-Vlan-interface120]ip add 10.1.2.2 24
[sw8-Vlan-interface120]int vlan 130
[sw8-Vlan-interface130]ip add 192.168.5.2 24
[sw8-Vlan-interface130]exit
    • 配置SW9各接口 对应VLAN IP:
[sw9]vlan 30
[sw9-vlan30]vlan 40
[sw9-vlan40]vlan 10
[sw9-vlan10]vlan 20
[sw9-vlan20]int vlan 10
[sw9-Vlan-interface10]ip add 192.168.1.254 24
[sw9-Vlan-interface10]int vlan 20
[sw9-Vlan-interface20]ip add 192.168.2.254 24
[sw9-Vlan-interface20]int vlan 30
[sw9-Vlan-interface30]ip add 192.168.3.2 24
[sw9-Vlan-interface30]int vlan 40
[sw9-Vlan-interface40]ip add 192.168.4.2 24
[sw9-Vlan-interface40]exit
  1. 路由器 IP 地址配置
    • 配置 R1各接口 IP 及 MP 捆绑:
[r1]int MP-group 1 
[r1-MP-group1]ip add 202.100.1.1 24 
[r1]int s1/0 
[r1-Serial1/0]ppp mp MP-group 1 
[r1]int s2/0 
[r1-Serial2/0]ppp mp MP-group 1
[r1]int g0/0 
[r1-GigabitEthernet0/0]ip add 202.100.2.1 24 
[r1]int l0
[r1-LoopBack0]ip add 1.1.1.1 32
    • 配置 R2 各接口 IP:
[R2]int MP-group 1 
[R2-MP-group1]ip add 202.100.1.2 24 
[R2]int s1/0
[R2-Serial1/0]ppp mp MP-group 1
[R2-Serial1/0]int s2/0
[R2-Serial2/0]ppp mp MP-group 1
[R2]int g0/0 
[R2-GigabitEthernet0/0]ip add 172.16.2.1 24 
[R2-GigabitEthernet0/0]int g0/1 
[R2-GigabitEthernet0/1]ip add 172.16.1.1 24 
[R2-GigabitEthernet0/1]int g0/2 
[R2-GigabitEthernet0/2]ip add 172.16.5.1 24 
[R2]int l0 
[R2-LoopBack0]ip add 2.2.2.2 32

  • 依次配置其他路由器(R3 至R13 等)的接口 IP(按需求上的一一配置)

  1. PC 机 IP 地址配置(后续由 DHCP 自动分配)

(三)链路聚合配置

在 sw7 和 sw8 上配置 G1/0/3-5 为聚合组 1:

[sw7]int Bridge-Aggregation 1
[sw7-Bridge-Aggregation1]link-aggregation mode dynamic
[sw7-Bridge-Aggregation1]exit
[sw7]int range g1/0/3 to g1/0/5
[sw7-if-range]port link-aggregation group 1
#sw8与sw7配置方法一致

(四)交换机端口模式配置

  1. 将所有交换机相连的端口配置为 Trunk 模式,并设置允许通过的 VLAN:

SW9:

[sw9]vlan 10
[sw9-vlan10]port g1/0/3
[sw9-vlan10]vlan 20
[sw9-vlan20]port g1/0/4
[sw9-vlan20]exit
[sw9]int g1/0/1
[sw9-GigabitEthernet1/0/1]port link-type trunk
[sw9-GigabitEthernet1/0/1]port trunk permit vlan 10 20 30
[sw9-GigabitEthernet1/0/1]exit
[sw9]int g1/0/2
[sw9-GigabitEthernet1/0/2]port link-type trunk
[sw9-GigabitEthernet1/0/2]port trunk permit vlan 10 20 40
[sw9-GigabitEthernet1/0/2]exit

SW7:

[sw7]vlan 90
[sw7-vlan90]port g1/0/6
[sw7-vlan90]exit
[sw7]int Bridge-Aggregation 1
[sw7-Bridge-Aggregation1]port trunk permit vlan 10 20 30 40 80 130
[sw7-Bridge-Aggregation1]exit
[sw7]int g1/0/1
[sw7-GigabitEthernet1/0/1]port link-type trunk
[sw7-GigabitEthernet1/0/1]port trunk permit vlan 70
[sw7-GigabitEthernet1/0/1]int g1/0/2
[sw7-GigabitEthernet1/0/2]port link-type trunk
[sw7-GigabitEthernet1/0/2]port trunk permit vlan 80 10 20 30

SW8:

[sw8]vlan 120
[sw8-vlan120]port  g1/0/6
[sw8-vlan120]exit
[sw8]int Bridge-Aggregation 1
[sw8-Bridge-Aggregation1]port trunk permit vlan 10 20 30 40 130 110
[sw8-Bridge-Aggregation1]exit
[sw8]int g1/0/1
[sw8-GigabitEthernet1/0/1]port link-type trunk
[sw8-GigabitEthernet1/0/1]port trunk permit vlan 100
[sw8-GigabitEthernet1/0/1]int g1/0/2
[sw8-GigabitEthernet1/0/2]port link-type trunk
[sw8-GigabitEthernet1/0/2]port trunk permit vlan 110 10 20 40
[sw8-GigabitEthernet1/0/2]exit

SW6:

[sw6]vlan 140
[sw6-vlan140]port g1/0/1
[sw6-vlan140]exit
[sw6]vlan 150
[sw6-vlan150]port g1/0/2
[sw6-vlan150]exit
[sw6-GigabitEthernet1/0/2]int g1/0/3
[sw6-GigabitEthernet1/0/3]port link-type trunk
[sw6-GigabitEthernet1/0/3]port trunk permit vlan 50
[sw6-GigabitEthernet1/0/3]int g1/0/4
[sw6-GigabitEthernet1/0/4]port link-type trunk
[sw6-GigabitEthernet1/0/4]port trunk permit vlan 60
  1. 将交换机连接 PC 的端口配置为边缘端口:
[sw9]int g1/0/3
[sw9-GigabitEthernet1/0/3]stp edged-port
[sw9-GigabitEthernet1/0/3]int g1/0/4
[sw9-GigabitEthernet1/0/4]stp edged-port

(五)生成树(STP)配置

在 sw9 上配置使其成为根网桥:

[sw9]stp priority 4096

(六)DHCP 服务配置

在 sw9 上配置 DHCP 服务,为 VLAN10 和 VLAN20 分配 IP 地址、网关和 DNS,(按需配置):

[sw9]dhcp enable
[sw9]dhcp server ip-pool 1
[sw9-dhcp-pool-1]network 192.168.1.0 24
[sw9-dhcp-pool-1]gateway-list 192.168.1.254
[sw9-dhcp-pool-1]exit
[sw9]dhcp server ip-pool 2
[sw9-dhcp-pool-2]network 192.168.2.0 24
[sw9-dhcp-pool-2]gateway-list 192.168.2.254
[sw9-dhcp-pool-2]exit

(七)OSPF 协议配置

按图示区域在相关路由器和交换机上配置 OSPF 协议,并宣告环回口(以R2为例):

[r2]ospf 1 router-id 2.2.2.2
[r2-ospf-1]area 0
[r2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[r2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[r2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[r2-ospf-1-area-0.0.0.0]exit
[r2-ospf-1]area 1
[r2-ospf-1-area-0.0.0.1]network 172.16.5.0 0.0.0.255

(八)RIP 协议配置

按图示区域在相关设备上配置 RIP 协议,宣告环回口,并限制业务网段的协议报文(以R4为例):

[r4]rip 1
[r4-rip-1]undo summary
[r4-rip-1]version 2
[r4-rip-1]network 10.0.0.0
[r4-rip-1]import-route ospf 1#引入ospf
[r4-rip-1]import-route direct

(九)PPP-MP 及 CHAP 验证配置

在 R1 和 R2 上配置 PPP-MP,并进行双向 CHAP 验证:

R1:
[r1]local-user louqi  class network 
New local user added.
[r1-luser-network-louqi]password simple 123
[r1-luser-network-louqi]service-type ppp
[r1-luser-network-louqi]int s1/0
[r1-Serial1/0]ppp authentication-mode chap
[r1-Serial1/0]ppp chap user louqi 
[r1-Serial1/0]int s2/0
[r1-Serial2/0]ppp authentication-mode chap
[r1-Serial2/0]ppp chap user louqiR2:
[r2]local-user louqi  class network 
New local user added.
[r2-luser-network-louqi]password simple 123
[r2-luser-network-louqi]service-type ppp
[r2-luser-network-louqi]int s1/0
[r2-Serial1/0]ppp authentication-mode chap
[r2-Serial1/0]ppp chap user louqi 
[r2-Serial1/0]int s2/0
[r2-Serial2/0]ppp authentication-mode chap
[r2-Serial2/0]ppp chap user louqi

(十)Easy IP 配置

确保整个 OSPF 域的互联网访问能力在R2和R3上配置默认路由并引入ospf里

R2:
[r2]ip route-static 0.0.0.0 0 202.100.1.1
[r2]ospf 1 
[r2-ospf-1]default-route-advertiseR3:
[r3]ip route-static 0.0.0.0 0 202.100.2.1
[r3]ospf 1
[r3-ospf-1]default-route-advertise

配置 Easy IP,仅允许 192.168.1.0/24 和 192.168.2.0/24 网段访问互联网:

R2:
[r2]acl basic 2000
[r2-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r2-acl-ipv4-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[r2-acl-ipv4-basic-2000]int MP-group 1
[r2-MP-group1]nat outbound 2000R3:
[r3]acl basic 2000
[r3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r3-acl-ipv4-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[r3-acl-ipv4-basic-2000]int g5/0 
[r3-GigabitEthernet5/0]nat outbound 2000

(十一)Telnet 服务配置

在 R12 上开启 Telnet 服务,创建用户 1,设置密码,并限制仅 192.168.1.0/24 网段访问:

[r12]telnet server enable 
[r12]local-user luoqi class manage 
New local user added.
[r12-luser-manage-luoqi]password simple 123456.com 
[r12-luser-manage-luoqi]service-type telnet 
[r12-luser-manage-luoqi]authorization-attribute user-role level-15 
[r12-luser-manage-luoqi]line vty 0 4
[r12-line-vty0-4]authentication-mode scheme 
[r12]acl advanced 3000
[r12-acl-ipv4-adv-3000]rule permit tcp source 192.168.1.0 0.0.0.255 destination-
port eq 23
[r12-acl-ipv4-adv-3000]rule deny tcp
[r12-acl-ipv4-adv-3000]exit
[r12]int range g0/0 to g0/1
[r12-if-range]packet-filter 3000 inbound

(十二)FTP 服务配置

在 R13 上开启 FTP 服务,创建用户 2,设置密码,并限制仅 192.168.2.0/24 网段访问:

[r13]ftp server enable
[r13]local-user luoqi class manage 
New local user added.
[r13-luser-manage-luoqi]
[r13-luser-manage-luoqi]password simple 123456.com
[r13-luser-manage-luoqi]authorization-attribute user-role level-15
[r13-luser-manage-luoqi]service-type ftp 
[r13-luser-manage-luoqi]
[r13-luser-manage-luoqi]line vty 0 4 
[r13-line-vty0-4]authentication-mode scheme
[r13]acl advanced 3000
[r13-acl-ipv4-adv-3000]rule permit tcp source 192.168.2.0 0.0.0.255 destination-
port rang 20 21
[r13-acl-ipv4-adv-3000]rule deny tcp 
[r13-acl-ipv4-adv-3000]exit
[r13]int range g0/0 to g0/1
[r13-if-range]packet-filter 3000 inbound
[r13-if-range]exit

(十三)测试与验证

  1. 测试内网各网段是否互通:
    在这里插入图片描述

  2. 测试业务网段是否能通过 R2 和 R3 访问互联网:
    在这里插入图片描述

  3. 测试 Telnet 登录 R12 是否正常(仅允许 192.168.1.0/24 网段):
    在这里插入图片描述

  4. 测试 FTP 登录 R13 是否正常(仅允许 192.168.2.0/24 网段):
    在这里插入图片描述

五、总结

本实验全面覆盖了企业网络构建中的关键技术,通过对 VLAN、路由协议(静态路由、OSPF、RIP)、链路聚合、STP、DHCP、PPP-MP、NAT(Easy IP)、Telnet、FTP 及安全控制(ACL)等技术的配置与应用,构建了一个功能完善、安全可靠的企业网络。

实验完成后,应实现内网全网互通,业务网段可安全访问外网,同时通过各项安全配置保障了网络的稳定性和数据传输的安全性。在实际操作中,需注意各配置步骤的顺序和参数的准确性,确保每一项功能都能正常实现。通过本实验,能够深入理解和掌握中小型企业网络的设计与部署方法,为后续更复杂的网络运维和优化奠定基础。

http://www.lryc.cn/news/591408.html

相关文章:

  • 医院各类不良事件上报,PHP+vscode+vue2+element+laravel8+mysql5.7不良事件管理系统源代码,成品源码,不良事件管理系统
  • ASP .NET Core 8实现实时Web功能
  • linux-SSH
  • Django由于数据库版本原因导致数据库迁移失败解决办法
  • 从C#6天学会Python:速通基础语法(第一天)
  • C#监听txt文档获取新数据
  • [IRF/Stack]华为/新华三交换机堆叠配置
  • 虚拟化测试工具Parasoft Virtualize如何为汽车企业提供仿真测试?
  • C语言模拟面向对象三大特性与C++实现对比
  • Python 网络爬虫 —— 提交信息到网页
  • Hyperledger Fabric:构建企业区块链网络的实践指南
  • AI赋能农业:基于YOLO11的苹果瑕疵检测系统实战分享
  • 寻找数组中的多数元素:HashMap方法解析
  • 深入了解linux系统—— 信号的捕捉
  • 防止电脑息屏 html
  • 人类社会发展过程中的熵增定律
  • 共指消解技术全解析:从语言学规则到深度学习(附论文精读)
  • 01-提问的艺术:如何让AI听懂“人话”
  • Day23| 39. 组合总和、40.组合总和II、131.分割回文串
  • 【47】MFC入门到精通——MFC编辑框 按回车键 程序闪退问题 ,关闭 ESC程序退出 问题
  • 泛型与类型安全深度解析及响应式API实战
  • python网络爬虫(第二步:安装浏览器驱动,驱动浏览器加载网页、批量下载资源)
  • 板凳-------Mysql cookbook学习 (十一--------12)
  • 20250717在荣品的PRO-RK3566开发板的Android13系统下解决点屏出现问题unsupport command data type: 217
  • x3CTF-2025-web-复现
  • 深度学习 -- Tensor属性及torch梯度计算
  • 计算机的网络体系及协议模型介绍
  • 外贸ERP软件有哪些?八大热门erp软件功能测评
  • centos中新增硬盘挂载文件夹
  • 河南萌新联赛2025第(一)场:河南工业大学(补题)