目录
一、项目背景与网络拓扑
1.1 网络架构概述
1.2 物理拓扑结构
二、IP地址规划与VLAN划分
2.1 IP地址分配表
2.2 VLAN规划策略
三、设备配置详解
3.1 出口路由器R1配置
3.1.1 基础配置
3.1.2 路由配置
3.1.3 NAT配置
3.1.4 R2配置
3.2 核心交换机S1配置
3.2.1 VLAN创建与接口配置
3.2.2 Trunk端口配置
3.2.3 路由设置
3.3 汇聚层交换机S2/S3配置
3.3.1 S2(教学区)配置
3.3.2 S3(公寓区)DHCP配置
3.4 安全策略配置(S1)
3.4.1 ACL访问控制(FTP权限)
3.4.2 应用策略到接口
四、关键功能验证
4.1 PC1/PC2访问控制测试
4.2 跨VLAN通信测试
4.3 NAT功能验证
4.4 DHCP自动分配测试
五、排错思路与优化建议
5.1 常见故障处理
5.2 安全加固建议
六、配置总结与拓扑图
6.1 完整配置拓扑图(示意图)
6.2 配置要点回顾
一、项目背景与网络拓扑
1.1 网络架构概述
学院校园网采用经典的三层架构设计,包含核心层(S1)、汇聚层(S2/S3)和接入层(S4-S7)。核心设备通过OSPF动态路由协议实现全网互通,出口路由器R1连接运营商网络(R2)和互联网。网络中部署了教学服务器(HTTP/FTP)、百度模拟服务器及多部门终端设备。
1.2 物理拓扑结构
二、IP地址规划与VLAN划分
2.1 IP地址分配表
| 设备/网段 | IP地址 | 子网掩码 | 用途 |
|---|---|---|---|
| R1外网接口 | 10.10.10.49/24 | 255.255.255.0 | 运营商接入 |
| R1内网接口 | 172.16.1.1/30 | 255.255.255.252 | 核心链路 |
| 教学服务器 | 192.168.10.1/24 | 255.255.255.0 | HTTP/FTP服务 |
| 核心层VLANIF | 172.16.1.5/30 | 255.255.255.252 | 互联地址 |
| VLAN10(中文系) | 192.168.1.0/24 | 255.255.255.0 | PC1/PC2/S4 |
| VLAN20(外语系) | 192.168.2.0/24 | 255.255.255.0 | PC3/S5 |
| VLAN30(男生公寓) | 192.168.3.0/24 | 255.255.255.0 | DHCP自动分配 |
| VLAN40(女生公寓) | 192.168.4.0/24 | 255.255.255.0 | DHCP自动分配 |
| OSPF区域0 | 172.16.1.0/30 | 255.255.255.252 | 核心链路 |
| 192.168.10.0/24 | 255.255.255.0 | 服务器区域 |
2.2 VLAN规划策略
- 中文系:VLAN10(教师办公室+实验室)
- 外语系:VLAN20(独立办公区)
- 学生公寓:VLAN30(男生)+ VLAN40(女生)
- 管理区域:VLAN50(服务器接入)
- 核心互联:VLAN60(S1-S2-S3链路)
三、设备配置详解
3.1 出口路由器R1配置
3.1.1 基础配置
# 外网接口配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.10.10.49 24# 内网接口配置
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 172.16.1.1 30
3.1.2 路由配置
# 默认路由指向运营商
[Huawei]ip route-static 0.0.0.0 0.0.0.0 10.10.10.50# OSPF动态路由配置
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 172.16.1.0 0.0.0.3
[Huawei-ospf-1-area-0.0.0.0]net 10.10.10.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]q
[Huawei-ospf-1]import-route direct 3.1.3 NAT配置
# 创建NAT地址池(HTTP服务映射)
[Huawei]nat address-group 2 10.10.10.4 10.10.10.4
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]nat outbound 2001 address-group 2[Huawei]nat address-group 1 10.10.10.5 10.10.10.5
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 200.200.200.0 0.0.0.255
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
3.1.4 R2配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.10.10.50 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 100.100.100.1 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 200.200.200.1 24
[Huawei-GigabitEthernet0/0/2]q
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 100.100.100.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]net 200.200.200.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]net 10.10.10.0 0.0.0.2553.2 核心交换机S1配置
3.2.1 VLAN创建与接口配置
# VLAN批量创建
[Huawei]vlan ba 2 3 10 20 30 40 50 60# VLANIF接口配置
[Huawei]int vlanif 2
[Huawei-Vlanif2]ip add 172.16.1.5 30
[Huawei]int vlanif 3
[Huawei-Vlanif3]ip add 172.16.1.9 30[Huawei]int vlanif 10
[Huawei-Vlanif10]ip add 192.168.1.254 24
[Huawei-Vlanif10]int vlanif 20
[Huawei-Vlanif20]ip add 192.168.2.254 24
[Huawei-Vlanif20]int vlanif 30
[Huawei-Vlanif30]ip add 192.168.3.254 24
[Huawei-Vlanif30]int vlanif 40
[Huawei-Vlanif40]ip add 192.168.4.254 24
[Huawei-Vlanif40]int vlanif 50
[Huawei-Vlanif50]ip add 192.168.10.254 24
[Huawei-Vlanif50]int vlanif 60
[Huawei-Vlanif60]ip add 172.16.1.2 303.2.2 Trunk端口配置
# G0/0/1配置Trunk允许VLAN60
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l a
[Huawei-GigabitEthernet0/0/1]p d v 60[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l t
[Huawei-GigabitEthernet0/0/2]p t a v a[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l t
[Huawei-GigabitEthernet0/0/3]p t a v a[Huawei-Vlanif50]int g0/0/4
[Huawei-GigabitEthernet0/0/4]p l a
[Huawei-GigabitEthernet0/0/4]port default vlan 50
3.2.3 路由设置
[Huawei]ospf 1
[Huawei-ospf-1]area 0 network 192.168.10.0 0.0.0.255network 172.16.1.0 0.0.0.3network 172.16.1.4 0.0.0.3network 172.16.1.8 0.0.0.33.3 汇聚层交换机S2/S3配置
3.3.1 S2(教学区)配置
# VLANIF接口配置
[Huawei]vlan ba 2 10 20
[Huawei]int vlanif 2
[Huawei-Vlanif2]ip add 172.16.1.6 30
[Huawei]int vlanif 10
[Huawei-Vlanif10]ip add 192.168.1.254 24
[Huawei-Vlanif10]int vlanif 20
[Huawei-Vlanif20]ip add 192.168.2.254 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v a
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l a
[Huawei-GigabitEthernet0/0/2]p d v 10
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a
[Huawei-GigabitEthernet0/0/3]p d v 20
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
net 172.16.1.4 0.0.0.33.3.2 S3(公寓区)DHCP配置
<Huawei>sys
[Huawei]vlan ba 3 30 40
[Huawei]int vlanif 3
[Huawei-Vlanif3]ip add 172.16.1.10 30[Huawei]int vlanif 30
[Huawei-Vlanif30]ip add 192.168.3.254 24
[Huawei-Vlanif30]int vlanif 40
[Huawei-Vlanif40]ip add 192.168.4.254 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]p l t
[Huawei-GigabitEthernet0/0/1]p t a v a
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]p l a
[Huawei-GigabitEthernet0/0/2]p d v 30
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]p l a
[Huawei-GigabitEthernet0/0/3]p d v 40
# DHCP地址池配置
[Huawei]dhcp enable
[Huawei]ip pool p1
[Huawei-ip-pool-p1]network 192.168.3.0 mask 24
[Huawei-ip-pool-p1]gateway-list 192.168.3.254
[S1-ip-pool-p1]dns-list 8.8.8.8
[Huawei-ip-pool-p1]lease day 10
[Huawei]ip pool p2
[Huawei-ip-pool-p2]network 192.168.4.0 mask 24
[Huawei-ip-pool-p2]gateway-list 192.168.4.254
[S1-ip-pool-p2]dns-list 8.8.8.8
[Huawei-ip-pool-p2]lease day 10[Huawei]int vlanif 30
[Huawei-Vlanif30]dhcp select global
[Huawei]int vlanif 40
[Huawei-Vlanif40]dhcp select global
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255network 172.16.1.8 0.0.0.3
3.4 安全策略配置(S1)
3.4.1 ACL访问控制(FTP权限)
# 创建高级ACL 3000
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.10.1 0 destination-port eq ftp
[Huawei-acl-adv-3000]rule 10 deny tcp source 192.168.1.2 0 destination 192.168.10.1 0 destination-port eq ftp
3.4.2 应用策略到接口
[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]traffic-filter outbound acl 3000
四、关键功能验证
4.1 PC1/PC2访问控制测试
- PC1(192.168.1.1):可访问
ftp://192.168.10.1 - PC2(192.168.1.2):尝试访问FTP时被ACL阻断
4.2 跨VLAN通信测试
- PC3(VLAN20) → PC1(VLAN10):通过核心层路由互通
- 测试命令:
ping 192.168.1.1(PC3端)
4.3 NAT功能验证
- 家庭PC6访问HTTP服务:通过NAT地址转换访问
http://10.10.10.4 - 验证命令:
curl http://10.10.10.4(PC6端)
4.4 DHCP自动分配测试
- 男生公寓PC4:获取
192.168.3.X地址 - 女生公寓PC5:获取
192.168.4.X地址 - 验证命令:
ipconfig(客户端)
五、排错思路与优化建议
5.1 常见故障处理
- OSPF邻居关系未建立:检查area 0网络声明是否包含所有核心地址
- NAT无法转换:确认ACL 2001放行源地址范围
- VLAN间通信异常:验证S1的VLANIF接口IP是否正确
5.2 安全加固建议
- 限制OSPF传输网络:仅包含必要网段(如
net 172.16.1.0 0.0.0.3) - DHCP绑定MAC地址:防止非法设备接入公寓网络
- FTP服务隔离:细化ACL规则控制其他敏感服务访问
六、配置总结与拓扑图
6.1 完整配置拓扑图(示意图)
R1(G0/0/0:10.10.10.49)----R2(G0/0/0:10.10.10.50)|G0/0/1(172.16.1.1)----S1(VLAN60)-----S2/S3/ \S4(VLAN10) S5(VLAN20)/ \PC1(VLAN10) PC2(VLAN10)
6.2 配置要点回顾
- 三层架构:核心层OSPF动态路由 + 汇聚层VLAN划分 + 接入层端口隔离
- 安全策略:ACL精细化控制 + NAT地址转换隐藏内网
- 服务发布:通过NAPT将内网HTTP服务映射到公网IP
- 自动化配置:DHCP服务实现公寓终端零配置接入
通过本次实战配置,我们实现了校园网的基础架构搭建、VLAN隔离、路由互通、安全策略实施以及服务发布等核心功能,为后续开展无线网络扩展、日志审计等高级功能奠定了基础。
