实战第一周

假设需求：

1、100人左右的公司，一条固定IP地址133.133.133.133
2、4个VLAN，wifiVLAN，服务器VLAN，办公VLAN，财务部，办公、wifi、财务开启dhcp，服务器不开启
3、办公网络 240-252 ip为保留使用，dhcp绑定IP和MAC
4、配置NAT上互联网

网络拓扑

中心思想：

1、扩展
2、安全
3、性能

第一步：网络连通性

网关配置

interface GigabitEthernet0/0/0
 ip address 133.133.133.134 255.255.255.252
 
interface GigabitEthernet0/0/1
 ip address 134.134.134.133 255.255.255.252

互联网

interface GigabitEthernet0/0/1
ip address 134.134.134.134 255.255.255.252
 
ip route-static 133.133.133.132 255.255.255.252 134.134.134.133（互联网路由）

公司路由器

interface GigabitEthernet0/0/0
 ip address 133.133.133.133 255.255.255.252 
 
interface GigabitEthernet0/0/1
 ip address 1.1.1.1 255.255.255.252 
细心的人肯定看到我配置的怎么都是30位掩码，做任何配置都要考虑安全问题（我只要能接入到同一网段就能实现通讯，网络安全会存在问题）
 
ip route-static 0.0.0.0 0.0.0.0 133.133.133.134
公司出口一般肯定要配置默认路由，不然互联网IP那边多，不可能全部写到路由表中
 
ip route-static 172.16.1.1 24 1.1.1.2
ip route-static 192.168.0.0 255.255.252.0 1.1.1.2
内网回城路由，这边我用了路由汇总
dns resolve  
dns server 223.5.5.5
dns proxy enable
dns代理，这个有人可能会觉得dns不是在dhcp配置了吗，为什么还要配置代理，其实dhcp配置的地址是路由器地址，这个叫dns代理功能，有什么好处呢？
有一天dns故障了，你会想到怎么做呢？不会把地址池的dns全部更换吧！可控性就会很高
DNS还可以写2个地址，冗余作用，DNS一般不会出问题哈（知道就好了）

汇聚层：

dhcp enable
vlan batch 10 100 to 104
基础配置不做解说
 
ip pool vlan101
 gateway-list 192.168.2.1
 network 192.168.2.0 mask 255.255.255.0
 dns-list 1.1.1.1
#
ip pool vlan102
 gateway-list 192.168.3.1
 network 192.168.3.0 mask 255.255.255.0
 dns-list 1.1.1.1
#
ip pool vlan103
 gateway-list 172.16.1.1
 network 172.16.1.0 mask 255.255.255.0
 dns-list 1.1.1.1
 
interface Vlanif100
 ip address 192.168.1.1 255.255.255.0
#
interface Vlanif101
 ip address 192.168.2.1 255.255.255.0
 dhcp select global
#
interface Vlanif102
 ip address 192.168.3.1 255.255.255.0
 dhcp select global
#
interface Vlanif103
 ip address 172.16.1.1 255.255.255.0
 dhcp select global
这个2大段内容配置的是dhcp地址池和vlan接口，注意一个地方就是网关地址必须配置跟vlan ip一样，因为vlan的ip地址就是内网网关
network地址范围也要跟vlan一样才行，不然就没有办法匹配到地址池，也就不能dhcp获取IP，那么服务器就不用配置地址池，直接配置vlan接口ip
 
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface Vlanif10
 ip address 1.1.1.2 255.255.255.252
这个地方是华为跟H3C的很大不同地方，上层是路由器是三层接口，但是我交换机是二层接口，这样就不能通了
华为有2种配置方法，我的这个是普遍配置方法，利用vlan，这个原理也很简单，一个vlan内通讯是发广播，这样路由就能接收到
还有一种方法就是切换三层功能，undo portswitch，命令可以敲不代表支持配置，具体看型号的，好处就是能拥有三层接口的特性
 
interface GigabitEthernet0/0/2
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100 to 104
#
interface GigabitEthernet0/0/3
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100 to 104
#
interface GigabitEthernet0/0/4
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100 to 104
#
interface GigabitEthernet0/0/5
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100 to 104
#
interface GigabitEthernet0/0/6
 port link-type access
 port default vlan 103
接口配置，这里我主要讲2个点：
1、我配置trunk口是为了可扩展性考虑，这样我接入层内网IP都能使用，如果接入层是傻瓜交换机那就需要配置成0/0/6口这样。
2、安全考虑，允许的vlan不要配置all，这样会存在安全问题，防止不法设备接入，不给vlan1通讯也是同理，一般vlan1不要配置使用，这里有个原因就是交换机接口默认都是属于vlan1的
 
ip route-static 0.0.0.0 0 1.1.1.1
默认路由

LSW2-5接入层交换机

创建vlan
Vlan100

interface Ethernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 100 to 104
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 100
#
批量编辑端口方法：下面的操作都会应用到1-24接口上
port-group 1
group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24
*接入层vlan必须创建
配置基本一样，只要把vlan改成当前需要使用的，这里就能体现出扩展性，我可以把0/0/3改成其他网段或者其他。
容易出问题就是vlan 100这里，我也同样犯过这样的错误，需要涉及到的vlan，都需要在接入层交换机配置创建vlan，不然是无法通讯的。
比如我把5的交换机IP配置到3口上我就需要创建vlan102

wifi配置

这边还没有涉及到AC概念，这里需要注意是一般做法都是采取瘦AP(FITAP)，购买几台AP直接连接到POE交换机上，地址由汇聚接入层交换机分配，ap名采用一样，实现无线漫游，无线通道采用1 6 11分开避免信道干扰，提高设备性能。（省钱）

3、DHCP需求配置：

排除dhcp分配的IP
ip pool vlan101
excluded-ip-address 192.168.2.240 192.168.2.252

根据绑定的信息来分配IP给固定的PC
ip pool vlan101
static-bind ip-address 192.168.2.100 mac-address 5489-9890-1E6F

结论：
针对这些操作都会被手动配置IP强行挤掉，这个做法都是针对正常情况下
有什么用处呢！
一般生产部门会有经理这些人，那么他们的电脑安全性就要高点，访问的资源也就比其他员工权限高，这样就需要排除或者静态绑定多个固定IP。

4、nat配置

配置高级ACL 3000
acl number 3000  
 rule 10 permit ip source 192.168.1.0 0.0.0.255 
 rule 11 permit ip source 192.168.2.0 0.0.0.255 
 rule 13 permit ip source 192.168.3.0 0.0.0.255 
 rule 14 permit ip source 172.16.1.0 0.0.0.255 
 
应用到出接口上
interface GigabitEthernet0/0/0
 ip address 133.133.133.133 255.255.255.252 
 nat outbound 3000

这边一般做法都是acl 2000来写源就好了，我这边配置高级ACL是为了扩展性考虑，后期还会说到，具体有什么用。


看下NAT表就能知道，内网的地址被NAT成133.133.133.133地址，这样就能访问互联网了，同时也保证了内网PC的安全性。