云计算第一阶段 NETWORK 企业级网络架构

   网络架构是云计算第一阶段的最后一个内容，主要是涉及到网络模型中，机器接口的配置和网络IP配置，如果不主攻运维的小伙伴，可以稍作了解，毕竟技多不压身。

   今天做练习的时候，会用到的软件是华为的eNSP.  （没用过的小伙伴可以跳到软件实操练习去下载）

网络设备生产厂商：

—华为

—Cisco   思科

路由交换设备

网络拓补结构：

线缆连接常用的是星型和网状型。

现在网络模型是经过改良的，已经减轻了复杂度，变为了5层模型，去掉了表示层和会话层。

也就是现在的TCP/IP  协议。

接下来，为大家介绍该模块的主角。eNSP

 进入相关设备需要鼠标左键点击后右键打开，找到命令行选项进入。

一共有4个试图：用户试图，系统视图，接口视图，协议视图。

如下图所示

视图层次关系如下图：

步骤一，首先点击软件安装包，选择语言，如图-1所示。

图-1

步骤二，点下一步，如图-2所示。

图-2

步骤三，选接受协议，点下一步，如图-3所示。

图-3

步骤四，安装路径，建议不修改，保持默认即可，如图-4所示。

避免报错：所以选择默认C盘安装，软件也不大，就2个多G。

图-4

步骤五，点两次下一步，如图-5、图-6所示。

图-5

图-6

步骤六，安装依赖软件，第1个WinPcap与第3个是必须，但由于最近virtualbox5.1.24版本发现BUG，所以某些系统安装后也可能无法运行。解决方案是不安装这个版本（最后一个对勾取消），直接去下载5.2.44版本

https://download.virtualbox.org/virtualbox/5.2.44/VirtualBox-5.2.44-139

111-Win.exe

等ensp安装好之后，在执行上述地址下载的virtualbox程序进行安装，安装过程后面有步骤，如图-7所示。

图-7

步骤七，点安装，如图-8所示

图-8

步骤八，等待片刻之后，ensp安装完毕会继续安装那两个依赖软件，这里是弹出第一个依赖软件的安装界面，点next，如图-9所示。

图-9

步骤九，点I Agree，如图-10所示。

图-10

步骤十，之后的窗口 点install ，再点下一个窗口的finish，如图-11所示。

图-11

步骤十一，之后安装virtualbox(该软件可以是ensp安装好之后单独运行安装，版本这里以5.1.24为例，5.2.44版安装过程基本一致)，点next，如图-12所示。

图-12

步骤十二，这里什么都不需要调节，点next，如图-13所示。

图-13

步骤十三，点next，如图-14所示。

图-14

步骤十四，点yes，如图-15所示。

图-15

步骤十五，点install，如图-16所示。

图-16

步骤十六，点安装，如图-17所示。

图-17

步骤十七，点finish完成安装，如图-18所示。

图-18

步骤十八，之后如果弹出这个窗口直接关闭即可，如图-19所示。

图-19

步骤十九，运行ensp即可使用，如图-20所示。

图-20

注意事项：

ensp在运行过程中弹出的所有防火墙放行的提示都要点 “允许访问” 否则ensp无法正常工作，如图-21所示。

图-21

另外，安装完ensp后，可以打开后放入一个ar2220路由器测试，右键路由器点启动，如图-22所示。

图-22

然后双击路由器打开命令行界面，等待片刻之后如果看到<Huawei>字样说明一切正常，如果一直出现##号，则需要考虑关闭windows防火墙、重启软件等操作，如图-23所示。

图-23

如果弹出需要注册设备，则按提示进行AR(路由器)设备的注册即可，注册前要删除路由器设备，然后重启软件，如图-24所示。

问题

• 熟悉eNSP软件的使用
• 熟悉交换机的命令行视图
• 熟悉交换机视图间的转换

方案

在eNSP程序主窗口中，添加一台s3700交换机，进入交换机，输入相关命令进行配置和查看交换机

步骤

实现此案例需要按照如下步骤进行

步骤一：改变命令行视图

1. <Huawei>            //用户视图
2. <Huawei>system-view             //进入系统视图
3. [Huawei]            //系统视图
4. [Huawei]interface Ethernet0/0/1 //进入接口视图（1号接口）
5. [Huawei-Ethernet0/0/1]quit    //返回上一视图
6. [Huawei]
7. [Huawei]interface Ethernet0/0/1 //再次进入接口视图
8. [Huawei-Ethernet0/0/1]return     //直接返回用户视图，或使用快捷键ctrl+z
9. <Huawei>

问题

• 查看设备型号版本
• 修改交换机主机名
• 查看交换机配置
• 使用账户和密码登录终端
• 保存配置

方案

在eNSP程序主窗口中，添加一台s3700交换机，进入交换机，输入相关命令进行配置和查看交换机

步骤

实现此案例需要按照如下步骤进行

步骤一：查看设备型号版本

[Huawei]display version

步骤二：修改交换机主机名

1. <Huawei>system-view
2. [Huawei]sysname sw1
3. [sw1]
4. [sw1]undo info-center enable //关闭日志信息提示，每台机器设置的第一次都需要输入，不然每次完成相关操作，就会提示，影响操作。

步骤三：查看交换机配置

1. [Huawei]display current-configuration //查看设备配置，按空格翻页，按回车换行，或用鼠标滚轮查看

步骤四：使用账户和密码登录终端

1. <Huawei>system-view
2. [Huawei]aaa                //进入账户管理视图
3. [Huawei-aaa]local-user test01 password simple 123 //创建账户叫test01,配置明文方式密码123
4. [Huawei-aaa]local-user test01 password cipher 123 //创建账户叫test01,如果该账户已经存在，则为修改配置，配置密文方式密码123
5. [Huawei-aaa]quit
6. [Huawei]user-interface console 0        //进入用户控制台接口
7. [Huawei-ui-console0]authentication-mode aaa     //激活配置
8. 然后使用快捷键ctrl+] 退出系统，再回车重新登录，可以验证账户密码

步骤五：保存配置

1. <Huawei>save                //保存配置  看清楚这是用户试图，别只保存文件，不然相关设置会丢失。┗|｀O′|┛ 嗷~
2. The current configuration will be written to the device.
3. Are you sure to continue?[Y/N]y                    //这里按y确认
4. Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]: //直接回车
5. Mar 12 2019 19:12:18-08:00 Huawei %%01CFM/4/SAVE(l)[0]:The user chose Y when dec
6. iding whether to save the configuration to the device.
7. Now saving the current configuration to the slot 0.
8. Save the configuration successfully.                //看到successfully表示成功
10. <Huawei>reboot        //重启设备，如果有未保存的配置会先提示保存
11. Info: The system is now comparing the configuration, please wait.
12. Warning: All the configuration will be saved to the configuration file for the n
13. ext startup:flash:/vrpcfg.zip, Continue?[Y/N]:y            //提示是否保存，选择y
14. Info: If want to reboot with saving diagnostic information, input 'N' and then e
15. xecute 'reboot save diagnostic-information'.
16. System will reboot! Continue?[Y/N]:y //是否重启，选择y

问题

通过2台交换机以及4台pc设备分析

方案

实现此目的需要搭建拓扑，先准备2台pc，配置好ip，并连接了s3700交换机如图-25所示

提示：绿色框是文本，里面输入内容可以让配置思路，更加清晰，毕竟人的脑力有限。

图-25

pc的mac地址可以在基础配置中查看到，为了方便验证可以将其的尾号写在注释中

注意：mac地址是随机的，无需自定义，但与图中可能不一样，实验时要按照实际填写，如图-26所示。

图-26

4.3 步骤

步骤一：用pc1去ping pc2，如图-27所示。

图-27

步骤二：然后查看交换机mac地址表可以得到结果，如图-28所示。

图-28

步骤三：然后可以再连接一个交换机增加两台pc进行测试，如图-29所示。

让pc1 去ping pc3。

图-29

然后查看交换机1和交换机2的mac地址表，结果如下则成功，如图-30、图-31所示。

图-30

---

互联网时代还没到来前，我们小时候经历的是局域网时代，我们玩的都是联机游戏，比如流星蝴蝶剑，CS1.51.6 ，魔兽争霸III的澄海3C和DOTA。

记得关每个机器的系统提示信息

1.1 问题

在交换机上创建以下VLAN，按照拓扑图-1将端口加入到指定的VLAN并配置服务器IP地址，实现同VLAN主机的通信

图-1

1.2 步骤

实现此案例需要按照如下步骤进行

步骤一：创建vlan，并将接口加入

由于默认情况下所有接口都在VLAN1中，且VLAN1默认就存在，所以只需要配置VLAN2和VLAN3即可

1. <Huawei>system-view
2. [Huawei]vlan 2        //创建vlan2，如果要删除可以用undo vlan 2
3. [Huawei]display vlan    //查看vlan列表
4. [Huawei-vlan2]quit
5. [Huawei]interface ethernet 0/0/3 //进入3接口
6. [Huawei-Ethernet0/0/3]port link-type access //设置接口类型为接入链路
7. [Huawei-Ethernet0/0/3]port default vlan 2 //将接口加入vlan2
8. [Huawei-Ethernet0/0/3]quit
9. [Huawei]interface ethernet 0/0/4 //进入4接口
10. [Huawei-Ethernet0/0/4]port link-type access //设置接口类型为接入链路
11. [Huawei-Ethernet0/0/4]port default vlan 2 //将接口加入vlan2
12. [Huawei-Ethernet0/0/4]quit
14. [Huawei]vlan 3 //创建vlan3
15. [Huawei-vlan3]quit
16. [Huawei]interface ethernet 0/0/5 //进入5接口
17. [Huawei-Ethernet0/0/5]port link-type access //设置接口类型为接入链路
18. [Huawei-Ethernet0/0/5]port default vlan 3 //将接口加入vlan3
19. [Huawei-Ethernet0/0/5]quit
20. [Huawei]interface ethernet 0/0/6 //进入6接口
21. [Huawei-Ethernet0/0/6]port link-type access //设置接口类型为接入链路
22. [Huawei-Ethernet0/0/6]port default vlan 3 //将接口加入vlan3，如果加错vlan，将正确的命令在敲一次即可

2.1 问题

通过配置交换机实现图-2中的VLAN划分

图-2

2.2 步骤

注：以下配置需要在案例1的基础上完成

步骤一：sw2配置

1. [Huawei]vlan batch 2 3 //批量创建vlan，如果要删除可以用undo vlan batch 2 3
2. [Huawei]port-group 1 //创建(进入)1号接口组
3. group-member Ethernet 0/0/3 Ethernet 0/0/4 //给接口组添加成员3口和4口
4. port link-type access //设置接口类型为接入链路
5. port default vlan 2 //将接口组中的所有接口加入vlan2
6. [Huawei-port-group-1]quit
7. [Huawei]port-group 2 //创建(进入)2号接口组
8. group-member Ethernet 0/0/5 Ethernet 0/0/6 //给接口组添加成员5口和6口
9. port link-type access
10. port default vlan 3
12. [Huawei-port-group-2]undo group-member Ethernet 0/0/7 //如果接口加错，比如不小心将7口加入了2号接口组可以用该命令删除，使用undo命令，相当于取消

3.1 问题

通过配置实现跨交换机的同VLAN通信，如图-3所示

图-3

3.2 步骤

注：以下配置需要在案例2的基础上完成

access 接入链路 可以承载1个vlan的数据

trunk 中继链路 可以承载多个vlan的数据

步骤一：配置trunk，放行所有vlan

1）sw1配置

1. [Huawei]interface ethernet 0/0/7
2. port link-type trunk //配置为中继链路
3. port trunk allow-pass vlan all //放行所有vlan的数据

2）sw2配置

1. [Huawei]interface ethernet 0/0/7
2. port link-type trunk //配置为中继链路
3. port trunk allow-pass vlan all //放行所有vlan的数据
5. display vlan //查询vlan列表，可以看到任何vlan中，都有7号接口
6. 如果接口配置混乱，需要还原时：
7. [Huawei]clear configuration interface Ethernet 0/0/7 //清空配置
8. [Huawei]interface ethernet0/0/7 //进入接口
9. [Huawei-Ethernet0/0/7]undo shutdown //开启接口

4.1 问题

利用上一案例配置链路聚合，用多条链路(网卡)捆绑在一起，实现增加可靠，提高

链路带宽的目的，如图-4所示

图-4

4.2 步骤

步骤一：创建链路聚合接口，并捆绑物理接口

1）sw1配置

1. [Huawei]interface eth-trunk 1 //创建(进入)1号链路聚合接口
2. trunkport Ethernet 0/0/7 0/0/8 //捆绑7、8接口
3. port link-type trunk //配置为中继链路
4. port trunk allow-pass vlan all //放行所有vlan的数据

2）sw2配置

1. [Huawei]interface eth-trunk 1 //创建(进入)1号链路聚合接口
2. trunkport Ethernet 0/0/7 0/0/8 //捆绑7、8接口
3. port link-type trunk //配置为中继链路
4. port trunk allow-pass vlan all //放行所有vlan的数据
6. 用display vlan看列表中7、8口已经消失，取而代之的是Eth-Trunk1

在交换机上可以进行VLAN、Trunk等配置，达到组建网络的基本需求，但无法将数据传输的更远，比如不同VLAN无法互通，所以需要使用网络层以及相关的设备，如图-5所示。

图-5

1. [Huawei]interface GigabitEthernet 0/0/0 //进入0号接口
2. [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置ip
3. [Huawei-GigabitEthernet0/0/0]quit
4. [Huawei]interface GigabitEthernet 0/0/1
5. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24
6. <Huawei>display ip interface brief //查看设备所有的ip配置
7. [Huawei-GigabitEthernet0/0/1]undo ip address //如果ip配置错误，使用该命令可以删除

之后将两台pc的ip与网关配好即可互通

pc1的ip是192.168.1.1，网关是192.168.1.254

pc2的ip是192.168.2.2，网关是192.168.2.1

网关是设备通往另外一个网络的途径，可以让路由器(具备路由功能的设备)承担

1. display ip routing-table | include /24 //查看路由表

路由器依靠路由表转发数据

路由表的产生方式：

1，直连路由，将接口配置好ip并且开启后自动产生

2，静态路由，由管理员手工配置，添加所需路由

语法格式：ip route-static 目标网段 掩码 下一跳（不是吓一跳哈）

6.1 问题

添加路由器与pc将之前拓扑改造成以下状态：

最终目的是全网互通，如图-6所示。

图-6

6.2 步骤

1. 首先按照之前方式配置好设备的所有ip地址
2. 第二台路由器
3. [Huawei]interface GigabitEthernet 0/0/0 //进入0号接口
4. [Huawei-GigabitEthernet0/0/0]ip address 192.168.2.2 24 //配置ip
5. [Huawei-GigabitEthernet0/0/0]quit
6. [Huawei]interface GigabitEthernet 0/0/1 //进入0号接口
7. [Huawei-GigabitEthernet0/0/1]ip address 192.168.4.254 24 //配置ip
8. [Huawei-GigabitEthernet0/0/1]quit
9. [Huawei]interface GigabitEthernet 0/0/2
10. [Huawei-GigabitEthernet0/0/2]ip address 192.168.3.254 24
11. <Huawei>display ip interface brief //查看设备所有的ip配置
13. pc配置：
14. 192.168.4.1的网关是4.254
15. 192.168.3.1的网关是3.254    
17. 第一台路由器配置静态路由：
18. [Huawei]ip route-static 192.168.3.0 24 192.168.2.2 //添加
19. 静态路由，可以去3.0网段，掩码24，下一跳2.2
20. [Huawei]undo ip route-static 192.168.3.0 24 192.168.2.2 //如果
21. 路由配置错误，要删除
22. [Huawei]ip route-static 192.168.4.0 24 192.168.2.2 //添加
23. 静态路由，可以去4.0网段，掩码24，下一跳2.2
25. 第二台路由器配置静态路由：
26. [Huawei]ip route-static 192.168.1.0 24 192.168.2.1 //添加
27. 静态路由，可以去1.0网段，掩码24，下一跳2.1
29. display ip routing-table | include /24 //查看路由表

排错思路：

检查pc的ip与网关

从最短距离开始ping测试，由近至远，检查路由器的路由表。

---

TCP应用

UDP应用

ACL原理单拎出来你可能不太清楚咋回事，那么国有国法家有家规你总知道吧。

就像最近网络上比较火的小说类型：规则怪谈系列。

还有我们古代神话地府里的生死簿，它也是一种规则。

ACL的作用

1.1 问题

按照图-1的拓扑结构配置ip地址并通过三层交换实现VLAN间通信

图-1

1.2 步骤

1. <Huawei>system-view         //进入系统视图
2. [Huawei]undo info-center enable //关日志
3. [Huawei]vlan batch 2 3 //创建vlan2与3
4. [Huawei]display vlan //检查
5. [Huawei]interface GigabitEthernet 0/0/2 //进2口
6. [Huawei-GigabitEthernet0/0/2]port link-type access //配置接口类型为access
7. [Huawei-GigabitEthernet0/0/2]port default vlan 2 //把2口加入vlan2
8. [Huawei-GigabitEthernet0/0/2]in g0/0/3
9. [Huawei-GigabitEthernet0/0/3]port link-type access //配置接口类型为access
10. [Huawei-GigabitEthernet0/0/3]port default vlan 3 //把3口加入vlan3
12. 路由器可以在物理接口配置ip
13. 而三层交换机要进入虚拟接口配置
14. [Huawei]interface Vlanif 1        //进入vlan1的接口(虚拟接口)
15. [Huawei-Vlanif1]ip address 192.168.1.254 24        //配置ip，该ip可以作为vlan1的网关
16. [Huawei-Vlanif1]interface Vlanif 2 //进入vlan2的接口
17. [Huawei-Vlanif2]ip address 192.168.2.254 24        //配置ip，该ip可以作为vlan2的网关
18. [Huawei-Vlanif2]interface Vlanif 3 //进入vlan3的接口
19. [Huawei-Vlanif3]ip address 192.168.3.254 2        //配置ip，该ip可以作为vlan3的网关
20. display ip interface brief //检查ip

再增加s3700交换机一台，将网络改造成以下状态，如图-2所示：

注意：记住是原有基础上加一台，别重新创新图。

图-2

1. 在s3700交换机配置：
2. [Huawei]vlan batch 2 3 //首先创建vlan2与3
3. [Huawei]interface ethernet0/0/2
4. [Huawei-Ethernet0/0/2] port link-type access
5. [Huawei-Ethernet0/0/2] port default vlan 2 //将e0/0/2口加入vlan2
6. [Huawei-Ethernet0/0/2] in e0/0/3
7. [Huawei-Ethernet0/0/3] port link-type access
8. [Huawei-Ethernet0/0/3] port default vlan 3 //将e0/0/3口加入vlan3
9. [Huawei-Ethernet0/0/3]in e0/0/4
10. [Huawei-Ethernet0/0/4]port link-type trunk //将4口配置为中继链路
11. [Huawei-Ethernet0/0/4]port trunk allow-pass vlan all //放行所有数据
13. 再回到s5700配置：
14. [Huawei-GigabitEthernet0/0/1]port link-type trunk //把g0/0/1口也配置为中继链路
15. [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all //放行所有vlan的数据
16. -------------------------------------
17. 如果接口配置错乱：这里用s3700举例
18. [Huawei]clear configuration interface Ethernet 0/0/4 //如果某接口配置错误可以清空
19. [Huawei]interface e0/0/4 //进入4接口
20. [Huawei-Ethernet0/0/4]undo shutdown //开启接口

2.1 问题

之后将拓扑延申，增加一台router路由器，与pc一台，并按图配置好ip，新增pc的网关是192.168.5.254，如图-3所示。

图-3

2.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：

1. 路由器ip按规划配置：
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.4.2 24 //配置ip
4. [Huawei-GigabitEthernet0/0/0]quit
5. [Huawei]interface GigabitEthernet 0/0/1 //进1口
6. [Huawei-GigabitEthernet0/0/1]ip address 192.168.5.254 24 //配置ip

步骤二：

1. 三层交换机接口配置ip思路：
2. 1，创建一个vlan
3. 2，进入该vlan的虚拟接口配置ip
4. 3，将需要配置ip的接口加入上述vlan
6. s5700的 g0/0/2接口要按照三层交换机接口配置ip的思路进行：
7. [Huawei]vlan 4 //创建vlan4
8. [Huawei-vlan4]interface vlanif 4 //进入vlan4接口
9. [Huawei-Vlanif4]ip add 192.168.4.1 24 //为vlan4配置ip
10. [Huawei-Vlanif4]quit
11. [Huawei]interface GigabitEthernet 0/0/2 //进入2接口
12. [Huawei-GigabitEthernet0/0/2]port link-type access //配置接口类型为access
13. [Huawei-GigabitEthernet0/0/2]port default vlan 4 //把2口加入vlan4

目前同网段可以通，但不能全网互通

步骤三：配置动态路由

动态路由：基于某种路由协议实现，适合大型网络，减少管理任务

宣告：对外告知自身所直连的网段

1. 在三层交换机中配置动态路由：
2. [Huawei]ospf
3. [Huawei-ospf-1]area 0 //进入区域0 (第一个区域，表示开始使用ospf)
4. [Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 //依次宣告
5. 自身所直连的网段
6. [Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 //宣告2网段
7. [Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255 //宣告3网段
8. [Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 //宣告4网段
10. 在路由器中配置动态路由：
11. [Huawei]ospf
12. [Huawei-ospf-1]area 0
13. [Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 //宣告4网段
14. [Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255 //宣告5网段
15. [Huawei-ospf-1-area-0.0.0.0]display this //可以查看当前视图的配置，比如目前在ospf中，就可以看到ospf中都敲了什么命令
16. [Huawei-ospf-1-area-0.0.0.0]undo network 192.168.44.0 0.0.0.255 //如果有错可以用此方法删除

步骤四：默认路由

1. 默认路由是特殊的静态路由，可以匹配任意网段，专门用来访问海量外部网络使用
2. 路由器配置：
3. [Huawei-ospf-1-area-0.0.0.0]undo network 192.168.5.0 0.0.0.255 //取消路由器宣告5网段
4. 5700交换机配置：
5. [Huawei]ip route-static 0.0.0.0 0 192.168.4.2 //配置默认路由

3.1 问题

按图-4搭建拓扑，首先实现全网互通

然后按下列要求配置acl：

禁止2.1与1.1进行数据通信，不能影响其他主机的通信

图-4

3.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：配置路由器IP

1. 路由器ip配置：
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置ip
4. [Huawei-GigabitEthernet0/0/0]quit
5. [Huawei]interface GigabitEthernet 0/0/1 //进1口
6. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置ip
7. [Huawei-GigabitEthernet0/0/1]quit

Server的网关是1.254

2个Client的网关是2.254

1. 路由器ACL配置：
2. [Huawei]acl 2000 //创建acl 列表号是2000
3. [Huawei-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0 //创建规则拒绝源地址是192.168.2.1的数据通过
4. [Huawei-acl-basic-2000]display this //查看当前视图配置，可以看到规则号码
5. [Huawei-acl-basic-2000]quit
6. [Huawei]interface GigabitEthernet 0/0/1 //进入1口，注意该接口不要照抄，要检查是否为最接近2.1的接口
7. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //定义过滤数据是入方向，并应用之前创建的acl2000
9. 如果配置错误：
10. [Huawei-acl-basic-2000]undo rule 5 //如果规则写错，可以根据规则号码删除
11. [Huawei-GigabitEthernet0/0/0]undo traffic-filter inbound //应用接口错误可以这样删除

4.1 问题

使用上题拓扑允许2.1与1.1进行通信，禁止其他设备访问1.1

4.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：放行192.168.2.1，拒绝其他设备

此步骤需要在上一实验基础上进行

1. [Huawei]acl 2001 //创建新acl，列表号是2001
2. [Huawei-acl-basic-2001]rule permit source 192.168.2.1 0 //创建规则，允许2.1通过
3. [Huawei-acl-basic-2001]rule deny source any //拒绝所有设备通过
4. [Huawei-acl-basic-2001]in g0/0/1 //进入应用acl的接口
5. [Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //在接口取消之前的acl2000
6. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2001 //应用新的acl
7. [Huawei-GigabitEthernet0/0/1]display acl 2000 //可以查看2000列表的内容
8. [Huawei-GigabitEthernet0/0/1]display acl 2001 //可以查看2001列表的内容
9. [Huawei-GigabitEthernet0/0/1]display acl all //可以查看所有列表的内容

   ---

网关你可以理解为古代带兵打仗，必须经过的关口，如嘉峪关玉门关之类的咽喉要地。

虚拟网络的备份路由器就是为了防止主路由器发生故障时启用的，做好相关配置后，可以互相动态转化。面对风险就有了2手准备。

1.1 问题

禁止2.2访问1.1的网站服务，但不影响其他服务，实验拓扑如图-1所示。

接口配置，你得看你的具体连接情况，不一样的话别照抄，按具体的来。^_^

图-1

1.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：根据协议所用端口进行封堵

基本acl 2000~2999 源地址

高级acl 3000~3999 源地址、目标地址、协议、端口

1. 路由器ip配置：（如果延用之前的图那么此步骤可以跳过）上一天练习
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置ip
4. [Huawei-GigabitEthernet0/0/0]in g0/0/1 //进1口
5. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置ip
6. [Huawei-GigabitEthernet0/0/1]quit
8. [Huawei]acl 3000 //创建(进入)acl3000
9. [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80 //拒绝2.2访问1.1的tcp的80端口
10. [Huawei-acl-adv-3000]in g0/0/1 //进入距离2.2比较近的接口
11. [Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //删除原有acl
12. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //重新在
13. 接口应用acl3000

禁止2.1访问1.1的ftp服务，但不影响其他服务

1. [Huawei]acl 3000 //创建(进入)acl3000
2. [Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination
3. 192.168.1.1 0 destination-port eq 21 //拒绝2.1访问1.1的tcp的21端口

使用acl时，同接口的同方向只能一次应用一个acl列表

2.1 问题

按照图-2拓扑图所示，在路由器上配置静态NAT使192.168.2.1与192.168.2.2实现外网访问

图-2

2.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：首先按图配置ip

1. 路由器ip配置：
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 100.0.0.1 8 //配置ip
4. [Huawei-GigabitEthernet0/0/0]in g0/0/1 //进1口
5. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置ip
6. [Huawei-GigabitEthernet0/0/1]quit
7. pc1的ip是 192.168.2.1 网关是192.168.2.254
8. pc2的ip是 192.168.2.2 网关是192.168.2.254
9. pc3的ip是 100.0.0.10 网关不需要配

步骤二：

然后在路由器配置静态nat

使用nat前要进入外网接口

1. [Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.2 inside 192.168.2.1 //使用静态nat技术，将内部的2.1与外部的公网地址100.0.0.2进行相互转换

然后测试使用192.168.2.1 ping 100.0.0.10可以互通说明地址转换成功

1. 如果配置错误可以用undo删除，比如：
2. undo nat static global 100.0.0.2 inside 192.168.2.4
4. [Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.3 inside 192.168.2.2 //可以通过上述方案让2.2也实现外网的访问，利用的公网地址是100.0.0.3

3.1 问题

继续使用上图，在路由器配置easy ip，让所有的内部主机仅仅利用唯一的一个公网地址100.0.0.1访问外网

3.2 步骤

实现此案例需要按照如下步骤进行

步骤一：删除已有的静态nat

1. [Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.3 inside 192.168.2.2
2. [Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.2 inside 192.168.2.1

步骤二：

1. [Huawei]acl 2000 //通过acl定义允许访问外网的设备
2. [Huawei-acl-basic-2000]rule permit source any //这里放行所有设备，如果将any换成192.168.2.0 0.0.0.255则是仅仅允许2.0网段的设备访问外网
4. [Huawei-acl-basic-2000]in g0/0/0 //进入0接口(外网接口)
5. [Huawei-GigabitEthernet0/0/0]nat outbound 2000 //应用nat (easy ip方式)

4.1 问题

在三层交换机配置VRRP产生一个虚拟网关192.168.1.254为vlan1的设备使用，实验拓扑如图-3所示。

图-3

4.2 步骤

本实验暂不考虑NAT问题

步骤一：pc配置ip

pc1的ip是 192.168.4.1 网关是192.168.4.254

pc2的ip是 192.168.1.1 网关是192.168.1.254

步骤二：第一台三层交换机配置

1. [Huawei]sysname sw1        //修改主机名为sw1    
2. [sw1]undo info-center enable        //关闭日志
3. [sw1]in vlan 1 //进入vlan1
4. [sw1-Vlanif1]ip add 192.168.1.252 24 //配置ip
5. [sw1]vlan 2 //创建vlan2
6. [sw1-vlan2]in vlan 2 //进入vlan虚拟接口
7. [sw1-Vlanif2]ip add 192.168.2.2 24 //配ip
8. [sw1-Vlanif2]in g0/0/2 //进入要配ip的接口
9. [sw1-GigabitEthernet0/0/2]port link-type access
10. [sw1-GigabitEthernet0/0/2]port default vlan 2
12. 另外一台s5700        
13. <Huawei>sys
14. [Huawei]sysname sw2
15. [sw2]undo info-center enable
16. [sw2]in vlan 1
17. [sw2-Vlanif1]ip add 192.168.1.253 24
18. [sw2]vlan 3 //创建vlan3
19. [sw2-vlan3]in vlan 3 //进入vlan虚拟接口
20. [sw2-Vlanif3]ip add 192.168.3.2 24 //配ip
21. [sw2-Vlanif3]in g0/0/2 //进入要配ip的接口
22. [sw2-GigabitEthernet0/0/2]port link-type access
23. [sw2-GigabitEthernet0/0/2]port default vlan 3

步骤三：路由器配置ip

1. <Huawei>system-view
2. [Huawei]interface GigabitEthernet 0/0/0
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.2.1 24
4. [Huawei-GigabitEthernet0/0/0]in g0/0/1
5. [Huawei-GigabitEthernet0/0/1]ip address 192.168.3.1 24
6. [Huawei-GigabitEthernet0/0/1]in g0/0/2
7. [Huawei-GigabitEthernet0/0/2]ip address 192.168.4.254 24

步骤四：分别在路由器与三层交换机上配置ospf

1. [Huawei]ospf //在路由器配置ospf
2. [Huawei-ospf-1]area 0
3. [Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
4. [Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
5. [Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
6. [sw1]ospf //在sw1配置ospf
7. [sw1-ospf-1]area 0
8. [sw1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
9. [sw1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
10. [sw2]ospf //在sw2配置ospf
11. [sw2-ospf-1]area 0
12. [sw2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
13. [sw2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255

步骤五：在两台三层交换机配置vrrp

1. [sw1]in vlan 1 //vrrp需要在接口中配置，进入vlan接口
2. [sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 //开启vrrp功能，组号是1，虚拟设备的ip是1.254
3. [sw2]in vlan 1 //另外这台设备配置一样的内容
4. [sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
5. [sw2-Vlanif1]display this //查看当前视图配置
6. <sw1>display vrrp brief //分别在两台三层交换机查看vrrp状态，看到一台是Master一台是backup即可

VRRP组成员角色:

主（Master）路由器

备份（Backup）路由器

虚拟（Virtual）路由器

1. 如果打算将某个设备定义为主：
2. in vlan 1
3. vrrp vrid 1 priority 105 //修改vrrp优先级，默认值是100，越高越优先成为主

---

数制的计算

1.子网划分

现在还用不上，开发太少，目前IPV4协议的地址已经足够满足需求。

 网络负载均衡

组建如图-1拓扑结构，通过配置VRRP实现负载均衡的效果

图-1

步骤一：

首先按图组建拓扑

pc1的ip是192.168.1.1 网关是192.168.1.254

pc2的ip是192.168.2.1 网关是192.168.2.254

pc3的ip是192.168.1.2 网关是192.168.1.254

pc4的ip是192.168.2.2 网关是192.168.2.254

所有交换机依次改名为sw1~sw4并且都要创建vlan2

然后将所有交换机之间的接口都配置成tunk中继链路

步骤二：

1. 第1台s5700配置：
2. [Huawei]sysname sw1
3. [sw1]vlan 2
4. [sw1-vlan2]quit
5. [sw1]port-group 1 //创建接口组，组号是1
6. [sw1-port-group 1]group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/3
7. //添加组成员，从g0/0/1到g0/0/3一共3个接口
8. [sw1-port-group 1]port link-type trunk //将这些接口配置为中继链路
9. [sw1-port-group 1]port trunk allow-pass vlan all //放行所有vlan 的数据
11. 第2台s5700配置：
12. [Huawei]sysname sw2
13. [sw2]vlan 2
14. [sw2-vlan2]quit
15. [sw2]port-group 1 //创建接口组，组号是1
16. [sw2-port-group 1]group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/3
17. //添加组成员，从g0/0/1到g0/0/3一共3个接口
18. [sw2-port-group 1]port link-type trunk //将这些接口配置为中继链路
19. [sw2-port-group 1]port trunk allow-pass vlan all //放行所有vlan 的数据
21. 第1台s3700配置：
22. [Huawei]sysname sw3
23. [sw3]vlan 2
24. [sw3-vlan2]quit
25. [sw3]port-group 1 //创建接口组，组号是1
26. [sw3-port-group 1]group-member ethernet 0/0/1 to ethernet 0/0/2
27. //添加组成员，从e0/0/1到e0/0/2一共2个接口
28. [sw3-port-group 1]port link-type trunk //将这些接口配置为中继链路
29. [sw3-port-group 1]port trunk allow-pass vlan all //放行所有vlan 的数据
30. [sw3-port-group 1]quit
31. [sw3]interface ethernet 0/0/4
32. [sw3-Ethernet0/0/4]port link-type access
33. [sw3-Ethernet0/0/4]port default vlan 2 //将4口加入vlan2
35. 第2台s3700配置：
36. [Huawei]sysname sw4
37. [sw4]vlan 2
38. [sw4-vlan2]quit
39. [sw4]port-group 1 //创建接口组，组号是1
40. [sw4-port-group 1]group-member ethernet 0/0/1 to ethernet 0/0/2
41. //添加组成员，从e0/0/1到e0/0/2一共2个接口
42. [sw4-port-group 1]port link-type trunk //将这些接口配置为中继链路
43. [sw4-port-group 1]port trunk allow-pass vlan all //放行所有vlan 的数据
44. [sw4-port-group 1]quit
45. [sw4]interface ethernet 0/0/4
46. [sw4-Ethernet0/0/4]port link-type access
47. [sw4-Ethernet0/0/4]port default vlan 2 //将4口加入vlan2

步骤三：三层交换机配置ip

1. [sw1]in vlan 1 //第一台三层交换机
2. [sw1-Vlanif1]ip address 192.168.1.252 24 //配置ip
3. [sw1-Vlanif1]in vlan 2
4. [sw1-Vlanif2]ip address 192.168.2.252 24    
6. [sw2]in vlan 1 //第二台三层交换机
7. [sw2-Vlanif1]ip address 192.168.1.253 24 //配置ip
8. [sw2-Vlanif1]in vlan 2
9. [sw2-Vlanif2]ip address 192.168.2.253 24

步骤四：配置VRRP

实现vrrp负载均衡要做到

sw1 vlan1 主 vlan2 备

sw2 vlan1 备 vlan2 主

1. [sw1]in vlan 1 //第一台三层交换机
2. [sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 //在sw1配置vrrp
3. [sw1-Vlanif1]vrrp vrid 1 priority 105 //设置优先级称为vlan1的主
4. [sw1]in vlan 2
5. [sw1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254 //开启vrrp功能
7. [sw2]in vlan 1 //第二台三层交换机
8. [sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 //开启vlan1的vrrp
9. [sw2-Vlanif1]in vlan 2
10. [sw2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254
11. [sw2-Vlanif2]vrrp vrid 2 priority 105 //为vlan2的vrrp设置优先级
13. 配置完毕后使用display vrrp brief 检查，每个5700的vrrp是一主一备即可

2.1 问题

1，将下列数字转换为十进制数

11011101、1101、101010

2，将下列数字转换为二进制

156、26、104

2.2 步骤

实现此案例需要按照如下步骤进行。

1，将下列数字转换为十进制数

(11011101)2=221

(1101)2=13

(101010)2=42

2，将下列数字转换为二进制

156=(10011100)2

26=(11010)2

104=(1101000)2

通过子网划分，就可以将1个网段根据需求划分成若干网段

步骤：

3.1 准备网段，将子网掩码转换为二进制

192.168.1.0 /24

255.255.255.0

11111111. 11111111. 11111111.00000000

3.2 根据公式计算划分过程

2的n次方=要划分的网段数量

n是借用子网掩码主机位的个数

192.168.1.0 /25 255.255.255.0

11111111. 11111111. 11111111.10000000

3.3 将IP地址的主机位转换成二进制

192.168.1.00000000 第1个网段

255.255.255.10000000 这里的1是根据之前公式计算的n的值

192.168.1.0~192.168.1.127 完整范围

192.168.1.1~192.168.1.126 可用范围（掐头去尾）

/25 或 255.255.255.128 子网掩码

-----------------------------------------------------

192.168.1.10000000 第2个网段

255.255.255.10000000

192.168.1.128~192.168.1.255 完整范围

192.168.1.129~192.168.1.254 可用范围（掐头去尾）

/25 或 255.255.255.128 子网掩码

4.1 问题

将192.168.1.0/24划分为4个网段，并应用在下列图-2拓扑中

图-2

4.2 方案

如果要划分4个网段：

192.168.1.00000000 第1个网段

255.255.255.11000000 这里的11是根据之前公式计算的n的值

192.168.1.0~63 完整范围

192.168.1.1~62 可用范围（掐头去尾）

/26 或 255.255.255.192 子网掩码

-----------------------------------------------------

192.168.1.01000000 第2 个网段

255.255.255.11000000

192.168.1.64~127 完整范围

192.168.1.65~126 可用范围（掐头去尾）

/26 或 255.255.255.192 子网掩码

-----------------------------------------------------

192.168.1.10000000 第3个网段

255.255.255.11000000

192.168.1.128~191 完整范围

192.168.1.129~190 可用范围（掐头去尾）

/26 或 255.255.255.192 子网掩码

-----------------------------------------------------

192.168.1.11000000 第4个网段

255.255.255.11000000

192.168.1.192~255 完整范围

192.168.1.193~254 可用范围（掐头去尾）

/26 或 255.255.255.192 子网掩码

-----------------------------------------------------

总结：

根据上述过程得出4个网段，可用范围分别是

192.168.1.1 ~ 192.168.1.62

192.168.1.65 ~ 192.168.1.126

192.168.1.129 ~ 192.168.1.190

192.168.1.193 ~ 192.168.1.254

4.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：在交换机进行配置

1. <Huawei>sys                    
2. [Huawei]undo in en
3. [Huawei]vlan batch 2 3 4
4. [Huawei]in vlan1
5. [Huawei-Vlanif1]ip add 192.168.1.62 26
6. [Huawei-Vlanif1]in vlan 2
7. [Huawei-Vlanif2]ip add 192.168.1.126 26
8. [Huawei-Vlanif2]in vlan 3
9. [Huawei-Vlanif3]ip add 192.168.1.190 26
10. [Huawei-Vlanif3]in vlan 4
11. [Huawei-Vlanif4]ip add 192.168.1.254 26
12. [Huawei-Vlanif4]in g0/0/2
13. [Huawei-GigabitEthernet0/0/2]port link-type access
14. [Huawei-GigabitEthernet0/0/2]port default vlan 2
15. [Huawei-GigabitEthernet0/0/2]in g0/0/3
16. [Huawei-GigabitEthernet0/0/3]port link-type access
17. [Huawei-GigabitEthernet0/0/3]port default vlan 3
18. [Huawei-GigabitEthernet0/0/3]in g0/0/4
19. [Huawei-GigabitEthernet0/0/4]port link-type access
20. [Huawei-GigabitEthernet0/0/4]port default vlan 4

步骤二：在各vlan所在主机配置的ip如下

vlan1主机IP 192.168.1.1 255.255.255.192 网关192.168.1.62

Vlan2主机IP 192.168.1.65 255.255.255.192 网关192.168.1.126

Vlan3主机IP 192.168.1.129 255.255.255.192 网关192.168.1.190

Vlan4主机IP 192.168.1.193 255.255.255.192 网关192.168.1.254

先了解IPv6

2001:0002:0003:0004:0005:0006:0007:0008 /64 //一个ipv6地址，由8段4位的十六进制组成，后续的64代表前缀长度

2001:2:3:4:5:6:7:8 /64 //上述地址可以简写

2002:0000:0000:000A:0000:0000:0000:0001 /64 //这样的地址更容易缩减

2002:0:0:A:0:0:0:1 //初步缩减

2002::A:0:0:0:1 //最终状态

2002:0:0:A::1 //或者这样也行

然后按图-3组建网络，使用ipv6地址配通

图-3

1. [Huawei]ipv6 //开启ipv6
2. [Huawei]in g0/0/0
3. [Huawei-GigabitEthernet0/0/0]ipv6 enable //在接口中也要开启ipv6
4. [Huawei-GigabitEthernet0/0/0]ipv6 address 2001:0:0:1::254 64 //配置ipv6地址，前缀长度64
5. [Huawei-GigabitEthernet0/0/0]in g0/0/1
6. [Huawei-GigabitEthernet0/0/1]ipv6 enable
7. [Huawei-GigabitEthernet0/0/1]ipv6 address 2001:0:0:2::254 64

Pc1配置，如图-4所示：

图-4

Pc2配置，如图-5所示：

图-5

6.1 问题

1，创建192.168.66.0网段的虚拟网络

2，为虚拟机添加网卡并加入上述虚拟网络

6.2 步骤

实现此案例需要按照如下步骤进行。

如果是KVM环境

步骤一：打开虚拟系统管理器，点连接详情，如图-6所示。

图-6

步骤二：点虚拟网络，再点左下角找到 + 号可以创建新的虚拟网络，如图-7所示。

图-7

步骤三：定义虚拟网络名称，如图-8所示。

图-8

步骤四：定义网段，比如192.168.66.0，DHCP不需要，ipv6不需要，如图-9、图-10所示。

图-9

图-10

步骤五：选择隔离网络，如图-11所示。

图-11

步骤六：打开要加入该虚拟网络的虚拟机，查看硬件详情中的网卡，选择虚拟网络，之后点右下角的应用按钮，如图-12所示。

图-12

如果是Workstation环境

步骤一：打开Workstation并在菜单中找到虚拟网络编辑器，如图-13所示。

图-13

步骤二：点中间的 添加网络 按钮，选择一个没有使用的网络名称，比如VMnet2，然后点确定，如图-14所示。

图-14

步骤三：为刚刚创建的虚拟网络配置IP，如图-15所示。

图-15

步骤四：开启一台要加入该虚拟网络的虚拟机，点菜单中的设置，如图-16所示。

图-16

步骤五：点下方添加按钮，选择网络适配器，点完成（这里是添加网卡，如果用现有网卡则无需添加，直接选择现有网卡即可），如图-17、图-18所示。

图-17

步骤六：点刚刚添加的网络适配器，右边选择自定义虚拟网络VMnet2，然后点确定按钮

---

小伙伴们，NETWORK模块的知识已经讲完了，云计算第一阶段的知识也全部讲完。

掌握了第一阶段的知识后，想要考红帽证书的可以着手准备了，初级的应该对大家没难度了。

一起加油吧。