gh0s7/NE_YuR
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
158739450537bd3632f7a3e23ca19b0c5ded7cf3
NE_YuR/big1/temp.md
CGH0S7 0fe20bb24c biglab report initialzied
2025-11-03 11:38:26 +08:00

975 lines
38 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

按照【示例】中的文本格式,按照《网络工程需求分析报告大纲》,把此大纲撰写为需求分析报告。报告用词用语要准确、符合商务标准。其中的文本应该是一个个自然段组成的,而不能使用阿拉伯数字标号一句话一个关键词一行。用“== <一级标题内容>”来表示一级标题,“= <二级标题内容>”来表示二级标题以此类推。每个自然段用“para[<自然段内容>]”包裹起来。最后,你需要输出整个报告文本。
【示例】
== 项目背景
para[
我司目前正在规划公司总部大楼的网络基础设施,旨在建立一个高效、安全、稳定的网络环境,支持公司日常办公、项目管理、数据存储及未来业务扩展需求。由于公司对网络设备和技术了解有限,特委托第三组网络工程基础设施公司进行网络规划、设计、实施及维护。
]
== 项目目标
para[
建立一个覆盖公司总部大楼和分公司办公室的网络系统,确保所有员工能够顺畅访问内部资源和外部互联网。提供安全、可靠的网络环境,保护公司数据免受外部威胁。确保网络具备良好的扩展性,能够支持未来业务增长和技术升级。
]
== 需求详述
=== 网络覆盖需求
para[
公司总部大楼中,网络需覆盖所有办公区域、会议室、服务器机房及公共区域。分公司办公室内,分公司办公室需与总部网络互联,确保分公司员工能够访问总部资源。此外,需在公司大楼内提供无线网络覆盖,支持员工移动办公和访客接入。
]
网络工程需求分析报告大纲
项目名称: 第三组建筑公司本部大楼网络工程项目
客户单位: 第三组建筑公司
承建单位: 第三组网络工程基础设施公司
日期: 2023年10月
---
1. 引言
1.1 编写目的
本需求分析报告旨在明确第三组建筑公司本部大楼网络工程项目的需求,确保客户与承建单位对项目的设计、建设、性能需求等有共同的理解,并为后续的网络规划、设计、实施及维护提供依据。
1.2 参考资料
- 客户提供的项目背景及需求文档
- 相关网络工程标准与规范
- 行业最佳实践与案例参考
1.3 术语定义
- VRRP: 虚拟路由冗余协议,用于实现网关冗余,确保网络的高可用性
- 堆叠: 通过将多台交换机逻辑上合并为一台设备,提高网络的可管理性和扩展性
- 双机热备: 通过两台设备互为备份,确保在单点故障时系统仍能正常运行
- 链路聚合: 将多条物理链路捆绑为一条逻辑链路,提高带宽和链路可靠性
---
2. 概述
2.1 项目描述
第三组建筑公司正在规划其总部大楼的网络基础设施,旨在建立一个高效、安全、稳定的网络环境,支持公司日常办公、项目管理、数据存储及未来业务扩展需求。项目包括有线、无线网络覆盖、网络安全、网络管理、服务器与存储需求等。
2.2 项目功能
- 提供内部网络服务(如文件共享、数据库访问、视频会议等)
- 提供外部互联网访问
- 提供无线网络覆盖,支持移动办公和访客接入
- 提供网络安全防护,确保数据安全
- 提供公网Web服务器支持外部访问
- 提供网络管理功能,支持集中管理与监控
2.3 实现语言
- 网络设备配置语言如华为VRP等
- 网络管理软件如Huawei Web端管理
2.4 客户特点
- 公司总部大楼内网络覆盖需求广泛,包括办公区、会议室、服务器机房等
- 对网络安全要求较高,需保护敏感数据
- 网络需具备良好的扩展性,支持未来业务增长
- 需提供无线网络覆盖,支持移动办公和访客接入
2.5 一般约束
- 项目预算需在合理范围内
- 项目需在合同签订后3个月内完成
- 网络设计需考虑未来技术升级与扩展
---
3. 详细需求
3.1 功能需求
3.1.1 引言
网络需支持公司日常办公、项目管理、数据存储及未来业务扩展需求,确保所有员工能够顺畅访问内部资源和外部互联网。
3.1.2 内部网功能类型
- 文件共享
- 数据库访问
- 视频会议
- 项目管理
- 数据备份与恢复
3.1.3 外部网功能类型
- 互联网访问
- 公网Web服务器
3.2 网络基本构造需求
3.2.1 拓扑结构需求
- 采用三层网络结构(接入层、汇聚层、核心层)
- 支持VLAN划分确保不同部门之间的网络流量隔离
- 支持无线网络覆盖,确保移动办公和访客接入
3.2.2 网络节点需求
- 网络节点需覆盖所有办公区域、会议室、服务器机房及公共区域
- 网络设备(如交换机、路由器)需满足高性能需求
- 终端设备如PC、打印机、投影仪需能够接入网络
3.2.3 网络链路需求
- 主干链路采用光纤,确保高速数据传输
- 无线网络需支持高带宽应用(如视频会议)
- 网络链路需具备良好的扩展性,支持未来带宽需求
3.3 网络性能需求
- 网络需支持高速数据传输,确保员工能够高效访问内部服务器和外部互联网
- 网络带宽需满足视频会议、文件传输等高带宽应用需求
- 网络延迟需控制在合理范围内,确保用户体验
3.4 网络安全需求
- 部署防火墙,保护公司网络免受外部攻击
- 不同部门之间的网络流量需进行隔离,确保敏感数据的安全性
- 需记录网络日志,便于故障排查和安全审计
3.5 网络管理需求
- 所有网络设备需支持集中管理,方便网络管理员进行配置和监控
- 网络设备需记录日志,便于故障排查和安全审计
- 网络管理员需能够远程访问和管理网络设备
3.6 网络扩展需求
- 网络需预留足够的端口和带宽,以便未来增加新的设备或用户
- 网络设计需考虑到未来的技术升级,确保能够支持新的网络协议和设备
3.7 服务器和存储需求
- 需为公司的Web服务器和数据库服务器提供稳定的网络连接
- 需确保重要数据的定期备份和快速恢复能力
3.8 终端设备需求
- 所有员工的电脑、打印机等设备需能够接入网络
- 会议室内的投影仪、视频会议设备等也需接入网络,确保会议和协作的顺利进行
---
4. 支持信息
4.1 目次和索引
- 项目背景
- 项目目标
- 需求详述
- 项目交付要求
- 预算要求
- 其他要求
4.2 附录
- 网络拓扑图
- 设备配置文档
- 操作手册
- 项目进度表
---
5. 项目交付要求
- 完整的网络拓扑设计及实施方案
- 所有网络设备的安装、配置及调试
- 网络安全策略的部署及测试
- 网络管理系统的部署及培训
- 项目文档(包括网络拓扑图、设备配置文档、操作手册等)
- 项目需在合同签订后3个月内完成包括设计、采购、安装、调试及测试
---
6. 预算要求
- 项目预算需在合理范围内,具体金额可根据设计方案进行调整
- 确保在满足需求的同时控制成本,提供性价比高的解决方案
---
7. 其他要求
7.1 培训需求
- 项目实施完成后需为客户IT团队提供相关设备的操作和维护培训确保其能够独立进行日常管理和故障排查
7.2 售后服务
- 需提供至少1年的免费售后服务包括设备维护、故障排查及技术支持
- 需提供7x24小时的技术支持热线确保在出现紧急问题时能够及时响应
感谢您的详细说明!根据拓扑表中的信息,特别是“机上聚合接口”列中的 `CORE-x` 表示核心堆叠中的 `Eth-x` 接口,我们可以重新整理并替换教程中的配置。以下是修正后的配置:
---
配置 CORE 的 Eth-Trunk 功能和接口 IP 地址
+ 创建 Eth-Trunk1用于连接 AR1并加入 Eth-Trunk 成员接口。
```
[CORE] interface Eth-Trunk 1
[CORE-Eth-Trunk1] mode lacp
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet 0/0/3
[CORE-GigabitEthernet0/0/3] Eth-Trunk 1
[CORE-GigabitEthernet0/0/3] quit
[CORE] interface GigabitEthernet 1/0/3
[CORE-GigabitEthernet1/0/3] Eth-Trunk 1
[CORE-GigabitEthernet1/0/3] quit
```
+ 创建 Eth-Trunk2用于连接 AR2并加入 Eth-Trunk 成员接口。
```
[CORE] interface Eth-Trunk 2
[CORE-Eth-Trunk2] mode lacp
[CORE-Eth-Trunk2] quit
[CORE] interface GigabitEthernet 0/0/4
[CORE-GigabitEthernet0/0/4] Eth-Trunk 2
[CORE-GigabitEthernet0/0/4] quit
[CORE] interface GigabitEthernet 1/0/4
[CORE-GigabitEthernet1/0/4] Eth-Trunk 2
[CORE-GigabitEthernet1/0/4] quit
```
+ 创建 Eth-Trunk3用于连接 FW1外侧并加入 Eth-Trunk 成员接口。
```
[CORE] interface Eth-Trunk 3
[CORE-Eth-Trunk3] mode lacp
[CORE-Eth-Trunk3] quit
[CORE] interface GigabitEthernet 0/0/8
[CORE-GigabitEthernet0/0/8] Eth-Trunk 3
[CORE-GigabitEthernet0/0/8] quit
[CORE] interface GigabitEthernet 1/0/8
[CORE-GigabitEthernet1/0/8] Eth-Trunk 3
[CORE-GigabitEthernet1/0/8] quit
```
+ 创建 Eth-Trunk4用于连接 FW1内侧并加入 Eth-Trunk 成员接口。
```
[CORE] interface Eth-Trunk 4
[CORE-Eth-Trunk4] mode lacp
[CORE-Eth-Trunk4] quit
[CORE] interface GigabitEthernet 0/0/9
[CORE-GigabitEthernet0/0/9] Eth-Trunk 4
[CORE-GigabitEthernet0/0/9] quit
[CORE] interface GigabitEthernet 1/0/9
[CORE-GigabitEthernet1/0/9] Eth-Trunk 4
[CORE-GigabitEthernet1/0/9] quit
```
+ 创建 Eth-Trunk5用于连接 FW2外侧并加入 Eth-Trunk 成员接口。
```
[CORE] interface Eth-Trunk 5
[CORE-Eth-Trunk5] mode lacp
[CORE-Eth-Trunk5] quit
[CORE] interface GigabitEthernet 0/0/10
[CORE-GigabitEthernet0/0/10] Eth-Trunk 5
[CORE-GigabitEthernet0/0/10] quit
[CORE] interface GigabitEthernet 1/0/10
[CORE-GigabitEthernet1/0/10] Eth-Trunk 5
[CORE-GigabitEthernet1/0/10] quit
```
+ 创建 Eth-Trunk6用于连接 FW2内侧并加入 Eth-Trunk 成员接口。
```
[CORE] interface Eth-Trunk 6
[CORE-Eth-Trunk6] mode lacp
[CORE-Eth-Trunk6] quit
[CORE] interface GigabitEthernet 0/0/11
[CORE-GigabitEthernet0/0/11] Eth-Trunk 6
[CORE-GigabitEthernet0/0/11] quit
[CORE] interface GigabitEthernet 1/0/11
[CORE-GigabitEthernet1/0/11] Eth-Trunk 6
[CORE-GigabitEthernet1/0/11] quit
```
+ 创建 Eth-Trunk7用于连接 LSW5并加入 Eth-Trunk 成员接口。
```
[CORE] interface Eth-Trunk 7
[CORE-Eth-Trunk7] mode lacp
[CORE-Eth-Trunk7] quit
[CORE] interface GigabitEthernet 0/0/5
[CORE-GigabitEthernet0/0/5] Eth-Trunk 7
[CORE-GigabitEthernet0/0/5] quit
[CORE] interface GigabitEthernet 1/0/5
[CORE-GigabitEthernet1/0/5] Eth-Trunk 7
[CORE-GigabitEthernet1/0/5] quit
```
在 CORE 设备上创建 VLANIF 并配置 IP 地址
+ 创建 VLAN 并配置 VLANIF 接口。
```
[CORE] vlan batch 10 20 30 110 120 130
[CORE] interface Vlanif 10
[CORE-Vlanif10] ip address 192.168.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif 20
[CORE-Vlanif20] ip address 192.168.20.1 24
[CORE-Vlanif20] quit
[CORE] interface Vlanif 30
[CORE-Vlanif30] ip address 192.168.30.1 24
[CORE-Vlanif30] quit
[CORE] interface Vlanif 110
[CORE-Vlanif110] ip address 192.168.110.1 24
[CORE-Vlanif110] quit
[CORE] interface Vlanif 120
[CORE-Vlanif120] ip address 192.168.120.1 24
[CORE-Vlanif120] quit
[CORE] interface Vlanif 130
[CORE-Vlanif130] ip address 192.168.130.1 24
[CORE-Vlanif130] quit
```
+ 配置 Eth-Trunk 的 VLAN 允许列表
- 配置 Eth-Trunk1 允许 VLAN10。
```
[CORE] interface Eth-Trunk 1
[CORE-Eth-Trunk1] port link-type trunk
[CORE-Eth-Trunk1] port trunk allow-pass vlan 10
[CORE-Eth-Trunk1] quit
```
- 配置 Eth-Trunk2 允许 VLAN10。
```
[CORE] interface Eth-Trunk 2
[CORE-Eth-Trunk2] port link-type trunk
[CORE-Eth-Trunk2] port trunk allow-pass vlan 10
[CORE-Eth-Trunk2] quit
```
- 配置 Eth-Trunk3 允许 VLAN20。
```
[CORE] interface Eth-Trunk 3
[CORE-Eth-Trunk3] port link-type trunk
[CORE-Eth-Trunk3] port trunk allow-pass vlan 20
[CORE-Eth-Trunk3] quit
```
- 配置 Eth-Trunk4 允许 VLAN30。
```
[CORE] interface Eth-Trunk 4
[CORE-Eth-Trunk4] port link-type trunk
[CORE-Eth-Trunk4] port trunk allow-pass vlan 30
[CORE-Eth-Trunk4] quit
```
- 配置 Eth-Trunk5 允许 VLAN20。
```
[CORE] interface Eth-Trunk 5
[CORE-Eth-Trunk5] port link-type trunk
[CORE-Eth-Trunk5] port trunk allow-pass vlan 20
[CORE-Eth-Trunk5] quit
```
- 配置 Eth-Trunk6 允许 VLAN30。
```
[CORE] interface Eth-Trunk 6
[CORE-Eth-Trunk6] port link-type trunk
[CORE-Eth-Trunk6] port trunk allow-pass vlan 30
[CORE-Eth-Trunk6] quit
```
- 配置 Eth-Trunk7 允许 VLAN130。
```
[CORE] interface Eth-Trunk 7
[CORE-Eth-Trunk7] port link-type trunk
[CORE-Eth-Trunk7] port trunk allow-pass vlan 130
[CORE-Eth-Trunk7] quit
```
这是一段普通的文本。
<p style="color: red;">这是红色的文本。</p>
<p style="color: blue;">这是蓝色的文本。</p>
<p style="color: green;">这是绿色的文本。</p>
这是一段普通的文本。
感谢您的详细说明!根据拓扑表中的信息,特别是设备名称和接口的对应关系,我们可以重新整理并替换教程中的配置。以下是修正后的配置:
---
配置 AR1 和 AR2 的 Eth-Trunk 功能和接口 IP 地址
+ 在 AR1 上创建 Eth-Trunk2并加入成员接口。
```plaintext
<HUAWEI> system-view
[HUAWEI] sysname AR1
[AR1] interface Eth-Trunk 2
[AR1-Eth-Trunk2] undo portswitch
[AR1-Eth-Trunk2] mode lacp-static
[AR1-Eth-Trunk2] quit
[AR1] interface GigabitEthernet 0/0/4 // 连接到 CORE 的 Eth-Trunk2
[AR1-GigabitEthernet0/0/4] Eth-Trunk 2
[AR1-GigabitEthernet0/0/4] quit
[AR1] interface GigabitEthernet 0/0/5 // 连接到 CORE 的 Eth-Trunk2
[AR1-GigabitEthernet0/0/5] Eth-Trunk 2
[AR1-GigabitEthernet0/0/5] quit
```
+ 在 AR1 上配置 Dot1q 终结子接口及 IP 地址,并终结 VLAN10。
```plaintext
[AR1] interface Eth-Trunk 2.10
[AR1-Eth-Trunk2.10] ip address 192.168.10.2 24
[AR1-Eth-Trunk2.10] dot1q termination vid 10
[AR1-Eth-Trunk2.10] quit
```
---
+ 在 AR2 上创建 Eth-Trunk4并加入成员接口。
```plaintext
<HUAWEI> system-view
[HUAWEI] sysname AR2
[AR2] interface Eth-Trunk 4
[AR2-Eth-Trunk4] undo portswitch
[AR2-Eth-Trunk4] mode lacp-static
[AR2-Eth-Trunk4] quit
[AR2] interface GigabitEthernet 0/0/4 // 连接到 CORE 的 Eth-Trunk4
[AR2-GigabitEthernet0/0/4] Eth-Trunk 4
[AR2-GigabitEthernet0/0/4] quit
[AR2] interface GigabitEthernet 0/0/5 // 连接到 CORE 的 Eth-Trunk4
[AR2-GigabitEthernet0/0/5] Eth-Trunk 4
[AR2-GigabitEthernet0/0/5] quit
```
+ 在 AR2 上配置 Dot1q 终结子接口及 IP 地址,并终结 VLAN10。
```plaintext
[AR2] interface Eth-Trunk 4.10
[AR2-Eth-Trunk4.10] ip address 192.168.10.3 24
[AR2-Eth-Trunk4.10] dot1q termination vid 10
[AR2-Eth-Trunk4.10] quit
```
根据拓扑表中的信息,特别是设备名称和接口的对应关系,我们可以重新整理并替换教程中的配置。以下是修正后的配置:
---
配置 AR1 和 AR2 的路由
1. 在 AR1 上配置 OSPF。
```plaintext
[AR1] ospf 100 router-id 1.1.1.1
[AR1-ospf-100] area 0
[AR1-ospf-100-area-0.0.0.0] network 192.168.10.0 0.0.0.255 // 将连接 CORE 的网段发布到 OSPF 中
[AR1-ospf-100-area-0.0.0.0] quit
[AR1-ospf-100] quit
```
2. 在 AR2 上配置 OSPF。
```plaintext
[AR2] ospf 100 router-id 2.2.2.2
[AR2-ospf-100] area 0
[AR2-ospf-100-area-0.0.0.0] network 192.168.10.0 0.0.0.255 // 将连接 CORE 的网段发布到 OSPF 中
[AR2-ospf-100-area-0.0.0.0] quit
[AR2-ospf-100] quit
```
---
总结:
1. AR1 配置:
- 配置 OSPF 进程 100Router ID 为 `1.1.1.1`。
- 在 OSPF Area 0 中发布网段 `192.168.10.0/24`(连接 CORE 的网段)。
2. AR2 配置:
- 配置 OSPF 进程 100Router ID 为 `2.2.2.2`。
- 在 OSPF Area 0 中发布网段 `192.168.10.0/24`(连接 CORE 的网段)。
---
补充说明:
- 设备名称:根据拓扑表,将 RouterA 和 RouterB 替换为 AR1 和 AR2。
- 网段替换:根据拓扑表中的 IP 地址信息,将 `10.10.4.0/24` 替换为 `192.168.10.0/24`,这是 AR1 和 AR2 连接 CORE 的网段。
- Router ID为 AR1 和 AR2 分别配置了唯一的 Router ID`1.1.1.1` 和 `2.2.2.2`)。
希望这次的配置符合您的需求!如果还有其他问题,请随时告知。
根据拓扑表中的信息,特别是设备名称和接口的对应关系,我们可以重新整理并替换教程中的配置。以下是修正后的配置,并补充了 FW2 的静态路由配置:
---
在 FW1 和 FW2 上配置静态路由
+ 在 FW1 上配置静态路由。
```plaintext
[FW1] ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 // 对于上行流量,缺省路由下一跳为 CORE 的 Public 接口 VLANIF20 的 IP 地址
[FW1] ip route-static 192.168.110.0 255.255.255.0 192.168.30.1 // 对于下行流量,目的地址为 VLAN110 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
[FW1] ip route-static 192.168.120.0 255.255.255.0 192.168.30.1 // 对于下行流量,目的地址为 VLAN120 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
[FW1] ip route-static 192.168.130.0 255.255.255.0 192.168.30.1 // 对于下行流量,目的地址为 VLAN130 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
```
+ 在 FW2 上配置静态路由。
```plaintext
[FW2] ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 // 对于上行流量,缺省路由下一跳为 CORE 的 Public 接口 VLANIF20 的 IP 地址
[FW2] ip route-static 192.168.110.0 255.255.255.0 192.168.30.1 // 对于下行流量,目的地址为 VLAN110 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
[FW2] ip route-static 192.168.120.0 255.255.255.0 192.168.30.1 // 对于下行流量,目的地址为 VLAN120 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
[FW2] ip route-static 192.168.130.0 255.255.255.0 192.168.30.1 // 对于下行流量,目的地址为 VLAN130 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
```
---
总结:
1. FW1 配置:
- 配置缺省路由,下一跳为 CORE 的 Public 接口 VLANIF20 的 IP 地址 `192.168.20.1`。
- 配置静态路由,目的地址为 VLAN110、VLAN120 和 VLAN130 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址 `192.168.30.1`。
2. FW2 配置:
- 配置缺省路由,下一跳为 CORE 的 Public 接口 VLANIF20 的 IP 地址 `192.168.20.1`。
- 配置静态路由,目的地址为 VLAN110、VLAN120 和 VLAN130 网络,下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址 `192.168.30.1`。
---
补充说明:
- 设备名称:根据拓扑表,将 FWA 和 FWB 替换为 FW1 和 FW2。
- IP 地址替换:根据拓扑表中的 IP 地址信息,将 `10.10.2.1` 替换为 `192.168.20.1`CORE 的 Public 接口 VLANIF20 的 IP 地址),将 `10.10.3.1` 替换为 `192.168.30.1`CORE 的 Private 接口 VLANIF30 的 IP 地址)。
- 目的网段:根据拓扑表中的 VLAN 信息,将 `10.10.50.0/24` 和 `10.10.60.0/24` 替换为 `192.168.110.0/24`、`192.168.120.0/24` 和 `192.168.130.0/24`(分别对应 VLAN110、VLAN120 和 VLAN130
希望这次的配置符合您的需求!如果还有其他问题,请随时告知。
根据拓扑表中的信息,特别是设备名称和接口的对应关系,我们可以重新整理并替换教程中的配置。以下是修正后的配置:
---
配置 FW1 和 FW2 的接口与安全区域
1. 在 FW1 上配置接口与安全区域。
```plaintext
[FW1] interface Eth-Trunk 3 // 配置与 CORE 连接的接口及 IP 地址(外侧)
[FW1-Eth-Trunk3] ip address 192.168.20.2 24
[FW1-Eth-Trunk3] mode lacp-static
[FW1-Eth-Trunk3] quit
[FW1] interface GigabitEthernet 0/0/0 // 在 Eth-Trunk3 中加入成员接口
[FW1-GigabitEthernet0/0/0] Eth-Trunk 3
[FW1-GigabitEthernet0/0/0] quit
[FW1] interface GigabitEthernet 0/0/2 // 在 Eth-Trunk3 中加入成员接口
[FW1-GigabitEthernet0/0/2] Eth-Trunk 3
[FW1-GigabitEthernet0/0/2] quit
[FW1] interface Eth-Trunk 4 // 配置与 CORE 连接的接口及 IP 地址(内侧)
[FW1-Eth-Trunk4] ip address 192.168.30.2 24
[FW1-Eth-Trunk4] mode lacp-static
[FW1-Eth-Trunk4] quit
[FW1] interface GigabitEthernet 0/0/1 // 在 Eth-Trunk4 中加入成员接口
[FW1-GigabitEthernet0/0/1] Eth-Trunk 4
[FW1-GigabitEthernet0/0/1] quit
[FW1] interface GigabitEthernet 0/0/3 // 在 Eth-Trunk4 中加入成员接口
[FW1-GigabitEthernet0/0/3] Eth-Trunk 4
[FW1-GigabitEthernet0/0/3] quit
[FW1] interface Eth-Trunk 1 // 配置 FW1 与 FW2 连接的接口
[FW1-Eth-Trunk1] ip address 10.1.1.1 24
[FW1-Eth-Trunk1] mode lacp-static
[FW1-Eth-Trunk1] quit
[FW1] interface GigabitEthernet 0/0/4 // 在 Eth-Trunk1 中加入成员接口
[FW1-GigabitEthernet0/0/4] Eth-Trunk 1
[FW1-GigabitEthernet0/0/4] quit
[FW1] interface GigabitEthernet 0/0/5 // 在 Eth-Trunk1 中加入成员接口
[FW1-GigabitEthernet0/0/5] Eth-Trunk 1
[FW1-GigabitEthernet0/0/5] quit
[FW1] firewall zone trust
[FW1-zone-trust] add interface Eth-Trunk 4 // 将连接内网的 Eth-Trunk4 加入安全区域
[FW1-zone-trust] quit
[FW1] firewall zone untrust
[FW1-zone-untrust] add interface Eth-Trunk 3 // 将连接外网的 Eth-Trunk3 加入非安全区域
[FW1-zone-untrust] quit
[FW1] firewall zone dmz
[FW1-zone-dmz] add interface Eth-Trunk 1 // 将 FW1 与 FW2 之间的接口加入 DMZ 区域
[FW1-zone-dmz] quit
```
2. 在 FW2 上配置接口与安全区域。
```plaintext
<sysname> system-view
[sysname] sysname FW2
[FW2] interface Eth-Trunk 3 // 配置与 CORE 连接的接口及 IP 地址(外侧)
[FW2-Eth-Trunk3] ip address 192.168.20.3 24
[FW2-Eth-Trunk3] mode lacp-static
[FW2-Eth-Trunk3] quit
[FW2] interface GigabitEthernet 0/0/0 // 在 Eth-Trunk3 中加入成员接口
[FW2-GigabitEthernet0/0/0] Eth-Trunk 3
[FW2-GigabitEthernet0/0/0] quit
[FW2] interface GigabitEthernet 0/0/2 // 在 Eth-Trunk3 中加入成员接口
[FW2-GigabitEthernet0/0/2] Eth-Trunk 3
[FW2-GigabitEthernet0/0/2] quit
[FW2] interface Eth-Trunk 4 // 配置与 CORE 连接的接口及 IP 地址(内侧)
[FW2-Eth-Trunk4] ip address 192.168.30.3 24
[FW2-Eth-Trunk4] mode lacp-static
[FW2-Eth-Trunk4] quit
[FW2] interface GigabitEthernet 0/0/1 // 在 Eth-Trunk4 中加入成员接口
[FW2-GigabitEthernet0/0/1] Eth-Trunk 4
[FW2-GigabitEthernet0/0/1] quit
[FW2] interface GigabitEthernet 0/0/3 // 在 Eth-Trunk4 中加入成员接口
[FW2-GigabitEthernet0/0/3] Eth-Trunk 4
[FW2-GigabitEthernet0/0/3] quit
[FW2] interface Eth-Trunk 1 // 配置 FW2 与 FW1 连接的接口
[FW2-Eth-Trunk1] ip address 10.1.1.2 24
[FW2-Eth-Trunk1] mode lacp-static
[FW2-Eth-Trunk1] quit
[FW2] interface GigabitEthernet 0/0/4 // 在 Eth-Trunk1 中加入成员接口
[FW2-GigabitEthernet0/0/4] Eth-Trunk 1
[FW2-GigabitEthernet0/0/4] quit
[FW2] interface GigabitEthernet 0/0/5 // 在 Eth-Trunk1 中加入成员接口
[FW2-GigabitEthernet0/0/5] Eth-Trunk 1
[FW2-GigabitEthernet0/0/5] quit
[FW2] firewall zone trust
[FW2-zone-trust] add interface Eth-Trunk 4 // 将连接内网的 Eth-Trunk4 加入安全区域
[FW2-zone-trust] quit
[FW2] firewall zone untrust
[FW2-zone-untrust] add interface Eth-Trunk 3 // 将连接外网的 Eth-Trunk3 加入非安全区域
[FW2-zone-untrust] quit
[FW2] firewall zone dmz
[FW2-zone-dmz] add interface Eth-Trunk 1 // 将 FW2 与 FW1 之间的接口加入 DMZ 区域
[FW2-zone-dmz] quit
```
---
总结:
1. FW1 配置:
- 配置 Eth-Trunk3 和 Eth-Trunk4分别用于连接 CORE 的外侧和内侧接口。
- 配置 Eth-Trunk1用于连接 FW2。
- 将 Eth-Trunk4 加入安全区域trustEth-Trunk3 加入非安全区域untrustEth-Trunk1 加入 DMZ 区域。
2. FW2 配置:
- 配置 Eth-Trunk3 和 Eth-Trunk4分别用于连接 CORE 的外侧和内侧接口。
- 配置 Eth-Trunk1用于连接 FW1。
- 将 Eth-Trunk4 加入安全区域trustEth-Trunk3 加入非安全区域untrustEth-Trunk1 加入 DMZ 区域。
---
补充说明:
- 设备名称:根据拓扑表,将 FWA 和 FWB 替换为 FW1 和 FW2。
- 接口替换根据拓扑表中的信息FW1 和 FW2 的接口分别连接到 CORE 的 Eth-Trunk3 和 Eth-Trunk4。
- IP 地址替换:根据拓扑表中的 IP 地址信息,将 `10.10.2.2` 替换为 `192.168.20.2`,将 `10.10.3.2` 替换为 `192.168.30.2`,将 `10.10.2.3` 替换为 `192.168.20.3`,将 `10.10.3.3` 替换为 `192.168.30.3`。
希望这次的配置符合您的需求!如果还有其他问题,请随时告知。
根据您的要求,我们将 VRF-A 实例替换为 Private 实例,并调整相关配置。以下是修正后的配置:
---
配置 CORE 的路由
1. 在 CORE 上创建 VPN 实例 Public将连接路由器的接口和连接防火墙上行口的接口绑定到 Public。
```plaintext
[CORE] ip vpn-instance Public // 创建 Public
[CORE-vpn-instance-Public] ipv4-family
[CORE-vpn-instance-Public-af-ipv4] route-distinguisher 100:2
[CORE-vpn-instance-Public-af-ipv4] vpn-target 222:2 both
[CORE-vpn-instance-Public-af-ipv4] quit
[CORE-vpn-instance-Public] quit
[CORE] interface Vlanif 10
[CORE-Vlanif10] ip binding vpn-instance Public // 将 CORE 连接路由器的接口 VLANIF10 绑定至 Public
[CORE-Vlanif10] ip address 192.168.10.1 24 // 将接口绑定到 Public 时,接口上的 IP 地址会被删除,需要重新配置 IP 地址
[CORE-Vlanif10] quit
[CORE] interface Vlanif 20
[CORE-Vlanif20] ip binding vpn-instance Public // 将 CORE 连接防火墙上行口的接口 VLANIF20 绑定至 Public
[CORE-Vlanif20] ip address 192.168.20.1 24 // 将接口绑定到 Public 时,接口上的 IP 地址会被删除,需要重新配置 IP 地址
[CORE-Vlanif20] quit
```
2. 对于上行流量,在 Public 中配置静态路由,路由下一跳指向路由器 VRRP 虚拟 IP。
```plaintext
[CORE] ip route-static vpn-instance Public 0.0.0.0 0.0.0.0 192.168.10.100 // 缺省路由下一跳指向 VRRP 虚拟 IP
```
3. 对于下行流量,在 Public 中配置静态路由,路由下一跳指向防火墙上行 VRRP 1 的虚拟 IPVRID1
```plaintext
[CORE] ip route-static vpn-instance Public 192.168.110.0 255.255.255.0 192.168.20.2 // 目的地址为 VLAN110 网络,下一跳指向 FW1 的上行接口
[CORE] ip route-static vpn-instance Public 192.168.120.0 255.255.255.0 192.168.20.2 // 目的地址为 VLAN120 网络,下一跳指向 FW1 的上行接口
[CORE] ip route-static vpn-instance Public 192.168.130.0 255.255.255.0 192.168.20.2 // 目的地址为 VLAN130 网络,下一跳指向 FW1 的上行接口
```
4. 对于下行流量,在 CORE 与 AR1、AR2 之间运行 OSPF 协议,用于 AR1、AR2 学习到业务网段的回程路由信息。
```plaintext
[CORE] ospf 100 router-id 1.1.1.1 vpn-instance Public
[CORE-ospf-100] area 0
[CORE-ospf-100-area-0.0.0.0] network 192.168.10.0 0.0.0.255 // 将连接 AR1、AR2 的网段发布到 OSPF 中
[CORE-ospf-100-area-0.0.0.0] quit
[CORE-ospf-100] import-route static // 在 OSPF 中引入静态路由
[CORE-ospf-100] quit
```
5. 对于上行流量,在 CORE 上创建 VPN 实例 Private将连接业务网络的接口和连接防火墙下行的接口绑定到 PrivatePrivate 的缺省路由下一跳指向防火墙下行 VRRP 虚拟 IPVRID2
```plaintext
[CORE] ip vpn-instance Private // 创建 Private
[CORE-vpn-instance-Private] ipv4-family
[CORE-vpn-instance-Private-af-ipv4] route-distinguisher 100:1
[CORE-vpn-instance-Private-af-ipv4] vpn-target 111:1 both
[CORE-vpn-instance-Private-af-ipv4] quit
[CORE-vpn-instance-Private] quit
[CORE] interface Vlanif 110
[CORE-Vlanif110] ip binding vpn-instance Private // 将 CORE 连接 VLAN110 的接口 VLANIF110 绑定至 Private
[CORE-Vlanif110] ip address 192.168.110.1 24 // 将接口绑定到 Private 时,接口上的 IP 地址会被删除,需要重新配置 IP 地址
[CORE-Vlanif110] quit
[CORE] interface Vlanif 120
[CORE-Vlanif120] ip binding vpn-instance Private // 将 CORE 连接 VLAN120 的接口 VLANIF120 绑定至 Private
[CORE-Vlanif120] ip address 192.168.120.1 24 // 将接口绑定到 Private 时,接口上的 IP 地址会被删除,需要重新配置 IP 地址
[CORE-Vlanif120] quit
[CORE] interface Vlanif 130
[CORE-Vlanif130] ip binding vpn-instance Private // 将 CORE 连接 VLAN130 的接口 VLANIF130 绑定至 Private
[CORE-Vlanif130] ip address 192.168.130.1 24 // 将接口绑定到 Private 时,接口上的 IP 地址会被删除,需要重新配置 IP 地址
[CORE-Vlanif130] quit
[CORE] interface Vlanif 30
[CORE-Vlanif30] ip binding vpn-instance Private // 将 CORE 连接防火墙下行的接口 VLANIF30 绑定至 Private
[CORE-Vlanif30] ip address 192.168.30.1 24 // 将接口绑定到 Private 时,接口上的 IP 地址会被删除,需要重新配置 IP 地址
[CORE-Vlanif30] quit
```
6. 在 Private 中配置缺省路由,下一跳指向防火墙下行 VRRP 2 的虚拟 IPVRID2
```plaintext
[CORE] ip route-static vpn-instance Private 0.0.0.0 0.0.0.0 192.168.30.2 // 缺省路由下一跳指向 FW1 的下行接口
```
---
总结:
1. Public VPN 实例:
- 创建 Public VPN 实例,绑定 VLANIF10 和 VLANIF20。
- 配置静态路由,上行流量指向 VRRP 虚拟 IP `192.168.10.100`,下行流量指向 FW1 的上行接口 `192.168.20.2`。
- 在 OSPF 中发布 `192.168.10.0/24` 网段,并引入静态路由。
2. Private VPN 实例:
- 创建 Private VPN 实例,绑定 VLANIF110、VLANIF120、VLANIF130 和 VLANIF30。
- 配置缺省路由,下一跳指向 FW1 的下行接口 `192.168.30.2`。
---
补充说明:
- 设备名称:根据拓扑表,将 RouterA 和 RouterB 替换为 AR1 和 AR2将 FWA 和 FWB 替换为 FW1 和 FW2。
- IP 地址替换:根据拓扑表中的 IP 地址信息,将 `10.10.4.1` 替换为 `192.168.10.1`,将 `10.10.2.1` 替换为 `192.168.20.1`,将 `10.10.50.1` 替换为 `192.168.110.1`,将 `10.10.60.1` 替换为 `192.168.120.1`,将 `10.10.3.1` 替换为 `192.168.30.1`。
- VRRP 虚拟 IP根据拓扑表VRRP 虚拟 IP 为 `192.168.10.100`。
希望这次的配置符合您的需求!如果还有其他问题,请随时告知。
根据拓扑表中的信息,特别是端口的 Access 和 Trunk 性质,我们可以补全接入层的配置。以下是详细的配置:
---
配置接入层
1. 配置 LSW3
```plaintext
<HUAWEI> system-view
[HUAWEI] sysname LSW3
[LSW3] vlan batch 110 // 创建 VLAN110
[LSW3] interface GigabitEthernet 0/0/1 // 配置连接 PC1 的接口为 Access 模式,加入 VLAN110
[LSW3-GigabitEthernet0/0/1] port link-type access
[LSW3-GigabitEthernet0/0/1] port default vlan 110
[LSW3-GigabitEthernet0/0/1] quit
[LSW3] interface GigabitEthernet 0/0/2 // 配置连接 PC2 的接口为 Access 模式,加入 VLAN110
[LSW3-GigabitEthernet0/0/2] port link-type access
[LSW3-GigabitEthernet0/0/2] port default vlan 110
[LSW3-GigabitEthernet0/0/2] quit
[LSW3] interface GigabitEthernet 0/0/3 // 配置连接 LSW1 的接口为 Trunk 模式,允许 VLAN110 通过
[LSW3-GigabitEthernet0/0/3] port link-type trunk
[LSW3-GigabitEthernet0/0/3] port trunk allow-pass vlan 110
[LSW3-GigabitEthernet0/0/3] quit
[LSW3] interface GigabitEthernet 0/0/4 // 配置连接 LSW2 的接口为 Trunk 模式,允许 VLAN110 通过
[LSW3-GigabitEthernet0/0/4] port link-type trunk
[LSW3-GigabitEthernet0/0/4] port trunk allow-pass vlan 110
[LSW3-GigabitEthernet0/0/4] quit
```
2. 配置 LSW4
```plaintext
<HUAWEI> system-view
[HUAWEI] sysname LSW4
[LSW4] vlan batch 120 // 创建 VLAN120
[LSW4] interface GigabitEthernet 0/0/1 // 配置连接 Asso 的接口为 Access 模式,加入 VLAN120
[LSW4-GigabitEthernet0/0/1] port link-type access
[LSW4-GigabitEthernet0/0/1] port default vlan 120
[LSW4-GigabitEthernet0/0/1] quit
[LSW4] interface GigabitEthernet 0/0/2 // 配置连接 Boss 的接口为 Access 模式,加入 VLAN120
[LSW4-GigabitEthernet0/0/2] port link-type access
[LSW4-GigabitEthernet0/0/2] port default vlan 120
[LSW4-GigabitEthernet0/0/2] quit
[LSW4] interface GigabitEthernet 0/0/3 // 配置连接 LSW1 的接口为 Trunk 模式,允许 VLAN120 通过
[LSW4-GigabitEthernet0/0/3] port link-type trunk
[LSW4-GigabitEthernet0/0/3] port trunk allow-pass vlan 120
[LSW4-GigabitEthernet0/0/3] quit
[LSW4] interface GigabitEthernet 0/0/4 // 配置连接 LSW2 的接口为 Trunk 模式,允许 VLAN120 通过
[LSW4-GigabitEthernet0/0/4] port link-type trunk
[LSW4-GigabitEthernet0/0/4] port trunk allow-pass vlan 120
[LSW4-GigabitEthernet0/0/4] quit
```
3. 配置 LSW5
```plaintext
<HUAWEI> system-view
[HUAWEI] sysname LSW5
[LSW5] vlan batch 130 // 创建 VLAN130
[LSW5] interface GigabitEthernet 0/0/2 // 配置连接 DataServer 的接口为 Access 模式,加入 VLAN130
[LSW5-GigabitEthernet0/0/2] port link-type access
[LSW5-GigabitEthernet0/0/2] port default vlan 130
[LSW5-GigabitEthernet0/0/2] quit
[LSW5] interface GigabitEthernet 0/0/3 // 配置连接 AP1 的接口为 Access 模式,加入 VLAN130
[LSW5-GigabitEthernet0/0/3] port link-type access
[LSW5-GigabitEthernet0/0/3] port default vlan 130
[LSW5-GigabitEthernet0/0/3] quit
[LSW5] interface GigabitEthernet 0/0/4 // 配置连接 LSW2 的接口为 Trunk 模式,允许 VLAN130 通过
[LSW5-GigabitEthernet0/0/4] port link-type trunk
[LSW5-GigabitEthernet0/0/4] port trunk allow-pass vlan 130
[LSW5-GigabitEthernet0/0/4] quit
[LSW5] interface GigabitEthernet 0/0/5 // 配置连接 LSW2 的接口为 Trunk 模式,允许 VLAN130 通过
[LSW5-GigabitEthernet0/0/5] port link-type trunk
[LSW5-GigabitEthernet0/0/5] port trunk allow-pass vlan 130
[LSW5-GigabitEthernet0/0/5] quit
```
---
总结:
1. **LSW3 配置**
- 创建 VLAN110。
- 配置连接 PC1 和 PC2 的接口为 Access 模式,加入 VLAN110。
- 配置连接 LSW1 和 LSW2 的接口为 Trunk 模式,允许 VLAN110 通过。
2. **LSW4 配置**
- 创建 VLAN120。
- 配置连接 Asso 和 Boss 的接口为 Access 模式,加入 VLAN120。
- 配置连接 LSW1 和 LSW2 的接口为 Trunk 模式,允许 VLAN120 通过。
3. **LSW5 配置**
- 创建 VLAN130。
- 配置连接 DataServer 和 AP1 的接口为 Access 模式,加入 VLAN130。
- 配置连接 LSW2 的接口为 Trunk 模式,允许 VLAN130 通过。
---
补充说明:
- **Access 模式**:用于连接终端设备(如 PC、服务器、AP 等),端口仅允许一个 VLAN 通过。
- **Trunk 模式**:用于连接交换机之间的链路,端口允许多个 VLAN 通过。
希望这次的配置符合您的需求!如果还有其他问题,请随时告知。
== 配置 CORE 作为 DHCP 服务器
para[
在 CORE 上配置 DHCP 服务器,为 VLANIF110 和 VLANIF120 接口下的客户端分配 IP 地址和相关网络参数。
配置 VLANIF110 接口的 DHCP 地址池
+ 配置 VLANIF110 接口下的客户端从接口地址池中获取 IP 地址和相关网络参数。
```plaintext
[CORE] interface vlanif 110
[CORE-Vlanif110] dhcp select interface
[CORE-Vlanif110] dhcp server gateway-list 192.168.110.1
[CORE-Vlanif110] dhcp server lease day 1
[CORE-Vlanif110] dhcp server domain-name huawei.com
[CORE-Vlanif110] dhcp server dns-list 192.168.110.1
[CORE-Vlanif110] quit
```
2. 配置 VLANIF120 接口的 DHCP 地址池
+ 配置 VLANIF120 接口下的客户端从接口地址池中获取 IP 地址和相关网络参数。
```plaintext
[CORE] interface vlanif 120
[CORE-Vlanif120] dhcp select interface
[CORE-Vlanif120] dhcp server gateway-list 192.168.120.1
[CORE-Vlanif120] dhcp server lease day 1
[CORE-Vlanif120] dhcp server domain-name huawei.com
[CORE-Vlanif120] dhcp server dns-list 192.168.120.1
[CORE-Vlanif120] quit
```
3. 查看 DHCP 地址池信息
+ 使用 `display ip pool` 命令查看 DHCP 地址池的配置和状态。
```plaintext
[CORE] display ip pool
-------------------------------------------------------------------------------------
Pool-name : Vlanif110
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Position : Interface
Status : Unlocked
Gateway-0 : 192.168.110.1
Network : 192.168.110.0
Mask : 255.255.255.0
VPN instance : Private
Conflicted address recycle interval: -
Address Statistic: Total :253 Used :2
Idle :251 Expired :0
Conflict :0 Disabled :0
-------------------------------------------------------------------------------------
Pool-name : Vlanif120
Pool-No : 1
Lease : 1 Days 0 Hours 0 Minutes
Position : Interface
Status : Unlocked
Gateway-0 : 192.168.120.1
Network : 192.168.120.0
Mask : 255.255.255.0
IP address Statistic
Total :506
Used :3 Idle :503
Expired :0 Conflict :0 Disabled :0
```
]
Reference in New Issue View Git Blame Copy Permalink