项目2-构建企业路由网络

项目2构建企业路由网络《云网络技术项目教程》目录/Contents22-1项目2构建企业路由网络任务2-2使用NAT实现内外网互访2-2任务2-1使用直连和静态路由实现企业内网互联项目1构建企业交换网络任务2-1配置路由实现企业内网互联2.1.1任务描述2.1.2必备知识2.1.3配置核心交换机直连路由实现部门之间互联

2.1.4配置静态路由实现核心与服务器互联2.1.5应用WEB和DHCP服务器学习目标【知识目标】（1）掌握计算机网络中路由的作用。（2）掌握静态路由的配置方法。（3）掌握网关和DNS（DomainNameSystem，

域名系统）的作用。学习目标【技能目标】（1）能够配置直连路由实现部门之间网络互联。（2）能够配置静态路由实现核心交换机与服务器之间互联。【网络拓扑】任务2-1的网络拓扑如图2-2所示。图2-2任务2-1网络拓扑2.1.2必备知识1.路由（1）路由过程计算机网络也叫分组交换网，当某个数据分组到达一个网络层设备（简单理解成配置了接口和IP地址的设备）后，这个设备会查看分组的目的IP地址。接下来查看自己的路由表，根据路由表信息对该分组进行转发，直到某个网络层设备找到目标地址为止。可见，计算机网络中最重要的设备就是网络层设备，这些设备通常包括路由器、三层交换机、防火墙等，其中路由器是最重要的三层网络设备。（2）路由器路由器是一种网络设备，工作在网络层。在物理上使用多个接口连接不同网络，具备路由选择、地址转换、防火墙、DHCP等多种功能，实现安全、高效的网络通信和资源共享。它的主要功能是根据目标地址将数据包从源网络转发到目标网络，实现数据包的路由，按照功能可以分为家庭路由器、中小型企业路由器、大型企业和运营商级路由器等不同类型。2.1.2必备知识1.路由（3）路由表三层网络设备依靠路由表进行分组转发，生成路由表的方法通常包括配置设备接口IP地址生成直连路由表、手工指定某个网络的下一跳地址生成静态路由表、配置动态路由协议生成动态路由表。路由表中通常包括的字段如表2-1所示。目的网络协议优先级代价值下一跳出接口/24Direct00GigabitEthernet0/0/0/16Static600GigabitEthernet0/0/1/24OSPF102GigabitEthernet0/0/22.1.2必备知识1.路由①目的网络目的网络用来匹配目的IP地址，当分组中的IP地址属于某个目的网络时，就会匹配到这条路由条目，如目的IP地址是00的分组就会匹配到表中第一条/24路由条目，当某个目的IP地址匹配多个路由条目时，如目的IP地址00既匹配/24，又可以匹配00/32，那么会采用最长掩码匹配的原则，匹配00/32这个路由条目。②协议协议字段表示该条路由条目是如何生成的，Direct表示直连路由、Static表示静态路由、OSPF是动态路由的一种，还有RIP（RoutinginformationProtocol，路由信息协议）和BGP(BorderGatewayProtocol，边界网关协议)等，目前在园区网络内部经常使用OSPF动态路由协议，在广域网中经常使用BGP边界网关动态路由协议生成路由表。③代价值代价值是从自身设备到达目的网络的代价，不同的路由协议算法是不一样的，直连和静态路由的代价值是0，动态路由中RIP是以跳数作为度量单位，OSPF是以链路带宽作为参考值，当同一种路由协议学习到了同一个路由条目，代价值小的会装入路由表。④下一跳下一跳指的是去往这个目的网络的下一跳地址，直连路由的下一跳是自身的某个接口IP地址，静态和动态路由的下一跳是与本身直连设备的接口IP地址。⑤出接口出接口指从自身的哪个接口将数据分组发送出去，比如当设备接收到一个去往00的分组时，查看路由表后，发现00属于/24这个网络，那么这个数据分组会从GigabitEthernet0/0/0发送出去。2.1.2必备知识2.静态路由静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。默认路由是一种特殊的静态路由，当某个网络设备接入网络时，只连着另一个网络设备，需要为这个设备配置默认路由，计算机终端配置的网关其实就是默认路由。2.1.2必备知识2.静态路由静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。默认路由是一种特殊的静态路由，当某个网络设备接入网络时，只连着另一个网络设备，需要为这个设备配置默认路由，计算机终端配置的网关其实就是默认路由。3.SVI虚拟交换接口SVI指在交换机上创建虚拟的虚拟接口，一个虚拟接口对应一个VLAN，通常也把这种接口称为逻辑三层接口，虽然SVI接口是虚拟的，但和真实的网卡接口功能是一致的，具备MAC地址和IP地址，可以完成ARP地址解析、数据转发等真实网卡功能。为虚拟的接口配置IP地址后，在交换机上就会生成直连路由表，进而为各个部门的VLAN用户提供路由转发服务。2.1.2必备知识4.网关和DNS在计算机网络中，如果一台设备进行数据交换的目标地址不属于自身知道的网络地址内，就无法进行数据转发，而且这种情况是大多数情况，比如局域网络中的某台计算机知道的网络中是不可能包含百度的IP地址的，那这台计算机想访问百度网站，该如何处理呢，答案是交给这台计算机的网关地址，网关设备知道的网络中也不包含百度的IP地址，那么就继续交给网络设备的下一跳，依次类推，所以说在计算机网络中，99%的设备都要配置自己的网关，目的就是当某个目的地不在自己知道的网络内时，交给下一跳处理。DNS是域名服务系统，当用户访问某个互联网上的主机应用时，比如访问百度的WEB网站服务，用户是无法记住百度的IP地址的，但可以记住百度的域名，当用户在浏览器中访问时，首先会访问本机配置的DNS服务器，由DNS服务器返回百度的IP地址，用户在通过IP地址访问百度服务器。在计算机中，可以在配置IP地址和子网掩码的对话框中配置网关和DNS，如图2-3所示，需要注意的是网关和自身IP地址一定处于同一个网络地址中，否则网关也不能到达。是谷歌公司提供的免费DNS服务地址，经常使用。图2-3任务2-1配置网关和DNS服务器4.网关和DNS1.1.2必备知识4.WEB（网站）服务WEB网站服务是互联网上应用最广泛的一种服务，使用http(HypertextTransferProtocol,超文本传输协议）在客户端和服务器端进行数据交换，功能如下。（1）内容展示WEB网站可以展示各种类型的内容，如文字、图片、音频、视频等。这些内容可以是新闻、文章、产品信息、多媒体资源等。（2）电子商务许多企业和商家通过WEB网站提供在线购物、支付和订单管理等电子商务功能，为用户提供便捷的购物体验。（3）社交互动社交媒体平台和社区网站是WEB网站服务的重要组成部分，让用户能够创建个人资料、发布内容、与他人互动、分享兴趣和经验等。（4）在线服务许多服务提供商通过WEB网站提供在线服务，如在线银行、在线学习、在线预订、在线咨询等。1.1.2必备知识5.DHCP动态主机配置DHCP动态主机配置协议是一个局域网的网络协议，在传输层使用UDP(UserDatagramProtocol，用户数据报）协议工作，服务器端采用67端口,客户端采用68端口。DHCP通常被用于局域网环境，主要作用是集中的管理、分配IP地址，使client动态的获得IP地址、网关地址、DNS服务器地址等信息，工作过程如下。（1）寻找DHCP服务器当DHCP客户端第一次登录网络的时候，计算机发现本机上没有任何IP地址设定，将以广播方式发送DHCPdiscover发现信息来寻找DHCP服务器，即向55发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收这个广播信息，但只有DHCP服务器才会做出响应。（2）分配IP地址在网络中接收到DHCPdiscover发现信息的DHCP服务器就会做出响应，它从尚未分配的IP地址池中挑选一个分配给DHCP客户机，向DHCP客户机发送一个包含分配的IP地址和其他设置的DHCPoffer提供信息。（3）接受IP地址DHCP客户端接受到DHCPoffer提供信息之后，选择第一个接收到的提供信息，然后以广播的方式回答一个DHCPrequest请求信息，该信息包含向它所选定的DHCP服务器请求IP地址的内容。2.1.3配置核心交换机直连路由实现部门之间互联1.配置SVI虚拟接口（1）创建SVI接口1楼的保卫处用户属于VLAN10、后勤处用户属于VLAN20、2楼销售部属于VLAN30、技术部属于VLAN40，所以首先在楼宇核心交换机上创建与用户对应的VLAN。[hj]vlanbatch10203040#创建与部门用户对应的vlan10、vlan20、vlan30、vlan40[hj]interfacevlan10#建立vlan10svi虚拟接口[hj-Vlanif10]quit[hj]interfacevlan20#建立vlan20svi虚拟接口[hj-Vlanif20]quit[hj]interfacevlan30#建立vlan30svi虚拟接口[hj-Vlanif30] [hj-Vlanif30]quit[hj]interfacevlan40#建立vlan40svi虚拟接口[hj-Vlanif40]quit2.1.3配置核心交换机直连路由实现部门之间互联1.配置SVI虚拟接口（2）配置接口的IP地址，生成直连路由[hj]interfacevlan10#进入vlan10SVI接口[hj-Vlanif10]ipaddress24#配置IP地址为[hj-Vlanif10]quit[hj]interfacevlan20进入vlan20SVI接口[hj-Vlanif20]ipaddress24#配置IP地址为[hj-Vlanif20]quit[hj]interfacevlan30#进入vlan30SVI接口[hj-Vlanif30]ipaddress24#配置IP地址为

[hj-Vlanif30]quit[hj]interfacevlan40#进入vlan40SVI接口[hj-Vlanif40]ipaddress24#配置IP地址为三类私有IP地址范围2.1.3配置核心交换机直连路由实现部门之间互联1.配置SVI虚拟接口（3）查看某个虚拟接口地址配置完接口的IP地址后，可以通过disinterface加上接口名显示某个接口的配置信息，如查看vlan10虚拟接口的信息，结果如图2-4所示，vlan10虚拟接口的IP地址和硬件地址都存在了，和普通的网卡接口功能一致，可以正常接收和转发数据了。图2-4任务2-1查看vlan10虚拟接口地址2.1.3配置核心交换机直连路由实现部门之间互联1.配置SVI虚拟接口（4）查看全部接口IP地址可以通过displayipinterfacebrief命令查看某个设备所有三层接口的IP地址信息，查看核心交换机的所有三层接口IP地址，如图2-5所示，从图中可以发现4个虚拟接口配置的IP地址和子网掩码了，需要注意的是，只有当Physical（物理）和Protocol（协议）字段都是up状态，该接口才能正常转发数据。图2-5任务2-1查看核心交换机的接口和IP地址2.1.3配置核心交换机直连路由实现部门之间互联1.配置SVI虚拟接口（5）查看路由表配置了三层设备的接口IP地址后，就会在设备上自动的生成关于接口地址配置的直连路由，查看三层设备的路由表命令是displayiprouting-table，核心交换机的路由表如图2-6所示，从表中可以发现，proto协议字段值是Direct的条目时直连路由。图2-6任务2-1查看核心交换机的路由表2.1.3配置核心交换机直连路由实现部门之间互联1.配置SVI虚拟接口其中是设备默认的环回接口。当配置了某个接口的IP地址后，会生成关于这个配置的两条路由，其中一条是配置的IP地址所在的网络，如配置了/24，那么会生成/24这条路由，下一跳是接口的IP地址，出接口即SVI虚拟接口VLAN10。同时还生成了/32的一条主机路由，代表就是本设备的一个接口，下一跳是代表自己，出接口是VLAN10。其它路由条目的生成与VLAN10道理一致。2.1.3配置核心交换机直连路由实现部门之间互联2.测试部门用户网络互联（1）配置部门用户网关在核心交换机上配置虚拟接口和IP地址的目的是为每个VLAN用户提供网关，即当某个VLAN用户无法访问某个目标主机时，将请求发送给网关，即配置的VLAN虚拟接口，所以首先配置每个VLAN用户的网关地址。1楼101和102房间的保卫处属于VLAN10，所以配置这两个房间主机的网关是。103房间后勤处属于VLAN20，所以配置103房间主机的网关为。同理配置201房间销售部的网关为,202房间技术部的网关为。其中101房间PC1主机的网关配置如图2-7所示，其他主机的网关配置这里不再列出，请读者按照说明自行配置。图2-7任务2-1101房间主机网关配置2.1.3配置核心交换机直连路由实现部门之间互联2.测试部门用户网络互联（2）测试主机与网关的连通性在101房间的PC1命令行中输入ping测试本机与网关的连通性，返回结果如图2-8所示。发现PC1可以和网关正常通信了。图2-8任务2-1PC1与网关正常通信2.1.3配置核心交换机直连路由实现部门之间互联2.测试部门用户网络互联在103房间的PC6的命令行中输入ping测试本机与网关的连通性，返回结果如图2-9所示。发现PC6可以和网关正常通信了。图2-9任务2-1PC6与网关正常通信同理可以测试201房间主机能够与网关正常通信，202房间主机能够与网关正常通信。2.1.3配置核心交换机直连路由实现部门之间互联2.测试部门用户网络互联（3）测试部门之间的主机连通性在101房间的PC1上测试与103房间的PC6的连通性，结果如图2-10所示，发现已经能够正常通信了，通信的过程如下。图2-10任务2-1不同部门的用户通信2.1.3配置核心交换机直连路由实现部门之间互联2.测试部门用户网络互联①发送请求到网关当PC1发现目标PC6的IP地址不在自己所知道的网络时，会向自己的网关发送ARP请求，请求网关的网卡物理地址，然后将请求发送给网关，即核心交换机的VLAN10虚拟接口，到达VLAN10接口的数据会摘掉VLAN10的标签。②查询路由表核心交换机查询自己的路由表，发现在直连路由表条目/24中，就会根据这个路由条目将请求从虚拟接口VLAN20发送出去，打上VLAN20的标签，在数据转发前，还要发送ARP请求的网卡物理地址。所以这时源IP地址和目标IP地址不变，源MAC地址为VLAN20的MAC地址，目标MAC地址为的MAC地址。当数据到达1楼接入交换机GE0/0/3接口口后，会摘掉VLAN20的标签，数据到达PC6主机。③回送数据包过程网络通信时双向的，所以数据到达PC6后，发现源地址是，PC6会将请求发送给自己的网关，核心交换机再查询路由表，把数据转发到PC1上。这时才实现了不同VLAN用户的网络互联。2.1.4配置静态路由实现核心与服务器互联1.配置设备直连接口IP地址（1）物理连接在设备区选择2台AR2220路由器，1台作为服务器区路由器连接到核心交换机，另一台作为DHCP服务器。服务器区路由器连接了WEB网站服务器和DHCP服务器，WEB服务器使用终端设备中的Server设备。拖拽设备到工作区后，按照任务2-1拓扑图进行设备连接。（2）规划IP地址需要配置路由的设备包括楼宇核心交换机、服务器区路由器、WEB服务器和DHCP服务器，规划各个设备直连接口IP地址如表2-2所示。设备名称直连接口VLAN/IP地址设备名称直连接口IP地址核心交换机GE0/0/3VLAN50//24服务器区路由器GE0/0/0/24服务器区

路由器GE0/0/1/24WEB服务器Ethernet0/0/0GE0/0/2/24DHCP服务器GE0/0/0表2-2IP地址规划表2.1.3配置核心交换机直连路由实现部门之间互联1.配置设备直连接口IP地址（3）配置接口IP地址①配置服务器区路由器接口IP地址<Huawei>sys[Huawei]sysnamefwqq[fwqq]interfaceGigabitEthernet0/0/0[fwqq-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0接口IP地址[fwqq]interfaceGigabitEthernet0/0/1[fwqq-GigabitEthernet0/0/1]ipaddress24#配置GE0/0/1接口IP地址[fwqq-GigabitEthernet0/0/1]quit[fwqq]interfaceGigabitEthernet0/0/2[fwqq-GigabitEthernet0/0/2]ipaddress24#配置GE0/0/2接口IP地址2.1.3配置核心交换机直连路由实现部门之间互联1.配置设备直连接口IP地址②配置服务器的接口IP地址和网关首先配置WEB服务器的IP地址、子网掩码、网关，WEB服务器连接到服务器区路由器的GE0/0/1接口，所以网关配置成，如图2-11所示。图2-11任务2-1配置WEB服务器IP地址2.1.3配置核心交换机直连路由实现部门之间互联1.配置设备直连接口IP地址然后配置DHCP服务器接口GE0/0/0的IP地址。[Huawei]sysnamedhcp[dhcp]interfaceGigabitEthernet0/0/0[dhcp-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0接口的IP地址DHCP服务器使用的是一台路由器，这个服务器的网关是，那么如何配置这台服务器的网关呢，实际上就是在这台设备上配置一条默认路由，默认路由是一条特殊的静态路由，配置如下。[dhcp]iproute-static#配置DHCP服务器的默认路由其中

可以匹配任意的IP地址，当这台设备不知道某个目的IP如何到达时，就会匹配到这条路由，并交给下一跳地址，这里是。与在计算机上配置网关道理是一样的。③配置核心交换机的直连接口IP地址在交换机的普通端口上是无法配置IP地址的，所以在核心设备上首先建立2个VLAN，给VLAN配置IP地址后，分别将对应的直连接口加入相应的VLAN，就可以实现与服务器区路由器的直连通信了，配置如下。[hx]vlanbatch50#建立VLAN50[hx]interfacevlan50#创建进入VLAN50接口[hx-Vlanif50]ipaddress24#配置VLAN50接口的IP地址[hx-Vlanif50]quit[hx]interfaceGigabitEthernet0/0/3 [hx-GigabitEthernet0/0/3]portlink-typeaccess[hx-GigabitEthernet0/0/3]portdefaultvlan50#将3接口加入VLAN50图2-11任务2-1配置WEB服务器IP地址2.1.3配置核心交换机直连路由实现部门之间互联1.配置设备直连接口IP地址配置完成后，在核心交换机上测试与服务器区路由器的连通性，发现可以通过直连路由通信了，如图2-12所示。图2-12任务2-1测试核心交换机与服务器路由器的连通性2.1.3配置核心交换机直连路由实现部门之间互联2.配置静态路由（1）配置核心交换去往WEB服务器和DHCP服务器的静态路由服务器的静态路由，方法是在核心交换机上手工指定去往/24网络的下一跳地址是，去往/24网络的下一跳是。配置如下。[hx]iproute-static24#指定去往/24网络下一跳[hx]iproute-static24#指定去往/24网络下一跳配置完成后，在核心交换机上查看路由表，就可以发现配置的2条静态路由了，如图2-13所示。图2-13任务2-1查看核心交换机的静态路由配置2.1.3配置核心交换机直连路由实现部门之间互联2.配置静态路由（2）在服务器区路由器上配置回程默认路由网络的通信是双向的，在配置了核心交换机到WEB服务器和DHCP服务器的静态路由后，数据可以从核心交换机到达两台服务器，当数据到达两台服务器后，WEB服务器和DHCP服务器都会将回程数据交给网关（服务器区路由器）处理，回程的数据已经将源IP地址作为目标IP地址了，服务器区路由器是不知道如何去往目标地址的，比如目标地址为VLAN10用户或者VLAN20用户。可以为服务器区路由器配置静态路由，指明所有访问的所有目标网络地址。但实际上，我们发现服务器与路由器去往任何目的IP的路由只有一条，就是交给核心交换机，所以可以为服务器区路由器配置一条默认路由，匹配所有的目标地址，配置如下。[fwqq]iproute-static#指定去往任意目标的下一跳地址配置完成后，在服务器区路由器上查看路由表，发现第一个路由条目就是配置的静态路由，如图2-14所示。图2-14任务2-1查看核心交换机的静态路由配置2.1.3配置核心交换机直连路由实现部门之间互联2.配置静态路由（3）测试核心交换机与两台服务器的连通性在核心交换机上测试与WEB服务器和DHCP服务器的连通性，发现可以正常通信了，如图2-15所示。图2-15任务2-1测试核心交换机与两台服务器的连通性2.1.5应用WEB和DHCP服务器1.应用WEB服务器在网络连通之后，就可以使用网络上的服务了，首先使用网络中的WEB服务器。（1）准备简单网页在桌面建立一个文件夹，名称为web，然后在文件夹中建立一个文本文件，打开文本文件，输入内容webserver,然后另存为index.html，网页就准备好了。（2）配置WEB服务器使用网页在WEB服务器的“服务器信息”选项卡中，选择“HttpServer选项”，然后在“文件根目录中”选择桌面的web文件夹，单击“启动”按钮，如图2-16所示。图2-16任务2-1导入网站目录2.1.5应用WEB和DHCP服务器1.应用WEB服务器（3）使用客户端测试在终端设备中，选择Client设备，然后连接到101房间的任意接口，配置设备的IP地址和网关，如图2-17所示。图2-17任务2-1配置客户端的IP地址2.1.5应用WEB和DHCP服务器1.应用WEB服务器在“客户端信息”选项卡中，“选择HttpClient”选项，在“地址栏”中输入/index.html，单击“获取”按钮，成功返回web网站文件，如图2-18所示，保存文件后，打开文件可以发现内容是webserver。图2-18任务2-1访问WEB服务器2.1.5应用WEB和DHCP服务器2.应用DHCP服务器DHCP服务器用来为用户分配IP地址、子网掩码、DNS等信息，可以节省配置IP地址等信息的时间，在大型网络和无线网络中是必备配置。在实际网络中，通常使用中继技术为用户分配IP地址。以下配置DHCP中继为VLAN10、VLAN20、VLAN30、VLAN40的用户自动分配IP地址。（1）在核心交换机上配置DHCP中继当VLAN10用户自动获取IP地址等信息时，首先会发送请求广播到核心交换机的VLAN10虚拟接口，所以需要在接口上告诉这个用户DHCP服务器的地址，其他的VLAN道理一样，核心交换机DHCP中继配置如下。[hx]dhcpenable#开启DHCP功能[hx]interfacevlan10#进入VLAN10虚拟接口[hx-Vlanif10]dhcpselectrelay#开启DHCP中继模式[hx-Vlanif10]dhcprelayserver-ip#DHCP服务器的地址是[hx-Vlanif10]quit[hx]interfacevlan20#进入VLAN20虚拟接口[hx-Vlanif20]dhcpselectrelay#开启DHCP中继模式[hx-Vlanif20]dhcprelayserver-ip#DHCP服务器地址是[hx-Vlanif20]quit[hx]interfacevlan30 #进入VLAN30虚拟接口

[hx-Vlanif30]dhcpselectrelay#开启DHCP中继模式[hx-Vlanif30]dhcprelayserver-ip#DHCP服务器的地址[hx-Vlanif30]quit[hx]interfacevlan40#进入VLAN40虚拟接口[hx-Vlanif40]dhcpselectrelay#开启DHCP中继模式[hx-Vlanif40]dhcprelayserver-ip192.168.20.2#DHCP服务器的地址是2.1.5应用WEB和DHCP服务器2.应用DHCP服务器（2）在DHCP服务器上分配IP地址等信息。配置过程是首先开启DHCP功能，然后在服务器接口下选择global全局模式分配IP地址。接下来为每个VLAN用户配置相对应的地址池，在地址池中定义分配的网络地址、网关、DNS等信息。[dhcp]dhcpenable#开启DHCP功能[dhcp]interfaceGigabitEthernet0/0/0#进入提供服务器的接口[dhcp-GigabitEthernet0/0/0]dhcpselectglobal#选择在全局模式下分配IP地址[dhcp-GigabitEthernet0/0/0]quit[dhcp]ippoolvlan10#建立名称为VLAN10的地址池[dhcp-ip-pool-vlan10]networkmask24#为用户分配/24网络[dhcp-ip-pool-vlan10]gateway-list#定义分配的网关地址[dhcp-ip-pool-vlan10]dns-list#定义分配的DNS地址[dhcp-ip-pool-vlan10]quit2.1.5应用WEB和DHCP服务器2.应用DHCP服务器[dhcp]ippoolvlan20#建立名称为VLAN20的地址池[dhcp-ip-pool-vlan20]networkmask24#为用户分配/24网络[dhcp-ip-pool-vlan20]gateway-list#定义分配的网关地址[dhcp-ip-pool-vlan20]dns-list#定义分配的DNS地址[dhcp-ip-pool-vlan20]quit[dhcp]ippoolvlan30#建立VLAN30地址池[dhcp-ip-pool-vlan30]networkmask24#为用户分配/24网络[dhcp-ip-pool-vlan30]gateway-list#定义分配的网关地址[dhcp-ip-pool-vlan30]dns-list#定义分配的DNS地址[dhcp-ip-pool-vlan30]quit[dhcp]ippoolvlan40#建立VLAN40地址池[dhcp-ip-pool-vlan40]networkmask24#为用户分配/24网络[dhcp-ip-pool-vlan40]gateway-list#定义分配的网关地址[dhcp-ip-pool-vlan40]dns-list#定义分配的DNS地址在配置中继时，需要注意的有三点，一是要在接口下开启全局模式，二是配置地址池时，VLAN10只是一个名字，但尽量与业务VLAN名称对应，VLAN10的用户是靠网关对应的网络地址匹配地址池的，如VLAN10在核心交换机的网关是，在/24网络地址中，那么就会从地址池VLAN10中获取IP地址等信息。2.1.5应用WEB和DHCP服务器2.应用DHCP服务器（3）客户端自动获取IP地址在PC1中“基础配置中”，在“IPv4”配置中，选择“DHCP”选项，单击“应用”按钮，如图2-19所示。图2-19任务2-1使用DHCP方式获取IP地址2.1.5应用WEB和DHCP服务器2.应用DHCP服务器然后在命令行中，查看本机的IP地址，发现已经获取到IP地址、子网掩码、网关、DNS等信息了，如图2-20所示，和DHCP服务器配置一致，在其他计算机上同样可以自动获取到IP地址。图2-20任务2-1查看PC1的IP地址信息任务2-2使用NAT实现内外网互访2.2.1任务描述2.2.2必备知识2.2.3配置OSPF动态路由实现内网全互联2.2.4配置SNAT实现内部用户访问互联网2.2.5配置DNAT实现外部用户访问内网Web服务器学习目标【知识目标】（1）掌握OSPF动态路由的配置方法。（2）掌握NAT网络地址转换的作用。（3）掌握ACL（AccessControlList，

访问控制列表）的作用。学习目标【技能目标】（1）能够配置OSPF实现内网全互联。（2）能够配置源地址转换实现内部用户访问外部网络。（3）能够配置目标地址转换实现外部用户访问内部服务器。【网络拓扑】任务2-2的网络拓扑如图2-21所示。图2-21任务2-2网络拓扑2.1.2必备知识1.OSPF动态路由协议（1）OSPF简介OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol，简称IGP)，用于在单一自治系统(AutonomousSystem,AS)内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议(IGP)，故运作于自治系统内部。著名的迪克斯加算法(Dijkstra)算法被用来计算最短路径树。（2）LSA（Link-StateAdvertisement，链路状态通告）OSPF是根据链路状态（LSA）计算生成路由表的，链路状态(LSA)是OSPF接口上的描述信息，如接口上的IP地址，子网掩码，网络类型，Cost值等，OSPF路由器之间交换的并不是路由表，而是链路状态(LSA)，OSPF通过获得网络中所有的链路状态信息，从而计算出到达每个目标精确的网络路径。OSPF路由器会将自己所有的链路状态毫不保留地全部发给邻居，邻居将收到的链路状态全部放入链路状态数据库(Link-StateDatabase，链路状态数据库)，邻居再发给自己的所有邻居，并且在传递过程中，绝对不会有任何更改。通过这样的过程，最终，网络中所有的OSPF路由器都拥有网络中所有的链路状态，并且所有路由器的链路状态应该能描绘出相同的网络拓朴。（3）ospf区域OSPF路由器之间会将所有的链路状态(LSA)相互交换，当网络规模达到一定程度时，LSA将形成一个庞大的数据库，势必会给OSPF计算带来巨大的压力，为了能够降低OSPF计算的复杂程度，减轻计算压力，OSPF采用分区域计算，将网络中所有OSPF路由器划分成不同的区域，每个区域负责各自区域精确的LSA传递与路由计算，然后再将一个区域的LSA简化和汇总之后转发到另外一个区域，这样一来，在区域内部，拥有网络精确的LSA，而在不同区域，则传递简化的LSA。OSPF的区域0就是所有区域的核心，称为BackBone区域(骨干区域)，而其它区域称为Normal区域(常规区域)，在理论上，所有的常规区域应该直接和骨干区域相连。2.1.2必备知识1.OSPF动态路由协议（4）邻居OSPF只有邻接状态才会交换LSA，路由器会将链路状态数据库中所有的内容毫不保留地发给所有邻居，要想在OSPF路由器之间交换LSA，必须先形成OSPF邻居，OSPF邻居靠发送Hello包来建立和维护，Hello包会在启动了OSPF的接口上周期性发送，在不同的网络中，发送Hello包的间隔也会不同，当超过4倍的Hello时间还没有收到邻居的Hello包，邻居关系将被断开，两台OSPF路由器要想建立邻居关系，必须满足相同的OSPF区域、相同的hello与失效时间、相同的认证密码（如果配置了认证），相同的末节标签（如果配置了末节标签）4个条件，邻居建立完成后，还要经过若干报文交换才能处于邻接状态，交换LSA。（5）OSPF报文类型OSPF报文类型包括Hello报文，DatabaseDescription（链路状态描述），Link-StateRequest（链路状态请求），Link-StateUpdate（链路状态更新），Link-StateAcknowledge（链路状态确认）。LSA被封装在Link-StateUpdate内。（6）Router-ID(路由器标识）每一台运行OSPF协议的路由器有唯一的Router-ID，Router-ID使用IP地址的形式来表示，可以手工指定路由器的Router-ID，若没有手工指定，则采用活动Loopback接口最大的IP地址作为Router-ID，如果没有活动的Loopback接口，则选择活动物理接口IP地址最大的作为Router-ID。2.1.2必备知识2.NAT网络地址转换NAT（NetworkAddressTranslation，网络地址转换）是一种在计算机网络中常用的技术，用于将内部网络的私有IP地址转换为公网可路由的公共IP地址，以实现内部网络与外部网络的通信。由于IPv4地址资源有限，无法满足全球范围内所有设备的需求，因此在内部网络中使用私有IP地址，而将公共IP地址保留给互联网上的路由器和服务器等设备。当内部网络的设备需要与外部网络通信时，NAT会将内部设备的私有IP地址转换为公共IP地址，使其能够在互联网上进行通信。NAT技术分为2种，一种是SNAT(SourceNAT，源NAT)，一种是DNAT(DestinationNAT，目的NAT，当内部网络设备发送数据包到外部网络时，数据包的源IP地址会被改写为公共IP地址。这个过程称为出站NAT（OutboundNAT）或源地址转换（SourceNAT），外部网络返回响应数据包时，数据包的目标IP地址会被改写为对应的内部设备的私有IP地址。这个过程称为入站NAT（InboundNAT）或目标地址转换（DestinationNAT）。NAT还提供了网络安全方面的保护，因为内部网络的私有IP地址对外部网络是不可见的，能够一定程度上隐藏内部网络的拓扑结构，提高了网络的安全性。NAT有多种实现方式，包括静态NAT、动态NAT、PAT（PortAddressTranslation，端口地址转换）等。每种方式都有其特点和适用场景，本任务采用PAT技术实现内外网互访。需要注意的是，NAT只适用于IPv4网络，而在IPv6网络中，地址空间更加充裕，不再需要使用NAT来解决地址短缺问题。2.1.2必备知识3.ACL访问控制列表ACL（AccessControlList，访问控制列表）是一种用于在网络设备上实现对网络流量进行控制和管理的机制。它可以根据预定义的规则，对网络中的数据包进行过滤和处理，从而控制数据包的流动和访问权限。ACL通常用于路由器、交换机和防火墙等网络设备上，通过配置ACL规则，可以实现以下功能。①流量过滤ACL可以根据源IP地址、目标IP地址、传输层协议、端口号等条件对数据包进行过滤，只允许符合规则的数据包通过，而拒绝不符合规则的数据包。②访问控制ACL可以根据规则设置不同层次的安全策略，限制特定用户或主机对网络资源的访问，如可以设置只有特定IP地址的主机可以访问某个服务器，其他主机被禁止访问。③访问控制列表种类ACL访问控制列表可以分为标准访问控制列表和高级访问控制列表，标准访问控制列表只能匹配源IP和源MAC地址，高级访问控制列表不但可以匹配源地址，还可以匹配目的地址和协议类型。④ACL规则类型ACL包括允许（permit）和拒绝（deny）两种规则，当数据包与ACL规则匹配时，根据规则的配置，可以选择允许或拒绝该数据包通过。⑤通配符掩码当给设备配置ID地址时正常的子网掩码，从左到右依次是连续的“1”和“0，“1”代表强匹配，“0”代表任意匹配。在做路由匹配如OSPF声明直连接口时使用反掩码，从左到右依次是连续的“0”和“1，“0”代表强匹配，“1”代表任意匹配。在配置ACL匹配规则时使用通配符掩码，1和0的位置可以相互嵌套，“0”代表强匹配，“1”代表任意匹配。2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址（1）物理连接在设备区2台选择AR2220路由器，其中一台作为楼宇出口路由器连接到核心交换机，另一台作为联通路由器连接到楼宇出口路由器。联通路由器连接了WEB服务器测试终端Client2，另一端连接着百度服务器。拖拽设备到工作区后，按照任务2-21拓扑图进行设备连接。（2）规划IP地址需要配置的设备包括楼宇核心交换机、楼宇出口路由器、联通路由器，Client2测试终端，百度服务器，规划各个设备直连接口IP地址如表2-3所示。设备名称直连接口VLAN/IP地址设备名称直连接口IP地址核心交换机GE0/0/4VLAN60//24楼宇出口路由器GE0/0/0/24楼宇出口

路由器GE0/0/1/24联通路由器GE0/0/0/24联通路由器GE0/0/1/24WEB测试终端Ethernet0/0/0/24GE0/0/2/8百度服务器Ethernet0/0/08/8表2-3IP地址规划表2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址（3）配置接口IP地址①配置核心交换机接口IP地址[hx]vlan60[hx-vlan60]quit[hx]interfacevlan60[hx-Vlanif60]ipaddress24#配置GE0/0/0接口IP地址[hx]interfaceGigabitEthernet0/0/4[hx-GigabitEthernet0/0/4]portlink-typeaccess[hx-GigabitEthernet0/0/4]portdefaultvlan60#将接口4加入VLAN60②配置楼宇出口路由器的接口IP地址[Huawei]sysnameck#修改路由器的名称为ck[ck]interfaceGigabitEthernet0/0/0[ck-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0的接口IP地址[ck-GigabitEthernet0/0/0]quit[ck]interfaceGigabitEthernet0/0/1[ck-GigabitEthernet0/0/1]ipaddress24#配置GE0/0/1的接口IP地址2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址③配置联通路由器的接口IP地址[Huawei]sysnamelt#修改路由器的名称为lt[lt]interfaceGigabitEthernet0/0/0[lt-GigabitEthernet0/0/0]ipaddress24#配置GE0/0/0的接口IP地址[lt-GigabitEthernet0/0/0]quit[lt]interfaceGigabitEthernet0/0/1[lt-GigabitEthernet0/0/1]ipaddress24#配置GE0/0/1的接口IP地址[lt-GigabitEthernet0/0/1]quit[lt]interfaceGigabitEthernet0/0/2[lt-GigabitEthernet0/0/2]ipaddress8#配置GE0/0/2的接口IP地址2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址④配置WEB测试终端与百度服务器的IP地址根据表3-3配置测试终端和百度服务器的IP地址，WEB测试终端Client2配置如图2-22所示。图2-22任务2-2Client2测试终端IP地址2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址百度服务器IP地址配置如图2-23所示。图2-23任务2-2百度服务器IP地址2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址（4）配置核心交换机的路由①配置核心交换机的默认路由由于内网的所有VLAN用户要访问互联网，所以VLAN用户数据可以到达出口路由器，这个需要可以在核心交换机上配置一条默认路由，指向与出口路由器相连的接口地址，配置如下。[hx]iproute-static配置完成后，所有部门用户的数据到达核心交换机网关后，可以通过默认路由将数据发送到出口路由器上。②配置核心交换机的OSPF动态路由内网用户的业务数据到达出口路由器后，在出口路由器上是不具备回程路由的，如果使用静态路由一条一条的去配置，工作量太大，而且容易出错。所以在核心交换机和路由器上运行OSPF动态路由协议，传递各个直连接口的链路状态，通过路由算法算出到达某个网络地址的路径。2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址配置OSPF动态路由协议的方法是在全局模式下配置OSPF的进程和路由器的router-id，然后声明区域，将直连接口发布在区域内。区域0是骨干区域，如果配置其它区域，要和骨干区域相连，核心交换机的OSPF配置如下。[hx]ospf1router-id#开启OSPF进程1，进程只有本地意义，配置唯一的router-id。[hx-ospf-1]area0#声明区域0[hx-ospf-1-area-]network55#声明直连接口所在网络，子网掩码为反掩码，是55减去的值[hx-ospf-1-area-]network55#声明直连接口所在网络[hx-ospf-1-area-]network55#声明直连接口所在网络[hx-ospf-1-area-]network55#声明直连接口所在网络[hx-ospf-1-area-]network55#声明直连接口所在网络[hx-ospf-1]import-routestatic#重分发静态路由到OSPF进程中以上配置需要注意的由两点，一是将直接接口发布到区域中时，要使用反掩码，反掩码是55减去正常的掩码，由于正常的子网掩码是，所以反掩码是55。二是import-routestatic的目的是将核心交换机的去往服务器区的静态路由信息发布到OSPF进程中，传递给出口路由器，这样出口路由器就可以通过OSPF路由学习到如何将数据发送到服务器区了。2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址（5）配置出口路由器的路由①配置出口路由器的OSPF动态路由出口路由器与核心交换机同时运行OSPF后，两个设备建立邻居关系，然后互相发送LSA链路状态，最终才能形成各自的OSPF路由表，所以需要在出口路由器上配置OSPF动态路由协议，发布直连接口，配置如下。[ck]ospf1router-id[ck-ospf-1]area0[ck-ospf-1-area-]network55以上配置没有将出口路由器连接联通的接口发布到OSPF进程中，这是因为内网用户是不需要知道出口路由器连接公网的IP地址的，即便想访问出口的公网IP，也可以通过核心交换机的默认路由到达公网接口。所以只需要声明与核心交换机的直连接口，建立OSPF邻居后，获得内网的地址信息。②查看OSPF邻居在出口路由器上使用displayospfpeerbrief命令查看OSPF邻居，发现已经与核心交换机建立邻居了，如图2-24所示。图2-24任务2-2与核心交换机建立邻居关系2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址（5）配置出口路由器的路由①配置出口路由器的OSPF动态路由出口路由器与核心交换机同时运行OSPF后，两个设备建立邻居关系，然后互相发送LSA链路状态，最终才能形成各自的OSPF路由表，所以需要在出口路由器上配置OSPF动态路由协议，发布直连接口，配置如下。[ck]ospf1router-id[ck-ospf-1]area0[ck-ospf-1-area-]network55以上配置没有将出口路由器连接联通的接口发布到OSPF进程中，这是因为内网用户是不需要知道出口路由器连接公网的IP地址的，即便想访问出口的公网IP，也可以通过核心交换机的默认路由到达公网接口。所以只需要声明与核心交换机的直连接口，建立OSPF邻居后，获得内网的地址信息。②查看OSPF邻居在出口路由器上使用displayospfpeerbrief命令查看OSPF邻居，发现已经与核心交换机建立邻居了，如图2-24所示。图2-24任务2-2与核心交换机建立邻居关系从图中发现State状态已经是Full了，说明已经称为邻接关系，2台设备已经交换了链路状态信息。2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址③查看路由表在出口路由器上使用displayiprouting-tableprotocolospf查看通过OSPF路由协议学习的路由表，结果如图2-25所示。图2-25任务2-2出口路由器的OSPF路由信息从图中可以看出，通过OSPF路由协议学习到了VLAN10、VLAN20、VLAN30、VLAN40等4个部门的网络地址信息，下一跳是直连的核心交换机接口，同时通过O_ASE的OSPF外部路由学习到了服务器区的地址信息，这个OSPF外部路由是通过核心交换机使用import-routestatic将自己知道的静态路由信息发到OSPF进程，然后出口路由器进行学习获取到的。2.2.3配置OSPF动态路由实现内网全互联1.配置接口IP地址④配置去往联通服务器的默认路由通过配置OSPF动态路由协议学习到了内网的网络地址信息，当内网用户发送数据到出口时，出口路由器需要把数据发送给自己的下一跳路由，即联通路由器，再由联通路由器帮助找到目标IP。所以需要在出口路由器上配置一条默认路由，下一跳指向联