完整组网

补充中。。。

拓扑

拓扑

网络规划

核心对接FW：G0/0/1 G0/0/24 VLAN100 10.0.100.1/24

核心-无线AC：G0/0/2 VLAN101 10.0.101.1/24--10.0.101.251/24

FW-核心：G1/0/0 10.0.100.250/24 10.0.100.251/24

FW-电信：G1/0/2 23.1.1.1/24

FW-联通：G1/0/3 36.1.1.1/24

双机热备心跳：G1/0/6 主10.0.150.1/24 备10.0.150.2/24

VRRP：

vrid 1的虚拟IP是10.0.100.254/24

vrid 2的虚拟IP是23.1.1.254/24

vrid 3的虚拟IP是36.1.1.254/24

管理VLAN：VLAN101 10.0.101.0/24

区域一：有线VLAN10(10.0.10.0/24)，20(10.0.20.0/24)，无线VLAN30(10.0.30.0/24)，

区域二：有线VLAN50(10.0.50.0/24)，60(10.0.60.0/24)，无线VLAN40(10.0.60.0/24)，

实验

内网互通

trunk（汇聚交换机和接入交换机互联）

#

interface Gthernet0/0/X

port link-type trunk

port trunk allow-pass vlan 2 to 4094

access（接入交换机连终端，核心交换机连接防火墙和汇聚交换机）

！！！因为网关在汇聚交换机，所以核心交换机和汇聚交换机之间使用access口，网关终结于汇聚；如果网关在核心交换机，则正常配置为trunk口。

#

interface Gthernet0/0/X

port link-type access

port default vlan 20

pvid（交换机连AC，AP，防火墙）

#

interface GigabitEthernet0/0/X

port link-type trunk

port trunk pvid vlan 101

port trunk allow-pass vlan 2 to 4094

链路聚合

#

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

mode lacp-static

#

interface GigabitEthernet0/0/4

eth-trunk 1

#

interface GigabitEthernet0/0/5

eth-trunk 1

堆叠

Telnet

路由（ospf路由，缺省路由）

核心

#

ospf 1 router-id 10.0.101.1

area 0.0.0.0

network 10.0.100.0 0.0.0.255

network 10.0.101.1 0.0.0.0

area 0.0.0.1

network 10.0.10.0 0.0.0.255

area 0.0.0.2

network 10.0.40.0 0.0.0.255

#

ip route-static 0.0.0.0 0.0.0.0 10.0.100.254

汇聚sw3

#

ospf 1 router-id 10.0.101.2

area 0.0.0.1

network 10.0.10.0 0.0.0.255

network 10.0.20.0 0.0.0.255

network 10.0.30.0 0.0.0.255

network 10.0.101.2 0.0.0.0

#

ip route-static 0.0.0.0 0.0.0.0 10.0.10.1

汇聚sw4

#

ospf 1 router-id 10.0.101.3

area 0.0.0.2

network 10.0.40.0 0.0.0.255

network 10.0.50.0 0.0.0.255

network 10.0.60.0 0.0.0.255

network 10.0.101.3 0.0.0.0

#

ip route-static 0.0.0.0 0.0.0.0 10.0.40.1

华为防火墙

接口，区域，IP

#

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/0

add interface GigabitEthernet1/0/1

add interface GigabitEthernet1/0/6

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/2

add interface GigabitEthernet1/0/3

默认路由

#

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/2 23.1.1.3

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/3 36.1.1.3 preference 70

动态路由

#

ospf 1 router-id 10.0.101.252

default-route-advertise

area 0.0.0.0

network 10.0.100.0 0.0.0.255

network 10.0.101.252 0.0.0.0

#

ospf 1 router-id 10.0.101.253

default-route-advertise

area 0.0.0.0

network 10.0.100.0 0.0.0.255

network 10.0.101.253 0.0.0.0

!!!想要通往外网，必须加default-route-advertise

default-route-advertise命令通常在路由器的路由协议配置模式下使用，它的作用是让路由器向其邻居通告默认路由。这个命令对于边界路由器特别有用，可以确保网络中的其他设备知道如何将目的地未知的数据包转发到互联网或另一个外部网络。

import-route（OSPF）命令不能引入外部路由的缺省路由，OSPF通过路由表更新学习到外部路由的缺省路由，如果外部路由的缺省路由需要在OSPF普通区域中发布，需要执行default-route-advertise（OSPF）命令。

配置import-route direct命令会将管理口IP所在的网段路由也引入OSPF路由表，请谨慎配置。

策略路由

双机热备

2024/12/16补充：防火墙出接口vrrp地址可以写一对私网地址，虚拟地址写公网地址，只限于防火墙。至于防火墙和光猫之间可以加个交换机，不用配置，这样下一跳问题也解决了。

NAT策略

2024/12/16日补充：这儿的NAT转换用地址池转换（group），不用出接口转换（easy-ip），只有一个公网ip那地址池就放一个ip

安全策略

VPN

NAT策略（VPN）

安全策略（VPN）

无线

AC

AP

结论