ensp简单校园网综合实验（HCIA）_ensp中agg是什么意思

一、实验概述

        本实验旨在模拟一个真实的校园网环境，包括宿舍楼和教学楼两个区域，并使用一系列网络技术来实现内网设备的互通、网络安全和互联网访问。我们将使用VLAN、RSTP、VRRP、OSPF多区域、浮动路由、NAT、ACL、DHCP等技术来进行配置。

二、实验拓扑      

 

        实验拓扑图显示了两个建筑物（宿舍楼和教学楼），通过一个接入交换机与汇聚层相连。两个汇聚交换机（Agg01和Agg02）被配置为网关，每栋楼的主机都属于不同的VLAN（VLAN10和VLAN20）。本实验将展示如何使用RSTP和VRRP技术实现主备负载均衡，并在汇聚层配置DHCP以提供动态地址分配和可扩展性。核心和出口路由器之间的连接将通过OSPF协议实现，该协议能够自动发现网络路由并划分不同的区域。为了提高网络的可靠性和稳定性，出口路由器将采用NAT技术来转换内部和外部网络地址，同时配置主备浮动静态路由以连接两个外部运营商。最后，为了确保两栋楼可以访问互联网，我们将配置外网连接一台服务器，并通过相应的配置实现互联网访问。

2.1 VLAN信息表

2.2  IP地址规划表

三、任务详解

1. 设备命名：为所有设备配置适当的名称，以便于管理和识别。
2. VLAN：为宿舍楼和教学楼划分独立的VLAN，并在交换机上创建相应的VLAN接口。
3. IP编址：为每个VLAN分配一个独立的IP网络，并在相应的设备上配置接口IP地址。
4. RSTP：在Acco1、Aggo1、Aggo2之间配置RSTP协议，防止二层网络出现环路，确保网络的稳定性。
5. DHCP：在Aggo1和Agg02上创建DHCP服务器，为宿舍楼和教学楼的终端主机自动分配IP地址。
6. VRRP：在Agg01和Agg02上配置VRRP协议，实现网关冗余备份，提高网络稳定性。
7. OSPF：在Agg01、Agg02、Core01、Core02、HZ-HZCampus-Edge0a-AR6140之间运行OSPF协议，实现路由自动发现和区域划分。
8. 出口设计：在HZ-HZCampus-Edge01-AR6140上配置静态路由和浮动路由，确保内网设备能够正常访问教育网。同时使用NAT技术实现内网设备对互联网的访问。
9. 路由互通：在教育网的 Edge01 和 Edge02 上配置缺省的静态路由，实现教育网与校园网互通。

四、实验步骤

任务 1：设备命名

任务 2：VLAN

为了确保网络的稳定与安全，避免二层网络过大可能带来的问题，在本网络中进行VLAN的规划部署。

请根据 Figure3-1 实验拓扑和 Table 3-1 VLAN 信息，在对应交换机上配置所需的VLAN。

注意：为了保证网络的连通性，交换机只允许题目中规定的VLAN通过。

此题以HZ-HZCampus-Agg01-S5731为例：

[HZ-HZCampus-Agg01-S5731]vlan batch 10 20 101
 
[HZ-HZCampus-Agg01-S5731]int g0/0/1
 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]port link-type trunk
 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
 
[HZ-HZCampus-Agg01-S5731]interface Eth-Trunk 1
 
[HZ-HZCampus-Agg01-S5731-Eth-Trunk1]trunkport GigabitEthernet 0/0/2 0/0/3 0/0/23 
 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]port link-type trunk
 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
 
[HZ-HZCampus-Agg01-S5731-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
 
[HZ-Campus-ACC01]int g0/0/24
 
[HZ-Campus-ACC01-GigabitEthernet0/0/24]port link-type access
 
[HZ-Campus-ACC01-GigabitEthernet0/0/24]port default vlan 101

任务 3：IP 编址

请根据 Figure 3-1 实验拓扑和 Table 3-2 IP地址规划给出的信息，配置对应网络设备接口的 IP地址。

任务 4：RSTP

为了防止校园网内二层网络中出现环路，导致广播风暴等问题，在Acco1、Aggo1、Aggo2之间配置 RSTP协议。

1. STP模式为RSTP。要求通过使用“stp root primary/secandary”命令，使得Agg01为根桥，Agg02为备份根桥。

2. 为了最大限度的保证网络的稳定性，避免主机频繁重启导致的网络波动。要求所有与PC相连的交换机端口，不参加STP计算，直接进入 Forwarding状态转发。

[HZ-Campus-ACC01]stp mode  rstp
 
[HZ-Campus-ACC01]int g0/0/24
 
[HZ-Campus-ACC01-GigabitEthernet0/0/24]stp edged-port enable
 
[HZ-Campus-ACC01-GigabitEthernet0/0/24]int g0/0/23
 
[HZ-Campus-ACC01-GigabitEthernet0/0/23]stp edged-port enable

[agg01]stp mode  rstp
 
[agg01]stp root  primary

[agg02]stp mode  rstp
 
[agg02]stp root  secondary

任务 5：DHCP

校园网中用户密度极大，手工分配地址工作量非常大，而且容易出现错误，现要求使用DHCP给宿舍楼和教学楼的终端主机分配地址，Agg01和Agg02作为DHCP的服务器，互为备份。

在Aggo1上创建名为van10和vlan20的地址池，在Agg02上创建名为vlan10和vlan20的地址池。具体要求如下

1.地址池vlan10 内分配的地址段为192.168.10.0/24，网关为 192.168.10.254，排除掉

已分配的地址192.168.10.101和 192.168.10.102。

2.地址池vlan20 内分配的地址段为192.168.20.0/24，网关为 192.168.20.254，排除掉

已分配的地址192.168.20.101和 192.168.20.102。

Agg01：
 
[agg01]dhcp enable
 
[agg01]ip pool vlan10
 
[agg01-ip-pool-vlan10]gateway-list 192.168.10.254
 
[agg01-ip-pool-vlan10]network 192.168.10.0 mask 24
 
[agg01-ip-pool-vlan10]excluded-ip-address 192.168.10.101 192.168.10.102
 
[agg01]ip pool vlan20
 
[agg01-ip-pool-vlan20]gateway-list 192.168.20.254
 
[agg01-ip-pool-vlan20]network 192.168.20.0 mask 24
 
[agg01-ip-pool-vlan20]excluded-ip-address 192.168.20.101 192.168.20.102
 
[agg01]interface Vlanif 10
 
[agg01-Vlanif10]dhcp select global
 
[agg01]int Vlanif 20
 
[agg01-Vlanif20]dhcp select global

Agg02：
 
[agg02]dhcp enable
 
[agg02]ip pool vlan10
 
[agg02-ip-pool-vlan10]gateway-list 192.168.10.254
 
[agg02-ip-pool-vlan10]network 192.168.10.0 mask 24
 
[agg02-ip-pool-vlan10]excluded-ip-address 192.168.10.101 192.168.10.102
 
[agg02]ip pool vlan20
 
[agg02-ip-pool-vlan20]gateway-list 192.168.20.254
 
[agg02-ip-pool-vlan20]network 192.168.20.0 mask 24
 
[agg02-ip-pool-vlan20]excluded-ip-address 192.168.20.101 192.168.20.102
 
[agg02]interface Vlanif 10
 
[agg02-Vlanif10]dhcp select global
 
[agg02]int Vlanif 20
 
[agg02-Vlanif20]dhcp select global

任务 6：VRRP

为了保证校园网中宿舍楼及教学楼的终端访问网络的稳定性，在校园网络的网关位置进行冗余备份配置，在Agg01、Agg02上通过VRRP协议的部署，满足上述要求。同样，为保障教育网的稳定性，在 Edge01和 Edge02路由器上部署VRRP，进行网关冗余。

1. VLAN 10使用VRRP备份组1，虚拟 IP 地址为192.168.10.254.

VLAN 20使用VRRP备份组2，虚拟IP地址为192.168.20.254。

2. VRRP 备份组1以 Agg01 为主网关（优先级为120)，Agg02作为备份网关(优先级为缺省)。

VRRP备份组2以Agg01为主网关(优先级为120)，Aggo02作为备份网关(优先级为缺省)。

3. 当Agg01上行接口（Go/o/24)出现故障时，网关优先级降低30，主动完成切换。

4- 教育网使用VRRP备份组3，虚拟 IP地址为10.1.30.254，Edgeo1为主网关(优先级为120)，Edge02作为备份网关(优先级为缺省)。

Agg01：
 
[agg01]int Vlanif 10
 
[agg01-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.254
 
[agg01-Vlanif10]vrrp vrid 1 priority 120
 
[agg01-Vlanif10]vrrp vrid 1 track interface GigabitEthernet 0/0/24 reduced 30
 
[agg01]int Vlanif 20
 
[agg01-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.254
 
[agg01-Vlanif20]vrrp vrid 2 priority 120
 
[agg01-Vlanif20]vrrp vrid 2 track int GigabitEthernet 0/0/24 reduced 30

Agg02：
 
[agg02]int Vlanif 10
 
[agg02-Vlanif10]vrrp vrid  1 virtual-ip 192.168.10.254
 
[agg02]int Vlanif 20
 
[agg02-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.254

HZEDU-Edge01：
 
[HZEDU-Edge01]int g0/0/0
 
[HZEDU-Edge01-GigabitEthernet0/0/0]vrrp vrid 3 virtual-ip 10.1.30.254
 
[HZEDU-Edge01-GigabitEthernet0/0/0]vrrp vrid 3 priority 120

HZEDU-Edge02：
 
[HZEDU-Edge02]int g0/0/0
 
[HZEDU-Edge02-GigabitEthernet0/0/0]vrrp vrid 3 virtual-ip 10.1.30.254

任务7：OSPF

Agg01、Agg02、Core01、Core02、HZ-HZCampus-Edgeoa-AR6140 之间运行OSPF，配置 OSPF 进程号为1，在创建 OSPF 进程时手动设定 RouterID 与环回口地址一致，都运行在骨干区城内。

1.Aggo1和Aggo2上分别将 Vlanif10宣告在Area1中，将Vlanif20 宣告在Area2中。

HZ-HZCampus-Edgeon-AR6140 上的GE0/0/2和 GE3/0/0接口 IP 地址不需要宣告进OSPF 区域。

多区域配置的命令为：area 0

network x.x.x.xx.x.x.x

area 1

network x.x.X.X X.X.X.X

2. 要求所有网段根据掩码进行宣告，例如：将1.2.3.4/24 进行宣告的命令为 network

1.2.3.0 0.0.0.255。

3. 为了加强对攻击行为的防范，在骨干区域内开启OSPF的认证，选择 md5 加密算法，认证密钥ID 为 1，密钥类型为 cipher，密码为 “huawei"。

Agg01：
 
[agg01]ospf 1 router-id  10.1.6.6
 
[agg01-ospf-1]area 0
 
[agg01-ospf-1-area-0.0.0.0]network  10.1.6.6 0.0.0.0
 
[agg01-ospf-1-area-0.0.0.0]network  192.168.101.6 0.0.0.255
 
[agg01-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher huawei
 
[agg01-ospf-1-area-0.0.0.0]area 1
 
[agg01-ospf-1-area-0.0.0.1]network 192.168.10.101 0.0.0.255
 
[agg01-ospf-1]area 2
 
[agg01-ospf-1-area-0.0.0.2]network  192.168.20.101 0.0.0.255

Agg02:
 
[agg02]ospf 1 router-id 10.1.7.7
 
[agg02-ospf-1]area 0
 
[agg02-ospf-1-area-0.0.0.0]network  10.1.7.7 0.0.0.0
 
[agg02-ospf-1-area-0.0.0.0]network  192.168.102.7 0.0.0.255
 
[agg02-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher huawei
 
[agg02-ospf-1]area 1
 
[agg02-ospf-1-area-0.0.0.1]net
 
[agg02-ospf-1-area-0.0.0.1]network  192.168.10.102 0.0.0.255
 
[agg02-ospf-1]area 2
 
[agg02-ospf-1-area-0.0.0.2]network  192.168.20.102  0.0.0.255

Core01:
 
[Core01]ospf 1 router-id  10.1.2.2
 
[Core01-ospf-1]are
 
[Core01-ospf-1]area 0
 
[Core01-ospf-1-area-0.0.0.0]network 192.168.104.2 0.0.0.255
 
[Core01-ospf-1-area-0.0.0.0]network  192.168.101.2 0.0.0.255
 
[Core01-ospf-1-area-0.0.0.0]network  192.168.103.2 0.0.0.255
 
[Core01-ospf-1-area-0.0.0.0]network  10.1.2.2 0.0.0.0
 
[Core01-ospf-1-area-0.0.0.0]authentication-mode  md5  1 cipher huawei

Core02:
 
[Core02]ospf 1 router-id 10.1.3.3
 
[Core02-ospf-1]area 0
 
[Core02-ospf-1-area-0.0.0.0]network 192.168.102.3 0.0.0.255
 
[Core02-ospf-1-area-0.0.0.0]network 192.168.105.3 0.0.0.255
 
[Core02-ospf-1-area-0.0.0.0]network 192.168.103.3 0.0.0.255
 
[Core02-ospf-1-area-0.0.0.0]network 10.1.3.3 0.0.0.0
 
[Core02-ospf-1-area-0.0.0.0]authentication-mode  md5  1 cipher huawei

HZ-Campus-Edge01:
 
[HZ-Campus-Edge01]ospf 1 router-id 10.1.1.1
 
[HZ-Campus-Edge01-ospf-1]area 0
 
[HZ-Campus-Edge01-ospf-1-area-0.0.0.0]network  192.168.104.1 0.0.0.255
 
[HZ-Campus-Edge01-ospf-1-area-0.0.0.0]network  192.168.105.1 0.0.0.255
 
[HZ-Campus-Edge01-ospf-1-area-0.0.0.0]network  10.1.1.1 0.0.0.0
 
[HZ-Campus-Edge01-ospf-1-area-0.0.0.0]authentication-mode  md5 1 cipher huawei

任务 8: 出口设计

1.为保证校园网内用户能够正常访问教育网，在 HZ-HZCampus-Edge01-AR6140上配

置缺省的静态路由，由于 GE0/0/2 接口(连接运营商 ISP1)的带宽比较高，优先选择GE0/0/2访问教育网的Server1资源(IP 地址为192.168.30.1)，如果该接口发生故障，则通过 GE0/0/3 接口(连接运营商 ISP2)访问教育网的 Server 资源。

提示:备份链路缺省路由的优先级设置为70

2.配置Easy-IP 将校园网内 VLAN10 和 VLAN20 的私网地址段转换为 HZ-HZCampus- Edge01-AR6140 出接口(GE0/0/2 或 GE0/0/3)的公网地址。使用 ACL 四配 VLAN10 和 VLAN20 的地址段，

参考命令为: acl number 2000

rule 1o permit source x.x.x.xx.x.x.x

rule 20 permit source x.x.x.xx.x.x.x

HZ-Campus-Edge01:
 
[HZ-Campus-Edge01]ip route-static 0.0.0.0 0 GigabitEthernet 0/0/2 10.1.14.4
 
[HZ-Campus-Edge01]ip route-static 0.0.0.0 0 GigabitEthernet 0/0/3 10.1.15.5 preference 70
 
[HZ-Campus-Edge01]acl 2000
 
[HZ-Campus-Edge01-acl-basic-2000]rule  10 permit source 192.168.10.0 0.0.0.255
 
[HZ-Campus-Edge01-acl-basic-2000]rule  20 permit source 192.168.20.0 0.0.0.255
 
[HZ-Campus-Edge01]int g0/0/2
 
[HZ-Campus-Edge01-GigabitEthernet0/0/2]nat  outbound  2000
 
[HZ-Campus-Edge01-GigabitEthernet0/0/3]nat  outbound  2000

任务9:路由互通

为了使校园网内用户能够访问教育网公网资源，需要在HZ-HZCampus-Edge01- AR6140设备上下发缺省路由，使校园网内所有OSPF区域的设备都能学习到该缺省路由，不论是否存在缺省的静态路由，OSPF都能下发缺省路由。

在教育网的 Edge01 和 Edge02 上配置缺省的静态路由，下一跳分别指向HZCampus-Edge01-AR6140，实现教育网与校园网互通。

HZ-Campus-Edge01:
 
[HZ-Campus-Edge01]ospf
 
[HZ-Campus-Edge01-ospf-1]default-route-advertise always

HZEDU-Edge01:
 
[HZEDU-Edge01]ip route-static 0.0.0.0 0 10.1.14.1

HZEDU-Edge02:
 
[HZEDU-Edge02]ip route-static 0.0.0.0 0 10.1.15.1

到这里实验就结束了，欢迎大家的观看。