实验环境：计算机网络实验室设备是H3C背景介绍：下图是模拟某学校网络拓扑结构在该学校网络接入层采用S5130接入层交换机划分了办公网VLAN2和学生网VLAN4VLAN2和VLAN4通过汇聚层交换机E328B与路由器A相连另E328B上有一个VLAN3存放一台网管机networkadmin=192168301224。路由器A与B通过路由协议获取路由信息后办公网可以访问B路由器后的WEBserver

注意备份设备配置文件。

1. 将设备还原至上次完成时状态：

使用命令"reset saved-configuration"重启设备并还原配置。

2. 在S5130和E328B上创建相应的VLAN：

在S5130上：

创建VLAN2：vlan 2 创建VLAN4：vlan 4

在E328B上：

创建VLAN3：vlan 3

3. 在两台交换机之间配置冗余链路：

在S5130和E328B之间配置LACP协议，使两条链路成为一条逻辑链路。使用命令"link-aggregation group 1 mode lacp"，其中group 1是逻辑链路组号。

开启生成树协议，防止环路产生。使用命令"stp enable"。

4. E328B通过虚拟VLAN方式和RA互连：

在E328B上创建VLAN1：vlan 1

将E328B的GE0/0/5和GE0/0/6接口加入VLAN1：interface GigabitEthernet0/0/5，port link-type access，port default vlan 1

将RA的GE0/0/0接口加入VLAN1：interface GigabitEthernet0/0/0，port link-type trunk，port trunk allow-pass vlan 1

5. E328B配置实现VLAN间互连：

在E328B上创建VLAN间的路由接口：

interface Vlan-interface2 ip address 192.168.20.1 24 interface Vlan-interface3 ip address 192.168.30.1 24 interface Vlan-interface4 ip address 192.168.40.1 24

启用路由功能：

ip routing

配置VLAN间的路由：

ip route-static 192.168.20.0 24 192.168.10.1 ip route-static 192.168.40.0 24 192.168.10.1

6. RA和RB之间采用PPP链路，采用CHAP方式进行验证：

在RA上配置PPP链路：

interface Serial2/0 ip address 202.99.1.1 30 encapsulation ppp

配置CHAP验证：

ppp authentication-mode chap ppp chap user test password test

在RB上配置PPP链路：

interface Serial2/0 ip address 202.99.1.2 30 encapsulation ppp

配置CHAP验证：

ppp authentication-mode chap ppp chap user test password test

7. 在全网运行路由协议实现全网互连：

在RA和RB上配置静态路由：

ip route-static 0.0.0.0 0.0.0.0 202.99.1.2 ip route-static 192.168.20.0 24 192.168.10.2 ip route-static 192.168.30.0 24 192.168.10.2 ip route-static 192.168.40.0 24 192.168.10.2

8. 通过访问列表控制所有人可以正常访问服务器，只有VLAN4不可以访问WEB服务：

创建访问控制列表：

acl number 2000 rule permit ip source 192.168.20.0 0.0.0.255 rule permit ip source 192.168.30.0 0.0.0.255 rule deny ip source 192.168.40.0 0.0.0.255 destination 65.154.12.8 0.0.0.255 rule permit ip

将访问控制列表应用到接口：

interface GigabitEthernet0/0/0 traffic-filter inbound acl 2000

9. 将路由器A配置成NAT服务器，转VLAN3的IP地址，外网出口地址为RA的S0：

启用NAT功能：

nat enable

创建NAT策略：

nat-policy interzone nat policy1 source zone vlan3 destination zone untrust

配置NAT地址池：

nat address-group 1 202.99.1.1 202.99.1.1

配置NAT地址池应用到策略：

nat policy1 action source-nat address-group 1

10. 若VLAN3的IP地址被转换后，外网想访问networkadmin所发布的WEB，该如何做：

在RA上配置端口映射：

interface Serial0 port-mapping server enable port-mapping server ip 192.168.30.12 local-port 80 global-port 80

11. 若你是网络管理员，你想保证VLAN中端口使用安全，可采取什么措施？如何实现（以某一VLAN为例）：

可采取802.1X认证措施保证VLAN中端口使用安全。具体实现步骤如下：

在交换机上开启802.1X认证：

aaa authentication-scheme eap authentication-mode eap quit dot1x dot1x enable dot1x authentication-method eap dot1x authentication-scheme eap dot1x port-method auto dot1x re-authenticate time 3600 dot1x quiet-period 60 dot1x guest-vlan 100 interface GigabitEthernet0/0/1 dot1x enable quit

在AAA服务器上配置认证策略：

authentication-scheme eap authentication-mode eap authentication-user username password

将认证策略应用到VLAN中：

vlan 3 dot1x enable dot1x authentication-method eap dot1x authentication-scheme eap dot1x port-method auto

12. 通过相关命令显示相关配置结果，并进行验证：

显示交换机VLAN配置结果：

display vlan

验证链路聚合结果：

display link-aggregation summary

验证生成树配置结果：

display stp

显示路由表信息：

display ip routing-table

显示访问控制列表配置结果：

display acl 2000

显示NAT配置结果：

display nat-policy

显示端口映射配置结果：

display port-mapping server

显示802.1X认证配置结果：

display dot1x configuration

13. 导出设备配置文件备查：

在设备上执行命令"save"保存配置文件，再执行命令"backup configuration to tftp ip-address filename"将配置文件导出至TFTP服务器