上节回顾
HCIP之二层架构（三）

一、实验要求

• 用户的网关配置在核心交换机
• 企业内网划分多个vlan，减少广播域大小，提高网络稳定性
• 所有设备，在任何位置都可以被telnet远程管理
• 出口配置NAT
• 所有用户均为自动获取ip地址
• 企业总部和分支采用PPP广域网链路连接。并采用CHAP对链路做认证
• 企业总部和分支采用ospf路由协议连接。

二、实验配置

• 先将交换机接口类型更改为access和trunk。并默认允许通过的vlan，并在核心交换机上配置网关

SW1:  sysname SW1  vlan batch 10 20 200   dhcp enable  ip pool vlan_10  第一个地址池  gateway-list 192.168.10.1 设置网关  network 192.168.10.0 mask 255.255.255.0  dns-list 114.114.114.114 8.8.8.8  ip pool vlan_20  第二个地址池  gateway-list 192.168.20.1 设置网关  network 192.168.20.0 mask 255.255.255.0  dns-list 114.114.114.114 8.8.8.8  interface Vlanif10   配置SVI接口  ip address 192.168.10.1 255.255.255.0  dhcp select global  全局采用  interface Vlanif20  ip address 192.168.20.1 255.255.255.0  dhcp select global  interface Vlanif200  ip address 192.168.200.1 255.255.255.0  interface GigabitEthernet0/0/1  port link-type trunk  port trunk allow-pass vlan 10 20  interface GigabitEthernet0/0/2  port link-type trunk  port trunk allow-pass vlan 200 SW2:  sysname SW2  vlan batch 10 20  interface Ethernet0/0/1  port link-type trunk  port trunk allow-pass vlan 10 20  interface Ethernet0/0/2  port link-type trunk  port trunk allow-pass vlan 10  interface Ethernet0/0/3  port link-type trunk  port trunk allow-pass vlan 20 SW3:  sysname SW3  vlan batch 200  interface Ethernet0/0/1  port link-type trunk  port trunk allow-pass vlan 200  interface Ethernet0/0/2  port link-type access  port default vlan 200 SW4: sysname SW4  vlan batch 10  interface Ethernet0/0/1  port link-type trunk  port trunk allow-pass vlan 10  interface Ethernet0/0/2  port link-type access  port default vlan 10 SW5:  sysname SW5  vlan batch 20  interface Ethernet0/0/1  port link-type trunk  port trunk allow-pass vlan 20  interface Ethernet0/0/2  port link-type access  port default vlan 20 

• 创建管理vlan 999 ，使用SVI技术创建虚拟IP地址，并配置telnet远程管理

在所有交换机上创建vlan999用于管理，并设置IP地址 例如在SW1上：   vlan 999   int vlan 999   ip address 192.168.255.1 24 其他都要配置 在所有交换机上配置telnet 例如在SW1上：  telnet server enable    aaa  local-user hcip password simple hcip123 privilege level 3   local-user hcip service-type telnet  quit   user-interface vty 0 4  authentication-mode aaa  注：真实情况下要让管理vlan999回包，使得PC能够telnet其他设备 ip route-static 0.0.0.0 0 192.168.255.1 所有配置telnet设备都需配置   

• 配置NAT转换
  将所有地址配置完成后再进行NAT转换（地址在图中标注清楚）
  注：SW1上先创建vlan800，然后修改接口类型为access，默认允许800即可，其他不变

R1:  acl number 2000    rule 5 permit source 192.168.0.0 0.0.255.255  interface g0/0/2  nat outbound 2000 注：此时主机还是无法与外网进行通信，采用最后一个 条件进行配置（往下看奥） 

• 使用单向认证

CHAP认证： R1：认证端  aaa  local-user hcip password cipher 123  local-user hcip service-type ppp  interface s1/0/0  ppp authentication-mode chap R2:客户端  interface s1/0/0  ppp chap user hcip  ppp chap password simple 123 注：华为、H3C串口默认封装方式为PPP，思科默认为HDLC 

所有三层设备启用OSPF协议，实现全网互通
左边area0,右边area1即可

SW1:   ospf 1   area 0   network 192.168.10.0 0.0.0.255   network 192.168.20.0 0.0.0.255   network 192.168.200.0 0.0.0.255   network 192.168.254.0 0.0.0.255 R1:   ospf 1   area 0   network 192.168.254.0 0.0.0.255   quit   ospf 1   area 1   network 192.168.253.0 0.0.0.255 R2:   ospf 1   area 1   network 192.168.253.0 0.0.0.255   network 192.168.100.0 0.0.0.255 

• 后续测试
  此时发现内网互通，但是无法ping通外网，可以在SW1和出口R1上设置缺省路由，允许内网用户上外网

SW1:  ip route-static 0.0.0.0 0 192.168.254.2 R1：  ip route-static 0.0.0.0 0 12.1.1.2 

此时全网可通
注;telnet并未全部布置