HCIA-RS项目实战案例

---

• 实验拓扑及预配置，如果有需要的可以通过邮箱（Email：bad.q@qq.com）联系我。
• 本篇是关于HCIA-RS的综合项目实验整理笔记。实验拓扑及配置步骤参考资料来自誉天教育
• 本博客仅供参考，转发注明出处，并附带本文链接，禁止商业！！！

项目需求

1. 某公司企业总部部门分布在 VLAN 10、VLAN 20、VLAN 30、VLAN 40 中，其中 VLAN 30 和 VLAN 40 通过无线网络接入。
2. 企业有 Web 和 FTP 服务器部署在 VLAN 2，DNS 服务器部署在 VLAN 3。
3. AC1 通过 VLAN 100 双归接入到核心交换机。
4. 各 VLAN 地址规划如下表：

Vlan ID	网段规格	网关地址	服务器以及终端地址
VLAN 2	192.168.2.0/24	192.168.2.254	Web 192.168.2.10
VLAN 3	192.168.3.0/24	192.168.3.254	DNS 192.168.3.10
VLAN 10	192.168.10.0/24	192.168.10.254	DHCP获取
VLAN 20	192.168.20.0/24	192.168.20.254	DHCP获取
VLAN 30	192.168.30.0/24	192.168.30.254	DHCP获取
VLAN 40	192.168.40.0/24	192.168.40.254	DHCP获取
VLAN 100	192.168.100.0/24	192.168.100.254	AC 192.168.100.10

5. 交换网络使用 RSTP 协议实现防环，在合适的端口上启用边缘端口以及 BPDU 防护，SW1 是根桥，SW2 是备份根桥。
6. 核心交换机之间通过 LACP 协议实现链路聚合，提高骨干链路带宽。
7. 核心交换机之间运行 VRRP 协议，提供网关冗余，其中 SW1 为Master，SW2 为Backup， 当 SW1 出现故障后，SW2 成为 Master，并成为新的根桥。
8. AP 通过 VLAN100 接入到 AC，即 AC 和 AP 在同一个 2 层网络内进行部署。（注：大型网络中也可以将 AC 和 AP 跨子网部署），无线用户通过直接转发的方式进行转发数据。
9. SW1 作为企业DHCP 服务器为相应 VLAN 配置 IP 地址。
10. SW1 和 AR1 通过 VLAN 4 互联，SW2 和 AR1 通过 VLAN5 互联，SW1 和 SW2 通过 VLAN 6 互联。
11. 企业总部申请一条企业 PPP 专线，用于实现和企业分支以及小分支互联互通,并在 PPP 线路上启用了 CHAP 认证，其中 AR1 是认证方，认证账号为 pppuser ，认证密码为 hcie， AR4 是被认证方，AR1 的 Ser3/0/0 接口地址为 192.168.14.1/30，AR4 的 Ser1/0/0 接口地址为 192.168.14.2/30。
12. 企业分支有 VLAN 7、VLAN 8、VLAN 9 使用 AR3 子接口实现单臂路由互通，其中 AR4 属于 Vlan9。
13. AR4 提供 PPPOE 拨号服务，AR5 是客户机，现在希望 AR5 通过 PPPOE 拨号连接到公司内网。配置 AR4 为 PPPOE 服务器端，用户认证域为 pppoe，用户名 user1@pppoe， 密码为 huawei@123。
14. 配置 OSPF 协议，企业网络通过 PPP 专线实现内部互联互通，网络规划到 Area 0 中。
15. 企业总部通过 ISP 获得 202.1.1.0/29 网段公网地址，企业总部有 DNS 和Web/FTP 服务器 3 台，希望外网 Client2 和企业分支 Client1 通过 202.1.1.1 访问总部的 DNS 服务器，通过 202.1.1.2 访问Web 服务器，通过 202.1.1.3 访问 FTP 服务器。
16. HR 和 Sale 使用 202.1.1.4 到 202.1.1.5 访问外网的 8.8.8.8，VLAN 10，VLAN 20 不允许访问互联网，当总部路由AR1 失效后，要求 HR 和 Sale 的员工，能够临时使用 AR3 访问外网，当分支机构 AR3 外网链路失效后，依然能访问外网。
17. 企业分支和小分支通过 AR3 访问互联网，直接使用 AR3 的外网接口地址实现。
18. 为了防止企业专线中断，要求在 AR1 和 AR3 直接建立 GRE 隧道作为备用链路，当企业专线中断后，使用 GRE 隧道保证企业内网的连通性， GRE 隧道接口的地址段为10.1.1.0/30。

企业拓扑结构

配置步骤

• 在 SW1、SW2、SW3、SW4 上创建 VLAN2、3、10、20、30、40、100

vlan batch 2 3 10 20 30 40 100

• 配置 SW1 与 SW2 之间的 Eth-Trunk（聚合）链路

int eth 1mpde lacp-static  //使用静态LACPtrunkport g 0/0/1 to 0/0/2

• 配置交换机 SW1、SW2 之间的互联链路为 Trunk，并放行相应的 VLAN

int eth 1port link-type trunkport trunk allow-pass vlan 2 3 10 20 30 40 100
int g0/0/3p l tp t a v 2 3 10 20 30 40 100
int g0/0/4p l tp t a v 2 3 10 20 30 40 100

• 配置交换机 SW3、SW4的接口类型为 Trunk，并放行相应的 VLAN

int g0/0/1p l tp t a v 2 3 10 20 30 40 100
int g0/0/2p l tp t a v 2 3 10 20 30 40 100

• 配置交换机 SW3、SW4 与服务器及主机相连的接口类型为 Access，并加入到相应的 VLAN

# SW3
int g0/0/4port link-type accessport default vlan 10
int g0/0/5p l ap d v 2
int g0/0/6p l ap d v 3

# SW4
int g0/0/4p l ap d v 20

• 交换机 SW3、SW4 与 AP连接的接口类型为 Trunk，pvid 设置为 VLAN 100，并放行 VLAN 100、VLAN 30、VLAN 40

int g0/0/3p l tport trunk pvid vlan 100p t a v 30 40 100

• 将交换机 SW1、SW2 与 AC 连接的接口类型配置为 Trunk ，并放行 VLAN 100

int g0/0/5p l tp t a v 100

• 将 AC 与交换机相连的接口类型配置为 Trunk，并放行 VLAN 100

int g0/0/1p l tp t a v 100
int g0/0/2p l tp t a v 100

• 在 SW1、SW2、SW3、SW4上配置 RSTP 协议，并将 SW1 设置为根桥，SW2 设置为备份根桥

# SW1、SW2、SW3、SW4
stp mode rstp
# SW1
stp priority 0
# SW2
stp priority 4096

• 在 SW1、SW2 上配置边缘端口，并启用 BPDU 保护

stp bpdu-protection
int g0/0/6stp edge-port enable

• 在 SW3、SW4 上配置边缘端口，并启用 BPDU 保护

# SW3
stp bpdu-protection
int g0/0/4stp edge-port enable

# SW4
stp bpdu-protection
int g0/0/4stp edge en
int g0/0/5stp edge en
int g0/0/6stp edge en

• 在 AC 上开启 RSTP 协议

stp enable
stp mode rstp

避免环路，避免实验卡顿。（模拟器 AC 缺省关闭 STP 协议）

• 在 SW1、SW2 上配置 VRRP ，为相应的 VLAN 提供网关冗余

# SW1
int Vlanif 2ip addreess 192.168.2.1 24vrrp vrid 1 virtual-ip 192.168.2.254vrrp vrid 1 priority 120
int vlan 3ip ad 192.168.3.1 24vrrp vrid 2 vir 192.168.3.254vrrp vrid 2 pri 120
int vlan 10ip ad 192.168.10.1 24vrrp vrid 3 vir 192.168.10.254vrrp vrid 3 pri 120
int vlan 20ip ad 192.168.20.1 24vrrp vrid 4 vir 192.168.20.254vrrp vrid 4 pri 120
int vlan 30ip ad 192.168.30.1 24vrrp vrid 5 vir 192.168.30.254vrrp vrid 5 pri 120
int vlan 40ip ad 192.168.40.1 24vrrp vrid 6 vir 192.168.40.254vrrp vrid 6 pri 120
int vlan 100ip ad 192.168.100.1 24vrrp vrid 7 vir 192.168.100.254vrrp vrid 7 pri 120

# SW2
int Vlanif 2ip addreess 192.168.2.2 24vrrp vrid 1 virtual-ip 192.168.2.254
int vlan 3ip ad 192.168.3.2 24vrrp vrid 2 vir 192.168.3.254
int vlan 10ip ad 192.168.10.2 24vrrp vrid 3 vir 192.168.10.254
int vlan 20ip ad 192.168.20.2 24vrrp vrid 4 vir 192.168.20.254
int vlan 30ip ad 192.168.30.2 24vrrp vrid 5 vir 192.168.30.254
int vlan 40ip ad 192.168.40.2 24vrrp vrid 6 vir 192.168.40.254
int vlan 100ip ad 192.168.100.2 24vrrp vrid 7 vir 192.168.100.254

• 在 SW1 上配置 DHCP

dhcp enable
ip pool vlan10  //创建地址池network 192.168.10.0 24  //宣告的网段gateway-list 192.168.10.254  //网关dns-list 192.168.3.10  //DNS服务器excluded-ip-address 192.168.10.1 192.168.10.2  //去除IP地址

ip po vlan20net 192.168.20.0 24gate 192.168.20.254dns 192.168.3.10ex 192.168.20.1 192.168.20.2

ip po vlan30net 192.168.30.0 24gate 192.168.30.254dns 192.168.3.10ex 192.168.30.1 192.168.30.2

ip po vlan40net 192.168.40.0 24gate 192.168.40.254dns 192.168.3.10ex 192.168.40.1 192.168.40.2

ip po vlan100net 192.168.100.0 24gate 192.168.100.254ex 192.168.100.1 192.168.100.2ex 192.168.100.10option 43 sub-option 3 ascii 192.168.100.10

• SW1 接口上启动全局地址池

int vlan 10dhcp select global
int vlan 20dhcp select global
int vlan 30dhcp select global
int vlan 40dhcp select global
int vlan 100dhcp select global

• 配置 AC ，创建SSID：HR—>VLAN 30、SSID：Sale—>VLAN 40的映射关系，创建 AP 组用于将相同配置的 AP 都加入同一 AP 组

wlanap-group name qp-group1q

# 创建域管理模板，在域管理模板下配置 AC的国家码并在 AP 组下引用域管理模板
wlanregulatory-domain-profile name defaultcountry-code cnqap-group name ap-group1regulatory-domain-profile name defaultqq

# 配置 AC 的源接口
int vlan 100ip ad 192.168.100.10 24
capwap source interface vlanif 100

• AC 离线导入 AP1 ，并将 AP1 加入 AP 组“ap-group1”中，命名此 AP1 为 area_1
• 在 AP1 上使用dis int vlan 1 | inc Hard查看 AP1 的 MAC 地址

wlanap auth-mode mac-auth  //基于 MAC 地址认证ap-id 0 ap-mac 00e0-fcd3-5d70  //绑定APap-name area_1ap-group ap-group1q

• AC 离线导入 AP2 ，并将 AP2 加入 AP 组“ap-group1”中，命名此 AP1 为 area_2
• 在 AP2 上使用dis int vlan 1 | inc Hard查看 AP2 的 MAC 地址

wlanap auth-mode mac-authap-id 0 ap-mac 00e0-fcc0-4b90ap-name area_2ap-group ap-group1q

AP 上电后，执行命令 dis ap all查看到 AP 的"State"字段为“nor”时，表示 AP 正常上线

• 配置 WLAN 业务参数，创建名为 wlan-sec 的安全模板，WPA/WPA2+PSK+AES的安全策略，密码为 huawei@123

wlansecurity-profile name wlan-secsecurity wpa-wpa2 psk pass-phrase huawei@123 aesq

# 创建名为 HR 的 SSID 模板，并配置 SSID 名称为 HR
wlanssid-profile name HRssid HRq

# 创建名为 HR 的 VAP 模板，配置业务数据转发模式、业务 VLAN，并且引用安全模板和 SSID 模板
wlanvap-profile name HRforward-mode direct-forwardservice-vlan vlan-id 30security-profile wlan-secssid-profile HRq

# 同样配置 Sale
wlanssid-profile name Salessid Saleqvap-profile name Saleforward-mode direct-forwardservice-vlan vlan-id 40security-profile wlan-secssid-profile Saleqap-group name ap-group1vap-profile HR wlan 1 radio 0vap-profile HR wlan 1 radio 1vap-profile Sale wlan 2 radio 0vap-profile Sale wlan 2 radio 1q

• 配置 DNS 服务器和 Web 服务器

# DNS
IP:192.168.3.10/24
Gateway:192.168.3.254

# Web
IP:192.168.2.10/24
Gateway:192.168.2.254

在PC，STA，Server之间使用ping测试连通性

项目路由需求

1. SW1和 AR1 通过 VLAN 4 互联，SW2 和 AR1通过 VLAN 5 互联，SW1 和 SW2 通过 VLAN 6 互联，互联地址如下

SW1 Vlanif 4	192.168.4.1/30	AR1 G0/0/2	192.168.5.2/30
SW2 Vlanif 5	192.168.5.1/30	SW1 Vlanif 6	192.168.6.1/30
AR1 G0/0/1	192.168.4.2/30	SW2 Vlanif 6	192.168.6.2/30

• 地址互联配置

# SW1
vlan 4
int g0/0/6p l ap d v 4
int vlanif 4ip ad 192.168.4.1 30

# SW2
vlan 5
int g0/0/6p l ap d v 5
int vlanif 5ip ad 192.168.5.1 30

# AR1
int g0/0/1ip ad 192.168.4.2 30
int g0/0/2ip ad 192.168.5.2 30

3. 配置 SW1，SW2 上互联 VLAN 6，并在 Eth-Trunk 上放行 VLAN 6

# SW1
vlan 6
int eth 1p t a v 6
int vlanif 6ip ad 192.168.6.1 30

# SW2
vlan 6
int eth 1p t a v 6
int vlanif 6ip ad 192.168.6.2 30

4. 企业总部申请一条企业 PPP 专线，用于实现和企业分支以及小分支互联互通，并在 PPP 线路上启用了 CHAP 认证，其中 AR1 是认证方，认证账号为 pppuser，认证密码为 hcie，AR4 是被认证方。AR1 的 Ser3/0/0 接口地址为192.168.14.1/30，AR4 的 Ser1/0/0 接口地址为192.168.14.2/30，配置如下

# AR1
aaalocal-user pppuser password cipher hcielocal-user pppuser service-type ppp
int s3/0/0ip ad 192.168.14.1 30ppp authentication-mode chap

int s1/0/0ip ad 192.168.14.2 30ppp chap user pppuserppp chap password cipher hcie 

5. 企业分支有 VLAN 7、VLAN 8、VLAN 9 使用 AR3 上子接口实现单臂路由互通，其中 AR4 属于 VLAN 9，地址规划如下：

设备名	设备地址	网关地址
PC 3	192.168.7.10/24	192.168.7.254/24
Client 1	192.168.8.10/24	192.168.8.254/24
AR4 G0/0/0	192.168.9.10/24	192.168.9.254/24

6. 配置 SW5 上的 VLAN，并将端口加入到正确的 VLAN 以及配置 Trunk

vlan batch 7 8 9
int g0/0/2p l ap d v 7
int g0/0/3p l ap d v 8
int g0/0/4p l ap d v 9
int g0/0/5p l tp t a v 7 to 9

7. 配置 AR3 上的单臂路由，配置 AR4 上 G0/0/0 接口地址，PC 地址自行配置

# AR3
int g0/0/1.7dot1q termination vvid 7arp broadcast enableip ad 192.168.7.254 24
int g0/0/1.8dot1q termination vidd 8arp broadcast enableip ad 192.168.8.254 24
int g0/0/1.9dot1q termination vid 9arp broadcast enableip ad 192.168.9.254 24

# AR4
int g0/0/0ip ad 192.168.9.10 24

8. AR4 提供 PPPOE 拨号服务，AR5 是客户机，现在希望 AR5 通过 PPPOE 拨号连接到公司内网，配置 AR4 为 PPPOE 服务器端，用户认证域为 pppoe，用户名 user1@pppoe，密码为 huawei@123

ip pool pppoenet 172.16.1.0 24gateway-list 172.16.1.254aaaauthentication-scheme pppoeauthentication-mode localqdomain pppoeauthentication-scheme pppoeauthorization-scheme pppoeqlocal-user user1@pppoe password cipher huawei@123local-user user1@pppoe service-type ppp

9. 在 AR4 上创建并配置 VT ，在 G0/0/1 启用 PPPoE Server 功能

int virtual-template 1ppp authentication-mode chap domain pppoeip ad 172.16.1.254 24remote address pool pppoe
int g0/0/1pppoe-server bind virtual-template 1

10. 配置 AR5 为PPPoE拨号客户端

dialer-ruledisler-rule 1 ip permit
int dialer 1dialer user user1disler bundle 1ppp chap user user1@pppoeppp chap password cipher huawei@123ip ad ppp-negotiate
int g0/0/0pppoe-client dial-bundle-number 1
ip route-static 0.0.0.0 dialer 1

在 AR4 上使用命令查看是否拨号成功 ，Rem MAC为AR5 的G0/0/0接口的MAC地址dis pppoe-server session all
在 AR5上使用命令查看地址是否获取成功dis ip int bri

11. 配置 OSPF 协议，企业网络通过 PPP 专线实现内部互联互通，整个内部网络规划到 Area 0 中

# SW1
ospf 1 router-id 1.1.1.1silent-interface allundo silent-interface vlanif 6undo silent-interface vlanif 4area 0net 192.168.2.1 0.0.0.0net 192.168.3.1 0.0.0.0net 192.168.4.1 0.0.0.0net 192.168.6.1 0.0.0.0net 192.168.10.1 0.0.0.0net 192.168.20.1 0.0.0.0net 192.168.30.1 0.0.0.0net 192.168.40.1 0.0.0.0
int vlan 4ospf network-type p2p
int vlan 6ospf network-type p2p

# SW2
ospf 1 router-id 2.2.2.2silent-interface allundo silent-interface Vlanif 6undo silent-interface Vlanif 5area 0net 192.168.2.1 0.0.0.0net 192.168.3.1 0.0.0.0net 192.168.5.1 0.0.0.0net 192.168.6.1 0.0.0.0net 192.168.10.1 0.0.0.0net 192.168.20.1 0.0.0.0net 192.168.30.1 0.0.0.0net 192.168.40.1 0.0.0.0
int Vlan 5			ospf network-type p2p
int vlan 6ospf network-type p2p

# AR1
ospf 1 router-id 3.3.3.3area 0net 192.168.4.2 0.0.0.0net 192.168.5.2 0.0.0.0net 192.168.14.1 0.0.0.0
int g0/0/1ospf network-type p2p
int g0/0/2ospf network-type p2p

# AR4
ospf router-id 4.4.4.4silent-interface virtual-template 1area 0net 192.168.14.2 0.0.0.0net 172.16.1.254 0.0.0.0net 192.168.9.10 0.0.0.0
int g0/0/0ospf network-type p2p

# AR3
ospf 1 router-id 5.5.5.5silent-interface g0/0/1.7silent-interface g0/0/1.8area 0net 192.168.7.254 0.0.0.0net 192.168.8.254 0.0.0.0net 192.168.9.254 0.0.0.0
int g0/0/1.9ospf network-type p2p

配置完毕后，在随意在 PC 和服务器之间测试网络连通性，全网互通，除了VLAN 100 之外

项目互联网需求

1. 企业总部通过 ISP 获得 202.1.1.0/29 网段公网地址，企业总部有 DNS 和Web/FTP 服务器 3 台，现希望外网 Client2 和企业分支 Client1 通过 202.1.1.1 访问总部的 DNS 服务器， 通过 202.1.1.2 访问 Web 服务器，通过 202.1.1.3 访问 FTP 服务器
2. 总部 HR 和 Sale 使用 202.1.1.4-202.1.1.5 访问外网的 8.8.8.8 ，VLAN 10、VLAN 20 不允许访问互联网，当总部路由 AR1 外网链路失效后，要求 HR 和 Sale 的员工，能够临时使用 AR3 访问外网，当分支机构 AR3 外网链路失效后，依然能访问外网
3. 企业分支和小分支通过 AR3 访问互联网，直接使用 AR3 的外网接口地址实现
4. 互联网专线地址规划：

AR1	G0/0/0	102.1.1.1/30
AR2	G0/0/0	102.1.1.2/30
AR2	G0/0/1	103.1.1.2/30
AR2	G0/0/2	8.8.8.1/24
AR3	G0/0/0	103.1.1.1/30

5. 配置互联地址，以及缺省路由和回程路由

# AR1
int g0/0/0ip ad 102.1.1.1 30
ip route-static 0.0.0.0 0 102.1.1.2

# ISP
int g0/0/0ip ad 102.1.1.2 30
int g0/0/1ip ad 103.1.1.2 30
int g0/0/2ip ad 8.8.8.1 24
ip route-static 0.0.0.0 0 103.1.1.2

# AR3
int g0/0/0ip ad 103.1.1.1 30
ip route-static 0.0.0.0 0 103.1.1.2

6. 配置 NAT Server

# AR1
nat server protocol udp global 202.1.1.1 53 insade 192.168.3.10 53
nat server protocol tcp global 202.1.1.2 80 inside 192.168.2.10 80
nat server protocol tcp global 202.1.1.3 21 inside 192.168.2.10 21

7. 配置 SNAT 让 HR 和 Sale 用户以及分支和小分支可以访问外网 8.8.8.8

# AR1
nat address-group 1 202.1.1.5
acl 2000rule permit source 192.168.1.0 0.0.0.255rule permit source 192.168.7.0 0.0.0.255rule permit source 192.168.8.0 0.0.0.255rule permit source 192.168.30.0 0.0.0.255rule permit source 192.168.40.0 0.0.0.255
int g0/0/0nat outbond 2000 address-group 1

# AR3
acl 2000rule permit source 192.168.1.0 0.0.0.255rule permit source 192.168.7.0 0.0.0.255rule permit source 192.168.8.0 0.0.0.255rule permit source 192.168.30.0 0.0.0.255rule permit source 192.168.40.0 0.0.0.255
int g0/0/0nat outbound 2000

8. 在 AR1 和 AR3 上配置 OSPF 协议动态下发缺省路由，Cost 类型为 Type-1

# AR1
ospf 1default-route-advertise type 1

# AR3
ospf 1default-route-advertise type 1

9. 为了保证来回路径一致，修改 AR1 和 SW2 链路的 Cost

# AR1
int g0/0/2ospf cost 10

# SW2
int vlan 5ospf cost 10

10. 为了防止企业专线中断，公司要求在 AR1 和 AR3 直接建立 GRE 隧道作为备用链路，当企业专线中断后，使用 GRE 隧道保证企业内网的连通性。GRE 隧道接口的地址段为10.1.1.0/30

# AR1
int tunnel 0/0/0tunnel-protocol greip ad 10.1.1.1 30source 102.1.1.1destination 103.1.1.1

# AR3
int tunnel 0/0/0tunnel-protocol greip ad 10.1.1.2 30source 103.1.1.1destination 102.1.1.1

# AR1
ospf 1area 0net 10.1.1.1 0.0.0.0
int tunnel 0/0/0ospf cost 10000

# AR3
ospf 1area 0net 10.1.1.2 0.0.0.0
int tunnel 0/0/0ospf cost 10000

11. 业务测试，在 STA1 和 STA2 上 ping 测试 8.8.8.8，均能 ping 通。在 PC3 和 AR5 上 ping 测试 8.8.8.8 均能 ping 通

• 业务测试，Client1，Client2 均能通过 202.1.1.2 以及 202.1.1.3 访问 Web 以及 FTP 服务
• 业务测试，在 AR1 的接口 G0/0/0 失效后，STA1，STA2 依然可以通过 AR3 访问 8.8.8.8
• 业务测试，当企业专线失效后，企业总部和分支，小分支均可以继续通信

DNS 服务器设置如下：

Web服务设置如下：

Client1设置如下：

---

以上内容均属原创，如有不详或错误，敬请指出。