实验名称：综合实验

实验目的：
1实现全网互通
2Client1可以访问www.ntd1711.com并保存网页文件
3PC1与PC2之间的任何类型的流量都无法互通
涉及技术：VLAN间通信/RIP/DNS/WEB/3层交换机/ACL

拓扑图：

相关设备：

二层交换机：SW1/SW2/SW3
三层交换机：MSW1/MSW2（MSW1为VLAN10/20的网关）（MSW2为VLAN30/40的网关）
服务器：DNS服务器/WEB服务器
终端设备：主机1-5/客户端1
配置思路：
一-全网互通（VLAN间畅通）
#2层交换机配置VLAN/access/trunk
#3层交换机配置VLAN/RIP
#终端配置IP，子网掩码，网关
二-WEB/DNS服务器并通过client1去访问其网页（实现DNS及WEB的技术）
三-配置ACL
四-验证
**

实验开始

一.全网互通
SW1
<Huawei>undo terminal monitor
（关闭信息弹出提示功能---此功能仅建议学习测试环境使用，工作环境不推荐使用）
Info: Current terminal monitor is off.
<Huawei>system-view （进入系统视图）
[Huawei]sysname SW1（为交换机更改名称为SW1）
[SW1]vlan batch 10 20 30 40 50（批量创建VLAN10/20/30/40/50）
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]interface e0/0/1(进入e0/0/1接口）
[SW1-Ethernet0/0/1]port link-type access（将接口配置为access链路模式）
[SW1-Ethernet0/0/1]port default vlan 10（将该接口划分至VLAN10）
[SW1-Ethernet0/0/1]int e0/0/2(进入e0/0/2接口）
[SW1-Ethernet0/0/2]port link-ty ac（将接口配置为access链路模式）
[SW1-Ethernet0/0/2]port default vlan 20（将该接口划分至VLAN20）
[SW1-Ethernet0/0/2]int e0/0/22(进入e0/0/22接口）
[SW1-Ethernet0/0/22]port link-type trunk （将接口配置为trunk链路模式）
[SW1-Ethernet0/0/22]port trunk allow-pass vlan all（允许此端口通过所有VLAN）
备注：华为与思科在配置trunk链路时，有些不同。思科默认允许所有VLAN进行trunk通过，而华为则需要手动配置一条允许命令。allow-pass vlan all即为允许通过所有VLAN
[SW1-Ethernet0/0/22]int e0/0/21(进入e0/0/21接口）
[SW1-Ethernet0/0/21]port link-type trunk （将接口配置为trunk链路模式）
[SW1-Ethernet0/0/21]port trunk allow-pass vlan all（允许此端口通过所有VLAN）
[SW1-Ethernet0/0/21]q（退出接口视图-q为quit的缩写）
[SW1]

SW2/SW3配置与SW1配置相同，这里便不再复述每条命令对应其作用

SW2
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname SW2
[SW2]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW2]int e0/0/3
[SW2-Ethernet0/0/3]port link-type access
[SW2-Ethernet0/0/3]port default vlan 10
[SW2-Ethernet0/0/3]int e0/0/22
[SW2-Ethernet0/0/22]port link-type trunk
[SW2-Ethernet0/0/22]
[SW2-Ethernet0/0/22]port trunk allow-pass vlan all
[SW2-Ethernet0/0/22]int e0/0/20
[SW2-Ethernet0/0/20]port link-type trunk
[SW2-Ethernet0/0/20]port trunk allow-pass vlan all
[SW2-Ethernet0/0/20]q
[SW2]

SW3
<Huawei>
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname SW3
[SW3]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW3]int e0/0/1
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port def
[SW3-Ethernet0/0/1]port default vlan 40
[SW3-Ethernet0/0/1]
[SW3-Ethernet0/0/1]int e0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 40
[SW3-Ethernet0/0/2]int e0/0/3
[SW3-Ethernet0/0/3]port link-type access
[SW3-Ethernet0/0/3]port default vlan 40
[SW3-Ethernet0/0/3]int e0/0/10
[SW3-Ethernet0/0/10]port link-type trunk
[SW3-Ethernet0/0/10]port trunk allow-pass vlan all
[SW3-Ethernet0/0/10]q
[SW3]
MSW1
<Huawei>
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname MSW1
[MSW1]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[MSW1]int g0/0/21
[MSW1-GigabitEthernet0/0/21]port link-type trunk
[MSW1-GigabitEthernet0/0/21]port trunk allow-pass vlan all
[MSW1-GigabitEthernet0/0/21]int g0/0/20
[MSW1-GigabitEthernet0/0/20]port link-type trunk
[MSW1-GigabitEthernet0/0/20]port trunk allow-pass vlan all
[MSW1-GigabitEthernet0/0/20]int g0/0/1
[MSW1-GigabitEthernet0/0/1]port link-type access
[MSW1-GigabitEthernet0/0/1]port default vlan 30
[MSW1-GigabitEthernet0/0/1]int g0/0/2
[MSW1-GigabitEthernet0/0/2]port link-type access
[MSW1-GigabitEthernet0/0/2]port default vlan 30
[MSW1-GigabitEthernet0/0/2]q
[MSW1]int vlanif 10 （进入VLAN10虚拟接口）
[MSW1-Vlanif10]ip address 192.168.10.254 24
为VLAN10所属的PC机配置其对应的网关IP地址，24为C类默认子网掩码255.255.255.0的缩写，思科不支持此项功能
备注：由于华为3层交换机无法给物理接口配置IP。这一点和思科有所不同，思科可以通过在3层物理接口输入no switchport命令来开启3层交换功能，从而实现IP地址的配置工作
随后的VLAN20/30/40/50命令操作相同，不再复述其对应作用
[MSW1-Vlanif10]un shu
Info: Interface Vlanif10 is not shutdown.
[MSW1-Vlanif10]int vlanif 20
[MSW1-Vlanif20]ip address 192.168.20.254 24（配置VLAN20所属终端的网关地址）
[MSW1-Vlanif20]un shu
Info: Interface Vlanif20 is not shutdown.
[MSW1-Vlanif20]int vlanif 30
[MSW1-Vlanif30]ip add 192.168.30.200 24
[MSW1-Vlanif30]un shu
[MSW1-Vlanif30]int vlanif 50
[MSW1-Vlanif50]ip address 192.168.50.1 24
[MSW1-Vlanif50]un shu
[MSW1-Vlanif50]q
[MSW1]rip（开启RIP功能）
[MSW1-rip-1]version 2（选择RIPv2版本）
[MSW1-rip-1]network 192.168.10.0（宣告192.168.10.0网段）
[MSW1-rip-1]network 192.168.20.0（宣告192.168.20.0网段）
[MSW1-rip-1]network 192.168.50.0（宣告192.168.50.0网段）
备注：华为设备在开启RIPv2功能后，会自动关闭auto-summary（自动汇总）。思科需要手动输入才会关闭
除此之外，华为3层设备自动开启3层转发功能。此功能对应思科3层交换机设备上的ip routing。思科需要手动开启。才能实现路由转发功能

MSW2
<Huawei>
<Huawei>undo terminal monitor
Info: Current terminal monitor is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname MSW2
[MSW2]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
[MSW2]int g0/0/10
[MSW2-GigabitEthernet0/0/10]port link-type trunk
[MSW2-GigabitEthernet0/0/10]port trunk allow-pass vlan all
[MSW2-GigabitEthernet0/0/10]int g0/0/22
[MSW2-GigabitEthernet0/0/10]int vlanif 30
[MSW2-Vlanif30]ip address 192.168.30.254 24（配置对应VLAN30-服务器设备的网关地址）
[MSW2-Vlanif30]un shu
Info: Interface Vlanif30 is not shutdown.
[MSW2-Vlanif30]int vlanif 40
[MSW2-Vlanif40]ip address 192.168.40.254 24（配置对应VLAN40所属终端的网关地址）
[MSW2-Vlanif40]un shu
[MSW2-Vlanif40]q
[MSW2]int vlanif 50
[MSW2-Vlanif50]ip add
[MSW2-Vlanif50]ip address 192.168.50.2 24
[MSW2-Vlanif50]un shu
Info: Interface Vlanif50 is not shutdown.
[MSW2-Vlanif50]q
[MSW2]rip
[MSW2-rip-1]vers
[MSW2-rip-1]version 2
[MSW2-rip-1]network 192.168.40.0（宣告192.168.40.0网段）
[MSW2-rip-1]network 192.168.50.0（宣告192.168.50.0网段）
[MSW2-rip-1]network 192.168.30.0（宣告192.168.30.0网段）
[MSW2-rip-1]q
[MSW2]

验证全网互通
主机5与各网段互通

目前已实现全网段互通

二DNS/WEB服务器并通过client1去访问其网页（实现DNS及WEB的支持功能）

DNS服务器配置
1.服务器自身IP，子网掩码，网关配置（网关指向的是MSW2的VLAN30）

2.DNS配置
#写入主机域名（FWNQ）
#写入对应WEB服务器的IP地址（192.168.30.100）
#单击启用按钮

WEB服务器配置
1.服务器自身IP，子网掩码，网关配置（网关指向的是MSW2的VLAN30）

2.WEB配置
#在文件根目录区域添加需要配置的网页文件（这里已经添加了一个名为Index.html网页文件）
#单击启动按钮**

至此DNS/WEB服务器便配置完毕
**小计：

WEB服务器与DNS服务器之间的联系

1.DNS服务器提供域名解析服务，在实验中网站的域名为：www.ntd1711.com，而该网站锁对应的IP地址为WEB服务器的IP地址，即192.168.30.100
2.WEB服务器在接收到客户发送的请求时。会根据自身设置的DNS服务器地址，指向DNS服务器。由DNS服务器为其进行解析服务。**

三.配置ACL
实验效果：PC1与PC2之间的任何类型的流量都无法互通
[SW1]acl name PC1deny advance （创建一个名为PC1deny的高级ACL）
[SW1-acl-adv-PC1deny]rule 5 deny ip source 192.168.10.1 0.0.0.0（配置其对应规则）
[SW1-acl-adv-PC1deny]q
[SW1]acl name PC2deny advance（创建一个名为PC2deny的高级ACL）
[SW1-acl-adv-PC2deny] rule 5 deny ip source 192.168.20.1 0.0.0.0（配置其对应规则）
[SW1-acl-adv-PC2deny]q
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]traffic-filter inbound acl 3999（进入该接口后，进行ACL调用）
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2] traffic-filter inbound acl 3998（进入该接口后，进行ACL调用）

小计：

在华为中，ACL分为基本ACL和高级ACL

二者的区别在于

**基本ACL：只能定义源IP地址，无法定义目标IP地址
高级ACL：可以定义源IP地址，目标IP地址。同时还可以配置额外的协议进行配置（例如我们常用的PING命令，即ICMP协议）

其次，在创建ACL的时候，又可以分为：
1以数字模式来创建（数字模式可以根据其对应的ACL ID数值来自动判断其对应基本还是高级）
2以命名模式来创建（自定义名称则需要后续添加基本或是高级才能为其定义。如不添加则默认为基本）**

命令详解：
rule 5 deny ip source 192.168.20.1 0.0.0.0 destination any
rule:规则
5：规则的ID号
deny：拒绝（ premit为允许）
source：源IP地址
192.168.20.1：以PC机1为源IP地址
0.0.0.0：为通配符（如果前面的源IP地址为192.168.20.0网段时，则通配符为0.0.0.255）
destination any：如果定义为源IP地址去网任何网段都不放行流量的话，则可以输入这条。但是实际上是可以省略该条命令，默认不写便为任何目的IP地址。即所有

验证PC1/PC2

结论：主机1和主机2无法访问任何网段。即ACL生效

至此实验完毕。

原文地址：http://blog.51cto.com/12906292/2061318