CCNP5----BCMSN實驗

實驗拓撲圖如下圖

其中紅圈圈的爲三層交換機中的三層線路，綠圈圈的線需設置爲二層channel

實驗要求:

內網IP-172.16.0.0/16
外網IP隨意
運用Vlan-DTP-VTP-SVI-DHCP-HSRP(VRRP)-STP(PVST+)等技術
端口安全
所有的內網PC可以訪問外網PC
外部PC通過域名可以訪問HTTP服務器
斷開SWI或SW2時，網絡依然可以通訊

IP規劃

骨幹 172.16.0.0/25----172.16.0.0/30 172.16.0.4/30
vlan2 172.16.1.0/25
vlan3 172.16.1.128/25
vlan4 172.16.2.0/25
http 172.16.2.128/25

配置思路:

channel–>DTP–>trunk–>VTP–>VLAN–>STP–>SVI–>網關冗餘–>DHCP

配置步驟:

將sw1和sw2之間的兩個gigabitEthernet口變成channel口，並將其設置爲trunk幹道,該命令在兩臺交換機上均進行

interface range GigabitEthernet0/1-2
 channel-group 1 mode on
 switchport trunk encapsulation dot1q
 switchport mode trunk

分別在匯聚層交換機sw1、sw2與接入層交換機連接的接口：F0/2-4 上手動配置trunk幹道，因爲DTP中手動與被動可以形成trunk幹道，所以在接入層交換機上不需要手動配置trunk

interface FastEthernet0/2-4
 switchport trunk encapsulation dot1q
 switchport mode trunk

在sw1和sw2上配置VTP，並定義自己爲server，在接入層交換機上配置VTP，並定義自己爲client，server可以修改刪除VTP，client不能修改刪除vlan

(sw1、sw2)
vtp domain ccnp
vtp password 123456
vtp mode server

(接入層交換機)
vtp domain ccnp
vtp password 123456
vtp mode client

在sw1上創建vlan2-4，並通過VTP同步創建到其他交換機
將接入層交換機的接口劃入到相應的vlan中，順便配置端口加速：spanning-tree portfast
分別將創建的vlan的根和備份放在不同的匯聚層交換機，形成分流，這裏將vlan1和vlan2的根放置在sw1，vlan3和vlan4的根放置在sw2

(sw1)
spanning-tree vlan 1 root primary 
spanning-tree vlan 2 root primary
spanning-tree vlan 3 root secondary
spanning-tree vlan 4 root secondary

(sw2)  
spanning-tree vlan 3 root primary 
spanning-tree vlan 4 root primary
spanning-tree vlan 1 root secondary
spanning-tree vlan 2 root secondary

在sw1和sw2上配置SVI接口,並同時配置三層接口F0/5

(sw1)
interface Vlan2
 ip address 172.16.1.1 255.255.255.128
interface Vlan3
 ip address 172.16.1.129 255.255.255.128
interface Vlan4
 ip address 172.16.2.1 255.255.255.128
interface F0/5
 no switchport
 ip address 172.16.2.129 255.255.255.128
 

(sw2)
interface Vlan2
 ip address 172.16.1.2 255.255.255.128
interface Vlan3
 ip address 172.16.1.130 255.255.255.128
interface Vlan4
 ip address 172.16.2.2 255.255.255.128
interface F0/5
 no switchport
 ip address 172.16.2.130 255.255.255.128

在sw1和sw2上配置網關冗餘,並配置上行鏈路追蹤,注意:根網橋和網關應該設置到一處

(sw1)
interface vlan 2
 standby 1 ip 172.16.1.126
 standby 1 priority 101
 standby 1 preempt
 standby 1 track FastEthernet0/1
interface vlan 3
 standby 1 ip 172.16.1.254
 standby 1 preempt
 standby 1 track FastEthernet0/1
interface vlan 4
 standby 1 ip 172.16.2.126
 standby 1 preempt
 standby 1 track FastEthernet0/1
interface F0/5
 standby 1 ip 172.16.2.254
 standby 1 priority 101
 standby 1 preempt
 standby 1 track FastEthernet0/1

(sw2)
interface vlan 2
 standby 1 ip 172.16.1.126
 standby 1 preempt
 standby 1 track FastEthernet0/1
interface vlan 3
 standby 1 ip 172.16.1.254
 standby 1 priority 101
 standby 1 preempt
 standby 1 track FastEthernet0/1
interface vlan 4
 standby 1 ip 172.16.2.126
 standby 1 priority 101
 standby 1 preempt
 standby 1 track FastEthernet0/1
interface F0/5
 standby 1 ip 172.16.2.254
 standby 1 preempt
 standby 1 track FastEthernet0/1

在sw1和sw2上配置DHCP，注意，DHCP池塘的網關爲網關冗餘的虛擬IP，而不是SVI的IP，開啓三層交換機的路由功能

(sw1和sw2配置一樣即可，也可各拿一半地址池的IP)
ip dhcp pool v2
 network 172.16.1.0 255.255.255.128
 default-router 172.16.1.126
 dns-server 114.114.114.114
ip dhcp pool v3
 network 172.16.1.128 255.255.255.128
 default-router 172.16.1.254
 dns-server 114.114.114.114
ip dhcp pool v4
 network 172.16.2.0 255.255.255.128
 default-router 172.16.2.126
 dns-server 114.114.114.114
ip routing

在Router0、sw1、sw2上運行eigrp動態路由協議，並將sw1，sw2下方的路由彙總發送上去，節省路由條目

(Router、sw1、sw2配置均相等)
router eigrp 90
 no auto-summary
 network 172.16.0.0
ip summary-address eigrp 90 172.16.0.0 255.255.255.0

11.邊界路由器缺省路由指向ISP，並通過eigrp將缺省路由下方

ip route 0.0.0.0 0.0.0.0 12.1.1.2
interface f0/0
ip summary-address eigrp 90 0.0.0.0 0.0.0.0

12.配置邊界nat，使得內網可以訪問外網

access-list 1 permit 172.16.0.0 0.0.255.255
ip nat inside source list 1 interface FastEthernet1/0 overload

interface F1/0
 ip nat outside
interface F0/0
 ip nat inside
interface F0/1
 ip nat inside

13.將內網http服務器的端口映射到邊界路由器的F1/0口

ip nat inside source static tcp 172.16.2.150 80 12.1.1.1 80

14.在接入層交換機連接用戶的接口上設置端口安全

(每個連接用戶的接口上配置)
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security maximum 132
 switchport port-security mac-address sticky 
 switchport port-security violation protect

我的認知:

如果存在vlan，那麼三層交換機的網關冗餘必須要有vlan對用的SVI的IP，因爲對於三層接口，是直接有IP的，但是對於VLAN，它們也是獨立的網段，但是沒有接口，那麼就沒有相應可以做VLAN網關冗餘的入口。

還有一點，對於上面的實驗圖

一臺路由器和兩臺三層交換機間起eigrp動態協議，正常來說，底下的兩臺三層交換機應該給上面發包進行建鄰等過程，但是，三層交換機上存在的SVI接口是虛擬接口，它們會將包往下面的設備發，這樣是不應該的，可以將這些接口進行被動接口設置，但是，即使這樣，channel線路上也會有SVI進行包的發送，假如說兩個三層交換機有1000個SVI，那麼一秒就要發送1000個包，但是發這麼多包僅僅是爲了建立一個鄰居，很沒必要而且過多的包也會增加中間channel線的負擔，所以對於三層交換機起動態協議時，先講所有的接口設置爲被動接口，然後再將應該發送包的接口取消被動接口設置