200人 500人規模園區網
實驗要求
① 設置合理的STP優先級、邊緣端口、Eth-trunk
環路會引起廣播風暴,設置STP可二層防環,STP是破環協議
② 企業內網劃分多個vlan ,減少廣播域大小,提高網絡穩定性
③ 所有設備,在任何位置都可以telnet遠程管理
④ 出口配置NAT
⑤ 所有用戶均爲自動獲取ip地址(核心交換機)
⑥ 在企業出口將內網(web)服務器的80端口映射出去,允許外網用戶訪問
⑦ 企業財務服務器,只允許財務部(vlan 30)的員工訪問。
-
對於中小企業網絡,醫院,高校,酒店。 兩層架構(核心層和接入層)
假設企業達到1000人,就加上匯聚層,在我的博客裏也能看到1000人 -
中小型企業,儘量扁平化,如果設備太多,每一個設備都可成爲故障點,傳輸速率也會慢點
-
人員分佈
同個部門員工都在同一層樓,佈線好佈置,這樣就兩層架構。
如果員工分散在N層樓,這樣就三層架構
企業網按部門劃分網段,校園網按宿舍樓層劃分網段 -
PC2是用一個路由器來模擬PC(telnet)
一、設備選型(光口和電口的交換機,注意設備利舊)
…
二、技術需求
①二層:STP Eth-trunk 即冗餘技術,把接入層到核心層的兩條線捆綁成一條線
讓交換機運行快速生成樹,核心交換機的優先級要調最低。
②vlan、trunk
vlan即虛擬局域網,隔離廣播域,提升網絡的穩定性 安全性,同時方便管理和控制這個網絡,滿足特殊網絡的訪問控制要求
一個vlan 對應一個網段 對應一個廣播域
trunk是對vlan的一個提升,允許多個VLAN通信,接入交換機和核心交換機 通過trunk。
專門單獨設置一個管理VLAN,用作遠程管理
③網關、SVI配置
④DHCP配置
第一種方式:DHCP是在覈心交換機上做的,啓用DHCP功能
第二種方式:若找DHCP服務器分配的話,就要在覈心交換機上做DHCP中繼
配置DHCP地址池,網關DNS
⑤出口NAT配置
NAT:網絡地址翻譯,將內網私網地址轉換成公網地址。在出口的時候 轉換成公網地址
⑥服務器端口映射
將內網的某一臺服務器的某一個端口 映射到公網上,方便外網直接訪問某臺設備和服務
⑦ACL配置
控制部門之間的互訪
如:財務服務器,禁止部分員工去訪問,只允許財務部和董事長
⑧telnet遠程管理配置
遠程登錄,方便運維
⑨vlan修剪配置
通過進一步縮小廣播域,進一步提升網絡的穩定性和安全性
trunk 只允許有劃分的vlan通過,而不是所有vlan通過。 使廣播範圍小了
三、詳細配置
STP Eth-trunk
①STP Eth-trunk設置合理的優先級(越小越優先),設置邊緣端口
設置邊緣端口的好處:可以提高網絡的收斂速度,增加穩定性
千兆口連接上行,百兆口連接下行用戶
1.STP
核心:sw1
[sw1]stp root primary //成爲主根橋
接入:sw2 sw3 sw4 sw5
[sw2]port-g group-member e0/0/1 to e0/0/22 //g是group
[sw2-port-group]stp edged-port enable
2.Eth-trunk,將兩條鏈路捆綁起來
sw1:
int eth-trunk 2
mode lacp-static
trunkport gi 0/0/1
trunkport gi 0/0/4
int eth-trunk 2
stp cost 10000
sw2:
interface eth-trunk 2
mode lacp-static
trunkport gi 0/0/1
trunkport gi 0/0/2
int eth-trunk 2
stp cost 10000 //強制這個stp口的開銷,設置了可以優化網絡,讓STP更穩定。如果一條鏈路斷了,stp會重新收斂。 爲了避免重新收斂這種,將其捆綁後設定一個固定cost
dis eth-trunk 2
省略其他交換機的配置,都是類似的
sw3--sw1 eth-trunk3
sw4--sw1 eth-trunk4
sw5--sw1 eth-trunk5
VLAN
②vlan trunk
接入SW2 SW3 SW4 SW5,創建vlan,將接口劃入vlan
[sw2]vlan 10
[sw2-vlan10]vlan 20
[sw2]int eth-trunk2
[sw2-Eth-Trunk2]port link-type trunk
[sw2-Eth-Trunk2]port trunk allow-pass vlan all //all的範圍就是 2 to 4094,因此這種也要修剪
[sw2]int e0/0/2
[sw2-Ethernet0/0/2]port link-type access
[sw2-Ethernet0/0/2]port default vlan 10
[sw2]int e0/0/3
[sw2-Ethernet0/0/3]port link-type access
[sw2-Ethernet0/0/3]port default vlan 20
針對交換機下很多PC,直接按組配置
[sw3]vlan 20
[sw3]int eth-trunk3
[sw3-Eth-Trunk3]port link-type trunk
[sw3-Eth-Trunk3]port trunk allow-pass vlan all
[sw3]port-g g Ethernet 0/0/3 to Ethernet 0/0/22
[sw3-port-group]port link-type access
[sw3-port-group]port default vlan 3 0
sw4 sw5 配置略
..........
核心SW1,修剪
接入交換機有的VLAN,也要在覈心交換機上一併創建
[sw1]vlan 10
[sw1]vlan 20
[sw1]int eth-trunk 2
[sw1-Eth-Trunk2]port link-type trunk
[sw1-Eth-Trunk2]port trunk allow-pass vlan 10 20 999
這種就是VLAN修剪,原因:
如果是trunk all,它的廣播域會過大,整個trunk鏈路都是廣播域,使網絡不穩定
因爲用戶發送的廣播報文,帶着vlan10的標籤的廣播會發送到所有trunk中,即所有的交換機都會收到,即使接下來其他交換機收到不會發到PC。
直接一次性按組配置,這種就全是all,後期要修剪比較好
[sw1]vlan batch 10 20 30 40 200
[sw1]port-g g Eth-Trunk 2 to Eth-Trunk 5
[sw1-port-group]port link type turnk
[sw1-port-group]port turnk allow-pass vlan all
網關 SVI
③網關 SVI SVI就是VLAN IF接口
DHCP自動獲取IP地址,就是通過網關來獲取的
這裏先配置接口
sw1: 交換機虛擬接口
int vlanif10
ip add 192.168.10.1 255.255.255.0
int vlanif20
ip add 192.168.20.1 255.255.255.0
int vlanif30
ip add 192.168.30.1 255.255.255.0
int vlanif40
ip add 192.168.40.1 255.255.255.0
int vlanif200
ip add 192.168.200.1 255.255.255.0
三層交換機和路由器的三層對接:
交換機接口 默認是不能配置IP地址的。 所以這時使用vlan if 接口對接
然後給交換機vlanif 800 配置 192.168.254.2
出口R1的ge0/0/0 配置 192.168.254.1
SW1的具體配置
sw1:
[sw1]vlan 800
[sw1]int g 0/0/24
port link-type access //配置成access,別配置成trunk
port default vlan 800
[sw1]int vlanif 800
ip add 192.168.254.2 255.255.255.0
DHCP
④DHCP配置 服務器地址是靜態配置
sw1:
[sw1]dhcp enable
[sw1]ip pool caiwu
[sw1-ip-pool-caiwu]gateway-list 192.168.30.1
[sw1-ip-pool-caiwu]network 192.168.30.0 mask 24
[sw1-ip-pool-caiwu]dns-list 114.114.114.114 8.8.8.8
#
ip pool jishu
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_1
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_2
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
#用戶請求,交換機查看用戶請求報文,看用戶是來自VLAN 10,然後會查看路由表的VLAN IF 10上配的地址網段是 192.168.10.0網段,讓用戶去全局上拿地址池
[sw1]int vlanif 10
[sw1-vlanif10]dhcp select global
[sw1]int vlanif 20
[sw1-vlanif20]dhcp select global
30 40 50 略
出口路由 NAT
⑤出口路由 NAT
核心sw1上設置缺省路由 指向出口路由器
[sw1]ip route-static 0.0.0.0 0 192.168.254.1
出口路由器上設置缺省路由 指向運營商
[R1]ip route-static 0.0.0.0 0 12.1.1.6
出去後 要回來
路由器要根據路由表回去
[R1]ip route-static 192.168.0.0 16 192.168.254.2
NAT
⑥NAT
acl 2000
rule 5 permit source 192.168.0.0 0.0.255.255
[R1]int g0/1
[ ]nat outbound 2000
端口映射
⑦服務器端口映射
R1:
int g0/0/1
nat server protocol tcp global 12.1.1.2 80 inside 192.168.200.10 80
ACL
⑧ACL配置 只有財務部vlan30可以訪問財務服務器
sw1:
acl number 3000
rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.200.20 0
rule 10 deny ip destination 192.168.200.20 0
int eth-trunk5
traffic-filter outbound acl 3000
Telnet
⑨Telnet配置
所有設備(路由 交換機)都需如下配置
telnet server enable
aaa
local-user aa privilege level 3 password cipher 123
local-user aa service-type telnet
user-interface vty 0 4
authentication-mode aaa
接入交換機(二層交換機)配置管理地址(交換機有了管理地址才能telnet):
使用專門管理vlan 999承載telnet的管理流量,建議將管理IP地址配置在一個網段即可
管理vlan:vlan 999
管理網段:192.168.253.0/24
sw1:
vlan 999
int vlanif 999
ip add 192.168.253.1 24
sw2
vlan 999 //創建vlan
int vlanif 999 //配置vlan 管理地址
ip add 192.168.253.2 24
sw3 sw4 sw5 配置略,只要ip地址最後一位改一下
❤下面該缺省路由是爲了管理流量回包。每個接入層交換機都需要配置。
因爲這裏管理和業務是分開的。
[sw2]ip route-s 0.0.0.0 0 192.168.253.1 //sw2配置缺省路由 回到核心交換機
sw3 sw4 sw5 配置略,一模一樣的
VLAN 修剪
⑨VLAN修剪
爲了進一步減少trunk鏈路上的廣播報文的發送範圍,進一步縮小廣播域,在trunk鏈路上配置VLAN的過濾
sw2
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
sw3 sw4 也是類似這樣配置。修剪
sw1
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
補充知識點
- 創建vlan,配置vlan管理地址,根據管理地址對應的網段 去DHCP地址池找相應,自動分配
- 因爲交換機 不可以在接口直接配置IP地址,即使是核心交換機也不行
因此使用vlanif接口方式 使交換機和路由器 三層對接 - 樓宇還是樓層,都要根據需求去劃分vlan。如果是學生宿舍,每層樓的vlan就獨立
樓宇之間 光纖千兆Gigabitethernet, 樓層之間 百兆Ethernet - 用戶上網是走二層的MAC地址
- VLAN間的本質是 標籤的轉換, VLAN間通信
拓撲配置文件
附上網絡配置(積分可以去淘寶搜一下CSDN):
https://download.csdn.net/download/qq_39578545/12381369