1000人 冗餘 規模園區網
1.配置vlan trunk 兩臺核心之間配置鏈路捆綁
2.配置MSTP+VRRP 實現流量負載分擔同時實現冗餘(負載均衡),並
配置相關stp優化技術加快stp收斂,並減少stp震盪。
(不必要的口就禁掉,連接用戶的口就做成 邊緣端口)
3.配置OSPF和靜態實現三層路由,確保分支可以訪問總部
4.所有用戶採用動態獲取ip地址,並配置相關dhcp安全技術
5.聯通作爲主出口 電信PPPOE作爲備份出口
6.禁止vlan5用戶訪問外網
7.將server 200.2 80端口映射成聯通公網地址
8.所有交換機都可以被遠程telnet (hcie 123)
9.出口鏈路正常時,vlan3使用電信PPPOE上網 (策略路由)
這種相比堆疊的技術難度大,運維管理較複雜
補充:可以放多一臺出口路由器 安全技術
1.底層配置
①VLAN Trunk Eth-Trunk底層配置
增加帶寬,提高鏈路穩定性,可靠性。
Eth-Trunk
匯聚SW3
[sw3]sys HJ_sw3
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]mode lacp-static
[HJ_sw3-Eth-Trunk1]trunkport Ethernet 0/0/4
[HJ_sw3-Eth-Trunk1]trunkport Ethernet 0/0/5
接入sw6
[JR_sw6]int Eth-Trunk 1
[JR_sw6-Eth-Trunk1]mode lacp-static
[JR_sw6-Eth-Trunk1]trunkport Ethernet 0/0/1
[JR_sw6-Eth-Trunk1]trunkport Ethernet 0/0/3
核心sw1
[HX_sw1]int Eth-Trunk 2
[HX_sw1-Eth-Trunk2]mode lacp-static
[HX_sw1-Eth-Trunk2]trunkport g0/0/2
[HX_sw1-Eth-Trunk2]trunkport g0/0/3
核心sw2
[HX_sw2]int Eth-Trunk 2
[HX_sw2-Eth-Trunk2]mode lacp-static
[HX_sw2-Eth-Trunk2]trunkport g0/0/1
[HX_sw2-Eth-Trunk2]trunkport g0/0/2
VLAN
1棟樓
接入sw5
[JR_sw5]vlan batch 2 to 5
[JR_sw5]int e0/0/2
[JR_sw5-Ethernet0/0/2]port link-type access
[JR_sw5-Ethernet0/0/2]port de vlan 2
[JR_sw5-Ethernet0/0/2]int e0/0/1
[JR_sw5-Ethernet0/0/1]port link-type trunk
[JR_sw5-Ethernet0/0/1]port trunk allow-pass vlan 2 999
接入sw6
[JR_sw6]vlan batch 2 to 5
Info: This operation may take a few seconds. Please wait for a moment...done.
[JR_sw6]int e0/0/2
[JR_sw6-Ethernet0/0/2]port link-ty acc
[JR_sw6-Ethernet0/0/2]port d v 3
[JR_sw6-Ethernet0/0/2]q
[JR_sw6]int Eth-Trunk 1
[JR_sw6-Eth-Trunk1]port link-type trunk
[JR_sw6-Eth-Trunk1]port trunk allow-pass vlan 3 999
匯聚sw3
[HJ_sw3]vlan batch 2 to 5 200 999
[HJ_sw3]int e0/0/3
[HJ_sw3-Ethernet0/0/3]port link-type trunk
[HJ_sw3-Ethernet0/0/3]port trunk allow-pass vlan 2 999
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]port link-type trunk
[HJ_sw3-Eth-Trunk1]port trunk allow-pass vlan 3 999
[HJ_sw3]port-g g Ethernet0/0/1 Ethernet0/0/2
[HJ_sw3-port-group]port link-type trunk
[HJ_sw3-port-group]port trunk allow-pass vlan 2 3 999 //4、5不放行是修剪
___________________________________ 以上是1棟樓的
2棟樓
接入sw7
[JR_sw7]vlan batch 2 to 5 200 999
[JR_sw7]int e0/0/2
[JR_sw7-Ethernet0/0/2]port link-type acc
[JR_sw7-Ethernet0/0/2]port de vlan 4
[JR_sw7-Ethernet0/0/2]int e0/0/3
[JR_sw7-Ethernet0/0/3]port link-type acc
[JR_sw7-Ethernet0/0/3]port de vlan 5
[JR_sw7-Ethernet0/0/3]int e0/0/1
[JR_sw7-Ethernet0/0/1]port link-type trunk
[JR_sw7-Ethernet0/0/1]port trunk allow-pass vlan 4 5 999
匯聚sw4
[HJ_sw4]vlan batch 2 to 5 200 999
[HJ_sw4]int e0/0/3
[HJ_sw4-Ethernet0/0/3]port link-type trunk
[HJ_sw4-Ethernet0/0/3]port trunk allow-pass vlan 4 5 999
[HJ_sw4-Ethernet0/0/3]int e0/0/2
[HJ_sw4-Ethernet0/0/2]port link-type trunk
[HJ_sw4-Ethernet0/0/2]port trunk allow-pass vlan 4 5 999
[HJ_sw4-Ethernet0/0/2]int e0/0/1
[HJ_sw4-Ethernet0/0/1]port link-type trunk
[HJ_sw4-Ethernet0/0/1]port trunk allow-pass vlan 4 5 999
port-g g ethernet 0/0/1 ethernet 0/0/2
接入SW8
接入sw8
[JR_sw8]vlan batch 2 to 5 200 999
[JR_sw8]int e0/0/3
[JR_sw8-Ethernet0/0/3]port link-type acc
[JR_sw8-Ethernet0/0/3]port de vlan 200
[JR_sw8-Ethernet0/0/3]q
[JR_sw8]int e0/0/4
[JR_sw8-Ethernet0/0/4]port link-ty acc
[JR_sw8-Ethernet0/0/4]port de vlan 200
[JR_sw8]port-g g Ethernet 0/0/1 Ethernet 0/0/2
[JR_sw8-port-group]port link-ty trunk
[JR_sw8-port-group]port trunk allow-pass vlan 200 999
核心sw1 vlan trunk的配置
[HX_sw1]vlan batch 2 to 5 200 999
[HX_sw1]int g0/0/5
[HX_sw1-GigabitEthernet0/0/5]port link-type trunk
[HX_sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 200 999
[HX_sw1-GigabitEthernet0/0/5]q
[HX_sw1]int g0/0/1
[HX_sw1-GigabitEthernet0/0/1]port link-ty trunk
[HX_sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 999
[HX_sw1-GigabitEthernet0/0/1]q
[HX_sw1]int g0/0/4
[HX_sw1-GigabitEthernet0/0/4]port link-ty tr
[HX_sw1-GigabitEthernet0/0/4]port trunk allow-pass vlan 4 5 999
[HX_sw1-GigabitEthernet0/0/4]q
[HX_sw1]int eth-trunk 2
[HX_sw1-Eth-Trunk2]port link-type trunk
[HX_sw1-Eth-Trunk2]port trunk allow-pass vlan 2 3 4 5 200 999
[HX_sw1]vlan 800
[HX_sw1-vlan800]int g0/0/6
[HX_sw1-GigabitEthernet0/0/6]port link-type access
//路由和交換機是access
[HX_sw1-GigabitEthernet0/0/6]port de vlan 800
上下兩個都是經過vlan修剪的,減小廣播域
核心sw2 vlan trunk的配置
[HX_sw2]vlan batch 2 to 5 200 801 999
[HX_sw2]int g0/0/4
[HX_sw2-GigabitEthernet0/0/4]port link-type trunk
[HX_sw2-GigabitEthernet0/0/4]port trunk allow-pass vlan 4 5 999
[HX_sw2-GigabitEthernet0/0/4]q
[HX_sw2]int g0/0/5
[HX_sw2-GigabitEthernet0/0/5]port link-type trunk
[HX_sw2-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3 999
[HX_sw2-GigabitEthernet0/0/5]q
[HX_sw2]int eth-trunk 2
[HX_sw2-Eth-Trunk2]port link-type trunk
[HX_sw2-Eth-Trunk2]port trunk allow-pass vlan 2 3 4 5 200 999
[HX_sw2-Eth-Trunk2]q
[HX_sw2]int g0/0/3
[HX_sw2-GigabitEthernet0/0/3]port link-type trunk
[HX_sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 200
[HX_sw2-GigabitEthernet0/0/3]q
[HX_sw2]int g0/0/6
[HX_sw2-GigabitEthernet0/0/6]port link-ty acc
[HX_sw2-GigabitEthernet0/0/6]port de vlan 801
2.MSTP配置
要求所有交換機的vlan要同步,不同步就沒法形成MSTP,因此vlan都要創建
組1:instance 1:vlan2 vlan3 vlan 200
組2:instance 2:vlan4 vlan5
將vlan 2 3 映射到實例1
交換機2作爲實例2的根橋,設vlan 4、5 ,將vlan 4 5映射到實例中
·華爲交換機默認開啓 MSTP模式
核心sw1
所有匯聚 核心交換機都要這樣配置 sw1\sw2\sw3\sw4\sw8
[HX_sw1]stp region-configuration
[HX_sw1-mst-region]instance 1 vlan 2 3 200
[HX_sw1-mst-region]region-name aa //域名
[HX_sw1-mst-region]revision-level 1 //修訂號
[HX_sw1-mst-region]instance 2 vlan 4 5 //將vlan映射到實例
[HX_sw1-mst-region]active region-configuration //激活MSTP配置
將核心交換機sw1作爲實例1的根橋
[HX_sw1]stp instance 1 root primary
[HX_sw1]stp instance 2 root secondary //實例2作爲備份根橋
核心sw2
[HX_sw2]stp instance 2 root primary
[HX_sw2]stp instance 1 root secondary
- 最終期望的流量負載分擔 vlan 2 3是走sw1 作爲根橋,作爲主交換機轉發出去。
vlan 4 5 是走sw2
因此這時要阻塞接口,不然會形成環路
![在這裏插入圖片描述]()
在這環中,所有trunk都允許vlan 2 3過
在這環中,所有trunk都允許vlan 2 3過因此紅色口是阻塞的,使 vlan 2 3是走sw1 。通過根橋 備份根橋 的優先級來實現
dis stp brief
發現匯聚sw3沒有 實例2的,因爲它的vlan trunk在之前vlan修剪中,沒有允許vlan 4 5通過,所以看不到
-
對於 交換機sw8來說,它選擇了核心交換機sw1作爲根橋,即它會阻塞e0/0/2口
<JR_sw8>dis stp brief
MSTID Port Role STP State Protection
0 Ethernet0/0/1 DESI FORWARDING NONE
0 Ethernet0/0/2 DESI FORWARDING NONE
1 Ethernet0/0/1 ROOT FORWARDING NONE
1 Ethernet0/0/2 ALTE DISCARDING NONE -
vlan 4 5怎麼訪問服務器200呢
從vlan5 發到sw2,然後sw2走eth-trunk(心跳口)到sw1直接上去
3.VRRP配置
VRRP(虛擬路由冗餘協議_網關的備份):通過把幾臺路由設備聯合組成一臺虛擬路由設備,將虛擬路由設備的ip地址作爲用戶的默認網關地址實現與外部的通訊。當網關設備發生故障時,VRRP協議能夠快速選舉新的網關設備承擔數據流量,保障網絡的可靠通信。
VRRP :(公有協議)
在多個路由器之間運行;可以虛擬出一個或者多個網關IP地址(虛擬路由器);
從而實現內網不同網段之間的互通;
VRRP的工作過程:
1、運行VRRP的“多個”路由器之間通過 VRRP 報文的交互,從而選擇出一個最牛的路由器,作爲 Master 路由器 ,以後就用來這個設備來轉發數據包;
2、Master 路由器,僅僅只有一個;其他的路由器稱之爲 backup 路由器;
3、同時,Master 和 Backup 路由器,會產生一個虛擬的路由器,也就是一個
虛擬的IP地址
因爲這個實驗是在DHCP自動分配之前,因此是沒有網關的,配置了VRRP,PC能Ping通網關,說明成功。
sw1設置VRRP組,每一個vlan都要起 對應的VRRP組
針對vlan 2,選擇sw1作爲主設備Master ,因爲希望vlan2的數據發給sw1,然後再往上轉發
sw2作爲vlan 4 5的VRRP的主設備,把vlan 4 5對應的VRRP組 優先級設高
- 想要創建VRRP,必須要有個三層接口,即vlanif接口
sw1
sw1
[HX_sw1]int vlanif 2
[HX_sw1-Vlanif2]ip add 192.168.2.254 24
[HX_sw1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.1 設置vrrp的vrid和virtual-ip(爲pc機的網關地址)
[HX_sw1-Vlanif2]vrrp vrid 2 priority 105
[HX_sw1]int vlanif 3
[HX_sw1-Vlanif3]ip add 192.168.3.254 24
[HX_sw1-Vlanif3]vrrp vrid 3 virtual-ip 192.168.3.1
[HX_sw1-Vlanif3]vrrp vrid 3 priority 105
[HX_sw1]int vlanif 200
[HX_sw1-Vlanif200]ip add 192.168.200.254 24
[HX_sw1-Vlanif200]vrrp vrid 200 virtual-ip 192.168.200.1
[HX_sw1-Vlanif200]vrrp vrid 200 priority 105
[HX_sw1]int vlanif 4
[HX_sw1-Vlanif4]ip add 192.168.4.254 24
[HX_sw1-Vlanif4]vrrp vrid 4 virtual-ip 192.168.4.1
[HX_sw1-Vlanif4]q
[HX_sw1]int vlanif 5
[HX_sw1-Vlanif5]ip add 192.168.5.254 24
[HX_sw1-Vlanif5]vrrp vrid 5 virtual-ip 192.168.5.1
[HX_sw1]int Vlanif 800
[HX_sw1-Vlanif800]ip add 192.168.12.2 24
sw2
[HX_sw2]int vlanif 4
[HX_sw2-Vlanif4]ip add 192.168.4.253 24
[HX_sw2-Vlanif4]vrrp vrid 4 virtual-ip 192.168.4.1
[HX_sw2-Vlanif4]vrrp vrid 4 priority 105
[HX_sw2-Vlanif4]q
[HX_sw2]int vlanif 5
[HX_sw2-Vlanif5]ip add 192.168.5.253 24
[HX_sw2-Vlanif5]vrrp vrid 5 virtual-ip 192.168.5.1
[HX_sw2-Vlanif5]vrrp vrid 5 priority 105
[HX_sw2-Vlanif5]q
[HX_sw2]int vlanif 2
[HX_sw2-Vlanif2]ip add 192.168.2.253 24
[HX_sw2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.1
[HX_sw2-Vlanif2]q
[HX_sw2]int vlanif 3
[HX_sw2-Vlanif3]ip add 192.168.3.253 24
[HX_sw2-Vlanif3]vrrp vrid 3 virtual-ip 192.168.3.1
[HX_sw2-Vlanif3]q
[HX_sw2]int vlanif 200
[HX_sw2-Vlanif200]ip add 192.168.200.253 24
[HX_sw2-Vlanif200]vrrp vrid 200 virtual-ip 192.168.200.1
[HX_sw2]int vlanif 801
[HX_sw2-Vlanif801]ip add 192.168.23.2 24
dis vrrp brief
4.BFD配置
- 出口路由器上使用VRRP來 Track BFD,主要實現核心交換機和出口的設備上配置BFD功能,主要是用來檢測引擎假死狀態(假死狀態:不處理任何報文,但接口燈還是亮的)
- 避免這種硬件故障:使用BFD來監測整個R1到SW1的鏈路,如果出現引擎假死,斷開這條鏈路,BFD就不通,然後會切換,把數據切換到sw2上。
與此同時,R1到SW2上也做監控,如果出現問題,也切換到sw1上
sw1
[HX_sw1]bfd
[HX_sw1]bfd bb bind peer-ip 192.168.12.1 source-ip 192.168.12.2 auto //auto自動去建立這個標識
[HX_sw1-bfd-session-bb]commit
出口路由器上(AR3260支持策略路由)
[CK_R1]int g0/0/0
[CK_R1-GigabitEthernet0/0/0]ip add 192.168.12.1 24
[CK_R1-GigabitEthernet0/0/0]int g0/0/1
[CK_R1-GigabitEthernet0/0/1]ip add 192.168.23.1 24
[CK_R1-GigabitEthernet0/0/1]q
[CK_R1]int g0/0/2
[CK_R1-GigabitEthernet0/0/2]ip add 12.1.1.1 24
[CK_R1-GigabitEthernet0/0/2]int g1/0/0
[CK_R1-GigabitEthernet1/0/0]ip add 13.1.1.1 24
[CK_R1-GigabitEthernet1/0/0]int g2/0/0
[CK_R1-GigabitEthernet2/0/0]ip add 14.1.1.1 24
[CK_R1]bfd
[CK_R1-bfd]qu
[CK_R1]bfd bb bind peer-ip 192.168.12.2 source-ip 192.168.12.1 auto
[CK_R1-bfd-session-bb]commit
調用BFD功能,在vlanif 200 2 3 , track
[HX_sw1]int vlanif 2
[HX_sw1-Vlanif2]vrrp vrid 2 track bfd-session session-name bb
[HX_sw1-Vlanif2]vrrp vrid 2 track int g0/0/1
- 爲什麼要track底下的接口呢?
因爲這個接口即使是down了,冗餘鏈路接口還是正常的。所以down了,按道理是要進行切換鏈路的,如果沒配置的話是不會切換的
配置了track的話,就會切換鏈路。 因此要 上下口都要跟蹤 track
[HX_sw1]int vlanif 3
[HX_sw1-Vlanif3]vrrp vrid 3 track bfd-session session-name bb
[HX_sw1-Vlanif3]vrrp vrid 3 track int g0/0/1
[HX_sw1]int vlanif 200
[HX_sw1-Vlanif200]vrrp vrid 200 track bfd-session session-name bb
[HX_sw1-Vlanif200]vrrp vrid 200 track int g0/0/1
sw2
[HX_sw2]bfd
[HX_sw2-bfd]qu
[HX_sw2]bfd cc bind peer-ip 192.168.23.1 source-ip 192.168.23.2 auto
[HX_sw2-bfd-session-cc]commit
出口路由器上
[R1]bfd cc bind peer-ip 192.168.23.2 source-ip 192.168.23.1 auto
[R1-bfd-session-cc]commit
調用BFD功能,在vlanif 4 5 , track
[HX_sw2]int vlanif 4
[HX_sw2-Vlanif4]vrrp vrid 4 track bfd-session session-name cc
[HX_sw2-Vlanif4]vrrp vrid 4 track int g0/0/4
[HX_sw2-Vlanif4]int vlanif 5
[HX_sw2-Vlanif5]vrrp vrid 5 track bfd-session session-name cc
[HX_sw2-Vlanif5]vrrp vrid 5 track int g0/0/4
5.OSPF
sw1,sw2,R1,分支R4 配置OSPF
匯聚和接入是二層設備,不需配置OSPF
sw1
[HX_sw1]ospf 1
[HX_sw1-ospf-1]area 0
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.200.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.12.0 0.0.0.255
sw2
[HX_sw2]ospf 1
[HX_sw2-ospf-1]area 0
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.200.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.23.0 0.0.0.255
出口路由器R1
(不要去宣告 電信和聯通的網段,因爲運營商是不會告訴你的)
這裏的電信是通過PPOE撥號,是不需要配置IP地址的。 出口路由器只需要宣告
192.168.12.0 23.0 14.1.1.0
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255
電信路由器
[DX_R2]int g0/0/0
[DX_R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
聯通路由器
[DX_R2]int g0/0/0
[DX_R2-GigabitEthernet0/0/0]ip add 13.1.1.2 24
分支R4
[FZ_R4]int g0/0/0
[FZ_R4-GigabitEthernet0/0/0]ip add 14.1.1.2 24
[FZ_R4]int g0/0/1
[FZ_R4-GigabitEthernet0/0/1]ip add 192.168.100.1 24
[FZ_R4]ospf 1
[FZ_R4-ospf-1]area 0
[FZ_R4-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255
[FZ_R4-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255
[FZ_R4-ospf-1-area-0.0.0.0]
DHCP服務器
[DHCP]int e4/0/0
[DHCP-Ethernet4/0/0]ip add 192.168.200.3 24
[DHCP]ip route-s 0.0.0.0 0 192.168.200.1
作爲一個服務器 肯定要有網關的,網關就相當於缺省路由,使用缺省路由來模擬它的網關
//指向虛地址200.1
企業內網是運行OSPF, 運營商跑的OSPF,ISIS,BGP… 反正就是動態路由協議
在這裏刻意跑個 RIP —— 模擬公網路由
運營商和運營商之間有公網路由交互
電信路由器
[DX_R2]int g0/0/1
[DX_R2-GigabitEthernet0/0/1]ip add 25.1.1.2 24
[DX_R2-GigabitEthernet0/0/1]q
[DX_R2]rip
[DX_R2-rip-1]ve 2
[DX_R2-rip-1]net 12.0.0.0
[DX_R2-rip-1]net 25.0.0.0
聯通路由器
[LT_R3]int g0/0/1
[LT_R3-GigabitEthernet0/0/1]ip add 35.1.1.3 24
[LT_R3-GigabitEthernet0/0/1]q
[LT_R3]rip
[LT_R3-rip-1]ve 2
[LT_R3-rip-1]network 13.0.0.0
[LT_R3-rip-1]network 35.0.0.0
R5路由器
[R5]int g0/0/0
[R5-GigabitEthernet0/0/0]ip add 25.1.1.5 24
[R5-GigabitEthernet0/0/0]int g0/0/1
[R5-GigabitEthernet0/0/1]ip add 35.1.1.5 24
[R5-GigabitEthernet0/0/1]int loop 0
[R5-LoopBack0]ip add 5.5.5.5 24
[R5]rip 1
[R5-rip-1]ve 2
[R5-rip-1]net 25.0.0.0
[R5-rip-1]net 35.0.0.0
[R5-rip-1]net 5.0.0.0
到此爲止,用戶還是無法訪問 5.5.5.5的,因爲出不去
原因:在網關 sw1就沒有到出口路由器的路由—— 缺省路由
配置缺省路由
在sw1上
[HX_sw1]ip route-static 0.0.0.0 0 192.168.12.1
[HX_sw1]ip route-static 0.0.0.0 0 192.168.23.1 preference 65
在sw2上
[HX_sw2]ip route-static 0.0.0.0 0 192.168.23.1
[HX_sw2]ip route-static 0.0.0.0 0 192.168.12.1 preference 65
在R1上
[R1]ip route-static 0.0.0.0 0 13.1.1.2
但此時用戶還不能ping通5.5.5.5。 因爲數據出去後 回不了,沒有做NAT轉換。 那麼有人會說:直接做OSPF不就行了嗎? 答:企業是沒法學習公網的路由的,運營商也不會把公網路由傳給你
7.NAT
出口路由器R1上
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R1-acl-basic-2000]int g1/0/0
[R1-GigabitEthernet1/0/0]nat outbound 2000
配完 就可以上百度了
但此時來回路徑不一致,不夠規範。因此調整ospf的cost開銷 讓路由表中兩條路由條目優先級不同
讓R1知道 別從vlan 4 5回來(若從vlan 2 3的用戶去請求)
在兩個核心交換機上配置,同時在出口路由器R1上 查看 dis ip rout
[HX_sw1]int vlanif 5
[HX_sw1-Vlanif4]ospf cost 4
[HX_sw1-Vlanif4]int vlanif 5
[HX_sw1-Vlanif5]ospf cost 4
[HX_sw2]int vlanif 2
[HX_sw2-Vlanif2]ospf cost 4
[HX_sw2-Vlanif2]int vlanif 3
[HX_sw2-Vlanif3]ospf cost 4
[HX_sw2-Vlanif3]int vlanif 200
[HX_sw2-Vlanif200]ospf cost 4
8.DHCP中繼配置
DHCP分地址兩種方式:一種是用服務器來分地址,一種是用核心交換機來分地址。
- 如果用核心交換機分地址,需要注意地址的重複性,交換機1起了個地址池2.x,分的是192.168.2.x 交換機2也起了2.x,那麼就會重複,爲了避免重複(如果sw1掛了可拿sw2分配)
應該要區分,一般一個VLAN最好別超過100個用戶
交換機1分 2.2~2.150 (如果用戶多可使用23位掩碼)
交換機2分 2.151~2.254
利用交換機的話,排除地址有點麻煩,用服務器分減少核心交換機的壓力
要用到DHCP中繼技術
[DHCP]dhcp enable
[DHCP]ip pool vlan2
[DHCP-ip-pool-vlan2]network 192.168.2.0 mask 24
[DHCP-ip-pool-vlan2]gateway-list 192.168.2.1
[DHCP-ip-pool-vlan2]dns-list 114.114.114.114 8.8.8.8
ip pool vlan3
gateway-list 192.168.3.1
network 192.168.3.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool vlan4
gateway-list 192.168.4.1
network 192.168.4.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool vlan5
gateway-list 192.168.5.1
network 192.168.5.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
interface Ethernet4/0/0
ip address 192.168.200.3 255.255.255.0
dhcp select global
啓用地址池(真實環境下可拿Linux或windows server服務器)
[DHCP]int e4/0/0
[DHCP-Ethernet4/0/0]dhcp select global
配置到這裏,用戶也還是拿不到的
因爲vlan2和vlan200 不同的vlan,vlan 2用戶廣播是進不去vlan 200。
三層設備將DHCP的廣播報文隔離了,因此要配置DHCP中繼
核心sw1
[HX_sw1]dhcp enable
[HX_sw1]int vlanif 2
[HX_sw1-Vlanif2]dhcp select relay
[HX_sw1-Vlanif2]dhcp relay server-ip 192.168.200.3
[HX_sw1]int vlanif 3
[HX_sw1-Vlanif3] dhcp select relay
[HX_sw1-Vlanif3] dhcp relay server-ip 192.168.200.3
[HX_sw1-Vlanif3]q
[HX_sw1]int vlanif 4
[HX_sw1-Vlanif4] dhcp select relay
[HX_sw1-Vlanif4] dhcp relay server-ip 192.168.200.3
[HX_sw1-Vlanif4]q
[HX_sw1]int vlanif 5
[HX_sw1-Vlanif5] dhcp select relay
[HX_sw1-Vlanif5] dhcp relay server-ip 192.168.200.3
核心sw2
[HX_sw2]dhcp enable
[HX_sw2]int vlanif 2
[HX_sw2-Vlanif2]dhcp select relay
[HX_sw2-Vlanif2]dhcp relay server-ip 192.168.200.3
[HX_sw2-Vlanif2]q
[HX_sw2]int vlanif 3
[HX_sw2-Vlanif3] dhcp select relay
[HX_sw2-Vlanif3] dhcp relay server-ip 192.168.200.3
[HX_sw2-Vlanif3]int vlanif 4
[HX_sw2-Vlanif4] dhcp select relay
[HX_sw2-Vlanif4] dhcp relay server-ip 192.168.200.3
[HX_sw2-Vlanif4]int vlanif 5
[HX_sw2-Vlanif5] dhcp select relay
[HX_sw2-Vlanif5] dhcp relay server-ip 192.168.200.3
·配置中繼之後,用戶就可以拿到地址了
自己在做的時候遇到 拿到了DNS,但沒拿到IP
原因:衝突。拿到了地址,但是不能用。 MAC地址爲21-FA的 和IP地址衝突了
254 253 DHCP分配 從大的分。 因爲之前 已經被兩個核心交換機佔用了 192.168.2.254 和2.253。 因此要排除掉 這兩個地址
在DHCP服務器上排除 之前配置的全部都要這樣排除
(除這兩個排除外,再添加保留地址, 用於 配置打印機的靜態地址)
[DHCP]ip pool vlan2
[DHCP-ip-pool-vlan2]excluded-ip-address 192.168.2.249 192.168.2.254
Warning:Some of addresses not be excluded are not idle,or not in the pool.
出現了警告, 說 已經有地址在地址中被使用了,用戶已經佔了這個MAC地址,現在要排除是排不出來的。
解決:清空地址池 <DHCP>reset ip pool name vlan 2 used
[DHCP]dis ip pool name vlan2 used
同理:vlan 3
先 reset ip pool name vlan3 used 然後 再進vlan地址池 配置exclude
<DHCP>reset ip pool name vlan4 used //2.3.4.5
[DHCP]ip pool vlan4
[DHCP-ip-pool-vlan4]excluded-ip-address 192.168.4.249 192.168.4.254
即使sw1掛了,也能通過sw2獲取,因此是支持DHCP備份的
總結:DHCP調試命令
dis ip pool name vlan2 used
reset ip pool name vlan2 used
DHCP服務器
[DHCP]int e4/0/0
[DHCP-Ethernet4/0/0]ip add 192.168.200.3 24
[DHCP]ip route-s 0.0.0.0 0 192.168.200.1
作爲一個服務器 肯定要有網關的,網關就相當於缺省路由,使用缺省路由來模擬它的網關
//指向虛地址200.1
9.DHCP的安全技術
DHCP Snnoping,在所有接入交換機(vlan2,3,4,5)上啓用這個技術,保證服務器是唯一的,合法的服務器。 不要讓 TP-link這種設備 擾亂我們地址的分配,因爲用戶私自插TP-link,而且剛好插的是LAN口。 因爲TP-link它也可以往外分地址的,這樣就會對DHCP地址造成影響,爲了避免非法的影響。 DHCP Snnoping
DHCP Snnoping ,在所有的接入交換機 的 上連口——信任口。接用戶口——非信任口
[JR_sw5]dhcp enable
[JR_sw5]dhcp snooping enable
[JR_sw5]vlan 2
[JR_sw5-vlan2]dhcp snooping enable
[JR_sw5-vlan2]q
[JR_sw5]int e0/0/1
[JR_sw5-Ethernet0/0/1]dhcp snooping trusted
[JR_sw6]vlan 3
[JR_sw6-vlan3]dhcp snooping enable
[JR_sw6-vlan3]qu
[JR_sw6]int eth-trunk 1
[JR_sw6-Eth-Trunk1]dhcp snooping trusted
[JR_sw7]dhcp enable
[JR_sw7]dhcp snooping enable
[JR_sw7]vlan 4
[JR_sw7-vlan4]dhcp snooping enable
[JR_sw7-vlan4]vlan 5
[JR_sw7-vlan5]dhcp snooping enable
[JR_sw7-vlan5]int e0/0/1
[JR_sw7-Ethernet0/0/1]dhcp snooping trusted
10.PPPOE配置
PPPoE是將以太網和PPP協議相結合的協議,是在以太網中轉播PPP幀信息的技術,它利用以太網將大量主機組成網絡,通過一個遠端接入設備連入因特網,並對接入的每一臺主機實現控制、計費功能
光纖入戶—— 光纖 轉爲 電口Ethernet以太網的。 PPPOE,這種
實際工作中 是圖形化簡單配置PPPOE的,通過Web界面。 這裏用命令行演示
客戶端和服務端
客戶端配置 R1
1.配置匹配規則
acl 2001
rule permit source 192.168.0.0 0.0.255.255
2.配置撥號接口 Dialer 1
interface Dialer 1
link-protocol ppp
ip address ppp-negotiate //通過PPP協商階段 獲取ip地址
ppp pap local-user 0531 password simple 123456 //配置對應服務端 ↓ 用戶名和密碼
dialer user 0531 //和PPPOE服務端的名字保持一致
dialer bundle 2 //定義一個bundle,下面再接口調用
nat outbound 2001
#
·PPPOE撥號綁定到出接口,接口調用
interface gi0/0/2
pppoe-client dial-bundle-number 2
·配置客戶端到服務端的缺省靜態路由
ip route-static 0.0.0.0 0 dialer1 preference 85
服務端配置 R2
1.創建地址池用來爲客戶端分配地址
ip pool pool1
network 12.1.1.0 mask 24
gateway-list 12.1.1.2 //站在R1角度
2.創建用於認證的賬號
local-user 0531 password cipher 123456
local-user 0531 service-type ppp
·········先undo g0/0/0口的IP地址
3.配置認證虛模板
interface Virtual-Template 1
ppp authentication-mode pap
remote address pool pool1
ip address 12.1.1.2 255.255.255.0
·接口調用,綁定虛擬模板
interface Gi0/0/0
pppoe-server bind Virtual-Template 1 //綁定後,其實這個接口就是12.1.1.2
·優化 PPPOE撥號有些會遇到打開網頁顯示打不開,圖片不顯示問題
R1:
int dialer 1
mtu 1492 (在以太網和IP之間一定會增加8字節(6字節的PPPOE和2字節的PPP),因此實際MTU是 1492)
撥號成功後,R2會給R1的出接口分配一個公網IP地址
在SERVER上執行display pppoe-server session all
11.出口路由配置
實際中,出口設備是安全設備(防火牆),安全設備比路由器的選擇 更多
讓電信的PPPOE作爲聯通的備份出口
ip route-static 0.0.0.0 0.0.0.0 13.1.1.2
ip route-static 0.0.0.0 0.0.0.0 Dialer1 preference 85
12.NAT Server
將內網服務器的端口 映射到 聯通外網, 讓外網用戶通過公網地址訪問到內網設備
[R1]int g1/0/0
[R1-GigabitEthernet1/0/0]nat server protocol tcp global current-interface 80 inside 192.168.200.2 80
外網用戶主機
[R5]int g0/0/2
[R5-GigabitEthernet0/0/2]ip add 6.6.6.1 24
13.ACL
禁止vlan5(研發部)訪問外網
可將vlan5上網的報文丟棄。
放行 訪問分支的流量,公司內部的
Permit 源地址是 5網段,目的地址 192.168.x.x 網段 給予放行
Deny 源地址是 5網段
出口路由器R1上 deny目標不寫,表示任何,把3005 調用到 R1的兩個入口
不可調用在R1出口上,因爲已經作了NAT轉換,當報文出去的時候 先進行NAT轉換,然後才匹配ACL的。 因此 在ACL匹配之前已經NAT轉了
14.策略路由配置(瞭解)
(模擬器bug 不生效)
重定向到 下一跳或出接口 的方式。 這裏是重定向到出接口
要求:出口鏈路正常時,vlan 3使用電信PPPOE上網
acl number 3008
rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 10 permit ip source 192.168.3.0 0.0.0.255
#
traffic classifier VLAN_3 operator or //設置流分類,參數是or 或關係
if-match acl 3008 //流分類的匹配規則
#
traffic behavior VLAN_3 //設置流行爲
redirect interface Dialer1 //重定向符合流分類的報文 到 指定接口 或下一跳
#
traffic policy aa //設置流 策略名
classifier VLAN_3 behavior VLAN_3 //執行,分類和動作關聯起來
··只能在接口入方向應用··
int g0/0/0
traffic-policy aa inbound
int g0/0/1
traffic-policy aa inbound
BUG 1:策略路由匹配Dialer 口不支持 (可以配置,但不生效)
traffic behavior VLAN_3
redirect interface Dialer1
BUG 2:路由器不請求下一跳的MAC地址 (可以配置,生效,但要有MAC,先dis arp br)
traffic behavior VLAN_3
redirect ip-nexthop 13.1.1.2
如果想生效,必須要有下一跳的MAC地址,確保MAC地址在本臺路由器的ARP緩存包
真機 會請求對端(下一跳)的MAC地址,但模擬器不會去請求 dis arp br
試驗: 拔線後再接,然後在出口路由器 reset arp dynamic 清空arp 發覺tracert 不OK了
ping一下 13.1.1.2 ,MAC地址又會存在ARP表中, 生效
15.telnet
在交換機 和路由器上 啓用即可。 難就難在配IP地址, 接入和匯聚IP地址
所有網絡設備:
aaa
local-user hcie privilege level 3 password cipher 123
local-user hcie service-type telnet
user-interface vty 0 4
authentication-mode aaa
protocol inbound telnet
規劃管理的VLAN 999 192.168.255.x
·使用VRRP,虛擬出一個地址,來作爲管理VLAN 999的網關 255.1 ,
還要有個 缺省路由,指向255.1, 用於回包。
int vlanif 999
ip add 192.168.255.1
核心1
interface Vlanif999
ip address 192.168.255.254 255.255.255.0
vrrp vrid 255 virtual-ip 192.168.255.1
interface Vlanif999
ip address 192.168.255.7 255.255.255.0
vrrp vrid 255 virtual-ip 192.168.255.1
核心2
[HX_sw2]int vlanif 999
[HX_sw2-Vlanif999]ip add 192.168.255.253 24
[HX_sw2-Vlanif999]vrrp vrid 255 virtual-ip 192.168.255.1
- 這個核心交換機不用配,配置在匯聚和接入交換機
ip route-s 0.0.0.0 0 192.168.255.1 //這個缺省路由 就是交換機的回包路由
- 用路由器telnet
dhcp enable
int g0/0/0
ip add dhcp-alloc
16.優化STP
①邊緣端口(在用戶接入設備的接口上)
[JR_sw5]int e0/0/2
[JR_sw5-Ethernet0/0/2]stp edged-port enable
②取消掉 核心交換機1和2 上連接口 的 STP口
[HX_sw1]int g0/0/6
[HX_sw1-GigabitEthernet0/0/6]stp disable
[HX_sw2]int g0/0/6
[HX_sw2-GigabitEthernet0/0/6]stp disable
③核心捆綁鏈路 配置STP 的 cost優先級,以免兩條中某一條down了,重新計算,影響收斂
默認開銷cost值是 10000
sw1
[HX_sw1]int Eth-Trunk 2
[HX_sw1-Eth-Trunk2]stp instance 1 cost 10000
[HX_sw1-Eth-Trunk2]stp instance 2 cost 10000
sw2
[HX_sw2]int Eth-Trunk 2
[HX_sw2-Eth-Trunk2]stp instance 1 cost 10000
[HX_sw2-Eth-Trunk2]stp instance 2 cost 10000
還有接入到匯聚的捆綁口
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]stp instance 1 cost 10000
[HJ_sw3-Eth-Trunk1]stp instance 2 cost 10000
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]stp cost 10000
完整配置文件
https://download.csdn.net/download/qq_39578545/12381758