BCMSN三层交换实验（CCNP内容）

BCMSN：组建cisco多层交换网络
企业网三层架构 ----冗余—线路、设备、UPS（电源）、网关
Access 接入层----提供端口密度，用于用户接入；MAC acl、qos、stp、vlan、trunk、vtp
Distribute 汇聚层（分布层）-----流量的聚合，策略规划；实施QOS和安全策略；需要支持三层功能；
Core 核心层-----提供数据的高速转发----NAT

一、实验拓扑图：

二、大致要求：
1.建议使用packet tracer（Cisco）或者eve这两个模拟器来模拟
2.Router1为ISP，环回为loopback 0
3.路由器之间，路由器与三层交换机之间，三层交换机与服务器相连的接口均为三层接口
4.内网地址为172.16.0.0/16
5.使用到HSRP或VRRP、STP、VLAN、DTP、Trunk和VTP
6.控制路由表条目数量
7.自动下发地址即 IP DHCP
8.全网可达
三、网络的大致部署思路：
1.拓朴设计——IP地址规划
此实验：接入层需要三个网段即vlan 2 、vlan3和服务器
　　　　172.16.0.0/16
　　　　172.16.0.0/24——骨干——172.16.0.0/30 172.16.0.4/30
　　　　172.16.0.0/24——接入层拆分成/25的网段（即一个网段用户不能超过126个）
　　　　　　　　　　　　VLAN2/Vlan3——172.16.2.0/25和172.16.2.128/25
　　　　　　　　　　　　Server——172.16.3.0/24
2.配置
（0）拓扑建立——交换技术——交换内容大致顺序：
Channel——DTP（trunk）——VTP（vlan）——STP——SVI——HSRP（VRRP）——DHCP
（1）底层
（2）路由
（3）策略
（4）测试
（5）排错
（6）维护
（7）升级
3.在2中我们列出了交换配置内容的大致顺序，下面就开始讲解这些顺序中所需要用到的技术以及配置：
（1）ETHER CHANNEL以太网通道
　　　主要用于SW-SW间
　　　将多个交换机间直连的物理接口(2-8,2-16)逻辑的整合为一个接口；起到带宽叠加的作用
　　　注：
　　　1.所有端口必须支持etherchannel；同时注意必须连接相同设备（同一设备，同本地类型相同）
　　　2.这些物理接口必须具有相同的速率和双工模式；LACP必须为全双工
　　　3.三层通道内所有的物理接口必须为3层接口，然后在channel口上配置ip地址
　　　4.若二层通道，这些物理接口应该属于同一VLAN或者均为trunk干道，且封装的类型一致，VLAN的允许列表必须一致
　　　5.通道的属性改变将同步到物理接口，反之也可；若物理没有全部down，通信依然正常同时配置所有物理接口，
　　　　或直接配置channel口，均可修改接口的属性；
　　　　该实验中在SW1和SW2中配置以太网通道，如图所示：
　　　　
　（2）Trunk（DTP）
　　　不属于任何一个vlan，承载所有vlan的流量，可以标记和识别不同vlan的流量；
　　　可手动建立：
　　　　　　　　　二层交换机仅支持802.1q，故可以直接配置为trunk干道
　　　　　　　　　sw1(config)#interface fastEthernet 0/0
　　　　　　　　　sw1(config-if)#switchport mode trunk
　　　　　　　　　
　　　　　　　　　由于多层交换机支持多种封装方式，故在配置为trunk干道前需要先修改封装类型　　　　　
　　　　　　　　　core(config)#interface f0/0
　　　　　　　　　core(config-if)#switchport trunk encapsulation dot1q
　　　　　　　　　core(config-if)#switchport mode trunk
　　　可自动建立（DTP）：
　　　　　　　　　DTP（Cisco私有）动态trunk协议，交换机之间自动协商成为trunk干道
　　　　　　　　　该协议在Cisco产品中默认开启
　　　　　　　　　sw1(config)#interface fastEthernet 0/24
　　　　　　　　　sw1(config-if)#switchport mode dynamic ?
　　　　　　　　 　 auto Set trunking mode dynamic negotiation parameter to AUTO
　　　　　　　　　desirable Set trunking mode dynamic negotiation parameter to DESIRABLE
　　　注：在配有channel通道的交换机上（不论是真机还是模拟器都会遇到该问题）
　　　　　在配置了DTP后show inter trunk之后发现没有配上
　　　　　建议手动建立trunk干道
　　　　　sw1和sw2配置如图：
　　　　　
　　　　　
　　　　　
　　　　为了更深入了解DTP和trunk干道
　　　　我们将主机3和4所连接的交换机也做成DTP
　　　　（因为只有一个vlan2我们将native vlan换成vlan2使转发更加快速）如图：
　　　　　（三层DTP）
　　　　　（在sw1和sw2还有34交换机接口上修改native vlan）
　　　 我们将主机1和2的交换机做成DTP（二层）如图：
　　　
　　　我们将主机5和6交换机的接口做成access接口（即与DTP和VTP沾不上边，所以只能手工创建Vlan）
（3）VTP： vlan trunk协议；
　　　　　　作用：统一分发管理vlan的信息；在同一个交换网络内，在一台交换机上创建、修改、删除vlan信息后，其他交
　　　　　　换机可以自动同步、学习；前提交换机间必须为trunk干道，因为同步信息为交换机上的vlan.dat文档----周期+触发；
　　　　　　该信息只能基于trunk干道中的native vlan传输；
　　　　　　配置：
　　　　　　1、domain 域 所有交换机必须在同一域
　　　　　　　　sw1(config)#vtp domain ccie
　　　　　　　　当一台交换机没有加域时，那么会自动加入广播过来的第一域名
　　　　　　2、mode 模式
　　　　　　　　sw1(config)#vtp mode ?
　　　　　 　　 　client Set the device to client mode. 客户端
　　　　　　　　server Set the device to server mode. 服务端
　　　　　　　　transparent Set the device to transparent mode. 透明
　　　　　　3、password 加密
　　　　　　　　sw1(config)#vtp password cisco 同一域内所有设备密码必须一致
　　　　　　4、version 版本 -----版本必须一致
　　　　　　
　　　　　　所以在sw1和sw2上做VTP（模式为server）如图：、
　　　　　　
　　　　　　在接入层两个交换机上做VTP（模式为client）如图：
　　　　　　
　　　　　主机5和6交换机最好也配上VTP，因为下面的主机可能会与交换机做成trunk，会有安全隐患。
（4）将交换机上的不同的接口划分到对应的vlan中
　　　　　sw(config)#interface fastEthernet 0/1
　　　　　Sw(config-if)#switchport mode access
　　　　　sw(config-if)#switchport access vlan 2
　　　　　同时对多个接口进行相同的部署
　　　　　sw(config)#interface range fastEthernet 0/3 -4 , fastEthernet 0/9-10
　　　　　（没有部署的接口最好也做成access防止被攻击）
　　　　　（sw1与sw2和4,5主机上的交换机的接口也要记得手动画进vlan3）
（5）STP：生成树；
　　　　　　三层架构-----冗余----线路冗余—二层的桥接环路
　　　　　　生成树协议用于实现二层的线路冗余，在网络中逻辑的阻塞部分接口，来实现从源到目标仅拥有唯一的一条路径；
　　　　　　当最佳路径故障时，阻塞端口自动工作来实现备份的作用；
　　　　　　所谓生成树，其实就是在二层的网络中构建一个树形结构；-----唯一、最短、星型拓扑
　　　因为本实验使用的是packet tracer模拟所用设备均为cisco设备所以使用的是PVCST+
　　　在sw1和sw2上show spanning-tree可以发现 vlan2和vlan3有两棵树
　　　首先要定根网桥的位置即一边（sw1）是vlan2 的根并且是vlan2的网关；一边（sw2）是vlan3的根并且是vlan3的网关
　　　且互为备份
　　　（sw1是vlan2的根是vlan3 的备份）
　　　 （sw2是vlan3的根是vlan2的备份）
　　　 PVST+ 配置完根网桥后还需要加速——骨干（所有交换机）spanning-tree backbonefast
　　　 　　　　　　　　　　　　　　　　　上行链路加速（接入层交换机）spanning-tree uplinkfast
　　　 　　　　　　　　　　　　　　　　　端口加速（PC接口）spanning-tree portfast
（６）SVI虚接口
　　　Switch(config)#interface vlan 2
　　　Switch(config-if)#ip address 192.168.1.1 255.255.255.0
　　　Switch(config-if)#no shutdown
　　　SVI虚接口双up的条件：
　　　　　　　　　　　　1）该交换机上存在该VLAN
　　　　　　　　　　　　 2）该交换机上存在该VLAN的活动用户或活动trunk干道
　　　　　（sw1）
　　　　　(sw2)
　　　　　
（7）网关冗余（VRRP或者HSRP）
　　　所有的冗余协议，若在多层交换机上配置，且使用SVI虚接口作为网关接口，那么命令必须全部到SVI接口上配置；（由于模拟器的原因本实验用HSRP）
　　　HSRP（Cisco私有）：热备份冗余协议
　　　特点：切换速度快；可以使网关的IP和MAC地址不用变化；网关的切换对主机是透明的；可以实施上行链路追踪
　　　在两台路由器或三层交换机上虚拟一个网关ip地址，再虚拟一个网关MAC地址虚拟网关IP地址由管理员定义(在该网段内不得和主机ip冲突)，MAC地址自动生成路由器间的hello time 3s；hold time 10s 组播地址：224.0.0.2 TTL=1Forwarding 路由器 standby路由器优先级高 默认100真实物理接口ip地址最大
　　　配置：
　　　　　r3(config)#interface fastEthernet 0/0
　　　　　r3(config-if)#standby 1 ip 134.1.1.254 邻居间组号和地址必须相同，地址为虚拟网关地址
　　　　　r3(config-if)#standby 1 priority ? 修改优先级，默认100
　　　　　<0-255> Priority value
　　　注：抢占默认关闭，利用修改优先级来定义网关位置不可控，需要开启抢占
　　　　　r3(config)#interface fastEthernet 0/0
　　　　　r3(config-if)#standby 1 preempt 开启抢占
　　　　　　
　　　 上行链路追踪：
　　　　1、先定义追踪列表
　　　　2、再在协议中调用
　　　　　core(config)#track 1 interface fa0/1 line-protocol
　　 定义追踪表1,追踪接口为F0/1
　　　　　r1(config)#interface fastEthernet 0/0
　　　　　r1(config-if)#vrrp 1 track 1 decrement 156
　　　　　　　　　　　　 组号 表号 下调的优先级
（８）DHCP
（sw1和sw2的DHCP池塘内容一样）
（9）对底层进行配置
对两台路由器进行IP配置
SW1和SW2与路由器和服务器交换机相连的接口（ip routing）进行IP配置


服务器所连交换机需要做冗余（真机可使用GLBP）
（10）路由


（nat）
在三层中启用EIGRP动态路由协议（SW1和SW2需要做缺省，且需要二层向上汇总）
注：SW1和SW2向接入层的接口需要做成被动接口
　　SW1和SW2之间建立被动接口再单播建立1到2个SVI邻居