企业内部网络建设

一、实验目的

   了解和掌握企业网络建设中运用的网络协议：如VRRP、OSPF、STP、DHCP、NAT等等，以及网络建设中可能出现的网络故障和故障排错思路

二、实验器材

      路由器、 二层交换机、三层交换机、Server服务器、PC机

三、实验要求

1.不同的PC属于不同的 VLAN ，如图所示；
2.不同的 VLAN 的IP地址为： 192.168.XX.0/24 , XX 是 vlan 号；
3.不同的 VLAN 主机获得IP地址的方式为 DHCP (除特殊需求以外)
每个 VLAN 的主机的网关IP地址，均为： 192.168.XX.254/24;
4.vlan88 为 web-server 所在的服务器；网关在 SW5 上；
vlan66 为 dhcp-server所在的服务器；网关在 SW6 上；
5.其他 VLAN 的每个主机所用的网关都使用了高可用性技术，增强了网关
冗余性和稳定性。
6.交换机之间也使用了防环技术，并且能够针对每个 VLAN 实现流量负载
均衡的功能。同时，要求每个 VLAN 的主机，去往主机的网关时，所使用
的转发路径是最优的。
7.在公司内部运行 OSPF ，确保不同 VLAN 之间是互通的。
不同的 VLAN 属于不同的区域。
同时保护 web 和 dhcp 服务器所在的区域不受到外部链路以及其他区域
的不稳定的链路的影响。
8.公司的出口路由器为 R1 和 R2 ，但是永远将 R1 作为主出口，出现故障
后，出网流量才会自动的切换到 R2 。修复以后，会再次从 R1 转发。

9.内网大量主机都存在访问 Internet的需求，要求使用最节省IP地址的
方式实现内网主机上网，但是 vlan 40 属于机密部分，不能访问外网。

10.外网的用户(client-1)，可以访问内部的 web 服务器。

11.外网的用户(SW9)，可以远程控制内网的所有网络设备(不包括R1/R2)，
远程访问密码均设置为 HCIE 。
(内网中每个设备的管理IP地址，属于管理 VLAN 199)

12.内网的用户中，只能由 vlan 20 中的 PC-2 远程登录管理内网所有设备
其他用户均不可以。

四、实验拓扑图

五、实验配置思路

1、我们从图中可以看到要创建多个Vlan，有Vlan10 20 30 40 66 88，而在创建Vlan过程中，我们要遵循一个原则：同一个网络中的所有交换机创建的Vlan必须相同
2、将与PC机相连的各个交换机的接口加入各自的Vlan，接口模式设置为access,将每个交换机互连的接口设置为Trunk模式，允许所有Vlan通过
3、根据实验要求4、5、6条分析，我们可以将每个Vlan的网关设置在LSW5和LSW6上，这样每个 VLAN 的主机，去往主机的网关时，所使用 的转发路径是最优的，而且在配置DHCP服务器过程中，PC机获得IP地址的路径也是最短的
4、在LSW5和LSW6上配置VRRP，实现各个VLan的PC机网关备份，在LSW5上：配置 10、20 网段为主网关，30、40网段为备份网关；在LSW6上：配置 30、40 网段为主网关， 10、20 网段为备份网关，我们配置VRRP的过程中要遵循的原则：VRRP必须配置在网关设备上，如果和MSTP同时存在同一设备上，那么VRRP的主网关必须和MSTP的主根保持一致
5、配置MSTP多生成树协议，LSW5上：Vlan 10 20 为主根，Vlan 30 40 为次根，LSW6上：Vlan 10 20 为次根，Vlan 30 40 为主根，我们看到下面的四台二层交换机都和LSW5、LSW6相连，而它们所建的Vlan也都一样，所以我们可以把它们看成是一台交换机，如图所示：

这样我们可以简化拓扑图，配置思路更清晰，包括配置VRRP协议的时候，我们也可以按这个思路去配置
6、配置DHCP服务器，在DHCP Server上创建Vlan 10 20 30 40的地址池，这里要注意：我们创建的地址池中要排除我们在VRRP配置中用到的每个真实网关IP地址，如果没有排除，而刚好DHCP服务器给PC机分配的IP地址与之相冲突的话，后面我们配置完DHCP之后，PC机也无法获取IP地址
7、配置DHCP中继，因为我们配置VRRP协议，所以我们也要在LSW5和LSW6上配置DHCP中继，这里我们要注意配置的时候要进配置的网关地址的 VLanif 接口，而不是物理接口，但是在LSW5上配置完DHCP后，10、20的网段PC机无法获取地址，这是因为在LSW5上没有去往66网段的路由条目，而怎么样解决这个问题，下面我列举几种方法：
（1）、在LSW5 和LSW6之间创建一个新的Vlan，配置好Vlanif 的ip地址，再在LSW5上添加一个去往66网段的静态路由；
（2）、我们前面在LSW5和LSW6 上都配置有 10、20、30、40网段的网关地址，所以我们可以用它们当中任一一个网段来直接在LSW5上添加去往66网段的静态路由；
（3）、我们在LSW5、LSW6上都创建了Vlan 66，所以我们可以把LSW6看成是一个二层交换机，那么LSW5和DHCP服务器就相当于是在同一个网段相连【66网段】，我们只要在LSW5的Vlanif 66 接口中配置一个66网段的IP地址就可以了
8、配置OSPF动态路由协议：我们在配置OSPF时，只要在有网关地址的设备上起用OSPF就可以了，所以在LSW7 和LSW8 上我们没有设置过网关地址，我们就将LSW7、LSW8当成二层交换机。

上图中【area 0】我们可以把它看成下图：

在图中我们可以将路由器R1、R2和交换机LSW5、LSW6之间相连的网段分别设置为5.0、6.0、7.0、8.0网段，在LSW5、LSW6、LSW7 、LSW8上都创建VLan5、Vlan6、 Vlan7、Vlan8，而LSW5和LSW6上要Vlanif 5、Vlanif 6、Vlanif 7、Vlanif 8接口配置该网段的IP地址，并将这四个网段加入到OSPF的area 0区域中，而我们再将其余Vlan的网段都各自加入到一个非零区域中，然后我们将LSW5和LSW6作为每个区域的ABR，以保证每个非零区域都能与零区域相连，实现不同区域通信。
9、配置R1、R2的数据转发路径：
如上图，我们将R1的两个端口分别配置5.0、6.0网段的IP地址，R2上配置7.0、8.0网段的IP地址，而在公网的路由器R isp上配置三个公网IP，并在R1、R2上分别添加去往公网的默认路由，宣告进OSPF，但是当我们查看OSPF邻居表时发现每个设备都没有建立邻居表，
这里我们要注意一个问题【LSW5、LSW6和LSW7、LSW8彼此相连，它们的接口模式是trunk，而LSW7、LSW8与路由器R1、R2相连，它们的接口模式我们要设置为access，并对应加入Vlan 5 6 7 8，这时我们再来查看邻居表：


在这里我们要设置数据的转发路径为R1，而且要满足实验要求第8条，有两种方法可以达到这个效果：
（1）、配置R2的OSPF的cost值比R1的大

（2）、将R1中OSPF的5类LSA的类型设置为Type 2，R2中设置为Type 1


之后我们在LSW5、LSW6上查看去往210.1.1.0网段的路由条目是R1的5.1 和 6.1端口
查看命令为
[LSW5] display ip routing-table 210.1.1.1

如果想路由条目只有5.1 的话，则可以在LSW5、LSW6上进入VLanif 6端口配置cost 值大于1
配置命令：
[LSW5] int vlanif 6
[LSW5-vlanif 6] ospf cost 10

10、NAT Server配置
在R1的公网接口配置NAT Server 如下：

但是当我们用Client 1去访问200.1.1.5 时，结果是访问失败，我们在R1的内网两个端口抓包，结果是都没有数据经过，而当我们将R1内网的端口任意一个shutdown之后，Client 1又能成功访问公司内网
这里我们要注意一点：在配置NAT Server 时，如果进入内网的链路数量大于1的话，那么数据包进出内网的路线必须保持一致，如果进出内网的路线不同，那么边界路由器会直接拒绝外网访问公司内网

那么如何解决这个问题呢，这里我们只要将R1上的6.1 端口的cost 值配置为大于1，也就是让6.1 的cost 值比5.1的cost 值要大就可以了
原理是我们前面配置了公司内网访问公网时数据转发路径为R1 、R2 从左到右的链路路径，那么我们在配置公网访问内网时数据的转发路径也要从左到右，而路由器根据OSPF协议计算路由条目的时候，如果优先级相同，那么就计算路由转发路径的入接口的cost 值总和，cost 值越小越优。而在OSPF协议中LSA的优先级是
1>3>4>5>7

六、实验总结

1、同一个网络中的所有交换机创建的Vlan必须相同
2、同一个网络中的所有交换机STP都要一样
3、同一个网络中的所有交换机之间都必须是Trunk
4、VRRP必须配置在网关设备上，如果和MSTP同时存在同一设备上，那么VRRP的主网关必须和MSTP的主根保持一致
5、在配置NAT Server 时，如果进入内网的链路数量大于1的话，那么数据包进出内网的路线必须保持一致，如果进出内网的路线不同，那么边界路由器会直接拒绝外网访问公司内网