1000人 冗余 规模园区网设计(校园网)
1000人 冗余 规模园区网
- 1.底层配置
-
- Eth-Trunk
- VLAN
- 2.MSTP配置
- 3.VRRP配置
- 4.BFD配置
- 5.OSPF
- 7.NAT
- 8.DHCP中继配置
- 9.DHCP的安全技术
- 10.PPPOE配置
- 11.出口路由配置
- 12.NAT Server
- 13.ACL
- 14.策略路由配置(了解)
- 15.telnet
- 16.优化STP
- 完整配置文件
1.配置vlan trunk 两台核心之间配置链路捆绑
2.配置MSTP+VRRP 实现流量负载分担同时实现冗余(负载均衡),并
配置相关stp优化技术加快stp收敛,并减少stp震荡。
(不必要的口就禁掉,连接用户的口就做成 边缘端口)
3.配置OSPF和静态实现三层路由,确保分支可以访问总部
4.所有用户采用动态获取ip地址,并配置相关dhcp安全技术
5.联通作为主出口 电信PPPOE作为备份出口
6.禁止vlan5用户访问外网
7.将server 200.2 80端口映射成联通公网地址
8.所有交换机都可以被远程telnet (hcie 123)
9.出口链路正常时,vlan3使用电信PPPOE上网 (策略路由)
这种相比堆叠的技术难度大,运维管理较复杂
补充:可以放多一台出口路由器 安全技术
1.底层配置
①VLAN Trunk Eth-Trunk底层配置
增加带宽,提高链路稳定性,可靠性。
Eth-Trunk
汇聚SW3
[sw3]sys HJ_sw3
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]mode lacp-static
[HJ_sw3-Eth-Trunk1]trunkport Ethernet 0/0/4
[HJ_sw3-Eth-Trunk1]trunkport Ethernet 0/0/5
接入sw6
[JR_sw6]int Eth-Trunk 1
[JR_sw6-Eth-Trunk1]mode lacp-static
[JR_sw6-Eth-Trunk1]trunkport Ethernet 0/0/1
[JR_sw6-Eth-Trunk1]trunkport Ethernet 0/0/3
核心sw1
[HX_sw1]int Eth-Trunk 2
[HX_sw1-Eth-Trunk2]mode lacp-static
[HX_sw1-Eth-Trunk2]trunkport g0/0/2
[HX_sw1-Eth-Trunk2]trunkport g0/0/3
核心sw2
[HX_sw2]int Eth-Trunk 2
[HX_sw2-Eth-Trunk2]mode lacp-static
[HX_sw2-Eth-Trunk2]trunkport g0/0/1
[HX_sw2-Eth-Trunk2]trunkport g0/0/2
VLAN
1栋楼
接入sw5
[JR_sw5]vlan batch 2 to 5
[JR_sw5]int e0/0/2
[JR_sw5-Ethernet0/0/2]port link-type access
[JR_sw5-Ethernet0/0/2]port de vlan 2
[JR_sw5-Ethernet0/0/2]int e0/0/1
[JR_sw5-Ethernet0/0/1]port link-type trunk
[JR_sw5-Ethernet0/0/1]port trunk allow-pass vlan 2 999
接入sw6
[JR_sw6]vlan batch 2 to 5
Info: This operation may take a few seconds. Please wait for a moment...done.
[JR_sw6]int e0/0/2
[JR_sw6-Ethernet0/0/2]port link-ty acc
[JR_sw6-Ethernet0/0/2]port d v 3
[JR_sw6-Ethernet0/0/2]q
[JR_sw6]int Eth-Trunk 1
[JR_sw6-Eth-Trunk1]port link-type trunk
[JR_sw6-Eth-Trunk1]port trunk allow-pass vlan 3 999
汇聚sw3
[HJ_sw3]vlan batch 2 to 5 200 999
[HJ_sw3]int e0/0/3
[HJ_sw3-Ethernet0/0/3]port link-type trunk
[HJ_sw3-Ethernet0/0/3]port trunk allow-pass vlan 2 999
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]port link-type trunk
[HJ_sw3-Eth-Trunk1]port trunk allow-pass vlan 3 999
[HJ_sw3]port-g g Ethernet0/0/1 Ethernet0/0/2
[HJ_sw3-port-group]port link-type trunk
[HJ_sw3-port-group]port trunk allow-pass vlan 2 3 999 //4、5不放行是修剪
___________________________________ 以上是1栋楼的
2栋楼
接入sw7
[JR_sw7]vlan batch 2 to 5 200 999
[JR_sw7]int e0/0/2
[JR_sw7-Ethernet0/0/2]port link-type acc
[JR_sw7-Ethernet0/0/2]port de vlan 4
[JR_sw7-Ethernet0/0/2]int e0/0/3
[JR_sw7-Ethernet0/0/3]port link-type acc
[JR_sw7-Ethernet0/0/3]port de vlan 5
[JR_sw7-Ethernet0/0/3]int e0/0/1
[JR_sw7-Ethernet0/0/1]port link-type trunk
[JR_sw7-Ethernet0/0/1]port trunk allow-pass vlan 4 5 999
汇聚sw4
[HJ_sw4]vlan batch 2 to 5 200 999
[HJ_sw4]int e0/0/3
[HJ_sw4-Ethernet0/0/3]port link-type trunk
[HJ_sw4-Ethernet0/0/3]port trunk allow-pass vlan 4 5 999
[HJ_sw4-Ethernet0/0/3]int e0/0/2
[HJ_sw4-Ethernet0/0/2]port link-type trunk
[HJ_sw4-Ethernet0/0/2]port trunk allow-pass vlan 4 5 999
[HJ_sw4-Ethernet0/0/2]int e0/0/1
[HJ_sw4-Ethernet0/0/1]port link-type trunk
[HJ_sw4-Ethernet0/0/1]port trunk allow-pass vlan 4 5 999
port-g g ethernet 0/0/1 ethernet 0/0/2
接入SW8
接入sw8
[JR_sw8]vlan batch 2 to 5 200 999
[JR_sw8]int e0/0/3
[JR_sw8-Ethernet0/0/3]port link-type acc
[JR_sw8-Ethernet0/0/3]port de vlan 200
[JR_sw8-Ethernet0/0/3]q
[JR_sw8]int e0/0/4
[JR_sw8-Ethernet0/0/4]port link-ty acc
[JR_sw8-Ethernet0/0/4]port de vlan 200
[JR_sw8]port-g g Ethernet 0/0/1 Ethernet 0/0/2
[JR_sw8-port-group]port link-ty trunk
[JR_sw8-port-group]port trunk allow-pass vlan 200 999
核心sw1 vlan trunk的配置
[HX_sw1]vlan batch 2 to 5 200 999
[HX_sw1]int g0/0/5
[HX_sw1-GigabitEthernet0/0/5]port link-type trunk
[HX_sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 200 999
[HX_sw1-GigabitEthernet0/0/5]q
[HX_sw1]int g0/0/1
[HX_sw1-GigabitEthernet0/0/1]port link-ty trunk
[HX_sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 999
[HX_sw1-GigabitEthernet0/0/1]q
[HX_sw1]int g0/0/4
[HX_sw1-GigabitEthernet0/0/4]port link-ty tr
[HX_sw1-GigabitEthernet0/0/4]port trunk allow-pass vlan 4 5 999
[HX_sw1-GigabitEthernet0/0/4]q
[HX_sw1]int eth-trunk 2
[HX_sw1-Eth-Trunk2]port link-type trunk
[HX_sw1-Eth-Trunk2]port trunk allow-pass vlan 2 3 4 5 200 999
[HX_sw1]vlan 800
[HX_sw1-vlan800]int g0/0/6
[HX_sw1-GigabitEthernet0/0/6]port link-type access
//路由和交换机是access
[HX_sw1-GigabitEthernet0/0/6]port de vlan 800
上下两个都是经过vlan修剪的,减小广播域
核心sw2 vlan trunk的配置
[HX_sw2]vlan batch 2 to 5 200 801 999
[HX_sw2]int g0/0/4
[HX_sw2-GigabitEthernet0/0/4]port link-type trunk
[HX_sw2-GigabitEthernet0/0/4]port trunk allow-pass vlan 4 5 999
[HX_sw2-GigabitEthernet0/0/4]q
[HX_sw2]int g0/0/5
[HX_sw2-GigabitEthernet0/0/5]port link-type trunk
[HX_sw2-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3 999
[HX_sw2-GigabitEthernet0/0/5]q
[HX_sw2]int eth-trunk 2
[HX_sw2-Eth-Trunk2]port link-type trunk
[HX_sw2-Eth-Trunk2]port trunk allow-pass vlan 2 3 4 5 200 999
[HX_sw2-Eth-Trunk2]q
[HX_sw2]int g0/0/3
[HX_sw2-GigabitEthernet0/0/3]port link-type trunk
[HX_sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 200
[HX_sw2-GigabitEthernet0/0/3]q
[HX_sw2]int g0/0/6
[HX_sw2-GigabitEthernet0/0/6]port link-ty acc
[HX_sw2-GigabitEthernet0/0/6]port de vlan 801
2.MSTP配置
要求所有交换机的vlan要同步,不同步就没法形成MSTP,因此vlan都要创建
组1:instance 1:vlan2 vlan3 vlan 200
组2:instance 2:vlan4 vlan5
将vlan 2 3 映射到实例1
交换机2作为实例2的根桥,设vlan 4、5 ,将vlan 4 5映射到实例中
·华为交换机默认开启 MSTP模式
核心sw1
所有汇聚 核心交换机都要这样配置 sw1\sw2\sw3\sw4\sw8
[HX_sw1]stp region-configuration
[HX_sw1-mst-region]instance 1 vlan 2 3 200
[HX_sw1-mst-region]region-name aa //域名
[HX_sw1-mst-region]revision-level 1 //修订号
[HX_sw1-mst-region]instance 2 vlan 4 5 //将vlan映射到实例
[HX_sw1-mst-region]active region-configuration //激活MSTP配置
将核心交换机sw1作为实例1的根桥
[HX_sw1]stp instance 1 root primary
[HX_sw1]stp instance 2 root secondary //实例2作为备份根桥
核心sw2
[HX_sw2]stp instance 2 root primary
[HX_sw2]stp instance 1 root secondary
- 最终期望的流量负载分担 vlan 2 3是走sw1 作为根桥,作为主交换机转发出去。
vlan 4 5 是走sw2
因此这时要阻塞接口,不然会形成环路
在这环中,所有trunk都允许vlan 2 3过
因此红色口是阻塞的,使 vlan 2 3是走sw1 。通过根桥 备份根桥 的优先级来实现
dis stp brief
发现汇聚sw3没有 实例2的,因为它的vlan trunk在之前vlan修剪中,没有允许vlan 4 5通过,所以看不到
-
对于 交换机sw8来说,它选择了核心交换机sw1作为根桥,即它会阻塞e0/0/2口
dis stp brief
MSTID Port Role STP State Protection
0 Ethernet0/0/1 DESI FORWARDING NONE
0 Ethernet0/0/2 DESI FORWARDING NONE
1 Ethernet0/0/1 ROOT FORWARDING NONE
1 Ethernet0/0/2 ALTE DISCARDING NONE -
vlan 4 5怎么访问服务器200呢
从vlan5 发到sw2,然后sw2走eth-trunk(心跳口)到sw1直接上去
3.VRRP配置
VRRP(虚拟路由冗余协议_网关的备份):通过把几台路由设备联合组成一台虚拟路由设备,将虚拟路由设备的ip地址作为用户的默认网关地址实现与外部的通讯。当网关设备发生故障时,VRRP协议能够快速选举新的网关设备承担数据流量,保障网络的可靠通信。
VRRP :(公有协议)
在多个路由器之间运行;可以虚拟出一个或者多个网关IP地址(虚拟路由器);
从而实现内网不同网段之间的互通;
VRRP的工作过程:
1、运行VRRP的“多个”路由器之间通过 VRRP 报文的交互,从而选择出一个最牛的路由器,作为 Master 路由器 ,以后就用来这个设备来转发数据包;
2、Master 路由器,仅仅只有一个;其他的路由器称之为 backup 路由器;
3、同时,Master 和 Backup 路由器,会产生一个虚拟的路由器,也就是一个
虚拟的IP地址
因为这个实验是在DHCP自动分配之前,因此是没有网关的,配置了VRRP,PC能Ping通网关,说明成功。
sw1设置VRRP组,每一个vlan都要起 对应的VRRP组
针对vlan 2,选择sw1作为主设备Master ,因为希望vlan2的数据发给sw1,然后再往上转发
sw2作为vlan 4 5的VRRP的主设备,把vlan 4 5对应的VRRP组 优先级设高
- 想要创建VRRP,必须要有个三层接口,即vlanif接口
sw1
sw1
[HX_sw1]int vlanif 2
[HX_sw1-Vlanif2]ip add 192.168.2.254 24
[HX_sw1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.1 设置vrrp的vrid和virtual-ip(为pc机的网关地址)
[HX_sw1-Vlanif2]vrrp vrid 2 priority 105
[HX_sw1]int vlanif 3
[HX_sw1-Vlanif3]ip add 192.168.3.254 24
[HX_sw1-Vlanif3]vrrp vrid 3 virtual-ip 192.168.3.1
[HX_sw1-Vlanif3]vrrp vrid 3 priority 105
[HX_sw1]int vlanif 200
[HX_sw1-Vlanif200]ip add 192.168.200.254 24
[HX_sw1-Vlanif200]vrrp vrid 200 virtual-ip 192.168.200.1
[HX_sw1-Vlanif200]vrrp vrid 200 priority 105
[HX_sw1]int vlanif 4
[HX_sw1-Vlanif4]ip add 192.168.4.254 24
[HX_sw1-Vlanif4]vrrp vrid 4 virtual-ip 192.168.4.1
[HX_sw1-Vlanif4]q
[HX_sw1]int vlanif 5
[HX_sw1-Vlanif5]ip add 192.168.5.254 24
[HX_sw1-Vlanif5]vrrp vrid 5 virtual-ip 192.168.5.1
[HX_sw1]int Vlanif 800
[HX_sw1-Vlanif800]ip add 192.168.12.2 24
sw2
[HX_sw2]int vlanif 4
[HX_sw2-Vlanif4]ip add 192.168.4.253 24
[HX_sw2-Vlanif4]vrrp vrid 4 virtual-ip 192.168.4.1
[HX_sw2-Vlanif4]vrrp vrid 4 priority 105
[HX_sw2-Vlanif4]q
[HX_sw2]int vlanif 5
[HX_sw2-Vlanif5]ip add 192.168.5.253 24
[HX_sw2-Vlanif5]vrrp vrid 5 virtual-ip 192.168.5.1
[HX_sw2-Vlanif5]vrrp vrid 5 priority 105
[HX_sw2-Vlanif5]q
[HX_sw2]int vlanif 2
[HX_sw2-Vlanif2]ip add 192.168.2.253 24
[HX_sw2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.1
[HX_sw2-Vlanif2]q
[HX_sw2]int vlanif 3
[HX_sw2-Vlanif3]ip add 192.168.3.253 24
[HX_sw2-Vlanif3]vrrp vrid 3 virtual-ip 192.168.3.1
[HX_sw2-Vlanif3]q
[HX_sw2]int vlanif 200
[HX_sw2-Vlanif200]ip add 192.168.200.253 24
[HX_sw2-Vlanif200]vrrp vrid 200 virtual-ip 192.168.200.1
[HX_sw2]int vlanif 801
[HX_sw2-Vlanif801]ip add 192.168.23.2 24
dis vrrp brief
4.BFD配置
- 出口路由器上使用VRRP来 Track BFD,主要实现核心交换机和出口的设备上配置BFD功能,主要是用来检测引擎假死状态(假死状态:不处理任何报文,但接口灯还是亮的)
- 避免这种硬件故障:使用BFD来监测整个R1到SW1的链路,如果出现引擎假死,断开这条链路,BFD就不通,然后会切换,把数据切换到sw2上。
与此同时,R1到SW2上也做监控,如果出现问题,也切换到sw1上
sw1
[HX_sw1]bfd
[HX_sw1]bfd bb bind peer-ip 192.168.12.1 source-ip 192.168.12.2 auto //auto自动去建立这个标识
[HX_sw1-bfd-session-bb]commit
出口路由器上(AR3260支持策略路由)
[CK_R1]int g0/0/0
[CK_R1-GigabitEthernet0/0/0]ip add 192.168.12.1 24
[CK_R1-GigabitEthernet0/0/0]int g0/0/1
[CK_R1-GigabitEthernet0/0/1]ip add 192.168.23.1 24
[CK_R1-GigabitEthernet0/0/1]q
[CK_R1]int g0/0/2
[CK_R1-GigabitEthernet0/0/2]ip add 12.1.1.1 24
[CK_R1-GigabitEthernet0/0/2]int g1/0/0
[CK_R1-GigabitEthernet1/0/0]ip add 13.1.1.1 24
[CK_R1-GigabitEthernet1/0/0]int g2/0/0
[CK_R1-GigabitEthernet2/0/0]ip add 14.1.1.1 24
[CK_R1]bfd
[CK_R1-bfd]qu
[CK_R1]bfd bb bind peer-ip 192.168.12.2 source-ip 192.168.12.1 auto
[CK_R1-bfd-session-bb]commit
调用BFD功能,在vlanif 200 2 3 , track
[HX_sw1]int vlanif 2
[HX_sw1-Vlanif2]vrrp vrid 2 track bfd-session session-name bb
[HX_sw1-Vlanif2]vrrp vrid 2 track int g0/0/1
- 为什么要track底下的接口呢?
因为这个接口即使是down了,冗余链路接口还是正常的。所以down了,按道理是要进行切换链路的,如果没配置的话是不会切换的
配置了track的话,就会切换链路。 因此要 上下口都要跟踪 track
[HX_sw1]int vlanif 3
[HX_sw1-Vlanif3]vrrp vrid 3 track bfd-session session-name bb
[HX_sw1-Vlanif3]vrrp vrid 3 track int g0/0/1
[HX_sw1]int vlanif 200
[HX_sw1-Vlanif200]vrrp vrid 200 track bfd-session session-name bb
[HX_sw1-Vlanif200]vrrp vrid 200 track int g0/0/1
sw2
[HX_sw2]bfd
[HX_sw2-bfd]qu
[HX_sw2]bfd cc bind peer-ip 192.168.23.1 source-ip 192.168.23.2 auto
[HX_sw2-bfd-session-cc]commit
出口路由器上
[R1]bfd cc bind peer-ip 192.168.23.2 source-ip 192.168.23.1 auto
[R1-bfd-session-cc]commit
调用BFD功能,在vlanif 4 5 , track
[HX_sw2]int vlanif 4
[HX_sw2-Vlanif4]vrrp vrid 4 track bfd-session session-name cc
[HX_sw2-Vlanif4]vrrp vrid 4 track int g0/0/4
[HX_sw2-Vlanif4]int vlanif 5
[HX_sw2-Vlanif5]vrrp vrid 5 track bfd-session session-name cc
[HX_sw2-Vlanif5]vrrp vrid 5 track int g0/0/4
5.OSPF
sw1,sw2,R1,分支R4 配置OSPF
汇聚和接入是二层设备,不需配置OSPF
sw1
[HX_sw1]ospf 1
[HX_sw1-ospf-1]area 0
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.200.0 0.0.0.255
[HX_sw1-ospf-1-area-0.0.0.0]net 192.168.12.0 0.0.0.255
sw2
[HX_sw2]ospf 1
[HX_sw2-ospf-1]area 0
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.200.0 0.0.0.255
[HX_sw2-ospf-1-area-0.0.0.0]net 192.168.23.0 0.0.0.255
出口路由器R1
(不要去宣告 电信和联通的网段,因为运营商是不会告诉你的)
这里的电信是通过PPOE拨号,是不需要配置IP地址的。 出口路由器只需要宣告
192.168.12.0 23.0 14.1.1.0
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255
电信路由器
[DX_R2]int g0/0/0
[DX_R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
联通路由器
[DX_R2]int g0/0/0
[DX_R2-GigabitEthernet0/0/0]ip add 13.1.1.2 24
分支R4
[FZ_R4]int g0/0/0
[FZ_R4-GigabitEthernet0/0/0]ip add 14.1.1.2 24
[FZ_R4]int g0/0/1
[FZ_R4-GigabitEthernet0/0/1]ip add 192.168.100.1 24
[FZ_R4]ospf 1
[FZ_R4-ospf-1]area 0
[FZ_R4-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255
[FZ_R4-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255
[FZ_R4-ospf-1-area-0.0.0.0]
DHCP服务器
[DHCP]int e4/0/0
[DHCP-Ethernet4/0/0]ip add 192.168.200.3 24
[DHCP]ip route-s 0.0.0.0 0 192.168.200.1
作为一个服务器 肯定要有网关的,网关就相当于缺省路由,使用缺省路由来模拟它的网关
//指向虚地址200.1
企业内网是运行OSPF, 运营商跑的OSPF,ISIS,BGP… 反正就是动态路由协议
在这里刻意跑个 RIP —— 模拟公网路由
运营商和运营商之间有公网路由交互
电信路由器
[DX_R2]int g0/0/1
[DX_R2-GigabitEthernet0/0/1]ip add 25.1.1.2 24
[DX_R2-GigabitEthernet0/0/1]q
[DX_R2]rip
[DX_R2-rip-1]ve 2
[DX_R2-rip-1]net 12.0.0.0
[DX_R2-rip-1]net 25.0.0.0
联通路由器
[LT_R3]int g0/0/1
[LT_R3-GigabitEthernet0/0/1]ip add 35.1.1.3 24
[LT_R3-GigabitEthernet0/0/1]q
[LT_R3]rip
[LT_R3-rip-1]ve 2
[LT_R3-rip-1]network 13.0.0.0
[LT_R3-rip-1]network 35.0.0.0
R5路由器
[R5]int g0/0/0
[R5-GigabitEthernet0/0/0]ip add 25.1.1.5 24
[R5-GigabitEthernet0/0/0]int g0/0/1
[R5-GigabitEthernet0/0/1]ip add 35.1.1.5 24
[R5-GigabitEthernet0/0/1]int loop 0
[R5-LoopBack0]ip add 5.5.5.5 24
[R5]rip 1
[R5-rip-1]ve 2
[R5-rip-1]net 25.0.0.0
[R5-rip-1]net 35.0.0.0
[R5-rip-1]net 5.0.0.0
到此为止,用户还是无法访问 5.5.5.5的,因为出不去
原因:在网关 sw1就没有到出口路由器的路由—— 缺省路由
配置缺省路由
在sw1上
[HX_sw1]ip route-static 0.0.0.0 0 192.168.12.1
[HX_sw1]ip route-static 0.0.0.0 0 192.168.23.1 preference 65
在sw2上
[HX_sw2]ip route-static 0.0.0.0 0 192.168.23.1
[HX_sw2]ip route-static 0.0.0.0 0 192.168.12.1 preference 65
在R1上
[R1]ip route-static 0.0.0.0 0 13.1.1.2
但此时用户还不能ping通5.5.5.5。 因为数据出去后 回不了,没有做NAT转换。 那么有人会说:直接做OSPF不就行了吗? 答:企业是没法学习公网的路由的,运营商也不会把公网路由传给你
7.NAT
出口路由器R1上
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R1-acl-basic-2000]int g1/0/0
[R1-GigabitEthernet1/0/0]nat outbound 2000
配完 就可以上百度了
但此时来回路径不一致,不够规范。因此调整ospf的cost开销 让路由表中两条路由条目优先级不同
让R1知道 别从vlan 4 5回来(若从vlan 2 3的用户去请求)
在两个核心交换机上配置,同时在出口路由器R1上 查看 dis ip rout
[HX_sw1]int vlanif 5
[HX_sw1-Vlanif4]ospf cost 4
[HX_sw1-Vlanif4]int vlanif 5
[HX_sw1-Vlanif5]ospf cost 4
[HX_sw2]int vlanif 2
[HX_sw2-Vlanif2]ospf cost 4
[HX_sw2-Vlanif2]int vlanif 3
[HX_sw2-Vlanif3]ospf cost 4
[HX_sw2-Vlanif3]int vlanif 200
[HX_sw2-Vlanif200]ospf cost 4
8.DHCP中继配置
DHCP分地址两种方式:一种是用服务器来分地址,一种是用核心交换机来分地址。
- 如果用核心交换机分地址,需要注意地址的重复性,交换机1起了个地址池2.x,分的是192.168.2.x 交换机2也起了2.x,那么就会重复,为了避免重复(如果sw1挂了可拿sw2分配)
应该要区分,一般一个VLAN最好别超过100个用户
交换机1分 2.2~2.150 (如果用户多可使用23位掩码)
交换机2分 2.151~2.254
利用交换机的话,排除地址有点麻烦,用服务器分减少核心交换机的压力
要用到DHCP中继技术
[DHCP]dhcp enable
[DHCP]ip pool vlan2
[DHCP-ip-pool-vlan2]network 192.168.2.0 mask 24
[DHCP-ip-pool-vlan2]gateway-list 192.168.2.1
[DHCP-ip-pool-vlan2]dns-list 114.114.114.114 8.8.8.8
ip pool vlan3
gateway-list 192.168.3.1
network 192.168.3.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool vlan4
gateway-list 192.168.4.1
network 192.168.4.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool vlan5
gateway-list 192.168.5.1
network 192.168.5.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
interface Ethernet4/0/0
ip address 192.168.200.3 255.255.255.0
dhcp select global
启用地址池(真实环境下可拿Linux或windows server服务器)
[DHCP]int e4/0/0
[DHCP-Ethernet4/0/0]dhcp select global
配置到这里,用户也还是拿不到的
因为vlan2和vlan200 不同的vlan,vlan 2用户广播是进不去vlan 200。
三层设备将DHCP的广播报文隔离了,因此要配置DHCP中继
核心sw1
[HX_sw1]dhcp enable
[HX_sw1]int vlanif 2
[HX_sw1-Vlanif2]dhcp select relay
[HX_sw1-Vlanif2]dhcp relay server-ip 192.168.200.3
[HX_sw1]int vlanif 3
[HX_sw1-Vlanif3] dhcp select relay
[HX_sw1-Vlanif3] dhcp relay server-ip 192.168.200.3
[HX_sw1-Vlanif3]q
[HX_sw1]int vlanif 4
[HX_sw1-Vlanif4] dhcp select relay
[HX_sw1-Vlanif4] dhcp relay server-ip 192.168.200.3
[HX_sw1-Vlanif4]q
[HX_sw1]int vlanif 5
[HX_sw1-Vlanif5] dhcp select relay
[HX_sw1-Vlanif5] dhcp relay server-ip 192.168.200.3
核心sw2
[HX_sw2]dhcp enable
[HX_sw2]int vlanif 2
[HX_sw2-Vlanif2]dhcp select relay
[HX_sw2-Vlanif2]dhcp relay server-ip 192.168.200.3
[HX_sw2-Vlanif2]q
[HX_sw2]int vlanif 3
[HX_sw2-Vlanif3] dhcp select relay
[HX_sw2-Vlanif3] dhcp relay server-ip 192.168.200.3
[HX_sw2-Vlanif3]int vlanif 4
[HX_sw2-Vlanif4] dhcp select relay
[HX_sw2-Vlanif4] dhcp relay server-ip 192.168.200.3
[HX_sw2-Vlanif4]int vlanif 5
[HX_sw2-Vlanif5] dhcp select relay
[HX_sw2-Vlanif5] dhcp relay server-ip 192.168.200.3
·配置中继之后,用户就可以拿到地址了
自己在做的时候遇到 拿到了DNS,但没拿到IP
原因:冲突。拿到了地址,但是不能用。 MAC地址为21-FA的 和IP地址冲突了
254 253 DHCP分配 从大的分。 因为之前 已经被两个核心交换机占用了 192.168.2.254 和2.253。 因此要排除掉 这两个地址
在DHCP服务器上排除 之前配置的全部都要这样排除
(除这两个排除外,再添加保留地址, 用于 配置打印机的静态地址)
[DHCP]ip pool vlan2
[DHCP-ip-pool-vlan2]excluded-ip-address 192.168.2.249 192.168.2.254
Warning:Some of addresses not be excluded are not idle,or not in the pool.
出现了警告, 说 已经有地址在地址中被使用了,用户已经占了这个MAC地址,现在要排除是排不出来的。
解决:清空地址池 <DHCP>reset ip pool name vlan 2 used
[DHCP]dis ip pool name vlan2 used
同理:vlan 3
先 reset ip pool name vlan3 used 然后 再进vlan地址池 配置exclude
<DHCP>reset ip pool name vlan4 used //2.3.4.5
[DHCP]ip pool vlan4
[DHCP-ip-pool-vlan4]excluded-ip-address 192.168.4.249 192.168.4.254
即使sw1挂了,也能通过sw2获取,因此是支持DHCP备份的
总结:DHCP调试命令
dis ip pool name vlan2 used
reset ip pool name vlan2 used
DHCP服务器
[DHCP]int e4/0/0
[DHCP-Ethernet4/0/0]ip add 192.168.200.3 24
[DHCP]ip route-s 0.0.0.0 0 192.168.200.1
作为一个服务器 肯定要有网关的,网关就相当于缺省路由,使用缺省路由来模拟它的网关
//指向虚地址200.1
9.DHCP的安全技术
DHCP Snnoping,在所有接入交换机(vlan2,3,4,5)上启用这个技术,保证服务器是唯一的,合法的服务器。 不要让 TP-link这种设备 扰乱我们地址的分配,因为用户私自插TP-link,而且刚好插的是LAN口。 因为TP-link它也可以往外分地址的,这样就会对DHCP地址造成影响,为了避免非法的影响。 DHCP Snnoping
DHCP Snnoping ,在所有的接入交换机 的 上连口——信任口。接用户口——非信任口
[JR_sw5]dhcp enable
[JR_sw5]dhcp snooping enable
[JR_sw5]vlan 2
[JR_sw5-vlan2]dhcp snooping enable
[JR_sw5-vlan2]q
[JR_sw5]int e0/0/1
[JR_sw5-Ethernet0/0/1]dhcp snooping trusted
[JR_sw6]vlan 3
[JR_sw6-vlan3]dhcp snooping enable
[JR_sw6-vlan3]qu
[JR_sw6]int eth-trunk 1
[JR_sw6-Eth-Trunk1]dhcp snooping trusted
[JR_sw7]dhcp enable
[JR_sw7]dhcp snooping enable
[JR_sw7]vlan 4
[JR_sw7-vlan4]dhcp snooping enable
[JR_sw7-vlan4]vlan 5
[JR_sw7-vlan5]dhcp snooping enable
[JR_sw7-vlan5]int e0/0/1
[JR_sw7-Ethernet0/0/1]dhcp snooping trusted
10.PPPOE配置
PPPoE是将以太网和PPP协议相结合的协议,是在以太网中转播PPP帧信息的技术,它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每一台主机实现控制、计费功能
光纤入户—— 光纤 转为 电口Ethernet以太网的。 PPPOE,这种
实际工作中 是图形化简单配置PPPOE的,通过Web界面。 这里用命令行演示
客户端和服务端
客户端配置 R1
1.配置匹配规则
acl 2001
rule permit source 192.168.0.0 0.0.255.255
2.配置拨号接口 Dialer 1
interface Dialer 1
link-protocol ppp
ip address ppp-negotiate //通过PPP协商阶段 获取ip地址
ppp pap local-user 0531 password simple 123456 //配置对应服务端 ↓ 用户名和密码
dialer user 0531 //和PPPOE服务端的名字保持一致
dialer bundle 2 //定义一个bundle,下面再接口调用
nat outbound 2001
#
·PPPOE拨号绑定到出接口,接口调用
interface gi0/0/2
pppoe-client dial-bundle-number 2
·配置客户端到服务端的缺省静态路由
ip route-static 0.0.0.0 0 dialer1 preference 85
服务端配置 R2
1.创建地址池用来为客户端分配地址
ip pool pool1
network 12.1.1.0 mask 24
gateway-list 12.1.1.2 //站在R1角度
2.创建用于认证的账号
local-user 0531 password cipher 123456
local-user 0531 service-type ppp
·········先undo g0/0/0口的IP地址
3.配置认证虚模板
interface Virtual-Template 1
ppp authentication-mode pap
remote address pool pool1
ip address 12.1.1.2 255.255.255.0
·接口调用,绑定虚拟模板
interface Gi0/0/0
pppoe-server bind Virtual-Template 1 //绑定后,其实这个接口就是12.1.1.2
·优化 PPPOE拨号有些会遇到打开网页显示打不开,图片不显示问题
R1:
int dialer 1
mtu 1492 (在以太网和IP之间一定会增加8字节(6字节的PPPOE和2字节的PPP),因此实际MTU是 1492)
拨号成功后,R2会给R1的出接口分配一个公网IP地址
在SERVER上执行display pppoe-server session all
11.出口路由配置
实际中,出口设备是安全设备(防火墙),安全设备比路由器的选择 更多
让电信的PPPOE作为联通的备份出口
ip route-static 0.0.0.0 0.0.0.0 13.1.1.2
ip route-static 0.0.0.0 0.0.0.0 Dialer1 preference 85
12.NAT Server
将内网服务器的端口 映射到 联通外网, 让外网用户通过公网地址访问到内网设备
[R1]int g1/0/0
[R1-GigabitEthernet1/0/0]nat server protocol tcp global current-interface 80 inside 192.168.200.2 80
外网用户主机
[R5]int g0/0/2
[R5-GigabitEthernet0/0/2]ip add 6.6.6.1 24
13.ACL
禁止vlan5(研发部)访问外网
可将vlan5上网的报文丢弃。
放行 访问分支的流量,公司内部的
Permit 源地址是 5网段,目的地址 192.168.x.x 网段 给予放行
Deny 源地址是 5网段
出口路由器R1上 deny目标不写,表示任何,把3005 调用到 R1的两个入口
不可调用在R1出口上,因为已经作了NAT转换,当报文出去的时候 先进行NAT转换,然后才匹配ACL的。 因此 在ACL匹配之前已经NAT转了
14.策略路由配置(了解)
(模拟器bug 不生效)
重定向到 下一跳或出接口 的方式。 这里是重定向到出接口
要求:出口链路正常时,vlan 3使用电信PPPOE上网
acl number 3008
rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 10 permit ip source 192.168.3.0 0.0.0.255
#
traffic classifier VLAN_3 operator or //设置流分类,参数是or 或关系
if-match acl 3008 //流分类的匹配规则
#
traffic behavior VLAN_3 //设置流行为
redirect interface Dialer1 //重定向符合流分类的报文 到 指定接口 或下一跳
#
traffic policy aa //设置流 策略名
classifier VLAN_3 behavior VLAN_3 //执行,分类和动作关联起来
··只能在接口入方向应用··
int g0/0/0
traffic-policy aa inbound
int g0/0/1
traffic-policy aa inbound
BUG 1:策略路由匹配Dialer 口不支持 (可以配置,但不生效)
traffic behavior VLAN_3
redirect interface Dialer1
BUG 2:路由器不请求下一跳的MAC地址 (可以配置,生效,但要有MAC,先dis arp br)
traffic behavior VLAN_3
redirect ip-nexthop 13.1.1.2
如果想生效,必须要有下一跳的MAC地址,确保MAC地址在本台路由器的ARP缓存包
真机 会请求对端(下一跳)的MAC地址,但模拟器不会去请求 dis arp br
试验: 拔线后再接,然后在出口路由器 reset arp dynamic 清空arp 发觉tracert 不OK了
ping一下 13.1.1.2 ,MAC地址又会存在ARP表中, 生效
15.telnet
在交换机 和路由器上 启用即可。 难就难在配IP地址, 接入和汇聚IP地址
所有网络设备:
aaa
local-user hcie privilege level 3 password cipher 123
local-user hcie service-type telnet
user-interface vty 0 4
authentication-mode aaa
protocol inbound telnet
规划管理的VLAN 999 192.168.255.x
·使用VRRP,虚拟出一个地址,来作为管理VLAN 999的网关 255.1 ,
还要有个 缺省路由,指向255.1, 用于回包。
int vlanif 999
ip add 192.168.255.1
核心1
interface Vlanif999
ip address 192.168.255.254 255.255.255.0
vrrp vrid 255 virtual-ip 192.168.255.1
interface Vlanif999
ip address 192.168.255.7 255.255.255.0
vrrp vrid 255 virtual-ip 192.168.255.1
核心2
[HX_sw2]int vlanif 999
[HX_sw2-Vlanif999]ip add 192.168.255.253 24
[HX_sw2-Vlanif999]vrrp vrid 255 virtual-ip 192.168.255.1
- 这个核心交换机不用配,配置在汇聚和接入交换机
ip route-s 0.0.0.0 0 192.168.255.1 //这个缺省路由 就是交换机的回包路由
- 用路由器telnet
dhcp enable
int g0/0/0
ip add dhcp-alloc
16.优化STP
①边缘端口(在用户接入设备的接口上)
[JR_sw5]int e0/0/2
[JR_sw5-Ethernet0/0/2]stp edged-port enable
②取消掉 核心交换机1和2 上连接口 的 STP口
[HX_sw1]int g0/0/6
[HX_sw1-GigabitEthernet0/0/6]stp disable
[HX_sw2]int g0/0/6
[HX_sw2-GigabitEthernet0/0/6]stp disable
③核心捆绑链路 配置STP 的 cost优先级,以免两条中某一条down了,重新计算,影响收敛
默认开销cost值是 10000
sw1
[HX_sw1]int Eth-Trunk 2
[HX_sw1-Eth-Trunk2]stp instance 1 cost 10000
[HX_sw1-Eth-Trunk2]stp instance 2 cost 10000
sw2
[HX_sw2]int Eth-Trunk 2
[HX_sw2-Eth-Trunk2]stp instance 1 cost 10000
[HX_sw2-Eth-Trunk2]stp instance 2 cost 10000
还有接入到汇聚的捆绑口
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]stp instance 1 cost 10000
[HJ_sw3-Eth-Trunk1]stp instance 2 cost 10000
[HJ_sw3]int Eth-Trunk 1
[HJ_sw3-Eth-Trunk1]stp cost 10000
完整配置文件
https://download.csdn.net/download/qq_39578545/12381758