企业网的三层架构实验
一、实验拓扑
二、实验需求
1、内网IP地址172.16.0.0/16 合理分配
2、SW1/2之间互为备份
3、VRRP/STP/VLAN/TRUNK均需要使用
4、所有pc均用DHCP获取ip地址
三、实验思路
1、规划好ip地址,以及给物理接口配置好ip地址
2、交换机配置:eth-trunk—创建VLAN—trunk干道—接口划入VLAN—STP—SVI—VRRP—DHCP
3、汇聚层的交换机的上行链路接口做成三层接口,但由于ensp的模拟器的原因,做成三层接口配置不了ip地址,所以做一个其他的vlan的虚拟地址来完成。
4、在汇聚层和核心层之间运行个动态路由协议,如ospf协议,但在实际工程中,可能有无数个vlan,但由于ospf协议没有接口汇总,只有区域汇总,所以做两个区域,让汇聚层的交换机当abr。
5、边界路由器下发缺省,并作nat地址转换。
四、实验步骤
做Eth-Trunk通道,把两条物理链路逻辑成一条链路
[sw1]interface Eth-Trunk 0 通道0
[sw1]interface g 0/0/23
[sw1-GigabitEthernet0/0/23]eth-trunk 0
[sw1]int g 0/0/22
[sw1-GigabitEthernet0/0/22]eth-trunk 0 两个接口绑定到通道0
[sw2]interface Eth-Trunk 0
[sw2-Eth-Trunk0]int g 0/0/23
[sw2-GigabitEthernet0/0/23]eth-trunk 0
[sw2-GigabitEthernet0/0/23]int g 0/0/22
[sw2-GigabitEthernet0/0/22]eth-trunk 0
创建VLAN(所有交换机只创建VLAN2,默认有VLAN1)
[sw1]vlan 2
[sw2]vlan 2
[sw3]vlan 2
[sw4]vlan 2
没有直接连接用户的设备链路创建trunk干道
[sw1]port-group group-member GigabitEthernet 0/0/22 to GigabitEthernet 0/0/23 这一步其实就是对接口配置的批量操作
[sw1-port-group]port link-type trunk
[sw1-Eth-Trunk0]port link-type trunk
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/2]port link-type trunk
[sw1-port-group]port trunk allow-pass vlan 2 允许vlan2的流量通过,默认就让vlan1通过,一般vlan1还是native-vlan
[sw1-Eth-Trunk0]port trunk allow-pass vlan 2
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
[sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
/ /sw2上同样操作
[sw3]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[sw3-port-group]port link-type trunk
[sw3-GigabitEthernet0/0/1]port link-type trunk
[sw3-GigabitEthernet0/0/2]port link-type trunk
[sw3-port-group]port trunk allow-pass vlan 2
[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
[sw3-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
/ /sw4上同样操作
连接用户的接口划入VLAN,做成access模式
[sw3]int Ethernet0/0/1
[sw3-Ethernet0/0/1]port link-type access
[sw3-Ethernet0/0/1]port default vlan 1 其实这步没必要,所有的接口默认就是vlan1
[sw3]int Ethernet0/0/2
[sw3-Ethernet0/0/2]port link-type access 接口做成access模式,只允许vlan2的流量通过
[sw3-Ethernet0/0/2]port default vlan 2
/ /sw4上同样操作
生成树的配置
[sw1]stp enable 启用生成树
[sw1]stp region-configuration 生成树的配置
[sw1-mst-region]region-name a 取名
[sw1-mst-region]instance 1 vlan 1 组1有vlan1
[sw1-mst-region]instance 2 vlan 2 组2有vlan2
[sw1-mst-region]active region-configuration 激活当前配置(必须配置该指令)
/ /在sw2/3/4上做同样操作,可以直接复制粘贴
我们需要调整根网桥的位置,根网桥最好在汇聚层,如果不调整,让stp协议自己选举,可能根网桥的位置会在接入层,这样对网络可能会不优化,做法就是让SW1成为组1的主根,组2的备份根,让SW2成为组1的备份根,组2的主根,相互备份
定义本地为组1 的主根,组2 的备份根
[sw1]stp instance 1 root primary 优先级修改为0
[sw1]stp instance 2 root secondary 优先级修改为4096
[sw2]stp instance 1 root secondary
[sw2]stp instance 2 root primary
stp的组0中的除vlan1和vlan2以外的vlan都在组0,(3 to 4094),如果在未来新增了一个vlan,最好把组0的主根网桥设置在sw1,备份跟网桥设置在sw2
[sw1]stp instance 0 root primary
[sw2]stp instance 0 root secondary
在连接终端的接口上设置边缘端口,(边缘端口用于连接PC的接口,一旦被设定为边缘接口;将不再进行BPDU的发送,且不进行STP的收敛,直接为转发状态),连接用户的接口只需要转发就行,不需要那些什么侦听,学习等工作。
[sw3]int e 0/0/1
[sw3-Ethernet0/0/1]stp edged-port enable 进接口做边缘端口
[sw3-Ethernet0/0/1]int eth0/0/2
[sw3-Ethernet0/0/2]stp edged-port enable
[sw4]int eth0/0/1
[sw4-Ethernet0/0/1]stp edged-port enable
[sw4-Ethernet0/0/1]int eth0/0/2
[sw4-Ethernet0/0/2]stp edged-port enable
配置网关冗余
1.在sw1和sw2中创建vlan1和vlan2的svi,svi是交换机的虚拟IP地址
[sw1]interface Vlanif 1
[sw1-Vlanif1]ip add 172.16.1.1 25
[sw1]interface Vlanif 2
[sw1-Vlanif2]ip add 172.16.1.129 25
[sw2]interface Vlanif 1
[sw2-Vlanif1]ip add 172.16.1.2 25
[sw2]interface Vlanif 2
[sw2-Vlanif2]ip add 172.16.1.130 25
2.使用VRRP 协议配置虚拟网关,做的网关冗余**
[sw1]int Vlanif 1
[sw1-Vlanif1]vrrp vrid 1 virtual-ip 172.16.1.126 虚拟主网关地址
[sw1-Vlanif1]vrrp vrid 1 priority 110 优先级越高,就是主网关,默认100
[sw1-Vlanif1]vrrp vrid 1 track interface GigabitEthernet 0/0/24 reduced 20
上行链路追踪,也就是它的上行链路如果断了,他的备份网关就会把主网关的地位抢过去
[sw1-Vlanif1]q
[sw1]int Vlanif 2
[sw1-Vlanif2]vrrp vrid 1 virtual-ip 172.16.1.254
[sw2]int Vlanif 1
[sw2-Vlanif1]vrrp vrid 1 virtual-ip 172.16.1.126 虚拟备份网关地址
[sw2-Vlanif1]q
[sw2]int Vlanif 2
[sw2-Vlanif2]vrrp vrid 1 virtual-ip 172.16.1.254
[sw2-Vlanif2]vrrp vrid 1 priority 110
[sw2-Vlanif2]vrrp vrid 1 track interface GigabitEthernet 0/0/24 reduced 20
DHCP配置,让电脑自动获取ip地址
[sw1]dhcp enable
[sw1]ip pool v1
[sw1-ip-pool-v1]network 172.16.1.0 mask 25
[sw1-ip-pool-v1]gateway-list 172.16.1.126
[sw1-ip-pool-v1]q
[sw1]int Vlanif 1
[sw1-Vlanif1]dhcp select global
[sw1]int Vlanif 2
[sw1-ip-pool-v2]network 172.16.1.128 mask 25
[sw1-ip-pool-v2]gateway-list 172.16.1.254
[sw1-ip-pool-v2]q
[sw1]int Vlanif 2
[sw1-Vlanif2]dhcp select global
[sw2]dhcp enable
[sw2]ip pool v1
[sw2-ip-pool-v1]network 172.16.1.0 mask 25
[sw2-ip-pool-v1]gateway-list 172.16.1.126
[sw2-ip-pool-v1]q
[sw2]int Vlanif 1
[sw2-Vlanif1]dhcp select global 进入虚拟接口启用dhcp
[sw2-Vlanif1]q
[sw2]ip pool v2
[sw2-ip-pool-v2]network 172.16.1.128 mask 25
[sw2-ip-pool-v2]gateway-list 172.16.1.254
[sw2-ip-pool-v2]q
[sw2]int Vlanif 2
[sw2-Vlanif2]dhcp select global
汇聚层的交换机的上行链路接口配置ip地址
[sw1]vlan 99
[sw1-GigabitEthernet0/0/24]p l a
[sw1-GigabitEthernet0/0/24]p d v 99
[sw1]int Vlanif 99
[sw1-Vlanif99]ip add 172.16.0.1 30
[sw2]vlan 99
[sw2]interface g 0/0/24
[sw2-GigabitEthernet0/0/24]p l a
[sw2-GigabitEthernet0/0/24]p d v 99
[sw2]interface Vlanif 99
[sw2-Vlanif99]ip add 172.16.0.5 30
汇聚层和核心层运行ospf协议,汇聚层下路由条目比较多的时候,是要进行区域汇总,减少路由条目
[r1]ospf 1 router-id 1.1.1.1
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.255.255
[r1]ip route-static 0.0.0.0 0 12.1.1.2 边界路由器写缺省指向互联网
[r1]ospf 1
[r1-ospf-1]default-route-advertise always 边界路由器下发缺省给内部路由器
[sw1]ospf 1 router-id 2.2.2.2
[sw1-ospf-1]area 0
[sw1-ospf-1-area-0.0.0.0]network 172.16.0.1 0.0.0.0
[sw1-ospf-1]area 1
[sw1-ospf-1-area-0.0.0.1]network 172.16.1.1 0.0.0.0
[sw1-ospf-1-area-0.0.0.1]network 172.16.1.129 0.0.0.0
[sw1-ospf-1-area-0.0.0.1]abr-summary 172.16.1.0 255.255.255.0 区域汇总
[sw1]ip route-static 172.16.1.0 24 NULL 0 一旦汇总就要做空接口防环
[sw2]ospf 1 router-id 3.3.3.3
[sw2-ospf-1]area 0
[sw2-ospf-1-area-0.0.0.0]network 172.16.0.5 0.0.0.0
[sw2-ospf-1]area 1
[sw2-ospf-1-area-0.0.0.1]network 172.16.1.1 0.0.0.0
[sw2-ospf-1-area-0.0.0.1]network 172.16.1.129 0.0.0.0
[sw2-ospf-1-area-0.0.0.1]abr-summary 172.16.1.0 255.255.255.0
[sw2]ip route-static 172.16.1.0 24 NULL 0
边界路由器做nat地址转换
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255
[r1]int g 0/0/0
[r1-GigabitEthernet0/0/0]nat outbound 2000 用esay'-ip做地址转换
做一下沉默接口,汇聚层的下发不需要发送那些hello包那些的信息
[sw1-ospf-1]display th
ospf 1 router-id 2.2.2.2
silent-interface all
undo silent-interface GigabitEthernet0/0/24
undo silent-interface Vlanif99
undo silent-interface Eth-Trunk0
undo silent-interface Vlanif1
五、测试图片
生成树的根网桥
交换机的svi接口能互通
所有pc获得ip地址
建立好邻居关系
所有pc以及互联网都能ping通
