企业级网络部署实验（二）

实验

 

 

拓扑图：

 

 

 

步骤：

一，根据实验要求将SW1，SW2两台核心交换机之间实现以太网通道

SW1：

SW1(config)#int range f1/0 -5 

SW1(config-if-range)#sw mo trun  //将各接口配置成trunk接口

SW1(config-if-range)#sw trun en 

SW1(config-if-range)#sw trun en dot1q

SW1(config-if-range)#ex  

SW1(config)#int range f1/0 -1

SW1(config-if-range)#ch

SW1(config-if-range)#channel-group 1 mo on  //将f1/0,f1/1配置以太网通道

 

 

通过命令查看SW1的fa1/0,fa1/1作为以太网通道

SW2：

SW2(config)#ip routing

SW2(config)#int range f1/0 -5

SW2(config-if-range)#sw mo trun

SW2(config-if-range)#

SW2(config-if-range)#sw trun en dot1q

SW2(config-if-range)#ex  

SW2(config)#int range f1/0 -1

SW2(config-if-range)#ch

SW2(config-if-range)#channel-group 1 mo on

SW2#show eth

SW2#show etherchannel 1 su

SW2#show etherchannel 1 summary 

Flags:  D - down        P - in port-channel

        I - stand-alone s - suspended

        R - Layer3      S - Layer2

        U - in use

Group Port-channel  Ports

-----+------------+-----------------------------------------------------------

1     Po1(SU)     Fa1/0(P)   Fa1/1(P)

 

SW2与SW1配置相同，fa1/0,f1/1.作为以太网通道

 

二，根据实验要求SW1，SW2做VTP服务端，其他交换机作为VTP客户端：

 

 

SW1：

SW1(config)#vtp do

SW1(config)#vtp domain benet  //配置vtp域

SW1(config)#vtp mo ser

SW1(config)#vtp mo server   //模式为服务端

SW1(config)#vtp pr

SW1(config)#vtp pruning   //配置vtp修剪

SW1(config)#vtp ver

SW1(config)#vtp version 2  //vtp版本

 

SW2与SW1配置相同：

 

SW3：

 

SW3(config)#vtp domain benet

SW3(config)#vtp mo cli

SW3(config)#vtp mo client   //模式为客户端

SW3(config)#vtp pr

SW3(config)#vtp pruning 

SW3(config)#vtp version 2

SW3(config)#int range f1/0 -1

SW3(config-if-range)#sw mo trun

SW3(config-if-range)#sw trun en 

SW3(config-if-range)#sw trun en dot1q

 

其他交换机与SW3配置相同：

 

下面是将各交换机的接口加入到各自valn

 

SW3(config)#int f1/2

SW3(config-if)#sw mo acc

SW3(config-if)#sw acc vlan 2  

 

SW4(config)#int f1/2

SW4(config-if)#sw mo acc

SW4(config-if)#sw acc vlan 3

 

SW5(config)#int f1/2

SW5(config-if)#sw mo acc

SW5(config-if)#sw acc vlan 4

 

SW6(config)#int f1/2

SW6(config-if)#sw mo acc

SW6(config-if)#sw acc vlan 5

 

三，根据实验要求实现vlan的负载均衡,SW1作为vlan2,vlan3的根网桥，sw2作为vlan1,vlan4,vlan5的根网桥，并互为备份根

 

SW1：

 

 

SW1(config)#sp

SW1(config)#spanning-tree vlan 2 root pr

SW1(config)#spanning-tree vlan 2 root primary  //配置vlan的根网桥

SW1(config)#spanning-tree vlan 3 root primary 

SW1(config)#spanning-tree vlan 1 root se

SW1(config)#spanning-tree vlan 1 root secondary  //配置vlan的备份网桥

SW1(config)#spanning-tree vlan 4 root secondary 

SW1(config)#spanning-tree vlan 5 root secondary 

 

 

 

 

 

通过命令查看SW1分别是vlan2,valn3的根网桥

 

 

SW2：

 

SW2(config)#SPanning-tree vlan 1 root pr

SW2(config)#SPanning-tree vlan 1 root primary 

SW2(config)#SPanning-tree vlan 4 root primary 

SW2(config)#SPanning-tree vlan 5 root primary 

SW2(config)#sp

SW2(config)#spanning-tree vlan 2 root se

SW2(config)#spanning-tree vlan 3 root secondary 

 

 

 

 

通过命令查看SW2分别是vlan1,vlan4,vlan5的根网桥

 

 

四，做各vlan的网关，要求两台上不同，起备份作用，使用HSRP在两台核心交换机上做一条虚拟网关做各vlan的网关地址

 

SW1:

 

SW1(config)#int vlan 2

SW1(config-if)#ip add 192.168.2.10 255.255.255.0  //配置vlan的IP地址

SW1(config-if)#no shut

SW1(config-if)#int vlan 3

SW1(config-if)#ip add 192.168.3.10 255.255.255.0

SW1(config-if)#no shut 

SW1(config-if)#int vlan 4

SW1(config-if)#ip add 192.168.4.10 255.255

SW1(config-if)#ip add 192.168.4.10 255.255.255.0

SW1(config-if)#no shut

SW1(config-if)#int vlan 5

SW1(config-if)#ip add 192.168.5.10 255.255.255.0

SW1(config-if)#no shut

SW1(config)#int vlan 2   

SW1(config-if)#stan

SW1(config-if)#standby 2 ip 192.168.2.254    //配置vlan的虚拟IP地址

SW1(config-if)#stan

SW1(config-if)#standby 2 pri

SW1(config-if)#standby 2 priority 150   //配置主路由优先级

SW1(config-if)#st

SW1(config-if)#standby 2 pre

SW1(config-if)#standby 2 preempt    //配置抢占

SW1(config-if)#st

SW1(config-if)#standby 2 track f0/0 100  //配置端口down后，优先级减去100

SW1(config-if)#standby 2 track f1/0 100

SW1(config-if)#standby 2 track f1/1 100

SW1(config-if)#int vlan 3

SW1(config-if)#standby 3 ip 192.168.3.254

SW1(config-if)#stan

SW1(config-if)#standby 3 pri

SW1(config-if)#standby 3 priority 150

SW1(config-if)#stan

SW1(config-if)#standby 3 pre

SW1(config-if)#standby 3 preempt 

SW1(config-if)#stan

SW1(config-if)#standby 3 track f0/0 100

SW1(config-if)#standby 3 track f1/0 100

SW1(config-if)#standby 3 track f1/1 100

SW1(config-if)#int vlan 1

SW1(config-if)#stan

SW1(config-if)#int vlan 4

SW1(config-if)#stan

SW1(config-if)#standby 

SW1(config-if)#standby 4 ip 192.168.4.254

SW1(config-if)#st

SW1(config-if)#standby 4 pre

SW1(config-if)#standby 4 preempt 

SW1(config-if)#int vlan 5

SW1(config-if)#stan

SW1(config-if)#standby 5 ip 192.168.5.254

SW1(config-if)#standby 5 pre

SW1(config-if)#standby 5 preempt 

 

通过命令查看SW1作为vlan2，valn3的主路由器，vlan4,vlan5的备份路由器

 

 

SW2:

 

SW2(config-if)#int vlan 2

SW2(config-if)#ip add 192.168.2.11 255.255.255.0

SW2(config-if)#no shut

SW2(config-if)#no shut

SW2(config-if)#int vlan 3

SW2(config-if)#ip add 192.168.3.11 255.255.255.0

SW2(config-if)#no shut

SW2(config-if)#

SW2(config-if)#int vlan 4

SW2(config-if)#ip add 192.168.4.11 255.255.255.0

SW2(config-if)#no shut

SW2(config-if)#int vlan 5

SW2(config-if)#ip add 192.168.5.11 255.255.255.0

SW2(config-if)#no shut

SW2(config)#int vlan 4

SW2(config-if)#stan

SW2(config-if)#standby 4 ip 192.168.4.254

SW2(config-if)#stan

SW2(config-if)#standby 4 pri

SW2(config-if)#standby 4 priority 150

SW2(config-if)#stan

SW2(config-if)#standby 4 pre

SW2(config-if)#standby 4 preempt 

SW2(config-if)#stan

SW2(config-if)#standby 4 track f0/0 100

SW2(config-if)#standby 4 track f1/0 100

SW2(config-if)#standby 4 track f1/1 100

SW2(config-if)#int vlan 5

SW2(config-if)#stan

SW2(config-if)#standby 5 ip 192.168.5.254

SW2(config-if)#stan

SW2(config-if)#standby 5 pri

SW2(config-if)#standby 5 priority 150

SW2(config-if)#stan

SW2(config-if)#standby 5 pre

SW2(config-if)#standby 5 preempt 

SW2(config-if)#stan

SW2(config-if)#standby 5 track f0/0 100

SW2(config-if)#standby 5 track f1/0 100

SW2(config-if)#standby 5 track f1/1 100

SW2(config-if)#int vlan 2

SW2(config-if)#st

SW2(config-if)#standby 2 ip 192.168.2.254

SW2(config-if)#stan

SW2(config-if)#standby 2 pre

SW2(config-if)#standby 2 preempt 

SW2(config-if)#int vlan 3

SW2(config-if)#stan

SW2(config-if)#standby 3

SW2(config-if)#standby 3 ip 192.168.3.254

SW2(config-if)#stan

SW2(config-if)#standby 3 pre

SW2(config-if)#standby 3 preempt 

 

通过命令查看SW2作为vlan4，valn5的主路由器，vlan2,vlan3的备份路由器

 

五，根据实验要求，各vlan的PC通过DHCP自动获取IP地址，网关，DNS地址为61.177.7.1

 

SW1:

 

SW1(config)#ip dhcp pool c1  //配置dhcp地址池

SW1(dhcp-config)#defau

SW1(dhcp-config)#default-router 192.168.2.254  //配置网关地址

SW1(dhcp-config)#net

SW1(dhcp-config)#networ

SW1(dhcp-config)#network 192.168.2.0 255.255.255.0 //配置自动获取ip地址范围

SW1(dhcp-config)#dns

SW1(dhcp-config)#dns-server 61.177.7.1  //配置dns服务器地址

SW1(dhcp-config)#lea

SW1(dhcp-config)#lease 7 //配置地址租期

 

SW1(config)#ip dhcp pool c2

SW1(dhcp-config)#defau

SW1(dhcp-config)#default-router 192.168.3.254

SW1(dhcp-config)#networ

SW1(dhcp-config)#network 192.168.3.0 255.255.255.0

SW1(dhcp-config)#dn

SW1(dhcp-config)#dns-server 61.177.77.1

SW1(dhcp-config)#lea

SW1(dhcp-config)#lease 7

 

 

SW2:

 

SW2(config)#ip dhcp pool c3

SW2(dhcp-config)#defau

SW2(dhcp-config)#default-router 192.168.4.254

SW2(dhcp-config)#netwo

SW2(dhcp-config)#network 192.168.4.0 255.255.255.0

SW2(dhcp-config)#dn     

SW2(dhcp-config)#dns-server 61.177.77.1

SW2(dhcp-config)#lea

SW2(dhcp-config)#lease 7

 

 

SW2(config)#ip dhcp pool c4

 

SW2(dhcp-config)#default-router 192.168.5.254

SW2(dhcp-config)#networ

SW2(dhcp-config)#network 192.168.5.0 255.255.255.0

SW2(dhcp-config)#dn

SW2(dhcp-config)#dns-server 61.177.77.1

SW2(dhcp-config)#lea

SW2(dhcp-config)#lease 7

 

通过在命令ipconfig/all各PC上查看:

 

C1:

 

 

C2:

 

C3:

 

 

 

C4:

 

 

 

六，配置OSPF实现vlan间及全网互通，在路由器和三层交换机上配置OSPF

 

R1:

 

R1(config)#router ospf 1 //配置ospf进程

R1(config-router)#router-id 2.2.2.2 //loo 0地址作为router-id

R1(config-router)#network 40.1.1.0 0.0.0.3 area 0  //宣告地址段 配置区域id

R1(config-router)#network 30.1.1.0 0.0.0.3 area 0

R1(config-router)#network 2.2.2.2 0.0.0.0 area 0

R1(config-router)#network 20.1.1.0 0.0.0.3 area 1

 

R2:

 

R2(config)#router ospf 1

R2(config-router)#router-id 1.1.1.1

R2(config-router)#network 20.1.1.0 0.0.0.3 area 1

R2(config-router)#network 10.1.1.0 0.0.0.3 area 1

R2(config-router)#network 1.1.1.1 0.0.0.0 area 1

 

 

SW1:

 

SW1(config)#router ospf 1

SW1(config-router)#route

SW1(config-router)#router-id 3.3.3.3

SW1(config-router)#network 192.168.2.0 0.0.0.255 area 0

SW1(config-router)#network 192.168.3.0 0.0.0.255 area 0

SW1(config-router)#network 3.3.3.3 0.0.0.0.0 area 0

 

SW2:

 

SW2(config)#router ospf 1

SW2(config-router)#router-id 4.4.4.4

SW2(config-router)#network 30.1.1.0 0.0.0.3 area 0

SW2(config-router)#network 192.168.4.0 0.0.0.255 area 0

SW2(config-router)#network 192.168.5.0 0.0.0.255 area 0

SW2(config-router)#network 4.4.4.4 0.0.0.0 area 0

 

验证全网互通：

 

 

 

七，根据实验要求，配置ACL使财务部独立，C1只能访问WEB，内网除财务部都可以访问C1，内网通信除了财务部外不受影响

 

在C1的网关路由器上做ACL：

 

SW2：

SW2(config)#access-list 1 permit 192.168.4.0 0.0.0.255  //允许财务部内网通信

SW2(config)#access-list 1 de

SW2(config)#access-list 1 deny an

SW2(config)#access-list 1 deny any  //禁止其他外网访问财务部

SW2(config)#int vlan 4

SW2(config-if)#ip acce

SW2(config-if)#ip access-group 1 in  //在财务部的网关上应用

 

 

R2:

 

R2(config)#acces

R2(config)#access-list 101 per

R2(config)#$ 101 permit tcp host 10.1.1.2 192.168.5.0 0.0.0.255 eq 80    //允许C1访问服务器 web服务

R2(config)#

R2(config)#acce

R2(config)#access-list 101 den

R2(config)#access-list 101 deny ip host 10.1.1.2 192.168.5.0 0.0.0.255  //禁止C1访问服务器其他服务

R2(config)#

R2(config)#acce

R2(config)#access-list 101 per

R2(config)#access-list 101 permit ip any any  //允许访问其他客户机

 

R2(config)#int f0/1  

R2(config-if)#ip acce

R2(config-if)#ip access-group 101 in //在C1网关路由器in方向应用

 

R2#show ip access-lists  //查看ACL配置

Extended IP access list 101

    10 permit tcp host 10.1.1.2 192.168.5.0 0.0.0.255 eq www

    20 deny ip host 10.1.1.2 192.168.5.0 0.0.0.255

30 permit ip any any

 

 

以下是验证结果：

 

财务部的PC禁止让问所

 

外网客户端可以访问内网WEB服务器，但流量无法访问：

 

 

 

 

其他内网可以访问服务器：

 

 

八，路由器只允许IT的PC可以远程管理：

 

R1上配置SSH远程管理：

 

R1(config)#acce

R1(config)#access-list 1 pri

R1(config)#access-list 1 pwer

R1(config)#access-list 1 per 

R1(config)#access-list 1 permit host 192.168.3.2 //使用ACL只允许IT部远程管理路由器

R1(config)#

R1(config)#ip d

R1(config)#ip do

R1(config)#ip domain-n

R1(config)#ip domain-name benet.com //定义ssh域名

R1(config)#

R1(config)#cry

R1(config)#crypto key

R1(config)#crypto key

R1(config)#crypto key gen

R1(config)#crypto key generate rsa

R1(config)#crypto key generate rsa gen

R1(config)#crypto key generate rsa general-keys mo

R1(config)#crypto key generate rsa general-keys modulus 1024 //定义密钥长度为1024

R1(config)#line

R1(config)#line vty 0 4 //开启虚接口

R1(config-line)#

R1(config-line)#log

R1(config-line)#login

R1(config-line)#login local

R1(config-line)#

R1(config)#line vty 0 4

R1(config-line)#

R1(config-line)#log

R1(config-line)#login

R1(config-line)#login local

R1(config-line)#

R1：

R1(config-line)#exit

R1(config)#user

R1(config)#username benet p

R1(config)#username benet pa

R1(config)#username benet password 123123 //设置登录名和密码

R1(config)#line vty 0 4  

R1(config-line)#

R1(config-line)#acce

R1(config-line)#access-class 1 in  //应用在虚接口in方向

 

远程登录管理R1验证:

使用putty软件登录：

 

 

 

 

实验完成