企业网三层架构BCMSN详解

 

实验要求：

 

1.内网IP为172.16.0.0/16；外网IP随意

2.端口安全

3.R2与SW1以及SW2之间为三层接口，连接HTTP服务器的SW1与SW2的接口也为三层

4.所有的内网PC可以访问外网PC

5.外网PC可以通过域名访问HTTP服务器

6.断开SW1或SW2时，网络依然可以通讯

IP地址配置：

ISP配置：只需要配置IP地址即可

ISP(config)#int f0/0

ISP(config-if)#ip add 12.1.1.1 255.255.255.0

ISP(config-if)#no sh

ISP(config-if)#int f0/1

ISP(config-if)#ip add 1.1.1.1 255.255.255.0

ISP(config-if)#no sh

R2

R2(config)#int f0/0

R2(config-if)#ip add 12.1.1.2 255.255.255.0

R2(config-if)#no sh

R2(config-if)#int f0/1

R2(config-if)#ip add 172.16.0.1 255.255.255.252

R2(config-if)#no sh

R2(config-if)#int f1/0

R2(config-if)#ip add 172.16.0.5 255.255.255.252

R2(config-if)#no sh

SW1：

SW1(config)#int f0/1

SW1(config-if)#no switchport                                             #开启三层功能

SW1(config-if)#ip add 172.16.0.2 255.255.255.252

SW1(config-if)#no sh

SW1(config-if)#int f0/7

SW1(config-if)#no switchport

SW1(config-if)#ip add 172.16.7.1 255.255.255.0

SW1(config-if)#no sh

SW2：

SW2(config)#int f0/1

SW2(config-if)#no switchport

SW2(config-if)#ip add 172.16.0.6 255.255.255.252

SW2(config-if)#no sh

SW2(config-if)#int f0/7

SW2(config-if)#no switchport

SW2(config-if)#ip add 172.16.7.2 255.255.255.0

SW2(config-if)#no sh

配置思路：CHANNEL-DTP-VTP-VLAN-STP-SVI-HSRP-DHCP-EIGRP-NAT

CHANNEL配置(SW1与SW2相同):
SW1(config)#int range f0/1-2

SW1(config-if)#channel-group 1 mode on
SW1(config)#int port-channel 1
SW1(config-if)#switchport trunk encapsulation dot1q 
SW1(config-if)#switchport mode trunk

DTP：自动形成TRUNK干道

SW1与SW2同配置：
SW1(config)#int f0/4
SW1(config-if)#switchport mode dynamic desirable 
SW1(config-if)#int f0/5
SW1(config-if)#switchport mode dynamic desirable
SW1(config-if)#int f0/6
SW1(config-if)#switchport mode dynamic desirable

SW3-SW5同配置：

SW3(config)#int f0/3

SW3(config-if)#switchport mode dynamic desirable

SW3(config-if)#int f0/4

SW3(config-if)#switchport mode dynamic desirable

VTP：传播VLAN（SW1和SW2域名以及密码必须相同）

SW1：

SW1(config)#vtp domain a

SW1(config)#vtp password 123

SW1(config)#vtp mode server

SW1(config)#vtp version 2                                    #版本号高的同步低的

SW2：

SW2(config)#vtp domain a

SW2(config)#vtp password 123

SW2(config)#vtp mode server

SW3-SW5同配置：

SW3(config)#vtp domain a

SW3(config)#vtp password 123

SW3(config)#vtp mode client

VLAN创建（SW1与SW2相同）：

SW1(config)#vlan 2

SW1(config-vlan)#vlan 3

SW1(config-vlan)#vlan 4

把接口划入不同的VLAN：

SW3-SW4同配置：

SW3(config)#int f0/3

SW3(config-if)#switchport mode access

SW3(config-if)#switchport access vlan 2

SW3(config-if)#int f0/4

SW3(config-if)#switchport mode access

SW3(config-if)#switchport access vlan 3

SW5：

SW5(config)#int range f0/3-4

SW5(config-if-range)#switchport mode access

SW5(config-if-range)#switchport access vlan 4

STP配置：

SW1为VLAN2和VLAN4的主根以及VLAN3的备份根；

SW2为VLAN3的主根以及VLAN2和VLAN4的备份根

SW1(config)#spanning-tree vlan 2 root primary

SW1(config)#spanning-tree vlan 4 root primary

SW1(config)#spanning-tree vlan 3 root secondary

SW2(config)#spanning-tree vlan 3 root primary

SW2(config)#spanning-tree vlan 2 root secondary

SW2(config)#spanning-tree vlan 4 root secondary

SVI和HSRP：

SW1：

SW1(config)#int vlan 2

SW1(config-if)#ip add 172.16.2.1 255.255.255.0

SW1(config-if)#standby 1 ip 172.16.2.254

SW1(config-if)#standby 1 priority 125

SW1(config-if)#standby 1 preempt

SW1(config-if)#standby 1 track f0/1

SW1(config)#int vlan 4

SW1(config-if)#ip add 172.16.4.1 255.255.255.0

SW1(config-if)#standby 1 ip 172.16.4.254                   #虚拟网关地址

SW1(config-if)#standby 1 priority 125                          #修改优先级，默认100，越大越优先

SW1(config-if)#standby 1 preempt                              #开启抢占

SW1(config-if)#standby 1 track f0/1                            #上行链路追踪

SW1(config)#int f0/7

SW1(config-if)#standby 1 ip 172.16.7.254

SW1(config-if)#standby 1 preempt

SW1(config-if)#standby 1 track f0/1

SW1(config)#int vlan 3

SW1(config-if)#ip add 172.16.3.1 255.255.255.0

SW1(config-if)#standby 1 ip 172.16.3.254

SW1(config-if)#standby 1 preempt

SW1(config-if)#standby 1 track f0/1

SW2：

SW2(config)#int vlan 2

SW2(config-if)#ip add 172.16.2.2 255.255.255.0

SW2(config-if)#standby 1 ip 172.16.2.254

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

SW2(config-if)#ip add 172.16.3.2 255.255.255.0

SW2(config-if)#standby 1 ip 172.16.3.254

SW2(config-if)#standby 1 priority 125

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

SW2(config)#int vlan 4

SW2(config-if)#ip add 172.16.4.2 255.255.255.0

SW2(config-if)#standby 1 ip 172.16.4.254

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

SW2(config-if)#int f0/7

SW2(config-if)#standby 1 ip 172.16.7.254

SW2(config-if)#standby 1 priority 125

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

DHCP配置（SW1与SW2相同）:

SW1(config)#ip dhcp pool v2

SW1(dhcp-config)# network 172.16.2.0 255.255.255.0

SW1(dhcp-config)# default-router 172.16.2.254

SW1(dhcp-config)# dns-server 114.114.114.114

SW1(dhcp-config)#ip dhcp pool v3

SW1(dhcp-config)# network 172.16.3.0 255.255.255.0

SW1(dhcp-config)# default-router 172.16.3.254

SW1(dhcp-config)# dns-server 114.114.114.114

SW1(dhcp-config)#ip dhcp pool v4

SW1(dhcp-config)# network 172.16.4.0 255.255.255.0

SW1(dhcp-config)# default-router 172.16.4.254

SW1(dhcp-config)# dns-server 114.114.114.114

启用EIGRP：

R2(config)#router eigrp 90

R2(config-router)#no auto-summary

R2(config-router)#net 172.16.0.0

R2(config-router)#ip route 0.0.0.0 0.0.0.0 12.1.1.1          #缺省指向ISP（R1）

SW1(config)#ip routing                                                 #开启路由功能

SW1(config)#router eigrp 90

SW1(config-router)#no auto-summary                        #关闭自动汇总

SW1(config-router)#net 172.16.0.0

SW1(config-router)#ip route 0.0.0.0 0.0.0.0 172.16.0.1         #缺省指向边界路由器R2

SW2(config)#ip routing   

SW2(config)#router eigrp 90

SW2(config-router)#no auto-summary

SW2(config-router)#net 172.16.0.0

SW2(config-router)#ip route 0.0.0.0 0.0.0.0 172.16.0.5

NAT配置：

R2(config)#access-list 1 permit 172.16.0.0 0.0.0.255                                    

R2(config)#ip nat pool pat 12.1.1.3 12.1.1.11 netmask 255.255.255.0

R2(config)#ip nat inside source list 1 pool pat overload

R2(config)#ip nat inside source static tcp 172.16.7.3 80 12.1.1.2 80                  #将HTTP服务器与边界路由器R2静态绑定，让外                                                                                                                                 网PC可以访问内网的HTTP服务器

R2(config)#int f0/0

R2(config-if)#ip nat outside

R2(config-if)#int f0/1

R2(config-if)#ip nat inside

R2(config-if)#int f1/0

R2(config-if)#ip nat inside

端口安全：

SW3(config-if)#int range f0/3-4

SW3(config-if)#switchport mode access                       #必须先定义为接入接口

SW3(config-if)#switchport port-security                        #开启端口安全服务

SW3(config-if)#switchport port-security mac-address sticky        #设置mac地址获取方式

SW3(config-if)#switchport port-security maximum 2                    #修改绑定的mac地址数量

SW3(config-if)#switchport port-security violation restrict             #修改违约的处理方案

测试：

公网PCIP为1.1.1.2，DNS服务器为1.1.1.3，内网HTTP服务器为172.16.7.3

ping公网的PC：

公网PC通过DNS服务器访问内网HTTP服务器：

                                                                                                                         断开SW1或SW2时，网络依然可以通讯：

先tracert追踪一下，可以查看到所经过的下一跳路由器：

然后，断开SW1，查看网络是否可以通讯：

从图片可以看到，下一跳路由器成为了SW2，从R2的f1/0接口发送流量