实验要求:
1、R2为ISP
2、路由器、三层交换机上红色圈为三层接口
3、内网地址为172.16.0.0/16
4、使用HSRP(10秒)或VRRP(3秒)、STP、VLAN、DTP、trunk、VTP
5、控制路由条目表数量
6、全网可达、PC dhcp地址
拓扑设计—IP地址规划
因为是实验,故在这里ISP部分IP地址随便配;内网地址通过VLAN划分,有vlan2、vlan3,还有一盒服务器,故将三个汇聚为一个
172.16.0.0/24–(172.16.0.0/30-172.16.0.252)
172.16.2.0/24–vlan2:172.16.2.0/25 vlan3:172.16.2.128/25
172.16.3.0/24–HTTP
配置:
1、搭建拓扑–交换部分
2、底层–所有节点配置合法IP地址
网关冗余:HSRP(10秒)、VRRP(3秒)、GLBP
channel 二层
SVI
STP:PVST+、RSTP、MST
VLAN TRUNK DTP DHCP
本实验中要使用的所有技术(该模拟器支持):HSRP channel SVI PVST+ VTP VLAN TRUNK DTP DHCP
在配置过程中,各种技术要组合在一起,许多时候会因为思路不清晰导致配置出现阻碍,此时我们可以在预处理过程中先随便选择一个技术,然后循序渐进的按顺序列出要使用的技术。
在此,假如我们先选择VTP,可以发现VTP创建vlan要使用的trunk技术,trunk使用DTP协议做的,然后在VTP之后创建VLAN,有了VLAN然后配SVI可以配置网关,再继续做HSRP,此时我们注意到网关的位置要在根网桥才合适,所以此时考虑STP,PVST+、MST是基于VLAN的生成树,将生成树的根做好之后在根上做SVI,在根上做网关冗余,有了网关就可以做DHCP;最后只剩channel,根据channel是将两根线合在一起,所以判断channel应该最先做,故在该实验中最终的技术逻辑链如下:
CHANNEL DTP TRUNK VTP VLAN SVI PVST+ HSRP DHCP
1、CHANNEL
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#interface range f0/2-3
SW1(config-if-range)#channel-group 1 mode on
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW2
SW2(config)#interface range f0/2-3
SW2(config-if-range)#channel-group 1 mode on
2、DTP && trunk(该模拟器中所有DTP为被动模式)
SW1(config)#interface port-channel 1
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode dynamic desirable
将一段调为主动,但是使用此方法在真机或者模拟器上一般会协商不成功,导致trunk起不来,此时我们手动
SW1(config)#interface port-channel 1
SW1(config-if)#switchport mode trunk
此时在若SW2上没有起来trunk,则需要在SW2上手动调制trunk
注:在channel上一般手动trunk
Switch(config)#hostname sw3
sw3(config)#interface range f0/1-2
sw3(config-if-range)#switchport mode dynamic desirable
然后在sw4、sw5上也做switchport mode dynamic desirable,让三个二层交换机带动上面的两个三层交换机,show int trunk 观察trunk是否存在
在sw4、sw5上将native vlan调为vlan2、vlan3
sw4#configure terminal
sw4(config)#interface range fastEthernet 0/1-2
sw4(config-if-range)#switchport trunk native vlan 2
对应在三层交换机上对应接口的native vlan也设置为对应vlan
SW1(config)#interface fastEthernet 0/5
SW1(config-if)#switchport trunk native vlan 2
SW2(config)#interface fastEthernet 0/5
SW2(config-if)#switchport trunk native vlan 2
sw5#configure terminal
sw5(config)#interface range fastEthernet 0/1-2
sw5(config-if-range)#switchport trunk native vlan 3
同理对应在三层交换机上对应接口的native vlan也设置为对应vlan
SW1(config)#interface fastEthernet 0/6
SW1(config-if)#switchport trunk native vlan 3
SW2(config)#interface fastEthernet 0/6
SW2(config-if)#switchport trunk native vlan 3
3、VTP
SW1(config)#vtp domain ccnp
SW1(config)#vtp password cisco
SW1(config)#vtp mode server
SW1(config)#vlan 2
SW1(config-vlan)#name classroom-A
SW1(config-vlan)#exit
SW1(config)#vlan 3
SW1(config-vlan)#name classroom_B
SW2(config)#vtp domain ccnp
SW2(config)#vtp password cisco
sw3(config)#vtp domain ccnp
sw3(config)#vtp password cisco
sw4(config)#vtp domain ccnp
sw4(config)#vtp password cisco
sw5(config)#vtp domain ccnp
sw5(config)#vtp password cisco
接口划入vlan
sw3#configure terminal
sw3(config)#interface fastEthernet 0/3
sw3(config-if)#switchport access vlan 2
sw3(config-if)#spanning-tree portfast
sw3(config-if)#exit
sw3(config)#interface fastEthernet 0/4
sw3(config-if)#switchport access vlan 3
sw3(config-if)#spanning-tree portfast //顺手配置
DTP其实是有安全风险的,如果一台交换机配置DTP,但是存在某接口未使用,但是没有任何防御措施,一旦有人接入该接口,自动获取vlan,就可以对内网进行攻击!
sw4(config)#interface range fastEthernet 0/3-24
sw4(config-if-range)#switchport access vlan 2
sw4(config-if-range)#spanning-tree portfast
sw5(config)#interface range fastEthernet 0/3-24
sw5(config-if-range)#switchport access vlan 3
sw5(config-if-range)#spanning-tree portfast
注:只要是接入层设备,不是向上接口,先调为access模式再考虑其他
4、PVST+ 根与备份根
此时,我们show spanning-tree 就可以看到根现在处于接入层交换机,这是我们不愿意看到的,所以我们进行人工配置主根与备份根
将vlan 1的主根与备份根也放在两个二层交换机上
SW1(config)#spanning-tree vlan 2 root primary
SW1(config)#spanning-tree vlan 3 root secondary
SW1(config)#spanning-tree vlan 1 root primary
SW2(config)#spanning-tree vlan 3 root primary
SW2(config)#spanning-tree vlan 2 root secondary
SW2(config)#spanning-tree vlan 1 root secondary
注:sw3、sw4、sw5—上行链路加速(接入层):挡住直连检测时,取消30秒等待,直接从阻塞状态进入转发状态;骨干加速:所有交换机
5、SVI && HSRP
SW1(config)#interface vlan 2
SW1(config-if)#ip address 172.16.1.1 255.255.255.128
SW1(config-if)#exit
SW1(config)#interface vlan 3
SW1(config-if)#ip address 172.16.1.129 255.255.255.128
SW2(config)#interface vlan 2
SW2(config-if)#ip address 172.16.1.2 255.255.255.128
SW2(config-if)#exit
SW2(config)#interface vlan 3
SW2(config-if)#ip address 172.16.1.130 255.255.255.128
SW1(config)#interface vlan 2
SW1(config-if)#standby 1 ip 172.16.1.126
SW1(config-if)#standby 1 priority 101
SW1(config-if)#standby 1 preempt
SW1(config-if)#standby 1 track f0/1
SW1(config-if)#exit
SW1(config)#interface vlan 3
SW1(config-if)#standby 1 ip 172.16.1.254
SW1(config-if)#standby 1 preempt
SW1(config)#ip routing
SW2(config)#interface vlan 2
SW2(config-if)#standby 1 ip 172.16.1.126
SW2(config-if)#standby 1 preempt
SW2(config-if)#standby 1 track f0/1
SW2(config-if)#exit
SW2(config)#interface vlan 3
SW2(config-if)#standby 1 ip 172.16.1.254
SW2(config-if)#standby 1 priority 101
SW2(config-if)#standby 1 preempt
SW2(config)#ip routing
6、DHCP
SW1(config)#ip dhcp pool v2
SW1(dhcp-config)#network 172.16.1.0 255.255.255.128
SW1(dhcp-config)#default-router 172.16.1.126
SW1(dhcp-config)#dns-server 114.114.114.114
SW1(dhcp-config)#exit
SW1(config)#ip dhcp pool v3
SW1(dhcp-config)#network 172.16.1.128 255.255.255.128
SW1(dhcp-config)#default-router 172.16.1.254
SW1(dhcp-config)#dns-server 114.114.114.114
SW2(config)#ip dhcp pool v2
SW2(dhcp-config)# network 172.16.1.0 255.255.255.128
SW2(dhcp-config)# default-router 172.16.1.126
SW2(dhcp-config)# dns-server 114.114.114.114
SW2(dhcp-config)#ip dhcp pool v3
SW2(dhcp-config)# network 172.16.1.128 255.255.255.128
SW2(dhcp-config)# default-router 172.16.1.254
SW2(dhcp-config)# dns-server 114.114.114.114
对于服务器这一块
SW1(config)#interface f0/7
SW1(config-if)#no switchport
SW1(config-if)#ip address 172.16.2.1 255.255.255.0
SW1(config-if)#standby 1 172.16.2.254
SW1(config-if)#standby 1 priority 101
SW1(config-if)#standby 1 preempt
SW1(config-if)#standby 1 track f0/1
SW2(config)#interface f0/7
SW2(config-if)#no switchport
SW2(config-if)#ip address 172.16.2.2 255.255.255.0
SW2(config-if)#standby 1 172.16.2.254
SW2(config-if)#standby 1 preempt
SW2(config-if)#standby 1 track f0/1
注:在接入层服务器这块使用GLBP技术很好,有多个服务器可以达到负载的效果,但是该模拟器不支持使用该技术,所以我们并没有使用
7、然后开始配置路由的底层
R1(config)#interface f0/1
R1(config-if)#ip address 172.16.0.1 255.255.255.252
R1(config-if)#no shutdown
R1(config)#interface f1/0
R1(config-if)#ip address 172.16.0.5 255.255.255.252
R1(config-if)#no shutdown
SW1(config)#interface f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip address 172.16.0.2 255.255.255.252
SW2(config)#interface f0/1
SW2(config-if)#no switchport
SW2(config-if)#ip address 172.16.0.6 255.255.255.252
R1(config-if)#int f0/0
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
ISP(config)#interface f0/0
ISP(config-if)#ip address 12.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config)#interface loopback 0
ISP(config-if)#ip address 1.1.1.1 255.255.255.255
ISP(config-if)#int f0/1
ISP(config-if)#ip address 2.2.2.1 255.255.255.0
ISP(config-if)#no shutdown
1.内网IP为172.16.0.0/16;外网IP随意
2.端口安全
3.R2与SW1以及SW2之间为三层接口,连接HTTP服务器的SW1与SW2的接口也为三层
4.所有的内网PC可以访问外网PC
5.外网PC可以通过域名访问HTTP服务器
6.断开SW1或SW2时,网络依然可以通讯
IP地址配置:
ISP配置:只需要配置IP地址即可
ISP(config)#int f0/0
ISP(config-if)#ip add 12.1.1.1 255.255.255.0
ISP(config-if)#no sh
ISP(config-if)#int f0/1
ISP(config-if)#ip add 1.1.1.1 255.255.255.0
ISP(config-if)#no sh
R2
R2(config)#int f0/0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int f0/1
R2(config-if)#ip add 172.16.0.1 255.255.255.252
R2(config-if)#no sh
R2(config-if)#int f1/0
R2(config-if)#ip add 172.16.0.5 255.255.255.252
R2(config-if)#no sh
SW1:
SW1(config)#int f0/1
SW1(config-if)#no switchport #开启三层功能
SW1(config-if)#ip add 172.16.0.2 255.255.255.252
SW1(config-if)#no sh
SW1(config-if)#int f0/7
SW1(config-if)#no switchport
SW1(config-if)#ip add 172.16.7.1 255.255.255.0
SW1(config-if)#no sh
SW2:
SW2(config)#int f0/1
SW2(config-if)#no switchport
SW2(config-if)#ip add 172.16.0.6 255.255.255.252
SW2(config-if)#no sh
SW2(config-if)#int f0/7
SW2(config-if)#no switchport
SW2(config-if)#ip add 172.16.7.2 255.255.255.0
SW2(config-if)#no sh
配置思路:CHANNEL-DTP-VTP-VLAN-STP-SVI-HSRP-DHCP-EIGRP-NAT
CHANNEL配置(SW1与SW2相同):
SW1(config)#int range f0/1-2
SW1(config-if)#channel-group 1 mode on
SW1(config)#int port-channel 1
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
DTP:自动形成TRUNK干道
SW1与SW2同配置:
SW1(config)#int f0/4
SW1(config-if)#switchport mode dynamic desirable
SW1(config-if)#int f0/5
SW1(config-if)#switchport mode dynamic desirable
SW1(config-if)#int f0/6
SW1(config-if)#switchport mode dynamic desirable
SW3-SW5同配置:
SW3(config)#int f0/3
SW3(config-if)#switchport mode dynamic desirable
SW3(config-if)#int f0/4
SW3(config-if)#switchport mode dynamic desirable
VTP:传播VLAN(SW1和SW2域名以及密码必须相同)
SW1:
SW1(config)#vtp domain a
SW1(config)#vtp password 123
SW1(config)#vtp mode server
SW1(config)#vtp version 2 #版本号高的同步低的
SW2:
SW2(config)#vtp domain a
SW2(config)#vtp password 123
SW2(config)#vtp mode server
SW3-SW5同配置:
SW3(config)#vtp domain a
SW3(config)#vtp password 123
SW3(config)#vtp mode client
VLAN创建(SW1与SW2相同):
SW1(config)#vlan 2
SW1(config-vlan)#vlan 3
SW1(config-vlan)#vlan 4
把接口划入不同的VLAN:
SW3-SW4同配置:
SW3(config)#int f0/3
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 2
SW3(config-if)#int f0/4
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 3
SW5:
SW5(config)#int range f0/3-4
SW5(config-if-range)#switchport mode access
SW5(config-if-range)#switchport access vlan 4
STP配置:
SW1为VLAN2和VLAN4的主根以及VLAN3的备份根;
SW2为VLAN3的主根以及VLAN2和VLAN4的备份根
SW1(config)#spanning-tree vlan 2 root primary
SW1(config)#spanning-tree vlan 4 root primary
SW1(config)#spanning-tree vlan 3 root secondary
SW2(config)#spanning-tree vlan 3 root primary
SW2(config)#spanning-tree vlan 2 root secondary
SW2(config)#spanning-tree vlan 4 root secondary
SVI和HSRP:
SW1:
SW1(config)#int vlan 2
SW1(config-if)#ip add 172.16.2.1 255.255.255.0
SW1(config-if)#standby 1 ip 172.16.2.254
SW1(config-if)#standby 1 priority 125
SW1(config-if)#standby 1 preempt
SW1(config-if)#standby 1 track f0/1
SW1(config)#int vlan 4
SW1(config-if)#ip add 172.16.4.1 255.255.255.0
SW1(config-if)#standby 1 ip 172.16.4.254 #虚拟网关地址
SW1(config-if)#standby 1 priority 125 #修改优先级,默认100,越大越优先
SW1(config-if)#standby 1 preempt #开启抢占
SW1(config-if)#standby 1 track f0/1 #上行链路追踪
SW1(config)#int f0/7
SW1(config-if)#standby 1 ip 172.16.7.254
SW1(config-if)#standby 1 preempt
SW1(config-if)#standby 1 track f0/1
SW1(config)#int vlan 3
SW1(config-if)#ip add 172.16.3.1 255.255.255.0
SW1(config-if)#standby 1 ip 172.16.3.254
SW1(config-if)#standby 1 preempt
SW1(config-if)#standby 1 track f0/1
SW2:
SW2(config)#int vlan 2
SW2(config-if)#ip add 172.16.2.2 255.255.255.0
SW2(config-if)#standby 1 ip 172.16.2.254
SW2(config-if)#standby 1 preempt
SW2(config-if)#standby 1 track f0/1
SW2(config-if)#ip add 172.16.3.2 255.255.255.0
SW2(config-if)#standby 1 ip 172.16.3.254
SW2(config-if)#standby 1 priority 125
SW2(config-if)#standby 1 preempt
SW2(config-if)#standby 1 track f0/1
SW2(config)#int vlan 4
SW2(config-if)#ip add 172.16.4.2 255.255.255.0
SW2(config-if)#standby 1 ip 172.16.4.254
SW2(config-if)#standby 1 preempt
SW2(config-if)#standby 1 track f0/1
SW2(config-if)#int f0/7
SW2(config-if)#standby 1 ip 172.16.7.254
SW2(config-if)#standby 1 priority 125
SW2(config-if)#standby 1 preempt
SW2(config-if)#standby 1 track f0/1
DHCP配置(SW1与SW2相同):
SW1(config)#ip dhcp pool v2
SW1(dhcp-config)# network 172.16.2.0 255.255.255.0
SW1(dhcp-config)# default-router 172.16.2.254
SW1(dhcp-config)# dns-server 114.114.114.114
SW1(dhcp-config)#ip dhcp pool v3
SW1(dhcp-config)# network 172.16.3.0 255.255.255.0
SW1(dhcp-config)# default-router 172.16.3.254
SW1(dhcp-config)# dns-server 114.114.114.114
SW1(dhcp-config)#ip dhcp pool v4
SW1(dhcp-config)# network 172.16.4.0 255.255.255.0
SW1(dhcp-config)# default-router 172.16.4.254
SW1(dhcp-config)# dns-server 114.114.114.114
启用EIGRP:
R2(config)#router eigrp 90
R2(config-router)#no auto-summary
R2(config-router)#net 172.16.0.0
R2(config-router)#ip route 0.0.0.0 0.0.0.0 12.1.1.1 #缺省指向ISP(R1)
SW1(config)#ip routing #开启路由功能
SW1(config)#router eigrp 90
SW1(config-router)#no auto-summary #关闭自动汇总
SW1(config-router)#net 172.16.0.0
SW1(config-router)#ip route 0.0.0.0 0.0.0.0 172.16.0.1 #缺省指向边界路由器R2
SW2(config)#ip routing
SW2(config)#router eigrp 90
SW2(config-router)#no auto-summary
SW2(config-router)#net 172.16.0.0
SW2(config-router)#ip route 0.0.0.0 0.0.0.0 172.16.0.5
NAT配置:
R2(config)#access-list 1 permit 172.16.0.0 0.0.0.255
R2(config)#ip nat pool pat 12.1.1.3 12.1.1.11 netmask 255.255.255.0
R2(config)#ip nat inside source list 1 pool pat overload
R2(config)#ip nat inside source static tcp 172.16.7.3 80 12.1.1.2 80 #将HTTP服务器与边界路由器R2静态绑定,让外 网PC可以访问内网的HTTP服务器
R2(config)#int f0/0
R2(config-if)#ip nat outside
R2(config-if)#int f0/1
R2(config-if)#ip nat inside
R2(config-if)#int f1/0
R2(config-if)#ip nat inside
端口安全:
SW3(config-if)#int range f0/3-4
SW3(config-if)#switchport mode access #必须先定义为接入接口
SW3(config-if)#switchport port-security #开启端口安全服务
SW3(config-if)#switchport port-security mac-address sticky #设置mac地址获取方式
SW3(config-if)#switchport port-security maximum 2 #修改绑定的mac地址数量
SW3(config-if)#switchport port-security violation restrict #修改违约的处理方案