三层架构综合实战
注意:基本的IP地址配置省略了;
说明:vlan 999作为管理vlan使用,使得所有设备都可以telnet进行远程管理;
接入交换机:SW4
- 内容:接口划分vlan和trunk,trunk运行vlan 10和vlan 999;
- 接口划分划分vlan和trunk:
- e0/0/1口划到vlan 10;
-
interface Ethernet0/0/1
port link-type access
port default vlan 10 - e0/0/2口置为trunk口,允许vlan 10和vlan 999通过;
interface Ethernet0/0/2
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 999 - 给管理vlan设置一个地址:
-
vlanif999:192.168.253.4/24
接入交换机:SW5
- 同SW4,只是vlan改为20
- 管理vlan地址:
-
vlanif999:192.168.253.5/24
汇聚交换机:SW2
- 内容:创建vlan和接口trunk运行的vlan配置;
- 创建vlan:10、20、999,这步不要忘记了:
-
vlan batch 10 20 999
- 配置trunk:
- g0/0/1,trunk允许vlan 10和vlan 999:
-
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 999
-
- g0/0/2,trunk允许vlan 20和vlan 999:
-
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 20 999
-
- 上两口g0/0/3和g0/0/4做链路捆绑Eth-trunk 0,使得带宽能带的2000Mbps,并打trunk,允许vlan 10 20 999:
-
链路捆绑:
interface GigabitEthernet0/0/3
eth-trunk 0
interface GigabitEthernet0/0/4
eth-trunk 0 -
打trunk:
interface Eth-Trunk0
port link-type trunk
port trunk allow-pass vlan 10 20 999
-
- g0/0/1,trunk允许vlan 10和vlan 999:
- 给管理vlan设置地址:
-
vlanif999:192.168.253.2/24
汇聚交换机:SW3
- Eth-trunk和trunk同SW2,只是vlan不一,g0/0/1为sccess口设置vlan 200即可;
核心交换机:SW1
- 内容:核心交换机需要的配置相对多一些,包括了网关、DHCP、Eth-trunk、一个对外接口vlan800等;
- Eth-trunk和打trunk参照SW2;
- 配置网关:vlan 10 20 200的网关以及DHCP:
-
ip pool dhcp_vlan10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
–
ip pool dhcp_vlan20
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.114.114 -
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
dhcp select global
–
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
dhcp select global
–
interface Vlanif200
ip address 192.168.200.1 255.255.255.0
-
到这里我们完成了内网用户都能够自动获取地址了,并且都可以访问到网关,完成了1-4的需求
需求5:确保sw1是根桥,配置相关技术使得接入交换机连接终端接口收敛迅速
- 核心接交换SW1:
-
[SW1]stp priority 0
- dis stp 可以观察到SW1已经为根桥了
-
- 终端收敛迅速(针对有终端连接的交换机):
- 所有接终端PC接口执行命令:
-
stp edged-port enable
-
至此所有接入交换机终端接口收敛迅速,我们完成了需求5
需求6:出口配置NAT(ISP-R4),并确保所有用户都可以访问百度
- 做出口NAT转换;
-
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R1-acl-basic-2000]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]nat outbound 2000
至此内网所有用户都可以正常访问外网了,我们完成了需求6
需求7:企业总部和分支采用ppp广域网链路连接,并采用CHAP对链路做认证
注意:认证端和被认证端可以互换;
-
R1上(认证端):
-
[R1]aaa
[R1-aaa]local-user chap_auth_user password cipher 123456
Info: Add a new user.
[R1-aaa]local-user chap_auth_user service-type ppp
–
[R1]int s4/0/0
[R1-Serial4/0/0]ppp authentication-mode chap
–
interface Serial4/0/0
link-protocol ppp
ppp authentication-mode chap
ip address 192.168.252.1 255.255.255.0
-
-
R3上(被认证端):
-
[R3]int s4/0/0
[R3-Serial4/0/0]ppp chap user chap_auth_user
[R3-Serial4/0/0]ppp chap password cipher 123456
–
interface Serial4/0/0
link-protocol ppp
ppp chap user chap_auth_user
ppp chap password cipher % % |K4vG_9Cg=a’T"4"Qhn=,8AX% %
ip address 192.168.252.3 255.255.255.0
-
至此我们完成了需求7
需求8:企业总部和分支采用ospf路由协议连接
-
核心交换机SW1:
-
ospf 1
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.200.0 0.0.0.255
network 192.168.254.0 0.0.0.255
network 192.168.253.0 0.0.0.255
-
-
R1:
-
ospf 1
area 0.0.0.0
network 192.168.252.0 0.0.0.255
network 192.168.254.0 0.0.0.255
-
-
R3:
-
ospf 1
area 0.0.0.0
network 192.168.100.0 0.0.0.255
network 192.168.252.0 0.0.0.255
-
至此总部和分支已经可以正常通信了,我们完成了需求8
需求9:企业所有设备,在任何位置都可以配telnet远程管理
-
首先所有交换机上:
-
vlan 999
int vlan 999
ip address x.x.x.x
–
所有接入和汇聚交换机:
ip route-static 0.0.0.0 0 192.168.253.1 //给管理流量回包
-
-
然后所有路由器和交换机(可直接复制到所有设备上即可):
aaa
local-user telnet_test_user privilege level 3 password cipher 123456
local-user telnet_test_user service-type telnet
user-interface vty 0 4
authentication-mode aaa
至此我们完成最后一个需求,总架构已经完成