企业网络建设拓扑

一、实验目的

1.通过实验了解企业网络建设拓扑方案
2.加深熟悉在建设中运用到的网络协议
3.锻炼自己的排错能力

二、实验器材

公司内部：
1.接入层：二层交换机x4
2.汇聚层：三层交换机x2
3.核心层：三层交换机x2
4.边界：路由器x2
5.其他：pc机x8、server服务器、DHCP服务器

ISP：
1.测试pc主机x1 测试客户机x1
2.三层交换机x1 路由器（ISP）x1

你好！ 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。

三、实验要求

1.不同的PC属于不同的 VLAN
2.不同的 VLAN 主机获得IP地址的方式为 DHCP
3.vlan88 为 web-server 所在的服务器；网关在 SW5 上；
vlan66 为 dhcp-server所在的服务器；网关在 SW6 上；
4.其他 VLAN 的每个主机所用的网关都使用了高可用性技术，增强了网关冗余性和稳定性。
5.交换机之间也使用了防环技术，并且能够针对每个 VLAN 实现流量负载均衡的功能。同时，要求每个 VLAN 的主机，去往主机的网关时，所使用的转发路径是最优的。
6.在公司内部运行 OSPF ，确保不同 VLAN 之间是互通的。不同的 VLAN 属于不同的区域。
同时保护 web 和 dhcp 服务器所在的区域不受到外部链路以及其他区域的不稳定的链路的影响。
7.公司的出口路由器为 R1 和 R2 ，但是永远将 R1 作为主出口，出现故障后，出网流量才会自动的切换到 R2 。修复以后，会再次从 R1 转发。
8.内网大量主机都存在访问 Internet的需求，要求使用最节省IP地址的方式实现内网主机上网，但是 vlan 40 属于机密部分，不能访问外网。
9.外网的用户(client-1)，可以访问内部的 web 服务器。
10.外网的用户(SW9)，可以远程控制内网的所有网络设备(不包括R1/R2)， 远程访问密码均设置为 HCIE 。(内网中每个设备的管理IP地址，属于管理 VLAN 199)
11.内网的用户中，只能由 vlan 20 中的 PC-2 远程登录管理内网所有设备
其他用户均不可以。

四、实验拓扑图

五、配置思路

1.由于线路较多，最好将所有交换路由重新命名，并开启lldp协议，方便日后排错。
2.根据实验要求配置vlan，并确保所有交换机vlan相同一致。
3.将pc机加入各自的vlan，并配置好终端–交换机（access），交换机–交换机（trunk）之间的标签
4.在dhcp服务器上配置vlan10 20 30 40所属网段的地址池（排除一段地址用于vrrp真实网关）。并在sw6与上进入vlanif66配置dhcp的网关，由于客户机与服务器存在跨越网段，所以需要在sw5与sw6上做中继器。注：sw5上也要给vlanif66地址，证明在一个网段，这样才能做中继器。
DHCP需要用到的命令：
Dhcp enable
ip pool {名字}
netwokr 192.168.x.x mask 24
gatewy-list 192.168.x.254
excluded-ip-address 192.168.x.200 192.168.x.253
中继器需要用到的命令：
dhcp enable
int vlanifxx
dhcp select relay
dhcp relay server-ip {dhcp服务器地址}
5.在sw5与sw6上进入各自的vlan虚接口做vrrp，实现网关冗余性，为实现负载均衡，与mstp的搭配，sw5为vlan10 20的主网关,sw6为vlan20 30的主网关。
vrrp需要用到的命令：
【lsw5】interface vlanif10
【vlanif10】ip address 192.168.10.253 24
【vlanif10】vrrp vrid 10 virtual-ip 192.168.10.254
【vlanif10】vrrp vrid 10 priority 200
拿vlan10举例：sw6命令类似，配置一个真实网关ip地址，再配置虚拟网关ip地址，不用修改优先级。

6.根据实验要求部署mstp，使lsw5成为vlan10 20的主根，30，40的备根，lsw6成为vlan30 40的主根，10 20的备根，使其对应自己的vrrp主网关
mstp需要用到的命令：
【lsw5】stp region-conifguration
region-name {区域名}
instance 1 vlan 10
instance 2 vlan 20
instance 3 vlan 30
instance 4 vlan 40
active region-conifguration{激活此区域}
quit
stp instance 1 priority 0
stp instance 2 priority 0
stp instance 3 priority 4096
stp instance 4 priority 4096
需要注意所有交换机在mst中配置需一致。
lsw6在优先级上与lsw5则相反就Ok。

7.配置ospf区域，因为lsw7、lsw8上无网关，所以不在它们上做ospf。将ar1,ar2为0区域，起四条vlan同步交换机，并为lsw5,lsw6直连的vlan配上虚ip，与路由器的接口ip在同一个网段相对应，ar1邻接lsw5，ar2邻接lsw6。lsw5与lsw6为abr。如图通过netwokr宣告自己的直连网段。dhcp路由器也需要做一个ospf来连接着abr区域。

8.isp为网络运营商，配置好公网IP（两个接口上配置不同的公网IP）我们赋予ar1 ar2两个公司边界出接口公网ip与ISP两个端口各在同一网段。并分别写一条默认路由指向isp，宣告进ospf。

9.在外网部分，配置好lsw9的网段和pc9和client的ip网关，并在lsw9写一条默认路由指向isp，方便测试。

10.根据实验要求修改ar1和ar2内部数据出接口cost值，使ar1 作为主出口，出现故障
后，出网流量才会自动的切换到 ar2 。
配置方式为两种，一种是修改type为1，一种为修改cost值。
int g0/0/x
ospf cost {大于默认值1} cost越小越好。
11.配置ar1入接口nat与acl，满足实验要求8到11.首先进入acl 2000配置，拒绝192.168.40.0网段访问外网，允许其他网段访问外网。
配置命令：acl 2000
rule 10 deny source 192.168.40.0 0.0.0.255
rule 20 permit any
在AR1的出接口上配置easy ip ，满足acl 2000的要求，使内网用户实现访问外网需求。
在除R1，R2路由器外的网络设备上配置ACL和远程控制，允许外网sw9和pc2进行远程控制。
首先在每个交换机上配置vlan199远程管理vlan，并赋予ip地址，在sw5与sw6上配置vlan199的vrrp网关。
其次设置每一台的远程管理vty
然后设置acl如下
rule 10 permit source 200.1.1.0 0.0.0.255
rule 20 permit source 192.168.20.252 0
并把acl添加进vty远程管理中，在每台交换机上写一条默认路由指向vlan199网段的网关。
返回到AR1上配置NAT server，使sw9和client可以通过telnet远程控制内网的网络设备和web。命令如下
nat server protocol tcp global 100.1.1.5 www inside 192.168.88.8 www
nat server protocol tcp global 100.1.1.10 2001 inside 192.168.199.1 telnet
注：由于远程控制的网络设备较多，在配置nat server时使用公有地址对应端口号的方式。

完成后按照实验要求进行测试。

四、实验总结

首先明确配置的框架思路，由内向往，从二层到三层，按部就班操作。明确每一层会造成故障的可能性，如交换机可能是vlan 、 stp 。路由器可能是 ospf、默认路由、二层等故障。

标记文本

删除文本

引用文本

H₂O is是液体。

2¹⁰ 运算结果是 1024.

插入链接与图片

链接: link.

图片:

带尺寸的图片:

居中的图片:

居中并且带尺寸的图片:

当然，我们为了让用户更加便捷，我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

去博客设置页面，选择一款你喜欢的代码片高亮样式，下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

• 项目
  • 项目
    • 项目

1. 项目1
2. 项目2
3. 项目3

• 计划任务
• 完成任务

创建一个表格

一个简单的表格是这么创建的：

<

项目	Value
电脑	$1600
手机	$12