企业网三层架构

一.题目

 

 二.实验记录

划分子网时192.168.1.0和192.168.2.0后为/22,会产生路由黑洞，最好化为192.168.2.0和192.168.3.0或者把192.168.1.0/24分成两个/25网段

2.1  底层划分VLAN，接口写TRUNK（sw3 sw4）

[sw3]int E0/0/4
[sw3-Ethernet0/0/4]port link-type access 
[sw3-Ethernet0/0/4]port default vlan 

[sw3]int E0/0/1
[sw3-Ethernet0/0/1]port link-type trunk 
[sw3-Ethernet0/0/1]port trunk allow-pass 
[sw3-Ethernet0/0/1]port trunk allow-pass vlan all 
[sw3-Ethernet0/0/1]q
[sw3]int Eth0/0/2
[sw3-Ethernet0/0/2]port link-type trunk 
[sw3-Ethernet0/0/2]port trunk allow-pass 
[sw3-Ethernet0/0/2]port trunk allow-pass vlan all

[sw]int E0/0/4
[sw3-Ethernet0/0/4]port link-type access 
[sw4-Ethernet0/0/4]port default vlan 

[sw4]int E0/0/1
[sw4-Ethernet0/0/1]port link-type trunk 
[sw4-Ethernet0/0/1]port trunk allow-pass 
[sw4-Ethernet0/0/1]port trunk allow-pass vlan all 
[sw4-Ethernet0/0/1]q
[sw4]int Eth0/0/2
[sw4-Ethernet0/0/2]port link-type trunk 
[sw4-Ethernet0/0/2]port trunk allow-pass 
[sw4-Ethernet0/0/2]port trunk allow-pass vlan all

2.2 sw1,sw2配置

核心层接口配置IP

切三层接口（华为三层配不了IP）需要把接口放入valn中,给接口起一个VLAN 99的svi
[sw1-intE0/0/3]vlan 99	
[sw1-intE0/0/3]port link-type access
[sw1-intE0/0/3]port default vlanif 99
[sw1]int vlanif 99
[sw1-vlanif99]ip add 192.168.0.1 30


[sw2-intE0/0/3]vlan 99	
[sw2-intE0/0/3]port link-type access
[sw2-intE0/0/3]port default vlanif 99
[sw2]int vlanif 99
[sw1-vlanif99]ip add 192.168.0.6 30

绑定接口

若使用基于vlan或基于分组的STP协议来工作三层架构中，将导致vlan间或组间通讯时对汇聚层间链路带宽要求较高，可以通过 以太网通道 channel (cisco )    以太网中继Eth-Trunk(华为)  技术来解决通道技术将多个接口逻辑的整合为一个接口，实现带宽叠加的作用；

[sw1]interface Eth-Trunk 0  创建通道接口
[sw1-Eth-Trunk0]q
[sw1]interface  E0/0/3  将物理接口加入到通道内
[sw1-Ethernet0/0/1]eth-trunk 0
[sw1-Ethernet0/0/1]int E0/0/4
[sw1-Ethernet0/0/2]eth-trunk 0

[sw2]interface Eth-Trunk 0  创建通道接口
[sw2-Eth-Trunk0]q
[sw2]interface  E0/0/3  将物理接口加入到通道内
[sw2-Ethernet0/0/1]eth-trunk 0
[sw2-Ethernet0/0/1]int E0/0/4
[sw2-Ethernet0/0/2]eth-trunk 0

管理vlan；  二层交换机物理接口正常无法配置ip地址；故存在一个SVI（交换虚拟接口）接口；

该接口可以配置ip地址，出厂存在MAC地址；用于远程登录该设备；该接口默认在vlan1 中，故vlan1就被称为默认的管理vlan；

二层交换机仅存在一个svi，默认在vlan1中，转移到其他vlan时，之前的vlanif接口将自动被关闭；

三层交换机支持多个SVI接口，所有的svi可以共存；

sw1和sw2创建VLAN，调TRUNK
起子接口，svi,sw1和sw2都要配置，解决了路由器虚拟子接口的弊端
[sw1]vlan batch 2
[sw1]interface Vlanif 1
[sw1-Vlanif1]ip address 192.168.1.1 24
[sw1]interface Vlanif 2
[sw1-Vlanif2]ip address 192.168.2.1 24

[sw2]vlan batch 2
[sw2]interface Vlanif 1
[sw2-Vlanif1]ip address 192.168.1.2 24
[sw2]interface Vlanif 2
[sw2-Vlanif2]ip address 192.168.2.2 24

2.3 起ospf协议 

[sw1]ospf 1 router-id 1.1.1.1
Aug 21 2023 19:24:36-08:00 sw1 
[sw1-ospf-1]area 0
[sw1-ospf-1-area-0.0.0.0]network 192.168.0.2 0.0.0.0
[sw1-ospf-1-area-0.0.0.0]network 192.168.1.1 0.0.0.0
[sw1-ospf-1-area-0.0.0.0]network 192.168.2.1 0.0.0.

[sw2]ospf 1 router-id 3.3.3.3
Aug 21 2023 19:24:36-08:00 sw2 
[sw2-ospf-1]area 0
[sw2-ospf-1-area-0.0.0.0]network 192.168.0.6 0.0.0.0
[sw2-ospf-1-area-0.0.0.0]network 192.168.1.2 0.0.0.0
[sw2-ospf-1-area-0.0.0.0]network 192.168.2.2 0.0.0.0

[R2]ospf 1 router-id 2.2.2.2 
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.0.1 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 192.168.0.5 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

2.4  查看生成树，调整生成树 

切记：若将创建某个组，但该组内的vlan，在本交换机上没有创建，同时没有为该vlan服务的接口；该组将没有任何信息；整个交换网络中所有设备的分组信息必须完全一致；因此查看当前配置，复制粘贴命令与SW2，SW3
 

调生成树
[sw1]stp enable 
[sw1]stp region-configuration 
[sw1-mst-region]region-name a    所有设备应在一个组内
[sw1-mst-region]instance 1 vlan 1
[sw1-mst-region]instance 2 vlan 2
[sw1-mst-region]active region-configuration     激活当前配置（必须配置该指令）
注意：四个交换机要一致都要配


此时所有的根都为SW1
定义本地为组1 的主根，组2 的备份根
[sw1]stp instance 2 root primary      优先级修改为0
[sw1]stp instance 3 root secondary    优先级修改为4096
注：sw1,sw2都要配置

2.5 网关备份

HSRP 电脑需要的是网关的MAC，而不是网关的IP，手写MAC

在网关冗余技术中，ICMP重定向是失效的；故当上行链路DOWN时，网关将不会切换；可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效，且两台设备间的优先级差值小于下调值； 若本地存在多条上行或下行链路，建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时，才让备份设备抢占；下行链路大部分down时，可以让备份设备抢占；

主：
[sw1]int vlan 1
[sw1-vlanif1]vrrp vrid 1 virtual-ip 192.168.2.250
[sw1-vlanif1]vrrp vrid 1 priority 101  默认100
备：
[sw2]int vlan 1
[sw2-vlanif1]vrrp vrid 1 virtual-ip 192.168.2.250
不改优先级保持默认


主：
[sw2]int vlan 2
[sw2-vlanif2]vrrp vrid 1 virtual-ip 192.168.2.250
[sw2-vlanif2]vrrp vrid 1 priority 101  默认100
备：
[sw2]int vlan 2
[sw2-vlanif2]vrrp vrid 1 virtual-ip 192.168.2.250
不改优先级保持默认

2.6 dhcp获取IP地址

sw1和sw2同配置
[sw1]dhcp enable 
[sw1]ip pool 2
[sw1-ip-pool-2]network 192.168.2.0 mask 24
[sw1-ip-pool-2]gateway-list 192.168.2.250
[sw1]int Vlanif 2
[sw1-Vlanif2]dhcp select global

[sw1]dhcp enable 
[sw1]ip pool 1
[sw1-ip-pool-2]network 192.168.1.0 mask 24
[sw1-ip-pool-2]gateway-list 192.168.1.250
[sw1]int Vlanif 1
[sw1-Vlanif2]dhcp select global 

2.7 实验优化

2.8缺省加nat,访问公网

Ospf内也要写缺省
[r2]ip route-static 0.0.0.0 0 12.1.1.2
[r2]acl 2000              	
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2]int G0/0/0
[r2-GigabitEthernet0/0/0]nat outbound 2000
[r2-GigabitEthernet0/0/0]q

 三.实验测试