思科中型公司网络规划（上）

任务环境

某中型企业想搭建一个企业网，要求具有WEB服务器，DHCP服务器，DNS服务器。

一、任务目的：

1. 培养学生学以致用的能力，把以前学的技能和理论知识综合运用到一个系统中，为了达到培养学生整合自己技术能力，系统化自己理论知识的目的，从而能够开阔学生的思维。

2. 在实训中很讲究项目组成员的互相合作和沟通，这也可以培养学生的表达能力，理解能力和与人合作的能力。

二、任务所需设备（每小组）：

1. 路由器2台。
2. 二层交换机2台。
3. 三层交换机2台。
4. 电脑6台，如果有8台更好。
5. 各种网线（直通线，交叉线，配置线）若干（至少要14条直通线，和6条配置线）。

4.1 企业网的基本需求分析

4.1.1 要达到的基本目标

1. 连接在Cangku和bangong交换机上的客户端电脑通过DHCP服务器自动获取IP地址，包括网关，DNS的IP。

2. 总公司中的所有vlan 都在三层交换机L上统一建立与管理。

3. 2台3层交换机配置Vrrp互为冗余备份。

4. 让internet上的电脑也能访问企业内网中的WEB和FTP服务器，它们的主机名分别是www.707.com和ftp.707.com，它们对外的IP地址为201.1.1.3/24。

5. 使内网中使用私有IP的用户能够访问Internet。

   6.访问控制只允许192.168.3.0网段的电脑可以ftp到ftp服务器。

图4-1 总拓扑图

4.3 交换机的配置

4.3.1 二层交换机的配置

二层交换机上的配置主要有：vlan的配置、vlan trunk的配置以及STP的配置。

1、.在cangku交换机上配置：
switch>en  
Switch#con t 
Switch(config)#host 2007-cangku 
cangku (config)# vlan 10
cangku (config)# vlan 20 
#以下是把计算机加入相应的VLAN
cangku(config)#int fa0/1 
cangku(config-if)#switchport access vlan 10
cangku(config-if)#exit 
cangku(config)#int fa0/2 
cangku(config-if)#switchport access vlan 20
cangku(config-if)#exit
#以下是配置端口的trunk模式。假设3，4是连接二台三层交换机的端口。
cangku(config)#int range fa 0/3 - 4 
cangku(config-range-if)#switchport mode trunk
cangku(config-range-if)#exit
cangku(config)#exit
cangku#copy run start #保存当前的配置
2、在bangong交换机上配置：
switch>en  
Switch#con t 
Switch(config)#host 2008-bangong 
bangong (config)# vlan 10
bangong (config)# vlan 30
#以下是把计算机加入相应的VLAN
bangong(config)#int fa0/1   
bangong(config-if)#switchport access vlan 30 
bangong(config-if)#exit 
bangong(config)#int fa0/2  
bangong(config-if)#switchport access vlan 10 
bangong(config-if)#exit 
#以下是配置端口的trunk模式。假设3，4是连接二台三层交换机的端口。
bangong(config)#int range fa 0/3-4 
bangong(config-range-if)#switchport mode trunk
bangong(config-range-if)#exit
bangong(config)#exit
bangong#copy run start

4.3.2 三层交换机的配置：

在三层交换机上的配置包含如下内容：创建VLAN，Vlan interface的IP地址的配置，扩展访问控制列表的配置，DHCP中继的配置，静态路由的配置，STP的配置。

1、在L交换机上的配置：

switch>en  
Switch#con t 
Switch(config)#host L 
L(config)#ip routing #启动IP路由功能
#建立vlan10、vlan20和vlan30
L (config)#vlan 10
L(config-vlan)#exit
L (config)#vlan 20
L(config-vlan)#exit
L (config)#vlan 30
L(config-vlan)#exit
#以下是启动和配置pvst协议
1、在L交换机上的配置：
switch>en  
Switch#con t 
Switch(config)#host L 
L(config)#ip routing #启动IP路由功能
#建立vlan10、vlan20和vlan30
L (config)#vlan 10
L(config-vlan)#exit
L (config)#vlan 20
L(config-vlan)#exit
L (config)#vlan 30
L(config-vlan)#exit
#以下是启动和配置PVST协议
spanning-tree mode pvst
spanning-tree vlan 10 priority 24576
spanning-tree vlan 20,30 priority 28672
#以下是配置端口的trunk模式。假设6,4是分别连接到二层交换机的端口。
L(config)#int  fa0/4
L(config-if）# Sw mo acc
L(config-if）# Sw trunk enc dot1q
L(config-if）# Sw mo trunk
L(config)#int  fa0/6
L(config-if）# Sw mo acc
L(config-if）# Sw trunk enc dot1q
L(config-if）# Sw mo trunk
#以下是配置VLAN 接口的IP，并定义虚拟网关
interface Vlan10
 ip address 192.168.59.3 255.255.255.0
 ip ospf cost 5
 standby 10 ip 192.168.59.1
 standby 10 preempt
 standby 10 track GigabitEthernet0/1 #standby跟踪接口g0/1(与路由器R1连接)的状况。若此接口为down，则satndby优先级值减20.
#
interface Vlan20
 ip address 192.168.60.3 255.255.255.0
 ip ospf cost 5
 standby 20 ip 192.168.60.1
 standby 20 priority 99
 standby 20 preempt # #定义vlan 20的权限为99，比默认值100小，所以对于vlan 20来说，这个L交换机是备份交换机。
#
interface Vlan30
 ip address 192.168.61.3 255.255.255.0
 ip ospf cost 5
 standby 30 ip 192.168.61.1
 standby 30 priority 99
 standby 30 preempt
 #以下是与R交换机连接的端口IP的配置
L(config)#int fa0/2
L(config-if）# Sw mo acc
L(config-if）# Sw trunk enc dot1q
L(config-if）# Sw mo trunk
#以下是与DNS服务器连接的交换机端口IP的配置
L(config)#int  fa 0/24    #连接端口为0/24连接到DNS server
L(config-if)# no switchport 
L(config-if)# ip address 192.168.5.1  255.255.255.0
#以下是与路由器R1连接的端口交换机fa0/5的配置
L(config)#int g0/1   #连接端口为g0/1连接到R1
L(config-if)# no switchport 
L(config-if)# ip address 172.16.1.2  255.255.255.0
L(config-if)# no shutdown
#以下是DHCP 中继的配置
 Int vlan 10
  Ip help-address 192.168.6.3
Int vlan 20
  Ip help-address 192.168.6.3
Int vlan 30
  Ip help-address 192.168.6.3
  #
  #以下是动态路由ospf的配置
L(config)#router ospf 100
R(config-router)#router-id 2.2.2.2
L(config-router)#network 192.168.1.0 0.0.0.255 area 0
L(config-router)#network 192.168.2.0 0.0.0.255 area 0
L(config-router)#network 192.168.3.0 0.0.0.255 area 0
L(config-router)#network 192.168.5.0 0.0.0.255 area 0
L(config-router)#network 172.16.1.0 0.0.0.255 area 0
 #
#以下是扩展访问控制列表的配置，主要是为了只能够让192.168.3.0网段的电脑能够ftp到二台服务器，其他网段的电脑不行。
#以下这段命令在整个网络配置和调试通了以后，才进行配置。
L(config)# ip access-list extended aaa
L(config-ext-nacl)#permit tcp host 192.168.5.3 eq ftp 192.168.61.0 0.0.0.255 
L(config-ext-nacl)#deny tcp host 192.168.5.3 eq ftp  any
L(config-ext-nacl)#permit ip any any 
#
L(config) #int fa0/24
L(config-if)# ip access-group aaa in
#把刚才定义的访问控制列表aaa应用到该端口进的方向，只有192.168.3.0网段的电脑能够ftp到192.168.5.3服务器。
 #以上这段ACL命令在整个网络配置和调试通了以后，才进行配置。

2、在R交换机上的配置：

switch>en  
Switch#con t 
Switch(config)#host R 
R(config)#ip routing 
R(config)#vlan 10
R(config)#vlan 20
R(config)#vlan 30
#以下是启动和配置PVST协议
spanning-tree mode pvst
spanning-tree vlan 30 priority 8192
spanning-tree vlan 20 priority 24576
spanning-tree vlan 10 priority 2867
#以下是配置端口的trunk模式。假设1,6是分别连接到二层交换机的端口。
R(config)#int range fa 0/1,3
R(config-if）# Sw mo acc
R(config-if）# Sw trunk enc dot1q
R(config-if）# Sw mo trunk
#以下是与L交换机连接的端口IP的配置
R(config)#int fa 0/2
R(config-if）# Sw mo acc
R(config-if）# Sw trunk enc dot1q
R(config-if）# Sw mo trunk
#
#以下是配置VLAN 接口的IP，并定义虚拟网关和抢占方式
interface Vlan10
 ip address 192.168.59.3 255.255.255.0
 ip ospf cost 5
 standby 10 ip 192.168.59.1
 standby 10 preempt
 standby 10 track GigabitEthernet0/1 ##standby跟踪接口g0/1(与路由器R1连接)的状况。若此接口为down，则standby优先级值减20.
#
interface Vlan20
 ip address 192.168.60.3 255.255.255.0
 ip ospf cost 5
 standby 20 ip 192.168.60.1
 standby 20 priority 99
 standby 20 preempt
#
interface Vlan30
 ip address 192.168.61.3 255.255.255.0
 ip ospf cost 5
 standby 30 ip 192.168.61.1
 standby 30 priority 99
 standby 30 preempt
  R(config-if)#exit
#以下是与路由器连接的端口IP的配置
R(config)#int  g0/1      #连接端口为g0/1连接到R1
R(config-if)# no switchport 
R(config-if)# ip address 172.17.1.2  255.255.255.0
#以下是DHCP 中继的配置
 Int vlan 10
  Ip help-address 192.168.6.3
Int vlan 20
  Ip help-address 192.168.6.3
Int vlan 30
  Ip help-address 192.168.6.3
#以下是动态路由ospf的配置
R(config)#router ospf 100 
R(config-router)#router-id 3.3.3.3
R(config-router)#network 192.168.1.0 0.0.0.255 area 0
R(config-router)#network 192.168.2.0 0.0.0.255 area 0
R(config-router)#network 192.168.3.0 0.0.0.255 area 0
R(config-router)#network 172.17.1.0 0.0.0.255 area 0

4.4 路由器的配置

路由器的配置包含：端口IP的配置，静态路由的配置，端口NAT的配置，静态NAT的配置。

1、R1的配置：
Red-Giant>enable
Red-Giant#conf t
Red-Giant (config)#hostname R1
R1(config)#interface g0/0 #假设这个端口连接L交换机
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#ip nat inside
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface g0/1  #假设这个端口连接R交换机
R1(config-if)#ip address 172.17.1.1 255.255.255.0
R1(config-if)#ip nat inside
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config-if)#int s0/0/0  #假设与R2路由器相连的端口是s0/0/0
R1(config-if)#ip add 201.1.1.1 255.255.255.252  
R1(config-if)#ip nat outside
R1(config-if)#no shutdown
R1(config-if)#exit
#以下是端口NAT的配置
R1(config)#ip nat pool aaa 222.1.1.2 222.1.1.3 netmask 255.255.255.248 
R1(config)#access-list 1 permit 192.168.0.0 0.0.255.255
R1(config)#ip nat inside source list 1 pool aaa overload
#以下是静态NAT的配置(dns服务器对外服务)
R1(config)# ip nat inside source static tcp 192.168.5.3 53 222.1.1.4 53 
R1(config)# ip nat inside source static udp 192.168.5.3 53 222.1.1.4 53 
#以下是动态路由ospf的配置
R(config)#router ospf 100 
R(config-router)#router-id 1.1.1.1
R(config-router)#network 172.16.1.0 0.0.0.255 area 0
R(config-router)#network 172.17.1.0 0.0.0.255 area 0
R(config-router)#default-information originate  #将默认路由发布到ospf域
R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0/0
2、R2的配置：
Red-Giant>enable
Red-Giant#conf t
Red-Giant (config)#hostname R2
R2(config)#interface g0/0
R2(config-if)#ip address 201.1.2.1  255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config-if)#int s0/0/0  #假设这个端口与R1路由器相连
R2(config-if)#ip add 201.1.1.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface lo0  
R2(config-if)#ip address 5.5.5.5 255.255.255.255
R2(config-if)#exit
#配置静态路由
R2(config-if)#ip route 222.1.1.0 255.255.255.248 Serial0/0/0 

4.5.2 一些常见的查错与测试方法

1. PC1获取不到IP地址的情况：

（1）检查DHCP服务器有没有起作用。测试方法：把一台测试用的电脑与DHCP服务器接在同一台没有配置任何内容的交换机上，然后用测试PC获取IP地址，看是否成功。在测试PC上所用的获取IP地址的命令是ipconig/renew。如果这时不能获取IP地址，把DHCP服务重启，或是重新建立DHCP作用域。要检查DHCP的“路由器作用域选项”是不是与拓扑图中要求一致。

（2）如果DHCP服务器是正常的，则测试跨网段来获取IP地址。如果获取不到，则要检查要获取IP地址的电脑到DHCP服务器路径上的路由器的DHCP中继代理有没有配置，比如：在此拓扑图中，PC1不能获取IP，则要检查PC1到192.168.6.3这台DHCP服务器的路径上的路由器（在此为三层交换机L）的DHCP中继有没有配置，二条相关的命令：

L(config)#service dhcp

L(config)#ip helper-address 192.168.6.3 还要检查这个DHCP服务器的IP地址有没有配置正确。这个IP地址就是启用了DHCP服务电脑的IP地址。

（3）如果路由器上的DHCP中继代理启用了，还不能获取IP地址，则检查要获取IP地址的电脑到DHCP服务器的连通性。测试方法（以PC1为例）：

在PC1上手动配置一个所属网段的IP（在此为192.168.1.5/24，网关为192.168.1.1），然后在PC1上ping 192.168.6.3，看是否通。一般情况下，大多数不能获取IP地址，都是因为这个ping不通的问题。

（4）当第（3）步骤里PING不通时，可以运用如下方法来查错。这也是其他ping不通情况的一般查错方法：

① 检查本机的IP地址参数有没有配置正确。

特别是那些双网卡的电脑，IP地址是不是正确地配置到了正确的网卡上。可能通过拨插网线的形式来确定IP地址是不是在正确的网卡上。

对于双网卡以windows为平台的电脑，要只有一个网卡配置网关地址（在此就是PC1连接cangku交换机的那个网卡要配置网关地址），另一个网卡不要配置网关地址。如果二个网卡都配置了网关地址，也是会导致Ping不通的。这时可能用netstat –ar来查看本机的默认路由是不是正确。

② 如果确定了本机的IP地址参数配置正确，看看是否有相关的个人防火墙配置（在此不谈个人防火墙如何配置，建议直接把电脑上的防火墙关掉）。

③ 如果关了防火墙还ping不通，就要开始一段链路一段链路来检查了。

在此拓扑中还是以PC1为例。

首先检查PC1到L交换机的连通性，使用命令Ping 192.168.1.3，这个IP地址就是在L交换机上PC1所属的vlan 10的VLAN接口IP。

如果此时不通。

检查cangku交换机与L交换机相连的端口的trunk模式有没有启用。在cangku交换机的特权用户配置模式下使用show run命令，查看连接到L交换机的端口是不是trunk口(switchport mode trunk这条命令)

检查cangku交换机连接到PC1的端口，是不是在VLAN 10里。检查方法是：在cangku交换机的特权用户配置模式下使用show vlan命令查看VLAN 10包含了哪些端口，连接PC1的端口是不是在其中。

如果PC1 ping 192.168.1.3是通的，则继续ping 192.168.5.1，如果PC1 ping 192.168.1.3是通的，则ping 192.168.5.1是没问题的。如果PING 不通192.168.5.1这个IP，就要在L交换机上检查有没有在正确的端口上配置了这个IP地址，检查方法：在L交换机的特权用户模式下用show ip interface这条命令，检查与DHCP服务器相连的端口的IP地址是192.168.5.1

继续ping 192.168.5.3，如果ping 192.168.1.3通，ping 192.168.5.1通，但ping 192.168.5.3不通，则要检查192.168.5.3这台机的防火墙和有没有配置网关（192.168.5.3这台机网关地址在此拓扑中是192.168.5.1）。

如果PC1 ping 得通192.168.5.3，则说明PC1到DHCP服务器的网络的连通性没有问题，是可以获取到IP地址的。

PC2的情况也是类似。

如果是PC3获取不到IP地址，除了上面的情况外，还要检查L交换机上有没有路由到达192.168.5.0网段的。

2、如果PC1，PC2，PC3不能够访问www.707.com。在此以PC1为例进行说明，PC1不能访问www.707.com这个网站的原因主要有以下：

（1）PC1不能和DNS服务器（192.168.5.3）取得联系，所以不能解析到www.707.com的IP地址，这是网络连通性问题。这时可以通过在PC1 上ping DNS服务器IP来检查PC1和DNS之间的连通性问题:

PC1 Ping 192.168.1.3

PC1 Ping 192.168.5.1

PC1 Ping 192.168.5.3

（2）PC1 能够与DNS相通，但不能解析得到www.707.com，这是DNS服务器的问题。请检查DNS中的主机记录是否正确。

（3）PC1 能够获取到www.707.com的IP地址（在此例中是222.1.1.5），但不能ping通，则这是网络问题。可以在PC1上通过ping如下IP地址进行测试：

PC1 Ping 192.168.1.3

PC1 Ping 222.1.1.1

PC1 Ping 222.1.1.5

（4）如果PC1 能够与222.1.1.5连通，但不能打开网页，则可能是WEB服务器的配置问题，这时请检查WEB服务器的主目录和主页设置是否正确。

​ 如果PC1不能访问ftp.707.com的故障与前面的故障排除方法相似。

3、只有pc3才能telnet主机IP为192.168.6.3，192.168.5.3的服务器，其他电脑不能够telnet这二台服务器。如果此功能不能实现。则主要检查扩展访问控制列表。

4、PC1，pc2，PC3，PC5能够ping通外网（5.5.5.5）。

如果该项功不能实现，则首先要检查PC1—外网上每段链路的连通性，然后要检查端口NAT相关的配置。

5、PC4能够通过201.1.1.3的IP访问内网中的WEB服务器。

.1.1

PC1 Ping 222.1.1.5

（4）如果PC1 能够与222.1.1.5连通，但不能打开网页，则可能是WEB服务器的配置问题，这时请检查WEB服务器的主目录和主页设置是否正确。

​ 如果PC1不能访问ftp.707.com的故障与前面的故障排除方法相似。

3、只有pc3才能telnet主机IP为192.168.6.3，192.168.5.3的服务器，其他电脑不能够telnet这二台服务器。如果此功能不能实现。则主要检查扩展访问控制列表。

4、PC1，pc2，PC3，PC5能够ping通外网（5.5.5.5）。

如果该项功不能实现，则首先要检查PC1—外网上每段链路的连通性，然后要检查端口NAT相关的配置。

5、PC4能够通过201.1.1.3的IP访问内网中的WEB服务器。

​ 如果该功能不能实现，除了要检查网络连通性，还要检查静态NAT的配置。