目录
基础交换网络设计
拓扑
需求
-公司有三个部门,财务部,市场部,技术部,为了内网安全,给每个部门单独划分一个VLAN
-财务部:vlan10、市场部:vlan20、技术部:vlan30
-公司所有部门,所有VLAN内的主机都通过DHCP服务器分发IP地址
-每个部门,每个VLAN的网关地址都为,192.168.xx.254
-SW5中每个vlanif 虚接口地址都为 192.168.xx.251
-SW5通过vlanif50 与DHCP进行通信,DHCP服务器管理IP:192.168.50.1
-所有的PC都通过SW5与DHCP服务器进行通信,获取IP地址,所以SW5是DHCP中继
配置步骤
第一步:配置SW1/SW2/SW3
-3台交换机创建vlan10/vlan20/vlan30/vlan50
-与PC互联的接口配置为access,并接入指定的vlan
-与SW5交换机互联的接口配置为trunk,允许所有vlan通过
第二步:配置SW5-基础配置
-创建vlan10/vlan20/vlan30/vlan50
-配置vlanif虚接口地址:192.168.xx.251
-与SW1/SW2/SW3互联的接口配置trunk,允许所有vlan通过
-与R3-DHCP 服务器互联的接口配置access ,加入vlan50
第三步:配置DHCP服务器
-在R3-DHCP系统视图下开启dhcp 功能
-R3-DHCP中创建IP地址池(网段、网关、dns)
-R3-DHCP中配置默认路由,下一跳为192.168.50.251 (配置回程路由,回应DHCP请求)
-在R3-DHCP-g0/0/0接口下配置IP地址:192.168.50.1
-在R3-DHCP-g0/0/0接口下开启基于全局的DHCP
第四步:配置SW5-DHCP中继
-在系统视图下,开启dhcp 功能
-在每个vlanif虚接口下开启dhcp中继,并配置DHCP服务器IP:192.168.50.1
配置命令
第一步:配置SW1/SW2/SW3 SW1配置: [SW1]vlan batch 10 20 30 50 [SW1]int g0/0/1 [SW1-G0/0/1]port link-type access [SW1-G0/0/1]port default vlan 10 [SW1-G0/0/1]quit [SW1]int g0/0/2 [SW1-G0/0/2]port link-type trunk [SW1-G0/0/2]port trunk allow-pass vlan all SW2配置: [SW2]vlan batch 10 20 30 50 [SW2]int g0/0/1 [SW2-GigabitEthernet0/0/1]port link-type access [SW2-GigabitEthernet0/0/1]port default vlan 20 [SW2-GigabitEthernet0/0/1]int g0/0/2 [SW2-GigabitEthernet0/0/2]port link-type trunk [SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan all SW3配置: [SW3]vlan batch 10 20 30 50 [SW3]int g0/0/1 [SW3-GigabitEthernet0/0/1]port link-type access [SW3-GigabitEthernet0/0/1]port default vlan 30 [SW3-GigabitEthernet0/0/1]int g0/0/2 [SW3-GigabitEthernet0/0/2]port link-type trunk [SW3-GigabitEthernet0/0/2]port trunk allow-pass vlan all 第二步:配置SW5-基础配置 SW5配置: [SW5]vlan batch 10 20 30 50 [SW5]port-group group-member g0/0/1 to g0/0/3 [SW5-port-group]port link-type trunk [SW5-port-group]port trunk allow-pass vlan all [SW5-port-group]quit [SW5]int g0/0/5 [SW5-GigabitEthernet0/0/5]port link-type access [SW5-GigabitEthernet0/0/5]port default vlan 50 [SW5-GigabitEthernet0/0/5]quit [SW5]int vlanif 10 [SW5-Vlanif10]ip address 192.168.10.251 24 [SW5-Vlanif10]int vlanif 20 [SW5-Vlanif20]ip address 192.168.20.251 24 [SW5-Vlanif20]int vlanif 30 [SW5-Vlanif30]ip address 192.168.30.251 24 [SW5-Vlanif30]int vlanif 50 [SW5-Vlanif50]ip address 192.168.50.251 24 第三步:配置DHCP服务器 R3-DHCP配置: [R3-DHCP]dhcp enable [R3-DHCP]int g0/0/0 [R3-DHCP-G0/0/0]ip address 192.168.50.1 24 [R3-DHCP]ip pool vlan10 [R3-DHCP-ip-pool-vlan10]network 192.168.10.0 mask 24 [R3-DHCP-ip-pool-vlan10]gateway-list 192.168.10.254 [R3-DHCP-ip-pool-vlan10]dns-list 8.8.8.8 [R3-DHCP-ip-pool-vlan10]ip pool vlan20 [R3-DHCP-ip-pool-vlan20]network 192.168.20.0 mask 24 [R3-DHCP-ip-pool-vlan20]gateway-list 192.168.20.254 [R3-DHCP-ip-pool-vlan20]dns-list 8.8.8.8 [R3-DHCP-ip-pool-vlan20]ip pool vlan30 [R3-DHCP-ip-pool-vlan30]network 192.168.30.0 mask 24 [R3-DHCP-ip-pool-vlan30]gateway-list 192.168.30.254 [R3-DHCP-ip-pool-vlan30]dns-list 8.8.8.8 [R3-DHCP-ip-pool-vlan30]quit [R3-DHCP]ip route-static 0.0.0.0 0 192.168.50.251 [R3-DHCP]int g0/0/0 [R3-DHCP-G0/0/0]ip address 192.168.50.1 24 [R3-DHCP-G0/0/0]dhcp select global 第四步:配置SW5-DHCP中继 SW5配置: [SW5]dhcp enable [SW5]int vlanif 10 [SW5-Vlanif10]dhcp select relay [SW5-Vlanif10]dhcp relay server-ip 192.168.50.1 [SW5-Vlanif10]int vlanif 20 [SW5-Vlanif20]dhcp select relay [SW5-Vlanif20]dhcp relay server-ip 192.168.50.1 [SW5-Vlanif20]int vlanif30 [SW5-Vlanif30]dhcp select relay [SW5-Vlanif30]dhcp relay server-ip 192.168.50.1 第五步;验证方式, PC获取IP地址即可 不同VLAN之间的PC不可以互通,因为没有网关,为啥没有网关呢?因为没有部署vrrp 如果没有网关如何获取的IP地址呢? 那是通过中继获取的
内网优化
拓扑
需求
1)所有部门中都使用了网关冗余技术,为了增强网关稳定性和冗余性
-配置VRRP
-SW5是VLAN10和VLAN20的Master ,是VLAN30的Backup
-SW6是VLAN10和VLAN20的Backup,是VLAN30的Master
2)交换机之间存在很多冗余链路,必须防止环路的发生,并且能够提高链路的利用率,要求每个部门的主机访问其他主机时,使用的都是最优的转发路径
-配置MSTP
-SW5是VLAN10和VLAN20的主根 ,是VLAN30的备根
-SW6是VLAN10和VLAN20的备根 ,是VLAN30的主根
3)VLAN30的主机通过SW6与DHCP服务器通信,获取IP地址,所以SW6也是DHCP中继
配置步骤
第一步:SW6基础配置
-创建vlan10/vlan20/vlan30/vlan50
-配置vlanif虚接口地址:192.168.xx.252
-与SW1/SW2/SW3互联的接口配置trunk,允许所有vlan通过
第二步:配置VRRP
-在SW5中将g0/0/6 口配置trunk 模式,允许所有vlan通过
-在vlanif虚接口下配置VRRP
-让SW5成为vlan10/vlan20的Master,vlan30的Backup
-让SW6成为vlan30的Master,vlan10/vlan20的Backup
第三步:配置MSTP
-在所有的交换机中配置MSTP
-让SW5成为vlan10/vlan20的主根,vlan30的备根
-让SW6成为vlan30的主根、vlan10/vlan20的备根
第四步:配置SW6-DHCP中继
-在系统视图下,开启dhcp 功能
-在每个vlanif虚接口下开启dhcp中继,并配置DHCP服务器IP:192.168.50.1
配置命令
第一步: SW6基础配置 SW6配置: [Huawei]sys SW6 [SW6]port-group group-member g0/0/1 to g0/0/3 g0/0/6 [SW6-port-group]port link-type trunk [SW6-port-group]port trunk allow-pass vlan all [SW6-port-group]quit [SW6]vlan batch 10 20 30 50 [SW6]int vlanif 10 [SW6-Vlanif10]ip address 192.168.10.252 24 [SW6-Vlanif10]int vlanif20 [SW6-Vlanif20]ip address 192.168.20.252 24 [SW6-Vlanif20]int vlanif30 [SW6-Vlanif30]ip address 192.168.30.252 24 第二步: 配置VRRP SW5配置: [SW5]int g0/0/6 [SW5-GigabitEthernet0/0/6]port link-type trunk [SW5-GigabitEthernet0/0/6]port trunk allow-pass vlan all [SW5-GigabitEthernet0/0/6]quit [SW5]int vlanif 10 [SW5-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 [SW5-Vlanif10]vrrp vrid 10 priority 130 [SW5-Vlanif10]int vlanif 20 [SW5-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 [SW5-Vlanif20]vrrp vrid 20 priority 130 [SW5-Vlanif20]int vlanif 30 [SW5-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254 SW6配置: [SW6]int vlanif 10 [SW6-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 [SW6-Vlanif10]int vlanif 20 [SW6-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 [SW6-Vlanif20]int vlanif 30 [SW6-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254 [SW6-Vlanif30]vrrp vrid 30 priority 130 第三步:配置MSTP SW1配置: [SW1]stp region-configuration [SW1-mst-region] region-name ntd [SW1-mst-region] instance 5 vlan 50 [SW1-mst-region] instance 10 vlan 10 [SW1-mst-region] instance 20 vlan 20 [SW1-mst-region] instance 30 vlan 30 [SW1-mst-region] active region-configuration [SW1-mst-region] quit [SW1]int g0/0/3 [SW1-G0/0/3]port link-type trunk [SW1-G0/0/3]port trunk allow-pass vlan all SW2配置: [SW2]stp region-configuration [SW2-mst-region] region-name ntd [SW2-mst-region] instance 5 vlan 50 [SW2-mst-region] instance 10 vlan 10 [SW2-mst-region] instance 20 vlan 20 [SW2-mst-region] instance 30 vlan 30 [SW2-mst-region] active region-configuration [SW2-mst-region] quit [SW2]int g0/0/3 [SW2-G0/0/3]port link-type trunk [SW2-G0/0/3]port trunk allow-pass vlan all SW3配置: [SW3]stp region-configuration [SW3-mst-region] region-name ntd [SW3-mst-region] instance 5 vlan 50 [SW3-mst-region] instance 10 vlan 10 [SW3-mst-region] instance 20 vlan 20 [SW3-mst-region] instance 30 vlan 30 [SW3-mst-region] active region-configuration [SW3-mst-region] quit [SW3]int g0/0/3 [SW3-G0/0/3]port link-type trunk [SW3-G0/0/3]port trunk allow-pass vlan all SW5配置: [SW5]stp region-configuration [SW5-mst-region]region-name ntd [SW5-mst-region]instance 5 vlan 50 [SW5-mst-region]instance 10 vlan 10 [SW5-mst-region]instance 20 vlan 20 [SW5-mst-region]instance 30 vlan 30 [SW5-mst-region]active region-configuration [SW5]stp instance 10 priority 4096 [SW5]stp instance 20 priority 4096 [SW5]stp instance 30 priority 8192 [SW5]stp instance 5 priority 8192 SW6配置: [SW6]stp region-configuration [SW6-mst-region] region-name ntd [SW6-mst-region] instance 5 vlan 50 [SW6-mst-region] instance 10 vlan 10 [SW6-mst-region] instance 20 vlan 20 [SW6-mst-region] instance 30 vlan 30 [SW6-mst-region] active region-configuration [SW6]stp instance 10 priority 8192 [SW6]stp instance 20 priority 8192 [SW6]stp instance 30 priority 4096 [SW6]stp instance 5 priority 4096 第四步:配置SW6-DHCP中继 SW6配置: [SW6]int vlanif 50 [SW6-Vlanif50]ip address 192.168.50.252 24 [SW6-Vlanif50]quit [SW6]dhcp enable [SW6]int vlanif 10 [SW6-Vlanif10]dhcp select relay [SW6-Vlanif10]dhcp relay server-ip 192.168.50.1 [SW6-Vlanif10]int vlanif 20 [SW6-Vlanif20]dhcp select relay [SW6-Vlanif20]dhcp relay server-ip 192.168.50.1 [SW6-Vlanif20]int vlanif30 [SW6-Vlanif30]dhcp select relay [SW6-Vlanif30]dhcp relay server-ip 192.168.50.1 备注:sw1/sw2/sw3的g0/0/3口也做成trunk接口 第五步:验证与测试: vlan10/vlan20的PC 通过SW5-中继和DHCP,获取IP地址 vlan30的PC 通过SW6-中继和DHCP,获取IP地址 所有的PC都互联互通 验证命令: <SW5>display stp instance 10 <SW5>display stp instance 20 <SW5>display vrrp brief <SW6>display stp instance 30 <SW6>display stp instance 5 <SW6>display vrrp brief
内外网互联
拓扑
需求
1)SW5通过vlan15和出口设备R1互联
2)SW6通过vlan16和出口设备R1互联
3)在SW5/SW6与出口设备R1中配置路由,实现SW5/SW6与R1的互通
4)公司出口设备 R1连接外网,公司租用的公网网段:100.1.1.0/29
5)公司内网主机有访问外网的需求,所以在R1上配置默认路由,下一跳为公网网关
6)使用ACL来定义允许那些部门和网段访问外网
7)部署地址池NAT或者Easy-ip,实现内网主机访问外网
扩展需求:配置VRRP的上行链路跟踪
配置步骤
第一步: R1和R2接口IP配置
-R1配置接口IP地址
-R2配置接口IP地址
-server1 和client1 配置IP地址
第二步:SW5/SW6和出口设备R1互联配置
-在SW5中创建vlan15,并将g0/0/7接口加入vlan15
-在SW5中配置vlanif 15的接口IP地址
-在SW5中配置默认路由,下一跳指向出口设备R1,实现将企业内网数据转发给出口设备
-在SW6中创建vlan16,并将g0/0/7接口加入vlan16
-在SW6中配置vlanif 16的接口IP地址
-在SW6中配置默认路由,下一跳指向出口设备R1,实现将企业内网数据转发给出口设备
-在R1配置去往vlan10/vlan20/vlan30网段的回程路由,下一跳分别指SW5和SW6
第三步:R1配置默认路由和NAT
-R1配置默认路由,下一跳指向公网网关
-R1配置NAT地址池
-R1配置ACL,定义允许那些内网网段访问外网
-R1在出接口g0/0/2中配置地址池NAT
第四步:测试与验证
第五步:扩展:配置上行链路跟踪
配置命令
第一步:配置R1/R2和 server1 、client1的接口地址
R1配置:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.15.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.16.1 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 100.1.1.1 29
R2配置:
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 100.1.1.2 29
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 200.1.1.254 24
第二步:SW5/SW6和R1互联互通
R1配置:做浮动路由,做浮动路由,做浮动路由
[R1]ip route-static 192.168.10.0 24 192.168.15.5
[R1]ip route-static 192.168.10.0 24 192.168.16.6 preference 70
[R1]ip route-static 192.168.20.0 24 192.168.15.5
[R1]ip route-static 192.168.20.0 24 192.168.16.6 preference 70
[R1]ip route-static 192.168.30.0 24 192.168.15.5 preference 70
[R1]ip route-static 192.168.30.0 24 192.168.16.6
SW5配置:
[SW5]vlan 15
[SW5-vlan15]quit
[SW5]int g0/0/7
[SW5-G0/0/7]port link-type access
[SW5-G0/0/7]port default vlan 15
[SW5-G0/0/7]quit
[SW5]int vlanif 15
[SW5-vlanif15]ip address 192.168.15.5 24
[SW5-vlanif15]quit
[SW5]ip route-static 0.0.0.0 0 192.168.15.1
SW6配置:
[SW6]vlan 16
[SW6-vlan16]quit
[SW6]int g0/0/7
[SW6-G0/0/7]port link-type access
[SW6-G0/0/7]port default vlan 16
[SW6-G0/0/7]quit
[SW6]int vlanif 16
[SW6-Vlanif16]ip address 192.168.16.6 24
[SW6-Vlanif16]quit
[SW6]ip route-static 0.0.0.0 0 192.168.16.1
第三步:配置默认路由和地址池NAT
[R1]ip route-static 0.0.0.0 0 100.1.1.2 //配置默认路由
[R1]nat address-group 1 100.1.1.3 100.1.1.5 //创建nat地址池
[R1]acl 2000 //创建基本acl 2000
[R1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255 //定义规则
[R1-acl-basic-2000]rule 20 permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000]rule 30 permit source 192.168.30.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]int g0/0/2
[R1-G0/0/2]nat outbound 2000 address-group 1 //配置napt
第四步:验证测试:
vlan10的PC1: ping 200.1.1.1
tracert 200.1.1.1 --->走sw5(192.168.10.251)
Vlan20的PC2: ping 200.1.1.1
tracert 200.1.1.1 --->走sw5(192.168.20.251)
Vlan30的PC3: ping 200.1.1.1
tracert 200.1.1.1 --->走sw6(192.168.30.252)
第五步:扩展需求:配置上行链路跟踪
[SW5]int vlanif 10
[SW5-Vlanif10]vrrp vrid 10 track int g0/0/7 reduced 50
[SW5-Vlanif10]int vlanif 20
[SW5-Vlanif20]vrrp vrid 20 track int g0/0/7 reduced 50
[SW6]int vlanif 30
[SW6-Vlanif30]vrrp vrid 30 track int g0/0/7 reduced 50
扩展知识-仅供参考(建议练习一下)
拓扑
需求
1)SW1中连接PC5/PC6/PC7
2)让PC5/PC6/PC7通过dhcp服务器获取IP地址
配置
1、配置:
1)让PC5/PC6/PC7连接SW1的g0/0/4、g0/0/5、g0/0/6
2)将g0/0/4 g0/0/5 g0/0/6 加入vlan10
[SW1]port-group group-member g0/0/4 g0/0/6
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 10
2、验证:
1)测试PC1 PC5 PC6 PC7
2)结果:
PC1 获取到:192.168.10.253/24
PC5 PC6 无法获取到IP地址
PC7 获取到:192.168.10.250/24
3、存在的问题:
1)发现SW1中PC1能够通过DHCP获取IP地址:192.168.10.253/24
2)但是PC5/PC6无法获取IP地址,神奇的是PC7却可以获取IP地址
3)为什么PC5/PC6不能获取IP地址? 原因是什么?
是PC5/6的请求报文,DHCP服务器没有收到,还是DHCP服务器没有给PC5/6分发IP地址?
4、检查问题:
<R3-DHCP>display ip pool name vlan10 used
Pool-name : vlan10
Network section :
--------------------------------------------------------------------------
IP MAC Lease Status
--------------------------------------------------------------------------
192.168.10.250 5489-9841-5d69 PC7 117 Used
192.168.10.251 5489-98da-1089 PC6 140 Used
192.168.10.252 5489-986d-7578 PC5 162 Used
192.168.10.253 5489-98ec-4b9c PC1 218 Used
发现问题: DHCP服务器已经给PC5/PC6分发了IP地址了
给PC5分发的IP地址:192.168.10.251
给PC6分发的IP地址:192.178.10.252
但是PC5/6 无法拿到这个IP地址,因为什么?
因为192.168.10.251 和192.168.10.252这两个IP地址是不是很眼熟
SW5中,vlanif10:192.168.10.251 (VRRP中vlan10的主网关地址)
SW6中,vlanif20:192.168.10.252 (VRRP中vlan10的备份网关地址)
所以这两个IP地址,本来就是DHCP中继设备SW5/SW6的IP地址
所以PC5/PC6根本无法获取到这两个IP地址
而且这两个地址非常重要,也不应该分配给PC使用
所以如何解决这个问题,如何让PC5/PC6顺利获取IP地址呢?
5、解决方案:解决方法有两种:
1)第一种解决方案:
这两个IP地址是非常重要主网关和备份网关地址,是不可以分发给PC使用的
所以,我们就让DHCP服务器排除这两个IP地址,不做分发
6、第一种解决方案配置命令:
1)先重置DHCP地址池
< R3-DHCP > reset ip pool name vlan10 all // 在用户视图下 ,重置IP地址池
Are you sure to continue?[Y/N]: y //输入y
2)在IP地址池vlan10中设置排除地址,排除192.168.10.251-192.168.10.252
[R3-DHCP-ip-pool-vlan10]excluded-ip-address 192.168.10.251 192.168.10.252
//设置排除地址,排除10.251和20.252 不做DHCP分发
3) 验证结果:
PC1:先关闭PC的DHCP,在重新打开DHCP,点击应用
然后使用ipconfig /release 先释放IP地址
再使用 ipconfig /renew 更新IP地址
PC5:先关闭PC的DHCP,在重新打开DHCP,点击应用
然后使用 ipconfig /release 先释放IP地,在重新获取IP地址
再使用 ipconfig /renew 更新IP地址
PC6:先关闭PC的DHCP,在重新打开DHCP,点击应用
然后使用ipconfig /release 先释放IP地址
再使用 ipconfig /renew 更新IP地址
PC7:先关闭PC的DHCP,在重新打开DHCP,点击应用
然后使用 ipconfig /release 先释放IP地,在重新获取IP地址
再使用 ipconfig /renew 更新IP地址
备注:如果获取不到IP地址,可以把这个PC删除,重新拖出新的PC测试 (模拟器不稳定导致)
4)在DHCP服务器中验证结果
[R3-DHCP] display ip pool name vlan10 used
Pool-name : vlan10
Network section :
--------------------------------------------------------------------------
IP MAC Lease Status
--------------------------------------------------------------------------
192.168.10.248 5489-9841-5d69 PC7 284 Used
192.168.10.249 5489-98da-1089 PC6 467 Used
192.168.10.250 5489-986d-7578 PC5 433 Used
192.168.10.253 5489-98ec-4b9c PC1 339 Used
经过验证:我们发现,PC5/PC6已经可以获取到IP地址了
7、第二种解决方案:
在dhcp服务器开启:dhcp server ping 功能
为防止IP地址重复分配导致地址冲突,DHCP Server为客户端分配地址前,
需要先执行dhcp server ping命令发送Ping报文探测IP地址的使用情况,
如果在发送了规定的多个ping报文后,在规定的响应的时间内没有得到应答,
则认为本网段内没有设备使用该IP地址,该地址可以分配给该客户端使用
地址探测确保客户端被分得的IP地址是唯一的。
1)第二种解决方案配置:
第一步:先把PC1/PC5/PC6/PC7的DHCP功能关闭
第二步:在DHCP服务器中,将IP地址池vlan10 重置
< R3-DHCP > reset ip pool name vlan10 all // 在用户视图下重置DHCP地址池
第三步:在DHCP服务器中,进入IP地址池vlan10,把排除地址配置删除
[R3-DHCP]ip pool vlan10
[R3-DHCP-ip-pool-vlan10] undo excluded-ip-address 192.168.10.251 192.168.10.252
//删除排除IP地址的命令,恢复默认状态
第四步:配置DHCP server ping 功能
[R3-DHCP]dhcp server ping packet 3
//开启dhcp server ping 探测,每次发3个探测包
[R3-DHCP]dhcp server ping timeout 200
//每发送一个dhcp server ping 探测包,等到回应的时间是200毫秒
备注:如果发了3个ping包,每个ping包等到了200毫秒,都没有回应
DHCP服务器就认为本网段中没有设备使用该IP地址,该IP地址是可以分发给客户端主机的
2)验证结果:
先在DHCP服务器中,重置IP地址池
<R3-DHCP>reset ip pool name vlan10 all //在用户视图下重置DHCP地址池
PC1:关闭DHCP,在重新打开DHCP,点击应用
然后使用ipconfig /release 先释放IP地址
再使用 ipconfig /renew 更新IP地址
PC5:关闭DHCP,在重新打开DHCP,点击应用
然后使用 ipconfig /release 先释放IP地,在重新获取IP地址
再使用 ipconfig /renew 更新IP地址 (模拟器原因:要等待时间,反复多试几次)
PC6:关闭DHCP,在重新打开DHCP,点击应用
然后使用ipconfig /release 先释放IP地址
再使用 ipconfig /renew 更新IP地址 (模拟器原因:要等待时间,反复多试几次)
PC7:关闭DHCP,在重新打开DHCP,点击应用
然后使用 ipconfig /release 先释放IP地,在重新获取IP地址
再使用 ipconfig /renew 更新IP地址 (模拟器原因:要等待时间,反复多试几次)
备注:如果获取不到IP地址,可以把这个PC删除,重新拖出新的PC测试(模拟器不稳定导致)
3)在DHCP服务器中验证结果
[R3-DHCP]display ip pool name vlan10 used
Pool-name : vlan10
Network section :
--------------------------------------------------------------------------
IP MAC Lease Status
--------------------------------------------------------------------------
192.168.10.247 5489-9841-5d69 PC7 284 Used
192.168.10.248 5489-98da-1089 PC6 467 Used
192.168.10.249 5489-986d-7578 PC5 433 Used
192.168.10.253 5489-98ec-4b9c PC1 339 Used
经过验证:我们发现,PC5/PC6已经可以获取到IP地址了
参考信息:
恢复环境: 1)你要保存配置 2)你要导出配置文件 display cur //查看当前运行的所有配置 使用快捷键: ctrl+c 复制, 在win10打开文本文件,ctrl +v 粘贴 3)如果都没有做,你这个拓扑图,应该保存来,你参照笔记,把命令输入进去 4)如果我保存了,我有设备起不来(核心设备起不来) 如何处理: 删掉那台设备,换一台新的设备,把保存的配置文件复制进去,或者手动配置都可以 5)如果设备都起来来,配置都恢复来,怎么验证配置是正确的呢? 验证配置 第一步:检查vrrp 在SW5-hx1 中 display vrrp brief //查看vrrp--SW5是10-20的master 在SW6-hx2 中 display vrrp brief //查看vrrp--SW6是30的master 第二步:检查mstp 在SW5-hx1 中 display stp instance 10 //查看mstp--SW5是10的主根 在SW5-hx1 中 display stp instance 20 //查看mstp--SW5是20的主根 在SW5-hx1 中 display stp instance 0 //查看mstp--SW5是20的主根 在SW6-hx2 中 display stp instance 30 //查看mstp--SW6是30的主根 第三步:检查dhcp 在PC中查看是否能够获取IP地址 ipconfig /release //释放原有IP地址 ipconfig /renew //更新IP地址 如果得不到地址怎么办? PC ping 网关: PC1 ping 192.168.10.251 (中继) ping 192.168.10.254 网关 在使用SW5 ping -a 192.168.10.251 192.168.50.1(dhcp) 三个PC都这样测试 如果网络都通,就是拿不到IP地址,那么去dhcp 上查看,是不是没有分发地址, 在dhcp 服务器中 , display ip pool name vlan10 used display ip pool name vlan20 used display ip pool name vlan30 used 还可以检查生产树 检查SW1 SW2 SW3 display cur //查看mstp vlan trunk access 配置是否都在 在SW1中 display stp instance 10 brief 连接你的主根sw5的g0/0/2 应该是RP-根端口 连接你的备根sw6的g0/0/3 应该是AP-替代接口(阻塞状态) 在SW2中 display stp instance 20 brief 连接你的主根sw5的g0/0/2 应该是RP-根端口 连接你的备根sw6的g0/0/3 应该是AP-替代接口(阻塞状态) 在SW3中 display stp instance 30 brief 连接你的主根sw5的g0/0/2 应该是AP-替代接口(阻塞状态) 连接你的备根sw6的g0/0/3 应该是RP-根接口 如果PC到中继和网关-网络通 中继网关到--dhcp 也通,如果stp也没问题, 接入层交换机也没有问题,dhcp也没问题 还是拿不到IP地址,你可以抓包,看看PC发出的dhcp报文 是在哪里丢失的, 有可能是环境的问题,是模拟器的问题 那个设备不发包,你就把那个设备重启,或者替换即可 第四步:检查nat 1) 现在R1中去查看配置 display cur -检查nat地址池 -检查acl在不在 -检查R1的出接口有没有配置nat -检查R1有没有配置默认路由 -检查R1接口IP地址,以及掩码 2)检查SW5和SW6 -SW5要创建vlan15 配置IP地址 -SW5的g0/0/7口要 加入vlan15 -SW5要配置默认路由 -SW6要创建vlan16 配置IP地址 -SW6的g0/0/7口要 加入vlan16 -SW6要配置默认路由 PC1 ping 200.1.1.10 PC1 tracert 200.1.1.10 PC2 ping 200.1.1.10 PC2 tracert 200.1.1.10 PC3 ping 200.1.1.10 PC3 tracert 200.1.1.10
扩展知识: 外网访问内网:
在R1中做完NAT-Server ,发现不可用,是为什么呢?
[R1]int g0/0/2
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 80 inside 192.168.10.100 80 //映射80端口
[R1-G0/0/2]nat server protocol icmp global 100.1.1.6 inside 192.168.10.100 //映射icmp
原因是什么?
易错点解析
公网主机通过公网地址去访问内网服务器的时候
R1 去查找路由表有两条去往192.168.10.100 的是等价路由,有两个吓一跳
--所以R1收到数据包,查nat-server表进行转换,把目的地址100.1.1.6 ===192.168.10.100
R1清楚,去往192.168.10.100 有等级路由,有两个吓一跳,根本不会进行nat-server 转换
华为的路由器将不在nat-server 地址转换,为什么?
因为华为的nat-server 会话表 要求 路径对称 (仅仅是nat-server会话表有这个要求, 内网访问外围的nat会话表没有这个要求)
什么是路径对称:
就是:流量出去的时候走的那条路,流量回来的时候要求路径一致
华为的路由器有这种要求,但是华为的防火墙并不要求路径对称
如果解决:
1)要么删掉等价路由,写浮动路由
2)要么写明细路由
在R1中,添加一条明细路由即可 :
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.2
ip route-static 192.168.0.0 255.255.0.0 192.168.15.5
ip route-static 192.168.0.0 255.255.0.0 192.168.16.6
ip route-static 192.168.10.0 255.255.255.0 192.168.15.5 //添加一条明细路由
4906
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
