实验名称:园区网络的搭建
实验拓扑:
实验要求:
1、相同VLAN的设备之间要互通,不同VLAN之间的设备要互通;
2、×××背景区域的网络为内网,绿色背景区域的网络为外网; 外网访问内网使用HSRP配置,内网访问外网使用浮动静态路由; 3、各个VALN的划分请参照图中所示,各个VLAN使用的地址段为:192.168.*.0/24,其中的*号为VLAN号码; 4、各个VLAN的网关地址配置为192.168.*.254/24,如果是使用HSRP,网关配置为192.168.*250; 5、各个VLAN的根交换机配置要求: (1)SW1:VLAN/10/20/30的根; (2)SW2:VLAN40/50/60的根; 6、各个VLAN的网关配置: (1)SW1:VLAN10/20的网关; (2)SW2:VLAN60的网关; (3)SW3:VLAN30/40的网关; (4)SW4:VLAN50的网关。 7、相邻交换机之间有两条链路的配制成以太网通道。 8.dhcp分配IP地址实验拓扑如下:
配置思路:
1.IP规划:
各个VLAN使用的地址段为:192.168.*.0/24
各个VLAN的网关地址配置为192.168.*.254/24
注意:
(1)ip地址为32位,可以用二进制,点分十进制表示
(2)子网掩码用来确定ip的网络位与主机位。二进制,点分十进制,/n 表示
在ip地址中,与子网掩码1所对应的位,称为网络位。
与子网掩码0所对应的位,称为主机位
(3)ip地址与子网掩码成对出现,且一一对应。子网掩码左边全1,右边全0,1和0不能交叉出现
(4)ip地址中,主机位全为0,称为网络地址(网段)
ip地址中,主机位全为1,称为广播地址;表示一个区域中的所有设备。
网络地址与广播地址都不可配置在端口上
------------------------------------------------------交换部分----------------------------------------------------------------------------
2.交换部分: 交换----->相同网段之间的主机通信
交换机的认识:
中继器 :放大电信号,延长信息的传输距离,但连接设备少
集线器 :多端口的中继器,但是在电信号(高低电压)传播过程中容易耦合,形成冲突
网桥 :把电信号转化成数据包,隔绝冲突,但是连接设备少
交换机 :多端口的网桥,隔绝冲突域,但是无法隔离广播域
Vlan(虚拟局域网)概念简述
交换机可以隔绝冲突域,但是无法隔离广播域;
这时引入Vlan(虚拟局域网)来隔离广播域。而且在同一个Vlan中的设备不受物理位置限制。
交换机的工作过程(原理):
(1)成表:当交换机在端口上收到数据包时(无故arp),首先判定端口属于的Vlan号,其次查看数据包的源mac地址,形成Vlan id---mac地址--port的对应关系
(2)查表:当交换机收到数据包后,首先查找端口所属的Vlan号,其次在属于该Vlan号的mac地址表中查找目标MAC地址。如果查到,则发送;如果查不到,则向属于该Vlan的其他端口及Trunk端口进行广播(除入端口)。
(1)基础网络设备配置:
switch#conf t //进入全局配置模式
switch(config)#line console 0 //进入console 口进行基础配置
switch(config)#exec-timeout 0 0 //超时时间0分0秒(永不超时,真机不建议用)
switch(config)#no ip domian lookup //关闭域名查询功能
switch(config)#hostname sw1 //改名为sw1
sw1(config)#
(2)划分Vlan
sw(config)# vlan 10/20/30/40/50/60 (每个交换机都需要做)
交换网络中数据流所经过的每一个交换机,必须拥有相同的Vlan数据库
(3)端口加入Vlan中
sw1(config)# interface f0/1 //进入端口模式
sw1(config-if)# switchport mode access //端口设置为access访问模式 sw1(config-if)# switchort access vlan 10 //端口加入到Vlan 10 中
验证:sw# show vlan brief
(4)交换机之间级联链路均采用Trunk模式
交换机级联链路:最终两种模式(1)access
(2)trunk
access 类型链路,只能属于一个Vlan,通常使用access接口连接的是非交换机。如pc/路由器
配置方法:
sw(config)# inter f0/1
sw(config-if)# switchport mode access //设置access(访问)模式
sw(config-if)# swicthport access vlan 1 //把端口加入到Vlan 1 中
trunk 类型链路,同时承载多个流量,每个Vlan流量,都会打上相应的Vlan标签
trunk 连接的是交换机
配置方法:
二层交换机:设置Trunk,默认不需要封装
sw1(config)# interface f0/15
sw1(config-if)# switchport mode Trunk //端口设置为Trunk 模式三层交换机:设置Trunk,需要进行封装,再进行Trunk。 封装协议:公有协议 802.1qsw2(config)# interface f0/10
sw2(config-if)# switchport trunk encapsulation dot1q //进行封装
sw2(config-if)# switchport mode trunk // 设置Trunk
(5)以太通道(端口捆绑)
相邻交换机之间有两条链路的配制成以太网通道
此时这两条链路并不是进行备份,而是捆绑在一块,提高带宽
sw3(config)# interface range f0/19, f0/21
sw3(config-if-range)# channel-group 5 mode on //端口捆绑(5为组号,数字可变,两面
可相同也可不同)
sw3(config)# interface port-channel 5 //进入5号组端口
sw3(config-if)# switchport trunk encapsulation dot1q //进行封装
sw3(config-if)# switchport mode trunk // 设置Trunk
验证命令:show interface trunk
show interface f0/1 switchport //查看端口状态
(6)STP--生成树
各个VLAN的根交换机配置要求:
(1)SW1:VLAN/10/20/30的根; (2)SW2:VLAN40/50/60的根;sw1(config)# spanning-tree vlan 10 priority 4096 //设置SW1上Vlan10/20/30 的优先级为4096
sw1(config)# spanning-tree vlan 20 priority 4096
sw1(config)# spanning-tree vlan 30 priority 4096
sw2(config)# spanning-tree vlan 40 priority 4096 //设置SW2上Vlan40/50/60 的优先级为4096
sw2(config)# spanning-tree vlan 50 priority 4096
sw2(config)# spanning-tree vlan 60 priority 4096
验证命令: show spanning-tree
注意:通过BID(桥ID)来确定交换机谁是根交换机和非根交换机
B--->优先级 默认32768 越小越好,但都是4096的倍数
ID--->交换机主板的MAC地址(称为基MAC),越小越好
---------------------------------------------------网络部分(内网)-----------------------------------------------------
3.网络部分
网关认识:(从一个网络到另一个网络的端口)
(1)是一个接口级别的概念,而不是设备级别的概念
(2)是以IP地址的形式体现和配置的
(3)对于源主机而言,去往另一个网段的时候才会用到网关
(4)网关ip地址所在端口的所属设备,必须具有连接不同网段的功能,即路由功能
路由认识:
路由---->不同网段之间的主机通信
本质:路由表
工作原理: (1)路由器只关心数据中的“目标IP地址“
(2)路由器提取“目标IP地址”与路由表中的条目进行匹配
匹配成功,则转发
匹配失败,则丢弃
(3)匹配原则: 最长匹配原则
(1)网关配置
各个VLAN的网关配置:
(1)SW1:VLAN10/20的网关; (2)SW2:VLAN60的网关; (3)SW3:VLAN30/40的网关; (4)SW4:VLAN50的网关。sw1(config)# interface vlan 10 //进入Vlan10
sw1(config-if)# no shutdown //打开端口
sw1(config-if)# ip address 192.168.10.254 255.255.255.0 //配置IP 地址
验证命令:show ip interface brief
(2)配置DHCP服务器 ( C/S dhcp客户端/dhcp服务器)
DHCP工作原理:
dhcp客户端发去dhcp-discover报文,dhcp服务器收到后回给客户端offer报文
dhcp客户端再次发出request请求报文,dhcp服务器收到后回复 ACK 报文
均是广播方式
Router(config)# hostname dhcp-server //改名为dhcp-server
dhcp-server(config)# interface gi0/0
dhcp-server(config-if)# no shutdown
dhcp-server(config-if)# ip address 192.168.60.1 255.255.255.0 //配置dhcp服务器地址
dhcp-server(config)# ip dhcp excluded-address 192.168.10.254 //排除掉已经用的IP地址,
不让这个地址在进行分配。
注意:ip dhcp excluded-address 192.168.10.250 192.168.10.254 排除掉250-254这一段的地址
dhcp-server(config)# service dhcp //开启dhcp服务器
dhcp-server(config)# ip dhcp pool a1 //建立地址池a1
dhcp-server(dhcp-config)# network 192.168.10.0 255.255.255.0 //配置地址池的网段
dhcp-server(dhcp-config)# default-router 192.168.10.254 // 配置地址池网段的网关
dhcp-server(dhcp-config)# dns-server 1.1.1.1 //配置域名地址
注意:
在同一网段里,使用dhcp-server服务器或者使用多层交换机作为dhcp服务器时,不需要给dhcp服务器配置网关
在不同网段,采用dhcp服务器自动获取地址时,需要使用dhcp中继,在使用dhcp-server服务器或者多层交换机作为dhcp服务器时,需要给dhcp服务器配置网关
dhcp中继:
dhcp客户端与dhcp服务器不在一个网段时,需要采用dhcp中继来自动获得ip地址及网关等信息
是把广播包转换成单播发送给dhcp服务器地址
dhcp中继命令需配置在dhcp客户端所在网段的网关端口上。
sw4(config)# inter vlan 10 //进入vlan 10 此时vlan10 为10.0网段的网关
sw4(config)# service dhcp // 作为DHCP中继,必须要开启DHCP;
sw4(config-if)# ip helper-address 192.168.60.1 //此时该网关端口接收到 DHCP discover 报文以后,会将广播报文,以单播的方式 发送到该 DHCP 服务器 - 192.168.60.1;
当 DHCP 服务器上具有多个 DHCP 地址池时, 服务器是通过 DHCP 报文 中的源IP地址来进行地址池区分的; 在 DHCP relay 环境中,本质上就是根据每个部门的网关IP地址 来决定的;
(3)路由配置
采用rip(路由信息协议RIP)动态获得路由条目, UDP 520 --->rip
使用rip协议,两个路由器(多层交换机)之间要有互联网段,否则使用rip无效
所以在sw1/sw2中建立交换虚拟端口(SVI)Vlan 12 地址分别为192.168.12.1/24 192.168.12.2/24
形成sw1-->sw2 互联
所以在sw3/sw2中建立交换虚拟端口(SVI)Vlan 13 地址分别为192.168.13.1/24 192.168.13.2/24
形成sw3-->sw2 互联
所以在sw4/sw2中建立交换虚拟端口(SVI)Vlan 14地址分别为192.168.14.1/24 192.168.14.2/24
形成sw4-->sw2 互联
再启用rip协议
在三层交换机上需开启路由功能
sw4(config)# ip routing //开启路由功能
sw4(config)# router rip //启用rip协议
sw4(config-router)# version 2 //选择版本2
sw4(config-router)# no auto-summary //关闭自动汇总
sw4(config-router)# network 192.168.10.0 //宣告直连网段
sw4(config-router)# network 192.168.12.0
sw4(config-router)# network 192.168.20.0
验证命令: show ip route
show ip protocols //查看当前交换机上的协议
----------------------------------------------------------------------------------------------------------------------------------------------
做完这些,给PC机静态ip地址及网关,可以实现内网中不同网段之间的通信,
再做dhcp客户端,采用动态主机配置协议,发现不能获得正确ip地址!!
经排错发现pc机能ping到Vlan 60的网关,Vlan 60的网关也能ping到dhcp服务器的地址60.1,pc机确ping不到dhcp服务器的地址60.1,三层不同看路由,所以是路由层面的问题。
解决方案:ping 过程是发包-->收包过程(icmp协议),查看pc1的网关路由表条目,有到60 的条目,所以发包过程是有的;再看dhcp服务器上,发现没有返回的路由,造成无法正常回包,也就无法正常获得ip地址。(由于使用路由器作为dhcp服务器,所以还需要有回包的路由条目)
dhcp-server(config)# router rip
dhcp-server(config-router)# version 2
dhcp-server(config-router)# no auto-summary
dhcp-server(config-router)# network 192.168.60.0
----->dhcp服务器要回包,需具有vlan 10-40的路由条目,可以采用上面的rip来动态学习,
也可采用静态默认路由方法:
dhcp-server(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2 (下一跳sw2 vlan 12地址)// 设置静态路由
做完这些
内网里主机能够自动获得地址,也能互通。
验证命令: show ip dhcp binding //查看dhcp自动分配的地址
-------------------------------------------------网络部分(边界)------------------------------------------------------------------------
sw1 和sw2连接边界路由器(网关)
设置sw1 sw2 与路由器连的网段的地址
sw1与sw2 的f0/1,f0/2是交换机端口,但是三层交换机也具有路由更能,所以需要端×××换功能关掉
sw1(config)#inter fas0/1
sw1(config-if)# no switchport //关闭交换功能
sw1(config-if)# ip add 192.168.100.1 255.255.255.0
sw1(config-if)# no shutdown
sw2(config)#inter fas0/2
sw2(config-if)# no switchport
sw2(config-if)# ip add 192.168.200.1 255.255.255.0
sw2(config-if)# no shutdown
配置边界路由器:
GW1(config)# inter gi0/0
GW1(config-if)# ip address 192.168.100.2 255.255.255.0
GW1(config-if)# no shutdown
GW1(config)# inter gi0/1
GW1(config-if)# ip address 192.168.200.2 255.255.255.0
GW1(config-if)# no shutdown
GW1(config)# inter gi0/2
GW1(config-if)# ip address 12.1.1.1 255.255.255.0 //这个端口配置公网地址
GW1(config-if)# no shutdown
配置外网路由器
GW2(config)# inter gi0/0
GW2(config-if)# ip address 12.1.1.2 255.255.255.0
GW2(config-if)# no shutdown
因为要访问外网,内网及边界路由器上需要有去外网的所有路由条目,所以在边界路由器上采用默认路由设置或者rip协议
GW1(config)# ip route 0.0.0.0 0.0.0.0 12.1.1.2 //设置去外网静态默认路由
再采用rip
GW1(config)# route rip
GW1(config-router)# version 2 //选择版本2
GW1(config-router)# no auto-summary //关闭自动汇总
GW1(config-router)# network 192.168.100.0
GW1(config-router)# network 192.168.200.0
GW1(config-router)# redistribute static //重分发(把静态默认路由宣告出去)
注意:这是不能宣告GW1上12.1.1.0/24 网段,因为内网中是私有地址,外网路由条目中不能添加私有地址条目。
这时用内网的主机可以ping到边界路由器GW1 gi0/0端口(12.1.1.1)
因为内网最终要访问外网,在保证内网全通的状态下,外网的路由器上也需要有去往内网的路由条目,但是,外网使用的是公有地址,路由器条目中不能添加内网的私有地址,此时,需要采用 NAT(网络地址转化控制),把私网源地址转换成公网地址,进行与外网的通信。(使用在边界网关路由器上)注意:NAT 静态配置
确定网络边界:
interface gi0/0
ip nat inside //属于内网 interface gi0/1 ip nat inside // 属于内网 interface gi0/2 ip nat outside //属于外网
GW(config)# ip nat inside static 192.168.1.1 0.0.0.255 12.1.1.1 0.0.0.0 //把私有地址转换
成公有地址
验证:show ip nat translation //查看nat
但是在内网内有很多地址,如果使用nat 则需要大量的公有地址来对应。基于此,采用 PAT。
PAT:Port-nat
使用端口号来对应私有地址。端口号有65536个(2^16)0-65535
配置方法:
(1)配置感兴趣流量
GW1(config)# ip access-list standard haha //创建标准策略 haha
GW1(config-std-nacl)#10(序列号) permit 192.168.0.0 0.0.255.255 (通配符) //允许192.168网
段的任何网络通过
(2)配置PAT命令
GW1(config)# ip nat inside source list haha interface gi0/2 //把策略中匹配成功的地址转化为gi0/2
口的公网地址
验证:show ip access-list //查看策略
show ip nat translation //查看nat
做完这些,内网的私有地址已经可以转化成公网地址与外网通信,这时候还需要配置外网设备,从而模拟互联网服务提供商,实现通信 。
---------------------------------------------------外网模拟互联网服务提供商(ISP)-----------------------------------------------
1、PC配置IP 100.10.10.1 /24 100.10.10.250 2、配置 PC 所在网络的 真实 网关 R2: interface gi0/1 no shutdown ip address 100.10.10.252 255.255.255.0 R3: interface gi0/1 no shutdown ip address 100.10.10.253 255.255.255.0 3、对 PC 的两个网关配置 HSRP //虚拟网关,实现网关备份 R2: (主网关) interface gi0/1 standby 100 ip 100.10.10.250 //设置虚拟网关为10.250 standby 100 priority 105 //设置优先级为105 standby 100 preempt //设置抢占权 standby 100 track interfce gi0/0 [50] //跟踪端口gi0/0,若端口挂调,优先级降50 R3: (备份网关) interface gi0/1 standby 100 ip 100.10.10.250 standby 100 preempt //设置抢占权 验证: show standby //查看虚拟网关及活跃状态4、在 ISP 的 3 个路由器上运行路由协议: GW2: interface gi0/1 no shutdown ip address 100.20.20.1 255.255.255.0 interface gi0/2 no shutdown ip address 100.30.30.1 255.255.255.0 router rip version 2 no auto-summary network 100.20.200network 100.30.30.0
redistribute connected //重分发直连网段
R2: interface gi0/0 no shutdown ip address 100.20.20.2 255.255.255.0 router rip version 2 no auto-summary network 100.10.10.0network 100.20.20.0
R3:
interface gi0/0 no shutdown ip address 100.30.30.3 255.255.255.0 router rip version 2 no auto-summary network 100.10.10.0network 100.30.30.0
做完这些,使用内网的pc机去ping外网pc,实现主机通信。