实验名称:园区网络的搭建

实验拓扑:

实验要求:

    1、相同VLAN的设备之间要互通,不同VLAN之间的设备要互通;

    2、×××背景区域的网络为内网,绿色背景区域的网络为外网;
       外网访问内网使用HSRP配置,内网访问外网使用浮动静态路由;
    3、各个VALN的划分请参照图中所示,各个VLAN使用的地址段为:192.168.*.0/24,其中的*号为VLAN号码;
    4、各个VLAN的网关地址配置为192.168.*.254/24,如果是使用HSRP,网关配置为192.168.*250;
    5、各个VLAN的根交换机配置要求:
        (1)SW1:VLAN/10/20/30的根;
        (2)SW2:VLAN40/50/60的根;
    6、各个VLAN的网关配置:
        (1)SW1:VLAN10/20的网关;
        (2)SW2:VLAN60的网关;
        (3)SW3:VLAN30/40的网关;
        (4)SW4:VLAN50的网关。
    7、相邻交换机之间有两条链路的配制成以太网通道。
    8.dhcp分配IP地址

实验拓扑如下:

配置思路:

      1.IP规划:

       各个VLAN使用的地址段为:192.168.*.0/24

       各个VLAN的网关地址配置为192.168.*.254/24

注意:

(1)ip地址为32位,可以用二进制,点分十进制表示

(2)子网掩码用来确定ip的网络位与主机位。二进制,点分十进制,/n 表示

      在ip地址中,与子网掩码1所对应的位,称为网络位。

                  与子网掩码0所对应的位,称为主机位

(3)ip地址与子网掩码成对出现,且一一对应。子网掩码左边全1,右边全0,1和0不能交叉出现

(4)ip地址中,主机位全为0,称为网络地址(网段)

     ip地址中,主机位全为1,称为广播地址;表示一个区域中的所有设备。

      网络地址与广播地址都不可配置在端口上

------------------------------------------------------交换部分----------------------------------------------------------------------------

      2.交换部分: 交换----->相同网段之间的主机通信

交换机的认识:

中继器 :放大电信号,延长信息的传输距离,但连接设备少 

集线器 :多端口的中继器,但是在电信号(高低电压)传播过程中容易耦合,形成冲突

网桥   :把电信号转化成数据包,隔绝冲突,但是连接设备少

交换机 :多端口的网桥,隔绝冲突域,但是无法隔离广播域

Vlan(虚拟局域网)概念简述

交换机可以隔绝冲突域,但是无法隔离广播域;

这时引入Vlan(虚拟局域网)来隔离广播域。而且在同一个Vlan中的设备不受物理位置限制。

交换机的工作过程(原理):

(1)成表:当交换机在端口上收到数据包时(无故arp),首先判定端口属于的Vlan号,其次查看数据包的源mac地址,形成Vlan id---mac地址--port的对应关系

(2)查表:当交换机收到数据包后,首先查找端口所属的Vlan号,其次在属于该Vlan号的mac地址表中查找目标MAC地址。如果查到,则发送;如果查不到,则向属于该Vlan的其他端口及Trunk端口进行广播(除入端口)。

        (1)基础网络设备配置:

      switch#conf t                       //进入全局配置模式

      switch(config)#line console 0           //进入console 口进行基础配置

      switch(config)#exec-timeout 0 0      //超时时间0分0秒(永不超时,真机不建议用)

      switch(config)#no ip domian lookup     //关闭域名查询功能

      switch(config)#hostname sw1           //改名为sw1

      sw1(config)#

       

         (2)划分Vlan

           sw(config)# vlan 10/20/30/40/50/60   (每个交换机都需要做)

          交换网络中数据流所经过的每一个交换机,必须拥有相同的Vlan数据库

   

         (3)端口加入Vlan中

      sw1(config)# interface f0/1                  //进入端口模式

      sw1(config-if)# switchport mode access       //端口设置为access访问模式                      sw1(config-if)# switchort access vlan 10      //端口加入到Vlan 10 中

 验证:sw# show vlan brief

         (4)交换机之间级联链路均采用Trunk模式

交换机级联链路:最终两种模式(1)access

                            (2)trunk

access 类型链路,只能属于一个Vlan,通常使用access接口连接的是非交换机。如pc/路由器

配置方法:

          sw(config)# inter f0/1

          sw(config-if)# switchport mode access           //设置access(访问)模式

          sw(config-if)# swicthport access vlan 1          //把端口加入到Vlan 1 中

trunk 类型链路,同时承载多个流量,每个Vlan流量,都会打上相应的Vlan标签

trunk 连接的是交换机

配置方法:

二层交换机:设置Trunk,默认不需要封装

        sw1(config)# interface f0/15

        sw1(config-if)# switchport mode Trunk         //端口设置为Trunk 模式
三层交换机:设置Trunk,需要进行封装,再进行Trunk。 封装协议:公有协议 802.1q

        sw2(config)# interface f0/10

        sw2(config-if)# switchport trunk encapsulation dot1q      //进行封装

        sw2(config-if)# switchport mode trunk                 // 设置Trunk

           (5)以太通道(端口捆绑)

                相邻交换机之间有两条链路的配制成以太网通道

                此时这两条链路并不是进行备份,而是捆绑在一块,提高带宽

            sw3(config)# interface range f0/19, f0/21

            sw3(config-if-range)# channel-group 5 mode on   //端口捆绑(5为组号,数字可变,两面

                                                                           可相同也可不同)

            sw3(config)# interface port-channel 5            //进入5号组端口

            sw3(config-if)# switchport trunk encapsulation dot1q     //进行封装

            sw3(config-if)# switchport mode trunk                 // 设置Trunk

验证命令:show interface trunk

          show interface f0/1 switchport  //查看端口状态

              (6)STP--生成树

         各个VLAN的根交换机配置要求:

        (1)SW1:VLAN/10/20/30的根;
        (2)SW2:VLAN40/50/60的根;

      sw1(config)# spanning-tree vlan 10 priority 4096    //设置SW1上Vlan10/20/30 的优先级为4096

      sw1(config)# spanning-tree vlan 20 priority 4096

      sw1(config)# spanning-tree vlan 30 priority 4096

      sw2(config)# spanning-tree vlan 40 priority 4096    //设置SW2上Vlan40/50/60 的优先级为4096

      sw2(config)# spanning-tree vlan 50 priority 4096

      sw2(config)# spanning-tree vlan 60 priority 4096

验证命令: show spanning-tree

          

注意:通过BID(桥ID)来确定交换机谁是根交换机和非根交换机

    B--->优先级  默认32768   越小越好,但都是4096的倍数

    ID--->交换机主板的MAC地址(称为基MAC),越小越好

---------------------------------------------------网络部分(内网)-----------------------------------------------------

3.网络部分

网关认识:(从一个网络到另一个网络的端口)

(1)是一个接口级别的概念,而不是设备级别的概念

(2)是以IP地址的形式体现和配置的

(3)对于源主机而言,去往另一个网段的时候才会用到网关

(4)网关ip地址所在端口的所属设备,必须具有连接不同网段的功能,即路由功能

路由认识:

 路由---->不同网段之间的主机通信

本质:路由表

工作原理: (1)路由器只关心数据中的“目标IP地址“

           (2)路由器提取“目标IP地址”与路由表中的条目进行匹配

                    匹配成功,则转发

                    匹配失败,则丢弃

            (3)匹配原则: 最长匹配原则

(1)网关配置

         各个VLAN的网关配置:

        (1)SW1:VLAN10/20的网关;
        (2)SW2:VLAN60的网关;
        (3)SW3:VLAN30/40的网关;
        (4)SW4:VLAN50的网关。

        sw1(config)# interface vlan 10               //进入Vlan10

        sw1(config-if)# no shutdown                 //打开端口

        sw1(config-if)# ip address 192.168.10.254 255.255.255.0  //配置IP 地址

验证命令:show ip interface brief

(2)配置DHCP服务器     ( C/S  dhcp客户端/dhcp服务器)

DHCP工作原理:

dhcp客户端发去dhcp-discover报文,dhcp服务器收到后回给客户端offer报文

dhcp客户端再次发出request请求报文,dhcp服务器收到后回复 ACK 报文

均是广播方式

        Router(config)# hostname dhcp-server         //改名为dhcp-server

        dhcp-server(config)# interface gi0/0            

        dhcp-server(config-if)# no shutdown

        dhcp-server(config-if)# ip address 192.168.60.1 255.255.255.0   //配置dhcp服务器地址

        dhcp-server(config)# ip dhcp excluded-address 192.168.10.254  //排除掉已经用的IP地址,

                                                                   不让这个地址在进行分配。

注意:ip dhcp excluded-address 192.168.10.250 192.168.10.254 排除掉250-254这一段的地址

        dhcp-server(config)# service dhcp                     //开启dhcp服务器

        dhcp-server(config)# ip dhcp pool a1                  //建立地址池a1

        dhcp-server(dhcp-config)# network 192.168.10.0 255.255.255.0 //配置地址池的网段

        dhcp-server(dhcp-config)# default-router 192.168.10.254  // 配置地址池网段的网关

        dhcp-server(dhcp-config)# dns-server 1.1.1.1               //配置域名地址

注意:

在同一网段里,使用dhcp-server服务器或者使用多层交换机作为dhcp服务器时,不需要给dhcp服务器配置网关

在不同网段,采用dhcp服务器自动获取地址时,需要使用dhcp中继,在使用dhcp-server服务器或者多层交换机作为dhcp服务器时,需要给dhcp服务器配置网关

dhcp中继:

dhcp客户端与dhcp服务器不在一个网段时,需要采用dhcp中继来自动获得ip地址及网关等信息

是把广播包转换成单播发送给dhcp服务器地址

dhcp中继命令需配置在dhcp客户端所在网段的网关端口上。

        sw4(config)# inter vlan 10               //进入vlan 10  此时vlan10 为10.0网段的网关

        sw4(config)# service dhcp                 // 作为DHCP中继,必须要开启DHCP;

        sw4(config-if)# ip helper-address 192.168.60.1  //此时该网关端口接收到 DHCP  discover

                                                报文以后,会将广播报文,以单播的方式
                                                 发送到该 DHCP 服务器 - 192.168.60.1;

    当 DHCP 服务器上具有多个 DHCP 地址池时,

    服务器是通过 DHCP 报文 中的源IP地址来进行地址池区分的;
    在 DHCP relay 环境中,本质上就是根据每个部门的网关IP地址
    来决定的;

(3)路由配置

  采用rip(路由信息协议RIP)动态获得路由条目, UDP 520 --->rip

使用rip协议,两个路由器(多层交换机)之间要有互联网段,否则使用rip无效

所以在sw1/sw2中建立交换虚拟端口(SVI)Vlan 12 地址分别为192.168.12.1/24 192.168.12.2/24

形成sw1-->sw2 互联

所以在sw3/sw2中建立交换虚拟端口(SVI)Vlan 13 地址分别为192.168.13.1/24 192.168.13.2/24

形成sw3-->sw2 互联

所以在sw4/sw2中建立交换虚拟端口(SVI)Vlan 14地址分别为192.168.14.1/24 192.168.14.2/24

形成sw4-->sw2 互联

再启用rip协议

在三层交换机上需开启路由功能

        sw4(config)# ip routing       //开启路由功能

        sw4(config)# router rip               //启用rip协议

        sw4(config-router)# version 2             //选择版本2

        sw4(config-router)# no auto-summary       //关闭自动汇总

        sw4(config-router)# network 192.168.10.0   //宣告直连网段

        sw4(config-router)# network 192.168.12.0

        sw4(config-router)# network 192.168.20.0

验证命令: show ip route

           show ip protocols   //查看当前交换机上的协议

----------------------------------------------------------------------------------------------------------------------------------------------

做完这些,给PC机静态ip地址及网关,可以实现内网中不同网段之间的通信,

再做dhcp客户端,采用动态主机配置协议,发现不能获得正确ip地址!!

经排错发现pc机能ping到Vlan 60的网关,Vlan 60的网关也能ping到dhcp服务器的地址60.1,pc机确ping不到dhcp服务器的地址60.1,三层不同看路由,所以是路由层面的问题。

解决方案:ping 过程是发包-->收包过程(icmp协议),查看pc1的网关路由表条目,有到60 的条目,所以发包过程是有的;再看dhcp服务器上,发现没有返回的路由,造成无法正常回包,也就无法正常获得ip地址。(由于使用路由器作为dhcp服务器,所以还需要有回包的路由条目)

    dhcp-server(config)# router rip

    dhcp-server(config-router)# version 2

    dhcp-server(config-router)# no auto-summary

    dhcp-server(config-router)# network 192.168.60.0

----->dhcp服务器要回包,需具有vlan 10-40的路由条目,可以采用上面的rip来动态学习,

也可采用静态默认路由方法:

dhcp-server(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2 (下一跳sw2 vlan 12地址)// 设置静态路由

做完这些

内网里主机能够自动获得地址,也能互通。

验证命令: show ip dhcp binding  //查看dhcp自动分配的地址

-------------------------------------------------网络部分(边界)------------------------------------------------------------------------

 sw1 和sw2连接边界路由器(网关)

设置sw1 sw2 与路由器连的网段的地址

sw1与sw2 的f0/1,f0/2是交换机端口,但是三层交换机也具有路由更能,所以需要端×××换功能关掉

        sw1(config)#inter fas0/1

        sw1(config-if)# no switchport   //关闭交换功能

        sw1(config-if)# ip add 192.168.100.1 255.255.255.0

        sw1(config-if)# no shutdown

        sw2(config)#inter fas0/2

        sw2(config-if)# no switchport

        sw2(config-if)# ip add 192.168.200.1 255.255.255.0

        sw2(config-if)# no shutdown

配置边界路由器:

        GW1(config)# inter gi0/0

        GW1(config-if)# ip address 192.168.100.2 255.255.255.0

        GW1(config-if)# no shutdown

        GW1(config)# inter gi0/1

        GW1(config-if)# ip address 192.168.200.2 255.255.255.0

        GW1(config-if)# no shutdown

        GW1(config)# inter gi0/2

        GW1(config-if)# ip address 12.1.1.1 255.255.255.0   //这个端口配置公网地址

        GW1(config-if)# no shutdown

配置外网路由器

        GW2(config)# inter gi0/0

        GW2(config-if)# ip address 12.1.1.2 255.255.255.0

        GW2(config-if)# no shutdown

因为要访问外网,内网及边界路由器上需要有去外网的所有路由条目,所以在边界路由器上采用默认路由设置或者rip协议

        GW1(config)# ip route 0.0.0.0 0.0.0.0 12.1.1.2      //设置去外网静态默认路由

        再采用rip

        GW1(config)# route rip

        GW1(config-router)# version 2             //选择版本2

        GW1(config-router)# no auto-summary       //关闭自动汇总

        GW1(config-router)# network 192.168.100.0

        GW1(config-router)# network 192.168.200.0

        GW1(config-router)# redistribute static       //重分发(把静态默认路由宣告出去)

注意:这是不能宣告GW1上12.1.1.0/24 网段,因为内网中是私有地址,外网路由条目中不能添加私有地址条目。

这时用内网的主机可以ping到边界路由器GW1 gi0/0端口(12.1.1.1)

 因为内网最终要访问外网,在保证内网全通的状态下,外网的路由器上也需要有去往内网的路由条目,但是,外网使用的是公有地址,路由器条目中不能添加内网的私有地址,此时,需要采用 NAT(网络地址转化控制),把私网源地址转换成公网地址,进行与外网的通信。(使用在边界网关路由器上)

注意:NAT 静态配置

  1. 确定网络边界:

    interface gi0/0  

           ip nat inside    //属于内网
        interface gi0/1  
           ip nat inside   // 属于内网
        interface gi0/2  
           ip nat outside   //属于外网

  GW(config)# ip nat inside static 192.168.1.1 0.0.0.255 12.1.1.1 0.0.0.0 //把私有地址转换

                                                                              成公有地址

     验证:show ip nat translation   //查看nat

但是在内网内有很多地址,如果使用nat 则需要大量的公有地址来对应。基于此,采用 PAT。

PAT:Port-nat

使用端口号来对应私有地址。端口号有65536个(2^16)0-65535

配置方法:

(1)配置感兴趣流量

GW1(config)# ip access-list standard haha  //创建标准策略 haha

GW1(config-std-nacl)#10(序列号) permit 192.168.0.0 0.0.255.255 (通配符) //允许192.168网

                                                                          段的任何网络通过

(2)配置PAT命令

GW1(config)# ip nat inside source list haha interface gi0/2  //把策略中匹配成功的地址转化为gi0/2

                                                                             口的公网地址

   验证:show ip access-list      //查看策略

         show ip nat translation   //查看nat

做完这些,内网的私有地址已经可以转化成公网地址与外网通信,这时候还需要配置外网设备,从而模拟互联网服务提供商,实现通信 。

---------------------------------------------------外网模拟互联网服务提供商(ISP)-----------------------------------------------

    
1、PC配置IP
     100.10.10.1 /24
     100.10.10.250  
 
2、配置 PC 所在网络的 真实 网关
      R2:
        interface gi0/1  
         no shutdown  
         ip address 100.10.10.252 255.255.255.0  
      R3:
        interface gi0/1  
         no shutdown  
         ip address 100.10.10.253 255.255.255.0           
    
3、对 PC 的两个网关配置 HSRP     //虚拟网关,实现网关备份
      R2: (主网关)
        interface gi0/1  
          standby  100  ip  100.10.10.250   //设置虚拟网关为10.250
          standby  100  priority 105         //设置优先级为105
          standby  100  preempt            //设置抢占权
          standby  100  track interfce gi0/0 [50]    //跟踪端口gi0/0,若端口挂调,优先级降50
      R3: (备份网关)
        interface gi0/1  
          standby  100  ip  100.10.10.250  
          standby  100  preempt               //设置抢占权
       验证: show standby           //查看虚拟网关及活跃状态
4、在 ISP 的 3 个路由器上运行路由协议:
     GW2:
       interface gi0/1  
         no shutdown  
         ip address 100.20.20.1 255.255.255.0  
       interface gi0/2  
         no shutdown  
         ip address 100.30.30.1 255.255.255.0  
       router rip  
          version 2  
          no auto-summary
          network 100.20.200

          network 100.30.30.0       

          redistribute connected     //重分发直连网段

      R2:
         interface gi0/0  
           no shutdown  
           ip address 100.20.20.2 255.255.255.0  
         router rip  
           version 2  
           no auto-summary
           network 100.10.10.0

           network 100.20.20.0

      R3:

         interface gi0/0  
           no shutdown  
           ip address 100.30.30.3 255.255.255.0  
         router rip  
           version 2  
           no auto-summary
           network 100.10.10.0

           network 100.30.30.0 

做完这些,使用内网的pc机去ping外网pc,实现主机通信。