园区网络

1.设计思路:

1.1区分出二层三层 (哪些地方要用到二层技术,哪些地方要用到三层技术)

1.2二层技术(vlan vtp 端口聚合 stp )

1.3三层(dhcp(七层) *** ospf 默认路由 nat 端口映射(七层) )

1.4安全(acl 各种认证)

2.这个项目主要实现思路关键点之独孤九剑:

2.1Ip地址的规范

2.2接口对应表的整理

2.3主次关系的整理

2.4分清楚什么是二层技术什么是三层技术

2.5对于相同的预配置先在记事本写好,利用crt直接粘贴复制,这样节省时间和提高效率。

2.6几种交换协议的一句话理解:

Vtp 是用来简化vlan 的配置,思科专有。公有GVRP.
Vtp 配置方法:两台交换机之间用trunk 相连,配置服务端与客户端,配置相同的密码,
域名,版本。服务器配置版本高于客户机。
Stp pvst mst 生成树,快速生成树,多生成树。
生成树是用来防止二层环路,三层环路用路由协议来防环。原理是通过阻塞一条链路来防环。
Pvst 工程中主要用来对不同vlan 做冗余备份。
Mst 是pvst 的升级版,通过不同实例给vlan 做冗余备分。
HSRR VRRP GLBP 是用来给网关提供冗余备份。
通过使作几个不同的组达到给不同vlan 提供冗余备份作用。
Ospf rip eigrp 将不同的vlan 的子网消息宣告出去。
如果trunk 有两线,一定要放到二层组中。

3.实施步骤:

从二层到三层 从左到右 从右到左 自上而上 自下而上

① Ip地址的规范 配置 检查
② 配置直连路由 测试
③ 配置远程连接
④ 配置时间
⑤ 同步时区
⑥ 关闭日志等一系列系统初始化

3.1参考代码如下:

en
#clock set 8:00:00 28 june 2016 \记住这个在现实生活中非常重要因为很多时间不对的话查看日志信息可能会有问题
#conf t
(config)#host r1 \语义化
(config)#clock timezone GTM 8 \设置时区
(config)#line c 0 \进入控制台
(config)#logg sy \日志同步,以免日志把正常输入打乱
(config)#no ip domain-lookup \关掉域名解析功能,不然打错命令会等待30秒
(config)#enable password luliechu@123456 \明文密码
(config)#enable secret luliechu@147258 \密文密码更安全,同时明文密码无效
(config-line)#username luliechu privilege 3 secret luliechu@147258 \本地用户名和密码并且赋予权限
(config)#line vty 0 4 \开启远程终端
(config-line)#password luliechu@123456 \vty密码
(config-line)#login local \允许登录方式为本地用户验证
(config-line)#end
#write \保存配置命令

3.2检查ip地址配置命令:

sum_router#show ip int bri
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.10.10.2 YES manual up up
FastEthernet0/1 10.10.20.3 YES manual up up
Serial0/0/0 113.105.134.86 YES manual up up

3.3配置ip地址命令:

Router(config)#int g0/0
Router(config-if)#ip add 10.1.1.2 255.255.255.0
Router(config-if)#no shut

3.4测试命令 ping 10.1.1.2

注意事项:三层交换机默认是二层交换端口,使用命令no switchport来修改成为三层路由端口

----------------------------------------通用部分,系统初始化完成------------------------------

想一想那些是二层?实现思路我们自下而上实现,也就是先实现二层功能,再实现三层路由部分功能 二层交换技术上需要的功能大致如下:二层技术(vlan vtp 端口聚合 stp trunk dhcp hsrp等等 )

1)将交换机所有需要加入到tr链路的端口加入进来

//把所需使用vtp协议的端口线路更改为trunk模式
参考命令如下:

en
#conf t
(config)#int f0/1
(config-if)#sw tr en d //在pt中不需要,真实环境和iou中都要加
(config-if)#sw mo tr
//找出局域网中核心层性能最好的两台交换机做为vtp server模式,其他作为client模式,创建vtp

参考命令如下:
#conf t
(config)#vtp domain ccie
(config)#vtp mo server //设置为服务模式

(config)#vtp pruning // //在pt中不支持这命令,真实环境和iou中都支持这样节省带宽开销

查看vtp状态
sw1#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name : ccie
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x51 0x1C 0x38 0x66 0xF8 0xF2 0x1D 0x91
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Local updater ID is 0.0.0.0 (no valid interface found)

2)//在vtpserver上创建vlan

参考命令如下:
sw1(config)#vlan 10

查看vlan命令:show vlan

3)//在每台交换机设备上创建管理地址,方便管理员管理

参考命令如下:
conf t
int vlan 110
ip add 172.16.20.1 255.255.255.0
no shut
End

4)//在核心层两台交换机上创建二层组,使用以太网端口聚合技术,实现高速负载分流

参考命令如下:
conf t
int rang f0/1-3
Channel-protocol lacp
channel-g 1 mode active
end

#查看端口聚合信息,正常情况Port-channel显示是SU,如果显示SD就不正常
sw1#show etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
u - unsuitable for bundling
w - waiting to be aggregated
d - default port

Number of channel-groups in use: 1
Number of aggregators: 1

Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------

1 Po1(SD) LACP Fa0/1(D) Fa0/2(D) Fa0/3(D)
sw1#show et
sw1#show etherchannel po
sw1#show etherchannel port-channel
Channel-group listing:
----------------------

Group: 1
----------
Port-channels in the group:
---------------------------

Port-channel: Po1 (Primary Aggregator)
------------

Age of the Port-channel = 00d:00h:02m:35s
Logical slot/port = 2/1 Number of ports = 0
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel
Protocol = LACP
Port Security = Disabled

sw1#
sw1#show et
sw1#show etherchannel load
sw1#show etherchannel load-balance
EtherChannel Load-Balancing Configuration:
src-mac

EtherChannel Load-Balancing Addresses Used Per-Protocol:
Non-IP: Source MAC address
IPv4: Source MAC address
IPv6: Source MAC address

5)//Mst 是pvst 的升级版,通过不同实例给vlan 做冗余备分。创建了两个实例1 2,分别将所有vlan加入到对应实例,并设置主从,实现不同实例的冗余备份

参考命令如下:

conf t
spanning-tree mode mst //在pt中不支持mst,只能用rstp来实现了,现实生活和iou上都支持
spanning-tree mst configu
instance 1 vlan 10,20,30,40
revision 1
instance 2 vlan50,60,100,110
revision 1
exit
spanning-tree mst 1 root primary
spanning-tree mst 2 root secondary
End

---------------------------------------------------------------------------------------------------------------------------------PVST 配置命令

1.启用生成树Switch(config)# spanning-tree vlan vlan-list
2.配置根网桥Switch(config)#spanning-tree vlan vlan-list root primary |secondary
3.修改网桥优先级Switch(config)#spanning-tree vlan vlan-list priority bridge-priority
4.修改端口成本Switch(config)#spanning-tree vlan vlan-list cost cost
5.修改端口优先级Switch(config)#spanning-tree vlan vlan-list port-priority priority
6.配置上行速链路Switch(config)#spanning-tree uplinkfast
7.配置速端口Switch(config-if)#spanning-tree portfast
8.查看生成树配置show spanning-tree
9.查看VLAN 生成树详细信息show spanning-tree vlan vlan-id detail

En
Conf t
Spanning-tree mode pvst
spanning-tree vlan 10,20,30,40 root primary
spanning-tree vlan 50,60,100,110 root seconday
End

6)在核心层交换机上为不同vlan划分网关,实现不同vlan基于三层交换机的路由互通
参考命令如下:
conf t
int vlan 10
ip add 192.168.1.2 255.255.255.0
no shut

7)
//在核心交换机上配置hsrp实现网关高可用性,sw1是vlan10,20,30,40-的主网关,是50,60,100,110 的备用网关。
Sw2是vlan50,60,100,110的主网关,是10,20,30,40 的备网关。
注意State is Active 为主网关
State is Standby 为备网关
参考代码如下:
----------------------------------------------------------主网关----------------------------------------
conf t
int vlan 10
standby 10 ip 192.168.1.1
standby 10 priority 105
standby 10 preempt
standby 10 track f0/7
end

--------------------------------------------------------备用网关-------------------------------------------

conf t
int vlan 50
standby 50 ip 192.168.5.1
standby 50 priority 100
standby 50 preempt
standby 50 track f0/7
end

验证查看命令 show standby

Vlan10 - Group 10
State is Active
5 state changes, last state change 01:21:50
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0C07.AC0A
Local virtual MAC address is 0000.0C07.AC0A (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.052 secs
Preemption enabled
Active router is local
Standby router is 192.168.1.3
Priority 105 (configured 105)
Track interface FastEthernet0/7 state Up decrement 10
Group name is hsrp-Vl1-10 (default)

简单解释一下:
(1)Vlan10 - Group 10– Group 10 表示Vlan10 -参与了HSRP 10 组
(2)State is Active表示当前的状态为主状态
(3)Virtual IP address 192.168.1.1 表示HSRP 中Group 10 中的虚拟路由器的IP 地址
为192.168.1.1
(4)Active virtual MAC address is 0000.0c07.ac0a 表示HSRP 中Group 10 的MAC
地址
(5)Hello time 3 sec,hold time 10 sec 说明了Hello 的时间为3 秒,hold 的时间为10

(6)Next hello sent in 2.345 secs 说明了下一次发送Hello 消息的时间为2.345 秒
(7)Active router is 192.168.1.3, priority 105 (expires in 8.121 sec) 说明Group 10 中
的活跃路由器的IP 地址为192.168.1.3
(8)Standby router is local 说明了本路由器的状态为备份路由器
(9)Priority 105 (default 100)说明本路由器的HSRP 优先级为105,而默认也为100(所以,
在配置路由器HSRP优先级的时候,要注意,尽量配置大于100)
10 Track interface f0/7 state Down decrement 10
IP redundancy name is "hsrp-Vl10-10" (default)主要是监控f0/2

8)在核心层交换机上配置dhcp,实现dhcp互载冗余

第一种
对于只有一个vlan 的配置
第一步,是给dhcp 命名。
第二步,指定分配的网段
第三步,增加默认的网关
第四步,增加默认的dns
第五步,增加不用分配的地址。
参考语法如下
ip dhcp pool text
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 202.96.128.86
dns-server 221.12.31.65
ip dhcp excluded-address 192.168.1.1 192.168.1.10
第二种,有多个vlan。分配置地址。
vlan 2 192.168.2.0/24
vlan 3 192.168.3.0/24
第一步,全局配置根地址池
第二步,动态配置的地址段
第三步,配置dns
第四步,配置租用日期
第五步,配置vlan2 的地址池,是全局的子池。
第六步,配置vlan2 的可分配置地址段
第七步,配置vlan2 的默认网关
参考语法如下
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3

ip dhcp pool vlan10
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 202.96.128.86

------------------------------------------内部联通问题二层技术到此为止结束------------------------------

三层( *** ospf 默认路由 nat 端口映射 ) 我们采用自下而上的方式解决,现在下面交换部分配置全部完成,该考虑联通性问题

1)配置ospf联通(这里的规划因为厂区比较少,所以也可以采用静态路由,isis,eigrp,rip等,现实生活中建议采用ospf))
参考命令如下:

为了提高网络高可用性,防止环路的产生,建议配置一个环回口,也作为rid,来保障稳定性
备注:交换机默认是二层设备,要运行路由协议,需要开启路由功能,具体命令如下
sw1(config)#ip routing

创建环回口命令:
conf t
int lo0
ip add 3.3.3.3 255.255.255.0
no shut

配置ospf命令:
Conf t
router ospf 1
router-id 2.2.2.2
log-adjacency-changes 命令可用来激活路由协议邻接关系变化日志的功能(例如ospf或者ISIS等)。使用该命令来生成SYSLOG信息以用于网络操作与管理。日志信息对于故障排除也非常有用。

network 192.168.1.2 0.0.0.0 area 0 具体到某个ip地址,这样减少广播风暴可以提高性能,节约开销,对网络性能大大提高

3)在出口网关上配置出口默认路由,出口配置动态路由协议让全网互通。
参考命令如下:
Conf t
router ospf 1
router-id 1.1.1.1
network 113.105.134.86 0.0.0.0 area 0
default-information originate ospf中导入默认路由。
End
Conf t
ip route 0.0.0.0 0.0.0.0 Serial0/0/0 配置默认路由

4)配置nat让公司内部可以上网
参考命令如下:
End
Conf t
En
Conf t
Int f0/0
Ip nat inside
Int f0/1
Ip nat inside
Int s0/0/0
Ip nat outside
Exit
Access-list 1 permit 192.168.1.0 0.0.0.255
Ip nat inside source list 1 int s0/0/0 overload
End
write

5)发布web服务器出去让外网用户能够访问到公司利用web服务器发布的消息
在出口路由器上配置
En
Conf t
Ip nat inside source static tcp 172.16.10.8(web服务器地址) 80 113.105.134.86 80
Access-list 1 permit 172.16.10.0 0.0.0.255
End
Write

5)将公司内部接入层交换机端口加入到对应的vlan,把电脑连接上交换机,整个公司内容项目完成!
参考命令:

En
Conf t
Int f0/0
Sw mo acc
Sw acc vlan 10

-----------------------------------------------------------end-------------------------------------------------------

原文地址:http://blog.51cto.com/13528668/2351133

时间: 2024-08-04 08:30:21

园区网络的相关文章

小型园区网络的基本部署

实验要求: 一.设备管理 1.依据图中拓扑,为不同设备定义主机名. SW#conf t SW(config)#hostname SW1 SW1(config)# 2.全局关闭域名解析. SW1(config)#no ip domain lookup 3.Console 和 VTY 线路下关闭线路超时并开启输出同步. SW1(config)#line console 0 SW1(config-line)#logging synchronous 关闭输出同步 SW1(config-line)#exe

掌握中大型园区网络的部署

实验要求: 一.安全管理 1.依据图中拓扑,为全网设备定义主机名.关闭域名解析.并在 Console 和VTY 线路下关闭线路超时并开启输出同步. Router#conf t Router (config)#hostname R1 R1(config)#no ip domain lookup R1(config)#line console 0 R1(config-line)#logging synchronous 关闭输出同步 R1(config-line)#exec-timeout 0 0 关

大型园区网络排错篇之概念开山之作

网络维护涉及到的方面网络维护的方法: 故障驱动方法:故障时进行修复 结构话方法:规划任务并定义步骤 利用结构化方法进行网络维护的优点 1)网络故障时间 2)的性价比 3)地满足业务需求和目标 4)更好的网络安全性 使用知名的模型和方法进行结构化网络维护任务. 示例: ? IT基础架构库(ITIL,ITInfrastructure Library) ? FCAPS 通信管理网(TMN,Telecommunication Management Network) ? 思科生命周期服务(CiscoLif

构建安全的园区网络

无状态包过滤防火墙技术 ?最基本的防火墙过滤方式 ?根据L3/L4信息进行过滤 ·源和目的IP ·协议 ·ICMP消息和类型 ·TCP/UDP源和目的端口 ?处理速度快 ?无法阻止应用层*** ?部署复杂,维护量大 ?部署方式 ·作为Internet边界的第一层防线 ·隐式拒绝,显示允许 ?示例 ·使用ACL过滤的路由器 有状态包过滤防火墙技术 ?与无状态包过滤防火墙执行相似的操作 ?保持对连接状态的跟踪,状态表 ·无需开放高端口访问权限 ·不属于现有会话的访问将被拒绝 ?检查更高级的信息 ·T

解密:华为的敏捷网络是SDN吗

华为在13年就提出敏捷园区网络,号称业界商用最早的SDN网络,包括5大创新---1,业务随行:2,安全协防:3,质量感知:4,有线无线一体化:5,开放可编程.14年推出可用方案 产业界一下子懵了,这是什么套路? SDN从2012年到15年发展了几个小朝代 第一代,自我中心的OpenAPI,如思科的OnePK,还是以老子为中心的嘴脸:当然还有腾讯跟华为思科玩的MPLS-TE 第二代,开始放下身段,拥抱标准Openflow,控制器作为看家宝贝不舍的拿出来.各家的控制器吹得很牛,然而并么有卵的场景可以

Linux、Windows网络工程师面试题精选

1.请你修改一下LINUX的视频驱动和声音驱动? 答: redhatlinux中用sndconfig来设置声卡,如果没有某个模块,就需要重新编译内核(编译最新发布的linux 内核),如果还不行,只好用ALSA 音效驱动程式. Redhat-config- xfree86 答: 命令行下etc/X11/XF86config 2.如何修改LINUX的启动速度? 答.运行级别设为3 2.chkconfig从中可以关掉一些不需要的服务,如sendmail 3.如何取消APACHE的目录索引 ? Apa

《SDN软件定义网络从入门到精通》导论课

前言 SDN(Software Defined Network)即软件定义网络,是一种网络设计理念,或者一种推倒重来的设计思想.只要网络硬件可以集中式软件管理,可编程化,控制转发层面分开,则可以认为这个网络是一个SDN网络.所以说,SDN并不是一个具体的技术,不是一个具体的协议,而是一个思想.一个框架.狭义的SDN是指的"软件定义网络",广义的SDN的概念还延伸出了:软件定义安全.软件定义存储等等.可以说,SDN是一个浪潮,席卷整个IT产业. 「大物移云」的时代已经到来,传统的底层网络

IT设备的救命稻草-如何正确构建OOB带外网络

现实生活中,无论是传统的大型园区网络,运营商.或是现今流行的数据中心.虚拟化等技术,往往归根结底都是大量的网络设备以及服务器堆叠而成.自然而然,当网络或者服务器因为软件故障或者人为操作失误的原因导致系统宕机后,如何第一时间登陆到故障设备,并快速恢复业务已经成为考验运维人员的一大难题. 其实,试想如果网络中存在一个完善的OOB带外网络,在故障发生时,网络控制中心可通过此网络登录网络设备或者服务器的带外管理接口或者Console接口.从而第一时间获取故障信息并予以修正,或者收集log文件上报厂家.岂

网络排错简记

说明:网络故障是生产过程中非常常见的问题,如何快速定位故障并解决问题是十分重要的.本文针对网络故障的排错问题,总结一过往经验以及来自网络或者书籍的知识简单整理一些排障过程.(好记性不如烂笔头,本文主要目的为梳理终结,如有雷同,联系必删) 阅读目录: 一.网络排错的必备条件 二.网络排错的基本思路 三.网络排错的详细步骤 四.最后说明 一.网络排错的必备条件 网络排错并不仅仅是停留在某一个小小的命令的使用上,而是一套系统的方法,需要我们掌握一定的基础知识,并且能运用到实际当中,所以还是先看看这些基