当前位置: 首页 > article >正文

使用思科搭建企业网规划训练,让网络全部互通,使用规则提高工作效率。

1.

企业背景:

  1. 某企业分为销售部、行政部、人力资源部、财务部、业务部、接待中心等主要六个部门;
  2. 配置网管中心,允许网络管理员登录企业交换机和路由器对企业网络进行管理;
  3. 配置服务器集群,设置FTP、DNS、WEB服务器,其中WEB服务器对外网用户提供访问;
  4. 销售部和接待部配置无线ap,另外设置配置无线上网大厅WiFi,供到访客户使用;
  5. 未提供工作效率,销售部不可访问互联网,另外,为保障财务部安全,财务部也不可访问互联网,销售部也不可访问财务部;

网络拓扑:

 2.配置(核心层左边的第一个)三层交换机(这里不用配置vlan 70

vlan 10
vlan 20
vlan 30
vlan 40
vlan 50
vlan 60
vlan 70
vlan 80

3.进入vlan配置模式(10,20,30,80都是一样的)

int vlan 10          # 进入 VLAN 10 接口配置模式
ip address 192.168.10.254 255.255.255.0   #配置接口 IP 地址和子网掩码
standby 10 ip 192.168.10.252    #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 priority 120        #配置 HSRP组 10 的优先级为 120
standby 10 preempt             #允许组 10 的预占,当优先级更高的 HSRP 组成员重新加入网络时,它将自动接管主机角色并开始转发数据,而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务,提高网络可靠性和可用性。
standby 10 track f0/1          #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4 #配置 DHCP 中继代理
exit                #退出 VLAN 10 接口配置模式

4. 进入vlan模式(40-60

int vlan 40    #进入vlan40
ip address 192.168.40.254 255.255.255.0     #配置ip
standby 40 ip 192.168.40.252   #配置 HSRP 组 40 的虚拟 IP 地址
standby 40 track f0/1       #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4     #配置dhcp的中继代理

5.配置主根网桥和备跟网桥

#主根:(配置了优先级的就是主根)
spanning-tree vlna 10 20 30 70 root primary


#备根:(没有设置优先级的就是备根)
spanning-tree vlan 40 50 60 root secondary

6.进入跟踪接口配置ip

#进入端口
in fa 0/4   

#三层交换机和路由器必须配置这个 否则配置不了ip
(三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口)
no switchport  


#配置ip:
ip add 192.168.11.2 255.255.255.0

#开启端口
no shutdown 

7.配置链路聚合

#(以太网通道配置(三层口))
int port-channel 1 

#设置vlan中继执行的协议
switchport trunk encapsulation dot1q    

#将接口设置为中继
switchport mode trunk     

#(同时进入多种端口)
int range fastethernet 0/6-7 

#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q    

#小问题:(如果进入接口不封装是设置不了trunk模式的)
switchport mode trunk  将接口设置为taunk模式 

绑定接口
#channel-group 1 mode on  

8..然后给其他接口配置trunk模式  (这里的跟踪接口和链路聚合端口不配置)
 

#(同时进入多种端口)
int range fastethernet 0/1-4

 #封装模式
switchport trunk encapsulation dot1q  

#配置trunk模式
switchport mode trunk  tuank  
这里还是一样:不封装配置不了trunk模式


#最后启用三层交换机功能
ip routing

9.配置(核心层右边的第一个)三层交换机,和左边不一样的点就是:1.这里全部vlan都配置,2.虚拟网关不一样(这里是253),3.10-30不配置优先级和抢占   40,50,60,80是配置全部  70只配置ip就可以;

配置10-30vlan都一样。

int vlan 10    #进入vlan40
ip address 192.168.10.253 255.255.255.0     #配置ip
standby 10 ip 192.168.10.252   #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 track f0/1       #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4     #配置dhcp的中继代理

10.配置40-60,80(配置一样),70(只配置ip)

# 进入 VLAN 40 接口配置模式
int vlan 40         

#配置接口 IP 地址和子网掩码 
ip address 192.168.40.253 255.255.255.0   

#配置 HSRP 组 10 的虚拟 IP 地址
standby 10 ip 192.168.40.252   

#配置 HSRP组 10 的优先级为 120
standby 40 priority 120      

#允许组 40 的预占,当优先级更高的 HSRP 组成员重新加入网络时,它将自动接管主机角色并开始转发数据,而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务,提高网络可靠性和可用性。
standby 40 preempt   

#监控接口f0/1,如果它失效,就降低组 10 的优先级         
standby 40 track f0/1        

#配置 DHCP 中继代理
ip helper-address 192.168.80.4 

#退出 VLAN 10 接口配置模式
exit        




#配置70
in vlan 70

 #配置ip
ip add 192.168.70.253 255.255.0


#启用三层交换机功能
ip routing

11.配置主备(和左边的三层交换机反过来,前面是10,20,30,70是主,现在是备)。

#主根:(配置了优先级的就是主根)
spanning-tree vlna 10 20 30 70 root secondary


#备根:(没有设置优先级的就是备根)
spanning-tree vlan 40 50 60 root primary

13.配置链路聚合

#(以太网通道配置(三层口))
int port-channel 1 

#设置vlan中继执行的协议
switchport trunk encapsulation dot1q    

#将接口设置为中继
switchport mode trunk     

#(同时进入多种端口)
int range fastethernet 0/6-7 

#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q    

#小问题:(如果进入接口不封装是设置不了trunk模式的)
switchport mode trunk  将接口设置为taunk模式 

绑定接口
#channel-group 1 mode on  

14.然后给其他接口配置trunk模式  (这里的跟踪接口和链路聚合端口不配置)

#(同时进入多种端口)
int range fastethernet 0/1-4

 #封装模式
switchport trunk encapsulation dot1q  

#配置trunk模式
switchport mode trunk  tuank  
这里还是一样:不封装配置不了trunk模式


#最后启用三层交换机功能
ip routing

15.进入追踪端口

#进入端口
in fa 0/4   

#三层交换机和路由器必须配置这个 否则配置不了ip
(三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口)
no switchport  


#配置ip:
ip add 192.168.12.2 255.255.255.0

#开启端口
no shutdown 

16.配置汇聚层三层交换机三台都是一样的配置)。

#先创建vlan10-80
vlan 10-80  #自己一个一个创建 我这里就不写了


#进入多个接口
in range fa 0/1-4  

#设置接口为trunk模式   (先封装)
switchport trunk encapsulation dot1q 


#trunk模式(也就是允许所有vlan通过)
switchport mode trunk  tuank

17.配置接入层的6个交换机 (配置全部一样),第一个加vlan10,第二个加vlan20,由此类推。

#还是先创建vlan10-80
vlan 10-80


#进入多个接口
in range fa 0/1-2

#配置sccess模式
switchport mode access

#把vlan10加入到0/1-2接口中
switchport access  vlan 10

18.然后在服务器集群的交换机上加入vlan

#创建80
vlan 80


#进入多个接口
in range fa 0/3-6

#配置sccess模式
switchport mode access

#把vlan10加入到0/1-2接口中
switchport access  vlan 80


#然后给服务器配置ip
dns服务器  192.168.80.1  255.255.225.0 192.168.80.252
ftp服务器  192.168.80.2  255.255.225.0 192.168.80.252  
web服务器  192.168.80.3  255.255.225.0 192.168.80.252  
dncp服务器    192.168.80.4  255.255.225.0 192.168.80.252  

然后在dhcp的服务器上配置地址池,让pc自动获取ip。vlan10-60都配置。

最后pc

 19.然后配置路由器(配置核心层上面的路由器

#进入接口0/0
in f 0/0

#配置ip
ip add 192.168.11.1 255.255.255.0 

#启动接口
no shu


#进入接口0/1
in f 0/1

#配置ip
ip add 192.168.12.1 255.255.255.0 

#启动接口
no shu

#进入接口1/1
in f 1/1

#配置ip
ip add 192.168.2.1 255.255.255.0 

#启动接口
no shu


#进入接口1/0
in f 1/0

#配置ip
ip add 192.168.1.1 255.255.255.0 

#启动接口
no shu

20.然后配置下一个路由器

#进入接口0/0
in f 0/0

#配置ip
ip add 192.168.1.2 255.255.255.0 

#启动接口
no shu

#进入接口1/0
in s 1/0

#配置ip
ip add 200.10.10.1 255.255.255.240 

#启动接口(这里这个接口是启动不了的,因为另一个接口没有配置好)
no shu



21.在接着下一个路由器

#进入接口1/0
in s 1/0

#配置ip
ip add 200.10.10.2 255.255.255.240

#启动接口(然后就可以启动了)
no shu


#进入接口0/0
in f 0/0

#配置ip
ip add 200.10.20.1  255.255.255.240 

#启动接口
no shu

22.配置百度的ip和互联网用户

#百度服务器ip: 
200.10.20.2 255.255.255.240 200.10.20.1


互联网服务器ip:
200.10.20.3 255.255.255.240  200.10.20.1

23.然后返回网络电脑,配置ip

#网络电脑ip:
192.168.1.2  255.255.255.0  192.168.1.1

24.然后配置路由器(配置核心层上面的路由器),配置网络电脑可以远程登录

#允许同时有5个终端远程登陆
line vty 0 4   

#设置登录密码
password 123456  

#设置远程登录时,先输入用户名,再输入密码后才能登录。 而login只是要求提供密码
login local

#设置用户名(yangzheng)和密码
username yangzheng password 123456

25.然后在三层交换机上(左边的那个)配置远程登录路由器

#配置用户和密码
username yangzheng password 123456

#允许最大连接数5个
line vty 0 4

#配置密码
password 123456

#退出
exit

#修改进入特权EXEC模式的密码为123456
enable password 123456

26.取用ospf协议,三层交换机(核心层,左边那个)

#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 10 

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0

27.取用ospf协议,三层交换机(核心层,右边那个)

#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 20

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.70.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0

28.核心层上面的路由器配置ospf协议,

#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 30

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.11.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0

29.后面那个路由器

#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 40

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.1.0 0.0.0.255 area 0

#发布缺省路由
default-information originate

#退出
exit

#缺省路由
ip route 0.0.0.0 0.0.0.0 200.10.10.2

#设置销售部不能访问互联网主机
access-list 100 deny ip 192.168.10.0 0.0.0.255 any

#设置财务部不能访问互联网主机
access-list 100 deny ip 192.168.50.0 0.0.0.255 any

#允许其他部门访问
access-list 100 permit ip any any

#静态PAT映射
ip nat inside source list 100 interface s0/0/0

30.配置三层交换机(核心层,左边那个

#设置销售部不能访问财务部
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255

#允许其它访问
access-list 101 permit ip any any

#进入vlan
int vlan 10

#设置出去的流量都被拒绝
ip access-group 101 in

31.以上就是全部配置,现在来测试。

远程登录,随便一台pc

 32.测试销售部看看能不能ping通财务部,是不可以ping通的。

测试财务和销售能不能ping通互联网。ping不通就是对的,因为你设置了规则

 测试其他4个部门能不能ping通互联网,是可以的,因为你只设置了两个部门不可以访问。

 33.以上就是全部的步骤,重点:

1.允许网络管理员登录企业交换机和路由器进入管理

2.配置服务器集群,其中web服务器对外网用户提供访问

3.配置acl规则使用,允许谁访问谁,不允许谁访问我

4.配置以太通道,多条线路负载均衡,带宽提高

5.热备份路由选择协议HSRP,stp生成数协议,ospf

如果不懂,可以私信小编。


http://www.kler.cn/a/316538.html

相关文章:

  • Elasticsearch 8.16:适用于生产的混合对话搜索和创新的向量数据量化,其性能优于乘积量化 (PQ)
  • Spring高手之路26——全方位掌握事务监听器
  • MFC工控项目实例二十九主对话框调用子对话框设定参数值
  • Could not initialize class sun.awt.X11FontManager
  • vue2.7.14 + vant + vue cli脚手架转vite启动运行问题记录
  • 使用Docker快速部署FastAPI Web应用
  • 深入解析数据库DQL语言:查询的艺术
  • 如何在SpringCloud中使用Consul进行服务发现与配置管理
  • Redis的主从模式、哨兵模式、集群模式
  • 电子电气架构 --- 基于ISO 26262的车载电子软件开发流程
  • 基于GIKT深度知识追踪模型的习题推荐系统源代码+数据库+使用说明,后端采用flask,前端采用vue
  • 快速下载Imagenet数据集
  • Python模块和包:标准库模块(os, sys, datetime, math等)②
  • CVE-2024-2389 未经身份验证的命令注入
  • LeetCode --- 139双周赛
  • STM32篇:开发环境安装
  • 基于微信小程序的科创微应用平台设计与实现+ssm(lw+演示+源码+运行)
  • MongoDB 双活集群在运营商的实践
  • 利用mybatis拦截器完成入库加密出库解密
  • 算法之搜索--最长公共子序列LCS
  • leetcode746. 使用最小花费爬楼梯,动态规划
  • Uniapp低版本的安卓不能用解决办法
  • Qt_窗口界面QMainWindow的介绍
  • Deep Guided Learning for Fast Multi-ExposureImage Fusion
  • 对接空号检测平台可以降低成本吗
  • 动手学深度学习(pytorch)学习记录32-稠密连接网络(DenseNet)[学习记录]