使用思科搭建企业网规划训练,让网络全部互通,使用规则提高工作效率。
1.
企业背景:
- 某企业分为销售部、行政部、人力资源部、财务部、业务部、接待中心等主要六个部门;
- 配置网管中心,允许网络管理员登录企业交换机和路由器对企业网络进行管理;
- 配置服务器集群,设置FTP、DNS、WEB服务器,其中WEB服务器对外网用户提供访问;
- 销售部和接待部配置无线ap,另外设置配置无线上网大厅WiFi,供到访客户使用;
- 未提供工作效率,销售部不可访问互联网,另外,为保障财务部安全,财务部也不可访问互联网,销售部也不可访问财务部;
网络拓扑:
2.配置(核心层左边的第一个)三层交换机(这里不用配置vlan 70)
vlan 10
vlan 20
vlan 30
vlan 40
vlan 50
vlan 60
vlan 70
vlan 80
3.进入vlan配置模式(10,20,30,80都是一样的)
int vlan 10 # 进入 VLAN 10 接口配置模式
ip address 192.168.10.254 255.255.255.0 #配置接口 IP 地址和子网掩码
standby 10 ip 192.168.10.252 #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 priority 120 #配置 HSRP组 10 的优先级为 120
standby 10 preempt #允许组 10 的预占,当优先级更高的 HSRP 组成员重新加入网络时,它将自动接管主机角色并开始转发数据,而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务,提高网络可靠性和可用性。
standby 10 track f0/1 #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4 #配置 DHCP 中继代理
exit #退出 VLAN 10 接口配置模式
4. 进入vlan模式(40-60)
int vlan 40 #进入vlan40
ip address 192.168.40.254 255.255.255.0 #配置ip
standby 40 ip 192.168.40.252 #配置 HSRP 组 40 的虚拟 IP 地址
standby 40 track f0/1 #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4 #配置dhcp的中继代理
5.配置主根网桥和备跟网桥
#主根:(配置了优先级的就是主根)
spanning-tree vlna 10 20 30 70 root primary
#备根:(没有设置优先级的就是备根)
spanning-tree vlan 40 50 60 root secondary
6.进入跟踪接口配置ip
#进入端口
in fa 0/4
#三层交换机和路由器必须配置这个 否则配置不了ip
(三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口)
no switchport
#配置ip:
ip add 192.168.11.2 255.255.255.0
#开启端口
no shutdown
7.配置链路聚合
#(以太网通道配置(三层口))
int port-channel 1
#设置vlan中继执行的协议
switchport trunk encapsulation dot1q
#将接口设置为中继
switchport mode trunk
#(同时进入多种端口)
int range fastethernet 0/6-7
#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q
#小问题:(如果进入接口不封装是设置不了trunk模式的)
switchport mode trunk 将接口设置为taunk模式
绑定接口
#channel-group 1 mode on
8..然后给其他接口配置trunk模式 (这里的跟踪接口和链路聚合端口不配置)
#(同时进入多种端口)
int range fastethernet 0/1-4
#封装模式
switchport trunk encapsulation dot1q
#配置trunk模式
switchport mode trunk tuank
这里还是一样:不封装配置不了trunk模式
#最后启用三层交换机功能
ip routing
9.配置(核心层右边的第一个)三层交换机,和左边不一样的点就是:1.这里全部vlan都配置,2.虚拟网关不一样(这里是253),3.10-30不配置优先级和抢占 40,50,60,80是配置全部 70只配置ip就可以;
配置10-30vlan都一样。
int vlan 10 #进入vlan40
ip address 192.168.10.253 255.255.255.0 #配置ip
standby 10 ip 192.168.10.252 #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 track f0/1 #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4 #配置dhcp的中继代理
10.配置40-60,80(配置一样),70(只配置ip)
# 进入 VLAN 40 接口配置模式
int vlan 40
#配置接口 IP 地址和子网掩码
ip address 192.168.40.253 255.255.255.0
#配置 HSRP 组 10 的虚拟 IP 地址
standby 10 ip 192.168.40.252
#配置 HSRP组 10 的优先级为 120
standby 40 priority 120
#允许组 40 的预占,当优先级更高的 HSRP 组成员重新加入网络时,它将自动接管主机角色并开始转发数据,而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务,提高网络可靠性和可用性。
standby 40 preempt
#监控接口f0/1,如果它失效,就降低组 10 的优先级
standby 40 track f0/1
#配置 DHCP 中继代理
ip helper-address 192.168.80.4
#退出 VLAN 10 接口配置模式
exit
#配置70
in vlan 70
#配置ip
ip add 192.168.70.253 255.255.0
#启用三层交换机功能
ip routing
11.配置主备(和左边的三层交换机反过来,前面是10,20,30,70是主,现在是备)。
#主根:(配置了优先级的就是主根)
spanning-tree vlna 10 20 30 70 root secondary
#备根:(没有设置优先级的就是备根)
spanning-tree vlan 40 50 60 root primary
13.配置链路聚合
#(以太网通道配置(三层口))
int port-channel 1
#设置vlan中继执行的协议
switchport trunk encapsulation dot1q
#将接口设置为中继
switchport mode trunk
#(同时进入多种端口)
int range fastethernet 0/6-7
#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q
#小问题:(如果进入接口不封装是设置不了trunk模式的)
switchport mode trunk 将接口设置为taunk模式
绑定接口
#channel-group 1 mode on
14.然后给其他接口配置trunk模式 (这里的跟踪接口和链路聚合端口不配置)
#(同时进入多种端口)
int range fastethernet 0/1-4
#封装模式
switchport trunk encapsulation dot1q
#配置trunk模式
switchport mode trunk tuank
这里还是一样:不封装配置不了trunk模式
#最后启用三层交换机功能
ip routing
15.进入追踪端口
#进入端口
in fa 0/4
#三层交换机和路由器必须配置这个 否则配置不了ip
(三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口)
no switchport
#配置ip:
ip add 192.168.12.2 255.255.255.0
#开启端口
no shutdown
16.配置汇聚层三层交换机(三台都是一样的配置)。
#先创建vlan10-80
vlan 10-80 #自己一个一个创建 我这里就不写了
#进入多个接口
in range fa 0/1-4
#设置接口为trunk模式 (先封装)
switchport trunk encapsulation dot1q
#trunk模式(也就是允许所有vlan通过)
switchport mode trunk tuank
17.配置接入层的6个交换机 (配置全部一样),第一个加vlan10,第二个加vlan20,由此类推。
#还是先创建vlan10-80
vlan 10-80
#进入多个接口
in range fa 0/1-2
#配置sccess模式
switchport mode access
#把vlan10加入到0/1-2接口中
switchport access vlan 10
18.然后在服务器集群的交换机上加入vlan
#创建80
vlan 80
#进入多个接口
in range fa 0/3-6
#配置sccess模式
switchport mode access
#把vlan10加入到0/1-2接口中
switchport access vlan 80
#然后给服务器配置ip
dns服务器 192.168.80.1 255.255.225.0 192.168.80.252
ftp服务器 192.168.80.2 255.255.225.0 192.168.80.252
web服务器 192.168.80.3 255.255.225.0 192.168.80.252
dncp服务器 192.168.80.4 255.255.225.0 192.168.80.252
然后在dhcp的服务器上配置地址池,让pc自动获取ip。vlan10-60都配置。
最后pc
19.然后配置路由器(配置核心层上面的路由器)
#进入接口0/0
in f 0/0
#配置ip
ip add 192.168.11.1 255.255.255.0
#启动接口
no shu
#进入接口0/1
in f 0/1
#配置ip
ip add 192.168.12.1 255.255.255.0
#启动接口
no shu
#进入接口1/1
in f 1/1
#配置ip
ip add 192.168.2.1 255.255.255.0
#启动接口
no shu
#进入接口1/0
in f 1/0
#配置ip
ip add 192.168.1.1 255.255.255.0
#启动接口
no shu
20.然后配置下一个路由器
#进入接口0/0
in f 0/0
#配置ip
ip add 192.168.1.2 255.255.255.0
#启动接口
no shu
#进入接口1/0
in s 1/0
#配置ip
ip add 200.10.10.1 255.255.255.240
#启动接口(这里这个接口是启动不了的,因为另一个接口没有配置好)
no shu
21.在接着下一个路由器
#进入接口1/0
in s 1/0
#配置ip
ip add 200.10.10.2 255.255.255.240
#启动接口(然后就可以启动了)
no shu
#进入接口0/0
in f 0/0
#配置ip
ip add 200.10.20.1 255.255.255.240
#启动接口
no shu
22.配置百度的ip和互联网用户
#百度服务器ip:
200.10.20.2 255.255.255.240 200.10.20.1
互联网服务器ip:
200.10.20.3 255.255.255.240 200.10.20.1
23.然后返回网络电脑,配置ip
#网络电脑ip:
192.168.1.2 255.255.255.0 192.168.1.1
24.然后配置路由器(配置核心层上面的路由器),配置网络电脑可以远程登录
#允许同时有5个终端远程登陆
line vty 0 4
#设置登录密码
password 123456
#设置远程登录时,先输入用户名,再输入密码后才能登录。 而login只是要求提供密码
login local
#设置用户名(yangzheng)和密码
username yangzheng password 123456
25.然后在三层交换机上(左边的那个)配置远程登录路由器
#配置用户和密码
username yangzheng password 123456
#允许最大连接数5个
line vty 0 4
#配置密码
password 123456
#退出
exit
#修改进入特权EXEC模式的密码为123456
enable password 123456
26.取用ospf协议,三层交换机(核心层,左边那个)
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 10
#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
27.取用ospf协议,三层交换机(核心层,右边那个)
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 20
#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.70.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0
28.核心层上面的路由器配置ospf协议,
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 30
#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.11.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0
29.后面那个路由器
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 40
#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.1.0 0.0.0.255 area 0
#发布缺省路由
default-information originate
#退出
exit
#缺省路由
ip route 0.0.0.0 0.0.0.0 200.10.10.2
#设置销售部不能访问互联网主机
access-list 100 deny ip 192.168.10.0 0.0.0.255 any
#设置财务部不能访问互联网主机
access-list 100 deny ip 192.168.50.0 0.0.0.255 any
#允许其他部门访问
access-list 100 permit ip any any
#静态PAT映射
ip nat inside source list 100 interface s0/0/0
30.配置三层交换机(核心层,左边那个)
#设置销售部不能访问财务部
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255
#允许其它访问
access-list 101 permit ip any any
#进入vlan
int vlan 10
#设置出去的流量都被拒绝
ip access-group 101 in
31.以上就是全部配置,现在来测试。
远程登录,随便一台pc
32.测试销售部看看能不能ping通财务部,是不可以ping通的。
测试财务和销售能不能ping通互联网。ping不通就是对的,因为你设置了规则
测试其他4个部门能不能ping通互联网,是可以的,因为你只设置了两个部门不可以访问。
33.以上就是全部的步骤,重点:
1.允许网络管理员登录企业交换机和路由器进入管理
2.配置服务器集群,其中web服务器对外网用户提供访问
3.配置acl规则使用,允许谁访问谁,不允许谁访问我
4.配置以太通道,多条线路负载均衡,带宽提高
5.热备份路由选择协议HSRP,stp生成数协议,ospf
如果不懂,可以私信小编。