ccnp大型园区网实现思路解析

园区网络规划拓扑图如下：

设计思路： 区分出二层三层 (哪些地方要用到二层技术，哪些地方要用到三层技术)

二层技术(vlan vtp 端口聚合 stp )

三层(dhcp(七层) vpn ospf 默认路由 nat 端口映射(七层) )

安全(acl 各种认证)

这个项目主要实现思路关键点之独孤九剑： Ip地址的规范 接口对应表的整理 主次关系的整理 分清楚什么是二层技术什么是三层技术 对于相同的预配置先在记事本写好，利用crt直接粘贴复制，这样节省时间和提高效率。 几种交换协议的一句话理解： Vtp 是用来简化vlan 的配置，思科专有。公有GVRP. Vtp 配置方法：两台交换机之间用trunk 相连，配置服务端与客户端，配置相同的密码， 域名，版本。服务器配置版本高于客户机。 Stp pvst mst 生成树，快速生成树，多生成树。 生成树是用来防止二层环路，三层环路用路由协议来防环。原理是通过阻塞一条链路来防环。 Pvst 工程中主要用来对不同vlan 做冗余备份。 Mst 是pvst 的升级版，通过不同实例给vlan 做冗余备分。 HSRR VRRP GLBP 是用来给网关提供冗余备份。 通过使作几个不同的组达到给不同vlan 提供冗余备份作用。 Ospf rip eigrp 将不同的vlan 的子网消息宣告出去。 如果trunk 有两线，一定要放到二层组中。

实施步骤：从二层到三层 从左到右 从右到左 自上而上 自下而上

①　Ip地址的规范 配置 检查 ②　配置直连路由 测试 ③　配置远程连接 ④　配置时间 ⑤　同步时区 ⑥　关闭日志等一系列系统初始化 参考代码如下： en clock set 8:00:00 28 june 2016 \记住这个在现实生活中非常重要因为很多时间不对的话查看日志信息可能会有问题 conf t host r1 \语义化 clock timezone GTM 8 \设置时区 line c 0 \进入控制台 logg sy \日志同步,以免日志把正常输入打乱 no ip domain-lookup \关掉域名解析功能,不然打错命令会等待30秒 enable password luliechu@123456 \明文密码 enable secret luliechu@147258 \密文密码更安全，同时明文密码无效 username luliechu privilege 3 secret luliechu@147258 \本地用户名和密码并且赋予权限 line vty 0 4 \开启远程终端 password luliechu@123456 \vty密码 login local \允许登录方式为本地用户验证 end write \保存配置命令

检查ip地址配置命令： sum_router#show ip int bri Interface IP-Address OK? Method Status Protocol FastEthernet0/0 10.10.10.2 YES manual up up FastEthernet0/1 10.10.20.3 YES manual up up Serial0/0/0 113.105.134.86 YES manual up up

配置ip地址命令： Router(config)#int g0/0 Router(config-if)#ip add 10.1.1.2 255.255.255.0 Router(config-if)#no shut

测试命令 ping 10.1.1.2 注意事项：三层交换机默认是二层交换端口，使用命令no switchport来修改成为三层路由端口

----------------------------------------通用部分，系统初始化完成------------------------------

想一想那些是二层？实现思路我们自下而上实现，也就是先实现二层功能，再实现三层路由部分功能 二层交换技术上需要的功能大致如下：二层技术(vlan vtp 端口聚合 stp trunk dhcp hsrp等等 )

1）将交换机所有需要加入到tr链路的端口加入进来

//把所需使用vtp协议的端口线路更改为trunk模式 参考命令如下： en conf t int f0/1 sw tr en d //在pt中不需要，真实环境和iou中都要加 sw mo tr //找出局域网中核心层性能最好的两台交换机做为vtp server模式，其他作为client模式，创建vtp

参考命令如下： conf t vtp domain ccie vtp mo server //设置为服务模式

vtp pruning // //在pt中不支持这命令，真实环境和iou中都支持这样节省带宽开销

查看vtp状态 sw1#show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 1005 Number of existing VLANs : 5 VTP Operating Mode : Server VTP Domain Name : ccie VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x51 0x1C 0x38 0x66 0xF8 0xF2 0x1D 0x91 Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00 Local updater ID is 0.0.0.0 (no valid interface found)

2）//在vtpserver上创建vlan 参考命令如下： sw1(config)#vlan 10

查看vlan命令：show vlan

3)//在每台交换机设备上创建管理地址，方便管理员管理 参考命令如下： conf t int vlan 110 ip add 172.16.20.1 255.255.255.0 no shut End

4)//在核心层两台交换机上创建二层组，使用以太网端口聚合技术，实现高速负载分流 参考命令如下： conf t int rang f0/1-3 Channel-protocol lacp channel-g 1 mode active end

#查看端口聚合信息，正常情况Port-channel显示是SU，如果显示SD就不正常 sw1#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator u - unsuitable for bundling w - waiting to be aggregated d - default port

Number of channel-groups in use: 1 Number of aggregators: 1

Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------

1 Po1(SD) LACP Fa0/1(D) Fa0/2(D) Fa0/3(D) sw1#show et sw1#show etherchannel po sw1#show etherchannel port-channel Channel-group listing:

Group: 1

Port-channels in the group:

Port-channel: Po1 (Primary Aggregator)

Age of the Port-channel = 00d:00h:02m:35s Logical slot/port = 2/1 Number of ports = 0 GC = 0x00000000 HotStandBy port = null Port state = Port-channel Protocol = LACP Port Security = Disabled

sw1# sw1#show et sw1#show etherchannel load sw1#show etherchannel load-balance EtherChannel Load-Balancing Configuration: src-mac

EtherChannel Load-Balancing Addresses Used Per-Protocol: Non-IP: Source MAC address IPv4: Source MAC address IPv6: Source MAC address

5)//Mst 是pvst 的升级版，通过不同实例给vlan 做冗余备分。创建了两个实例1 2，分别将所有vlan加入到对应实例，并设置主从，实现不同实例的冗余备份 参考命令如下：

conf t spanning-tree mode mst //在pt中不支持mst，只能用rstp来实现了，现实生活和iou上都支持 spanning-tree mst configu instance 1 vlan 10,20,30,40 revision 1 instance 2 vlan50,60,100,110 revision 1 exit spanning-tree mst 1 root primary spanning-tree mst 2 root secondary End

---------------------------------------------------------------------------------------------------------------------------------PVST 配置命令 1.启用生成树Switch(config)# spanning-tree vlan vlan-list 2.配置根网桥Switch(config)#spanning-tree vlan vlan-list root primary |secondary 3.修改网桥优先级Switch(config)#spanning-tree vlan vlan-list priority bridge-priority 4.修改端口成本Switch(config)#spanning-tree vlan vlan-list cost cost 5.修改端口优先级Switch(config)#spanning-tree vlan vlan-list port-priority priority 6.配置上行速链路Switch(config)#spanning-tree uplinkfast 7.配置速端口Switch(config-if)#spanning-tree portfast 8.查看生成树配置show spanning-tree 9.查看VLAN 生成树详细信息show spanning-tree vlan vlan-id detail

En Conf t Spanning-tree mode rap spanning-tree vlan 10,20,30,40 root primary spanning-tree vlan 50,60,100,110 root seconday End

6)在核心层交换机上为不同vlan划分网关，实现不同vlan基于三层交换机的路由互通 参考命令如下： conf t int vlan 10 ip add 192.168.1.2 255.255.255.0 no shut

7） //在核心交换机上配置hsrp实现网关高可用性，sw1是vlan10，20,30,40-的主网关，是50,60,100,110 的备用网关。 Sw2是vlan50,60,100,110的主网关，是10，20,30,40 的备网关。 注意State is Active 为主网关 State is Standby 为备网关 参考代码如下： ----------------------------------------------------------主网关---------------------------------------- conf t int vlan 10 standby 10 ip 192.168.1.1 standby 10 priority 105 standby 10 preempt standby 10 track f0/7 end

--------------------------------------------------------备用网关-------------------------------------------

conf t int vlan 50 standby 50 ip 192.168.5.1 standby 50 priority 100 standby 50 preempt standby 50 track f0/7 end

验证查看命令 show standby

Vlan10 - Group 10 State is Active 5 state changes, last state change 01:21:50 Virtual IP address is 192.168.1.1 Active virtual MAC address is 0000.0C07.AC0A Local virtual MAC address is 0000.0C07.AC0A (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 1.052 secs Preemption enabled Active router is local Standby router is 192.168.1.3 Priority 105 (configured 105) Track interface FastEthernet0/7 state Up decrement 10 Group name is hsrp-Vl1-10 (default)

简单解释一下： （1）Vlan10 - Group 10– Group 10 表示Vlan10 -参与了HSRP 10 组 （2）State is Active表示当前的状态为主状态 （3）Virtual IP address 192.168.1.1 表示HSRP 中Group 10 中的虚拟路由器的IP 地址 为192.168.1.1 （4）Active virtual MAC address is 0000.0c07.ac0a 表示HSRP 中Group 10 的MAC 地址 （5）Hello time 3 sec，hold time 10 sec 说明了Hello 的时间为3 秒，hold 的时间为10 秒 （6）Next hello sent in 2.345 secs 说明了下一次发送Hello 消息的时间为2.345 秒 （7）Active router is 192.168.1.3, priority 105 (expires in 8.121 sec) 说明Group 10 中 的活跃路由器的IP 地址为192.168.1.3 （8）Standby router is local 说明了本路由器的状态为备份路由器 （9）Priority 105 (default 100)说明本路由器的HSRP 优先级为105，而默认也为100(所以， 在配置路由器HSRP优先级的时候，要注意，尽量配置大于100) 10 Track interface f0/7 state Down decrement 10 IP redundancy name is "hsrp-Vl10-10" (default)主要是监控f0/2

8)在核心层交换机上配置dhcp，实现dhcp互载冗余

第一种 对于只有一个vlan 的配置 第一步，是给dhcp 命名。 第二步，指定分配的网段 第三步，增加默认的网关 第四步，增加默认的dns 第五步，增加不用分配的地址。 参考语法如下 ip dhcp pool text network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 202.96.128.86 dns-server 221.12.31.65 ip dhcp excluded-address 192.168.1.1 192.168.1.10 第二种，有多个vlan。分配置地址。 vlan 2 192.168.2.0/24 vlan 3 192.168.3.0/24 第一步，全局配置根地址池 第二步，动态配置的地址段 第三步，配置dns 第四步，配置租用日期 第五步，配置vlan2 的地址池，是全局的子池。 第六步，配置vlan2 的可分配置地址段 第七步，配置vlan2 的默认网关 参考语法如下 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.1.2 ip dhcp excluded-address 192.168.1.3

ip dhcp pool vlan10 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 202.96.128.86

------------------------------------------内部联通问题二层技术到此为止结束------------------------------

三层( vpn ospf 默认路由 nat 端口映射 ) 我们采用自下而上的方式解决，现在下面交换部分配置全部完成，该考虑联通性问题

1）配置ospf联通(这里的规划因为厂区比较少，所以也可以采用静态路由，isis，eigrp，rip等，现实生活中建议采用ospf)) 参考命令如下：

为了提高网络高可用性，防止环路的产生，建议配置一个环回口，也作为rid，来保障稳定性 备注：交换机默认是二层设备，要运行路由协议，需要开启路由功能，具体命令如下 sw1(config)#ip routing

创建环回口命令： conf t int lo0 ip add 3.3.3.3 255.255.255.0 no shut

配置ospf命令： Conf t router ospf 1 router-id 2.2.2.2 log-adjacency-changes 命令可用来激活路由协议邻接关系变化日志的功能（例如ospf或者ISIS等）。使用该命令来生成SYSLOG信息以用于网络操作与管理。日志信息对于故障排除也非常有用。

network 192.168.1.2 0.0.0.0 area 0 具体到某个ip地址，这样减少广播风暴可以提高性能，节约开销，对网络性能大大提高

3）在出口网关上配置出口默认路由，出口配置动态路由协议让全网互通。 参考命令如下： Conf t router ospf 1 router-id 1.1.1.1 network 113.105.134.86 0.0.0.0 area 0 default-information originate ospf中导入默认路由。 End Conf t ip route 0.0.0.0 0.0.0.0 Serial0/0/0 配置默认路由

4)配置nat让公司内部可以上网 参考命令如下： End Conf t En Conf t Int f0/0 Ip nat inside Int f0/1 Ip nat inside Int s0/0/0 Ip nat outside Exit Access-list 1 permit 192.168.1.0 0.0.0.255 Ip nat inside source list 1 int s0/0/0 overload End write

5)发布web服务器出去让外网用户能够访问到公司利用web服务器发布的消息 在出口路由器上配置 En Conf t Ip nat inside source static tcp 172.16.10.8(web服务器地址) 80 113.105.134.86 80 Access-list 1 permit 172.16.10.0 0.0.0.255 End Write

5)将公司内部接入层交换机端口加入到对应的vlan，把电脑连接上交换机，整个公司内容项目完成！ 参考命令：

En Conf t Int f0/0 Sw mo acc Sw acc vlan 10

-----------------------------------------------------------end-------------------------------------------------------

安全(acl 各种认证) 实现特殊限制功能，实现vpn，这里最好在gng3上演示

---------------------------------------------------谢谢大家--------------------------------------------------------