企业网络-戚员网络企业-网络企业有哪些

ig281 · 发表于 2025-4-21 00:05:51

[id_[id_15[id_[]6[]]]]]

实验要求

① 设置合理的STP优先级、边缘端口、Eth-trunk

环路会引起广播风暴，设置STP可二层防环，STP是破环协议

企业内网划分出多个不同的 vlan 。这样做能够减小广播域的大小。从而提高网络的稳定性。

③ 所有设备，在任何位置都可以远程管理

④ 出口配置NAT

[]

企业将内网（web）服务器的 80 端口进行映射使其对外网开放，从而允许外网用户进行访问。

设备选型方面，需考虑光口和电口的交换机，同时要注意对设备进行利旧。

…

二、技术需求

二层中，STP Eth-trunk 属于冗余技术，它能够将接入层到核心层的两条线路捆绑为一条线路。

让交换机运行快速生成树，核心交换机的优先级要调最低。

②vlan、trunk

vlan 是虚拟局域网。它可以隔离广播域，这样能提升网络的稳定性和安全性。并且，它还方便对这个网络进行管理和控制，能够满足特殊网络的访问控制要求。

一个vlan 对应一个网段对应一个广播域

Trunk 能够提升 vlan 的功能，它允许多个 VLAN 进行通信，接入交换机和核心交换机是通过 trunk 来实现连接的。

专门单独设置一个管理VLAN，用作远程管理

③网关、SVI配置

④DHCP配置

第一种方式：DHCP是在核心交换机上做的，启用DHCP功能

若通过找 DHCP 服务器进行分配，那么就需要在核心交换机上实施 DHCP 中继。

配置DHCP地址池，网关DNS

⑤出口NAT配置

NAT 指的是网络地址翻译，它的作用是把内网私网地址转换为公网地址。在进行出口操作时，会将内网私网地址转换成公网地址。

⑥服务器端口映射

把内网中某一台服务器的某一个端口映射至公网，以便外网能够直接对某台设备和服务进行访问。

⑦ACL配置

控制部门之间的互访

[]

⑧远程管理配置

远程登录，方便运维

⑨vlan修剪配置

通过进一步缩小广播域，进一步提升网络的稳定性和安全性

trunk 只允许特定划分的 vlan 通过，并非所有 vlan 都能通过。这样就使得广播的范围变小了。

三、详细配置 STP Eth-trunk

STP Eth-trunk 设定了合理的优先级，其优先级越小就越优先，并且还设置了边缘端口。

设置边缘端口的好处：可以提高网络的收敛速度，增加稳定性

千兆口连接上行，百兆口连接下行用户

<pre> <code class="prism language-python">1.STP
核心：sw1
[sw1]stp root primary //成为主根桥
接入：sw2 sw3 sw4 sw5
[sw2]port-g group-member e0/0/1 to e0/0/22 //g是group
[sw2-port-group]stp edged-port enable
2.Eth-trunk，将两条链路捆绑起来
sw1：
int eth-trunk 2
mode lacp-static
trunkport gi 0/0/1
trunkport gi 0/0/4
int eth-trunk 2
stp cost 10000
sw2：
interface eth-trunk 2
mode lacp-static
trunkport gi 0/0/1
trunkport gi 0/0/2
int eth-trunk 2
stp cost 10000 //强制这个 stp 口的开销，这样做可以优化网络，使 STP 更稳定。若一条链路断开，stp 会重新收敛。为避免这种重新收敛的情况，将其捆绑后设定一个固定 cost。

dis eth-trunk 2
省略其他交换机的配置，都是类似的
sw3--sw1 eth-trunk3
sw4--sw1 eth-trunk4
sw5--sw1 eth-trunk5
</code></pre>
VLAN

②vlan trunk

<pre> <code class="prism language-python">接入 SW2，然后接入 SW3，接着接入 SW4，再接入 SW5。创建 vlan，把相关接口划分到 vlan 中。
[sw2]vlan 10
[sw2-vlan10]vlan 20
[sw2]int eth-trunk2
[sw2-Eth-Trunk2]port link-type trunk
[sw2-Eth-Trunk2]port trunk allow-pass vlan all //all的范围就是 2 to 4094，因此这种也要修剪
[sw2]int e0/0/2
[sw2-Ethernet0/0/2]port link-type access
[sw2-Ethernet0/0/2]port default vlan 10
[sw2]int e0/0/3
[sw2-Ethernet0/0/3]port link-type access
[sw2-Ethernet0/0/3]port default vlan 20
针对交换机下很多PC，直接按组配置
[sw3]vlan 20

[sw3]int eth-trunk3
[sw3-Eth-Trunk3]port link-type trunk
[sw3-Eth-Trunk3]port trunk allow-pass vlan all
[sw3]port-g g Ethernet 0/0/3 to Ethernet 0/0/22
[sw3-port-group]port link-type access
[sw3-port-group]port default vlan 3 0
sw4 sw5 配置略
..........
核心SW1，修剪
接入交换机有的VLAN，也要在核心交换机上一并创建
[sw1]vlan 10
[sw1]vlan 20
[sw1]int eth-trunk 2
[sw1-Eth-Trunk2]port link-type trunk
[sw1-Eth-Trunk2]port trunk allow-pass vlan 10 20 999
这种就是VLAN修剪，原因：
如果是trunk all它的广播域会比较大，因为整个 trunk 链路都属于广播域，这会导致网络不稳定。
用户发送的广播报文带有 vlan10 的标签，这种广播会被发送到所有的 trunk 中，所以所有的交换机都会收到。即便之后其他交换机收到了，也不会将其发到 PC 上。
直接一次性按组配置，这种就全是all，后期要修剪比较好
[sw1]vlan batch 10 20 30 40 200
[sw1]port-g g Eth-Trunk 2 to Eth-Trunk 5
[sw1-port-group]port link type turnk
[sw1-port-group]port turnk allow-pass vlan all
</code></pre>
网关 SVI

③网关 SVI SVI就是VLAN IF接口

<pre> <code class="prism language-python">DHCP自动获取IP地址，就是通过网关来获取的
这里先配置接口
sw1: 交换机虚拟接口
int vlanif10
ip add 192.168.10.1 255.255.255.0
int vlanif20
ip add 192.168.20.1 255.255.255.0
int vlanif30
ip add 192.168.30.1 255.255.255.0
int vlanif40
ip add 192.168.40.1 255.255.255.0
int vlanif200
ip add 192.168.200.1 255.255.255.0
</code></pre>
[]

交换机接口通常情况下是不能配置 IP 地址的。因此，在这种情况下会使用 vlan if 接口来进行对接。

然后给交换机 800 配置 192.168.254.2

出口R1的ge0/0/0 配置 192.168.254.1

SW1的具体配置

<pre> <code class="prism language-python">sw1：
[sw1]vlan 800
[sw1]int g 0/0/24
port link-type access //配置成access，别配置成trunk
port default vlan 800
[sw1]int vlanif 800
ip add 192.168.254.2 255.255.255.0
</code></pre>
DHCP

④DHCP配置服务器地址是静态配置

<pre> <code class="prism language-python">sw1：
[sw1]dhcp enable
[sw1]ip pool caiwu
[sw1-ip-pool-caiwu]gateway-list 192.168.30.1
[sw1-ip-pool-caiwu]network 192.168.30.0 mask 24
[sw1-ip-pool-caiwu]dns-list 114.114.114.114 8.8.8.8
#
ip pool jishu
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_1
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_2
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
交换机查看用户请求报文，查看用户是否来自 VLAN 10。接着会查看路由表的 VLAN IF 10 上所配置的地址网段是否为 192.168.10.0 网段。之后会让用户到全局去获取地址池。
[sw1]int vlanif 10
[sw1-vlanif10]dhcp select global
[sw1]int vlanif 20
[sw1-vlanif20]dhcp select global
30 40 50 略
</code></pre>
出口路由 NAT

⑤出口路由 NAT

<pre> <code class="prism language-python">核心sw1上设置缺省路由指向出口路由器
[sw1]ip route-static 0.0.0.0 0 192.168.254.1
出口路由器上设置缺省路由 指向运营商
[R1]ip route-static 0.0.0.0 0 12.1.1.6
出去后要回来
路由器要根据路由表回去
[R1]ip route-static 192.168.0.0 16 192.168.254.2
</code></pre>
NAT

⑥NAT

<pre> <code class="prism language-python">acl 2000
rule 5 permit source 192.168.0.0 0.0.255.255
[R1]int g0/1
[ ]nat outbound 2000
</code></pre>
端口映射

⑦服务器端口映射

<pre> <code class="prism language-python">R1:
int g0/0/1
nat server protocol tcp global 12.1.1.2 80 inside 192.168.200.10 80
</code></pre>
ACL

⑧ACL配置只有财务部可以访问财务服务器

<pre> <code class="prism language-python">sw1:
acl number 3000
rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.200.20 0
rule 10 deny ip destination 192.168.200.20 0
int eth-trunk5
traffic-filter outbound acl 3000

</code></pre>
⑨配置

<pre> <code class="prism language-python">所有设备（路由交换机）都需如下配置
telnet server enable
aaa
local-user aa privilege level 3 password cipher 123
local-user aa service-type telnet
user-interface vty 0 4
authentication-mode aaa
</code></pre>
接入交换机（二层交换机）需要配置管理地址，只有交换机有了管理地址，才能够进行后续的管理操作。

使用专门的方式来管理 vlan 999 所承载的管理流量，建议把管理 IP 地址配置在一个特定的网段内，这样就可以满足需求。

管理vlan：vlan 999

管理网段：192.168.253.0/24

<pre> <code class="prism language-python">sw1：
vlan 999
int vlanif 999
ip add 192.168.253.1 24
sw2
vlan 999 //创建vlan
int vlanif 999 //配置vlan 管理地址
ip add 192.168.253.2 24
sw3 的配置略，只需将其 ip 地址的最后一位进行更改；sw4 的配置略，只需将其 ip 地址的最后一位进行更改；sw5 的配置略，只需将其 ip 地址的最后一位进行更改。
下面该缺省路由的作用是管理流量回包。每个接入层交换机都需要进行配置。
因为这里管理和业务是分开的。
[sw2]ip route-s 0.0.0.0 0 192.168.253.1 //sw2配置缺省路由回到核心交换机
sw3 sw4 sw5 配置略，一模一样的
</code></pre>
VLAN 修剪

⑨VLAN修剪

为了能让 trunk 链路上广播报文的发送范围进一步减少，广播域进一步缩小，就在 trunk 链路上进行了 VLAN 的配置过滤。

<pre> <code class="prism language-python">sw2
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
sw3 sw4 也是类似这样配置。修剪
sw1
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
</code></pre>
补充知识点

拓扑配置文件

附上网络配置（积分可以去淘宝搜一下CSDN）：

		自动登录	找回密码
密码			立即注册