Cisco局域网部署

Posted by 404player on June 17, 2020

为了复习一下近几个星期学习的CCNA网络设备管理,特意去做了一个局域网部署的中小型项目,虽然说是中小型项目,其实就是将局域网框架简化成一个基本架构去进行简单的部署,花了不少时间整理思路和排错,总算是搭出来一个可以相互ping且可以进行简单设备管理的局域网。


项目需求


思路整理

项目需求其实就是一个清晰的配置流程了,在现实的工程环境中,并不会一步步给你写好,所以对整个配置流程进行一个详尽的学习是非常有必要的。

除了一开始对设备的用户名密码配置外,首先就要跑trunk技术,因为不打标签就没法跑后面的VTP技术。

而且,在配置三层交换机之前,必须先要把交换机之间的环路问题给解决好,所以对PVST的配置又要在l3 Swithing技术配置之前。

最后,网络设备的配置中有个规定:先保证链路的连通问题,再去考虑链路的冗余和安全问题。所以在私有网络内,交换冗余和安全策略放在最后配置。

当然,在配置完二三层交换机,要配置路由器,保证局域网内的设备可以访问互联网。

所以整一个配置顺序就是:Trunk->VTP->PVST->L3 Swithing/dhcp->etherchannel->port-security->router

这就是配置局域网的一个思路整理。


设备管理

① 搭建好拓扑后,启动console,对所有标签页执行以下命令。

conf t
no ip do lo
line con 0
logg syn
exec-t 0 0
line vty 0 15
logg syn
exec-t 0 0
end

② 设置所有设备的本地用户名和密码以及特权密码,同样也在所有标签页下执行命令。

username PingingLab secret CCIE
line con 0
login local
line vty 0 15
login local
end

③ 设置交换机vlan 1 的地址

SW1:
int vlan 1
ip address 192.168.1.1 255.255.255.0

sw2:
int vlan 1
ip add 192.168.1.2 255.255.255.0

SW3:
int vlan 1
ip add 192.168.1.3 255.255.255.0

交换技术

① 配置trunk技术

#以SW1为例子

int range f0/1 - 3
sw tr encapsulation dot1q
sw mode tr
sw tr native vlan 10
sw tr allowed vlan 1,10,20,1002-1005  
  
#检查配置
show int trunk
show run int f0/0

② 配置vtp技术

#SW1

vlan database
vtp server
vtp domain PingingLab
vtp password cisco
vtp pruning


# SW2 && SW3

vlan database
vtp client
vtp domain PingingLab
vtp password cisco

#SW1上创建vlan

vlan database
vlan 10
vlan 20  

#将SW3用户接口放入vlan中

conf t
int f0/2
sw mode ac
sw ac vlan 10
int f0/3
sw mode ac
sw ac vlan 20  
  
#排错命令  
  
show vtp status 
show vlan-switch bri

注意:确保配置好vtp后再创建vlan,否则vlan有可能无法通告

③ 配置STP技术

 #配置PVST

 SW1# spanning-tree vlan 10 root primary
 SW1# spanning-tree vlan 20 root secondary

 SW2# spanning-tree vlan 10 root secondary
 SW1# spanning-tree vlan 20 root primary  

 #排错命令  
   
show spanning-tree vlan 10/20 bri 
show spanning-tree summary 
  
#STP增强特性配置  
  
SW3#  conf t
SW3#  int range f0/2 , f0/3
SW3#  spanning-tree portfast 

SW3#  conf t
SW3#  spanning-tree uplinkfast  
  
#Backbonefast在三个设备下都要做

spanning-tree backbonefast


l3 swithing技术

#配置vlan地址  
  
SW1#  conf t
SW1#  int vlan 10
SW1#  ip add 192.168.10.254 255.255.255.0
SW1#  exit
SW1#  int vlan 20
SW1#  ip add 192.168.10.253 255.255.255.0

SW2#  conf t
SW2#  int vlan 10
SW2#  ip add 192.168.10.253 255.255.255.0
SW2#  exit
SW2#  int vlan 20
SW2#  ip add 192.168.10.254 255.255.255.0   
  
#配置dhcp服务  

SW1# ip dhcp pool VLAN10
SW1# network 192.168.10.0 255.255.255.0
SW1# default-router 192.168.10.254  
SW1# dns-server 8.8.8.8 114.114.114.114 
SW1# ip dhcp pool VLAN20
SW1# network 192.168.20.0 255.255.255.0
SW1# default-router 192.168.20.254
SW1# dns-server 8.8.8.8 114.114.114.114
SW1# exit
SW1# ip dhcp excluded-address 192.168.10.254
SW1# ip dhcp excluded-address 192.168.20.254
SW1# ip dhcp excluded-address 192.168.10.253
SW1# ip dhcp excluded-address 192.168.20.253

#SW2的配置跟SW1一样  
  
#PC1 conf t
#PC1 int f0/0  
#PC1 ip add dhcp  
  
#PC2的配置跟PC1一样  
  
#排错命令  
  
show ip int bri 
show run | s dhcp
show ip route  
ping  default-router  

Etherchannel技术

#已经配置了trunk,直接配置Etherchannel就可以  
  
conf t
int range f0/1 , f0/2  
channel-group 1 mode on  
  
#排错命令  

show ehterchannel summary
show int port-channel 1

Port-security技术 (GNS3暂时没法实现)

SW3# conf t
SW3# int range f0/2 , f0/3
SW3# switchport port-security
SW3# switchport port-security mac-address sticky
SW3# switchport port-security max 1
SW3# switchport port-security violation shutdown  

#排错命令  
  
show run #看看是否有显示mac  
show run int f0/1

路由技术

① 部署ospf路由协议,并通告到骨干网络

#首先要将三层交换机开启路由功能  
  
SW1# conf t
SW1# int f0/0
SW1# no sh
SW1# no switchport  

#配置接口的ip  

SW1# ip add 172.16.1.10 255.255.255.0  
  
#SW2的配置方法跟SW1的差不多  
#还有一种开启路由功能的方法  
  
SW2# conf t
SW2# int f0/0
SW2# no sh
SW2# sw mode ac
SW2# switchport access vlan 100
SW2# int vlan 100
SW2# ip add 172.16.2.20 255.255.255.0  
  
#华为厂商就是使用这种做法开启路由功能的  
  
#配置路由器接口IP

R1# conf t
R1# int f1/0
R1# no sh
R1# ip add 172.168.1.1 255.255.255.0  
R1# int f2/0
R1# ip add 172.168.2.1 255.255.255.0

#配置连到互联网的地址

R1# int f0/0
R1# no sh
R1# ip add 100.1.1.1


#跑ospf

R1# conf t
R1# router ospf 100
R1# router-id 1.1.1.1
R1# network 172.16.1.0 0.0.0.255 area 0
R1# network 172.16.2.0 0.0.0.255 area 0  
  
#互联网的链路,不需要通告  

#排错命令

show run | s r o
show ip ospf neighbor
show ip route ospf
  
#三层交换机不仅要通告直连网段,下层的网段也需要通告  
  
SW1# conf t
SW1# router ospf 100
SW1# router-id 10.10.10.10  
SW1# network 192.168.10.0 0.0.0.255 area 0
SW1# network 192.168.20.0 0.0.0.255 area 0
SW1# network 172.16.1.0 0.0.0.255 area 0

#SW2的配置跟SW1差不多 

② 部署默认路由,用于访问互联网

R2#  conf t
R2#  int f0/0
R2#  no sh
R2#  ip add 100.1.1.2 255.255.255.0
  
R1#  conf t
R1#  ip route 0.0.0.0 0.0.0.0 100.1.1.2  
  
#排错命令
show run | include ip route 
show ip route static

R2暂时ping不通,因为没有路由指回局域网,配置了NAT地址翻转,就可以指回来


安全策略

还未进行学习,学习后再实现需求


总结& 学到的知识

这次进行局域网部署需要总结的有两点。

第一点是关于SVI接口的。题目中有需求是让我配置vlan 10/20的地址,其实这种说法欠妥。在交换机中给 vlan赋地址其实是在交换机中配置逻辑地址,这跟物理接口不同,SVIswitch virtual interfaces并不是硬件层面存在的接口,它只是设定一个接口ip,让局域网内其他设备可以远程登录进行管理或通信。另外一点值得说明的是,DHCP服务也是通过这个逻辑接口和配置DHCP的时候设置的default-router相匹配,去识别去给哪个vlan分配地址。

第二点是关于主备网关的配置,在配置网关的时候我就有一个疑惑,既然分了主备网关,为什么在配置SW1dhcp pool VLAN20的时候设置default-router192.168.20.254而非192.168.10.253。原因是这样的,假如设定了253,在进行dhcp request的时候,PC2发送的请求包将会同时被两台三层交换机识别并返回数据包,此时PC2将会即获取到网关254又获取到网关253,这样与题目就造成矛盾。至于主备网关的备用服务,是在主网关宕机时,可通过手动配置指向备用网关。

关于网络方面的知识我还是知之甚少,希望在今后的学习中不断积累,继续分享。