1、单核心单出口综合实验案例场景描述:某学校的网络拓扑如下图所示。其中CR是网络的出口设备,61.1.1.254为互联网上的一个服务器。运营商给学校分配的公网地址为:61.1.1.261.1.1.5。网络连接与相关地址如拓扑图标示所示(三层设备互联地址自行规划),用户接入VLAN为10和20,服务器VLAN为200,网管主机的VLAN为100,交换机管理VLAN为VLAN1,用户和服务器网关为本网段最后一位。如果你是售后网络工程师,请按照以下用户需求完成设备调试:1按照拓扑做好场景的搭建和线缆连接,所有设备上未接入用户的接口,必须物理关闭;为了减少网络中的广播,trunk链路必须进行VLAN修剪。
2、2Vlan10、VLAN 20用户通过DHCP服务器CR动态获得IP地址;Server和网管主机的地址为手工指定(service 与网关主机不在DHCP地址池的范围,因此不需要排除地址)3在CR上配置VLAN10和VLAN20的DHCP Server,只允许VLAN10的用户通过NAT访问外网(能ping通61.1.1.254),为了保证服务器的安全,VLAN10的用户不能访问电子图书服务器,VLAN20可以访问,但不能上网。(在出口路由CR创建NAT)4为保证网管主机的安全,VLAN10和VLAN20的主机不能访问网管主机。(在核心创建ACL)5所有设备开启远程管理,仅允许网络管理员(172
3、.16.100.1/24)可以远程管理设备。(在所有设备的linevty模式配置ACL)6电子图书服务器对外提供WWW服务,映射地址为61.1.1.5。7SW26要能防用户私自架设DHCP服务器,所有用户的端口必须能防止环路,能防arp欺骗;8所有设备按照拓扑要求命名,设置telnet密码为:ruijie;特权密码为:admin;密码不允许明文显示9二层设备的管理地址为172.16.1.0/24网段,网关为172.16.1.254/24实际拓扑端口修正以及设备型号:第一步:IP地址规划设计1.二层设备DS-OA和DS-LS设备配置地址规划:设备名字设备型号VLAN IP(不是网段)VLAN用途
4、网关:OA-01S2628GVlan10:172.16.10.254/24用户PC接入VLAN10172.16.10.254Vlan1:172.16.1.1/25二层交换机管理172.16.1.126SA-01S2628GVLAN20:172.16.20.254/24用户PC接入VLAN 20172.16.20.254Vlan1:172.16.1.129/25二层交换机管理172.16.1.254OA-01开一个loopback 0:172.16.10.2/24valn 10SA-01 开一个loopback 0 172.16.20.2/24vlan 20代替PC主机进行测试有如下配置网关的想
5、法:设备管理IP网段:172.16.1.0/24两台二层因此设计为:网段:172.16.1.0/25 VLAN1 IP:172.16.1.1/25网关 172.16.1.126和网段:172.16.1.128/25 vlan1 IP:172.16.1.129网关:172.16.1.254 子网掩码:”255.255.255.1282.三层汇聚交换机设备OA-01和SA-01具体地址规划:设备名字设备型号VLANVLAN用途OA-01S3760E-24Vlan1:172.16.1.126/25汇聚层交换机管理SA-01S3760E-24Vlan1:172.16.1.254/25汇聚层交换机管理3
6、.核心交换机设备CS和CR具体地址规划设备名字设备型号VLANVLAN用途CSS3760E-24Vlan100:172.16.100.254/24核心交换机管理地址以及网关VLAN100CRRSR20Vlan1:172.16.100.253/24出口交路由管理4.设备互联地址段设计互联IP网段本地地址(上联)本地设备本端端口对端地址(下联)对端设备对端端口172.16.253.0/30172.16.253.2/30DS-OAF0/24172.16.253.1/30CSF0/1172.16.253.4/30172.16.253.6/30DS-LSF0/24172.16.253.5/30CSF0/
7、2172.16.253.252/30172.16.253.254/30CSF0/24172.16.253.253/30CRGE0/05.已分配地址总计总体网段设计: 172.16.0.0/16网段所属VLAN用途172.16.10.0/24VLAN 10用户组1172.16.20.0/24VLAN 20用户组2172.16.30.0/24-172.16.90.0/24VLAN 30-90用户扩展备用172.16.100.0/24VLAN 100网管主机172.16.110.0/24-172.16.120.0/24Valn110-190扩展172.16.200.0/24VLAN 200电子图书服
8、务器172.16.254.0/24LOOPBACK172.16.253.0/24设备互联网段172.16.1.0/24二层设备管理第二步:网络设备功能设计所有设计设计单核心所学所有知识:1.接入层设计:OA-01 与 SA-01 功能设计(1)VLAN与TRUNK配置:设备:OA-01:Ruijie(config)#hostname DA-01DA-01(config)#endDA-01#config tDA-01(config)#vlan 10DA-01(config-vlan)#endDA-01#config tDA-01(config)#interface vlan 10DA-01(co
9、nfig-if-VLAN 10)#exitDA-01(config)#interface fa0/1DA-01(config-if-FastEthernet 0/1)#switch mode access DA-01(config-if-FastEthernet 0/1)#switchport access vlan 10DA-01(config-if-FastEthernet 0/1)#exit DA-01(config)#interface vlan 1DA-01(config-if-VLAN 1)#ip add 172.16.1.1 255.255.255.128DA-01(config
10、-if-VLAN 1)#endDA-01(config-if-FastEthernet 0/24)#switch mode accessDA-01(config-if-FastEthernet 0/24)#switch mode trunk二层设备S2628 无法设置网关网关:只有IP default-network 没有ip default-gateway因此配置:ip route 0.0.0.0 0.0.0.0 172.16.1.126 作为网关的代替配置配好网关后二层交换机可以ping通跨网段172.16.253.2但是同样跨网段却ping 不通 172.16.100.1 网段Ip设备:
11、LS-01:Ruijie(config)#hostname LS-01LS-01(config)#vlan 20LS-01(config-vlan)#exitLS-01(config)#LS-01(config)#interface vlan 1LS-01(config-if-VLAN 1)#ip add 192.168.1.129 255.255.255.128(发现的第一次错误)更改:LS-01(config-if-VLAN 1)#ip add 172.16.1.129 255.255.255.128LS-01(config-if-VLAN 1)#endLS-01(config-if-VL
12、AN 1)#exitLS-01(config)#interface fa0/1LS-01(config-if-FastEthernet 0/1)#switch mode accessLS-01(config-if-FastEthernet 0/1)#switch access vlan 20LS-01(config-if-FastEthernet 0/1)#exitLS-01(config)#LS-01(config)#interface fa0/24LS-01(config-if-FastEthernet 0/24)#switch mode accessLS-01(config-if-Fas
13、tEthernet 0/24)#switch mode trunkLS-01(config)#LS-01(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.254LS-01(config)#(2)关闭闲置的物理端口:设备:OA-01:OA-01(config)#OA-01(config)#interface range fa0/2-23OA-01(config-if-range)#shutdownOA-01(config-if-range)#OA-01(config-if-range)#exitOA-01(config)#OA-01(config)#inter
14、face range gi0/25-26OA-01(config-if-range)#shutsown设备:LS-01:LS-01(config)#LS-01(config)#interface range fa0/2-23LS-01(config-if-range)#shutdownLS-01(config-if-range)#LS-01(config-if-range)#exitLS-01(config)#LS-01(config)#interface range gi0/25-26LS-01(config-if-range)#shutsown(3)trunk口VLAN修剪:Switch(
15、config)# interface fastethernet 0/2Switch(config-if)# switchport trunk allowed vlan remove 20LS-01(config-if-FastEthernet 0/24)#switchport trunk allowed vlan ?addAdd VLANs to the current listall All VLANs(误删恢复)except All VLANs except the followingremove Remove VLANs from the current listOA-01(config
16、-if-FastEthernet 0/24)#switchport trunk allowed vlan remove 2-9OA-01(config-if-FastEthernet 0/24)#switchport trunk allowed vlan remove 11-4094OA-01(config-if-FastEthernet 0/24)#endOA-01#*Oct 12 02:14:12: %SYS-5-CONFIG_I: Configured from console by consoleLS-01(config-if-FastEthernet 0/24)#switchport
17、 trunk allowed vlan remove 2-19LS-01(config-if-FastEthernet 0/24)#switchport trunk allowed vlan remove 21-4094LS-01(config-if-FastEthernet 0/24)#endLS-01#*Oct 12 02:14:12: %SYS-5-CONFIG_I: Configured from console by console(4)防止私自设立DHCP服务器:设备:OA-01:DA-01(config)#DA-01(config)#DA-01(config)#ipdhcp sn
18、oopingDA-01(config)#interface fa0/24DA-01(config-if-FastEthernet 0/24)#ipdhcp snooping trustDA-01(config-if-FastEthernet 0/24)#设备:LS-01:LS-01#config tLS-01(config)#ipdhcp snoopingLS-01(config)#interface fa0/24LS-01(config-if-FastEthernet 0/24)#ipdhcp snooping trustLS-01(config-if-FastEthernet 0/24)#
19、LS-01(config-if-FastEthernet 0/24)#end(5)防止出现环路:设备:OA-01:DA-01enDA-01#DA-01#DA-01#config tEnter configuration commands, one per line. End with CNTL/Z.DA-01(config)#DA-01(config)#rldp enableDA-01(config)#int range fa0/1-24DA-01(config-if-range)#rldp port loop-detect shutdown-portDA-01(config-if-range
20、)#exit自动恢复时间为300SDA-01(config)#errdisable recovery interval 300DA-01(config)#exitDA-01#*Oct 12 01:51:17: %SYS-5-CONFIG_I: Configu环路测试:设备:LS-01:LS-01(config)#LS-01(config)#rldp enableLS-01(config)#int range fa0/1-24LS-01(config-if-range)#rldp port loop-detect shutdown-portLS-01(config-if-range)#exitL
21、S-01(config)#LS-01(config)#errdisable recovery interval 300LS-01(config)#exitLS-01#LS-01#环路测试:(6)防止ARP欺骗:因为之前已经开启了DHCP snooping,并且地址是动态获取的,因此:采用:DHCP Snooping + IP Source guard + ARP-check方案之前已经开启了DHCP snooping开启IPSEG功能LS-01(config)#interface fa0/1LS-01(config-if-FastEthernet 0/1)#ip verify source p
22、ort-securityLS-01(config-if-FastEthernet 0/1)#arp-checkLS-01(config-if-FastEthernet 0/1)#exitLS-01(config)#验证:2.汇聚层设计:DS-OA 与DS-LS功能设计(1)VLAN与TRUNK配置:设备DS-OA:Ruijie(config)#hostname DS-OADS-OA(config)#DS-OA(config)#endDS-OA#config tDS-OA(config)#vlan 10DS-OA(config-vlan)#exitDS-OA(config)#interface
23、vlan 10DS-OA(config-if-VLAN 10)#ip add 172.16.10.254 255.255.255.0DS-OA(config-if-VLAN 10)#exitDS-OA(config)#interface vlan 1DS-OA(config-if-VLAN 1)#ip add 172.16.1.126 255.255.255.128DS-OA(config-if-VLAN 1)#endDS-OA#*Oct 11 15:04:10: %SYS-5-CONFIG_I: Configured from console by consoleDS-OA(config)#
24、DS-OA(config)#interface fa0/1DS-OA(config-if-FastEthernet 0/1)#switch mode accessDS-OA(config-if-FastEthernet 0/1)#switch mode trunkDS-OA#DS-OA#wr设备DS-LS:Ruijie(config)#Ruijie(config)#hostname DS-LSDS-LS(config)#vlan 20DS-LS(config-vlan)#exitDS-LS(config)#DS-LS(config)#interface vlan 20DS-LS(config-
25、if-VLAN 20)#ip add 172.16.20.254 255.255.255.0DS-LS(config-if-VLAN 20)#exitDS-LS(config)#interface vlan 1DS-LS(config-if-VLAN 1)#ip add 172.16.1.254 255.255.255.128DS-LS(config-if-VLAN 1)#exitDS-LS(config)#DS-LS(config)#interface fa0/1DS-LS(config-if-FastEthernet 0/1)#switch mode accessDS-LS(config-
26、if-FastEthernet 0/1)#switch mode trunkDS-LS(config-if-FastEthernet 0/1)#(2)关闭闲置的物理端口:设备DS-OA:DS-OA(config)#DS-OA(config)#interface range fa0/2-23DS-OA(config-if-range)#shutdownDS-OA(config)#DS-OA(config)#interface range gi0/25-26DS-OA(config-if-range)#shutdown设备DS-LS:DS-LS(config)#DS-LS(config)#inte
27、rface range fa0/2-23DS-LS(config-if-range)#shutdownDS-LS(config)#DS-LS(config)#interface range gi0/25-26DS-LS(config-if-range)#shutdown(3)trunk口vlan修剪:DS-OA(config-if-FastEthernet 0/1)#switchport trunk allowed vlan remove 2-9DS-OA(config-if-FastEthernet 0/1)#$k allowed vlan remove 11-4094 DS-LS(conf
28、ig-if-FastEthernet 0/1)#switchport trunk allowed vlan remove 2-19DS-LS(config-if-FastEthernet 0/1)#$k allowed vlan remove 21-4094 (4)汇聚层与核心层的设备互联:设备DS-OA:DS-OA(config)#interface fa0/24DS-OA(config-if-FastEthernet 0/24)#no switchportDS-OA(config-if-FastEthernet 0/24)#ip add 172.16.253.2 255.255.255.2
29、52DS-OA(config-if-FastEthernet 0/24)#exitDS-OA(config)#连通性测试:利用用户主机:172.16.10.1 ping 汇聚层DS-OA的出口地址:172.16.253.2/30设备DS-LS:DS-LS#config tDS-LS(config)#interface fa0/24DS-LS(config-if-FastEthernet 0/24)#no switchportDS-LS(config-if-FastEthernet 0/24)#ip add 172.16.253.6 255.255.255.252DS-LS(config-if-
30、FastEthernet 0/24)#exitDS-LS(config)#DS-LS(config)#连通性测试:利用用户主机:172.16.20.1 ping 汇聚层DS-LS的出口地址:172.16.253.6/30(5)汇聚层静态路由表:设备DS-OA:出口默认路由一条:DS-OA(config)#DS-OA(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.1DS-OA(config)#end在核心CR指定回指路由设备DS-LS:DS-LS(config)#DS-LS(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.5DS-LS(config)#end(6)汇聚层DHCP中继:设备DS-OA:DS-OA#DS-OA#config tDS-OA(config)#service dhcpDS-OA(config)#ip helper-ad
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 