文章目录
- 前言
- 一、拓扑图
- 二、数据规划
- 三、设备配置
- 四.配置命令
-
- 1.配置接入层交换机ACC1
-
- [1.1 设备命名,创建VLAN](#1.1 设备命名,创建VLAN)
- [1.2 配置eth-trunk 1](#1.2 配置eth-trunk 1)
- [1.3 配置用户端](#1.3 配置用户端)
- 2.配置核心层交换机CORE
-
- 2.1设备命名
- 2.2配置Eth-Trunk
- [2.3 vlan配置ip](#2.3 vlan配置ip)
- [2.4 上行接口配置](#2.4 上行接口配置)
- 3.DHCP配置
-
- [3.1 CORE:](#3.1 CORE:)
- 4.配置路由
-
- [4.1 CORE 静态路由:](#4.1 CORE 静态路由:)
- [4.2 出口路由器AR1相关配置](#4.2 出口路由器AR1相关配置)
- [5.ACC1和ACC2的DHCP Snooping配置(防止私接路由器)](#5.ACC1和ACC2的DHCP Snooping配置(防止私接路由器))
- 五、结尾
前言
搭建一个小型园区网络的必备技术:
- 以太网链路聚合(Eth-Trunk)
- 生成树(stp)
- 虚拟局域网(VLAN)
- 网络地址转换(NAT)
- 域名系统(DNS)
- 安全相关配置(IPSG-DHCP Snooping-ACL)
一、拓扑图
二、数据规划
| 数据项 | 描述 |
|---|---|
| VLAN | ACC1 VLAN 10,ACC2 VLAN 20,CORE VLAN 10 20 100 |
| Eth-Tunk | CORE的Eth-Trunk 1 trunk模式,Eth-Trunk 2 access模式(了解两种配置) |
| DHCP Server | CORE |
| ip地址 | CORE : vlan10 10.10.10.1/24,vlan20 20.1/24,vlan100 100.1/24 |
| 公网ip | 5.5.5.10/24 |
| 公网网关 | 5.5.5.5/24 |
| dns | 8.8.8.8 |
| 内网接口 | 10.10.100.2/24 |
三、设备配置
|------|---------------|--------|---------------------------|
| ACC1 | Eth-Trunk 1 | trunk模式,加入vlan 10,配置为LACP模式,成员接口GE0/0/1,GE0/0/2,使能DHCP snooping,配置信任接口 ||
| ACC1 | 用户端 | access模式,放行vlan10,配置为边缘端口,使能DHCP Snooping ||
| ACC1 | vlan 10 | 开启vlan 10的ip报文检查功能 ||
| ACC1 | 全局 | 配置BPDU保护,使能DHCP, 全局使能DHCP snooping ||
| ACC2 | Eth-Trunk 1 | access模式,放行vlan 10,配置为LACP模式,成员接口GE0/0/1,GE0/0/2 ||
| ACC2 | 用户端 | access模式,放行vlan10,配置为边缘端口,使能DHCP snooping ||
| ACC2 | 全局 | 配置BPDU保护,使能DHCP, 全局使能DHCP snooping ||
| CORE | Eth-Trunk 1 | trunk模式,加入vlan 10,配置为LACP模式,成员接口GE0/0/2,GE0/0/4 ||
| CORE | Eth-Trunk 2 | access模式,放行vlan 20,配置为LACP模式,成员接口GE0/0/8,GE0/0/9 ||
| CORE | vlan 10 | 10.10.10.1/24,配置从全局地址池获取ip ||
| CORE | vlan 20 | 10.10.20.1/24 ||
| CORE | vlan 100 | 10.10.100.1/24 ||
| CORE | 上行接口G0/0/1 | access模式,放行vlan100 ||
| CORE | 全局 | DHCP使能,静态出口路由 0.0.0.0 0 10.10.100.2 ||
| CORE | 全局地址池 pool 10 | 可分配 10.10.10.0/24,部门地址10.10.10.1,dns 8.8.8.8 pc2固定ip10.10.10.88 ||
| AR1 | 接口 | G0/0/0 | 10.10.100.2/24 |
| AR1 | 接口 | G0/0/1 | 5.5.5.10/24,ACL2000和nat关联 |
| AR1 | ACL 2000 | 允许访问外网的地址 ||
| AR1 | 全局 | 内网到公网的静态路由,DNS地址解析功能 ||
| AR1 |
| AR1 |
| AR1 |
| AR1 |
四.配置命令
1.配置接入层交换机ACC1
1.1 设备命名,创建VLAN
rust
#
sysname ACC1
#
vlan batch 10
#1.2 配置eth-trunk 1
rust
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10
mode lacp-static #该命令功能等同于命令mode lacp
#将成员加入Eth-Trunk 1
interface GigabitEthernet0/0/1
eth-trunk 1
interface GigabitEthernet0/0/2
eth-trunk 1
#1.3 配置用户端
rust
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
stp edged-port enable #配置为边缘端口
#
interface Ethernet0/0/3
port link-type access
port default vlan 10
stp edged-port enable
#2.配置核心层交换机CORE
2.1设备命名
rust
#
sysname ACC1
#
vlan batch 10 20 100
#2.2配置Eth-Trunk
rust
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10
mode lacp-static
#
interface Eth-Trunk2
port link-type access
port default vlan 20
mode lacp-static
#
#
interface GigabitEthernet0/0/2
eth-trunk 1
interface GigabitEthernet0/0/4
eth-trunk 1
lacp priority 100 #配置当前设备的LACP优先级,缺省为32768.值越小,优先级越高
#
interface GigabitEthernet0/0/8
eth-trunk 2
lacp priority 100 #当前接口的LACP优先级
interface GigabitEthernet0/0/9
eth-trunk 2
lacp priority 100
#2.3 vlan配置ip
rust
#
interface Vlanif10
ip address 10.10.10.1 255.255.255.0
#
interface Vlanif20
ip address 10.10.20.1 255.255.255.0
#
interface Vlanif100
ip address 10.10.100.1 255.255.255.0
#2.4 上行接口配置
rust
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#3.DHCP配置
3.1 CORE:
rust
dhcp enable
# 基于全局地址池
ip pool 10
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
# 给PC2配置一个固定ip地址
static-bind ip-address 10.10.10.88 mac-address 5489-98eb-56db
dns-list 8.8.8.8
#
ip pool 20
gateway-list 10.10.20.1
network 10.10.20.0 mask 255.255.255.0
dns-list 8.8.8.8
#
interface Vlanif10
dhcp select global
#
interface Vlanif20
dhcp select global
#4.配置路由
4.1 CORE 静态路由:
rust
# 让内网数据可以发到出口路由器AR1
ip route-static 0.0.0.0 0.0.0.0 10.10.100.2
#4.2 出口路由器AR1相关配置
rust
# 静态路由
ip route-static 0.0.0.0 0.0.0.0 5.5.5.5
ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
# 允许上网的ip和不允许
acl number 2000
rule 5 permit source 10.10.10.0 0.0.0.255
rule 10 permit source 10.10.100.0 0.0.0.255
rule 15 deny source 10.10.20.0 0.0.0.255
#接口Ip
interface GigabitEthernet0/0/0
ip address 10.10.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 5.5.5.10 255.255.255.0
nat outbound 2000
#DNS地址解析
dns resolve
dns server 8.8.8.8
dns proxy enable
#5.ACC1和ACC2的DHCP Snooping配置(防止私接路由器)
rust
# ACC1配置举例
dhcp enable
dhcp snooping enable #全局使能DHCP Snooping
#
interface Eth-Trunk1
dhcp snooping enable #接口使能DHCP Snooping
dhcp snooping trusted #配置为信任接口
# 连接用户端的接口
interface Ethernet0/0/2
dhcp snooping enable
#
interface Ethernet0/0/3
dhcp snooping enable
# 开启vlan 10报文检查功能,防止网络中仿冒源ip和MAC信息的非法用户访问
vlan 10
ip source check user-bind enable五、结尾
基础配置就这些,后面可以验证一下配置结果。
- 1.看pc能否正常通过DHCP获取Ip地址。
- 2.ping测试ping公网网关,正常是vlan 10能ping通,vlan 20不能ping通
- 3.在acc和core上dis eth-trunk + 数字 查看eth-trunk接口是否正常
- 4.dis ip routing-table 查看CORE和AR1路由表是否正常
- 5.dis ip pool name + 数字 查看CORE对应地址池使用信息
- 6.dis vlan 查看vlan的配置是否正确