使用思科搭建企业网规划训练，让网络全部互通，使用规则提高工作效率。

企业背景：

1. 某企业分为销售部、行政部、人力资源部、财务部、业务部、接待中心等主要六个部门；
2. 配置网管中心，允许网络管理员登录企业交换机和路由器对企业网络进行管理；
3. 配置服务器集群，设置FTP、DNS、WEB服务器，其中WEB服务器对外网用户提供访问；
4. 销售部和接待部配置无线ap，另外设置配置无线上网大厅WiFi，供到访客户使用；
5. 未提供工作效率，销售部不可访问互联网，另外，为保障财务部安全，财务部也不可访问互联网，销售部也不可访问财务部；

网络拓扑：

2.配置(核心层左边的第一个)三层交换机（这里不用配置vlan 70）

vlan 10
vlan 20
vlan 30
vlan 40
vlan 50
vlan 60
vlan 70
vlan 80

3.进入vlan配置模式(10，20，30，80都是一样的)

int vlan 10          # 进入 VLAN 10 接口配置模式
ip address 192.168.10.254 255.255.255.0   #配置接口 IP 地址和子网掩码
standby 10 ip 192.168.10.252    #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 priority 120        #配置 HSRP组 10 的优先级为 120
standby 10 preempt             #允许组 10 的预占,当优先级更高的 HSRP 组成员重新加入网络时，它将自动接管主机角色并开始转发数据，而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务，提高网络可靠性和可用性。
standby 10 track f0/1          #监控接口f0/1，如果它失效，就降低组 10 的优先级
ip helper-address 192.168.80.4 #配置 DHCP 中继代理
exit                #退出 VLAN 10 接口配置模式

4. 进入vlan模式（40-60）

int vlan 40    #进入vlan40
ip address 192.168.40.254 255.255.255.0     #配置ip
standby 40 ip 192.168.40.252   #配置 HSRP 组 40 的虚拟 IP 地址
standby 40 track f0/1       #监控接口f0/1，如果它失效，就降低组 10 的优先级
ip helper-address 192.168.80.4     #配置dhcp的中继代理

5.配置主根网桥和备跟网桥

#主根：（配置了优先级的就是主根）
spanning-tree vlna 10 20 30 70 root primary


#备根：（没有设置优先级的就是备根）
spanning-tree vlan 40 50 60 root secondary

6.进入跟踪接口配置ip

#进入端口
in fa 0/4   

#三层交换机和路由器必须配置这个 否则配置不了ip
（三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口）
no switchport  


#配置ip：
ip add 192.168.11.2 255.255.255.0

#开启端口
no shutdown 

7.配置链路聚合

#（以太网通道配置（三层口））
int port-channel 1 

#设置vlan中继执行的协议
switchport trunk encapsulation dot1q    

#将接口设置为中继
switchport mode trunk     

#（同时进入多种端口）
int range fastethernet 0/6-7 

#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q    

#小问题：（如果进入接口不封装是设置不了trunk模式的）
switchport mode trunk  将接口设置为taunk模式 

绑定接口
#channel-group 1 mode on  

8..然后给其他接口配置trunk模式 （这里的跟踪接口和链路聚合端口不配置）

#（同时进入多种端口）
int range fastethernet 0/1-4

 #封装模式
switchport trunk encapsulation dot1q  

#配置trunk模式
switchport mode trunk  tuank  
这里还是一样：不封装配置不了trunk模式


#最后启用三层交换机功能
ip routing

9.配置(核心层右边的第一个)三层交换机，和左边不一样的点就是：1.这里全部vlan都配置，2.虚拟网关不一样（这里是253），3.10-30不配置优先级和抢占 40，50，60，80是配置全部 70只配置ip就可以；

配置10-30vlan都一样。

int vlan 10    #进入vlan40
ip address 192.168.10.253 255.255.255.0     #配置ip
standby 10 ip 192.168.10.252   #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 track f0/1       #监控接口f0/1，如果它失效，就降低组 10 的优先级
ip helper-address 192.168.80.4     #配置dhcp的中继代理

10.配置40-60，80（配置一样），70（只配置ip）

# 进入 VLAN 40 接口配置模式
int vlan 40         

#配置接口 IP 地址和子网掩码 
ip address 192.168.40.253 255.255.255.0   

#配置 HSRP 组 10 的虚拟 IP 地址
standby 10 ip 192.168.40.252   

#配置 HSRP组 10 的优先级为 120
standby 40 priority 120      

#允许组 40 的预占,当优先级更高的 HSRP 组成员重新加入网络时，它将自动接管主机角色并开始转发数据，而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务，提高网络可靠性和可用性。
standby 40 preempt   

#监控接口f0/1，如果它失效，就降低组 10 的优先级         
standby 40 track f0/1        

#配置 DHCP 中继代理
ip helper-address 192.168.80.4 

#退出 VLAN 10 接口配置模式
exit        




#配置70
in vlan 70

 #配置ip
ip add 192.168.70.253 255.255.0


#启用三层交换机功能
ip routing

11.配置主备（和左边的三层交换机反过来，前面是10，20，30，70是主，现在是备）。

#主根：（配置了优先级的就是主根）
spanning-tree vlna 10 20 30 70 root secondary


#备根：（没有设置优先级的就是备根）
spanning-tree vlan 40 50 60 root primary

13.配置链路聚合

#（以太网通道配置（三层口））
int port-channel 1 

#设置vlan中继执行的协议
switchport trunk encapsulation dot1q    

#将接口设置为中继
switchport mode trunk     

#（同时进入多种端口）
int range fastethernet 0/6-7 

#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q    

#小问题：（如果进入接口不封装是设置不了trunk模式的）
switchport mode trunk  将接口设置为taunk模式 

绑定接口
#channel-group 1 mode on  

14.然后给其他接口配置trunk模式 （这里的跟踪接口和链路聚合端口不配置）

#（同时进入多种端口）
int range fastethernet 0/1-4

 #封装模式
switchport trunk encapsulation dot1q  

#配置trunk模式
switchport mode trunk  tuank  
这里还是一样：不封装配置不了trunk模式


#最后启用三层交换机功能
ip routing

15.进入追踪端口

#进入端口
in fa 0/4   

#三层交换机和路由器必须配置这个 否则配置不了ip
（三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口）
no switchport  


#配置ip：
ip add 192.168.12.2 255.255.255.0

#开启端口
no shutdown 

16.配置汇聚层三层交换机（三台都是一样的配置）。

#先创建vlan10-80
vlan 10-80  #自己一个一个创建 我这里就不写了


#进入多个接口
in range fa 0/1-4  

#设置接口为trunk模式   （先封装）
switchport trunk encapsulation dot1q 


#trunk模式（也就是允许所有vlan通过）
switchport mode trunk  tuank

17.配置接入层的6个交换机 （配置全部一样），第一个加vlan10，第二个加vlan20，由此类推。

#还是先创建vlan10-80
vlan 10-80


#进入多个接口
in range fa 0/1-2

#配置sccess模式
switchport mode access

#把vlan10加入到0/1-2接口中
switchport access  vlan 10

18.然后在服务器集群的交换机上加入vlan

#创建80
vlan 80


#进入多个接口
in range fa 0/3-6

#配置sccess模式
switchport mode access

#把vlan10加入到0/1-2接口中
switchport access  vlan 80


#然后给服务器配置ip
dns服务器  192.168.80.1  255.255.225.0 192.168.80.252
ftp服务器  192.168.80.2  255.255.225.0 192.168.80.252  
web服务器  192.168.80.3  255.255.225.0 192.168.80.252  
dncp服务器    192.168.80.4  255.255.225.0 192.168.80.252  

然后在dhcp的服务器上配置地址池，让pc自动获取ip。vlan10-60都配置。

最后pc

19.然后配置路由器（配置核心层上面的路由器）

#进入接口0/0
in f 0/0

#配置ip
ip add 192.168.11.1 255.255.255.0 

#启动接口
no shu


#进入接口0/1
in f 0/1

#配置ip
ip add 192.168.12.1 255.255.255.0 

#启动接口
no shu

#进入接口1/1
in f 1/1

#配置ip
ip add 192.168.2.1 255.255.255.0 

#启动接口
no shu


#进入接口1/0
in f 1/0

#配置ip
ip add 192.168.1.1 255.255.255.0 

#启动接口
no shu

20.然后配置下一个路由器

#进入接口0/0
in f 0/0

#配置ip
ip add 192.168.1.2 255.255.255.0 

#启动接口
no shu

#进入接口1/0
in s 1/0

#配置ip
ip add 200.10.10.1 255.255.255.240 

#启动接口(这里这个接口是启动不了的，因为另一个接口没有配置好)
no shu

21.在接着下一个路由器

#进入接口1/0
in s 1/0

#配置ip
ip add 200.10.10.2 255.255.255.240

#启动接口(然后就可以启动了)
no shu


#进入接口0/0
in f 0/0

#配置ip
ip add 200.10.20.1  255.255.255.240 

#启动接口
no shu

22.配置百度的ip和互联网用户

#百度服务器ip： 
200.10.20.2 255.255.255.240 200.10.20.1


互联网服务器ip：
200.10.20.3 255.255.255.240  200.10.20.1

23.然后返回网络电脑，配置ip

#网络电脑ip：
192.168.1.2  255.255.255.0  192.168.1.1

24.然后配置路由器（配置核心层上面的路由器），配置网络电脑可以远程登录

#允许同时有5个终端远程登陆
line vty 0 4   

#设置登录密码
password 123456  

#设置远程登录时，先输入用户名，再输入密码后才能登录。 而login只是要求提供密码
login local

#设置用户名（yangzheng）和密码
username yangzheng password 123456

25.然后在三层交换机上（左边的那个）配置远程登录路由器

#配置用户和密码
username yangzheng password 123456

#允许最大连接数5个
line vty 0 4

#配置密码
password 123456

#退出
exit

#修改进入特权EXEC模式的密码为123456
enable password 123456

26.取用ospf协议，三层交换机（核心层，左边那个）

#启动ospf进程，进程ID为10(进程ID取值范围是1-65535中的一个整数)，此进程号只是本地的一个标识，具有本地意义，与同一个区域中的OSPF路由器进程号没有关系，进程号不同不影响邻接关系的建立。
router ospf 10 

#宣告网络，即定义参与OSPF进程的接口或网络，并指定其运行的区域(区域0为骨干区域)，通配符掩码用来控制要宣告的范围，任何在此地址范围内的接口都运行OSPF协议，发送和接收OSPF报文，0表示精确匹配，将检查匹配地址中对应位，1表示任意匹配，不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0

27.取用ospf协议，三层交换机（核心层，右边那个）

#启动ospf进程，进程ID为10(进程ID取值范围是1-65535中的一个整数)，此进程号只是本地的一个标识，具有本地意义，与同一个区域中的OSPF路由器进程号没有关系，进程号不同不影响邻接关系的建立。
router ospf 20

#宣告网络，即定义参与OSPF进程的接口或网络，并指定其运行的区域(区域0为骨干区域)，通配符掩码用来控制要宣告的范围，任何在此地址范围内的接口都运行OSPF协议，发送和接收OSPF报文，0表示精确匹配，将检查匹配地址中对应位，1表示任意匹配，不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.70.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0

28.核心层上面的路由器配置ospf协议，

#启动ospf进程，进程ID为10(进程ID取值范围是1-65535中的一个整数)，此进程号只是本地的一个标识，具有本地意义，与同一个区域中的OSPF路由器进程号没有关系，进程号不同不影响邻接关系的建立。
router ospf 30

#宣告网络，即定义参与OSPF进程的接口或网络，并指定其运行的区域(区域0为骨干区域)，通配符掩码用来控制要宣告的范围，任何在此地址范围内的接口都运行OSPF协议，发送和接收OSPF报文，0表示精确匹配，将检查匹配地址中对应位，1表示任意匹配，不检查匹配地址中对应位。
network 192.168.11.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0

29.后面那个路由器

#启动ospf进程，进程ID为10(进程ID取值范围是1-65535中的一个整数)，此进程号只是本地的一个标识，具有本地意义，与同一个区域中的OSPF路由器进程号没有关系，进程号不同不影响邻接关系的建立。
router ospf 40

#宣告网络，即定义参与OSPF进程的接口或网络，并指定其运行的区域(区域0为骨干区域)，通配符掩码用来控制要宣告的范围，任何在此地址范围内的接口都运行OSPF协议，发送和接收OSPF报文，0表示精确匹配，将检查匹配地址中对应位，1表示任意匹配，不检查匹配地址中对应位。
network 192.168.1.0 0.0.0.255 area 0

#发布缺省路由
default-information originate

#退出
exit

#缺省路由
ip route 0.0.0.0 0.0.0.0 200.10.10.2

#设置销售部不能访问互联网主机
access-list 100 deny ip 192.168.10.0 0.0.0.255 any

#设置财务部不能访问互联网主机
access-list 100 deny ip 192.168.50.0 0.0.0.255 any

#允许其他部门访问
access-list 100 permit ip any any

#静态PAT映射
ip nat inside source list 100 interface s0/0/0

30.配置三层交换机（核心层，左边那个）

#设置销售部不能访问财务部
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255

#允许其它访问
access-list 101 permit ip any any

#进入vlan
int vlan 10

#设置出去的流量都被拒绝
ip access-group 101 in

31.以上就是全部配置，现在来测试。

远程登录，随便一台pc

32.测试销售部看看能不能ping通财务部，是不可以ping通的。

测试财务和销售能不能ping通互联网。ping不通就是对的，因为你设置了规则

测试其他4个部门能不能ping通互联网，是可以的，因为你只设置了两个部门不可以访问。

33.以上就是全部的步骤，重点：

1.允许网络管理员登录企业交换机和路由器进入管理

2.配置服务器集群，其中web服务器对外网用户提供访问

3.配置acl规则使用，允许谁访问谁，不允许谁访问我

4.配置以太通道，多条线路负载均衡，带宽提高

5.热备份路由选择协议HSRP，stp生成数协议，ospf

如果不懂，可以私信小编。