使用思科搭建企业网规划训练,让网络全部互通,使用规则提高工作效率。

企业背景:

  1. 某企业分为销售部、行政部、人力资源部、财务部、业务部、接待中心等主要六个部门;
  2. 配置网管中心,允许网络管理员登录企业交换机和路由器对企业网络进行管理;
  3. 配置服务器集群,设置FTP、DNS、WEB服务器,其中WEB服务器对外网用户提供访问;
  4. 销售部和接待部配置无线ap,另外设置配置无线上网大厅WiFi,供到访客户使用;
  5. 未提供工作效率,销售部不可访问互联网,另外,为保障财务部安全,财务部也不可访问互联网,销售部也不可访问财务部;

网络拓扑:

2.配置(核心层左边的第一个)三层交换机(这里不用配置vlan 70)

bash 复制代码
vlan 10
vlan 20
vlan 30
vlan 40
vlan 50
vlan 60
vlan 70
vlan 80

3.进入vlan配置模式(10,20,30,80都是一样的)

bash 复制代码
int vlan 10          # 进入 VLAN 10 接口配置模式
ip address 192.168.10.254 255.255.255.0   #配置接口 IP 地址和子网掩码
standby 10 ip 192.168.10.252    #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 priority 120        #配置 HSRP组 10 的优先级为 120
standby 10 preempt             #允许组 10 的预占,当优先级更高的 HSRP 组成员重新加入网络时,它将自动接管主机角色并开始转发数据,而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务,提高网络可靠性和可用性。
standby 10 track f0/1          #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4 #配置 DHCP 中继代理
exit                #退出 VLAN 10 接口配置模式
  1. 进入vlan模式(40-60)
bash 复制代码
int vlan 40    #进入vlan40
ip address 192.168.40.254 255.255.255.0     #配置ip
standby 40 ip 192.168.40.252   #配置 HSRP 组 40 的虚拟 IP 地址
standby 40 track f0/1       #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4     #配置dhcp的中继代理

5.配置主根网桥和备跟网桥

bash 复制代码
#主根:(配置了优先级的就是主根)
spanning-tree vlna 10 20 30 70 root primary


#备根:(没有设置优先级的就是备根)
spanning-tree vlan 40 50 60 root secondary

6.进入跟踪接口配置ip

bash 复制代码
#进入端口
in fa 0/4   

#三层交换机和路由器必须配置这个 否则配置不了ip
(三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口)
no switchport  


#配置ip:
ip add 192.168.11.2 255.255.255.0

#开启端口
no shutdown 

7.配置链路聚合

bash 复制代码
#(以太网通道配置(三层口))
int port-channel 1 

#设置vlan中继执行的协议
switchport trunk encapsulation dot1q    

#将接口设置为中继
switchport mode trunk     

#(同时进入多种端口)
int range fastethernet 0/6-7 

#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q    

#小问题:(如果进入接口不封装是设置不了trunk模式的)
switchport mode trunk  将接口设置为taunk模式 

绑定接口
#channel-group 1 mode on  

8..然后给其他接口配置trunk模式 (这里的跟踪接口和链路聚合端口不配置)

bash 复制代码
#(同时进入多种端口)
int range fastethernet 0/1-4

 #封装模式
switchport trunk encapsulation dot1q  

#配置trunk模式
switchport mode trunk  tuank  
这里还是一样:不封装配置不了trunk模式


#最后启用三层交换机功能
ip routing

9.配置(核心层右边的第一个)三层交换机,和左边不一样的点就是:1.这里全部vlan都配置,2.虚拟网关不一样(这里是253),3.10-30不配置优先级和抢占 40,50,60,80是配置全部 70只配置ip就可以;

配置10-30vlan都一样。

bash 复制代码
int vlan 10    #进入vlan40
ip address 192.168.10.253 255.255.255.0     #配置ip
standby 10 ip 192.168.10.252   #配置 HSRP 组 10 的虚拟 IP 地址
standby 10 track f0/1       #监控接口f0/1,如果它失效,就降低组 10 的优先级
ip helper-address 192.168.80.4     #配置dhcp的中继代理

10.配置40-60,80(配置一样),70(只配置ip)

bash 复制代码
# 进入 VLAN 40 接口配置模式
int vlan 40         

#配置接口 IP 地址和子网掩码 
ip address 192.168.40.253 255.255.255.0   

#配置 HSRP 组 10 的虚拟 IP 地址
standby 10 ip 192.168.40.252   

#配置 HSRP组 10 的优先级为 120
standby 40 priority 120      

#允许组 40 的预占,当优先级更高的 HSRP 组成员重新加入网络时,它将自动接管主机角色并开始转发数据,而非等待原来的主机失效或者手动切换。这样可以尽可能快地恢复服务,提高网络可靠性和可用性。
standby 40 preempt   

#监控接口f0/1,如果它失效,就降低组 10 的优先级         
standby 40 track f0/1        

#配置 DHCP 中继代理
ip helper-address 192.168.80.4 

#退出 VLAN 10 接口配置模式
exit        




#配置70
in vlan 70

 #配置ip
ip add 192.168.70.253 255.255.0


#启用三层交换机功能
ip routing

11.配置主备(和左边的三层交换机反过来,前面是10,20,30,70是主,现在是备)。

bash 复制代码
#主根:(配置了优先级的就是主根)
spanning-tree vlna 10 20 30 70 root secondary


#备根:(没有设置优先级的就是备根)
spanning-tree vlan 40 50 60 root primary

13.配置链路聚合

bash 复制代码
#(以太网通道配置(三层口))
int port-channel 1 

#设置vlan中继执行的协议
switchport trunk encapsulation dot1q    

#将接口设置为中继
switchport mode trunk     

#(同时进入多种端口)
int range fastethernet 0/6-7 

#封装dot1qdot1q就是 IEEE 802.1Q协议
switchport trunk encapsulation dot1q    

#小问题:(如果进入接口不封装是设置不了trunk模式的)
switchport mode trunk  将接口设置为taunk模式 

绑定接口
#channel-group 1 mode on  

14.然后给其他接口配置trunk模式 (这里的跟踪接口和链路聚合端口不配置)

bash 复制代码
#(同时进入多种端口)
int range fastethernet 0/1-4

 #封装模式
switchport trunk encapsulation dot1q  

#配置trunk模式
switchport mode trunk  tuank  
这里还是一样:不封装配置不了trunk模式


#最后启用三层交换机功能
ip routing

15.进入追踪端口

bash 复制代码
#进入端口
in fa 0/4   

#三层交换机和路由器必须配置这个 否则配置不了ip
(三层交换机上取消端口的交换机功能,将其转变为路由器接口, 就是把二层接口改为三层接口)
no switchport  


#配置ip:
ip add 192.168.12.2 255.255.255.0

#开启端口
no shutdown 

16.配置汇聚层三层交换机(三台都是一样的配置)。

bash 复制代码
#先创建vlan10-80
vlan 10-80  #自己一个一个创建 我这里就不写了


#进入多个接口
in range fa 0/1-4  

#设置接口为trunk模式   (先封装)
switchport trunk encapsulation dot1q 


#trunk模式(也就是允许所有vlan通过)
switchport mode trunk  tuank

17.配置接入层的6个交换机 (配置全部一样),第一个加vlan10,第二个加vlan20,由此类推。

bash 复制代码
#还是先创建vlan10-80
vlan 10-80


#进入多个接口
in range fa 0/1-2

#配置sccess模式
switchport mode access

#把vlan10加入到0/1-2接口中
switchport access  vlan 10

18.然后在服务器集群的交换机上加入vlan

bash 复制代码
#创建80
vlan 80


#进入多个接口
in range fa 0/3-6

#配置sccess模式
switchport mode access

#把vlan10加入到0/1-2接口中
switchport access  vlan 80


#然后给服务器配置ip
dns服务器  192.168.80.1  255.255.225.0 192.168.80.252
ftp服务器  192.168.80.2  255.255.225.0 192.168.80.252  
web服务器  192.168.80.3  255.255.225.0 192.168.80.252  
dncp服务器    192.168.80.4  255.255.225.0 192.168.80.252  

然后在dhcp的服务器上配置地址池,让pc自动获取ip。vlan10-60都配置。

最后pc

19.然后配置路由器(配置核心层上面的路由器)

bash 复制代码
#进入接口0/0
in f 0/0

#配置ip
ip add 192.168.11.1 255.255.255.0 

#启动接口
no shu


#进入接口0/1
in f 0/1

#配置ip
ip add 192.168.12.1 255.255.255.0 

#启动接口
no shu

#进入接口1/1
in f 1/1

#配置ip
ip add 192.168.2.1 255.255.255.0 

#启动接口
no shu


#进入接口1/0
in f 1/0

#配置ip
ip add 192.168.1.1 255.255.255.0 

#启动接口
no shu

20.然后配置下一个路由器

bash 复制代码
#进入接口0/0
in f 0/0

#配置ip
ip add 192.168.1.2 255.255.255.0 

#启动接口
no shu

#进入接口1/0
in s 1/0

#配置ip
ip add 200.10.10.1 255.255.255.240 

#启动接口(这里这个接口是启动不了的,因为另一个接口没有配置好)
no shu

21.在接着下一个路由器

bash 复制代码
#进入接口1/0
in s 1/0

#配置ip
ip add 200.10.10.2 255.255.255.240

#启动接口(然后就可以启动了)
no shu


#进入接口0/0
in f 0/0

#配置ip
ip add 200.10.20.1  255.255.255.240 

#启动接口
no shu

22.配置百度的ip和互联网用户

bash 复制代码
#百度服务器ip: 
200.10.20.2 255.255.255.240 200.10.20.1


互联网服务器ip:
200.10.20.3 255.255.255.240  200.10.20.1

23.然后返回网络电脑,配置ip

bash 复制代码
#网络电脑ip:
192.168.1.2  255.255.255.0  192.168.1.1

24.然后配置路由器(配置核心层上面的路由器),配置网络电脑可以远程登录

bash 复制代码
#允许同时有5个终端远程登陆
line vty 0 4   

#设置登录密码
password 123456  

#设置远程登录时,先输入用户名,再输入密码后才能登录。 而login只是要求提供密码
login local

#设置用户名(yangzheng)和密码
username yangzheng password 123456

25.然后在三层交换机上(左边的那个)配置远程登录路由器

bash 复制代码
#配置用户和密码
username yangzheng password 123456

#允许最大连接数5个
line vty 0 4

#配置密码
password 123456

#退出
exit

#修改进入特权EXEC模式的密码为123456
enable password 123456

26.取用ospf协议,三层交换机(核心层,左边那个)

bash 复制代码
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 10 

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0

27.取用ospf协议,三层交换机(核心层,右边那个)

bash 复制代码
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 20

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.70.0 0.0.0.255 area 0
network 192.168.80.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0

28.核心层上面的路由器配置ospf协议,

bash 复制代码
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 30

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.11.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0

29.后面那个路由器

bash 复制代码
#启动ospf进程,进程ID为10(进程ID取值范围是1-65535中的一个整数),此进程号只是本地的一个标识,具有本地意义,与同一个区域中的OSPF路由器进程号没有关系,进程号不同不影响邻接关系的建立。
router ospf 40

#宣告网络,即定义参与OSPF进程的接口或网络,并指定其运行的区域(区域0为骨干区域),通配符掩码用来控制要宣告的范围,任何在此地址范围内的接口都运行OSPF协议,发送和接收OSPF报文,0表示精确匹配,将检查匹配地址中对应位,1表示任意匹配,不检查匹配地址中对应位。
network 192.168.1.0 0.0.0.255 area 0

#发布缺省路由
default-information originate

#退出
exit

#缺省路由
ip route 0.0.0.0 0.0.0.0 200.10.10.2

#设置销售部不能访问互联网主机
access-list 100 deny ip 192.168.10.0 0.0.0.255 any

#设置财务部不能访问互联网主机
access-list 100 deny ip 192.168.50.0 0.0.0.255 any

#允许其他部门访问
access-list 100 permit ip any any

#静态PAT映射
ip nat inside source list 100 interface s0/0/0

30.配置三层交换机(核心层,左边那个)

bash 复制代码
#设置销售部不能访问财务部
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255

#允许其它访问
access-list 101 permit ip any any

#进入vlan
int vlan 10

#设置出去的流量都被拒绝
ip access-group 101 in

31.以上就是全部配置,现在来测试。

远程登录,随便一台pc

32.测试销售部看看能不能ping通财务部,是不可以ping通的。

测试财务和销售能不能ping通互联网。ping不通就是对的,因为你设置了规则

测试其他4个部门能不能ping通互联网,是可以的,因为你只设置了两个部门不可以访问。

33.以上就是全部的步骤,重点:

1.允许网络管理员登录企业交换机和路由器进入管理

2.配置服务器集群,其中web服务器对外网用户提供访问

3.配置acl规则使用,允许谁访问谁,不允许谁访问我

4.配置以太通道,多条线路负载均衡,带宽提高

5.热备份路由选择协议HSRP,stp生成数协议,ospf

如果不懂,可以私信小编。

相关推荐
handsomestWei4 分钟前
Nginx整合Lua脚本
运维·nginx·lua
brhhh_sehe6 分钟前
重生之我在异世界学编程之C语言:深入文件操作篇(下)
android·c语言·网络
地球空间-技术小鱼8 分钟前
YUM(Yellowdog Updater, Modified)和DNF(Dandified YUM)简介
linux·运维·服务器·笔记·学习
忆源9 分钟前
Linux高级--2.4.2 linux TCP 系列操作函数 -- 深层理解
linux·网络·tcp/ip
哈利巴多先生20 分钟前
HTTP,续~
网络·网络协议·http
白了个白i22 分钟前
http的访问过程或者访问页面会发生什么
网络·网络协议·http
@泽栖25 分钟前
阿里云-将旧服务器数据与配置完全迁移至新服务器
服务器·阿里云
ZHOUPUYU38 分钟前
Centos常用命令,按功能分类,用户和权限管理等
linux·运维·centos
赛德乌漆麻黑哟1 小时前
FOFA--网络空间资产搜索引擎(常用语法以及拓展)
网络·安全·搜索引擎
vvw&1 小时前
如何在 Ubuntu 22.04 上安装 phpMyAdmin
linux·运维·服务器·mysql·ubuntu·php·phpmyadmin