文章目录
- 前言
- 一、拓扑图
- 二、数据规划
- 三、设备配置
- 四.配置命令
- 1.配置接入层交换机ACC1
- 1.1 设备命名,创建VLAN
- 1.2 配置eth-trunk 1
- 1.3 配置用户端
- 2.配置核心层交换机CORE
- 2.1设备命名
- 2.2配置Eth-Trunk
- 2.3 vlan配置ip
- 2.4 上行接口配置
- 3.DHCP配置
- 3.1 CORE:
- 4.配置路由
- 4.1 CORE 静态路由:
- 4.2 出口路由器AR1相关配置
- 5.ACC1和ACC2的DHCP Snooping配置(防止私接路由器)
- 五、结尾
前言
搭建一个小型园区网络的必备技术:
- 以太网链路聚合(Eth-Trunk)
- 生成树(stp)
- 虚拟局域网(VLAN)
- 网络地址转换(NAT)
- 域名系统(DNS)
- 安全相关配置(IPSG-DHCP Snooping-ACL)
一、拓扑图
二、数据规划
| 数据项 | 描述 |
|---|---|
| VLAN | ACC1 VLAN 10,ACC2 VLAN 20,CORE VLAN 10 20 100 |
| Eth-Tunk | CORE的Eth-Trunk 1 trunk模式,Eth-Trunk 2 access模式(了解两种配置) |
| DHCP Server | CORE |
| ip地址 | CORE : vlan10 10.10.10.1/24,vlan20 20.1/24,vlan100 100.1/24 |
| 公网ip | 5.5.5.10/24 |
| 公网网关 | 5.5.5.5/24 |
| dns | 8.8.8.8 |
| 内网接口 | 10.10.100.2/24 |
三、设备配置
| ACC1 | Eth-Trunk 1 | trunk模式,加入vlan 10,配置为LACP模式,成员接口GE0/0/1,GE0/0/2,使能DHCP snooping,配置信任接口 | |
| 用户端 | access模式,放行vlan10,配置为边缘端口,使能DHCP Snooping | ||
| vlan 10 | 开启vlan 10的ip报文检查功能 | ||
| 全局 | 配置BPDU保护,使能DHCP, 全局使能DHCP snooping | ||
| ACC2 | Eth-Trunk 1 | access模式,放行vlan 10,配置为LACP模式,成员接口GE0/0/1,GE0/0/2 | |
| 用户端 | access模式,放行vlan10,配置为边缘端口,使能DHCP snooping | ||
| 全局 | 配置BPDU保护,使能DHCP, 全局使能DHCP snooping | ||
| CORE | Eth-Trunk 1 | trunk模式,加入vlan 10,配置为LACP模式,成员接口GE0/0/2,GE0/0/4 | |
| Eth-Trunk 2 | access模式,放行vlan 20,配置为LACP模式,成员接口GE0/0/8,GE0/0/9 | ||
| vlan 10 | 10.10.10.1/24,配置从全局地址池获取ip | ||
| vlan 20 | 10.10.20.1/24 | ||
| vlan 100 | 10.10.100.1/24 | ||
| 上行接口G0/0/1 | access模式,放行vlan100 | ||
| 全局 | DHCP使能,静态出口路由 0.0.0.0 0 10.10.100.2 | ||
| 全局地址池 pool 10 | 可分配 10.10.10.0/24,部门地址10.10.10.1,dns 8.8.8.8 pc2固定ip10.10.10.88 | ||
| AR1 | 接口 | G0/0/0 | 10.10.100.2/24 |
| G0/0/1 | 5.5.5.10/24,ACL2000和nat关联 | ||
| ACL 2000 | 允许访问外网的地址 | ||
| 全局 | 内网到公网的静态路由,DNS地址解析功能 | ||
四.配置命令
1.配置接入层交换机ACC1
1.1 设备命名,创建VLAN
#
sysname ACC1
#
vlan batch 10
#
1.2 配置eth-trunk 1
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10
mode lacp-static #该命令功能等同于命令mode lacp
#将成员加入Eth-Trunk 1
interface GigabitEthernet0/0/1
eth-trunk 1
interface GigabitEthernet0/0/2
eth-trunk 1
#
1.3 配置用户端
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
stp edged-port enable #配置为边缘端口
#
interface Ethernet0/0/3
port link-type access
port default vlan 10
stp edged-port enable
#
2.配置核心层交换机CORE
2.1设备命名
#
sysname ACC1
#
vlan batch 10 20 100
#
2.2配置Eth-Trunk
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10
mode lacp-static
#
interface Eth-Trunk2
port link-type access
port default vlan 20
mode lacp-static
#
#
interface GigabitEthernet0/0/2
eth-trunk 1
interface GigabitEthernet0/0/4
eth-trunk 1
lacp priority 100 #配置当前设备的LACP优先级,缺省为32768.值越小,优先级越高
#
interface GigabitEthernet0/0/8
eth-trunk 2
lacp priority 100 #当前接口的LACP优先级
interface GigabitEthernet0/0/9
eth-trunk 2
lacp priority 100
#
2.3 vlan配置ip
#
interface Vlanif10
ip address 10.10.10.1 255.255.255.0
#
interface Vlanif20
ip address 10.10.20.1 255.255.255.0
#
interface Vlanif100
ip address 10.10.100.1 255.255.255.0
#
2.4 上行接口配置
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
3.DHCP配置
3.1 CORE:
dhcp enable
# 基于全局地址池
ip pool 10
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
# 给PC2配置一个固定ip地址
static-bind ip-address 10.10.10.88 mac-address 5489-98eb-56db
dns-list 8.8.8.8
#
ip pool 20
gateway-list 10.10.20.1
network 10.10.20.0 mask 255.255.255.0
dns-list 8.8.8.8
#
interface Vlanif10
dhcp select global
#
interface Vlanif20
dhcp select global
#
4.配置路由
4.1 CORE 静态路由:
# 让内网数据可以发到出口路由器AR1
ip route-static 0.0.0.0 0.0.0.0 10.10.100.2
#
4.2 出口路由器AR1相关配置
# 静态路由
ip route-static 0.0.0.0 0.0.0.0 5.5.5.5
ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
# 允许上网的ip和不允许
acl number 2000
rule 5 permit source 10.10.10.0 0.0.0.255
rule 10 permit source 10.10.100.0 0.0.0.255
rule 15 deny source 10.10.20.0 0.0.0.255
#接口Ip
interface GigabitEthernet0/0/0
ip address 10.10.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 5.5.5.10 255.255.255.0
nat outbound 2000
#DNS地址解析
dns resolve
dns server 8.8.8.8
dns proxy enable
#
5.ACC1和ACC2的DHCP Snooping配置(防止私接路由器)
# ACC1配置举例
dhcp enable
dhcp snooping enable #全局使能DHCP Snooping
#
interface Eth-Trunk1
dhcp snooping enable #接口使能DHCP Snooping
dhcp snooping trusted #配置为信任接口
# 连接用户端的接口
interface Ethernet0/0/2
dhcp snooping enable
#
interface Ethernet0/0/3
dhcp snooping enable
# 开启vlan 10报文检查功能,防止网络中仿冒源ip和MAC信息的非法用户访问
vlan 10
ip source check user-bind enable
五、结尾
基础配置就这些,后面可以验证一下配置结果。
- 1.看pc能否正常通过DHCP获取Ip地址。
- 2.ping测试ping公网网关,正常是vlan 10能ping通,vlan 20不能ping通
- 3.在acc和core上dis eth-trunk + 数字 查看eth-trunk接口是否正常
- 4.dis ip routing-table 查看CORE和AR1路由表是否正常
- 5.dis ip pool name + 数字 查看CORE对应地址池使用信息
- 6.dis vlan 查看vlan的配置是否正确
