1. 程式人生 > >ccnp大型園區網實現思路解析

ccnp大型園區網實現思路解析

高可用 冗余 互載均衡 企業 實戰

園區網絡規劃拓撲圖如下:

技術分享圖片

設計思路:
區分出二層三層 (哪些地方要用到二層技術,哪些地方要用到三層技術)

二層技術(vlan vtp 端口聚合 stp )

三層(dhcp(七層) *** ospf 默認路由 nat 端口映射(七層) )

安全(acl 各種認證)

這個項目主要實現思路關鍵點之獨孤九劍:
Ip地址的規範
接口對應表的整理
主次關系的整理
分清楚什麽是二層技術什麽是三層技術
對於相同的預配置先在記事本寫好,利用crt直接粘貼復制,這樣節省時間和提高效率。
幾種交換協議的一句話理解:
Vtp 是用來簡化vlan 的配置,思科專有。公有GVRP.
Vtp 配置方法:兩臺交換機之間用trunk 相連,配置服務端與客戶端,配置相同的密碼,

域名,版本。服務器配置版本高於客戶機。
Stp pvst mst 生成樹,快速生成樹,多生成樹。
生成樹是用來防止二層環路,三層環路用路由協議來防環。原理是通過阻塞一條鏈路來防環。
Pvst 工程中主要用來對不同vlan 做冗余備份。
Mst 是pvst 的升級版,通過不同實例給vlan 做冗余備分。
HSRR VRRP GLBP 是用來給網關提供冗余備份。
通過使作幾個不同的組達到給不同vlan 提供冗余備份作用。
Ospf rip eigrp 將不同的vlan 的子網消息宣告出去。
如果trunk 有兩線,一定要放到二層組中。

實施步驟:從二層到三層 從左到右 從右到左 自上而上 自下而上

① Ip地址的規範 配置 檢查

② 配置直連路由 測試
③ 配置遠程連接
④ 配置時間
⑤ 同步時區
⑥ 關閉日誌等一系列系統初始化
參考代碼如下:
en
clock set 8:00:00 28 june 2016 \記住這個在現實生活中非常重要因為很多時間不對的話查看日誌信息可能會有問題
conf t
host r1 \語義化
clock timezone GTM 8 \設置時區
line c 0 \進入控制臺
logg sy \日誌同步,以免日誌把正常輸入打亂
no ip domain-lookup \關掉域名解析功能,不然打錯命令會等待30秒
enable password luliechu@123456 \明文密碼
enable secret luliechu@147258 \密文密碼更安全,同時明文密碼無效
username luliechu privilege 3 secret luliechu@147258 \本地用戶名和密碼並且賦予權限
line vty 0 4 \開啟遠程終端
password luliechu@123456 \vty密碼
login local \允許登錄方式為本地用戶驗證
end
write \保存配置命令

檢查ip地址配置命令:
sum_router#show ip int bri
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.10.10.2 YES manual up up
FastEthernet0/1 10.10.20.3 YES manual up up
Serial0/0/0 113.105.134.86 YES manual up up

配置ip地址命令:
Router(config)#int g0/0
Router(config-if)#ip add 10.1.1.2 255.255.255.0
Router(config-if)#no shut

測試命令 ping 10.1.1.2
註意事項:三層交換機默認是二層交換端口,使用命令no switchport來修改成為三層路由端口

----------------------------------------通用部分,系統初始化完成------------------------------

想一想那些是二層?實現思路我們自下而上實現,也就是先實現二層功能,再實現三層路由部分功能 二層交換技術上需要的功能大致如下:二層技術(vlan vtp 端口聚合 stp trunk dhcp hsrp等等 )

1)將交換機所有需要加入到tr鏈路的端口加入進來

//把所需使用vtp協議的端口線路更改為trunk模式
參考命令如下:
en
conf t
int f0/1
sw tr en d //在pt中不需要,真實環境和iou中都要加
sw mo tr
//找出局域網中核心層性能最好的兩臺交換機做為vtp server模式,其他作為client模式,創建vtp

參考命令如下:
conf t
vtp domain ccie
vtp mo server //設置為服務模式

vtp pruning // //在pt中不支持這命令,真實環境和iou中都支持這樣節省帶寬開銷

查看vtp狀態
sw1#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name : ccie
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x51 0x1C 0x38 0x66 0xF8 0xF2 0x1D 0x91
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Local updater ID is 0.0.0.0 (no valid interface found)

2)//在vtpserver上創建vlan
參考命令如下:
sw1(config)#vlan 10

查看vlan命令:show vlan

3)//在每臺交換機設備上創建管理地址,方便管理員管理
參考命令如下:
conf t
int vlan 110
ip add 172.16.20.1 255.255.255.0
no shut
End

4)//在核心層兩臺交換機上創建二層組,使用以太網端口聚合技術,實現高速負載分流
參考命令如下:
conf t
int rang f0/1-3
Channel-protocol lacp
channel-g 1 mode active
end

#查看端口聚合信息,正常情況Port-channel顯示是SU,如果顯示SD就不正常
sw1#show etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
u - unsuitable for bundling
w - waiting to be aggregated
d - default port

Number of channel-groups in use: 1
Number of aggregators: 1

Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------

1 Po1(SD) LACP Fa0/1(D) Fa0/2(D) Fa0/3(D)
sw1#show et
sw1#show etherchannel po
sw1#show etherchannel port-channel
Channel-group listing:

Group: 1

Port-channels in the group:

Port-channel: Po1 (Primary Aggregator)

Age of the Port-channel = 00d:00h:02m:35s
Logical slot/port = 2/1 Number of ports = 0
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel
Protocol = LACP
Port Security = Disabled

sw1#
sw1#show et
sw1#show etherchannel load
sw1#show etherchannel load-balance
EtherChannel Load-Balancing Configuration:
src-mac

EtherChannel Load-Balancing Addresses Used Per-Protocol:
Non-IP: Source MAC address
IPv4: Source MAC address
IPv6: Source MAC address

5)//Mst 是pvst 的升級版,通過不同實例給vlan 做冗余備分。創建了兩個實例1 2,分別將所有vlan加入到對應實例,並設置主從,實現不同實例的冗余備份
參考命令如下:

conf t
spanning-tree mode mst //在pt中不支持mst,只能用rstp來實現了,現實生活和iou上都支持
spanning-tree mst configu
instance 1 vlan 10,20,30,40
revision 1
instance 2 vlan50,60,100,110
revision 1
exit
spanning-tree mst 1 root primary
spanning-tree mst 2 root secondary
End

---------------------------------------------------------------------------------------------------------------------------------PVST 配置命令
1.啟用生成樹Switch(config)# spanning-tree vlan vlan-list
2.配置根網橋Switch(config)#spanning-tree vlan vlan-list root primary |secondary
3.修改網橋優先級Switch(config)#spanning-tree vlan vlan-list priority bridge-priority
4.修改端口成本Switch(config)#spanning-tree vlan vlan-list cost cost
5.修改端口優先級Switch(config)#spanning-tree vlan vlan-list port-priority priority
6.配置上行速鏈路Switch(config)#spanning-tree uplinkfast
7.配置速端口Switch(config-if)#spanning-tree portfast
8.查看生成樹配置show spanning-tree
9.查看VLAN 生成樹詳細信息show spanning-tree vlan vlan-id detail

En
Conf t
Spanning-tree mode rap
spanning-tree vlan 10,20,30,40 root primary
spanning-tree vlan 50,60,100,110 root seconday
End

6)在核心層交換機上為不同vlan劃分網關,實現不同vlan基於三層交換機的路由互通
參考命令如下:
conf t
int vlan 10
ip add 192.168.1.2 255.255.255.0
no shut

7)
//在核心交換機上配置hsrp實現網關高可用性,sw1是vlan10,20,30,40-的主網關,是50,60,100,110 的備用網關。
Sw2是vlan50,60,100,110的主網關,是10,20,30,40 的備網關。
註意State is Active 為主網關
State is Standby 為備網關
參考代碼如下:
----------------------------------------------------------主網關----------------------------------------
conf t
int vlan 10
standby 10 ip 192.168.1.1
standby 10 priority 105
standby 10 preempt
standby 10 track f0/7
end

--------------------------------------------------------備用網關-------------------------------------------

conf t
int vlan 50
standby 50 ip 192.168.5.1
standby 50 priority 100
standby 50 preempt
standby 50 track f0/7
end

驗證查看命令 show standby

Vlan10 - Group 10
State is Active
5 state changes, last state change 01:21:50
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0C07.AC0A
Local virtual MAC address is 0000.0C07.AC0A (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.052 secs
Preemption enabled
Active router is local
Standby router is 192.168.1.3
Priority 105 (configured 105)
Track interface FastEthernet0/7 state Up decrement 10
Group name is hsrp-Vl1-10 (default)

簡單解釋一下:
(1)Vlan10 - Group 10– Group 10 表示Vlan10 -參與了HSRP 10 組
(2)State is Active表示當前的狀態為主狀態
(3)Virtual IP address 192.168.1.1 表示HSRP 中Group 10 中的虛擬路由器的IP 地址
為192.168.1.1
(4)Active virtual MAC address is 0000.0c07.ac0a 表示HSRP 中Group 10 的MAC
地址
(5)Hello time 3 sec,hold time 10 sec 說明了Hello 的時間為3 秒,hold 的時間為10

(6)Next hello sent in 2.345 secs 說明了下一次發送Hello 消息的時間為2.345 秒
(7)Active router is 192.168.1.3, priority 105 (expires in 8.121 sec) 說明Group 10 中
的活躍路由器的IP 地址為192.168.1.3
(8)Standby router is local 說明了本路由器的狀態為備份路由器
(9)Priority 105 (default 100)說明本路由器的HSRP 優先級為105,而默認也為100(所以,
在配置路由器HSRP優先級的時候,要註意,盡量配置大於100)
10 Track interface f0/7 state Down decrement 10
IP redundancy name is "hsrp-Vl10-10" (default)主要是監控f0/2

8)在核心層交換機上配置dhcp,實現dhcp互載冗余

第一種
對於只有一個vlan 的配置
第一步,是給dhcp 命名。
第二步,指定分配的網段
第三步,增加默認的網關
第四步,增加默認的dns
第五步,增加不用分配的地址。
參考語法如下
ip dhcp pool text
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 202.96.128.86
dns-server 221.12.31.65
ip dhcp excluded-address 192.168.1.1 192.168.1.10
第二種,有多個vlan。分配置地址。
vlan 2 192.168.2.0/24
vlan 3 192.168.3.0/24
第一步,全局配置根地址池
第二步,動態配置的地址段
第三步,配置dns
第四步,配置租用日期
第五步,配置vlan2 的地址池,是全局的子池。
第六步,配置vlan2 的可分配置地址段
第七步,配置vlan2 的默認網關
參考語法如下
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3

ip dhcp pool vlan10
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 202.96.128.86

------------------------------------------內部聯通問題二層技術到此為止結束------------------------------

三層( *** ospf 默認路由 nat 端口映射 ) 我們采用自下而上的方式解決,現在下面交換部分配置全部完成,該考慮聯通性問題

1)配置ospf聯通(這裏的規劃因為廠區比較少,所以也可以采用靜態路由,isis,eigrp,rip等,現實生活中建議采用ospf))
參考命令如下:

為了提高網絡高可用性,防止環路的產生,建議配置一個環回口,也作為rid,來保障穩定性
備註:交換機默認是二層設備,要運行路由協議,需要開啟路由功能,具體命令如下
sw1(config)#ip routing

創建環回口命令:
conf t
int lo0
ip add 3.3.3.3 255.255.255.0
no shut

配置ospf命令:
Conf t
router ospf 1
router-id 2.2.2.2
log-adjacency-changes 命令可用來激活路由協議鄰接關系變化日誌的功能(例如ospf或者ISIS等)。使用該命令來生成SYSLOG信息以用於網絡操作與管理。日誌信息對於故障排除也非常有用。

network 192.168.1.2 0.0.0.0 area 0 具體到某個ip地址,這樣減少廣播風暴可以提高性能,節約開銷,對網絡性能大大提高

3)在出口網關上配置出口默認路由,出口配置動態路由協議讓全網互通。
參考命令如下:
Conf t
router ospf 1
router-id 1.1.1.1
network 113.105.134.86 0.0.0.0 area 0
default-information originate ospf中導入默認路由。
End
Conf t
ip route 0.0.0.0 0.0.0.0 Serial0/0/0 配置默認路由

4)配置nat讓公司內部可以上網
參考命令如下:
End
Conf t
En
Conf t
Int f0/0
Ip nat inside
Int f0/1
Ip nat inside
Int s0/0/0
Ip nat outside
Exit
Access-list 1 permit 192.168.1.0 0.0.0.255
Ip nat inside source list 1 int s0/0/0 overload
End
write

5)發布web服務器出去讓外網用戶能夠訪問到公司利用web服務器發布的消息
在出口路由器上配置
En
Conf t
Ip nat inside source static tcp 172.16.10.8(web服務器地址) 80 113.105.134.86 80
Access-list 1 permit 172.16.10.0 0.0.0.255
End
Write

5)將公司內部接入層交換機端口加入到對應的vlan,把電腦連接上交換機,整個公司內容項目完成!
參考命令:

En
Conf t
Int f0/0
Sw mo acc
Sw acc vlan 10

-----------------------------------------------------------end-------------------------------------------------------

安全(acl 各種認證) 實現特殊限制功能,實現***,這裏最好在gng3上演示

---------------------------------------------------謝謝大家--------------------------------------------------------

ccnp大型園區網實現思路解析