拓扑图:
配置思路:
第一步:配置接入层
??? 1、创建vlan
??? 2、设置接口模式
??? 3、加入vlan
??? 4、开启bpdu
??? 5、查看配置结果
第二步:配置核心交换机
第三步:配置出接口
第四步:配置静态路由实现互通
??? 1、分别在交换机1、2上配置一条缺省路由指向出口
??? 2、在出口路由器上配置一条缺省路由指向internet
??? 3、在出口路由器上配置主、备份路由,指向sw1、sw2
第五步:配置vrrp主、备份虚拟网关冗余
??? 1、正常情况下用户流量都是从sw1上进行处理,
??? 只有当sw1出故障后、VR肉片备份自动切换到sw2上处理
第六步:为了避免sw1、sw2之间vrrp主备份状态,
??? 需要关闭接入交换机连接上行链路接口的stp功能
第七步:配置出路由器实现上网
??? 1、配置acl,允许上网
??? 2、在连接internet的接口配置nat地址装换
??? --nat outbound 2000
??? 3、配置dns地址解析功能
??? --dns resolve
??? --dns server 8.8.8.8
??? --dns proxy enable
第八步:配置dhcp
??? 1、配置dhcp-server服务器
??? 2、配置用户从全局地址池获取IP地址
??? --dhcp select global
??? 3、通过关闭接口的stp或者把连接终端的交换
机设置为边缘端口-可解决获取地址时间较长的问题
??? --stp enable
??? --stp edged-port enable
??? 4、查看全局地址池的使用情况
??? --display ip pool
? 配置dhcp snooping和ipsg
??? 1、在接入交换机开启dhcp snooping功能
??? --dhcp enable
??? --dhcp snooping enable
??? 2、在连接终端的接口上使用dhcp snooping功能
??? --dhcp snooping enable
??? 3、在连接dhcp服务器上使用dhcp snooping功能,并将接口设置为授信任接口
??? --dhcp snooping enable
??? --dhcp snooping trusted
??? 4、为了防止网络内部用户私自更改IP地址攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能,这样从VLAN收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能
第九步:用ospf路由协议代替静态路由?? ?
??? 1、删除核心交换机的静态路由配置
??? 2、删除出接口到内网的静态路由,保留到Internet的缺省路由
??? 3、配置ospf
??? 4、出口路由器的ospf配置,为了连接内网和Internet需要指向internet的静态缺省路由,需要ospf进程引入缺省路由,同时需要配置一条缺省路指向internet
第十步:配置可靠性和负载分担
??? 1、配置VRRP联动接口检测链路:主备设备的上行接口出现故障的时通过配置VRRP与接口状态联动功能可以实现此快速切换
??? 2、配置负载分担:把VRRP主备备份配置为负载分担,一些VLAN以CORE1为主设备,另一些VLAN以CORE2为主设备,不同VLAN的流量被分配到了左右两条链路上,有效的利用现网资源
第十一步:配置链路聚合
??? 1、恢复接口默认配置
??? 2、配置链路聚合:手工负载分担(默认)和lcp模式
??? --lacp priority 100 //配置系统优先级为100,使其成为LACP主动端
第十二步:配置限速
??? 1、基于IP地址对A限速,只能在r1路由器上配置每IP限速
??? --qos car inbound source-ip-address range x.x.x.x to x.x.x.x per-address cir 1024
??? 2、基于网段总流量对B限速
??? --acl 2000
??? --rule permit source 10.1.20.0 0.0.0.255
??? --qos car inbound acl 2000 cir 2048 //访问网络速度为2M
??? --qos car outbound acl 2000 cir 4096 //下载速度为4M
第十三步:配置映射内网服务器和公网多出口
??? 1、配置内部服务器,使用公网用户通过公网地址访问内网服务器
??? --nat server protocol tcp global current-interface www inside 192.168.88.251 www
??? --nat server protocol tcp global current-interface ftp inside 192.168.88.252 ftp
??? 2、由于ftp是一个多通道协议,需要在出口路由器使用alg功能
??? --nat alg ftp enable
??? 3、配置内网用户使用公网地址访问内网服务器
??? 4、在内网接口做nat转换
??? 5、分别在内网接口下面做内部服务器映射
第十四步:验证
??? 1、从两个部门内各选一台PC进行ping测试,如果测试正常则说明三层互通正常
??? 2、部门内部选两台PC进行ping测试,如果测试正常则说明部门内二层互通正常
?