本文档详细介绍了企业网络的配置过程,包括LSW2和LSW3的VLAN、Eth-Trunk、边缘端口及BPDU保护设置,LSW1的VLAN、路由配置,以及DHCP服务器的配置。同时,为防止非法DHCP服务器,实施了DHCPSnooping和IPSG功能。此外,还配置了AR1路由器以实现内外网通信,并设置了DNS解析。最后,讨论了网络延迟问题及其解决方案。
1.配置LSW2
(1)[LSW2]vlan batch 10 //创建业务VLAN 10
(2)配置连接AR1的Eth-Trunk1,透传A的VLAN
[LSW2]int Eth-Trunk 1
[LSW2-Eth-Trunk1]port link-type trunk
[LSW2-Eth-Trunk1]port trunk allow-pass vlan 10
[LSW2-Eth-Trunk1]mode lacp
[LSW2-Ethernet0/0/2]eth-trunk 1
[LSW2-Ethernet0/0/3]eth-trunk 1
(3)配置连接用户的接口,使用户加入VLAN,并将接口配置成边缘端口
[LSW2-Ethernet0/0/1]port link-type access
[LSW2-Ethernet0/0/1]port default vlan 10
[LSW2-Ethernet0/0/1]stp edged-port enable
[LSW2-Ethernet0/0/4]port link-type access
[LSW2-Ethernet0/0/4]port default vlan 10
[LSW2-Ethernet0/0/4]stp edged-port enable
[LSW2-Ethernet0/0/5]port link-type access
[LSW2-Ethernet0/0/5]port default vlan 10
[LSW2-Ethernet0/0/5]stp edged-port enable
(4)配置BPDU保护功能,加强网络的稳定性
[LSW2]stp bpdu-protecti
2.配置LSW3
(1)[LSW3]vlan batch 20 //创建业务VLAN 20
(2)配置连接AR1的Eth-Trunk1,透传A的VLAN
[LSW3]int Eth-Trunk 2
[LSW3-Eth-Trunk2]port link-type trunk
[LSW3-Eth-Trunk2]port trunk allow-pass vlan 20
[LSW3-Eth-Trunk2]mode lacp
[LSW3-Ethernet0/0/4]eth-trunk 2
[LSW3-Ethernet0/0/5]eth-trunk 2
(3)配置连接用户的接口,使用户加入VLAN,并将接口配置成边缘端口
[LSW3-Ethernet0/0/1]port link-type access
[LSW3-Ethernet0/0/1]port default vlan 20
[LSW3-Ethernet0/0/1]stp edged-port enable
[LSW3-Ethernet0/0/2]port link-type access
[LSW3-Ethernet0/0/2]port default vlan 20
[LSW3-Ethernet0/0/2]stp edged-port enable
[LSW3-Ethernet0/0/3]port link-type access
[LSW3-Ethernet0/0/3]port default vlan 20
[LSW3-Ethernet0/0/3]stp edged-port enable
(4)配置BPDU保护功能,加强网络的稳定性
[LSW3]stp bpdu-protection
3.配置LSW1
(1)[LSW1]vlan batch 10 20 100
(2)配置下行接口和VLANIF接口,VLANIF接口用于A与B之间互访
配置与LSW1相连参数:
[LSW1]int Eth-Trunk 1
[LSW1-Eth-Trunk1]port link-type trunk
[LSW1-Eth-Trunk1]port trunk allow-pass vlan 10
[LSW1-Eth-Trunk1]mode lacp
[LSW1-GigabitEthernet0/0/2]eth-trunk 1
[LSW1-GigabitEthernet0/0/3]eth-trunk 1
[LSW1-Vlanif10]ip add 10.1.10.3 24
配置与LSW2相连参数:
[LSW1]int Eth-Trunk 2
[LSW1-Eth-Trunk2]port link-type trunk
[LSW1-Eth-Trunk2]port trunk allow-pass vlan 20
[LSW1-Eth-Trunk2]mode lacp
[LSW1-GigabitEthernet0/0/4]eth-trunk 2
[LSW1-GigabitEthernet0/0/5]eth-trunk 2
[LSW1-Vlanif20]ip add 10.1.20.3 24
(3)配置上行接口和VLANIF接口,使园区网络与Internet互通
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 100
[LSW1-Vlanif100]ip add 10.1.1.3 24
(4)查看配置结果
4.配置DHCP:在LSW1上配置DHCP Server,使A和B的用户都能获取到正确的IP地址
(1)创建全局地址池,配置出口网关、租期(采用缺省值1天,不需配置)并配置PC3和PC6分配固定的IP地址10.1.10.200和10.1.20.200
[LSW1]dhcp enable
[LSW1]ip pool 10
[LSW1-ip-pool-10]network 10.1.10.0 mask 24
[LSW1-ip-pool-10]gateway-list 10.1.10.3
[LSW1-ip-pool-10]static-bind ip-address 10.1.10.200 mac-address 5489-985F-2FB1
[LSW1]ip pool 20
[LSW1-ip-pool-20]network 10.1.20.0 mask 24
[LSW1-ip-pool-20]gateway-list 10.1.20.3
[LSW1-ip-pool-20]static-bind ip-address 10.1.20.200 mac-address 5489-987D-5A4F
(2)配置用户从全局地址池获取IP地址
[LSW1-Vlanif10]dhcp select global
[LSW1-Vlanif20]dhcp select global
(3)查看全局地址池的配置和使用信息
(5)配置完动态分配地址之后,刚开电脑获取地址的时间比较长,这是因为对于开启了生成树协议的交换机,每当有电脑接入之后导致生成树重新收敛,所以需要的时间比较长;通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决
[LSW2-Ethernet0/0/1]stp disable
[LSW2-Ethernet0/0/4]stp edged-port enable
[LSW2-Ethernet0/0/5]stp edged-port enable
[LSW3-Ethernet0/0/1]stp disable
[LSW3-Ethernet0/0/2]stp disable
[LSW3-Ethernet0/0/3]stp edged-port enable
5. 配置LSW1路由,使内部网络数据可以发到出口路由器
[LSW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
6.配置AR1
(1)配置IP地址
[AR1-GigabitEthernet0/0/0]ip add 1.1.1.1 30
[AR1-GigabitEthernet0/0/1]ip add 10.1.1.1 24
(2)配置允许上网的acl,将所有允许访问Internet的用户网段写入该acl
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 10.1.10.0 0.0.0.255
[AR1-acl-basic-2000]rule permit source 10.1.20.0 0.0.0.255
[AR1-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255
(3)在连接Internet的接口配置NAT转换实现内网用户访问Internet
[AR1-GigabitEthernet0/0/0]nat outbound 2000
(4)配置到内网的明细路由和到公网的静态缺省路由
[AR1]ip route-static 10.1.10.0 255.255.255.0 10.1.1.3
[AR1]ip route-static 10.1.20.0 255.255.255.0 10.1.1.3
[AR1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
(5)配置DNS地址解析功能,DNS服务器地址为运营商给的
[AR1]dns resolve
[AR1]dns server 8.8.8.8
[AR1]dns proxy enable
7. 配置DHCP Snooping和IPSG:配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能
(1)在LSW2和LSW3上开启DHCP Snooping功能
[LSW2]dhcp enable
[LSW2]dhcp snooping enable
[LSW3]dhcp enable
[LSW3]dhcp snooping enable
(2)在连接DHCP服务器的接口上使能DHCP Snooping功能,并将此接口配置为信任接口
[LSW3]int Eth-Trunk 2
[LSW3-Eth-Trunk2]dhcp snooping enable
[LSW3-Eth-Trunk2]dhcp snooping trusted
[LSW2]int Eth-Trunk 1
[LSW2-Eth-Trunk1]dhcp snooping enable
[LSW2-Eth-Trunk1]dhcp snooping trusted
(3)在连接终端的接口上使能DHCP Snooping功能
[LSW2-Ethernet0/0/1]dhcp snooping enable
[LSW2-Ethernet0/0/4]dhcp snooping enable
[LSW2-Ethernet0/0/5]dhcp snooping enable
[LSW3-Ethernet0/0/1]dhcp snooping enable
[LSW3-Ethernet0/0/2]dhcp snooping enable
[LSW3-Ethernet0/0/3]dhcp snooping enable
(4)在接LSW1和LSW2上开启IP报文检查功能:为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能,这样LSW收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
[LSW2-vlan10]ip source check user-bind enable
[LSW3-vlan20]ip source check user-bind enable
8.配置Internet
[Internet-GigabitEthernet0/0/0]ip add 1.1.1.2 30
9.业务验证:所有主机可以互通,也可ping通Internet
扫一扫
664
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
