小型園區網絡的基本部署

實驗要求：

一、設備管理

1、依據圖中拓撲，為不同設備定義主機名。

SW#conf t

SW(config)#hostname SW1

SW1(config)#

2、全局關閉域名解析。

SW1(config)#no ip domain lookup

3、Console 和 VTY 線路下關閉線路超時並開啟輸出同步。

SW1(config)#line console 0

SW1(config-line)#logging synchronous 關閉輸出同步

SW1(config-line)#exec-timeout 0 0 關閉發呆超時

4、為實現安全登錄，要求創建本地用戶名 PingingLab，密碼 CCIE，並將其調用到 console 和 vty 線路下；要求設置特權密碼 CISCO，並要求加密存儲。

SW1(config)#username PingingLab secret CCIE

SW1(config)#line console 0

SW1(config-line)#login local

SW1(config-line)#exit

SW1(config)#line vty 0 15

SW1(config-line)#login local

SW1(config-line)#exit

SW1(config)#enable secret CISCO

5、所有交換機管理 vlan 為 vlan1，所在網段為 192.168.1.0/24，其中 SW1 的管理 IP 為 192.168.1.1/24，SW2 為 192.168.1.2/24，SW3 為 192.168.1.3/24，要求能夠實現遠程管理。

SW1#conf t

SW1(config)#int vlan 1

SW1(config-if)#no shutdown

SW1(config-if)#ip address 192.168.1.1 255.255.255.0

SW1(config-if)#end

SW1#show ip int brief

SW2#conf t

SW2(config)#int vlan 1

SW2(config-if)#no shutdown

SW2(config-if)#ip address 192.168.1.2 255.255.255.0

SW2(config-if)#end

SW3#conf t

SW3(config)#int vlan 1

SW3(config-if)#no shutdown

SW3(config-if)#ip address 192.168.1.3 255.255.255.0

SW3(config-if)#end

SW3#ping 192.168.1.1

SW3#ping 192.168.1.2

二、交換技術

1、Trunk 技術

①所有交換機之間強制啟用 Trunk，並采用 802.1Q 進行封裝。

②全局 native vlan 定義為 vlan 10。

③要求 Trunk 上只允許 VLAN1、10、20 的數據通過。

SW1#conf t

SW1(config)#interface range f0/0 - 2

SW1(config-if-range)#switchport mode trunk

SW1(config-if-range)#switchport trunk encapsulation dot1q

SW1(config-if-range)#switchport trunk native vlan 10

SW1(config-if-range)#switchport trunk allowed vlan 1,1002-1005,10,20

SW1(config-if-range)#end

SW1#show interfaces trunk查看trunk信息

SW1#show run int f0/0 竊配置

SW2#conf t

SW2(config)#int range f0/0 - 2

SW2(config-if-range)#switchport trunk native vlan 10

SW2(config-if-range)# switchport trunk allowed vlan 1,10,20,1002-1005

SW2(config-if-range)# switchport mode trunk

SW2(config-if-range)#end

SW2#show run int f0/0

SW3#conf t

SW3(config)#int range f0/1 ,f0/2

SW3(config-if-range)# switchport trunk native vlan 10

SW3(config-if-range)# switchport trunk allowed vlan 1,10,20,1002-1005

SW3(config-if-range)# switchport mode trunk

SW3(config-if-range)#end

SW3#show run int f0/1

2、VTP 技術

①SW1 為 Server，其他交換機為 Client。

②VTP 管理域為 PingingLab，密碼為 cisco。

③全局開啟 VTP 修剪。

④在 SW1 上創建 VLAN10/20，並要求全局同步。

⑤將不同用戶接口放入相應的 VLAN 中。

定義vtp服務器與客戶端

SW1#vlan database

SW1(vlan)#vtp domain PingingLab

SW1(vlan)#vtp password cisco

SW1(vlan)#vtp server

SW1(vlan)#vtp pruning

SW1(vlan)#exit

SW2#vlan database

SW2(vlan)#vtp domain PingingLab

SW2(vlan)#vtp password cisco

SW2(vlan)#vtp client

SW2(vlan)#exit

SW3#vlan database

SW3(vlan)#vtp domain PingingLab

SW3(vlan)#vtp password cisco

SW3(vlan)#vtp client

SW3(vlan)#exit

SW1#show vtp status查看vtp信息

創建VLAN

SW1#vlan database

SW1(vlan)#vlan 10

SW1(vlan)#vlan 20

SW1(vlan)#exit

SW2#show vlan-switch brief查看VLAN信息

SW3#show vlan-switch brief

SW3#conf t

SW3(config)#int f0/3

SW3(config-if)#switchport mode access

SW3(config-if)#switchport access vlan 10

SW3(config-if)#exit

SW3(config)#int f0/4

SW3(config-if)#switchport mode access

SW3(config-if)#switchport access vlan 20

SW3(config-if)#end

SW3#show vlan-switch br

3、STP 技術

①部署 PVST，要求 SW1 為 VLAN10 的 Root，VLAN20 的 Secondary，SW2為 VLAN20 的 Root，VLAN10 的 Secondary，實現負載均衡。

②開啟 Portfast，加速用戶接入網絡接口。

③開啟 Uplinkfast，加速直連鏈路收斂。

④開啟 Backbonefast，加速骨干鏈路收斂。

SW1#conf t

SW1(config)#spanning-tree vlan 10 root primary

SW1(config)#spanning-tree vlan 20 root secondary

SW2#conf t

SW2(config)#spanning-tree vlan 10 root secondary

SW2(config)#spanning-tree vlan 20 root primary

SW3#show spanning-tree vlan 10 bri

SW3#show spanning-tree vlan 20 bri

SW3#conf t

SW3(config)#int range f0/3 - 4

SW3(config-if-range)#spanning-tree portfast用於access口

SW3(config-if-range)#exit

SW3(config)#spanning-tree uplinkfast

SW3(config)#spanning-tree backbonefast

4、L3 Swithing 技術

①SW1 作為 VLAN10 的主網關，VLAN20 的備網關，其中 VLAN10 地址為192.168.10.254/24，VLAN20 地址為 192.168.20.253/24；SW2 作為 VLAN20的主網關，VLAN10 的備網關，其中 VLAN10 地址為 192.168.10.253/24，VLAN20 地址為 192.168.20.254/24。

②在 SW1 和 SW2 上同時部署 DHCP 服務，方便不同 VLAN 的主機接入網絡，其中主 DNS 為 8.8.8.8，備用 DNS 為 114.114.114.114。

③在三層交換機上開啟三層路由功能，並要求 VLAN 間主機能夠相互通信。

SW1#conf t

SW1(config)#interface vlan 10

SW1(config-if)#ip address 192.168.10.254 255.255.255.0

SW1(config-if)#exit

SW1(config)#interface vlan 20

SW1(config-if)#ip address 192.168.20.253 255.255.255.0

SW1#show ip int br

SW2(config)#int vlan 10

SW2(config-if)#ip address 192.168.10.253 255.255.255.0

SW2(config-if)#exit

SW2(config)#int vlan 20

SW2(config-if)#ip address 192.168.20.254 255.255.255.0

SW2(config-if)#exit

SW2#show ip int br

SW1# conf t

SW1(config)#ip dhcp pool VlAN10

SW1(dhcp-config)#network 192.168.10.0 /24

SW1(dhcp-config)#default-router 192.168.10.254

SW1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

SW1(dhcp-config)#lease 7

SW1(dhcp-config)#exit

SW1(config)#ip dhcp pool VLAN20

SW1(dhcp-config)#network 192.168.20.0 /24

SW1(dhcp-config)#default-router 192.168.20.254

SW1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

SW1(dhcp-config)#lease 7

SW1(dhcp-config)#exit

SW1(config)#ip dhcp excluded-address 192.168.10.254

SW1(config)#ip dhcp excluded-address 192.168.10.253

SW1(config)#ip dhcp excluded-address 192.168.20.253

SW1(config)#ip dhcp excluded-address 192.168.20.254

SW1(config)#exit

SW1#show run | section dhcp看配置后貼配置用

SW2#conf t

SW2(config)#ip dhcp excluded-address 192.168.10.254

SW2(config)#ip dhcp excluded-address 192.168.10.253

SW2(config)#ip dhcp excluded-address 192.168.20.253

SW2(config)#ip dhcp excluded-address 192.168.20.254

SW2(config)#ip dhcp pool VlAN10

SW2(dhcp-config)# network 192.168.10.0 255.255.255.0

SW2(dhcp-config)# default-router 192.168.10.254

SW2(dhcp-config)# dns-server 8.8.8.8 114.114.114.114

SW2(dhcp-config)# lease 7

SW2(dhcp-config)#ip dhcp pool VLAN20

SW2(dhcp-config)# network 192.168.20.0 255.255.255.0

SW2(dhcp-config)# default-router 192.168.20.254

SW2(dhcp-config)# dns-server 8.8.8.8 114.114.114.114

SW2(dhcp-config)# lease 7

SW2(dhcp-config)#end

SW2#show run | section dhcp

SW1#conf t

SW1(config)#ip routing

SW2#conf t

SW2(config)#ip routing

PC1#conf t

PC1(config)#int f0/0

PC1(config-if)#no shut

PC1(config-if)#ip address dhcp

PC1(config-if)#end

PC2#conf t

PC2(config)#int f0/0

PC2(config-if)#no shut

PC2(config-if)#ip address dhcp

PC2(config-if)#end

PC1#ping 192.168.10.254

PC1#ping 192.168.20.254

PC1#traceroute 192.168.20.1

5、Etherchannel 技術

①為實現鏈路冗余並提供網絡帶寬，要求在匯聚層交換機之間部署 L2Etherchannel 技術。

SW1(config)#int range f0/0 , f0/1

SW1(config-if-range)#channel-group 1 mode on

SW1(config-if-range)#end

SW2(config)#int range f0/0 ,f0/1

SW2(config-if-range)#channel-group 1 mode on

SW2(config-if-range)#end

SW2#show interfaces trunk

SW2#show ip int br

SW2#show interfaces port-channel 1

 

6、Port-Security 技術

①為實現用戶接入安全，要求在所有用戶接入接口啟用端口安全技術。

②開啟地址學習，並定義最大 MAC 數為 1。

③定義用戶違反規則為 shutdown 模式，並要求在 30s 后自動恢復。

 

三、路由技術

1、在三層交換機 SW1、SW2 和 R1 上部署動態路由協議 OSPF，並通告到骨干

區域中。

2、在邊緣路由器 R1 上部署默認路由，用於訪問互聯網。

SW1#conf t

SW1(config)#int f0/3

SW1(config-if)#no switchport

SW1(config-if)#no shutdown

SW1(config-if)#ip address 172.16.1.10 255.255.255.0

SW1(config-if)#end

SW1#show run int f0/3 brief

R1#conf t

R1(config)#int f0/0

R1(config-if)#no shut

R1(config-if)#ip add 172.16.1.1 255.255.255.0

R1(config-if)#int f1/0

R1(config-if)#no shut

R1(config-if)#ip add 172.16.2.1 255.255.255.0

R1(config-if)#end

SW2#conf t

SW2(config)#int f0/3

SW2(config-if)#no switchport

SW2(config-if)#no shut

SW2(config-if)#ip address 172.16.2.20 255.255.255.0

SW2(config-if)#do ping 172.16.2.1加do可以不用返回特權直接ping

R1#ping 172.16.1.10

R1#conf t

R1(config)#router ospf 100

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 172.16.1.0 0.0.0.255 area 0

R1(config-router)#network 172.16.2.0 0.0.0.255 area 0

R1(config-router)#end

R1#show run | s r o

SW1#conf t

SW1(config)#router ospf 100

SW1(config-router)#router-id 10.10.10.10

SW1(config-router)#network 172.16.1.0 0.0.0.255 area 0

SW1(config-router)#network 192.168.10.0 0.0.0.255 area 0

SW1(config-router)#network 192.168.20.0 0.0.0.255 area 0

SW1(config-router)#end

SW1#show run | s r o

SW2#conf t

SW2(config)#router ospf 100

SW2(config-router)#router-id 20.20.20.20

SW2(config-router)#network 172.16.2.0 0.0.0.255 area 0

SW2(config-router)#network 192.168.10.0 0.0.0.255 area 0

SW2(config-router)#network 192.168.20.0 0.0.0.255 area 0

R1#show ip ospf neighbor

R1#show ip route ospf

R1#ping 192.168.10.1

R1#ping 192.168.20.1

PC1#ping 172.16.1.1

PC1#ping 172.16.2.1

R1#conf t

R1(config)#int lo1

R1(config-if)#ip address 1.1.1.1 255.255.255.255

R1(config-if)#exit

R1(config)#router ospf 100

R1(config-router)#network 1.1.1.1 0.0.0.0 area 0

R1(config-router)#end

PC1#ping 1.1.1.1

PC1對二層交換機進行網管

SW3#conf t

SW3(config)#enable secret cisco

SW3(config)#no ip routing

SW3(config)#ip default-gateway 192.168.1.1

PC1#ping 192.168.1.1

PC1#ping 192.168.1.3

SW3(config)#username PingingLab password cisco

SW3(config)#line vty 0 15

SW3(config-line)#login local

SW3(config-line)#end

PC1#telnet 192.168.1.3

SW3>enable

SW3#show ip int bri查看接口是否down掉，進行排錯

R1對二層交換機進行網管

SW1#conf t

SW1(config)#router ospf 100

SW1(config-router)#network 192.168.1.0 0.0.0.255 area 0

SW1(config-router)#end

SW2#conf t

SW2(config)#router ospf 100

SW2(config-router)#network 192.168.1.0 0.0.0.255 area 0

SW2(config-router)#end

 

 

四、安全策略

1、要求只允許管理員地址 192.168.10.1/24 能夠遠程訪問邊緣路由器 R1。

2、為實現內網主機訪問互聯網，要求部署 PAT 技術。