1、拓撲如下：

要求如下：

1滔吠、SW3纲菌、SW4作接入啟用MSTP。

2疮绷、SW1翰舌、SW2作匯聚網(wǎng)關(guān)，之間啟用Eth-tunnel冬骚。MSTP使用不同進程作負載均衡椅贱。啟用VRRP做備份網(wǎng)關(guān)。啟用DHCP中繼功能只冻。

3庇麦、SW5做核心交換機，啟用DCHP属愤，使PC主機可以獲取到VlanIP女器。

4、FW1配置local住诸、DMZ驾胆、untrust區(qū)域涣澡，使用NAT映射使用trust\dmz區(qū)域可以連接外網(wǎng)。

5丧诺、FW1入桂、R1、R2驳阎、R3啟用MPLS VPN抗愁。運營商內(nèi)部使用ISIS。BGP和FW1建立鄰居呵晚。

6蜘腌、PC1可以訪問DMZ的服務(wù)器server1\server2和外網(wǎng)服務(wù)器server3。

思路如下：

先配置接入層交換機：

1饵隙、創(chuàng)建Vlan撮珠、啟用生成樹MSTP、啟用邊緣端口特性金矛、全局啟用stp bpdu-protection芯急。

再配置匯聚層交換機：

1、創(chuàng)建Vlan驶俊、啟用生成樹MST娶耍、VRRP、Eth-tunnel饼酿、ospf

2榕酒、啟用DHCP中繼

interface Vlanif20

ip address 172.16.20.101 255.255.255.0

vrrp vrid 20 virtual-ip 172.16.20.254

ospf cost 2

dhcp select relay

dhcp relay server-ip 172.16.15.254

3、匯聚層運行ospf之后嗜湃，SVI之間不用建立鄰居奈应，可以把接口設(shè)置為

ospf 10

silent-interface Vlanif 10

silent-interface Vlanif 10

核心交換機SW5：

1、創(chuàng)建Vlan购披、vlanif配置IP杖挣、ospf

2、阻止對稱路由刚陡，修改控制層面路由流向入接口的cost惩妇。interface vlan 10 \ospf cost 20。

3筐乳、創(chuàng)建DCHP服務(wù)器歌殃，并定義內(nèi)網(wǎng)使用地址池：

核心連接匯聚的SVI中全局開啟：

dhcp select global

防火墻FW1：

1、建立 zone :trust\DMZ\untrust,添加端口蝙云。設(shè)置zone放行策略氓皱。接口配置IP，server-manager all permit 放行所有。

2波材、運行ospf和SW5建立內(nèi)網(wǎng)路由

3股淡、運行BGP10和R1和R2建立BGP 鄰居

4、下放默認路由給內(nèi)網(wǎng)

5廷区、內(nèi)網(wǎng)ip\DMZ服務(wù)器做動態(tài)和靜態(tài)NAT訪問外網(wǎng)

動態(tài)NAT:定義地址池1及地址范圍

nat address-group 1 0

mode full-cone local

section 1 100.1.11.100 100.1.11.100

調(diào)用地址池：

nat-policy

rule name trust-unturst

source-zone trust

destination-zone untrust

source-address 172.16.10.0 0.0.0.255

source-address 172.16.20.0 0.0.0.255

action source-nat address-group 1

rule name dmz-untrust

source-zone dmz

destination-zone untrust

action source-nat static-mapping

靜態(tài)NAT:

nat server 0 global 100.1.11.200 inside 172.16.60.1

nat server 1 global 100.1.11.201 inside 172.16.60.2

DMZ區(qū)域SW6配置：

1唯灵、SW6配置SVI。建立Vlan 隙轻。

2埠帕、運行OSPF 和trust區(qū)域網(wǎng)絡(luò)連通。

運營商內(nèi)部網(wǎng)絡(luò)：

1玖绿、R1\R2\R3運行ISIS宣告運營商內(nèi)部路由

2敛瓷、R1和R2運行BGP100,宣告外網(wǎng)服務(wù)器100.1.33.0網(wǎng)段。和防火墻建立BGP 10鄰居镰矿。

創(chuàng)建Route-policy 修改100.1.33.0 的度量值琐驴，使其優(yōu)先R2轉(zhuǎn)發(fā)數(shù)據(jù)俘种。

bgp 100

router-id 11.1.1.1

peer 100.1.11.1 as-number 10

ipv4-family unicast

undo synchronization

network 100.1.33.0 255.255.255.0

peer 100.1.11.1 enable

peer 100.1.11.1 route-policy MED export //export時調(diào)用route-policy MED

route-policy MED permit node 10

if-match ip-prefix 3

apply cost 20 //修改度量值為20

route-policy MED permit node 20

ip ip-prefix 3 index 10 permit 100.1.33.0 24 //前綴列表3 index 10 抓取100.1.33.0的路由

3秤标、R1\R2\R2上運行MPLS

4、route recursive-lookup tunnel命令用來使能迭代隧道功能宙刘。

先看結(jié)果吧苍姜！

資料清單：

接入層SW4.txt

接入層SW3.txt

匯聚層SW1.txt

匯聚層SW2.txt

核心層SW5.txt

防火墻.txt 用戶名：admin 密碼：Hcie1234

SW3.txt

SW4.txt

SW6.txt

R1.txt

R2.txt

R3.txt

NP綜合實驗.zip?這個文件夾包含拓撲和模擬器的配置文件

關(guān)注我即可領(lǐng)取