一竖慧、拓?fù)鋱D

圖片.jpg

二、實驗要求

實驗要求：
① 設(shè)置合理的STP優(yōu)先級敞葛、邊緣端口誉察、Eth-trunk
② 企業(yè)內(nèi)網(wǎng)劃分多個vlan ，減少廣播域大小惹谐，提高網(wǎng)絡(luò)穩(wěn)定性
③ 所有設(shè)備持偏，在任何位置都可以telnet遠(yuǎn)程管理
④ 出口配置NAT
⑤ 所有用戶均為自動獲取ip地址
⑥ 在企業(yè)出口將內(nèi)網(wǎng)服務(wù)器的80端口映射出去，允許外網(wǎng)用戶訪問
⑦ 企業(yè)財務(wù)服務(wù)器氨肌，只允許財務(wù)部（vlan 30）的員工訪問鸿秆。

三、實驗步驟

基礎(chǔ)接口IP已經(jīng)配置完成

1怎囚、配置eth-trunk和vlan卿叽，以SW2為例，SW3恳守、SW4考婴、SW5類似。

接入層交換機配置

SW2配置
#創(chuàng)建vlan
vlan batch 10 20 999
#配置Eth-Trunk
interface Eth-Trunk2
 port link-type trunk
 port trunk allow-pass vlan 10 20 999
 stp instance 0 cost 10000
 mode lacp-static
#端口加入eth-trunk
interface GigabitEthernet0/0/1
 eth-trunk 2
#終端接入端口配置：（SW2的Eth0/0/2口）配置access口催烘，設(shè)置默認(rèn)vlan
port link-type access
 port default vlan 10
#stp設(shè)置
#各接入交換機eth-trunk口
 stp instance 0 cost 10000
 mode lacp-static
#SW1
#設(shè)置根橋
stp root primary
 stp instance 0 cost 10000
 mode lacp-static

核心交換機SW1配置

SW1
#創(chuàng)建Vlan
vlan batch 10 20 30 40 200 800 999
#創(chuàng)建多個eth-trunk
interface Eth-Trunk2
 port link-type trunk
 port trunk allow-pass vlan 10 20 999
 stp instance 0 cost 10000
 mode lacp-static
#端口加入eth-trunk2
interface GigabitEthernet0/0/1
 eth-trunk 2
#其他eth-trunk配置類似

配置用戶網(wǎng)關(guān)

#SW1
interface Vlanif10
 ip address 192.168.10.1 255.255.255.0
#三層交換機和路由器對接
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 800
interface Vlanif800
 ip address 192.168.254.2 255.255.255.0

核心交換機DHCP配置

#SW1
#開啟dhcp
dhcp enable
#核心交換機新建DHCP地址池
ip pool caiwu
 gateway-list 192.168.30.1
 network 192.168.30.0 mask 255.255.255.0
 dns-list 114.114.114.114 8.8.8.8
#在Vlanif出設(shè)置網(wǎng)關(guān)沥阱，
interface Vlanif30
 ip address 192.168.30.1 255.255.255.0
#選擇全局的地址池給DHCP客戶端使用。
 dhcp select global
#

出口路由配置nat

#SW1
ip route-static 0.0.0.0 0.0.0.0 192.168.254.1

#R1
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6
ip route-static 192.168.0.0 255.255.0.0 192.168.254.2
#配置acl私網(wǎng)地址路由器
acl number 2000  
 rule 5 permit source 192.168.0.0 0.0.255.255 
#
#配置出口地址轉(zhuǎn)換伊群，關(guān)聯(lián)到用戶地址出口
interface GigabitEthernet0/0/1
 nat outbound 2000
#

服務(wù)器端口映射（在企業(yè)出口將內(nèi)網(wǎng)服務(wù)器的80端口映射出去考杉，允許外網(wǎng)用戶訪問）

#R1
interface GigabitEthernet0/0/1
 ip address 12.1.1.1 255.255.255.248 
 nat server protocol tcp global 12.1.1.2 www inside 192.168.200.10 www
#

ACL配置（企業(yè)財務(wù)服務(wù)器屁使，只允許財務(wù)部（vlan 30）的員工訪問。

）

#SW1
#
acl number 3000
 rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.200.20 0
 rule 10 deny ip destination 192.168.200.20 0
#
#配置ACL在eth-trunk上生效
interface Eth-Trunk5
 traffic-filter outbound acl 3000
#

在所有設(shè)備（路由奔则、交換機）配置Vlan999的管理地址

#SW1
#
interface Vlanif999
 ip address 192.168.253.1 255.255.255.0
#

（來自51cto肖老師課堂案例）