【正文】 自帶的VPC去測試?！?第3章 企業(yè)網(wǎng)絡設計 網(wǎng)絡拓撲選型根據(jù)前一章需求分析，我們在組建企業(yè)網(wǎng)絡決定采用二層網(wǎng)絡結構。如果是訪問公司內網(wǎng)要求一定的訪問控制；如果訪問外網(wǎng)需要在上層進行IP地址轉換。各類服務器就安裝在該層的交換機上，為企業(yè)各部門提供相應服務。試驗中企業(yè)內部全部使用內網(wǎng)地址，和Internet相連的接口及模擬Internet的路由器配置外網(wǎng)地址。其端口對應地址如下表：設備名接口IP地址對端設備對端接口對端IP地址InteRF0/2F1R1F1/0F0/4CENR1F1/0，.*.*地址段。所以二層端口只能做一些簡單的劃分以作測試使用。劃分Vlan的目地是為實現(xiàn)不同部門之間業(yè)務隔離；通過配置Trunk鏈路使不同部門互訪；配置網(wǎng)管地址便于對網(wǎng)絡設備的管理。其代碼如下：Router(config)no ip domainlooRouter(config)line con 0Router(configline)exectimeout 0Router(configline)logging sy Router(configline)exit Router(config)hostname CENJS1 (2) 創(chuàng)建Vlan 27 創(chuàng)建VLAN主要是為了實現(xiàn)不同部門之間廣播域隔離，可減少無用的數(shù)據(jù)包占用網(wǎng)絡資源。與下面ACL合用可以防止不同部門之間的非法訪問。其代碼如下： CENJS1vlan dataCENJS1(vlan)vlan vlanidCENJS1show vlans(3) 配置Trunk端口 當用戶在網(wǎng)絡上傳遞消息時，數(shù)據(jù)從Access端口進入時在數(shù)據(jù)包頭部打上標記。配置Trunk端口讓屬于不同VLAN的數(shù)據(jù)都能通過該端口，這樣就可以實現(xiàn)不同業(yè)務網(wǎng)段互訪。配置代碼如下：CENJS1(config)int 端口號CENJS1(configif)switchport mode accessCENJS1(configif)switchport access vlan vlanidCENJS1(configif)no sh (5) 配置網(wǎng)管接口 網(wǎng)關接口是一個虛接口，它只邏輯存在于交換機之中。配置網(wǎng)管接口主要是為了方便對設備進行管理。是為了對設備進行安全管理。代碼如下：CENJS1(config)aaa newmodelCENJS1(config)aaa authentication login log group tacacs+ CENJS1(config)aaa authorization exec default group tacacs+CENJS1(config)line vty 0 4 CENJS1(configline)login authentication logCENJS1(config)tacacsserver host key 123456CENJS1(config)ip tacacs sourceinterface vlan 2CENJS1(config)no aaa authentication enable default noneCENJS1(config)no aaa authentication login default none (1) 基本配置(2) 創(chuàng)建Vlan 27(3) 將f0/0配置成Trunk端口 (4) 為Vlan 分配端口(5) 配置網(wǎng)管接口CENJS2(config)int vlan 2CENJS2(configif)ip add CENJS2(configif)no sh(6) 配置AAA服務 (1) 基本配置(2) 創(chuàng)建Vlan 27(3) 將f0/0配置成Trunk端口 (4) 為Vlan 分配端口(5) 配置網(wǎng)管接口CENJS3(config)int vlan 2CENJS3(configif)ip add CENJS3(configif)no sh(6) 配置AAA服務 (1) 基本配置(2) 創(chuàng)建Vlan 27(3) 將f0/0配置成Trunk端口 (4) 為Vlan 分配端口(5) 配置網(wǎng)管接口CENJS4(config)int vlan 2CENJS4(configif)ip add CENJS4(configif)no sh(6) 配置AAA服務 總部匯聚及核心層配置匯聚及接入層是由配置主要有OSPF和靜態(tài)路由配置、HSRP路由備份、GRE、NAT、AAA及其他安全配置。在該層要考慮數(shù)據(jù)流向、冗余備份、浮動路由等多方面的問題。具體配置如下：1. 三層交換機CENHS1配置命令(1) 基本配置(2) 創(chuàng)建vlan 27(3) 將f0/45配置成Trunk端口 (4) f0/23 端口鏈路捆綁 端口鏈路捆綁可以將多條鏈路看做一條，這樣及增加了接口帶寬又能對鏈路進行冗余備份，是網(wǎng)絡連接跟安全可靠。(6) 配置三層接口IP地址(7) 配置STP根網(wǎng)橋 STP生成樹協(xié)議，防止網(wǎng)絡環(huán)路產生廣播風暴影響正常數(shù)據(jù)的傳輸。為了更好的利用網(wǎng)絡資源，便于人為控制數(shù)據(jù)流向。CENHS1(config)spanningtree vlan 5 priority 0CENHS1(config)spanningtree vlan 6 priority 0CENHS1(config)spanningtree vlan 7 priority 0(8) 配置HSRP 網(wǎng)關備份協(xié)議，動態(tài)為各個VLAN分配默認網(wǎng)關。CENHS1(config)int vlan VLANID CENHS1(configif)standby N priority 100 CENHS1(configif)standby N ip IP CENHS1(configif)standby N preempt CENHS1(config)int vlan VLANIDCENHS1(configif)standby M priority 200CENHS1(configif)standby M ip IPCENHS1(configif)standby M preemptCENHS1(configif)standby M track f0/0 55CENHS1(configif)standby M track f0/1 55 (9) 配置DHCP中繼 由于網(wǎng)絡設備中主機過多，如果人為手動區(qū)分配IP地址就會造成IP地址沖突。因此配置DHCP服務對IP集中管理分配。OSFP生成OSPF協(xié)議路由表，以供路由器選擇最優(yōu)路由條目產生全局路由。所以配置ACL對各部門網(wǎng)絡訪問進行控制。代碼如下：accesslist 106 permit ip accesslist 106 permit ip host accesslist 106 permit ip host accesslist 106 deny ip accesslist 106 permit ip any CENHS1(config)int vlan 2CENHS1(configif)ip accessgroup 106 inaccesslist 105 permit ip host accesslist 105 permit ip accesslist 105 permit ip accesslist 105 deny ip accesslist 105 permit ip any CENHS1(config)int vlan 3CENHS1(configif)ip accessgroup 105 inaccesslist 104 permit ip host accesslist 104 permit ip accesslist 104 permit ip accesslist 104 deny ip accesslist 104 permit ip any CENHS1(config)int vlan 4CENHS1(configif)ip accessgroup 104 inaccesslist 103 permit ip host accesslist 103 permit ip accesslist 103 permit ip accesslist 103 deny ip accesslist 103 permit ip any CENHS1(config)int vlan 5CENHS1(configif)ip accessgroup 103 inaccesslist 102 permit ip host accesslist 102 permit ip accesslist 102 permit ip accesslist 102 deny ip accesslist 102 permit ip anyCENHS1(config)int vlan 6CENHS1(configif)ip accessgroup 102 inaccesslist 101 permit ip host accesslist 101 permit ip accesslist 101 deny ip accesslist 101 permit ip anyCENHS1(config)int vlan 7CENHS1(configif)ip accessgroup 101 in(12) 配置AAA 服務2. 三層交換機CENHS2配置命令(1) 基本配置(2) 創(chuàng)建vlan 27(3) 將f0/45配置成Trunk端口 (4) f0/23 端口鏈路捆綁(5) 配置網(wǎng)管接口(6) 配置三層接口IP地址(7) 配置STP根網(wǎng)橋(8) 配置HSRP(9) 配置DHCP中繼(10) 配置路由表 (11) 配置ACL(12) 配置AAA 服務3. 總部路由器CENR1配置命令(1) 基本配置(2) 配置三層接口IP地址(3) 配置路由表(4) 配置GRE GRE隧道技術。但數(shù)據(jù)到達對端接口后對其解封裝，再以一個正常的內網(wǎng)地址數(shù)據(jù)包傳輸。配置NAT為了用戶訪問外網(wǎng)，當用戶數(shù)據(jù)到達該端口時就會進行地址轉換。這里用的是NAT中的PAT技術，它是一種基于端口的靜態(tài)NAT技術。代碼如下：CENR1(config)accesslist 1 permit CENR1(config)ip nat inside source list 1 int f0/0 overloadCENR1(config)int f0/0CENR1(configif)ip nat out CENR1(configif)int f0/2CENR1(configif)ip nat inCENR1(config)int f0/3CENR1(configif)ip nat inCENR1(config)ip nat inside source static (6) 配置安全模塊 CENR1使用的是具有防火墻功能的IOS，為了節(jié)約資金所以在該設備上對安全進行了一些基本配置。代碼如下：ENR1conf tCENR1(config)service passwordencryption CENR1(config)no ip bootp serverCENR1(config)no cdp runCENR1(config)ip nameserver CENR1(config)no ip domainlooCENR1(config)no ip fingerCENR1(config)no service finger CENR1(config)no ip serverCENR1(config)int f1/0CENR1(configif)no ip directedbroadcast CENR1(configif)no ip maskreplyCENR1(configif)no ip redirectCENR1(configif)no ip unreachableCENR1(configif)ntp disableCENR1(configif)no ip proxyarpCENR1(configif)exitCENR1(config)int f1/1CENR1(configif)no ip directedbroadcast CENR1(configif)no ip maskreplyCENR1(configif)no ip redirectCENR1(configif)no ip unreachableCENR1(configif)ntp disable