园区网络规划拓扑图如下：

设计思路：

区分出二层三层 (哪些地方要用到二层技术，哪些地方要用到三层技术)

二层技术(vlan vtp 端口聚合 stp )

三层(dhcp(七层) *** ospf 默认路由 nat 端口映射(七层) )

安全(acl 各种认证)

这个项目主要实现思路关键点之独孤九剑：

Ip地址的规范接口对应表的整理主次关系的整理分清楚什么是二层技术什么是三层技术对于相同的预配置先在记事本写好，利用crt直接粘贴复制，这样节省时间和提高效率。几种交换协议的一句话理解：Vtp 是用来简化vlan 的配置，思科专有。公有GVRP.Vtp 配置方法：两台交换机之间用trunk 相连，配置服务端与客户端，配置相同的密码，域名，版本。服务器配置版本高于客户机。Stp pvst mst 生成树，快速生成树，多生成树。生成树是用来防止二层环路，三层环路用路由协议来防环。原理是通过阻塞一条链路来防环。Pvst 工程中主要用来对不同vlan 做冗余备份。Mst 是pvst 的升级版，通过不同实例给vlan 做冗余备分。HSRR VRRP GLBP 是用来给网关提供冗余备份。通过使作几个不同的组达到给不同vlan 提供冗余备份作用。Ospf rip eigrp 将不同的vlan 的子网消息宣告出去。如果trunk 有两线，一定要放到二层组中。

实施步骤：从二层到三层 从左到右 从右到左 自上而上 自下而上

①　Ip地址的规范 配置 检查

②　配置直连路由 测试③　配置远程连接④　配置时间⑤　同步时区⑥　关闭日志等一系列系统初始化参考代码如下：enclock set 8:00:00 28 june 2016 \记住这个在现实生活中非常重要因为很多时间不对的话查看日志信息可能会有问题conf thost r1 \语义化clock timezone GTM 8 \设置时区line c 0 \进入控制台logg sy \日志同步,以免日志把正常输入打乱no ip domain-lookup \关掉域名解析功能,不然打错命令会等待30秒enable password luliechu@123456 \明文密码enable secret luliechu@147258 \密文密码更安全，同时明文密码无效username luliechu privilege 3 secret luliechu@147258 \本地用户名和密码并且赋予权限line vty 0 4 \开启远程终端password luliechu@123456 \vty密码login local \允许登录方式为本地用户验证endwrite \保存配置命令

检查ip地址配置命令：

sum_router#show ip int briInterface IP-Address OK? Method Status Protocol FastEthernet0/0 10.10.10.2 YES manual up up FastEthernet0/1 10.10.20.3 YES manual up up Serial0/0/0 113.105.134.86 YES manual up up

配置ip地址命令：

Router(config)#int g0/0Router(config-if)#ip add 10.1.1.2 255.255.255.0Router(config-if)#no shut

测试命令 ping 10.1.1.2

注意事项：三层交换机默认是二层交换端口，使用命令no switchport来修改成为三层路由端口

----------------------------------------通用部分，系统初始化完成------------------------------

想一想那些是二层？实现思路我们自下而上实现，也就是先实现二层功能，再实现三层路由部分功能 二层交换技术上需要的功能大致如下：二层技术(vlan vtp 端口聚合 stp trunk dhcp hsrp等等 )

1）将交换机所有需要加入到tr链路的端口加入进来

//把所需使用vtp协议的端口线路更改为trunk模式

参考命令如下：enconf tint f0/1sw tr en d //在pt中不需要，真实环境和iou中都要加sw mo tr//找出局域网中核心层性能最好的两台交换机做为vtp server模式，其他作为client模式，创建vtp

参考命令如下：

conf tvtp domain ccievtp mo server //设置为服务模式

vtp pruning // //在pt中不支持这命令，真实环境和iou中都支持这样节省带宽开销

查看vtp状态

sw1#show vtp status VTP Version : 2Configuration Revision : 0Maximum VLANs supported locally : 1005Number of existing VLANs : 5VTP Operating Mode : ServerVTP Domain Name : ccieVTP Pruning Mode : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0x51 0x1C 0x38 0x66 0xF8 0xF2 0x1D 0x91 Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00Local updater ID is 0.0.0.0 (no valid interface found)

2）//在vtpserver上创建vlan

参考命令如下：sw1(config)#vlan 10

查看vlan命令：show vlan

3)//在每台交换机设备上创建管理地址，方便管理员管理

参考命令如下：conf tint vlan 110ip add 172.16.20.1 255.255.255.0no shutEnd

4)//在核心层两台交换机上创建二层组，使用以太网端口聚合技术，实现高速负载分流

参考命令如下：conf tint rang f0/1-3Channel-protocol lacp channel-g 1 mode activeend

#查看端口聚合信息，正常情况Port-channel显示是SU，如果显示SD就不正常

sw1#show etherchannel summary Flags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingw - waiting to be aggregatedd - default port

Number of channel-groups in use: 1

Number of aggregators: 1

Group Port-channel Protocol Ports

------+-------------+-----------+----------------------------------------------

1 Po1(SD) LACP Fa0/1(D) Fa0/2(D) Fa0/3(D)

sw1#show et

sw1#show etherchannel po

sw1#show etherchannel port-channel

Channel-group listing:

Group: 1

Port-channels in the group:

Port-channel: Po1 (Primary Aggregator)

Age of the Port-channel = 00d:00h:02m:35s

Logical slot/port = 2/1 Number of ports = 0GC = 0x00000000 HotStandBy port = nullPort state = Port-channel Protocol = LACPPort Security = Disabled

sw1#

sw1#show etsw1#show etherchannel loadsw1#show etherchannel load-balance EtherChannel Load-Balancing Configuration:src-mac

EtherChannel Load-Balancing Addresses Used Per-Protocol:

Non-IP: Source MAC addressIPv4: Source MAC addressIPv6: Source MAC address

5)//Mst 是pvst 的升级版，通过不同实例给vlan 做冗余备分。创建了两个实例1 2，分别将所有vlan加入到对应实例，并设置主从，实现不同实例的冗余备份

参考命令如下：

conf t

spanning-tree mode mst //在pt中不支持mst，只能用rstp来实现了，现实生活和iou上都支持spanning-tree mst configuinstance 1 vlan 10,20,30,40revision 1instance 2 vlan50,60,100,110revision 1exitspanning-tree mst 1 root primaryspanning-tree mst 2 root secondaryEnd

---------------------------------------------------------------------------------------------------------------------------------PVST 配置命令

1.启用生成树Switch(config)# spanning-tree vlan vlan-list2.配置根网桥Switch(config)#spanning-tree vlan vlan-list root primary |secondary3.修改网桥优先级Switch(config)#spanning-tree vlan vlan-list priority bridge-priority4.修改端口成本Switch(config)#spanning-tree vlan vlan-list cost cost5.修改端口优先级Switch(config)#spanning-tree vlan vlan-list port-priority priority6.配置上行速链路Switch(config)#spanning-tree uplinkfast7.配置速端口Switch(config-if)#spanning-tree portfast8.查看生成树配置show spanning-tree9.查看VLAN 生成树详细信息show spanning-tree vlan vlan-id detail

En

Conf tSpanning-tree mode rapspanning-tree vlan 10,20,30,40 root primaryspanning-tree vlan 50,60,100,110 root secondayEnd

6)在核心层交换机上为不同vlan划分网关，实现不同vlan基于三层交换机的路由互通

参考命令如下：conf tint vlan 10ip add 192.168.1.2 255.255.255.0no shut

7）

//在核心交换机上配置hsrp实现网关高可用性，sw1是vlan10，20,30,40-的主网关，是50,60,100,110 的备用网关。Sw2是vlan50,60,100,110的主网关，是10，20,30,40 的备网关。注意State is Active 为主网关State is Standby 为备网关参考代码如下：----------------------------------------------------------主网关----------------------------------------conf tint vlan 10standby 10 ip 192.168.1.1standby 10 priority 105standby 10 preemptstandby 10 track f0/7end

--------------------------------------------------------备用网关-------------------------------------------

conf t

int vlan 50standby 50 ip 192.168.5.1standby 50 priority 100standby 50 preemptstandby 50 track f0/7end

验证查看命令 show standby

Vlan10 - Group 10

State is Active5 state changes, last state change 01:21:50Virtual IP address is 192.168.1.1Active virtual MAC address is 0000.0C07.AC0ALocal virtual MAC address is 0000.0C07.AC0A (v1 default)Hello time 3 sec, hold time 10 secNext hello sent in 1.052 secsPreemption enabledActive router is localStandby router is 192.168.1.3Priority 105 (configured 105)Track interface FastEthernet0/7 state Up decrement 10Group name is hsrp-Vl1-10 (default)

简单解释一下：

（1）Vlan10 - Group 10– Group 10 表示Vlan10 -参与了HSRP 10 组（2）State is Active表示当前的状态为主状态（3）Virtual IP address 192.168.1.1 表示HSRP 中Group 10 中的虚拟路由器的IP 地址为192.168.1.1（4）Active virtual MAC address is 0000.0c07.ac0a 表示HSRP 中Group 10 的MAC地址（5）Hello time 3 sec，hold time 10 sec 说明了Hello 的时间为3 秒，hold 的时间为10秒（6）Next hello sent in 2.345 secs 说明了下一次发送Hello 消息的时间为2.345 秒（7）Active router is 192.168.1.3, priority 105 (expires in 8.121 sec) 说明Group 10 中的活跃路由器的IP 地址为192.168.1.3（8）Standby router is local 说明了本路由器的状态为备份路由器（9）Priority 105 (default 100)说明本路由器的HSRP 优先级为105，而默认也为100(所以，在配置路由器HSRP优先级的时候，要注意，尽量配置大于100)10 Track interface f0/7 state Down decrement 10IP redundancy name is "hsrp-Vl10-10" (default)主要是监控f0/2

8)在核心层交换机上配置dhcp，实现dhcp互载冗余

第一种

对于只有一个vlan 的配置第一步，是给dhcp 命名。第二步，指定分配的网段第三步，增加默认的网关第四步，增加默认的dns第五步，增加不用分配的地址。参考语法如下ip dhcp pool textnetwork 192.168.1.0 255.255.255.0default-router 192.168.1.1dns-server 202.96.128.86dns-server 221.12.31.65ip dhcp excluded-address 192.168.1.1 192.168.1.10第二种，有多个vlan。分配置地址。vlan 2 192.168.2.0/24vlan 3 192.168.3.0/24第一步，全局配置根地址池第二步，动态配置的地址段第三步，配置dns第四步，配置租用日期第五步，配置vlan2 的地址池，是全局的子池。第六步，配置vlan2 的可分配置地址段第七步，配置vlan2 的默认网关参考语法如下ip dhcp excluded-address 192.168.1.1ip dhcp excluded-address 192.168.1.2ip dhcp excluded-address 192.168.1.3

ip dhcp pool vlan10

network 192.168.1.0 255.255.255.0default-router 192.168.1.1dns-server 202.96.128.86

------------------------------------------内部联通问题二层技术到此为止结束------------------------------

三层( *** ospf 默认路由 nat 端口映射 ) 我们采用自下而上的方式解决，现在下面交换部分配置全部完成，该考虑联通性问题

1）配置ospf联通(这里的规划因为厂区比较少，所以也可以采用静态路由，isis，eigrp，rip等，现实生活中建议采用ospf))

参考命令如下：

为了提高网络高可用性，防止环路的产生，建议配置一个环回口，也作为rid，来保障稳定性

备注：交换机默认是二层设备，要运行路由协议，需要开启路由功能，具体命令如下sw1(config)#ip routing

创建环回口命令：

conf tint lo0ip add 3.3.3.3 255.255.255.0no shut

配置ospf命令：

Conf trouter ospf 1router-id 2.2.2.2log-adjacency-changes 命令可用来激活路由协议邻接关系变化日志的功能（例如ospf或者ISIS等）。使用该命令来生成SYSLOG信息以用于网络操作与管理。日志信息对于故障排除也非常有用。

network 192.168.1.2 0.0.0.0 area 0 具体到某个ip地址，这样减少广播风暴可以提高性能，节约开销，对网络性能大大提高

3）在出口网关上配置出口默认路由，出口配置动态路由协议让全网互通。

参考命令如下：Conf trouter ospf 1router-id 1.1.1.1network 113.105.134.86 0.0.0.0 area 0default-information originate ospf中导入默认路由。EndConf tip route 0.0.0.0 0.0.0.0 Serial0/0/0 配置默认路由

4)配置nat让公司内部可以上网

参考命令如下：EndConf tEnConf tInt f0/0Ip nat insideInt f0/1Ip nat insideInt s0/0/0Ip nat outsideExitAccess-list 1 permit 192.168.1.0 0.0.0.255Ip nat inside source list 1 int s0/0/0 overloadEndwrite

5)发布web服务器出去让外网用户能够访问到公司利用web服务器发布的消息

在出口路由器上配置EnConf tIp nat inside source static tcp 172.16.10.8(web服务器地址) 80 113.105.134.86 80Access-list 1 permit 172.16.10.0 0.0.0.255EndWrite

5)将公司内部接入层交换机端口加入到对应的vlan，把电脑连接上交换机，整个公司内容项目完成！

参考命令：

En

Conf tInt f0/0Sw mo accSw acc vlan 10

-----------------------------------------------------------end-------------------------------------------------------

安全(acl 各种认证) 实现特殊限制功能，实现***，这里最好在gng3上演示

---------------------------------------------------谢谢大家--------------------------------------------------------