本文详细介绍了网络架构的搭建过程,包括VLAN的创建、PC的VLAN划分、链路聚合、负载均衡、干道口设置、MSTP配置、VRRP热备份、路由配置、静态路由、DHCP服务、端口安全及DHCPSnooping等关键步骤。
交换部分(接入层汇聚层核心层)
1、先创造vlan
给交换机1234都配上vlan2 3
Vlan batch 2 3
2、给pc划分vlan,如图
如图,给sw3 4连接pc的口规划所属vlan和接口类型
Int e/0/0/?
Port link-type access
Port default vlan 2/3
3、做聚合
在SW1 SW2上分别配置
int Eth-Trunk 1
trunkport g0/0/1
trunkport g0/0/2 ???
4、设置负载分摊(在sw1 sw2上配置)
先判断基于mac还是基于ip分流(load-balance ?)
条件越多越好,所以用源目ip,默认就是基于源目ip分流
load-balance src-dst-ip
5、设置干道
port link-type trunk
port trunk allow-pass vlan all (vlan 2 to 4094)
给核心层和汇聚层相连的的每一个接口和聚合链路接口eth-trunk1配置干道口
6、配生成树 mstp(四台都要敲)
Stp enable(打开生成树总开关默认打开,可以不敲)
Stp region-configuration(开始配多生成树)
Region-name HW
Revision-level 1 这两步在全是华为设备的情况下可以不敲
起两个实例
Instance 1 vlan 2(实例一管理vlan2)
Instance 2 vlan 3 (示例二挂vlan3)
Active region-configuration(激活)
然后开始调根,调成一个互备的跟
sw1:stp instance 1 root primary(Sw1是示例一的主根)
Stp instance 2 root secondary (示例二的副跟)
Sw2:stp instance 2 root primary(Sw2是示例二的主根)
Stp instance 1 root secondary (示例一的副跟)
查看有没有配置成功
Display stp instance 1(查主根) MSTI Bridge :32768
Display stp instance 2(查主根) MSTI Bridge :4096
查看(验证判断)端口是不是阻塞扣的命令:display stp instance 1 interface
7、VRRP:一种热备份的网关协议,用来处理网关冗余的场景(所用资源远低于ospf)
Sw1:int vlan 2
Ip add 10.1.2.1 24
Vrrp vrid 1 virtual-ip 10.1.2.254(虚ip)
Vrrp vrid priority 120(设置优先级,默认100)
Vrrp vrid 1 preempt-mode timer delay 5(如果5秒还未切换成功,则抢回)
Vrrp vrid 1 authentication-mode md5 123(增加一个vrrp安全认证,123是密码 )
Vrrp vrid 1 track interface g0/0/?(上联接口) reduce 30 (配监控)
Increase:增加。在做某些割接的时候下会使用
需要在短时间内把主网关切换到新设备上时,会用到增加命令
Sw2:int vlan 2
Ip add 10.1.2.2 24
Vrrp vrid 1 virtual-ip 10.1.2.254(虚ip)
Vrrp vrid priority 100
Vrrp vrid 1 preempt-mode timer delay 5
Vrrp vrid 1 authentication-mode md5 123(可不配)
在r1路由器配一个接口
左边下连口:10.1.11.1 24
右边下连口:10.1.12.1 24
起个回环做测试:loop0 : 8.8.8.8 32
8、写路由:
IP route-static 10.1.2.0 24 10.1.11.2(去2网段)
IP route-static 10.1.3.0 24 10.1.12.2(去3网段)
然后做浮动静态(如果不做包回不来)
IP route-static 10.1.2.0 24 10.1.12.2 preference 100
IP route-static 10.1.3.0 24 10.1.11.2 preference 100
9、因为二层口不能变成三层口(unde swichport) 所以在sw1 sw2做一个互通vlan:
Sw1:
Int g0/0/?(上联接口)
Port link-type access
Port default vlan 101
Int vlan101
Ip add 10.1.11.2
Sw2
Int g0/0/?(上联接口)
Port link-type access
Port default vlan 102
Int vlan102
Ip add 10.1.12.2
10、写静态
Sw1 :
iproutr-static 0.0.0.0 0 10.1.11.1
Sw2 :
iproutr-static 0.0.0.0 0 10.1.12.1
找pc ping8.8.8.8(路由环回) pc1 : 10.1.2.100
DHCP:
Sw1:
Int vlan2
dhcp select global
Qu
Ip pool vlan2(池名随便)
Network 10.1.2.0 mask 24
Gateway-list 10.1.2.254
Excluded-ip-address 10.1.2.129 10.1.2.253(排除环节,分池子)
Lease day 1(设置租期)
Sw2:
Int vlan2
dhcp select global
qu
Ip pool vlan2(池名随便)
Network 10.1.2.0 mask 24
Gateway-list 10.1.2.254
Excluded-ip-address 10.1.2.1 10.1.2.128(排除地址,分池子)
Lease day 1(设置租期)
端口安全:
Sw3:
Int e0/0/3(下联pc接口配)
Stp edged-port enable(边缘端口开启。边缘端口收敛为0,会使这个接口不参与生成树的计算,完全生成树就无法干预他,所以他的物理通了,逻辑就会通。边缘端口坏处:端口底下成环,无法让生成树来解决,所以要边缘端口配合端口安全,端口安全检测口接受的mac地址)
Port-security enable(开启端口安全)
Port-security max-mac-num 1/2/3(配置能检测几个正确的mac地址,默认是一个)
Port-security mac-address sticky (直接回车就是粘滞,接进来的第一个mac将会被绑定,一旦检测到非绑定的mac就会阻断该口.加mac地址直接就确定正确mac地址)
Port-security protect-action ?(惩罚:悄悄丢包、警告日志、关闭接口。可以不配)
qu
【Dhcp snooping enable(dhcp的防御措施,防止受到攻击。攻击有耗尽攻击、伪装攻击)】
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
