园区网基础架构实验手册

这是实验1的实验手册完善版,有看的朋友不要无脑跟着我的步骤做,不然你会啥都没学到,然后我一首凉凉送给你。

实验分析

1、首先1-3步实验需求,在三台交换机之间动态协商建立trunk,然后建立VTP,最后创建Vlan,然后在接入层将连接PC的接口划分为access口。
2、4-5步的需求,在核心交换机上(架构比较小,不需要汇聚)创建三层接口使得可以和NAT路由器互通,并且在交换机和NAT路由器上创建地址池。PC1通过Vlan 10向核心交换机获取地址,PC2和PC3向NAT路由器获取,因为DHCP请求包是广播包,而核心交换机开启了路由功能,隔绝广播域,所以需要在核心交换机上开启DHCP 中继功能:PC的广播请求发给Core,Core收到后单播给NAT路由器。而路由器需要单播回复给在Core的Vlan 20和Vlan 30的管理地址,所以需要有路由条目,这时候需要整网通告路由。
3、第6步配置VTY。
4、第7步拒绝PC2的流量,可以将PC2的网线拔了,简单粗暴。也可以在Core的C接口上配置ACL,拒绝PC2的流量。其他方法自己想,上过路由的多少应该知道一点,没上过的我说了也没用。要注意:这里的ACL不可以配在Access2上,因为Access2没有开启路由功能,而ACL是要匹配路由的。
5、更改域名后,因为VTP域名不一致,动态协商建立trunk会失败(改完域名后关掉接口再打开),所以可以关闭动态协商,手动建立trunk。

实验配置

1.png
加速命令:

1
2
3
4
no ip domain lookup
Line console 0
logging synchronous
exec-timeout 0 0

1
2
3
4
5
6
Core(config)#int f0/17
Core(config-if)#switchport mode dynamic desirable //动态协商
Core(config-if)#switchport trunk encapsulation dot1q
Core(config-if)#int f0/21
Core(config-if)#switchport mode dynamic desirable
Core(config-if)#switchport trunk encapsulation dot1q
1
2
3
4
Access1(config)#int f0/12
Access1(config-if)#switchport mode dynamic auto
Access1(config-if)#switchport trunk allow vlan all
Access1(config-if)#switchport trunk native vlan 1
1
2
3
4
Access2(config)#int f0/12
Access2(config-if)#switchport mode dynamic auto
Access2(config-if)#switchport trunk allow vlan all
Access2(config-if)#switchport trunk native vlan 1
1
2
3
Core(config)#vtp mode server
Core(config)#vtp domain sovand.com
Core(config)#vtp password 123
1
2
3
Access1(config)#vtp mode client
Access1(config)#vtp domain sovand.com
Access1(config)#vtp password 123
1
2
3
Access2(config)#vtp mode transparent
Access2(config)#vtp domain sovand.com
Access2(config)#vtp password 123
1
2
3
Core(config)#vlan 10
Core(config)#vlan 20
Core(config)#vlan 30

在Access1上:show vlan 查看vlan是否同步,正常可以同步。
在Access2上查看,正常不可以同步。

1
2
3
Access1(config)#int f0/5
Access1(config-if)#switchport mode access
Access1(config-if)#switchport access vlan 10
1
2
3
4
5
6
7
8
Access2(config)#vlan 20
Access2(config)#vlan 30
Access2(config)#int f0/8
Access2(config-if)#switchport mode access
Access2(config-if)#switchport access vlan 20
Access2(config-if)#int f0/9
Access2(config-if)#switchport mode access
Access2(config-if)#switchport access vlan 30

实现三层互通和配置vlan的管理地址

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Core(config)#ip routing  //打开三层交换机路由功能
Core(config)#int f0/11
Core(config-if)#no switchport //打开接口三层功能
Core(config-if)#ip add 24.24.24.4 255.255.255.0
Core(config-if)#no sh
Core(config)#int vlan 20
Core(config-if)#ip add 10.1.20.1 255.255.255.0
Core(config-if)#no sh
Core(config-if)#int vlan 30
Core(config-if)#ip add 10.1.30.1 255.255.255.0
Core(config-if)#no sh
Core(config-if)#int vlan 10
Core(config-if)#ip add 10.1.10.1 255.255.255.0
Core(config-if)#no sh
Core(config)#router ospf 1
Core(config-router)#router-id 4.4.4.4
Core(config-router)#network 24.24.24.0 0.0.0.255 area 0
Core(config-router)#network 10.1.10.0 0.0.0.255 area 0
Core(config-router)#network 10.1.20.0 0.0.0.255 area 0
Core(config-router)#network 10.1.30.0 0.0.0.255 area 0
1
2
3
4
5
6
7
8
9
Router1(config)#int f0/0
Router1(config-if)#ip add 24.24.24.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#int f0/1
Router1(config-if)#ip add 12.12.12.2 255.255.255.0
Router1(config-if)#no sh
Router1(config)#router ospf 1
Router1(config-router)#network 24.24.24.0 0.0.0.255 area 0
Router1(config-router)#default-information originate always

配置地址池

1
2
3
4
5
6
7
Core(config)#ip dhcp pool 10   //10是地址池的名字
Core(dhcp-config)#network 10.1.10.0 255.255.255.0
Core(dhcp-config)#default-router 10.1.10.1
Core(config)#int vlan 20
Core(config-if)#ip helper-address 24.24.24.2 //中继到NAT路由器的入接口
Core(config)#int vlan 30
Core(config-if)#ip helper-address 24.24.24.2
1
2
3
4
5
6
Router1(config)#ip dhcp pool 20
Router1(dhcp-config)#network 10.1.20.0 255.255.255.0
Router1(dhcp-config)#default-router 10.1.20.1
Router1(config)#ip dhcp pool 30
Router1(dhcp-config)#network 10.1.30.0 255.255.255.0
Router1(dhcp-config)#default-router 10.1.30.1

在PC上:

1
2
3
No ip routing
int f0/0
Ip add dhcp

此时分析DHCP报文交互,在Core上:

1
2
debug ip dhcp server events
Debug ip dhcp server packet

2.png

或者做端口镜像(可不做),也是在Core上:

1
2
Core(config)#monitor session 1 source interface f0/11 both //设置捕获数据源端口
Core(config)#monitor session 1 destination interface f0/5 //设置目的端口,此时只需要拉一根网线,一边接f0/5,另一边接自己的电脑,打开Wireshark捕捉本地连接,就可以抓到包,此时在PC上ip add dhcp ,就可以抓到DHCP报文。

3.png
由图中可以看出Core中继了DHCP的请求。

PC间互通,并且可以访问Router2

1
2
3
4
5
6
7
Router1(config)#access-list 1 permit 10.1.0.0 0.0.255.255
Router1(config)#ip nat inside source list 1 int f0/1 overload
Router1(config)#int f0/1
Router1(config-if)#ip nat outside
Router1(config)#int f0/0
Router1(config-if)#ip nat inside
Router1(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.7
1
2
3
4
Router2(config)#int f0/1
Router2(config-if)#ip add 12.12.12.7 255.255.255.0
Router2(config-if)#int lo1
Router2(config-if)#ip add 2.2.2.2 255.255.255.0

实现远程管理

———密码登录方式——–

1
2
3
4
Core(config)#line vty 0 4
Core(config-line)#password 123
Core(config-line)#login
Core(config)#enable password abc123

———-账号密码登录方式————-

1
2
3
4
5
Core(config)#username haha password 123
Core(config)#line vty 0 4
Core(config-line)#login local
Core(config)#enable password abc123 //设置进入特权模式的密码,没设置无法进入
Core(config)#service password-encryption //加密全局密码

拒绝PC2的异常流量

1
2
3
4
Core(config)#access-list 1 deny 10.1.20.0 0.0.0.255
Core(config)#access-list 1 permit any
Core(config)#int f0/21
Core(config-if)#ip access-group 1 in

更改Access1的VTP域名

1
2
3
4
Access1(config)#vtp domain sovand.org
Access1(config)#int f0/12
Access1(config-if)#sh
Access1(config-if)#no sh //此时show int trunk发现trunk已经没了

——-关闭之前配置的动态协商,手动建立trunk——

1
2
3
4
Access1(config-if)#no switchport mode dynamic auto
Access1(config-if)#switchport mode trunk
Access1(config-if)#switchport trunk allowed vlan all
Access1(config-if)#switchport trunk native vlan 1

Core(config)#int f0/17
Core(config-if)#no switchport mode dynamic desirable
Core(config-if)# switchport mode trunk
Core(config-if)#switchport trunk encapsulation dot1q

后续实验手册会陆续发布到个人博客中,敬请期待!

------ 本文结束感谢您的阅读 ------
坚持原创技术分享,您的支持将鼓励我继续创作!