网站空间计算无锡网络营销推广公司

一、实验拓扑

二、实验要求

1、 内网IP地址使用172.16.0.0/16进行分配

2、SW1和SW2之间互为备份

3、VRRP/STP/VLAN/SVI/ETH-trunk均使用

4、ISP只能配置IP地址

5、所有电脑可以正常访问ISP路由器环回

三、实验步骤

根据实验要求可以发现我们配置的顺序：

创建vlan —— Eth-trunk —— 接口配置vlan —— MSTP（应该这里需要互为备份，题目只说了sw1和sw2互为备份，我们姑且理解为VRRP和STP都互为备份）—— SVI（我们需要在交换机上配置网关） —— VRRP —— DHCP —— NAT（通过过地址转换，将私有 IP 映射为公网 IP，通过DHCP下发的IP地址都是私有IP地址，只能在局域网中通信）

3.1、创建vlan

在每个交换机上创建vlan 2和vlan 3，但是sw1和sw2需要多创建vlan 4和vlan 5，因为我们需要vlanif 4和5 来作为路由器与交换机之间的桥梁，这里需要三层交换机

这里只展示sw1、sw3（sw1和sw2相同，sw3和sw4相同）

[sw1]vlan batch 2 3 4 5
[sw3]vlan batch 2 3 

3.2、链路聚合

sw1和sw2之间两条链路连接的两端相同（这两条链路的功能相同），交换机又不会自动进行负载均衡，所以进行链路聚合，来提高带宽和冗余性

两个交换机都需要配置，而且当你链路聚合后会发现原来的链路以及无法进行配置了

[sw1]interface Eth-Trunk 0
[sw1-Eth-Trunk0]trunkport GigabitEthernet 0/0/1
[sw1-Eth-Trunk0]trunkport GigabitEthernet 0/0/2[sw2]interface Eth-Trunk 0
[sw2-Eth-Trunk0]trunkport GigabitEthernet 0/0/1
[sw2-Eth-Trunk0]trunkport GigabitEthernet 0/0/2
[sw2]dis interface brief  # 简要查看接口信息[sw2-GigabitEthernet0/0/1]port link-type trunk^
Error: Unrecognized command found at '^' position.
[sw2-GigabitEthernet0/0/1]

3.3、接口vlan的下发

这里只作sw3的展示，后面只展示vlan表，这里注意当处于G接口下是无法直接进行链路聚合口的，需要先退出G接口才可进入到链路聚合口

[sw3]int g0/0/1
[sw3-GigabitEthernet0/0/1]port link-type access 
[sw3-GigabitEthernet0/0/1]port default vlan 2[sw3-GigabitEthernet0/0/1]int g0/0/2
[sw3-GigabitEthernet0/0/2]port link-type  access
[sw3-GigabitEthernet0/0/2]port default vlan 3[sw3-GigabitEthernet0/0/2]int g0/0/3
[sw3-GigabitEthernet0/0/3]p l t  # port link-type trunk的缩写
[sw3-GigabitEthernet0/0/3]p t a v 2 3  # port trunk allow-pass vlan 2 3的缩写[sw3-GigabitEthernet0/0/3]int g0/0/4
[sw3-GigabitEthernet0/0/4]p l t
[sw3-GigabitEthernet0/0/4]p t a v 2 3[sw3]dis port vlan active

sw1和sw2的vlan允许列表相似，sw3和sw4的允许列表相似

3.3、STP配置

在启动交换机的时候STP就以及开启了，默认是STP，我们需要修改成MSTP，因为这个才能实现vlan分流以及互为备份的要求，下图是默认的vlan允许列表

sw3和sw4类似，sw1和sw2类似，麻烦自行思考配置！！！[sw3]stp mode mstp # 设置为多生成树协议，华为默认是stp
[sw3]stp region-configuration  # 进入MSTP配置视图
[sw3-mst-region]region-name a  # 作为不同树的一个标识
[sw3-mst-region]revision-level 1  # 标记配置等级，类似于版本号
[sw3-mst-region]instance 2 vlan 2  # 将vlan 2映射到生成树2
[sw3-mst-region]instance 3 vlan 3  # 可以一个或多个vlan进行一个映射
[sw3-mst-region]active region-configuration  # 激活当前配置
[sw3-mst-region]q# 因为交换机连接PC是不会有环路的，而且BDPU报文发给PC属于是垃圾信息，所以进行以下配置
[sw3]int g0/0/1
[sw3-GigabitEthernet0/0/1]stp edged-port enable   # 配置边缘接口，加快收敛，直接进入到转发
[sw3-GigabitEthernet0/0/1]stp bpdu-filter enable   # 过滤BPDU报文[sw3-GigabitEthernet0/0/1]int g0/0/2
[sw3-GigabitEthernet0/0/2]stp edged-port enable 
[sw3-GigabitEthernet0/0/2]stp bpdu-filter enable 
[sw3-GigabitEthernet0/0/2]q[sw3]stp bpdu-protection  # 开启保护机制，当交换机连接的PC变为交换机时直接关闭连接的接口[sw3]dis stp region-configuration  # 查看mstp的配置信息[sw1]stp region-configuration
[sw1-mst-region]region-name a 
[sw1-mst-region]revision-level 1
[sw1-mst-region]instance 2 vlan 2
[sw1-mst-region]active region-configuration 
[sw1-mst-region]q
[sw1]stp instance 2 root primary  # sw1作为树2的主
[sw1]stp instance 3 root secondary  # sw1作为树2的备份

3.4、SVI（vlanif）的配置

[sw1]int vlanif 2
[sw1-Vlanif2]ip add 172.16.2.1 24  # 作为vlan 2的网关
[sw1-Vlanif2]int vlanif 3
[sw1-Vlanif3]ip add 172.16.3.1 24  # 作为vlan 3的网关[sw1]int vlanif 4
[sw1-Vlanif4]ip add 172.16.4.1 24
[sw1-Vlanif4]int g0/0/5
[sw1-GigabitEthernet0/0/5]p l a
[sw1-GigabitEthernet0/0/5]p d v 4
[sw1-GigabitEthernet0/0/5]q
[sw1]ip route-static 0.0.0.0 0 172.16.4.2[sw1]dis ip int bri[sw2]int vlanif 2
# 这里也是作为vlan 2的网关，模拟有两个网关冗余的情况，这个情况下就可以使用VRRP
[sw2-Vlanif2]ip add 172.16.2.2 24  
# 同上
[sw2-Vlanif2]int vlanif 3
[sw2-Vlanif3]ip add 172.16.3.2 24[sw2-Vlanif3]int vlanif 5
[sw2-Vlanif5]ip add 172.16.5.1 24
[sw2-Vlanif5]int g0/0/5
[sw2-GigabitEthernet0/0/5]p l a
[sw2-GigabitEthernet0/0/5]p d v 5
[sw2-GigabitEthernet0/0/5]q
[sw2]ip route-static 0.0.0.0 0 172.16.5.2[sw2]dis ip int bri

3.5、VRRP配置

[sw1]int vlanif 2
# 这里使用的是虚拟的网关，当然也可以使用真实的其中一个
[sw1-Vlanif2]vrrp vrid 2 virtual-ip 172.16.2.3  
[sw1-Vlanif2]vrrp vrid 2 priority 110  # 设置优先级为110，这样就可以让VRRP域2的sw1这边成为主
# 进行上行链路检测，当上行链路出现故障，本链路的优先级减11，这样就会小于默认值100
[sw1-Vlanif2]vrrp vrid 2 track interface Vlanif 4 reduced 11  
# 设置等待抢占时间，避免链路摆荡（一会上线一会掉线，导致主位置的不停更替）
[sw1-Vlanif2]vrrp vrid 2 preempt-mode timer delay 20
[sw1-Vlanif2]int vlanif 3
[sw1-Vlanif3]vrrp vrid 3 virtual-ip 172.16.3.3[sw1]dis vrrp brief   # 简要查看VRRP信息表[sw2]int Vlanif 2
[sw2-Vlanif2]vrrp vrid 2 virtual-ip 172.16.2.3
[sw2-Vlanif2]int vlanif 3
[sw2-Vlanif3]vrrp vrid 3 virtual-ip 172.16.3.3
[sw2-Vlanif3]vrrp vrid 3 priority 110
[sw2-Vlanif3]vrrp vrid 3 track interface Vlanif 5 reduced 11
[sw2-Vlanif3]vrrp vrid 3 preempt-mode timer delay 20[sw2]dis vrrp brief 

3.6、DHCP配置

需要配置DHCP中继的情况：

        DHCP服务器与客户端不在同一广播域：如果DHCP服务器与客户端不在同一子网，客户端的DHCP请求不会直接到达服务器。此时，需要配置DHCP中继，将客户端的DHCP请求转发到远程DHCP服务器。

        多个子网需要共享同一个DHCP服务器：如果网络中有多个子网，并且希望它们都能够使用同一个DHCP服务器，那么就需要在每个子网上配置DHCP中继。（本次实验属于这种）

        具有多个DHCP服务器的冗余配置：转发请求到多个DHCP服务器，以确保即使一个服务器失败，客户端仍然能够获得IP地址。

        管理复杂的网络结构：如果每个子网都有自己的DHCP服务器，可能会造成管理混乱，因此通过使用DHCP中继集中管理可以减少这种复杂性。

[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 172.16.1.2 24 
[ISP-GigabitEthernet0/0/0]int l0
[ISP-LoopBack0]ip add 1.1.1.1 24[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 172.16.1.1 24
[r1]ip route-static 0.0.0.0 0 172.16.1.2
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 172.16.4.2 24
[r1-GigabitEthernet0/0/1]int g0/0/2
[r1-GigabitEthernet0/0/2]ip add 172.16.5.2 24[r1]dhcp enable # 开启DHCP服务后创建地址池
[r1]ip pool a  
[r1-ip-pool-a]network 172.16.2.0 mask 24	
[r1-ip-pool-a]gateway-list 172.16.2.3
[r1-ip-pool-a]dns-list 223.5.5.5 8.8.8.8[r1-ip-pool-a]ip pool b
[r1-ip-pool-b]network 172.16.3.0 m 24
[r1-ip-pool-b]gateway-list 172.16.3.3
[r1-ip-pool-b]dns-list 223.5.5.5 8.8.8.8[r1-ip-pool-b]int g0/0/1
[r1-GigabitEthernet0/0/1]dhcp select global 
[r1-GigabitEthernet0/0/1]int g0/0/2
[r1-GigabitEthernet0/0/2]dhcp select global 
[r1-GigabitEthernet0/0/2]q[r1]ip route-static 172.16.2.0 24 172.16.4.1
[r1]ip route-static 172.16.3.0 24 172.16.4.1
[r1]ip route-static 172.16.3.0 24 172.16.5.1
[r1]ip route-static 172.16.2.0 24 172.16.5.1# 开启DHCP中继
[sw1]dhcp enable 
[sw1]int Vlanif 2
[sw1-Vlanif2]dhcp select relay  # 开启DHCP中继功能
[sw1-Vlanif2]dhcp relay server-ip 172.16.4.2  # 指定转发到的远程DHCO服务器
[sw1-Vlanif2]int vlanif 3
[sw1-Vlanif3]dhcp select relay 
[sw1-Vlanif3]dhcp relay server-ip 172.16.4.2[sw2]dhcp enable 
[sw2]int Vlanif 2
[sw2-Vlanif2]dhcp select relay 
[sw2-Vlanif2]dhcp relay server-ip 172.16.5.2
[sw2-Vlanif2]int vlanif 3
[sw2-Vlanif3]dhcp select relay 
[sw2-Vlanif3]dhcp relay server-ip 172.16.5.2

验证DHCP配置的方法：查看PC是否通过DHCP获取到IP地址

PC1：172.16.2.254                             PC3：172.16.2.253

PC2：172.16.3.254                             PC4：172.16.3.253

这里可以发现PC有IP地址但是是无法访问到公网的，所以需要配置NAT

3.7、NAT配置

[r1]acl 2000
[r1-acl-basic-2000]rule permit source 172.16.2.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 172.16.3.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 172.16.4.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 172.16.5.0 0.0.0.255
[r1-acl-basic-2000]int g0/0/0  # 这里注意进入的接口，是想要访问的方向
[r1-GigabitEthernet0/0/0]nat outbound 2000  

3.8、测试访问

每个PC间应该也是可以通信的