200人 500人规模园区网设计(中小企业网络)
200人 500人规模园区网
- 一、设备选型(光口和电口的交换机,注意设备利旧)
- 二、技术需求
- 三、详细配置
- STP Eth-trunk
- VLAN
- 网关 SVI
- DHCP
- 出口路由 NAT
- NAT
- 端口映射
- ACL
- Telnet
- VLAN 修剪
- 拓扑配置文件
实验要求
① 设置合理的STP优先级、边缘端口、Eth-trunk
环路会引起广播风暴,设置STP可二层防环,STP是破环协议
② 企业内网划分多个vlan ,减少广播域大小,提高网络稳定性
③ 所有设备,在任何位置都可以telnet远程管理
④ 出口配置NAT
⑤ 所有用户均为自动获取ip地址(核心交换机)
⑥ 在企业出口将内网(web)服务器的80端口映射出去,允许外网用户访问
⑦ 企业财务服务器,只允许财务部(vlan 30)的员工访问。
对于中小企业网络,医院,高校,酒店。 两层架构(核心层和接入层)
假设企业达到1000人,就加上汇聚层,在我的博客里也能看到1000人中小型企业,尽量扁平化,如果设备太多,每一个设备都可成为故障点,传输速率也会慢点
人员分布
同个部门员工都在同一层楼,布线好布置,这样就两层架构。
如果员工分散在N层楼,这样就三层架构
企业网按部门划分网段,校园网按宿舍楼层划分网段PC2是用一个路由器来模拟PC(telnet)
一、设备选型(光口和电口的交换机,注意设备利旧)
…
二、技术需求
①二层:STP Eth-trunk 即冗余技术,把接入层到核心层的两条线捆绑成一条线
让交换机运行快速生成树,核心交换机的优先级要调最低。
②vlan、trunk
vlan即虚拟局域网,隔离广播域,提升网络的稳定性 安全性,同时方便管理和控制这个网络,满足特殊网络的访问控制要求
一个vlan 对应一个网段 对应一个广播域
trunk是对vlan的一个提升,允许多个VLAN通信,接入交换机和核心交换机 通过trunk。
专门单独设置一个管理VLAN,用作远程管理
③网关、SVI配置
④DHCP配置
第一种方式:DHCP是在核心交换机上做的,启用DHCP功能
第二种方式:若找DHCP服务器分配的话,就要在核心交换机上做DHCP中继
配置DHCP地址池,网关DNS
⑤出口NAT配置
NAT:网络地址翻译,将内网私网地址转换成公网地址。在出口的时候 转换成公网地址
⑥服务器端口映射
将内网的某一台服务器的某一个端口 映射到公网上,方便外网直接访问某台设备和服务
⑦ACL配置
控制部门之间的互访
如:财务服务器,禁止部分员工去访问,只允许财务部和董事长
⑧telnet远程管理配置
远程登录,方便运维
⑨vlan修剪配置
通过进一步缩小广播域,进一步提升网络的稳定性和安全性
trunk 只允许有划分的vlan通过,而不是所有vlan通过。 使广播范围小了
三、详细配置
STP Eth-trunk
①STP Eth-trunk设置合理的优先级(越小越优先),设置边缘端口
设置边缘端口的好处:可以提高网络的收敛速度,增加稳定性
千兆口连接上行,百兆口连接下行用户
1.STP
核心:sw1
[sw1]stp root primary //成为主根桥接入:sw2 sw3 sw4 sw5
[sw2]port-g group-member e0/0/1 to e0/0/22 //g是group
[sw2-port-group]stp edged-port enable2.Eth-trunk,将两条链路捆绑起来
sw1:
int eth-trunk 2mode lacp-statictrunkport gi 0/0/1trunkport gi 0/0/4
int eth-trunk 2stp cost 10000sw2:
interface eth-trunk 2mode lacp-statictrunkport gi 0/0/1trunkport gi 0/0/2
int eth-trunk 2stp cost 10000 //强制这个stp口的开销,设置了可以优化网络,让STP更稳定。如果一条链路断了,stp会重新收敛。 为了避免重新收敛这种,将其捆绑后设定一个固定costdis eth-trunk 2
省略其他交换机的配置,都是类似的
sw3--sw1 eth-trunk3
sw4--sw1 eth-trunk4
sw5--sw1 eth-trunk5VLAN
②vlan trunk
接入SW2 SW3 SW4 SW5,创建vlan,将接口划入vlan
[sw2]vlan 10
[sw2-vlan10]vlan 20
[sw2]int eth-trunk2
[sw2-Eth-Trunk2]port link-type trunk
[sw2-Eth-Trunk2]port trunk allow-pass vlan all //all的范围就是 2 to 4094,因此这种也要修剪
[sw2]int e0/0/2
[sw2-Ethernet0/0/2]port link-type access
[sw2-Ethernet0/0/2]port default vlan 10
[sw2]int e0/0/3
[sw2-Ethernet0/0/3]port link-type access
[sw2-Ethernet0/0/3]port default vlan 20针对交换机下很多PC,直接按组配置
[sw3]vlan 20
[sw3]int eth-trunk3
[sw3-Eth-Trunk3]port link-type trunk
[sw3-Eth-Trunk3]port trunk allow-pass vlan all[sw3]port-g g Ethernet 0/0/3 to Ethernet 0/0/22
[sw3-port-group]port link-type access
[sw3-port-group]port default vlan 3 0sw4 sw5 配置略..........核心SW1,修剪
接入交换机有的VLAN,也要在核心交换机上一并创建
[sw1]vlan 10
[sw1]vlan 20
[sw1]int eth-trunk 2
[sw1-Eth-Trunk2]port link-type trunk
[sw1-Eth-Trunk2]port trunk allow-pass vlan 10 20 999
这种就是VLAN修剪,原因:
如果是trunk all,它的广播域会过大,整个trunk链路都是广播域,使网络不稳定
因为用户发送的广播报文,带着vlan10的标签的广播会发送到所有trunk中,即所有的交换机都会收到,即使接下来其他交换机收到不会发到PC。直接一次性按组配置,这种就全是all,后期要修剪比较好
[sw1]vlan batch 10 20 30 40 200
[sw1]port-g g Eth-Trunk 2 to Eth-Trunk 5
[sw1-port-group]port link type turnk
[sw1-port-group]port turnk allow-pass vlan all网关 SVI
③网关 SVI SVI就是VLAN IF接口
DHCP自动获取IP地址,就是通过网关来获取的
这里先配置接口
sw1: 交换机虚拟接口
int vlanif10
ip add 192.168.10.1 255.255.255.0
int vlanif20
ip add 192.168.20.1 255.255.255.0
int vlanif30
ip add 192.168.30.1 255.255.255.0
int vlanif40
ip add 192.168.40.1 255.255.255.0
int vlanif200
ip add 192.168.200.1 255.255.255.0
三层交换机和路由器的三层对接:
交换机接口 默认是不能配置IP地址的。 所以这时使用vlan if 接口对接
然后给交换机vlanif 800 配置 192.168.254.2
出口R1的ge0/0/0 配置 192.168.254.1
SW1的具体配置
sw1:
[sw1]vlan 800
[sw1]int g 0/0/24
port link-type access //配置成access,别配置成trunk
port default vlan 800
[sw1]int vlanif 800
ip add 192.168.254.2 255.255.255.0
DHCP
④DHCP配置 服务器地址是静态配置
sw1:
[sw1]dhcp enable
[sw1]ip pool caiwu
[sw1-ip-pool-caiwu]gateway-list 192.168.30.1
[sw1-ip-pool-caiwu]network 192.168.30.0 mask 24
[sw1-ip-pool-caiwu]dns-list 114.114.114.114 8.8.8.8
#
ip pool jishu
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_1
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_2
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
##用户请求,交换机查看用户请求报文,看用户是来自VLAN 10,然后会查看路由表的VLAN IF 10上配的地址网段是 192.168.10.0网段,让用户去全局上拿地址池
[sw1]int vlanif 10
[sw1-vlanif10]dhcp select global
[sw1]int vlanif 20
[sw1-vlanif20]dhcp select global
30 40 50 略出口路由 NAT
⑤出口路由 NAT
核心sw1上设置缺省路由 指向出口路由器
[sw1]ip route-static 0.0.0.0 0 192.168.254.1出口路由器上设置缺省路由 指向运营商
[R1]ip route-static 0.0.0.0 0 12.1.1.6出去后 要回来
路由器要根据路由表回去
[R1]ip route-static 192.168.0.0 16 192.168.254.2
NAT
⑥NAT
acl 2000rule 5 permit source 192.168.0.0 0.0.255.255
[R1]int g0/1
[ ]nat outbound 2000
端口映射
⑦服务器端口映射
R1:
int g0/0/1
nat server protocol tcp global 12.1.1.2 80 inside 192.168.200.10 80
ACL
⑧ACL配置 只有财务部vlan30可以访问财务服务器
sw1:
acl number 3000rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.200.20 0rule 10 deny ip destination 192.168.200.20 0int eth-trunk5traffic-filter outbound acl 3000 Telnet
⑨Telnet配置
所有设备(路由 交换机)都需如下配置
telnet server enable
aaalocal-user aa privilege level 3 password cipher 123local-user aa service-type telnetuser-interface vty 0 4authentication-mode aaa
接入交换机(二层交换机)配置管理地址(交换机有了管理地址才能telnet):
使用专门管理vlan 999承载telnet的管理流量,建议将管理IP地址配置在一个网段即可
管理vlan:vlan 999
管理网段:192.168.253.0/24
sw1:
vlan 999
int vlanif 999
ip add 192.168.253.1 24sw2
vlan 999 //创建vlan
int vlanif 999 //配置vlan 管理地址
ip add 192.168.253.2 24
sw3 sw4 sw5 配置略,只要ip地址最后一位改一下❤下面该缺省路由是为了管理流量回包。每个接入层交换机都需要配置。
因为这里管理和业务是分开的。
[sw2]ip route-s 0.0.0.0 0 192.168.253.1 //sw2配置缺省路由 回到核心交换机
sw3 sw4 sw5 配置略,一模一样的VLAN 修剪
⑨VLAN修剪
为了进一步减少trunk链路上的广播报文的发送范围,进一步缩小广播域,在trunk链路上配置VLAN的过滤
sw2
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
sw3 sw4 也是类似这样配置。修剪sw1
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999补充知识点
- 创建vlan,配置vlan管理地址,根据管理地址对应的网段 去DHCP地址池找相应,自动分配
- 因为交换机 不可以在接口直接配置IP地址,即使是核心交换机也不行
因此使用vlanif接口方式 使交换机和路由器 三层对接 - 楼宇还是楼层,都要根据需求去划分vlan。如果是学生宿舍,每层楼的vlan就独立
楼宇之间 光纤千兆Gigabitethernet, 楼层之间 百兆Ethernet - 用户上网是走二层的MAC地址
- VLAN间的本质是 标签的转换, VLAN间通信
拓扑配置文件
附上网络配置(积分可以去淘宝搜一下CSDN):
https://download.csdn.net/download/qq_39578545/12381369
200人 500人规模园区网设计(中小企业网络)相关推荐
- 1000人 规模园区网设计
1000人 规模园区网设计 VLAN 网关 SVI DHCP OSPF NAT ACL SNMP运维监控 云桥接 完整配置文件 实验要求: ① 信息中心配置Eth-trunk实现链路冗余 ② 企业内网 ...
- 1000人 冗余 规模园区网设计(校园网)
1000人 冗余 规模园区网 1.底层配置 Eth-Trunk VLAN 2.MSTP配置 3.VRRP配置 4.BFD配置 5.OSPF 7.NAT 8.DHCP中继配置 9.DHCP的安全技术 1 ...
- 受疫情影响,新潮传媒开工首日裁员500人,你的offer还保得住吗?
自大年三十放假以来 一直被闷在家中 多次因无聊而登顶热搜的社畜们 终于迎来了开工的好消息! 然而 #新潮传媒开工首日裁员500人#的消息 一经发出 随即登顶微博热搜 被裁掉的500人占总员工数的10% ...
- 估值150亿,账上还有近10亿现金,却减员500人,这家公司CEO的说法你认同吗?...
本文来自公众号"猎云网",Techweb经授权发布 ID | ilieyun 作者 | 尹子璇 这是"减员",不是"裁员",减员理由也与疫情 ...
- 四人竞赛抢答器的设计
四人竞赛抢答器的设计 1. 实验要求 基本要求: ①每组设置一个抢答按钮,供抢答者使用: ②电路具有第一抢答信号的鉴别和锁存功能. 在主持人将系统复位并发出抢答指令后,若有参赛者按抢答开关,则显示出抢 ...
- android 微信广播拉活,实战解析微信群快速拉完500人的方法
微信群的上线是500人达到500人以后你点击添加以后就会提示你群满员,一般的人想把自己的微信拉满500人是很有难度的,除了要求自己的微信号本身活跃的好友大于3000人,还要你建立的群聊符合他们的价值观 ...
- 微信群突破500人 php,微信群如何突破五百人的上限?实现千人大群?
原标题:微信群如何突破五百人的上限?实现千人大群? 众所周知,微信群现在已经从原来的200人限制,扩展到500人的限制,但是对于许多群主而言,创建的群可能吸引的人远远不止500人,甚至群主的影响力大, ...
- 企业微信重大更新:外部群人数上限扩展至500人,社群运营时代到来!
12月21号,企业微信版本已更新至3.0.1,这一次企业微信有更新了哪些新功能呢? 一.企业微信与微信互通的「客户群」人数全面升级,邀请微信用户进群,群人数可达500 比起先前的200人上限,500人 ...
- 赞鹿:再次上调!企业微信客户群聊人数上限增加到500人!
12月21日,打开企业微信,赞鹿发现发现企业客户群人数上调至500人,这已经是企业微信今年第二次调整客户群聊上限人数,这意味着企业微信客户群聊人数已经和个人微信群聊人数持平. 需要说明的是,新建外部群 ...
最新文章
- 数据蒋堂 | 报表开发的现状
- 学用 TStringGrid [7] - ColWidths[0]、RowHeights[0]、GridLineWidth
- 【转】解决IIS 用localhost需要用户名密码!
- UA MATH566 统计理论 概念与定理总结
- Android-使用FindBugs
- Creating a Java VM from Android Native Code
- image转pixmap qt_Qt 编程指南10 QImage Mat QPixmap转换
- 用非递归方式实现二叉树后序遍历
- C++实现拓扑排序(邻接表存储,栈实现)
- (C++版)链表(三)——实现双向链表的创建、插入、删除等简单操作
- PHP----学生管理系统
- 卡尔曼滤波算法及C语言实现(转载)
- FD.io VPP:CentOS7下构建自己的VPP RPM包
- 记录——《C Primer Plus(第五版)》 第7章编程练习第5题
- AOS V0.6 发布,JavaEE 应用基础平台
- linux CFI接口,Linux系统下的MTD/CFI驱动介绍
- 多态 继承 封装 打印输出长方形 正方形 圆形的周长和面积
- 微信H5链接唤起三方App总结
- Linux修改固定ip 地址,亲测有效
- 三极管发射极偏置原理应用于LED驱动电路的分析