-
1 # 極客談科技
-
2 # summer課堂
500人區域網配置實戰(二)主流版:三層交換
(一)基礎版:單臂路由網路架構規劃
如圖所示,網路出口使用路由器或者防火牆實現NAT地址轉換,下聯核心交換機,實現流量匯聚,再部署接入交換機,實現使用者接入即可。500人規模,建議透過VLAN技術隔離廣播域,使用較多的是根據樓層或者部門劃分VLAN。
使用者閘道器直接指向路由器,路由器與下聯交換機透過單臂路由互聯。
單臂路由配置
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown #啟用物理介面fa0/0
Router(config)#interface fastEthernet 0/0.1 #進入fa0/0.1虛擬子介面
Router(config-subif)#encapsulation dot1Q 10 #將虛擬子介面fa0/0.1劃分到vlan 10並封裝格式為802.1q
Router(config-subif)#ip address 192.168.10.1 255.255.255.0 #設定IP地址及子網掩碼
Router(config)#interface fastEthernet 0/0.2 #進入fa0/0.2虛擬子介面
Router(config-subif)#encapsulation dot1Q 20 #將虛擬子介面fa0/0.2劃分到vlan 20並封裝格式為802.1q
Router(config-subif)#ip address 192.168.20.1 255.255.255.0 #設定IP地址及子網掩碼
# 預設路由和NAT配置同前面50人規模基本一樣,此處貼上命令。
Int f0/0 #出介面配置地址(向運營商申請的地址是202.1.1.1/24)
Ip address 202.1.1.1 255.255.255.0
Ip route 0.0.0.0 0.0.0.0 202.1.1.2 #預設路由器,把出口訪問流量都扔給運營商(運營商對端地址為202.1.1.2)
access-list 1 permit 192.168.1.0 0.0.0.255 #匹配內網使用者流量
ip nat inside source list 1 interface fastethernet1/0 overload #將內網使用者流量在出口做NAT,轉換成介面f0/0地址訪問網際網路(關鍵字overload)
interface f0/0
ip nat outside #NAT的外側介面
int vlan 1
ip nat inside #NAT的內側介面(一定要注意,是SVI介面)
二層交換機配置
VLAN配置(SW1配置舉例)
Vlan 10
Vlan 20
Interface f1/1 #下行介面
Switch mode access
Switch access vlan 10
Interface f1/2 #下行介面
Switch mode access
Switch access vlan 10
Interface f1/3 #下行介面
Switch mode access
Switch access vlan 20
Interface f1/4 #上行介面
Switch mode trunk
Switch trunk allowed vlan all
如果出口不是路由器,而是防火牆,配置如下:
如果網路出口為防火牆,而不是路由器,一般可以圖形化配置(其實路由器也可以圖形化配置,過程基本類似),配置步驟:
1、防火牆建立子介面ge0.10,並指定IP 地址,如下圖:
2、防火牆建立子介面ge0.20,並指定IP地址,如下圖:
(二)主流版:三層交換網路架構分析
前面給大家介紹了500人規模區域網使用單臂路由的配置方法,其實在實際專案中,單臂路由已經用得比較少,更多是使用三層交換機。如下圖所示,閘道器起在三層交換機上,網路出口透過路由器或防火牆實現NAT地址轉換,訪問網際網路。
實現步驟與思路
為了方便理解,我們透過GNS3模擬器,模擬實現此網路。步驟如下:
1. 在GNS3中構建完整拓撲,並標註好IP地址。
2. 透過路由器模擬PC,並配置好PC地址及閘道器;
3. 配置二層交換機:VLAN劃分、access介面及trunk
4. 配置三層交換機:SVI介面,預設路由
5. 配置出口路由器:預設路由+靜態路由+NAT
GNS3拓撲如下所示:
PC配置
PC1配置(PC2-PC4配置類似,省略)
PC1(config)#no ip routing #路由器模擬PC,關閉路由功能
PC1(config)#int f0/0
PC1(config-if)#ip address 192.168.10.1 255.255.255.0 #配置PC地址
PC1(config)#ip default-gateway 192.168.10.254 #配置PC閘道器地址
二層交換機配置
SW1配置(SW2配置類似,省略)
SW1#conf t
SW1(config)#vlan 10
SW1(config-vlan)#vlan 20
SW1(config-vlan)#interface FastEthernet1/1
SW1(config-if)# switchport access vlan 10
SW1(config-if)#interface FastEthernet1/2
SW1(config-if)# switchport access vlan 10
SW1(config-if)#interface FastEthernet1/3
SW1(config-if)# switchport access vlan 20
SW1(config-if)#interface FastEthernet1/0
SW1(config-if)# switchport mode trunk
三層交換機配置
L3_SW配置
L3_SW#configure terminal
L3_SW(config)#vlan 10
L3_SW(config-vlan)#vlan 20
L3_SW(config-vlan)#interface FastEthernet1/0
L3_SW(config-if)# switchport mode trunk
L3_SW(config-if)#interface FastEthernet1/1
L3_SW(config-if)# switchport mode trunk
L3_SW(config-if)#interface Vlan10
L3_SW(config-if)# ip address 192.168.10.254 255.255.255.0
L3_SW(config-if)#interface Vlan20
L3_SW(config-if)# ip address 192.168.20.254 255.255.255.0
驗證測試
配置好如上裝置,可進行測試:
PC1#ping 192.168.10.254 #PC1可以ping通閘道器
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/215/1024 ms
PC1#ping 192.168.10.2 #PC1可以ping通PC2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/9/12 ms
PC1#ping 192.168.20.1 #PC1可以ping通PC3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/24 ms
PC1#ping 192.168.20.2 #PC1可以ping通PC4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms
PC1可以ping通PC2、PC3、PC4,區域網通訊沒問題!後面配置訪問網際網路的通訊。
核心交換機配置
L3_SW(config-if)#int f0/1
L3_SW(config-if)#ip add 192.168.1.2 255.255.255.0
L3_SW(config-if)#no sh
L3_SW(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 #不知道去向的流量預設扔給出口路由器
出口路由器配置
R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config)#int f0/0
R1(config-if)#ip add 202.1.1.1 255.255.255.252
R1(config-if)#no sh
R1(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.2 #去往內網VLAN10的流量扔給核心交換機
R1(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.2 #去往內網VLAN20的流量扔給核心交換機
R1(config)#access-list 1 permit 192.168.10.0 0.0.0.255 #匹配源為VLAN10的流量
R1(config)#access-list 1 permit 192.168.20.0 0.0.0.255 #匹配源為VLAN20的流量
R1(config)#ip nat inside source list 1 interface f0/0 overload #在出口路由器將內網流量NAT轉成出口F0/0地址
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#int f0/1
R1(config-if)#ip nat inside
運營商側模擬配置(用路由器模擬運營商ISP)
Router#conf t
Router(config)#host ISP
ISP(config)#int f0/0
ISP(config-if)#ip add 202.1.1.2 255.255.255.252
ISP(config-if)#no sh
連通性測試
PC1#ping 202.1.1.2 #PC1可以訪問網際網路202.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/28/32 ms
PC1#traceroute 202.1.1.2 #檢視PC1訪問網際網路的路徑
Type escape sequence to abort.
Tracing the route to 202.1.1.2
1 192.168.10.254 20 msec 12 msec 20 msec
2 192.168.1.1 20 msec 20 msec 20 msec
3 202.1.1.2 28 msec 32 msec 28 msec
R1#sh ip nat translations //檢視NAT轉換項
Pro Inside global Inside local Outside local Outside global
icmp 202.1.1.1:5 192.168.10.1:5 202.1.1.2:5 202.1.1.2:5
udp 202.1.1.1:49266 192.168.10.1:49266 202.1.1.2:33440 202.1.1.2:33440
udp 202.1.1.1:49267 192.168.10.1:49267 202.1.1.2:33441 202.1.1.2:33441
udp 202.1.1.1:49268 192.168.10.1:49268 202.1.1.2:33442 202.1.1.2:33442
PC2、PC3、PC4上測試,均可ping 通ISP 202.1.1.2,實驗成功。
擴充套件延伸:不同VLAN DHCP自動分配地址
前面所有PC均使用固定IP,但很多單位會使用DHCP。DHCP大部分場景部署在核心交換機或者路由器上,只有極少場景使用專門DHCP伺服器。下面以核心交換機部署DHCP為例。
在核心交換機上為不同VLAN DHCP分配VLAN
L3_SW(config)#ip dhcp pool vlan10 #配置地址池VLAN10
L3_SW(dhcp-config)#network 192.168.10.0 255.255.255.0
L3_SW(dhcp-config)#dns 114.114.114.114
L3_SW(dhcp-config)#default-router 192.168.10.254
L3_SW(dhcp-config)#ip dhcp excluded-address 192.168.10.254
L3_SW(config)#
L3_SW(config)#ip dhcp pool vlan20
L3_SW(dhcp-config)#network 192.168.20.0 255.255.255.0
L3_SW(dhcp-config)#dns 114.114.114.114
L3_SW(dhcp-config)#default-router 192.168.20.254
L3_SW(dhcp-config)#ip dhcp excluded-address 192.168.10.254
PC1配置(設定為DHCP獲取地址)
PC1(config)#int f0/0
PC1(config-if)#no ip address
PC1(config-if)#ip address dhcp
PC1(config)#no ip default-gateway 192.168.10.254
#如果長時間分配不到IP地址,建議把介面shutdown,然後重新開啟;或者no ip address,然後重新配置ip address dhcp。配置完後測試:
PC1#sh ip int brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.10.1 YES DHCP up up
FastEthernet0/1 unassigned YES unset administratively down down
PC1#ping 202.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/243/1048 ms
(PC2/PC3/PC4,測試同理,此處省略)
總結
配置較多,若有興趣,可以在草稿紙上畫拓撲,自己動手模擬一下,不然會比較暈。透過如上講解,相信大家對中小型園區網有了初步認識。中小型園區網中應用最多的技術:
IP地址規劃、VLAN、NAT、靜態路由器、預設路由、ACL。
當然,大型園區網架構會複雜得多。比如雙核心冗餘怎麼做?網路多出口怎麼實現負載均衡?怎麼實現訪問電信的流量走電信出口,訪問聯通的流量走聯通出口?核心交換機選擇盒式還是箱式裝置?接入交換機幾十款,選擇哪一個?後續再給大家展開介紹……
回覆列表
“網路極客”,全新視角、全新思路,伴你遨遊神奇的網路世界。
單位的區域網,不同的部門使用不同的VLAN進行區分,彼此之間避免相互影響。
那麼,不同部門之間如果具有通訊需求,如何實現不同VLAN之間的通訊呢?
二層環境是無法實現不同VLAN之間的通訊,必須使用三層交換機或者路由器才能夠實現。
三層交換機裝置在三層交換中建立建立VLAN,並且需要在VLAN中設定閘道器地址。
建立完成後,三層交換機中會設定預設的靜態路由;
因此,不同的VLAN之間可以實現相互的通訊。
若果有需要,可以在三層交換機中開啟DHCP伺服器,用於自動分配地址。路由器裝置路由器是透過子介面的方式,實現不同之間VLAN的通訊,也叫做單臂路由。
需要在路由器的埠上,開通埠的子埠,在不同的子埠建立閘道器地址;
並在該埠封裝802.1q協議,同樣路由器會建議一條預設的直連路由,是指能夠通訊。
實現不同VLAN之間的通訊,是否還有更簡單的方法?