三层架构综合实战

注意：基本的IP地址配置省略了； 说明：vlan 999作为管理vlan使用，使得所有设备都可以telnet进行远程管理；

接入交换机：SW4

内容：接口划分vlan和trunk，trunk运行vlan 10和vlan 999；接口划分划分vlan和trunk： e0/0/1口划到vlan 10；

interface Ethernet0/0/1 port link-type access port default vlan 10

e0/0/2口置为trunk口，允许vlan 10和vlan 999通过；

interface Ethernet0/0/2 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 999

给管理vlan设置一个地址：

vlanif999:192.168.253.4/24

接入交换机：SW5

同SW4，只是vlan改为20管理vlan地址：

vlanif999:192.168.253.5/24

汇聚交换机：SW2

内容：创建vlan和接口trunk运行的vlan配置；创建vlan：10、20、999，这步不要忘记了：

vlan batch 10 20 999

配置trunk： g0/0/1，trunk允许vlan 10和vlan 999：

interface GigabitEthernet0/0/1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 999

g0/0/2，trunk允许vlan 20和vlan 999：

interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 20 999

上两口g0/0/3和g0/0/4做链路捆绑Eth-trunk 0，使得带宽能带的2000Mbps，并打trunk，允许vlan 10 20 999：

链路捆绑：

interface GigabitEthernet0/0/3 eth-trunk 0 interface GigabitEthernet0/0/4 eth-trunk 0

打trunk：

interface Eth-Trunk0 port link-type trunk port trunk allow-pass vlan 10 20 999

给管理vlan设置地址：

vlanif999:192.168.253.2/24

汇聚交换机：SW3

Eth-trunk和trunk同SW2，只是vlan不一，g0/0/1为sccess口设置vlan 200即可；

核心交换机：SW1

内容：核心交换机需要的配置相对多一些，包括了网关、DHCP、Eth-trunk、一个对外接口vlan800等；Eth-trunk和打trunk参照SW2；配置网关：vlan 10 20 200的网关以及DHCP：

ip pool dhcp_vlan10 gateway-list 192.168.10.1 network 192.168.10.0 mask 255.255.255.0 dns-list 114.114.114.114 8.8.8.8 – ip pool dhcp_vlan20 gateway-list 192.168.20.1 network 192.168.20.0 mask 255.255.255.0 dns-list 114.114.114.114

interface Vlanif10 ip address 192.168.10.1 255.255.255.0 dhcp select global – interface Vlanif20 ip address 192.168.20.1 255.255.255.0 dhcp select global – interface Vlanif200 ip address 192.168.200.1 255.255.255.0

到这里我们完成了内网用户都能够自动获取地址了，并且都可以访问到网关，完成了1-4的需求

需求5：确保sw1是根桥，配置相关技术使得接入交换机连接终端接口收敛迅速

核心接交换SW1：

[SW1]stp priority 0

dis stp 可以观察到SW1已经为根桥了 终端收敛迅速（针对有终端连接的交换机）：所有接终端PC接口执行命令：

stp edged-port enable

至此所有接入交换机终端接口收敛迅速，我们完成了需求5

需求6：出口配置NAT（ISP-R4），并确保所有用户都可以访问百度

做出口NAT转换；

[R1]acl 2000 [R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 [R1-acl-basic-2000]q [R1]int g0/0/2 [R1-GigabitEthernet0/0/2]nat outbound 2000

至此内网所有用户都可以正常访问外网了，我们完成了需求6

需求7：企业总部和分支采用ppp广域网链路连接，并采用CHAP对链路做认证

注意：认证端和被认证端可以互换；

R1上（认证端）：

[R1]aaa [R1-aaa]local-user chap_auth_user password cipher 123456 Info: Add a new user. [R1-aaa]local-user chap_auth_user service-type ppp – [R1]int s4/0/0 [R1-Serial4/0/0]ppp authentication-mode chap – interface Serial4/0/0 link-protocol ppp ppp authentication-mode chap ip address 192.168.252.1 255.255.255.0

R3上（被认证端）：

[R3]int s4/0/0 [R3-Serial4/0/0]ppp chap user chap_auth_user [R3-Serial4/0/0]ppp chap password cipher 123456 – interface Serial4/0/0 link-protocol ppp ppp chap user chap_auth_user ppp chap password cipher % % |K4vG_9Cg=a’T"4"Qhn=,8AX% % ip address 192.168.252.3 255.255.255.0

至此我们完成了需求7

需求8：企业总部和分支采用ospf路由协议连接

核心交换机SW1：

ospf 1 area 0.0.0.0 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 192.168.200.0 0.0.0.255 network 192.168.254.0 0.0.0.255 network 192.168.253.0 0.0.0.255

R1：

ospf 1 area 0.0.0.0 network 192.168.252.0 0.0.0.255 network 192.168.254.0 0.0.0.255

R3：

ospf 1 area 0.0.0.0 network 192.168.100.0 0.0.0.255 network 192.168.252.0 0.0.0.255

至此总部和分支已经可以正常通信了，我们完成了需求8

需求9：企业所有设备，在任何位置都可以配telnet远程管理

首先所有交换机上：

vlan 999 int vlan 999 ip address x.x.x.x – 所有接入和汇聚交换机： ip route-static 0.0.0.0 0 192.168.253.1 //给管理流量回包

然后所有路由器和交换机（可直接复制到所有设备上即可）： aaa local-user telnet_test_user privilege level 3 password cipher 123456 local-user telnet_test_user service-type telnet user-interface vty 0 4 authentication-mode aaa

至此我们完成最后一个需求，总架构已经完成