我是藝博東 ,一個思科出身專注于華為的網工,
文章目錄
- 組網拓撲
- 可以用到的技術有哪些以及配置
- 相關技術的配置
組網拓撲
上圖為一個小型企業網的組網圖,路由器R1和路由器R2作為企業的出口,核心交換機LS1和核心交換機LS2作為企業的用戶網關,不同部門的接入交換機上配置不同的vlan以隔離二層,接入交換機到匯聚交換機使用鏈路聚合,核心交換機作為DHCP服務器,PC主機,client列印機通 過DHCP接入網路,
可以用到的技術有哪些以及配置
企業出口路由器R1和路由器R2,接入交換機和核心交換機上,用到的技術有哪些以及配置哪些內容?
1、在LSW3、LSW4、LSW5、LSW6下行埠配置為Access埠,上行埠配置為Trunk口,
2、在LSW3、LSW4、LSW5、LSW6創建相應的 VLAN,下行埠添加到對應的vlan,上行放行相關業務的vlan
3、接入交換機(LSW3、LSW4、LSW5、LSW6)和核心交換機(LSW1、LSW2)之間的鏈路配置成 eth-trunk
4、在LSW1、LSW2 創建所有需要用到的VLAN,分別創建3個不同的 vlanif,分別與不同之間 vlan 道信,以及與核心層通信,在 LSW1、LSW2 上行埠配口 ACCESS 埠加入相應的 vlan,
5、在LSW1、LSW2創建 dhcp 地址池,防止列印機頻繁改變地址,可以設定靜態IP地址+MAC地址系結,
6、在LSW3、LSW4、LSW5、LSW6分別在下行埠開啟全域 dhcp 命令,獲取 IP 地址
7、在LSW1、LSW2上可以使用ACL
8、在R1、AR2、LSW1、LSW2可以使用IGP協議(RIP,OSPF,IS-IS)
9、使用DHCP安全技術,現實企業內部網路的安全性
10、在LSW1、LSW2使用VRRP技術
11、在AR1、AR2分別寫一條靜態路田指向ISP1、ISP2,并在AR1、AR2在一條路田分別指向LSW1、LSW2
12、在AR1、AR2單臂路由技術
13、在AR1、AR2上配置NAT技術
14、在LSW1、LSW2必須要時需要寫一條指向NULL0的路由
15、也可以選擇MSTP+VRRP進行
16、在LSW1、LSW2分別上寫一條靜態路由指向AR1、AR2
17、當然也可以使用這些技術:istack,CSS,SVF,M-LAG,smart link
相關技術的配置
1、VLAN
port link-type trunk
Port trunk allow-pass vlan all
2、Eth-trunk
lacp int eth-trunk 12
Mode manual load-balance
Load-balance src-dst-mac
Trunkport g 0/0/22 0/0/23 0/0/24
Least active-link number 1
3、RSTP/MSTP
stp mode RSTP/MSTP
Stp region-configuration
Region-name mstp
Revision-level 0
Instance 1 vlan 10
Instance 2 vlan 20
Active region-configuration
4、網關-核心
dhcp enable ip pool 160
gateway-list 192.168.160.1
network 192.168.160.0 mask 255.255.255.0
lease day 3 hour 0 minute 0
dns-list 114.114.114.114
5、DHCP-核心介面下
int g0/0/0
dhcp select global
6、NAT
nat address-group 1 10.1.1.10 10.1.1.20
Acl 2000 Rule 5 permit source 10.0.0.0 0.0.0.255
7、ACL
Int g0/0/1
Nat outbound 2000 address-group 1
8、靜態路由|默認路由
動態路由也可以,但是會增加設備的處理壓力,所以推 薦靜態
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
9、DHCP snooping
1)防止 DHCP 服務器的仿冒者攻擊
int g0/0/1
dhcp snooping enable
dhcp snooping trusted
2)防止 DHCP 報文泛洪攻擊
dhcp snooping enable
dhcp snooping check dhcp-rate enable vlan 100
dhcp snooping check dhcp-rate enable
3)防止 DHCP 服務器拒絕服務攻擊(餓死攻擊)
dhcp snooping max-user-number 100
int g0/0/1 dhcp snooping max-user-number 100
4)防止仿冒 DHCP 報文攻擊
dhcp snooping check dhcp-request enable vlan 100
dhcp snooping alarm threshold 100
int g0/0/2 dhcp snooping alarm dhcp-request threshold 100 vlan 100
dhcp snooping check dhcp-request enable
5)防止非 DHCP 用戶攻擊
static-bind ip 192.168.200.99 mac-address 5489-982E-1E954
10、EP 埠
Stp edged-port default
Int g0/0/12
Stp edged-port disable
11、單臂路由
int g0/0/0.10 Dot1q terminate vid 10
Ip add 1.1.1.1 24
Arp broadcast enable
12、VRRP
int vlanif 10
Ip add 10.1.1.1 24
Vrrp vrid 1 virtual-ip 10.1.1.254
Vrrp vrid 1 priority 120
13、列印機
支持 DHCP:靜態 IP+MAC 系結
不支持 DHCP,只用靜態 IP
最可怕的敵人,就是沒有堅強的信念,——羅曼·羅蘭
好了這期就到這里了,如果你喜歡這篇文章的話,請點贊評論分享收藏,如果你還能點擊關注,那真的是對我最大的鼓勵,謝謝大家,下期見!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/274863.html
標籤:其他
上一篇:ConcurrentHashMap是如何保證執行緒安全的
下一篇:浮生游記-拉薩篇