7.在公司内部运行 OSPF ,确保不同 VLAN 之间是互通的。
不同的 VLAN 属于不同的区域。
同时保护 web 和 dhcp 服务器所在的区域不受到外部链路以及其他区域
的不稳定的链路的影响。
8.公司的出口路由器为 R2 和 R4 ,但是永远将 R2 作为主出口,出现故障
后,出网流量才会自动的切换到 R4 。修复以后,会再次从 R2 转发。
9.内网大量主机都存在访问 Internet的需求,要求使用最节省IP地址的
方式实现内网主机上网,但是 vlan 40 属于机密部分,不能访问外网。
10.外网的用户(client-1),可以访问内部的 web 服务器。
11.外网的用户(SW10),可以远程控制内网的交换机网络设备(不包括R2/R4),
远程访问密码均设置为 HCIE 。
(内网中每个设备的管理IP地址,属于管理 VLAN 199)
AR3:
AR4
SW5
SW6
到此,内网的设备都可以通过 R4 去访问外网
将R1的 gi0/0/1 断开,然后用内网 PC 访问 外网的 Server2
原因:
导致:
所有,我们使用下面的解决办法:
-SW5:
-SW6:
-R2:
-R4:
-SW5:
-SW6:
lldp enable {在互联的设备上都开启}
display lldp neighbor brief
Local Intf — Neighbor Dev ---- Neighbor Intf ---- Exptime
GE0/0/2 --------- R2 ------------------ GE0/0/0 ---------- 119
@Local Intf ,设备本地的接口,即 SW5 的 gi0/0/2
@Neighbor Dev ,邻居设备的名字,即 R4
@Neighbor Intf,邻居设备的接口,即 Gi0/0/0
综合描述为:
分析:
如果需要对远程登陆的设备进行流量控制,则必须在 SW1/2/3/4 的 vty 虚拟线路下面 配置 ACL,并且仅仅允许 “指定”的 源IP地址。 虽然外网的公网IP地址是固定的,不变的; 但是内网的PC2是通过 DHCP 自动获取IP地址,所以不容易控制。
为了实现需求,
我们必须“让DHCP服务器每次给 PC2 自动分配IP地址时,总是分配相同的IP地址,比如20.22”
配置:
AR1-dhcp
分析:
PC的IP地址,与主机的网关IP地址,都是同一个网段;
PC去往自己的网关时,中间经过的是“交换”链路;
交换链路的路径选择,是由 STP 协议决定。
为了确保每个主机去往主机网关时,所走的路径是最优的,
我们需要:
将每个VLAN的根交换机与主网关,放在同一个设备上。
所以,我们需要在每个交换机上配置 MSTP
配置命令:
SW1/2/3/4/5/6:
SW5:
SW6:
流程:
1.PC8的IP地址属于 vlan 30,比如:192.168.30.250/24
并且需要访问的目标IP地址是:123.1.1.1 (server2)
所以,可以判断两个IP地址不是同一个网段;
所以,PC8 就会将数据包发送给主机的网关(192.168.30.254,即 vrrp 30 的主网关 SW6)
2.SW4 在 gi0/0/8 接口收到 PC8 发送的数据,首先为该数据打标签 vlan 30 ,
因为PC8属于 vlan 30,所以SW4 会首先查看一下 vlan 30 属于哪个 mstp (instance 3)
并且基于 MSTP instance 3 的配置,来判断 SW4 上的哪个链路是互通的:
MSTID Port Role STP State Protection
3 GigabitEthernet0/0/8 DESI FORWARDING NONE
3 GigabitEthernet0/0/14 ALTE DISCARDING NONE
3 GigabitEthernet0/0/24 ROOT FORWARDING NONE
查看该端口对端的设备:
Local Intf Neighbor Dev Neighbor Intf Exptime
GE0/0/14 SW5 GE0/0/14 111
GE0/0/24 SW6 GE0/0/24 93
通过以上信息显示,我们得知,SW4 将PC8 的数据,发送给了 SW6 。
Destination/Mask Proto Pre Cost Flags NextHop Interface
Destination/Mask Proto Pre Cost Flags NextHop Interface
通过以上信息显示,我们得知,R2 将数据包转发给了 R3。
但是,我们在该接口(gi0/0/1)上配置了 EasyIP ,并且该转发的数据包的源IP地址是
192.168.30.250,符合 ACL 2000 的要求,允许进行 NAT 转换,
所以,从该接口(gi0/0/1)出去的时候,将源IP地址 192.168.30.250 转换成了:100.1.1.1。
并且在 R2 的 nat 表,形成了对应的转换条目,比如:
192.168.30.250:随机 ------ 100.1.1.1:随机端口号
Route Flags: R - relay, D - download to fib
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.30.0/24 OSPF 10 2 D 192.168.15.5 GigabitEthernet0/0/0
通过以上信息显示,我们得知,R2 将数据包转发给了 SW5 。
因为,我们通过配置 MSTP,将 SW6 配置为 vlan 30 的根交换机,SW5是备份的根交换机
所以,针对 VLAN 30 而言, SW5到SW4之间的链路是堵塞的,
所以,SW5将数据包发送给PC8 时,数据转发路径为:
SW5 ---- SW6 — SW4 — PC8
总结:
IP/DHCP
vlan
trunk
access:没问题
stp:
vlanif:
vrrp :
ospf :
默认路由:
easyIP:
nat server:
acl:
----------------lldp --------------------------------
display lldp neighbor brief --> 查看 LLDP 邻居表的信息;