先来看图是一个学校的网络设计实验下面是要求实验要求① 信息中心配置Eth-trunk实现链路冗余② 企业内网划分多个vlan 减小广播域大小提高网络稳定性③ 核心交换机作为用户网关实现vlan间路由④ 所有用户均为自动获取ip地址⑤ 出口配置NAT实现地址转换⑥ 在企业出口将内网服务器的80端口映射出去允许外网用户访问⑦ 所有设备都可以被telnet远程管理⑧ 所有校区之间可以互访且出口实现冗余⑨ 企业财务服务器只允许vlan 40的员工访问。⑩ 禁止vlan 20 员工访问外网且关键设备做好实时监控来看一下配置思路首先是设备命名的问题设备命名尽量使用地址设备名的方式比如教学楼二楼机房的接入层交换机1命名为JiaoXue_2_jieru_sw1或者可以再简单点JX2JR但是自己得知道是啥意思后续运维如果排查出来问题设备一看命名就知道在哪了很方便---------------------------------------------------------去外网有俩出口一个是移动一个是联通配置浮动静态路由来保证优先用带宽高的带宽低用作备份还有就是核心交换机与出口路由器之间要有默认路由互相指---------------------------------------------------------① 信息中心配置Eth-trunk实现链路冗余链路聚合推荐使用 LACP 模式 (mode lacp-static)它能自动检测链路故障。另外加入eth-trunk的物理接口必须无配置加入eth-trunk口之后直接在这个逻辑接口里配置---------------------------------------------------------② 企业内网划分多个vlan 减小广播域大小提高网络稳定性③ 核心交换机作为用户网关实现vlan间路由划分vlan配置vlanif没啥好说的---------------------------------------------------------④ 所有用户均为自动获取ip地址在核心交换机上配置DHCP可以用接口地址池方式这样每个vlan都能拿到对应的地址段的ip租期不能设置太短否则一直嗷嗷续约设备顶不住配置的时候预先想好要留出哪些ip地址不分配不然冲突了再想改就比较麻烦核心交换机上分配的网关(Gateway)地址必须是核心交换机上vlanif的IP。如果写错用户能拿到IP但无法上网。不要忘记配置DNS建议用俩114.114.114.114和223.5.5.5。---------------------------------------------------------⑤ 出口配置NAT实现地址转换这里用easy ip就行配置还简单。动态nat是公网地址和私网地址一对一映射没那么多公网ip但easy ip可以复用端口---------------------------------------------------------⑥ 在企业出口将内网服务器的80端口映射出去允许外网用户访问用nat server---------------------------------------------------------⑦ 所有设备都可以被telnet远程管理所有交换机路由器都单独创建一个管理vlan并且给相应的vlanif配置上管理地址管理地址所有设备都在一个网段和普通的业务流量区分开然后都配置上telnet相关配置---------------------------------------------------------⑧ 所有校区之间可以互访且出口实现冗余在每个校区的出口路由器上配置ospf都放区域0就行注意必须要配置ospf的router id这样首先可以防止一条链路断了就直接挂掉而且后续如果有新的校区加进来方便扩展别用静态路由---------------------------------------------------------⑨ 企业财务服务器只允许vlan 40的员工访问。在核心交换机上调用acl针对财务服务器只放行vlan40---------------------------------------------------------⑩ 禁止vlan 20 员工访问外网且关键设备做好实时监控在核心交换机上配置acl只允许vlan20访问内网地址实时监控可以用snmp或者部署zabbix还可以做上流量监控在出口路由器上扯一条线连到单独的一台pc上运行wireshark然后在路由器上做端口镜像这样可以在pc上查看流量