模型设计:
主要分为三层:接入层(所有二层交换机)、汇聚层(三层交换机设备)、核心层(网关)
接入层用于接入设备,汇聚层为接入层流量的汇总,核心层是整个内网数据包快速转发的功能。
接入层
二层交换机创建VLAN,对pc划分vlan,划分的具体vlan写在了pc的旁边。
对三层交换机之间互相配置trunk
汇聚层:
1、三层交换机对核心层设备配置ip地址,对二层交换机配置trunk,同时创建vlan和svi口配置ip地址。
2、互相的三层交换机之间通过etherchannel捆绑链路配置trunk,加大数据转发的能力,增加带宽。
3、配置生成树:
左边的三层交换机----vlan 1,10,20,30的根设备
右边的三层交换机----vlan 40,50,60的根设备
右边也是一样,实现一半的vlan流量往左边的设备走,一半的vlan流量往右边的设备走。
4、配置HSRP,三层热备冗余
每组设备对每个vlan,虚拟出后缀为.254的虚拟网关,前3个vlan的主设备为sw1,后3个的主设备为sw2
和生成树的功能类似,不过生成树是二层数据链路层起作用,hsrp为三层网络层起作用。
可以用这条命令来看,主设备和备份设备
Switch#sh standby brief
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Vl10 10 110 P Active local 192.168.10.252 192.168.10.254
Vl20 20 110 P Active local 192.168.20.252 192.168.20.254
Vl30 30 110 P Active local 192.168.30.252 192.168.30.254
Vl40 40 100 P Standby 192.168.40.252 local 192.168.40.254
Vl50 50 100 P Standby 192.168.50.252 local 192.168.50.254
Vl60 60 100 P Standby 192.168.60.252 local 192.168.60.254
5、配置DHCP,首先排除 .252---.254的网关地址,不予分配
给下面接入层连接的pc分配vlan号旁边注明的ip地址段,dns-server 192.168.1.2(外网服务器)
默认网关为上面hsrp虚拟出来的 Virtual IP。
6、配置OSPF,与核心层对接,实现全文互联
核心层:
GW设置默认路由,同时通过ospf下发默认路由,让所有上外网的流量通过GW整个校园的出口处来上网。
ACL抓住除了VPN的所有流量,通过NAT转化为出口流量,实现高校内部真正意义上的上
sts-vpn命令简单解释:
第一阶段:对等体加密
crypto isakmp policy 10
encryption 3des ---加密方式
hash md5
authentication pre-share ---预共享秘钥
group 2 ---产生秘钥 有1/2/5三张
lifetime 1800 ---秘钥有效期
crypto isakmp key sts address 13.1.1.3 (对端外网口)--相当于给秘钥
第二阶段:数据加密
crypto ipsec transform-set sts esp-3des esp-md5-hmac ----选esp封装协议(3des加密性 md5可靠性和完整性)
mode tunnel ---通信点和加密点不同
acc 100 permit ip ho 192.168.10.1 ho 192.168.20.1 --设置感兴趣流
crypto map sts 10 ipsec-isakmp ----将isakamp和ipsec做一个捆绑
match address 100
set transform-set sts
set peer 13.1.1.3 (对端)
第三:在接口下调用map
int 出接口
crypto map sts
第四:检查
show crypto session ping通则会up 一段时间不用会down
文章声明:以上内容(如有图片或视频亦包括在内)除非注明,否则均为Net3C原创文章,转载或复制请以超链接形式并注明出处。定制服务:需要定制服务请加V:Net3c_2022
还没有评论,来说两句吧...