网络可靠性升级改造

原拓扑图：

实验需求：
 1.内网中不出现单点故障
 2.确保网络中不出现环路
 3.交换机之间的互联带宽可用带宽为2Gbps（扩展知识点-Eth-trunk）
 4.所有主机，都属于VLAN10，自动获取IP
 5. 分配给PC的地址空间为：192.168.10.1 – 20/24
 6.DHCP不允许为外部用户提供服务
 7.web-server可以为外部提供服务，但不可以主动访问外部网络；
 8.VLAN 10 主机，都必须访问外部网络
 9.为了网络安全和稳定，SW之间仅允许网络中现存VLAN的流量通过；
 10.为了安全考虑，DHCP 与 Web 服务器不允许互通
 11.添加必要的网络设备与现路，解决单点故障、
   环路以及数据负载均衡问题。
 12.实现内网与外网互通的测试

升级后的拓扑图：

具体配置思路：

1、配置能配置的物理设备的IP参数/交换机、路由器基本设置
如：
sys
sys R3
user-interface console 0
idle-timeout 300
2、所有交换机创建相同vlan
vlan batch 10 100 200
3、配置各接口模式并加入相应vlan
SW2：
interface e0/0/1
port link-type access
port default vlan 10
SW3:
interface e0/0/2
port link-type access
port default vlan 10
SW1:
port-group group-member g0/0/2 g0/0/5 g0/0/6
port link-type access
port default vlan 100

port-group 2
group-member g0/0/1 g0/0/4
port link-type access
port default vlan 10

interface g0/0/3
port link-type access
port default vlan 200
4、配置eth-trunk（可用带宽为2Gbps）
验证命令：  display eth-trunk     //查看接口成员信息
      display interface eth-trunk //查看接口宽带信息
SW2----SW1：
SW2：
interface Eth-Trunk 2
mode lacp-static
trunkport g0/0/1
trunkport g0/0/2
port link-type trunk
port trunk allow-pass vlan all
SW1:
interface Eth-Trunk 2
mode lacp-static
trunkport g0/0/12
trunkport g0/0/11
port link-type trunk
port trunk allow-pass vlan all


SW3----SW1:
SW3:
interface Eth-Trunk 3
mode lacp-static
trunkport g0/0/1
trunkport g0/0/2
port link-type trunk
port trunk allow-pass vlan all
SW1:
interface Eth-Trunk 3
mode lacp-static
trunkport g0/0/13
trunkport g0/0/7
port link-type trunk
port trunk allow-pass vlan all


当前可用带宽—BW=2G：

5、配置R1 R5的接口地址并配置VRRP实现负载均衡
R1：
interface g0/0/0
ip address 192.168.10.253 24
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 200
interface g0/0/2
ip address 192.168.100.252 24
vrrp vrid 100 virtual-ip 192.168.100.254
vrrp vrid 100 priority 99
R2：
interface g0/0/0
ip address 192.168.100.253 24
vrrp vrid 100 virtual-ip 192.168.100.254
vrrp vrid 100 priority 200
interface g0/0/2
ip address 192.168.10.252 24
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 99
验证： display vrrp brief

6、配置DHCP服务，在端口启用全局模式
地址空间为：192.168.10.1 – 20/24
1） 配置SW1—DHCP-server之间网段 192.168.200.0 24
SW1：
interface vlanif 200
ip address 192.168.200.1 24
interface vlanif 10
ip address 192.168.10.100 24
interface vlanif 100
ip address 192.168.100.100 24
dhcp-server：
interface g0/0/0
ip address 192.168.200.254 24
2） DHCP-server配置地址池并在接口开启全局模式
dhcp enable
ip pool v10
network 192.168.10.0 mask 24
gateway-list 192.168.10.254
excluded-ip-address 192.168.10.21 192.168.10.254
int g0/0/0
dhcp select global
7、R1、R5中继DHCP服务
R1：
dhcp enable
interface g0/0/0
dhcp select relay
dhcp relay server-ip 192.168.200.254
R5：
dhcp enable
interface g0/0/2
dhcp select relay
dhcp relay server-ip 192.168.200.254

8、配置OSPF区域实现全网互通
SW1：
ospf 1 router-id 1.1.1.1
area 0
network 192.168.10.0 0.0.0.255
area 100
network 192.168.100.0 0.0.0.255
area 200
network 192.168.200.0 0.0.0.255
R1：
ospf 1 rouer-id 10.10.10.10
area 0
network 192.168.10.0 0.0.0.255
area 100
network 192.168.100.0 0.0.0.255
R5：
ospf 1 router-id 100.100.100.100
area 100
network 192.168.100.0 0.0.0.255
area 10
network 192.168.10.0 0.0.0.255
DHCP-server ：
ospf 1 router-id 200.200.200.200
area 200
network 192.168.200.0 0.0.0.255

9、配置外网，配置R1、R5上ACL 配置SW1上的ACL
   配置R1、R5上NAT服务
R1：
—进入OSPF—》先添加一个type=2的默认路由再配置ACL+NAT
interface g0/0/1
ip address 100.1.1.1 24
acl 2000
rule 10 deny source 192.168.200.0 0.0.0.255
rule 20 permit source any
interface g0/0/1
nat outbound 2001
nat server protocol tcp global 100.1.1.3 80 inside 192.168.100.1 80
R5：
—进入OSPF—》先添加一个type=1的默认路由
interface g0/0/1
ip address 100.1.1.3 24
acl 2001
rule 10 deny source 192.168.200.0 0.0.0.255
rule 20 permit source any
interface g0/0/1
nat outbound 2001
nat server protocol tcp global 110.1.1.1 80 inside 192.168.100.1 80
SW1:
acl 2222
rule 30 deny source 192.168.200.0 0.0.0.255
interface g0/0/2
traffic-filter outbound acl 2222
总结：
1、要熟悉交换机的Eth-trunk配置
2、要熟悉路由器DHCP动态地址配置
3、熟悉内网OSPF区域的配置
4、熟悉ACL+PNAT的灵活运用