本文講述了思科企業(yè)網(wǎng)三層架構(gòu)BCMSN配置實(shí)驗(yàn).分享給大家供大家參考，具體如下：

實(shí)驗(yàn)要求：

1.內(nèi)網(wǎng)IP為172.16.0.0/16；外網(wǎng)IP隨意

2.端口安全

3.R2與SW1以及SW2之間為三層接口，連接HTTP服務(wù)器的SW1與SW2的接口也為三層

4.所有的內(nèi)網(wǎng)PC可以訪(fǎng)問(wèn)外網(wǎng)PC

5.外網(wǎng)PC可以通過(guò)域名訪(fǎng)問(wèn)HTTP服務(wù)器

6.斷開(kāi)SW1或SW2時(shí)，網(wǎng)絡(luò)依然可以通訊

IP地址配置：

ISP配置：只需要配置IP地址即可

ISP(config)#int f0/0

ISP(config-if)#ip add 12.1.1.1 255.255.255.0

ISP(config-if)#no sh

ISP(config-if)#int f0/1

ISP(config-if)#ip add 1.1.1.1 255.255.255.0

ISP(config-if)#no sh

R2

R2(config)#int f0/0

R2(config-if)#ip add 12.1.1.2 255.255.255.0

R2(config-if)#no sh

R2(config-if)#int f0/1

R2(config-if)#ip add 172.16.0.1 255.255.255.252

R2(config-if)#no sh

R2(config-if)#int f1/0

R2(config-if)#ip add 172.16.0.5 255.255.255.252

R2(config-if)#no sh

SW1：

SW1(config)#int f0/1

SW1(config-if)#no switchport                                             #開(kāi)啟三層功能

SW1(config-if)#ip add 172.16.0.2 255.255.255.252

SW1(config-if)#no sh

SW1(config-if)#int f0/7

SW1(config-if)#no switchport

SW1(config-if)#ip add 172.16.7.1 255.255.255.0

SW1(config-if)#no sh

SW2：

SW2(config)#int f0/1

SW2(config-if)#no switchport

SW2(config-if)#ip add 172.16.0.6 255.255.255.252

SW2(config-if)#no sh

SW2(config-if)#int f0/7

SW2(config-if)#no switchport

SW2(config-if)#ip add 172.16.7.2 255.255.255.0

SW2(config-if)#no sh

配置思路：CHANNEL-DTP-VTP-VLAN-STP-SVI-HSRP-DHCP-EIGRP-NAT

CHANNEL配置(SW1與SW2相同):
 

SW1(config)#int range f0/1-2

SW1(config-if)#channel-group 1 mode on
SW1(config)#int port-channel 1
SW1(config-if)#switchport trunk encapsulation dot1q 
SW1(config-if)#switchport mode trunk

DTP：自動(dòng)形成TRUNK干道

SW1與SW2同配置：
 

SW1(config)#int f0/4
SW1(config-if)#switchport mode dynamic desirable 
SW1(config-if)#int f0/5
SW1(config-if)#switchport mode dynamic desirable
SW1(config-if)#int f0/6
SW1(config-if)#switchport mode dynamic desirable

SW3-SW5同配置：

SW3(config)#int f0/3

SW3(config-if)#switchport mode dynamic desirable

SW3(config-if)#int f0/4

SW3(config-if)#switchport mode dynamic desirable

VTP：傳播VLAN（SW1和SW2域名以及密碼必須相同）

SW1：

SW1(config)#vtp domain a

SW1(config)#vtp password 123

SW1(config)#vtp mode server

SW1(config)#vtp version 2                                    #版本號(hào)高的同步低的

SW2：

SW2(config)#vtp domain a

SW2(config)#vtp password 123

SW2(config)#vtp mode server

SW3-SW5同配置：

SW3(config)#vtp domain a

SW3(config)#vtp password 123

SW3(config)#vtp mode client

VLAN創(chuàng)建（SW1與SW2相同）：

SW1(config)#vlan 2

SW1(config-vlan)#vlan 3

SW1(config-vlan)#vlan 4

把接口劃入不同的VLAN：

SW3-SW4同配置：

SW3(config)#int f0/3

SW3(config-if)#switchport mode access

SW3(config-if)#switchport access vlan 2

SW3(config-if)#int f0/4

SW3(config-if)#switchport mode access

SW3(config-if)#switchport access vlan 3

SW5：

SW5(config)#int range f0/3-4

SW5(config-if-range)#switchport mode access

SW5(config-if-range)#switchport access vlan 4

STP配置：

SW1為VLAN2和VLAN4的主根以及VLAN3的備份根；

SW2為VLAN3的主根以及VLAN2和VLAN4的備份根

SW1(config)#spanning-tree vlan 2 root primary

SW1(config)#spanning-tree vlan 4 root primary

SW1(config)#spanning-tree vlan 3 root secondary

SW2(config)#spanning-tree vlan 3 root primary

SW2(config)#spanning-tree vlan 2 root secondary

SW2(config)#spanning-tree vlan 4 root secondary

SVI和HSRP：

SW1：

SW1(config)#int vlan 2

SW1(config-if)#ip add 172.16.2.1 255.255.255.0

SW1(config-if)#standby 1 ip 172.16.2.254

SW1(config-if)#standby 1 priority 125

SW1(config-if)#standby 1 preempt

SW1(config-if)#standby 1 track f0/1

SW1(config)#int vlan 4

SW1(config-if)#ip add 172.16.4.1 255.255.255.0

SW1(config-if)#standby 1 ip 172.16.4.254                   #虛擬網(wǎng)關(guān)地址

SW1(config-if)#standby 1 priority 125                          #修改優(yōu)先級(jí)，默認(rèn)100，越大越優(yōu)先

SW1(config-if)#standby 1 preempt                              #開(kāi)啟搶占

SW1(config-if)#standby 1 track f0/1                            #上行鏈路追蹤

SW1(config)#int f0/7

SW1(config-if)#standby 1 ip 172.16.7.254

SW1(config-if)#standby 1 preempt

SW1(config-if)#standby 1 track f0/1

SW1(config)#int vlan 3

SW1(config-if)#ip add 172.16.3.1 255.255.255.0

SW1(config-if)#standby 1 ip 172.16.3.254

SW1(config-if)#standby 1 preempt

SW1(config-if)#standby 1 track f0/1

SW2：

SW2(config)#int vlan 2

SW2(config-if)#ip add 172.16.2.2 255.255.255.0

SW2(config-if)#standby 1 ip 172.16.2.254

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

SW2(config-if)#ip add 172.16.3.2 255.255.255.0

SW2(config-if)#standby 1 ip 172.16.3.254

SW2(config-if)#standby 1 priority 125

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

SW2(config)#int vlan 4

SW2(config-if)#ip add 172.16.4.2 255.255.255.0

SW2(config-if)#standby 1 ip 172.16.4.254

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

SW2(config-if)#int f0/7

SW2(config-if)#standby 1 ip 172.16.7.254

SW2(config-if)#standby 1 priority 125

SW2(config-if)#standby 1 preempt

SW2(config-if)#standby 1 track f0/1

DHCP配置（SW1與SW2相同）:

SW1(config)#ip dhcp pool v2

SW1(dhcp-config)# network 172.16.2.0 255.255.255.0

SW1(dhcp-config)# default-router 172.16.2.254

SW1(dhcp-config)# dns-server 114.114.114.114

SW1(dhcp-config)#ip dhcp pool v3

SW1(dhcp-config)# network 172.16.3.0 255.255.255.0

SW1(dhcp-config)# default-router 172.16.3.254

SW1(dhcp-config)# dns-server 114.114.114.114

SW1(dhcp-config)#ip dhcp pool v4

SW1(dhcp-config)# network 172.16.4.0 255.255.255.0

SW1(dhcp-config)# default-router 172.16.4.254

SW1(dhcp-config)# dns-server 114.114.114.114

啟用EIGRP：

R2(config)#router eigrp 90

R2(config-router)#no auto-summary

R2(config-router)#net 172.16.0.0

R2(config-router)#ip route 0.0.0.0 0.0.0.0 12.1.1.1          #缺省指向ISP（R1）

SW1(config)#ip routing                                                 #開(kāi)啟路由功能

SW1(config)#router eigrp 90

SW1(config-router)#no auto-summary                        #關(guān)閉自動(dòng)匯總

SW1(config-router)#net 172.16.0.0

SW1(config-router)#ip route 0.0.0.0 0.0.0.0 172.16.0.1         #缺省指向邊界路由器R2

SW2(config)#ip routing   

SW2(config)#router eigrp 90

SW2(config-router)#no auto-summary

SW2(config-router)#net 172.16.0.0

SW2(config-router)#ip route 0.0.0.0 0.0.0.0 172.16.0.5

NAT配置：

R2(config)#access-list 1 permit 172.16.0.0 0.0.7.255

R2(config)#ip nat pool pat 12.1.1.3 12.1.1.11 netmask 255.255.255.0

R2(config)#ip nat inside source list 1 pool pat overload

R2(config)#ip nat inside source static tcp 172.16.7.3 80 12.1.1.2 80                  #將HTTP服務(wù)器與邊界路由器R2靜態(tài)綁定，讓外網(wǎng)PC可以訪(fǎng)問(wèn)內(nèi)網(wǎng)的HTTP服務(wù)器

R2(config)#int f0/0

R2(config-if)#ip nat outside

R2(config-if)#int f0/1

R2(config-if)#ip nat inside

R2(config-if)#int f1/0

R2(config-if)#ip nat inside

端口安全：

SW3(config-if)#int range f0/3-4

SW3(config-if)#switchport mode access                       #必須先定義為接入接口

SW3(config-if)#switchport port-security                        #開(kāi)啟端口安全服務(wù)

SW3(config-if)#switchport port-security mac-address sticky        #設(shè)置mac地址獲取方式

SW3(config-if)#switchport port-security maximum 2                    #修改綁定的mac地址數(shù)量

SW3(config-if)#switchport port-security violation restrict             #修改違約的處理方案

測(cè)試：

公網(wǎng)PCIP為1.1.1.2，DNS服務(wù)器為1.1.1.3，內(nèi)網(wǎng)HTTP服務(wù)器為172.16.7.3

ping公網(wǎng)的PC：

公網(wǎng)PC通過(guò)DNS服務(wù)器訪(fǎng)問(wèn)內(nèi)網(wǎng)HTTP服務(wù)器：

斷開(kāi)SW1或SW2時(shí)，網(wǎng)絡(luò)依然可以通訊：

先tracert追蹤一下，可以查看到所經(jīng)過(guò)的下一跳路由器：

然后，斷開(kāi)SW1，查看網(wǎng)絡(luò)是否可以通訊：

從圖片可以看到，下一跳路由器成為了SW2，從R2的f1/0接口發(fā)送流量