小型企业网组网 同时实现高可靠性

我是艺博东 ，一个思科出身专注于华为的网工。

组网拓扑

上图为一个小型企业网的组网图，路由器R1和路由器R2作为企业的出口，核心交换机LS1和核心交换机LS2作为企业的用户网关，不同部门的接入交换机上配置不同的vlan以隔离二层，接入交换机到汇聚交换机使用链路聚合。核心交换机作为DHCP服务器，PC主机，client打印机通 过DHCP接入网络。

可以用到的技术有哪些以及配置

企业出口路由器R1和路由器R2，接入交换机和核心交换机上，用到的技术有哪些以及配置哪些内容?

1、在LSW3、LSW4、LSW5、LSW6下行端口配置为Access端口，上行端口配置为Trunk口。
2、在LSW3、LSW4、LSW5、LSW6创建相应的 VLAN，下行端口添加到对应的vlan，上行放行相关业务的vlan
3、接入交换机（LSW3、LSW4、LSW5、LSW6）和核心交换机（LSW1、LSW2）之间的链路配置成 eth-trunk
4、在LSW1、LSW2 创建所有需要用到的VLAN，分别创建3个不同的 vlanif，分别与不同之间 vlan 道信，以及与核心层通信，在 LSW1、LSW2 上行端口配口 ACCESS 端口加入相应的 vlan。
5、在LSW1、LSW2创建 dhcp 地址池，防止打印机频繁改变地址，可以设置静态IP地址+MAC地址绑定。
6、在LSW3、LSW4、LSW5、LSW6分别在下行端口开启全局 dhcp 命令，获取 IP 地址
7、在LSW1、LSW2上可以使用ACL
8、在R1、AR2、LSW1、LSW2可以使用IGP协议（RIP，OSPF，IS-IS）
9、使用DHCP安全技术，现实企业内部网络的安全性
10、在LSW1、LSW2使用VRRP技术
11、在AR1、AR2分别写一条静态路田指向ISP1、ISP2，并在AR1、AR2在一条路田分别指向LSW1、LSW2
12、在AR1、AR2单臂路由技术
13、在AR1、AR2上配置NAT技术
14、在LSW1、LSW2必须要时需要写一条指向NULL0的路由
15、也可以选择MSTP+VRRP进行
16、在LSW1、LSW2分别上写一条静态路由指向AR1、AR2
17、当然也可以使用这些技术：istack，CSS，SVF，M-LAG，smart link

相关技术的配置

1、VLAN

port link-type trunk 
Port trunk allow-pass vlan all 

2、Eth-trunk

lacp int eth-trunk 12 
Mode manual load-balance 
Load-balance src-dst-mac 
Trunkport g 0/0/22 0/0/23 0/0/24 
Least active-link number 1 

3、RSTP/MSTP

stp mode RSTP/MSTP 
Stp region-configuration 
Region-name mstp 
Revision-level 0 
Instance 1 vlan 10 
Instance 2 vlan 20 
Active region-configuration 

4、网关-核心

dhcp enable ip pool 160 
gateway-list 192.168.160.1 
network 192.168.160.0 mask 255.255.255.0 
lease day 3 hour 0 minute 0 
dns-list 114.114.114.114 

5、DHCP-核心接口下

int g0/0/0 
dhcp select global 

6、NAT

nat address-group 1 10.1.1.10 10.1.1.20 
Acl 2000 Rule 5 permit source 10.0.0.0 0.0.0.255 

7、ACL

Int g0/0/1 
Nat outbound 2000 address-group 1 

8、静态路由|默认路由

动态路由也可以，但是会增加设备的处理压力，所以推 荐静态

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 

9、DHCP snooping

1）防止 DHCP 服务器的仿冒者攻击

int g0/0/1 
dhcp snooping enable 
dhcp snooping trusted 

2）防止 DHCP 报文泛洪攻击

dhcp snooping enable 
dhcp snooping check dhcp-rate enable vlan 100 
dhcp snooping check dhcp-rate enable 

3）防止 DHCP 服务器拒绝服务攻击（饿死攻击）

dhcp snooping max-user-number 100 
int g0/0/1 dhcp snooping max-user-number 100

4）防止仿冒 DHCP 报文攻击

dhcp snooping check dhcp-request enable vlan 100 
dhcp snooping alarm threshold 100 
int g0/0/2 dhcp snooping alarm dhcp-request threshold 100 vlan 100 
dhcp snooping check dhcp-request enable 

5）防止非 DHCP 用户攻击

static-bind ip 192.168.200.99 mac-address 5489-982E-1E954 

10、EP 端口

Stp edged-port default 
Int g0/0/12 
Stp edged-port disable 

11、单臂路由

int g0/0/0.10 Dot1q terminate vid 10 
Ip add 1.1.1.1 24 
Arp broadcast enable 

12、VRRP

 int vlanif 10 
 Ip add 10.1.1.1 24 
 Vrrp vrid 1 virtual-ip 10.1.1.254 
 Vrrp vrid 1 priority 120 

13、打印机

支持 DHCP：静态 IP+MAC 绑定
不支持 DHCP，只用静态 IP

最可怕的敌人，就是没有坚强的信念。——罗曼·罗兰

好了这期就到这里了，如果你喜欢这篇文章的话，请点赞评论分享收藏，如果你还能点击关注，那真的是对我最大的鼓励。谢谢大家，下期见！