CISCO交换工程案例与配置思路

1、基础理论篇：

1. 学习交换有3条主线：

（1）第一条主线是VTP。

VTP做用： 简化VLAN的配置；

（2）第二条主线是STP、PVST、MST。

其主要做用是：防止二层环路，三层用路由协议来防环，并利用多组生成树实例来实现VLAN流量的冗余备份；

（3）第三条主线是HSRP、VRRP、GLBP。

主要做用是：给网关提供冗余，并利用多组实现网关的负载均衡。

2. 3种经典模型（CCNA模型、CCNP模型、CCIE模型）：

CCNA模型：

CCNP模型：

CCIE模型：

3. 3种经典模型概括概述：

由CCNA模型、CCNP模型、CCIE模型图来看，实质都是由CCNA模型演变而来，故对於一个工程师而言，必需要很是熟练的配置，尤为是CCNA模型！紧记！！！

CCNP：主要增长一些冗余备份、路由协议和××× 。

×××用得比较多的主要是：GRE ×××、IPSec ×××、EASY ×××、MPLS ×××、DM×××，但××× 原理都同样，透过公网到达本身的内网。

（1）GRE ×××：主要是能封装路由协议；

（2）IPSec ×××：主要是用在点对点上；

（3）EASY ×××：主要是配置比较简单；

（4）DM×××： 主要用在大型企业中；

（5）MPLS ×××：是很是流行的，主要是用在大型网络中。

生成树：是用来防止环路，通常不用配置，若是配置生成树，主要是用来作负载均衡。

MST：在实际中用得比较多，其缘由是：能够减小对CPU和内存的负担。

FastEthernetPort： 主要用来减小客户机等待时间。主要用在接入层交换机。

EthernetChannel： 主要用来增长带宽，实现冗余。

光纤： 大部分链接交换机的都是光纤，光纤主要分为2种：单模和多模。

单模和多模主要区别是： 单模传输距离远/长，多模传输距离近/短。

单模是×××，多模是桔×××。

尾纤： 与RJ45跳线同样，主要是用来将光纤配线架上的光纤连到光纤交换机。通常在1~20米之间。

GBIC、SPF： 用来连交换机模块，GBIC也叫SC，SPF也叫LC。可是GBIC/SC模块如今几乎不用了，主要缘由是，体积大，而且容易坏。SPF如今都在用，其体积小，而且便宜！

光口与电口： 通常把介质为铜的叫电口。如： RJ45；通常把介质为光纤的叫光口。如：交换机上的SPF口。

4. 设备选型注意事项：

(1) 客户资金预算是多少

此为很是重要！资金的多寡决定整个网络构架的最终结果。技术是为公司业务所服务的；

(2) 客户要求的设备是否须要冗余

冗余备份将增长整个网络的光纤模块和光纤的数量，且是成倍的增长。若采用冗余备份，则关键技术是链路捆绑；(3) 交换机的引擎是否须要冗余备份

核心交换机的引擎是很是贵的，若是采用冗余，则须要作主备；

(4) 汇聚交换机是否须要冗余备份

汇聚交换机冗余做用与核心是同样的；

(5) 全网有多少个点

它决定整个网络核心交换机与路由器选型的重要信息；

(6) 全网是千兆到桌面仍是百兆到桌面

它将决定网线的介质。

(7) 接入层交换机和汇聚层交换机是否要作链路捆绑；

它将决定光纤的数量和模块的数量。

(8) 路由器的选择

将与整个网络的流量有关系，且与多少个点有至关大的关系；

(9) 防火墙的选择

防火墙是放到路由器的前面，仍是后面。是作什么模式，是透明模式，仍是路由模式；是对全网防御，仍是对部分防御。必须搞清楚之；

(10) 网络设备的选择

必须注意搭配，不能是头大身小。网络的瓶颈是哪里；

(11) 光纤模块的选择

目前都是用SPF模块，故不要选择GBIC模块。接入层交换机和核心层交换机的距离远近，由于它是肯定是选单模，仍是多模。

5. 设备构架注意事项：

(1) 高端设备

主要由机箱、电源、风扇、引擎和业务板组成，固然还有GBIC/SPF光纤模块；

(2) 机箱

机箱型号不一样所插的板卡数量也不一样。如45的交换机用的最多的是4506，65的用得最多的是6509NEB等；

(3) 电源

高端交换机、路由器的电源都是模块化的。电源分交流电源和直流电源。且不一样的型号的电源又有不一样的瓦数。如：Supervisor Engine 720最小的电源是2500W。电源的选择很是重要！若不能提供最小的电源，板卡和引擎就不能正常工做。电源的选择还要根据选的业务板卡来肯定。切记！

(4) 风扇

是选择一个，仍是2个风扇。温度对网络设备很是重要；

(5) 业务板

业务板分为：光口板和电口板；

(6) 光口板

光口板有100M、1000M、10000M，光口板可分为GBIC、SPF光口板；

(7) 电口板

电口板主要有100M、1000M，还有带POE电口板。

(8) 其余板卡

防火墙业务板，IDS、IPS等，光电口业务板可分为：8口、12口、24口、48口业务板。还有万兆业务板。POS光口业务板；

   交换机还有NAT功能的业务板、VPLS业务板、网络分析业务板、IPSec业务板等等；

故业务板选择得越多，则电源的功率越大，要求越高。

(9) 引擎

引擎是设备中最重要的板卡。注意引擎所支持的路由协议与包转发和背板带宽。有的引擎板上带有光口或电口，则能够少配置光电业务板。

备注：

2个经常使用概念：

交换机的背板带宽：表明交换机的数据处理能力，越高，则处理数据的能力越强；

交换机的背板带宽：能同时处理数据包的数据量，单位是bps；

交换机的包转发率：能同时处理数据包的数量。单位是Mpps，每秒百万个包。

2、实战篇：

下面是经典配置案例：

CCNA模型在工程中的应用案例，拓扑图以下图所示：

需求:    
一、经过路由器上网，可作NAT转换；（思考）

二、如果静态地址时，如何配置？若是是pppoe时，又是若是配置？（思考）

三、LAN内网有多个VLAN 且全网互联互通。（重点）

VISIO绘制的拓扑图：

Web-IOU绘制的拓扑图：注：Web-IOU模拟器适应于大型网络实验！

GNS3搭建的拓扑图：

CISCO篇的配置思路

注意：

CISCO的三层交换机与路由器配置连通性时，直接用接口（即SVI接口），而H3C的配置是：

a) 先划分1个VLAN，

b) 将端口加入该VLAN中

c) 再给该VLAN分配置IP地址

备注：

下面的实验是在Web-IOU模拟器中完成！

1、配置核心交换机Core与路由器R1的连通性：

（1）在核心交换机上配置：

Core(config)#int e0/0    
Core(config-if)#no switchport    
Core(config-if)#ip add 192.168.100.2 255.255.255.0    
Core(config-if)#ip routing    
Core(config)#router ospf 100    
Core(config-router)#network 192.168.100.0 0.0.0.255 area 100    
Core(config-router)#network 192.168.10.0 0.0.0.255 area 100    
Core(config-router)#network 192.168.20.0 0.0.0.255 area 100    
Core(config-router)#network 192.168.30.0 0.0.0.255 area 100    
Core(config-router)#

重点:

配置路由协议的主要功能是: 将Vlan子网消息宣告出去,让其它的交换机能学到路由。

（2）在R1路由器上配置：

R1(config)#int e0/0    
R1(config-if)#ip add 192.168.100.1 255.255.255.0    
R1(config-if)#no sh    
R1(config-if)#exit    
R1(config)#router ospf 100    
R1(config-router)#network 192.168.100.0 0.0.0.255 area 100    
R1(config-router)#

2、LAN互联互通配置

1. 交换机基础性配置

（1）在核心层Core上配置：

Switch(config)#hostname Core    
Core(config)#enable secret A1s2#-cisco    
Core(config)#no ip domain-lookup    
Core(config)#service timestamps debug uptime    
Core(config)#service timestamps debug datetime    
Core(config)#service timestamps log uptime    
Core(config)#service timestamps log datetime    
Core(config)#no ip http server    
Core(config)#no snmp-server    
Core(config)#no ip finger    
Core(config)#no ntp    
Core(config)#no cdp run    
Core(config)#no service udp-small-servers    
Core(config)#no service tcp-small-servers    
Core(config)#line console 0    
Core(config-line)#password Console0#    
Core(config-line)#exec-timeout 0    
Core(config-line)#logging synchronous    
Core(config-line)#login    
Core(config-line)#exit    
Core(config)#line vty 0 4    
Core(config-line)#password Vty-A1s2#    
Core(config-line)#exec-timeout 0    
Core(config-line)#logging synchronous    
Core(config-line)#login    
Core(config-line)#exit    
Core(config)#

（2）在接入层SW1上配置：

简单的方法是： 将下面命令输入在记事本中，再分别复制到SW一、SW二、SW三、SW四、SW五、SW6中，便可。注：交换机名称和密码 修改下！

2. 设置Vtp domain(核心层交换机、接入层交换机上配置）

（1）核心层交换机上配置

Core(config)#vtp domain beyond    
Changing VTP domain name from NULL to beyond    
Core(config)#vtp mode server    
（2）接入层交换机上配置

SW1(config)#vtp domain beyond    
SW1(config)#vtp mode client

同理，分别在SW二、SW三、SW四、SW五、SW6中如SW1上同样配置。

3. 配置中继(核心层交换机、接入层交换机上配置）

（1）核心层交换机上配置

Core(config)#int e0/1    
Core(config-if)#description link to SW1_e0/0    
Core(config-if)#switchport    
Core(config-if)#switchport trunk encapsulation dot1q    
Core(config-if)#switchport mode trunk    
Core(config-if)#

同理，在e0/二、e0/三、e1/0、e1/一、e1/2接口上配置中继。

（2）接入层交换机上配置

SW1(config)#int e0/0    
SW1(config-if)#description link to Core_e0/1    
SW1(config-if)#switchport    
SW1(config-if)#switchport trunk encapsulation dot1q    
SW1(config-if)#switchport mode trunk    
SW1(config-if)#do sh int e0/0 switchport   //查看

同理，在SW二、SW三、SW四、SW5和SW6的e0/0接口上配置中继。

4. 建立VLAN(在VTP Server上配置）

Core(config)#vlan 10    
Core(config-vlan)#name vl10    
Core(config-vlan)#exit    
% Applying VLAN changes may take few minutes.  Please wait...

Core(config)#vlan 20    
Core(config-vlan)#name vl20    
Core(config-vlan)#exit    
% Applying VLAN changes may take few minutes.  Please wait...

Core(config)#vlan 30    
Core(config-vlan)#name vl30    
Core(config-vlan)#exit    
% Applying VLAN changes may take few minutes.  Please wait...

Core(config)#vlan 40    
Core(config-vlan)#name vl40    
Core(config-vlan)#exit    
% Applying VLAN changes may take few minutes.  Please wait...

Core(config)#vlan 50    
Core(config-vlan)#name vl50

5. 将交换机端口划入VLAN(在接入层交换机上配置）

（1）接入层交换机SW1上配置

SW1(config)#int e0/1    
SW1(config-if)#switchport mode access    
SW1(config-if)#switchport access vlan 10    
SW1(config-if)#exit    
SW1(config)#int e0/2    
SW1(config-if)#switchport mode access    
SW1(config-if)#switchport access vlan 20

（2）接入层交换机SW2上配置

SW2(config)#int e0/1    
SW2(config-if)#switchport mode access    
SW2(config-if)#switchport access vlan 10    
SW2(config-if)#exit    
SW2(config)#int e0/2    
SW2(config-if)#switchport mode access  
SW2(config-if)#switchport access vlan 20

（3）接入层交换机SW3上配置

SW3(config)#int e0/1    
SW3(config-if)#switchport mode access    
SW3(config-if)#switchport access vlan 30    
SW3(config-if)#exit    
SW3(config)#int e0/2    
SW3(config-if)#switchport mode access    
SW3(config-if)#switchport access vlan 40

（4）接入层交换机SW4上配置

SW4(config)#int e0/1    
SW4(config-if)#switchport mode access    
SW4(config-if)#switchport access vlan 30    
SW4(config-if)#exit    
SW4(config)#int e0/2    
SW4(config-if)#switchport mode access    
SW4(config-if)#switchport access vlan 40

（5）接入层交换机SW5上配置

SW5(config)#int e0/1    
SW5(config-if)#switchport mode access    
SW5(config-if)#switchport access vlan 40    
SW5(config-if)#exit    
SW5(config)#int e0/2    
SW5(config-if)#switchport mode access    
SW5(config-if)#switchport access vlan 50

（6）接入层交换机SW6上配置

SW6(config)#int e0/1    
SW6(config-if)#switchport mode access    
SW6(config-if)#switchport access vlan 40    
SW6(config-if)#exit    
SW6(config)#int e0/2    
SW6(config-if)#switchport mode access    
SW6(config-if)#switchport access vlan 50

6. 配置三层交换(在核心层交换机上配置）

  配置至此，只有同一VLAN的主机之间能够互相访问！不一样VLAN的主机之间不能互访！此时须要在各VLAN之间架一座桥梁----给各VLAN接口分配IP地址。即各VLAN的主机的网关地址！

部门	VLAN名称	VLAN ID	网关地址	网段地址
财务部	caiwu	10	192.168.10.254	192.168.10.0/24
技术部	jishu	20	192.168.20.254	192.168.20.0/24
信息部	IT	30	192.168.30.254	192.168.30.0/24
行政部	xingzheng	40	192.168.40.254	192.168.40.0/24
其余部门	qita	50	192.168.50.254	192.168.50.0/24

Core(config)#int vlan 10        
Core(config-if)#ip add 192.168.10.254 255.255.255.0    
Core(config-if)#no sh    
Core(config-if)#exit    
Core(config)#int vlan 20        
Core(config-if)#ip add 192.168.20.254 255.255.255.0    
Core(config-if)#no sh    
Core(config-if)#exit    
Core(config)#int vlan 30        
Core(config-if)#ip add 192.168.30.254 255.255.255.0  
Core(config-if)#no sh    
Core(config-if)#exit    
Core(config)#int vlan 40        
Core(config-if)#ip add 192.168.40.254 255.255.255.0    
Core(config-if)#no sh    
Core(config-if)#exit    
Core(config)#int vlan 50        
Core(config-if)#ip add 192.168.50.254 255.255.255.0    
Core(config-if)#no sh

7. 配置TCP/IP参数以下图所示(在客户端PC上配置）

客户机	IP地址	网关地址	部门	网段地址	VLAN ID
PC1	192.168.10.11/24	192.168.10.254	财务部	192.168.10.0/24	VLAN 10
PC2	192.168.20.12/24	192.168.20.254	技术部	192.168.20. 0/24	VLAN 20
PC3	192.168.10.13/24	192.168.10.254	财务部	192.168.10. 0/24	VLAN 10
PC4	192.168.20.14/24	192.168.20.254	技术部	192.168.20. 0/24	VLAN 20
PC5	192.168.30.15/24	192.168.30.254	信息部	192.168.30. 0/24	VLAN 30
PC6	192.168.40.16/24	192.168.40.254	行政部	192.168.40. 0/24	VLNA 40
PC7	192.168.30.17/24	192.168.30.254	信息部	192.168.30. 0/24	VLAN 30
PC8	192.168.40.1824	192.168.40.254	行政部	192.168.40. 0/24	VLAN 40
PC9	192.168.40.19/24	192.168.40.254	行政部	192.168.40. 0/24	VLAN 40
PC10	192.168.50.10/24	192.168.50.254	其余部门	192.168.50. 0/24	VLAN 50
PC11	192.168.40.11/24	192.168.40.254	行政部	192.168.40. 0/24	VLAN 40
PC12	192.168.50.12/24	192.168.50.254	其余部门	192.168.50. 0/24	VLAN 50

注：如今全网互联互通！

8. 其余需求配置，根据实情而定！（略）

  如：有些部门敏感数据，其余人/部门不能访问之；有些人/部门不能访问Internet等。