刚学完CCNA，恰好公司有些设备，求大神指导我完成以下需求，不胜感激！

muskdy

拓扑图如下：

拓扑图

R为2911-K9，S为2960G-48，外带4个AP 2602，因为是个异地小的办公区，只需满足30人的日常工作，请问大神如何配置呢？2960G能做核心交换机吗？这是我第一次做这类的，只看玩NA所有的视频跟着做了些实验，一个项目的流程我都不太懂，所以请教大家了，十分感谢！

motive6

北京和上海如果有固定公网IP地址，那么两地可以起GRE隧道，两边的2911分别针对本地用户做NAT，建议AP最好能有一个AC控制器来控制一下
BJ大致配置：
interface Tunnel1
ip address 172.16.0.1 255.255.255.252
tunnel source GigabitEthernet0/0
tunnel destination 202.108.3.2

interface GigabitEthernet0/0
ip address 124.200.11.2 255.255.255.252
ip nat outside

interface GigabitEthernet0/1
ip address 192.168.100.1 255.255.255.0
ip nat inside

ip nat inside source list 10 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 124.200.11.1
ip route 192.168.200.0 255.255.255.0 172.16.0.2

access-list 10 permit 192.168.100.0 0.0.0.255


SH大致配置：
interface Tunnel1
ip address 172.16.0.2 255.255.255.252
tunnel source GigabitEthernet0/0
tunnel destination 124.200.11.2

interface GigabitEthernet0/0
ip address 202.108.3.2 255.255.255.252
ip nat outside

interface GigabitEthernet0/1
ip address 192.168.200.1 255.255.255.0
ip nat outside

ip nat inside source list 10 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 202.108.3.1
ip route 192.168.100.0 255.255.255.0 172.16.0.1

access-list 10 permit 192.168.200.0 0.0.0.255


无线的配置最好能有控制器来做控制，所以这里没法帮你做配置了

visionary

这小网络2960G可以的~

hardaway504

建议对于通过internet的流量不要使用GRE因为仅仅通过gre隧道技术传输的报文都是以明文的方式传送没有任何安全性可言.
建议:在北京与上海2个站点建立IPSEC，所有通过隧道传输到对端内网的报文都需要经过加密与解密.此处的ipsec可以使用单波的形式传送.即2站点之间不需要使用动态路由协议建邻居.做PAT配置的时候注意不要把去往对端目的网段的内网地址做PAT转换.只需要对去往internet的流量做NAT地址转换即可.

对于AP建议在2层交换机2960上做VLAN,同时如果希望无线网段与其他网段能互连互通则需要路由器上做inter-route.把2960和2911的互连接口起为trunk.

2台路由器上去往公网的路由都能使用缺省.

hardaway504

建议:对于通过因特网的流量不建议使用纯GRE隧道因为通过GRE隧道的报文都是明文方式传送没有任何安全性。所以如果要实现不同站点之间内网网段的互连互通推荐使用IPSEC,在上海和北京起ipsec这样通过ipsec的报文都要经过加密与解密的过程.
注意在配置ipsec时不要把去往对端目的网段的流量进行NAT转换. NAT地址转换的流量永远只去网因特网的流量.同时在配置IPSEC时可以使用单波的形式。即不需要使用任何动态路由协议让不同站点的路由器建立邻居而实现互连互通。

对于AP建议在2960上划分VLAN.并且要实现无线网络和其他网络的互通需要在2911上启用INTER-ROUTE.把2911和2960相连的接口配置为trunk. 并且要在2911上配置dhcp 如果本地网段内没有DHCP服务器.

最后,上海和北京的路由器上只需要缺省路由即可.

hardaway504

建议:对于通过因特网的流量不建议使用纯GRE隧道因为通过GRE隧道的报文都是明文方式传送没有任何安全性。所以如果要实现不同站点之间内网网段的互连互通推荐使用IPSEC,在上海和北京起ipsec这样通过ipsec的报文都要经过加密与解密的过程.
注意在配置ipsec时不要把去往对端目的网段的流量进行NAT转换. NAT地址转换的流量永远只去网因特网的流量.同时在配置IPSEC时可以使用单波的形式。即不需要使用任何动态路由协议让不同站点的路由器建立邻居而实现互连互通。

对于AP建议在2960上划分VLAN.并且要实现无线网络和其他网络的互通需要在2911上启用INTER-ROUTE.把2911和2960相连的接口配置为trunk. 并且要在2911上配置dhcp 如果本地网段内没有DHCP服务器.

最后,上海和北京的路由器上只需要缺省路由即可.

问舟

666

muskdy

visionary 发表于 2017-2-13 18:49
这小网络2960G可以的~

谢谢您

muskdy

motive6 发表于 2017-2-13 17:59
北京和上海如果有固定公网IP地址，那么两地可以起GRE隧道，两边的2911分别针对本地用户做NAT，建议AP最好能 ...

您好，您有微信或者QQ吗？我有些小的问题想请教您

Rockyw

路过学习一下

motive6

muskdy 发表于 2017-2-14 09:09
您好，您有微信或者QQ吗？我有些小的问题想请教您

Q：13853943

muskdy

Rockyw 发表于 2017-2-14 11:32
路过学习一下

多多交流，谢谢

muskdy

hardaway504 发表于 2017-2-14 06:29
建议:对于通过因特网的流量不建议使用纯GRE隧道因为通过GRE隧道的报文都是明文方式传送没有任何安全性。所 ...

666666

muskdy

hardaway504 发表于 2017-2-14 06:29
建议:对于通过因特网的流量不建议使用纯GRE隧道因为通过GRE隧道的报文都是明文方式传送没有任何安全性。所 ...

我刚学完NA，缺省路由是啥意思？

hardaway504

muskdy 发表于 2017-2-15 10:08
我刚学完NA，缺省路由是啥意思？

意思就是当你去往目的网段的数据包在路由表里找不到该目的网段路由条目的时候用缺省路由转发.
比如：当你要去往百度网站目的地址是公网，但是你的路由器里的路由表没有去往公网路由的条目。那么当路由器收到带有该目的网段的数据包就会统一走0.0.0.0 0.0.0.0 +下一跳地址 这条路由对数据包进行转发.因为该路由条目拥有最短子网掩码所有按照最长匹配原则，该路由条目在路由表里永远是拥有最低优先权.即所有在路由表内找不到的路由都走缺省路由