实验目的:掌握中大型园区网络的部署

实验拓扑:

高级交换综合项目_ip地址

IP规划:

高级交换综合项目_重启_02

实验需求及操作:

一、安全管理

1、依据图中拓扑,为全网设备定义主机名、关闭域名解析、并在Console 和 VTY 线路下关闭线路超时并开启输出同步。 

#AS1上操作
IOU5(config)#hostname AS1 #定义主机名
AS1(config)#no ip domain-lookup #关闭域名解析
AS1(config-line)#line vty 0 4 #进入vty模式
AS1(config-line)#logging synchronous #开启输出同步
AS1(config-line)#exec-timeout 0 0 #关闭线路超时 
AS1(config-line)#exit
AS1(config)#line console 0 #进入con口模式
AS1(config-line)#logging synchronous #开启输出同步
AS1(config-line)#exec-timeout 0 0 #关闭线路超时 
#其他交换机及路由器操作同上,此处即不详细演示

2、为实现安全远程登录,要求在设备 CS1 上创建本地用户名 bdqn,密码 benet,并只允许 3 个管理员同时远程登录 ,其中管理员地址分别为 192.168.10.1~192.168.10.3;要求只运行 SSH 协议进行登录,并且关闭其他虚拟终端线路。

CS1(config)#username bdqn privilege 15 password benet #配置用户名及密码
CS1(config)#line vty 0 2 #允许3个管理员登录
CS1(config-line)#login local #启动本地登录
CS1(config-line)#transport input ssh #使用ssh登录
CS1(config-line)#exit
CS1(config)#access-list 1 permit host 192.168.10.1 #设置acl
CS1(config)#access-list 1 permit host 192.168.10.2
CS1(config)#access-list 1 permit host 192.168.10.3
CS1(config)#line vty 0 2
CS1(config-line)#access-class 1 in #将acl应用到vty
CS1(config)#line vty 3 4 #进入vty3、4
CS1(config-line)#transport input none #关闭路线

3、在设备 CS1 设置 banner,要求当远程登录时可以看到“THIS IS BENETLAB Lab*CS1”

CS1(config)#banner ##This is Benetlab lab*CS1*##

4、在 CS2 上关闭 HTTP 服务,开启 HTTPS 服务并调用本地认证

CS2(config)#no ip http server #关闭http服务
CS2(config)#ip http secure-server #开启https服务

5、在 R1 E0/0 上关闭 CDP 服务

R1(config-if)#no cdp run #关闭cdp

6、汇聚和接入交换机的管理 vlan 为 vlan1, 所在网段为 192.168.1.0/24,其中 中 DS1 的管理 IP 为 192.168.1.1/24, DS2 为 192.168.1.2/24, DS3 为 192.168.1.3/24,DS4 为192.168.1.4/24 。 要求二层交换机可以远程管理。

#DS1上配置
DS1(config)#int vlan 1
DS1(config-if)#no sh
DS1(config-if)#ip add 192.168.1.1 255.255.255.0
#DS2上配置
DS2(config)#int vlan 1
DS2(config-if)#no sh
DS2(config-if)#ip add 192.168.1.2 255.255.255.0
#AS1上配置
AS1(config)#int vlan 1
AS1(config-if)#ip add 192.168.1.3 255.255.255.0
AS1(config-if)#no sh
AS1(config-if)#exit
AS1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 #配置一条默认路由指向DS1
#AS2上配置
AS2(config)#int vlan 1
AS2(config-if)#ip add 192.168.1.4 255.255.255.0
AS2(config-if)#exit
AS2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2  #配置一条默认路由指向DS2

二、交换技术

1、Trunk 技术

①DS1DS2AS1 交换机之间强制启用 Trunk 并关闭 DTP 协商,并采用 802.1Q 进行封装。

#DS1上配置
DS1(config)#interface range ethernet 1/0 #进入接口
DS1(config-if)#switchport trunk encapsulation dot1q #封装
DS1(config-if)#switchport mode trunk #设置为trunk模式
DS1(config-if)#sw mode dynamic auto #将接口设置为自动模式,不主动发送DTP
#DS2上配置
DS2(config)#interface range ethernet 1/1 #进入接口
DS2(config-if)#switchport trunk encapsulation dot1q #封装
DS2(config-if)#switchport mode trunk #设置为trunk模式
DS2(config-if)#switchport mode dynamic auto #将接口设置为自动模式,不主动发送DTP
#AS1上配置
AS1(config)#interface range ethernet 0/0-1 #进入接口
AS1(config-if-range)#switchport trunk encapsulation dot1q #封装
AS1(config-if-range)#switchport mode trunk #设置为trunk模式
AS1(config-if-range)#switchport mode dynamic auto #将接口设置为自动模式,不主动发送DTP

AS2 和其他交换机之间采用 DTP 协议协商 Trunk,AS2 端为 Auto 模式,其他交换机为 Desirable 模式。

#DS1上配置
DS1(config)#interface ethernet 1/1
DS1(config-if)#switchport trunk encapsulation dot1q
DS1(config-if)#switchport mode trunk #启动trunk即关闭dtp协商功能
#DS2上配置
DS2(config)#interface ethernet 1/0
DS2(config-if)#switchport trunk encapsulation dot1q
DS2(config-if)#switchport mode trunk #启动trunk即关闭dtp协商功能
#AS2上配置
AS2(config)#interface range ethernet 0/0-1
AS2(config-if-range)#switchport trunk encapsulation dot1q
AS2(config-if-range)#switchport mode trunk
AS2(config-if-range)#switchport mode dynamic auto #DTP设置为auto模式

所有交换机要求 Trunk 上只允许 VLAN110203040 通过

#DS1上配置
DS1(config)#interface range ethernet 1/0-1
DS1(config-if-range)#switchport trunk allowed vlan 10,20,30,40
#DS2上配置
DS2(config)#interface range ethernet 1/0-1
DS2(config-if-range)#switchport trunk allowed vlan 10,20,30,40
#AS1上配置
AS1(config)#interface range ethernet 0/0-1
AS1(config-if-range)#switchport trunk allowed vlan 10,20,30,40
#AS2上配置
AS2(config)#interface range ethernet 0/0-1
AS2(config-if-range)#switchport trunk allowed vlan 10,20,30,40

2、VTP&VLAN 技术

①总部 VTP 管理域为 bdqn, 密码为 benet,总部 DS1 DS2 均为 Server, 其他交换机为 Client

#DS1上操作
DS1(config)#vtp domain bdqn #域名设置
DS1(config)#vtp password benet #密码设置
DS1(config)#vtp mode server #服务模式设置
#DS2上操作
DS2(config)#vtp domain bdqn #域名设置
DS2(config)#vtp password benet #密码设置
DS2(config)#vtp mode server #服务模式设置
#AS1上操作
AS1(config)#vtp domain bdqn
AS1(config)#vtp password benet
AS1(config)#vtp mode client
#AS2上操作
AS2(config)#vtp domain bdqn
AS2(config)#vtp password benet
AS2(config)#vtp mode client

总部全局开启VTP 修剪,在 DS1 上创建 VLAN10/20/30/40, 并要求全局同步。

#DS1上配置
DS1(config)#vtp pruning #开启vtp修剪(仅需在一台服务器上配置即可)
DS1(config)#vlan 10,20,30,40

将不同用户接口放入相应的 VLAN 中。

AS1上配置
AS1(config)#interface ethernet 0/2
AS1(config-if)#switchport mode access #设置为接口模式
AS1(config-if)#switchport access vlan 10 #加入vlan 10
AS1(config)#interface ethernet 0/3
AS1(config-if)#switchport mode access #设置为接口模式
AS1(config-if)#switchport access vlan 20 #加入vlan 20
AS2上配置
AS2(config)#interface ethernet 0/2
AS2(config-if)#switchport mode access #设置为接口模式
AS2(config-if)#switchport access vlan 30 #加入vlan 30
AS2(config)#interface ethernet 0/3
AS2(config-if)#switchport mode access #设置为接口模式
AS2(config-if)#switchport access vlan 40 #加入vlan 40

STP技术

部署MSTP,全局 MSTP 域为 PL,修订号为 1,并创建两个实例,其中实例1映射vlan10 和vlan30, 实例 2 映射vlan20 和vlan40; 

#DS1上配置
DS1(config)#spanning-tree mode mst #设置为mst模式
DS1(config)#spanning-tree mst configuration #进入mst配置模式
DS1(config-mst)#revision 1 #版本号为1
DS1(config-mst)#name PL #域名为PL
DS1(config-mst)#instance 1 vlan 10 #创建实例1,映射vlan 10
DS1(config-mst)#instance 1 vlan 30 #创建实例1,映射vlan 30
DS1(config-mst)#instance 2 vlan 20 #创建实例2,映射vlan 20
DS1(config-mst)#instance 2 vlan 40 #创建实例2,映射vlan 40
##DS2上配置
DS2(config)#spanning-tree mode mst #设置为mst模式
DS2(config)#spanning-tree mst configuration #进入mst配置模式
DS2(config-mst)#revision 1 #版本号为1
DS2(config-mst)#name PL #域名为PL
DS2(config-mst)#instance 1 vlan 10 #创建实例1,映射vlan 10
DS2(config-mst)#instance 1 vlan 30 #创建实例1,映射vlan 30
DS2(config-mst)#instance 2 vlan 20 #创建实例2,映射vlan 20
DS2(config-mst)#instance 2 vlan 40 #创建实例2,映射vlan 40
#AS1上配置
AS1(config)#spanning-tree mode mst #设置为mst模式
AS1(config)#spanning-tree mst configuration #进入mst配置模式
AS1(config-mst)#revision 1 #版本号为1
AS1(config-mst)#name PL #域名为PL
AS1(config-mst)#instance 1 vlan 10 #创建实例1,映射vlan 10
AS1(config-mst)#instance 1 vlan 30 #创建实例1,映射vlan 30
AS1(config-mst)#instance 2 vlan 20 #创建实例2,映射vlan 20
AS1(config-mst)#instance 2 vlan 40 #创建实例2,映射vlan 40
#AS2上配置
AS2(config)#spanning-tree mode mst #设置为mst模式
AS2(config)#spanning-tree mst configuration #进入mst配置模式
AS2(config-mst)#revision 1 #版本号为1
AS2(config-mst)#name PL #域名为PL
AS2(config-mst)#instance 1 vlan 10 #创建实例1,映射vlan 10
AS2(config-mst)#instance 1 vlan 30 #创建实例1,映射vlan 30
AS2(config-mst)#instance 2 vlan 20 #创建实例2,映射vlan 20
AS2(config-mst)#instance 2 vlan 40 #创建实例2,映射vlan 40

②要求 DS1 为实例 1 的主根, 实例 2 的备根; DS2 为实例 1 的备根, 实例 2 的主根

#DS1上配置
DS1(config)#spanning-tree mst 1 root primary #设实例1为主桥
DS1(config)#spanning-tree mst 2 root secondary #设实例2为备桥
#DS2上配置
DS2(config)#spanning-tree mst 1 root secondary
DS2(config)#spanning-tree mst 2 root primary

在接入层交换机上开启 BPDU 防护, 当违反规则时, 要求 30S 后恢复

#AS1上配置
AS1(config)#interface range ethernet 0/2-3
AS1(config-if-range)#spanning-tree bpduguard enable #开启BPDU防护功能
AS1(config-if-range)#exit
AS1(config)#errdisable recovery cause bpduguard #设置重启原因
AS1(config)#errdisable recovery interval 30 #设置重启时间为30秒
#AS2上配置
AS2(config)#interface range ethernet 0/2-3
AS2(config-if-range)#spanning-tree bpduguard enable #开启BPDU防护功能
AS2(config-if-range)#exit
AS2(config)#errdisable recovery cause bpduguard #设置重启原因
AS2(config)#errdisable recovery interval 30 #设置重启时间为30秒

④hsrp技术

部署 HSRP 技术,要求 DS1 作为 VLAN10/30 的主网关, VLAN20/40 的备网关,DS2 作为 VLAN20/40 的主网关, VLAN10/30 的备网关

#DS1上配置
#设置standby 10
DS1(config)#int vlan 10 #进入vlan 10 接口
DS1(config-if)#ip add 192.168.10.252 255.255.255.0 #配置IP地址
DS1(config-if)#no sh #开启接口
DS1(config-if)#standby 10 ip 192.168.10.254 #配置热备份10的虚拟ip
DS1(config-if)#standby 10 priority 110 #配置优先级
DS1(config-if)#standby 10 preempt #配置抢占
DS1(config-if)#exit
DS1(config)#track 100 int e0/0 line-protocol #配置监听接口
DS1(config-track)#exit
DS1(config)#int vlan 10
DS1(config-if)#standby 10 track 100 decrement 30 #配置监听减30优先级
#设置standby 20
DS1(config-if)#int vlan 20
DS1(config-if)#ip add 192.168.20.252 255.255.255.0
DS1(config-if)#no sh
DS1(config-if)#standby 20 ip 192.168.20.254
DS1(config-if)#standby 20 priority 90
DS1(config-if)#standby 20 preempt
#设置standby 30
DS1(config-if)#int vlan 30
DS1(config-if)#ip add 192.168.30.252 255.255.255.0
DS1(config-if)#no sh
DS1(config-if)#standby 30 ip 192.168.30.254
DS1(config-if)#standby 30 priority 110
DS1(config-if)#standby 30 preempt
DS1(config-if)#standby 30 track 100 decrement 30
#设置standby 40
DS1(config-if)#int vlan 40
DS1(config-if)#ip add 192.168.40.252 255.255.255.0
DS1(config-if)#no sh
DS1(config-if)#standby 40 ip 192.168.40.254
DS1(config-if)#standby 40 priority 90
DS1(config-if)#standby 40 preempt
#DS2配置与ds1相反,此处为略

DHCP Relay 技术

在 R1 上同时部署 DHCP 服务,方便不同 VLAN 的主机接入网络,其中主DNS 为 8.8.8.8, 备用 DNS 为 114.114.114.114。

#创建v10地址池
R1(config)#ip dhcp pool v10 
R1(dhcp-config)#network 192.168.10.0 255.255.255.0 
R1(dhcp-config)#default-router 192.168.10.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114
#创建v20地址池
R1(config)#ip dhcp pool v20
R1(dhcp-config)#network 192.168.20.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.20.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114
#创建vR1(config)#ip dhcp pool v30
R1(dhcp-config)#network 192.168.30.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.30.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.11430地址池
#创建v40地址池R1(config)#ip dhcp pool v40
R1(dhcp-config)#network 192.168.40.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.40.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

在 DS1 DS2 上部署 DHCP 中继技术。

DS1(config-if)#int vlan 10
DS1(config-if)#ip helper-address 1.1.1.1
DS1(config-if)#int vlan 20
DS1(config-if)#ip helper-address 1.1.1.1
DS1(config-if)#int vlan 30
DS1(config-if)#ip helper-address 1.1.1.1
DS1(config-if)#int vlan 40
DS1(config-if)#ip helper-address 1.1.1.1

③配置以太聚合技术

#二层链路聚合
#DS1上配置
DS1(config)#interface range  ethernet 0/2-3
DS1(config-if-range)#channel-group 1 mode on
#DS2上配置
DS2(config)#interface range  ethernet 0/2-3
DS2(config-if-range)#channel-group 1 mode on
#三层链路聚合
#CS1上配置
CS1(config)#intercae  port-channel 1
CS1(config-if)#no switchport
CS1(config-if)#ip address 172.16.23.1 255.255.255.0
CS1(config-if)#interface range ethernet 0/1-2
CS1(config-if-range)#no switchport
CS1(config-if-range)#channel-group 1 mode on
#CS2上配置
CS2(config)#intercae  port-channel 1
CS2(config-if)#no switchport
CS2(config-if)#ip address 172.16.23.2 255.255.255.0
CS2(config-if)#interface range ethernet 0/1-2
CS2(config-if-range)#no switchport
CS2(config-if-range)#channel-group 1 mode on

Port-Security 技术

①为实现用户接入安全,要求在所有用户接入接口启用端口安全技术。开启地址学习,并定义最大 MAC 数为 1。定义用户违反规则为 shutdown 模式,并要求在 30s 后自动恢复。

#AS1上配置
AS1(config)#interface range ethernet 0/2-3
AS1(config-if-range)#switchport port-security #开始接口安全技术
AS1(config-if-range)#switchport port-security maximum 1 #定义最大 MAC 数为 1
AS1(config-if-range)#switchport port-security violation shutdown #定义违反规则为shutdown
AS1(config-if-range)#exit
AS1(config)#errdisable recovery cause all #恢复原因设为all
AS1(config)#errdisable recovery interval 30 #恢复时间设为30
#AS2上配置
AS2(config)#interface range ethernet 0/2-3
AS2(config-if-range)#switchport port-security #开始接口安全技术
AS2(config-if-range)#switchport port-security maximum 1 #定义最大 MAC 数为 1
AS2(config-if-range)#switchport port-security violation shutdown #定义违反规则为shutdown
AS2(config-if-range)#exit
AS2(config)#errdisable recovery cause all #恢复原因设为all
AS2(config)#errdisable recovery interval 30 #恢复时间设为30

DHCP Snooping 技术

在 AS1 上部署 DHCP 侦听技术, 防止 DHCP 欺骗。

#AS1上配置
AS1(config)#ip dhcp snooping #开启snooping功能
AS1(config)#ip dhcp snooping vlan 10 20 #让vlan10,20 通过
AS1(config)#interface range ethernet 0/1-2 
AS1(config-if-range)#ip dhcp snooping trust #使端口可以接受dhcp
#AS2上配置
AS2(config)#ip dhcp snooping #开启snooping功能
AS2(config)#ip dhcp snooping vlan 30 40 #让vlan30,40 通过
AS2(config)#interface range ethernet 0/1-2 
AS2(config-if-range)#ip dhcp snooping trust #使端口可以接受dhcp

三、路由技术

在全网所有三层设备部署动态路由协议 OSPF, 其中 R1CS1CS2 通告到骨干区域中, CS1CS2DS1 通告到区域 10 中, CS1CS2DS2 通告到区域 20 中。

#R1上配置(配置IP地址过程省略)
R1(config)#router ospf 1
R1(config-router)#network 172.16.12.1 0.0.0.0 area 0
R1(config-router)#network 172.16.13.1 0.0.0.0 area 0
R1(config-router)#network 1.1.1.1 0.0.0.0 area 0
#C1上配置(配置IP地址过程省略)
CS1(config)#router ospf 1
CS1(config-router)#network 172.16.12.2 0.0.0.0 area 0
CS1(config-router)#network 172.16.23.2 0.0.0.0 area 0
CS1(config-router)#network 172.16.24.2 0.0.0.0 area 10
CS1(config-router)#network 172.16.25.2 0.0.0.0 area 20
#C2上配置(配置IP地址过程省略)
CS2(config)#router ospf 1
CS2(config-router)#network 172.16.13.3 0.0.0.0 area 0
CS2(config-router)#network 172.16.23.3 0.0.0.0 area 0
CS2(config-router)#network 172.16.35.3 0.0.0.0 area 20
CS2(config-router)#network 172.16.34.3 0.0.0.0 area 10
#DS1上配置(配置IP地址过程省略)
DS1(config)#router ospf 1
DS1(config-router)#network 172.16.24.4 0.0.0.0 area 10
DS1(config-router)#network 172.16.34.4 0.0.0.0 area 10
DS1(config-router)#redistribute connected subnets
#DS2上配置(配置IP地址过程省略)
DS2(config)#router ospf 1
DS2(config-router)#network 172.16.35.5 0.0.0.0 area 20
DS2(config-router)#network 172.16.25.5 0.0.0.0 area 20
DS2(config-router)#redistribute connected subnets

要求 VLAN10 和 VLAN30 的流量路径是:DS1—>CS1—>R1, 并且当 CS1 出现故障后, 流量路径切换为 DS1—>CS2—>R1,要求VLAN20 和 VLAN40 的流量路径是:DS2—>CS2—>R1, 并且当 CS2 出现故障后, 流 量路径切换为 DS2—>CS1—>R1

#DS1上将e0/0开销改为9
DS1(config)#interface ethernet 0/0 
DS1(config-if)#ip ospf cost 9
#DS2上将e0/0开销改为9
DS1(config)#interface ethernet 0/0 
DS1(config-if)#ip ospf cost 9

在 R1 上创建环回接口 Lo1, 地址为 1.1.1.1/32, 要求全网能与之通信

R1(config)#interface loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.255

试验结束!!!