实验目的:

1、掌握大中型园区网络的部署。


实验拓扑:  

项目案例实验三_4s


实验要求:

一、 安全管理

  1. 依据图中拓扑,为全网设备定义主机名、关闭域名解析、并在 Console 和VTY 线路下关闭线路超时并开启输出同步。
  2. 为实现安全远程登录,要求在设备 CS1 上创建本地用户名bdqn,密码benet,并只允许3个管理员同时远程登录 ,其中管理员地址分别为192.168.10.1~192.168.10.3;要求只运行SSH协议进行登录,并且关闭其他虚拟终端线路。
  3. 在设备CS1设置banner,要求当远程登录时可以看到“THIS IS BENETLAB Lab*CS1”
  4. 在 CS2 上关闭 HTTP 服务,开启HTTPS服务并调用本地认证
  5. 在 R1 的 E0/0 上关闭 CDP 服务 6. 汇聚和接入交换机的管理 vlan 为 vlan1, 所在网段为 192.168.1.0/24, 其中DS1 的管理IP为192.168.1.1/24, DS2 为 192.168.1.2/24, DS3 为192.168.1.3/24, DS4 为    192.168.1.4/24 。 要求二层交换机可以远程管理。


二、 交换技术

1、 Trunk 技术
  • DS1、DS2、AS1交换机之间强制启用Trunk并关闭DTP协商,并采用802.1Q进行封装。
  • AS2 和其他交换机之间采用 DTP 协议协商 Trunk, AS2 端为 Auto 模式, 其他交换机为 Desirable 模式。
  • 所有交换机要求 Trunk 上只允许 VLAN1、 10、 20、 30、 40 通过
2、VTP&VLAN 技术
  • 总部 DS1 和 DS2 均为 Server, 其他交换机为 Client。
  • 总部 VTP 管理域为 bdqn, 密码为 benet。
  • 总部全局开启 VTP 修剪
  • 在 DS1 上创建 VLAN10/20/30/40, 并要求全局同步。
  • 将不同用户接口放入相应的 VLAN 中。
3、 STP 技术
  • 部署 MSTP, 全局 MSTP 域为 PL, 修订号为 1, 并创建两个实例, 其中实例1 映射 10 和 30, 实例 2 映射 20 和 40;
  • 要求 DS1 为实例 1 的主根, 实例 2 的备根; DS2 为实例 1 的备根, 实例 2 的主根
  • 在接入层交换机上开启 BPDU 防护, 当违反规则时, 要求 30S 后恢复
4、 HSRP 技术

部署 HSRP 技术, 要求 DS1 作为 VLAN10/30 的主网关, VLAN20/40 的备网关, DS2 作为 VLAN20/40 的主网关, VLAN10/30 的备网关 ,其中网关地址如下:

  • VLAN10, 主 192.168.10.252/24, 备 192.168.10.253/24, 虚 192.168.10.254/24
  • VLAN20, 主 192.168.20.252/24, 备 192.168.20.253/24, 虚 192.168.20.254/24
  • VLAN30, 主 192.168.30.252/24, 备 192.168.30.253/24, 虚 192.168.20.254/24
  • VLAN40, 主 192.168.40.252/24, 备 192.168.40.253/24, 虚 192.168.20.254/24
5、 DHCP Relay 技术
  • 在 R1 上同时部署 DHCP 服务, 方便不同 VLAN 的主机接入网络,其中主DNS 为 8.8.8.8, 备用 DNS 为 114.114.114.114。
  • 在 DS1 和 DS2 上部署 DHCP 中继技术。
6、 Etherchannel 技术
  • 为实现链路冗余并提供网络带宽, 要求在汇聚层交换机之间部署 L2 Etherchannel 技术, 在核心交换机之间部署 L3 Etherchannel
7、 Port-Security 技术
  • 为实现用户接入安全,要求在所有用户接入接口启用端口安全技术。
  • 开启地址学习,并定义最大 MAC 数为 1。
  • 定义用户违反规则为 shutdown 模式,并要求在 30s 后自动恢复。
8、 DHCP Snooping 技术
  • 在 AS1 上部署 DHCP 侦听技术, 防止 DHCP 欺骗。


三、 路由技术    

  • 在全网所有三层设备部署动态路由协议 OSPF, 其中 R1、 CS1、 CS2 通告到骨干区域中, CS1、 CS2、 DS1 通告到区域 10 中, CS1、 CS2、 DS2 通告到区域20 中。
  • 要求 VLAN10 和 VLAN30 的流量路径是: DS1—>CS1—>R1, 并且当 CS1 出现故障后, 流量路径切换为 DS1—>CS2—>R1
  • 要求 VLAN20 和 VLAN40 的流量路径是: DS2—>CS2—>R1, 并且当 CS2 出现故障后, 流量路径切换为 DS2—>CS1—>R1
  • 在 R1 上创建环回接口 Lo1, 地址为 1.1.1.1/32, 要求全网能与之通信


实验配置:

(部分代码注释参见上篇博客)

安全管理:

config terminal
no ip domain-lookup
line con 0
logging synchronous
exec-timeout 0 0
exit
line vty 0 4
logging synchronous
exec-timeout 0 0
exit

以上代码设备通用

CS1:
username bdqn privilege 15 password benet
access-list 1 permit host 192.168.10.1
access-list 1 permit host 192.168.10.2
access-list 1 permit host 192.168.10.3
line vty 0 2
login local
access-class 1 in
transport input all  //允许全管理
transport output all
exit
line vty 3 4
transport input none  //禁止远程登录
transport output none
exit
banner login#THIS IS BENETLAB#
CS2:
no ip http server  //关闭http
ip http secure-server  /调用本地认证
R1:
no cdp run
DS1:
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
DS2:
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
AS1:
interface vlan 1
ip address 192.168.1.3 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 192.168.1.1
AS2:
interface vlan 1
ip address 192.168.1.4 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 192.168.1.2


交换技术:

Trunk技术:
DS1:
interface range e0/2 - 3
channel-group 1 mode on
exit
interface port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,10,20,30,40
exit
DS2:
interface range e0/2 - 3
channel-group 1 mode on
exit
interface port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,10,20,30,40
exit
VTP技术:
DS1:
vlan 10,20,30,40
vtp domain bdqn
vtp mode server
vtp password benet
vtp pruning
DS2:
vlan 10,20,30,40
vtp domain bdqn
vtp mode server
vtp password benet
vtp pruning
AS1:
vtp domain bdqn
vtp mode client
vtp password benet
AS2:
vtp domain bdqn
vtp mode client
vtp password benet
STP技术:
DS1:
spanning-tree mode mst
spanning-tree mst configuration
revision 1
name bdqn
instance 1 vlan 10,30
instance 2 vlan 20,40
exit
spanning-tree mst 1 root primary
spanning-tree mst 2 root secondary
DS2:
spanning-tree mode mst
spanning-tree mst configuration
revision 1
name bdqn
instance 1 vlan 10,30
instance 2 vlan 20,40
exit
spanning-tree mst 1 root secondary
spanning-tree mst 2 root primary
AS1:
spanning-tree mode mst
spanning-tree mst configuration
revision 1
name bdqn
instance 1 vlan 10,30
instance 2 vlan 20,40
exit
AS2:
spanning-tree mode mst
spanning-tree mst configuration
revision 1
name bdqn
instance 1 vlan 10,30
instance 2 vlan 20,40
exit
BPDU防护:

AS1,AS2:

interface range e0/2 - 3
spanning-tree bpduguard enable
exit
errdisable recovery cause bpduguard
errdisable recovery interval 30
HSRP技术:
DS1:
interface vlan 10
ip address 192.168.10.252 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 120
standby 10 preempt
no shutdown
interface vlan 20
ip address 192.168.20.252 255.255.255.0
standby 20 ip 192.168.20.254
standby 20 priority 110
standby 20 preempt
no shutdown
interface vlan 30
ip address 192.168.30.252 255.255.255.0
standby 30 ip 192.168.30.254
standby 30 priority 120
standby 30 preempt
no shutdown
interface vlan 40
ip address 192.168.40.252 255.255.255.0
standby 40 ip 192.168.40.254
standby 40 priority 110
standby 40 preempt
no shutdown
exit
DS2:
interface vlan 10
ip address 192.168.10.253 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 110
standby 10 preempt
no shutdown
interface vlan 20
ip address 192.168.20.253 255.255.255.0
standby 20 ip 192.168.20.254
standby 20 priority 120
standby 20 preempt
no shutdown
interface vlan 30
ip address 192.168.30.253 255.255.255.0
standby 30 ip 192.168.30.254
standby 30 priority 110
standby 30 preempt
no shutdown
interface vlan 40
ip address 192.168.40.253 255.255.255.0
standby 40 ip 192.168.40.254
standby 40 priority 120
standby 40 preempt
no shutdown
exit


DHCP技术:
R1:
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 202.96.128.86 119.29.29.29
exit
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
dns-server 202.96.128.86 119.29.29.29
exit
ip dhcp pool vlan30
network 192.168.30.0 255.255.255.0
default-router 192.168.30.254
dns-server 202.96.128.86 119.29.29.29
exit
ip dhcp pool vlan40
network 192.168.40.0 255.255.255.0
default-router 192.168.40.254
dns-server 202.96.128.86 119.29.29.29
exit
CS1:
interface vlan 10
ip helper-address 1.1.1.1
exit
interface vlan 20
ip helper-address 1.1.1.1
exit
interface vlan 30
ip helper-address 1.1.1.1
exit
interface vlan 40
ip helper-address 1.1.1.1
exit
CS2:
interface vlan 10
ip helper-address 1.1.1.1
exit
interface vlan 20
ip helper-address 1.1.1.1
exit
interface vlan 30
ip helper-address 1.1.1.1
exit
interface vlan 40
ip helper-address 1.1.1.1
exit


链路聚合:
CS1:
interface range e0/1 - 2
no switchport
channel-group 1 mode on
no shutdown
exit
interface port-channel 1
no switchport
ip address 172.16.23.2 255.255.255.0
no shutdown
exit
CS2:
interface range e0/1 -2
no switchport
channel-group 1 mode on
no shutdown
exit
interface port-channel 1
no switchport
ip address 172.16.23.3 255.255.255.0
no shutdown
exit


Port-Security技术:
AS1,AS2:
interface range e0/2 - 3
switchport port-security
switchport port-security mac-address sticky
switchport port-security maximum 2
switchport port-security violation shutdown
exit
errdisable recovery cause psecure-violation
errdisable recovery interval 30


DHCP Snooping技术:
AS1:
ip dhcp snooping
ip dhcp snooping vlan 10 20  //DHCP侦听
interface range e0/0 -1
ip dhcp snooping trust
exit
AS2:
ip dhcp snooping
ip dhcp snooping vlan 30 40
interface range e0/0 - 1
ip dhcp snooping trust
exit


路由技术:

R1:
interface e0/0
ip address 172.16.12.1 255.255.255.0
no shutdown
interface e0/1
ip address 172.16.13.1 255.255.255.0
no shutdown
interface loopback 0
ip address 1.1.1.1 255.255.255.255
no shutdown
router ospf 1
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 172.16.12.0 0.0.0.255 area 0
network 172.16.13.0 0.0.0.255 area 0
redistribute connected subnets
exit
CS1:
interface e0/0
no switchport
ip address 172.16.12.2 255.255.255.0
no shutdown
interface e0/3
no switchport
ip address 172.16.24.1 255.255.255.0
no shutdown
interface e1/0
no switchport
ip address 172.16.25.1 255.255.255.0
no shutdown
interface loopback 0
ip address 2.2.2.2 255.255.255.255
no shutdown
exit
router ospf 1
router-id 2.2.2.2
network 2.2.2.2 0.0.0.0 area 0
network 172.16.12.0 0.0.0.255 area 0
network 172.16.23.0 0.0.0.255 area 0
network 172.16.24.0 0.0.0.255 area 1
network 172.16.25.0 0.0.0.255 area 2
exit
CS2:
interface e0/0
no switchport
ip address 172.16.13.2 255.255.255.0
no shutdown
interface e1/0
no switchport
ip address 172.16.34.1 255.255.255.0
no shutdown
interface e0/3
no switchport
ip address 172.16.35.1 255.255.255.0
no shutdown
interface loop 0
ip address 3.3.3.3 255.255.255.255
no shutdown
exit
router ospf 1
router-id 3.3.3.3
network 3.3.3.3 0.0.0.0 area 0
network 172.16.13.0 0.0.0.255 area 0
network 172.16.23.0 0.0.0.255 area 0
network 172.16.34.0 0.0.0.255 area 1
network 172.16.35.0 0.0.0.255 area 2
exit
DS1:
interface e0/0
no switchport
ip address 172.16.24.2 255.255.255.0
no shutdown
interface e0/1
no switchport 
ip address 172.16.34.2 255.255.255.0
no shutdown
interface loop 0
ip address 4.4.4.4 255.255.255.255
no shutdown
exit
router ospf 1
router-id 4.4.4.4
network 4.4.4.4 0.0.0.0 area 1
network 172.16.24.0 0.0.0.255 area 1
network 172.16.34.0 0.0.0.255 area 1
redistribute connected subnets
exit
DS2:
interface e0/0
no switchport
ip address 172.16.35.2 255.255.255.0
no shutdown
interface e0/1
no switchport
ip address 172.16.25.2 255.255.255.0
no shutdown
interface loop 0
ip address 5.5.5.5 255.255.255.255
no shutdown
exit
router ospf 1
router-id 5.5.5.5
network 5.5.5.5 0.0.0.0 area 2
network 172.16.25.0 0.0.0.255 area 2
network 172.16.35.0 0.0.0.255 area 2
redistribute connected subnets
配置流量路径:
DS1,DS2:
interface e0/0
ip ospf cost 9
exit


测试联通性:

项目案例实验三_4s_02