2023****年全国职业院校技能大赛
网络系统管理赛项
模块A:网络构建
(样题10)
目录
任务描述
CII集团公司业务不断发展壮大,为适应IT行业技术飞速发展,满足公司业务发展需要,集团公司决定建设校本部、产融实训基地与云数据中心的信息化网络。你做为火星公司网络工程师前往CII集团完成网络规划与建设任务。
任务清单
(一)基础配置
1.根据附录1、附录2,配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin。
配置SSH命令:
仅仅开启ssh登录
Enable service ssh-server
No enable service telnet-server
生成加密密钥:
Ruijie(config)#crypto key generate dsa
配置登录信息
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login local
Ruijie(config-line)#Transport input ssh
Ruijie(config-line)#exit
配置账户密码
Ruijie(config)#username admin password admin1234
Ruijie(config)#enable password admin1234
3.交换设备配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息。
snmp-server host 192.1.100.100 traps version 2c Test
snmp-server host 192.1.100.100 traps version 2c public
snmp-server enable traps
snmp-server community Test rw
snmp-server community public ro
(二)有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.交换机S5、S6的Gi0/6-Gi0/20端口上,启用端口保护功能。
VSU:
int r gi1/0/6-20
switchport port-security
!
int r gi2/0/6-20
switchport port-security
3.(1)在连接PC机端口上开启Portfast和BPDUguard防护功能。(2)为防止接入交换机下联端口出现用户私接集线器(Hub),引起办公网中的环路,需要启用RLDP协议进行防环处理。(3)接入交换机的连接终端的接口上检测到环路后,要求处理的方式为Shutdown-Port,实现防环保护。(4)一旦端口检测异常事件并进入Err-Disabled 状态,设置300秒自动恢复机制(基于接口部署策略)。
VSU:
int r gi1/0/6-20
errdisable recovery interval 300
switchport access vlan 10
spanning-tree bpduguard enable
spanning-tree portfast
rldp port loop-detect shutdown-port
switchport port-security
!
int r gi2/0/6-20
errdisable recovery interval 300
switchport access vlan 10
spanning-tree bpduguard enable
spanning-tree portfast
rldp port loop-detect shutdown-port
switchport port-security
4.在交换机S3、S4上配置DHCP中继功能,其中,DHCP服务器搭建在学院的EG1上
EG1:
service dhcp
!
ip dhcp pool Pool_vlan10
network 192.1.10.0 255.255.255.0
default-router 192.1.10.254
!
ip dhcp pool AP
network 192.1.50.0 255.255.255.0
default-router 192.1.50.254
!
ip dhcp pool Wireless
network 192.1.60.0 255.255.255.0
default-router 192.1.60.254
S3:
service dhcp
ip helper-address 10.1.0.5
S4:
service dhcp
ip helper-address 10.1.0.5
(1)配置无线AP的租约为永久;配置无线用户设备的租约设为0.5天。
EG1:
ip dhcp pool AP
lease infinite 永久租约
!
ip dhcp pool Wireless
lease 0 12 0
(2)为了防御局域网中出现伪造DHCP服务器与ARP欺骗安全事件发生,需要在校本部网络中的接入交换机s5、S6上,部署DHCP的“Snooping+DAI”功能。其中,DAI安全功能主要针对VLAN10中用户设备启用ARP防御。
VSU(config)#service dhcp
VSU(config)#ip dhcp snooping
VSU(config)#ip arp inspection vlan 10 对vlan10开启DAI检测功能
VSU(config)#int r gi1/0/24,2/0/24
VSU(config-if-range)#ip dhcp snooping trust
VSU(config-if-range)#ip arp inspection trust 设置信任功能后送CPU的报文不进行检测,但是依然送CPU处理
(3)为了防止校本部中的网关设备连续发送大量、正常报文,被接入交换机误认为是攻击事件而被丢弃,导致下联网络中的用户设备,无法获取网关设备上发出的ARP信息,造成无法上网,要求关闭S5、S6交换机的上联口上的“NFPP的arp-guard”功能。
int r gi1/0/24,2/0/24
no nfpp arp-guard enable
no nfpp icmp-guard enable
no nfpp ip-guard enable
no nfpp dhcp-guard enable
no nfpp dhcpv6-guard enable
no nfpp nd-guard enable
(4)调整校本部中的接入交换机S5、S6设备上的“CPU保护机制”。其中,调整ARP的带宽为1500pps。
Ruijie(config)# cpu-protect type arp bandwitdth 1500
4.1.产融实训基地中DHCP服务器搭建于R2上;云数据中心DHCP服务器搭建于S7交换机上,配置无线AP的租约为永久,无线用户的租约设为1天。
R2
service dhcp
!
ip dhcp pool vlan50
option 138 ip xxx
network 194.1.50.0 255.255.255.0
default-router 194.1.50.254
!
ip dhcp pool vlan60
network 194.1.60.0 255.255.255.0
default-router 194.1.60.254
!
ip dhcp pool vlan70
network 194.1.70.0 255.255.255.0
default-router 194.1.70.254
S7:
service dhcp
!
ip dhcp pool vlan550
option 138 ip 10.3.0.3
network 195.1.50.0 255.255.255.0
default-router 195.1.50.254
!
ip dhcp pool vlan560
network 195.1.60.0 255.255.255.0
default-router 195.1.60.254
VAC:
service dhcp
ip helper-address 10.3.0.2
4.2.在云数据中心DHCP服务器保留“195.1.60.101/24~195.1.60.150/24”这50个IP地址,用作机房运维的静态IP地址,其余地址均正常通过DHCP分配使用。
S7:
ip dhcp excluded-address 195.1.60.101 195.1.60.150
5.在校本部的网络中配置MSTP,要求来自VLAN10、VLAN100中的数据流经过S3交换机转发,一旦S3交换机失效时,经过S4交换机转发。要求来自VLAN50、VLAN60中的数据流经过S4交换机转发,一旦S4交换机失效时,经过S3交换机转发。其中,配置MSTP参数如下所示:region-name为test;revision版本为1;实例1包含VLAN10,VLAN100;实例2包含VLAN50,VLAN60.配置校本部网络中的S3交换机作为实例1的主根、实例2的从根;配置S4交换机作为实例2的主根、实例1的从根。其中,主根交换机的优先级为4096;从根交换机的优先级为8192。
S3:
spanning-tree mst configuration
revision 1
name test
instance 0 vlan 1-9, 11-49, 51-59, 61-99, 101-4094
instance 1 vlan 10, 100
instance 2 vlan 50, 60
!
spanning-tree mst 1 priority 4096
spanning-tree mst 2 priority 8192
S4:
spanning-tree mst configuration
revision 1
name test
instance 0 vlan 1-9, 11-49, 51-59, 61-99, 101-4094
instance 1 vlan 10, 100
instance 2 vlan 50, 60
!
spanning-tree mst 1 priority 8192
spanning-tree mst 2 priority 4096
VSU:
spanning-tree mst configuration
revision 1
name test
instance 0 vlan 1-9, 11-49, 51-59, 61-99, 101-4094
instance 1 vlan 10, 100
instance 2 vlan 50, 60
(1)在校本部网络中汇聚交换机S3和S4上配置VRRP,实现网络中的主机的网关冗余,所配置的参数要求如表4所示。其中,在交换机S3、S4上设置各VRRP组中的高优先级设置为150,低优先级设置为120
S3:
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 priority 150
int vlan 50
vrrp 50 ip 192.1.50.254
vrrp 50 priority 120
int vlan 60
vrrp 60 ip 192.1.60.254
vrrp 60 priority 120
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 priority 150
S4:
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 priority 120
int vlan 50
vrrp 50 ip 192.1.50.254
vrrp 50 priority 150
int vlan 60
vrrp 60 ip 192.1.60.254
vrrp 60 priority 150
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 priority 120
(2)为提升校本部网络的冗余功能,在汇聚交换机S3与S4之间部署2条互联链路(Gi0/21、Gi0/22),并采取LACP动态聚合模式配置二层链路聚合。其它接口根据网络互联需要,进行静态链路聚合配置,生成聚合接口AG1
S3:
interface AggregatePort 1
switchport mode trunk
switchport trunk native vlan 100
switchport trunk allowed vlan only 10,50,60,100
!
interface GigabitEthernet 0/21
port-group 1 mode active
!
interface GigabitEthernet 0/22
port-group 1 mode active
S4:
interface AggregatePort 1
switchport mode trunk
switchport trunk native vlan 100
switchport trunk allowed vlan only 10,50,60,100
!
interface GigabitEthernet 0/21
port-group 1 mode active
!
interface GigabitEthernet 0/22
port-group 1 mode active
表1:交换机S3和S4上的VRRP参数表
| VLAN | VRRP****备份组号(VRID) | VRRP****虚拟IP |
|---|---|---|
| VLAN10 | 10 | 192.1.10.254 |
| VLAN50 | 50 | 192.1.50.254 |
| VLAN60 | 60 | 192.1.60.254 |
| VLAN100 | 100 | 192.1.100.254 |
7.为增加网络的稳健性,校本部网络中两台接入交换机,通过网络设备虚拟化技术,配置成一台虚拟网络设备进行集中管理,实现网络的高可靠性。当网络中的任意一台交换机出现故障,都能够实现设备、链路切换,保证业务不中断。
(1)部署校本部网络中两台接入交换机S5和S6之间的Te0/27-28端口作为VSL链路,使用网络设备虚拟化实现接入层网络的虚拟化。其中:配置S5交换机为主交换机:配置S6交换机为备用交换机。
(2)两台接入交换机S5和S6之间Gi0/23端口作为双主机检测链路,配置基于BFD双主机检测。当VSL链路中所有物理链路都异常断开时,备用交换机切换成主机,保障网络正常运营。其中,需要配置主交换机参数信息为: Domain id:1; Switch id: 1;priority 150 ; description:Access-Switch-Virtual-Switch1.需要配置备交换机设备参数信息为: Domain id: 1; Switch id:2; priority 120;description:Access-Switch-Virtual-Switch2。
S5:
Swithch virtual domain 1
switch 1
Switch 1 priority 200
Switch 1 description xxx
Exit
Vsl-port
port-member interface xxx
port-member interface xxx
exit
S6:
Swithch virtual domain 1
switch 2
Switch 2 priority 150
Switch2 description xxx
Exit
Vsl-port
port-member interface xxx
port-member interface xxx
exit
S6:
Write
switch convert mode virtual
S7:
Write
switch convert mode virtual
VSU
int r gi1/0/23,2/0/23
no sw
switch virtual domain 1
dual-active detection bfd
dual-active bfd interface GigabitEthernet 1/0/23
dual-active bfd interface GigabitEthernet 2/0/23
8.在校本部的网络中使用多区域OSPF协议组网(OSPF 100)。
9.配置两台核心交换机(S1、S2)的Loopback 0口以及之间互相连接的心跳线(Gi0/45和Gi0/46的三层聚合口),都在区域0中发布路由。
10.配置校本部网络中的出口区域(S1、S2、EG1、R1)接口,都在区域10中发布路由。
11.配置校本部网络中的核心网络(S1、S2、S3、S4)中接口 ,都在区域20中发布路由。
12.要求业务网段(VLAN 10、VLAN 50、VLAN 60、VLAN100)中不,出现协议报文。
13.要求校本部网络中S3、S4交换机上的始发网段,以及各台网络设备(S1、S2、S3、S4、EG1、R1)上配置的Loopback管理地址,均使用network发布明细路由。
13.1.校本部网络中的S1和S2交换机之间,启用OSPF与 BFD联动,一旦监控到对端设备中断,能快速地切换到其他备份线路,提高用户网络体验。
S1:
router ospf 100
router-id 10.1.0.1
graceful-restart
network 10.1.0.1 0.0.0.0 area 0
network 10.1.1.0 0.0.0.3 area 20
network 10.1.1.4 0.0.0.3 area 20
network 10.1.1.248 0.0.0.3 area 10
network 10.1.1.252 0.0.0.3 area 0
》优化全网的OSPF 配置,尽量加快OSPF路由收敛。
》外部重发布路由进入OSPF路由中,使用类型1。
14.使用静态路由实现产融实训基地、云数据中心区域之间的网络通信,实现和校本部网络的连通。
R2:
ip route 0.0.0.0 0.0.0.0 101.2.1.1
R3:
ip route 0.0.0.0 0.0.0.0 101.3.1.1
ip route 10.3.0.3 255.255.255.255 10.3.1.254
ip route 195.1.0.0 255.255.0.0 10.3.1.254
S7:
ip route 0.0.0.0 0.0.0.0 10.3.1.253
ip route 10.3.0.3 255.255.255.255 195.1.100.1
VAC:
ip route 0.0.0.0 0.0.0.0 195.1.100.254
做完直接做ipsec
15.实现校本部网络中的有线用户,在访问互联网流量路径为:VSU-S3-S1-EG1。
S3:
int vlan 10
ip ospf cost 5
int vlan 50
ip ospf cost 10
int vlan 60
ip ospf cost 10
int vlan 100
ip ospf cost 5
16.实现校本部网络中的无线用户,访问互联网的流量路径为:VSU-S4-S2-EG1。
17.实现校本部有线网络中的用户,访问学校的云数据中心和产融实训基地的流量路径为:VSU-(S3/S4)-S2-R1。
18.通过策略部署,熟悉主链路或S1/S2、S3/S4等主设备故障时,可无缝切换到备用链路或备用设备上。
19.配置策略路由时,各路由图以及各接口中凡涉及COST值的调整,需要配置 COST值必须为5或10。
(1)在校本部的网络部署IPv6业务,实现学校内网中的IPv6终端设备可自动从网关设备上获取IPv6地址。
(2)在校本部汇聚交换机S3、S4上配置VRRP for IPv6路由技术,在校本部网络中的主机上实现IPv6网关冗余。其中,VRRP for IPv6冗余路由、MSTP的主备状态均需与IPV4 网络中配置的相关信息保持一致。
(3〉在校本部的网络中部署IPv6业务。其中,IPV6地址规划如表5所示
(4)在校本部网络中的网络设备S1、s2、s3、S4、R1之间,部署多区域的OSPFv3路由,需要配置进程为100,保障OSPFv3路由区域划分与IPV4网络中配置的OSPFv2路由保持一致。
略
(5)在云数据中心网络中(R3、S7、VAC)部署IPV6静态路由协议,实现云数据中心网络中所有IPV6终端之间互联互通。
(6)在校本部网络的出口路由器R1和云数据中心网络的出口R3之间,部署IPV6 GRE隧道技术,隧道内部配置静态路由协议,实现学院全网的IPV6终端之间的互联互通。
(三)无线网络配置
CII集团公司拟投入13.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划)。
2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。
3.根据表2无线产品价格表,制定该无线网络工程项目设备的预算表。
表2 无线产品价格表
| 产品型号 | 产品特征 | 传输速率 (2.4G/最大) | 推荐/最大带点数 | 功率 | 价格(元) |
|---|---|---|---|---|---|
| AP1 | 双频双流 | 300M/1.167G | 32/256 | 100mw | 6000 |
| AP2 | 双频双流 | 300M/600M | 32/256 | 100mw | 11000 |
| AP3 | 单频单流 | 150M | 12/32 | 60mw | 2500 |
| 线缆1 | 10米馈线 | N/A | N/A | N/A | 1600 |
| 线缆2 | 15米馈线 | N/A | N/A | N/A | 2400 |
| 天线 | 双频单流/单频单流 | N/A | N/A | N/A | 500 |
| Switch | 24口POE交换机 | N/A | N/A | 240w | 15000 |
| AC | 无线控制器 | 6*1000M | 32/200 | 40w | 50000 |
\4. 在校本部的网络中部署无线网络,无线网络架构采用FIT AP架构。校本部的网络中所有AP(AP1)都需要关联到云数据中心网络中的VAC设备上。
fit 瘦模式
\5. 在校本部的网络中,配置出口网关EG1作为无线网络中用户(VLAN 60)和无线FIT AP(VLAN 50)的DHCP服务器。
略
\6. 在校本部网络中创建内网SSID为:Admin_XBB_XX(备注:XX现场提供);WLANID为1;AP-GROUP为Admin_XBB。其中,校本部内网中的无线用户关联SSID后,即可自动获取VLAN60地址提供的地址。
\7. 在产融实训基地中部署的无线网络架构,采用FIT AP+AC的方案。该区域内所有AP(AP2)都需要关联到云数据中心的VAC设备上。
\8. 在产融实训基地网络中,使用R2路由器作为DHCP服务器,为无线网络中的用户(VLAN 60、VLAN 70)和无线FIT AP(VLAN 50)分配地址。
略
\9. 在产融实训基地中配置双SSID广播。其中,创建学员的SSID为Admin_CR_XY_XX(备注:XX现场提供);WLANID为2;AP-GROUP为Admin_CR;配置内网中无线用户在关联SSID后,可自动获取VLAN60地址。创建教练的SSID为Admin_CR_JL_XX(备注:XX现场提供);WLANID为3;AP-GROUP为Admin_CR,配置内网中无线用户关联SSID后,可自动获取VLAN70地址。
VAC(config)#show ap-c run
Building configuration...
Current configuration: 159 bytes
!
ap-config 300d.9e86.0070
ap-mac 300d.9e86.0070
ap-group Admin_XBB
!
ap-config 300d.9e86.011e
ap-mac 300d.9e86.011e
ap-group Admin_CR
更改AP名称
VAC(config)#ap-config 300d.9e86.0070
You are going to config AP(300d.9e86.0070), which is online now.
VAC(config-ap)#ap-n
VAC(config-ap)#ap-name AP1
\10. 在云数据中心的展示区中部署无线网络,采用FIT AP架构,区域内所有AP(AP3)都关联到云数据中心的VAC设备上。
略
\11. 在云数据中心的展示区中,配置S7交换机作为DHCP服务器,为本网中的无线网络内部用户(VLAN 560)和无线FIT AP(VLAN 550)分配地址。
略
\12. 在云数据中心的展示区的内网中配置SSID。其中,Admin_YSJZX_XX(备注:XX现场提供);WLANID为4;AP-GROUP为Admin_YSJZX。配置内网无线用户关联SSID后,可自动获取VLAN560地址。
略
\13. 在云数据中心的展示区的无线网络中部署AC冗余,实现无线备份。两台AC使用网络设备虚拟化技术实现VAC技术,完成虚拟AC配置。
\14. 配置AC1和AC2设备的Gi0/1和Gi0/2端口作为VSL链路。其中:配置AC1为主控设备;AC2为备用设备。配置主设备参数为:Domain id:1;device id:1;priority 150; description: AC-1。配置备设备基本参数为:Domain id:1;device id:2;priority 120; description: AC-2。
AC1:
virtual-ac domain 1
device 1
device 1 pri 150
!
vac-port
port int gi0/1
port int gi0/2
dev con mo vi
AC2:
AC1:
virtual-ac domain 1
device 2
device 2 pri 120
!
vac-port
port int gi0/1
port int gi0/2
dev con mo vi
virtual-ac domain 1
device 1 desc AC-1
device 2 desc AC-2
\15. 配置AC1和AC2设备的Gi0/3端口的互连链路作为BFD链路。
VAC#show ac-config client
========= show sta status =========
AP : ap name/radio id
Status: Speed/Power Save/Work Mode/Roaming State/MU MIMO, E = enable power save, D = disable power save
Total Sta Num : 1
STA MAC IPV4 Address AP Wlan Vlan Status Asso Auth Net Auth Up time
-------------- --------------- ---------------------------------------- ---- ---- ------------------ --------------- --------------- ------------
60c2.0087.3672 AP1/1 1 60 6.0M/D/bgn WPA2_PSK OPEN 0:00:00:14
VAC#*Nov 24 17:12:17: %APMG-6-STA_ADD: Client(6454.642f.147e) notify: attach to AP (AP2).
*Nov 24 17:12:19: %APMG-6-STA_DEL: Client(60c2.0087.3672) notify: leave AP (AP1).
show ac-config client
========= show sta status =========
AP : ap name/radio id
Status: Speed/Power Save/Work Mode/Roaming State/MU MIMO, E = enable power save, D = disable power save
Total Sta Num : 1
STA MAC IPV4 Address AP Wlan Vlan Status Asso Auth Net Auth Up time
-------------- --------------- ---------------------------------------- ---- ---- ------------------ --------------- --------------- ------------
6454.642f.147e AP2/2 2 60 6.0M/D/ac WPA2_PSK OPEN 0:00:00:35
VAC#*Nov 24 17:13:02: %APMG-6-STA_ADD: Client(4c71.e14e.45bd) notify: attach to AP (AP2).
*Nov 24 17:13:04: %APMG-6-STA_DEL: Client(6454.642f.147e) notify: leave AP (AP2).
VAC#show ac-config client
========= show sta status =========
AP : ap name/radio id
Status: Speed/Power Save/Work Mode/Roaming State/MU MIMO, E = enable power save, D = disable power save
Total Sta Num : 1
STA MAC IPV4 Address AP Wlan Vlan Status Asso Auth Net Auth Up time
-------------- --------------- ---------------------------------------- ---- ---- ------------------ --------------- --------------- ------------
4c71.e14e.45bd AP2/2 3 70 6.0M/D/ac WPA2_PSK OPEN 0:00:00:11
\16. 校本部网络中的AP1设备与虚拟网络设备VAC之间,通过出口路由器R1和R3之间的VPN隧道,配置Capwap隧道建立通信连接。
\17. 产教融合实训基地中的无线AP2设备与虚拟网络设备VAC之间,通过VAC的互联网映射地址,配置Capwap隧道建立通信连接。
\18. 产融实训基地与云数据中心的无线用户在接入无线网络时,采用WPA2加密方式。其中,配置加密算法为AES,身份认证方式为预共享密钥,秘钥为XX。
(四)出口网络配置
1.在校本部网络中出口网关EG1上,配置NAT地址映射,实现校本部网络中的用户通过NAPT方式,将内网IP地址映射到本地互联网接口上。其中,NAT地址池中映射的地址为:100.1.1.3/29-100.1.1.4/29。
ip access-list extended 110
100 permit ip any any
!
ip nat pool nat_pool 100.1.1.3 100.1.1.4 netmask 255.255.255.248
!
ip nat inside source list 110 pool nat_pool overload
!
int gi0/0
ip nat in
int gi0/1
ip nat in
int gi0/4
ip nat ou
2.在校本部网络中的出口路由器R1上,配置NAT地址映射,实现校本部的网络中的用户,在访问产融实训基地和云数据中心网络中的数据时,通过NAPT端口地址映射方式,将内网IP地址转换到互联网接口上。其中,配置的NAT地址池的映射地址为:101.1.1.3/29-101.1.1.4/29。
3.在产融实训基地的出口路由器R2上,配置NAT地址映射,实现基地内部的用户访问互联网时,通过NAPT方式将内网IP地址转换到互联网接口上。其中,NAT地址池的地址与出口路由器的R2设备的出接口地址相同。
4.在云数据中心出口路由器R3上,配置NAT地址映射,实现内部用户在访问互联网时,通过NAPT方式将内网IP地址转换到互联网接口上。其中,NAT地址池的映射地址为:101.3.1.3/29 ~ 101.3.1.4/29。
5.在云数据中心的出口路由器R3上,配置NAPT端口映射,使网络中的一台HTTP服务器(195.1.100.254/24)上的HTTP服务(TCP 80),可以通过互联网被访问到,将其地址映射至运营商线路上,映射地址为101.3.1.5,映射端口58888。
ip nat inside source static tcp 195.1.100.254 80 101.3.1.5 58888
6.在云数据中心网络的出口路由器R3上,配置IP映射,将VAC设备的loopback接口地址映射至101.3.1.6。
7.在R1、R2和R3的出口路由器之间,启用IPSec VPN功能。其中:配置IPSec安全防范使用动态隧道模式,esp传输模式封装协议,isakmp策略定义加密算法采用3des;散列算法采用md5;预共享密码为admin;DH使用组2。配置转换集myset;定义加密验证方式为esp-3des esp-md5-hmac;感兴趣流ACL编号为103;加密图定义为mymap。
附录1:拓扑图
附录2:地址规划表
| 设备 | 接口或VLAN | VLAN名称 | 二层或三层规划 | 说明 |
|---|---|---|---|---|
| S1 | Gi0/1 | \ | 10.1.1.1/30 | 互联地址 |
| Gi0/2 | \ | 10.1.1.5/30 | 互联地址 | |
| AG1(Gi0/45-Gi0/46) | \ | 10.1.1.253/30 | 互联地址 | |
| Gi0/48 | \ | 10.1.1.250/30 | 互联地址 | |
| Loopback 0 | \ | 10.1.0.1/32 | —— | |
| S2 | Gi0/1 | \ | 10.1.1.9/30 | 互联地址 |
| Gi0/2 | \ | 10.1.1.13/30 | 互联地址 | |
| AG1(Gi0/45-Gi0/46) | \ | 10.1.1.254/30 | 互联地址 | |
| Gi0/47 | \ | 10.1.1.245/30 | 互联地址 | |
| Gi0/48 | \ | 10.1.1.242/30 | 互联地址 | |
| Loopback 0 | \ | 10.1.0.2/32 | —— | |
| S3 | VLAN 10 | Wire | 192.1.10.252/24 | 有线用户地址 |
| VLAN 50 | APManage_YWQ | 192.1.50.252/24 | 校本部AP管理地址 | |
| VLAN 60 | Wireless | 192.1.60.252/24 | 无线用户地址 | |
| VLAN 100 | Manage | 192.1.100.252/24 | 设备管理地址 | |
| Gi0/23 | \ | 10.1.1.2/30 | 互联地址 | |
| Gi0/24 | \ | 10.1.1.10/30 | 互联地址 | |
| Loopback 0 | \ | 10.1.0.3/32 | —— | |
| S4 | VLAN 10 | Wire | 192.1.10.253/24 | 有线用户地址 |
| VLAN 50 | APManage_YWQ | 192.1.50.253/24 | 校本部AP管理地址 | |
| VLAN 60 | Wireless | 192.1.60.253/24 | 无线用户地址 | |
| VLAN 100 | Manage | 192.1.100.253/24 | 设备管理地址 | |
| Gi0/23 | \ | 10.1.1.6/30 | 互联地址 | |
| Gi0/24 | \ | 10.1.1.14/30 | 互联地址 | |
| Loopback 0 | \ | 10.1.0.4/32 | —— | |
| VSU(S5-S6) | VLAN 10 | Wire | Gi1/0/6至 Gi1/0/20, Gi2/0/6至 Gi2/0/20 | 有线用户地址 |
| VLAN 50 | APManage_YWQ | Gi1/0/1至 Gi1/0/5, Gi2/0/1至 Gi2/0/5 | 校本部AP管理地址 | |
| VLAN 100 | Manage | 192.1.100.1/24 | 设备管理地址 | |
| EG1 | Gi0/0 | \ | 10.1.1.249/30 | 互联地址 |
| Gi0/1 | \ | 10.1.1.246/30 | 互联地址 | |
| Gi0/4 | \ | 100.1.1.2/29 | 联通出口地址 | |
| Loopback 0 | \ | 10.1.0.5/32 | —— | |
| R1 | Gi0/0 | \ | 10.1.1.241/30 | 互联地址 |
| Gi0/1 | \ | 101.1.1.2/29 | 电信出口地址 | |
| Loopback 0 | \ | 10.1.0.6/32 | —— | |
| EG2 | Gi0/0 | \ | 100.1.1.1/29 | ISP联通地址 |
| Gi0/1 | \ | 101.1.1.1/29 | ISP电信地址 | |
| Gi0/2 | \ | 101.2.1.1/29 | ISP电信地址 | |
| Gi0/3 | \ | 101.3.1.1/29 | ISP电信地址 | |
| R2 | Gi0/0 | \ | 194.1.50.254/24 | 产融基地AP管理地址 |
| Gi0/0.60 | \ | 194.1.60.254/24 | 产融基地无线学员地址 | |
| Gi0/0.70 | \ | 194.1.70.254/24 | 产融基地无线教练地址 | |
| Gi0/1 | \ | 101.2.1.2/29 | 电信出口地址 | |
| Loopback 0 | \ | 10.2.0.1/32 | —— | |
| R3 | Gi0/0 | \ | 10.3.1.253/30 | 互联地址 |
| Gi0/1 | \ | 101.3.1.2/29 | 电信出口地址 | |
| Loopback 0 | \ | 10.3.0.1/32 | —— | |
| S7 | VLAN 550 | APManage_YWQ | 195.1.50.254/24 | 云中心AP管理地址 |
| VLAN 560 | Wireless | 195.1.60.254/24 | 云中心无线用户地址 | |
| VLAN 100 | Manage | 195.1.100.254/24 | 云中心设备管理地址 | |
| Gi0/24 | \ | 10.3.1.254/30 | 互联地址 | |
| Loopback 0 | \ | 10.3.0.2/32 | —— | |
| VAC | VLAN 100 | Manage | 195.1.100.1/24 | 设备管理地址 |
| Loopback 0 | \ | 10.3.0.3/32 | —— |
| —— | |
| S7 | VLAN 550 | APManage_YWQ | 195.1.50.254/24 | 云中心AP管理地址 |
| VLAN 560 | Wireless | 195.1.60.254/24 | 云中心无线用户地址 | |
| VLAN 100 | Manage | 195.1.100.254/24 | 云中心设备管理地址 | |
| Gi0/24 | \ | 10.3.1.254/30 | 互联地址 | |
| Loopback 0 | \ | 10.3.0.2/32 | —— | |
| VAC | VLAN 100 | Manage | 195.1.100.1/24 | 设备管理地址 |
| Loopback 0 | \ | 10.3.0.3/32 | —— | |