首页 > 其他分享 >网络建设与运维配置部分答案

网络建设与运维配置部分答案

时间:2024-10-31 18:48:34浏览次数:8  
标签:运维 0.0 网络 答案 10.10 SW1 router SW2 config

SW3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令,模拟接口 UP,方便后续业务验证与测试

SW3(config)#int e1/0/5

SW3(config-if-ethernet1/0/5)#loopback

  1. SW1、SW2、SW3 启用 MSTP,实现网络二层负载均衡和冗余备份,创建实例

Instance10 和 Instance20,名称为 SKILLS,修订版本为 1,其中 Instance10 关

联 vlan60 和 vlan70,Instance20 关联 vlan80 和 vlan90。

SW1(config)#spanning-tree mode mstp

SW1(config)#spanning-tree mst configuration

SW1(config-mstp-region)#name SKILLS 命名

SW1(config-mstp-region)#revision-level 1 修订版本为1

SW1(config-mstp-region)#instance 10 vln 60;70 创建实例10关联60;70

SW1(config-mstp-region)#instance 20 vlan 80;90 创建实例20关联80;90

SW1 为 Instance0 和Instance10 的根交换机,为 Instance20 备份根交换机;SW2 为 Instance20 根交换机,为 Instance0 和 Instance10 的备份根交换机;根交换机 STP 优先级为 0,备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的 STP。

CS6200-28X-EI(config)#spanning-tree mst 0 priority 0

SW1(config)#spanning-tree mst 10 priority 0   

SW2(config)#spanning-tree mst 20 priority 0

CS6200-28X-EI(config)#no spanning-tree

  1. SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP

业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实

现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离,财务业务 VPN 实例名

称为 CW。

Q

int e1/0/27

SW1(config-if-ethernet1/0/27)#switchport access vlan 1027

SW1(config)#int vlan 1027

SW1(config-if-vlan1027)#ip vrf forwarding CW

SW1(config-if-vlan1027)#ip add 10.60.254.2 255.255.255.255

承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩

容与冗余备份,编号为 1,用 LACP 协议,SW1 为 active,SW2 为 active;

SW1(config)#port-group 1

SW1(config)#int port-channel 1

SW1(config-if-port-channel1)#switchport mode trunk

SW1(config-if-port-channel1)#int e1/0/28

SW1(config-if-ethernet1/0/28)#port-group 1 mode active

SW2(config)#port-group 1

SW2(config)#int port-channel 1

SW2(config-if-port-channel1)#switchport mode trunk

SW2(config-if-port-channel1)#int e1/0/28

SW2(config-if-ethernet1/0/28)#port-group 1 mode active

采用源、目的 IP 进行实现流量负载分担。

SW1(config)#load-balance dst-src-ip

SW2(config)#load-balance dst-src-ip

  1. 将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,

Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表 VPN 实例名称为 Guangdong。

  1. SW1 法务物理接口限制收发数据占用的带宽均为 1000Mbps,

CS6200-28X-EI(config)#int e1/0/3

CS6200-28X-EI(config-if-ethernet1/0/3)#bandwidth control 1000000 both

限制所有报文最大收包速率为 1000packets/s,如果超过了配置交换机端口的报文最大收包速

率则关闭此端口,1 分钟后恢复此端口;

CS6200-28X-EI(config)#int e1/0/3

CS6200-28X-EI(config-if-ethernet1/0/3)#flow control 打开流控功能

CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation all 10000

设置BUM报文速率  1 packet每秒(pkts/s)等于10比特每秒(bits/s)

CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation control shutdown recovery 60

启用端口安全功能,最大安全 MAC 地址数为 20,当超过设定 MAC 地址数量的最大值,不学习新的 MAC、丢弃数据包、发snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期

中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为 10 分钟;

CS6200-28X-EI(config)#mac-address-learning cpu-control 开启cpu控制学习mac,这样才能开启接口的端口安全功能

CS6200-28X-EI(config)#int e1/0/3

CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security 启用端口安全

CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security maximum 20

CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security violation restrict

restrict限制模式,不学习新的mac,丢弃数据包,发snmp trap,同时在syslog日志中记录

CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging type inactivity

CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging time 10  不确定

禁止采用访问控制列表,只允许 IP 主机位为 20-50 的数据包进行转发;

CS6200-28X-EI(config)#am enable

CS6200-28X-EI(config)#int e1/0/3

CS6200-28X-EI(config-if-ethernet1/0/3)#am port  

CS6200-28X-EI(config-if-ethernet1/0/3)#am ip-pool 10.10.13.20 30  允许20之后的30个

IP地址使用禁止配置访问控制列表,实现端口间二层流量无法互通,组名称 FW。

CS6200-28X-EI(config)#isolate-port group FW  创建隔离组FW

CS6200-28X-EI(config)#isolate-port group FW switchport interface e1/0/23限制端口 

  1. 开启 SW1日志记录功能和保护功能,采样周期5s一次,恢复周期为100s,从而保障 CPU 稳定运行。

CS6200-28X-EI(config)#cpu-protect enable   启用

CS6200-28X-EI(config)#cpu-protect log enable 日志启用

CS6200-28X-EI(config)#cpu-protect interval 5   采样周期

CS6200-28X-EI(config)#cpu-protect recovery-time 100 恢复周期

  1. SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级

别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为USER2022,

采用 aes 算法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为 Pass-1234;

CS6200-28X-EI(config)#snmp-server enable 启用snmp

CS6200-28X-EI(config)#snmp-server group GROUP2022 authpriv 创建组并采用最高级别

noAuthNoPriv:不认证、不加密,等价于 v1、v2 版本;所以不建议开启

authNoPriv:认证不加密,只对帐号密码进行校验,数据传输不加密

authPriv:既认证又加密,校验帐号密码,同时加密传输

CS6200-28X-EI(config)#snmp-server community ro SKILLS_R 读视图

CS6200-28X-EI(config)#snmp-server community rw SKILLS_W 写视图

CS6200-28X-EI(config)#snmp-server user USER2022 GROUP2022 authPriv aes Pass-1234 auth sha Pass-1234

当设备有异常时,需要用本地的环回地址 网

管服务器 10.10.11.99、2001:10:10:11::99,采用最高安全级别;

CS6200-28X-EI(config)#snmp-server trap-source 10.10.1.1 环回地址

CS6200-28X-EI(config)#snmp-server trap-source 2001:10:10:1::1 环回地址

CS6200-28X-EI(config)#snmp-server securityip 10.10.11.99 指定网管服务器网关

CS6200-28X-EI(config)#snmp-server securityip 2001:10:10:11::99 指定网管服务器ipv6网关

CS6200-28X-EI(config)#snmp-server host 10.10.11.99 v3 authpriv USER2022

CS6200-28X-EI(config)#snmp-server host 2001:10:10:11::99 v3 authpriv USER2022

CS6200-28X-EI(config)#snmp-server enable traps

当法务部门对应的用户接口发生 UP DOWN 事件时,禁止发送 trap 消息至上述集团网管服务器。

CS6200-28X-EI(config-if-ethernet1/0/3)#no switchport updown notification enable

CS6200-28X-EI#show run interface e1/0/3

Interface Ethernet1/0/3

 no switchport updown notification enable

  1. 将 W1 与 FW1 互连流量镜像到 SW1 E1/0/1,会话列表为 1。

CS6200-28X-EI(config)#monitor session 1 source interface e1/0/21 both

CS6200-28X-EI(config)#monitor session 1 destination interface e1/0/1

monitor session 会话列表 destination 目的地端口

monitor session 会话列表 source 源端口

  1. SW1 和 SW2 E1/0/21-28 启用单向链路故障检测,当发生该故障时,端口

标记为 errdisable 状态,自动关闭端口,经过 1 分钟后,端口自动重启;发送Hello 报文时间间隔为 15s;

CS6200-28X-EI(config)#uldp enable  全局开启uldp后,所有光口自动也开启uldp

CS6200-28X-EI(config)#uldp recovery-time 60

CS6200-28X-EI(config)#uldp hello-interval 15

CS6200-28X-EI(config)#uldp aggressive-mode  关闭积极模式

  1. SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,

老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三条裸光缆端口使能

Trap 功能。

CS6200-28X-EI(config)#lldp enable

CS6200-28X-EI(config)#lldp msgTxHold 5

CS6200-28X-EI(config)#lldp tx-interval 20

CS6200-28X-EI(config)#lldp notification interval 10

CS6200-28X-EI(config)#int e1/0/26-28

CS6200-28X-EI(config-if-port-range)#lldp trap enable

路由器

  1. 启用所有设备的 ssh 服务,防火墙用户名 admin,明文密码 Pass-1234,

其余设备用户名和明文密码均admin。

CS6200-28X-EI(config)#ssh-server enable  启用

CS6200-28X-EI(config)#authentication line vty login local 登录使用本地用户认证

CS6200-28X-EI(config)#username admin password admin

R2_config#ip sshd enable 启用

R2_config#aaa authentication login default local 缺省使用本地用户认证

R2_config#username admin password admin

Admin user admin

Access ssh           //允许使用ssh登录设备

Password Pass-1234   //更改admin的密码为Pass-1234

  1. 配置所有设备的时区为 GMT+08:00,调整 SW1 时间为实际时间,SW1 配置

为 ntp server,其他设备用 SW1 loopback1 ipv4 地址作为 ntp server 地址,

ntp client 请求报文时间间隔 1 分钟。

clock timezone GMT add 8

time-zone GMT 8

clock zone GMT 8 0

SW1(config)#ntp enable   启用ntp

SW1(config)#ntp-service refclock-master 1   设置参考主机为一个

SW2(config)#ntp enable

SW2(config)#ntp syn-interval 60 设置间隔时间为60秒

SW2(config)#ntp server 10.10.1.1 设置ntp server地址

SW3(config)#ntp enable

SW3(config)#ntp syn-interval 60 设置间隔时间为60秒

SW3(config)#ntp server 10.10.1.1 设置ntp server地址

R1_config#time-zone GMT 8 0

R1_config#ntp query-interval 60

R1_config#ntp server 10.10.1.1           2655不支持

R2_config#time-zone GMT 8 0

R2_config#ntp query-interval 60

R2_config#ntp server 10.10.1.1

FW1_config#clock zone GMT 8 0

FW1_config#ntp enable

FW1_config#ntp query-interval 1

FW1_config#ntp server "10.10.1.1"

FW2_config#clock zone GMT 8 0

FW2_config#ntp enable

FW2_config#ntp query-interval 1

FW2_config#ntp server "10.10.1.1"    学校旧版不用带双引号

AC(config)#ntp enable

AC(config)#ntp syn-interval 00:01:00   设置间隔时间

AC(config)#ntp server 10.10.1.1     设置ntp server地址

  1. 配置所有设备接口 ipv4 地址和 ipv6 地址,互联接口 ipv6 地址用本地链路地址。

配置接口IPv4、v6地址,本地链路地址把接口ipv6功能打开就会自动生成一个地址ipv6本地链路地址

互连接口下

Ipv6 enable

  1. 利用 vrrpv2 和 vrrpv3 技术实现 vlan60、vlan70、vlan80、vlan90 网关

冗余备份,vrrp id 与 vlan id 相同。vrrpv2 vip 为 10.10.vlanid.9(如 vlan60

的 vrrpv2 vip 为 10.10.60.9),vrrpv3 vip 为 FE80:vlanid::9(如 vlan60 的

vrrpv3 vip 为 FE80:60::9)。配置 SW1 为 vlan60、vlan70 的 Master,SW2 为

vlan80、vlan90 的 Master。要求 vrrp 组中高优先级为 120,低优先级为默认值,

抢占模式为默认值,vrrpv2 和 vrrpv3 发送通告报文时间间隔为默认值。当 SW1

或 SW2 上联链路发生故障,Master 优先级降低 50。

VRRPv2

SW1(config)#router vrrp 60 进入vrrp60

SW1(config-router)#virtual-ip 10.10.60.9 设置虚拟ip

SW1(config-router)#interface vlan 60   绑定vlan60

SW1(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路

SW1(config-router)#priority 120 设置优先级

SW1(config)#router vrrp 70 进入vrrp70

SW1(config-router)#virtual-ip 10.10.70.9 设置虚拟ip

SW1(config-router)#interface vlan 70   绑定vlan0

SW1(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路

SW1(config-router)#priority 120 设置优先级

SW1(config)#router vrrp 80 进入vrrp80

SW1(config-router)#virtual-ip 10.10.80.9 设置虚拟ip

SW1(config-router)#interface vlan 80   绑定vlan80

SW1(config)#router vrrp 90 进入vrrp90

SW1(config-router)#virtual-ip 10.10.90.9 设置虚拟ip

SW1(config-router)#interface vlan 90   绑定vlan90

VRRPv3

SW1(config)#router ipv6 vrrp 60     进入vrrpv3的vrrp60

SW1(config-router)#virtual-ipv6 fe80:60::9 interface vlan 60 设置虚拟id并且绑定vlan

SW1(config-router)#circuit-failover vlan 1027 50

SW1(config-router)#priority 120 设置优先级

SW1(config)#router ipv6 vrrp 70     进入vrrpv3的vrrp70

SW1(config-router)#virtual-ipv6 fe80:70::9 interface vlan 70 设置虚拟id并且绑定vlan

SW1(config-router)#circuit-failover vlan 1027 50

SW1(config-router)#priority 120 设置优先级

SW1(config)#router ipv6 vrrp 80     进入vrrpv3的vrrp80

SW1(config-router)#virtual-ipv6 fe80:80::9 interface vlan 80 设置虚拟id并且绑定vlan

SW1(config)#router ipv6 vrrp 90     进入vrrpv3的vrrp90

SW1(config-router)#virtual-ipv6 fe80:90::9 interface vlan 90 设置虚拟id并且绑定vlan

VRRPv2

SW2(config)#router vrrp 60 进入vrrp60                    

SW2(config-router)#virtual-ip 10.10.60.9 设置虚拟ip

SW2(config-router)#int vlan 60 绑定vlan60               

SW2(config)#router vrrp 70 进入vrrp70

SW2(config-router)#virtual-ip 10.10.70.9 设置虚拟ip

SW2(config-router)#int vlan 70 绑定vlan70

SW2(config)#router vrrp 80 进入vrrp80

SW2(config-router)#virtual-ip 10.10.80.9 设置虚拟ip

SW2(config-router)#int vlan 80 绑定vlan80

SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路

SW2(config-router)#priority 120 设置优先级

SW2(config)#router vrrp 90 进入vrrp90

SW2(config-router)#virtual-ip 10.10.90.9 设置虚拟ip

SW2(config-router)#int vlan 90 绑定vlan90

SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路

SW2(config-router)#priority 120 设置优先级

VRRPv3

SW2(config)#router ipv6 vrrp 60 进入vrrpv3的vrrp60

SW2(config-router)#virtual-ipv6 FE80:60::9 interface vlan 60 设置虚拟id并且绑定vlan

SW2(config)#router ipv6 vrrp 70 进入vrrpv3的vrrp70

SW2(config-router)#virtual-ipv6 FE80:70::9 interface vlan 70 设置虚拟id并且绑定vlan

SW2(config)#router ipv6 vrrp 80 进入vrrpv3的vrrp80                      

SW2(config-router)#virtual-ipv6 FE80:80::9 interface vlan 80 设置虚拟id并且绑定vlan

SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路

SW2(config-router)#priority 120 设置优先级

SW2(config)#router ipv6 vrrp 90 进入vrrpv3的vrrp90                      

SW2(config-router)#virtual-ipv6 FE80:90::9 interface vlan 90 设置虚拟id并且绑定vlan

SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路

SW2(config-router)#priority 120 设置优先级

  1. .AC1配置dhcpv4和dhcpv6,分别为SW1产品1段vlan10和分公司vlan100、

vlan110 和 vlan120 分配地址;ipv4 地址池名称分别为 POOLv4-10、POOLv4-100、

POOLv4-110、POOLv4-120,ipv6 地址池名称分别为 POOLv6-10、POOLv6-100、

POOLv6-110、POOLv6-120;ipv6 地址池用网络前缀表示;排除网关;DNS 分别为

114.114.114.114 和 2400:3200::1 ;DHCPv6必须启动

SW2(config)#ipv6 enable

SW2(config)#service dhcpv6 交换机dhcpv6启用命令

IPv4DHCP

AC(config)#ip dhcp pool POOLv4-10

AC(dhcp-poolv4-config)#network-address 10.10.11.0 255.255.255.0

AC(dhcp-poolv4-config)#default-router 10.10.11.1

AC(dhcp-poolv4-config)#dns-server 114.114.114.114  

AC(config)#ip dhcp pool POOLv4-100

AC(dhcp-poolv4-config)#network-address 10.17.100.0 255.255.255.0

AC(dhcp-poolv4-config)#default-router 10.17.100.1

AC(dhcp-poolv4-config)#dns-server 114.114.114.114  

AC(config)#ip dhcp pool POOLv4-110

AC(dhcp-poolv4-config)#network-address 10.17.110.0 255.255.255.0

AC(dhcp-poolv4-config)#default-router 10.17.110.1

AC(dhcp-poolv4-config)#dns-server 114.114.114.114

AC(config)#ip dhcp pool POOLv4-120

AC(dhcp-poolv4-config)#network-address 10.17.120.0 255.255.255.0

AC(dhcp-poolv4-config)#default-router 10.17.120.1

AC(dhcp-poolv4-config)#dns-server 114.114.114.114  

AC(config)#ip dhcp excluded-address 10.10.11.1    阻止分配网关

AC(config)#ip dhcp excluded-address 10.17.110.1   阻止分配网关

AC(config)#ip dhcp excluded-address 10.17.120.1   阻止分配网关

AC(config)#ip dhcp excluded-address 10.17.100.1   阻止分配网关

IPv6DHCP

AC(config)#service dhcpv6 必须启动DHCPv6!!!

AC(config)#ipv6 dhcp pool POOLv6-10

AC(dhcpv6-poolv6-10-config)#network-address 2001:10:10:11:: 64 后面0直接省略

AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS

AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:10:11::1  阻止DHCPv6分配这个地址,也就是排除网关

AC(config)#ipv6 dhcp pool POOLv6-100

AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:100:: 64 后面0直接省略

AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS

AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:100::1  阻止DHCPv6分配这个地址,也就是排除网关

AC(config)#ipv6 dhcp pool POOLv6-110

AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:110:: 64 后面0直接省略

AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS

AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:110::1  阻止DHCPv6分配这个地址,也就是排除网关

AC(config)#ipv6 dhcp pool POOLv6-120

AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:120:: 64 后面0直接省略

AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS

AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:120::1  阻止DHCPv6分配这个地址,也就是排除网关

为 PC1 保 留 地 址 10.10.11.9 和2001:10:10:11::9,为 AP1 保留地址 10.17.100.9 和 2001:10:17:100::9,为 PC2保留地址 10.17.110.9 和 2001:10:17:110::9。

AC(config)#ip dhcp pool PC1 

AC(dhcp-pc1-config)#hardware-address 00-50-56-C0-00-01   绑定主机mac地址(物理)

AC(dhcp-poolv4-config)#default-router 10.10.11.1 指定网关

AC(dhcp-poolv4-config)#dns-server 114.114.114.114 指定DNS

AC(config)#ip dhcp pool PC2                                                                                                                                                                                                                                                  

AC(dhcp-pc1-config)#host 10.17.110.9 255.255.255.0

AC(dhcp-pc1-config)#hardware-address 00-50-56-C0-00-01   绑定主机mac地址

AC(dhcp-poolv4-config)#default-router 10.17.110.1 指定网关

AC(dhcp-poolv4-config)#dns-server 114.114.114.114 指定DNS

AC(config)#ipv6 dhcp pool POOLv6-10

AC(dhcpv6-poolv6-10-config)#static-binding 2001:10:10:11::9 00-50-56-C0-00-01  保留地址并且绑定mac地址

AC(config)#ipv6 dhcp pool POOLv6-110

AC(dhcpv6-poolv6-110-config)#static-binding 2001:10:17:110::9 00-50-56-C0-00-01  保留地址并且绑定mac地址

SW1 上中继地址为 AC1 loopback1地址。SW1 启用 dhcpv4 和 dhcpv6 snooping,

如果 E1/0/1 连接 dhcpv4 服务器,则关闭该端口,4恢复时间为 1 分钟。

SW1(config)#service dhcp   开启dhcp功能

SW1(config)#service dhcpv6 开启dhcpv6功能

SW1(config)#ip forward-protocol udp bootps   开启dhcp中继功能

interface Vlan10    udp 用户数据协议

SW1(config-if-vlan10)#ip helper-address 10.10.8.1 //指定dhcp服务器地址 

SW1(config-if-vlan10)#ipv6 dhcp rela destination 2001:10:10:8::1设置DHCPv6中继目标

SW1(config)#ip dhcp snooping enable //启动DHCP侦听

SW1(config)#savi enable

SW1(config)#savi ipv6 dhcp-only enable //开启DHCP侦听,仅用dhcp侦听

SW1(config-if-ethernet1/0/24)#ipv6 dhcp snooping trust//打开端口ipv6dhcp侦听,信任此端口 

SW1(config-if-ethernet1/0/24)#ip dhcp snooping trust  //打开ipv4dhcp侦听,信任此端口

SW1(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown recovery 60 侦听端口

  1. .SW1、SW2、SW3、RT1 以太链路、RT2 以太链路、FW1、FW2、AC1 之间运行

OSPFv2 和 OSPFv3 协议(路由模式发布网络用接口地址,BGP 协议除外)。

(1)SW1、SW2、SW3、RT1、RT2、FW1 之间 OSPFv2 和 OSPFv3 协议,进程 1,

区域 0,分别发布 loopback1 地址路由和产品路由,FW1 通告 type2 默认路由。

SW1(config)#router ospf 1

SW1(config-router)#router-id 10.10.1.1    SW1的环回地址

SW1(config-router)#network 10.10.255.14 0.0.0.0 area 0 严格匹配直接发布自己的接口地址

SW1(config-router)#network 10.10.255.5 0.0.0.0 area 0

SW1(config-router)#network 10.10.255.1 0.0.0.0 area 0

SW1(config-router)#network 10.10.1.1 0.0.0.0 area 0

SW1(config-router)#network 10.10.11.1 0.0.0.0 area 0 产品1段

SW1(config-router)#network 10.10.60.1 0.0.0.0 area 0 产品管理

SW1(config-router)#network 10.10.70.1 0.0.0.0 area 0 产品研发

SW1(config-router)#network 10.10.80.1 0.0.0.0 area 0 产品生产

SW1(config-router)#network 10.10.90.1 0.0.0.0 area 0 产品支持

SW2(config)#router ospf 1

SW2(config-router)#router-id 10.10.2.1    SW2的环回地址

SW2(config-router)#network 10.10.255.2 0.0.0.0 area 0

SW2(config-router)#network 10.10.255.9 0.0.0.0 area 0

SW2(config-router)#network 10.10.255.22 0.0.0.0 area 0

SW2(config-router)#network 10.10.2.1 0.0.0.0 area 0

SW1(config-router)#network 10.10.21. 0.0.0.0 area 0 产品2段

SW1(config-router)#network 10.10.60.2 0.0.0.0 area 0 产品管理

SW1(config-router)#network 10.10.70.2 0.0.0.0 area 0 产品研发

SW1(config-router)#network 10.10.80.2 0.0.0.0 area 0 产品生产

SW1(config-router)#network 10.10.90.2 0.0.0.0 area 0 产品支持

SW3(config)#router ospf 1

SW3(config-router)#router-id 10.10.3.1    SW3的环回地址

SW3(config-router)#network 10.10.255.6 0.0.0.0 area 0

SW3(config-router)#network 10.10.255.10 0.0.0.0 area 0

SW3(config-router)#network 10.10.3.1 0.0.0.0 area 0  

SW1(config-router)#network 10.10.31.1 0.0.0.0 area 0 产品1段

SW1(config-router)#network 10.10.60.3 0.0.0.0 area 0 产品管理

SW1(config-router)#network 10.10.70.3 0.0.0.0 area 0 产品研发

SW1(config-router)#network 10.10.80.3 0.0.0.0 area 0 产品生产

SW1(config-router)#network 10.10.90.3 0.0.0.0 area 0 产品支持

R1_config#router ospf 1

R1_config_ospf_1#router-id 10.10.4.1

R1_config_ospf_1#router-id 10.10.4.1 255.255.255.255 area 0

R1_config_ospf_1#network 10.10.255.29 255.255.255.255 area 0

R1_config_ospf_1#network 10.10.255.21 255.255.255.255 area 0

R1_config_ospf_1#network 10.10.255.18 255.255.255.255 area 0

R1_config_ospf_1#network 10.10.255.25 255.255.255.255 area 0

R1_config_ospf_1#network 10.10.255.33 255.255.255.255 area 0

R1_config_ospf_1#network 10.10.255.37 255.255.255.255 area 0

R2_config#router ospf 1

R2_config_ospf_1#router-id 10.10.5.1

R2_config_ospf_1#network 10.10.255.30 255.255.255.255 area 0

R2_config_ospf_1#network 10.10.255.41 255.255.255.255 area 0

R2_config_ospf_1#network 10.10.255.38 255.255.255.255 area 0

R2_config_ospf_1#network 10.10.255.34 255.255.255.255 area 0

R2_config_ospf_1#network 200.200.200.6 255.255.255.255 area 0

R2_config_ospf_1#network 10.10.5.1 255.255.255.255 area 0

FW-1(config-vrouter)# router ospf 1

FW-1(config-router)# router-id 10.10.6.1

FW-1(config-router)# network 10.10.255.17/32 area 0.0.0.3

FW-1(config-router)# network 200.200.200.2/32 area 0.0.0.3

FW-1(config-router)# network 10.10.6.1/32 area 0.0.0.3

FW-2(config-router)# default-information originate type 2 下发type2默认路由

IPv6

SW1(config)#router ipv6 ospf 1

SW1(config-router)#router-id 10.10.11.1

SW1(config)#int loopback 1

SW1(config-if-loopback1)#ipv6 router ospf tag 1 area 0

SW2(config)#router ipv6 ospf 1

SW2(config-router)#router-id 10.10.21.1

SW2(config)#int loopback 1

SW2(config-if-loopback1)#ipv6 router ospf tag 1 area 0

SW3(config)#router ipv6 ospf 1

SW3(config-router)#router-id 10.10.31.1

SW3(config)#int loopback 1

SW3(config-if-loopback1)#ipv6 router ospf tag 1 area 0

(2)RT2 与 AC1 之间运行 OSPFv2 协议,process 1,area 1 nssa no summary;AC1 发布 Loopback1 地址路由、管理、产品和营销路由用 prefix-list 重发布 Loopback3,prefix-list 名称AC1-Loopback3-IPv4。

RT1

router ospf 1

netw 10.4.255.21 255.255.255.252 area 1

area 1 nass no-summary

Exi

AC1

router ospf 1

network 10.4.4.1/32 area 1

network 10.4.4.2/32 area 1

network 10.4.4.3/32area 1

network 10.4.255.46/30 area 1

area 1 nssa no-summary

exi

Int lo3

exi

ip prefix-list AC1-Loopback3-IPv4 permit 10.4.4.3/32

ip prefix-list AC1-Loopback3-IPv4 permit any

route-map loopback3 permit 10

match ip address prefix-list loopback3

exit

route-map loopback3 permit 1

exit

router ospf 1

redistribute connected route-map loopback3

  1. RT1、FW2 之间 OSPFv2 和 OSPFv3 协议,进程 2,区域 2;

RT1 发布 loopback4路由,向该区域通告 type1 默认路由;FW2 发布 loopback1 路由,

R1_config#router ospf 2

R1_config_ospf_2#router-id 10.10.4.4

R1_config_ospf_2#network 10.10.255.29 255.255.255.255 area 2

R1_config_ospf_2#network 10.10.255.21 255.255.255.255 area 2

R1_config_ospf_2#network 10.10.255.18 255.255.255.255 area 2

R1_config_ospf_2#network 10.10.255.25 255.255.255.255 area 2

R1_config_ospf_2#network 10.10.255.33 255.255.255.255 area 2

R1_config_ospf_2#network 10.10.255.37 255.255.255.255 area 2

R1_config_ospf_2#network 10.10.4.4 255.255.255.255 area 2

FW-2(config-vrouter)# router ospf 2

FW-2(config-router)# router-id 10.10.8.1    (10.10.7.1)

FW-2(config-router)# network 10.10.255.17/32 area 0.0.0.3 10.10.255.45/32 area 0.0.0.3

FW-2(config-router)# network 10.10.255.13/32 area 0.0.0.3 10.10.255.26/32 area 0.0.0.3

FW-2(config-router)# network 10.10.6.1/32 area 0.0.0.3

FW-2(config-vrouter)# ip route 0.0.0.0 0.0.0.0 10.10.255.25

FW-2(config-router)# default-information originate type 1

R1_config_ospf_2#redistribute ospf 1

R1_config_ospf_1#redistribute ospf 2

FW2 禁止学到集团和分公司的所有路由。

新建访问控制列表,添加规则禁止10.10.255.0网段的网络通过

FW-2(config)# access-list route FW deny 10.10.255.0/30

FW-2(config)# access-list route FW deny 10.10.255.4/30   10.10.255.5/6

FW-2(config)# access-list route FW deny 10.10.255.12/30  10.10.255.13/14

FW-2(config)# access-list route FW deny 10.10.255.8/30   10.10.255.9/10

FW-2(config)# access-list route FW deny 10.10.255.20/30  10.10.255.21/22

FW-2(config)# access-list route FW deny 10.10.255.16/30  10.10.255.17/18

FW-2(config)# access-list route FW deny 10.10.255.40/30  10.10.255.41/42

FW-2(config-router)# distribute-list acl in //旧设备不可用

RT1 用 prefix-list 匹配 FW2 loopback1 路由、SW3模拟办事处 loopback2 和产品路由、

RT1 与 FW2 直连 ipv4 路由,将这些路由重发布到区域 0。

R1_config#ip prefix-list 1 permit 10.10.255.0/32    

R1_config#ip prefix-list 1 permit 10.10.110.0/32    

R1_config#ip prefix-list 1 permit 10.10.3.0/24 le 24 10.10.3.1/32

R1_config#ip prefix-list 1 permit 10.10.7.0/24 le 26 10.10.7.1/32

  1. 修改 ospf cost 为 100,实现 SW1 分别与 RT2、FW2 之间 ipv4 和 ipv6 互

访流量优先通过 SW1_SW2_RT1 链路转发,SW2 访问 Internet ipv4 和 ipv6 流量

优先通过 SW2_SW1_FW1 链路转发。

  1. RT1 串行链路、RT2 串行链路、FW1、AC1 之间分别运行 RIP 和 RIPng 协议,

FW1、RT1、RT2 的 RIP 和 RIPng 发布 loopback2 地址路由,AC1 RIP 发布 loopback2

地址路由,

R1_config_rip#router rip

R1_config_rip#version 2

Interface eth 1/0/1                                                                                                                                                                    

Ip rip 1 enable

Ipv6 rip 1 enable

AC1 RIPng 采用 route-map 匹配 prefix-list 重发布 loopback2 地址

路由。

RT1 配置 offset 值为 3 的路由策略,实现 RT1-S1/0_RT2-S1/1 为主链路,

RT1-S1/1_RT2-S1/0 为备份链路,ipv4 的 ACL 名称为 AclRIP,ipv6 的 ACL 名称

为 AclRIPng。·

ip access-list standard AclRIP //创建ipv4的acl,名称为aclrip

permit <source-ip> <wildcard-mask> //ipv4的acl允许项

# 创建 IPv6 的 ACL(Access Control List)

ipv6 access-list AclRIPng

 permit <source-ipv6>

# 创建路由地图

route-map RIP-Offset-Map permit 10 //创建路由地图,名称为rip-offset-map

 match ip address AclRIP //匹配刚刚创建的ipv4 acl

 set metric 3 //设置offset值为3  

# 应用路由地图到 RT1-S1/0_RT2-S1/1 主链路

interface Serial1/0 //进入serial1/0接口配置视图

 ip policy route-map RIP-Offset-Map          //路由映射至接口内,指定为rip-offset-map路由表  

# 创建备份链路的路由地图

route-map RIP-Backup-Offset-Map permit 10

 match ip address AclRIP

 set metric 6

# 应用路由地图到 RT1-S1/1_RT2-S1/0 备份链路

interface Serial1/1

 ip policy route-map RIP-Backup-Offset-Map

RT1 的 S1/0 与 RT2 的 S1/1 之间采用 chap 双向认证,用户名为对端设备名称,密码为 Pass-1234。

针是1,孔是2,针连孔,孔连针,2配速率,1不配

R2_config#aaa authentication ppp test local

R2_config#username RT1 password Pass-1234  

R2_config#int s0/1     

R2_config_s0/1#encapsulation ppp  

R2_config_s0/1#ppp authentication chap test

R2_config_s0/1#ppp chap hostname RT1

标签:运维,0.0,网络,答案,10.10,SW1,router,SW2,config
From: https://blog.csdn.net/yyt666666/article/details/143406874

相关文章

  • Python深度学习进阶与前沿应用(注意力机制详解、生成式模型详解、自监督学习模型详解、
    近年来,伴随着以卷积神经网络(CNN)为代表的深度学习的快速发展,人工智能迈入了第三次发展浪潮,AI技术在各个领域中的应用越来越广泛。注意力机制、Transformer模型(BERT、GPT-1/2/3/3.5/4、DETR、ViT、SwinTransformer等)、生成式模型(变分自编码器VAE、生成式对抗网络GAN、扩散模型Di......
  • 《神经网络、机器学习和深度学习:开启智能时代的三把密钥》
    神经网络、机器学习和深度学习是人工智能领域中非常重要的概念,它们之间既有联系又有区别。神经网络原理神经元模型:神经网络的灵感来源于人类大脑的神经元结构。在人工神经网络中,每个神经元接收来自其他神经元或输入层的多个输入信号,并对这些输入进行加权求和。每个输入......
  • 网络编程-计算机网络三要素
    1.计算机网络三要素网络编程:使用编程语言实现多台计算机的通信网络编程三大要素- ip地址:网络中每一台计算机的唯一标识,通过IP地址找到指定的计算机- 端口:用于标识进程的逻辑地址,通过端口找到指定进程。- 协议:定义通信规则,符合协议则可以通信,不符合不能通信,一般有TCP协议......
  • 网络编程-OSI模型
    OSI模型OSI是opensysteminterconnection的缩写,译为“开放式系统互联”。OSI模型把网络通信的工作分为7层,从下到上分别是物理层,数据链路层,网络层,传输层,会话层,表示层和应用层。OSI七层网路模型和TCP/IP四层网络模型的对比。网络模型:就是进行数据封装的。当另一台计算机......
  • 网络编程-socket
    1.什么是socket?socket的意愿是“插座”,在计算机通信领域,socket被翻译为“套接字”,他是计算机之间进行通信的一种约定或者一种方式,通过socket这种约定,一台计算机可以接受其他计算机的数据,也可以向其他计算机发送数据。我们把插头插到插座上就能从电网获得电力供应,同样,为了远程......
  • 记一次“网络安全扫描工具联动”自动化扫描漏洞流程,网络渗透必看基础教程!
    大家好,我是向阳假如你在一次攻防演练或者渗透测试中有多个攻击测试目标,一个一个去手动测试是肯定不现实的,可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置,为你后续的深入测试提供事半功倍的效果。前言:随着当前网络安全威胁的不断扩展与升级,开展渗透测......
  • 【网络安全零基础入门】Linux安全加固(非常详细)零基础入门到精通,收藏这一篇就够了
    大家好,我是向阳。今天将继续带大家入门网络安全linux系统篇安全加固教程,全程干货,建议收藏哈安全加固方案原则1.版本升级对于系统和应用在使用过程中暴露的安全缺陷,系统或应用厂商会及时发布解决问题的升级补丁包。升级系统或应用版本,可有效解决旧版本存在的安全风险。......
  • 网络工程师VS其他IT职业,五大理由告诉做网工高薪稳定还过瘾!
    当你站在IT职业的分岔路口时,选择方向可能让人头疼。毕竟,IT世界里可选的角色实在太多了!软件开发、数据分析、网络工程……每条路看起来都通向一个神奇的未来。那么,为什么要选择网络工程师这条路?作为一名从业十年的“老司机”,今天就带你一探网络工程师的魅力。1.硬核却接地气:你看得见......
  • 网络流
    网络流网络流又名网络瘤。流网络流网络是一个有向图,可以表示为\(G=(V,E)\)。点集包含源点,汇点和中间点。边集当中的每条边都有一个值,称为容量。对于任意一个流网络是不考虑反向边的。可行流定义任意一个可行流都用\(f\)表示。如果给定一个流网络每条边的流量,并且满......
  • 网络安全学习路线+自学笔记(超详细)_网络安全设计权威指南 学习笔记
    01什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也......