SW3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令,模拟接口 UP,方便后续业务验证与测试
SW3(config)#int e1/0/5
SW3(config-if-ethernet1/0/5)#loopback
- SW1、SW2、SW3 启用 MSTP,实现网络二层负载均衡和冗余备份,创建实例
Instance10 和 Instance20,名称为 SKILLS,修订版本为 1,其中 Instance10 关
联 vlan60 和 vlan70,Instance20 关联 vlan80 和 vlan90。
SW1(config)#spanning-tree mode mstp
SW1(config)#spanning-tree mst configuration
SW1(config-mstp-region)#name SKILLS 命名
SW1(config-mstp-region)#revision-level 1 修订版本为1
SW1(config-mstp-region)#instance 10 vln 60;70 创建实例10关联60;70
SW1(config-mstp-region)#instance 20 vlan 80;90 创建实例20关联80;90
SW1 为 Instance0 和Instance10 的根交换机,为 Instance20 备份根交换机;SW2 为 Instance20 根交换机,为 Instance0 和 Instance10 的备份根交换机;根交换机 STP 优先级为 0,备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的 STP。
CS6200-28X-EI(config)#spanning-tree mst 0 priority 0
SW1(config)#spanning-tree mst 10 priority 0
SW2(config)#spanning-tree mst 20 priority 0
CS6200-28X-EI(config)#no spanning-tree
- SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP
业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实
现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离,财务业务 VPN 实例名
称为 CW。
Q
int e1/0/27
SW1(config-if-ethernet1/0/27)#switchport access vlan 1027
SW1(config)#int vlan 1027
SW1(config-if-vlan1027)#ip vrf forwarding CW
SW1(config-if-vlan1027)#ip add 10.60.254.2 255.255.255.255
承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩
容与冗余备份,编号为 1,用 LACP 协议,SW1 为 active,SW2 为 active;
SW1(config)#port-group 1
SW1(config)#int port-channel 1
SW1(config-if-port-channel1)#switchport mode trunk
SW1(config-if-port-channel1)#int e1/0/28
SW1(config-if-ethernet1/0/28)#port-group 1 mode active
SW2(config)#port-group 1
SW2(config)#int port-channel 1
SW2(config-if-port-channel1)#switchport mode trunk
SW2(config-if-port-channel1)#int e1/0/28
SW2(config-if-ethernet1/0/28)#port-group 1 mode active
采用源、目的 IP 进行实现流量负载分担。
SW1(config)#load-balance dst-src-ip
SW2(config)#load-balance dst-src-ip
- 将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,
Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表 VPN 实例名称为 Guangdong。
- SW1 法务物理接口限制收发数据占用的带宽均为 1000Mbps,
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#bandwidth control 1000000 both
限制所有报文最大收包速率为 1000packets/s,如果超过了配置交换机端口的报文最大收包速
率则关闭此端口,1 分钟后恢复此端口;
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#flow control 打开流控功能
CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation all 10000
设置BUM报文速率 1 packet每秒(pkts/s)等于10比特每秒(bits/s)
CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation control shutdown recovery 60
启用端口安全功能,最大安全 MAC 地址数为 20,当超过设定 MAC 地址数量的最大值,不学习新的 MAC、丢弃数据包、发snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期
中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为 10 分钟;
CS6200-28X-EI(config)#mac-address-learning cpu-control 开启cpu控制学习mac,这样才能开启接口的端口安全功能
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security 启用端口安全
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security maximum 20
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security violation restrict
restrict限制模式,不学习新的mac,丢弃数据包,发snmp trap,同时在syslog日志中记录
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging type inactivity
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging time 10 不确定
禁止采用访问控制列表,只允许 IP 主机位为 20-50 的数据包进行转发;
CS6200-28X-EI(config)#am enable
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#am port
CS6200-28X-EI(config-if-ethernet1/0/3)#am ip-pool 10.10.13.20 30 允许20之后的30个
IP地址使用禁止配置访问控制列表,实现端口间二层流量无法互通,组名称 FW。
CS6200-28X-EI(config)#isolate-port group FW 创建隔离组FW
CS6200-28X-EI(config)#isolate-port group FW switchport interface e1/0/23限制端口
- 开启 SW1日志记录功能和保护功能,采样周期5s一次,恢复周期为100s,从而保障 CPU 稳定运行。
CS6200-28X-EI(config)#cpu-protect enable 启用
CS6200-28X-EI(config)#cpu-protect log enable 日志启用
CS6200-28X-EI(config)#cpu-protect interval 5 采样周期
CS6200-28X-EI(config)#cpu-protect recovery-time 100 恢复周期
- SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级
别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为USER2022,
采用 aes 算法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为 Pass-1234;
CS6200-28X-EI(config)#snmp-server enable 启用snmp
CS6200-28X-EI(config)#snmp-server group GROUP2022 authpriv 创建组并采用最高级别
noAuthNoPriv:不认证、不加密,等价于 v1、v2 版本;所以不建议开启
authNoPriv:认证不加密,只对帐号密码进行校验,数据传输不加密
authPriv:既认证又加密,校验帐号密码,同时加密传输
CS6200-28X-EI(config)#snmp-server community ro SKILLS_R 读视图
CS6200-28X-EI(config)#snmp-server community rw SKILLS_W 写视图
CS6200-28X-EI(config)#snmp-server user USER2022 GROUP2022 authPriv aes Pass-1234 auth sha Pass-1234
当设备有异常时,需要用本地的环回地址 网
管服务器 10.10.11.99、2001:10:10:11::99,采用最高安全级别;
CS6200-28X-EI(config)#snmp-server trap-source 10.10.1.1 环回地址
CS6200-28X-EI(config)#snmp-server trap-source 2001:10:10:1::1 环回地址
CS6200-28X-EI(config)#snmp-server securityip 10.10.11.99 指定网管服务器网关
CS6200-28X-EI(config)#snmp-server securityip 2001:10:10:11::99 指定网管服务器ipv6网关
CS6200-28X-EI(config)#snmp-server host 10.10.11.99 v3 authpriv USER2022
CS6200-28X-EI(config)#snmp-server host 2001:10:10:11::99 v3 authpriv USER2022
CS6200-28X-EI(config)#snmp-server enable traps
当法务部门对应的用户接口发生 UP DOWN 事件时,禁止发送 trap 消息至上述集团网管服务器。
CS6200-28X-EI(config-if-ethernet1/0/3)#no switchport updown notification enable
CS6200-28X-EI#show run interface e1/0/3
Interface Ethernet1/0/3
no switchport updown notification enable
- 将 W1 与 FW1 互连流量镜像到 SW1 E1/0/1,会话列表为 1。
CS6200-28X-EI(config)#monitor session 1 source interface e1/0/21 both
CS6200-28X-EI(config)#monitor session 1 destination interface e1/0/1
monitor session 会话列表 destination 目的地端口
monitor session 会话列表 source 源端口
- SW1 和 SW2 E1/0/21-28 启用单向链路故障检测,当发生该故障时,端口
标记为 errdisable 状态,自动关闭端口,经过 1 分钟后,端口自动重启;发送Hello 报文时间间隔为 15s;
CS6200-28X-EI(config)#uldp enable 全局开启uldp后,所有光口自动也开启uldp
CS6200-28X-EI(config)#uldp recovery-time 60
CS6200-28X-EI(config)#uldp hello-interval 15
CS6200-28X-EI(config)#uldp aggressive-mode 关闭积极模式
- SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,
老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三条裸光缆端口使能
Trap 功能。
CS6200-28X-EI(config)#lldp enable
CS6200-28X-EI(config)#lldp msgTxHold 5
CS6200-28X-EI(config)#lldp tx-interval 20
CS6200-28X-EI(config)#lldp notification interval 10
CS6200-28X-EI(config)#int e1/0/26-28
CS6200-28X-EI(config-if-port-range)#lldp trap enable
路由器
- 启用所有设备的 ssh 服务,防火墙用户名 admin,明文密码 Pass-1234,
其余设备用户名和明文密码均admin。
CS6200-28X-EI(config)#ssh-server enable 启用
CS6200-28X-EI(config)#authentication line vty login local 登录使用本地用户认证
CS6200-28X-EI(config)#username admin password admin
R2_config#ip sshd enable 启用
R2_config#aaa authentication login default local 缺省使用本地用户认证
R2_config#username admin password admin
Admin user admin
Access ssh //允许使用ssh登录设备
Password Pass-1234 //更改admin的密码为Pass-1234
- 配置所有设备的时区为 GMT+08:00,调整 SW1 时间为实际时间,SW1 配置
为 ntp server,其他设备用 SW1 loopback1 ipv4 地址作为 ntp server 地址,
ntp client 请求报文时间间隔 1 分钟。
clock timezone GMT add 8
time-zone GMT 8
clock zone GMT 8 0
SW1(config)#ntp enable 启用ntp
SW1(config)#ntp-service refclock-master 1 设置参考主机为一个
SW2(config)#ntp enable
SW2(config)#ntp syn-interval 60 设置间隔时间为60秒
SW2(config)#ntp server 10.10.1.1 设置ntp server地址
SW3(config)#ntp enable
SW3(config)#ntp syn-interval 60 设置间隔时间为60秒
SW3(config)#ntp server 10.10.1.1 设置ntp server地址
R1_config#time-zone GMT 8 0
R1_config#ntp query-interval 60
R1_config#ntp server 10.10.1.1 2655不支持
R2_config#time-zone GMT 8 0
R2_config#ntp query-interval 60
R2_config#ntp server 10.10.1.1
FW1_config#clock zone GMT 8 0
FW1_config#ntp enable
FW1_config#ntp query-interval 1
FW1_config#ntp server "10.10.1.1"
FW2_config#clock zone GMT 8 0
FW2_config#ntp enable
FW2_config#ntp query-interval 1
FW2_config#ntp server "10.10.1.1" 学校旧版不用带双引号
AC(config)#ntp enable
AC(config)#ntp syn-interval 00:01:00 设置间隔时间
AC(config)#ntp server 10.10.1.1 设置ntp server地址
- 配置所有设备接口 ipv4 地址和 ipv6 地址,互联接口 ipv6 地址用本地链路地址。
配置接口IPv4、v6地址,本地链路地址把接口ipv6功能打开就会自动生成一个地址ipv6本地链路地址
互连接口下
Ipv6 enable
- 利用 vrrpv2 和 vrrpv3 技术实现 vlan60、vlan70、vlan80、vlan90 网关
冗余备份,vrrp id 与 vlan id 相同。vrrpv2 vip 为 10.10.vlanid.9(如 vlan60
的 vrrpv2 vip 为 10.10.60.9),vrrpv3 vip 为 FE80:vlanid::9(如 vlan60 的
vrrpv3 vip 为 FE80:60::9)。配置 SW1 为 vlan60、vlan70 的 Master,SW2 为
vlan80、vlan90 的 Master。要求 vrrp 组中高优先级为 120,低优先级为默认值,
抢占模式为默认值,vrrpv2 和 vrrpv3 发送通告报文时间间隔为默认值。当 SW1
或 SW2 上联链路发生故障,Master 优先级降低 50。
VRRPv2
SW1(config)#router vrrp 60 进入vrrp60
SW1(config-router)#virtual-ip 10.10.60.9 设置虚拟ip
SW1(config-router)#interface vlan 60 绑定vlan60
SW1(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW1(config-router)#priority 120 设置优先级
SW1(config)#router vrrp 70 进入vrrp70
SW1(config-router)#virtual-ip 10.10.70.9 设置虚拟ip
SW1(config-router)#interface vlan 70 绑定vlan0
SW1(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW1(config-router)#priority 120 设置优先级
SW1(config)#router vrrp 80 进入vrrp80
SW1(config-router)#virtual-ip 10.10.80.9 设置虚拟ip
SW1(config-router)#interface vlan 80 绑定vlan80
SW1(config)#router vrrp 90 进入vrrp90
SW1(config-router)#virtual-ip 10.10.90.9 设置虚拟ip
SW1(config-router)#interface vlan 90 绑定vlan90
VRRPv3
SW1(config)#router ipv6 vrrp 60 进入vrrpv3的vrrp60
SW1(config-router)#virtual-ipv6 fe80:60::9 interface vlan 60 设置虚拟id并且绑定vlan
SW1(config-router)#circuit-failover vlan 1027 50
SW1(config-router)#priority 120 设置优先级
SW1(config)#router ipv6 vrrp 70 进入vrrpv3的vrrp70
SW1(config-router)#virtual-ipv6 fe80:70::9 interface vlan 70 设置虚拟id并且绑定vlan
SW1(config-router)#circuit-failover vlan 1027 50
SW1(config-router)#priority 120 设置优先级
SW1(config)#router ipv6 vrrp 80 进入vrrpv3的vrrp80
SW1(config-router)#virtual-ipv6 fe80:80::9 interface vlan 80 设置虚拟id并且绑定vlan
SW1(config)#router ipv6 vrrp 90 进入vrrpv3的vrrp90
SW1(config-router)#virtual-ipv6 fe80:90::9 interface vlan 90 设置虚拟id并且绑定vlan
VRRPv2
SW2(config)#router vrrp 60 进入vrrp60
SW2(config-router)#virtual-ip 10.10.60.9 设置虚拟ip
SW2(config-router)#int vlan 60 绑定vlan60
SW2(config)#router vrrp 70 进入vrrp70
SW2(config-router)#virtual-ip 10.10.70.9 设置虚拟ip
SW2(config-router)#int vlan 70 绑定vlan70
SW2(config)#router vrrp 80 进入vrrp80
SW2(config-router)#virtual-ip 10.10.80.9 设置虚拟ip
SW2(config-router)#int vlan 80 绑定vlan80
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
SW2(config)#router vrrp 90 进入vrrp90
SW2(config-router)#virtual-ip 10.10.90.9 设置虚拟ip
SW2(config-router)#int vlan 90 绑定vlan90
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
VRRPv3
SW2(config)#router ipv6 vrrp 60 进入vrrpv3的vrrp60
SW2(config-router)#virtual-ipv6 FE80:60::9 interface vlan 60 设置虚拟id并且绑定vlan
SW2(config)#router ipv6 vrrp 70 进入vrrpv3的vrrp70
SW2(config-router)#virtual-ipv6 FE80:70::9 interface vlan 70 设置虚拟id并且绑定vlan
SW2(config)#router ipv6 vrrp 80 进入vrrpv3的vrrp80
SW2(config-router)#virtual-ipv6 FE80:80::9 interface vlan 80 设置虚拟id并且绑定vlan
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
SW2(config)#router ipv6 vrrp 90 进入vrrpv3的vrrp90
SW2(config-router)#virtual-ipv6 FE80:90::9 interface vlan 90 设置虚拟id并且绑定vlan
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
- .AC1配置dhcpv4和dhcpv6,分别为SW1产品1段vlan10和分公司vlan100、
vlan110 和 vlan120 分配地址;ipv4 地址池名称分别为 POOLv4-10、POOLv4-100、
POOLv4-110、POOLv4-120,ipv6 地址池名称分别为 POOLv6-10、POOLv6-100、
POOLv6-110、POOLv6-120;ipv6 地址池用网络前缀表示;排除网关;DNS 分别为
114.114.114.114 和 2400:3200::1 ;DHCPv6必须启动
SW2(config)#ipv6 enable
SW2(config)#service dhcpv6 交换机dhcpv6启用命令
IPv4DHCP
AC(config)#ip dhcp pool POOLv4-10
AC(dhcp-poolv4-config)#network-address 10.10.11.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.10.11.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp pool POOLv4-100
AC(dhcp-poolv4-config)#network-address 10.17.100.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.17.100.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp pool POOLv4-110
AC(dhcp-poolv4-config)#network-address 10.17.110.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.17.110.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp pool POOLv4-120
AC(dhcp-poolv4-config)#network-address 10.17.120.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.17.120.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp excluded-address 10.10.11.1 阻止分配网关
AC(config)#ip dhcp excluded-address 10.17.110.1 阻止分配网关
AC(config)#ip dhcp excluded-address 10.17.120.1 阻止分配网关
AC(config)#ip dhcp excluded-address 10.17.100.1 阻止分配网关
IPv6DHCP
AC(config)#service dhcpv6 必须启动DHCPv6!!!
AC(config)#ipv6 dhcp pool POOLv6-10
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:10:11:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:10:11::1 阻止DHCPv6分配这个地址,也就是排除网关
AC(config)#ipv6 dhcp pool POOLv6-100
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:100:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:100::1 阻止DHCPv6分配这个地址,也就是排除网关
AC(config)#ipv6 dhcp pool POOLv6-110
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:110:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:110::1 阻止DHCPv6分配这个地址,也就是排除网关
AC(config)#ipv6 dhcp pool POOLv6-120
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:120:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:120::1 阻止DHCPv6分配这个地址,也就是排除网关
为 PC1 保 留 地 址 10.10.11.9 和2001:10:10:11::9,为 AP1 保留地址 10.17.100.9 和 2001:10:17:100::9,为 PC2保留地址 10.17.110.9 和 2001:10:17:110::9。
AC(config)#ip dhcp pool PC1
AC(dhcp-pc1-config)#hardware-address 00-50-56-C0-00-01 绑定主机mac地址(物理)
AC(dhcp-poolv4-config)#default-router 10.10.11.1 指定网关
AC(dhcp-poolv4-config)#dns-server 114.114.114.114 指定DNS
AC(config)#ip dhcp pool PC2
AC(dhcp-pc1-config)#host 10.17.110.9 255.255.255.0
AC(dhcp-pc1-config)#hardware-address 00-50-56-C0-00-01 绑定主机mac地址
AC(dhcp-poolv4-config)#default-router 10.17.110.1 指定网关
AC(dhcp-poolv4-config)#dns-server 114.114.114.114 指定DNS
AC(config)#ipv6 dhcp pool POOLv6-10
AC(dhcpv6-poolv6-10-config)#static-binding 2001:10:10:11::9 00-50-56-C0-00-01 保留地址并且绑定mac地址
AC(config)#ipv6 dhcp pool POOLv6-110
AC(dhcpv6-poolv6-110-config)#static-binding 2001:10:17:110::9 00-50-56-C0-00-01 保留地址并且绑定mac地址
SW1 上中继地址为 AC1 loopback1地址。SW1 启用 dhcpv4 和 dhcpv6 snooping,
如果 E1/0/1 连接 dhcpv4 服务器,则关闭该端口,4恢复时间为 1 分钟。
SW1(config)#service dhcp 开启dhcp功能
SW1(config)#service dhcpv6 开启dhcpv6功能
SW1(config)#ip forward-protocol udp bootps 开启dhcp中继功能
interface Vlan10 udp 用户数据协议
SW1(config-if-vlan10)#ip helper-address 10.10.8.1 //指定dhcp服务器地址
SW1(config-if-vlan10)#ipv6 dhcp rela destination 2001:10:10:8::1设置DHCPv6中继目标
SW1(config)#ip dhcp snooping enable //启动DHCP侦听
SW1(config)#savi enable
SW1(config)#savi ipv6 dhcp-only enable //开启DHCP侦听,仅用dhcp侦听
SW1(config-if-ethernet1/0/24)#ipv6 dhcp snooping trust//打开端口ipv6dhcp侦听,信任此端口
SW1(config-if-ethernet1/0/24)#ip dhcp snooping trust //打开ipv4dhcp侦听,信任此端口
SW1(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown recovery 60 侦听端口
- .SW1、SW2、SW3、RT1 以太链路、RT2 以太链路、FW1、FW2、AC1 之间运行
OSPFv2 和 OSPFv3 协议(路由模式发布网络用接口地址,BGP 协议除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1 之间 OSPFv2 和 OSPFv3 协议,进程 1,
区域 0,分别发布 loopback1 地址路由和产品路由,FW1 通告 type2 默认路由。
SW1(config)#router ospf 1
SW1(config-router)#router-id 10.10.1.1 SW1的环回地址
SW1(config-router)#network 10.10.255.14 0.0.0.0 area 0 严格匹配直接发布自己的接口地址
SW1(config-router)#network 10.10.255.5 0.0.0.0 area 0
SW1(config-router)#network 10.10.255.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.1.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.11.1 0.0.0.0 area 0 产品1段
SW1(config-router)#network 10.10.60.1 0.0.0.0 area 0 产品管理
SW1(config-router)#network 10.10.70.1 0.0.0.0 area 0 产品研发
SW1(config-router)#network 10.10.80.1 0.0.0.0 area 0 产品生产
SW1(config-router)#network 10.10.90.1 0.0.0.0 area 0 产品支持
SW2(config)#router ospf 1
SW2(config-router)#router-id 10.10.2.1 SW2的环回地址
SW2(config-router)#network 10.10.255.2 0.0.0.0 area 0
SW2(config-router)#network 10.10.255.9 0.0.0.0 area 0
SW2(config-router)#network 10.10.255.22 0.0.0.0 area 0
SW2(config-router)#network 10.10.2.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.21. 0.0.0.0 area 0 产品2段
SW1(config-router)#network 10.10.60.2 0.0.0.0 area 0 产品管理
SW1(config-router)#network 10.10.70.2 0.0.0.0 area 0 产品研发
SW1(config-router)#network 10.10.80.2 0.0.0.0 area 0 产品生产
SW1(config-router)#network 10.10.90.2 0.0.0.0 area 0 产品支持
SW3(config)#router ospf 1
SW3(config-router)#router-id 10.10.3.1 SW3的环回地址
SW3(config-router)#network 10.10.255.6 0.0.0.0 area 0
SW3(config-router)#network 10.10.255.10 0.0.0.0 area 0
SW3(config-router)#network 10.10.3.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.31.1 0.0.0.0 area 0 产品1段
SW1(config-router)#network 10.10.60.3 0.0.0.0 area 0 产品管理
SW1(config-router)#network 10.10.70.3 0.0.0.0 area 0 产品研发
SW1(config-router)#network 10.10.80.3 0.0.0.0 area 0 产品生产
SW1(config-router)#network 10.10.90.3 0.0.0.0 area 0 产品支持
R1_config#router ospf 1
R1_config_ospf_1#router-id 10.10.4.1
R1_config_ospf_1#router-id 10.10.4.1 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.29 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.21 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.18 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.25 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.33 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.37 255.255.255.255 area 0
R2_config#router ospf 1
R2_config_ospf_1#router-id 10.10.5.1
R2_config_ospf_1#network 10.10.255.30 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.255.41 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.255.38 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.255.34 255.255.255.255 area 0
R2_config_ospf_1#network 200.200.200.6 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.5.1 255.255.255.255 area 0
FW-1(config-vrouter)# router ospf 1
FW-1(config-router)# router-id 10.10.6.1
FW-1(config-router)# network 10.10.255.17/32 area 0.0.0.3
FW-1(config-router)# network 200.200.200.2/32 area 0.0.0.3
FW-1(config-router)# network 10.10.6.1/32 area 0.0.0.3
FW-2(config-router)# default-information originate type 2 下发type2默认路由
IPv6
SW1(config)#router ipv6 ospf 1
SW1(config-router)#router-id 10.10.11.1
SW1(config)#int loopback 1
SW1(config-if-loopback1)#ipv6 router ospf tag 1 area 0
SW2(config)#router ipv6 ospf 1
SW2(config-router)#router-id 10.10.21.1
SW2(config)#int loopback 1
SW2(config-if-loopback1)#ipv6 router ospf tag 1 area 0
SW3(config)#router ipv6 ospf 1
SW3(config-router)#router-id 10.10.31.1
SW3(config)#int loopback 1
SW3(config-if-loopback1)#ipv6 router ospf tag 1 area 0
(2)RT2 与 AC1 之间运行 OSPFv2 协议,process 1,area 1 nssa no summary;AC1 发布 Loopback1 地址路由、管理、产品和营销路由用 prefix-list 重发布 Loopback3,prefix-list 名称AC1-Loopback3-IPv4。
RT1
router ospf 1
netw 10.4.255.21 255.255.255.252 area 1
area 1 nass no-summary
Exi
AC1
router ospf 1
network 10.4.4.1/32 area 1
network 10.4.4.2/32 area 1
network 10.4.4.3/32area 1
network 10.4.255.46/30 area 1
area 1 nssa no-summary
exi
Int lo3
exi
ip prefix-list AC1-Loopback3-IPv4 permit 10.4.4.3/32
ip prefix-list AC1-Loopback3-IPv4 permit any
route-map loopback3 permit 10
match ip address prefix-list loopback3
exit
route-map loopback3 permit 1
exit
router ospf 1
redistribute connected route-map loopback3
- RT1、FW2 之间 OSPFv2 和 OSPFv3 协议,进程 2,区域 2;
RT1 发布 loopback4路由,向该区域通告 type1 默认路由;FW2 发布 loopback1 路由,
R1_config#router ospf 2
R1_config_ospf_2#router-id 10.10.4.4
R1_config_ospf_2#network 10.10.255.29 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.21 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.18 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.25 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.33 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.37 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.4.4 255.255.255.255 area 2
FW-2(config-vrouter)# router ospf 2
FW-2(config-router)# router-id 10.10.8.1 (10.10.7.1)
FW-2(config-router)# network 10.10.255.17/32 area 0.0.0.3 10.10.255.45/32 area 0.0.0.3
FW-2(config-router)# network 10.10.255.13/32 area 0.0.0.3 10.10.255.26/32 area 0.0.0.3
FW-2(config-router)# network 10.10.6.1/32 area 0.0.0.3
FW-2(config-vrouter)# ip route 0.0.0.0 0.0.0.0 10.10.255.25
FW-2(config-router)# default-information originate type 1
R1_config_ospf_2#redistribute ospf 1
R1_config_ospf_1#redistribute ospf 2
FW2 禁止学到集团和分公司的所有路由。
新建访问控制列表,添加规则禁止10.10.255.0网段的网络通过
FW-2(config)# access-list route FW deny 10.10.255.0/30
FW-2(config)# access-list route FW deny 10.10.255.4/30 10.10.255.5/6
FW-2(config)# access-list route FW deny 10.10.255.12/30 10.10.255.13/14
FW-2(config)# access-list route FW deny 10.10.255.8/30 10.10.255.9/10
FW-2(config)# access-list route FW deny 10.10.255.20/30 10.10.255.21/22
FW-2(config)# access-list route FW deny 10.10.255.16/30 10.10.255.17/18
FW-2(config)# access-list route FW deny 10.10.255.40/30 10.10.255.41/42
FW-2(config-router)# distribute-list acl in //旧设备不可用
RT1 用 prefix-list 匹配 FW2 loopback1 路由、SW3模拟办事处 loopback2 和产品路由、
RT1 与 FW2 直连 ipv4 路由,将这些路由重发布到区域 0。
R1_config#ip prefix-list 1 permit 10.10.255.0/32
R1_config#ip prefix-list 1 permit 10.10.110.0/32
R1_config#ip prefix-list 1 permit 10.10.3.0/24 le 24 10.10.3.1/32
R1_config#ip prefix-list 1 permit 10.10.7.0/24 le 26 10.10.7.1/32
- 修改 ospf cost 为 100,实现 SW1 分别与 RT2、FW2 之间 ipv4 和 ipv6 互
访流量优先通过 SW1_SW2_RT1 链路转发,SW2 访问 Internet ipv4 和 ipv6 流量
优先通过 SW2_SW1_FW1 链路转发。
- RT1 串行链路、RT2 串行链路、FW1、AC1 之间分别运行 RIP 和 RIPng 协议,
FW1、RT1、RT2 的 RIP 和 RIPng 发布 loopback2 地址路由,AC1 RIP 发布 loopback2
地址路由,
R1_config_rip#router rip
R1_config_rip#version 2
Interface eth 1/0/1
Ip rip 1 enable
Ipv6 rip 1 enable
AC1 RIPng 采用 route-map 匹配 prefix-list 重发布 loopback2 地址
路由。
RT1 配置 offset 值为 3 的路由策略,实现 RT1-S1/0_RT2-S1/1 为主链路,
RT1-S1/1_RT2-S1/0 为备份链路,ipv4 的 ACL 名称为 AclRIP,ipv6 的 ACL 名称
为 AclRIPng。·
ip access-list standard AclRIP //创建ipv4的acl,名称为aclrip
permit <source-ip> <wildcard-mask> //ipv4的acl允许项
# 创建 IPv6 的 ACL(Access Control List)
ipv6 access-list AclRIPng
permit <source-ipv6>
# 创建路由地图
route-map RIP-Offset-Map permit 10 //创建路由地图,名称为rip-offset-map
match ip address AclRIP //匹配刚刚创建的ipv4 acl
set metric 3 //设置offset值为3
# 应用路由地图到 RT1-S1/0_RT2-S1/1 主链路
interface Serial1/0 //进入serial1/0接口配置视图
ip policy route-map RIP-Offset-Map //路由映射至接口内,指定为rip-offset-map路由表
# 创建备份链路的路由地图
route-map RIP-Backup-Offset-Map permit 10
match ip address AclRIP
set metric 6
# 应用路由地图到 RT1-S1/1_RT2-S1/0 备份链路
interface Serial1/1
ip policy route-map RIP-Backup-Offset-Map
RT1 的 S1/0 与 RT2 的 S1/1 之间采用 chap 双向认证,用户名为对端设备名称,密码为 Pass-1234。
针是1,孔是2,针连孔,孔连针,2配速率,1不配
R2_config#aaa authentication ppp test local
R2_config#username RT1 password Pass-1234
R2_config#int s0/1
R2_config_s0/1#encapsulation ppp
R2_config_s0/1#ppp authentication chap test
R2_config_s0/1#ppp chap hostname RT1
标签:运维,0.0,网络,答案,10.10,SW1,router,SW2,config From: https://blog.csdn.net/yyt666666/article/details/143406874