1+x网络系统建设与运维（中级）-练习3

首页
互联网
正文

一.设备命名

AR1

[Hua wei]sys n AR1
[AR1]

同理可得，所有设备的命名如上图所示

二.VLAN

LSW1

[LSW1]vlan 10
[LSW1-vlan10]q
[LSW1]int g0/0/1
[LSW1-Gi g a bitEth er net0/0/1]port link–type access
[LSW1-Gi g abi tEth er net0/0/1]p o rt default vlan 10
[LSW1-Gi g abi tEt h er net0/0/1]int g0/0/2
[LSW1-Gi g abi tEt h er net0/0/2]port link–type access
[LSW1-Gigabi tEth er net0/0/2]port default vlan 10
[LSW1-GigabitEth er net0/0/2]int e0/0/10
[LSW1-Eth er net0/0/10]port link–type trunk
[LSW1-Eth er net0/0/10]port trunk allow–pass vlan 10
[LSW1-Ethe rn et0/0/10]int e0/0/11
[LSW1-Ethe rn et0/0/11]port link–type trunk
[LSW1-Ether n et0/0/11]port trunk allow–pass v lan 10
[LSW1-Ethe r n et0/0/11]int eth 1
[LSW1-Eth-Trun k1]port link–type trunk
[LSW1-Eth-Trun k1]port trunk allow–pass v lan 10
[LSW1-Eth-Trun k1]q
[LSW1]di s po v lan

LSW2

[LSW2]v lan 10
[LSW2-v lan10]q
[LSW2]int e0/0/10
[LSW2-Ethern et0/0/10]port link–type trunk
[LSW2-Ethern et0/0/10]port trunk allow–pass v lan 10
[LSW2-Ethernet0/0/10]int e0/0/12
[LSW2-Ethernet0/0/12]port link–type trun k
[LSW2-Ethernet0/0/12]port trun k allow–pass vlan 10
[LSW2-Ethernet0/0/12]int e0/0/1
[LSW2-Ethernet0/0/1]port link–type access
[LSW2-Ethernet0/0/1]port default vlan 10

LSW3

[LSW3]int e0/0/10
[LSW3-Ethernet0/0/10]port link-ty pe trun k
[LSW3-Ethernet0/0/10]port trun k allow–pass vlan 10
[LSW3-Ethernet0/0/10]i nt e0/0/12
[LSW3-Ethernet0/0/12]port link-ty pe trun k
[LSW3-Ethernet0/0/12]port trun k allow–pass vlan 10
[LSW3-Ethernet0/0/12]int e0/0/1
[LSW3-Ethernet0/0/1]port link-ty pe access
[LSW3-Ethernet0/0/1]port default vlan 10
[LSW3-Ethernet0/0/1]di s po vlan

LSW4

[LSW4]vlan 10
[LSW4-vlan10]int e0/0/1
[LSW4-Ethernet0/0/1]port link-ty pe access
[LSW4-Ethernet0/0/1]port default vlan 10
[LSW4-Ethernet0/0/1]int eth 1
[LSW4-Eth-Trunk1]port link-ty pe tr unk
[LSW4-Eth-Trunk1]port tr unk allow–pass vlan 10
[LSW4-Eth-Trunk1]q
[LSW4]di s po vlan

三.IP编址

AR1

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.1.12.1 30
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.10.100 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 10.1.14.1 30
[AR1-GigabitEthernet0/0/2]int loo0
[AR1-LoopBack0]ip add 1.1.1.1 32

AR2

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 10.1.12.2 30
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 10.1.23.1 30
[AR2-GigabitEthernet0/0/1]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip add 192.168.10.101 24
[AR2-GigabitEthernet0/0/2]int loo0
[AR2-LoopBack0]ip add 2.2.2.2 32

AR3

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 10.1.23.2 30
[AR3-GigabitEthernet0/0/0]int loo0
[AR3-LoopBack0]ip ad d 3.3.3.3 32

AR4

[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]ip ad d 10.1.14.2 30
[AR4-GigabitEthernet0/0/0]int loo0
[AR4-LoopBack0]ip add 4.4.4.4 32

四.STP

为了防止二层网络中出现环路和提高网络可靠性，在 LSW1 和LSW2,LSW3 之间配置STP协议。
1.STP模式为 STP。设置LSW1 的优先级为 4096 使其成为根桥。

LSW1

[LSW1]stp mode stp

[LSW1]stp priority 4096

LSW2

[LSW2]stp mode stp

LSW3

[LSW3]stp mode stp

LSW4

[LSW4]stp mode stp

五.链路 聚合 配置

为了保证链路的稳定性，同时在不升级硬件设备的前提下最大限度的提升带宽。在 LSW1 与LSW4 之间配置链路聚合。请通过 Lacp 模式实现二层链路聚合，成员接口为 Ethernet0/0/20,Ethernet 0/0/21，链路聚合接口ID 为1并且SW1 作为 LACP 的主动端，优先级4096

LSW1

[LSW1]int Eth-Trunk 1
[LSW1-Eth-Trunk1]mode lacp–static
[LSW1-Eth-Trunk1]trunkport e 0/0/20 to 0/0/21

[LSW1-Eth-Trunk1]q

[LSW1]lacp priority 4096

[LSW1]di s eth–trunk 1

LSW4

[LSW4]int Eth-Trunk 1
[LSW4-Eth-Trunk1]mode lacp–static
[LSW4-Eth-Trunk1]trunkport e 0/0/20 to 0/0/21
[LSW4-Eth-Trunk1]q
[LSW4]di s eth–trunk 1

六.路由 配置

1.AR1上配置一条前往AR4的 Loop back0 接口地址的静态路由，下一跳为对端 AR4物理接口.
AR1、AR2、AR3 之间使用OSPF 路由协议调通，路由器都需要开启OSPF 1进程,并手动配置 RouterID与其设备 Loop b ack0 口地址一致。
2.在路由器AR1、AR2、AR3 上启用 OSPF 路由协议，并将对应网络地址及掩码进行宣告加入到 OSPF 区域0中。
3.为了保证路由交互的安全性，在 AR1、AR2、AR3 之间采用区域认证，选择 md5 加密算法，认证密销ID 为1，密钥类型为 cipher，密码为“Hua wei@123′

AR1

[AR1]ospf 1 router–id 1.1.1.1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]authenti cat ion–mode md5 1 cipher Hua wei@123
[AR1-ospf-1-area-0.0.0.0]network 10.1.12.1 0.0.0.3
[AR1-ospf-1-area-0.0.0.0]network 192.168.10.100 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

AR2

[AR2]ospf 1 router–id 2.2.2.2
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 10.1.12.2 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]network 10.1.23.1 0.0.0.3
[AR2-osp f-1-area-0.0.0.0]network 192.168.10.101 0.0.0.255
[AR2-osp f-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[AR2-ospf-1-area-0.0.0.0]authenti cat ion–mode md5 1 cipher Hua wei@123

AR3

[AR3]ospf 1 router–id 3.3.3.3
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]authentication–mode md5 1 cipher Hua wei@123

[AR3-ospf-1-area-0.0.0.0]network 10.1.23.2 0.0.0.3
[AR3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

七.网关 备份

为确保工作的正常开展，需要对出口网关进行备份来提高网络整体的可靠性。
1.路由器AR1、AR2之间使能VRRP 协议，VRID 为 15，虚拟IP 地址为192.168.10.254/。
2.修改AR1 接口优先级为 150，使得 AR1 成为 Master 设备，AR2 作为 Back up 设备。

AR1

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]vrrp vri d 15 virtual-ip 192.168.10.254
[AR1-GigabitEthernet0/0/1]vrrp vr id 15 pr iority 150
[AR1-GigabitEthernet0/0/1]q
[AR1]dis vrrp br ief

AR2

[AR2]int g0/0/2
[AR2-GigabitEthernet0/0/2]vrrp vr id 15 virtual-ip 192.168.10.254

八.出口配置

为支持校园网络用户访问外部网络的需求。
1.AR1 创建访问控制列表 2000,配置规则允许实验楼、教学楼以及教务处用户网段通过,在 AR1 的GO/0/2接口上配置 Easy IP，调用的访问控制列表编号为 2000。

AR1

[AR1]acl 2000
[AR1-acl–basic-2000]rule permit source 192.168.10.0 0.0.0.255
[AR1-acl–basic-2000]q
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]nat outbound 2000
[AR1-GigabitEthernet0/0/2]dis nat out

九.Telnet服务配置

为方便日后对设备的维护和检查。现需进行以下操作。
1.AR1、AR2、AR3配置开启 telnet 服务，调用虚拟接口04，认证模式为 aaa 认证，新建本地用户，用户名为admin，密码密文显示，设置为 hua wei，配置用户等级为3 级

AR1

[AR1]aaa

[AR1-aaa]local–user admin password cipher hua wei
[AR1-aaa]local–user ad min privilege level 3
[AR1-aaa]local–user ad min service-type telnet
[AR1-aaa]q
[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]authentication–mode aaa

AR2

[AR2]aaa
[AR2-aaa]local–user ad min password cipher huawei
[AR2-aaa]local–user ad min privilege level 3
[AR2-aaa]local–user admin service-type telnet
[AR2-aaa]q
[AR2]user-interface vty 0 4
[AR2-ui-vty0-4]authentication–mode aaa
[AR2-ui-vty0-4]q

AR3

[AR3]aaa
[AR3-aaa]local–user admin password cipher huawei
[AR3-aaa]local–user admin privilege level 3
[AR3-aaa]local–user admin service-type telnet
[AR3-aaa]q
[AR3]user-interface vty 0 4
[AR3-ui-vty0-4]authenti cation–mode aaa
[AR3-ui-vty0-4]q

十.访问控制

出于安全性考虑，现需教学楼设备、实验楼设备访问教务处。
1.在 LSW1 设备上创建访问控制列表 3000，配置规则拒绝教学楼设备、实验楼设备访问教务处，在Eth-Trunk1 接口上使能该规则，选择合适的过滤方向

LSW1

[LSW1]acl 3000
[LSW1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.3 destinat ion 192.168.
10.3 0.0.0.0
[LSW1-acl-adv-3000]q
[LSW1]int Eth-Trunk 1
[LSW1-Eth-Trunk1]traffic-filter outbound acl 3000