模块A 网络构建
任务描述
CII 公司是一家以日用电子商品销售为主的电子商务公司,公司的总部在北京,通过网络覆盖全国的销售业务。随着CII公司业务范围的不断发展壮大,公司希望以北京为中心,再分别在吉林和广州建设两个区域分中心,作为北方业务和南方大区的业务指导中心,开展精准营销,积极拓展公司的全国业务。在北京总部通过建设完善的互联网,分别和吉林和广州两个区域分中心实现互联互通
火星公司是一家北京的网络渠道集成商,和 CII 公司建立有长期的合作关系,一直承担着北京总部的网络维护业务,熟悉公司的各项业务和应用。为了实现北京总部中运维的业务和两个区域分中心的业务实现快速、无缝对接,不出现差错,你作为火星公司一名网络工程师,前往 CII 集团了解公司的网络建设任务, 完成广州及吉林区域分中心的网络规划与建设任务,实现 CII 公司全国网络的互联互通
任务清单
(一)网络基础信息配置
1.根据附录1拓扑图及附录2地址规划表,配置设备接口信息
2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234。密码为明文类型,特权密码为admin
S1/S2/S3/S4/S5/S6/S7 AC1/AC2
S1(config)#enable service ssh-server
S1(config)#crypto key generate dsa
% You already have DSA keys.
% Do you really want to replace them? [yes/no]:
S1(config)#line vty 0 4
S1(config-line)#login local
S1(config-line)#exit
S1(config)#username admin password admin 1234
S1(config)#enable password amin
S1(config)#end
S1#write
3.S7设备配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息
1、创建访问控制列表名“abc”,允许IP地址为192.168.1.2/24
Ruijie(config)#ip access-list standard abc
Ruijie(config-std-nacl)#permit host 192.168.1.2
Ruijie(config-std-nacl)#exit
配置交换机读写的Community为“ruijie”,只读的Community为“public”,通常只读口令和读写口令单独配置,提升安全性,并关联访问控制列表“abc”,只允许访问控制列表里面的用户能读写交换机信息
S1(config)#snmp-server community test rw abc
S1(config)#snmp-server community public ro abc
配置交换机主动向PC发送消息,PC地址为192.168.1.2,community为“ruijie”
S1(config)#snmp-server host 172.16.0.254 version 2c test
S1(config)#snmp-server host 172.16.0.254 traps version 2c public
使能交换机主动发送Trap消息
S1(config)#snmp-server enable traps
(二)配置有线网络
1.在全网Trunk链路上做VLAN修剪
2.在S5、S6的Gi0/10-Gi0/15端口上启用端口保护
S5/S6
S5(config)#interface range gi 0/10-15
S5(config)#switchport protected
3.在S5、S6连接PC机端口上开启Portfast和BPDUguard防护功能
S5(config)#rldp enable
S5(config)#int rang gi 0/1-4
S5(config-if-range)#spanning-tree bpduguard enable
S5(config-if-range)#spanning-tree portfast
S5(config-if-range)#errdisable recovery interval 300
S6(config)#rldp enable
S6(config)#int range gi 0/1-16
S6(config-if-range)#spanning-tree bpduguard enable
S6(config-if-range)#spanning-tree portfast
S6(config-if-range)#rldp port loop-detect shutdown-port
S6(config-if-range)#errdisable recovery interval 300
4.在S6上连接PC的接口开启BPDU防环,检测到环路后处理方式为 Shutdown-Port,并设置接口为边缘端口
5.如果端口被 BPDU Guard检测进入 Err-Disabled状态,再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路
6.在S6交换机部署DHCP Snooping功能
S6(config)#ip dhcp snooping
S6(config)#interface gi 0/23
S6(config-if-GigabitEthernet 0/23)#ip dhcp snooping trust
S3(config)#service dhcp
S3(config)#int vlan 100
S3(config-if-VLAN 100)#ip ad 193.1.100.252 255.255.255.0
S3(config-if-VLAN 100)#exit
S3(config)#ip dhcp pool vlan1
S3(dhcp-config)#network 193.1.100.0 255.255.255.0
S3(dhcp-config)#default-router 193.1.100.252
S4(config)#service dhcp
S4(config)#int vlan 100
S4(config-if-VLAN 100)#ip ad 193.1.100.253 255.255.255.0
S4(config-if-VLAN 100)#exit
S4(config)#ip dhcp pool vlan2
S4(dhcp-config)#default-router 193.1.100.253
7.S6交换机部署端口安全,接口Gi0/13只允许PC2通过
S6(config)#int gi 0/13
S6(config-if-GigabitEthernet 0/13)#switchport port-security
8.在S3、S4、S6上配置MSTP防止二层环路。要求所有数据流经过S4转发,S4失效时经过S3转发。region-name为test。revision版本为1。S3作为实例中的从根, S4作为实例中的主根。主根优先级为4096,从根优先级为8192
S6(config)#spanning-tree
S6(config)#spanning-tree mode mstp
S3(config)#spanning-tree
S3(config)#spanning-tree mst configuration
S3(config-mst)#name test
S3(config-mst)#revision 1
S3(config-mst)#instance 1 vlan 10,20,30,40,100
S3(config-mst)#exit
S3(config)#spanning-tree mst 1 priority 8192
S3(config)#spanning-tree mode mstp
S4(config)#spanning-tree
S4(config)#spanning-tree mode mstp
S4(config)#spanning-tree mst configuration
S4(config-mst)#instance 1 vlan 10,20,30,40,100
S4(config-mst)#exit
S4(config)#spanning-tree mst 1 priority 4096
9.在S3和S4上配置VRRP,实现主机的网关冗余,所配置的参数要求如表1。S3、S4各VRRP组中高优先级设置为150,低优先级设置为120
S3(config)#vlan 10
S3(config-vlan)#int vlan 10
S3(config-if-VLAN 10)#ip ad 193.1.10.252 255.255.255.0
S3(config-if-VLAN 10)#vrrp 10 ip 193.1.10.254
S3(config-if-VLAN 10)#vrrp 10 priority 120
S3(config-if-VLAN 10)#vlan 20
S3(config-vlan)#int vlan 20
S3(config-if-VLAN 20)#ip ad 193.1.20.252 255.255.255.0
S3(config-if-VLAN 20)#vrrp 20 ip 193.1.20.254
S3(config-if-VLAN 20)#vrrp 20 priority 120
S3(config-if-VLAN 20)#vlan 30
S3(config-vlan)#int vlan 30
S3(config-if-VLAN 30)#ip ad 193.1.30.252 255.255.255.0
S3(config-if-VLAN 30)#vrrp 30 ip 193.1.30.254
S3(config-if-VLAN 30)#vrrp 30 priority 120
S3(config-if-VLAN 30)#vlan 40
S3(config-vlan)#int vlan 40
S3(config-if-VLAN 40)#ip ad 193.1.40.252 255.255.255.0
S3(config-if-VLAN 40)#vrrp 40 ip 193.1.40.254
S3(config-if-VLAN 40)#vrrp 40 priority 120
S3(config-if-VLAN 40)#vlan 100
S3(config-vlan)#int vlan 100
S3(config-if-VLAN 100)#ip ad 193.1.100.252 255.255.255.0
S3(config-if-VLAN 100)#vrrp 100 ip 193.1.100.254
S3(config-if-VLAN 100)#vrrp 100 priority 120
S4(config)#vlan 10
S4(config-vlan)#int vlan 10
S4(config-if-VLAN 10)#ip ad 193.1.10.253 255.255.255.0
S4(config-if-VLAN 10)#vlan 20
S4(config-vlan)#int vlan 20
S4(config-if-VLAN 20)#ip ad 193.1.20.253 255.255.255.0
S4(config-if-VLAN 20)#vlan 30
S4(config-vlan)#int vlan 30
S4(config-if-VLAN 30)#ip ad 193.1.30.253 255.255.255.0
S4(config-if-VLAN 30)#vlan 40
S4(config-vlan)#int vlan 40
S4(config-if-VLAN 40)#ip ad 193.1.40.253 255.255.255.0
S4(config-vlan)#int vlan 100
S4(config-if-VLAN 100)#ip ad 193.1.100.253 255.255.255.0
S4(config-if-VLAN 100)#int vlan 10
S4(config-if-VLAN 10)#vrrp 10 ip 193.1.10.254
S4(config-if-VLAN 10)#vrrp 10 priority 150
S4(config-if-VLAN 10)#int vlan 20
S4(config-if-VLAN 20)#vrrp 20 ip 193.1.20.254
S4(config-if-VLAN 20)#vrrp 20 priority 150
S4(config-if-VLAN 20)#int vlan 30
S4(config-if-VLAN 30)#vrrp 30 ip 193.1.30.254
S4(config-if-VLAN 30)#vrrp 30 priority 150
S4(config-if-VLAN 30)#int vlan 40
S4(config-if-VLAN 40)#vrrp 40 ip 193.1.40.254
S4(config-if-VLAN 40)#vrrp 40 priority 150
S4(config-if-VLAN 40)#int vlan 100
S4(config-if-VLAN 100)#vrrp 10 ip 193.1.100.254
VRRP: 193.1.100.254 has been assigned to virtual router 100 on VLAN 100.
S4(config-if-VLAN 100)#vrrp 100 ip 193.1.100.254
S4(config-if-VLAN 100)#vrrp 100 priority 150
S4(config-if-VLAN 100)#
表1 S3和S4的VRRP参数表
VLAN |
VRRP备份组号(VRID)
|
VRRP虚拟IP
|
VLAN10
|
10
|
193.1.10.254
|
VLAN20
|
20
|
193.1.20.254
|
VLAN30
|
30
|
193.1.30.254
|
VLAN40
|
40
|
193.1.40.254
|
VLAN100(交换机间)
|
100
|
193.1.100.254
|
10.S1和S2设置为虚拟化,S1和S2间的Te0/51-52端口作为VSL链路,其中S2为主,S1为备。规划S1和S2间的Gi0/48端口作为双主机检测链路。
S2主设备:Domain id:1,switch id:2,priority 150, description: S6000-2;
S1备设备:Domain id:1,switch id:1,priority 120, description: S6000-1
S1(config)#switch virtual domain 1
S1(config-vs-domain)#switch 1 priority 120
S1(config-vs-domain)#switch 1 description S6000-1
S1(config-vs-domain)#exit
S1(config)#vsl-port
S1(config-vsl-port)#port-member interface te 0/51
S1(config-vsl-port)#port-member interface te 0/52
S1(config-vsl-port)#exit
S1(config)#
S2(config)#switch virtual domain 1
S2(config-vs-domain)#switch 2 priority 150
S2(config-vs-domain)#switch 2 description S6000-2
S2(config-vs-domain)#exit
S2(config)#vsl-port
S2(config-vsl-port)#port-member interface te 0/51
S2(config-vsl-port)#port-member interface te 0/52
S2(config-vsl-port)#end
switch convert mode virtual
11.R1、S1/S2、AC1、AC2间运行OSPF,进程号为10。EG1、S3、S4间运行OSPF,进程号为10。S5、EG2使用静态路由
R1:
network 12.1.0.1 0.0.0.255 area 0
network 13.1.0.1 0.0.0.255 area 0
network 10.1.0.10 0.0.0.3 area 0
network 11.1.0.1 0.0.0.0 area 0
S1:
router ospf 10
network 10.1.0.8 0.0.0.3 area 0
network 11.1.0.31 0.0.0.0 area 0
network 192.1.20.0 0.0.0.255 area 0
network 192.1.30.0 0.0.0.255 area 0
network 192.1.100.0 0.0.0.255 area 0
12.要求业务网段中不出现协议报文。所有路由协议都发布具体网段。需要发布Loopback地址;
13.**优化OSPF相关配置,以尽量加快OSPF收敛。广州分部需要重分发默认路由到OSPF中。本部出口路由器R1上不允许配置默认路由,但需要让本部所有设备都学习到指向R1的默认路由。重发布路由进OSPF中使用类型1。**
14.R1**、R2、R3间部署IBGP,AS号为100, 使用Loopback接口建立Peer,建立全互联的IBGP邻居;**
15.**二级运营商通告EG1、EG2的直连网段到BGP中,实现R1能够访问到EG1、EG2的外网接口。**
16.**可通过修改OSPF 路由COST达到分流的目的,且其值必须为5或10。广州分部有线IPV4用户与互联网互通主路径规划为:S6-S4-EG1;主链路故障时可无缝切换到备用链路上。**
17.S6**的Gi0/5至Gi0/16接口入方向设置接口限速,限速10Mbps,猝发流量1024 kbytes。R3服务节点在带宽为2Mbps的S3/0接口做流量整形。**
18.R3**服务节点在G0/0接口做流量监管,上行报文流量不能超过10Mbps,Burst-normal为1M bytes, Burst-max为2M bytes如果超过流量限制则将违规报文丢弃。**