任务描述

CII集团公司业务不断发展壮大,为适应IT行业技术飞速发展,满足公司业务发展需要,集团公司决定建设北京本部、广州及吉林分部的信息化网络。你做为火星公司网络工程师前往CII集团完成网络规划与建设任务。

任务清单

(一)基础配置

1.根据附录1拓扑图及附录2地址规划表,配置设备接口信息。

2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin。

username admin password admin123  \\创建用户和密码
enable password admin  \\创建特权密码
enable service ssh-server  \\开启SSH
crypto key generate rsa  \\创建私钥
y

line vty 0 4  \\0至4个VTY(虚拟终端口)
login local  \\使用本地用户登陆

3.S7设备配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息。

S7(config)#snmp-server host 172.16.0.254 version 2c Test  \\指定snmpV2Ctrap报文
S7(config)#snmp-server host 172.16.0.254 version 2c public  \\指定snmpV2Ctrap报文
S7(config)#snmp-server enable traps  \\使交换机主动向PC发消息
S7(config)#snmp-server community Test rw  \\配置读写权限
S7(config)#snmp-server community public ro  \\配置只读权限

(二)有线网络配置

1.在全网Trunk链路上做VLAN修剪。

2.在S5、S6的Gi0/10-Gi0/15端口上启用端口保护。

S6(config)#int range g0/10-15
S6(config-if-range)#switchport protected  \\开启端口保护

3.在S5、S6连接PC机端口上开启Portfast和BPDUguard防护功能。

S6(config-if-range)#int range g0/5-16
S6(config-if-range)#spanning-tree portfast  \\设置该端口为快速端口(加快收敛,启用了PortFast的端口上会自动启用BPDU防护特性)
S6(config-if-range)#spanning-tree bpduguard enable  \\启用BPDU防护(配置 BPDU Guard)

4.在S6上连接PC的接口开启BPDU防环,检测到环路后处理方式为 Shutdown-Port,并设置接口为边缘端口。

5.如果端口被 BPDU Guard检测进入 Err-Disabled状态,再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路。

S6(config-if-range)#rldp port loop-detect shutdown-port  \\开启环路故障检测,如果遇到故障端口自动shutdown
S6(config-if-range)#errdisable recovery interval 300  \\出现disable error时300秒后恢复端口

6.在S6交换机部署DHCP Snooping功能。

S6(config)#service dhcp  \\开启dhcp服务
S6(config)#ip dhcp snooping   \\开启dhcp snooping功能
S6(config)#int range g0/23-24
S6(config-if-range)#switchport mode trunk  \\配置端口为trunk模式
S6(config-if-range)#switchport trunk allowed vlan only 10,20,30,40,100  \\允许VLAN10,20,30,40,100通过
S6(config-if-range)#ip dhcp snooping trust  \\将DHCP服务器接口配置为trust(信任端口)

7.S6交换机部署端口安全,接口Gi0/13只允许PC2通过。

S6(config)#int g0/13
S6(config-if-GigabitEthernet 0/13)#switchport port-security mac-address 00E0.4C36.0F97 vlan 40  \\静态绑定一个MAC地址,并关联VLAN 40。

8.在S3、S4、S6上配置MSTP防止二层环路;要求所有数据流经过S4转发,S4失效时经过S3转发。region-name为test;revision版本为1;S3作为实例中的从根, S4作为实例中的主根;主根优先级为4096,从根优先级为8192。

S6(config)#spanning-tree  \\开启生成树
S6(config)#spanning-tree mst configuration  \\配置生成树MSTP域参数
S6(config-mst)#revision 1  \\版本号配置为1 
S6(config-mst)#name test  \\名称配置为test

S3(config)#spanning-tree  \\开启生成树
S3(config)#spanning-tree mst configuration  \\配置生成树MSTP域参数
S3(config-mst)#revision 1  \\版本号配置为1 
S3(config-mst)#name test  \\名称配置为test
S3(config)#spanning-tree mst 0 priority 8192  \\配置 MST实例0 的优先级,只有 MST实例0 才发送 BPDU。

S4(config)#spanning-tree  \\开启生成树
S4(config)#spanning-tree mst configuration  \\配置生成树MSTP域参数
S4(config-mst)#revision 1  \\版本号配置为1 
S4(config-mst)#name test  \\名称配置为test
S4(config)#spanning-tree mst 0 priority 4096  \\配置 MST实例0 的优先级,只有 MST实例0 才发送 BPDU。
show run | begin sp  \\ 查看spanning相关配置

9.在S3和S4上配置VRRP,实现主机的网关冗余,所配置的参数要求如表1;S3、S4各VRRP组中高优先级设置为150,低优先级设置为120。

表1 S3和S4的VRRP参数表

VLANVRRP备份组号(VRID)VRRP虚拟IP
VLAN1010193.1.10.254
VLAN2020193.1.20.254
VLAN3030193.1.30.254
VLAN4040193.1.40.254
VLAN100(交换机间)100193.1.100.254
S4/S3 (150/120) 
int vlan 10
vrrp 10 ip 193.1.10.254
vrrp 10 pri 150(120)
int vlan 20
vrrp 20 ip 193.1.20.254
vrrp 20 pri 150(120)
int vlan 30
vrrp 30 ip 193.1.30.254
vrrp 30 pri 150(120)
int vlan 40
vrrp 40 ip 193.1.40.254
vrrp 40 pri 150(120)
int vlan 10
vrrp 100 ip 193.1.100.254
vrrp 100 pri 150(120)

10.S1和S2设置为虚拟化,S1和S2间的Te0/51-52端口作为VSL链路,其中S2为主,S1为备;规划S1和S2间的Gi0/48端口作为BFD双主机检测链路;主设备:Domain id:1,switch id:2,priority 150, description: S6000-2;备设备:Domain id:1,switch id:1,priority 120, descrip

Ruijie(config)#switch virtual domain 1  \\配置交换机虚拟网域为1
Ruijie(config-vs-domain)#switch 1  \\配置交换机ID为1
Ruijie(config-vs-domain)#switch 1 priority 120  \\配置优先级为120,默认优先级为100,配置为较高的优先级,VSU建立成功后将会成为管理主机。
Ruijie(config-vs-domain)#switch 1 description s6000-1  \\Switch 1 描述s6000-1
Ruijie(config)#vsl-port  \\ VSL链路至少需要2条,一条链路可靠性较低,当出现链路震荡时,VSU会非常不稳定。  
Ruijie(config-vsl-port)#port-member interface tengigabitethernet 0/27  \\配置VSL链路 
Ruijie(config-vsl-port)#port-member interface tengigabitethernet 0/28
Ruijie#switch convert mode virual  \\转换为VSU模式 

Ruijie(config)#switch virtual domain 1  \\domaind id 必须和第一台一致  
Ruijie(config-vs-domain)#switch 2  \\第二台设备必须更改ID为2
Ruijie(config-vs-domain)#switch 2 priority 150  \\ 配置优先级为150,默认优先级为100,配置为较高的优先级,VSU建立成功后将会成为管理主机。
Ruijie(config-vs-domain)#switch 2 description s6000-2  \\Switch 1 描述s6000-2
Ruijie(config)#vsl-port  \\VSL链路至少需要2条,一条链路可靠性较低,当出现链路震荡时,VSU会非常不稳定。  
Ruijie(config-vsl-port)#port-member interface tengigabitethernet 0/27  \\配置VSL链路 
Ruijie(config-vsl-port)#port-member interface tengigabitethernet 0/28
Ruijie#switch convert mode virual  \\转换为VSU模式 tion: S6000-1。
S1/S2(config)#int ra g1/0/24,2/0/24
S1/S2(config-if-range)#no switchport
S1/S2(config)#switch virtual domain 1
S1/S2(config-vs-domain)#dual-active detection bfd
S1/S2(config-vs-domain)#dual-active bfd interface GigabitEthernet 1/0/24
S1/S2(config-vs-domain)#dual-active bfd interface GigabitEthernet 2/0/24

11.R1、S1/S2、AC1、AC2间运行OSPF,进程号为10;EG1、S3、S4间运行OSPF,进程号为10;S5、EG2使用静态路由。

R1(config)#router ospf 10  \\启用OSPF,进程号为10
R1(config-router)#router-id 11.1.0.1  \\指定路由器ID(router-id在OSPF中作为路由器唯一标识)
R1(config-router)#network 12.1.0.1 0.0.0.0 a 0  \\进入骨干区域,宣告12.1.0.1网段,反掩码为0.0.0.0
R1(config-router)#network 13.1.0.1 0.0.0.0 a 0
R1(config-router)#network 10.1.0.10 0.0.0.0 a 0
R1(config-router)#network 11.1.0.1 0.0.0.0 a 0 

S1/S2(config)#router ospf 10  \\启用OSPF,进程号为10
S1/S2(config-router)#router-id 11.1.0.31  \\指定路由器ID(router-id在OSPF中作为路由器唯一标识)
S1/S2(config-router)#network 11.1.0.31 0.0.0.0 a 0   \\进入骨干区域,宣告11.1.0.31网段,反掩码为0.0.0.0
S1/S2(config-router)#network 10.1.0.9 0.0.0.0 area 0
S1/S2(config-router)#network 192.1.20.0 0.0.0.255 area 0
S1/S2(config-router)#network 192.1.30.0 0.0.0.255 area 0
S1/S2(config-router)#network 192.1.100.0 0.0.0.255 area 0

AC1(config)#router ospf 10  \\启用OSPF,进程号为10
AC1(config-router)#router-id 11.1.0.21  \\指定路由器ID(router-id在OSPF中作为路由器唯一标识)
AC1(config-router)#network 11.1.0.21 0.0.0.0 area 0  \\进入骨干区域,宣告11.1.0.21网段,反掩码为0.0.0.0
AC1(config-router)#network 192.1.100.0 0.0.0.255 area 0
EG1(config)#router ospf 10  \\启用OSPF,进程号为10
EG1(config-router)#router-id 11.1.0.11  \\指定路由器ID(router-id在OSPF中作为路由器唯一标识)
EG1(config-router)#network 10.1.0.2 0.0.0.0 area 0   \\进入骨干区域,宣告10.1.0.2网段,反掩码为0.0.0.0
EG1(config-router)#network 10.1.0.6 0.0.0.0 area 0
EG1(config-router)#network 11.1.0.11 0.0.0.0 area 0

S3(config)#router ospf 10  \\启用OSPF,进程号为10
S3(config-router)#router-id 11.1.0.33  \\指定路由器ID(router-id在OSPF中作为路由器唯一标识)
S3(config-router)#network 10.1.0.1 0.0.0.0 area 0   \\进入骨干区域,宣告10.1.0.1网段,反掩码为0.0.0.0
S3(config-router)#network 11.1.0.33 0.0.0.0 area 0
S3(config-router)#network 193.1.10.0 0.0.0.255 area 0
S3(config-router)#network 193.1.20.0 0.0.0.255 area 0
S3(config-router)#network 193.1.30.0 0.0.0.255 area 0
S3(config-router)#network 193.1.40.0 0.0.0.255 area 0
S3(config-router)#network 193.1.100.0 0.0.0.255 area 0

S4(config)#router ospf 10  \\启用OSPF,进程号为10
S4(config-router)#router-id 11.1.0.34  \\指定路由器ID(router-id在OSPF中作为路由器唯一标识)
S4(config-router)#network 10.1.0.5 0.0.0.0 area 0   \\进入骨干区域,宣告10.1.0.5网段,反掩码为0.0.0.0
S4(config-router)#network 11.1.0.34 0.0.0.0 area 0
S4(config-router)#network 193.1.10.0 0.0.0.255 area 0
S4(config-router)#network 193.1.20.0 0.0.0.255 area 0
S4(config-router)#network 193.1.30.0 0.0.0.255 area 0
S4(config-router)#network 193.1.40.0 0.0.0.255 area 0
S4(config-router)#network 193.1.100.0 0.0.0.255 area 0
S5(config)#ip route 0.0.0.0 0.0.0.0 10.1.0.14  \\配置默认路由(缺省路由)

EG2(config)#ip route 194.1.10.0 255.255.255.0 10.1.0.13  \\配置静态路由
EG2(config)#ip route 194.1.20.0 255.255.255.0 10.1.0.13

12.要求业务网段中不出现协议报文;所有路由协议都发布具体网段;需要发布Loopback地址。

S3(config-router)#passive-interface VLAN 10  \\要求业务网段不出现协议报文
S3(config-router)#passive-interface VLAN 20
S3(config-router)#passive-interface VLAN 30
S3(config-router)#passive-interface VLAN 40

S4(config-router)#passive-interface VLAN 10  \\要求业务网段不出现协议报文
S4(config-router)#passive-interface VLAN 20
S4(config-router)#passive-interface VLAN 30
S4(config-router)#passive-interface VLAN 40

13.优化OSPF相关配置,以尽量加快OSPF收敛;广州分部需要重分发默认路由到OSPF中;本部出口路由器R1上不允许配置默认路由,但需要让本部所有设备都学习到指向R1的默认路由;重发布路由进OSPF中使用类型1。

R1(config-router)#default-information originate metric-type 1 always   \\引入缺省路由
R1(config-router)#int vlan 10
R1(config-if-VLAN 10)#ip ospf network point-to-point   \\加快OSPF收敛(点对点型)

S1/S2(config)#int agg 1
S1/S2(config-if-AggregatePort 1)#ip ospf network point-to-point    \\加快OSPF收敛(点对点型)

S3(config-router)#int vlan 100
S3(config-if-VLAN 100)#ip ospf network point-to-point     \\加快OSPF收敛(点对点型)
S3(config-if-VLAN 100)#int g0/24
S3(config-if-GigabitEthernet 0/24)#ip ospf network point-to-point

S4(config-router)#int vlan 100
S4(config-if-VLAN 100)#ip ospf network point-to-point    \\加快OSPF收敛(点对点型)
S4(config-if-VLAN 100)#int g0/24
S4(config-if-GigabitEthernet 0/24)#ip ospf network point-to-point

EG1(config-router)#default-information originate metric-type 1 always    \\引入缺省路由
EG1(config-router)#int ra g0/1-2
EG1(config-if-range)#ip ospf network point-to-point    \\加快OSPF收敛(点对点型)
EG1#ping 10.1.0.5

14.R1、R2、R3间部署IBGP,AS号为100, 使用Loopback接口建立Peer,建立全互联的IBGP邻居。

15.二级运营商通告EG1、EG2的直连网段到BGP中,实现R1能够访问到EG1、EG2的外网接口。

R1(config)#ip route 11.1.0.2 255.255.255.255 12.1.0.2  \\配置静态路由
R1(config)#ip route 11.1.0.3 255.255.255.255 13.1.0.3

R2(config)#ip route 11.1.0.1 255.255.255.255 12.1.0.1  \\配置静态路由
R2(config)#ip route 11.1.0.3 255.255.255.255 14.1.0.3

R3(config)#ip route 11.1.0.1 255.255.255.255 13.1.0.1  \\配置静态路由
R3(config)#ip route 11.1.0.2 255.255.255.255 14.1.0.2

R1(config)#router bgp 100   \\启动BGP进程,AS号为100
R1(config-router)#bgp router-id 11.1.0.1  \\配置BGP路由器ID
R1(config-router)#neighbor 11.1.0.2 remote-as 100  \\指定邻居路由器及所在的AS数值
R1(config-router)#neighbor 11.1.0.2 update-source loopback 0 \\指定更新源
R1(config-router)#neighbor 11.1.0.2 next-hop-self 
   \\配置下一跳为自己,既对从EBGP邻居传入的路由,在通告给IBGP邻居时,强迫路由器通告自己是发送BGP更新的下一跳,而不是EBGP邻居
R1(config-router)#neighbor 11.1.0.3 remote-as 100
R1(config-router)#neighbor 11.1.0.3 update-source loopback 0
R1(config-router)#neighbor 11.1.0.3 next-hop-self 

R2(config)#router bgp 100  \\启动BGP进程,AS号为100
R2(config-router)#bgp router-id 11.1.0.2  \\配置BGP路由器ID
R2(config-router)#neighbor 11.1.0.1 remote-as 100  \\指定邻居路由器及所在的AS数值
R2(config-router)#neighbor 11.1.0.1 update-source loopback 0  \\指定更新源
R2(config-router)#neighbor 11.1.0.1 next-hop-self
   \\配置下一跳为自己,既对从EBGP邻居传入的路由,在通告给IBGP邻居时,强迫路由器通告自己是发送BGP更新的下一跳,而不是EBGP邻居
R2(config-router)#neighbor 11.1.0.3 remote-as 100
R2(config-router)#neighbor 11.1.0.3 update-source loopback 0
R2(config-router)#neighbor 11.1.0.3 next-hop-self 
R2(config-router)#network 10.1.0.18 mask 255.255.255.252

R3(config)#router bgp 100    \\启动BGP进程,AS号为100
R3(config-router)#bgp router-id 11.1.0.3  \\配置BGP路由器ID
R3(config-router)#neighbor 11.1.0.1 remote-as 100  \\指定邻居路由器及所在的AS数值
R3(config-router)#neighbor 11.1.0.1 update-source loopback 0  \\指定更新源
R3(config-router)#neighbor 11.1.0.1 next-hop-self 
   \\配置下一跳为自己,既对从EBGP邻居传入的路由,在通告给IBGP邻居时,强迫路由器通告自己是发送BGP更新的下一跳,而不是EBGP邻居
R3(config-router)#neighbor 11.1.0.2 remote-as 100
R3(config-router)#neighbor 11.1.0.2 update-source loopback 0
R3(config-router)#neighbor 11.1.0.2 next-hop-self 
R3(config-router)#network 10.1.0.22 mask 255.255.255.252
R3#ping 14.1.0.2  (测直连)
R3#ping 11.1.0.2

16.可通过修改OSPF 路由COST达到分流的目的,且其值必须为5或10;广州分部有线IPV4用户与互联网互通主路径规划为:S6-S4-EG1;主链路故障时可无缝切换到备用链路上。

EG1(config)#int g0/1
EG1(config-if-GigabitEthernet 0/1)#ip ospf cost 5  \\修改OSPF开销值(cost)
EG1#clear ip ospf process   \\重启ip ospf过程

17.S6的Gi0/5至Gi0/16接口入方向设置接口限速,限速10Mbps,猝发流量1024 kbytes;R3服务节点在带宽为2Mbps的S3/0接口做流量整形。

R3(config-if-GigabitEthernet 0/1)#traffic-shape rate \\配置流量整形数值是<8000-1000000000>
  <8000-1000000000>  Target Bit Rate (bits per second)

18.R3服务节点在G0/0接口做流量监管,上行报文流量不能超过10Mbps,Burst-normal为1M bytes, Burst-max为2M bytes如果超过流量限制则将违规报文丢弃。

R3(config)#int g0/0
R3(config-if-GigabitEthernet 0/0)#rate-limit output 10000000 1000000 2000000 conform-action drop exceed-action drop
  \\配置在出口上对发送的packets应用一个访问速率策略(流量监管),上行报文流量不能超过10Mbps,Burst-normal为1M bytes, Burst-max为2M bytes如果超过流量限制则将违规报文丢弃。

\配置在出口上对发送的packets应用一个访问速率策略(流量监管),上行报文流量不能超过10Mbps,Burst-normal为1M bytes, Burst-max为2M bytes如果超过流量限制则将违规报文丢弃。

(三)无线网络配置

CII集团公司拟投入12万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。

图1 平面布局图

1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划)。

2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。

3.根据表2无线产品价格表,制定该无线网络工程项目设备的预算表。

表2 无线产品价格表

产品型号产品特征传输速率<br/>(2.4G/最大)推荐/最大带点数功率价格(元)
AP1双频双流300M/1.167G32/256100mw6000
AP2双频双流300M/600M32/256100mw11000
AP3单频单流150M12/3260mw2500
线缆110米馈线N/AN/AN/A1600
线缆215米馈线N/AN/AN/A2400
天线双频单流/单频单流N/AN/AN/A500
Switch24口POE交换机N/AN/A240w15000
AC无线控制器6*1000M32/20040w50000

4.使用EG1作为广州分部无线用户和无线AP的DHCP 服务器,使用S5作为吉林分部无线用户和无线AP的DHCP服务器。

广州分部:
EG1(config)#service dhcp  \\开启dhcp服务
EG1(config)#ip dhcp pool ap  \\创建一个名为ap的地址池
EG1(dhcp-config)#network 193.1.10.0 255.255.255.0  \\dhcp分配出去的网段
EG1(dhcp-config)#default-router 193.1.10.254  \\设置默认网关(是服务器设备下发给其他设备的默认网关)
EG1(dhcp-config)#option 138 ip 11.1.0.21 11.1.0.22  \\下发无线控制器管理地址(给AP下发AC的管理地址)
EG1(config)#ip dhcp pool user-wx  \\创建一个名为user-wx的地址池
EG1(dhcp-config)#network 193.1.20.0 255.255.255.0 
EG1(dhcp-config)#default-router 193.1.20.254  

S3&S4配置DHCP中继:
S3(config)#service dhcp
S3(config)#ip helper-address 11.1.0.11
S3#ping 11.1.0.11
S4(config)#service dhcp
S4(config)#ip helper-address 11.1.0.11
S4#ping 11.1.0.11

吉林分部:
S5(config)#service dhcp
S5(config)#ip dhcp pool ap
S5(dhcp-config)#network 194.1.10.0 255.255.255.0
S5(dhcp-config)#default-router 194.1.10.254
S5(dhcp-config)#option 138 ip 11.1.0.21 11.1.0.22
S5(config)#ip dhcp pool user-wx
S5(dhcp-config)#network 194.1.20.0 255.255.255.0 
S5(dhcp-config)#default-router 194.1.20.254  

5.创建广州分部内网 SSID 为 Test-GZ_XX(XX现场提供),WLAN ID 为1,AP-Group为GZ,内网无线用户关联SSID后可自动获取地址。创建吉林分部内网 SSID 为 Test-JL_XX(XX现场提供),WLAN ID 为2,AP-Group为JL,内网无线用户关联SSID后可自动获取地址。

6.本部AC2为主用,AC1为备用。AP与AC1、AC2均建立隧道,当AP与AC2失去连接时能无缝切换至AC1并提供服务。

AC1(config)#enable service web-server  \\启用服务web服务器
AC1(config)#int g0/8
AC1(config-if-GigabitEthernet 0/8)#sw ac vlan 100
AC1(config)#ac-controller   \\进入AC控制模式
AC1(config-ac)#capwap ctrl-ip 11.1.0.21  \\AC的建立隧道的地址可以是在DHCP中指定的AC地址,在AP上指定一个存在的地址和AP建立隧道
AC1(config)#wlan hot-backup 11.1.0.22  \\配置对端AC的loopback 0 ip地址
AC1(config-hotbackup)#context 10  \\配置备份实例
AC1(config-hotbackup-ctx)#ap-group GZ  \\将ap-group加入热备实例
AC1(config-hotbackup-ctx)#ap-group JL

7.广州分部无线用户接入无线网络时需要采用WPA2加密方式,加密密码为XX(现场提供);启用白名单校验,仅放通PC2无线终端。

AC1(config)#wids
AC1(config-wids)#whitelist mac-address 165A.FC27.352D  \\开启mac白名单,只允许白名单内客户端通过密码认证(配置AS认证的白名单)

8.要求内网无线网络均启用本地转发模式; 对WLAN ID 2下的每个用户的下行平均速率为 800KB/s ,突发速率为1600KB/s。

AC1(config-wids)#wlan-config 2 Test-JL_1
AC1(config-wlan)#wlan-based per-ap-limit down-streams average-data-rate 800 burst-data-rate 1600

9.吉林分部每AP最大带点人数为30人;广州分部通过时间调度,要求每周一至周五的21:00至23:30期间关闭无线服务。

AC2在AC1的配置下加上(show run改些配置):
AC2(config-wids)#wlan-config 2 Test-JL_1
AC2(config-wlan)#wlan-based per-ap-limit down-streams average-data-rate 800 burst-data-rate 1600
AC2(config-wlan)# sta-limit 30
AC2(config-wlan)# tunnel local
AC2(config)#wlan hot-backup 11.1.0.22  \\配置对端AC的loopback 0 ip地址
AC2(config-hotbackup)#context 10  \\配置备份实例
AC2(config-hotbackup)#priority level 7  \\配置AC-1热备实例优先级,数字越高优先级越高(抢占!)

(四)出口网络配置

1.EG1、EG2、R1进行NAT配置实现本部与各分部的所有用户(ACL 110)均可访问互联网,通过NAPT方式将内网用户IP地址转换到互联网接口上。

EG1(config)#specify interface GigabitEthernet 0/3 wan  \\配置为外网口
EG2(config)#specify interface GigabitEthernet 0/3 wan  \\配置为外网口

EG1(config)#ip access-list extended 110  \\创建一个扩展ACL命名为ACL 110
EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 any   \\满足条件的话,允许192.1.0.0通行流量
EG1(config)#no ip nat inside source list 1 pool nat_pool overload  \\no掉默认的端口转换
EG1(config)#ip nat inside source list 110 pool nat_pool overload  \\配置动态NAT,端口转换(在动态地址池NAT的基础上加上overload,既端口复用)
S3#ping 12.1.0.1 source vlan 10

EG2(config)#ip access-list extended 110  \\创建一个扩展ACL命名为ACL 110
EG2(config-ext-nacl)#permit  ip 194.1.0.0 0.0.255.255 any  \\满足条件的话,允许192.1.0.0通行流量
EG2(config-ext-nacl)#no ip nat inside source list 1 pool nat_pool overload  \\no掉默认的端口转换
EG2(config)#ip nat inside source list 110 pool nat_pool overload  \\配置动态NAT,端口转换(在动态地址池NAT的基础上加上overload,既端口复用)
S5#ping 13.1.0.1 source vlan 10
EG1&EG2进web配置int g0/3的下一跳地址

R1(config)#ip access-list extended 110  \\创建一个扩展ACL命名为ACL 110
R1(config-ext-nacl)#permit ip 192.1.0.0 0.0.255.255 any  \\满足条件的话,允许192.1.0.0通行流量
R1(config)#ip nat pool nat netmask 255.255.255.0   \\ 配置地址池掩码
R1(config-ipnat-pool)#address interface vlan 20 match interface vlan 20  \\地址接口vlan 20匹配接口vlan 20
R1(config-ipnat-pool)#address interface vlan 30 match interface vlan 30  \\地址接口vlan 30匹配接口vlan 30
R1(config)#ip nat inside source list 110 pool nat overload  \\配置动态NAT,端口转换(在动态地址池NAT的基础上加上overload,既端口复用)
R1(config-router)#int vlan 10
R1(config-if-VLAN 10)#ip nat inside   \\定义为内网口
R1(config-if-VLAN 10)#int vlan 20
R1(config-if-VLAN 20)#ip nat  outside  \\定义为外网口
R1(config-if-VLAN 20)#int vlan 30
R1(config-if-VLAN 30)#ip nat  outside   \\定义为外网口
S1/S2#ping 12.1.0.2 source vlan 30

2.EG2部署全局流表防火墙,ACL(编号为102)放通所有IP到本设备外网接口的ICMP、Telnet协议; 放通内网AP及终端IP到外网所有资源的访问; 根据上下文要求放通设备已启用的功能协议端口。

EG2(config)#ip access-list extended 102    \\配置拓展ACL 
EG2(config-ext-nacl)#permit icmp any 10.1.0.17 0.0.0.0  \\放行ICMP协议
EG2(config-ext-nacl)#permit tcp any 10.1.0.17 0.0.0.0 eq 23  \\放行TCP协议
EG2(config-ext-nacl)#permit ip 194.1.0.0 255.255.0.0 any  \\放行IP协议
EG2(config)#ip session filter 102  \\符合ip session filter调用的ACL的数据,NPE设备才会进行转发,建立流表

3.EG1针对访问外网WEB流量限速每IP 1000Kbps,内网WEB总流量不超过50Mbps;

4.使用IPSec对本部到各分部的数据流进行加密。要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以IKE方式建立IPsec SA。在R1上配置ipsec加密转换集名称为myset;动态ipsec加密图名称为dymymap;预共享密钥为明文123456;静态的ipsec加密图mymap。

5.在 EG1和EG2上配置ACL编号为101;静态的ipsec加密图mymap;预共享密钥为明文123456。

R1(config)#crypto isakmp policy 1  \\建立IKE协商策略
R1(isakmp-policy)#encryption 3des  \\加密算法使用3DES
R1(isakmp-policy)#authentication pre-share  \\设置认证为预共享密钥
R1(isakmp-policy)#hash md5  \\配置Hash算法为MD5
R1(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0  \\配置共享密钥和对端地址
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac  \\配置转换集,命名为myset,并配置验证算法和加密算法
R1(config)#crypto dynamic-map dymymap 5  \\新建名为“dymymap”的动态ipsec加密图
R1(config-crypto-map)#set transform-set myset  \\绑定转换集为之前定义的myset
R1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymymap  \\将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中
R1(config)#int vlan 20 
R1(config-if-VLAN 20)#crypto map mymap  \\将加密图应用到接口
R1(config-if-VLAN 20)#int vlan 30
R1(config-if-VLAN 30)#crypto map mymap  \\将加密图应用到接口
R1(config)#ip route 194.1.0.0 255.255.0.0 13.1.0.3  \\配置静态路由
R1(config)#ip route 193.1.0.0 255.255.0.0 12.1.0.2  \\配置静态路由

EG1(config)#crypto isakmp policy 1  \\建立IKE协商策略
EG1(isakmp-policy)#encryption 3des   \\加密算法使用3DES
EG1(isakmp-policy)#authentication pre-share  \\设置认证为预共享密钥
EG1(isakmp-policy)#hash md5  \\配置Hash算法为MD5
EG1(config)#crypto isakmp key 7 123456 address 12.1.0.1  \\配置共享密钥和对端地址
EG1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac   \\配置转换集,命名为myset,并配置验证算法和加密算法
EG1(config)#crypto isakmp keepalive 5 periodic   \\配置IPSEC DPD探测功能
EG1(config)#ip access-list extended 101  \\配置拓展ACL
EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.21 0.0.0.0  \\指定感兴趣流为源地址193.1.0.0/16,目的地址为11.1.0.21/32的网段。
EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.22 0.0.0.0  \\指定感兴趣流为源地址193.1.0.0/16,目的地址为11.1.0.22/32的网段。
EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255  192.1.0.0 0.0.255.255  \\指定感兴趣流为源地址193.1.0.0/16,目的地址为192.1.0.0/16的网段。
EG1(config)#crypto map mymap 10 ipsec-isakmp  \\新建名称为“mymap”的加密图
EG1(config-crypto-map)#set peer 12.1.0.1  \\指定peer地址
EG1(config-crypto-map)#set transform-set myset  \\指定加密转换集“myset
EG1(config-crypto-map)#match address 101  \\指定感兴趣流为ACL 101
EG1(config-crypto-map)#int g0/3
EG1(config-if-GigabitEthernet 0/3)#crypto map mymap  \\将加密图应用到接口

EG1(config)#ip access-list extended 110  \\配置拓展ACL 
EG1(config-ext-nacl)#no 10 permit ip 193.1.0.0 0.0.255.255 any  \\删除访问控制列表
S3#ping 192.1.20.254 source 193.1.10.252 ntimes 4294

EG1(config)#ip access-list extended 110  \\配置拓展ACL
EG1(config-ext-nacl)#deny ip 193.1.0.0 0.0.255.255 host 11.1.0.21  \\拒绝该地址的通行
EG1(config-ext-nacl)#deny ip 193.1.0.0 0.0.255.255 host 11.1.0.22   \\拒绝该地址的通行
EG1(config-ext-nacl)#deny ip 193.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255  \\拒绝该地址的通行
EG1(config-ext-nacl)# permit ip 193.1.0.0 0.0.255.255 any    \\允许该地址的通行
S3#ping  12.1.0.1 source vlan 10  \\测试


EG2(config)#ip access-list extended 110  \\配置拓展ACL
EG2(config-ext-nacl)#no 10 permit ip 194.1.0.0 0.0.255.255 any  \\删除访问控制列表
EG2(config-ext-nacl)#ip access-list extended 101  \\配置拓展ACL
EG2(config-ext-nacl)# 10 permit ip 194.1.0.0 0.0.255.255 host 11.1.0.21   \\允许该地址的通行
EG2(config-ext-nacl)# 20 permit ip 194.1.0.0 0.0.255.255 host 11.1.0.22   \\允许该地址的通行
EG2(config-ext-nacl)# 30 permit ip 194.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255  \\允许该地址的通行
EG2(config-ext-nacl)#ip access-list extended 110  \\配置拓展ACL
EG2(config-ext-nacl)# 10 deny ip 194.1.0.0 0.0.255.255 host 11.1.0.21   \\拒绝该地址的通行
EG2(config-ext-nacl)# 20 deny ip 194.1.0.0 0.0.255.255 host 11.1.0.22   \\拒绝该地址的通行
EG2(config-ext-nacl)# 30 deny ip 194.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255  \\拒绝该地址的通行
EG2(config-ext-nacl)# 40 permit ip 194.1.0.0 0.0.255.255 any  \\允许该地址的通行
EG2(config-ext-nacl)#crypto isakmp policy 1  \\建立IKE协商策略
EG2(isakmp-policy)# encryption 3des   \\加密算法使用3DES
EG2(isakmp-policy)# authentication pre-share  \\设置认证为预共享密钥
EG2(isakmp-policy)# hash md5  \\配置Hash算法为MD5
EG2(isakmp-policy)#crypto isakmp keepalive 5 periodic   \\配置IPSEC DPD探测功能
EG2(config)#crypto isakmp key 7 123456 address 13.1.0.1  \\配置共享密钥和对端地址
EG2(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac   \\配置转换集,命名为myset,并配置验证算法和加密算法
EG2(cfg-crypto-trans)#crypto map mymap 10 ipsec-isakmp  \\新建名称为“mymap”的加密图
EG2(config-crypto-map)# set peer 13.1.0.1   \\指定peer地址
EG2(config-crypto-map)# set transform-set myset \\指定加密转换集“myset
EG2(config-crypto-map)# match address 101  \\指定感兴趣流为ACL 101
EG2(config-crypto-map)#int g0/3
EG2(config-if-GigabitEthernet 0/3)#crypto map mymap  \\将加密图应用到接口
S5#ping 11.1.0.21 source 194.1.20.254 ntimes 4294  \\测试

附录1:拓扑图

附录2:地址规划表

设备接口或VLANVLAN名称二层或三层规划说明
S1/S2VLAN20Xiaoshou192.1.20.254/24销售部
VLAN30Caiwu192.1.30.254/24财务部
Vlan100Manage192.1.100.254/24管理与互联VLAN
Gi1/0/1 10.1.0.9/30AG1
Gi2/0/1 10.1.0.9/30AG1
Gi1/0/2Trunk AG2
Gi2/0/2Trunk AG2
Gi1/0/3Trunk AG3
Gi2/0/3Trunk AG3
Gi1/0/4Trunk AG4
Gi2/0/4Trunk AG4
LoopBack 0 11.1.0.31/32
S7VLAN20XiaoshouGi0/13至Gi0/16销售部
VLAN30CaiwuGi0/17至Gi0/20财务部
Vlan100Manage192.1.100.1/24管理与互联VLAN
Gi0/1Trunk AG1
Gi0/2Trunk AG1
AC1LoopBack 0 11.1.0.21/32
Vlan100Manage192.1.100.2/24管理与互联VLAN
AC2LoopBack 0 11.1.0.22/32
Vlan100Manage192.1.100.3/24管理与互联VLAN
S6VLAN10APGi0/1至Gi0/4Native vlan
VLAN20XiaoshouGi0/5至Gi0/8销售部
VLAN30CaiwuGi0/9至Gi0/12财务部
VLAN40ShichangGi0/13至Gi0/16市场部
VLAN100Manage193.1.100.1/24设备管理VLAN
S3VLAN10AP193.1.10.252/24AP
VLAN20Xiaoshou193.1.20.252/24销售部无线用户
VLAN30Caiwu193.1.30.252/24财务部
VLAN40Shichang193.1.40.252/24市场部
VLAN100Manage193.1.100.252/24设备管理VLAN
Gi0/1Trunk
Gi0/13Trunk AG1成员口
Gi0/14Trunk AG1成员口
Gi0/24 10.1.0.1/30
LoopBack 0 11.1.0.33/32
S4VLAN10AP193.1.10.253/24AP
VLAN20Xiaoshou193.1.20.253/24销售部无线用户
VLAN30Caiwu193.1.30.253/24财务部
VLAN40Shichang193.1.40.253/24市场部
VLAN100Manage193.1.100.253/24设备管理VLAN
Gi0/1Trunk
Gi0/13Trunk AG1成员口
Gi0/14Trunk AG1成员口
Gi0/24 10.1.0.5/30
LoopBack 0 11.1.0.34/32
EG1Gi0/1 10.1.0.2/30
Gi0/2 10.1.0.6/30
Gi0/3 10.1.0.17/30
LoopBack 0 11.1.0.11/32
S5VLAN10AP194.1.10.254/24AP
Gi0/1-4Native vlan
VLAN20Wireless194.1.20.254/24无线用户
Gi0/24 10.1.0.13/30
LoopBack 0 11.1.0.35/32
EG2Gi0/1 10.1.0.14/30
Gi0/3 10.1.0.21/30
LoopBack 0 11.1.0.12/32
R1Gi1/0 12.1.0.1/24(VLAN20)
Gi1/1 13.1.0.1/24(VLAN30)
VLAN10 10.1.0.10/30Gi1/2、Gi1/3
LoopBack 0 11.1.0.1/32
R2Fa1/0 12.1.0.2/24(VLAN20)
Fa1/1 14.1.0.2/24(VLAN40)
Gi0/0 10.1.0.18/30
LoopBack 0 11.1.0.2/32
R3Fa1/1 14.1.0.3/24(VLAN40)
Fa1/0 13.1.0.3/24(VLAN30)
Gi0/0 10.1.0.22/30
LoopBack 0 11.1.0.3/32
最后修改:2022 年 08 月 26 日
如果觉得我的文章对你有用,请随意赞赏