2022 网络系统管理赛项 模块A:网络构建(样题4)配置预览

虚拟化

S1和S2设置为虚拟化,S1和S2间的Te0/51-52端口作为VSL链路,其中S2为主,S1为备;规划S1和S2间的Gi0/48端口作为BFD双主机检测链路;主设备:Domain id:1,switch id:1,priority 150, description: S6000-1;备设备:Domain id:1,switch id:2,priority 120, description: S6000-2

S1:

S1(config)#switchvirtualdomain1 //虚拟域为1

S1(config-vs-domain)#switch1 //switch id为1

S1(config-vs-domain)#switch1priority150 //优先级设置为150

S1(config-vs-domain)#switch1descriptions6000-1 //switch id 1 的描述为s6000-1

S1(config-vs-domain)#exit

S1(config)#vsl-port //配置vsl链路

S1(config-vsl-port)#port-memberinterfacetengigabitethernet0/51

S1(config-vsl-port)#port-memberinterfacetengigabitethernet0/52

S1(config-vsl-port)#end

S1#wr //保存

S1#switchconvertmodevirtual //切换虚拟化模式

s2:

S2(config)#switchvirtualdomain1 //虚拟域为1

S2(config-vs-domain)#switch2 //switch id为2

S2(config-vs-domain)#switch2priority120 //优先级设置为120

S2(config-vs-domain)#switch2descriptions6000-2 //switch id 1 的描述为s6000-2

S2(config-vs-domain)#exit

S2(config)#vsl-port //配置vsl链路

S2(config-vsl-port)#port-memberinterfacetengigabitethernet0/51

S2(config-vsl-port)#port-memberinterfacetengigabitethernet0/52

S2(config-vsl-port)#end

S2#wr //保存

S2#switchconvertmodevirtual //切换虚拟化模式

当虚拟化完成后,需要BFD联动

S1/S2(config)#intrangi1/0/48,2/0/48

S1/S2(config-if-range)#nosw //开启三层功能

S1/S2(config-if-range)#exit

S1/S2(config)#switchvirtualdomain1//进入虚拟化域1

S1/S2(config-vs-domain)#dual-activedetectionbfd //开启双主动检测

S1/S2(config-vs-domain)#dual-activebfdinterfaceg1/0/48 //使用1/0/48接口检测链路

S1/S2(config-vs-domain)#dual-activebfdinterfaceg2/0/48 //使用2/0/48接口检测链路

EG 激活1口跟2口(默认不开启)

EG1:

EG1(config)#convertport1tolan //把1口设置成lan(局域网口)

EG1(config)#convertport2tolan //把2口设置成lan(局域网口)

EG1(config)#end

EG1#wr //保存

EG1#reload //重启

EG2:

EG2(config)#convertport1tolan //把1口设置成lan(局域网口)

EG2(config)#end

EG2#wr //保存

EG2#reload //重启

删除虚拟化配置

ruijie#deleteconfig_vsu.dat //删除虚拟化配置文件

ruijie#reload //重启

链路聚合

ruijie(config)#interface ag1 //配置链路聚合口

ruijie(config-if-aggregateport1)swmodetrunk

ruijie(config)#interfaceg0/1

ruijie(config-g)port-group1modeactive //加入链路聚合组1自动协商

端口保护

在S5、S6的Gi0/10-Gi0/15端口上启用端口保护在S5、S6连接PC机端口上开启Portfast和BPDUguard防护功能在S6上连接PC的接口开启BPDU防环,检测到环路后处理方式为 Shutdown-Port,并设置接口为边缘端口

如果端口被 BPDU Guard检测进入 Err-Disabled状态,再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路

S6:

S6(config)#intrangi0/10-15

S6(config-if-range)#switchportprotected //开启端口保护

S6(config-if-range)#exit

S6(config)#intrangi0/5-16

S6(config-if-range)#spanning-treeportfast //设置边缘端口

S6(config-if-range)#spanning-treebpduguardenable //开启bpdu保护,边缘端口收到bpdu后会被error-down但是边缘端口属性不变

//如果没有开启bpdu保护,当边缘端口收到bpdu后会变为非边缘端口,并重新进行生成树计算,从而引起网络荡动

S6(config-if-range)#rldpportloop-detectshutdown-port //开启环路保护,处理方式是shutdown-port

S6(config-if-range)#errdisablerecoveryinterval300 //当出现error-down状态后,300秒后自动恢复

S5:

S5(config)#intrangi0/10-15

S5(config-if-range)#switchportprotected //开启端口保护

S5(config-if-range)#exit

S5(config)#intrangi0/5-16

S5(config-if-range)#spanning-treeportfast //设置边缘端口

S5(config-if-range)#spanning-treebpduguardenable //开启bpdu保护,边缘端口收到bpdu后会被error-down但是边缘端口属性不变

S5(config-if-range)#errdisablerecoveryinterval300 //当出现error-down状态后,300秒后自动恢复

在S6交换机部署DHCP Snooping功能

S6(config)#ipdhcpsnooping //开启dhcp snooping

S6(config)#intrangi0/23-24 //进入上联接口

S6(config-if-range)#ipdhcpsnoopingtrust //设置为信任接口

生成树

在S3、S4、S6上配置MSTP防止二层环路;要求所有数据流经过S4转发,S4失效时经过S3转发。region-name为test;revision版本为1;S3作为实例中的从根, S4作为实例中的主根;主根优先级为4096,从根优先级为8192

S6:

S6(config)#spanning-treemstconfiguration //进入mstp配置

S6(config-mst)#revision1 //选择版本1

S6(config-mst)#nametest //名字为test

S6(config-mst)#exit

S6(config)#spanning-tree //开启生成树协议

S3:

S3(config)#spanning-treemstconfiguration //进入mstp配置

S3(config-mst)#revision1 //选择版本1

S3(config-mst)#nametest //名字为test

S3(config-mst)#exit

S3(config)#spanning-tree //开启生成树协议

S3(config)#spanning-treemst0priority8192 //设置实例0的优先级为8192

S4:

S4(config)#spanning-treemstconfiguration //进入mstp配置

S4(config-mst)#revision1 //选择版本1

S4(config-mst)#nametest //名字为test

S4(config-mst)#exit

S4(config)#spanning-tree //开启生成树协议

S4(config)#spanning-treemst0priority4096 //设置实例0的优先级为4096

//要求所有数据经过S4,那可以用默认的实例0去实现,不需要创建其他的实例(也可以创建),生成树的优先级都是以4096的倍数去叠加的,优先级越小越优,优先级优的成为根交换机,mstp使用实例之间的优先级,一个实例一棵树,在实例0里,S4是根交换机,当S4端口或者设别down后,S3成为根交换机

VRRP(虚拟路由器冗余协议)

在S3和S4上配置VRRP,实现主机的网关冗余,所配置的参数要求如表1;S3、S4各VRRP组中高优先级设置为150,低优先级设置为120

S3:

S3(config)#intvlan10

S3(config-if-vlan10)#vrrp10ip192.168.10.254 //vrrp组的虚拟IP地址

S3(config-if-vlan10)#vrrp10pr120 //vrrp组优先级

S3(config)#intvlan20

S3(config-if-vlan20)#vrrp20ip192.168.20.254 //vrrp组的虚拟IP地址

S3(config-if-vlan20)#vrrp20pr120 //vrrp组优先级

S3(config)#intvlan30

S3(config-if-vlan30)#vrrp30ip192.168.30.254 //vrrp组的虚拟IP地址

S3(config-if-vlan30)#vrrp30pr120 //vrrp组优先级

S3(config)#intvlan40

S3(config-if-vlan40)#vrrp40ip192.168.40.254 //vrrp组的虚拟IP地址

S3(config-if-vlan40)#vrrp40pr120 //vrrp组优先级

S3(config)#intvlan100

S3(config-if-vlan100)#vrrp100ip192.168.100.254 //vrrp组的虚拟IP地址

S3(config-if-vlan100)#vrrp100pr120 //vrrp组优先级

S4:

S4(config)#intvlan10

S4(config-if-vlan10)#vrrp10ip192.168.10.254 //vrrp组的虚拟IP地址

S4(config-if-vlan10)#vrrp10pr150 //vrrp组优先级

S4(config)#intvlan20

S4(config-if-vlan20)#vrrp20ip192.168.20.254 //vrrp组的虚拟IP地址

S4(config-if-vlan20)#vrrp20pr150 //vrrp组优先级

S4(config)#intvlan30

S4(config-if-vlan30)#vrrp30ip192.168.30.254 //vrrp组的虚拟IP地址

S4(config-if-vlan30)#vrrp30pr150 //vrrp组优先级

S4(config)#intvlan40

S4(config-if-vlan40)#vrrp40ip192.168.40.254 //vrrp组的虚拟IP地址

S4(config-if-vlan40)#vrrp40pr150 //vrrp组优先级

S4(config)#intvlan100

S4(config-if-vlan100)#vrrp100ip192.168.100.254 //vrrp组的虚拟IP地址

S4(config-if-vlan100)#vrrp100pr150 //vrrp组优先级

//mstp配置了所有数据流向S4,所以S4的VRRP所有虚拟组的优先级要比S3的要高,越大越优,优先级高就成为Master

OSPF

R1、S1/S2、AC1、AC2间运行OSPF,进程号为10;EG1、S3、S4间运行OSPF,进程号为10;S5、EG2使用静态路由要求业务网段中不出现协议报文;所有路由协议都发布具体网段;需要发布Loopback地址

优化OSPF相关配置,以尽量加快OSPF收敛;广州分部需要重分发默认路由到OSPF中;本部出口路由器R1上不允许配置默认路由,但需要让本部所有设备都学习到指向R1的默认路由;重发布路由进OSPF中使用类型1

AC1:

AC1(config)#routeospf10 //启动OSPF协议,协议号10

AC1(config-router)#router-id11.1.0.21 //设置router id

AC1(config-router)#network11.1.0.210.0.0.0a0 //宣告loopback地址在骨干区域

AC1(config-router)#network192.1.100.00.0.0.255a0

R1:

R1(config)#routeospf10

R1(config-router)#router-id11.1.0.1

R1(config-router)#network11.1.0.10.0.0.0a0

R1(config-router)#network10.1.0.100.0.0.3a0

R1(config-router)#default-informationoriginatemetric-type1always //发布默认路由指向本路由器

R1(config-router)#intvlan10

R1(config-if-vlan10)#ipospfnetworkpoint-to-point //把vlan10链路(与S1/S2连接的链路)改为点对点链路,来加快OSPF的收敛速度,点对点链路减少了DR,BDR的选举

S1/S2:

S1/S2(config)#routeospf10

S1/S2(config-router)#router-id11.1.0.31

S1/S2(config-router)#network11.1.0.310.0.0.0a0

S1/S2(config-router)#network10.1.0.90.0.0.3a0

S1/S2(config-router)#network192.1.100.00.0.0.255a0

S1/S2(config-router)#network192.1.20.00.0.0.255a0

S1/S2(config-router)#network192.1.30.00.0.0.255a0

S1/S2(config-router)#intagg1

S1/S2(config-if-aggregateport1)#ipospfnetworkpoint-to-point//把ag1口链路(与R1相连的链路)改为点对点链路,加快ospf收敛速度

S3:

S3(config)#routerospf10

S3(config-router)#router-id11.1.0.33

S3(config-router)#network11.1.0.330.0.0.0a0

S3(config-router)#network10.1.0.00.0.0.3a0

S3(config-router)#network193.1.10.00.0.0.255a0

S3(config-router)#network193.1.20.00.0.0.255a0

S3(config-router)#network193.1.30.00.0.0.255a0

S3(config-router)#network193.1.40.00.0.0.255a0

S3(config-router)#network193.1.100.00.0.0.255a0

S3(config-router)#passive-interfacevlan10 //设置静默接口,不会收到和发送ospf报文,到是直连的路由仍可以发布出去,为了保障通信

S3(config-router)#passive-interfacevlan20

S3(config-router)#passive-interfacevlan30

S3(config-router)#passive-interfacevlan40

S3(config-router)#intvlan100

S3(config-if-vlan100)#ipospfnetworkpoint-to-point //设置点对点链路

S3(config-if-vlan100)#intg0/24

S3(config-if-gigabitethernet0/24)#ipospfnetworkpoint-to-point

S4:

S4(config)#routerospf10

S4(config-router)#router-id11.1.0.34

S4(config-router)#network11.1.0.340.0.0.0a0

S4(config-router)#network10.1.0.40.0.0.3a0

S4(config-router)#network193.1.10.00.0.0.255a0

S4(config-router)#network193.1.20.00.0.0.255a0

S4(config-router)#network193.1.30.00.0.0.255a0

S4(config-router)#network193.1.40.00.0.0.255a0

S4(config-router)#network193.1.100.00.0.0.255a0

S4(config-router)#passive-interfacevlan10 //设置静默接口,不会收到和发送ospf报文,但是直连的路由仍可以发布出去,为了保障通信

S4(config-router)#passive-interfacevlan20

S4(config-router)#passive-interfacevlan30

S4(config-router)#passive-interfacevlan40

S4(config-router)#intvlan100

S4(config-if-vlan100)#ipospfnetworkpoint-to-point //设置点对点链路

S4(config-if-vlan100)#intg0/24

S4(config-if-gigabitethernet0/24)#ipospfnetworkpoint-to-point

EG1:

EG1(config)#routeospf10

EG1(config-router)#router-id11.1.0.11

EG1(config-router)#network11.1.0.110.0.0.0a0

EG1(config-router)#network10.1.0.20.0.0.3a0

EG1(config-router)#network10.1.0.60.0.0.3a0

EG1(config-router)#defult-informationoriginatemetric-type1always //发布默认路由

EG1(config-router)#intrang0/1-2

EG1(config-if-range)#ipospfnetworkpoint-to-point //设置点对点链路

S5:

S5(config)#iproute0.0.0.00.0.0.010.1.0.14 //默认路由指向下一跳

EG2:

EG2(config)#iproute194.1.20.0255.255.255.010.1.0.13

EG2(config)#iproute194.1.10.0255.255.255.010.1.0.13 //静态路由

BGP

R1、R2、R3间部署IBGP,AS号为100, 使用Loopback接口建立Peer,建立全互联的IBGP邻居

二级运营商通告EG1、EG2的直连网段到BGP中,实现R1能够访问到EG1、EG2的外网接口

建立IBGP对等体要先实现IGP可达

R1:

R1(config)#iproute11.1.0.2255.255.255.25512.1.0.2

R1(config)#iproute11.1.0.3255.255.255.25513.1.0.3

R2:

R2(config)#iproute11.1.0.1255.255.255.25512.1.0.1

R2(config)#iproute11.1.0.3255.255.255.25514.1.0.3

R3:

R3(config)#iproute11.1.0.1255.255.255.25513.1.0.1

R3(config)#iproute11.1.0.2255.255.255.25514.1.0.2

IBGP

R1:

R1(config)#routerbgp100

R1(config-router)#neighbor11.1.0.2remote-as100 //配置对等体的AS号,来决定是IBGP还是EBGP

R1(config-router)#neighbor11.1.0.2update-sourcelo0 //配置对等体的更新源为loopback口,默认更新源是接口ip地址

R1(config-router)#neighbor11.1.0.2next-hop-self //配置下一跳自我,因为IGBP传递路由信息,下一跳不会改变

R1(config-router)#neighbor11.1.0.3remote-as100

R1(config-router)#neighbor11.1.0.3update-sourcelo0

R1(config-router)#neighbor11.1.0.3next-hop-self

R2:

R2(config)#routerbgp100

R2(config-router)#neighbor11.1.0.1remote-as100

R2(config-router)#neighbor11.1.0.1update-sourcelo0

R2(config-router)#neighbor11.1.0.1next-hop-self

R2(config-router)#neighbor11.1.0.3remote-as100

R2(config-router)#neighbor11.1.0.3update-sourcelo0

R2(config-router)#neighbor11.1.0.3next-hop-self

R2(config-router)#network10.1.0.18mask255.255.255.252//宣告EG1的外网地址,让R1能访问

R3:

R3(config)#routerbgp100

R3(config-router)#neighbor11.1.0.1remote-as100

R3(config-router)#neighbor11.1.0.1update-sourcelo0

R3(config-router)#neighbor11.1.0.1next-hop-self

R3(config-router)#neighbor11.1.0.2remote-as100

R3(config-router)#neighbor11.1.0.2update-sourcelo0

R3(config-router)#neighbor11.1.0.2next-hop-self

R3(config-router)#network10.1.0.20mask255.255.255.252//宣告EG2的外网地址,让R1能访问

OSPF优化

可通过修改OSPF 路由COST达到分流的目的,且其值必须为5或10;广州分部有线IPV4用户与互联网互通主路径规划为:S6-S4-EG1;主链路故障时可无缝切换到备用链路上

局域网出去默认走S4,如果接口的COST值相同,回来不一定走S4,因为EG1学习S3的路由可能比S4的优,回来可能走S3路线

EG1:

EG1(config)#intg0/1

EG1(config-if-gigabitethernet0/1)#ipospfcost5 //修改接口的cost比G0/2口大,越小越优

EG1(config-if-gigabitethernet0/1)#end

EG1#clearipospfprocess //重启OSPF进程

QOS

S6的Gi0/5至Gi0/16接口入方向设置接口限速,限速10Mbps,猝发流量1024 kbytes;R3服务节点在带宽为2Mbps的S3/0接口做流量整形

S6:

S6(config)#intrag0/5-16

S6(config-if-range)#rate-limitinput100001024//修改接口入方向限速,每秒10000K bit,1024k个突发字节

R3:

R3(config)#ints3/0

R3(config-if-s3/0)traffic-shaperate2097152//配置流量令牌桶来实现流量整形,2Mbps等于2097152 bit 比特速度2097152 bit/s

当报文的发送速度过快时,首先在缓冲区进行缓存,在令牌桶的控制下再均匀地发送这些被缓冲的报文

R3服务节点在G0/0接口做流量监管,上行报文流量不能超过10Mbps,Burst-normal为1M bytes, Burst-max为2M bytes如果超过流量限制则将违规报文丢弃

R3:

R3(config)#intg0/0

R3(config-if-gigabitethernet0/0)#rate-limitoutput1000000010000002000000conform-actioncontinueexceed-actiondrop //上行是出方向,上行每秒10000000bit,突发正常1000000bit,突发最大值2000000,超过突发最大值则丢弃报文

NAPT

EG1、EG2、R1进行NAT配置实现本部与各分部的所有用户(ACL 110)均可访问互联网,通过NAPT方式将内网用户IP地址转换到互联网接口上

EG1:

EG1(config)#ipaccess-listextended110 //扩展acl

EG1(config-ext-nacl)#denyip193.1.0.00.0.255.255host11.1.0.21

EG1(config-ext-nacl)#denyip193.1.0.00.0.255.255host11.1.0.22

EG1(config-ext-nacl)#denyip193.1.0.00.0.255.255192.1.0.00.0.255.255

EG1(config-ext-nacl)#permitip193.1.0.00.0.255.255any

//要先保证走ike隧道的数据不被nat,最后才允许内网nat访问公网资源

EG1(config-ext-nacl)#exit

EG1(config)#ipnatinsidesourcelist110interfacegigabitEthernet0/3overload//设置napt 将acl 110匹配的流量,执行NAT转换,转换成g 0/3口的地址 overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数

EG1(config)#interfacegigabitEthernet0/3

EG1(config-gigabitethernet0/3)#ipnatoutside //配置nat的外网口

EG1(config)#interfacegigabitEthernet0/2

EG1(config-gigabitethernet0/3)#ipnatinside //配置nat的内网口

EG1(config)#interfacegigabitEthernet0/1

EG1(config-gigabitethernet0/3)#ipnatinside //配置nat的内网口

EG2:

EG2(config)#ipaccess-listextended110 //扩展acl

EG2(config-ext-nacl)#denyip194.1.0.00.0.255.255host11.1.0.21

EG2(config-ext-nacl)#denyip194.1.0.00.0.255.255host11.1.0.22

EG2(config-ext-nacl)#denyip194.1.0.00.0.255.255192.1.0.00.0.255.255

EG2(config-ext-nacl)#permitip194.1.0.00.0.255.255any

//要先保证走ike隧道的数据不被nat,最后才允许内网nat访问公网资源

EG2(config-ext-nacl)#exit

EG2(config)#ipnatinsidesourcelist110interfacegigabitEthernet0/3overload//设置napt 将acl 110匹配的流量,执行NAT转换,转换成g 0/3口的地址 overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数

EG2(config)#interfacegigabitEthernet0/3

EG2(config-gigabitethernet0/3)#ipnatoutside //配置nat的外网口

EG2(config)#interfacegigabitEthernet0/1

EG2(config-gigabitethernet0/3)#ipnatinside //配置nat的内网口

R1:

R1(config)#ipaccess-listextended110 //扩展acl

R1(config-ext-nacl)#permitip192.1.0.00.0.255.255any //CIDR 子网汇聚 匹配感兴趣流

R1(config-ext-nacl)#exit

R1(config)#ipnatinsidesourcelist110interfacevlan30overload

R1(config)#ipnatinsidesourcelist110interfacevlan20overload//设置napt 将acl 110匹配的流量,执行NAT转换,转换成g 0/3口的地址 overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数

R1(config)#interfacevlan30

R1(config-if-vlan30)#ipnatoutside //配置nat的外网口

R1(config)#interfacegigabitEthernet1/1

R1(config)#interfacevlan20

R1(config-if-vlan20)#ipnatoutside //配置nat的外网口

R1(config)#interfacevlan10

R1(config-if-vlan10)#ipnatinside //配置nat的内网口

IPsec

使用IPSec对本部到各分部的数据流进行加密。要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以IKE方式建立IPsec SA。在R1上配置ipsec加密转换集名称为myset;动态ipsec加密图名称为dymymap;预共享密钥为明文123456;静态的ipsec加密图mymap

R1:

R1(config)#cryptoisakmppolicy1 //创建新的isakmp策略

R1(isakmp-policy)#encryption3des //指定使用3des进行加密

R1(isakmp-policy)#authenticationpre-share //指定认证方式为“预共享密钥”,用的最多

R1(isakmp-policy)#hashmd5 //认证hash算法采用md5认证

R1(isakmp-policy)#exit

R1(config)#cryptoisakmpkey7123456address0.0.0.00.0.0.0 //配置预共享密钥,指定邻居,0.0.0.0 0.0.0.0是任意匹配 7是不加密

R1(config)#cryptoipsectransform-setmysetesp-3desesp-md5-hmac//配置ipsec加密转换集,名字为myset

R1(config)#ccryptodynamic-mapdymymap 5 //新建名为“dymymap"的动态ipsec加密图

R1(config-crypto-map)#settransform-setmyset //指定加密转换集为”myset“

R1(config-crypto-map)#exit

R1(config)#cryptomapmymap10ipsec-isakmpdynamicdymymap //将动态的”dymymap"ipsec加密图映射到静态的ipsec加密图”mymap“中

R1(config)#intvlan20

R1(config-if-vlan20)#cryptomapmymap//将加密图应用到外网接口上

R1(config)#intvlan30

R1(config-if-vlan30)#cryptomapmymap//将加密图应用到外网接口上

因为R1是双出口,多少会出现次优路径,指定总部内网访问各分支的优选路径

R1(config)#iproute194.1.0.0255.255.0.013.1.0.3

R1(config)#iproute193.1.0.0255.255.0.012.1.0.2

在 EG1和EG2上配置ACL编号为101;静态的ipsec加密图mymap;预共享密钥为明文123456

EG1:

EG1(config)#cryptoisakmppolicy1//创建新的isakmp策略

EG1(isakmp-policy)#encryption3des //指定使用3des进行加密

EG1(isakmp-policy)#authenticationpre-share //指定认证方式为“预共享密钥”,用的最多

EG1(isakmp-policy)#hashmd5 //认证hash算法采用md5认证

EG1(isakmp-policy)#exit

EG1(config)#cryptoisakmpkey7123456address 12.1.0.1 //配置预共享密钥。指定peer12.1.0.1的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置

EG1(config)#cryptoipsectransform-setmysetesp-3desesp-md5-hmac//配置ipsec加密转换集,名字为myset,没有指定就写R1一致的

EG1(config)#cryptoisakmpkeepalive5periodic //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次

EG1(config)#ipaccess-listextended101

EG1(config-ext-nacl)#permitip193.1.0.00.0.255.25511.1.0.210.0.0.0

EG1(config-ext-nacl)#permitip193.1.0.00.0.255.25511.1.0.220.0.0.0 //需要访问ac不然,ap上线不了

EG1(config-ext-nacl)#permitip193.1.0.00.0.255.255192.1.0.00.0.255.255//允许分支的流量访问总部的网络,ip汇聚可以使用,现网中还是用子网会安全点

EG1(config-ext-nacl)#exit

EG1(config)#cryptomapmymap10ipsec-isakmp //新建名称为”mymap“的加密图

EG1(config-crypto-map)#setpeer12.1.0.1 //指定peer地址

EG1(config-crypto-map)#settransform-setmyset //指定加密转换集”myset“

EG1(config-crypto-map)#matchaddress101//匹配感兴趣流ACL101

EG1(config-crypto-map)#exit

EG1(config)#intg0/3

EG1(config-if-gigabitethernet0/3)#cryptomapmymap //将加密图应用到接口

EG2:

EG2(config)#cryptoisakmppolicy1//创建新的isakmp策略

EG2(isakmp-policy)#encryption3des //指定使用3des进行加密

EG2(isakmp-policy)#authenticationpre-share //指定认证方式为“预共享密钥”,用的最多

EG2(isakmp-policy)#hashmd5 //认证hash算法采用md5认证

EG2(isakmp-policy)#exit

EG2(config)#cryptoisakmpkey7123456address 13.1.0.1 //配置预共享密钥。指定peer13.1.0.1的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置

EG2(config)#cryptoipsectransform-setmysetesp-3desesp-md5-hmac//配置ipsec加密转换集,名字为myset,没有指定就写R1一致的

EG2(config)#cryptoisakmpkeepalive5periodic //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次

EG2(config)#ipaccess-listextended101

EG2(config-ext-nacl)#permitip194.1.0.00.0.255.25511.1.0.210.0.0.0

EG2(config-ext-nacl)#permitip194.1.0.00.0.255.25511.1.0.220.0.0.0 //需要访问ac不然,ap上线不了

EG2(config-ext-nacl)#permitip194.1.0.00.0.255.255192.1.0.00.0.255.255//允许分支的流量访问总部的网络,ip汇聚可以使用,现网中还是用子网会安全点

EG2(config-ext-nacl)#exit

EG2(config)#cryptomapmymap10ipsec-isakmp //新建名称为”mymap“的加密图

EG2(config-crypto-map)#setpeer13.1.0.1 //指定peer地址

EG2(config-crypto-map)#settransform-setmyset //指定加密转换集”myset“

EG2(config-crypto-map)#matchaddress101//匹配感兴趣流ACL101

EG2(config-crypto-map)#exit

EG2(config)#intg0/3

EG2(config-if-gigabitethernet0/3)#cryptomapmymap //将加密图应用到接口

DHCP

使用EG1作为广州分部无线用户和无线AP的DHCP 服务器,使用S5作为吉林分部无线用户和无线AP的DHCP服务器

EG1:

EG1(config)#servicedhcp //开启DHCP服务

EG1(config)#ipdhcppoolap //创建一个名为ruijie的DHCP的地址池

EG1(dhcp-config)#network193.1.10.0255.255.255.0 //可以分配的地址范围

EG1(dhcp-config)#default-router193.1.10.254 //网关地址

EG1(dhcp-config)#option138ip11.1.0.2111.1.0.22//AP要在AC上在线,AP首先要获取IP地址,同时要知道AC的地址

EG1(dhcp-config)#exit

EG1(config)#ipdhcppooluser-wx //创建一个名为user-wx的DHCP的地址池

EG1(dhcp-config)#network193.1.20.0255.255.255.0 //可以分配的地址范围

EG1(dhcp-config)#default-router193.1.20.254 //网关地址

S3:

S3(config)#servicedhcp //开启DHCP服务

S3(config)#iphelper-address11.1.0.11 //指定DHCP的中继地址为11.1.0.11,loopback口稳定

S4:

S4(config)#servicedhcp //开启DHCP服务

S4(config)#iphelper-address11.1.0.11 //指定DHCP的中继地址为11.1.0.11,loopback口稳定

EG2:

EG2(config)#servicedhcp //开启DHCP服务

EG2(config)#ipdhcppoolap //创建一个名为ruijie的DHCP的地址池

EG2(dhcp-config)#network194.1.10.0255.255.255.0 //可以分配的地址范围

EG2(dhcp-config)#default-router194.1.10.254 //网关地址

EG2(dhcp-config)#option138ip11.1.0.2111.1.0.22//AP要在AC上在线,AP首先要获取IP地址,同时要知道AC的地址

EG2(dhcp-config)#exit

EG2(config)#ipdhcppooluser-wx //创建一个名为user-wx的DHCP的地址池

EG2(dhcp-config)#network194.1.20.0255.255.255.0 //可以分配的地址范围

EG2(dhcp-config)#default-router194.1.20.254 //网关地址

WLAN

创建广州分部内网 SSID 为 Test-GZ_XX(XX现场提供),WLAN ID 为1,AP-Group为GZ,内网无线用户关联SSID后可自动获取地址。创建吉林分部内网 SSID 为 Test-JL_XX(XX现场提供),WLAN ID 为2,AP-Group为JL,内网无线用户关联SSID后可自动获取地址

AC1:

AC1(config)#enableserviceweb-server//开启web功能

AC1(config)#intg0/8

AC1(config-if-gigabitethernet0/8)#switchaccessvlan100 //加入vlan100

AC1(config)#ac-controller //ac控制器

AC1(config-ac)#capwapctrl-ip11.1.0.21 //capwap隧道的控制ip,loopback口稳定

AC1(config)#wlan-config1Test-GZ_XX //配置wlan-config,id是1,SSID(无线信号)是Test-GZ_XX

AC1(config-wlan)#exit

AC1(config)#wlan-config2Test-JL_XX //配置wlan-config,id是2,SSID(无线信号)是Test-JL_XX

AC1(config-wlan)#exit

AC1(config)#ap-groupGZ //创建GZ组

AC1(config-ap-group)#interface-mapping120radio1ap-wlan-id1//把wlan-config 1和vlan 20进行关联,开启2.4GZH, ssid个数为1

AC1(config-ap-group)#interface-mapping120radio2ap-wlan-id1//把wlan-config 1和vlan 20进行关联,开启5GZH, ssid个数为1

AC1(config-ap-group)#exit

AC1(config)#ap-groupJL //创建GZ组

AC1(config-ap-group)#interface-mapping220radio1ap-wlan-id1//把wlan-config 2和vlan 20进行关联,开启2.4GZH, ssid个数为1

AC1(config-ap-group)#interface-mapping220radio2ap-wlan-id1//把wlan-config 2和vlan 20进行关联,开启5GZH, ssid个数为1

AC2:

AC2(config)#enableserviceweb-server//开启web功能

AC2(config)#intg0/8

AC2(config-if-gigabitethernet0/8)#switchaccessvlan100 //加入vlan100

AC2(config)#ac-controller //ac控制器

AC2(config-ac)#capwapctrl-ip11.1.0.22 //capwap隧道的控制ip,loopback口稳定

AC2(config)#wlan-config1Test-GZ_XX //配置wlan-config,id是1,SSID(无线信号)是Test-GZ_XX

AC2(config-wlan)#exit

AC2(config)#wlan-config2Test-JL_XX //配置wlan-config,id是2,SSID(无线信号)是Test-JL_XX

AC2(config-wlan)#exit

AC2(config)#ap-groupGZ //创建GZ组

AC2(config-ap-group)#interface-mapping120radio1ap-wlan-id1//把wlan-config 1和vlan 20进行关联,开启2.4GZH, ssid个数为1

AC2(config-ap-group)#interface-mapping120radio2ap-wlan-id1//把wlan-config 1和vlan 20进行关联,开启5GZH, ssid个数为1

AC2(config-ap-group)#exit

AC2(config)#ap-groupJL //创建GZ组

AC2(config-ap-group)#interface-mapping220radio1ap-wlan-id1//把wlan-config 2和vlan 20进行关联,开启2.4GZH, ssid个数为1

AC2(config-ap-group)#interface-mapping220radio2ap-wlan-id1//把wlan-config 2和vlan 20进行关联,开启5GZH, ssid个数为2

本部AC2为主用,AC1为备用。AP与AC1、AC2均建立隧道,当AP与AC2失去连接时能无缝切换至AC1并提供服务

AC1:

AC1(config)#wlanhot-backup11.1.0.22 //配置wlan的热备对端IP

AC1(config-hotbackup)#context10 //配置备份实例,主备AC一致

AC1(config-hotbackup-ctx)#ap-groupJL //将ap-group JL加入热备实例

AC1(config-hotbackup-ctx)#ap-groupGZ //将ap-group GZ加入热备实例

//默认热备实例优先级为4,数字越高优先级越高

AC2:

AC2(config)#wlanhot-backup11.1.0.21 //配置wlan的热备对端IP

AC2(config-hotbackup)#context10 //配置备份实例,主备AC一致

AC2(config-hotbackup-ctx)#ap-groupJL //将ap-group JL加入热备实例

AC2(config-hotbackup-ctx)#ap-groupGZ //将ap-group GZ加入热备实例

//默认热备实例优先级为4,数字越高优先级越2

AC2(config-hotbackup-ctx)#prioritylevel7 //7是抢占,AC2为主用

广州分部无线用户接入无线网络时需要采用WPA2加密方式,加密密码为XX(现场提供);启用白名单校验,仅放通PC2无线终端

AC1:

AC1(config)#wlansec1 //ac对wlan1配置wpa2

AC1(config-wlansec)#securityrsnenable//开启无线加密功能

AC1(config-wlansec)#securityrsnciphersaesenable //无线启用AES加密

AC1(config-wlansec)#securityrsnakmpskenable //无线启用共享密钥认证方式

AC1(config-wlansec)#securityrsnakmpskset-keyascii123456789 //无线密码

AC1(config-wlansec)#exit

AC1(config)#wlansec2 //ac对wlan2配置wpa2

AC1(config-wlansec)#securityrsnenable//开启无线加密功能

AC1(config-wlansec)#securityrsnciphersaesenable //无线启用AES加密

AC1(config-wlansec)#securityrsnakmpskenable //无线启用共享密钥认证方式

AC1(config-wlansec)#securityrsnakmpskset-keyascii123456789 //无线密码

AC1(config-wlansec)#exit

AC1(config)#wids //进入wids配置模式

AC1(config-wids)#whitelistmac-address [mac] //配置整机的白名单

AC2:

AC2(config)#wlansec1 //ac对wlan1配置wpa2

AC2(config-wlansec)#securityrsnenable//开启无线加密功能

AC2(config-wlansec)#securityrsnciphersaesenable //无线启用AES加密

AC2(config-wlansec)#securityrsnakmpskenable //无线启用共享密钥认证方式

AC2(config-wlansec)#securityrsnakmpskset-keyascii123456789 //无线密码

AC2(config-wlansec)#exit

AC2(config)#wlansec2 //ac对wlan2配置wpa2

AC2(config-wlansec)#securityrsnenable//开启无线加密功能

AC2(config-wlansec)#securityrsnciphersaesenable //无线启用AES加密

AC2(config-wlansec)#securityrsnakmpskenable //无线启用共享密钥认证方式

AC2(config-wlansec)#securityrsnakmpskset-keyascii123456789 //无线密码

AC2(config-wlansec)#exit

AC2(config)#wids //进入wids配置模式

AC2(config-wids)#whitelistmac-address [mac] //配置整机的白名2

要求内网无线网络均启用本地转发模式; 对WLAN ID 2下的每个用户的下行平均速率为 800KB/s ,突发速率为1600KB/s

AC1:

AC1(config)#wlan-config1Test-GZ_XX

AC1(config-wlan)#tunnellocal //本地转发模式

AC1(config)#wlan-config2Test-JL_XX //配置wlan-config

AC1(config-wlan)#wlan-basedper-ap-limitdown-streamsaverage-data-rate800burst-data-rate1600 //配置wlan 2的下行平均速率为800,突发速率为1600

AC1(config-wlan)#tunnellocal //本地转发模式

AC2:

AC2(config)#wlan-config1Test-GZ_XX

AC2(config-wlan)#tunnellocal //本地转发模式

AC2(config)#wlan-config2Test-JL_XX //配置wlan-config

AC2(config-wlan)#wlan-basedper-ap-limitdown-streamsaverage-data-rate800burst-data-rate1600 //配置wlan 2的下行平均速率为800,突发速率为1600

AC2(config-wlan)#tunnellocal //本地转发模2

吉林分部每AP最大带点人数为30人;广州分部通过时间调度,要求每周一至周五的21:00至23:30期间关闭无线服务

AC1:

AC1(config)#tftp-serverenable

AC1(config)#schedulesession8

AC1(config)#schedulesession8time-range1periodmontofritime21:00to23:30

AC1(config)#wlan-config1Test-GZ_XX

AC1(config-wlan)#schedulesession8 //时间会话

AC1(config)#wlan-config2Test-JL_XX

AC1(config-wlan)#sta-limit30

AC2:

AC2(config)#tftp-serverenable

AC2(config)#schedulesession8

AC2(config)#schedulesession8time-range1periodmontofritime21:00to23:30

AC2(config)#wlan-config1Test-GZ_XX

AC2(config-wlan)#schedulesession8 //时间会话

AC2(config)#wlan-config2Test-JL_XX

AC2(config-wlan)#sta-limit30

全局流表

EG1针对访问外网WEB流量限速每IP 1000Kbps,内网WEB总流量不超过50Mbps

EG2部署全局流表防火墙,ACL(编号为102)放通所有IP到本设备外网接口的ICMP、Telnet协议; 放通内网AP及终端IP到外网所有资源的访问; 根据上下文要求放通设备已启用的功能协议端口

EG2:

EG2(config)#ipaccess-listextended102

EG2(config-ext-nacl)#permiticmpany10.1.0.170.0.0.0

EG2(config-ext-nacl)#permittcpany10.1.0.170.0.0.0eq23

EG2(config-ext-nacl)#permitip194.1.10.00.0.255.255any

EG2(config-ext-nacl)#permitip194.1.20.00.0.255.255any

EG2(config-ext-nacl)#exit

EG2(config)#ipsessionfilter102

SSH

所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin

S7(config)#enable servicessh-server //开启SSH服务

S7(config)#enable password admin //配置enable密码admin

S7(config)#username admin password admin1234 //配置用户名为admin密码为admin1234

S7(config)#line vty 0 4 //进入虚拟用户线程

S7(config-line)#login local //对SSH登陆设备启用基于用户名和密码认证

S7(config-line)#exit

S7(config)#crypto keygene rate rsa //加密方式有两种:DSA和RSA,可以随意选择

SNMP

S7设备配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息

S7(config)#snmp-server community public ro

S7(config)#snmp-server community Test rw

S7(config)#snmp-server host 172.16.0.254 version 2c Test

S7(config)#snmp-server host 172.16.0.254 version 2c public

S7(config)#snmp-server enable traps

你可能感兴趣的:(网络系统管理,网络)