2.SW1 和 SW2 之间利用三条裸光缆实现互通, 其中一条裸光缆承载三 层 IP 业务、 一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。 用相关技术分别实现财务 1 段、财务 2 段业务路由表与其它业务路由 表隔离,财务业务 VPN 实例名称为 Finance,RD 为 1:1。承载二层业 务的只有一条裸光缆通道,配置相关技术, 方便后续链路扩容与冗余 备份, 编号为 1,用 LACP 协议,SW1 为 active,SW2 为 passive;采
用目的、 源 IP 进行实现流量负载分担。
SW1:
ip vrf Finance
rd 1:1
!
port-group 1
int e1/0/22
port-gr 1 mode active
int port-chann 1
sw mode t
sw t all vlan 11-15
load-balance dst-src-ip
SW2:
ip vrf Finance
rd 1:1
!
port-group 1
int e1/0/22
port-gr 1 mode active
int port-chann 1
sw mode t
sw t all vlan 21-25
load-balance dst-src-ip
3.为方便后续验证与测试, SW3 的 E1/0/22 连接其他合适设备的一个
接口,配置为 trunk,允许 Vlan31-34、110、120 通过。
SW3:
int e1/0/22
sw mode t
sw t all vlan 31-34;110;120
4.将 SW3 模拟办事处交换机, 实现与集团其它业务路由表隔离, 办事 处路由表 VPN 实例名称为 Office,RD 为 1:1。将 SW3 模拟为 Internet 交换机, 实现与集团其它业务路由表隔离, Internet 路由表 VPN 实
例名称为 Internet,RD 为 2:2。
SW3:
ip vrf Office
rd 1:1
!
ip vrf Internet
rd2:2
!
5.SW1 配置 SNMP,引擎 id 分别为 1000;创建组 GroupSkills,采用最高安全级别, 配置组的读、写视图分别为: Skills_R、Skills_W;创建认证用户为 UserSkills,采用 aes 算法进行加密, 密钥为 Key- 1122,哈希算法为 sha,密钥为 Key-1122;当设备有异常时,需要用 本地的环回地址 Loopback1 发送 v3 Trap 消息至集团网管服务器 10.4.15.120、2001:10:4:15::120,采用最高安全级别;当法务部门 的用户端口发生 updown 事件时禁止发送 trap 消息至上述集团网管
服务器。
SW1:
snmp-server enable
snmp-server enable traps
snmp-server engineid 1000
snmp-server group GroupSkills authpriv read Skills_R write Skills_W
snmp-server user UserSkills GroupSkills authPriv aes Key-1122 auth sha Key-1122
snmp-server trap-source 10.4.1.1
snmp-server trap-source 2001:10:4:1::1
snmp-server host 2001:10:4:15::120 v3 authpriv UserSkills
snmp-server host 10.4.15.120 v3 authpriv UserSkills
- 对 SW1 与 FW1 互连流量镜像到 SW1 E1/0/1,会话列表为 1。
SW1:
monitor session 1 source interface Ethernet1/0/19 both
monitor session 1 destination interface Ethernet1/0/1
7.SW1 和 SW2 E1/0/21-28 启用单向链路故障检测,当发生该故障时, 端口标记为 errdisable 状态,自动关闭端口, 经过 1 分钟后,端口
自动重启;发送 Hello 报文时间间隔为 15s;
SW1;SW2:
uldp enable
uldp recovery-time 60
uldp hello-interval 15
uldp aggressive-mode
int e1/0/21-28
uldp ena
uldp aggressive-mode
8.SW1 和 SW2 所有端口启用链路层发现协议, 更新报文发送时间间隔 为 20s,老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三
条裸光缆端口使能 Trap 功能。
SW1;SW2:
lldp enable
lldp msgTxHold 5
lldp tx-interval 20
lldp notification interval 10
int e1/0/1-28
lldp ena
int e1/0/22-24
lldp trap ena
(三)路由调试(本题共 10 分
1.配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服 务,用户名和明文密码均为 admin;配置所有设备 ssh 连接超时为 9
分钟,console 连接超时为 30 分钟。
SW:
ssh-server enable
ssh-server timeout 540
exec-timeout 30
RT:
ip sshd enable
line vty 0 4
exec-timeout 540
!
line console 0
exec-timeout 30
剩下有需请联系
(四)无线部署(本题共 5 分)
1.AC1 与 AP1 相连接口只允许 Vlan140 和 Vlan150 通过。 AC1 Loopback1 IPv4 和 IPv6 地址分别作为 AC1 的 IPv4 和 IPv6 管理地 址。 AP 二层自动注册, AP 采用 MAC 地址认证。配置 2 个 ssid,分别 为 SKILLS-2.4G 和 SKILLS-5G。SKILLS-2.4G 对应 Vlan140,用 Network 140 和 radio1(profile 1, mode n-only-g),用户接入无线网络时 需要采用基于 WPA-personal 加密方式, 密码为 Key-1122,用第一个 可用 VAP 发送 2.4G 信号。SKILLS-5G 对应 Vlan150,用 Network 150 和 radio2(profile 1, mode n-only-a),不需要认证,隐藏 ssid,SKILLS-5G 用倒数第一个可用 VAP 发送 5G 信号。
(五)安全维护(本题共 5 分)
说明:按照 IP 地址从小到大的顺序用“IP/mask ”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。
1.FW1 配置 IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 Internet IPv4,转换 ip/mask 为 200.200.200.16/28,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP 地址。
2.FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转 IPv6 地址前缀为 64:ff9b::/96。
3.FW1 和 FW2 策略默认动作为拒绝, FW1 允许 集团产品 1 段 IPv4 和IPv6 访问 Internet 任意服务。
4.FW2 允许办事处产品 IPv4 访问集团产品 1 段 https 服务,允许集 团产品 1 段和产品 2 段访问 SW3 模拟办事处 Loopback2 IPv4、FW2Loopback1 IPv4、办事处产品 IPv4。
5.FW1 与 RT2 之间用 Internet 互联地址建立 GRE Over IPSec VPN, 实现 Loopback4 之间的加密访问。RT2 的 ACL 名称为 ACL-VPN, transform-set 名称为 SET-1,crypto map 名称为 MAP-1。FW1 的 isakmp proposal 名称为 P-1,isakmp peer 名称为 PEER-1,ipsec proposal 名称为 P-2,tunnel ipsec 名称为 IPSEC-1,tunnel gre 名称为 GRE-1。