交换配置
1.配置SW1、SW2、SW3的Vlan,二层链路只允许下面Vlan通过,不限制vlan1。
SW1:
int e1/0/1
swi acc vlan 11
int e1/0/2
swi acc vlan 12
int e1/0/3
swi acc vlan 13
int e1/0/4
swi acc vlan 14
int e1/0/5
swi acc vlan 15
SW2:
int e1/0/1
swi acc vlan 21
int e1/0/2
swi acce vlan 22
int e1/0/3
swit acc vlan 23
int e1/0/4
swi acc vlan 24
int e1/0/5
swi acc vlan 25
SW3:
int e1/0/1
swi acc vlan 31
int e1/0/2
swi acc vlan 32
int e1/0/3
swi acc vlan 33
int e1/0/4
swi acc vlan 34
int e1/0/5
swi acc vlan 35
int e1/0/11
swi acc vlan 110
int e1/0/12
swit acc vlan 120
2.SW1和SW2之间利用三条裸光缆实现互通,
其中一条裸光缆承载三层IP业务、
一条裸光缆承载VPN业务、
一条裸光缆承载二层业务。
sw1/2:
vlan 1022,1023
int Vlan1022
ip add 10.1.255.1 255.255.255.252
Int E1/0/22
swi acc vlan 1022
int Vlan1023
ip vrf for Finance
ip add 10.1.255.1 255.255.255.252
Int E1/0/23
swi acc vlan 1023
Int E1/0/24
swi mod trunk
用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为Finance,RD为1:1。
sw1/2:
vlan 40
name cw
ip vrf Finance
RD 1:1
int Vlan40
ip vrf for Finance
ip add 10.1.14.1 255.255.255.0
承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为passive;
sw1/2:
port-group 2
int e1/0/24
port-group 1 mode active/passive
int port-channel 1
swi mod trunk
swi trunk all vlan 10,20,30,40,50
采用目的、源IP进行实现流量负载分担。
load-balance dst-src-ip
3.为方便后续验证与测试,SW3的E1/0/22连接其他合适设备的一个接口,配置为trunk,允许Vlan31-34、110、120通过。
sw3
int e1/0/22
swi mod trunk
swi trunk all vlan 31-34,110,120
4.将SW3模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表VPN实例名称为Office,RD为1:1。
sw3:
vlan 110,120
ip vrf Office
int Vlan110
ip vrf for Office
ip add 10.1.110.1 255.255.255.0
int Vlan120
ip vrf for Office
ip add 10.1.120.1 255.255.255.0
将SW3模拟为Internet 交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD为2:2。
sw3:
vlan 1015,1017,1018
ip vrf Internet
int Vlan1015
ip vrf for Internet
ip add 10.1.255.46 255.255.255.252
int Vlan1017
ip vrf for Internet
ip add 200.200.200.1 255.255.255.252
int Vlan1018
ip vrf for Internet
ip add 200.200.200.5 255.255.255.252
5.SW1配置SNMP,引擎id分别为1000;创建组GroupSkills,采用最高安全级别,配置组的读、写视图分别为:Skills_R、Skills_W;创建认证用户为UserSkills,采用aes算法进行加密,密钥为Key-1122,哈希算法为sha,密钥为Key-1122;当设备有异常时,需要用本地的环回地址 Loopback1 发送 v3 Trap 消息至集团网管服务器10.4.15.120、2001:10:4:15::120,采用最高安全级别;
sw1:
snmp-server enable
snmp-server securityip 10.1.15.120
snmp-server securityip 2001:10:1:15::120
snmp-server trap-source 10.1.1.1
snmp-server trap-source 2001:10:1:1::1
snmp-server engineid 1000
snmp-server group GroupSkills authpriv read Skills_R write Skills_W
snmp-server host 2001:10:1:15::120 v3 authpriv UserSkills
snmp-server host 10.1.15.120 v3 authpriv UserSkills
snmp-server enable traps
当法务部门的用户端口发生 updown 事件时禁止发送 trap 消息至上述集团网管服务器。
sw1:
int e1/0/3
no switchport updown notification enable
6.对SW1与FW1互连流量镜像到SW1 E1/0/1,会话列表为1。
sw1:
monitor session 1 source int e1/0/19 both
monitor session 1 destination int e1/0/1
7.SW1和SW2 E1/0/21-28启用单向链路故障检测,当发生该故障时,端口标记为errdisable状态,自动关闭端口,经过1分钟后,端口自动重启;发送Hello报文时间间隔为15s;
sw1/2:
uldp enable
uldp recovery-time 60
uldp hello-interval 15
uldp aggressive-mode
int e1/0/21-28
uldp enable
uldp aggressive-mode
8.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,老化时间乘法器值为5,Trap报文发送间隔为10s,配置三条裸光缆端口使能Trap功能。
sw1/2:
lldp enable
lldp tx-interval 20
lldp msgTxHold 5
lldp notification interval 10
int e1/0/22-24
lldp trap enable