交换机
1.SW3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令,模拟
接口 UP,方便后续业务验证与测试
SW3(config)#int e1/0/5
SW3(config-if-ethernet1/0/5)#loopback
2.SW1、SW2、SW3 启用 MSTP,实现网络二层负载均衡和冗余备份,创建实例
Instance10 和 Instance20,名称为 SKILLS,修订版本为 1,其中 Instance10 关
联 vlan60 和 vlan70,Instance20 关联 vlan80 和 vlan90。
SW1(config)#spanning-tree mode mstp
SW1(config)#spanning-tree mst configuration
SW1(config-mstp-region)#name SKILLS 命名
SW1(config-mstp-region)#revision-level 1 修订版本为1
SW1(config-mstp-region)#instance 10 vlan 60;70 创建实例10关联60;70
SW1(config-mstp-region)#instance 20 vlan 80;90 创建实例20关联80;90
SW1 为 Instance0 和Instance10 的根交换机,为 Instance20 备份根交换机;SW2 为 Instance20 根交
换机,为 Instance0 和 Instance10 的备份根交换机;根交换机 STP 优先级为 0,
备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的 STP。
CS6200-28X-EI(config)#spanning-tree mst 0 priority 0
SW1(config)#spanning-tree mst 10 priority 0
SW2(config)#spanning-tree mst 20 priority 0
CS6200-28X-EI(config)#no spanning-tree
3.SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP
业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实
现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离,财务业务 VPN 实例名
称为 CW。
int e1/0/27
SW1(config-if-ethernet1/0/27)#switchport access vlan 1027
SW1(config)#int vlan 1027
SW1(config-if-vlan1027)#ip vrf forwarding CW
SW1(config-if-vlan1027)#ip add 10.60.254.2 255.255.255.255
承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩
容与冗余备份,编号为 1,用 LACP 协议,SW1 为 active,SW2 为 active;
SW1(config)#port-group 1
SW1(config)#int port-channel 1
SW1(config-if-port-channel1)#switchport mode trunk
SW1(config-if-port-channel1)#int e1/0/28
SW1(config-if-ethernet1/0/28)#port-group 1 mode active
SW2(config)#port-group 1
SW2(config)#int port-channel 1
SW2(config-if-port-channel1)#switchport mode trunk
SW2(config-if-port-channel1)#int e1/0/28
SW2(config-if-ethernet1/0/28)#port-group 1 mode active
采用源、目的 IP 进行实现流量负载分担。
SW1(config)#load-balance dst-src-ip
SW2(config)#load-balance dst-src-ip
4.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,
Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表 VPN 实例名称为
Guangdong。
5.SW1 法务物理接口限制收发数据占用的带宽均为 1000Mbps,
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#bandwidth control 1000000 both
限制所有报文最大收包速率为 1000packets/s,如果超过了配置交换机端口的报文最大收包速
率则关闭此端口,1 分钟后恢复此端口;
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#flow control 打开流控功能
CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation all 10000
设置BUM报文速率 1 packet每秒(pkts/s)等于10比特每秒(bits/s)
CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation control shutdown recovery 60
启用端口安全功能,最大安全 MAC 地址数为 20,当超过设定 MAC 地址数量的最大值,不学习新的 MAC、丢弃数据包、发snmp trap、同时在
syslog 日志中记录,端口的老化定时器到期后,在老化周期
中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为 10 分钟;
CS6200-28X-EI(config)#mac-address-learning cpu-control 开启cpu控制学习mac,这样才能开启接口的端口安全功能
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security 启用端口安全
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security maximum 20
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security violation restrict
restrict限制模式,不学习新的mac,丢弃数据包,发snmp trap,同时在syslog日志中记录
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging type inactivity
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging time 10 不确定
禁止采用访问控制列表,只允许 IP 主机位为 20-50 的数据包进行转发;
CS6200-28X-EI(config)#am enable
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#am port
CS6200-28X-EI(config-if-ethernet1/0/3)#am ip-pool 10.10.13.20 30 允许20之后的30个IP地址使用
禁止配置访问控制列表,实现端口间二层流量无法互通,组名称 FW。
CS6200-28X-EI(config)#isolate-port group FW 创建隔离组FW
CS6200-28X-EI(config)#isolate-port group FW switchport interface e1/0/23限制端口
6.开启 SW1日志记录功能和保护功能,采样周期5s一次,恢复周期为100s,从而保障 CPU 稳定运行。
CS6200-28X-EI(config)#cpu-protect enable 启用
CS6200-28X-EI(config)#cpu-protect log enable 日志启用
CS6200-28X-EI(config)#cpu-protect interval 5 采样周期
CS6200-28X-EI(config)#cpu-protect recovery-time 100 恢复周期
7.SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级
别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为USER2022,
采用 aes 算法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为 Pass-1234;
CS6200-28X-EI(config)#snmp-server enable 启用snmp
CS6200-28X-EI(config)#snmp-server group GROUP2022 authpriv 创建组并采用最高级别
noAuthNoPriv:不认证、不加密,等价于 v1、v2 版本;所以不建议开启
authNoPriv:认证不加密,只对帐号密码进行校验,数据传输不加密
authPriv:既认证又加密,校验帐号密码,同时加密传输
CS6200-28X-EI(config)#snmp-server community ro SKILLS_R 读视图
CS6200-28X-EI(config)#snmp-server community rw SKILLS_W 写视图
CS6200-28X-EI(config)#snmp-server user USER2022 GROUP2022 authPriv aes Pass-1234 auth sha Pass-1234
当设备有异常时,需要用本地的环回地址 loopback1 发送 v3 Trap 消息至集团网
管服务器 10.10.11.99、2001:10:10:11::99,采用最高安全级别;
CS6200-28X-EI(config)#snmp-server trap-source 10.10.1.1 环回地址
CS6200-28X-EI(config)#snmp-server trap-source 2001:10:10:1::1 环回地址
CS6200-28X-EI(config)#snmp-server securityip 10.10.11.99 指定网管服务器网关
CS6200-28X-EI(config)#snmp-server securityip 2001:10:10:11::99 指定网管服务器ipv6网关
CS6200-28X-EI(config)#snmp-server host 10.10.11.99 v3 authpriv USER2022
CS6200-28X-EI(config)#snmp-server host 2001:10:10:11::99 v3 authpriv USER2022
CS6200-28X-EI(config)#snmp-server enable traps
当法务部门对应的用户接口发生 UP DOWN 事件时,禁止发送 trap 消息至上述集团网管服务器。
CS6200-28X-EI(config-if-ethernet1/0/3)#no switchport updown notification enable
CS6200-28X-EI#show run interface e1/0/3
!
Interface Ethernet1/0/3
no switchport updown notification enable
8.将 W1 与 FW1 互连流量镜像到 SW1 E1/0/1,会话列表为 1。
CS6200-28X-EI(config)#monitor session 1 source interface e1/0/21 both
CS6200-28X-EI(config)#monitor session 1 destination interface e1/0/1
monitor session 会话列表 destination 目的地端口
monitor session 会话列表 source 源端口
9.SW1 和 SW2 E1/0/21-28 启用单向链路故障检测,当发生该故障时,端口
标记为 errdisable 状态,自动关闭端口,经过 1 分钟后,端口自动重启;发送
Hello 报文时间间隔为 15s;
CS6200-28X-EI(config)#uldp enable 全局开启uldp后,所有光口自动也开启uldp
CS6200-28X-EI(config)#uldp recovery-time 60
CS6200-28X-EI(config)#uldp hello-interval 15
CS6200-28X-EI(config)#uldp aggressive-mode 关闭积极模式
10.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,
老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三条裸光缆端口使能
Trap 功能。
CS6200-28X-EI(config)#lldp enable
CS6200-28X-EI(config)#lldp msgTxHold 5
CS6200-28X-EI(config)#lldp tx-interval 20
CS6200-28X-EI(config)#lldp notification interval 10
CS6200-28X-EI(config)#int e1/0/26-28
CS6200-28X-EI(config-if-port-range)#lldp trap enable
路由器
1.启用所有设备的 ssh 服务,防火墙用户名 admin,明文密码 Pass-1234,
其余设备用户名和明文密码均admin。
CS6200-28X-EI(config)#ssh-server enable 启用
CS6200-28X-EI(config)#authentication line vty login local 登录使用本地用户认证
CS6200-28X-EI(config)#username admin password admin
R2_config#ip sshd enable 启用
R2_config#aaa authentication login default local 缺省使用本地用户认证
R2_config#username admin password admin
Admin user admin
Access ssh //允许使用ssh登录设备
Password Pass-1234 //更改admin的密码为Pass-1234
2.配置所有设备的时区为 GMT+08:00,调整 SW1 时间为实际时间,SW1 配置
为 ntp server,其他设备用 SW1 loopback1 ipv4 地址作为 ntp server 地址,
ntp client 请求报文时间间隔 1 分钟。
clock timezone GMT add 8
time-zone GMT 8
clock zone GMT 8 0
SW1(config)#ntp enable 启用ntp
SW1(config)#ntp-service refclock-master 1 设置参考主机为一个
SW2(config)#ntp enable
SW2(config)#ntp syn-interval 60 设置间隔时间为60秒
SW2(config)#ntp server 10.10.1.1 设置ntp server地址
SW3(config)#ntp enable
SW3(config)#ntp syn-interval 60 设置间隔时间为60秒
SW3(config)#ntp server 10.10.1.1 设置ntp server地址
R1_config#time-zone GMT 8 0
R1_config#ntp query-interval 60
R1_config#ntp server 10.10.1.1 2655不支持
R2_config#time-zone GMT 8 0
R2_config#ntp query-interval 60
R2_config#ntp server 10.10.1.1
FW1_config#clock zone GMT 8 0
FW1_config#ntp enable
FW1_config#ntp query-interval 1
FW1_config#ntp server "10.10.1.1"
FW2_config#clock zone GMT 8 0
FW2_config#ntp enable
FW2_config#ntp query-interval 1
FW2_config#ntp server "10.10.1.1" 学校旧版不用带双引号
AC(config)#ntp enable
AC(config)#ntp syn-interval 00:01:00 设置间隔时间
AC(config)#ntp server 10.10.1.1 设置ntp server地址
3.配置所有设备接口 ipv4 地址和 ipv6 地址,互联接口 ipv6 地址用本地链
路地址。
配置接口IPv4、v6地址,本地链路地址把接口ipv6功能打开就会自动生成一个地址ipv6本地链路地址
互连接口下
Ipv6 enable
4.利用 vrrpv2 和 vrrpv3 技术实现 vlan60、vlan70、vlan80、vlan90 网关
冗余备份,vrrp id 与 vlan id 相同。vrrpv2 vip 为 10.10.vlanid.9(如 vlan60
的 vrrpv2 vip 为 10.10.60.9),vrrpv3 vip 为 FE80:vlanid::9(如 vlan60 的
vrrpv3 vip 为 FE80:60::9)。配置 SW1 为 vlan60、vlan70 的 Master,SW2 为
vlan80、vlan90 的 Master。要求 vrrp 组中高优先级为 120,低优先级为默认值,
抢占模式为默认值,vrrpv2 和 vrrpv3 发送通告报文时间间隔为默认值。当 SW1
或 SW2 上联链路发生故障,Master 优先级降低 50。
VRRPv2
SW1(config)#router vrrp 60 进入vrrp60
SW1(config-router)#virtual-ip 10.10.60.9 设置虚拟ip
SW1(config-router)#interface vlan 60 绑定vlan60
SW1(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW1(config-router)#priority 120 设置优先级
SW1(config)#router vrrp 70 进入vrrp70
SW1(config-router)#virtual-ip 10.10.70.9 设置虚拟ip
SW1(config-router)#interface vlan 70 绑定vlan0
SW1(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW1(config-router)#priority 120 设置优先级
SW1(config)#router vrrp 80 进入vrrp80
SW1(config-router)#virtual-ip 10.10.80.9 设置虚拟ip
SW1(config-router)#interface vlan 80 绑定vlan80
SW1(config)#router vrrp 90 进入vrrp90
SW1(config-router)#virtual-ip 10.10.90.9 设置虚拟ip
SW1(config-router)#interface vlan 90 绑定vlan90
VRRPv3
SW1(config)#router ipv6 vrrp 60 进入vrrpv3的vrrp60
SW1(config-router)#virtual-ipv6 fe80:60::9 interface vlan 60 设置虚拟id并且绑定vlan
SW1(config-router)#circuit-failover vlan 1027 50
SW1(config-router)#priority 120 设置优先级
SW1(config)#router ipv6 vrrp 70 进入vrrpv3的vrrp70
SW1(config-router)#virtual-ipv6 fe80:70::9 interface vlan 70 设置虚拟id并且绑定vlan
SW1(config-router)#circuit-failover vlan 1027 50
SW1(config-router)#priority 120 设置优先级
SW1(config)#router ipv6 vrrp 80 进入vrrpv3的vrrp80
SW1(config-router)#virtual-ipv6 fe80:80::9 interface vlan 80 设置虚拟id并且绑定vlan
SW1(config)#router ipv6 vrrp 90 进入vrrpv3的vrrp90
SW1(config-router)#virtual-ipv6 fe80:90::9 interface vlan 90 设置虚拟id并且绑定vlan
VRRPv2
SW2(config)#router vrrp 60 进入vrrp60
SW2(config-router)#virtual-ip 10.10.60.9 设置虚拟ip
SW2(config-router)#int vlan 60 绑定vlan60
SW2(config)#router vrrp 70 进入vrrp70
SW2(config-router)#virtual-ip 10.10.70.9 设置虚拟ip
SW2(config-router)#int vlan 70 绑定vlan70
SW2(config)#router vrrp 80 进入vrrp80
SW2(config-router)#virtual-ip 10.10.80.9 设置虚拟ip
SW2(config-router)#int vlan 80 绑定vlan80
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
SW2(config)#router vrrp 90 进入vrrp90
SW2(config-router)#virtual-ip 10.10.90.9 设置虚拟ip
SW2(config-router)#int vlan 90 绑定vlan90
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
VRRPv3
SW2(config)#router ipv6 vrrp 60 进入vrrpv3的vrrp60
SW2(config-router)#virtual-ipv6 FE80:60::9 interface vlan 60 设置虚拟id并且绑定vlan
SW2(config)#router ipv6 vrrp 70 进入vrrpv3的vrrp70
SW2(config-router)#virtual-ipv6 FE80:70::9 interface vlan 70 设置虚拟id并且绑定vlan
SW2(config)#router ipv6 vrrp 80 进入vrrpv3的vrrp80
SW2(config-router)#virtual-ipv6 FE80:80::9 interface vlan 80 设置虚拟id并且绑定vlan
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
SW2(config)#router ipv6 vrrp 90 进入vrrpv3的vrrp90
SW2(config-router)#virtual-ipv6 FE80:90::9 interface vlan 90 设置虚拟id并且绑定vlan
SW2(config-router)#circuit-failover vlan 1027 50 当上联链路发送故障,优先级降为50 上联是指做vpn的那根链路
SW2(config-router)#priority 120 设置优先级
5.AC1配置dhcpv4和dhcpv6,分别为SW1产品1段vlan10和分公司vlan100、
vlan110 和 vlan120 分配地址;ipv4 地址池名称分别为 POOLv4-10、POOLv4-100、
POOLv4-110、POOLv4-120,ipv6 地址池名称分别为 POOLv6-10、POOLv6-100、
POOLv6-110、POOLv6-120;ipv6 地址池用网络前缀表示;排除网关;DNS 分别为
114.114.114.114 和 2400:3200::1 ; DHCPv6必须启动
SW2(config)#ipv6 enable
SW2(config)#service dhcpv6 交换机dhcpv6启用命令
IPv4DHCP
AC(config)#ip dhcp pool POOLv4-10
AC(dhcp-poolv4-config)#network-address 10.10.11.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.10.11.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp pool POOLv4-100
AC(dhcp-poolv4-config)#network-address 10.17.100.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.17.100.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp pool POOLv4-110
AC(dhcp-poolv4-config)#network-address 10.17.110.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.17.110.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp pool POOLv4-120
AC(dhcp-poolv4-config)#network-address 10.17.120.0 255.255.255.0
AC(dhcp-poolv4-config)#default-router 10.17.120.1
AC(dhcp-poolv4-config)#dns-server 114.114.114.114
AC(config)#ip dhcp excluded-address 10.10.11.1 阻止分配网关
AC(config)#ip dhcp excluded-address 10.17.110.1 阻止分配网关
AC(config)#ip dhcp excluded-address 10.17.120.1 阻止分配网关
AC(config)#ip dhcp excluded-address 10.17.100.1 阻止分配网关
IPv6DHCP
AC(config)#service dhcpv6 必须启动DHCPv6!!!
AC(config)#ipv6 dhcp pool POOLv6-10
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:10:11:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:10:11::1 阻止DHCPv6分配这个地址,也就是排除网关
AC(config)#ipv6 dhcp pool POOLv6-100
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:100:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:100::1 阻止DHCPv6分配这个地址,也就是排除网关
AC(config)#ipv6 dhcp pool POOLv6-110
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:110:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:110::1 阻止DHCPv6分配这个地址,也就是排除网关
AC(config)#ipv6 dhcp pool POOLv6-120
AC(dhcpv6-poolv6-10-config)#network-address 2001:10:17:120:: 64 后面0直接省略
AC(dhcpv6-poolv6-10-config)#dns-server 2400:3200::1 DNS
AC(dhcpv6-poolv6-10-config)#excluded-address 2001:10:17:120::1 阻止DHCPv6分配这个地址,也就是排除网关
为 PC1 保 留 地 址 10.10.11.9 和2001:10:10:11::9,为 AP1 保留地址 10.17.100.9 和
2001:10:17💯:9,为 PC2保留地址 10.17.110.9 和 2001:10:17:110::9。
AC(config)#ip dhcp pool PC1
AC(dhcp-pc1-config)#host 10.10.11.9 255.255.255.0
AC(dhcp-pc1-config)#hardware-address 00-50-56-C0-00-01 绑定主机mac地址
AC(dhcp-poolv4-config)#default-router 10.10.11.1 指定网关
AC(dhcp-poolv4-config)#dns-server 114.114.114.114 指定DNS
AC(config)#ip dhcp pool PC2
AC(dhcp-pc1-config)#host 10.17.110.9 255.255.255.0
AC(dhcp-pc1-config)#hardware-address 00-50-56-C0-00-01 绑定主机mac地址
AC(dhcp-poolv4-config)#default-router 10.17.110.1 指定网关
AC(dhcp-poolv4-config)#dns-server 114.114.114.114 指定DNS
AC(config)#ipv6 dhcp pool POOLv6-10
AC(dhcpv6-poolv6-10-config)#static-binding 2001:10:10:11::9 00-50-56-C0-00-01 保留地址并且绑定mac地址
AC(config)#ipv6 dhcp pool POOLv6-110
AC(dhcpv6-poolv6-110-config)#static-binding 2001:10:17:110::9 00-50-56-C0-00-01 保留地址并且绑定mac地址
SW1 上中继地址为 AC1 loopback1地址。SW1 启用 dhcpv4 和 dhcpv6 snooping,
如果 E1/0/1 连接 dhcpv4 服务器,则关闭该端口,恢复时间为 1 分钟。
SW1(config)#service dhcp 开启dhcp功能
SW1(config)#service dhcpv6 开启dhcpv6功能
SW1(config)#ip forward-protocol udp bootps 开启dhcp中继功能
interface Vlan10
SW1(config-if-vlan10)#ip helper-address 10.10.8.1
SW1(config-if-vlan10)#ipv6 dhcp rela destination 2001:10:10:8::1设置DHCPv6中继目标
SW1(config)#ip dhcp snooping enable
SW1(config)#savi enable
SW1(config)#savi ipv6 dhcp-only enable
SW1(config-if-ethernet1/0/24)#ipv6 dhcp snooping trust
SW1(config-if-ethernet1/0/24)#ip dhcp snooping trust
SW1(config-if-ethernet1/0/1)#ip dhcp snooping action shutdown recovery 60 侦听端口
6.SW1、SW2、SW3、RT1 以太链路、RT2 以太链路、FW1、FW2、AC1 之间运行
OSPFv2 和 OSPFv3 协议(路由模式发布网络用接口地址,BGP 协议除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1 之间 OSPFv2 和 OSPFv3 协议,进程 1,
区域 0,分别发布 loopback1 地址路由和产品路由,FW1 通告 type2 默认路由。
SW1(config)#router ospf 1
SW1(config-router)#router-id 10.10.1.1 SW1的环回地址
SW1(config-router)#network 10.10.255.14 0.0.0.0 area 0 严格匹配直接发布自己的接口地址
SW1(config-router)#network 10.10.255.5 0.0.0.0 area 0
SW1(config-router)#network 10.10.255.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.1.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.11.1 0.0.0.0 area 0 产品1段
SW1(config-router)#network 10.10.60.1 0.0.0.0 area 0 产品管理
SW1(config-router)#network 10.10.70.1 0.0.0.0 area 0 产品研发
SW1(config-router)#network 10.10.80.1 0.0.0.0 area 0 产品生产
SW1(config-router)#network 10.10.90.1 0.0.0.0 area 0 产品支持
SW2(config)#router ospf 1
SW2(config-router)#router-id 10.10.2.1 SW2的环回地址
SW2(config-router)#network 10.10.255.2 0.0.0.0 area 0
SW2(config-router)#network 10.10.255.9 0.0.0.0 area 0
SW2(config-router)#network 10.10.255.22 0.0.0.0 area 0
SW2(config-router)#network 10.10.2.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.21.2 0.0.0.0 area 0 产品2段
SW1(config-router)#network 10.10.60.2 0.0.0.0 area 0 产品管理
SW1(config-router)#network 10.10.70.2 0.0.0.0 area 0 产品研发
SW1(config-router)#network 10.10.80.2 0.0.0.0 area 0 产品生产
SW1(config-router)#network 10.10.90.2 0.0.0.0 area 0 产品支持
SW3(config)#router ospf 1
SW3(config-router)#router-id 10.10.3.1 SW3的环回地址
SW3(config-router)#network 10.10.255.6 0.0.0.0 area 0
SW3(config-router)#network 10.10.255.10 0.0.0.0 area 0
SW3(config-router)#network 10.10.3.1 0.0.0.0 area 0
SW1(config-router)#network 10.10.31.1 0.0.0.0 area 0 产品1段
SW1(config-router)#network 10.10.60.3 0.0.0.0 area 0 产品管理
SW1(config-router)#network 10.10.70.3 0.0.0.0 area 0 产品研发
SW1(config-router)#network 10.10.80.3 0.0.0.0 area 0 产品生产
SW1(config-router)#network 10.10.90.3 0.0.0.0 area 0 产品支持
R1_config#router ospf 1
R1_config_ospf_1#router-id 10.10.4.1
R1_config_ospf_1#network 10.10.255.29 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.21 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.18 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.25 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.33 255.255.255.255 area 0
R1_config_ospf_1#network 10.10.255.37 255.255.255.255 area 0
R2_config#router ospf 1
R2_config_ospf_1#router-id 10.10.5.1
R2_config_ospf_1#network 10.10.255.30 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.255.41 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.255.38 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.255.34 255.255.255.255 area 0
R2_config_ospf_1#network 200.200.200.6 255.255.255.255 area 0
R2_config_ospf_1#network 10.10.5.1 255.255.255.255 area 0
FW-1(config-vrouter)# router ospf 1
FW-1(config-router)# router-id 10.10.6.1
FW-1(config-router)# network 10.10.255.17/32 area 0.0.0.3
FW-1(config-router)# network 200.200.200.2/32 area 0.0.0.3
FW-1(config-router)# network 10.10.6.1/32 area 0.0.0.3
FW-2(config-router)# default-information originate type 2 下发type2默认路由
IPv6
SW1(config)#router ipv6 ospf 1
SW1(config-router)#router-id 10.10.11.1
SW1(config)#int loopback 1
SW1(config-if-loopback1)#ipv6 router ospf area 0
SW2(config)#router ipv6 ospf 1
SW2(config-router)#router-id 10.10.21.1
SW2(config)#int loopback 1
SW2(config-if-loopback1)#ipv6 router ospf area 0
SW3(config)#router ipv6 ospf 1
SW3(config-router)#router-id 10.10.31.1
SW3(config)#int loopback 1
SW3(config-if-loopback1)#ipv6 router ospf area 0
(5)RT1、FW2 之间 OSPFv2 和 OSPFv3 协议,进程 2,区域 2;
RT1 发布 loopback4路由,向该区域通告 type1 默认路由;FW2 发布 loopback1 路由,
R1_config#router ospf 2
R1_config_ospf_2#router-id 10.10.4.4
R1_config_ospf_2#network 10.10.255.29 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.21 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.18 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.25 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.33 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.255.37 255.255.255.255 area 2
R1_config_ospf_2#network 10.10.4.4 255.255.255.255 area 2
FW-2(config-vrouter)# router ospf 2
FW-2(config-router)# router-id 10.10.8.1
FW-2(config-router)# network 10.10.255.17/32 area 0.0.0.3
FW-2(config-router)# network 10.10.255.13/32 area 0.0.0.3
FW-2(config-router)# network 10.10.6.1/32 area 0.0.0.3
FW-2(config-vrouter)# ip route 0.0.0.0 0.0.0.0 10.10.255.25
FW-2(config-router)# default-information originate type 1
R1_config_ospf_2#redistribute ospf 1
R1_config_ospf_1#redistribute ospf 2
FW2 禁止学到集团和分公司的所有路由。
FW-2(config)# access-list route FW deny 10.10.255.0/30
FW-2(config)# access-list route FW deny 10.10.255.4/30
FW-2(config)# access-list route FW deny 10.10.255.12/30
FW-2(config)# access-list route FW deny 10.10.255.12/30
FW-2(config)# access-list route FW deny 10.10.255.8/30
FW-2(config)# access-list route FW deny 10.10.255.20/30
FW-2(config)# access-list route FW deny 10.10.255.16/30
FW-2(config)# access-list route FW deny 10.10.255.40/30
FW-2(config-router)# distribute-list acl in 旧设备不可用
RT1 用 prefix-list 匹配 FW2 loopback1 路由、SW3模拟办事处 loopback2 和产品路由、
RT1 与 FW2 直连 ipv4 路由,将这些路由重发布到区域 0。
R1_config#ip prefix-list 1 permit 10.10.255.0/32
R1_config#ip prefix-list 1 permit 10.10.110.0/32
R1_config#ip prefix-list 1 permit 10.10.3.0/24 le 24
R1_config#ip prefix-list 1 permit 10.10.7.0/24 le 26
(6)修改 ospf cost 为 100,实现 SW1 分别与 RT2、FW2 之间 ipv4 和 ipv6 互
访流量优先通过 SW1_SW2_RT1 链路转发,SW2 访问 Internet ipv4 和 ipv6 流量
优先通过 SW2_SW1_FW1 链路转发。
7.RT1 串行链路、RT2 串行链路、FW1、AC1 之间分别运行 RIP 和 RIPng 协议,
FW1、RT1、RT2 的 RIP 和 RIPng 发布 loopback2 地址路由,AC1 RIP 发布 loopback2
地址路由,
R1_config_rip#router rip
R1_config_rip#version 2
R1_config_rip#network 10.10.255.18 255.255.255.255
R1_config_rip#network 10.10.255.37 255.255.255.255
R1_config_rip#network 10.10.255.33 255.255.255.255
R1_config_rip#network 10.10.4.2 255.255.255.255
AC1 RIPng 采用 route-map 匹配 prefix-list 重发布 loopback2 地址
路由。RT1 配置 offset 值为 3 的路由策略,实现 RT1-S1/0_RT2-S1/1 为主链路,
RT1-S1/1_RT2-S1/0 为备份链路,ipv4 的 ACL 名称为 AclRIP,ipv6 的 ACL 名称
为 AclRIPng。
RT1 的 S1/0 与 RT2 的 S1/1 之间采用 chap 双向认证,用户名为对
端设备名称,密码为 Pass-1234。
针是1,孔是2,针连孔,孔连针,2配速率,1不配
R2_config#aaa authentication ppp test local
R2_config#username RT1 password Pass-1234
R2_config#int s0/1
R2_config_s0/1#encapsulation ppp
R2_config_s0/1#ppp authentication chap test
R2_config_s0/1#ppp chap hostname RT1
R2_config_s0/1#ppp chap password Pass-1234
R1_config#aaa authentication ppp test local
R1_config#username RT1 password Pass-1234
R1_config#int s1/1
R1_config_s1/1#encapsulation ppp
R1_config_s1/1#ppp authentication chap test
R1_config_s1/1#ppp chap hostname RT2
R1_config_s1/1#ppp chap password Pass-1234
R1_config_s1/1#physical-layer speed 64000
8.RT1 以太链路、RT2 以太链路之间运行 ISIS 协议,进程 1,分别实现
loopback3 之 间 ipv4 互 通 和 ipv6 互 通 。 RT1 、 RT2 的 NET 分别为
10.0000.0000.0001.00、10.0000.0000.0002.00,路由器类型是 Level-2,接口
网络类型为点到点。配置域 md5 认证和接口 md5 认证,密码均为 Pass-1234。
R1_config#router isis 1
R1_config_isis_1#is-type level-2 设置路由器类型
R1_config_isis_1#domain-password Pass-1234 设置域md5密码
R1_config_isis_1#net 10.0000.0000.0001.00 设置net
R1_config#int g0/0
R1_config_g0/6#ip router isis 1 ipv4qiyong
R1_config_g0/6#ipv6 router isis 1 ipv6启用
R1_config_g0/6#isis network point-to-point 设置p-2-p
R1_config_g0/6#isis password Pass-1234 设置接口md5密码
R1_config#int loopback 3
R1_config_l1#ip router isis 1
R1_config_l1#ipv6 router isis 1
R2_config#router isis 1
R2_config_isis_1#is-type level-2
R2_config_isis_1#domain-password Pass-1234
R2_config_isis_1#net 10.0000.0000.0001.00
R2_config#int g0/0 老版本路由器没有0口用6口代替
R2_config_g0/6#ip router isis 1
R2_config_g0/6#ipv6 router isis 1 老版本路由器不支持ipv6功能
R2_config_g0/6#isis password Pass-1234
R2_config_g0/6#isis network point-to-point
R2_config#int loopback 3
R2_config_l1#ip router isis 1
R2_config_l1#ipv6 router isis 1
9.RT2 配置 ipv4 nat,实现 AC1 ipv4 产品部门用 RT2 外网接口 ipv4 地址访
问 Internet。
R2_config#ip access-list standard 1 创建一个acl
R2_config_std_nacl#permit 10.10.255.40 255.255.255.252 允许地址通过
R2_config_g0/6#ip access-group 1 in 应用在接口上
R2_config#ip nat inside source list 1 interface g0/3 内部地址acl1转换为g0/3的地址
R2_config#int g0/1
R2_config_g0/1#ip nat inside 进的接口
R2_config#int g0/3
R2_config_g0/3#ip nat outside 出的接口
RT2 配置 nat64,实现 AC1 ipv6 产品部门用 RT2 外网接口 ipv4 地
址访问 Internet,ipv4 地址转 ipv6 地址前缀为 64:ff9b::/96。
10.SW1、SW2、SW3、RT1、RT2 之间运行 BGP 协议,SW1、SW2、RT1 AS 号 65001、
RT2 AS 号 65002、SW3 AS 号 65003。
(1)SW1、SW2、SW3、RT1、RT2 之间通过 loopback1 建立 ipv4 和 ipv6 BGP 邻
居。
SW1(config)#router bgp 65001
SW1(config-router)#bgp router-id 10.10.1.1
SW1(config-router)#neighbor 10.10.2.1 remote-as 65001
SW1(config-router)#neighbor 10.10.4.1 remote-as 65001
SW1(config-router)#neighbor 10.10.5.1 remote-as 65002
SW1(config-router)#neighbor 10.10.5.1 update-source 10.10.1.1 指定更新源
SW1(config-router)#neighbor 10.10.5.1 enforce-multihop 255 旧版设备不用指出255 新版需要
SW1(config-router)#neighbor 10.10.3.1 remote-as 65003
SW1(config-router)#neighbor 10.10.3.1 update-source 10.10.1.1 指定更新源
SW1(config-router)#neighbor 10.10.3.1 enforce-multiho 旧版设备不用指出255 新版需要
SW1(config-router)#neighbor 2001:10:10:2::1 remote-as 65001
SW1(config-router)#neighbor 2001:10:10:4::1 remote-as 65001
SW1(config-router)#neighbor 2001:10:10:3::1 remote-as 65003
SW1(config-router)#neighbor 2001:10:10:3::1 update-source 2001:10:10:1::1
SW1(config-router)#neighbor 2001:10:10:3::1 ebgp-multihop
SW1(config-router)#neighbor 2001:10:10:5::1 remote-as 65002
SW1(config-router)#neighbor 2001:10:10:5::1 update-source 2001:10:10:1::1
SW1(config-router)#neighbor 2001:10:10:5::1 ebgp-multihop
SW2(config)#router bgp 65001
SW2(config-router)#bgp router-id 10.10.2.1
SW2(config-router)#neighbor 10.10.1.1 remote-as 65001
SW2(config-router)#neighbor 10.10.4.1 remote-as 65001
SW2(config-router)#neighbor 10.10.5.1 remote-as 65002
SW2(config-router)#neighbor 10.10.5.1 update-source 10.10.2.1 指定更新源
SW2(config-router)#neighbor 10.10.5.1 enforce-multihop 255
SW2(config-router)#neighbor 10.10.3.1 remote-as 65003
SW2(config-router)#neighbor 10.10.3.1 update-source 10.10.2.1 指定更新源
SW2(config-router)#neighbor 10.10.3.1 enforce-multiho
SW2(config-router)#neighbor 2001:10:10:1::1 remote-as 65001
SW2(config-router)#neighbor 2001:10:10:4::1 remote-as 65001
SW2(config-router)#neighbor 2001:10:10:3::1 remote-as 65003
SW2(config-router)#neighbor 2001:10:10:3::1 update-source 2001:10:10:2::1
SW2(config-router)#neighbor 2001:10:10:3::1 ebgp-multihop
SW2(config-router)#neighbor 2001:10:10:5::1 remote-as 65002
SW2(config-router)#neighbor 2001:10:10:5::1 update-source 2001:10:10:2::1
SW2(config-router)#neighbor 2001:10:10:5::1 ebgp-multihop
SW3(config)#router bgp 65003
SW3(config-router)#neighbor 10.10.1.1 remote-as 65001
SW3(config-router)#neighbor 10.10.1.1 update-source 10.10.3.1
SW3(config-router)#neighbor 10.10.1.1 ebgp-multihop
SW3(config-router)#neighbor 10.10.2.1 remote-as 65001
SW3(config-router)#neighbor 10.10.2.1 update-source 10.10.3.1
SW3(config-router)#neighbor 10.10.2.1 ebgp-multihop
SW3(config-router)#neighbor 10.10.4.1 remote-as 65001
SW3(config-router)#neighbor 10.10.4.1 update-source 10.10.3.1
SW3(config-router)#neighbor 10.10.5.1 remote-as 65002
SW3(config-router)#neighbor 10.10.4.1 ebgp-multihop
SW3(config-router)#neighbor 10.10.5.1 remote-as 65002
SW3(config-router)#neighbor 10.10.5.1 update-source 10.10.3.1
SW3(config-router)#neighbor 10.10.5.1 ebgp-multihop
SW3(config-router)#neighbor 2001:10:10:1::1 remote-as 65001
SW3(config-router)#neighbor 2001:10:10:1::1 update-source 2001:10:10:3::1
SW3(config-router)#neighbor 2001:10:10:1::1 ebgp-multihop
SW3(config-router)#neighbor 2001:10:10:2::1 remote-as 65001
SW3(config-router)#neighbor 2001:10:10:2::1 update-source 2001:10:10:3::1
SW3(config-router)#neighbor 2001:10:10:2::1 ebgp-multihop
SW3(config-router)#neighbor 2001:10:10:4::1 remote-as 65001
SW3(config-router)#neighbor 2001:10:10:4::1 update-source 2001:10:10:3::1
SW3(config-router)#neighbor 2001:10:10:4::1 ebgp-multihop
SW3(config-router)#neighbor 2001:10:10:5::1 remote-as 65002
SW3(config-router)#neighbor 2001:10:10:5::1 update-source 2001:10:10:3::1
SW3(config-router)#neighbor 2001:10:10:5::1 ebgp-multihop
R2_config#router bgp 65002
R2_config_bgp#bgp router-id 10.10.5.1
R2_config_bgp#neighbor 10.10.1.1 remote-as 65001
R2_config_bgp#neighbor 10.10.1.1 ebgp-multihop 255
R2_config_bgp#neighbor 10.10.1.1 update-source loopback 1
R2_config_bgp#neighbor 10.10.2.1 remote-as 65001
R2_config_bgp#neighbor 10.10.2.1 ebgp-multihop 255
R2_config_bgp#neighbor 10.10.2.1 update-source loopback 1
R2_config_bgp#neighbor 10.10.4.1 remote-as 65001
R2_config_bgp#neighbor 10.10.4.1 ebgp-multihop 255
R2_config_bgp#neighbor 10.10.3.1 update-source loopback 1
R2_config_bgp#neighbor 10.10.3.1 remote-as 65003
R2_config_bgp#neighbor 10.10.3.1 ebgp-multihop 255
R2_config_bgp#neighbor 10.10.3.1 update-source loopback 1
R1_config#router bgp 65001
R1_config_bgp#bgp router-id 10.10.4.1
R1_config_bgp#neighbor 10.10.1.1 remote-as 65001
R1_config_bgp#neighbor 10.10.2.1 remote-as 65001
R1_config_bgp#neighbor 10.10.5.1 remote-as 65002
R1_config_bgp#neighbor 10.10.5.1 ebgp-multihop 255
R1_config_bgp#neighbor 10.10.5.1 update-source loopback 1
R1_config_bgp#neighbor 10.10.3.1 remote-as 65003
R1_config_bgp#neighbor 10.10.3.1 ebgp-multihop 255
R1_config_bgp#neighbor 10.10.3.1 update-source loopback 1
SW1 和 SW2 之间财务通过 loopback2 建立 ipv4 BGP 邻居,SW1 和 SW2 的
loopback2 互通采用静态路由。
(2)SW1、SW2、SW3、RT2 (发布啥东西)分别只发布营销、法务、财务、人力等 ipv4 和 ipv6
路由;RT1 发布办事处营销 ipv4 和 ipv6 路由到 BGP。
SW1(config-router)#address-family ipv4 unicast
SW1(config-router-af)#network 10.10.12.1 mask 255.255.255.0
SW1(config-router-af)#network 10.10.13.1 mask 255.255.255.0
SW1(config-router-af)#network 10.10.14.1 mask 255.255.255.0
SW1(config-router-af)#network 10.10.15.1 mask 255.255.255.0
SW1(config-router)#address-family ipv6 unicast
SW1(config-router-af)#network 2001:10:10:12::1/64
SW1(config-router-af)#network 2001:10:10:13::1/64
SW1(config-router-af)#network 2001:10:10:14::1/64
SW1(config-router-af)#network 2001:10:10:15::1/64
SW2(config-router)#address-family ipv4 unicast
SW2(config-router-af)#network 10.10.22.1 mask 255.255.255.0
SW2(config-router-af)#network 10.10.23.1 mask 255.255.255.0
SW2(config-router-af)#network 10.10.24.1 mask 255.255.255.0
SW2(config-router-af)#network 10.10.25.1 mask 255.255.255.0
SW2(config-router)#address-family ipv6 unicast
SW2(config-router-af)#network 2001:10:10:22::1/64
SW2(config-router-af)#network 2001:10:10:23::1/64
SW2(config-router-af)#network 2001:10:10:24::1/64
SW2(config-router-af)#network 2001:10:10:25::1/64
SW3(config-router)#address-family ipv4 unicast
SW3(config-router-af)#network 10.10.32.1 mask 255.255.255.0
SW3(config-router-af)#network 10.10.33.1 mask 255.255.255.0
SW3(config-router-af)#network 10.10.34.1 mask 255.255.255.0
SW3(config-router-af)#network 10.10.35.1 mask 255.255.255.0
SW3(config-router)#address-family ipv6 unicast
SW3(config-router-af)#network 2001:10:10:32::1/64
SW3(config-router-af)#network 2001:10:10:33::1/64
SW3(config-router-af)#network 2001:10:10:34::1/64
SW3(config-router-af)#network 2001:10:10:35::1/64
R1_config#router bgp 65002
R1_config_bgp#network 10.10.5.5/32
R1_config#router bgp 65001
R1_config_bgp#network 10.16.120.1/24
(3)SW3 营销分别与 SW1 和 SW2 营销 ipv4 和 ipv6 互访优先在 SW3_SW1 链路
转发;
SW3(config)#route-map text permit 10 text(命名)
SW3(config-route-map)#match ip address prefix-list CP 给prefix-list命名
SW3(config-route-map)#set ip next-hop 10.10.255.5 指出下一跳地址
SW3(config-route-map)#exit
SW3(config)#ip prefix-list CP permit 10.10.12.0/24 抓取SW1的营销网段
SW3(config)#ip prefix-list CP permit 10.10.22.0/24 抓取SW1的营销网段
SW3(config)#router bgp 65003 进入bgp
SW3(config-router)#neighbor 10.10.255.5 route-map text in 在进口绑定route-map
SW3(config-router)#neighbor 10.10.255.2 route-map text in 在进口绑定route-map
SW3(config-router)#neighbor 10.10.255.6 route-map text out 在进口绑定route-map
SW3(config-router)#neighbor 10.10.255.1 route-map text out 在进口绑定route-map
SW3#clear bgp * soft 可以理解为刷新
SW3(config)#route-map hop permit 20 创建一条空的,因为默认是拒接的,得允许其他路由条目通过(不创建不允许更改)
SW3 法务及人力分别与 SW1 和 SW2 法务及人力 ipv4 和 ipv6 互访优先在
SW3_SW2 链路转发,主备链路相互备份;用 prefix-list、route-map 和 BGP 路
径属性进行选路,新增 AS 65000。
SW3(config)#route-map hop permit 30
SW3(config-route-map)#match ip address prefix-list FWRL
SW3(config-route-map)#set ip next-hop 10.10.255.9
SW3(config)#ip prefix-list FWRL permit 10.10.13.0/24
SW3(config)#ip prefix-list FWRL permit 10.10.15.0/24
SW3(config)#ip prefix-list FWRL permit 10.10.25.0/24
SW3(config)#ip prefix-list FWRL permit 10.10.23.0/24
SW3(config)#router bgp 62003
SW3(config-router)#neighbor 10.10.255.9 route-map hop in
SW3(config-router)#neighbor 10.10.255.1 route-map hop in
SW3(config-router)#neighbor 10.10.255.2 route-map hop out
SW3(config-router)#neighbor 10.10.255.10 route-map hop out
SW3(config)#route-map hop permit 40 创建一个空目录
SW3#clear bgp * soft 刷新
11.利用 BGP MPLS VPN 技术,RT1 与 RT2 以太链路间运行多协议标签交换、
标签分发协议。RT1 与 RT2 间创建财务 VPN 实例,名称为 CW,RT1 的 RD 值为 1:1,
export rt 值为 1:2,import rt 值为 2:1;RT2 的 RD 值为 2:2。通过两端 loopback1
建立 VPN 邻居,分别实现两端 loopback5 ipv4 互通和 ipv6 互通。
12.SW1、SW2、RT1、RT2、AC1 运行 PIM-SM,RT1 loopback1 为 c-bsr 和 crp,RT2 运行 IGMPv3;SW1
产品部门(PC1 测试)终端启用组播,用 VLC 工具串
流播放视频文件“1.mp4”,模拟组播源,设置此视频循环播放,组地址232.1.1.1,
端口 1234,实现分公司产品部门(PC2 测试)收看视频。
无线
1.AC1 loopback1 ipv4 和 ipv6 地址分别作为 AC1 的 ipv4 和 ipv6 管理地
址。AP 二层自动注册,AP 采用 MAC 地址认证。配置 2 个 ssid,分别为 SKILLS2.4G 和 SKILLS-5G。SKILLS-2.4G
对应 vlan110,用 network 110 和 radio1(模式为 n-only-g),用户接入无线网络时需要采用基于 WPA-personal
加密方式,密码为 Pass-1234。SKILLS-5G 对应 vlan120,用 network 120 和 radio2(模式为
n-only-a),不需要认证,隐藏 ssid,SKILLS-5G 用倒数第一个可用 VAP 发送5G 信号。
DCWS-6028(config-wireless)#ap database 00-03-0F-72-FD-e0 mac地址认证
DCWS-6028(config-wireless)#ap authentication none ap二层自动注册
DCWS-6028(config-network)#hide-ssid 隐藏SSID
2.当 AP 上线,如果 AC 中储存的 Image 版本和 AP 的 Image 版本号不同时,
会触发 AP 自动升级。AP 失败状态超时时间及探测到的客户端状态超时时间都为2 小时。
DCWS-6028(config-wireless)#ap auto-upgrad 启用自动升级模式
DCWS-6028(config-wireless)#agetime ap-failure 2 超时时间
DCWS-6028(config-wireless)#agetime detected-clients 2
3.MAC 认证模式为黑名单,MAC 地址为 80-45-DD-77-CC-48 的无线终端采用
全局配置 MAC 认证。
DCWS-6028(config-wireless)#mac-authentication-mode black-list 设置认证模式为黑名单
DCWS-6028(config-wireless)#known-client 80-45-DD-77-CC-45 action global-action
DCWS-6028(config-wireless)#network 120
DCWS-6028(config-network)#mac authentication local 本地身份验证
DCWS-6028(config-wireless)#network 110
DCWS-6028(config-network)#mac authentication local 本地身份验证
4.防止多 AP 和 AC 相连时过多的安全认证连接而消耗 CPU 资源,检测到 AP
与 AC 10 分钟内建立连接 5 次就不再允许继续连接,2 小时后恢复正常。
DCWS-6028(config-wireless)#wireless ap anti-flood interval 10 无线ap抗洪间隔10分钟
DCWS-6028(config-wireless)#wireless ap anti-flood max-conn-count 5 无线ap防洪水最大连接数5
DCWS-6028(config-wireless)#wireless ap anti-flood agetime 120 无线ap抗洪时间120
agetime 以分钟为单位配置AP抗洪的agetime
interval 以分钟为单位配置AP防洪间隔
max-conn-count 配置AP防洪的最大conn count
5.配置vlan110无线接入用户上班时间(工作日09:00-17:00)访问Internet
https 上下行 CIR 为 100Mbps,CBS 为 200Mbps,PBS 为 300Mbps,exceed-action
和 violate-action 均为 drop。时间范围名称、控制列表名称、分类名称、策略
名称均为 SKILLS。
6.开启 AP 组播广播突发限制功能;AP 收到错误帧时,将不再发送 ACK 帧;AP 发送向无线终端表明 AP 存在的帧时间间隔为 1 秒。
DCWS-6028(config-wireless)#ap profile 1 进入ap配置文件1
DCWS-6028(config-ap-profile)#radio 1 进入无线电1
DCWS-6028(config-ap-profile-radio)#rate-limit 速率限制
DCWS-6028(config-ap-profile-radio)#incorrect-frame-no-ack 不正确的帧无ack
DCWS-6028(config-ap-profile-radio)#beacon-interval 1000 信标间隔1000毫秒
7.AP 发射功率为 80%。
DCWS-6028(config-wireless)#ap database 00-03-0f-6a-a9-80 进入AP数据库配置模式
DCWS-6028(config-ap)#radio 2 power 80 配制发射功率为80
DCWS-6028(config-ap)#radio 1 power 80 配制发射功率为80
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
