完成网络设备密码恢复,实现设备软件版本统一。
(1)在交换机 S7 上做密码恢复,新的密码设置为 admin1234。
(2)在交换机 S7 上进行版本更新,更新版本至指定版本,指定版本见现场提供的设备软件版本升级文件包(见文件 XXXXX)。
1、Ruijie#copy tftp://192.168.1.2/S5700L_RGOS11.4(1)B74P1_install.bin
flash:/rogs.bin
2、YZX-Aggregation-Switch-S7#upgrade flash:rogs.bin 等待重启即可
3. 保障全网中的网络设备安全。
(1)需要在所有网络设备上,都需要开启 SSH 服务,以保障网络设备的安全。其中,用户名和密码分别为 admin、admin1234;特权密码为 admin1234
1、 开启交换机的 SSH服务功能
Ruijie#configure terminal
Ruijie(config)#enable service ssh-server
2、生成加密密钥:
Ruijie(config)#crypto key generate dsa ------>加密方式有两种DSA和RSA,可以随意选择
Choose the size of the key modulus in the range of 360 to 2048 for your
Signature Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: ------>直接敲回车
% Generating 512 bit DSA keys ...[ok]
需求二:SSH时使用用户名及密码登入交换机
Ruijie(config)#line vty 0 4 ------>进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机
Ruijie(config-line)#login local ------>启用SSH时使用本地用户和密码功能
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)#username admin password admin1234 ------>配置远程登入的用户名为admin,密码为admin1234
Ruijie(config)#enable password admin1234 ------>配置进入特权模式的密码为admin1234
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
(2)为方便对全网开展网络管理,网络管理员增设网管平台,网管平台 IP规划为 172.16.0.254/24。
(3)为实现网管平台后期上线后可用,需要在每台设备上部署 SNMP 功能,配置所有网络设备的 SNMP 消息报告机制。其中,向主机 172.16.0.254 发送 Trap消息版本采用 V2C;读写的 Community“admin”;只读的 Community 为“public”;开启 Trap 消息通告。
R1(config)#snmp-server host 172.16.0.254 traps version 2c admin 建立共同体名字
R1(config)#snmp-server host 172.16.0.254 traps version 2c public
R1(config)#snmp-server community admin rw设置共同体权限
R1(config)#snmp-server community public ro
R1(config)#snmp-server enable traps 开启trap消息
(二)网络搭建与网络冗余备份方案部署
1. (二)网络搭建与网络冗余备份方案部署
1.在全网部署虚拟局域网,完成全网 IPv4 地址部署。
为了减少全网广播干扰,在全网规划和部署 VLAN,需要实施内容如下所示。
(1)全网 VLAN 规划和配置合理,在 Trunk 链路上禁止不必要 VLAN 中的数据流通过。
法一:
Switch-Virtual(config)#interface gigabitEthernet 1/0/2
Switch-Virtual(config-if-GigabitEthernet 1/0/2)#switchport trunk allowed vlan only 10,50,60,100
法二:
Ruijie(config-if-GigabitEthernet 0/1)# switchport trunk allowed vlan remove 1-9,11-19,21-29,31-39,41-49,51-59,61-4094
(2)为了隔离网络终端之间的二层互访,需要在交换机 S5、S6 的 Gi0/6-Gi0/20 端口上,启用端口保护功能。
Switch-S5(config)#interface range gigabitEthernet 0/6-20
Switch-S5(config-if-range)#switchport protected
Switch-S5(config-if-range)#ex
(3)根据“表 2:网络设备名称表”、“表 3:IPv4 地址分配表”中规划要求,在各台设备上完成相应的 VLAN 信息、IP 地址的配置。
2. 在局域网中部署环路规避方案
为避免网络接入设备上出现环路,影响全网运行状态。要求在网络接入交换机 S5、S6 上进行防环处理。具体要求如下所示。
- 在连接 PC 机端口上开启 Portfast 和 BPDUguard 防护功能。
Switch-S5(config)#interface range gigabitEthernet 0/1-20
Switch-S5(config-if-range)# spanning-tree bpduguard enable
Switch-S5(config-if-range)# spanning-tree Portfast
Switch-S5(config-if-range)#exit
(2)为防止接入交换机下联端口出现用户私接集线器(Hub),引起办公网中的环路,需要启用 RLDP 协议进行防环处理。
(3)接入交换机的连接终端的接口上检测到环路后,要求处理的方式为Shutdown-Port,实现防环保护。
Rujijie(config)#interface range g0/1-24
Rujijie(config-if-range)#rldp port loop-detect shutdown-port
(4)一旦端口检测异常事件并进入 Err-Disabled 状态,设置 300 秒自动恢复机制(基于接口部署策略)。
Rujijie(config)#errdisable recovery interval 300
3. 部署 DHCP 中继与服务安全
在学校本部网络中,部署 DHCP 中继与服务安全如下所示。
(1)在交换机 S3、S4 上配置 DHCP 中继功能,使得网络中的终端用户通过DHCP Relay 方式获取 IP 地址。其中,DHCP 服务器搭建在学院的 EG1 上,按照地址规划表(表 3:IPv4 地址分配表)中地址规划,为有线用户、无线用户和 AP 的管理地址(共 3 个网段,192.1.10.0/24、192.1.50.0/24、192.1.60.0/24,其中,具体地址规划见“表3:IPv4 地址分配表”。配置无线 AP 的租约为永久;配置无线用户设备的租约设为 0.5 天。
1、在EG1上面配置dhcp
EG1(config)#ip dhcp pool 10
EG1(dhcp-config)#lease infinite
EG1(dhcp-config)#network 192.1.10.0 255.255.255.0
EG1(dhcp-config)#dns-server 114.114.114.114 8.8.8.8
EG1(dhcp-config)#default-router 192.1.10.254
EG1(config)ip dhcp pool 50
EG1(dhcp-config)#lease 0 12 0
<