任务清单
(一)基础配置
- 根据附录1、附录2,配置设备接口信息。
Port link-mode route //修改接口为route模式
Combo enable copper //修改接口使用网口
- 所有交换机和无线控制器开启SSH服务,基于用户名和密码认证,用户名密码分别为admin、Test123456,授权用户角色为管理员角色。Console口/AUX口密码配置为Test123456。密码均为明文类型。
ssh server enable //开启ssh服务器
user-interface vty 0 4 //(是否指定允许最大同时登入的SSH用户数量)
Authentication-mode scheme //(选择使用用户名和密码的方式进行验证)
protocol inbound ssh
quit
local-user admin class manage //(创建属于manage组的用户)
service-type ssh //(指定用户的服务类型)
Password simple //复杂一点的密码(设置用户的密码)
authorization-attribute user-role network-admin //(授权用户角色为network-admin)
特权密码:console密码、aux密码
user-interface aux 0 //进入aux接口
authentication-mode password //选择密码验证
set authentication password simple xxxxxx 设置验证密码
dis ssh server session
- 总部所有设备配置SNMP功能,向主机192.1.100.100发送Trap消息版本采用V2C,读写的Community为“Test”,开启Trap消息,发送Trap的团体名为Public。
snmp-agent 开启SNMP功能
snmp-agent community write Test 设置读写团体字
snmp-agent community read Test 设置只读团体字
snmp-agent trap enable 开启snmp的trap告警功能
snmp-agent target-host trap address udp-domain 192.1.100.100 params securityname Test v2c 向主机192.1.100.100发送trap告警
snmp-agent sys-info version v2c 修改snmp的版本为v2c
(二)有线网络配置
- 在全网Trunk链路上做VLAN配置,不允许不必要的vlan通过,S3和S4之间使用动态链路聚合,实现链路冗余能力,聚合组使用二层聚合组1。
interface GigabitEthernet1/0/21
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 30 40 50 60 100
combo enable auto
port link-aggregation group 1
interface GigabitEthernet1/0/22
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 30 40 50 60 100
combo enable auto
port link-aggregation group 1
interface Bridge-Aggregation1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 30 40 50 60 100
link-aggregation mode dynamic
边缘端口和BPDU保护:先进入接口,stp edged-port、stp port bpdu-protection enable接口开启bpdu保护
再过300秒后自动恢复:shutdown-interval 300,全局视图下
- 在交换机S3、S4上配置DHCP中继,对VLAN10内的用户进行中继,使得财务部用户使用DHCP中继方式获取IP地址。
interface Vlan-interface10
dhcp select relay
dhcp relay server-address 11.1.0.11
- DHCP服务器搭建于EG1上,地址池命名为Pool_VLAN10,DHCP对外服务使用loopback 0地址。
dhcp enable
dhcp server ip-pool Pool_VLAN10
gateway-list 192.1.10.254
network 192.1.10.0 mask 255.255.255.0
- 为了防御动态环境局域网伪DHCP服务欺骗,在S1交换机部署DHCP Snooping功能。
dhcp snooping enable全局开启dhcp snooping功能
int r gi1/0/23 to gi1/0/24
Dhcp snooping trust 设置该接口为trust接口
- 在总部交换机S1、S3、S4上配置MSTP防止二层环路;要求VLAN10、VLAN20、VLAN50、VLAN60、VLAN100数据流经过S3转发,S3失效时经过S4转发;VLAN30、VLAN40数据流经过S4转发,S4失效时经过S3转发。所配置的参数要求如下:region-name为test;revision版本为1;S3作为实例1的主根、实例2的从根,S4作为实例2的主根、实例1的从根;生成树优先级可设置为4096、8192;在S3和S4上配置VRRP,实现主机的网关冗余,所配置的参数要求如下表;S3、S4各VRRP组中高优先级设置为150,低优先级设置为120。
stp global enable 全局开启stp
stp mode mstp 指定为mstp
stp region-configuration 进入stp域配置
region-name test 设置域名
revision-level 1 设置修订级别
instance 1 vlan 10 20 50 60 100
instance 2 vlan 30 40
active region-configuration 激活域配置
S3作为实例1的主根桥、实例2的从根
S3:stp instance 1 priority 4096,将S3在instance 1中的桥优先级修改为4096
stp instance 2 priority 8192
VLAN |
VRRP备份组号(VRID) |
VRRP虚拟IP |
VLAN10 |
10 |
192.1.10.254 |
VLAN20 |
20 |
192.1.20.254 |
VLAN30 |
30 |
192.1.30.254 |
VLAN40 |
40 |
192.1.40.254 |
VLAN50 |
50 |
192.1.50.254 |
VLAN60 |
60 |
192.1.60.254 |
VLAN100(交换机间) |
100 |
192.1.100.254 |
- 总部与分部内网均使用OSPF协议组网,总部、分部与互联网间使用静态路由协议。具体要求如下:总部S3、S4、EG1间运行OSPF,进程号为10,规划单区域0;分部S7、EG2间运行OSPF,进程号为20,规划单区域0;服务器区使用静态路由组网;重发布路由进OSPF中使用类型1。
ospf 10 router-id 11.1.0.34
area 0
network x.x.x.x x.x.x.x
S5:
ip route-static 0.0.0.0 0 40.1.0.2
ip route-static 11.1.0.204 32 194.1.100.2
ip route-static 11.1.0.205 32 194.1.100.3
AC1-AC2:
ip route-static 0.0.0.0 0 194.1.100.254
防火墙配置静态缺省路由
ip route-static 0.0.0.0 0.0.0.0 20.0.1.2(next-hop)
ospf 10
default-route-advertise type 1,下发一条缺省路由的五类LSA,类型是type 1
(该命令,只有在本地IP路由表中存在有效的缺省路由的时候,才可以下发)
default-route-advertise always type 1
- 总部与分部部署IPv6网络,实现总分部内网IPv6终端可通过无状态自动从网关处获取地址。IPv6地址规划如下:
表2 IPv6地址规划表
设备 |
接口 |
IPv6地址 |
VRRP组号 |
虚拟IP |
S3 |
VLAN10 |
2001:192:10::252/64 |
10 |
2001:192:10::254/64 |
VLAN20 |
2001:192:20::252/64 |
20 |
2001:192:20::254/64 |
|
VLAN30 |
2001:192:30::252/64 |
30 |
2001:192:30::254/64 |
|
VLAN40 |
2001:192:40::252/64 |
40 |
2001:192:40::254/64 |
|
VLAN60 |
2001:192:60::252/64 |
60 |
2001:192:60::254/64 |
|
VLAN100 |
2001:192:100::252/64 |
100 |
2001:192:100::254/64 |
|
S4 |
VLAN10 |
2001:192:10::253/64 |
10 |
2001:192:10::254/64 |
VLAN20 |
2001:192:20::253/64 |
20 |
2001:192:20::254/64 |
|
VLAN30 |
2001:192:30::253/64 |
30 |
2001:192:30::254/64 |
|
VLAN40 |
2001:192:40::253/64 |
40 |
2001:192:40::254/64 |
|
VLAN60 |
2001:192:60::253/64 |
60 |
2001:192:60::254/64 |
|
VLAN100 |
2001:192:100::253/64 |
100 |
2001:192:100::254/64 |
|
S7 |
VLAN10 |
2001:193:10::254/64 |