- SW1和SW2之间利用三条裸光缆实现互通,其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为Finance。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为passive;采用源、目的IP进行实现流量负载分担。
SW1
ip vrf Finance
Exit
Int vlan 40
Ip vrf for Finance
Int vlan 1023
Ip vrf for Finance
Exit
Port-group 1
Int e1/0/24
port-group 1 mode active
exit
load-balance dst-src-ip
SW2
ip vrf Finance
Exit
Int vlan 40
Ip vrf for Finance
Int vlan 1023
Ip vrf for Finance
Exit
Port-group 1
Int e1/0/24
port-group 1 mode passive
Exit
load-balance dst-src-ip
2.SW3针对每个业务VLAN的第一个接口配置Loopback命令,模拟接口UP,方便后续业务验证与测试。
Sw3
Int e1/0/1
Loopback
Int e1/0/2
loopback
Int e1/0/3
loopback
Int e1/0/5
loopback
3.SW1、SW2、SW3 启用 MSTP,实现网络二层负载均衡和冗余备份,创建实例Instance10 和 Instance20,名称为 SKILLS,修订版本为 1,其中 Instance10关联 vlan60 和 vlan70,Instance20 关联 vlan80 和 vlan90。SW1 为 Instance0 和 Instance10 的根交换机,为 Instance20 备份根交换机;SW2 为 Instance20 根交换机,为 Instance0 和 Instance10 的备份根交换机;根交换机 STP 优先 级为 0,备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的STP。
SW1
spanning-tree
spanning-tree mode mstp
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
exi
spanning-tree mst 0 priority 0
spanning-tree mst 10 priority 0
spanning-tree mst 20 priority 4096
int e1/0/21
no spanning-tree
int e1/0/26-27
no spanning-tree
SW2
spanning-tree
spanning-tree mode mstp
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
Exi
spanning-tree mst 20 priority 0
spanning-tree mst 10 priority 4096
spanning-tree mst 0 priority 4096
int e1/0/21-22
no spanning-tree
int e1/0/26-27
no spanning-tree
SW3
spanning-tree
spanning-tree mode mstp
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
Exi
int e1/0/21-22
no spanning-tree
int e1/0/15
no spanning-tree
int e1/0/17-18
no spanning-tree
4.SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP 业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离,财务业务 VPN实例名称为 CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为 1,用 LACP 协议,SW1 为 active,SW2 为active;采用源、目的 IP 进行实现流量负载分担。
SW1
ip vrf CW
Exi
int vlan 40
ip vrf for CW
int vlan 1027
ip vrf forwarding CW
exi
port-group 1 /汇聚组号1
interface e1/0/28
port-group 1 mode active /主动加入汇聚组1号
exi
load-balance dst-src-ip /流量分担源、目的ip
SW2
ip vrf CW
exi
int vlan 40
ip vrf for CW
int vlan 1027
ip vrf forwarding CW
port-group 1
interface e1/0/28
port-group 1 mode active
exit
load-balance dst-src-ip
5.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,
Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表 VPN 实例名称为 Guangdong。
SW3 模拟 Internet
vlan 1017;1018
ip vrf Internet
Exit
int loopback3
ip vrf for Internet
exit
int vlan 1017
ip vrf for Internet
int vlan 1018
ip vrf for Internet
Exit
int e1/0/17
swit int vlan 1017/swit acc vlan 1017
int e1/0/18
swit int vlan 1018/swit acc vlan 1018
SW3 模拟办事处
vlan 110;120;1015
ip vrf Guangdong
Exit
int loopback2
ip vrf for Guangdong
exit
int vlan 110
ip vrf for Guangdong
exit
int vlan 120
ip vrf for Guangdong
exit
int vlan 1015
ip vrf for Guangdong
Exit
int e1/0/11
swit int vlan 110/swit acc vlan 110
int e1/0/12
swit int vlan 120/swit acc vlan 120
int e1/0/15
swit int vlan 1015/swit acc vlan 1015
6.SW1 法务物理接口限制收发数据占用的带宽均为 1500Mbps,限制所有报文最大收包速率为 2000packets/s,如果超过了配置交换机端口的报文最大收包速率则关闭此端口,1 分钟后恢复此端口;启用端口安全功能,最大安全 MAC地址数为 20,当超过设定 MAC 地址数量的最大值,不学习新的 MAC、丢弃数 据包、发 snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间 为 10 分钟;禁止采用访问控制列表,只允许 IP 主机位为 20-50 的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称 FW。
SW1
mac-address-learning cpu-control
am enable /启用AM配置
int e1/0/3
bandwidth control 150000 receive /接收带宽控制1500000
bandwidth control 200000 transmit /发送带宽控制2000000
rate-violation all 1000 /所有数据包速率违背1000
rate-violation control shutdown recovery 60 /速率违规控制停机恢复60 秒=1分钟
switchport port-security /安全相关命令
switchport port-security maximum 20 /最大MAC地址数为20
switchport port-security violation restrict /安全违背限制模式
switchport port-security aging type inactivity 无行为老化定时器类型
switchport port-security aging time 600 /老化时间时隔10分钟
am port /配置AM端口模式
am ip-pool 10.10.13.20 30
exi
isolate-port apply l2 设置隔离端口属性
isolate-port group FW sw int e1/0/3
7.SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级别,配置组的读、写视图分别为:SKILLS_Ro、SKILLS_Rw;创建认证用户为USER2022,采用 aes 算法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为 Pass-1111; 当设备有异常时,需要用本地的环回地址 loopback1 发送 v3Trap 消息至集团网管服务器 10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对应的用户接口发生 UPDOWN 事件时,禁止发送 trap 消息至上述集团网管服 务器。
SW1
snmp-server enable
snmp-server engineid 1
snmp-server group GROUP2022 authpriv
snmp-server group GROUP2022 authpriv read SKILLS_Ro write SKILLS_Rw
snmp-server user USER2022 GROUP2022 authpriv aes Pass-1234 auth sha Pass-1234
snmp-server view SKILLS-Ro 1 include
snmp-server view SKILLS-Rw 1 include
snmp-server trap-source 10.10.1.1
snmp-server trap-source 2001:10:10:1::1
snmp-server securityip 10.10.11.99
snmp-server securityip 2001:10:10:11::99
snmp-server host 10.10.11.99 v3 authpriv USER2022
snmp-server host 2001:10:10:11::99 v3 authpriv USER2022
snmp-server enable traps
int e1/0/3
no switchport updown notification enable /未启用任何Switchport Updown通知
exi
8.SW1和SW2 E1/0/21-28启用单向链路故障检测,当发生该故障时,端口标记为errdisable状态,自动关闭端口,经过1分钟后,端口自动重启;发送Hello报文时间间隔为15s。
SW1
uldp enable
uldp recovery-time 60
uldp hello-interval 15
SW2
uldp enable
uldp recovery-time 60
uldp hello-interval 15
9.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,老化时间乘法器值为5,Trap报文发送间隔为10s,配置三条裸光缆端口使能Trap功能。
SW1
lldp enable
lldp msgTxHold 5
lldp tx-interval 20
lldp notification interval 10
Int e1/0/22;23;24
lldp trap enable
SW2
lldp enable
lldp msgTxHold 5
lldp tx-interval 20
lldp notification interval 10
Int e1/0/22;23;24
lldp trap enable
10.配置SW1相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截,开启日志记录功能,采样周期10s一次,恢复周期为120s,从而保障CPU稳定运行。
SW1
cpu-protect enable
cpu-protect log enable
cpu-protect interval 10
cpu-protect recovery-time 120
ip地址范围是根据每一套卷的拓扑图和表来用的,以此类推也可当“公式”一样套用