3. 交换配置
1.配置vlan,SW1、SW2、SW3、AC1 的二层链路只允许相应vlan通过。
2.SW1、SW2、SW3 启用 MSTP,实现网络二层负载均衡和冗余备份,创建实例Instance10 和 Instance20,名称为 SKILLS,修订版本为 1,其中 Instance10关联 vlan60 和 vlan70,Instance20 关联 vlan80 和 vlan90。SW1 为 Instance0 和 Instance10 的根交换机,为 Instance20 备份根交换机;SW2 为 Instance20 根交换机,为 Instance0 和 Instance10 的备份根交换机;根交换机 STP 优先 级为 0,备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的STP。
SW1
spanning-tree
spanning-tree mode mstp
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
exi
spanning-tree mst 0 priority 0
spanning-tree mst 10 priority 0
spanning-tree mst 20 priority 4096
int e1/0/21
no spanning-tree
int e1/0/26-27
no spanning-tree
SW2
spanning-tree
spanning-tree mode mstp
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
Exi
spanning-tree mst 20 priority 0
spanning-tree mst 10 priority 4096
spanning-tree mst 0 priority 4096
int e1/0/21-22
no spanning-tree
int e1/0/26-27
no spanning-tree
SW3
spanning-tree
spanning-tree mode mstp
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
Exi
int e1/0/21-22
no spanning-tree
int e1/0/15
no spanning-tree
int e1/0/17-18
no spanning-tree
3.SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP 业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离,财务业务 VPN实例名称为 CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为 1,用 LACP 协议,SW1 为 active,SW2 为active;采用源、目的 IP 进行实现流量负载分担。
SW1
ip vrf CW
exi
int vlan 1027
ip vrf forwarding CW
exi
port-group 1 汇聚组号1
interface e1/0/28
port-group 1 mode active 主动加入汇聚组1号
interface port-channel 1 汇聚组端口
switchport mode trunk
switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90
exi
load-balance dst-src-ip 流量分担源、目的ip
SW2
ip vrf CW
exi
int vlan 1027
ip vrf forwarding CW
port-group 1
interface e1/0/28
port-group 1 mode active
interface port-channel 1
switchport mode trunk
switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90
exit
load-balance dst-src-ip
4.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,
Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表 VPN 实例名称为 Guangdong。
SW3 模拟Internet
vlan 110;120;1015
ip vrf Guangdong
Exit
int loopback2
ip address 10.10.3.2 255.255.255.255
ipv6 address 2001:10:10:3::2/128
exit
int vlan 110
ip vrf for Guangdong
ip address 10.16.110.1 255.255.255.0
ipv6 enable
ipv6 address 2001:10:16:110::1/64
exit
int vlan 120
ip vrf for Guangdong
ip address 10.16.120.1 255.255.255.0
ipv6 enable
ipv6 address 2001:10:16:120::1/64
exit
int vlan 1015
ip vrf for Guangdong
ip address 10.10.255.46 255.255.255.252
exit
- SW1 法务物理接口限制收发数据占用的带宽均为 1500Mbps,限制所有报文最大收包速率为 2000packets/s,如果超过了配置交换机端口的报文最大收包速率则关闭此端口,1 分钟后恢复此端口;启用端口安全功能,最大安全 MAC地址数为 20,当超过设定 MAC 地址数量的最大值,不学习新的 MAC、丢弃数 据包、发 snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间 为 10 分钟;禁止采用访问控制列表,只允许 IP 主机位为 20-50 的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称 FW。
SW1
int e1/0/3
bandwidth control 150000 receive 接收带宽控制1500000
bandwidth control 200000 transmit 发送带宽控制2000000
rate-violation all 1000 所有数据包速率违背1000
rate-violation control shutdown recovery 60
switchport port-security 安全相关命令
switchport port-security maximum 20 最大MAC地址数为20
switchport port-security violation restrict 安全违背限制模式
switchport port-security aging type inactivity 无行为老化定时器类型
switchport port-security aging time 600 老化时间时隔10分钟
exi
am enable 启用AM配置
int e1/0/3
am port 配置AM端口模式
am ip-pool 10.10.13.20 30
exi
isolate-port aroup FW sw int e 1/0/23
isolate-port apply all 设置隔离端口属性
isolate-port group FW sw int port-ch 1’
- SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级别,配置组的读、写视图分别为:SKILLS_Ro、SKILLS_Rw;创建认证用户为USER2022,采用 aes 算法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为 Pass-1111; 当设备有异常时,需要用本地的环回地址 loopback1 发送 v3Trap 消息至集团网管服务器 10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对应的用户接口发生 UPDOWN 事件时,禁止发送 trap 消息至上述集团网管服 务器。
SW1
snmp-server enable
snmp-server engineid 1
snmp-server group GROUP2022 authpriv
snmp-server group GROUP2022 authpriv read SKILLS_Ro write SKILLS_Rw
snmp-server user USER2022 GROUP2022 authpriv aes Pass-1234 auth sha Pass-1234
snmp-server trap-source 2001:10:10:1::1
snmp-server securityip 10.10.11.99
snmp-server securityip 2001:10:10:11::99
snmp-server securityip enable
snmp-server host 10.10.11.99 v3 authpriv USER2022
snmp-server host 2001:10:10:11::99 v3 authpriv USER2022
snmp-server enable traps
int e1/0/3
no switchport updown notification enable
exi
snmp-server trap-source 10.10.1.1
4. 路由配置
1.配置所有设备接口 ipv4 地址和 ipv6 地址,互联接口 ipv6 地址用本地链路地址。
- 利用vrrpv2和vrrpv3技术实现vlan60、vlan70、vlan80、vlan90网关冗余 备份,Vrrp id与 vlan id相同。vrrpv2 vip为10.10.vlanid.9(如vlan60的vrrpv2vip为 10.10.60.9),vrrpv3vip为FE80:vlanid::9(如 vlan60的vrrpv3vip为FE80:60::9)。配置 SW1 为 vlan60、vlan70的 Master,SW2 为 vlan80、vlan90 的 Master。要求 vrrp 组中高优先级为 120,低优先级为默认值,抢占模式为 默认值,vrrpv2 和 vrrpv3 发送通告报文时间间隔为默认值。当 SW1 或 SW2 上 联链路发生故障,Master 优先级降低 50。
SW1
router vrrp 60
virtual-ip 10.10.60.9
int vlan 60
priority 120
vrrp track interface ethernet 1/0/21 priority 60
enable
exi
router vrrp 70
virtual-ip 10.10.70.9
int vlan 70
priority 120
vrrp track interface ethernet 1/0/21 priority 70
enable
exi
router vrrp 80
virtual-ip 10.10.80.9
int vlan 80
priority 120
enable
exi
router vrrp 90
virtual-ip 10.10.90.9
int vlan 90
priority 120
enable
exi
router ipv6 vrrp 60
virtual-ipv6 fe80:60::9 int vlan 60
priority 120
enable
exi
router ipv6 vrrp 70
virtual-ipv6 fe80:70::9 interface vlan 70
priority 120
enable
exit
router ipv6 vrrp 80
virtual-ipv6 fe80:80::9 int vlan 80
priority 120
enable
exi
router ipv6 vrrp 90
virtual-ipv6 fe80:90::9 int vlan90
priority 120
enable
Exi
SW2
router vrrp 60
virtual-ip 10.10.60.9
int vlan 60
priority 120
enable
exi
router vrrp 70
virtual-ip 10.10.70.9
int vlan