（23年江西省赛样题答案）ZZ016网络建设与运维赛项竞赛

3. 交换配置

1.配置vlan，SW1、SW2、SW3、AC1 的二层链路只允许相应vlan通过。

 

 

2.SW1、SW2、SW3 启用 MSTP，实现网络二层负载均衡和冗余备份，创建实例Instance10 和 Instance20，名称为 SKILLS，修订版本为 1，其中 Instance10关联 vlan60 和 vlan70，Instance20 关联 vlan80 和 vlan90。SW1 为 Instance0 和 Instance10 的根交换机，为 Instance20 备份根交换机；SW2 为 Instance20 根交换机，为 Instance0 和 Instance10 的备份根交换机；根交换机 STP 优先 级为 0，备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的STP。

SW1

spanning-tree

spanning-tree mode mstp

spanning-tree mst configuration

name SKILLS

revision-level 1

instance 10 vlan 60;70

instance 20 vlan 80;90

exi

spanning-tree mst 0 priority 0

spanning-tree mst 10 priority 0

spanning-tree mst 20 priority 4096

int e1/0/21

no spanning-tree

int e1/0/26-27

no spanning-tree

SW2

spanning-tree

spanning-tree  mode mstp

spanning-tree mst configuration

name SKILLS

revision-level 1

instance 10 vlan 60;70

instance 20 vlan 80;90

Exi

spanning-tree mst 20 priority 0

spanning-tree mst 10 priority 4096

spanning-tree mst 0 priority 4096

int e1/0/21-22

no spanning-tree

int e1/0/26-27

no spanning-tree

 

SW3

spanning-tree

spanning-tree  mode mstp

spanning-tree mst configuration

name SKILLS

revision-level 1

instance 10 vlan 60;70

instance 20 vlan 80;90

Exi

int e1/0/21-22

no spanning-tree

int e1/0/15

no spanning-tree

int e1/0/17-18

no spanning-tree

 

3.SW1 和 SW2 之间利用三条裸光缆实现互通，其中一条裸光缆承载三层 IP 业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离，财务业务 VPN实例名称为 CW。承载二层业务的只有一条裸光缆通道，配置相关技术，方便后续链路扩容与冗余备份，编号为 1，用 LACP 协议，SW1 为 active，SW2 为active；采用源、目的 IP 进行实现流量负载分担。

SW1

ip vrf CW

exi

int vlan 1027

ip vrf forwarding CW

exi

port-group 1 汇聚组号1

interface e1/0/28

port-group 1 mode active 主动加入汇聚组1号

interface port-channel 1 汇聚组端口

switchport mode trunk

switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90

exi

load-balance dst-src-ip 流量分担源、目的ip

 

SW2

ip vrf CW

exi

int vlan 1027

ip vrf forwarding CW

port-group 1

interface e1/0/28

port-group 1 mode active

interface port-channel 1

switchport mode trunk

switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90

exit

load-balance dst-src-ip

 

4.将 SW3 模拟为 Internet 交换机，实现与集团其它业务路由表隔离，

Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表 VPN 实例名称为 Guangdong。

SW3 模拟Internet

vlan 110;120;1015

ip vrf Guangdong

Exit

int loopback2

ip address 10.10.3.2 255.255.255.255

ipv6 address 2001:10:10:3::2/128

exit

int vlan 110

ip vrf for Guangdong

ip address 10.16.110.1 255.255.255.0

ipv6 enable

ipv6 address 2001:10:16:110::1/64

exit

int vlan 120

ip vrf for Guangdong

ip address 10.16.120.1 255.255.255.0

ipv6 enable

ipv6 address 2001:10:16:120::1/64

exit

int vlan 1015

ip vrf for Guangdong

ip address 10.10.255.46 255.255.255.252

exit

 

1. SW1 法务物理接口限制收发数据占用的带宽均为 1500Mbps，限制所有报文最大收包速率为 2000packets/s，如果超过了配置交换机端口的报文最大收包速率则关闭此端口，1 分钟后恢复此端口；启用端口安全功能，最大安全 MAC地址数为 20，当超过设定 MAC 地址数量的最大值，不学习新的 MAC、丢弃数 据包、发 snmp trap、同时在 syslog 日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间 为 10 分钟；禁止采用访问控制列表，只允许 IP 主机位为 20-50 的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称 FW。

SW1

int e1/0/3

bandwidth control 150000 receive      接收带宽控制1500000

bandwidth control 200000 transmit     发送带宽控制2000000

rate-violation all 1000           所有数据包速率违背1000

rate-violation control shutdown recovery 60     

switchport port-security      安全相关命令

switchport port-security maximum 20    最大MAC地址数为20

switchport port-security violation restrict     安全违背限制模式

switchport port-security aging type inactivity 无行为老化定时器类型

switchport port-security aging time 600   老化时间时隔10分钟

exi

am enable   启用AM配置

int e1/0/3

am port   配置AM端口模式

am ip-pool 10.10.13.20 30

exi

isolate-port aroup FW sw int e 1/0/23

isolate-port apply all    设置隔离端口属性

isolate-port group FW sw int port-ch 1’

 

 

1. SW1 配置 SNMP，引擎 id 分别为 1；创建组 GROUP2022，采用最高安全级别，配置组的读、写视图分别为：SKILLS_Ro、SKILLS_Rw；创建认证用户为USER2022，采用 aes 算法进行加密，密钥为 Pass-1234，哈希算法为 sha，密钥为 Pass-1111； 当设备有异常时，需要用本地的环回地址 loopback1 发送 v3Trap 消息至集团网管服务器 10.10.11.99、2001:10:10:11::99，采用最高安全级别；当法务部门对应的用户接口发生 UPDOWN 事件时，禁止发送 trap 消息至上述集团网管服 务器。

SW1

snmp-server enable

snmp-server engineid 1

snmp-server group GROUP2022 authpriv

snmp-server group GROUP2022 authpriv read SKILLS_Ro write SKILLS_Rw

snmp-server user USER2022 GROUP2022 authpriv aes Pass-1234 auth sha Pass-1234

snmp-server trap-source 2001:10:10:1::1

snmp-server securityip 10.10.11.99

snmp-server securityip 2001:10:10:11::99

snmp-server securityip enable

snmp-server host 10.10.11.99 v3 authpriv USER2022

snmp-server host 2001:10:10:11::99 v3 authpriv USER2022

snmp-server enable traps

int e1/0/3

no switchport updown notification enable

exi

snmp-server trap-source 10.10.1.1

 

 

4. 路由配置

1.配置所有设备接口 ipv4 地址和 ipv6 地址，互联接口 ipv6 地址用本地链路地址。

 

 

 

 

1. 利用vrrpv2和vrrpv3技术实现vlan60、vlan70、vlan80、vlan90网关冗余 备份，Vrrp id与 vlan id相同。vrrpv2 vip为10.10.vlanid.9（如vlan60的vrrpv2vip为 10.10.60.9），vrrpv3vip为FE80:vlanid::9（如 vlan60的vrrpv3vip为FE80:60::9）。配置 SW1 为 vlan60、vlan70的 Master，SW2 为 vlan80、vlan90 的 Master。要求 vrrp 组中高优先级为 120，低优先级为默认值，抢占模式为 默认值，vrrpv2 和 vrrpv3 发送通告报文时间间隔为默认值。当 SW1 或 SW2 上 联链路发生故障，Master 优先级降低 50。

SW1

router vrrp 60

virtual-ip 10.10.60.9

int vlan 60

priority 120

vrrp track interface ethernet 1/0/21 priority 60

enable

exi

router vrrp 70

virtual-ip 10.10.70.9

int vlan 70

priority 120

vrrp track interface ethernet 1/0/21 priority 70 

enable

exi

router vrrp 80

virtual-ip 10.10.80.9

int vlan 80

priority 120

enable

exi

router vrrp 90

virtual-ip 10.10.90.9

int vlan 90

priority 120

enable

exi

router ipv6 vrrp 60

virtual-ipv6 fe80:60::9 int vlan 60

priority 120

enable

exi

router ipv6 vrrp 70

virtual-ipv6 fe80:70::9 interface vlan 70

priority 120

enable

exit

router ipv6 vrrp 80

virtual-ipv6 fe80:80::9 int vlan 80

priority 120

enable

exi

router ipv6 vrrp 90

virtual-ipv6 fe80:90::9 int vlan90

priority 120

enable

Exi

 

SW2

router vrrp 60

virtual-ip 10.10.60.9

int vlan 60

priority 120

enable

exi

router vrrp 70

virtual-ip 10.10.70.9

int vlan