(23年江西省赛样题答案)ZZ016网络建设与运维赛项竞赛

3. 交换配置

1.配置vlan,SW1、SW2、SW3、AC1 的二层链路只允许相应vlan通过。

 

 

2.SW1、SW2、SW3 启用 MSTP,实现网络二层负载均衡和冗余备份,创建实例Instance10 和 Instance20,名称为 SKILLS,修订版本为 1,其中 Instance10关联 vlan60 和 vlan70,Instance20 关联 vlan80 和 vlan90。SW1 为 Instance0 和 Instance10 的根交换机,为 Instance20 备份根交换机;SW2 为 Instance20 根交换机,为 Instance0 和 Instance10 的备份根交换机;根交换机 STP 优先 级为 0,备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的STP。

SW1

spanning-tree

spanning-tree mode mstp

spanning-tree mst configuration

name SKILLS

revision-level 1

instance 10 vlan 60;70

instance 20 vlan 80;90

exi

spanning-tree mst 0 priority 0

spanning-tree mst 10 priority 0

spanning-tree mst 20 priority 4096

int e1/0/21

no spanning-tree

int e1/0/26-27

no spanning-tree

SW2

spanning-tree

spanning-tree  mode mstp

spanning-tree mst configuration

name SKILLS

revision-level 1

instance 10 vlan 60;70

instance 20 vlan 80;90

Exi

spanning-tree mst 20 priority 0

spanning-tree mst 10 priority 4096

spanning-tree mst 0 priority 4096

int e1/0/21-22

no spanning-tree

int e1/0/26-27

no spanning-tree

 

SW3

spanning-tree

spanning-tree  mode mstp

spanning-tree mst configuration

name SKILLS

revision-level 1

instance 10 vlan 60;70

instance 20 vlan 80;90

Exi

int e1/0/21-22

no spanning-tree

int e1/0/15

no spanning-tree

int e1/0/17-18

no spanning-tree

 

3.SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP 业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离,财务业务 VPN实例名称为 CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为 1,用 LACP 协议,SW1 为 active,SW2 为active;采用源、目的 IP 进行实现流量负载分担。

SW1

ip vrf CW

exi

int vlan 1027

ip vrf forwarding CW

exi

port-group 1 汇聚组号1

interface e1/0/28

port-group 1 mode active 主动加入汇聚组1号

interface port-channel 1 汇聚组端口

switchport mode trunk

switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90

exi

load-balance dst-src-ip 流量分担源、目的ip

 

SW2

ip vrf CW

exi

int vlan 1027

ip vrf forwarding CW

port-group 1

interface e1/0/28

port-group 1 mode active

interface port-channel 1

switchport mode trunk

switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90

exit

load-balance dst-src-ip

 

4.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,

Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表 VPN 实例名称为 Guangdong。

SW3 模拟Internet

vlan 110;120;1015

ip vrf Guangdong

Exit

int loopback2

ip address 10.10.3.2 255.255.255.255

ipv6 address 2001:10:10:3::2/128

exit

int vlan 110

ip vrf for Guangdong

ip address 10.16.110.1 255.255.255.0

ipv6 enable

ipv6 address 2001:10:16:110::1/64

exit

int vlan 120

ip vrf for Guangdong

ip address 10.16.120.1 255.255.255.0

ipv6 enable

ipv6 address 2001:10:16:120::1/64

exit

int vlan 1015

ip vrf for Guangdong

ip address 10.10.255.46 255.255.255.252

exit

 

  1. SW1 法务物理接口限制收发数据占用的带宽均为 1500Mbps,限制所有报文最大收包速率为 2000packets/s,如果超过了配置交换机端口的报文最大收包速率则关闭此端口,1 分钟后恢复此端口;启用端口安全功能,最大安全 MAC地址数为 20,当超过设定 MAC 地址数量的最大值,不学习新的 MAC、丢弃数 据包、发 snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间 为 10 分钟;禁止采用访问控制列表,只允许 IP 主机位为 20-50 的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称 FW。

SW1

int e1/0/3

bandwidth control 150000 receive      接收带宽控制1500000

bandwidth control 200000 transmit     发送带宽控制2000000

rate-violation all 1000           所有数据包速率违背1000

rate-violation control shutdown recovery 60     

switchport port-security      安全相关命令

switchport port-security maximum 20    最大MAC地址数为20

switchport port-security violation restrict     安全违背限制模式

switchport port-security aging type inactivity 无行为老化定时器类型

switchport port-security aging time 600   老化时间时隔10分钟

exi

am enable   启用AM配置

int e1/0/3

am port   配置AM端口模式

am ip-pool 10.10.13.20 30

exi

isolate-port aroup FW sw int e 1/0/23

isolate-port apply all    设置隔离端口属性

isolate-port group FW sw int port-ch 1’

 

 

  1. SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级别,配置组的读、写视图分别为:SKILLS_Ro、SKILLS_Rw;创建认证用户为USER2022,采用 aes 算法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为 Pass-1111; 当设备有异常时,需要用本地的环回地址 loopback1 发送 v3Trap 消息至集团网管服务器 10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对应的用户接口发生 UPDOWN 事件时,禁止发送 trap 消息至上述集团网管服 务器。

SW1

snmp-server enable

snmp-server engineid 1

snmp-server group GROUP2022 authpriv

snmp-server group GROUP2022 authpriv read SKILLS_Ro write SKILLS_Rw

snmp-server user USER2022 GROUP2022 authpriv aes Pass-1234 auth sha Pass-1234

snmp-server trap-source 2001:10:10:1::1

snmp-server securityip 10.10.11.99

snmp-server securityip 2001:10:10:11::99

snmp-server securityip enable

snmp-server host 10.10.11.99 v3 authpriv USER2022

snmp-server host 2001:10:10:11::99 v3 authpriv USER2022

snmp-server enable traps

int e1/0/3

no switchport updown notification enable

exi

snmp-server trap-source 10.10.1.1

 

 

4. 路由配置

1.配置所有设备接口 ipv4 地址和 ipv6 地址,互联接口 ipv6 地址用本地链路地址。

 

 

 

 

  1. 利用vrrpv2和vrrpv3技术实现vlan60、vlan70、vlan80、vlan90网关冗余 备份,Vrrp id与 vlan id相同。vrrpv2 vip为10.10.vlanid.9(如vlan60的vrrpv2vip为 10.10.60.9),vrrpv3vip为FE80:vlanid::9(如 vlan60的vrrpv3vip为FE80:60::9)。配置 SW1 为 vlan60、vlan70的 Master,SW2 为 vlan80、vlan90 的 Master。要求 vrrp 组中高优先级为 120,低优先级为默认值,抢占模式为 默认值,vrrpv2 和 vrrpv3 发送通告报文时间间隔为默认值。当 SW1 或 SW2 上 联链路发生故障,Master 优先级降低 50。

SW1

router vrrp 60

virtual-ip 10.10.60.9

int vlan 60

priority 120

vrrp track interface ethernet 1/0/21 priority 60

enable

exi

router vrrp 70

virtual-ip 10.10.70.9

int vlan 70

priority 120

vrrp track interface ethernet 1/0/21 priority 70 

enable

exi

router vrrp 80

virtual-ip 10.10.80.9

int vlan 80

priority 120

enable

exi

router vrrp 90

virtual-ip 10.10.90.9

int vlan 90

priority 120

enable

exi

router ipv6 vrrp 60

virtual-ipv6 fe80:60::9 int vlan 60

priority 120

enable

exi

router ipv6 vrrp 70

virtual-ipv6 fe80:70::9 interface vlan 70

priority 120

enable

exit

router ipv6 vrrp 80

virtual-ipv6 fe80:80::9 int vlan 80

priority 120

enable

exi

router ipv6 vrrp 90

virtual-ipv6 fe80:90::9 int vlan90

priority 120

enable

Exi

 

SW2

router vrrp 60

virtual-ip 10.10.60.9

int vlan 60

priority 120

enable

exi

router vrrp 70

virtual-ip 10.10.70.9

int vlan

  • 27
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值