你未必光芒万丈,但始终温暖有光.
全国职业院校技能大赛 网络建设与运维样题
赛题说明
一、竞赛项目简介
" 网络建设与运维 " 竞赛共分 A .网络理论测试(从公布赛题模块 一中随机抽取选择题70 道,判断题 30 道 ); B .网络建设与调试; C .服 务搭建与运维等三个模块。竞赛时间安排和分值权重见表 1
二、竞赛注意事项
1 .竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及 参考资料。
2 .请根据大赛所提供的竞赛环境,检查所列的硬件设备、软件清 单、材料清单是否齐全,计算机设备是否能正常使用。
3 .在进行任何操作之前,请阅读每个部分的所有任务。各任务之 间可能存在一定关联。
4 .操作过程中需要及时按照答题要求保存相关结果。竞赛结束后, 所有设备保持运行状态,评判以最后提交的成果为最终依据。
5 .竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将 竞赛所用的所有物品(包括试卷等)带离赛场。
6 .禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视 为0 分。
模块二:网络建设与调试
某集团公司原在北京建立了总公司,后在成都建立了分公司,又 在 广东设立了办事处。集团设有产品、营销、法务、财务、人力5 个 部 门,统一进行IP 及业务资源的规划和分配,全网采用 OSPF 、 RIP 、 ISIS 、 BGP 路由协议进行互联互通。 2023 年随着企业数字化转型工作进一步推进,为持续优化运营 创新,充分激活数据要素潜能,为社会创造更多价值,集团决定在北 京 建立两个数据中心,在贵州建立异地灾备数据中心,以达到快速、 可 靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战 略架构演进,更好的服务于公司客户。 集团、分公司及办事处的网络结构详见拓扑图。编号为SW1 的 设备作为集团北京 1#DC 核心交换机,编号为 SW2 的设备作为集团 北京2#DC 核心交换机;编号为 SW3 的设备作为贵州 DC 核心交换 机;编号FW1 的设备作为集团互联网出口防火墙;编号为 FW2 的设 备作为办事处防火墙;编号为RT1 的设备作为集团核心路由器;编 号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司 的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线 覆盖。
网络拓扑图及 IP 地址表:
- 网络拓扑图
- 网络设备 IP 地址分配表
一、 工程统筹
1. 职业素养
(1) 整理赛位,工具、设备归位,保持赛后整洁有序。
(2) 无因选手原因导致设备损坏。
(3) 恢复调试现场,保证网络和系统安全运行。
2.网络布线
(1) 机柜左侧布线面板编号 101 ;机柜右侧布线面板编号 102 。
(2) 面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、
模块按照 568B 标准端接。
(3) 主配线区配线点与工作区配线点连线对应关系如下:
(4) 铺设线缆并端接。截取 2 根适当长度的双绞线,两端制作标签, 穿
过 PVC 线槽或线管。双绞线在机柜内部进行合理布线,并且通过 扎
带合理固定。将 2 根双绞线的一端,端接在配线架相应端口,另一
端端接上 RJ45 模块,并且安装上信息点面板,并标注标签。
(5) 跳线制作与测试。截取 2 根当长度的双绞线,端接水晶头,所 有
网络跳线要求按 568B 标准制作,两端制作标签,连接网络信息点 和
相应计算机。根据网络拓扑要求,截取适当长度和数量的双绞线, 端
接水晶头,插入相应设备的相关端口上,实现 PC 、信息点面板、
配线架、设备之间的连通(提示:可利用机柜上自带的设备进行通断
测试)。
3.IP 规划
为了不断壮大集团业务经营范围,集团计划在上海成立办事处。
通过调研,计划在上海办事处设立与 Internet 连接的 4 个业务部门,
每个业务部门的最大所需主机数如下表所示,要求从 10.13.10.100/19
主机地址所在网络第一个网段开始进行 IP 地址规划, IP 地址按照下
表依次往后顺延规划,网关地址取每个网段最后一个可用地址,请完
成下表 IP 地址规划。
二、交换配置
1.配置vlan,SW1 、SW2 、SW3 、AC1 的二层链路只允许相应 vlan 通过。
bash
SW1:
vlan 1;10;20;30;40;50
vlan 1
!
vlan 10
name cp1
!
vlan 20
name yx1
!
vlan 30
name fw1
!
vlan 40
name cw1
!
vlan 50
name rl1
Interface Ethernet1/0/1
switchport access vlan 10
!
Interface Ethernet1/0/2
switchport access vlan 20
!
Interface Ethernet1/0/3
switchport access vlan 30
!
Interface Ethernet1/0/4
switchport access vlan 40
!
Interface Ethernet1/0/5
switchport access vlan 50
!
Interface Ethernet1/0/22
switchport mode trunk
switchport trunk allowed vlan 10;20;30;40;50 //设置二层链路只允许相应vlan通过,哪些链路是二层链路在"网络设备连接表"中标注了
SW2:
vlan 1;10;20;30;40;50
vlan 1
!
vlan 10
name cp2
!
vlan 20
name yx2
!
vlan 30
name fw2
!
vlan 40
name cw2
!
vlan 50
name rl2
Interface Ethernet1/0/1
switchport access vlan 10
!
Interface Ethernet1/0/2
switchport access vlan 20
!
Interface Ethernet1/0/3
switchport access vlan 30
!
Interface Ethernet1/0/4
switchport access vlan 40
!
Interface Ethernet1/0/5
switchport access vlan 50
!
Interface Ethernet1/0/22
switchport mode trunk
switchport trunk allowed vlan 10;20;30;40;50 //设置二层链路只允许相应vlan通过,哪些链路是二层链路在"网络设备连接表"中标注了
SW3:
vlan 1;10;20;30;40;50
vlan 1
!
vlan 10
name cp3
!
vlan 20
name yx3
!
vlan 30
name fw3
!
vlan 50
name rl3
Interface Ethernet1/0/1
switchport access vlan 10
!
Interface Ethernet1/0/2
switchport access vlan 20
!
Interface Ethernet1/0/3
switchport access vlan 30
!
Interface Ethernet1/0/4
switchport access vlan 40
!
Interface Ethernet1/0/5
switchport access vlan 502.SW1 和SW2 之间利用三条裸光缆实现互通,其中一条裸 光 缆承载三层IP 业务、一条裸光缆承载VPN 业务、一条裸光缆承载 二 层业务。用相关技术分别实现财务 1 段、财务2 段业务路由表与其 它 业务路由表隔离,财务业务VPN 实例名称为Finance。承载二层业 务 的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余 备 份,编号为 1,用LACP 协议,SW1 为active,SW2 为passive;采 用 源、目的IP 进行实现流量负载分担。
SW1:
ip vrf Finance //创建财务VPN实例
!
interface Vlan40 ------ 财务1段
ip vrf forwarding Finance //将此接口绑定到vpn实例Finance中(绑定完IP地址会被清空,需要重新配置)
ip address 10.13.14.1 255.255.255.0
!
interface Vlan1023 --承载VPN业务的VLAN也需要加入到VPN实例当中
ip vrf forwarding Finance
ip address 10.13.255.1 255.255.255.252
!
load-balance dst-src-ip --设置流量负载分担模式为源、目的IP
!
port-group 1 --创建编号为1的端口聚合组
Interface Ethernet1/0/22 --进入承载二层业务的端口
port-group 1 mode active --绑定端口聚合组1并将模式设置成active
SW2:
ip vrf Finance
!
interface Vlan40
ip vrf forwarding Finance
ip address 10.13.24.1 255.255.255.0
!
interface Vlan1023
ip vrf forwarding Finance
ip address 10.13.255.2 255.255.255.252
!
load-balance dst-src-ip --设置流量负载分担模式为源、目的IP
!
port-group 1 --创建编号为1的端口聚合组
Interface Ethernet1/0/22 --进入承载二层业务的端口
port-group 1 mode passive --绑定端口聚合组1并将模式设置成passive3.SW3 针对每个业务VLAN 的第一个接口配置Loopback 命令, 模拟接口UP,方便后续业务验证与测试。
bash
SW3:
Interface Ethernet1/0/1-5
loopback4.将SW3 模拟为Internet 交换机,实现与集团其它业务路由表 隔离,Internet 路由表VPN 实例名称为Internet。将SW3 模拟办事处 交换机,实现与集团其它业务路由表隔离,办事处路由表VPN 实例 名称为Office。
bash
SW3:
ip vrf Internet //配置VPN 实例名称为Internet
!
ip vrf Office //配置VPN 实例名称为Office
!
interface Vlan110
ip vrf forwarding Office
ip address 10.13.110.1 255.255.255.0
ipv6 address 2001:10:13:110::1/64 //注意,如果在绑定VRF之前已有IPv4地址,绑定后会被删除
!
interface Vlan120
ip vrf forwarding Office
ip address 10.13.120.1 255.255.255.0
ipv6 address 2001:10:13:120::1/64
!
interface Vlan1015
ip vrf forwarding Office
ip address 10.13.255.46 255.255.255.252
!
interface Vlan1017
ip vrf forwarding Internet
ip address 200.200.200.1 255.255.255.252
!
interface Vlan1018
ip vrf forwarding Internet
ip address 200.200.200.5 255.255.255.252
!
interface Loopback2
ip vrf forwarding Office
ip address 10.13.3.2 255.255.255.255
ipv6 address 2001:10:13:3::2/128
!
interface Loopback3
ip vrf forwarding Internet
ip address 200.200.3.3 255.255.255.255
ipv6 address 2001:200:200:3::3/1285.SW1 法务物理接口限制收、发数据占用的带宽分别为100Mbps、 90Mbps,禁止采用访问控制列表,只允许IP 主机位为20-30 的数据 包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通, 组名称FW。
bash
SW1:
Interface Ethernet1/0/3 --法务对应的端口
bandwidth control 100000 receive //设置接收带宽为100Mbps
bandwidth control 90000 transmit //设置发送带宽为90Mbps
禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发:
SW1:
am enable --全局启用AM功能
Interface Ethernet1/0/3
am port --端口启用AM功能
am ip-pool 10.13.13.20 10 --设置允许的IP地址,不在这个范围的不转发。10.10.13.20后面跟的10的意思是20往后延10个IP,也就是主机位20-30
禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW:
SW1:
isolate-port apply l2 --设置端口隔离为2层隔离模式
isolate-port group FW switchport interface Ethernet1/0/3 --设置端口隔离组FW并绑定法务对应的端口6.配置 SW1 相关特性实现报文上送设备CPU 的前端整体上对 攻击报文进行拦截,开启日志记录功能,采样周期 10s 一次,恢复周期为 120s,从而保障CPU 稳定运行。
bash
SW1:
cpu-protect enable --开启cpu保护功能
cpu-protect log enable --开启cpu日志记录功能
cpu-protect interval 10 --采样周期10s
cpu-protect recovery-time 120 --恢复周期120s
cpu-protect per-ip limit-speed 200 --这个是设备默认敲上去的,不需要敲
cpu-protect per-mac limit-speed 200 --这个也是设备默认敲上去的7.对SW1 与FW1 互连流量镜像到SW1 E1/0/1,会话列表为1。
bash
SW1:
monitor session 1 source interface Ethernet1/0/19 tx --创建一个端口镜像,会话列表为1,源接口为SW1和FW1的互联接口
monitor session 1 source interface Ethernet1/0/19 rx
monitor session 1 destination interface Ethernet1/0/1 --设置目的端口
!三、路由调试
1.配置接口ipv4 地址和ipv6 地址,互联接口ipv6 地址用本地 链路地址。
bash
RT
ipv6 unicast-routing 开启IPV6本地链路地址
进入接口
ipv6 enable2.SW2 配置DHCPv4 和DHCPv6 ,分别为总公司产品 1 段、总 公司产品2 段、分公司Vlan130 、分公司Vlan140 和分公司Vlan150 分配地址。IPv4 地址池名称分别为Poolv4-Vlan11 、Poolv4-Vlan21 、 Poolv4-Vlan130 、Poolv4-Vlan140 、Poolv4-Vlan150 ,排除网关,DNS 为 10.13.210.101 和 10.13.220.101 。 IPv6 地 址 池名 称 分 别 为 Poolv6-Vlan11 、Poolv6-Vlan21 、Poolv6-Vlan130 、Poolv6-Vlan140、 Poolv6-Vlan150,IPv6 地址池用网络前缀表示, 排除网关,DNS 为 2400:3200::1。PC1 保留地址 10.13.11.9 和2001:10:13:11::9,PC2 保 留 地址 10.13.21.9 和 2001:10:13:21::9 ,AP1 保留地址 10.13.130.9 和 2001:10:13:130::9。SW1、AC1 中继地址为SW2 Loopback1 地址,SW1 启用DHCPv4 和DHCPv6 snooping,如果E1/0/1 连接dhcpv4 服务器, 则关闭该端口,恢复时间为 10 分钟。
bash
SW1:
service dhcp 开启dhcp
!
ip forward-protocol udp bootps 开启dhcp中继功能
!
ip dhcp snooping enable
!
service dhcpv6 开启dhcpv6
!
savi enable
savi ipv6 dhcp-only enable
!
Interface Ethernet1/0/1
ip dhcp snooping action shutdown recovery 600 设置恢复时间为10分钟
!
interface Vlan10
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ip helper-address 10.13.2.1
ipv6 dhcp relay destination 2001:10:13:2::1 设置DHCPv6中继目标
SW2:
service dhcp
!
ip forward-protocol udp bootps
!
ip dhcp pool Pool-Vlan150
network-address 10.13.150.0 255.255.255.0
default-router 10.13.150.1
dns-server 10.13.210.101 10.13.220.101
!
ip dhcp pool Poolv4-Vlan11
network-address 10.13.11.0 255.255.255.0
default-router 10.13.11.1
dns-server 10.13.210.101 10.13.220.101
!
ip dhcp pool Poolv4-Vlan21
network-address 10.13.21.0 255.255.255.0
default-router 10.13.21.1
dns-server 10.13.210.101 10.13.220.101
!
ip dhcp pool Poolv4-Vlan130
network-address 10.13.130.0 255.255.255.0
default-router 10.13.130.1
dns-server 10.13.210.101 10.13.220.101
!
ip dhcp pool Poolv4-Vlan140
network-address 10.13.140.0 255.255.255.0
default-router 10.13.140.1
dns-server 10.13.210.101 10.13.220.101
!
ip dhcp pool AP1
host 10.13.130.9 255.255.255.0
hardware-address 98-0E-24-AB-83-F1
!
ip dhcp pool PC1
host 10.13.11.9 255.255.255.0
hardware-address 00-03-0F-D9-CD-C0 绑定主机mac地址
!
ip dhcp pool PC2
host 10.13.21.9 255.255.255.0
hardware-address C0-18-03-BB-9F-94 绑定主机mac地址
!
!
service dhcpv6
!
ipv6 dhcp pool Poolv6-Vlan150
network-address 2001:10:13:150::1 64
excluded-address 2001:10:13:150::1
dns-server 2400:3200::1
!
ipv6 dhcp pool Poolv6-Vlan140
network-address 2001:10:13:140::1 64
excluded-address 2001:10:13:140::1
dns-server 2400:3200::1
!
ipv6 dhcp pool Poolv6-Vlan130
network-address 2001:10:13:130::1 64
static-binding 2001:10:13:130::9 98-0e-24-ab-83-f1 保留地址并且绑定mac地址
excluded-address 2001:10:13:130::1
dns-server 2400:3200::1
!
ipv6 dhcp pool Poolv6-Vlan21
network-address 2001:10:13:21::1 64
static-binding 2001:10:13:21::9 c0-18-03-bb-9f-94 保留地址并且绑定mac地址
excluded-address 2001:10:13:21::1
dns-server 2400:3200::1
!
ipv6 dhcp pool Poolv6-Vlan11
network-address 2001:10:13:11::1 64
static-binding 2001:10:13:11::9 00-03-0f-d9-cd-c0 保留地址并且绑定mac地址
excluded-address 2001:10:13:11::9
dns-server 2400:3200::1
AC1:
service dhcp
!
ip forward-protocol udp bootps
!
service dhcpv6
!
interface Vlan130
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ip helper-address 10.13.2.1
ipv6 dhcp relay destination 2001:10:13:2::1
!
interface Vlan140
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ip helper-address 10.13.2.1
ipv6 dhcp relay destination 2001:10:13:2::1
!
interface Vlan150
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ip helper-address 10.13.2.1
ipv6 dhcp relay destination 2001:10:13:2::1
! 3.SW1 、SW2 、SW3 、RT1 以太链路、RT2 以太链路、FW1 、 FW2、AC1 之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用 接口地址,BGP 协议除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1 之间OSPFv2 和OSPFv3 协 议,进程 1,区域0,分别发布loopback1 地址路由和产品路由, FW1 通告type1 默认路由。
bash
SW1:
router ospf 1
ospf router-id 10.13.1.1
network 10.13.1.1/32 area 0 //发布loopback1地址路由
network 10.13.11.0/24 area 0 //发布产品路由
network 10.13.255.0/30 area 0
network 10.13.255.4/30 area 0
network 10.13.255.12/30 area 0
!
router ipv6 ospf 1
router-id 10.13.1.1
!
interface Vlan10
ipv6 router ospf area 0 tag 1
!
interface Vlan1019
ipv6 router ospf area 0 tag 1
!
interface Vlan1020
ipv6 router ospf area 0 tag 1
!
interface Vlan1022
ipv6 router ospf area 0 tag 1
!
interface Loopback1
ipv6 router ospf area 0 tag 1
SW2:
router ospf 1
ospf router-id 10.13.2.1
network 10.13.2.1/32 area 0 //发布loopback1地址路由
network 10.13.255.0/30 area 0 //发布产品路由
network 10.13.255.8/30 area 0
network 10.13.255.20/30 area 0
!
router ipv6 ospf 1
router-id 10.13.2.1
!
interface Vlan10
ipv6 router ospf area 0 tag 1
!
interface Vlan1019
ipv6 router ospf area 0 tag 1
!
interface Vlan1020
ipv6 router ospf area 0 tag 1
!
interface Vlan1022
ipv6 router ospf area 0 tag 1
!
interface Loopback1
ipv6 router ospf area 0 tag 1
SW3:
router ospf 1
ospf router-id 10.13.3.1
network 10.13.3.1/32 area 0 //发布loopback1地址路由
network 10.13.31.0/24 area 0 //发布产品路由
network 10.13.255.4/30 area 0
network 10.13.255.8/30 area 0
!
router ipv6 ospf 1
router-id 10.13.3.1
!
interface Vlan10
ipv6 router ospf area 0 tag 1
!
interface Vlan1019
ipv6 router ospf area 0 tag 1
!
interface Vlan1020
ipv6 router ospf area 0 tag 1
!
interface Loopback1
ipv6 router ospf area 0 tag 1
RT1:
router ospf 1
ospf router-id 10.13.5.1
network 10.13.5.1 255.255.255.255 area 0 //发布loopback1地址路由
network 10.13.255.20 255.255.255.252 area 0
network 10.13.255.28 255.255.255.252 area 0
network 10.13.255.16 255.255.255.252 area 0
network 10.13.255.24 255.255.255.252 area 0
!
ipv6 unicast-routing //开启IPv6单播路由
!
router ospfv3 1
router-id 10.13.5.1
!
interface Loopback1
ipv6 enable
ipv6 ospf 1 area 0
!
interface GigaEthernet0/0
ipv6 enable
ipv6 ospf 1 area 0
!
interface GigaEthernet0/1
ipv6 enable
ipv6 ospf 1 area 0
!
interface GigaEthernet0/2
ipv6 enable
ipv6 ospf 1 area 0
!
interface GigaEthernet0/3
ipv6 enable
ipv6 ospf 1 area 0
!
RT2:
router ospf 1
router-id 10.13.6.1
network 10.13.6.1 255.255.255.255 area 0
network 200.200.200.4 255.255.255.252 area 0
network 10.13.255.28 255.255.255.252 area 0
network 10.13.255.40 255.255.255.252 area 0
!
ipv6 unicast-routing //开启IPv6单播路由
!
router ospfv3 1
router-id 10.13.6.1
interface Loopback1
ipv6 enable
ipv6 ospf 1 area 0
!
interface GigaEthernet0/0
ipv6 enable
ipv6 ospf 1 area 0
!
interface GigaEthernet0/1
ipv6 enable
ipv6 ospf 1 area 0
!
interface GigaEthernet0/3
ipv6 enable
ipv6 ospf 1 area 0
FW1:
router ospf 1
router-id 10.13.7.1
default-information originate always type 1 //设置type默认路由
network 10.13.7.1/32 area 0
network 10.13.255.12/30 area 0
network 200.200.200.0/30 area 0
network 10.13.255.16/30 area 0
!
ipv6 router ospf 1
router-id 10.13.7.1
!
interface loopback1
ipv6 enable
ipv6 ospf 1 area 0
!
interface ethernet0/1
ipv6 enable
ipv6 ospf 1 area 0
!
interface ethernet0/2
ipv6 enable
ipv6 ospf 1 area 0
!
interface ethernet0/3
ipv6 enable
ipv6 ospf 1 area 0 (2)RT2 与AC1 之间运行OSPFv2 协议,进程 1,nssa no-summary 区域1;AC1 发布loopback1 地址路由、产品和营销路由,用prefix-list 重发布loopback3。
bash
RT2:
router ospf 1
network 10.13.255.41 255.255.255.252 area 1
area 1 nssa no-summary
AC1:
ip prefix-list ACL-Loopback3-IPv4 seq 5 permit 10.13.4.3/32
!
route-map ACL-Loopback3-IPv4 permit 10
match ip address prefix-list ACL-Loopback3-IPv4
!
router ospf 1
router-id 10.13.4.1
area 1 nssa no-summary
network 10.13.4.1 255.255.255.255 area 1 //发布Loopback1地址路由
network 10.13.140.1 255.255.255.0 area 1 //发布产品路由
network 10.13.150.1 255.255.255.0 area 1 //发布营销路由
redistribute connected route-map ACL-Loopback3-IPv4 //重发布Loopback3(3)RT2 与AC1 之间运行OSPFv3 协议,进程 1,stub no-summary 区域 1;AC1 发布loopback1 地址路由、产品和营销。
bash
RT2:
router ospfv3 1
area 1 stub no-summary
!
interface GigaEthernet0/1
ipv6 enable
ipv6 ospf 1 area 1
AC1:
router ipv6 ospf 1
router-id 10.13.4.1
area 1 stub no-summary
!
interface Loopback1
ipv6 router ospf area 1 tag 1
!
interface Vlan140
ipv6 router ospf area 1 tag 1
!
interface Vlan150
ipv6 router ospf area 1 tag 1(4)SW3 模拟办事处产品和营销接口配置为loopback ,模拟接口 up。SW3 模拟办事处与FW2 之间运行OSPFv2 协议,进程2,区域2,SW3 模拟办事处发布loopback2、产品和营销。SW3 模拟办事处配置 ipv6 默认路由;FW2 分别配置到SW3 模拟办事处loopback2 、产品 和营销的ipv6 明细静态路由,FW2 重发布静态路由到OSPFv3 协议。
bash
SW3 Office:
Interface Ethernet1/0/11 // 模拟办事处产品接口
loopback
!
Interface Ethernet1/0/12 // 模拟办事处营销接口
loopback
!
router ospf 2
ospf router-id 10.13.3.2
network 10.13.3.2/32 area 2 //发布loopback2路由
network 10.13.110.0/24 area 2 //发布产品路由
network 10.13.120.0/24 area 2 //发布营销路由
network 10.13.255.44/30 area 2
!
router ipv6 ospf 2
router-id 10.13.3.2
!
interface Vlan110
ipv6 router ospf area 2 tag 2
!
interface Vlan120
ipv6 router ospf area 2 tag 2
!
interface Vlan1015
ipv6 router ospf area 2 tag 2
!
interface Loopback2
ipv6 router ospf area 2 tag 2
!
ipv6 route ::/0 :: Vlan1015 //配置ipv6默认路由
FW2:
router ospf
router-id 10.13.8.1
network 10.13.8.1/32 area 2
network 10.13.255.44/30 area 2
!
router ipv6 ospf 2
router-id 10.13.8.1
!
interface loopback2
ipv6 enable
ipv6 ospf 1 area 2
!
Interface Ethernet0/1
ipv6 enable
ipv6 ospf 1 area 2
!
ipv6 route 2001:10:13:3::2/128 ethernet0/1 // 配置到SW3模拟办事处loopback2的静态路由
ipv6 route 2001:10:13:31::0/64 ethernet0/1 //配置到SW3产品的静态路由
ipv6 route 2001:10:13:32::0/64 ethernet0/1 //配置到SW3营销的静态路由
!
router ospf 1
redistribute static //FW2重发布静态路由(5)RT1 、FW2 之间OSPFv2 和OSPFv3 协议,进程2,区域2; RT1 发布loopback4 路由,向该区域通告type1 默认路由;FW2 发 布 loopback1 路由,FW2 禁止学习到集团和分公司的所有路由。RT1 用 prefix-list 匹配FW2 loopback1 路由、SW3 模拟办事处loopback2 和产 品路由、RT1 与FW2 直连ipv4 路由,将这些路由重发布到区域0。
bash
RT1:
router ospf 2
router-id 10.13.5.4
default-information originate metric-type 1 //配置type1 默认路由
network 10.13.5.4 255.255.255.255 area 2
network 10.13.255.24 255.255.255.252 area 2
!
ip prefix-list FW2-Loopback1 seq 5 permit 10.13.8.1/32
route-map address prefix-list FW2-Loopback1 permit 10
match ip address prefix-list FW2-Loopback1
!
ip prefix-list SW3-Loopback2 seq 10 permit 10.13.3.2/32
route-map address prefix-list SW3-Loopback2 permit 10
match ip address prefix-list SW3-Loopback2
!
ip prefix-list SW3-CP seq 15 permit 10.13.110.0/24
route-map address prefix-list SW3-CP permit 10
match ip address prefix-list SW3-CP
!
ip prefix-list RT1-FW2-IPv4 seq 20 permit 10.13.255.24/30
route-map address prefix-list RT1-FW2-IPv4 permit 10
match ip address prefix-list RT1-FW2-IPv4
!
router ospf 0
redistribute connect route-map FW2-Loopback1
redistribute connect route-map SW2-Loopback2
redistribute connect route-map SW2-CP
redistribute connect route-map RT1-FW2-IPv4
FW2:
router ospf 2
router-id 10.13.8.1
network 10.13.8.1/32 area 2
network 10.13.255.24/30 area 2
!
配置FW2 禁止学习到集团和分公司的所有路由:
ip prefix-list zx seq 5 permit 10.13.8.1/32
ip prefix-list zx seq 10 permit 10.13.3.2/32
ip prefix-list zx seq 15 permit 10.13.110.0/24
ip prefix-list zx seq 20 permit 10.13.255.24/30
!
route-map zx 10 permit
match ip address zx
!
router ospf 1
redistribute static route-map zx(6)修改ospf cost 为 100 ,实现SW1 分别与RT2 、FW2 之间ipv4 和 ipv6 互访流量优先通过SW1_SW2_RT1 链路转发,SW2 访问 Internet ipv4 和ipv6 流量优先通过SW2_SW1_FW1 链路转发。
bash
RT1:
interface GigaEthernet0/1
ipv6 ospf cost 100 //设置ospf cost为100
FW2:
interface ethernet0/2
ip ospf cost 100 //设置ospf cost为100
ipv6 ospf cost 1004.RT1 串行链路、RT2 串行链路、FW1、AC1 之间分别运行RIP 和RIPng 协议,FW1 、RT1 、RT2 的RIP 和RIPng 发布loopback2 地 址路由,AC1 RIP 发布loopback2 地址路由,AC1 RIPng 采用route-map 匹配prefix-list 重发布loopback2 地址路由。RT1 配置offset 值为3 的 路由策略,实现RT1-S1/0_RT2-S1/1 为主链路,RT1S1/1_RT2-S1/0 为备份链路,ipv4 的ACL 名称为AclRIP,ipv6 的ACL 名称为AclRIPng。 RT1 的S1/0 与RT2 的S1/1 之间采用chap 双向认证,用户名为对端 设备名称,密码为Key-1122。
bash
RT1:
aaa authentication login default none
aaa authentication enable default none 取消登录认证
aaa authentication ppp default local PPP认证方式本地
!
username RT2 password 0 Key-1122 //设置用户名为对端设备名称,密码为Key-1122
interface Serial1/0
encapsulation ppp
ppp authentication chap
ppp chap hostname RT1
ppp chap password 0 Key-1122
ipv6 enable
!
interface Serial1/1
encapsulation ppp
ipv6 enable
!
ip access-list standard AclRIP //配置名称为AclRIP的ipv4 ACL
permit any sequence 10
!
ipv6 unicast-routing //开启ipv6单播路由
!
ipv6 access-list AclRIPng //配置名称为AclRIPng的ipv6 ACL
permit ipv6 any any sequence 10
!
router rip 1
offset Serial1/0 in AclRIP 3 // 配置offset值为3
offset Serial1/0 out AclRIP 3 // 配置offset值为3
!
router ripng 1
offset Serial1/0 in AclRIPng 3 // 配置offset值为3
offset Serial1/0 out AclRIPng 3 // 配置offset值为3
!
interface Loopback2
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
!
interface GigaEthernet0/2
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
!
interface Serial1/0
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
!
interface Serial1/1
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
RT2:
aaa authentication login default none
aaa authentication enable default none 取消登录认证
aaa authentication ppp default local PPP认证方式本地
!
username RT1 password 0 Key-1122 //设置用户名为对端设备名称,密码为Key-1122
interface Serial1/0
encapsulation ppp
ppp authentication chap
ppp chap hostname RT2
ppp chap password 0 Key-1122
ipv6 enable
!
interface Serial1/1
encapsulation ppp
ipv6 enable
!
router rip 1
!
ipv6 unicast-routing //开启ipv6单播路由
!
router ripng 1
!
interface Loopback2
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
!
interface GigaEthernet0/1
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
!
interface Serial1/0
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
!
interface Serial1/1
ipv6 enable
ip rip 1 enable
ipv6 rip 1 enable
FW1:
router rip
network 10.13.7.2/32
network 10.13.255.16/30
!
ipv6 router rip
network ethernet 0/2 //ipv6 宣告时用接口名称
network Loopback2 5.RT1 以太链路、RT2 以太链路之间运行ISIS 协议,进程 1,分别实现loopback3 之间ipv4 互通和ipv6 互通。RT1 、RT2 的NET分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00,路由器类型是 Level-2,接口网络类型为点到点。配置域md5 认证和接口md5 认证,密码均为Key-1122。
RT1:
router isis 1
is-type level-2 //配置路由器类型为Level-2
authentication mode md5 //配置域md5 认证
authentication key 0 Key-1122 //密码为Key-1122
net 10.0000.0000.0001.00 //配置NET为10.0000.0000.0001.00
!
interface Loopback3
ipv6 enable
ip router isis 1
ipv6 router isis 1
!
interface GigaEthernet0/0
ipv6 enable
ip router isis 1
ipv6 router isis 1
isis network point-to-point //配置接口网络类型为点到点
isis circuit-type level-2 //配置路由器类型为Level-2
isis authentication mode md5 //配置接口md5 认证
isis authentication key 0 Key-1122 //密码为Key-1122
!
RT2:
router isis 1
is-type level-2 //配置路由器类型为Level-2
authentication mode md5 //配置域md5 认证
authentication key 0 Key-1122 //密码为Key-1122
net 10.0000.0000.0002.00 //配置NET为10.0000.0000.0002.00
!
interface Loopback3
ipv6 enable
ip router isis 1
ipv6 router isis 1
!
interface GigaEthernet0/0
ipv6 enable
ip router isis 1
ipv6 router isis 1
isis network point-to-point //配置接口网络类型为点到点
isis circuit-type level-2 //配置路由器类型为Level-2
isis authentication mode md5 //配置接口md5 认证
isis authentication key 0 Key-1122 //密码为Key-1122
! 6.RT2 配置ipv4 nat,实现AC1 ipv4 产品用RT2 外网接口ipv4 地址访问Internet。RT2 配置nat64,实现AC1 ipv6 产品用RT2 外网 接口ipv4 地址访问Internet,ipv4 地址转ipv6 地址前缀为64:ff9b::/96。
bash
RT2:
interface GigaEthernet0/1
ip nat inside
ipv6 nat
!
interface GigaEthernet0/2
ip nat outside
ipv6 nat
!
ip access-list standard ACL-NAT
permit any sequence 10
!
ipv6 access-list ACL-NAT64
permit ipv6 2001:10:13:140::/64 any sequence 10
!
ip nat inside source list ACL-NAT interface GigaEthernet0/2
!
ipv6 nat v6v4 source list ACL-NAT64 interface GigaEthernet0/2
ipv6 nat prefix 64:FF9B::/96 v4-mapped ACL-NAT64 7.SW1 、SW2 、SW3 、RT1 、RT2 之间运行BGP 协议,SW1、 SW2 、RT1 AS 号65001 、RT2 AS 号65002 、SW3 AS 号65003。
(1)SW1 、SW2 、SW3 、RT1 、RT2 之间通过loopback1 建立ipv4 和ipv6 BGP 邻居。SW1 和SW2 之间财务通过loopback2 建立ipv4 BGP 邻居,SW1 和SW2 的loopback2 互通采用静态路由。
(2)SW1 、SW2 、SW3、RT2 分别只发布营销、法务、财务、人力 等ipv4 和ipv6 路由;RT1 发布办事处营销ipv4 和ipv6 路由到BGP。
bash
SW1:
router bgp 65001
bgp router-id 10.13.1.1
network 10.13.12.0/24
network 10.13.13.0/24
network 10.13.15.0/24
neighbor 10.13.2.1 remote-as 65001
neighbor 10.13.2.1 update-source Loopback1
neighbor 10.13.2.1 next-hop-self
neighbor 10.13.3.1 remote-as 65003
neighbor 10.13.3.1 ebgp-multihop 255
neighbor 10.13.3.1 update-source Loopback1
neighbor 2001:10:13:2::1 remote-as 65001
neighbor 2001:10:13:2::1 update-source Loopback1
no neighbor 2001:10:13:2::1 activate
neighbor 2001:10:13:3::1 remote-as 65003
neighbor 2001:10:13:3::1 ebgp-multihop 255
neighbor 2001:10:13:3::1 update-source Loopback1
no neighbor 2001:10:13:3::1 activate
address-family ipv6 unicast
network 2001:10:13:12::/64
network 2001:10:13:13::/64
network 2001:10:13:15::/64
neighbor 2001:10:13:2::1 activate
neighbor 2001:10:13:3::1 activate
exit-address-family
address-family ipv4 vrf Finance
network 10.13.14.0/24
neighbor 10.13.2.2 remote-as 65001
exit-address-family
!
ip route vrf Finance 10.13.2.2/32 10.13.255.2
!
router ipv6 ospf 2 vrf Finance
router-id 10.13.1.2
!
interface Vlan1023
ip vrf forwarding Finance
ipv6 router ospf area 2 tag 2
!
interface Loopback2
ip vrf forwarding Finance
ipv6 router ospf area 2 tag 2
SW2:
router bgp 65001
bgp router-id 10.13.2.1
network 10.13.22.0/24
network 10.13.23.0/24
network 10.13.25.0/24
neighbor 10.13.1.1 remote-as 65001
neighbor 10.13.1.1 update-source Loopback1
neighbor 10.13.1.1 next-hop-self
neighbor 10.13.3.1 remote-as 65003
neighbor 10.13.3.1 ebgp-multihop 255
neighbor 10.13.3.1 update-source Loopback1
neighbor 10.13.5.1 remote-as 65001
neighbor 10.13.5.1 update-source Loopback1
neighbor 10.13.5.1 next-hop-self
neighbor 2001:10:13:1::1 remote-as 65001
neighbor 2001:10:13:1::1 update-source Loopback1
no neighbor 2001:10:13:1::1 activate
neighbor 2001:10:13:3::1 remote-as 65003
neighbor 2001:10:13:3::1 ebgp-multihop 255
neighbor 2001:10:13:3::1 update-source Loopback1
no neighbor 2001:10:13:3::1 activate
neighbor 2001:10:13:5::1 remote-as 65001
neighbor 2001:10:13:5::1 update-source Loopback1
no neighbor 2001:10:13:5::1 activate
address-family ipv6 unicast
network 2001:10:13:22::/64
network 2001:10:13:23::/64
network 2001:10:13:25::/64
neighbor 2001:10:13:1::1 activate
neighbor 2001:10:13:3::1 activate
neighbor 2001:10:13:5::1 activate
exit-address-family
!
ip route vrf Finance 10.13.1.2/32 10.13.255.1
!
router ipv6 ospf 2 vrf Finance
router-id 10.13.2.2
!
interface Loopback2
ip vrf forwarding Finance
ipv6 router ospf area 2 tag 2
!
interface Vlan1023
ip vrf forwarding Finance
ipv6 router ospf area 2 tag 2
!
sw3:
!
router bgp 65003
bgp router-id 10.13.3.1
network 10.13.32.0/24
network 10.13.33.0/24
network 10.13.35.0/24
neighbor 10.13.1.1 remote-as 65001
neighbor 10.13.1.1 ebgp-multihop 255
neighbor 10.13.1.1 update-source Loopback1
neighbor 10.13.2.1 remote-as 65001
neighbor 10.13.2.1 ebgp-multihop 255
neighbor 10.13.2.1 update-source Loopback1
neighbor 2001:10:13:1::1 remote-as 65001
neighbor 2001:10:13:1::1 ebgp-multihop 255
neighbor 2001:10:13:1::1 update-source Loopback1
no neighbor 2001:10:13:1::1 activate
neighbor 2001:10:13:2::1 remote-as 65001
neighbor 2001:10:13:2::1 ebgp-multihop 255
neighbor 2001:10:13:2::1 update-source Loopback1
no neighbor 2001:10:13:2::1 activate
address-family ipv6 unicast
network 2001:10:13:32::/64
network 2001:10:13:33::/64
network 2001:10:13:35::/64
neighbor 2001:10:13:1::1 activate
neighbor 2001:10:13:2::1 activate
exit-address-family
RT1:
!
router bgp 65001
no synchronization //这个是设备默认的,可以不用敲
bgp router-id 10.13.5.1
bgp log-neighbor-changes //这个是设备默认的,可以不用敲
neighbor 10.13.2.1 remote-as 65001
neighbor 10.13.2.1 update-source Loopback1
neighbor 10.13.2.1 next-hop-self
neighbor 10.13.6.1 remote-as 65002
neighbor 10.13.6.1 ebgp-multihop 255
neighbor 10.13.6.1 update-source Loopback1
neighbor 2001:10:13:2::1 remote-as 65001
neighbor 2001:10:13:2::1 update-source Loopback1
no neighbor 2001:10:13:2::1 activate
neighbor 2001:10:13:6::1 remote-as 65002
neighbor 2001:10:13:6::1 ebgp-multihop 255
neighbor 2001:10:13:6::1 update-source Loopback1
no neighbor 2001:10:13:6::1 activate
!
address-family ipv6
no synchronization //这个是设备默认的,可以不用敲
neighbor 2001:10:13:2::1 activate
neighbor 2001:10:13:6::1 activate
exit-address-family
RT2:
router bgp 65002
no synchronization //这个是设备默认的,可以不用敲
bgp router-id 10.13.6.1
bgp log-neighbor-changes //这个是设备默认的,可以不用敲
neighbor 10.13.5.1 remote-as 65001
neighbor 10.13.5.1 ebgp-multihop 255
neighbor 10.13.5.1 update-source Loopback1
neighbor 2001:10:13:5::1 remote-as 65001
neighbor 2001:10:13:5::1 ebgp-multihop 255
neighbor 2001:10:13:5::1 update-source Loopback1
no neighbor 2001:10:13:5::1 activate
!
address-family ipv6
no synchronization //这个是设备默认的,可以不用敲
neighbor 2001:10:13:5::1 activate
exit-address-family (3)SW3 营销分别与 SW1 和 SW2 营销ipv4 和ipv6 互访优先 在 SW3_SW1 链路转发;SW3 法务及人力分别与SW1 和SW2 法务 及人 力ipv4 和ipv6 互访优先在SW3_SW2 链路转发,主备链路相互备 份; 用prefix-list、route-map 和BGP 路径属性进行选路,新增AS 65000。
bash
SW3:
!
ip prefix-list SW1-SW2-FWRL-IPv4 seq 5 permit 10.13.23.1/24
ip prefix-list SW1-SW2-FWRL-IPv4 seq 10 permit 10.13.13.1/24
ip prefix-list SW1-SW2-FWRL-IPv4 seq 15 permit 10.13.15.1/24
ip prefix-list SW1-SW2-FWRL-IPv4 seq 20 permit 10.13.25.1/24
ip prefix-list SW1-SW2-YX-IPv4 seq 5 permit 10.13.12.1/24
ip prefix-list SW1-SW2-YX-IPv4 seq 10 permit 10.13.22.1/24
ip prefix-list SW3-FWRL-IPv4 seq 5 permit 10.13.33.1/24
ip prefix-list SW3-FWRL-IPv4 seq 10 permit 10.13.35.1/24
ip prefix-list SW3-YX-IPv4 seq 5 permit 10.13.32.1/24
!
ipv6 prefix-list SW1-SW2-FWRL-IPv6 seq 10 permit 2001:10:13:13::1/24
ipv6 prefix-list SW1-SW2-FWRL-IPv6 seq 15 permit 2001:10:13:15::1/64
ipv6 prefix-list SW1-SW2-FWRL-IPv6 seq 20 permit 2001:10:13:25::1/64
ipv6 prefix-list SW1-SW2-YX-IPv6 seq 5 permit 2001:10:13:12::1/64
ipv6 prefix-list SW1-SW2-YX-IPv6 seq 10 permit 2001:10:13:22::1/64
ipv6 prefix-list SW3-FWRL-IPv6 seq 5 permit 2001:10:13:33::1/64
ipv6 prefix-list SW3-FWRL-IPv6 seq 10 permit 2001:10:13:35::1/64
ipv6 prefix-list SW3-YX-IPv6 seq 5 permit 2001:10:13:32::1/64
!
route-map SW1-SW2-YX-IPv4 permit 10
match ip address prefix-list SW1-SW2-YX-IPv4
set as-path prepend 65000
set ip next-hop 10.4.1.1
!
route-map SW1-SW2-YX-IPv4 permit 20
!
route-map SW1-SW2-FWRL-IPv4 permit 10
match ip address prefix-list SW1-SW2-FWRL-IPv4
set as-path prepend 65000
set ip next-hop 10.4.2.1
!
route-map SW1-SW2-FWRL-IPv4 permit 20
!
route-map SW3-FWRL-IPv4 permit 10
match ip address prefix-list SW3-FWRL-IPv4
set as-path prepend 65000
set ip next-hop 10.13.2.1
!
route-map SW3-FWRL-IPv4 permit 20
!
route-map SW3-YX-IPv4 permit 10
match ip address prefix-list SW3-YX-IPv4
set as-path prepend 65000
set ip next-hop 10.13.1.1
!
route-map SW3-YX-IPv4 permit 20
!
route-map SW1-SW2-YX-IPv6 permit 10
match ip address prefix-list SW1-SW2-YX-IPv6
set as-path prepend 65000
set ipv6 next-hop 2001:10:13:1::1
!
route-map SW1-SW2-YX-IPv6 permit 20
!
route-map SW1-SW2-FWRL-IPv6 permit 10
match ip address prefix-list SW1-SW2-FWRL
set as-path prepend 65000
set ipv6 next-hop 2001:10:2::1
!
route-map SW1-SW2-FWRL-IPv6 permit 20
!
route-map SW3-FWRL-IPv6 permit 10
match ip address prefix-list SW3-FWRL-IPv6
set as-path prepend 65000
set ipv6 next-hop 2001:10:13:2::1
!
route-map SW3-FWRL-IPv6 permit 20
!
route-map SW3-YX-IPv6 permit 10
match ip address prefix-list SW3-YX-IPv6
set as-path prepend 65000
set ipv6 next-hop 2001:10:1::1
!
route-map SW3-YX-IPv6 permit 20
!
router bgp 65003
!
neighbor 10.13.1.1 route-map SW1-SW2-FWRL-IPv4 in
neighbor 10.13.1.1 route-map SW3-FWRL-IPv4 out
!
neighbor 10.13.2.1 route-map SW1-SW2-YX-IPv4 in
neighbor 10.13.2.1 route-map SW3-YX-IPv4 out
!
address-family ipv6 unicast
!
neighbor 2001:10:13:1::1 route-map SW1-SW2-FWRL-IPv6 in
neighbor 2001:10:13:1::1 route-map SW3-FWRL-IPv6 out
!
neighbor 2001:10:13:2:1 route-map SW1-SW2-YX-IPv6 in
neighbor 2001:10:13:2:1 route-map SW3-YX-IPv6 out 8.利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行 多 协议标签交换、标签分发协议。RT1 与RT2 间创建财务VPN 实 例, 名称为Finance,RT1 的RD 值为 1:1 ,export rt 值为 1:2 ,import rt 值 为2:1;RT2 的RD 值为2:2。通过两端loopback1 建立VPN 邻居 ,分 别实现两端loopback5 ipv4 互通和ipv6 互通。
RT1:
!
ipv6 unicast-routing
ipv6 vrf Finance
rd 1:1
route-target import 1:2
route-target export 2:1
!
mpls ip
mpls ldp router-id 10.13.5.1
!
ip vrf Finance
rd 1:1
route-target export 2:1
route-target import 1:2
!
interface Loopback1
ipv6 enable
mpls ip encapsulate
!
interface Loopback5
ip vrf forwarding Finance
ipv6 enable
ipv6 vrf forwarding Finance
mpls ip encapsulate
!
interface GigaEthernet0/0
mpls ip
mpls ip encapsulate
mpls ldp enable
!
router bgp 65001
no synchronization
bgp log-neighbor-changes
address-family vpnv4
neighbor 10.13.6.1 activate
neighbor 10.13.6.1 send-community extended
exit-address-family
address-family vpnv6
neighbor 2001:10:13:6::1 activate
neighbor 2001:10:13:6::1 send-community extended
exit-address-family
address-family ipv4 vrf Finance
no synchronization
network 10.13.5.5/32
exit-address-family
address-family ipv6 vrf Finance
no synchronization
network 2001:10:13:5::5/128
exit-address-family
!
RT2:
!
ipv6 unicast-routing
ipv6 vrf Finance
rd 2:2
route-target import 1:2
route-target export 2:1
!
mpls ip
mpls ldp router-id 10.13.6.1
!
ip vrf Finance
rd 2:2
route-target export 2:1
route-target import 1:2
!
interface Loopback1
ipv6 enable
mpls ip encapsulate
!
interface Loopback5
ip vrf forwarding Finance
ipv6 enable
ipv6 vrf forwarding Finance
mpls ip encapsulate
!
interface GigaEthernet0/0
ipv6 enable
mpls ip encapsulate
mpls ldp enable
router bgp 65002
no synchronization
bgp log-neighbor-changes
address-family vpnv4
neighbor 10.13.5.1 activate
neighbor 10.13.5.1 send-community extended
exit-address-family
address-family vpnv6
neighbor 2001:10:13:5::1 activate
neighbor 2001:10:13:5::1 send-community extended
exit-address-family
address-family ipv4 vrf Finance
no synchronization
network 10.13.6.5/32
exit-address-family
address-family ipv6 vrf Finance
no synchronization
network 2001:10:6::5/128
exit-address-family
! 四、无线部署
1.AC1 loopback1 ipv4 和ipv6 地址分别作为AC1 的ipv4 和ipv6管理地址。AP 二层自动注册,AP 采用MAC 地址认证。配置2 个ssid, 分 别为skills-2.4G 和skills-5G。skills-2.4G 对应vlan140,用network 140 和 radio1(模式为 n-only-g), 用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为Key-1122。skills-5G 对应vlan150 , 用network 150 和radio2(模式为n-only-a ),不需要认证,隐藏ssid, skills-5G 用倒数第一个可用VAP 发送5G 信号。
bash
AC1:
wireless //在全局模式下配置
enable //启用无线功能
!
no auto-ip-assign //关闭无线特性自动指定 IP 地址功能
!
static-ip 10.13.4.1 //设置IPv4管理地址
static-ipv6 2001:10:13:4::1 //设置IPv6管理地址
!
ap authentication mac //采用MAC地址认证
ap database 00-03-0f-d9-cd-c0 //AP的MAC地址
!
discovery vlan-list 130 //配置二层广播发现
!
network 140 //设置SSID,采用WPA-personal加密方式,对应vlan140
security mode wpa-personal
wpa key Key-1122 //注意秘钥
ssid skills-2.4G
vlan 140
!
network 150
security mode none //无认证
ssid skills-5G
hide-ssid //隐藏SSID
vlan 150
!
ap profile 1
radio 1
mode n-only-g //在模板内配置2.4G信号
vap 0
network 140
enable
!
radio 2
mode n-only-a //在模板内配置5G信号
vap 15
network 150
enable2.当AP 上线,如果AC 中储存的Image版本和AP 的Image版 本号不同时,会触发AP 自动升级。AP 失败状态超时时间及探测 到 的客户端状态超时时间都为2 小时。
bash
AC1:
wireless
ap auto-upgrade //AP自动升级
agetime ap-failure 2 //设置AP失败状态超时时间2小时
agetime detected-clients 2 //探测到的客户端状态超时时间都为2小时3.MAC 认证模式为黑名单,MAC 地址为80-45-DD-77-CC-48 的无线终端采用全局配置MAC 认证。
bash
AC1:
wreless
mac-authentication-mode black-list // MAC认证模式为黑名单
known-client 80-45-DD-77-CC-48 action global-action // MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证
!
network 140
mac authentication local
!
network 150
mac authentication local4.防止多AP 和AC 相连时过多的安全认证连接而消耗CPU 资 源,检测到AP 与AC 10 分钟内建立连接5 次就不再允许继续连接, 2 小时后恢复正常。
bash
AC1:
Wireless
wireless ap anti-flood //打开AP FLOOD防制功能
wireless ap anti-flood interval 10 //设置 AP FLOOD 反制功能检测时间
wireless ap anti-flood max-conn-count 5 //设置AP FLOOD反制功能的最大允许连接数
wireless ap anti-flood agetime 120 //2小时后恢复正常5.配置vlan110 无线接入用户相互隔离,开启ARP 抑制功能, 限制每天早上0 点到4 点禁止终端接入。
bash
AC1:
Wireless
network 110
arp-suppression //开启ARP抑制功能
time-limit from 00:00 to 04:00 weekday all //限制每天早上0点到4点禁止终端接入
station-isolation //启动同 VAP 关联的无线用户隔离功能
!
ap profile 1
station-isolation allowed vlan 110 //设置AP下属于VLAN110的VAP之间的隔离6.配置vlan110 无线接入用户上下行最大带宽为800Mbps ,arp 上下行最大速率为6packets/s。
bash
AC1:
wireless
ap client-qos //启用client-qos功能
network 110
client-qos enable //启动Network QoS 功能
client-qos bandwidth-limit up 800000 //配置上行最大带宽
client-qos bandwidth-limit down 800000 //配置下行最大带宽
client-qos bandwidth-limit arp up 6 //配置ARP上行最大速率
client-qos bandwidth-limit arp down 6 //配置ARP下行最大速率7.配置vlan110 无线接入用户上班时间(工作日09:00-17:00)访 问 Internet https 上下行 CIR 为 1Mbps,CBS 为20Mbps,PBS 为 30Mbps,exceed-action 和violate-action 均为drop 。时间范围名称、控 制列表名称、分类名称、策略名称均为 Skills。
bash
AC1:
time-range Skills
periodic weekdays 09:00:00 to 17:00:00 //设置无线接入用户上班时间
!
ip access-list extended Skills //按要求配置访问控制列表约束vlan110
permit tcp 10.1.140.0 0.0.0.255 any-destination d-port 443 time-range Skills
!
class-map Skills
match access-group Skills //设置分类
!
policy-map Skills //设置策略
class Skills
policy 1000 20000 30000 exceed-action drop violate-action drop
!
wireless
ap client-qos //启用client-qos功能
!
network 110
client-qos enable //启动Network QoS 功能
client-qos diffserv-policy up Skills //运用策略设置上下的CIR,CBS,PBS
client-qos diffserv-policy down Skills8.AP 发射功率为90%。
bash
AC1:
Wireless
ap database 00-03-0f-c1-a8-b0 //注意是AP的MAC地址
!
radio 1 power 90
radio 2 power 90
!
ap profile 1
radio 1
power default 90
!
radio 2
power default 90 // AP发射功率为90%五、安全维护
说明:ip 地址按照题目给定的顺序用"ip/mask"表示,ipv4 any 地址用0.0.0.0/0,ipv6 any 地址用::/0 ,禁止用地址条目,否则按零分处理。
1.FW1 配置ipv4 nat,实现集团产品1 段ipv4 访问Internet ipv4,转 换ip/mask 为200.200.200.16/28,保证每一个源ip 产生的所有会话 将 被映射到同一个固定的IP 地址;当有流量匹配本地址转换规则时 产 生日志信息,将匹配的日志发送至 10.13.11.120 的 UDP 514 端口,记 录主机名,用明文轮询方式分发日志;开启相关特性,实现扩展 nat 转换后的网络地址端口资源。
2.FW1 配置nat64,实现集团产品 1 段ipv6 访问Internet ipv4, 转换为出接口IP ,ipv4 转ipv6 地址前缀为64:ff9b::/96。
3.FW1 和FW2 策略默认动作为拒绝,FW1 允许集团产品 1 段 ipv4 和ipv6 访问Internet 任意服务。
4.FW2 允许办事处产品ipv4 访问集团产品 1 段https 服务, 允 许集团产品 1 段访问办事处产品ipv4 、FW2 loopback1 ipv4 、SW3 模 拟办事处loopback2 ipv4。
5.FW1 与RT2 之间用Internet互联地址建立GRE Over IPSec VPN, 实现loopback4 之间的加密访问。
SW3:
ip route vrf Internet 0.0.0.0/0 200.200.200.6
ip route vrf Internet 0.0.0.0/0 200.200.200.2 //转发实例达到互联互通
RT2:
ip route default 200.200.200.5
ip route 10.13.7.4 255.255.255.255 tunnel 4
//让Loopback4通过隧道加密访问
!
ip access-list extended ACL-VPN
permit gre 200.200.200.6 255.255.255.252 200.200.200.2 255.255.255.252 sequence 10
//配置ACL-VPN使特定流量通过
!
interface Tunnel4
ip address 10.13.255.50 255.255.255.252
tunnel source 200.200.200.6
tunnel destination 200.200.200.2
//配置隧道源端口ip和目的端口ip
!
crypto isakmp key 0 Key-1122 address 200.200.200.2 255.255.255.252
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
lifetime 4000
!
crypto ipsec transform-set SET-1 esp-3des esp-md5-hmac
!
crypto map MAP-1 10 ipsec-isakmp
match address ACL-VPN
set peer 200.200.200.2
set transform-set SET-1
//创建加密图
!
interface GigaEthernet0/2
ipv6 enable
crypto map MAP-1
//调用加密图
FW1:
ip vrouter "trust-vr"
ip route 0.0.0.0/0 200.200.200.1 //使路由器到达E1/0/17,达到FW2和RT2之间的访问
ip route 10.13.6.4/32 10.4.255.50 //让Loopback4通过隧道加密访问
!
tunnel gre "GRE-1"
source 200.200.200.2
destination 200.200.200.6
interface ethernet0/3
next-tunnel ipsec IPSEC-1
exit
interface tunnel4
zone "VPNHub"
ip address 10.4.255.49 255.255.255.252
manage ping
tunnel gre "GRE-1" gw 10.4.255.50 //调用gre ,gw为对端隧道ip
exit
6.FW1 要求内网每个IP 限制会话数量为300。
7.FW1 开启安全网关的TCP SYN 包检查功能,只有检查收到 的包为TCP SYN 包后,才建立连接,否则丢弃包;配置对TCP 三次 握 手建立的时间进行检查,如果 1 分钟内未完成三次握手,则断掉该 连 接;配置所有的TCP 数据包和TCP VPN 数据包每次能够传输的最 大数据分段为 1460 ,尽力减少网络分片。
