2018年2月25日 星期日

中型企業網設計與部署


實驗要求:





 一、設備管理

1、依據圖中拓撲,為全網設備定義主機名並配置 IP 地址。

2、全網設備關閉域名解析。

3、全網設備 Console VTY 線路下關閉線路超時並開啟輸出同步。

4、為實現安全登錄,要求在全網設備創建本地用戶名 PingingLab,密碼 CCIE,並將其調用到 console vty 線路下;要求設置特權密碼 CISCO,並要 求加密存儲。

5、總部所有交換機管理vlan vlan1,所在網段為192.168.1.0/24,其中

SW1 的管理IP 192.168.1.1/24

SW2 192.168.1.2/24

SW3 192.168.1.3/24

SW4 192.168.1.4/24

分支交換機管理vlan vlan50,地址為192.168.50.253/24;要求所有交換機可以遠程管理。



二、交換技術

1Trunk 技術

總部所有交換機之間強制啟用 Trunk,並採用 802.1Q 進行封裝。

總部所有交換機全局native vlan 定義為 vlan 10

總部所有交換機要求Trunk 上只允許 VLAN110203040 通過。

2VTP&VLAN 技術

總部SW1SW2均為Server,其他交換機為Client

總部 VTP 管理域為 PingingLab,密碼為 cisco

總部全局開啟 VTP修剪。

SW1 上創建 VLAN10/20/30/40,並要求全局同步。

在分支交換機本地創建 VLAN50 VLAN60

將不同用戶接口放入相應的 VLAN 中。

3STP 技術

部署 PVST,要求 SW1 VLAN10/30 RootVLAN20/40 SecondarySW2 VLAN20/40 RootVLAN10/40 Secondary,實現 負載均衡。

開啟 Portfast,加速用戶接入網絡接口。

開啟 Uplinkfast,加速直連鏈路收斂。

開啟 Backbonefast,加速骨幹鏈路收斂。

4L3 Swithing 技術&單臂路由

SW1 作為VLAN10/30 的主網關,VLAN20/40 的備網關,SW2 作為VLAN20/40 的主網關,VLAN10/30 的備網關,網關地址如下:

VLAN10:主192.168.10.254/24,備192.168.10.253/24

VLAN20:主192.168.20.254/24,備192.168.20.253/24

VLAN30:主192.168.30.254/24,備192.168.30.253/24

VLAN40:主192.168.40.254/24,備192.168.40.253/24

SW1SW2R3 上同時部署DHCP 服務,方便不同VLAN 的主機接入網絡,其中主DNS 8.8.8.8,備用DNS 114.114.114.114

在三層交換機上開啟三層路由功能,並要求 VLAN 間主機能夠相互通信。

分支網絡要求部署單臂路由,實現 VLAN 間通信。

5Etherchannel 技術

為實現鏈路冗餘並提供網絡帶寬,要求在匯聚層交換機之間部署 L2 Etherchannel 技術。

6Port-Security 技術

為實現用戶接入安全,要求在所有用戶接入接口啟用端口安全技術。

開啟地址學習,並定義最大 MAC 數為 1

定義用戶違反規則為 shutdown 模式,並要求在 30s 後自動恢復。



三、路由技術

1、在全網所有三層設備 SW1SW2R1R3 上部署動態路由協議 OSPF,並 通告到骨幹區域中。

2、內網三層設備 R3SW1SW2 部署默認路由指向邊緣路由器 R1

2、在邊緣路由器 R1 上部署默認路由,用於訪問互聯網。



四、安全策略

1、要求只允許管理員地址 192.168.10.1/24 遠程訪問邊緣路由器 R1 R2

2、廣域網鏈路上 R1 R3 實現 CHAP 認證,共享密碼為 PingingLab

3、為實現內網主機訪問互聯網,要求部署 PAT 技術。並且要求 VLAN60 無法 訪問互聯網,VLAN50 只能在周末時段訪問互聯網,其他 VLAN 正常訪問。

4、為實現互聯網主機訪問本地服務器,要求部署靜態 NAT 技術,將本地的 HTTP Telnet 服務提供出去。

5、為實現內網互訪安全,要求其他 VLAN 無法訪問 VLAN60,其他 VLAN 以相互訪問。

6、為防止設備故障導致配置丟失,要求備份全網設備配置文件,將所有配置文 件保存到服務集群中的 FTP Server 上。











一、設備管理

1、依據圖中拓撲,為全網設備定義主機名並配置 IP 地址。

2、全網設備關閉域名解析。

SW1(config)# no ip domain lookup   //配錯指令會報錯會卡住



3、全網設備 Console VTY 線路下關閉線路超時並開啟輸出同步。

SW1(config)# line console 0
SW1(config-line)# logging synchronous   //輸入同步
不配置的會有很多訊息騷擾

SW1(config-line)# exEc-Timeout 0 0 
就不會被踢到一般模式



4、為實現安全登錄,要求在全網設備創建本地用戶名 PingingLab,密碼 CCIE,並將其調用到 console vty 線路下;要求設置特權密碼 CISCO,並要 求加密存儲。

全網(config)# username PingingLab passwork secret CCIE


全網(config)# line console 0
全網(config-line)# logging local
全網(config-line)# exit


全網(config)# line vty 0 15
全網(config-line)# login local
全網(config-line)# exit
全網(config)# enable secret CISCO



5、總部所有交換機管理vlan vlan1,所在網段為192.168.1.0/24,其中

SW1 的管理IP 192.168.1.1/24

SW2 192.168.1.2/24

SW3 192.168.1.3/24

SW4 192.168.1.4/24

分支交換機管理vlan vlan50,地址為192.168.50.253/24;要求所有交換機可以遠程管理。

SW1(config)# interface vlan 1
SW1(config-if)# no shutdown
SW1(config-if)# ip address 192.168.1.1 255.255.255.0


SW2(config)# interface vlan 1
SW2(config-if)# no shutdown
SW2(config-if)# ip address 192.168.1.2 255.255.255.0


SW3(config)# interface vlan 1
SW3(config-if)# no shutdown
SW3(config-if)# ip address 192.168.1.3 255.255.255.0


SW4(config)# interface vlan 1
SW4(config-if)# no shutdown
SW4(config-if)# ip address 192.168.1.4 255.255.255.0


SW5(config)# interface vlan 50
SW5(config-if)# no shutdown
SW5(config-if)# ip address 192.168.50.253 255.255.255.0



二、交換技術

1Trunk 技術

總部所有交換機之間強制啟用 Trunk,並採用 802.1Q 進行封裝。

SW1(config)# interface range fa 0/0 – 3
SW1(config-if-range)# switchport trunk encapsulation dot1q
SW1(config-if-range)# switchport mode trunk
SW1(config-if-range)# exit


SW2(config)# interface range fa 0/0 – 3
SW2(config-if-range)# switchport trunk encapsulation dot1q
SW2(config-if-range)# switchport mode trunk
SW2(config-if-range)# exit


SW3(config)# interface range fa 0/1 – 2
SW3(config-if-range)# switchport trunk encapsulation dot1q
SW3(config-if-range)# switchport mode trunk
SW3(config-if-range)# exit

SW4SW3一樣



SW2# show interface trunk



總部所有交換機全局native vlan 定義為 vlan 10

所有的Trunk鏈路裡都要配置這個命令

SW1(config)# interface range fa 0/0 – 3
SW1(config-if-range)# switchport trunk native vlan 10


SW2(config)# interface range fa 0/0 – 3
SW2(config-if-range)# switchport trunk native vlan 10


SW3(config)# interface range fa 0/1 – 2
SW2(config-if-range)# switchport trunk native vlan 10

SW4SW3一樣



總部所有交換機要求Trunk 上只允許 VLAN110203040 通過。

SW1(config-if-range)# switchport trunk allowed vlan 1,1002-1005,10,20,30,40


SW2(config-if-range)# switchport trunk allowed vlan 1,1002-1005,10,20,30,40


SW3(config-if-range)# switchport trunk allowed vlan 1,1002-1005,10,20,30,40

SW4SW3一樣



2VTP&VLAN 技術

總部SW1SW2均為Server,其他交換機為Client

總部 VTP 管理域為 PingingLab,密碼為 cisco

SW1(config)# vtp domain PingingLab
SW1(config)# vtp password Cisco
SW1(config)# vtp server


SW2(config)# vtp domain PingingLab
SW2(config)# vtp password Cisco
SW2(config)# vtp server


SW3(config)# vtp domain PingingLab
SW3(config)# vtp password Cisco
SW3(config)# vtp client

SW4SW3一樣



總部全局開啟 VTP修剪。

SW1(config)# vtp pruning

在其中一台vtp server上開啟VTP修剪功能即可



SW1 上創建 VLAN10/20/30/40,並要求全局同步。

SW1(config)# vlan 10
SW1(config-vlan)# vlan 20
SW1(config-vlan)# vlan 30
SW1(config-vlan)# vlan 40



在分支交換機本地創建 VLAN50 VLAN60

SW5(config)# vlan 50
SW5(config-vlan)# vlan 60



將不同用戶接口放入相應的 VLAN 中。

SW3(config)# interface fa 0/3
SW3(config-if)# switchport mode access
SW3(config-if)# switchport access vlan 10

SW3(config)# interface fa 0/4
SW3(config-if)# switchport mode access
SW3(config-if)# switchport access vlan 20


SW4(config)# interface fa 0/3
SW4(config-if)# switchport mode access
SW4(config-if)# switchport access vlan 30

SW4(config)# interface fa 0/4
SW4(config-if)# switchport mode access
SW4(config-if)# switchport access vlan 40


SW5(config)# interface fa 0/2
SW5(config-if)# switchport mode access
SW5(config-if)# switchport access vlan 50

SW5(config)# interface fa 0/3
SW5(config-if)# switchport mode access
SW5(config-if)# switchport access vlan 60




show vtp status看本地交換機的VTP狀態
配置版本號:做同步用的(只要高,就會去覆蓋別人)
show vlan brief看看vlan數量(5個為系統保留:1,1002-1005
show vtp passwordVTP域中有沒有認證,只有這一條命令可以看(可以忽略後面加空格的問題)



3STP 技術

27:20

部署 PVST,要求 SW1 VLAN10/30 RootVLAN20/40 SecondarySW2 VLAN20/40 RootVLAN10/40 Secondary,實現 負載均衡。

SW1(config)# spanning-tree vlan 10 root primary
SW1(config)# spanning-tree vlan 30 root primary
SW1(config)# spanning-tree vlan 20 root secondary
SW1(config)# spanning-tree vlan 40 root secondary



SW1# show run | include spanning



SW2(config)# spanning-tree vlan 20 root primary
SW2(config)# spanning-tree vlan 40 root primary
SW2(config)# spanning-tree vlan 10 root secondary
SW2(config)# spanning-tree vlan 30 root secondary



SW3# show spanning-tree vlan 10 brief



開啟 Portfast,加速用戶接入網絡接口。

SW3(config)# interface range fa 0/3 - 4
SW3(config-if)# spanning-tree portfast


SW4(config)# interface range fa 0/3 - 4
SW4(config-if)# spanning-tree portfast



開啟 Uplinkfast,加速直連鏈路收斂。

SW3(config)# spanning-tree uplinkfast


SW4(config)# spanning-tree uplinkfast



開啟 Backbonefast,加速骨幹鏈路收斂。

SW1(config)# spanning-tree backbonefast


SW2(config)# spanning-tree backbonefast


SW3(config)# spanning-tree backbonefast


SW4(config)# spanning-tree backbonefast



4L3 Swithing 技術&單臂路由

SW1 作為VLAN10/30 的主網關,VLAN20/40 的備網關,SW2 作為VLAN20/40 的主網關,VLAN10/30 的備網關,網關地址如下:

VLAN10:主192.168.10.254/24,備192.168.10.253/24

VLAN20:主192.168.20.254/24,備192.168.20.253/24

VLAN30:主192.168.30.254/24,備192.168.30.253/24

VLAN40:主192.168.40.254/24,備192.168.40.253/24

基本上要是主閘道Down掉了他不會走備份閘道還是要靠HSRP來實現容錯

SW1(config)# interface vlan 10     //如果沒創建VLAN他的接口會Down
SW1(config-if)# ip address 192.168.10.254 255.255.255.0
SW1(config)# interface vlan 30   
SW1(config-if)# ip address 192.168.30.254 255.255.255.0
SW1(config)# interface vlan 20   
SW1(config-if)# ip address 192.168.20.253 255.255.255.0
SW1(config)# interface vlan 40   
SW1(config-if)# ip address 192.168.40.253 255.255.255.0


SW2(config)# interface vlan 20   
SW2(config-if)# ip address 192.168.20.254 255.255.255.0
SW2(config)# interface vlan 40   
SW2(config-if)# ip address 192.168.40.254 255.255.255.0
SW2(config)# interface vlan 10   
SW2(config-if)# ip address 192.168.10.253 255.255.255.0
SW2(config)# interface vlan 30   
SW2(config-if)# ip address 192.168.30.253 255.255.255.0




SW1# show ip interface brief



SW1SW2R3 上同時部署DHCP 服務,方便不同VLAN 的主機接入網絡,其中主DNS 8.8.8.8,備用DNS 114.114.114.114

SW1(config)# ip dhcp pool vlan 10
SW1(dhcp-config)# network 192.168.10.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.10.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp pool vlan 20
SW1(dhcp-config)# network 192.168.20.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.20.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp pool vlan 30
SW1(dhcp-config)# network 192.168.30.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.30.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp pool vlan 40
SW1(dhcp-config)# network 192.168.40.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.40.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp excluded-address 192.168.10.254

SW1(config)# ip dhcp excluded-address 192.168.20.254

SW1(config)# ip dhcp excluded-address 192.168.30.254

SW1(config)# ip dhcp excluded-address 192.168.40.254



SW1# show run | section dhcp

SW2SW1一樣



在三層交換機上開啟三層路由功能,並要求 VLAN 間主機能夠相互通信。

R3(config)# ip dhcp pool vlan 50
R3(dhcp-config)# network 192.168.50.0 255.255.255.0
R3(dhcp-config)# default-router 192.168.50.254
R3(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
R3(dhcp-config)# lease 7
R3(dhcp-config)# exit

R3(config)# ip dhcp pool vlan 60
R3(dhcp-config)# network 192.168.60.0 255.255.255.0
R3(dhcp-config)# default-router 192.168.60.254
R3(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
R3(dhcp-config)# lease 7
R3(dhcp-config)# exit

R3(config)# ip dhcp excluded-address 192.168.50.254

R3(config)# ip dhcp excluded-address 192.168.60.254



分支網絡要求部署單臂路由,實現 VLAN 間通信。

R3(config)# interface fa 1/0
R3(config-if)# no shutdown
R3(config-if)# exit
R3(config)# interface fa 1/0.50
R3(config-subif)# encapsulation dot1q 50
R3(config-subif)# ip address 192.168.50.254 255.255.255.0
R3(config-subif)# interface fa 1/0.60
R3(config-subif)# encapsulation dot1q 60
R3(config-subif)# ip address 192.168.60.254 255.255.255.0


SW5(config)# interface fa 0/1
SW5(config-if)# switchport mode trunk
SW5(config-if)# switchport trunk encapsulation dot1q 



5Etherchannel 技術

為實現鏈路冗餘並提供網絡帶寬,要求在匯聚層交換機之間部署 L2 Etherchannel 技術。

SW1(config)# interface range fa 0/0 – 1
SW1(config-if-range)# channel-group 1 mode on


SW2(config)# interface range fa 0/0 – 1
SW2(config-if-range)# channel-group 1 mode on



SW2# show interface port-channel 1

SW2# show etherchannel summary



6Port-Security 技術

為實現用戶接入安全,要求在所有用戶接入接口啟用端口安全技術。

開啟地址學習,並定義最大 MAC 數為 1

定義用戶違反規則為 shutdown 模式,並要求在 30s 後自動恢復。



三、路由技術

R1(config)# interface fa 0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)# interface fa 0/1
R1(config-if)# no shutdown
R1(config-if)# ip address 172.16.2.1 255.255.255.0
R1(config-if)# interface fa 0/2
R1(config-if)# no shutdown
R1(config-if)# ip address 100.1.1.1 255.255.255.0
R1(config-if)# interface fa 0/3
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.70.1 255.255.255.0


R1(config)# interface s 4/0
R1(config-if)# no shutdown
R1(config-if)# encapsulation ppp
R1(config-if)# ppp multilink group 1
R1(config-if)# exit
R1(config)# interface s 4/1
R1(config-if)# no shutdown
R1(config-if)# encapsulation ppp
R1(config-if)# ppp multilink group 1
R1(config-if)# exit
R1(config)# interface multilink 1
R1(config-if)# ip address 172.16.3.1 255.255.255.0




R3(config)# interface s 0/0
R3(config-if)# no shutdown
R3(config-if)# encapsulation ppp
R3(config-if)# ppp multilink group 1
R3(config-if)# exit
R3(config)# interface s 0/1
R3(config-if)# no shutdown
R3(config-if)# encapsulation ppp
R3(config-if)# ppp multilink group 1
R3(config-if)# exit
R3(config)# interface multilink 1
R3(config-if)# ip address 172.16.3.2 255.255.255.0


SW1(config)# interface fa 0/3
SW1(config-if)# no switchport
SW1(config-if)# ip address 172.16.1.10 255.255.255.0


SW2(config)# interface fa 0/3
SW2(config-if)# no switchport
SW2(config-if)# ip address 172.16.2.20 255.255.255.0



1、在全網所有三層設備 SW1SW2R1R3 上部署動態路由協議 OSPF,並 通告到骨幹區域中。

R1(config)# router ospf 100
R1(config-router)# router-id 1.1.1.1
R1(config-router)# network 172.16.1.0 0.0.0.255 area 0
R1(config-router)# network 172.16.2.0 0.0.0.255 area 0
R1(config-router)# network 172.16.3.0 0.0.0.255 area 0
R1(config-router)# network 192.168.70.0 0.0.0.255 area 0


R2(config)# router ospf 100
R2(config-router)# router-id 2.2.2.2
R2(config-router)# network 172.16.3.0 0.0.0.255 area 0
R2(config-router)# network 192.168.50.0 0.0.0.255 area 0
R2(config-router)# network 192.168.60.0 0.0.0.255 area 0


SW1(config)# router ospf 100
SW1(config-router)# router-id 10.10.10.10
SW1(config-router)# network 172.16.1.0 0.0.0.255 area 0
SW1(config-router)# network 192.168.0.0 0.0.255.255 area 0


SW2(config)# router ospf 100
SW2(config-router)# router-id 20.20.20.20
SW2(config-router)# network 172.16.2.0 0.0.0.255 area 0
SW2(config-router)# network 192.168.0.0 0.0.255.255 area 0



2、內網三層設備 R3SW1SW2 部署默認路由指向邊緣路由器 R1

2、在邊緣路由器 R1 上部署默認路由,用於訪問互聯網。

R1(config)# router ospf 100
R1(config-router)# default-information originate always

所有的路由器都會發一條默認路由指向R1


也可以用手動配置默認路由

R1(config)# ip route 0.0.0.0 0.0.0.0 100.1.1.2


R2(config)# ip route 0.0.0.0 0.0.0.0 172.16.3.1


SW1(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1


SW2(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.1





四、安全策略

1、要求只允許管理員地址 192.168.10.1/24 遠程訪問邊緣路由器 R1 R2

R1(config)# access-list 1 permit host 192.168.10.1
R1(config)# line vty 0 15
R1(config-line)# access-class 1 in


R3(config)# access-list 1 permit host 192.168.10.1
R3(config)# line vty 0 15
R3(config-line)# access-class 1 in



2、廣域網鏈路上 R1 R3 實現 CHAP 認證,共享密碼為 PingingLab

R1(config)# username R2 password PingingLab
R1(config)# interface multilink 1
R1(config-if)# ppp authentication chap


R2(config)# username R1 password PingingLab
R2(config)# interface multilink 1
R2(config-if)# ppp authentication chap



3、為實現內網主機訪問互聯網,要求部署 PAT技術。並且要求 VLAN60 無法訪問互聯網,VLAN50只能在周末時段訪問互聯網,其他VLAN 正常訪問。

R1(config)# time-range vlan 50   //vlan 50為名字
R1(config-time-range)# periodic weekend 00:00 to 23:59
R1(config-time-range)# exit

R1(config)# ip access-list extended PAT
R1(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.30.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.40.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any time-range vlan 50
R1(config-ext-nacl)# exit



R1(config)# interface range fa 0/0 , fa 0/1 , fa 0/3
R1(config-if-range)# ip nat inside
R1(config-if-range)# exit

R1(config)# interface multilink 1
R1(config-if)# ip nat inside

R1(config-if)# interface fa 0/2
R1(config-if)# ip nat outside


執行

R1(config)# ip nat inside source list PAT interface fa 0/2 overload



配置外網

R2(config)# interface fa 0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 100.1.1.2 255.255.255.0
R2(config-if)# interface loopback 1
R2(config-if)# ip address 8.8.8.8 255.255.255.255



4、為實現互聯網主機訪問本地服務器,要求部署靜態 NAT 技術,將本地的 HTTP Telnet 服務提供出去。

R1(config)# ip nat inside source static tcp 192.168.70.10 80 100.1.1.10 80
R1(config)# ip nat inside source static tcp 192.168.70.20 23 100.1.1120 23



R1# show run | include ip nat


不想配置又想別人登入你

Telnet-Server(config)# line vty 0 15
Telnet-Server(config-line)# no login


如果進來直接為管理員模式

Telnet-Server(config-line)# privilege level 15



5、為實現內網互訪安全,要求其他VLAN無法訪問VLAN60,其他VLAN可以相互訪問。

R3(config)# access-list 1 deny 192.168.60.0 0.0.0.255
R3(config)# access-list 1 permit any


R3(config)# interface fa 1/0.60
R3(config-subif)# ip access-group 1 in



6、為防止設備故障導致配置丟失,要求備份全網設備配置文件,將所有配置文 件保存到服務集群中的 FTP Server 上。

FTP-Server(config)# ftp enable
FTP-Server(config)# ftp topdir flash:


R1# copy running-config ftp

                  ?  192.168.70.30



FTP-Server# show flash:


FTP-Server# more flash: r1-confg


R3# copy running-config ftp:

                  ?  192.168.70.30

二層交換的的配置

SW3(config)# ip default-gateway 192.168.1.1



SW5(config)# ip default-gateway 192.168.50.254



SW5# copy running-config ftp:

                  ?  192.168.70.30