高级交换-大中型园区网络的部署练习

高级交换-大中型园区网络的部署练习

实验拓扑

实验要求

一、安全管理

1、依据图中拓扑，为全网设备定义主机名、关闭域名解析、并在 Console 和 VTY 线路下关闭线路超时并开启输出同步。
no ip domain-lookup
line console 0
exec-timeout 0 0
logging synchronous
exit
line vty 0 4
exec-timeout 0 0
logging synchronous
2、为实现安全远程登录，要求在设备 CS1 上创建本地用户名 PingingLab，密码 CCIE，并只允许 3 个管理员同时远程登录，其中管理员地址分别为 192.168.10.1~192.168.10.3；要求只运行 SSH 协议进行登录，并且关闭其他虚拟终端线路。
username PingingLab password CCIE
access-list 1 permit host 192.168.10.1
access-list 2 permit host 192.168.10.2
access-list 3 permit host 192.168.10.3
line vty 0 2
login local
access-class 1 in
access-class 2 in
access-class 3 in
transport input ssh
line vty 3 4
transport input none
transport output none
3、在设备 CS1 设置 banner，要求当远程登录时可以看到 “THIS IS PingingLabCCIE LabCS1”。
banner motd #
THIS IS PingingLabCCIE LabCS1

4、在 CS2 上关闭 HTTP 服务，开启 HTTPS 服务并调用本地认证。
ip http server
ip http authentication enable
ip http authentication local
5、在 R1 的 E0/0 上关闭 CDP 服务。
interface e0/0
no cdp enable
6、汇聚和接入交换机的管理 vlan 为 vlan1，所在网段为 192.168.1.0/24，其中 DS1 的管理 IP 为 192.168.1.1/24，DS2 为192.168.1.2/24，AS1 为 192.168.1.3/24，AS2 为 192.168.1.4/24 。要求二层交换机可以远程管理。
interface vlan 1
no shutdown
ip address 192.168.1.1 255.255.255.0

no ip routing
ip default-gateway 192.168.1.1

二、交换技术

1、Trunk 技术

（1）DS1、DS2、AS1 交换机之间强制启用 Trunk 并关闭 DTP 协商，并采用 802.1Q 进行封装。
interface range e0/1 , e0/2 , e1/0 , e1/1
switchport trunk encapsulation dot1q
switchport mode trunk
interface range e0/1 , e0/2 , e1/0
switchport nonegotiate
（2）AS2 和其他交换机之间采用 DTP 协议协商 Trunk，AS2 端为 Auto 模式，其他交换机为 Desirable 模式。
interface range e0/0 , e0/1
switchport mode dynamic auto/desirable
（3）所有交换机要求 Trunk 上只允许 VLAN1、10、20、30、40 通过。
interface range e0/0 , e0/1
switchport trunk allowed vlan 1,10,20,30,40,1002-1005

2、VTP&VLAN 技术

（1）总部 DS1 和 DS2 均为 Server，其他交换机为 Client。
vlan database
vtp server
vtp client
（2）总部 VTP 管理域为 PingingLab，密码为 cisco。
vlan database
vtp domain PingingLab
vtp password cisco
（3）总部全局开启 VTP 修剪。
vlan database
vtp pruning
（4）在 DS1 上创建 VLAN10/20/30/40，并要求全局同步。
vlan database
vlan 10
（5）将不同用户接口放入相应的 VLAN 中。
interface e0/0
switchport mode access
switchport access vlan 10

3、STP 技术

（1）部署 MSTP，全局 MSTP 域为 PL，修订号为 1，并创建两个实例，其中实例 1 映射 10 和 30，实例 2 映射 20 和 40；
spanning-tree mode mst
spanning-tree mst configuration
name PL
revision 1
instance 1 vlan 10 , 30
instance 2 vlan 20 , 40
（2）要求 DS1 为实例 1 的主根，实例 2 的备根；DS2 为实例 1 的备根，实例 2 的主根。
spanning-tree mst 1 root primary
spanning-tree mst 2 root secondary
（3）在接入层交换机上开启 BPDU 防护，当违反规则时，要求 30S 后恢复。
interface e0/0
spanning-tree bpduguard enable
errdisable recovery cause bpduguard
errdisable recovery interval 30

4、HSRP 技术

（1）部署 HSRP 技术，要求 DS1 作为 VLAN10/30 的主网关，VLAN20/40 的备网关，DS2 作为 VLAN20/40 的主网关，VLAN10/30 的备网关， 其中网关地址如下：
VLAN10，主 192.168.10.253/24，备 192.168.10.252/24，虚 192.168.10.254/24
VLAN20，主 192.168.20.253/24，备 192.168.20.252/24，虚 192.168.20.254/24
VLAN30，主 192.168.30.253/24，备 192.168.30.252/24，虚 192.168.30.254/24
VLAN40，主 192.168.40.253/24，备 192.168.40.252/24，虚 192.168.40.254/24
interface vlan 10
no shutdown
ip address 192.168.10.253 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 200

5、DHCP Relay 技术

（1）在 R1 上同时部署 DHCP 服务，方便不同 VLAN 的主机接入网络，其中主 DNS 为 8.8.8.8，备用 DNS 为 114.114.114.114。
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 8.8.8.8 114.114.114.114
ip dhcp excluded-address 192.168.10.254
pc端：ip address dhcp
（2）在 DS1 和 DS2 上部署 DHCP 中继技术。
interface range vlan 10 , 20 , 30 , 40
ip helper-address 172.16.24.2

6、Etherchannel 技术

（1）为实现链路冗余并提供网络带宽，要求在汇聚层交换机之间部署 L2 Etherchannel 技术，在核心交换机之间部署 L3 Etherchannel。
interface range e0/0 , e0/1
channel-group 1 mode on

interface range e0/0 , e0/1
no switchport
channel-group 1 mode on
interface port-channel 1
ip address 172.16.23.2 255.255.255.0

7、Port-Security 技术

（1）为实现用户接入安全，要求在所有用户接入接口启用端口安全技术。
（2）开启地址学习，并定义最大 MAC 数为 1。
（3）定义用户违反规则为 shutdown 模式，并要求在 30s 后自动恢复。
interface e0/1
switchport access vlan 10
switchport mode access
switchport port-security maximum 1
switchport port-security mac-address sticky
errdisable recovery cause psecure-violation
errdisable recovery interval 30

8、DHCP Snooping 技术

（1）在 AS1 上部署 DHCP 侦听技术，防止 DHCP 欺骗攻击。
ip dhcp snooping vlan 10
ip dhcp snooping vlan 20
interface range e0/0 , e0/1
ip dhcp snooping trust

三、路由技术

1、在全网所有三层设备部署动态路由协议 OSPF，其中 R1、CS1、CS2 通告到 骨干区域中，CS1、CS2、DS1 通告到区域 10 中，CS1、CS2、DS2 通告到区域 20 中。
router ospf 100
2、要求 VLAN10 和 VLAN30 的流量路径是：DS1 -> CS1 -> R1，并且当 CS1 出 现故障后，流量路径切换为 DS1 -> CS2 -> R1。
3、要求 VLAN20 和 VLAN40 的流量路径是：DS2 -> CS2 -> R1，并且当 CS2 出 现故障后，流量路径切换为 DS2 -> CS1 -> R1。
4、在 R1 上创建环回接口 Lo1，地址为 1.1.1.1/32，要求全网能与之通信。