2022年中职组全国职业院校技能大赛网络搭建与应用赛项(交换解法) 三、交换配置 1.配置vlan,SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。
首先按照题目中端口与vlan对应表进行划分 SW1,SW2,SW3: Interface Ethernet1/0/1 switchport access vlan 10 ! Interface Ethernet1/0/2 switchport access vlan 20 ! Interface Ethernet1/0/3 switchport access vlan 30 ! Interface Ethernet1/0/4 switchport access vlan 40 ! Interface Ethernet1/0/5 switchport access vlan 50 ! Interface Ethernet1/0/6 switchport access vlan 60 ! Interface Ethernet1/0/7 switchport access vlan 70 ! Interface Ethernet1/0/8 switchport access vlan 80 ! Interface Ethernet1/0/9 switchport access vlan 90 ! 二层链路只允许相应vlan通过,哪些链路是二层链路在“网络设备连接表”中标注了 SW1: Interface Ethernet1/0/23 switchport mode trunk switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90 --只允许表中的vlan通过 ! Interface Ethernet1/0/28 switchport mode trunk switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90 SW2: Interface Ethernet1/0/23 switchport mode trunk switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90 ! Interface Ethernet1/0/28 switchport mode trunk switchport trunk allowed vlan 10;20;30;40;50;60;70;80;90 SW3: Interface Ethernet1/0/23 switchport mode trunk switchport trunk allowed vlan 10;20;30;50;60;70;80;90 ! Interface Ethernet1/0/24 switchport mode trunk switchport trunk allowed vlan 10;20;30;50;60;70;80;90
2.SW1、SW2、SW3启用MSTP,实现网络二层负载均衡和冗余备份,创建实例 Instance10和Instance20,名称为SKILLS,修订版本为1,其中Instance10关 联vlan60和vlan70,Instance20关联vlan80和vlan90。SW1为Instance0和 Instance10的根交换机,为Instance20备份根交换机;SW2为Instance20根交 换机,为Instance0和Instance10的备份根交换机;根交换机STP优先级为0, 备份根交换机STP优先级为4096。关闭交换机之间三层互联接口的STP。
SW1: spanning-tree mst configuration name SKILLS --名称为SKILLS revision-level 1 --修订版本为1 instance 0 vlan 1-59;61-69;71-79;81-89;91-4094 --这个是自带的实例0,默认包含了所有vlan instance 10 vlan 60;70 --题目要求实例10关联vlan60,70 instance 20 vlan 80;90 --实例20关联vlan80,90 exit spanning-tree --开启交换机的生成树功能(开完交换机会弹非常多的信息,这是正常现象) spanning-tree mst 0 priority 0 --SW1为实例0的根交换机,题目说了根交换机的优先级是0 spanning-tree mst 10 priority 0 --SW1为实例10的根交换机 spanning-tree mst 20 priority 4096 --SW1为实例20的备份根交换机优先级为4096 SW2: spanning-tree mst configuration name SKILLS revision-level 1 instance 0 vlan 1-59;61-69;71-79;81-89;91-4094 instance 10 vlan 60;70 instance 20 vlan 80;90 exit spanning-tree spanning-tree mst 0 priority 4096 spanning-tree mst 10 priority 4096 spanning-tree mst 20 priority 0 SW3: spanning-tree mst configuration name SKILLS revision-level 1 instance 0 vlan 1-59;61-69;71-79;81-89;91-4094 instance 10 vlan 60;70 instance 20 vlan 80;90 exit spanning-tree 注:SW3虽然不需要调整实例的优先级,但是还是需要在configuration里面配置和SW1、SW2中一模一样的,这样他们才会在同一个STP域当中,并且需要开启生成树功能 关闭交换机之间三层互联接口的STP(这个是题目要求的,但是就算题目不要求我们也需要做,因为做完STP之后会发现交换机之间的3层互联口被STP给down了) SW1: Interface Ethernet1/0/22 no spanning-tree ! Interface Ethernet1/0/26 no spanning-tree ! Interface Ethernet1/0/27 --承载vpn的也算3层互联 no spanning-tree SW2: Interface Ethernet1/0/22 no spanning-tree ! Interface Ethernet1/0/26 no spanning-tree ! Interface Ethernet1/0/27 no spanning-tree SW3: Interface Ethernet1/0/21 no spanning-tree ! Interface Ethernet1/0/22 no spanning-tree
3.SW1和SW2之间利用三条裸光缆实现互通,其中一条裸光缆承载三层IP 业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实 现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名 称为CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩 容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为active;采用 源、目的IP进行实现流量负载分担。
SW1: ip vrf CW --创建VPN实例CW ! interface Vlan40 --财务1段 ip vrf forwarding CW --将此接口绑定到vpn实例CW中(绑定完IP地址会被清空,需要重新配置) ipv6 address 2001:10:10:14::1/64 ip address 10.10.14.1 255.255.255.0 ! interface Vlan1027 --承载VPN业务的VLAN也需要加入到VPN实例当中 ip vrf forwarding CW ip address 10.10.255.1 255.255.255.252 ! SW2: ip vrf CW ! interface Vlan40 ip vrf forwarding CW ipv6 address 2001:10:10:24::1/64 ip address 10.10.24.1 255.255.255.0 ! interface Vlan1027 ip vrf forwarding CW ip address 10.10.255.2 255.255.255.252 ! 承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩 容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为active; 采用源、目的IP进行实现流量负载分担 SW1、SW2: port-group 1 --创建编号为1的端口聚合组 load-balance dst-src-ip --设置流量负载分担模式为源、目的IP Interface Ethernet1/0/28 --进入承载二层业务的端口 port-group 1 mode active --绑定端口聚合组1并将模式设置成active
4.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离, Internet 路由表 VPN 实例名称为Internet。将SW3模拟办事处交换机,实现与 集团其它业务路由表隔离,办事处路由表VPN实例名称为Guangdong。
SW3: 创建相应的vpn实例 ip vrf Guangdong ! ip vrf Internet ! 然后根据“网络设备IP地址分配表”的“SW3模拟办事处”和“SW3模拟Internet”来配置IP地址 interface Loopback2 ip vrf forwarding Guangdong ipv6 address 2001:10:10:3::2/128 ip address 10.10.3.2 255.255.255.255 ! interface Vlan110 ip vrf forwarding Guangdong ipv6 address 2001:10:16:110::1/64 ip address 10.16.110.1 255.255.255.0 ! interface Vlan120 ip vrf forwarding Guangdong ipv6 address 2001:10:16:120::1/64 ip address 10.16.120.1 255.255.255.0 ! interface Vlan1015 ip vrf forwarding Guangdong ip address 10.10.255.46 255.255.255.252 ! interface Loopback3 ip vrf forwarding Internet ipv6 address 2001:200:200:3::3/128 ip address 200.200.3.3 255.255.255.255 ! interface Vlan1017 ip vrf forwarding Internet ip address 200.200.200.1 255.255.255.252 ! interface Vlan1018 ip vrf forwarding Internet ip address 200.200.200.5 255.255.255.252 ! 配置完记得将互联vlan绑定到对应的端口上
5.SW1 法务物理接口限制收发数据占用的带宽均为1000Mbps,限制所有报文 最大收包速率为1000packets/s,如果超过了配置交换机端口的报文最大收包速 率则关闭此端口,1分钟后恢复此端口;启用端口安全功能,最大安全MAC地址 数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期 中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁 止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发;禁止配置 访问控制列表,实现端口间二层流量无法互通,组名称FW。
SW1 法务物理接口限制收发数据占用的带宽均为1000Mbps,限制所有报文 最大收包速率为1000packets/s,如果超过了配置交换机端口的报文最大收包速 率则关闭此端口,1分钟后恢复此端口 SW1: Interface Ethernet1/0/3 --法务对应的端口 bandwidth control 1000000 both --设置带宽为1000mbps,both就是收和发 rate-violation all 1000 --限制所有报文的收包率为1000 rate-violation control shutdown recovery 60 --超过设定的1000就关闭当前端口,恢复时间1分钟-60s 启用端口安全功能,最大安全MAC地址 数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期 中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟; SW1: mac-address-learning cpu-control --全局模式开启 Interface Ethernet1/0/3 --进入法务对应端口 switchport port-security --开启端口安全 switchport port-security maximum 20 --最大安全mac地址为20 switchport port-security violation restrict recovery 600 --配置MAC地址违规后的操作模式为restrict 恢复时间为10分钟(600s) switchport port-security aging type inactivity --配置老化类型为inactivity 注: #shutdown:端口成为err-disable状态,相当于关闭端口,默认处理方式 #protect:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机不记录违规分组 #restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态。交换机记录违规分组 /* absolute 表示接口老化到期后,删除所有MAC并重新学习 */ /* inactivity 表示与接口连接一段时间(老化时间)没有流量,将其从MAC表删除 */ 禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发 SW1: am enable --全局启用AM功能 Interface Ethernet1/0/3 am port --端口启用AM功能 am ip-pool 10.10.13.20 30 --设置允许的IP地址,不在这个范围的不转发。10.10.13.20后面跟的30的意思是20往后延30个IP,也就是主机位20-50 禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。 SW1: isolate-port apply l2 --设置端口隔离为2层隔离模式 isolate-port group FW switchport interface Ethernet1/0/3 --设置端口隔离组FW并绑定法务对应的端口 注:这一整题都是围绕着法务对应的端口进行的
6.开启 SW1日志记录功能和保护功能,采样周期5s一次,恢复周期为100s, 从而保障CPU稳定运行。
SW1: cpu-protect enable --开启cpu保护功能 cpu-protect log enable --开启cpu日志记录功能 cpu-protect interval 5 --采样周期5s cpu-protect recovery-time 100 --恢复周期100s cpu-protect per-ip limit-speed 200 --这个是设备默认敲上去的,不需要敲 cpu-protect per-mac limit-speed 200 --这个也是设备默认敲上去的 !
7.SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级 别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为USER2022, 采用aes算法进行加密,密钥为Pass-1234,哈希算法为sha,密钥为Pass-1234; 当设备有异常时,需要用本地的环回地址loopback1发送v3 Trap消息至集团网 管服务器10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对 应的用户接口发生UP DOWN事件时,禁止发送trap消息至上述集团网管服务器。
SW1: snmp-server enable --开启snmp功能 snmp-server securityip 10.10.11.99 --将网管服务器的IP地址设置为安全地址 snmp-server securityip 2001:10:10:11::99 snmp-server trap-source 10.10.1.1 --设置发送trap消息的源地址为loopback1地址 snmp-server trap-source 2001:10:10:1::1 snmp-server engineid 1 --设置引擎ID snmp-server user USER2022 GROUP2022 authPriv aes Pass-1234 auth sha Pass-1234 --创建认证用户,这里设置完,查看运行配置密码是乱的,这是正常的,密码被设备给加密了 snmp-server group GROUP2022 authpriv read SKILLS_R write SKILLS_W --创建组,并设置读写视图 snmp-server host 2001:10:10:11::99 v3 authpriv USER2022 --设置发送trap的目的地址,也就是网管服务器的地址,版本v3,最高安全级别,认证用户为USER2022 snmp-server host 10.10.11.99 v3 authpriv USER2022 snmp-server enable traps --开启traps功能 ! Interface Ethernet1/0/3 --进入法务对应的端口 no switchport updown notification enable --禁止该端口发生updown事件发送trap消息
8.将SW1与FW1互连流量镜像到SW1 E1/0/1,会话列表为1。
SW1: monitor session 1 source interface Ethernet1/0/21 tx --创建一个端口镜像,会话列表为1,源接口为SW1和FW1的互联接口 monitor session 1 source interface Ethernet1/0/21 rx monitor session 1 destination interface Ethernet1/0/1 --设置目的端口 !
9.SW1 和 SW2 E1/0/21-28 启用单向链路故障检测,当发生该故障时,端口 标记为errdisable 状态,自动关闭端口,经过1分钟后,端口自动重启;发送 Hello 报文时间间隔为15s;
SW1,SW2: uldp enable --开启单向链路故障检测功能,开启后默认为光口的端口都会自动开启该功能,e1/0/21-28默认都是光口 uldp recovery-time 60 --设置恢复时间1分钟(60s) uldp hello-interval 15 --设置发送hello报文间隔时间为15s uldp aggressive-mode --开启积极模式,当接口发生故障自动关闭端口(全局开启了该功能,开启uldp的端口也会开启)
10.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s, 老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三条裸光缆端口使能 Trap 功能。
SW1,SW2: lldp enable --全局开启链路层发现协议 lldp msgTxHold 5 --老化时间乘法器 lldp tx-interval 20 --更新报文发送间隔时间 lldp notification interval 10 --trap报文发送间隔时间 进入三条裸光缆的端口 Interface Ethernet1/0/26 lldp trap enable --开启端口的lldp trap 功能 ! Interface Ethernet1/0/27 lldp trap enable ! Interface Ethernet1/0/28 lldp trap enable
交换部分至此结束,后面有时间会更新路由部分
网络建设与运维大赛交流群 (有意向培训加群主)
wechat
