Bootstrap

2022—2023年度全国职业院校技能大赛网络系统管理赛项(网络构建部分二)

二、有线网络配置

1、端口保护

为隔离部分终端用户间的二层互访,在交换机 S1/S2 的 Gi0/5-Gi0/16 端口启用端口保护。

S1(config)# in r gi0/5-16  //进入5-16端口

S1(config-if-range)# switchport protected  
//启动端口保护

2、要求在吉林分部接入设备 S1/S2 进行防环处理。

具体要求如下:终端接口开启BPDU 防护不能接收 BPDU 报文;终端接口下开启 RLDP 防止环路,检测到环路后处理方式为 Shutdown-Port;连接终端的所有端口配置为边缘端口;如果端口被BPDU Guard 检测进入 Err-Disabled 状态,再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路。

全局模式下开启RLDP功能

S1(config)# rldp enable

具体配置 

S1(config)# interface GigabitEthernet 0/2  
//连接终端的端口
S1(config-if)# spanning-tree bpduguard enable  
//开启BPDU防护
S1(config-if)# rldp port loop-detect shutdown-port  
//开启RLDP防止环路,检测到状态shutdown-port

S1(config-if)# errdisable recovery interval 300
//300秒自动恢复

3、端口安全

为了防止伪 IP 源地址攻击, 导致出口路由器会话占满,要求 S1 交换机部署端口安全,接口 Gi0/1 只允许 PC1 通过。

S1(config)# interface GigabitEthernet 0/1
S1(config-if-GigabitEthernet 0/1)# switchport port-security  
//开启端口安全
S1(config-if-GigabitEthernet 0/1)# switchport port-security maximum 1
//限制接入最大数
S1(config-if-GigabitEthernet 0/1)# switchport port-security mac 00ff.ffff.ffff
//限制指定设备接入

4、在交换机 S3、S4 上配置 DHCP 中继

对 VLAN10 内的用户进行中继,使得本部 PC1用户使用 DHCP Relay 方式获取 IP 地址。具体要求如下:DHCP 服务器搭建于 VSU上,地址池命名为 Pool_VLAN10,DHCP 对外服务使用loopback 0 地址。

VSU 

VSU(config)# service dhcp   //开启dhcp服务
VSU(config)# ip dhcp pool Pool_VLAN10  //dhcp地址池
VSU(dhcp-config)# network 192.1.10.0 255.255.255.0
//dhcp分配的网段
VSU(dhcp-config)# dns-server 114.114.114.114   //dns服务器地址
VSU(dhcp-config)# default-router 192.1.10.254  //默认网关

S3/S4

S3
S3(config)# service dhcp
S3(config)# interface Vlan 10
S3(config-VLAN 10)# ip helper-address 11.1.0.67 
#
S4
S4(config)# service dhcp
S3(config)# interface Vlan 10
S4(config-VLAN 10)# ip helper-address 11.1.0.67
//dhcp服务器地址,vsu的loopback地址

5、部署 DHCP Snooping 功能

为了防御动态环境局域网伪 DHCP 服务欺骗,在 S1、S2 交换机部署 DHCP Snooping 功能。

S1(config)# ip dhcp snooping
S1(config)# interface range GigabitEthernet 0/23-24
S1(config-if-range)# ip dhcp snooping trust
#
S2(config)# ip dhcp snooping
S2(config)# interface range GigabitEthernet 0/23-24
S2(config-if-range)# ip dhcp snooping trust

6、配置 MSTP 防止二层环路

在吉林分部交换机 S1、S2、S3、S4 上配置 MSTP 防止二层环路;要求所有数据流经过 S4 转发,S4 失效时经过 S3 转发。所配置的参数要求如下:region-name为 test;revision 版本为 1;S3 作为实例中的从根, S4 作为实例中的主根;主根优先级为 4096,从根优先级为 8192

S1/S2
S1(config)# spanning-tree mst configuration
S1(config-mst)# revision 1
S1(config-mst)# name test
S1(config-mst)#exit  
S1(config)#spanning-tree
#
S3
S3(config)# spanning-tree mst configuration  //配置mst
S3(config-mst)# revision 1  //region-name为test
S3(config-mst)# name test   //revision版本为1
S3(config-mst)#exit
S3(config)#spanning-tree mst 0 priority 8192   
//实例0优先级为8192
S3(config)#spanning-tree
//开启生成树,默认就是mst
#
S4
S4(config)# spanning-tree mst configuration  //配置mst
S4(config-mst)# revision 1  //region-name为test
S4(config-mst)# name test   //revision版本为1
S4(config-mst)#exit
S4(config)#spanning-tree mst 0 priority 4096   
//实例0优先级为4096
S4(config)#spanning-tree
//开启生成树,默认就是mst

7、配置 VRRP

在 S3 和 S4 上配置 VRRP,实现主机的网关冗余,所配置的参数要求如表 1;S3、S4 各 VRRP 组中高优先级设置为 150,低优先级设置为 120。

VLANVRRP备份组号(VRID)VRRP虚拟IP
VLAN1010192.1.10.254
VLAN2020192.1.20.254
VLAN3030192.1.30.254
VLAN100(交换机间)100192.1.100.254

S3 

S3(config)# interface VLAN 10
S3(config-if-VLAN 10)# vrrp 10 ip 192.168.10.254
S3(config-if-VLAN 10)# vrrp 10 priority 120
#
S3(config)#interface VLAN 20
S3(config-if-VLAN 20)# vrrp 20 ip 192.1.20.254
S3(config-if-VLAN 20)# vrrp 20 priority 120
#
S3(config)#interface VLAN 30
S3(config-if-VLAN 30)# vrrp 30 ip 192.1.30.254
S3(config-if-VLAN 30)# vrrp 30 priority 120
#
S3(config)#interface VLAN 100
S3(config-if-VLAN 100)# vrrp 100 ip 192.1.100.254
S3(config-if-VLAN 100)# vrrp 100 priority 120
//VRRP组优先级

S4

S4(config)# interface VLAN 10
S4(config-if-VLAN 10)# vrrp 10 ip 192.1.10.254
S4(config-if-VLAN 10)# vrrp 10 priority 150
#
S4(config)#interface VLAN 20
S4(config-if-VLAN 20)# vrrp 20 ip 192.1.20.254
S4(config-if-VLAN 20)# vrrp 20 priority 150
#
S4(config)#interface VLAN 30
S4(config-if-VLAN 30)# vrrp 30 ip 192.1.30.254
S4(config-if-VLAN 30)# vrrp 30 priority 150
#
S4(config)#interface VLAN 100
S4(config-if-VLAN 100)# vrrp 100 ip 192.1.100.254
S4(config-if-VLAN 100)# vrrp 100 priority 150

8、S6 和S7间部署虚拟化

S7为主,S6为备,主设备:Domain id:1,switch id:2,priority 150, description: S6000-2;备设备:Domain id:1,switch id:1,priority 120, description: S6000-1。

S6
S6(config)# switch virtual domain 1
S6(config-vs-domain)# switch 1
S6(config-vs-domain)# switch 1 description S6000-1
S6(config-vs-domain)# switch 1 priority 120
#
S6(config)# vsl-port
S6(config-vsl-port)# port-member interface tengigabitethernet 0/49
S6(config-vsl-port)# port-member interface tengigabitethernet 0/50
#
S6# write
S6# switch convert mode virtual
Convert mode will backup and delete config file, and reload the switch. Are you sure to continue[yes/no]:yes    
Do you want to recover config file from backup file in virtual mode (press 'ctrl + c' to cancel) [yes/no]:no  //no表示清空重配
#
#
S7
S7(config)# switch virtual domain 1
//domain ID为1,2台交换机需一致
S7(config-vs-domain)# switch 2
//交换机ID,第1台是1,第2台是2,不能错
S7(config-vs-domain)# switch 2 description S6000-2
// description描述
S7(config-vs-domain)# switch 2 priority 150
//设置优先级为150,优先级高的选举为管理主机
#
S7(config)# vsl-port  //设置VSL链路
S7(config-vsl-port)# port-member interface tengigabitethernet 0/49
S7(config-vsl-port)# port-member interface tengigabitethernet 0/50
//这里用两条万兆口
#
S7# write  //保存配置
S7# switch convert mode virtua
//转换为VSU模式,默认是单机模式standalone
Convert mode will backup and delete config file, and reload the switch. Are you sure to continue[yes/no]:yes    
Do you want to recover config file from backup file in virtual mode (press 'ctrl + c' to cancel) [yes/no]:no  //no表示清空重配

规划S6和S7间的Gi0/48端 口作为双主机检测链路,配置基于BFD的双主机检。

VSU(config)# interface range GigabitEthernet 1/0/48,2/0/48
VSU(config-if-range)# no switchport
VSU(config-if-range)# exit
VSU(config)# switch virtual domain 1
VSU(config-vs-domain)# dual-active detection bfd 
VSU(config-vs-domain)# dual-active bfd interface gigabitEthernet 1/0/48
VSU(config-vs-domain)# dual-active bfd interface gigabitEthernet 2/0/48

9、OSPF组网

广州总部与吉林分部内网均使用OSPF协议组网,访问互联网均使用默认路由。

总部S5、AC1、AC2、EG1间运行OSPF,进程号为10;要求业务网段中不出现协议报文;要求所有路由协议都发布具体网段;为了管理方便,需要发布Loopback地址;优化 OSPF 相关配置,以尽量加快OSPF收敛;重发布路由进OSPF中使用类型1。

S5

S5(config)# router ospf 10
S5(config-router)# graceful-restart
S5(config-router)# passive-interface VLAN 10
S5(config-router)# passive-interface VLAN 20
S5(config-router)# passive-interface VLAN 30
//业务网段中不出现协议报文
S5(config-router)# network 10.1.0.16 0.0.0.3 area 0
S5(config-router)# network 11.1.0.5 0.0.0.0 area 0
S5(config-router)# network 194.1.10.0 0.0.0.255 area 0
S5(config-router)# network 194.1.20.0 0.0.0.255 area 0
S5(config-router)# network 194.1.30.0 0.0.0.255 area 0
S5(config-router)# network 194.1.100.0 0.0.0.255 area 0
S5(config-router)# redistribute static metric-type 1
//重发布路由进OSPF使用类型1
S5(config-router)# exit
S5(config)# interface GigabitEthernet 0/24
S5(config-if-GigabitEthernet 0/24)# ip ospf network point-to-point
//优化OSPF 相关配置

 AC1/AC2

AC1
AC1(config)# router ospf 10
AC1(config-router)# router-id 11.1.0.204
AC1(config-router)# graceful-restart
AC1(config-router)# network 11.1.0.204 0.0.0.0 area 0
AC1(config-router)# network 194.1.100.0 0.0.0.255 area 0
#
AC2
AC2(config)# router ospf 10
AC2(config-router)# router-id 11.1.0.205
AC2(config-router)# graceful-restart
AC2(config-router)# network 11.1.0.205 0.0.0.0 area 0
AC2(config-router)# network 194.1.100.0 0.0.0.255 area 0

EG1

EG1(config)# router ospf 10
EG1(config-router)# router-id 11.1.0.11
EG1(config-router)# graceful-restart
EG1(config-router)# network 11.1.0.11 0.0.0.0 area 0
EG1(config-router)# network 10.1.0.16 0.0.0.3 area 0
EG1(config-router)# default-information originate always
//出口设备发布默认路由
EG1(config-router)# exit
EG1(config)# interface GigabitEthernet 0/0
EG1(config-if-GigabitEthernet 0/0)# ip ospf network point-to-point

吉林分部EG2、 S3、S4、S6/S7 间运行OSPF,进程号为10; 要求业务网段中不出现协议报文;要求所有路由协议都发布具体网段;为了管理方便,需要发布Loopback地址;优化 OSPF 相关配置,以尽量加快OSPF收敛;重发布路由进OSPF中使用类型1。

EG2

EG2(config)# router ospf 10
EG2(config-router)# router-id 11.1.0.12
EG2(config-router)# graceful-restart
EG2(config-router)# network 11.1.0.12 0.0.0.0 area 0
EG2(config-router)# network 10.1.0.12 0.0.0.3 area 0
EG2(config-router)# network 10.1.0.8 0.0.0.3 area 0
EG2(config-router)# default-information originate always metric-type 1
EG2(config-router)# exit
EG2(config)# interface range GigabitEthernet 0/0-1
EG2(config-if-range)# ip ospf network point-to-point

S3

S3(config)# router ospf 10
S3(config-router)# router-id 11.1.0.33
S3(config-router)# graceful-restart
S3(config-router)# passive-interface VLAN 10
S3(config-router)# passive-interface VLAN 20
S3(config-router)# passive-interface VLAN 30
S3(config-router)# passive-interface VLAN 100
S3(config-router)# network 11.1.0.33 0.0.0.0 area 0
S3(config-router)# network 10.1.0.0 0.0.0.3 area 0
S3(config-router)# network 192.1.10.0 0.0.0.255 area 0
S3(config-router)# network 192.1.20.0 0.0.0.255 area 0
S3(config-router)# network 192.1.30.0 0.0.0.255 area 0
S3(config-router)# network 192.1.100.0 0.0.0.255 area 0
S3(config-router)# exit
S3(config)# interface GigabitEthernet 0/24
S3(config-if-GigabitEthernet 0/24)# ip ospf network point-to-point

S4

S4(config)# router ospf 10
S4(config-router)# router-id 11.1.0.34
S4(config-router)# graceful-restart
S4(config-router)# passive-interface VLAN 10
S4(config-router)# passive-interface VLAN 20
S4(config-router)# passive-interface VLAN 30
S4(config-router)# passive-interface VLAN 100
S4(config-router)# network 11.1.0.34 0.0.0.0 area 0
S4(config-router)# network 10.1.0.4 0.0.0.3 area 0
S4(config-router)# network 192.1.10.0 0.0.0.255 area 0
S4(config-router)# network 192.1.20.0 0.0.0.255 area 0
S4(config-router)# network 192.1.30.0 0.0.0.255 area 0
S4(config-router)# network 192.1.100.0 0.0.0.255 area 0
S4(config-router)# exit
S4(config)# interface GigabitEthernet 0/24
S4(config-if-GigabitEthernet 0/24)# ip ospf network point-to-point

VSU(S6/S7)

VSU(config)# router ospf 10
VSU(config-router)# router-id 11.1.0.67
VSU(config-router)# graceful-restart
VSU(config-router)# network 10.1.0.0 0.0.0.3 area 0
VSU(config-router)# network 10.1.0.4 0.0.0.3 area 0
VSU(config-router)# network 10.1.0.8 0.0.0.3 area 0
VSU(config-router)# network 10.1.0.12 0.0.0.3 area 0
VSU(config-router)# network 11.1.0.67 0.0.0.0 area 0
VSU(config-router)# redistribute static metric-type 1
VSU(config-router)# exit
VSU(config)# interface range GigabitEthernet 1/0/1-2,2/0/1-2
VSU(config-if-range)# ip ospf network point-to-point

10、IPV6终端无状态自动从网关处获取地址

吉林分部部署IPV6网络实现内网IPV6终端通过无状态自动从网关处获取地址。

S3(config)# interface range VLAN 10,20,30
S3(config-if-range)# ipv6 enable
S3(config-if-range)# no ipv6 nd suppress-ra
#
S4(config)# interface range VLAN 10,20,30
S4(config-if-range)# ipv6 enable
S4(config-if-range)# no ipv6 nd suppress-ra

11、配置 VRRP for IPv6

在 S3 和S4上配置VRRP for IPv6,实现主机的IPv6网关冗余;VRRP与MSTP 的主备状态与IPV4网络一致;IPV6地址规划如下表2:

设备接口IPV6 地址VRRP 组号虚拟IP
S3VLAN102001:193:10::252/64102001:193:10::254/64
VLAN202001:193:20::252/64202001:193:20::254/64
VLAN302001:193:30::252/64302001:193:30::254/64
S4VLAN102001:193:10::253/64102001:193:10::254/64
VLAN202001:193:20::253/64202001:193:20::254/64
VLAN302001:193:30::253/64302001:193:30::254/64

S3

S3(config)# interface VLAN 10
S3(config-if-VLAN)# vrrp 10 ipv6 FE80::64
S3(config-if-VLAN)# vrrp 10 ipv6 2001:193:10::254
S3(config-if-VLAN)# vrrp ipv6 10 priority 120
S3(config-if-VLAN)# vrrp ipv6 10 accept_mode
S3(config)# exit
S3(config)# interface VLAN 20
S3(config-if-VLAN)# vrrp 20 ipv6 FE80::64
S3(config-if-VLAN)# vrrp 20 ipv6 2001:193:20::254
S3(config-if-VLAN)# vrrp ipv6 20 priority 120
S3(config-if-VLAN)# vrrp ipv6 20 accept_mode
S3(config)# exit
S3(config)# interface VLAN 30
S3(config-if-VLAN)# vrrp 30 ipv6 FE80::64
//配置虚拟链路本地地址
S3(config-if-VLAN)# vrrp 30 ipv6 2001:193:30::254
//配置虚拟ipv6地址
S3(config-if-VLAN)# vrrp ipv6 30 priority 120
//配置ipv6优先级
S3(config-if-VLAN)# vrrp ipv6 30 accept_mode
//配置模式

S4

S4(config)# interface VLAN 10
S4(config-if-VLAN)# vrrp 10 ipv6 FE80::64
S4(config-if-VLAN)# vrrp 10 ipv6 2001:193:10::254
S4(config-if-VLAN)# vrrp ipv6 10 priority 150
S4(config-if-VLAN)# vrrp ipv6 10 accept_mode
S4(config)# exit
S4(config)# interface VLAN 20
S4(config-if-VLAN)# vrrp 20 ipv6 FE80::64
S4(config-if-VLAN)# vrrp 20 ipv6 2001:193:20::254
S4(config-if-VLAN)# vrrp ipv6 20 priority 150
S4(config-if-VLAN)# vrrp ipv6 20 accept_mode
S4(config)# exit
S4(config)# interface VLAN 30
S4(config-if-VLAN)# vrrp 30 ipv6 FE80::64
//配置虚拟链路本地地址
S4(config-if-VLAN)# vrrp 30 ipv6 2001:193:30::254
//配置虚拟ipv6地址
S4(config-if-VLAN)# vrrp ipv6 30 priority 150
//配置ipv6优先级
S4(config-if-VLAN)# vrrp ipv6 30 accept_mode
//配置模式

12、运营商组网部署

由于公司在吉林设有分部。为总部及分部之间互联互通,申请运营商专线业务。 针对运营商组网部署要求如下:R1、R2、R3部署IGP OSPF动态路由进程号为20, 实现直连网段互联互通。

R1
R1(config)# router ospf 20
R1(config-router)# router-id 11.1.0.1
R1(config-router)# network 11.1.0.1 0.0.0.0 area 0
R1(config-router)# network 12.1.0.0 0.0.0.3 area 0
R1(config-router)# exit
R1(config)# interface Vlan 100
R1(config-VLAN 100)# ip ospf network point-to-point
#
R2
R2(config)# router ospf 20
R2(config-router)# router-id 11.1.0.2
R2(config-router)# network 11.1.0.2 0.0.0.0 area 0
R2(config-router)# network 12.1.0.0 0.0.0.3 area 0
R2(config-router)# network 23.1.0.0 0.0.0.3 area 0
R2(config-router)# exit
R2(config)# interface range Vlan 100-101
R2(config-if-range)# ip ospf network point-to-point
#
R3
R3(config)# router ospf 20
R3(config-router)# router-id 11.1.0.3
R3(config-router)# network 11.1.0.3 0.0.0.0 area 0
R3(config-router)# network 23.1.0.0 0.0.0.3 area 0
R3(config-router)# exit
R3(config)# interface Vlan 101
R3(config-VLAN 100)# ip ospf network point-to-point

13、部署BGP联盟

R1、R2、R3 间部署BGP联盟,联盟AS号为100, 使用Loopback接口建立Peer;R1与R2的成员AS号为64512,R3的成员AS号为64523。

R1
R1(config)# router bgp 64512
R1(config-router)# bgp confederation identifier 100
R1(config-router)# bgp log-neighbor-changes
R1(config-router)# neighbor 11.1.0.2 remote-as 64512
R1(config-router)# neighbor 11.1.0.2 update-source Loopback 0
#
R2
R2(config)# router bgp 64512
R2(config-router)# bgp confederation identifier 100
R2(config-router)# bgp confederation peers 64523
R2(config-router)# bgp log-neighbor-changes
R2(config-router)# neighbor 11.1.0.1 remote-as 64512
R2(config-router)# neighbor 11.1.0.1 update-source Loopback 0
R2(config-router)# neighbor 11.1.0.3 remote-as 64523
R2(config-router)# neighbor 11.1.0.3 ebgp-multihop 255
#
R3
R3(config)# router bgp 64523
R3(config-router)# bgp confederation identifier 100
R3(config-router)# bgp confederation peers 64512
R3(config-router)# bgp log-neighbor-changes
R3(config-router)# neighbor 11.1.0.2 remote-as 64512
R3(config-router)# neighbor 11.1.0.2 update-source Loopback 0

14、路由通告

运营商R1、R2、R3各自通告EG1、EG2的直连网段到BGP中,以汇总B段静态路由的方式进行发布,当运营商路由器与EG直连链路断开时,可通过其他路由器 与EG互通。

通告EG1、EG2的直连网段到BGP中 

R1
R1(config)# router bgp 64512
R1(config-router)# address-family ipv4
R1(config-router-af)# network 20.1.0.0 mask 255.255.0.0
R1(config-router-af)# neighbor 11.1.0.2 activate
R1(config-router-af)# neighbor 11.1.0.2 next-hop-self
R1(config-router-af)# exit-address-family
#
R2
R2(config)# router bgp 64512
R2(config-router)# address-family ipv4
R2(config-router-af)# network 30.1.0.0 mask 255.255.0.0
R2(config-router-af)# neighbor 11.1.0.1 activate
R2(config-router-af)# neighbor 11.1.0.1 next-hop-self
R2(config-router-af)# neighbor 11.1.0.3 activate
R2(config-router-af)# neighbor 11.1.0.3 next-hop-self
R2(config-router-af)# exit-address-family
#
R3
R3(config)# router bgp 64523
R3(config-router)# address-family ipv4
R3(config-router-af)# network 40.1.0.0 mask 255.255.0.0
R3(config-router-af)# neighbor 11.1.0.2 activate
R3(config-router-af)# neighbor 11.1.0.2 next-hop-self
R3(config-router-af)# exit-address-family

 汇总B段静态路由的方式进行发布

R1
R1(config)# ip route 20.1.0.0 255.255.0.0 Null 0
#
R2
R2(config)# ip route 30.1.0.0 255.255.0.0 Null 0
#
R3
R3(config)# ip route 40.1.0.0 255.255.0.0 Null 0

15、数据分流及负载均衡

考虑到数据分流及负载均衡的目的,具体要求如下:可通过修改OSPF 路由COST 达到分流的目的,且其值必须为5或10;吉林分部有线IPV4用户与互联网互通主 路径规划为:S4-S7-EG2;主链路故障时可无缝切换到备用链路上。

S3
S3(config)# interface GigabitEthernet 0/24
S3(config-GigabitEthernet 0/24)# ip ospf cost 10
#
S4
S4(config)# interface GigabitEthernet 0/24
S4(config-GigabitEthernet 0/24)# ip ospf cost 5
#
VSU
VSU(config)# interface range GigabitEthernet 1/0/1-2
VSU(config-if-range)# ip ospf cost 10
//S6
VSU(config-if-range)# exit
VSU(config)# interface range GigabitEthernet 2/0/1-2
//S7
VSU(config-if-range)# ip ospf cost 5
#
EG2
EG2(config)# interface GigabitEthernet 0/0
EG2(config-GigabitEthernet 0/0)# ip ospf cost 10
EG2(config-GigabitEthernet 0/0)# exit
EG2(config)# interface GigabitEthernet 0/1
EG2(config-GigabitEthernet 0/1)# ip ospf cost 5
//cost值越小越优先
;