掌握中大型園區網絡的部署

實驗要求：

一、安全管理

1、依據圖中拓撲，為全網設備定義主機名、關閉域名解析、並在 Console 和VTY 線路下關閉線路超時並開啟輸出同步。

Router#conf t

Router (config)#hostname R1

R1(config)#no ip domain lookup

R1(config)#line console 0

R1(config-line)#logging synchronous 關閉輸出同步

R1(config-line)#exec-timeout 0 0 關閉發呆超時

2、為實現安全遠程登錄，要求在設備 CS1 上創建本地用戶名 PingingLab，密碼CCIE，並只允許 3 個管理員同時遠程登錄，其中管理員地址分別為192.168.10.1~192.168.10.3；要求只運行 SSH 協議進行登錄，並且關閉其他虛擬終端線路。

CS1(config)#username PingingLab secret CCIE

CS1(config)#line vty 0 2

CS1(config-line)#login local

CS1(config-line)#exit

CS1(config)#access-list 1 permit host 192.168.10.1

CS1(config)#access-list 1 permit host 192.168.10.2

CS1(config)#access-list 1 permit host 192.168.10.3

CS1(config)# line vty 0 2

CS1(config-line)# access-list 1 in

CS1(config-line)#exit

CS1(config)# line vty 3 4

CS1(config-line)#transport input none

CS1(config-line)#transport output none

CS1(config-line)#exit

CS1(config)# line vty 0 2

CS1(config-line)#transport input ssh

CS1(config-line)#transport output none

CS1(config-line)#exit

3、在設備 CS1 設置 banner，要求當遠程登錄時可以看到"THIS IS PingingLab*CCIE Lab*CS1"。

CS1#conf t

CS1(config)# banner login # THIS IS PingingLab*CCIE Lab*CS1#

CS1(config)#

4、在 CS2 上關閉 HTTP 服務，開啟 HTTPS 服務並調用本地認證。

CS2#conf t

CS2(config)#no ip http server

CS2(config)# ip http secure-server

5、在 R1 的 E0/0 上關閉 CDP 服務。

R1#conf t

R1(config)#no cdp run

6、匯聚和接入交換機的管理 vlan 為 vlan1，所在網段為 192.168.1.0/24，其中DS1 的管理 IP 為 192.168.1.1/24，DS2 為 192.168.1.2/24，AS1 為192.168.1.3/24，AS2 為 192.168.1.4/24 。要求二層交換機可以遠程管理。

DS1#conf t

DS1(config)#int vlan 1

DS1(config-if)#no shutdown

DS1(config-if)#ip add 192.168.1.1 255.255.255.0

DS1(config-if)#exit

DS2#conf t

DS2(config)#int vlan 1

DS2(config-if)#no shutdown

DS2(config-if)#ip add 192.168.1.2 255.255.255.0

DS2(config-if)#exit

AS1#conf t

AS1(config)#int vlan 1

AS1(config-if)#no shutdown

AS1(config-if)#ip add 192.168.1.3 255.255.255.0

AS1(config-if)#exit

AS1(config)#no ip routing

AS1(config)#ip default-gateway 192.168.1.1

AS2#conf t

AS2(config)#int vlan 1

AS2(config-if)#no shutdown

AS2(config-if)#ip add 192.168.1.4 255.255.255.0

AS2(config-if)#exit

AS2(config)#no ip routing

AS2(config)#ip default-gateway 192.168.1.1

二、交換技術

1、Trunk 技術

①DS1、DS2、AS1 交換機之間強制啟用 Trunk 並關閉 DTP 協商，並采用802.1Q 進行封裝。

②AS2 和其他交換機之間采用 DTP 協議協商 Trunk，AS2 端為 Auto 模式，其他交換機為 Desirable 模式。

③所有交換機要求 Trunk 上只允許 VLAN1、10、20、30、40 通過。

DS1#conf t

DS1(config)#interface range e0/2 , e0/3 , e1/0 , e1/1

DS1(config-if-range)#switchport mode trunk

DS1(config-if-range)#switchport trunk encapsulation dot1q

DS1(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

DS1(config-if-range)#end

DS1#show interfaces trunk查看trunk信息

DS1#show run int e0/2 竊配置

DS2#conf t

DS2(config)#interface range e0/2 , e0/3 , e1/0 , e1/1

DS2(config-if-range)#switchport mode trunk

DS2(config-if-range)#switchport trunk encapsulation dot1q

DS2(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

DS2(config-if-range)#end

DS2#show interfaces trunk查看trunk信息

AS1#conf t

AS1(config)#interface range e0/0 , e0/1

AS1(config-if-range)#switchport mode trunk

AS1(config-if-range)#switchport trunk encapsulation dot1q

AS1(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

AS1(config-if-range)#end

AS1#show interfaces trunk查看trunk信息

AS2#conf t

AS2(config)#interface range e0/0 , e0/1

AS2(config-if-range)#switchport mode trunk

AS2(config-if-range)#switchport trunk encapsulation dot1q

AS2(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

AS2(config-if-range)#end

AS2#show interfaces trunk查看trunk信息

2、VTP&VLAN 技術

①總部 DS1 和 DS2 均為 Server，其他交換機為 Client。

②總部 VTP 管理域為 PingingLab，密碼為 cisco。

③總部全局開啟 VTP 修剪。

④在 DS1 上創建 VLAN10/20/30/40，並要求全局同步。

⑥將不同用戶接口放入相應的 VLAN 中。

DS1#conf t

DS1(config)#vtp mode server

DS1(config)#vtp domain PingingLab

DS1(config)#vtp password cisco

DS1(config)#vtp pruning

DS2#conf t

DS2(config)#vtp mode server

DS2(config)#vtp domain PingingLab

DS2(config)#vtp password cisco

AS1#conf t

AS1(config)#vtp mode client

AS1(config)#vtp domain PingingLab

AS1(config)#vtp password cisco

AS2#conf t

AS2(config)#vtp mode client

AS2(config)#vtp domain PingingLab

AS2(config)#vtp password cisco

創建VLAN

DS1(config)#vlan 10

DS1(config-vlan)#vlan 20

DS1(config-vlan)#vlan 30

DS1(config-vlan)#vlan 40

查看vtp是否生效

DS1#show vlan bri

DS2#show vlan bri

AS1#show vlan bri

AS1#show vlan bri

AS1#conf t

AS1(config)#int e0/2

AS1(config-if)#switchport mode access

AS1(config-if)#switchport access vlan 10

AS1(config-if)#exit

AS1(config)#int e0/3

AS1(config-if)#switchport mode access

AS1(config-if)#switchport access vlan 20

AS2#conf t

AS2(config)#int e0/2

AS2(config-if)#switchport mode access

AS2(config-if)#switchport access vlan 30

AS2(config-if)#exit

AS2(config)#int e0/3

AS2(config-if)#switchport mode access

AS2(config-if)#switchport access vlan 40

3、STP 技術

①部署 MSTP，全局 MSTP 域為 PL，修訂號為 1，並創建兩個實例，其中實例1 映射 10 和 30，實例 2 映射 20 和 40；

②要求 DS1 為實例 1 的主根，實例 2 的備根；DS2 為實例 1 的備根，實例 2 的主根。

③在接入層交換機上開啟 BPDU 防護，當違反規則時，要求 30S 后恢復。

DS1#conf t

DS1(config)#spanning-tree mst configuration

DS1(config-mst)#instance 1 vlan10 , 30

DS1(config-mst)#instance 2 vlan20 , 40

DS1(config-mst)#revision 1

DS1(config-mst)#name PL

DS1(config-mst)#end

DS1#write

DS1#conf t

DS1(config)#spanning-tree mst 1 root primary

DS1(config)#spanning-tree mst 2 root secondary

DS1(config)#end

DS1#show run | section spanning竊配置

DS2(config)#spanning-tree mode mst

DS2(config)#spanning-tree extend system-id

DS2(config)#spanning-tree mst configuration

DS2(config-mst)#name PL

DS2(config-mst)#revision 1

DS2(config-mst)#instance 1 vlan10 , 30

DS2(config-mst)#instance 2 vlan20 , 40

DS2(config-mst)#exit

DS2(config)#spanning-tree mst 1 root secondary

DS2(config)#spanning-tree mst 2 root primary

AS1(config)#spanning-tree mode mst

AS1(config)#spanning-tree extend system-id

AS1(config)#spanning-tree mst configuration

AS1(config-mst)#name PL

AS1(config-mst)#revision 1

AS1(config-mst)#instance 1 vlan10 , 30

AS1(config-mst)#instance 2 vlan20 , 40

AS1(config-mst)#end

AS2(config)#spanning-tree mode mst

AS2(config)#spanning-tree extend system-id

AS2(config)#spanning-tree mst configuration

AS2(config-mst)#name PL

AS2(config-mst)#revision 1

AS2(config-mst)#instance 1 vlan10 , 30

AS2(config-mst)#instance 2 vlan20 , 40

AS2(config-mst)#end

AS1#show spanning-tree mst 1

配置BPDU

AS1#conf t

AS1(config)#int range e0/2 , e0/3

AS1(config-if-range)#spanning-tree bpduguard enable

AS1(config-if-range)#exit

AS1(config)#errdisable recovery cause bpduguard

AS1(config)#errdisable recovery interval 30

AS1(config)#end

AS1#show run | include err

AS2#conf t

AS2(config)#int range e0/2 , e0/3

AS2(config-if-range)#spanning-tree bpduguard enable

AS2(config-if-range)#exit

AS2(config)#errdisable recovery cause bpduguard

AS2(config)#errdisable recovery interval 30

4、VRRP 技術

①部署 VRRP 技術，要求 DS1 作為 VLAN10/30 的主網關，VLAN20/40 的備網關，DS2 作為 VLAN20/40 的主網關，VLAN10/30 的備網關，

其中網關地址如下：

VLAN10，主 192.168.10.253/24，備 192.168.10.252/24，虛 192.168.10.254/24

VLAN20，主 192.168.20.253/24，備 192.168.20.252/24，虛 192.168.20.254/24

VLAN30，主 192.168.30.253/24，備 192.168.30.252/24，虛 192.168.30.254/24

VLAN40，主 192.168.40.253/24，備 192.168.40.252/24，虛 192.168.40.254/24

DS1#conf t

DS1(config)#interface vlan 10

DS1(config)#no shut

DS1(config-if)#ip address 192.168.10.253 255.255.255.0

DS1(config-if)#vrrp 10 ip 192.168.10.254

DS1(config-if)#vrrp 10 priority 200

DS1(config-if)#exit

DS1(config)#interface vlan 20

DS1(config)#no shut

DS1 (config-if)#ip address 192.168.20.252 255.255.255.0

DS1(config-if)#vrrp 20 ip 192.168.20.254

DS1(config-if)#vrrp 20 priority 100

DS1 (config-if)#exit

DS1 (config)#interface vlan 30

DS1(config)#no shut

DS1 (config-if)#ip address 192.168.30.253 255.255.255.0

DS1(config-if)#vrrp 30 ip 192.168.30.254

DS1(config-if)#vrrp 30 priority 200

DS1 (config-if)#exit

DS1 (config)#interface vlan 40

DS1(config)#no shut

DS1 (config-if)#ip address 192.168.40.252 255.255.255.0

DS1(config-if)#vrrp 40 ip 192.168.40.254

DS1(config-if)#vrrp 40 priority 100

DS1 (config-if)#exit

DS1#show run int vlan 10

DS1#show run int vlan 20

DS1#show run int vlan 30

DS1#show run int vlan 40

DS1#write

DS2#conf t

DS2(config)#interface vlan 10

DS2(config)#no shut

DS2(config-if)#ip address 192.168.10.252 255.255.255.0

DS2(config-if)#vrrp 10 ip 192.168.10.254

DS2(config-if)#vrrp 10 priority 100

DS2(config-if)#exit

DS2(config)#interface vlan 20

DS2(config)#no shut

DS2 (config-if)#ip address 192.168.20.253 255.255.255.0

DS2(config-if)#vrrp 20 ip 192.168.20.254

DS2(config-if)#vrrp 20 priority 200

DS2(config-if)#exit

DS2(config)#interface vlan 30

DS2(config)#no shut

DS2(config-if)#ip address 192.168.30.252 255.255.255.0

DS2(config-if)#vrrp 30 ip 192.168.30.254

DS2(config-if)#vrrp 30 priority 100

DS2(config-if)#exit

DS2(config)#interface vlan 40

DS2(config)#no shut

DS2(config-if)#ip address 192.168.40.253 255.255.255.0

DS2(config-if)#vrrp 40 ip 192.168.40.254

DS2(config-if)#vrrp 40 priority 200

DS2(config-if)#exit

DS2#show run int vlan 10

DS2#show run int vlan 20

DS2#show run int vlan 30

DS2#show run int vlan 40

DS2#write

測試vrrp是否建立

DS1#show vrrp brief

DS2#show vrrp brief

5、DHCP Relay 技術

①在 R1 上同時部署 DHCP 服務，方便不同 VLAN 的主機接入網絡，其中主DNS 為 8.8.8.8，備用 DNS 為 114.114.114.114。

②在 DS1 和 DS2 上部署 DHCP 中繼技術。

各設備端口分配IP地址

R1#conf t

R1(config)#int e0/0

R1(config-if)#no shut

R1(config-if)#ip add 172.16.12.1 255.255.255.0

R1(config-if)#exit

R1(config)#int e0/1

R1(config-if)#no shut

R1(config-if)#ip add 172.16.13.1 255.255.255.0

CS1#conf t

CS1(config)#int e0/0

CS1(config-if)#no shut

CS1(config-if)#no switchport

CS1(config-if)#ip add 172.16.12.2 255.255.255.0

CS1(config-if)#exit

CS1(config)#int e0/3

CS1(config-if)#no shut

CS1(config-if)#no switchport

CS1(config-if)#ip add 172.16.24.2 255.255.255.0

CS1(config-if)#exit

CS1(config)#int e1/1

CS1(config-if)#no shut

CS1(config-if)#no switchport

CS1(config-if)#ip add 172.16.25.2 255.255.255.0

CS1#show ip int bri

CS1#write

CS2#conf t

CS2(config)#int e0/0

CS2(config-if)#no shut

CS2(config-if)#no switchport

CS2(config-if)#ip add 172.16.13.3 255.255.255.0

CS2(config-if)#exit

CS2(config)#int e0/3

CS2(config-if)#no shut

CS2(config-if)#no switchport

CS2(config-if)#ip add 172.16.35.3 255.255.255.0

CS2(config-if)#exit

CS2(config)#int e1/1

CS2(config-if)#no shut

CS2(config-if)#no switchport

CS2(config-if)#ip add 172.16.25.2 255.255.255.0

CS2#show ip int bri

CS1#write

DS1#conf t

DS 1(config)#int e0/0

DS1(config-if)#no shut

DS1(config-if)#no switchport

DS1(config-if)#ip add 172.16.24.4 255.255.255.0

DS1(config-if)#exit

DS1(config)#int e1/1

DS1(config-if)#no shut

DS1(config-if)#no switchport

DS1(config-if)#ip add 172.16.34.3 255.255.255.0

DS1(config-if)#exit

DS1#show ip int bri

DS1#write

DS2#conf t

DS2(config)#int e0/0

DS2(config-if)#no shut

DS2(config-if)#no switchport

DS2(config-if)#ip add 172.16.35.5 255.255.255.0

DS2(config-if)#exit

DS2(config)#int e1/1

DS2(config-if)#no shut

DS2(config-if)#no switchport

DS2(config-if)#ip add 172.16.25.5 255.255.255.0

DS2(config-if)#exit

DS2#show ip int bri

DS2#write

配置DHCP

R1#conf t

R1(config)#ip dhcp pool VLAN10

R1(dhcp-config)#network 192.168.10.0 /24

R1(dhcp-config)#default-router 192.168.10.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#exit

R1(config)#ip dhcp pool VLAN20

R1(dhcp-config)#network 192.168.20.0 /24

R1(dhcp-config)#default-router 192.168.20.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#exit

R1(config)#ip dhcp pool VLAN30

R1(dhcp-config)#network 192.168.30.0 /24

R1(dhcp-config)#default-router 192.168.30.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#exit

R1(config)#ip dhcp pool VLAN40

R1(dhcp-config)#network 192.168.40.0 /24

R1(dhcp-config)#default-router 192.168.40.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#end

R1#show run | section dhcp

DS1#conf t

DS1(config)#int range vlan 10 , vlan 20 , vlan 30 , vlan 40

DS1(config-if-range)#ip helper-address 1.1.1.1

DS1(config-if-range)#end

DS1#write

DS2#conf t

DS2(config)#int range vlan 10 , vlan 20 , vlan 30 , vlan 40

DS2(config-if-range)#ip helper-address 1.1.1.1

DS2(config-if-range)#end

DS2#write

6、Etherchannel 技術

①為實現鏈路冗余並提供網絡帶寬，要求在匯聚層交換機之間部署 L2Etherchannel 技術，在核心交換機之間部署 L3 Etherchannel。

CS1#conf t

CS1(config)#int range e0/1 , e0/2

CS1(config-if-range)#no switchport

CS1(config-if-range)#channel-group 1 mode on

CS1(config-if-range)#exit

CS1(config)#int port-channel 1

CS1(config-if)#ip address 172.16.23.2 255.255.255.0

CS1(config-if)#end

CS2#conf t

CS2(config)#int range e0/1 , e0/2

CS2(config-if-range)#no switchport

CS2(config-if-range)#channel-group 1 mode on

CS2(config-if-range)#exit

CS2(config)#int port-channel 1

CS2(config-if)#ip address 172.16.23.3 255.255.255.0

CS2(config-if)#end

7、Port-Security 技術

①為實現用戶接入安全，要求在所有用戶接入接口啟用端口安全技術。

②開啟地址學習，並定義最大 MAC 數為 1。

③定義用戶違反規則為 shutdown 模式，並要求在 30s 后自動恢復。

AS1#conf t

AS1(config)#int range e0/2 , e0/3

AS1(config-if-range)#spanning-tree porfast

AS1(config-if-range)#switchport port-security

AS1(config-if-range)#switchport port-security maximum 1

AS1(config-if-range)#switchport port-security violation shutdown

AS1(config-if-range)#switchport port-security mac-address sticky

AS1(config-if-range)#end

AS1#write

AS2同理

8、DHCP Snooping 技術

①在 AS1 上部署 DHCP 偵聽技術，防止 DHCP 欺騙攻擊。

AS1#conf t

AS1(config)#ip dhcp snooping

AS1(config)# ip dhcp snooping vlan 10 20

AS1(config)#int range e0/0 , e0/1

AS1(config-if-range)#ip dhcp snooping trust

AS1(config)#end

刷新接口地址

PC1#conf t

PC1(config)#int e0/0

PC1(config-if)#shutdown

PC1(config-if)#no shutdown

三、路由技術

1、在全網所有三層設備部署動態路由協議 OSPF，其中 R1、CS1、CS2 通告到骨干區域中，CS1、CS2、DS1 通告到區域 10 中，CS1、CS2、DS2 通告到區域20 中。

R1#conf t

R1(config)#router ospf 100

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 0.0.0.0 0.0.0.0 area 0

R1(config-router)#end

CS1#conf t

CS1(config)#router ospf 100

CS1(config-router)#router-id 2.2.2.2

CS1(config-router)#exit

CS1(config)#int e0/0

CS1(config-if)#ip ospf 100 area 0

CS1(config-if)#int po1

CS1(config-if)#ip ospf 100 area 0

CS1(config-router)#end

CS1#write

CS2#conf t

CS2(config)#router ospf 100

CS2(config-router)#router-id 3.3.3.3

CS2(config-router)#exit

CS2(config)#int e0/0

CS2(config-if)#ip ospf 100 area 0

CS2(config-if)#int po1

CS2(config-if)#ip ospf 100 area 0

CS2(config-router)#exit

CS2(config-router)#end

CS1#show ip ospf neighbor

CS1#show ip router ospf

CS1#conf t

CS1(config)#int e0/3

CS1(config-if)#ip ospf 100 area 10

CS1(config-if)#int e1/1

CS1(config-if)#ip ospf 100 area 20

CS2#conf t

CS2(config)#int e0/3

CS2(config-if)#ip ospf 100 area 20

CS2(config-if)#int e1/1

CS2(config-if)#ip ospf 100 area 10

DS1#conf t

DS1(config)#router ospf 100

DS1(config-router)#router-id 4.4.4.4

DS1(config-router)#network 0.0.0.0 0.0.0.0 area 10

DS1(config-router)#end

DS2#conf t

DS2(config)#router ospf 100

DS2(config-router)#router-id 5.5.5.5

DS2(config-router)#network 0.0.0.0 0.0.0.0 area 20

DS2(config-router)#end

測試連通性

DS1#ping 1.1.1.1

DS2#ping 1.1.1.1

2、要求 VLAN10 和 VLAN30 的流量路徑是：DS1àCS1àR1，並且當 CS1 出現故障后，流量路徑切換為 DS1àCS2àR1。

Cost等於本地到目的地的所有出接口的cost累加

DS1#conf t

DS1(config)#int e0/0

DS1(config-if)#ip ospf cost 9改小，從原來的10改小

DS1(config-if)#end

DS1#traceroute 1.1.1.1 查看流量往那邊走

3、要求 VLAN20 和 VLAN40 的流量路徑是：DS2àCS2àR1，並且當 CS2 出現故障后，流量路徑切換為 DS2àCS1àR1。

DS2#conf t

DS2(config)#int e0/0

DS2(config-if)#ip ospf cost 9改小，從原來的10改小

DS2(config-if)#end

DS2#traceroute 1.1.1.1 查看流量往那邊走

4、在 R1 上創建環回接口 Lo1，地址為 1.1.1.1/32，要求全網能與之通信。