二、有线网络配置
1、端口保护
为隔离部分终端用户间的二层互访,在交换机 S1/S2 的 Gi0/5-Gi0/16 端口启用端口保护。
S1(config)# in r gi0/5-16 //进入5-16端口S1(config-if-range)# switchport protected //启动端口保护2、要求在吉林分部接入设备 S1/S2 进行防环处理。
具体要求如下:终端接口开启BPDU 防护不能接收 BPDU 报文;终端接口下开启 RLDP 防止环路,检测到环路后处理方式为 Shutdown-Port;连接终端的所有端口配置为边缘端口;如果端口被BPDU Guard 检测进入 Err-Disabled 状态,再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路。
全局模式下开启RLDP功能
S1(config)# rldp enable具体配置
S1(config)# interface GigabitEthernet 0/2 //连接终端的端口S1(config-if)# spanning-tree bpduguard enable //开启BPDU防护S1(config-if)# rldp port loop-detect shutdown-port //开启RLDP防止环路,检测到状态shutdown-portS1(config-if)# errdisable recovery interval 300//300秒自动恢复3、端口安全
为了防止伪 IP 源地址攻击, 导致出口路由器会话占满,要求 S1 交换机部署端口安全,接口 Gi0/1 只允许 PC1 通过。
S1(config)# interface GigabitEthernet 0/1S1(config-if-GigabitEthernet 0/1)# switchport port-security //开启端口安全S1(config-if-GigabitEthernet 0/1)# switchport port-security maximum 1//限制接入最大数S1(config-if-GigabitEthernet 0/1)# switchport port-security mac 00ff.ffff.ffff//限制指定设备接入4、在交换机 S3、S4 上配置 DHCP 中继
对 VLAN10 内的用户进行中继,使得本部 PC1用户使用 DHCP Relay 方式获取 IP 地址。具体要求如下:DHCP 服务器搭建于 VSU上,地址池命名为 Pool_VLAN10,DHCP 对外服务使用loopback 0 地址。
VSU
VSU(config)# service dhcp //开启dhcp服务VSU(config)# ip dhcp pool Pool_VLAN10 //dhcp地址池VSU(dhcp-config)# network 192.1.10.0 255.255.255.0//dhcp分配的网段VSU(dhcp-config)# dns-server 114.114.114.114 //dns服务器地址VSU(dhcp-config)# default-router 192.1.10.254 //默认网关S3/S4
S3S3(config)# service dhcpS3(config)# interface Vlan 10S3(config-VLAN 10)# ip helper-address 11.1.0.67 #S4S4(config)# service dhcpS3(config)# interface Vlan 10S4(config-VLAN 10)# ip helper-address 11.1.0.67//dhcp服务器地址,vsu的loopback地址5、部署 DHCP Snooping 功能
为了防御动态环境局域网伪 DHCP 服务欺骗,在 S1、S2 交换机部署 DHCP Snooping 功能。
S1(config)# ip dhcp snoopingS1(config)# interface range GigabitEthernet 0/23-24S1(config-if-range)# ip dhcp snooping trust#S2(config)# ip dhcp snoopingS2(config)# interface range GigabitEthernet 0/23-24S2(config-if-range)# ip dhcp snooping trust6、配置 MSTP 防止二层环路
在吉林分部交换机 S1、S2、S3、S4 上配置 MSTP 防止二层环路;要求所有数据流经过 S4 转发,S4 失效时经过 S3 转发。所配置的参数要求如下:region-name为 test;revision 版本为 1;S3 作为实例中的从根, S4 作为实例中的主根;主根优先级为 4096,从根优先级为 8192
S1/S2S1(config)# spanning-tree mst configurationS1(config-mst)# revision 1S1(config-mst)# name testS1(config-mst)#exit S1(config)#spanning-tree#S3S3(config)# spanning-tree mst configuration //配置mstS3(config-mst)# revision 1 //region-name为testS3(config-mst)# name test //revision版本为1S3(config-mst)#exitS3(config)#spanning-tree mst 0 priority 8192 //实例0优先级为8192S3(config)#spanning-tree//开启生成树,默认就是mst#S4S4(config)# spanning-tree mst configuration //配置mstS4(config-mst)# revision 1 //region-name为testS4(config-mst)# name test //revision版本为1S4(config-mst)#exitS4(config)#spanning-tree mst 0 priority 4096 //实例0优先级为4096S4(config)#spanning-tree//开启生成树,默认就是mst7、配置 VRRP
在 S3 和 S4 上配置 VRRP,实现主机的网关冗余,所配置的参数要求如表 1;S3、S4 各 VRRP 组中高优先级设置为 150,低优先级设置为 120。
| VLAN | VRRP备份组号(VRID) | VRRP虚拟IP |
|---|---|---|
| VLAN10 | 10 | 192.1.10.254 |
| VLAN20 | 20 | 192.1.20.254 |
| VLAN30 | 30 | 192.1.30.254 |
| VLAN100(交换机间) | 100 | 192.1.100.254 |
S3
S3(config)# interface VLAN 10S3(config-if-VLAN 10)# vrrp 10 ip 192.168.10.254S3(config-if-VLAN 10)# vrrp 10 priority 120#S3(config)#interface VLAN 20S3(config-if-VLAN 20)# vrrp 20 ip 192.1.20.254S3(config-if-VLAN 20)# vrrp 20 priority 120#S3(config)#interface VLAN 30S3(config-if-VLAN 30)# vrrp 30 ip 192.1.30.254S3(config-if-VLAN 30)# vrrp 30 priority 120#S3(config)#interface VLAN 100S3(config-if-VLAN 100)# vrrp 100 ip 192.1.100.254S3(config-if-VLAN 100)# vrrp 100 priority 120//VRRP组优先级S4
S4(config)# interface VLAN 10S4(config-if-VLAN 10)# vrrp 10 ip 192.1.10.254S4(config-if-VLAN 10)# vrrp 10 priority 150#S4(config)#interface VLAN 20S4(config-if-VLAN 20)# vrrp 20 ip 192.1.20.254S4(config-if-VLAN 20)# vrrp 20 priority 150#S4(config)#interface VLAN 30S4(config-if-VLAN 30)# vrrp 30 ip 192.1.30.254S4(config-if-VLAN 30)# vrrp 30 priority 150#S4(config)#interface VLAN 100S4(config-if-VLAN 100)# vrrp 100 ip 192.1.100.254S4(config-if-VLAN 100)# vrrp 100 priority 1508、S6 和S7间部署虚拟化
S7为主,S6为备,主设备:Domain id:1,switch id:2,priority 150, description: S6000-2;备设备:Domain id:1,switch id:1,priority 120, description: S6000-1。
S6S6(config)# switch virtual domain 1S6(config-vs-domain)# switch 1S6(config-vs-domain)# switch 1 description S6000-1S6(config-vs-domain)# switch 1 priority 120#S6(config)# vsl-portS6(config-vsl-port)# port-member interface tengigabitethernet 0/49S6(config-vsl-port)# port-member interface tengigabitethernet 0/50#S6# writeS6# switch convert mode virtualConvert mode will backup and delete config file, and reload the switch. Are you sure to continue[yes/no]:yes Do you want to recover config file from backup file in virtual mode (press 'ctrl + c' to cancel) [yes/no]:no //no表示清空重配##S7S7(config)# switch virtual domain 1//domain ID为1,2台交换机需一致S7(config-vs-domain)# switch 2//交换机ID,第1台是1,第2台是2,不能错S7(config-vs-domain)# switch 2 description S6000-2// description描述S7(config-vs-domain)# switch 2 priority 150//设置优先级为150,优先级高的选举为管理主机#S7(config)# vsl-port //设置VSL链路S7(config-vsl-port)# port-member interface tengigabitethernet 0/49S7(config-vsl-port)# port-member interface tengigabitethernet 0/50//这里用两条万兆口#S7# write //保存配置S7# switch convert mode virtua//转换为VSU模式,默认是单机模式standaloneConvert mode will backup and delete config file, and reload the switch. Are you sure to continue[yes/no]:yes Do you want to recover config file from backup file in virtual mode (press 'ctrl + c' to cancel) [yes/no]:no //no表示清空重配规划S6和S7间的Gi0/48端 口作为双主机检测链路,配置基于BFD的双主机检。
VSU(config)# interface range GigabitEthernet 1/0/48,2/0/48VSU(config-if-range)# no switchportVSU(config-if-range)# exitVSU(config)# switch virtual domain 1VSU(config-vs-domain)# dual-active detection bfd VSU(config-vs-domain)# dual-active bfd interface gigabitEthernet 1/0/48VSU(config-vs-domain)# dual-active bfd interface gigabitEthernet 2/0/489、OSPF组网
广州总部与吉林分部内网均使用OSPF协议组网,访问互联网均使用默认路由。
总部S5、AC1、AC2、EG1间运行OSPF,进程号为10;要求业务网段中不出现协议报文;要求所有路由协议都发布具体网段;为了管理方便,需要发布Loopback地址;优化 OSPF 相关配置,以尽量加快OSPF收敛;重发布路由进OSPF中使用类型1。
S5
S5(config)# router ospf 10S5(config-router)# graceful-restartS5(config-router)# passive-interface VLAN 10S5(config-router)# passive-interface VLAN 20S5(config-router)# passive-interface VLAN 30//业务网段中不出现协议报文S5(config-router)# network 10.1.0.16 0.0.0.3 area 0S5(config-router)# network 11.1.0.5 0.0.0.0 area 0S5(config-router)# network 194.1.10.0 0.0.0.255 area 0S5(config-router)# network 194.1.20.0 0.0.0.255 area 0S5(config-router)# network 194.1.30.0 0.0.0.255 area 0S5(config-router)# network 194.1.100.0 0.0.0.255 area 0S5(config-router)# redistribute static metric-type 1//重发布路由进OSPF使用类型1S5(config-router)# exitS5(config)# interface GigabitEthernet 0/24S5(config-if-GigabitEthernet 0/24)# ip ospf network point-to-point//优化OSPF 相关配置AC1/AC2
AC1AC1(config)# router ospf 10AC1(config-router)# router-id 11.1.0.204AC1(config-router)# graceful-restartAC1(config-router)# network 11.1.0.204 0.0.0.0 area 0AC1(config-router)# network 194.1.100.0 0.0.0.255 area 0#AC2AC2(config)# router ospf 10AC2(config-router)# router-id 11.1.0.205AC2(config-router)# graceful-restartAC2(config-router)# network 11.1.0.205 0.0.0.0 area 0AC2(config-router)# network 194.1.100.0 0.0.0.255 area 0EG1
EG1(config)# router ospf 10EG1(config-router)# router-id 11.1.0.11EG1(config-router)# graceful-restartEG1(config-router)# network 11.1.0.11 0.0.0.0 area 0EG1(config-router)# network 10.1.0.16 0.0.0.3 area 0EG1(config-router)# default-information originate always//出口设备发布默认路由EG1(config-router)# exitEG1(config)# interface GigabitEthernet 0/0EG1(config-if-GigabitEthernet 0/0)# ip ospf network point-to-point吉林分部EG2、 S3、S4、S6/S7 间运行OSPF,进程号为10; 要求业务网段中不出现协议报文;要求所有路由协议都发布具体网段;为了管理方便,需要发布Loopback地址;优化 OSPF 相关配置,以尽量加快OSPF收敛;重发布路由进OSPF中使用类型1。
EG2
EG2(config)# router ospf 10EG2(config-router)# router-id 11.1.0.12EG2(config-router)# graceful-restartEG2(config-router)# network 11.1.0.12 0.0.0.0 area 0EG2(config-router)# network 10.1.0.12 0.0.0.3 area 0EG2(config-router)# network 10.1.0.8 0.0.0.3 area 0EG2(config-router)# default-information originate always metric-type 1EG2(config-router)# exitEG2(config)# interface range GigabitEthernet 0/0-1EG2(config-if-range)# ip ospf network point-to-pointS3
S3(config)# router ospf 10S3(config-router)# router-id 11.1.0.33S3(config-router)# graceful-restartS3(config-router)# passive-interface VLAN 10S3(config-router)# passive-interface VLAN 20S3(config-router)# passive-interface VLAN 30S3(config-router)# passive-interface VLAN 100S3(config-router)# network 11.1.0.33 0.0.0.0 area 0S3(config-router)# network 10.1.0.0 0.0.0.3 area 0S3(config-router)# network 192.1.10.0 0.0.0.255 area 0S3(config-router)# network 192.1.20.0 0.0.0.255 area 0S3(config-router)# network 192.1.30.0 0.0.0.255 area 0S3(config-router)# network 192.1.100.0 0.0.0.255 area 0S3(config-router)# exitS3(config)# interface GigabitEthernet 0/24S3(config-if-GigabitEthernet 0/24)# ip ospf network point-to-pointS4
S4(config)# router ospf 10S4(config-router)# router-id 11.1.0.34S4(config-router)# graceful-restartS4(config-router)# passive-interface VLAN 10S4(config-router)# passive-interface VLAN 20S4(config-router)# passive-interface VLAN 30S4(config-router)# passive-interface VLAN 100S4(config-router)# network 11.1.0.34 0.0.0.0 area 0S4(config-router)# network 10.1.0.4 0.0.0.3 area 0S4(config-router)# network 192.1.10.0 0.0.0.255 area 0S4(config-router)# network 192.1.20.0 0.0.0.255 area 0S4(config-router)# network 192.1.30.0 0.0.0.255 area 0S4(config-router)# network 192.1.100.0 0.0.0.255 area 0S4(config-router)# exitS4(config)# interface GigabitEthernet 0/24S4(config-if-GigabitEthernet 0/24)# ip ospf network point-to-pointVSU(S6/S7)
VSU(config)# router ospf 10VSU(config-router)# router-id 11.1.0.67VSU(config-router)# graceful-restartVSU(config-router)# network 10.1.0.0 0.0.0.3 area 0VSU(config-router)# network 10.1.0.4 0.0.0.3 area 0VSU(config-router)# network 10.1.0.8 0.0.0.3 area 0VSU(config-router)# network 10.1.0.12 0.0.0.3 area 0VSU(config-router)# network 11.1.0.67 0.0.0.0 area 0VSU(config-router)# redistribute static metric-type 1VSU(config-router)# exitVSU(config)# interface range GigabitEthernet 1/0/1-2,2/0/1-2VSU(config-if-range)# ip ospf network point-to-point10、IPV6终端无状态自动从网关处获取地址
吉林分部部署IPV6网络实现内网IPV6终端通过无状态自动从网关处获取地址。
S3(config)# interface range VLAN 10,20,30S3(config-if-range)# ipv6 enableS3(config-if-range)# no ipv6 nd suppress-ra#S4(config)# interface range VLAN 10,20,30S4(config-if-range)# ipv6 enableS4(config-if-range)# no ipv6 nd suppress-ra11、配置 VRRP for IPv6
在 S3 和S4上配置VRRP for IPv6,实现主机的IPv6网关冗余;VRRP与MSTP 的主备状态与IPV4网络一致;IPV6地址规划如下表2:
| 设备 | 接口 | IPV6 地址 | VRRP 组号 | 虚拟IP |
|---|---|---|---|---|
| S3 | VLAN10 | 2001:193:10::252/64 | 10 | 2001:193:10::254/64 |
| VLAN20 | 2001:193:20::252/64 | 20 | 2001:193:20::254/64 | |
| VLAN30 | 2001:193:30::252/64 | 30 | 2001:193:30::254/64 | |
| S4 | VLAN10 | 2001:193:10::253/64 | 10 | 2001:193:10::254/64 |
| VLAN20 | 2001:193:20::253/64 | 20 | 2001:193:20::254/64 | |
| VLAN30 | 2001:193:30::253/64 | 30 | 2001:193:30::254/64 |
S3
S3(config)# interface VLAN 10S3(config-if-VLAN)# vrrp 10 ipv6 FE80::64S3(config-if-VLAN)# vrrp 10 ipv6 2001:193:10::254S3(config-if-VLAN)# vrrp ipv6 10 priority 120S3(config-if-VLAN)# vrrp ipv6 10 accept_modeS3(config)# exitS3(config)# interface VLAN 20S3(config-if-VLAN)# vrrp 20 ipv6 FE80::64S3(config-if-VLAN)# vrrp 20 ipv6 2001:193:20::254S3(config-if-VLAN)# vrrp ipv6 20 priority 120S3(config-if-VLAN)# vrrp ipv6 20 accept_modeS3(config)# exitS3(config)# interface VLAN 30S3(config-if-VLAN)# vrrp 30 ipv6 FE80::64//配置虚拟链路本地地址S3(config-if-VLAN)# vrrp 30 ipv6 2001:193:30::254//配置虚拟ipv6地址S3(config-if-VLAN)# vrrp ipv6 30 priority 120//配置ipv6优先级S3(config-if-VLAN)# vrrp ipv6 30 accept_mode//配置模式S4
S4(config)# interface VLAN 10S4(config-if-VLAN)# vrrp 10 ipv6 FE80::64S4(config-if-VLAN)# vrrp 10 ipv6 2001:193:10::254S4(config-if-VLAN)# vrrp ipv6 10 priority 150S4(config-if-VLAN)# vrrp ipv6 10 accept_modeS4(config)# exitS4(config)# interface VLAN 20S4(config-if-VLAN)# vrrp 20 ipv6 FE80::64S4(config-if-VLAN)# vrrp 20 ipv6 2001:193:20::254S4(config-if-VLAN)# vrrp ipv6 20 priority 150S4(config-if-VLAN)# vrrp ipv6 20 accept_modeS4(config)# exitS4(config)# interface VLAN 30S4(config-if-VLAN)# vrrp 30 ipv6 FE80::64//配置虚拟链路本地地址S4(config-if-VLAN)# vrrp 30 ipv6 2001:193:30::254//配置虚拟ipv6地址S4(config-if-VLAN)# vrrp ipv6 30 priority 150//配置ipv6优先级S4(config-if-VLAN)# vrrp ipv6 30 accept_mode//配置模式12、运营商组网部署
由于公司在吉林设有分部。为总部及分部之间互联互通,申请运营商专线业务。 针对运营商组网部署要求如下:R1、R2、R3部署IGP OSPF动态路由进程号为20, 实现直连网段互联互通。
R1R1(config)# router ospf 20R1(config-router)# router-id 11.1.0.1R1(config-router)# network 11.1.0.1 0.0.0.0 area 0R1(config-router)# network 12.1.0.0 0.0.0.3 area 0R1(config-router)# exitR1(config)# interface Vlan 100R1(config-VLAN 100)# ip ospf network point-to-point#R2R2(config)# router ospf 20R2(config-router)# router-id 11.1.0.2R2(config-router)# network 11.1.0.2 0.0.0.0 area 0R2(config-router)# network 12.1.0.0 0.0.0.3 area 0R2(config-router)# network 23.1.0.0 0.0.0.3 area 0R2(config-router)# exitR2(config)# interface range Vlan 100-101R2(config-if-range)# ip ospf network point-to-point#R3R3(config)# router ospf 20R3(config-router)# router-id 11.1.0.3R3(config-router)# network 11.1.0.3 0.0.0.0 area 0R3(config-router)# network 23.1.0.0 0.0.0.3 area 0R3(config-router)# exitR3(config)# interface Vlan 101R3(config-VLAN 100)# ip ospf network point-to-point13、部署BGP联盟
R1、R2、R3 间部署BGP联盟,联盟AS号为100, 使用Loopback接口建立Peer;R1与R2的成员AS号为64512,R3的成员AS号为64523。
R1R1(config)# router bgp 64512R1(config-router)# bgp confederation identifier 100R1(config-router)# bgp log-neighbor-changesR1(config-router)# neighbor 11.1.0.2 remote-as 64512R1(config-router)# neighbor 11.1.0.2 update-source Loopback 0#R2R2(config)# router bgp 64512R2(config-router)# bgp confederation identifier 100R2(config-router)# bgp confederation peers 64523R2(config-router)# bgp log-neighbor-changesR2(config-router)# neighbor 11.1.0.1 remote-as 64512R2(config-router)# neighbor 11.1.0.1 update-source Loopback 0R2(config-router)# neighbor 11.1.0.3 remote-as 64523R2(config-router)# neighbor 11.1.0.3 ebgp-multihop 255#R3R3(config)# router bgp 64523R3(config-router)# bgp confederation identifier 100R3(config-router)# bgp confederation peers 64512R3(config-router)# bgp log-neighbor-changesR3(config-router)# neighbor 11.1.0.2 remote-as 64512R3(config-router)# neighbor 11.1.0.2 update-source Loopback 014、路由通告
运营商R1、R2、R3各自通告EG1、EG2的直连网段到BGP中,以汇总B段静态路由的方式进行发布,当运营商路由器与EG直连链路断开时,可通过其他路由器 与EG互通。
通告EG1、EG2的直连网段到BGP中
R1R1(config)# router bgp 64512R1(config-router)# address-family ipv4R1(config-router-af)# network 20.1.0.0 mask 255.255.0.0R1(config-router-af)# neighbor 11.1.0.2 activateR1(config-router-af)# neighbor 11.1.0.2 next-hop-selfR1(config-router-af)# exit-address-family#R2R2(config)# router bgp 64512R2(config-router)# address-family ipv4R2(config-router-af)# network 30.1.0.0 mask 255.255.0.0R2(config-router-af)# neighbor 11.1.0.1 activateR2(config-router-af)# neighbor 11.1.0.1 next-hop-selfR2(config-router-af)# neighbor 11.1.0.3 activateR2(config-router-af)# neighbor 11.1.0.3 next-hop-selfR2(config-router-af)# exit-address-family#R3R3(config)# router bgp 64523R3(config-router)# address-family ipv4R3(config-router-af)# network 40.1.0.0 mask 255.255.0.0R3(config-router-af)# neighbor 11.1.0.2 activateR3(config-router-af)# neighbor 11.1.0.2 next-hop-selfR3(config-router-af)# exit-address-family汇总B段静态路由的方式进行发布
R1R1(config)# ip route 20.1.0.0 255.255.0.0 Null 0#R2R2(config)# ip route 30.1.0.0 255.255.0.0 Null 0#R3R3(config)# ip route 40.1.0.0 255.255.0.0 Null 015、数据分流及负载均衡
考虑到数据分流及负载均衡的目的,具体要求如下:可通过修改OSPF 路由COST 达到分流的目的,且其值必须为5或10;吉林分部有线IPV4用户与互联网互通主 路径规划为:S4-S7-EG2;主链路故障时可无缝切换到备用链路上。
S3S3(config)# interface GigabitEthernet 0/24S3(config-GigabitEthernet 0/24)# ip ospf cost 10#S4S4(config)# interface GigabitEthernet 0/24S4(config-GigabitEthernet 0/24)# ip ospf cost 5#VSUVSU(config)# interface range GigabitEthernet 1/0/1-2VSU(config-if-range)# ip ospf cost 10//S6VSU(config-if-range)# exitVSU(config)# interface range GigabitEthernet 2/0/1-2//S7VSU(config-if-range)# ip ospf cost 5#EG2EG2(config)# interface GigabitEthernet 0/0EG2(config-GigabitEthernet 0/0)# ip ospf cost 10EG2(config-GigabitEthernet 0/0)# exitEG2(config)# interface GigabitEthernet 0/1EG2(config-GigabitEthernet 0/1)# ip ospf cost 5//cost值越小越优先