2023****年全国职业院校技能大赛
GZ073****网络系统管理赛项
赛题第3套
模块A:网络构建
目 录
任务清单… 1
(一)基础配置… 1
(二)有线网络配置… 1
(三)无线网络配置… 3
(四)出口网络配置… 6
(五)网络运维配置… 6
(六)SDN网络配置… 7
附录1:拓扑图… 8
附录2:地址规划表… 9
任务清单
(一)基础配置
1.根据附录1、附录2,配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin。
enable service ssh-server
username admin pr 15 pass admin1234
line vty 0 4
transport input ssh
login local
3.交换机配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息。
snmp-server host 172.16.0.254 traps version 2c Test
snmp-server host 172.16.0.254 traps version 2c public
snmp-server enable traps
snmp-server community Test rw
snmp-server community public ro
(二)有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.为了规避网络末端接入设备上出现环路影响全网,要求在分校接入设备S6,S7进行防环处理。具体要求如下:接口开启BPDU防护不能接收bpduguard报文;接口下开启rldp防止环路,检测到环路后处理方式为shutdown-port;连接终端的所有端口配置为边缘端口;如果端口被BPDU Guard检测进入err-disabled状态,再过300秒后会自动恢复,重新检测是否有环路。
S6/S7
int r gi0/1-20
spanning-tree port
errdisable recovery interval 300
spanning-tree bpduguard enable
spanning-tree autoedge
rldp port loop-detect shutdown-port
exit
rldp enable
3.\1. 为了保证接入区 DHCP 服务安全及伪 IP 源地址攻击,具体要求如下:DHCP 服务器搭建于 S3 上对 VLAN10 以内的用户进行地址分配;为了防御从非法 DHCP 服务器获得的地址要求在 S1、S2 上部署 DHCP Snooping 功能。
S3:
service dhcp
!
ip dhcp pool vlan10
network 192.1.10.0 255.255.255.0
default-router 192.1.10.254
S1:
service dhcp
ip dhcp snooping
ip helper-address 11.1.0.33
int r gi0/23-24
ip dhcp snooping trust
S2:
service dhcp
ip dhcp snooping
ip helper-address 11.1.0.33
int r gi0/23-24
ip dhcp snooping trust
4.在本部交换机S3、S4上配置MSTP防止二层环路;要求VLAN10、VLAN20、VLAN30数据流经过S3转发,VLAN40、VLAN50、VLAN100数据流经过S4转发,S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下:region-name为test;revision版本为1;实例1,包含VLAN10,VLAN20,VLAN30;实例2,包含VLAN40,VLAN50,VLAN100;S3作为实例0、1中的主根,S4作为实例0、1的从根;S4作为实例2中的主根,S3作为实例2的从根;主根优先级为4096,从根优先级为8192;
S3:
spanning-tree mst configuration
revision 1
name test
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-49, 51-99, 101-4094
instance 1 vlan 10, 20, 30
instance 2 vlan 40, 50, 100
!
spanning-tree mst 0 priority 4096
spanning-tree mst 1 priority 4096
spanning-tree mst 2 priority 8192
spanning-tree
S4:
spanning-tree mst configuration
revision 1
name test
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-49, 51-99, 101-4094
instance 1 vlan 10, 20, 30
instance 2 vlan 40, 50, 100
!
spanning-tree mst 0 priority 8192
spanning-tree mst 1 priority 8192
spanning-tree mst 2 priority 4096
spanning-tree
S1:
spanning-tree mst configuration
revision 1
name test
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-49, 51-99, 101-4094
instance 1 vlan 10, 20, 30
instance 2 vlan 40, 50, 100
S2:
spanning-tree mst configuration
revision 1
name test
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-49, 51-99, 101-4094
instance 1 vlan 10, 20, 30
instance 2 vlan 40, 50, 100
AC1/AC2:
AC1:
int vlan 60
vrrp 60 ip 192.1.60.254
vrrp ipv6 60 priority 150
!
interface VLAN 100
vrrp 110 ip 192.1.100.1
vrrp 110 priority 150
AC2:
AC1:
int vlan 60
vrrp 60 ip 192.1.60.254
vrrp ipv6 60 priority 120
!
interface VLAN 100
vrrp 110 ip 192.1.100.1
vrrp 110 priority 120
在S3和S4上配置VRRP,实现主机的网关冗余。所配置的参数要求如表1;S3、S4各VRRP组中高优先级设置为150,低优先级设置为120。
S3:
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 priority 150
int vlan 20
vrrp 20 ip 192.1.20.254
vrrp 20 priority 150
int vlan 30
vrrp 30 ip 192.1.30.254
vrrp 30 priority 150
int vlan 40
vrrp 40 ip 192.1.40.254
vrrp 40 priority 120
int vlan 50
vrrp 50 ip 192.1.50.254
vrrp 50 priority 120
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 priority 120
S4:
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 priority 120
int vlan 20
vrrp 20 ip 192.1.20.254
vrrp 20 priority 120
int vlan 30
vrrp 30 ip 192.1.30.254
vrrp 30 priority 120
int vlan 40
vrrp 40 ip 192.1.40.254
vrrp 40 priority 150
int vlan 50
vrrp 50 ip 192.1.50.254
vrrp 50 priority 150
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 priority 150
S3#show vrrp brief
Interface Grp Pri timer Own Pre State Master addr Group addr
VLAN 10 10 150 3.41 - P Master 192.1.10.252 192.1.10.254
ÖLAN 20 20 150 3.41 - P Master 192.1.20.252 192.1.20.254
VLAN 30$ 30 150 3.41 - P Master 192.1.30.252 192.1.30.254
VLAN 40 40 120 3.53 - P Backup 192.1.40.253 192.1.40.254
VLAN 50 50 120 3.53 - P Backup 192.1.50.253 192.1.50.254
VLAN 100 100 120 3.53 - P Backup 192.1.100.253 192.1.100.254
表1 S3和S4的VRRP参数表
| VLAN | VRRP****备份组号(VRID) | VRRP****虚拟IP |
|---|---|---|
| VLAN10 | 10 | 192.1.10.254 |
| VLAN20 | 20 | 192.1.20.254 |
| VLAN30 | 30 | 192.1.30.254 |
| VLAN40 | 40 | 192.1.40.254 |
| VLAN50 | 50 | 192.1.50.254 |
| VLAN100(交换机间) | 100 | 192.1.100.254 |
\1. S3、S4 的 vlan100 接口开启 IP 事件惩罚,半衰期为 30 秒,解除抑制时间为 1500秒,开始抑制门限为 10000,最长抑制时间为 100 秒。
S3/S4
interface VLAN 100
no ip proxy-arp //关闭代理arp
ip address 192.1.100.254 255.255.255.0
dampening 30 1500 10000 100
\2. 本部内网使用静态路由、OSPF 多协议组网。其中 S3、S4、S5、EG1、EG2、R1 使用 OSPF 协议,本部其余三层设备间使用静态路由协议。本部与分校广域网间使用静态路由协议(R1 除外),各分校局域网环境使用静态路由协议。要求网络具有安全性、稳定性。具体要求如下:
本部 OSPF 进程号为 10,规划多区域;区域 0(S3、S4),区域 1(S3,S4,S5),区域 2(S3,S4,EG1,EG2),区域 3(S4、R1)
区域 0 开启区域验证,验证密码为 ruijie;区域 1 为完全 NSSA 区域;
AP 使用静态路由协议;本部与分校通过重分发引入彼此路由;
要求本部业务网段中不出现协议报文;
不允许重发布直连路由,
Network 方式发布本地明细路由;
为了管理方便,需要发布 Loopback 地址;优化 OSPF 相关配置,以尽量加快 OSPF 收敛;重发布路由进 OSPF 中使用类型 1
S3:\
router ospf 10
router-id 11.1.0.33
graceful-restart
redistribute static metric-type 1 subnets
passive-interface VLAN 10
passive-interface VLAN 20
passive-interface VLAN 30
passive-interface VLAN 40
passive-interface VLAN 50
area 0 authentication message-digest
area 1 nssa no-summary
network 10.1.0.0 0.0.0.3 area 1
network 10.1.0.4 0.0.0.3 area 2
network 10.1.0.40 0.0.0.3 area 2
network 11.1.0.33 0.0.0.0 area 0
network 192.1.10.0 0.0.0.255 area 0
network 192.1.20.0 0.0.0.255 area 0
network 192.1.30.0 0.0.0.255 area 0
network 192.1.40.0 0.0.0.255 area 0
network 192.1.50.0 0.0.0.255 area 0
network 192.1.100.0 0.0.0.255 area 0
!
S4:
router ospf 10
router-id 11.1.0.34
graceful-restart
passive-interface VLAN 10
passive-interface VLAN 20
passive-interface VLAN 30
passive-interface VLAN 40
passive-interface VLAN 50
redistribute static metric-type 1 subnets
area 0 authentication message-digest
area 1 nssa no-summary
network 10.1.0.8 0.0.0.3 area 2
network 10.1.0.12 0.0.0.3 area 3
network 10.1.0.32 0.0.0.3 area 1
network 10.1.0.36 0.0.0.3 area 2
network 10.1.0.12 0.0.0.3 area 3
network 11.1.0.34 0.0.0.0 area 0
network 192.1.10.0 0.0.0.255 area 0
network 192.1.20.0 0.0.0.255 area 0
network 192.1.30.0 0.0.0.255 area 0
network 192.1.40.0 0.0.0.255 area 0
network 192.1.50.0 0.0.0.255 area 0
network 192.1.100.0 0.0.0.255 area 0
S5:
router ospf 10
router-id 11.1.0.5
graceful-restart
redistribute static metric-type 1 subnets
area 1 nssa no-summary
network 10.1.0.0 0.0.0.3 area 1
network 10.1.0.32 0.0.0.3 area 1
network 11.1.0.5 0.0.0.0 area 1
EG1:
router ospf 10
router-id 11.1.0.11
graceful-restart
network 10.1.0.4 0.0.0.3 area 2
network 10.1.0.36 0.0.0.3 area 2
network 11.1.0.11 0.0.0.0 area 2
default-information originate metric-type 1
EG2:
router ospf 10
router-id 11.1.0.12
graceful-restart
network 10.1.0.8 0.0.0.3 area 2
network 10.1.0.40 0.0.0.3 area 2
network 11.1.0.12 0.0.0.0 area 2
default-information originate metric-type 1
R1:
router ospf 10
router-id 11.1.0.1
redistribute static metric-type 1 subnets
network 10.1.0.12 0.0.0.3 area 3
network 11.1.0.1 0.0.0.0 area 3
\3. 不允许在 R1 设备使用 IPV4 静态路由。
S3:
ip route 11.1.0.204 255.255.255.255 192.1.100.2
ip route 192.1.60.0 255.255.255.0 192.1.100.1
S4:
ip route 11.1.0.205 255.255.255.255 192.1.100.3
ip route 192.1.60.0 255.255.255.0 192.1.100.1
AC1:
ip route 0.0.0.0 0.0.0.0 192.1.100.254
AC2:
ip route 0.0.0.0 0.0.0.0 192.1.100.254
S6:
ip route 0.0.0.0 0.0.0.0 10.1.0.25
S7
ip route 0.0.0.0 0.0.0.0 10.1.0.29
ip route 195.1.20.0 255.255.255.0 10.1.0.50
R2:
ip route 192.1.0.0 255.255.0.0 20.0.0.1
ip route 194.1.0.0 255.255.0.0 10.1.0.26
R3:
ip route 192.1.0.0 255.255.0.0 10.1.0.22
ip route 195.1.0.0 255.255.0.0 10.1.0.30
\4. 本部路由器 R1 与北京校区路由器 R2、广州校区路由器 R3 间互联,其中 R1-R2 使用 Gi0/1 接口互联,R1-R3 使用 vlan 虚拟接口互联。现要求如下:使用链路聚合将 R1-R3 之间的两条链路进行聚合。
R1:
interface AggregatePort 1
switchport mode trunk
switchport trunk native vlan 100
!
interface FastEthernet 1/0
port-group 1
!
interface FastEthernet 1/1
port-group 1
!
R3:
interface AggregatePort 1
switchport mode trunk
switchport trunk native vlan 100
!
interface FastEthernet 1/0
port-group 1
!
interface FastEthernet 1/1
port-group 1
R1:
interface multilink 1
ip address 10.1.0.22 255.255.255.252
!
interface Serial 2/0
encapsulation PPP
ip address 20.0.0.1 255.255.255.252
clock rate 64000
!
interface Serial 3/0
encapsulation PPP
ppp multilink
ppp multilink group 1
!
interface Serial 4/0
encapsulation PPP
ppp multilink
ppp multilink group 1
clock rate 64000
R2:
interface Serial 2/0
encapsulation PPP
ip address 20.0.0.2 255.255.255.252
R3:
interface multilink 1
ip address 10.1.0.21 255.255.255.252
!
interface Serial 3/0
encapsulation PPP
ppp multilink
ppp multilink group 1
clock rate 64000
!
interface Serial 4/0
encapsulation PPP
ppp multilink
ppp multilink group 1
\5. 考虑到广域网线路安全性较差,所以需要使用 IPSec 对各分校到总校的业务数据进行加密。要求使用动态隧道主模式,安全协议采用 esp 协议,加密算法采用3des,认证算法采用 md5,以 IKE 方式建立 IPsec SA。
\6. 在 R1 上所配置的参数要求如下:ipsec 加密转换集名称为 myset;
动态 ipsec加密图名称为 dymymap;
预共享密钥为明文 123456;
静态的 ipsec 加密图 mymap。
R1:
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
!
!
crypto isakmp key 0 123456 address 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dymymap 5
set transform-set myset
reverse-route //配置反向路由注入功能
!
crypto map mymap 10 ipsec-isakmp dynamic dymymap
将动态的“dymymap”ipsec加密图映射至静态ipsec加密图 mymap中
interface multilink 1
ip address 10.1.0.22 255.255.255.252
crypto map mymap
int s2/0
crypto map mymap
\7. 在 R2 和 R3 上所配置的参数要求如下:
ACL 编号为 101;静态的 ipsec 加密图mymap;
预共享密钥为密文 123456 明文0 密文7。
R2:
ip access-list extended 101
10 permit ip 194.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255
!
!
!
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
!
!
crypto isakmp key 7 123456 address 20.0.0.1
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 20.0.0.1
set transform-set myset
match address 101
!
interface Serial 2/0
encapsulation PPP
ip address 20.0.0.2 255.255.255.252
crypto map mymap
R3:
ip access-list extended 101
10 permit ip 195.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255
!
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
!
!
crypto isakmp key 7 123456 address 11.1.0.22
crypto ipsec transform-set myset2 esp-3des esp-md5-hmac
!
crypto map mymap2 10 ipsec-isakmp
set peer 11.1.0.22
set transform-set myset2
match address 101
!
interface multilink 1
ip address 10.1.0.21 255.255.255.252
crypto map mymap2
S6:
ping 192.1.10.254 sou 194.1.10.254
S7:
ping 192.1.10.254 sou 195.1.10.254
R3#show crypto isakmp sa
destination source state conn-id lifetime(second)
11.1.0.22 ` 11.1.0.21 IKE_IDLE 0 86384
R2#show crypto isakmp sa
destination source state conn-id lifetime(second)
20.0.0.1 20.0.0.2 IKE_IDLE 0 86257
R1#show crypto isakmp sa
destination source state conn-id lifetime(second)
20.0.0.2 20.0.0.1 IKE_IDLE 0 86239
11.1.0.21 11.1.0.22 IKE_IDLE 1 86343
\8. 考虑到数据分流及负载均衡的目的,针对本部与各分校数据流走向要求如下: 通过修改 OSPF 接口 COST 达到分流的目的,且其值必须为 5 或 10;OSPF 通过路由引入时改变引入路由的 COST 值,且其值必须为 5 或 10;
本部 VLAN10,VLAN20, VLAN30 用户与互联网互通主路径规划为:S3-EG1;
本部 VLAN40,用户与互联网互通主路径规划为:S4-EG2;
各分校用户与互联网互通主路径规划为:S4-EG2;
主链路故障可无缝切换到备用链路上。
S3(config-if-VLAN 10)#ip ospf cost 5
S3(config-if-VLAN 10)#int vlan 20
S3(config-if-VLAN 20)#ip ospf cost 5
S3(config-if-VLAN 20)#int vlan 30
S3(config-if-VLAN 30)#ip ospf cost 5
S3(config-if-VLAN 30)#int vlan 40
S3(config-if-VLAN 40)#ip ospf cost 10
int gi0/6
ip ospf cost 5
int gi0/4
ip ospf cost 10
s4(config-if-VLAN 10)#int vlan 10
s4(config-if-VLAN 10)#ip ospf cost 10
S4(config-if-VLAN 10)#int vlan 20
S4(config-if-VLAN 20)#ip ospf cost 10
S4(config-if-VLAN 20)#int vlan 30
S4(config-if-VLAN 30)#ip ospf cost 10
S4(config-if-VLAN 30)#int vlan 40
S4(config-if-VLAN 40)#ip ospf cost 5
int gig0/6
ip ospf cost 5
int gig0/4
ip ospf cost 10
\9. 总部机构部署 IPV6 实现其 IPV6 终端互联互通,地址规划如下表 2:在 S3 和 S4 上配置 VRRP for IPv6,实现主机的 IPv6 网关冗余;VRRP 与 MSTP 的主备状态与 IPV4 网络一致。
S3:
int vlan 10
vrrp 10 ipv6 FE80::1
vrrp 10 ipv6 2001:192:10::254
vrrp ipv6 10 priority 150
vrrp ipv6 10 accept_mode //抢占模式
int vlan 20
vrrp 20 ipv6 FE80::1
vrrp 20 ipv6 2001:192:20::254
vrrp ipv6 20 priority 150
vrrp ipv6 20 accept_mode
int vlan 30
vrrp 30 ipv6 FE80::1
vrrp 30 ipv6 2001:192:30::254
vrrp ipv6 30 priority 150
vrrp ipv6 30 accept_mode
int vlan 40
vrrp 40 ipv6 FE80::1
vrrp 40 ipv6 2001:192:40::254
vrrp ipv6 40 priority 120
vrrp ipv6 40 accept_mode
int vlan 100
vrrp 100 ipv6 FE80::1
vrrp 100 ipv6 2001:192:100::254
vrrp ipv6 100 priority 120
vrrp ipv6 100 accept_mode
ipv6 router ospf 10
passive-interface VLAN 10
passive-interface VLAN 20
passive-interface VLAN 30
passive-interface VLAN 40
S4:
int vlan 10
vrrp 10 ipv6 FE80::1
vrrp 10 ipv6 2001:192:10::254
vrrp ipv6 10 priority 120
vrrp ipv6 10 accept_mode
int vlan 20
vrrp 20 ipv6 FE80::1
vrrp 20 ipv6 2001:192:20::254
vrrp ipv6 20 priority 120
vrrp ipv6 20 accept_mode
int vlan 30
vrrp 30 ipv6 FE80::1
vrrp 30 ipv6 2001:192:30::254
vrrp ipv6 30 priority 120
vrrp ipv6 30 accept_mode
int vlan 40
vrrp 40 ipv6 FE80::1
vrrp 40 ipv6 2001:192:40::254
vrrp ipv6 10 priority 150
vrrp ipv6 40 accept_mode
int vlan 50
vrrp 50 ipv6 FE80::1
vrrp 50 ipv6 2001:192:50::254
vrrp ipv6 50 priority 150
vrrp ipv6 50 accept_mode
int vlan 100
vrrp 100 ipv6 FE80::1
vrrp 100 ipv6 2001:192:100::254
vrrp ipv6 100 priority 150
ipv6 router ospf 10
passive-interface VLAN 10
passive-interface VLAN 20
passive-interface VLAN 30
passive-interface VLAN 40
S3、S4、R1 间部署 OSPFV3,进程为 10,区域为 0;R2、S6 间部署 OSPFV3 进程为 10,区域为 0;R3、S7 间部署 OSPFV3 进程为 10,区域为 0;
S3:
ipv6 router ospf 10
router-id 11.1.0.33
int vlan 10
ipv6 ospf 10 area 0
int vlan 20
ipv6 ospf 10 area 0
int vlan 30
ipv6 ospf 10 area 0
int vlan 40
ipv6 ospf 10 area 0
int vlan 100
ipv6 ospf 10 area 0
S4:
ipv6 router ospf 10
router-id 11.1.0.34
int vlan 10
ipv6 ospf 10 area 0
int vlan 20
ipv6 ospf 10 area 0
int vlan 30
ipv6 ospf 10 area 0
int vlan 40
ipv6 ospf 10 area 0
int vlan 100
ipv6 ospf 10 area 0
int gi0/7
ipv6 ospf 10 area 0
S4 : R1
int vlan 100
ipv6 ospf network point-to-point
int gi0/7
ipv6 ospf network point-to-point
R1:
ipv6 router ospf 10
R1(config-router)#router-id 11.1.0.1
Change router-id and update OSPFv3 process! [yes/no]:y
R1(config-router)#
R1(config-router)#
R1(config-router)#int gi0/0
R1(config-if-GigabitEthernet 0/0)#ipv
R1(config-if-GigabitEthernet 0/0)#ipv6 os
R1(config-if-GigabitEthernet 0/0)#ipv6 ospf 10 ar
R1(config-if-GigabitEthernet 0/0)#ipv6 ospf 10 area 0
R2:
interface GigabitEthernet 0/0
ipv6 ospf 10 area 0
!
ipv6 router ospf 10
router-id 11.1.0.2
S6:
ipv6 router ospf 10
router-id 11.1.0.6
!
int gi0/24
ipv6 ospf 10 area 0
!
interface VLAN 10
ipv6 ospf 10 area 0
R3:
interface GigabitEthernet 0/0
ipv6 ospf 10 area 0
!
ipv6 router ospf 10
router-id 11.1.0.2
S7:
ipv6 router ospf 10
router-id 11.1.0.7
!
int gi0/24
ipv6 ospf 10 area 0
!
interface VLAN 10
ipv6 ospf 10 area 0
S3、S4、AC1、AC2 部署 IPV6 静态路由协议,实现总部有线与无线 IPV6 终端互联互通。
S3:
S3(config)#ipv6 route 2001:192:60::/64 2001:192:100::1
S4:
S4(config)#ipv6 route 2001:192:60::/64 2001:192:100::1
//报告单是 2001:192:100::1
AC1 AC2:
ipv6 route ::/0 2001:192:100::254
ipv6 router ospf 10
redistribute static metric-type 1
ipv6 router ospf 10
redistribute static metric-type 1
\10. R1\R2 间部署 IPV6 ISATAP 动态隧道,隧道内部署静态路由协议,实现总分机构间 IPV6 终端互联互通;R1\R3 间部署 IPV6 6to4 隧道,隧道内部署静态路由协议,实现总分机构间 IPV6 终端互联互通。
R1:
interface Tunnel 0
tunnel modu ipv6ip 6to4
tunnel source xxx
ipv6 address xxx
ipv6 enable
!
interface Tunnel 1
tunnel mode ipv6ip isatap
tunnel source xxx
ipv6 address 2001::/64 eui-64
ipv6 enable
!
R2:
interface Tunnel 1
tunnel mode ipv6ip isatap
tunnel source xxx
ipv6 address 2001::/64 eui-64
ipv6 enable
R3:
interface Tunnel 0
tunnel mode ipv6ip 6to4
tunnel source xxx
ipv6 address xxx
ipv6 enable
R1
ipv6 route 2002::/16 Tunnel 0
ipv6 route 2001:194::/32 Tunnel 1 2001::5efe:1400:2
ipv6 route 2001:195::/32 2002:b01:15::254
R2
ipv6 route 2001:192::/32 Tunnel 1 2001::5EFE:1400:1
R3
ipv6 route 2001:192::/32
ipv6 route 2002::/16 Tunnel 0 2002:B01:16::254
R1:
Tunnel 0 [up/up]
FE80::B01:16
2002:B01:16::254
Tunnel 1 [up/up]
FE80::5EFE:1400:1
2001::5EFE:1400:1
R2:
Tunnel 1 [up/up]
FE80::5EFE:1400:2
2001::5EFE:1400:2
R3:
Tunnel 0 [up/up]
FE80::B01:15
2002:B01:15::254
S6:
S6#ping ipv6 2001:192:10::254 source 2001:194:10::254
Sending 5, 100-byte ICMP Echoes to 2001:192:10::254, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
S7:
S7#ping ipv6 2001:192:10::254 source 2001:195:10::254
Sending 5, 100-byte ICMP Echoes to 2001:192:10::254, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
表 2 IPV6 参数表
| 设 备 | 接口 | IPV6 地址 | VRRP 组号 | 虚拟 IP |
|---|---|---|---|---|
| S3 | VLAN10 | 2001:192:10::252/64 | 10 | 2001:192:10::254/64 |
| VLAN20 | 2001:192:20::252/64 | 20 | 2001:192:20::254/64 | |
| VLAN30 | 2001:192:30::252/64 | 30 | 2001:192:30::254/64 | |
| VLAN40 | 2001:192:40::252/64 | 40 | 2001:192:40::254/64 | |
| VLAN100 | 2001:192💯:252/64 | 100 | 2001:192💯:254/64 | |
| S4 | VLAN10 | 2001:192:10::253/64 | 10 | 2001:192:10::254/64 |
| VLAN20 | 2001:192:20::253/64 | 20 | 2001:192:20::254/64 | |
| VLAN30 | 2001:192:30::253/64 | 30 | 2001:192:30::254/64 | |
| VLAN40 | 2001:192:40::253/64 | 40 | 2001:192:40::254/64 | |
| VLAN100 | 2001:192💯:253/64 | 100 | 2001:192💯:254/64 | |
| Gi0/7 | 2001:193:10::1/64 | |||
| AC1 | VLAN60 | 2001:192:60::252/64 | 60 | 2001:192:60::254/64 |
| VLAN100 | 2001:192💯:2/64 | 110 | 2001:192💯:1/64 | |
| AC2 | VLAN60 | 2001:192:60::253/64 | 60 | 2001:192:60::254/64 |
| VLAN100 | 2001:192💯:3/64 | 110 | 2001:192💯:1/64 | |
| R1 | Gi0/0 | 2001:193:10::2/64 | ||
| Tunnel 0 | 自行计算/64 | |||
| Tunnel 1 | 2001::/64 | |||
| R2 | Gi0/0 | 2001:193:20::1/64 | ||
| Tunnel 1 | 2001::/64 | |||
| S6 | Gi0/24 | 2001:193:20::2/64 | ||
| VLAN10 | 2001:194:10::254/64 |
| R3 | Gi0/0 | 2001:193:30::1/64 | ||
|---|---|---|---|---|
| Tunnel0 | 自行计算/64 | |||
| S7 | Gi0/24 | 2001:193:30::2/64 | ||
| VLAN10 | 2001:195:10::254/64 |
(三)无线网络配置
CII集团公司拟投入13.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划)。
2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。
3.根据表2无线产品价格表,制定该无线网络工程项目设备的预算表。
| 网络设备型号 | 单价 | 数量 | 总价 | 分值 |
|---|---|---|---|---|
| AP330-I | 6000 | 6 | 36000 | 1 |
| AP110-w | 2500 | 13 | 32500 | 1 |
| switch | 15000 | 1 | 15000 | 1 |
| ac | 50000 | 1 | 50000 | 1 |
| 总价 | 133500 |
表2 无线产品价格表:
| 产品型号 | 产品特征 | 传输速率 (2.4G/最大) | 推荐/最大带点数 | 功率 | 价格(元) |
|---|---|---|---|---|---|
| AP1 | 双频双流 | 300M/1.167G | 32/256 | 100mw | 6000 |
| AP2 | 双频双流 | 300M/600M | 32/256 | 100mw | 11000 |
| AP3 | 单频单流 | 150M | 12/32 | 60mw | 2500 |
| 线缆1 | 10米馈线 | N/A | N/A | N/A | 1600 |
| 线缆2 | 15米馈线 | N/A | N/A | N/A | 2400 |
| 天线 | 双频单流/单频单流 | N/A | N/A | N/A | 500 |
| Switch | 24口POE交换机 | N/A | N/A | 240w | 15000 |
| AC | 无线控制器 | 6*1000M | 32/200 | 40w | 50000 |
\4. 使用AC为本部无线用户DHCP服务器,使用S3、S4为本部AP的DHCP服务器
S3
service dhcp
!
ip dhcp pool AP
option 138 ip 11.1.0.204 11.1.0.205
network 192.1.50.0 255.255.255.0
default-router 192.1.50.254
/S4:
service dhcp
ip dhcp pool AP
option 138 ip 11.1.0.204 11.1.0.205
network 192.1.50.0 255.255.255.0
default-router 192.1.50.254
AC1:(config)#ip dhcp pool Wireless
AC1:(dhcp-config)#network 192.1.60.0 255.255.255.0
AC1:(dhcp-config)#default-router 192.1.60.254
AC2:(config)#ip dhcp pool Wireless
AC2:(dhcp-config)#network 192.1.60.0 255.255.255.0
AC2:(dhcp-config)#default-router 192.1.60.254
S3分配AP地址范围为其网段的1至100,S4分配AP地址范围为其网段的101至200。
S3:
ip dhcp pool AP
network 192.1.50.0 255.255.255.0 192.1.50.1 192.1.50.100
S4:
ip dhcp pool AP
network 192.1.50.0 255.255.255.0 192.1.50.101 192.1.50.200
\5. 创建本部SSID(WLAN-ID 1)为test-ZX_XX(XX现场提供),AP-Group为ZX,本部无线用户关联SSID后可自动获取地址,启用802.1X认证方式,要求本部无线用户启用集中转发模式(SMP)
AC1(config)#show ac-config client
========= show sta status =========
AP : ap name/radio id
Status: Speed/Power Save/Work Mode/Roaming State/MU MIMO, E = enable power save, D = disable power save
BACKUP = STA is on peer AC
Total Sta Num : 1
Backup Sta Num : 0
STA MAC IP Address AP Wlan Vlan Status Asso Auth Net Auth Up time
-------------- ------------------------------ ---------------------------------------- ---- ---- ------------------ --------------- --------------- ------------
cc83.03f0.8821 192.1.60.1 AP1/1 1 60 11.0M/D/bgn OPEN OPEN 0:00:01:05
\6. 认证服务器(IP:194.1.100.100)建立总部认证用户user1,user2,分部认证用户user3,user4分别对应WEB、DOT1X认证;如果是SMP的话,这玩意要用SMP做哈。
\7. AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去连接时能无缝切换至AC2并提供服务。
本地loop地址和对端loopAC1#ping 11.1.0.205 source loopback 0
Sending 5, 100-byte ICMP Echoes to 11.1.0.205, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms.
AC1#地址能够互通
AC1:
wlan hot-backup 11.1.0.205
description AC2
local-ip 11.1.0.204
!
context 1
priorit} level 7
ap-group ZX
!
wlan hot-backup enable
AC2:
wlan hot-backup 11.1.0.204
description AC2
local-ip 11.1.0.205
!
context 1
priority level 1
ap-group ZX
ap-group default
!
wlan hot-backup enable
\8. 为了保证合法用户连接入本部内网,本部无线用户使用MAC校验方式。在本部的AC设备上配置白名单只允许PC1(无线网卡ipconfig确定MAC地址)接入无线网络中,并设置AC白名单数量最多为10。
AC1:
wids
whitelist max 10
whitelist mac-address xxxx.xxxx.xxxxx
user-isolation ap enable
限制 AP1 关联用户数最高为 16。限制 AP1 的 becaon 帧发送周期为 200ms。
AC(config)#ap-config AP1(根据具体名字而决定)
AC(config-ap)#sta-limit 16
AC(config-ap)#beacon period 200 radio 1
AC(config-ap)#beacon period 200 radio 2
\9. 在同一个AP中的用户在某些时候出于安全性的考虑,需要将他们彼此之间进行隔离,实现用户之间彼此不能互相访问,配置AP1实现同AP下用户间隔离功能
\8. 本部关闭低速率(11b/g 1M,2M,5M,11a 6M)应用接入。
ac-controller
802.11g network rate 1 disabled
802.11g network rate 2 disabled
802.11g network rate 5 disabled
802.11b network rate 1 disabled
802.11b network rate 2 disabled
802.11b network rate 5 disabled
802.11a network rate 6 disabled
\13. 北京校区与广州校区使用无线AP胖模式进行部署。
\14. AP2以透明模式(二层接口)进行部署,S6部署DHCP为无线终端和AP分配地址。
\15. AP2创建SSID(WLAN-ID 1)为test-BJ_XX(XX现场提供),采用WEB进行认证,认证用户名为user1,密码为XX(现场提供)。
透明模式 网关在其他设备 二层接口
S6:
service dhcp
!
ip dhcp pool AP
network 194.1.30.0 255.255.255.0
default-router 194.1.30.254
!
ip dhcp pool Wireless
network 194.1.20.0 255.255.255.0
default-router 194.1.20.254
int gi0/23
sw mo tr
sw tr all vlan on 20,30
sw tr nat vlan 30
ip route 194.1.30.0 255.255.255.0 194.1.30.1
AP2:
service dhcp
enable service web-server http
!
vlan 20
!
interface GigabitEthernet 0/1
ip address 194.1.30.1 255.255.255.0
!
interface GigabitEthernet 0/1.20
encapsulation dot1Q 20
!
ip route 0.0.0.0 0.0.0.0 194.1.30.254
web认证:
输入 8081端口
AP2#show web-auth user all
Current user num: 1, Online 1
Address Online Time Limit Time used Status Name
--------------------------------------- ------- -------------- -------------- --------------- ---------
194.1.20.2 On 0d 00:00:00 0d 00:01:24 Active user1
\16. AP3以路由模式进行部署,本地部署DHCP为无线终端分配地址。
\17. AP3创建SSID(WLAN-ID 1)为test-GZ_XX(XX现场提供),启用白名单校验,放通PC3无线网卡。
路由模式 网关在AP本身
vlan 20
!
interface BVI 20
ip address 195.1.20.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.0.49
!
service dhcp
!
ip dhcp pool BVI20
network 195.1.20.0 255.255.255.0
default-router 195.1.20.254
!
interface GigabitEthernet 0/1
ip address 10.1.0.50 255.255.255.252
!
interface GigabitEthernet 0/1.20
encapsulation dot1Q 20
!
ip route 0.0.0.0 0.0.0.0 10.1.0.49
AP3(config)#show dot11 associations all-client
RADIO-ID WLAN-ID ADDR AID CHAN RATE_DOWN RATE_UP RSSI ASSOC_TIME IDLE TXSEQ RXSEQ ERP STATE CAPS HTCAPS VHT_MU_CAP
1 1 80:c6:d1:5f:e7:73 1 1 144.5M 117.0M 58 0:00:53 0 458 14064 0x0 0x13 ERSs S SU
AP3(config)#show wids whitelist
------------- White list Information ---------------
Total num:1
NUM MAC-ADDRESS
1 0002.0002.0002
(四)出口网络配置
1.本部出口网关上配置访问控制列表,允许本部、分部有线无线业务网段(ACL编号110)通过NAPT访问联通、教育网资源。
EG1
ip access-list extended 110
5 permit ip 192.1.10.0 0.0.0.255 any
10 permit ip 192.1.60.0 0.0.0.255 any
20 permit ip 194.1.10.0 0.0.0.255 any
30 permit ip 194.1.20.0 0.0.0.255 any
40 permit ip 195.1.10.0 0.0.0.255 any
50 permit ip 195.1.20.0 0.0.0.255 any
!
ip nat pool nat_pool prefix-length 24
add int GigabitEthernet 0/1 match interface GigabitEthernet 0/2
!
ip nat inside source list 110 pool nat_pool overload
int gi0/0
ip nat in
int gi0/1
ip nat out
int gi0/2
ip nat out
int gi0/3
ip nat in
2.在本部EG1上配置,使本部核心交换S4(11.1.0.34)设备的Telnet服务可以通过互联网被访问,将其地址映射至联通线路上,映射地址为196.1.0.10。
ip nat in source static tcp 11.1.0.4 23 196.1.0.10 23
S4:开启telnet
EG2: 下发默认路由 cost 10
EG2:
telnet 196.1.0.10
S4:
EG1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 196.1.0.10:23 11.1.0.34:23 196.1.0.2:38375 196.1.0.2:38375
3.需确保NAT映射数据流来回一致,启用EG源进源出功能保证任何外网用户(联通、电信、移动、教育……)均可访问映射地址196.1.0.10。
reverse-path
4.在本部网关上启用Web Portal认证服务,并创建user1、user2,密码均为123456;
有线用户需进行WEB认证访问互联网。
S1:pc接1口 获取dhcp
访问 EG2 任意接口 8081端口
5.无线用户不需在EG上进行WEB认证即可访问互联网。
EG2(config)#show web-auth direct-host range
Direct host Ranges: 3
Start Address End Address Port Binding Group Description
--------------- --------------- -------------- -------------------------------------------------- --------------------------------------------------
192.1.60.1 192.1.60.254 N/A N/A N/A
194.1.20.1 194.1.20.254 N/A N/A N/A
195.1.20.1 195.1.20.254 N/A N/A N/A
8.对创建的用户user1用户上网活动不进行监控审计。
9.本部与分校用户数据流匹配EG内置联通与教育地址库,实现访问联通资源走联通线路,访问教育资源走教育线路;除联通、教育资源之外默认所有数据流在联通与教育线路间进行负载转发。
(五)网络运维配置
1.完成整网连通后,进入网络监控运维阶段,运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100),通过运维平台监控本部校区内所有设备(具体设备:S1-S5、EG1、EG2)。
2.通过运维平台将本部校区的被监控设备纳入监控范围;通过拓扑配置功能,将本部校区的网络拓扑配置到平台中;
3.将本部校区S3和EG1、EG2的两条链路作为重点监测链路,纳入链路监控;
4.自定义监控大屏(名称:Chinaskills_network),将网络拓扑、设备运行状态(CPU使用率)、链路运行状态实时显示在大屏中。
(六)SDN网络配置
1.SDN控制器登录地址:192.168.1.2/24,默认用户密码为admin/test@123。
2.使用S1/S2/S4构建SDN网络,S1/S2连接SDN控制器的6653端口。S1/S2所有业务流转发需经SDN控制器统一控制管理。
3.通过SDN控制器手工给S2下发一条流表项名称为drop的流表,执行动作为丢弃,并在交换机上查看流表,测试普通PC禁止ping通高性能PC。
4.通过SDN控制器流表管理实现PC1/PC2与本部业务网段互联互通。
附录1:拓扑图
附录2:地址规划表
| 设备 | 接口或VLAN | VLAN****名称 | 二层或三层规划 | 说明 |
|---|---|---|---|---|
| S1 | VLAN10 | Office10 | Gi0/1至Gi0/4 | 办公网段 |
| VLAN20 | Office20 | Gi0/5至Gi0/8 | 办公网段 | |
| VLAN30 | Office30 | Gi0/9至Gi0/12 | 办公网段 | |
| VLAN40 | Office40 | Gi0/13至Gi0/16 | 办公网段 | |
| VlAN100 | Manage | 192.1.100.4/24 | ||
| Gi0/24 | SDN-Manage | 192.168.1.3 | SDN管理网段 | |
| S2 | VLAN10 | Office10 | Gi0/1至Gi0/4 | 办公网段 |
| VLAN20 | Office20 | Gi0/5至Gi0/8 | 办公网段 | |
| VLAN30 | Office30 | Gi0/9至Gi0/12 | 办公网段 | |
| VLAN40 | Office40 | Gi0/13至Gi0/16 | 办公网段 | |
| VlAN100 | Manage | 192.1.100./24 | ||
| Gi0/24 | SDN-Manage | 192.168.1.4 | SDN管理网段 | |
| S3 | VLAN10 | Office10 | 192.1.10.252/24 | 办公网段 |
| VLAN20 | Office20 | 192.1.20.252/24 | 办公网段 | |
| VLAN30 | Office30 | 192.1.30.252/24 | 办公网段 | |
| VLAN40 | Office40 | 192.1.40.252/24 | 办公网段 | |
| VLAN50 | AP | 192.1.50.252/24 | 无线AP管理 | |
| VLAN100 | Manage | 192.1.100.252/24 | 设备管理VLAN | |
| Gi0/4 | 10.1.0.41/30 | 互联EG2 | ||
| Gi0/5 | 10.1.0.1/30 | 互联S5 | ||
| Gi0/6 | 10.1.0.5/30 | 互联EG1 | ||
| LoopBack 0 | 11.1.0.33/32 | |||
| S4 | VLAN10 | Office10 | 192.1.10.253/24 | 办公网段 |
| VLAN20 | Office20 | 192.1.20.253/24 | 办公网段 | |
| VLAN30 | Office30 | 192.1.30.253/24 | 办公网段 | |
| VLAN40 | Office40 | 192.1.40.253/24 | 办公网段 | |
| VLAN50 | AP | 192.1.50.253/24 | 无线AP管理 | |
| VLAN100 | Manage | 192.1.100.253/24 | 设备管理VLAN | |
| Gi0/4 | 10.1.0.37/30 | 互联EG1 | ||
| Gi0/5 | 10.1.0.33/30 | 互联S5 | ||
| Gi0/6 | 10.1.0.9/30 | 互联EG2 | ||
| Gi0/7 | 10.1.0.13/30 | 互联R1 | ||
| LoopBack 0 | 11.1.0.34/32 | |||
| AC1 | LoopBack 0 | 11.1.0.204/32 | ||
| VLAN60 | Wiressless | 192.1.60.252/24 | 无线用户 | |
| Vlan100 | Manage | 192.1.100.2/24 | 管理与互联VLAN | |
| AC2 | LoopBack 0 | 11.1.0.205/32 | ||
| VLAN60 | Wiressless | 192.1.60.253/24 | 无线用户 | |
| Vlan100 | Manage | 192.1.100.3/24 | 管理与互联VLAN | |
| S5 | LoopBack 0 | 11.1.0.5/32 | ||
| Gi0/23 | 10.1.0.2/30 | 互联S3 | ||
| Gi0/24 | 10.1.0.34/30 | 互联S4 | ||
| EG1 | Gi0/0 | 10.1.0.6/30 | 互联S3 | |
| Gi0/1 | 196.1.0.1/24 | 互联EG2 | ||
| Gi0/2 | 197.1.0.1/24 | 互联EG2 | ||
| Gi0/3 | 10.1.0.38/30 | 互联S4 | ||
| LoopBack 0 | 11.1.0.11/32 | |||
| EG2 | Gi0/0 | 10.1.0.10/30 | 互联S4 | |
| Gi0/1 | 196.1.0.2/24 | 互联EG1 | ||
| Gi0/2 | 197.1.0.2/24 | 互联EG1 | ||
| Gi0/3 | 10.1.0.42/30 | 互联S3 | ||
| LoopBack 0 | 11.1.0.12/32 | |||
| R1 | Gi0/0 | 10.1.0.14/30 | 互联S4 | |
| Gi0/1 | 20.0.0.1/30 | 互联R2 | ||
| F1/0(vlan100) | 10.1.0.22/30 | 捆绑组1成员 | ||
| F1/1(vlan100) | 10.1.0.22/30 | 捆绑组1成员 | ||
| LoopBack 0 | 11.1.0.1/32 | |||
| R2 | Gi0/0 | 10.1.0.25/30 | 互联S6 | |
| Gi0/1 | 20.0.0.2/30 | 互联R1 | ||
| LoopBack 0 | 11.1.0.2/32 | |||
| R3 | Gi0/0 | 10.1.0.29/30 | 互联S7 | |
| F1/0(vlan100) | 10.1.0.21/30 | 捆绑组1成员 | ||
| F1/1(vlan100) | 10.1.0.21/30 | 捆绑组1成员 | ||
| LoopBack 0 | 11.1.0.3/32 | |||
| S6 | Gi0/24 | 10.1.0.26/30 | ||
| VLAN10 | Wire_user | 194.1.10.254/24 | 分校有线用户 Gi0/1-20 | |
| VLAN20 | Wireless_user | 194.1.20.254/24 | 分校无线用户 | |
| VLAN30 | AP | 194.1.30.254/24 | 分校AP Gi0/21-23 | |
| LoopBack 0 | 11.1.0.6/32 | |||
| S7 | Gi0/23 | 10.1.0.49/30 | AP | |
| Gi0/24 | 10.1.0.30/30 | |||
| VLAN10 | Wire_user | 195.1.10.254/24 | 分校有线用户 Gi0/1-20 | |
| LoopBack 0 | 11.1.0.7/32 | |||
| AP3 | Gi0/1 | 10.1.0.50/30 | ||
| BVI20 | 195.1.20.254/24 | 分校无线用户 |
.2/30 | 互联R1 | |
| LoopBack 0 | | 11.1.0.2/32 | | |
| R3 | Gi0/0 | | 10.1.0.29/30 | 互联S7 |
| F1/0(vlan100) | | 10.1.0.21/30 | 捆绑组1成员 | |
| F1/1(vlan100) | | 10.1.0.21/30 | 捆绑组1成员 | |
| LoopBack 0 | | 11.1.0.3/32 | | |
| S6 | Gi0/24 | | 10.1.0.26/30 | |
| VLAN10 | Wire_user | 194.1.10.254/24 | 分校有线用户 Gi0/1-20 | |
| VLAN20 | Wireless_user | 194.1.20.254/24 | 分校无线用户 | |
| VLAN30 | AP | 194.1.30.254/24 | 分校AP Gi0/21-23 | |
| LoopBack 0 | | 11.1.0.6/32 | | |
| S7 | Gi0/23 | | 10.1.0.49/30 | AP |
| Gi0/24 | | 10.1.0.30/30 | | |
| VLAN10 | Wire_user | 195.1.10.254/24 | 分校有线用户 Gi0/1-20 | |
| LoopBack 0 | | 11.1.0.7/32 | | |
| AP3 | Gi0/1 | | 10.1.0.50/30 | |
| BVI20 | | 195.1.20.254/24 | 分校无线用户 | |
![[激光原理与应用-77]:基于激光器加工板卡的二次开发软件的系统软硬件架构](https://img-blog.csdnimg.cn/direct/cb9383ef13cc4000a65a8a0204c1d38e.png)
