交换器篇.docx

交换器篇.docx

《交换器篇.docx》由会员分享，可在线阅读，更多相关《交换器篇.docx（21页珍藏版）》请在冰点文库上搜索。

交换器篇

交换机配置部分

1、交换机配置

（1）为交换机设备命名，命名规则参考为表1中的“设备名称”。

（2）在两台三层交换设备上开启telnet管理功能，同时要求每台网络设备只允许5条线路管理网络设备,管理设备使用2015DCN做为用户名,口令为telnet123，enable密码为pwd@dcn。

（3）根据需求完成vlan；

（4）总部的交换网络中，有4个VLAN；财务部使用VLAN10，名字为CW，生产部使用VLAN20，名字为SC，销售部使用VLAN30，名字为XS，技术部使用VLAN40，名字JS；

分部一的交换网络中，共2个VLAN，分别为VLAN100、VLAN200；

按下表要求将端口加入VLAN：

设备名称

VLAN

端口

SW-2L-1

10

E1/3

20

E1/4

30

E1/5-6

40

E1/7-8

SW-2L-2

100

E1/2

200

E1/3

（5）使用端口汇聚技术，在SW-3L-1与SW-3L-2之间的链路启用端口汇聚，汇聚接口为动态方式，要求SW-3L-1为主动端，负载分担方式基于源、目地MAC及IP地址。

（6）配置生成树协议，要求启用MSTP协议，name为2015DCN，revision-level1，实例1中包括VLAN10、20；实例2中包括VLAN30、40；要求SW-3L-1为实例1的主根，SW-3L-2为实例2的主根，并互为备份根

（7）在三层交换机上启用路由功能，实现VLAN间互通。

（8）在三层交换之间启用VRRP协议，为VLAN、10、20、30、40实现网关备份，组地址为该VLAN中的最后一个可用IP,SW-3L-1为VLAN10、20的master；SW-3L-2为30、40的master，且互为备份，开启抢占功能

（9）为PC1双向流量进行分析，网络分析仪将安装在SW-2L-1的Ethernet1/20接口下，请把相应流量映射给Ethernet1/20接口。

2

（1）为了统一管理，所有交换机开启Telnet功能，用户名为user1，密码为PWD@123，用户级别为15级，Enable密码为DCN（注意密码大小写）。

（2）使用端口汇聚技术，将SW3-1的E1/0/22-23和二层交换机SW-1的E1/23-24配置为端口汇聚，汇聚接口为动态方式。

SW-1负载分担方式基于源、目地MAC

（3）在SW3-1连接FW-1的端口进行端口限速，将SW3-1的E1/0/24端口双向限速为20M。

（4）上海办公区为了加强内网防护等级，计划后续增加流量分析服务器，本次首先将PC1、PC2所连端口的双向流量镜象到端口E1/20，以便后续增加的流量分析服务器分析内网服务器的流量。

3

（1）为交换机设备命名，命名规则参考为表1中的“设备名称”。

（2）用户为了维护方便，需要远程控制L3SW1和L3SW2交换机。

通过telnet的技术使用。

只允许10.1.100.0/24整个网段都可以进行登陆。

用户名为：

server,密码为serverenable,用户特权密码为enable,。

（3）依据“拓扑结构图”和VLAN接口地址表，在交换机上完成VLAN配置和端口分配。

VLAN接口地址表

设备

VLAN名称

VLANID

接口

L2SW1

Link-to-CW

10

Ethernet1/1~Ethernet1/4

Link-to-RJ

20

Ethernet1/5~Ethernet1/8

Link-to-XTJC

30

Ethernet1/9~Ethernet1/12

Link-to-GC

40

Ethernet1/13~Ethernet1/16

L3SW1

Link_to_Server

50

Ethernet1/0/1~Ethernet1/0/4

（4）总公司采用DCHP的方式把地址动态分配给vlan10,vlan20,vlan30,vlan40的用户。

DHCP服务器的地址是10.1.100.101。

（5）总公司两个核心交换机L2SW1和L3SW1之间使用冗余线路连接，端口23和端口24配置端口聚合，方式为动态方式。

（6）分公司的地址都在同一网段。

但分为两个部门，销售部，行政部。

现公司领导要求：

销售部，行政部之间不能互相访问，公司内部来访人员的有2台电脑，这2台电脑之间不可以互相访问，也不可以访问销售部，行政部。

无线相当于销售部或行政部的功能。

Vlan名称

部门

接口

10

销售部

Ethernet1/0/1~Ethernet1/0/2

20

行政部

Ethernet1/0/3~Ethernet1/0/4

30

无线

Ethernet1/0/5~Ethernet1/0/6

40

来访人员

Ethernet1/0/7~Ethernet1/0/8

（7）总公司内部主机经常无法上网，网管在解决故障时发现，主机自动获取的地址是192.168.100.1网段地址，经过排障发现，由于很多人私自架设无线路由导致，请配置相关命令，防止非法的DHCPServer影响网络，公司的DHCP服务器在L2SW1上。

（8）在改造过程中，网络管理员提出网络经常上网时断时续，有时完全断网，猜测有可能是ARP病毒引起网络故障，为了确认故障问题，在L2SW1上通过22端口进行双向流量的查看，请帮助管理员查找问题所在。

（9）经过查看后发现是端口10的主机发出的arp网关欺骗报文，欺骗其它主机，除了对系统相应的杀毒处理后，为了避免相同故障再次发生，在交换机的端口10上进行ARP的保护。

请配置相关命令。

（10）通过这次流量查看发现，在L2SW1的交换机上在端口19端口20之间有异常流量，占用流量非常大，管理员决定把端口经行隔离，请配置相关命令。

（11）OSPF区域0开启基于区域的认证。

认证方式为MD5方式，密码为123。

4

（12）为交换机设备命名，命名规则参考为表1中的“设备名称”。

（13）用户为了维护方便，需要远程控制L3SW1和L3SW2交换机。

同时还要考虑网络安全，选择安全性较高，对密码进行密文传输的技术使用。

只允许10.100.100.0/24整个网段都可以进行登陆。

用户名为：

user1,密码为2015network。

（14）依据“拓扑结构图”和VLAN接口地址表，在交换机上完成VLAN配置和端口分配。

VLAN接口地址表

设备

VLAN名称

VLANID

接口

L2SW1

Link-to-CW

10

Ethernet1/1~Ethernet1/4

Link-to-RJ

20

Ethernet1/5~Ethernet1/8

Link-to-XTJC

30

Ethernet1/9~Ethernet1/12

Link-to-GC

40

Ethernet1/13~Ethernet1/16

L2SW2

Link_to_Server

50

Ethernet1/1~Ethernet1/4

（15）采用基于VLAN生成树协议，实现网络中的冗余备份，按需求设置MST根的优先级为4096,非根优先级为8192,MST的name为test。

交换机创建两个实例：

分别为Instance10和Instance20，其中Instance10关联VLAN10和VLAN20，VLAN50,Instance20关联VLAN30和VLAN40。

采用VRRP技术实现网络中三层冗余备份，L3SW1为Instance10的主交换机，为Instance20备份交换机；L3SW2为Instance20主交换机，为Instance10的备份交换机。

要求VRRP组分别为10,20,30,40,50，并对应相关vlan，VRRP组高优先级设置为120。

（16）总公司采用DCHP的方式把地址动态分配给vlan10,vlan20,vlan30,vlan40的用户。

DHCP服务器的地址是10.100.100.101。

（17）总公司两个核心交换机L3SW1和L3SW2之间使用冗余线路连接，端口Ethernet1/0/23和Ethernet1/0/24配置端口聚合，方式为动态方式。

（18）分公司的地址都在同一网段。

但分为两个部门，销售部，行政部。

现公司领导要求：

销售部，行政部之间不能互相访问，公司内部来访人员的有2台专用电脑，这2台电脑之间不可以互相访问，也不可以访问销售部，行政部。

Vlan名称

部门

接口

10

销售部

Ethernet1/0/1~Ethernet1/0/2

20

行政部

Ethernet1/0/3~Ethernet1/0/4

30

来访人员

Ethernet1/0/5~Ethernet1/0/6

（19）在改造过程中，网络管理员提出网络经常上网时断时续，有时完全断网，猜测有可能是ARP病毒引起网络故障，为了确认故障问题，在L2SW1上通过22端口进行双向流量的查看，请帮助管理员查找问题所在。

（20）经过查看后发现是L2SW1端口9的主机发出的arp网关欺骗报文，欺骗其它主机，除了对系统相应的杀毒处理后，为了避免相同故障再次发生，在交换机的端口9上进行ARP的保护。

请配置相关命令。

（21）通过流量查看发现，在总公司的L2SW1上在端口20的计算机经常私自看电影下载电影，占用流量非常大，管理员决定把端口速度限制在下行为8M，请配置相关命令。

（22）OSPF区域0开启基于区域的认证。

认证方式为MD5方式，密码为123。

4

（1）为交换机设备命名，命名规则参考为表1中的“设备名称”。

（2）在两台三层交换设备上开启SSH管理功能，使用安全IP技术，只允许10.100.100.11主机对三层交换设备进行管理，能通过CRT软件进行登录,用户名为dcn，口令为2015ssh，enable密码为2015network。

（3）依据“拓扑结构图”和下表，把相应端口加入到vlan中；

设备

VLAN名称

VLANID

接口

BJ-S1

CAIWUBU

10

———

GONGCHENGBU

20

———

RUANJIANBU

30

———

XITONGJICHENGBU

40

———

Link_to_bj-1

200

Ethernet1/0/22

BJ-S2

CAIWUBU

10

———

GONGCHENGBU

20

———

RUANJIANBU

30

———

XITONGJICHENGBU

40

———

Link_to_bj-1

200

Ethernet1/0/22

BJ-S3

CAIWUBU

10

Ethernet1/1－Ethernet1/5

Market

20

Ethernet1/6－Ethernet1/10

Software

30

Ethernet1/11－Ethernet1/15

Renshibu

40

Ethernet1/16－Ethernet1/20

HB-S1

Market

1

Ethernet1/1－Ethernet1/5

Software

Ethernet1/6－Ethernet1/10

Houqinbu

Ethernet1/11－Ethernet1/15

SH-AC

Link_to_SH－R1

200

ethernet1/0/24

XINGZHENGBU

10

ethernet1/0/5

XIAOSHOUBU

20

ethernet1/0/6

（4）使用端口汇聚技术，将BJ-RS1三层交换机接口ethernet1/0/23和ethernet1/0/24与BJ-S1二层交换机接口Ethernet1/23和Ethernet1/24配置为端口汇聚，汇聚接口为动态方式，负载分担方式基于目的IP地址。

（5）在总公司公司内网两台核心交换机之间做VRRP，并使得BJ-S1为vlan10的转发路由器。

（6）在总公司内网的BJ-S1、BJ-S2和BJ-S3设置MSTP，要求BJ-S1为vlan10的根网桥，并实现vlan10的数据通过左边链路进行访问。

（7）公司为了统一管理，通过SNMP技术使用网管软件对BJ-RS1进行管理，配置只读字串为public,读写字串为private，网管主机的地址为10.100.100.10。

（8）在北京总公司的接入交换机上BJ-S2上进行端口镜像，将Ethernet1/0/2-Ethernet1/0/20的数据流量转发到Ethernet1/0/21端口来实现对网络的监听。

（9）在北京总公司的接入交换机上BJ-S1上的Ethernet1/0/1端口开启ARP的防护功能，防止PC机发出网关欺骗报文。

（10）在总公司的网络中，在BJ-S1上Ethernet1/4接口上,要求mac为 00-FF-51-FD-AE-15的主机不能访问财务部的主机MAC地址为：

E0-94-67-05-5D-84，其余主机正常访问。

（11）在北京总公司的接入交换机BJ－S1上通过交换机的端口安全对Ethernet1/6口进行MAC地址绑定E0-94-67--5D-05-84，对Ethernet1/7进行设置，最多可以学习5个MAC地址，对于学习到更多的MAC地址时，直接进行丢弃且不产生通知。

（12）在BJ－S1上实现禁止VLAN40网段的任何计算机通过BT下载和做BT种子，BT常用端口范围6881~6890。

6

为交换机设备命名，命名规则参考为表1中的“设备名称”。

（2）在所有交换机上开启telnet登录,用户名和密码都为jnjs123。

（3）在SW1和SW2上配置OSPF路由协议和基于接口和区域的验证，采用MD5方式，用户名和密码都为jnjs123。

（4）根据表中的vlan划分，在各交换机上划分VLAN。

（5）在SW1上配置DHCP服务，实现VLAN110和VLAN120自动获取IP地址，并指定其各自的网关。

排除地址范围为10.1.1.1~10.1.1.10和10.1.2.1~10.1.2.10。

（6）为了防止网络中的DHCP无赖设备攻击，需要在网络中部署DHCP监听技术，为了保障客户机正常获取IP地址，需要配置DHCP中继技术。

（7）在SW1上配置端口镜像，要求把E0/0/23口的进出流量都镜像到e0/0/10接口。

（8）限制SW1的VLAN150的输入带宽限制最大值为2M，突发流量为1M。

禁止交换机所有以太口对445端口的TCP和UDP数据通讯。

接入VLAN110的计算机只允许来自VLAN120地址的计算机进行远程控制（远程控制协议使用3389端口）。

（9）在SW2和SW4上配置接口链路聚合，实现基于目标IP地址的负载分担。

（10）配置DHCP服务，实现AC、AP和无线用户分别自动获取管理地址及对应无线用户IP地址，并指定其各自的网关。

（11）在SW3的Fa0/5上配置端口安全，安全MAC地址为：

00-12-F1-00-ab-01，安全IP地址为10.1.1.60/24，并进行IP和MAC地址的绑定配置。

（12）在SW3和SW4上配置端口安全，实现每个接口只允许1个主机访问，违规关闭接口。

（13）在SW3和SW4上开启快速生成树，使所有的接入端口为portfast端口。

7

（13）为交换机设备命名，命名规则参考为表1中的“设备名称”。

（14）在两台三层交换设备上开启telnet管理功能，同时要求每台网络设备只允许6条线路管理网络设备,管理设备使用telnet作为用户名,口令为telnet，enable密码为2015network，enable密码的加密方式为密文加密。

（15）依据“拓扑结构图”和下表，把相应端口加入到vlan中；

设备

VLAN名称

VLANID

接口

SW3-1

CAIWUBU

10

———

GONGCHENGBU

20

———

RUANJIANBU

30

———

XITONGJICHENGBU

40

———

Link_to_SW-1

Trunk

E1/0/18

Link_to_SW-2

Trunk

E1/0/19

Link_to_SW3-2

Trunk

E1/0/21-E1/0/24

SW3-2

CAIWUBU

10

———

GONGCHENGBU

20

———

RUANJIANBU

30

———

XITONGJICHENGBU

40

———

Link_to_SW-1

Trunk

E1/0/18

Link_to_SW-2

Trunk

E1/0/19

Link_to_SW3-1

Trunk

E1/0/21-E1/0/24

SW-1

Link_to_SW3-1

Trunk

E1/23

Link_to_SW3-2

Trunk

E1/24

Server

100

E1/1

SW-2

Link_to_SW3-1

Trunk

E1/24

Link_to_SW3-2

Trunk

E1/23

Server

100

E1/1

Link_to_AP

150

E1/2

（16）使用端口汇聚技术，将SW3-1三层交换机接口ethernet1/0/21到ethernet1/0/24与SW3-2二层交换机接口Ethernet1/0/21到Ethernet1/0/24配置为端口汇聚，汇聚接口为静态方式，负载分担方式基于源-目地IP。

（17）公司为了统一管理，通过SNMP技术使用网管软件对交换机进行管理，配置只读字串为public,读写字串为private，网管主机的地址为10.100.100.10。

（18）SW3-1和SW3-2上运行VRRP协议，针对VLAN10、20、30、40、100、150进行冗余备份，虚拟网关地址使用本网段最后一个可用地址，SW3-2使用倒数第2个可用地址，SW3-1使用倒数第3个可用地址；SW3-2的优先级为110。

（19）SW3-1、SW3-2、SW-1和SW-2组成的冗余环境中启用多实例生成树来防止网络中的物理环路，SW3-2做为根桥，SW3-1做为备份根。

8

（20）为交换机设备命名，命名规则参考为表1中的“设备名称”。

（21）在两台三层交换设备上开启telnet管理功能，要求每台网络设备只允许15条线路管理网络设备,口令为2015telnet。

Enable密码为2015telnet，enable密码的加密方式为密文加密。

（22）依据“拓扑结构图”和下表，把相应端口加入到vlan中。

设备

VLANID

接口

BJ-S1

110

E1/8-12

120

E1/13-16

130

E1/1-3

BJ-RS1

150

E1/0/2-5

SH-RS1

200

E1/0/2-10

210

E1/0/11-20

CQ-S1

300

E1/2-10

310

E1/11-20

（23）使用端口汇聚技术，将BJ-RS1三层交换机接口E1/0/21和E1/0/22与BJ-S1二层交换机接口E1/21和E1/22配置为端口汇聚，汇聚接口为动态方式。

（24）在BJ-RS1和BJ-S1上配置MSTP，创建实例10和实例20，将VLAN110和120加入到实例10，vlan130和150加入到实例20，将BJ-RS1设置为根。

（25）在BJ-RS1上配置DHCP服务，使得VLAN120自动获取IP地址，并指定网关。

（26）在BJ-RS1上配置端口镜像，将流量映射到E1/9口上。

（27）在BJ-S1的E1/5上配置端口安全，安全MAC地址为：

00-12-F1-00-ab-01。

（28）在CQ-S1上配置流量控制，限制出口带宽为5M，入口带宽为2M。

（10）在SH－RS1上设置交换机的端口安全，设置VLAN210的端口最多可以学习5个MAC地址，当学习到更多的MAC地址时，直接进行丢弃且不产生通知。

（11）根据“网络拓扑结构图”所示，在三层交换机上配置路由协议。

9

为交换机设备命名，命名规则参考为表1中的“设备名称”，设备名称的命名规则与拓扑图图示名称相符；

（2）依据“拓扑结构图”和1-6表，在交换机上完成VLAN配置和端口分配,不允许不必要的VLAN通过；

表1-6VLAN虚拟IP地址表

设备

VLAN名称

VLANID

接口

SW1

Link_To_管理vlan

50

Ethernet1/0/20

Link_To_PC-A、PC-B、PC-C

100

Ethernet1/0/10－12

Link_To_RT1

1000

Ethernet1/0/1

Link_To_SW2

3000

Ethernet1/0/13-14

SW2

Link_To_管理vlan

50

Ethernet1/0/20

Link_To_RT2

2000

Ethernet1/0/1

Link_To_SW1

3000

Ethernet1/0/13-14

SW3

Link_To_SW1/SW2

trunk

Ethernet1/0/23-24

SCB（市场部）

10

Ethernet1/0/1-5

GCB（工程部）

20

Ethernet1/0/6-10

SW4

Link_To_SW1/SW2

trunk

Ethernet1/0/23-24

RJB（软件部）

30

Ethernet1/0/1-5

XTJCB（系统集成部）

40

Ethernet1/0/6-10

（3）天津总公司两个核心交换机SW1和SW2之间使用双线路连接，分别下联到接入交换机SW3和SW4，采用基于VLAN生成树，实现网络中的二层的负载均衡和冗余备份。

交换机创建两个实例：

分别为Instance10和Instance20，其中Instance10关联VLAN10和VLAN30，Instance20关联VLAN20和VLAN40。

SW1为缺省Instance0和Instance10的根交换机，为Instance20备份交换机；SW2为Instance20根交换机，为缺省Instance0和Instance10的备份交换机，按需求设置STP优先级为4096。

同时结合VRRP技术实现VLAN10、VLAN20、VLAN30、VLAN40内的用户网关的冗余备份。

设置SW1为VLAN10、30的Master，设置SW2为VLAN20、40的Master。

要求VRRP组中高优先级设置为130，低优先级设置为110，开启抢占特性，实现冗余切换。

并将各VLAN的虚拟IP地址规划填入下表1-7所示：

表1-7VLAN虚拟IP地址表

VLAN-ID

VRRP备份组号（VRID）

VRRP虚拟IP地址

VLAN10

10

VLAN20

20

VLAN30

30

VLAN40

40

（4）将SW1三层交换机Ethernet1/0/13和Ethernet1/0/14接口与SW2三层交换机Ethernet1/0/13和Ethernet1/0/14接口配置