掌握中大型园区网络的部署

实验要求：

一、安全管理

1、依据图中拓扑，为全网设备定义主机名、关闭域名解析、并在 Console 和VTY 线路下关闭线路超时并开启输出同步。

Router#conf t

Router (config)#hostname R1

R1(config)#no ip domain lookup

R1(config)#line console 0

R1(config-line)#logging synchronous 关闭输出同步

R1(config-line)#exec-timeout 0 0 关闭发呆超时

2、为实现安全远程登录，要求在设备 CS1 上创建本地用户名 PingingLab，密码CCIE，并只允许 3 个管理员同时远程登录，其中管理员地址分别为192.168.10.1~192.168.10.3；要求只运行 SSH 协议进行登录，并且关闭其他虚拟终端线路。

CS1(config)#username PingingLab secret CCIE

CS1(config)#line vty 0 2

CS1(config-line)#login local

CS1(config-line)#exit

CS1(config)#access-list 1 permit host 192.168.10.1

CS1(config)#access-list 1 permit host 192.168.10.2

CS1(config)#access-list 1 permit host 192.168.10.3

CS1(config)# line vty 0 2

CS1(config-line)# access-list 1 in

CS1(config-line)#exit

CS1(config)# line vty 3 4

CS1(config-line)#transport input none

CS1(config-line)#transport output none

CS1(config-line)#exit

CS1(config)# line vty 0 2

CS1(config-line)#transport input ssh

CS1(config-line)#transport output none

CS1(config-line)#exit

3、在设备 CS1 设置 banner，要求当远程登录时可以看到"THIS IS PingingLab*CCIE Lab*CS1"。

CS1#conf t

CS1(config)# banner login # THIS IS PingingLab*CCIE Lab*CS1#

CS1(config)#

4、在 CS2 上关闭 HTTP 服务，开启 HTTPS 服务并调用本地认证。

CS2#conf t

CS2(config)#no ip http server

CS2(config)# ip http secure-server

5、在 R1 的 E0/0 上关闭 CDP 服务。

R1#conf t

R1(config)#no cdp run

6、汇聚和接入交换机的管理 vlan 为 vlan1，所在网段为 192.168.1.0/24，其中DS1 的管理 IP 为 192.168.1.1/24，DS2 为 192.168.1.2/24，AS1 为192.168.1.3/24，AS2 为 192.168.1.4/24 。要求二层交换机可以远程管理。

DS1#conf t

DS1(config)#int vlan 1

DS1(config-if)#no shutdown

DS1(config-if)#ip add 192.168.1.1 255.255.255.0

DS1(config-if)#exit

DS2#conf t

DS2(config)#int vlan 1

DS2(config-if)#no shutdown

DS2(config-if)#ip add 192.168.1.2 255.255.255.0

DS2(config-if)#exit

AS1#conf t

AS1(config)#int vlan 1

AS1(config-if)#no shutdown

AS1(config-if)#ip add 192.168.1.3 255.255.255.0

AS1(config-if)#exit

AS1(config)#no ip routing

AS1(config)#ip default-gateway 192.168.1.1

AS2#conf t

AS2(config)#int vlan 1

AS2(config-if)#no shutdown

AS2(config-if)#ip add 192.168.1.4 255.255.255.0

AS2(config-if)#exit

AS2(config)#no ip routing

AS2(config)#ip default-gateway 192.168.1.1

二、交换技术

1、Trunk 技术

①DS1、DS2、AS1 交换机之间强制启用 Trunk 并关闭 DTP 协商，并采用802.1Q 进行封装。

②AS2 和其他交换机之间采用 DTP 协议协商 Trunk，AS2 端为 Auto 模式，其他交换机为 Desirable 模式。

③所有交换机要求 Trunk 上只允许 VLAN1、10、20、30、40 通过。

DS1#conf t

DS1(config)#interface range e0/2 , e0/3 , e1/0 , e1/1

DS1(config-if-range)#switchport mode trunk

DS1(config-if-range)#switchport trunk encapsulation dot1q

DS1(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

DS1(config-if-range)#end

DS1#show interfaces trunk查看trunk信息

DS1#show run int e0/2 窃配置

DS2#conf t

DS2(config)#interface range e0/2 , e0/3 , e1/0 , e1/1

DS2(config-if-range)#switchport mode trunk

DS2(config-if-range)#switchport trunk encapsulation dot1q

DS2(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

DS2(config-if-range)#end

DS2#show interfaces trunk查看trunk信息

AS1#conf t

AS1(config)#interface range e0/0 , e0/1

AS1(config-if-range)#switchport mode trunk

AS1(config-if-range)#switchport trunk encapsulation dot1q

AS1(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

AS1(config-if-range)#end

AS1#show interfaces trunk查看trunk信息

AS2#conf t

AS2(config)#interface range e0/0 , e0/1

AS2(config-if-range)#switchport mode trunk

AS2(config-if-range)#switchport trunk encapsulation dot1q

AS2(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40

AS2(config-if-range)#end

AS2#show interfaces trunk查看trunk信息

2、VTP&VLAN 技术

①总部 DS1 和 DS2 均为 Server，其他交换机为 Client。

②总部 VTP 管理域为 PingingLab，密码为 cisco。

③总部全局开启 VTP 修剪。

④在 DS1 上创建 VLAN10/20/30/40，并要求全局同步。

⑥将不同用户接口放入相应的 VLAN 中。

DS1#conf t

DS1(config)#vtp mode server

DS1(config)#vtp domain PingingLab

DS1(config)#vtp password cisco

DS1(config)#vtp pruning

DS2#conf t

DS2(config)#vtp mode server

DS2(config)#vtp domain PingingLab

DS2(config)#vtp password cisco

AS1#conf t

AS1(config)#vtp mode client

AS1(config)#vtp domain PingingLab

AS1(config)#vtp password cisco

AS2#conf t

AS2(config)#vtp mode client

AS2(config)#vtp domain PingingLab

AS2(config)#vtp password cisco

创建VLAN

DS1(config)#vlan 10

DS1(config-vlan)#vlan 20

DS1(config-vlan)#vlan 30

DS1(config-vlan)#vlan 40

查看vtp是否生效

DS1#show vlan bri

DS2#show vlan bri

AS1#show vlan bri

AS1#show vlan bri

AS1#conf t

AS1(config)#int e0/2

AS1(config-if)#switchport mode access

AS1(config-if)#switchport access vlan 10

AS1(config-if)#exit

AS1(config)#int e0/3

AS1(config-if)#switchport mode access

AS1(config-if)#switchport access vlan 20

AS2#conf t

AS2(config)#int e0/2

AS2(config-if)#switchport mode access

AS2(config-if)#switchport access vlan 30

AS2(config-if)#exit

AS2(config)#int e0/3

AS2(config-if)#switchport mode access

AS2(config-if)#switchport access vlan 40

3、STP 技术

①部署 MSTP，全局 MSTP 域为 PL，修订号为 1，并创建两个实例，其中实例1 映射 10 和 30，实例 2 映射 20 和 40；

②要求 DS1 为实例 1 的主根，实例 2 的备根；DS2 为实例 1 的备根，实例 2 的主根。

③在接入层交换机上开启 BPDU 防护，当违反规则时，要求 30S 后恢复。

DS1#conf t

DS1(config)#spanning-tree mst configuration

DS1(config-mst)#instance 1 vlan10 , 30

DS1(config-mst)#instance 2 vlan20 , 40

DS1(config-mst)#revision 1

DS1(config-mst)#name PL

DS1(config-mst)#end

DS1#write

DS1#conf t

DS1(config)#spanning-tree mst 1 root primary

DS1(config)#spanning-tree mst 2 root secondary

DS1(config)#end

DS1#show run | section spanning窃配置

DS2(config)#spanning-tree mode mst

DS2(config)#spanning-tree extend system-id

DS2(config)#spanning-tree mst configuration

DS2(config-mst)#name PL

DS2(config-mst)#revision 1

DS2(config-mst)#instance 1 vlan10 , 30

DS2(config-mst)#instance 2 vlan20 , 40

DS2(config-mst)#exit

DS2(config)#spanning-tree mst 1 root secondary

DS2(config)#spanning-tree mst 2 root primary

AS1(config)#spanning-tree mode mst

AS1(config)#spanning-tree extend system-id

AS1(config)#spanning-tree mst configuration

AS1(config-mst)#name PL

AS1(config-mst)#revision 1

AS1(config-mst)#instance 1 vlan10 , 30

AS1(config-mst)#instance 2 vlan20 , 40

AS1(config-mst)#end

AS2(config)#spanning-tree mode mst

AS2(config)#spanning-tree extend system-id

AS2(config)#spanning-tree mst configuration

AS2(config-mst)#name PL

AS2(config-mst)#revision 1

AS2(config-mst)#instance 1 vlan10 , 30

AS2(config-mst)#instance 2 vlan20 , 40

AS2(config-mst)#end

AS1#show spanning-tree mst 1

配置BPDU

AS1#conf t

AS1(config)#int range e0/2 , e0/3

AS1(config-if-range)#spanning-tree bpduguard enable

AS1(config-if-range)#exit

AS1(config)#errdisable recovery cause bpduguard

AS1(config)#errdisable recovery interval 30

AS1(config)#end

AS1#show run | include err

AS2#conf t

AS2(config)#int range e0/2 , e0/3

AS2(config-if-range)#spanning-tree bpduguard enable

AS2(config-if-range)#exit

AS2(config)#errdisable recovery cause bpduguard

AS2(config)#errdisable recovery interval 30

4、VRRP 技术

①部署 VRRP 技术，要求 DS1 作为 VLAN10/30 的主网关，VLAN20/40 的备网关，DS2 作为 VLAN20/40 的主网关，VLAN10/30 的备网关，

其中网关地址如下：

VLAN10，主 192.168.10.253/24，备 192.168.10.252/24，虚 192.168.10.254/24

VLAN20，主 192.168.20.253/24，备 192.168.20.252/24，虚 192.168.20.254/24

VLAN30，主 192.168.30.253/24，备 192.168.30.252/24，虚 192.168.30.254/24

VLAN40，主 192.168.40.253/24，备 192.168.40.252/24，虚 192.168.40.254/24

DS1#conf t

DS1(config)#interface vlan 10

DS1(config)#no shut

DS1(config-if)#ip address 192.168.10.253 255.255.255.0

DS1(config-if)#vrrp 10 ip 192.168.10.254

DS1(config-if)#vrrp 10 priority 200

DS1(config-if)#exit

DS1(config)#interface vlan 20

DS1(config)#no shut

DS1 (config-if)#ip address 192.168.20.252 255.255.255.0

DS1(config-if)#vrrp 20 ip 192.168.20.254

DS1(config-if)#vrrp 20 priority 100

DS1 (config-if)#exit

DS1 (config)#interface vlan 30

DS1(config)#no shut

DS1 (config-if)#ip address 192.168.30.253 255.255.255.0

DS1(config-if)#vrrp 30 ip 192.168.30.254

DS1(config-if)#vrrp 30 priority 200

DS1 (config-if)#exit

DS1 (config)#interface vlan 40

DS1(config)#no shut

DS1 (config-if)#ip address 192.168.40.252 255.255.255.0

DS1(config-if)#vrrp 40 ip 192.168.40.254

DS1(config-if)#vrrp 40 priority 100

DS1 (config-if)#exit

DS1#show run int vlan 10

DS1#show run int vlan 20

DS1#show run int vlan 30

DS1#show run int vlan 40

DS1#write

DS2#conf t

DS2(config)#interface vlan 10

DS2(config)#no shut

DS2(config-if)#ip address 192.168.10.252 255.255.255.0

DS2(config-if)#vrrp 10 ip 192.168.10.254

DS2(config-if)#vrrp 10 priority 100

DS2(config-if)#exit

DS2(config)#interface vlan 20

DS2(config)#no shut

DS2 (config-if)#ip address 192.168.20.253 255.255.255.0

DS2(config-if)#vrrp 20 ip 192.168.20.254

DS2(config-if)#vrrp 20 priority 200

DS2(config-if)#exit

DS2(config)#interface vlan 30

DS2(config)#no shut

DS2(config-if)#ip address 192.168.30.252 255.255.255.0

DS2(config-if)#vrrp 30 ip 192.168.30.254

DS2(config-if)#vrrp 30 priority 100

DS2(config-if)#exit

DS2(config)#interface vlan 40

DS2(config)#no shut

DS2(config-if)#ip address 192.168.40.253 255.255.255.0

DS2(config-if)#vrrp 40 ip 192.168.40.254

DS2(config-if)#vrrp 40 priority 200

DS2(config-if)#exit

DS2#show run int vlan 10

DS2#show run int vlan 20

DS2#show run int vlan 30

DS2#show run int vlan 40

DS2#write

测试vrrp是否建立

DS1#show vrrp brief

DS2#show vrrp brief

5、DHCP Relay 技术

①在 R1 上同时部署 DHCP 服务，方便不同 VLAN 的主机接入网络，其中主DNS 为 8.8.8.8，备用 DNS 为 114.114.114.114。

②在 DS1 和 DS2 上部署 DHCP 中继技术。

各设备端口分配IP地址

R1#conf t

R1(config)#int e0/0

R1(config-if)#no shut

R1(config-if)#ip add 172.16.12.1 255.255.255.0

R1(config-if)#exit

R1(config)#int e0/1

R1(config-if)#no shut

R1(config-if)#ip add 172.16.13.1 255.255.255.0

CS1#conf t

CS1(config)#int e0/0

CS1(config-if)#no shut

CS1(config-if)#no switchport

CS1(config-if)#ip add 172.16.12.2 255.255.255.0

CS1(config-if)#exit

CS1(config)#int e0/3

CS1(config-if)#no shut

CS1(config-if)#no switchport

CS1(config-if)#ip add 172.16.24.2 255.255.255.0

CS1(config-if)#exit

CS1(config)#int e1/1

CS1(config-if)#no shut

CS1(config-if)#no switchport

CS1(config-if)#ip add 172.16.25.2 255.255.255.0

CS1#show ip int bri

CS1#write

CS2#conf t

CS2(config)#int e0/0

CS2(config-if)#no shut

CS2(config-if)#no switchport

CS2(config-if)#ip add 172.16.13.3 255.255.255.0

CS2(config-if)#exit

CS2(config)#int e0/3

CS2(config-if)#no shut

CS2(config-if)#no switchport

CS2(config-if)#ip add 172.16.35.3 255.255.255.0

CS2(config-if)#exit

CS2(config)#int e1/1

CS2(config-if)#no shut

CS2(config-if)#no switchport

CS2(config-if)#ip add 172.16.25.2 255.255.255.0

CS2#show ip int bri

CS1#write

DS1#conf t

DS 1(config)#int e0/0

DS1(config-if)#no shut

DS1(config-if)#no switchport

DS1(config-if)#ip add 172.16.24.4 255.255.255.0

DS1(config-if)#exit

DS1(config)#int e1/1

DS1(config-if)#no shut

DS1(config-if)#no switchport

DS1(config-if)#ip add 172.16.34.3 255.255.255.0

DS1(config-if)#exit

DS1#show ip int bri

DS1#write

DS2#conf t

DS2(config)#int e0/0

DS2(config-if)#no shut

DS2(config-if)#no switchport

DS2(config-if)#ip add 172.16.35.5 255.255.255.0

DS2(config-if)#exit

DS2(config)#int e1/1

DS2(config-if)#no shut

DS2(config-if)#no switchport

DS2(config-if)#ip add 172.16.25.5 255.255.255.0

DS2(config-if)#exit

DS2#show ip int bri

DS2#write

配置DHCP

R1#conf t

R1(config)#ip dhcp pool VLAN10

R1(dhcp-config)#network 192.168.10.0 /24

R1(dhcp-config)#default-router 192.168.10.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#exit

R1(config)#ip dhcp pool VLAN20

R1(dhcp-config)#network 192.168.20.0 /24

R1(dhcp-config)#default-router 192.168.20.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#exit

R1(config)#ip dhcp pool VLAN30

R1(dhcp-config)#network 192.168.30.0 /24

R1(dhcp-config)#default-router 192.168.30.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#exit

R1(config)#ip dhcp pool VLAN40

R1(dhcp-config)#network 192.168.40.0 /24

R1(dhcp-config)#default-router 192.168.40.254

R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114

R1(dhcp-config)#lease 7

R1(dhcp-config)#end

R1#show run | section dhcp

DS1#conf t

DS1(config)#int range vlan 10 , vlan 20 , vlan 30 , vlan 40

DS1(config-if-range)#ip helper-address 1.1.1.1

DS1(config-if-range)#end

DS1#write

DS2#conf t

DS2(config)#int range vlan 10 , vlan 20 , vlan 30 , vlan 40

DS2(config-if-range)#ip helper-address 1.1.1.1

DS2(config-if-range)#end

DS2#write

6、Etherchannel 技术

①为实现链路冗余并提供网络带宽，要求在汇聚层交换机之间部署 L2Etherchannel 技术，在核心交换机之间部署 L3 Etherchannel。

CS1#conf t

CS1(config)#int range e0/1 , e0/2

CS1(config-if-range)#no switchport

CS1(config-if-range)#channel-group 1 mode on

CS1(config-if-range)#exit

CS1(config)#int port-channel 1

CS1(config-if)#ip address 172.16.23.2 255.255.255.0

CS1(config-if)#end

CS2#conf t

CS2(config)#int range e0/1 , e0/2

CS2(config-if-range)#no switchport

CS2(config-if-range)#channel-group 1 mode on

CS2(config-if-range)#exit

CS2(config)#int port-channel 1

CS2(config-if)#ip address 172.16.23.3 255.255.255.0

CS2(config-if)#end

7、Port-Security 技术

①为实现用户接入安全，要求在所有用户接入接口启用端口安全技术。

②开启地址学习，并定义最大 MAC 数为 1。

③定义用户违反规则为 shutdown 模式，并要求在 30s 后自动恢复。

AS1#conf t

AS1(config)#int range e0/2 , e0/3

AS1(config-if-range)#spanning-tree porfast

AS1(config-if-range)#switchport port-security

AS1(config-if-range)#switchport port-security maximum 1

AS1(config-if-range)#switchport port-security violation shutdown

AS1(config-if-range)#switchport port-security mac-address sticky

AS1(config-if-range)#end

AS1#write

AS2同理

8、DHCP Snooping 技术

①在 AS1 上部署 DHCP 侦听技术，防止 DHCP 欺骗攻击。

AS1#conf t

AS1(config)#ip dhcp snooping

AS1(config)# ip dhcp snooping vlan 10 20

AS1(config)#int range e0/0 , e0/1

AS1(config-if-range)#ip dhcp snooping trust

AS1(config)#end

刷新接口地址

PC1#conf t

PC1(config)#int e0/0

PC1(config-if)#shutdown

PC1(config-if)#no shutdown

三、路由技术

1、在全网所有三层设备部署动态路由协议 OSPF，其中 R1、CS1、CS2 通告到骨干区域中，CS1、CS2、DS1 通告到区域 10 中，CS1、CS2、DS2 通告到区域20 中。

R1#conf t

R1(config)#router ospf 100

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 0.0.0.0 0.0.0.0 area 0

R1(config-router)#end

CS1#conf t

CS1(config)#router ospf 100

CS1(config-router)#router-id 2.2.2.2

CS1(config-router)#exit

CS1(config)#int e0/0

CS1(config-if)#ip ospf 100 area 0

CS1(config-if)#int po1

CS1(config-if)#ip ospf 100 area 0

CS1(config-router)#end

CS1#write

CS2#conf t

CS2(config)#router ospf 100

CS2(config-router)#router-id 3.3.3.3

CS2(config-router)#exit

CS2(config)#int e0/0

CS2(config-if)#ip ospf 100 area 0

CS2(config-if)#int po1

CS2(config-if)#ip ospf 100 area 0

CS2(config-router)#exit

CS2(config-router)#end

CS1#show ip ospf neighbor

CS1#show ip router ospf

CS1#conf t

CS1(config)#int e0/3

CS1(config-if)#ip ospf 100 area 10

CS1(config-if)#int e1/1

CS1(config-if)#ip ospf 100 area 20

CS2#conf t

CS2(config)#int e0/3

CS2(config-if)#ip ospf 100 area 20

CS2(config-if)#int e1/1

CS2(config-if)#ip ospf 100 area 10

DS1#conf t

DS1(config)#router ospf 100

DS1(config-router)#router-id 4.4.4.4

DS1(config-router)#network 0.0.0.0 0.0.0.0 area 10

DS1(config-router)#end

DS2#conf t

DS2(config)#router ospf 100

DS2(config-router)#router-id 5.5.5.5

DS2(config-router)#network 0.0.0.0 0.0.0.0 area 20

DS2(config-router)#end

测试连通性

DS1#ping 1.1.1.1

DS2#ping 1.1.1.1

2、要求 VLAN10 和 VLAN30 的流量路径是：DS1àCS1àR1，并且当 CS1 出现故障后，流量路径切换为 DS1àCS2àR1。

Cost等于本地到目的地的所有出接口的cost累加

DS1#conf t

DS1(config)#int e0/0

DS1(config-if)#ip ospf cost 9改小，从原来的10改小

DS1(config-if)#end

DS1#traceroute 1.1.1.1 查看流量往那边走

3、要求 VLAN20 和 VLAN40 的流量路径是：DS2àCS2àR1，并且当 CS2 出现故障后，流量路径切换为 DS2àCS1àR1。

DS2#conf t

DS2(config)#int e0/0

DS2(config-if)#ip ospf cost 9改小，从原来的10改小

DS2(config-if)#end

DS2#traceroute 1.1.1.1 查看流量往那边走

4、在 R1 上创建环回接口 Lo1，地址为 1.1.1.1/32，要求全网能与之通信。