一、交换配置与调试(141分)
(一)为了减少广播,需要根据题目要求规划并配置VLAN。要求配置合理,所有链路上
不允许不必要VLAN的数据流通过。根据下述信息及表,在交换机上完成VLAN配置和端口
分配。
设备
VLAN编号 端口 说明
SW-1 VLAN10 E1/0/1-4 营销1段
VLAN20 E1/0/5-7 产品1段
VLAN30 E1/0/8-10 法务1段
VLAN40 E1/0/11-12 财务1段
VLAN50 E1/0/13-14 人力1段
SW-2 VLAN10 E1/0/1-4 营销2段
VLAN20 E1/0/5-7 产品2段
VLAN30 E1/0/8-10 法务2段
VLAN40 E1/0/11-12 财务2段
VLAN50 E1/0/13-14 人力2段
SW-3 VLAN10 E1/0/1-4 营销3段
VLAN20 E1/0/5-7 产品3段
VLAN30 E1/0/8-10 法务3段
VLAN50 E1/0/11-12 人力3段
(二)集团核心交换机SW-1和SW-2针对营销业务网段的每个物理接口限制收、发数据
占用的带宽分别为100Mbps、80Mbps;
解:
1 Switch1(config)#interfaceethernet1/0/1‐4
2 Switch1(Config‐If‐Ethernet1/7)#bandwidthcontrol80000both#设置端口收、
发数据占用的带宽
针对产品业务网段的每个物理接口限制报文最大收包速率为1000packets/s,如果超过了设
置交换机端口的报文最大收包速率则关闭此端口,10分钟后再恢复此端口,来保证交换机
对其他业务的正常处理。
解:
1 SW3;
2 inte1/0/5‐6
3 flowcontrol;打开流控功能
4 InterfaceEthernet1/0/8
5 rate‐violationall2000;设置BUM报文速率2000最大
6 rate‐violationcontrolshutdownrecovery600;控制违规端口关闭,10分钟后自
动
(三)集团核心交换机SW-1和SW-2之间租用运营商三条裸光缆通道实现两个DC之间互
通,一条裸光缆通道实现三层IP业务承载、一条裸光缆通道实现VPN业务承载、一条裸光缆
通道实现二层业务承载。集团核心交换机SW-1与SW-3之间、集团核心交换机SW-2与SW-
3之间租用运营商OTN波分链路实现互通。具体要求如下:
1.为了节约集团成本,设计实现VPN业务承载的裸光缆通道带宽只有10Mbps,后续再根
据业务使用情况考虑是否扩容;使用相关技术分别实现集团财务1段、财务2段业务路由表
与集团其它业务网段路由表隔离,财务业务位于VPN实例名称CW内;
解:VRF隔离路由表
1 SW2‐6200(config)#ipvrfCW
2 SW2‐6200(config‐if‐vlan40)#ipvrfforwardingCW
2.配置实现三层IP业务承载的裸光缆通道最大传输单元为1600Bytes,满足后续集团双DC
VXLAN等新技术应用;
MTU调整
1 mtu1600
3.目前设计实现二层业务承载的只有一条裸光缆通道,随着集团1#DC服务器数量快速扩
容,预计未来2-3年集团1#DC与2#DC间服务器大二层流量会呈现爆发式增长,配置相关技
术,方便后续链路扩容与冗余备份;
加入链路聚合组
1 port‐group1
2 intport‐channel1
3 switchportmodetrunk
4 inte1/0/28
5 port‐group1modeon
4.配置集团核心交换机(SW-1、SW-2、SW-3)采用源、目的IP进行实现流量负载分担。
1 load‐balancedst‐src‐ip
(四)集团核心交换机(SW-1、SW-2、SW-3)分别配置简单网络管理协议,计划启
用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、
62003;创建认证用户为DCN2021,采用3des算法进行加密,密钥为:Dcn20212021,
哈希算法为SHA,密钥为:DCn20212021;加入组DCN,
1 snmp‐serverenable
2 snmp‐serverengineid62001#设置引擎号
3 snmp‐serveruserDCN2021DCNauthPriv3desDcn20212021authshaDcn202120
21#设置账号密码认证方式
采用最高安全级别;配置组的读、写视图分别为:Dcn2021_R、DCn2021_W;
当设备有异常时,需要使用本地的环回地址发送Trap消息至集团网管服务器
10.50.50.120、2001:10:50:50::121,
采用最高安全级别;当人力部门对应的用户接口发生UP/DOWN事件时禁止发送trap消息
至上述集团网管服务器。
解:
1 snmp‐servercommunityroDcn2021_R#读写团体值
2 snmp‐servercommunityrwDcn2021_W#读写团体值
1 snmp‐serversecurityip10.50.50.120#指定安全IP,为网管服务器的ip地址
2 snmp‐serversecurityip2001:10:50:50::121
3 snmp‐serverhost10.50.50.120v3authnoprivDCN2021#发送trap地址
4 snmp‐serverhost2001:10:50:50::121v3authnoprivDCN2021#发送trap地址
5 snmp‐servertrap‐source10.50.255.1#指定trap的源ip地址为环回口
6 snmp‐serverenabletraps#启用发送trap
1 inte1/0/11‐12
2 noswitchportupdownnotificationenable#禁止发送接口updown发送trap
(五)要求禁止配置访问控制列表,实现集团核心交换机SW-3法务业务对应的物理端口间
二层流量无法互通;
解:
1 Switch(config)#isolate‐portgrouptest#新增隔离组
2 Switch(config)#isolate‐portgrouptestswitchportinterfaceethernet
1/1;1/10#将端口加入隔离组
针对集团核心交换机SW-3人力业务配置相关特性,每个端口只允许的最大安全MAC地址
数为1,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmp
trap、同时在syslog日志中记录
解:
1 Switch(config)#interfaceE1/0/11‐12
2 Switch(config‐if‐ethernet1/1)#switchportport‐security#启用端口安全功能
3 Switch(config‐if‐ethernet1/1)#switchportport‐securitymaximum1#设置学
习mac数量为1
4 switchportport‐securityviolationrestrict#违背,发送trap,保存日志
,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保
留;
1 switchportport‐securityagingtypeinactivity#保留流量
配置相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截,开启日志记录功
能,采样周期10s一次,恢复周期为1分钟,从而保障CPU稳定运行。
1 cpu‐protectrecovery‐time60#恢复周期时间
2 cpu‐protectinterval10#采样率
(六)SW-1、SW-3既作为集团核心交换机,同时又使用相关技术将SW-1、SW-3模拟
为Internet交换机,实现与集团其它业务网段路由表隔离,Internet路由表位于VPN实例名
称Internet内。
1 VRF隔离
2 ipvrfinternet
3 intvlan
4 ipvrfforinternet
(七)配置相关功能,使集团核心交换机(SW-1、SW-2、SW-3)设备能够在网络中
相互发现并交互各自的系统及配置信息,以供管理员查询两端接口对应关系及判断链路的通
信状况;配置所有使能此功能的端口发送更新报文的时间间隔为一分钟、更新报文所携带的
老化时间为五分钟,配置租用运营商三条裸光缆通道相关端口使能Trap,Trap报文发送间
隔为1分钟。
1 lldpenable#启用LLDP
2 lldptx‐interval60#设置更新间隔
3 lldpmsgTxHold5#设置更新老化间隔
4 lldptrapenable#启用lldptrap
5 lldpnotificationinterval60#发送trap间隔为1分钟