实验案例2（实验案例竞赛）

实验案例2（实验案例竞赛）

实验拓扑

实验要求：

一、 安全管理

1. 依据图中拓扑，为全网设备定义主机名、关闭域名解析、并在 Console 和 VTY 线路下关闭线路超时并开启输出同步。

iou1命令如下：

IOU1(config)#no ip domain lookup IOU1(config)#line console 0IOU1(config-line)#logging synchronous IOU1(config-line)#exec-timeout 0 0IOU1(config-line)#exitIOU1(config)#line vty 0 4IOU1(config-line)#logging synchronous IOU1(config-line)#exec-timeout 0 0IOU1(config-line)#exit

2. 为实现安全远程登录，要求在设备 iou1 上创建本地用户名 bdqn，密码 benet，并只允许 3 个管理员同时远程登录 ，其中管理员地址分别为 192.168.10.1~192.168.10.3；要求只运行 SSH 协议进行登录，并且关闭其他虚拟终端线路。

iou1命令如下：

IOU1(config)#username bdqn privilege 15 secret benetIOU1(config)#line vty 0 2IOU1(config-line)#login local IOU1(config-line)#exitIOU1(config)#access-list 1 permit host 192.168.10.1IOU1(config)#access-list 1 permit host 192.168.10.2IOU1(config)#access-list 1 permit host 192.168.10.3IOU1(config)#line vty 0 2IOU1(config-line)#access-class 1 inIOU1(config-line)#transport input sshIOU1(config-line)#transport output ssh IOU1(config-line)#exitIOU1(config)#line vty 3 4IOU1(config-line)#transport input none IOU1(config-line)#transport output none IOU1(config-line)#exit

3. 在设备 iou1 设置 banner，要求当远程登录时可以看到“THIS IS BENETLAB Lab*CS1”

iou1命令如下：

IOU1(config)#banner login #THIS IS BENETLAB#

4. 在 iou1 上关闭 HTTP 服务，开启 HTTPS 服务并调用本地认证

iou1命令如下：

IOU1(config)#no ip server IOU1(config)#ip secure-server

5. 在 iou1的 E0/0 上关闭 CDP 服务

iou1命令如下：

IOU1(config)#no cdp run

6. 汇聚和接入交换机的管理 vlan 为 vlan1， 所在网段为 192.168.1.0/24， 其中 iou2 的管理 IP 为 192.168.1.1/24， iou3 为 192.168.1.2/24， iou4 为 192.168.1.3/24， iou5 为192.168.1.4/24 。 要求二层交换机可以远程管理。

iou2命令如下：

IOU2(config)#interface vlan 1IOU2(config-if)#ip address 192.168.1.1 255.255.255.0IOU2(config-if)#no shutdown

iou3命令如下：

IOU3(config)#interface vlan 1 IOU3(config-if)#ip address 192.168.1.2 255.255.255.0IOU3(config-if)#no shutdown

iou4命令如下：

IOU4(config)#interface vlan 1IOU4(config-if)#ip address 192.168.1.3 255.255.255.0IOU4(config-if)#no shutdown

iou5配置如下：

IOU5(config)#interface vlan 1 IOU5(config-if)#ip address 192.168.1.4 255.255.255.0IOU5(config-if)#no shutdown

二、 交换技术

1、 Trunk 技术

▶ iou4、iou5、iou6 交换机之间强制启用 Trunk 并关闭 DTP 协商，并采用 802.1Q 进行封装。

▶ iou7 和其他交换机之间采用 DTP 协议协商 Trunk，iou7 端为 Auto 模式，其他交换机为 Desirabl         e 模式。

▶ 所有交换机要求 Trunk 上只允许 VLAN1、 10、 20、 30、 40 通过

iou4命令如下：

IOU4(config)#interface range ethernet 0/2-3 , ethernet 1/0-1IOU4(config-if-range)#switchport trunk encapsulation dot1q IOU4(config-if-range)#switchport mode trunk IOU4(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40IOU4(config-if-range)#exit

iou5命令如下：

IOU5(config)#interface range ethernet 0/2-3, ethernet 1/0-1IOU5(config-if-range)#switchport trunk encapsulation dot1q IOU5(config-if-range)#switchport mode trunk IOU5(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40IOU5(config-if-range)#exIOU5(config)#

iou6命令如下：

IOU6(config)#interface range ethernet 0/0-1IOU6(config-if-range)#switchport trunk encapsulation dot1q IOU6(config-if-range)#switchport mode trunk IOU6(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40IOU6(config-if-range)#ex

iou7命令如下：

IOU7(config)#interface range ethernet 0/0-1IOU7(config-if-range)#switchport trunk encapsulation dot1q IOU7(config-if-range)#switchport mode trunk IOU7(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40IOU7(config-if-range)#ex

使用show interface trunk命令查看

2、VTP&VLAN 技术

▶ 总部 iou4 和 iou5 均为 Server， 其他交换机为 Client。

▶ 总部 VTP 管理域为 bdqn， 密码为 benet。

▶ 总部全局开启 VTP 修剪

iou4命令如下：

IOU4(config)#vtp domain bdqnIOU4(config)#vtp mode server IOU4(config)#vtp password benetIOU4(config)#vtp pruning

iou5命令如下：

IOU5(config)#vtp mode server IOU5(config)#vtp domain bdqnIOU5(config)#vtp password benetIOU5(config)#vtp pruning

iou6命令如下：

IOU6(config)#vtp mode client IOU6(config)#vtp domain bdqnIOU6(config)#vtp password benetIOU6(config)#vtp pruning

iou7命令如下：

IOU7(config)#vtp domain bdqnIOU7(config)#vtp mode client IOU7(config)#vtp password benet IOU7(config)#vtp pruning

▶ 在 iou4 上创建 VLAN10/20/30/40， 并要求全局同步。

▶ 将不同用户接口放入相应的 VLAN 中。

iou4命令如下：

IOU4(config)#vlan 10,20,30,40IOU4(config-vlan)#ex

iou6命令如下：

IOU6(config)#interface ethernet 0/2IOU6(config-if)#switchport mode access IOU6(config-if)#switchport access vlan 10IOU6(config-if)#exIOU6(config)#interface ethernet 0/3IOU6(config-if)#switchport mode access IOU6(config-if)#switchport access vlan 20

iou7命令如下：

IOU7(config)#interface ethernet 0/2IOU7(config-if)#switchport mode access IOU7(config-if)#switchport access vlan 30IOU7(config-if)#exIOU7(config)#interface ethernet 0/3IOU7(config-if)#switchport mode access IOU7(config-if)#switchport access vlan 40

3、 STP 技术

▶ 部署 MSTP， 全局 MSTP 域为 PL， 修订号为 1，并创建两个实例， 其中实例 1 映 射 10 和 30，         实例 2 映射 20 和 40；

▶ 要求 iou4 为实例 1 的主根， 实例 2 的备根； iou5 为实例 1 的备根， 实例 2 的主根

iou4命令如下：

IOU4(config)#spanning-tree mode mstIOU4(config)#spanning-tree mst configuration IOU4(config-mst)#revision 1IOU4(config-mst)#name bdqnIOU4(config-mst)#instance 1 vlan 10,30IOU4(config-mst)#instance 2 vlan 20,40IOU4(config-mst)#exitIOU4(config)#spanning-tree mst 1 root primary IOU4(config)#spanning-tree mst 2 root secondary

iou5命令如下：

IOU5(config)#spanning-tree mode mst IOU5(config)#spanning-tree mst configuration IOU5(config-mst)#revision 1IOU5(config-mst)#name bdqnIOU5(config-mst)#instance 1 vlan 10,30IOU5(config-mst)#instance 2 vlan 20,40IOU5(config-mst)#exIOU5(config)#spanning-tree mst 1 root secondary IOU5(config)#spanning-tree mst 2 root primary

iou6命令如下：

IOU6(config)#spanning-tree mode mstIOU6(config)#spanning-tree mst configuration IOU6(config-mst)#revision 1IOU6(config-mst)#name bdqnIOU6(config-mst)#instance 1 vlan 10,30IOU6(config-mst)#instance 2 vlan 20,40

iou7命令如下：

IOU7(config)#spanning-tree mode mstIOU7(config)#spanning-tree mst configuration IOU7(config-mst)#revision 1IOU6(config-mst)#name bdqnIOU7(config-mst)#instance 1 vlan 10,30IOU7(config-mst)#instance 2 vlan 20,40

▶ 在接入层交换机上开启 BPDU 防护， 当违反规则时， 要求 30S 后恢复

iou6命令如下：

IOU6(config)#interface range ethernet 0/2-3IOU6(config-if-range)#spanning-tree bpduguard enable IOU6(config-if-range)#exIOU6(config)#errdisable recovery cause bpduguard IOU6(config)#errdisable recovery interval 30

iou7命令如下：

IOU7(config)#interface range ethernet 0/2-3IOU7(config-if-range)#spanning-tree bpduguard enable IOU7(config-if-range)#exIOU7(config)#errdisable recovery cause bpduguard IOU7(config)#errdisable recovery interval 30

4、 HSRP 技术

▶ 部署 HSRP 技术，要求 iou4 作为 VLAN10/30 的主网关， VLAN20/40 的备网关，

iou5 作为 VLAN20/40 的主网关， VLAN10/30 的备网关

▶ 其中网关地址如下：

■VLAN10， 主 192.168.10.252/24， 备 192.168.10.253/24， 虚 192.168.10.254/24

■VLAN20， 主 192.168.20.252/24， 备 192.168.20.253/24， 虚 192.168.20.254/24

■VLAN30， 主 192.168.30.252/24， 备 192.168.30.253/24， 虚 192.168.20.254/24

■VLAN40， 主 192.168.40.252/24， 备 192.168.40.253/24， 虚 192.168.20.254/24

iou4命令如下：

IOU4(config)#interface vlan 10IOU4(config-if)#ip address 192.168.10.252 255.255.255.0IOU4(config-if)#standby 10 ip 192.168.10.254IOU4(config-if)#standby 10 priority 110IOU4(config-if)#standby 10 preempt IOU4(config-if)#no shutdown IOU4(config-if)#exIOU4(config)#interface vlan 20IOU4(config-if)#ip address 192.168.20.252 255.255.255.0IOU4(config-if)#standby 20 ip 192.168.20.254IOU4(config-if)#standby 20 priority 90IOU4(config-if)#standby 20 preempt IOU4(config-if)#no shutdown IOU4(config-if)#exIOU4(config)#interface vlan 30IOU4(config-if)#ip address 192.168.30.252 255.255.255.0IOU4(config-if)#standby 30 ip 192.168.30.254 IOU4(config-if)#standby 30 priority 110IOU4(config-if)#standby 30 preempt IOU4(config-if)#exIOU4(config)#interface vlan 40IOU4(config-if)#ip address 192.168.40.252 255.255.255.0IOU4(config-if)#standby 40 ip 192.168.40.254IOU4(config-if)#standby 40 priority 90IOU4(config-if)#standby 40 preempt IOU4(config-if)#no shutdown IOU4(config-if)#ex

iou5命令如下：

IOU5(config)#interface vlan 10IOU5(config-if)#ip address 192.168.10.253 255.255.255.0IOU5(config-if)#standby 10 ip 192.168.10.254IOU5(config-if)#standby 10 priority 90IOU5(config-if)#standby 10 preempt IOU5(config-if)#no shutdown IOU5(config-if)#exIOU5(config)#interface vlan 20IOU5(config-if)#ip address 192.168.20.253 255.255.255.0IOU5(config-if)#standby 20 ip 192.168.20.254 IOU5(config-if)#standby 20 priority 110IOU5(config-if)#standby 20 preempt IOU5(config-if)#no shutdown IOU5(config-if)#exIOU5(config)#interface vlan 30IOU5(config-if)#ip address 192.168.30.253 255.255.255.0IOU5(config-if)#standby 30 ip 192.168.30.254 IOU5(config-if)#standby 30 priority 90IOU5(config-if)#standby 30 preempt IOU5(config-if)#no shutdown IOU5(config-if)#exIOU5(config)#interface vlan 40IOU5(config-if)#ip address 192.168.40.253 255.255.255.0IOU5(config-if)#standby 40 ip 192.168.40.254IOU5(config-if)#standby 40 priority 110IOU5(config-if)#standby 40 preempt IOU5(config-if)#no shutdown IOU5(config)#do show stanIOU5(config)#do show standby br

使用show standby brief命令查看

5、 DHCP Relay 技术

▶ 在 R1 上同时部署 DHCP 服务， 方便不同 VLAN 的主机接入网络，其中主 DNS 为8.8.8.8， 备用           DNS 为 114.114.114.114。

▶ 在 iou4 和 iou5 上部署 DHCP 中继技术。

iou1命令如下：

IOU1(config)#interface loopback 0IOU1(config-if)#ip address 1.1.1.1 255.255.255.255 IOU1(config-if)#no shutdown IOU1(config-if)#exitIOU1(config)#ip dhcp pool vlan10 IOU1(dhcp-config)#network 192.168.10.0 /24 IOU1(dhcp-config)#default-router 192.168.10.254 IOU1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114IOU1(dhcp-config)#exitIOU1(config)#ip dhcp pool vlan20 IOU1(dhcp-config)#network 192.168.20.0 /24 IOU1(dhcp-config)#default-router 192.168.20.254 IOU1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114IOU1(dhcp-config)#exitIOU1(config)#ip dhcp pool vlan30 IOU1(dhcp-config)#network 192.168.30.0 /24 IOU1(dhcp-config)#default-router 192.168.30.254 IOU1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114IOU1(dhcp-config)#exit IOU1(config)#ip dhcp pool vlan40 IOU1(dhcp-config)#network 192.168.40.0 /24 IOU1(dhcp-config)#default-router 192.168.40.254 IOU1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114IOU1(dhcp-config)#exit

iou4命令如下：

IOU4(config)#interface vlan 10IOU4(config-if)#ip helper-address 1.1.1.1IOU4(config-if)#exitIOU4(config)#interface vlan 20 IOU4(config-if)#ip helper-address 1.1.1.1IOU4(config-if)#exit IOU4(config)#interface vlan 30 IOU4(config-if)#ip helper-address 1.1.1.1IOU4(config-if)#exit IOU4(config)#interface vlan 40 IOU4(config-if)#ip helper-address 1.1.1.1IOU4(config-if)#exit

iou5命令如下：

IOU5(config)#interface vlan 10IOU5(config-if)#ip helper-address 1.1.1.1IOU5(config-if)#exitIOU5(config)#interface vlan 20 IOU5(config-if)#ip helper-address 1.1.1.1IOU5(config-if)#exit IOU5(config)#interface vlan 30 IOU5(config-if)#ip helper-address 1.1.1.1IOU5(config-if)#exit IOU5(config)#interface vlan 40 IOU5(config-if)#ip helper-address 1.1.1.1IOU5(config-if)#exit

6、 Etherchannel 技术

▶ 为实现链路冗余并提供网络带宽，要求在汇聚层交换机之间部署 L2 Etherchannel 技术，在核心交         换机之间部署 L3 Etherchannel

iou4命令如下：

IOU4(config)#interface range ethernet 0/2-3IOU4(config-if-range)#channel-group 1 mode onIOU4(config-if-range)#exIOU4(config)#interface port-channel 1IOU4(config-if)#switchport trunk encapsulation dot1q IOU4(config-if)#switchport mode trunk IOU4(config-if)#switchport trunk allowed vlan 1,10,20,30,40

iou5命令如下：

IOU5(config)#interface range ethernet 0/2-3IOU5(config-if-range)#channel-group 1 mode onIOU5(config-if-range)#exIOU5(config)#interface port-channel 1IOU5(config-if)#switchport trunk encapsulation dot1q IOU5(config-if)#switchport mode trunk IOU5(config-if)#switchport trunk allowed vlan 1,10,20,30,40

io2命令如下：

IOU2(config)#interface port-channel 1IOU2(config-if)#no switchport IOU2(config-if)#ip address 172.16.23.2 255.255.255.0IOU2(config-if)#no shutdown IOU2(config-if)#exIOU2(config)#interface range ethernet 0/1-2IOU2(config-if-range)#channel-group 1 mode on IOU2(config-if-range)#no shutdown IOU2(config-if-range)#ex

iou3命令如下：

IOU3(config)#interface port-channel 1IOU3(config-if)#no switchport IOU3(config-if)#ip address 172.16.23.3 255.255.255.0IOU3(config-if)#no shutdown IOU3(config-if)#exIOU3(config)#interface range ethernet 0/1-2IOU3(config-if-range)#channel-group 1 mode on IOU3(config-if-range)#no shutdown

7、 Port-Security 技术

▶ 为实现用户接入安全，要求在所有用户接入接口启用端口安全技术。

▶ 开启地址学习，并定义最大 MAC 数为 1。

▶ 定义用户违反规则为 shutdown 模式，并要求在 30s 后自动恢复。

iou6命令如下：

IOU6(config)#interface range ethernet 0/2-3IOU6(config-if-range)#switchport port-security IOU6(config-if-range)#switchport port-security mac-address sticky IOU6(config-if-range)#switchport port-security maximum 2IOU6(config-if-range)#switchport port-security violation shutdown IOU6(config-if-range)#exIOU6(config)#errdisable recovery cause psecure-violation IOU6(config)#errdisable recovery interval 30IOU6(config)#

iou7命令如下：

IOU7(config)#interface range ethernet 0/2-3IOU7(config-if-range)#switchport port-security mac-address sticky IOU7(config-if-range)#switchport port-security maximum 2IOU7(config-if-range)#switchport port-security violation shutdown IOU7(config-if-range)#exIOU7(config)#errdisable recovery cause psecure-violation IOU7(config)#errdisable recovery interval 30IOU7(config)#

8、 DHCP Snooping 技术

▶ 在 AS1 上部署 DHCP 侦听技术， 防止 DHCP 欺骗攻击。

iou6命令如下：

IOU6(config)#ip dhcp snooping IOU6(config)#ip dhcp snoIOU6(config)#ip dhcp snooping vlan 10,20IOU6(config)#interfaIOU6(config)#interface raIOU6(config)#interface range etIOU6(config)#interface range ethernet 0/0-1IOU6(config-if-range)#ip dhcp snIOU6(config-if-range)#ip dhcp snooping trIOU6(config-if-range)#ip dhcp snooping trust IOU6(config-if-range)#ex

iou7命令如下：

IOU7(config)#ip dhcp snooping vlan 30,40IOU7(config)#interface range ethernet 0/0-1IOU7(config-if-range)#ip dhcp snooping trust IOU7(config-if-range)#exit

三、 路由技术

▶ 在全网所有三层设备部署动态路由协议 OSPF， 其中 iou1、 iou2、iou3 通告到骨干区

域中， iou2、 iou3、 iou4 通告到区域 10 中， iou2、 iou3、 iou4 通告到区域 20 中。

▶ 要求 VLAN10 和 VLAN30 的流量路径是： iou4—>iou2—>iou1， 并且当 iou2 出现故障

后， 流量路径切换为 iou2—>iou3—>iou1

▶ 要求 VLAN20 和 VLAN40 的流量路径是： iou5—>iou3—>iou1， 并且当 iou3 出现故障

后， 流量路径切换为 iou5—>iou2—>iou1

▶ 在 iou1 上创建环回接口 Lo1， 地址为 1.1.1.1/32， 要求全网能与之通信

iou1命令如下：

IOU1(config)#interface ethernet 0/0IOU1(config-if)#duplex full IOU1(config-if)#ip address 172.16.12.2 255.255.255.0IOU1(config-if)#no shutdownIOU1(config-if)#exitIOU1(config)#interface ethernet 0/1IOU1(config-if)#duplex full IOU1(config-if)#ip address 172.16.13.2 255.255.255.0IOU1(config-if)#no shutdownIOU1(config-if)#exitIOU1(config)#router ospf 1IOU1(config-router)#router-id 1.1.1.1IOU1(config-router)#network 172.16.12.0 0.0.0.255 area 0IOU1(config-router)#network 172.16.13.0 0.0.0.255 area 0 IOU1(config-router)#network 1.1.1.1 0.0.0.0 area 0IOU1(config-router)#redistribute connected subnets IOU1(config)#router ospf 1IOU1(config-router)#default-information originate always

iou2命令如下：

IOU2(config)#interface e0/0IOU2(config-if)#no switchpo IOU2(config-if)#ip address 172.16.12.1 255.255.255.0IOU2(config-if)#no shutdownIOU2(config-if)#exitIOU2(config)#interface e0/3 IOU2(config-if)#no switchport IOU2(config-if)#ip address 172.16.24.1 255.255.255.0IOU2(config-if)#no shutdownIOU2(config-if)#exitIOU2(config)#interface e1/0IOU2(config-if)#no switchport IOU2(config-if)#ip address 172.16.25.1 255.255.255.0IOU2(config-if)#no shutdownIOU2(config-if)#exitIOU2(config)#router ospf 1IOU2(config-router)#router-id 2.2.2.2IOU2(config-router)#network 172.16.12.0 0.0.0.255 area 0 IOU2(config-router)#network 172.16.23.0 0.0.0.255 area 0IOU2(config-router)#network 172.16.24.0 0.0.0.255 area 10IOU2(config-router)#network 172.16.25.0 0.0.0.255 area 20IOU2(config-router)#redistribute connected subnets

iou3命令如下;

IOU3(config)#interface e0/0IOU3(config-if)#no switchport IOU3(config-if)#ip address 172.16.13.1 255.255.255.0IOU3(config-if)#no shutdownIOU3(config-if)#exitIOU3(config)#interface e0/3IOU3(config-if)#no switchport IOU3(config-if)#ip address 172.16.35.1 255.255.255.0IOU3(config-if)#no shutdownIOU3(config-if)#exitIOU3(config)#interface e1/0 IOU3(config-if)#no switchport IOU3(config-if)#ip address 172.16.34.1 255.255.255.0IOU3(config-if)#no shutdownIOU3(config-if)#exitIOU3(config)#router ospf 1IOU3(config-router)#router-id 3.3.3.3 IOU3(config-router)#network 172.16.13.0 0.0.0.255 area 0IOU3(config-router)#network 172.16.23.0 0.0.0.255 area 0IOU3(config-router)#network 172.16.35.0 0.0.0.255 area 20IOU3(config-router)#network 172.16.34.0 0.0.0.255 area 10IOU3(config-router)#redistribute connected subnets

iou4命令如下：

IOU4(config)#interface e0/1IOU4(config-if)#no switchport IOU4(config-if)#ip address 172.16.34.2 255.255.255.0IOU4(config-if)#no shutdownIOU4(config-if)#exitIOU4(config)#interface e0/0IOU4(config-if)#no switchport IOU4(config-if)#ip address 172.16.24.2 255.255.255.0IOU4(config-if)#no shutdownIOU3(config)#router ospf 1IOU3(config-router)#router-id 4.4.4.4 IOU3(config-router)#network 172.16.24.0 0.0.0.255 area 10IOU3(config-router)#network 172.16.34.0 0.0.0.255 area 10IOU5(config-router)#redistribute connected subnets

iou5命令如下：

IOU5(config)#interface e0/0IOU5(config-if)#no switchport IOU5(config-if)#ip address 172.16.35.2 255.255.255.0IOU5(config-if)#no shutdownIOU5(config-if)#exitIOU5(config)#interface e0/1IOU5(config-if)#no switchport IOU5(config-if)#ip address 172.16.25.2 255.255.255.0IOU5(config-if)#no shutdownIOU5(config-if)#exitIOU5(config)#router ospf 1IOU5(config-router)#router-id 5.5.5.5IOU5(config-router)#network 172.16.35.0 0.0.0.255 area 10IOU5(config-router)#network 172.16.25.0 0.0.0.255 area 10IOU5(config-router)#redistribute connected subnets

使用ping命令查看

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。