任务背景描述:
某集团公司原在城市 A 建立了总公司,后在城市 B 建立了分公司,又在城市 C 设立了办事处。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。
随着企业数字化转型工作进一步推进,为持续优化运营创新,充分激活数据要素潜能,为社会创造更多价值,集团决定在总公司建立两个数据中心,在某省建立异地灾备数据中心,以达到快速、可靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战略架构演进,更好的服务于公司客户。
集团、分公司及办事处的网络结构详见拓扑图。编号为 SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC核心交换机;编号为 SW3 的设备作为某省灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为 FW2 的设备作为办事处防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为 RT2的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与 AP1 配合实现所属区域无线覆盖。
注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。
网络拓扑图及 IP 地址表:
1.网络拓扑图
.
2.IP 地址表
设备名称 设备接口 IP 地址
SW1 Loopback1 ospfv2 ospfv3 bgp 10.4.1.1/32
2001:10:4:1::1/128
SW1 Loopback2 10.4.1.2/32
2001:10:4:1::2/128
SW1 Vlan11 10.4.11.1/24
2001:10:4:11::1/64
SW1 Vlan12 10.4.12.1/24
2001:10:4:12::1/64
SW1 Vlan13 10.4.13.1/24
2001:10:4:13::1/64
SW1 Vlan14 10.4.14.1/24
2001:10:4:14::1/64
SW1 Vlan15 10.4.15.1/24
2001:10:4:15::1/64
SW1 Vlan1019 10.4.255.14/30
SW1 Vlan1020 10.4.255.5/30
SW1 Vlan1023 10.4.255.1/30
SW1 Vlan1024 vpn 10.4.255.1/30
SW2 Loopback1 ospfv2 ospfv3 bgp 10.4.2.1/32
2001:10:4:2::1/128
SW2 Loopback2 10.4.2.2/32
2001:10:4:2::2/128
SW2 Vlan21 10.4.21.1/24
2001:10:4:21::1/64
SW2 Vlan22 10.4.22.1/24
2001:10:4:22::1/64
SW2 Vlan23 10.4.23.1/24
2001:10:4:23::1/64
SW2 Vlan24 10.4.24.1/24
2001:10:4:24::1/64
SW2 Vlan25 10.4.25.1/24
2001:10:4:25::1/64
SW2 Vlan1019 10.4.255.22/30
SW2 Vlan1020 10.4.255.9/30
SW2 Vlan1023 10.4.255.2/30
SW2 Vlan1024 vpn 10.4.255.2/30
SW3 Loopback1 ospfv2 ospfv3 bgp 10.4.3.1/32
2001:10:4:3::1/128
SW3 Vlan31 10.4.31.1/24
2001:10:4:31::1/64
SW3 Vlan32 10.4.32.1/24
2001:10:4:32::1/64
SW3 Vlan33 10.4.33.1/24
2001:10:4:33::1/64
SW3 Vlan34 10.4.34.1/24
2001:10:4:34::1/64
SW3 Vlan1019 10.4.255.6/30
SW3 Vlan1020 10.4.255.10/30
SW3 模拟办事处 Loopback2 10.4.3.2/32
2001:10:4:3::2/128
SW3 模拟办事处 Vlan110 10.4.110.1/24
2001:10:4:110::1/64
SW3 模拟办事处 Vlan120 10.4.120.1/24
2001:10:4:120::1/64
SW3 模拟办事处 Vlan1015 10.4.255.30/30
SW3 模拟Internet Vlan1017 200.200.200.1/30
SW3 模拟Internet Vlan1018 200.200.200.5/30
AC1 Loopback1 ospfv2 ospfv3 10.4.4.1/32
2001:10:4:4::1/128
AC1 Loopback2 rip ripng 10.4.4.2/32
2001:10:4:4::2/128
AC1 Loopback3 10.4.4.3/32
2001:10:4:4::3/128
AC1 Vlan1001 10.4.255.46/30
AC1 Vlan130 无线管理 10.4.130.1/24
2001:10:4:130::1/64
AC1 Vlan140 无线 2.4G 产品 10.4.140.1/24
2001:10:4:140::1/64
AC1 Vlan150 无线 5G 营销 10.4.150.1/24
2001:10:4:150::1/64
RT1 Loopback1 ospfv2 ospfv3 bgp mpls 10.4.5.1/32
2001:10:4:5::1/128
RT1 Loopback2 rip ripng 10.4.5.2/32
2001:10:4:5::2/128
RT1 Loopback3 isis10.4.5.3/32
2001:10:4:5::3/128
RT1 Loopback4 集团与办事处互联 10.4.5.4/32
2001:10:4:5::4/128
RT1 Loopback5 vpn 财务 10.4.5.5/32
2001:10:4:5::5/128
RT1 G0/0 10.4.255.33/3 0
RT1 G0/1 10.4.255.18/30
RT1 G0/2 10.4.255.21/30
RT1 G0/3 10.4.255.25/30
RT1 S1/0 10.4.255.37/30
RT1 S1/1 10.4.255.41/30
RT2 Loopback1 ospfv2 ospfv3 bgp mpls 10.4.6.1/32
2001:10:4:6::1/128
RT2 Loopback2 rip ripng 10.4.6.2/32
2001:10:4:6::2/128
RT2 Loopback3 isis 10.4.6.3/32
2001:10:4:6::3/128
RT2 Loopback4 ipsecvpn 10.4.6.4/32
2001:10:4:6::4/128
RT2 Tunnel4 ipsecvpn 10.4.255.50/30
RT2 Loopback5 vpn 财务 10.4.6.5/32
2001:10:4:6::5/128
RT2 G0/0 10.4.255.34/30
RT2 G0/1 10.4.255.45/30
RT2 G0/2 200.200.200.6/30
RT2 S1/0 10.4.255.42/30
RT2 S1/1 10.4.255.38/30
FW1 Loopback1 ospfv2 ospfv3 trust 10.4.7.1/32
2001:10:4:7::1/128
FW1 Loopback2 rip ripng trust 10.4.7.2/32
2001:10:4:7::2/128
FW1 Loopback3 isis trust 10.4.7.3/32
2001:10:4:7::3/128
FW1 Loopback4 ipsecvpn trust 10.4.7.4/32
2001:10:4:7::4/128
FW1 Tunnel4 ipsecvpn VPNHUB 10.4.255.49/30
FW1 E0/1 trust 10.4.255.13/30
FW1 E0/2 trust 10.4.255.17/30
FW1 E0/3 untrust 200.200.200.2/30
FW2 Loopback1 ospfv2 ospfv3 trust 10.4.8.1/32
2001:10:4:8::1/128
FW2 E0/1 dmz 10.4.255.26/30
FW2 E0/2 trust 10.4.255.29/30
4.将 SW3 模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表 VPN 实例名称为 Office, RD 为 1:1。将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为 Internet,RD 为 2:2。
SW3
SW3(config)#ip vrf Office
SW3(config-vrf)#rd 1:1
SW3(config-vrf)#exit
SW3(config)#ip vrf Internet
SW3(config-vrf)#rd 2:2
SW3(config-vrf)#exit
SW3(config)#interface loopback 2
SW3(config-if-loopback2)#ip vrf forwarding Office
Interface IP address removed due to enabling VRF Office
SW3(config-if-loopback2)#ip address 10.4.3.2 255.255.255.255
SW3(config-if-loopback2)#ipv6 address 2001:10:4:3::2/128
SW3(config-if-loopback2)#exit
SW3(config)#vlan 110;120;1015;1017-1018
SW3(config)#interface vlan 110
SW3(config-if-vlan110)#ip address 10.4.110.1 255.255.255.0
SW3(config-if-vlan110)#ipv6 address 2001:10:4:110::1/64
SW3(config-if-vlan110)#interface vlan 120
SW3(config-if-vlan120)#ip address 10.4.120.1 255.255.255.0
SW3(config-if-vlan120)#ipv6 address 2001:10:4:120::1/64
SW3(config-if-vlan120)#interface vlan 1015
SW3(config-if-vlan1015)#ip address 10.4.255.30 255.255.255.252
SW3(config-if-vlan1015)#interface vlan 1017
SW3(config-if-vlan1017)#ip address 200.200.200.1 255.255.255.252
SW3(config-if-vlan1017)#interface vlan 1018
SW3(config-if-vlan1018)#ip address 200.200.200.5 255.255.255.252
SW3(config-if-vlan1018)#exit
SW3(config)#vlan 110
SW3(config-vlan110)#name BSCCP
SW3(config-vlan110)#vlan 120
SW3(config-vlan120)#name BSCYX
SW3(config-vlan120)#exit
SW3(config)#interface ethernet 1/0/11
SW3(config-if-ethernet1/0/11)#switchport access vlan 110
Set the port Ethernet1/0/11 access vlan 110 successfully
SW3(config-if-ethernet1/0/11)#interface ethernet 1/0/12
SW3(config-if-ethernet1/0/12)#switchport access vlan 120
Set the port Ethernet1/0/12 access vlan 120 successfully
SW3(config-if-ethernet1/0/12)#exit
SW3(config)#interface ethernet 1/0/12
SW3(config-if-ethernet1/0/12)#interface ethernet 1/0/15
SW3(config-if-ethernet1/0/15)#switchport access vlan 1015
Set the port Ethernet1/0/15 access vlan 1015 successfully
SW3(config-if-ethernet1/0/15)#interface ethernet 1/0/17
SW3(config-if-ethernet1/0/17)#switchport access vlan 1017
Set the port Ethernet1/0/17 access vlan 1017 successfully
SW3(config-if-ethernet1/0/17)#interface ethernet 1/0/18
SW3(config-if-ethernet1/0/18)#switchport access vlan 1018
Set the port Ethernet1/0/18 access vlan 1018 successfully
SW3(config-if-ethernet1/0/18)#exit
5.SW1 配置 SNMP,引擎 id 分别为 1000;创建组 GroupSkills,采用最高安全级别,配置组的读、写视图分别为:Skills_R、Skills_W;创建认证用户为 UserSkills,采用 aes 算法进行加密,密钥为 Key-1122,哈希算法为 sha,密钥为 Key-1122;当设备有异常时,需要用本地的环回地址 Loopback1 发送 v3 Trap 消息至集团网管服务器10.4.15.120、2001:10:4:15::120,采用最高安全级别;当法务部门的用户端口发生 updown 事件时禁止发送 trap 消息至上述集团网管服务器。
SW1
SW1(config)#snmp-server enable
SW1(config)#snmp-server engineid 1000
SW1(config)#snmp-server community ro Skills_R
SW1(config)#snmp-server community rw Skills_W
SW1(config)#snmp-server group GroupSkills authpriv read Skills_R write Skills_W
SW1(config)#snmp-server user UserSkills GroupSkills authPriv aes Key-1122 auth sha Key-1122
SW1(config)#snmp-server securityip 10.4.15.120
SW1(config)#snmp-server securityip 2001:10:4:15::120
SW1(config)#snmp-server trap-source 10.4.1.1
SW1(config)#snmp-server trap-source 2001:10:4:1::1
SW1(config)#snmp-server host 10.4.1.1 v3 authpriv UserSkills
SW1(config)#snmp-server host 2001:10:4:1::1 v3 authpriv UserSkills
SW1(config)#snmp-server enable traps
SW1(config)#interface ethernet 1/0/3
SW1(config-if-ethernet1/0/3)#no switchport updown notification enable
SW1(config-if-ethernet1/0/3)#exit
6.对 SW1 与 FW1 互连流量镜像到 SW1 E1/0/1,会话列表为 1。
SW1
SW1(config)#monitor session 1 source interface ethernet 1/0/19 rx
SW1(config)#monitor session 1 source interface ethernet 1/0/19 tx
SW1(config)#monitor session 1 destination interface ethernet 1/0/1
7.SW1 和 SW2 E1/0/21-28 启用单向链路故障检测,当发生该故障时,端口标记为 errdisable 状态,自动关闭端口,经过 1 分钟后,端口自动重启;发送 Hello 报文时间间隔为 15s;
SW1
SW1(config)#uldp enable
SW1(config)#uldp aggressive-mode
SW1(config)#uldp recovery-time 60
SW1(config)#uldp hello-interval 15
SW1(config)#interface ethernet 1/0/21-28
SW1(config-if-port-range)#uldp enable
SW1(config-if-port-range)#uldp aggressive-mode
SW1(config-if-port-range)#exit
SW2
SW2(config)#uldp enable
SW2(config)#uldp aggressive-mode
SW2(config)#uldp recovery-time 60
SW2(config)#uldp hello-interval 15
SW2(config)#interface ethernet 1/0/21-28
SW2(config-if-port-range)#uldp enable
SW2(config-if-port-range)#uldp aggressive-mode
SW2(config-if-port-range)#exit
8.SW1 和 SW2 所有端口启用链路层发现协议,更新报文发送时间间隔为 20s,老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三条裸光缆端口使能 Trap 功能。
SW1
SW1(config)#lldp enable
SW1(config)#lldp notification interval 20
SW1(config)#lldp msgTxHold 5
SW1(config)#lldp tx-interval 10
SW1(config)#interface ethernet 1/0/22-24
SW1(config-if-port-range)#lldp trap enable
SW1(config-if-port-range)#exit
SW2
SW2(config)#lldp enable
SW2(config)#lldp notification interval 20
SW2(config)#lldp msgTxHold 5
SW2(config)#lldp tx-interval 10
SW2(config)#interface ethernet 1/0/22-24
SW2(config-if-port-range)#lldp trap enable
SW2(config-if-port-range)#exit
