实验拓扑:
实验要求:
一、 安全管理
1、 依据图中拓扑,为全网设备定义主机名、关闭域名解析、并在 Console 和 VTY 线路下
关闭线路超时并开启输出同步。
只贴出 R1 上的配置,其他设备略
R1:
R1(config)#hostname R1
R1(config)#no ip domain-lookup
R1(config)#;omn
R1(config)#line console 0
R1(config-line)#exec-timeout 0 0
R1(config-line)#logging synchronous
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#exec-timeout 0 0
R1(config-line)#logging synchronous
R1(config-line)#ex2、 为实现安全远程登录,要求在设备 CS1 上创建本地用户名 bdqn,密码 benet,并只允
许 3 个管理员同时远程登录 ,其中管理员地址分别为 192.168.10.1~192.168.10.3;要求只运
行 SSH 协议进行登录,并且关闭其他虚拟终端线路。
R1:
R1(config)#username bdqn privilege 15 password benet
R1(config)#lin vty 0 2
R1(config-line)#login local
R1(config-line)#transport input ssh
R1(config-line)#exit
R1(config)#access-list 1 permit host 192.168.10.1
R1(config)#access-list 1 permit host 192.168.10.2
R1(config)#access-list 1 permit host 192.168.10.3
R1(config)#line vty 0 2
R1(config-line)#access-class 1 in
R1(config-line)#exit
R1(config)#line vty 3 4
R1(config-line)#transport input none
R1(config-line)#exit3、 在设备 CS1 设置 banner,要求当远程登录时可以看到“THIS IS BENETLAB Lab*CS1”
R1(config)#banner login ##ggg##4、 在 CS2 上关闭 HTTP 服务,开启 HTTPS 服务并调用本地认证
R1(config)#no ip http server
R1(config)#ip http secure-server5、 在 R1 的 E0/0 上关闭 CDP 服务
R1(config)#no cdp run汇聚和接入交换机的管理 vlan 为 vlan1, 所在网段为 192.168.1.0/24, 其中 DS1 的
管理 IP 为 192.168.1.1/24, DS2 为 192.168.1.2/24, DS3 为 192.168.1.3/24, DS4 为
192.168.1.4/24 。 要求二层交换机可以远程管理。
只贴出 DS1 上的配置,其他设备略
CS1:
CS1(config)#interface vlan 1
CS1(config-if)#ip address 192.168.1.1 255.255.255.0
CS1(config-if)#no shut
CS1(config-if)#no shutdown
CS1(config-if)#exCS2:
CS2(config)#interface vlan 1
CS2(config-if)#ip address 192.168.1.2 255.255.255.0
CS2(config-if)#no shut
CS2(config-if)#no shutdown
CS2(config-if)#exDNS1:
DNS1(config)#interface vlan 1
DNS1(config-if)#ip address 192.168.1.3 255.255.255.0
DNS1(config-if)#no shutdown
DNS1(config-if)#exDNS2:
DNS2(config)#interface vlan 1
DNS2(config-if)#ip address 192.168.1.4 255.255.255.0
DNS2(config-if)#no shut
DNS2(config-if)#no shutdown
DNS2(config-if)#ex在二层交换机上需要写一条默认路由指向 DS1。让 192.168.1.1 作为管理 vlan 的网关,其他
IOU6(config)#interface vlan 1
IOU6(config-if)#ip address 192.168.1.3 255.255.255.0
IOU6(config-if)#no shutdown
IOU6(config-if)#ex
IOU6(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1二、交换技术
1、 Trunk 技术
DS1、 DS2、 AS1 交换机之间强制启用 Trunk 并关闭 DTP 协商, 并采用 802.1Q 进行封
装。
AS2 和其他交换机之间采用 DTP 协议协商 Trunk, AS2 端为 Auto 模式, 其他交换机为
Desirable 模式。
所有交换机要求 Trunk 上只允许 VLAN1、 10、 20、 30、 40 通过。
DS1 和 DS2 是汇聚层交换机配置方法一样,配置时注意物理接口的接口号,接入层交换机
在 DS1 上创建 VLAN10/20/30/40, 并要求全局同步。
DNS1:
DNS1(config)#interface range ethernet 0/3, ethernet 0/2, ethernet 1/1
DNS1(config-if-range)#switchport trunk encapsulation d
DNS1(config-if-range)#switchport trunk encapsulation dot1q
DNS1(config-if-range)#switchport mode trunk
DNS1(config)#vlan 10,20,30,40
DNS1(config-vlan)#exDNS2:
DNS2(config)#interface range ethernet 0/3, ethernet 0/2, ethernet 1/1
DNS2(config-if-range)#switchport trunk encapsulation dot1q
DNS2(config-if-range)#switchport mode trunk
DNS2(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40IOU6:
IOU6(config)#interface range ethernet 0/0-1
IOU6(config-if-range)#switchport trunk encapsulation dot1q
IOU6(config-if-range)#switchport mode trunk
IOU6(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40IUO7:
IOU7(config)#interface range ethernet 0/0-1
IOU7(config-if-range)#switchport trunk encapsulation dot1q
IOU7(config-if-range)#switchport mode trunk
IOU7(config-if-range)#switchport trunk allowed vlan 1,10,20,30,40
IOU7(config-if-range)#ex2、VTP&VLAN 技术
总部 DS1 和 DS2 均为 Server, 其他交换机为 Client。
总部 VTP 管理域为 bdqn, 密码为 benet。
总部全局开启 VTP 修剪
将不同用户接口放入相应的 VLAN 中。
汇聚层交换机作为服务器配置一样只贴出 DS1 的配置
DNS1:
DNS1(config)#vtp domain bdqn
Changing VTP domain name from NULL to bdqn
DNS1(config)#vtp mode server
Device mode already VTP Server for VLANS.
DNS1(config)#vtp password benet
Setting device VTP password to benet
DNS1(config)#vtp pruning
Pruning switched onDNS2:
DNS2(config)#vtp domain bdqn
Changing VTP domain name from NULL to bdqn
DNS2(config)#vtp mode server
Device mode already VTP Server for VLANS.
DNS2(config)#vtp password benet
Setting device VTP password to benet
DNS2(config)#IOU6:
IOU6(config)#vtp domain bdqn
Domain name already set to bdqn.
IOU6(config)#vtp mode client
Setting device to VTP Client mode for VLANS.
IOU6(config)#vtp password benet
Setting device VTP password to benet
IOU6(config)#interface ethernet 0/2
IOU6(config-if)#switchport mode access
IOU6(config-if)#switchport access vlan 10
IOU6(config-if)#ex
IOU6(config)#interface ethernet 0/3
IOU6(config-if)#switchport mode access
IOU6(config-if)#switchport access vlan 20IOU7:
IOU7(config)#vtp domain bdqn
Changing VTP domain name from NULL to bdqn
IOU7(config)#vtp mode client
Setting device to VTP Client mode for VLANS.
IOU7(config)#vtp password benet
Setting device VTP password to benet
IOU7(config)#interface ethernet 0/2
IOU7(config-if)#switchport mode access
IOU7(config-if)#switchport access vlan 30
IOU7(config-if)#ex
IOU7(config)#interface ethernet 0/3
IOU7(config-if)#switchport mode access
IOU7(config-if)#switchport access vlan 403、 STP 技术
部署 MSTP, 全局 MSTP 域为 PL, 修订号为 1, 并创建两个实例, 其中实例 1 映射 10 和 30, 实例 2 映射 20 和 40;
要求 DS1 为实例 1 的主根, 实例 2 的备根; DS2 为实例 1 的备根, 实例 2 的主根
在接入层交换机上开启 BPDU 防护, 当违反规则时, 要求 30S 后恢复
DNS1:
DNS1(config)#spanning-tree mode mst
DNS1(config)#spanning-tree mst configuration
DNS1(config-mst)#revision 1
DNS1(config-mst)#name cisco
DNS1(config-mst)#instance 1 vlan 10, 30
DNS1(config-mst)#instance 2 vlan 20,40
DNS1(config-mst)#exit
DNS1(config)#spanning-tree mst 1 root primary
DNS1(config)#spanning-tree mst 2 root secondary
DNS1(config)#exitDNS2:
DNS2(config)#spanning-tree mode mst
DNS2(config)#spanning-tree mst configuration
DNS2(config-mst)#revision 1
DNS2(config-mst)#name cisco
DNS2(config-mst)#instance 1 vlan 10,30
DNS2(config-mst)#instance 2 vlan 20,40
DNS2(config-mst)#ex
DNS2(config)#spanning-tree mst 1 root secondary
DNS2(config)#spanning-tree mst 2 root primaryIOU6:
IOU6(config)#spanning-tree mode mst
IOU6(config)#spanning-tree mst configuration
IOU6(config-mst)#revision 1
IOU6(config-mst)#name cisco
IOU6(config-mst)#instance 1 vlan 10, 30
IOU6(config-mst)#instance 2 vlan 20,40
IOU6(config-mst)#exitIOU7:
IOU7(config)#spanning-tree mode mst
IOU7(config)#spanning-tree mst configuration
IOU7(config-mst)#revision 1
IOU7(config-mst)#name cisco
IOU7(config-mst)#instance 1 vlan 10, 30
IOU7(config-mst)#instance 2 vlan 20,40
IOU7(config-mst)#exit4、 HSRP 技术
虚接口
DNS1:
DNS1(config)#interface vlan 10
DNS1(config-if)#ip address 192.168.10.252 255.255.255.0
DNS1(config-if)#standby 10 ip 192.168.10.254
DNS1(config-if)#standby 10 priority 110
DNS1(config-if)#standby 10 preempt
DNS1(config-if)#no shutdown
DNS1(config-if)#ex
DNS1(config)#interface vlan 20
DNS1(config-if)#ip addres
DNS1(config-if)#ip address 192.168.20.252 255.255.255.0
DNS1(config-if)#no shut
DNS1(config-if)#standby 20 ip 192.168.20.254
DNS1(config-if)#standby 20 priority 90
DNS1(config-if)#standby 20 preempt
DNS1(config-if)#no shutdown
DNS1(config-if)#ex
DNS1(config)#interface vlan 30
DNS1(config-if)#ip address 192.168.30.252 255.255.255.0
DNS1(config-if)#standby 30 ip 192.168.30.254
DNS1(config-if)#standby 30 pri
DNS1(config-if)#standby 30 priority 110
DNS1(config-if)#standby 30 preempt
DNS1(config-if)#no shutdown
DNS1(config-if)#ex
DNS1(config)#interface vlan 40
DNS1(config-if)#ip address 192.168.40.252 255.255.255.0
DNS1(config-if)#standby 40 ip 192.168.40.254
DNS1(config-if)#standby 40 priority 90
DNS1(config-if)#standby 40 preempt
DNS1(config-if)#no shutdown
DNS1(config-if)#exDNS2:
DNS2(config)#INTerface vlan 10
DNS2(config-if)#ip address 192.168.10.253 255.255.255.0
DNS2(config-if)#standby 10 ip 192.168.10.254
DNS2(config-if)#standby 10 priority 90
DNS2(config-if)#standby 10 preempt
DNS2(config-if)#no shutdown
DNS2(config-if)#ex
DNS2(config)#interface vlan 20
DNS2(config-if)#ip address 192.168.20.253 255.255.255.0
DNS2(config-if)#standby 20 ip 192.168.20.254
DNS2(config-if)#standby 20 priority 110
DNS2(config-if)#standby 20 preempt
DNS2(config-if)#no shutdown
DNS2(config-if)#ex
DNS2(config)#interface vlan 30
DNS2(config-if)#ip address 192.168.30.253 255.255.255.0
DNS2(config-if)#standby 30 ip 192.168.30.254
DNS2(config-if)#standby 30 priority 90
DNS2(config-if)#standby 30 preempt
DNS2(config-if)#no shutdown
DNS2(config-if)#ex
DNS2(config)#interface vlan 40
DNS2(config-if)#ip address 192.168.40.253 255.255.255.0
DNS2(config-if)#standby 40 ip 192.168.40.254
DNS2(config-if)#standby 40 priority 110
DNS2(config-if)#standby 40 preempt
DNS2(config-if)#no shutdown
DNS2(config-if)#exdhcp技术
在路由器R1上部署
R1(config)#interface loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.255
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip dhcp pool vlan10
R1(dhcp-config)#network 192.168.10.0 /24
R1(dhcp-config)#default-router 192.168.10.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114
R1(dhcp-config)#exit
R1(config)#ip dhcp pool vlan20
R1(dhcp-config)#network 192.168.20.0 /24
R1(dhcp-config)#default-router 192.168.20.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114
R1(dhcp-config)#exit
R1(config)#ip dhcp pool vlan30
R1(dhcp-config)#network 192.168.30.0 /24
R1(dhcp-config)#default-router 192.168.30.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114
R1(dhcp-config)#exit
R1(config)#ip dhcp pool vlan40
R1(dhcp-config)#network 192.168.40.0 /24
R1(dhcp-config)#default-router 192.168.40.254
R1(dhcp-config)#dns-server 8.8.8.8 114.114.114.114
R1(dhcp-config)#exitDS1配置DHCP中继
DS1(config)#interface vlan 10
DS1(config-if)#ip helper-address 1.1.1.1
DS1(config-if)#exit
DS1(config)#interface vlan 20
DS1(config-if)#ip helper-address 1.1.1.1
DS1(config-if)#exit
DS1(config)#interface vlan 30
DS1(config-if)#ip helper-address 1.1.1.1
DS1(config-if)#exit
DS1(config)#interface vlan 40
DS1(config-if)#ip helper-address 1.1.1.1
DS1(config-if)#exit DS2配置DHCP中继
DS2(config)#interface vlan 10
DS2(config-if)#ip helper-address 1.1.1.1
DS2(config-if)#exit
DS2(config)#interface vlan 20
DS2(config-if)#ip helper-address 1.1.1.1
DS2(config-if)#exit
DS2(config)#interface vlan 30
DS2(config-if)#ip helper-address 1.1.1.1
DS2(config-if)#exit
DS2(config)#interface vlan 40
DS2(config-if)#ip helper-address 1.1.1.1
DS2(config-if)#exitEtherchannel 技术
DS1配置二层链路聚合技术
DS1(config)#interface range ethernet 0/0-1
DS1(config-if-range)#channel-group 1 mode on
Creating a port-channel interface Port-channel 1
DS1(config-if-range)#exit
DS1(config)#interface port-channel 1
DS1(config-if)#switchport trunk encapsulation dot1q
DS1(config-if)#switchport mode trunk
DS1(config-if)#switchport trunk allowed vlan 1,10,20,30,40
DS1(config-if)#exitDS2配置二层链路聚合技术
DS2(config)#interface range ethernet 0/0-1
DS2(config-if-range)#channel-group 1 mode on
Creating a port-channel interface Port-channel 1
DS2(config-if-range)#exit
DS2(config)#interface port-channel 1
DS2(config-if)#switchport trunk encapsulation dot1q
DS2(config-if)#switchport mode trunk
DS2(config-if)#switchport trunk allowed vlan 1,10,20,30,40
DS2(config-if)#exitCS1配置三层链路聚合技术
CS2(config)#interface port-channel 1
CS2(config-if)#no switchport
CS2(config-if)#ip address 172.16.23.3 255.255.255.0
CS2(config-if)#no shutdown
CS2(config-if)#exit
CS2(config)#interface range ethernet 0/0-1
CS2(config-if-range)#channel-group 1 mode on
CS2(config-if-range)#no shutdown
CS2(config-if-range)#exitPort-Security 技术
IOU6的配置
IOU6(config)#interface range ethernet 0/2-3
IOU6(config-if-range)#spanning-tree bpduguard enable
IOU6(config-if-range)#exit
IOU6(config)#errdisable recovery cause bpduguard
IOU6(config)#errdisable recovery interval 30IOU7的配置
IOU7(config)#interface range ethernet 0/2-3
IOU7(config-if-range)#spanning-tree bpduguard enable
IOU7(config-if-range)#exit
IOU7(config)#errdisable recovery cause bpduguard
IOU7(config)#errdisable recovery interval 30三、路由技术(配置OSPF)
配置IP地址
R1的配置
R1(config)#interface ethernet 0/0
R1(config-if)#duplex full
R1(config-if)#ip address 172.16.12.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface ethernet 0/1
R1(config-if)#duplex full
R1(config-if)#ip address 172.16.13.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exitCS1的配置
CS1(config)#interface ethernet 1/0
CS1(config-if)#no switchport
CS1(config-if)#ip address 172.16.12.2 255.255.255.0
CS1(config-if)#no shutdown
CS1(config-if)#exit
CS1(config)#interface ethernet 0/2
CS1(config-if)#no switchport
CS1(config-if)#ip address 172.16.24.2 255.255.255.0
CS1(config-if)#no shutdown
CS1(config-if)#exit
CS1(config)#interface ethernet 0/3
CS1(config-if)#no switchport
CS1(config-if)#ip address 172.16.25.2 255.255.255.0
CS1(config-if)#no shutdown
CS1(config-if)#exitCS2的配置
CS2(config)#interface ethernet 1/0
CS2(config-if)#no switchport
CS2(config-if)#ip address 172.16.13.3 255.255.255.0
CS2(config-if)#no shutdown
CS2(config-if)#exit
CS2(config)#interface ethernet 0/2
CS2(config-if)#no switchport
CS2(config-if)#ip address 172.16.35.3 255.255.255.0
CS2(config-if)#no shutdown
CS2(config-if)#exit
CS2(config)#interface ethernet 0/3
CS2(config-if)#no switchport
CS2(config-if)#ip address 172.16.34.3 255.255.255.0
CS2(config-if)#no shutdown
CS2(config-if)#exitDS1的配置
DS1(config)#router ospf 1
DS1(config-router)#router-id 4.4.4.4
DS1(config-router)#network 172.16.24.0 0.0.0.255 area 10
DS1(config-router)#network 172.16.34.0 0.0.0.255 area 20
DS1(config-router)#redistribute connected subnets
DS1(config-router)#exitDS2的配置
DS2(config)#router ospf 1
DS2(config-router)#router-id 5.5.5.5
DS2(config-router)#network 172.16.35.0 0.0.0.255 area 20
DS2(config-router)#network 172.16.25.0 0.0.0.255 area 10
DS2(config-router)#redistribute connected subnets
DS2(config-router)#exitPort-Security 技术
IOU6的配置
IOU6(config)#interface range ethernet 0/2-3
IOU6(config-if-range)#switchport port-security mac-address sticky
IOU6(config-if-range)#switchport port-security maximum 2
IOU6(config-if-range)#switchport port-security violation shutdown
IOU6(config-if-range)#exit
IOU6(config)#errdisable recovery cause psecure-violation
IOU6(config)#errdisable recovery interval 30IOU7的配置
IOU7(config)#interface range ethernet 0/2-3
IOU7(config-if-range)#switchport port-security
IOU7(config-if-range)#switchport port-security mac-address sticky
IOU7(config-if-range)#switchport port-security maximum 2
IOU7(config-if-range)#switchport port-security violation shutdown
IOU7(config-if-range)#exit
IOU7(config)#errdisable recovery cause psecure-violation
IOU7(config)#errdisable recovery interval 30IOU8配置自动获取
IOU8(config)#interface ethernet 0/0
IOU8(config-if)#ip address dhcp
IOU8(config-if)#duplex full
IOU8(config-if)#no shutdown
IOU8(config-if)#exit
