DCRS工作任务
DCRS 开启 telnet 登录功能,用户名 dcn01,密码 dcn01,配置使 用 telnet 方式登录终端界面前显示如下授权信息: “WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility”;(8 分)
2、SNMPv2c
总部部署了一套网管系统实现对核心 DCRS 进行管理,网管系统 IP 为:10.52.0.100,读团体值为:DCN2021,版本为 V2C, DCRS Trap 信息实时上报网管,当 MAC 地址发生变化时,也要立即通知 网管发生的变化,每35s发送一次;DCRS出口往返流量发送给DCBI, 由 DCBI 对收到的数据进行用户所要求的分析;(8 分)
snmp-server enable
snmp-server securityip 10.52.0.100
snmp-server host 10.52.0.100 v2c DCN2021
snmp-server community ro 0 DCN2021
snmp-server enable traps
snmp-server enable traps mac-notification
mac-address-table notification
mac-address-table notification interval 35
mac-address-table violation-trap-interval 35
3、二层隔离与防ARP
对 DCRS 上 VLAN40 开启以下安全机制: 业务内部终端相互二层隔离,启用环路检测,环路检测的时间间 隔为 10s,发现环路以后关闭该端口,恢复时间为 30 分钟;如发 现私设 DHCP 服务器则关闭该端口,配置防止 ARP 欺骗攻击; (8 分)
启用端口隔离:
DCRS(config)#isolate-port group 10 switchport interface e1/0/10
DCRS(config)#isolate-port group 11 switchport interface e1/0/11
DCRS(config)#isolate-port group 12 switchport interface e1/0/12
启用环路检测:
DCRS(config)#loopback-detection trap enable
DCRS(config)#loopback-detection interval-time 10 10
DCRS(config)#int e1/0/10-12
DCRS(config-if-port-range)#loopback-detection specified-vlan 40
DCRS(config-if-port-range)#loopback-detection control shutdown
DCRS(config-if-port-range)#exit
DCRS(config)#loopback-detection control-recovery timeout 3000
防止ARP欺骗:
DCRS(config)#ip dhcp snooping enable
DCRS(config)#ip dhcp snooping binding enable
DCRS(config)#ip dhcp snooping binding arp
DCRS(config)#int e1/0/10-12
DCRS(config-if-port-range)#ip dhcp snooping binding user-control
DCRS(config-if-port-range)#ip dhcp snooping action shutdown
4、ipv6地址分配及ripng
DCWS 配置 IPv6 地址,使用相关特性实现 VLAN50 的 IPv6 终端可 自动从网关处获得 IPv6 有状态地址; DCRS 配置 IPv6 地址,开启路由公告功能,路由器公告的生存期 为 2 小时,确保 VLAN30 的 IPv6 终端可以获得 IPv6 无状态地址。 8 DCWS 与 DCRS 之间配置 RIPng,使 PC1 与 PC3 可以通过 IPv6 通信;IPv6 业务地址规划如下,其它 IPv6 地址自行规划:(12 分)
业务 | IPV6地址 |
---|---|
VLAN30 | 2001:30::254/64 |
VLAN50 | 2001:50::254/64 |
DCWS配置如下:有状态IP地址
ipv6 enable
serv dhcpv6
ip
interface Vlan50
ipv6 address 2001:50::254/64
no ipv6 nd suppress-ra
ip address 172.16.50.62 255.255.255.128
DCRS配置如下:无状态
interface Vlan30
ipv6 address 2001:30::264/64
no ipv6 nd suppress-ra
ipv6 nd ra-lifetime 7200
ip address 172.16.30.62 255.255.255.128
配置RIPng
DCWS上为VLAN50分配有状态IP地址
DCWS-6028(config)#ipv6 en
DCWS-6028(config)#ser dhcpv6
DCWS-6028(config)#service dhcpv6
DCWS-6028(config)#ipv6 dhcp pool VLAN50
DCWS-6028(dhcpv6-vlan50-config)#network 2001:50::254 64
DCWS-6028(dhcpv6-vlan50-config)#exit
DCWS-6028(config)#int vlan50
DCWS-6028(config-if-vlan50)#ipv6 address 2001:50::254/64
DCWS-6028(config-if-vlan50)#no ipv6 nd suppress-ra
DCWS-6028(config-if-vlan50)#ipv6 nd managed-config-flag
DCWS-6028(config-if-vlan50)#ipv6 nd other-config-flag
DCWS-6028(config-if-vlan50)#ipv6 dhcp server VLAN50
DCRS配置如下:无状态
interface Vlan30
ipv6 address 2001:30::254/64
no ipv6 nd suppress-ra
ipv6 nd ra-lifetime 7200
ip address 172.16.30.62 255.255.255.128
配置RIPng
DCRS和DCWS均要配置:
ipv6 en #这个上面应该配置了,但我还是写一下。
router ipv6 rip #
DCRS(config)#INT VL30
DCRS(config-if-vlan30)#ipv6 router rip
DCRS(config)#int vlan100
DCRS(config-if-vlan100)#ipv6 address 2001:100::254/64
DCRS(config-if-vlan100)#ipv6 route rip
DCWS配置:
DCWS-6028(config-if-vlan50)#int vl100
DCWS-6028(config-if-vlan100)#ipv6 add 2001:100::253/64
DCWS-6028(config-if-vlan100)#ipv6 rou rip
DCWS-6028(config-if-vlan100)#int vlan50
DCWS-6028(config-if-vlan50)#ipv6 route rip
5.双向数据开启安全防护
尽可能加大 DCWS 与防火墙 DCFW 之间的带宽;
配置使总部 VLAN40 业务的用户访问 IDC SERVER 的数据流经过 DCFW 10.1.0.254,
IDC SERVER 返回数据流经过 DCFW 10.2.0.254,
且对双向数据流开启所有安全防护,参数和行为为默认;(12 分)
链路聚合配置如下:
说明,这里因为他们只是二层聚合,所以用on模式。
1、链路聚合
说明:如果fw上面show lacp ag1不是active模式,而是‘选中’状态,那么你去WEB上面,把AG1
调整成强制,确认,然后再调整成动态协商!
2、数据经过DCFW
3、双向防护
FW上面把trust和untrust的攻击防护策略,全部启用!
6.OSPF的MD5认证
DCFW、DCRS、DCWS 之间配置 OSPF area 0 开启基于链路的 MD5 认 证,密钥自定义,传播访问 INTERNET 默认路由;(8 分)
基于链路的MD5那就是VLAN下面部署即可。
7.BGP
DCFW 与 DCRS 建立两对 IBGP 邻居关系,使用 AS 65500,DCFW 上 loopback1-4 为模拟 AS 65500 中网络,为保证数据通信的可靠性 和负载,完成以下配置,要求如下:(12 分)
DCRS 通过 BGP 到达 loopback1,2 网路下一跳为 10.3.0.254; DCRS 通过 BGP 到达 loopback3,4 网络下一跳为 10.4.0.254; 通过 BGP 实现到达 loopback1,2,3,4 的网络冗余; 使用 IP 前缀列表匹配上述业务数据流; 使用 LP 属性进行业务选路,只允许使用 route-map 来改变 LP 属性、实现路由控制,LP 属性可配置的参数数值为:200
DCFW配置如下:
DCFW(config)# ip vrouter trust-vr
DCFW(config-vrouter)# router bgp 65500
DCFW(config-router)#
DCRS
1、配置前缀列表匹配路由,并配置route-map
DCRS(config)#DCRS(config)#ip prefix-list 1,2 seq 5 permit 10.11.0.0/24
DCRS(config)#ip prefix-list 1,2 seq 10 permit 10.12.0.0/24
DCRS(config)#ip prefix-list 3,4 seq 5 permit 10.13.0.0/24
DCRS(config)#ip prefix-list 3,4 seq 10 permit 10.14.0.0/24
DCRS(config)#route-map 1,2 per 10
DCRS(config-route-map)#match ip add prefix-list 1,2
DCRS(config-route-map)#set local-preference 200
DCRS(config)#route-map 1,2 per 20
DCRS(config-route-map)#exit
DCRS(config)#route-map 3,4 per 10
DCRS(config-route-map)#match ip add prefix-list 3,4
DCRS(config-route-map)#set local-preference 200
DCRS(config-route-map)#exit
DCRS(config)#route-map 3,4 per 20
DCRS(config-route-map)#exit
2、BGP配置
router bgp 65500
neighbor 10.3.0.254 remote-as 65500
neighbor 10.3.0.254 update-source 10.1.0.253
neighbor 10.3.0.254 route-map 1,2 in
neighbor 10.4.0.254 remote-as 65500
neighbor 10.4.0.254 update-source 10.2.0.253
neighbor 10.4.0.254 route-map 3,4 in
8.收包速率
如果 DCRS E0/3 端口的收包速率超过 30000 则关闭此端口,恢复时 间 5 分钟,并每隔 10 分钟对端口的速率进行统计;为了更好地提 高数据转发的性能,DCRS 交换中的数据包大小指定为 1600 字节; 共 8 分,共 3 处。
int e1/0/3
rate-violation all 3000
rate-vio con shut re 300 #其实后面的rec 300可以不配置,这是默认配置!但我还是说明一下。
#
DCRS(config)#mtu 1600 #数据包大小1600字节
DCRS(config)#port-rate-statistics interval 600 #配置统计时间