組網拓撲
組網相關及分值
1、在10.0.0.0/24內自行規劃互聯和回環IP地址,其中互聯地址掩碼30位,環回地址掩碼32位并指定router ID(27分);
2、PC1-PC3屬于不同VLAN,vlan號可自行確定;AR1-AR3運行OSPF骨干區域,AR1、AR3、SW1和SW2運行OSPF非骨干區域,實現全網互通(22分)
3、參考帶寬為10G(5分)
4、交換機到路由器之間出現鏈路故障時要能實現主備切換(4分)
5、AR1與AR3之間采用雙向CHAP認證(10分);
6、SW2開啟SSH(10分,僅允許AR2登錄配置)(7分);
解析
1、在10.0.0.0/24內自行規劃互聯和回環IP地址,其中互聯地址掩碼30位,環回地址掩碼32位并指定router ID(27分);
不管是做題目也好,還是考試,龍哥建議初學者能多換位思考,站在出題老師的角度去看這個題目,多揣測老師的意圖,是想要考察什么。
很明顯,這題主要是考查學生是否掌握了IP規劃及子網劃分。
要劃分子網,就需要看需求或規劃。
題目中說,
1、PC1、PC2、PC3不同VLAN,可知需要3個網段。
2、3臺路由器互聯,可知需要3個網段;2臺路由器與2臺交換機互聯,總共需4個網段。
3、環回地址,我們可以配1個網段。
根據題意,總共需要5大段,那2^3=8, 5<8, 所以只需向主機位借3位就夠用了,具體如下:
PC1我劃分為vlan10,網關:vlanif10,10.0.0.94
PC2我劃分為vlan20,網關:vlanif20,10.0.0.126
PC3我劃分為vlan20,網關:vlanif30,10.0.0.158
SW1與分別使用vlanif101、vlanif102接口與R1、R3互聯;
SW2與分別使用vlanif101、vlanif102接口與R1、R3互聯;
接下來,就開始給設備配置:設備名、router id、接口IP。
R1配置如下:(R2、R3參考如下配置,不再列出。)
#
sysname R1
#
router id 10.0.0.34
#
interface Serial1/0/0
link-protocol ppp
ip address 10.0.0.5 255.255.255.252
#
interface GigabitEthernet0/0/0
ip address 10.0.0.1 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 10.0.0.9 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 10.0.0.13 255.255.255.252
#
interface LoopBack0
ip address 10.0.0.34 255.255.255.255
#
SW1配置如下:(SW2也是參考如下配置,這里不再列出。)
#
sysname SW1
#
router id 10.0.0.36
#
vlan batch 10 101 to 102
#
interface Vlanif10
ip address 10.0.0.94 255.255.255.224
#
interface Vlanif101
ip address 10.0.0.10 255.255.255.252
#
interface Vlanif102
ip address 10.0.0.22 255.255.255.252
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 101
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 102
port trunk allow-pass vlan 2 to 4094
#
#
interface LoopBack0
ip address 10.0.0.36 255.255.255.255
#
配置完,建議直連ping一下,檢查是否配錯ip。
至此,我們算是把第一題已經完成了。
2、PC1-PC3屬于不同VLAN,vlan號可自行確定;AR1-AR3運行OSPF骨干區域,AR1、AR3、SW1和SW2運行OSPF非骨干區域,實現全網互通(22分)
PC1-PC3 vlan號上題我已經規劃好了。這題主要是考查我們路由協議OSPF配置方法。
根據題意,龍哥就把AR1-AR3運行于OSPF area 0;AR1、AR3、SW1和SW2運行OSPF area 1。如圖:
R1上配置OSPF#
#
ospf 1
area 0.0.0.0
network 10.0.0.1 0.0.0.0
network 10.0.0.5 0.0.0.0
network 10.0.0.34 0.0.0.0
area 0.0.0.1
network 10.0.0.9 0.0.0.0
network 10.0.0.13 0.0.0.0
#
R2上配置OSPF#
#
ospf 1
area 0.0.0.0
network 10.0.0.2 0.0.0.0
network 10.0.0.17 0.0.0.0
network 10.0.0.33 0.0.0.0
#
R3上配置OSPF#
#
ospf 1
area 0.0.0.0
network 10.0.0.6 0.0.0.0
network 10.0.0.18 0.0.0.0
network 10.0.0.35 0.0.0.0
area 0.0.0.1
network 10.0.0.21 0.0.0.0
network 10.0.0.25 0.0.0.0
#
SW1上配置OSPF#
#
ospf 1
area 0.0.0.1
network 10.0.0.36 0.0.0.0
network 10.0.0.10 0.0.0.0
network 10.0.0.22 0.0.0.0
network 10.0.0.94 0.0.0.0
#
SW2上配置OSPF#
#
ospf 1
area 0.0.0.1
network 10.0.0.37 0.0.0.0
network 10.0.0.14 0.0.0.0
network 10.0.0.26 0.0.0.0
network 10.0.0.126 0.0.0.0
network 10.0.0.158 0.0.0.0
#
到了,路由協議配完了,實現全網可達,我們可以用ping測試一下。
PC1可以ping PC2、PC3
PC3可以通所以設備的環回口地址:
3、參考帶寬為10G(5分)
我們都知道OSPF接口開銷值的計算公式為:
帶寬參考值
接口開銷 =
接口帶寬
注意:取計算結果的整數部分作為接口開銷值(當結果小于1時,取1)。
所以,我們需要通過bandwidth-reference命令設置帶寬參考值,這樣來影響接口的開銷值,從而調整OSPF的路由選路。
缺省情況下,帶寬參考值為100Mbit/s,即cost=100000000/bandwidth。
在R1、R2、R3、SW1、SW2直線如下命令:
#
ospf%201
bandwidth-reference%201000000000
ok,第3題到這,我們就算完成了。
4、交換機到路由器之間出現鏈路故障時要能實現主備切換(4分)
從個人理解題,主備,本題應該是備鏈路平時不跑業務,只有主鏈路down了,才切換到備鏈路。所以,我打算使用華為smartlink來解決。
配置Smartlink時,需要先將接口的STP禁用了:
在SW1、SW2配置如下:
#
interface GigabitEthernet0/0/1
stp disable
#
interface GigabitEthernet0/0/2
stp disable
SW1、SW2配置Smartlink#
#
smart-link group 1
port GigabitEthernet0/0/1 master
port GigabitEthernet0/0/2 slave
#
master即主接口,有跑業務流量;slave即從接口,只有當主接口故障了,slave接口才接管主接口。
現在,我們來驗證切換情況,以及丟包情況:
SW1的主接口未down時,PC1去往R2的環回口是走R1:
SW1的主接口down之前,我們先在R2 長ping PC1:
現在我們把SW1主接口shutdown了,再看看:
R2上看,發現沒丟包:
PC1再tracert看看,走R3了:
由此,我可以知道已經切換過去了,并且沒有丟包:
5、AR1與AR3之間采用雙向CHAP認證(10分);
在AR1、AR3上進行如下配置:
chap用戶名along,密碼abc123
#
interface Serial1/0/0
link-protocol ppp
ppp authentication-mode chap
ppp chap user along
#
aaa
local-user along password cipher ab123
local-user along service-type ppp
#
當配置CHAP認證后,必須在接口視圖下依次執行shutdown和undo shutdown或restart重啟接口,CHAP認證才能生效。
抓包可知,chap認證成功了:
也你可以tracert看看:
6、SW2開啟SSH(10分,僅允許AR2登錄配置)(7分);
user-interface vty 0
authentication-mode aaa
protocol inbound ssh
#
aaa
local-user sshalong password cipher abc123
local-user sshalong service-type ssh
#
stelnet server enable
#
[SW2]rsa local-key-pair create
The key name will be: SW2_Host
% RSA keys defined for SW2_Host already exist.
Confirm to replace them? [y/n]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 512]:1024
Generating keys...
..++++++
........................................++++++
.............................++++++++
........................++++++++
[SW2]
ssh user sshalong
ssh user sshalong authentication-type password
ssh user sshalong service-type stelnet
SW2已開啟了SSH,現在我們在其他設備登陸看看:
SW1第一次使用ssh登陸遠程設備,使用開啟該命令,就可以登陸了:
ssh client first-time enable
現在我們需要限制只允許R2登陸,其他禁止:
SW2配置限制源地址:(ps 模擬器不支持ssh server acl 2000,只能在vty調用了)
#
acl number 2000
rule 10 permit source 10.0.0.33 0
#
user-interface vty 0 4
acl 2000 inbound
R2指定源地址,是可以登陸SW2的:
R1已經無法ssh登陸SW2了:
ok,到這里基本就完成了,怎么樣?看完您是否有收獲。
本題是開放題,以上并不是標準答案,僅供參考。如有不足之處,歡迎指正,我們一起成長!
