2023年12月19日发(作者：管曦)

Figure-3-1

Jan16公司新建了一栋办公大楼，为了满足日常的办公需求，公司决定为财务部、项目管理部和服务器群建立互联互通的有线网络。其中，为方便项目管理部开展业务，需要自动获取公司DNS服务器IP地址。公司已经申请了一条互联网专线并配有一个公网IP，希望所有员工都能访问internet。后期规划所有设备由网络管理员进行远程管理。

服务器群交换机使用两条链路连接到核心交换机，两条链路可以配置端口聚合，防止单链路出现故障。财务部和项目管理部处于同一区域，各部门交换机使用一条链路连接到核心交换机，为防止单链路故障，可以在财务部交换机和项目管理部交换机上采用一条链路互联，当上行链路出现故障时可以通过其他部门的交换机到达核心交换机。采用这种方式连接时，三台交换机会形成环路，可以采用生成树解决该问题。

任务1 设备改名配置

为了方便后期维护和故障定位及网络的规范性，需要对网络设备进行规范化命名。

请根据Figure 3-1实验考试拓扑和设备管理规划对设备进行命名。

请注意大小写，务必与Figure3-1实验考试拓扑保持一致。

SW1:

System-view

Sysname SW1

SW2:

System-view

Sysname SW2

SW3:

System-view

Sysname SW3

SW4:

System-view

Sysname SW4

AR1:

System-view

Sysname R1

AR2:

System-view

Sysname R2

任务2 链路聚合配置

为了保证链路的稳定性，同时在不升级硬件设备的前提下最大限度的提升带宽。在SW1与SW2之间配置链路聚合。请通过Lacp模式实现二层链路聚合，成员接口为GE0/0/21、GE0/0/22，链路聚合接口ID为1,并且SW1作为LACP的主动端，优先级4096。

配置命令：

SW1:

Int Eth 1

Mode lacp-static

Trunkport G0/0/21

Trunkport G0/0/22

Lacp priority 4096

SW1:

Int Eth 1

Mode lacp-static

Trunkport G0/0/21

Trunkport G0/0/22

任务3 VLAN配置

全网设备按照要求配置所需的VLAN。

请根据Figure 3-1实验考试拓扑和VLAN规划信息，在对应交换机上配置所需的

VLAN。

注意：为了保证网络的连通性，交换机只允许题目中规定的VLAN通过。

SW1:

Vlan 10

description FA

Vlan 20

description PM

vlan 100

description SW-MGMT

vlan 201

description SW1-R1

Int G0/0/24

Port link-type access

Port default vlan 201

Int G0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int G0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int ETH 1

Port link-type trunk

Port trunk allow-pass vlan 100

SW2:

Vlan 90

description DC

vlan 100

description SW-MGMT

Int G0/0/1

Port link-type Access

Port default vlan 90

Int G0/0/2

Port link-type Access

Port default vlan 90

Int ETH 1

Port link-type trunk

Port trunk allow-pass vlan 100

SW3:

vlan 10 //创建VLAN 10

description FA //修改VLAN10备注为FA

vlan 20 //创建VLAN 20

description PM //修改VLAN20备注为PM

vlan 100 //创建VLAN 100

description SW-MGMT //修改VLAN100备注为SW-MGMT

Int E0/0/1

Port link-type access

Port default vlan 10

Int G0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int G0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 100

SW4:

vlan 10 //创建VLAN 10

description FA //修改VLAN10备注为FA

vlan 20 //创建VLAN 20

description PM //修改VLAN20备注为PM

vlan 100 //创建VLAN 100

description SW-MGMT //修改VLAN100备注为SW-MGMT

Int G0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int G0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int E0/0/1

Port link-type access

Port default vlan 20

任务4 RSTP配置

为了防止二层网络中出现环路和提高网络可靠性，在SW1和SW3,SW4之间配置

STP协议。

模式为RSTP。设置SW1的优先级为4096使其成为根桥。

2.为了最大限度的保证网络的稳定性，避免主机频繁重启导致的网络波动。要求所

有与PC相连的交换机端口，不参加STP计算，直接进入Forwarding状态转发。

SW1:

stp mode rstp

stp priority 4096

SW3:

Stp mode rstp

Int e0/0/1

Stp edged-port enable

Sw4

Stp mode rstp

Stp edged-port enable

任务5 IP业务配置

请根据Figure 3-1实验考试拓扑和IP地址规划给出的信息，配置对应网络设备接口的IP地址。

SW1

interface Vlanif 10

ip address 192.168.10.1 24

interface Vlanif 20

ip address 192.168.20.1 24

interface Vlanif 100

ip address 192.168.100.1 24

interface Vlanif 201

ip address 10.1.1.1 30

SW2:

interface Vlanif 90

ip address 192.168.90.1 24

Vlanif 100

ip address 192.168.100.2 24

SW3:

interface Vlanif 100

ip address 192.168.100.3 24

SW4:

interface Vlanif 100

ip address 192.168.100.4 24

R1:

interface G 0/0/0

ip address 16.16.16.1 24

interface G 0/0/1

ip address 10.1.1.2 30

interface G 0/0/2

ip address 10.1.1.6 30

R2:

interface G 0/0/0

ip address 16.16.16.16 24

任务6 路由配置

在路由器R1、交换机SW1、SW2上启用OSPF路由协议，并将对应网段加入到OSPF区域0中，R1将缺省路由通告到OSPF区域

为了保证路由交互的安全性，在SW1、SW2和R1采用区域认证，选择md5加密算法，认证密钥ID为1，密钥类型为cipher，密码为

“huawei@123”。

R1

Ospf 1

Area 0

Network 10.1.1.2 0.0.0.0

authentication-mode md5 1 cipher huawei@123

Quit

default-route-advertise always //将缺省路由通告到OSPF区域

SW1

ospf 1

area 0

network 192.168.10.0 0.0.0.255

network 192.168.20.0 0.0.0.255

network 192.168.100.0 0.0.0.255

network 10.1.1.0 0.0.0.3

authentication-mode md5 1 cipher huawei@123

SW2:

ospf 1

Area 0

network 192.168.90.0 0.0.0.255

network 192.168.100.0 0.0.0.255

authentication-mode md5 1 cipher huawei@123

任务7 出口配置

接入交换机SW3、SW4上配置默认路由指向SW1。

创建访问控制列表2000，配置规则允许内网用户网段同构，在R1的G0/0/0接口上配置Easy

IP方式的NAT Outbound，调用的访问控制列表编号为2000。

为了骨干网的安全，只允许内网财务部网段用户能够访问Internet。结合ACL permit语句，在R1接口的出方向实现 ACL 编号为2001

SW3

ip route-static 0.0.0.0 0 192.168.100.1

SW4

ip route-static 0.0.0.0 0 192.168.100.1

R1

Acl 2000

rule permit source 192.168.10.0 0.0.0.255

rule permit source 192.168.20.0 0.0.0.255

rule permit source 192.168.90.0 0.0.0.255

int g0/0/0

nat outbound 2000

Acl 2001

Rule permit 192.168.10.0 0.0.0.255

Int g0/0/0

Traffic-filter outbound acl 2001

任务8 SSH服务配置

SW1，SW2,SW3,SW4为例在网络设备上配置SSH服务

SW1/SW2/SW3/SW4

[SW1]rsa local-key-pair create

Input the bits in the modulus[default = 512]:2048

//创建RSA密钥，在此过程中需要填写RSA密钥长度为2048

[SW1]stelnet server enable //使能stelnet服务（开启SSH）

[SW1]user-interface vty 0 4 //进入VTY用户界面

[SW1-ui-vty0-4]authentication-mode aaa //配置VTY用户界面认证方式为aaa

[SW1-ui-vty0-4]protocol inbound ssh //配置VTY用户界面支持SSH

[SW1-ui-vty0-4]quit //退出VTY用户界面

[SW1]ssh user admin //创建SSH用户

[SW1]ssh user admin authentication-type password //配置admin用户认证类型为密码认证

[SW1]ssh user admin service-type stelnet //配置admin用户服务方式为stelnet

[SW1]aaa //进入AAA视图

[SW1-aaa]local-user admin password cipher HwEdu12#$

//配置本地用户admin，密码为HwEdu12#$

[SW1-aaa]local-user admin service-type ssh //配置本地用户admin的服务方式为ssh

[SW1-aaa]local-user admin privilege level 15 //配置本地用户admin的用户等级为15

[SW1-aaa]quit //退出AAA视图

任务9 DHCP服务配置

在核心交换机SW1上对VLAN 20,vlan 10启用DHCP，配置客户端从接口地址池中获取IP地址。

SW1

Dhcp enable

Int vlanif10

Dhcp select interface

Int vlanif20

Dhcp select interface

2023年12月19日发(作者：管曦)

Figure-3-1

Jan16公司新建了一栋办公大楼，为了满足日常的办公需求，公司决定为财务部、项目管理部和服务器群建立互联互通的有线网络。其中，为方便项目管理部开展业务，需要自动获取公司DNS服务器IP地址。公司已经申请了一条互联网专线并配有一个公网IP，希望所有员工都能访问internet。后期规划所有设备由网络管理员进行远程管理。

服务器群交换机使用两条链路连接到核心交换机，两条链路可以配置端口聚合，防止单链路出现故障。财务部和项目管理部处于同一区域，各部门交换机使用一条链路连接到核心交换机，为防止单链路故障，可以在财务部交换机和项目管理部交换机上采用一条链路互联，当上行链路出现故障时可以通过其他部门的交换机到达核心交换机。采用这种方式连接时，三台交换机会形成环路，可以采用生成树解决该问题。

任务1 设备改名配置

为了方便后期维护和故障定位及网络的规范性，需要对网络设备进行规范化命名。

请根据Figure 3-1实验考试拓扑和设备管理规划对设备进行命名。

请注意大小写，务必与Figure3-1实验考试拓扑保持一致。

SW1:

System-view

Sysname SW1

SW2:

System-view

Sysname SW2

SW3:

System-view

Sysname SW3

SW4:

System-view

Sysname SW4

AR1:

System-view

Sysname R1

AR2:

System-view

Sysname R2

任务2 链路聚合配置

为了保证链路的稳定性，同时在不升级硬件设备的前提下最大限度的提升带宽。在SW1与SW2之间配置链路聚合。请通过Lacp模式实现二层链路聚合，成员接口为GE0/0/21、GE0/0/22，链路聚合接口ID为1,并且SW1作为LACP的主动端，优先级4096。

配置命令：

SW1:

Int Eth 1

Mode lacp-static

Trunkport G0/0/21

Trunkport G0/0/22

Lacp priority 4096

SW1:

Int Eth 1

Mode lacp-static

Trunkport G0/0/21

Trunkport G0/0/22

任务3 VLAN配置

全网设备按照要求配置所需的VLAN。

请根据Figure 3-1实验考试拓扑和VLAN规划信息，在对应交换机上配置所需的

VLAN。

注意：为了保证网络的连通性，交换机只允许题目中规定的VLAN通过。

SW1:

Vlan 10

description FA

Vlan 20

description PM

vlan 100

description SW-MGMT

vlan 201

description SW1-R1

Int G0/0/24

Port link-type access

Port default vlan 201

Int G0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int G0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int ETH 1

Port link-type trunk

Port trunk allow-pass vlan 100

SW2:

Vlan 90

description DC

vlan 100

description SW-MGMT

Int G0/0/1

Port link-type Access

Port default vlan 90

Int G0/0/2

Port link-type Access

Port default vlan 90

Int ETH 1

Port link-type trunk

Port trunk allow-pass vlan 100

SW3:

vlan 10 //创建VLAN 10

description FA //修改VLAN10备注为FA

vlan 20 //创建VLAN 20

description PM //修改VLAN20备注为PM

vlan 100 //创建VLAN 100

description SW-MGMT //修改VLAN100备注为SW-MGMT

Int E0/0/1

Port link-type access

Port default vlan 10

Int G0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int G0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 100

SW4:

vlan 10 //创建VLAN 10

description FA //修改VLAN10备注为FA

vlan 20 //创建VLAN 20

description PM //修改VLAN20备注为PM

vlan 100 //创建VLAN 100

description SW-MGMT //修改VLAN100备注为SW-MGMT

Int G0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int G0/0/2

port link-type trunk

port trunk allow-pass vlan 10 20 100

Int E0/0/1

Port link-type access

Port default vlan 20

任务4 RSTP配置

为了防止二层网络中出现环路和提高网络可靠性，在SW1和SW3,SW4之间配置

STP协议。

模式为RSTP。设置SW1的优先级为4096使其成为根桥。

2.为了最大限度的保证网络的稳定性，避免主机频繁重启导致的网络波动。要求所

有与PC相连的交换机端口，不参加STP计算，直接进入Forwarding状态转发。

SW1:

stp mode rstp

stp priority 4096

SW3:

Stp mode rstp

Int e0/0/1

Stp edged-port enable

Sw4

Stp mode rstp

Stp edged-port enable

任务5 IP业务配置

请根据Figure 3-1实验考试拓扑和IP地址规划给出的信息，配置对应网络设备接口的IP地址。

SW1

interface Vlanif 10

ip address 192.168.10.1 24

interface Vlanif 20

ip address 192.168.20.1 24

interface Vlanif 100

ip address 192.168.100.1 24

interface Vlanif 201

ip address 10.1.1.1 30

SW2:

interface Vlanif 90

ip address 192.168.90.1 24

Vlanif 100

ip address 192.168.100.2 24

SW3:

interface Vlanif 100

ip address 192.168.100.3 24

SW4:

interface Vlanif 100

ip address 192.168.100.4 24

R1:

interface G 0/0/0

ip address 16.16.16.1 24

interface G 0/0/1

ip address 10.1.1.2 30

interface G 0/0/2

ip address 10.1.1.6 30

R2:

interface G 0/0/0

ip address 16.16.16.16 24

任务6 路由配置

在路由器R1、交换机SW1、SW2上启用OSPF路由协议，并将对应网段加入到OSPF区域0中，R1将缺省路由通告到OSPF区域

为了保证路由交互的安全性，在SW1、SW2和R1采用区域认证，选择md5加密算法，认证密钥ID为1，密钥类型为cipher，密码为

“huawei@123”。

R1

Ospf 1

Area 0

Network 10.1.1.2 0.0.0.0

authentication-mode md5 1 cipher huawei@123

Quit

default-route-advertise always //将缺省路由通告到OSPF区域

SW1

ospf 1

area 0

network 192.168.10.0 0.0.0.255

network 192.168.20.0 0.0.0.255

network 192.168.100.0 0.0.0.255

network 10.1.1.0 0.0.0.3

authentication-mode md5 1 cipher huawei@123

SW2:

ospf 1

Area 0

network 192.168.90.0 0.0.0.255

network 192.168.100.0 0.0.0.255

authentication-mode md5 1 cipher huawei@123

任务7 出口配置

接入交换机SW3、SW4上配置默认路由指向SW1。

创建访问控制列表2000，配置规则允许内网用户网段同构，在R1的G0/0/0接口上配置Easy

IP方式的NAT Outbound，调用的访问控制列表编号为2000。

为了骨干网的安全，只允许内网财务部网段用户能够访问Internet。结合ACL permit语句，在R1接口的出方向实现 ACL 编号为2001

SW3

ip route-static 0.0.0.0 0 192.168.100.1

SW4

ip route-static 0.0.0.0 0 192.168.100.1

R1

Acl 2000

rule permit source 192.168.10.0 0.0.0.255

rule permit source 192.168.20.0 0.0.0.255

rule permit source 192.168.90.0 0.0.0.255

int g0/0/0

nat outbound 2000

Acl 2001

Rule permit 192.168.10.0 0.0.0.255

Int g0/0/0

Traffic-filter outbound acl 2001

任务8 SSH服务配置

SW1，SW2,SW3,SW4为例在网络设备上配置SSH服务

SW1/SW2/SW3/SW4

[SW1]rsa local-key-pair create

Input the bits in the modulus[default = 512]:2048

//创建RSA密钥，在此过程中需要填写RSA密钥长度为2048

[SW1]stelnet server enable //使能stelnet服务（开启SSH）

[SW1]user-interface vty 0 4 //进入VTY用户界面

[SW1-ui-vty0-4]authentication-mode aaa //配置VTY用户界面认证方式为aaa

[SW1-ui-vty0-4]protocol inbound ssh //配置VTY用户界面支持SSH

[SW1-ui-vty0-4]quit //退出VTY用户界面

[SW1]ssh user admin //创建SSH用户

[SW1]ssh user admin authentication-type password //配置admin用户认证类型为密码认证

[SW1]ssh user admin service-type stelnet //配置admin用户服务方式为stelnet

[SW1]aaa //进入AAA视图

[SW1-aaa]local-user admin password cipher HwEdu12#$

//配置本地用户admin，密码为HwEdu12#$

[SW1-aaa]local-user admin service-type ssh //配置本地用户admin的服务方式为ssh

[SW1-aaa]local-user admin privilege level 15 //配置本地用户admin的用户等级为15

[SW1-aaa]quit //退出AAA视图

任务9 DHCP服务配置

在核心交换机SW1上对VLAN 20,vlan 10启用DHCP，配置客户端从接口地址池中获取IP地址。

SW1

Dhcp enable

Int vlanif10

Dhcp select interface

Int vlanif20

Dhcp select interface