任务清单
(一)基础配置
1.根据附录1拓扑图及附录2地址规划表,配置设备接口信息。
2.在网络设备上,均开启SSH服务端功能。其中,用户名和密码为admin、Test@123。密码为明文类型。特权密码为Test@123。
3.交换设备上部署SNMP功能。配置所有设备SNMP消息,向主机192.1.100.100发送Trap消息版本采用V2C,读写的Community为“Test@123”,只读的Community为“Public123”,开启Trap消息。
(二)有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.在交换机S1的Gi0/1-Gi0/22端口启用端口保护。
3.在S1连接PC机端口上开启边缘端口和BPDU防护功能。
4.检测到环路后处理方式为关闭端口。
5.如果端口检测进入禁用状态,设置再过 300 秒后会自动恢复,重新检测是否有环路。
6.DHCP服务器搭建于EG1上,DHCP对外服务使用loopback 0地址。
7.在S1交换机部署DHCP
Snooping+DAI功能。其中,DAI功能主要针对VLAN10与VLAN20启用ARP防御。
8.配置MSTP防止二层环路。要求VLAN10、VLAN20数据流经过S3转发,S3失效时经过S4转发。VLAN50、VLAN60、VLAN100数据流经过S4转发,S4失效时经过S3转发。region-name为test。revision版本为1。S3作为实例1的主根、实例2的从根,S4作为实例2的主根、实例1的从根。其中,主根优先级为4096,从根优先级为8192。
9.在S3和S4交换机上配置VRRP,实现主机的网关冗余,所配置的参数要求见表1。在交换机S3、S4上配置的各VRRP组中,设置高优先级设置为150,低优先级设置为120,S3、S4的2条互联链路(Gi0/22、Gi0/23)上,配置二层链路聚合,采取LACP动态聚合模式。
表1 S3和S4的VRRP参数表
10.S6和S7间的Te0/49-50端口作为虚拟交换链路实现网络设备虚拟化。其中S6为主,S7为备。S6和S7间的Gi0/47端口作为双主机检测链路,配置基于双主机检测,当虚拟交换链路的所有物理链路都异常断开时,备机会切换成主机,通过双主机链路检测从而保障网络正常。其中,主设备:Domain
id:1。switch id:1。priority 150。 description:
Switch-Virtual-Switch1。备设备:Domain id:1。switch id:2。priority
120。description: Switch-Virtual-Switch2。
11.各机构内网运行OSPF,配置(AC1/AC2)、S5、EG2之间运行OSPF,进程号10,规划单区域:区域0。R1、R2、R3之间运行OSPF,进程号20,规划单区域:区域0。
(S6/S7)、R2、R3之间运行OSPF,进程号21,规划单区域:区域0。S3、S4、EG1之间运行OSPF,进程号为30。
12.要求业务网段中不出现协议报文。R1、(S6/S7)始发的终端网段以及各设备上的Loopback管理地址,均以重分发直连路由的方式注入路由;R2/EG2、R3/EG1之间互联段,均以重发布直连的方式,注入R2、R3的OSPF双进程中,R2、R3之间启用OSPF与BFD联动,以达到迅速检测运营商网络中断,快速地切换到其他备份线路,提高用户网络体验。
13.优化OSPF相关配置,以尽量加快OSPF收敛。配置重发布路由进OSPF中使用类型1。
14.R1引入路由时进行路由标记,生产网段标记为10,办公网段标记为20,loopback地址标记为30,路由图定义为SET_TAG;(S6/S7)引入路由时进行路由标记,生产网段标记为100,办公网段标记为200,loopback地址标记为300,路由图定义为SET_TAG;R2、R3要求OSPF双进程重发布,OSPF20进程发布至OSPF21进程时关联路由图定义为OSPF20_TO_OSPF21,OSPF21进程发布至OSPF20进程时关联路由图定义为OSPF21_TO_OSPF20;R2、R3要求OSPF路由标记过滤规避路由环路与次优路径风险,OSPF20进程内路由过滤关联路由图定义为FILTER_OSPF21_TAG,OSPF21进程内路由过滤关联路由图定义为FILTER_OSPF20_TAG;路由图中涉及COST值的调整,要求其值必须为5或10;通过策略部署,使得生产业务的主路径为R1—R2—(S6/S7),办公业务的主路径为R1—R3—(S6/S7),且要求来回路径一致。Loopback接口互访路径与办公业务一致;主链路或R2、R3故障时可无缝切换到备用链路上。
15.分支机构之间,部署IPV6网络,实现机构之间的内网中安装的IPV6终端,可通过无状态自动从网关处获取地址。其中,IPV6地址规划如表2。R1、(S6/S7)通过Gre隧道实现局域网IPV6终端互联互通,且隧道内运行OSPFV3协议,进程号10,区域号为0。R1、(S6/S7)直连R2、R3的其中任意链路故障均不影响Gre隧道的连通。
表2 IPV6地址规划表
(三)无线网络配置
CII集团公司拟投入16.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划,洗手间、楼梯区域无须覆盖)。
2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。
3.根据表3无线产品价格表,制定该无线网络工程项目设备的预算表;
表3无线产品价格表
| 产品型号 | 产品特征 | 传输速率 | 推荐/最大带点数 | 功率 | 价格(元) |
4.分公司的无线网络规划中,使用EG1作为无线用户和无线FIT
AP的DHCP服务器。分公司内网SSID为admin_Fit_XX(备注:XX现场提供)。WLANID为1。AP-Group为admin。配置内网中的无线用户在关联SSID后,即可自动获取VLAN60地址
5.配置两台AC设备,使用虚拟化方案组合成1台虚拟AC。
6.AC1和AC2之间的Gi0/4-5端口作为虚拟交换链路。其中:配置AC1为主,AC2为备。
7.AC1和AC2间的Gi0/3端口,作为双主机检测链路,配置基于双主机检测。当虚拟交换链路的所有物理链路都异常断开时,备机切换成主机,通过双主机链路检测从而保障网络正常。其中,主设备为:Domain
id:1。device id:1。priority 150。 description: AC-1。备设备为:Domain
id:1。device id:2。priority 120。 description: AC-2。
8.虚拟AC与S5之间的业务线缆都规划为双线路。为提升冗余性,采用三层链路聚合。
9.AP3使用胖模式进行部署,以透明模式进行部署,管理地址为192.1.100.3/24。在无线AP3上创建SSID(WLAN-ID
2),相关参数为:admin-Fat_XX(备注:XX现场提供)
。其中,内网无线用户关联SSID后,可自动获取VLAN60网段地址。
10.无线用户接入无线网络时,连接Fit
AP无线用户接入无线网络时采用802.1X加密方式,认证用户名user1、密码为XX。Fat
AP部署的无线网络中,无线用户接入无线网络时采用WEB认证方式,认证用户名user2、密码为XX。认证服务器登陆地址为http://194.1.100.100/admin,用户名:admin
密码:987321Aa)
11.无线用户的下行平均速率为 800KB/s ,突发速率为1600KB/s。
12.关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)无线终端接入。
13.启用同AP下用户间隔离功能。
14.避免链路不稳定,导致AP/AC隧道中断,启用无线AP边缘感知功能。
15.每AP最大带点人数为30人。
16.调整2.4G频段射频卡功率数值为20,5.8G频段射频卡功率数值为100,尽量降低同频干扰带来的影响。
(四)出口网络配置
1.出口网关上进行NAT配置,实现机构内网终端及服务器,均可访问互联网,通过NAPT方式将内网IP地址转换到互联网接口上。
2.出口网关EG1上配置,使S1交换机(192.1.100.1)设备的Telnet服务,可以通过互联网被访问。此外,将其地址映射至运营商线路上,映射地址为11.1.2.10,映射端口23333。
3.EG1设备上启用Web
Portal认证服务,认证用户名密码均为user11、user12。有线用户需进行WEB认证访问互联网。无线用户不需在EG上进行WEB认证即可访问互联网。
4.在EG1与EG2出口网关之间,启用GRE Over IPSec
VPN嵌套功能。创建GRE隧道,实现内部承载OSPF协议,使其总分机构间内网连通。
5.配置IPSec安全使用静态点对点模式,要求esp传输模式封装协议。isakmp策略定义加密算法采用3des。散列算法采用md5,预共享密码为admin。DH使用组2。此外,转换集myset定义加密验证方式为esp-3des
esp-md5-hmac。感兴趣流ACL编号为103。加密图定义为mymap。
6.出口网关EG1上,针对内网访问互联网WEB流量限速每IP
1000Kbps,内网WEB总流量不超过20Mbps,通道名称定义为WEB。
7.出口网关EG1上,基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎等多应用启用审计功能。
8.出口网关EG1上,对创建的用户user11用户上网活动不进行监控审计。
9.出口网关EG1上,对外发信息包含敏感词“供应链企业资料”和“员工薪酬明细”进行阻断并审计和告警;
10.出口网关EG1上,设置黑名单禁止局域网用户通过浏览器访问http://15.1.0.2网址。
11.出口网关EG1上,周一到周日工作时间09:00—17:00(命名为work)阻断并审计P2P应用软件使用,审计策略名称定义为P2P。
(五)SDN网络配置
1.SDN控制器登陆地址:https://192.168.1.2:8089/onc/,用户名:admin
密码:987321Aa 。
2.使用S2/S4构建SDN网络,S2连接SDN控制器的6653端口。
3.SDN控制器下发流表实现S2所有流量均禁止通过。
4.通过SDN控制器手工给S2下发流表项使其S2下生产终端可与总部10.2.0.12地址互联互通。
附录1:拓扑图
附录2:地址规划表