最新资讯

注意事项：

(1)注意网段顺序是产品、营销、法务、财务、人力，端口对应是E1-5，VLAN对应是10、20,30,40,50；如下图所示：

（2）允许通过VLAN要根据实际需要而定。

STEP 1：理清配置要求，画出拓扑示意图。

STEP 2：L3配置VLAN1022，对端地址是10.1.255.2；VPN是财务专线网段，地址与L3的地址一样，VLAN为1023；这两个地址配置已经在基础IP地址配置中完成配置任务。

STEP 3：L2业务需要配置LACP协议（链路聚合），在此要注意两点：（1）SW1为active，SW2为passive；（2）负载分担采用源、目的IP进行。

SW1配置：

port-group 1                       //创建编号为1的逻辑接口

interface e1/0/24

switchport mode trunk

switchport trunk allowed vlan 10;20;30;40;50

port-group 1 mode active       //绑定物理接口为主动端

load-balance dst-src-ip

SW2配置：

port-group 1                       //创建编号为1的逻辑接口

interface e1/0/24

switchport mode trunk

switchport trunk allowed vlan 10;20;30;40;50

port-group 1 mode passive       //绑定物理接口为被动端

load-balance dst-src-ip

STEP 1：理清配置思路，明确Loopback的作用；在SW-3的E1/0/1-3;5,11-12六个端口没有连接其他设备，对应的VLAN10，20,30,50,110,120处于关闭状态，为了开启端口，需要配置Loopback开启VLAN。

SW3配置：

int e1/0/1-3;5;11-12   //进入需要划分到业务VLAN的端口

loopback         //配置Loopback

STEP 1：理清配置思路，画出示意图。

STEP 2：注意隔离区域配置：先创建VRF、VLAN，然后进入接口设定端口为VRF端口，接着配置IP地址及IPv6地址。

SW3配置：

ip vrf Office                              //创建Internet实例

Int loopback2

ip vrf forwarding Office   #配置 VRF 实例与接口关联

Ip add 10.1.3.2 255.255.255.255

Ipv6 add 2001:10:1:3::2/128

Int vlan 110

ip vrf forwarding Office

Ip add 10.1.110.1 255.255.255.0

IPv6 add 2001:10:1:110::1/64

Int vlan 120

ip vrf forwarding Office

Ip add 10.1.120.1 255.255.255.0

IPv6 add 2001:10:1:120::1/64

Int vlan 1015

ip vrf forwarding Office

Ip add 10.1.255.46 255.255.255.252

VRF：Internet配置类似，在此省略。

STEP 1：理清配置思路，注意配置顺序。（1）启动snmp-server;（2）设置引擎id；（3）创建组；（4）创建用户；（5）开启snmp-server trap功能；（6）设置trap本地源；（7）设置trap目的地址；（8）当法务部门对应的用户接口发生UP DOWN事件时禁止发送trap消息至trap目的服务器。

SW1配置：

（1）启用SNMP带领服务器

snmp-server enable

（2）按要求配置引擎号

snmp-server engineid 1000

（3）按要求创建用户组

snmp-server group GroupSkills authpriv read Skills_R write Skills_W

（4）按要求创建用户

snmp-server user UserSkills GroupSkills authPriv aes Key-1122 auth sha Key-1122

（5）按要求启用Trap参数配置

snmp-server enable traps                     //启用设备发送Trap消息功能

（6）按要求配置Trap源地址

snmp-server trap-source 10.1.1.1     // LoopBack1的IPv4地址

snmp-server trap-source 2001:10:1:1::1// LoopBack1的IPv6地址

（7）按要求配置Trap目的地址及用户

snmp-server host 10.1.15.120 v3 authpriv UserSkills  //v3为最高安全等级

snmp-server host 2001:10:1:15::120 v3 authpriv UserSkills  //v3为最高安全等级

（8）因为是最高安全级别，所以也需要设置一下安全ip，这个功能默认打开，只需要设置一下安全ip就行了（其实SNMPv3设置这个没有意义，防止扣分多做一下也没关系）

snmp-server securityip 10.1.15.120

snmp-server securityip 2001:10:1:15::120

(9)接口发生UP DOWN事件时禁止发送trap消息至上述集团网管服务器

interface ethernet 1/0/3

no switchport updown notification enable

STEP 1：本题仅仅考核一个镜像配置，不存在难点。

SW1配置：

monitor session 1 source interface ethernet 1/0/19 both  //指定源端口

monitor session 1 destination interface ethernet 1/0/1   //指定目的端口

知识延展：（2019年国赛题）集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计，分别连接在两台核心交换机E1/0/10-E1/0/11接口测试，VLAN300作为远程端口镜像VLAN，Ethernet1/0/12作为反射端口，将核心交换机与接入交换机、路由器互连流量提供给多个厂商网流分析平台(18分)。

vlan 300

remote-span

switchport interface e1/0/10-12

monitor session 1 remote vlan 300    #远程端口镜像VLAN

monitor session 1 source interface e1/0/21;1/0/24 both   #源端口

monitor session 1 reflector-port int e1/0/12     #反射端口，注意一下顺序

STEP 1：理清配置要求，理解配置任务。所谓单向链路，是指链路两端的端口之一可以收到对端发送的数据链路层报文，而对端不能收到本端发送的报文。ULDP（UniDirectional Link Detection Protocol）可以监控物理线路的链路状态，当发现单向链路后，向用户发送告警信息，并根据用户配置，自动或者手动地关闭相关端口。Errdisable表示自动回复，即属于积极模式。

配置思路：（1）启动全局 ULDP 功能；（2）配置 Recovery 时间间隔；（3）配置 Hello 报文时间间隔；（4）全局配置为积极模式；（5）进入端口，启用端口ULDP功能；（6）配置全局积极模式； 

SW1配置：

uldp enable                      //全局启动ULDP

uldp recovery-time 60        //经过1分钟后，端口自动重启

uldp hello-interval 15         //发送Hello报文时间间隔为15s

uldp aggressive-mode            //全局标记为errdisable（积极模式）

interface ethernet 1/0/21-28

uldp enable                  //端口启动ULDP

uldp aggressive-mode            //端口标记为errdisable（积极模式）

SW2的配置与SW1配置一样。

知识延展：

1.端口环路检测（loopback-detection）；

2.链路层发现协议（Link Layer Discovery Protocol，LLDP）；

3.LLDP-MED（Link Layer Discovery Protocol-Media Endpoint Discovery）以LLDP为基础；

4.Port Channel；

5.MTU；

6.bpdu-tunnel。

STEP 1：理清配置思路，链路层发现协议（Link Layer Discovery Protocol，LLDP）是 802.1ab 中定义的新协议，它 可使邻近设备向其他设备发出其状态信息的通知，并且所有设备的每个端口上都存储着定义 自己的信息，如果需要还可以向与它们直接连接的近邻设备发送更新的信息，近邻的设备会 将信息存储在标准的 SNMP MIBs。

配置过程：（1）全局启动 LLDP 功能；（2）配置 LLDP 更新报文发送间隔；（3）配置 LLDP 报文老化时间乘法器；（4）配置 Trap 报文发送间隔；（5）配置基于端口的 LLDP 功能开关；（6）配置端口使能 Trap 功能。

SW1配置：

lldp enable                     //全局启动或关闭 LLDP 功能

lldp tx-interval 20               //更新报文发送时间间隔为20s

lldp msgTxHold 5               //老化时间乘法器值为5

lldp notification interval 10      // Trap报文发送间隔为10s

int ethernet 1/0/1-28

lldp enable        //所有端口启用链路层发现协议

int ethernet 1/0/22-24

lldp trap enable//三条裸光缆端口使能Trap功能

SW2的配置与SW1类似。

STEP 1：理清配置思路。如果能在报文上送 CPU 的前端整体上对攻击报文进行拦截，将能够在更大程度上防护网络攻击，保障CPU的稳定运行。

配置过程：（1）开启CPU防护功能；（2）开启CPU防护日志记录；（3）开启CPU防护 trap 告警发送；（4）配置采样周期（显示用户配置的限速值）；（5）配置CPU防护策略恢复。

SW1配置：

cpu-protect enable

cpu-protect log enable

cpu-protect trap enable

cpu-protect interval 10

cpu-protect recovery-time 120

STEP 1：理清配置要求，本题考核的内容主要针对法务端口，包含：（1）对法务端口的流控配置（flow control）；（2）端口安全配置（switchport port-security）；（3）通过am功能控制数据包转发；（4）实现端口间隔离（isolate-port）。

（1）完成流控配置（flow control）；

打开端口

配置端口速率和双工模式

配置带宽控制

配置流量控制

设置交换机端口的报文最大收包速率

配置端口速率违背控制

（2）完成端口安全配置（switchport port-security）；

Protect模式：保护模式，不学习新的mac，丢弃数据包不告警

Restrict模式：限制模式，不学习新的mac，丢弃数据包，发送snmp trap，在syslog日志记录

Shutdown模式：关闭模式，默认模式，端口立即关闭，发送snmp trap，在日志记录

Type --absolute，到时间全部从mac表移除，inactivity有流量的保留

（3）通过am功能控制数据包转发；

启动 AM 功能

启动某端口的 AM 功能

配置转发 IP

（4）实现端口间隔离（isolate-port）。

创建隔离组

将以太网端口添加进隔离组

指定需要隔离的流量 

SW1配置：

#流量控制

Int e1/0/3

speed-duplex force1g-full

bandwidth control 100000 receive

bandwidth control 90000 transmit

flow control

rate-violation all 100

rate-violation control shutdown recovery 600 #理论最小值是200

#端口安全

Mac-address-learning cpu-control  #使能软件控制 mac 地址学习

Int e1/0/3

switchport port-security

switchport port-security maximum 10

switchport port-security violation restrict #限制模式，不学习新的MAC，丢弃数据包，发snmp trap，同时在syslog日志中记录

switchport port-security aging type inactivity #端口的老化定时器到期，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留

switchport port-security aging time 10   #恢复时间10分钟

#AM控制数据转发

Am enable  #默认不启动AM功能

Int e1/0/3

am port  #默认所有端口 AM 功能关闭

am ip-pool 10.1.13.20 11 #主要20-30共11个地址。

#实现法务流量的二层隔离

isolate-port apply l2  #是L2小写，该命令使端口隔离的配置应用于 2 层流量

isolate-port group FW

isolate-port group  FW switchport interface ethernet1/0/3

STEP 1：理清配置要求：所有设备指的是交换机（含AC）、路由器、防火墙；

STEP 2：完成所有设备的配置：

RT1、RT2配置：

ip sshd enable                            //启用ssh服务

username admin password admin         //设置用户名和密码

SW1、SW2、SW3、AC1配置：

ssh-server enable                         //启用ssh服务

authentication line vty login local

username admin password admin         //设置用户名和密码

FW1、FW2配置：

admin user admin

access ssh

password Key-1122

注意：防火墙设置用户名和密码，启用SSH服务只要在接口上启用就好（manage ssh），新的版本不需要这一步

STEP 1：理清配置要求：所有设备进行NTP配置，其中SW1为ntp server，且SW1 loopback1 ipv4地址作为ntp server地址，其余为NTP Client端。

NTP Server重点内容解析：

命令格式：ntp-service refclock-master [ip-address] [stratum]

参数说明：

STEP 2：配置NTP：

（1）配置NTP Server：

SW1配置：

ntp enable                    //启用ntp服务

clock timezone GMT add 8 0    //设置时区

ntp-service refclock-master 15 //设置本地时钟作为NTP主时钟，提供同步时间

（2）配置NTP Client：

SW2、SW3、AC1配置：

NTP enable                    //启用ntp服务

clock timezone GMT add 8 0    //设置时区

NTP server 10.1.1.1           //设置ipv4 ntp服务器地址

NTP sys-interval 60           //设置客户端请求时间间隔

RT1、RT2配置：

time-zone GMT 8 0            //设置时区

ntp query-interval 60        //设置客户端请求时间间隔

ntp server 10.1.1.1          //设置ipv4 ntp服务器地址

FW1、FW2配置：

NTP enable                   //启用ntp服务

clock zone GMT 8 0           //设置时区

ntp query-interval 1         //设置客户端请求时间间隔,在此单位是分钟

ntp server 10.1.1.1          //设置ipv4 ntp服务器地址

ntp max-adjustment           //设置最大同步时间

知识点：

当路由设备与IPv6设备通信时，需要为接口配置IPv6地址。

链路本地地址用于邻居发现协议和无状态自动配置进程中链路本地节点之间的通信。使用链路本地地址作为源或目的地址的数据包不会被转发到其他链路上。

链路本地地址可以通过自动生成或手动配置两种方式获得：

• 使能接口的IPv6功能后，系统将为接口自动生成一个链路本地地址。
• 手动配置的链路本地地址必须是一个有效的链路本地地址（FE80::/10）。

因为链路本地地址只能用于链路本地节点之间的通信，通常用于满足协议的通信需求，与用户间的通信没有直接关系，所以推荐使用链路本地地址的自动生成方式。

STEP 1：理清思路，画出网络图。

首先明确DHCP服务器是SW2，为全网需要动态分配IP地址的网段分配IP地址。网络拓扑如下所示：

（1）根据题目要求，从拓扑图可以看出，应该在SW1和AC1上需要启用DHCP中继服务；

（2）完成DHCP基础配置，包含DNS和排除地址；

（3）针对PC1、PC2和无线AP完成保留地址配置；

注：获取AP的MAC方法是先在AC配置临时DHCP，然后获取到AP的MAC，最后，删除AC的临时DHCP.

（4）在SW1中，完成IPv4和IPv6的Snooping配置。

STEP 2：在SW2完成IPv4和IPv6的DHCP基础配置：

SW2配置：

（1）通过在AC配置临时DHCP获取AP的MAC地址；同时，注意PC1和PC2的MAC地址获取。

（2）DHCPv4的基本配置

service dhcp

Server dhcpv6

ip forward-protocol udp bootps

ip dhcp pool Poolv4-Vlan11  //总公司产品1段

network-address 10.1.11.0 255.255.255.0

default-router 10.1.11.1

dns-server 10.1.210.101 10.1.220.101

ip dhcp pool Poolv4-Vlan21  //总公司产品2段

network-address 10.1.21.0 255.255.255.0

default-router 10.1.21.1

dns-server 10.1.210.101 10.1.220.101

ip dhcp pool Poolv4-Vlan130   //分公司管理VLAN

network-address 10.1.130.0 255.255.255.0

default-router 10.1.130.1

dns-server 10.1.210.101 10.1.220.101

ip dhcp pool Poolv4-Vlan140   //分公司无线VLAN

network-address 10.1.140.0 255.255.255.0

default-router 10.1.140.1

dns-server 10.1.210.101 10.1.220.101

ip dhcp pool Poolv4-Vlan150   //分公司无线VLAN

network-address 10.1.150.0 255.255.255.0

default-router 10.1.150.1

dns-server 10.1.210.101 10.1.220.101

（3）IPv4排除网关地址

ip dhcp excluded-address 10.1.11.1

ip dhcp excluded-address 10.1.21.1

ip dhcp excluded-address 10.1.130.1

ip dhcp excluded-address 10.1.140.1

ip dhcp excluded-address 10.1.150.1

（4）IPv4的保留地址配置

ip dhcp pool PC1

host 10.1.11.9 255.255.255.0   //配置需要保留的IP和子网掩码

hardware-address 00-E0-4F-83-45-76  //绑定PC1的MAC地址

default-router 10.1.11.1    //让绑定设备获取网关地址

dns-server 10.1.210.101 10.1.220.101    //让绑定设备获取DNS地址

ip dhcp pool PC2

host 10.1.21.9 255.255.255.0

hardware-address E4-54-E8-C2-33-48

default-router 10.1.21.1

dns-server 10.1.210.101 10.1.220.101

ip dhcp pool AP1

host 10.1.130.9 255.255.255.0  

hardware-address 00-03-0F-C1-A8-B0  

default-router 10.1.130.1

dns-server 10.1.210.101 10.1.220.101

（5）配置DHCPv6

service dhcpv6

ipv6 dhcp pool Poolv6-Vlan11

network-address 2001:10:1:11::1 64

static-binding 2001:10:1:11::9 00-e0-4f-83-45-76  //PC1的IPv6地址绑定

excluded-address 2001:10:1:11::1  //排除IPv6地址

dns-server 2400:3200::1

ipv6 dhcp pool Poolv6-Vlan21

network-address 2001:10:1:21::1 64

static-binding 2001:10:1:21::9 e4-54-e8-c2-33-48  //PC2的IPv6地址绑定

excluded-address 2001:10:1:21::1

dns-server 2400:3200::1

ipv6 dhcp pool Poolv6-Vlan130

network-address 2001:10:1:130::1 64

static-binding 2001:10:1:130::9 00-03-0f-c1-a8-b0

excluded-address 2001:10:1:130::1

dns-server 2400:3200::1

ipv6 dhcp pool Poolv6-Vlan140

network-address 2001:10:1:140::1 64

excluded-address 2001:10:1:140::1

dns-server 2400:3200::1

ipv6 dhcp pool Poolv6-Vlan150

network-address 2001:10:1:150::1 64

excluded-address 2001:10:1:150::1

dns-server 2400:3200::1

（6）在接口上启用DHCPv6服务器功能

//在指定接口上启动DHCPv6服务器功能，并绑定使用的DHCPv6地址池。

interface Vlan 10

ipv6 dhcp server Poolv6-Vlan21

interface Vlan 1022

Ipv6 dhcp server Poolv6-Vlan11

interface Vlan 1019

ipv6 dhcp server Poolv6-Vlan130

ipv6 dhcp server Poolv6-Vlan140  //应该都要启用

ipv6 dhcp server Poolv6-Vlan150  //应该都要启用

STEP 3：在SW1配置IPv4和IPv6的DHCP中继及snooping

SW1配置：

（1）SW1的IPv4和IPv6的中继配置

Service dhcp

Server dhcpv6

ip forward-protocol udp bootps

interface Vlan 10

ip helper-address 10.1.2.1   //配置DHCPv4中继

ipv6 dhcp relay destination 2001:10:1:2::1   //配置DHCPv6中继

no ipv6 nd suppress-ra  //开启IPv6路由器公告

ipv6 nd managed-config-flag  //标识地址信息是否由 DHCPv6 获取

ipv6 nd other-config-flag //标识除地址信息之外的其他信息是否由DHCPv6获取

（2）SW1的监听配置

//SAVI(Source Address Validation Improvement)功能是一种提供节点源地址粒度级的安全 验证方式，它通过监听相关协议报文(如 ND 协议，DHCPv6 协议)的交互过程，利用 CPS (Control Packet Snooping)机制，提取节点可信任的信息(如端口，MAC 地址等信息)即锚信息，然后将 节点源地址与锚信息进行绑定，并下发绑定信息对应的过滤规则，放行匹配过滤规则的报文， 丢弃不匹配过滤规则的报文，从而达到对节点源地址合法性检测的目的。

savi enable

savi ipv6 dhcp-only enable  //使能 SAVI 应用场景功能

ip dhcp snooping enable

interface ethernet 1/0/22

ip dhcp snooping trust  //DHCPv4监听配置

ipv6 dhcp snooping trust  //DHCPv6监听配置

//E1/0/1连接PC1，则关闭该端口，恢复时间为10分钟

interface ethernet 1/0/1

ip dhcp snooping action shutdown recovery 600

AC1配置：

Service dhcp

Server dhcpv6

ip forward-protocol udp bootps

interface Vlan 130

ip helper-address 10.1.2.1

ipv6 dhcp relay destination 2001:10:1:2::1

no ipv6 nd suppress-ra

ipv6 nd managed-config-flag    

ipv6 nd other-config-flag  

interface Vlan 140

ip helper-address 10.1.2.1

ipv6 dhcp relay destination 2001:10:1:2::1

no ipv6 nd suppress-ra

ipv6 nd managed-config-flag

ipv6 nd other-config-flag  

interface Vlan 150

ip helper-address 10.1.2.1

ipv6 dhcp relay destination 2001:10:1:2::1

no ipv6 nd suppress-ra

ipv6 nd managed-config-flag

ipv6 nd other-config-flag

STEP 1：理清配置要求，画出配置拓扑图，理解OSPFv2和OSPFv3的不同配置面的概念。

根据题目要求，明晰配置进程：

（1）完成OSPFv2的基础配置和OSPFv3的基础配置；

（2）完成OSPFv2的功能性配置和OSPFv3的功能型配置；

（3）完成OSPFv2和OSPFv3的选路配置，即cost值设置。

STEP 2：根据题目要求完成配置。

（1）完成OSPFv2的基础配置和OSPFv3的基础配置；

完成基础配置要先进程顺序，然后区域顺序的原则进行配置；在此配置顺序是：SW1、SW2、SW3、FW1àRT2、AC1àRT1、FW2

SW1配置：

注意：Loopback1的IP地址是10.1.1.1/32,产品是:10.1.11.0/24；SW1连接SW2（1022-1022,10.1.255.0/30）,SW3（1020-1019,10.1.255.4/30）,连接FW1（1019,10.1.255.12/30），IPv6地址按规律表示。

router ospf 1   //配置OSPFv2

router-id 10.1.1.1

network 10.1.1.1/32 area 0

network 10.1.11.0/24 area 0

network 10.1.255.0/30 area 0   //连接SW2

network 10.1.255.4/30 area 0   //连接SW3

network 10.1.255.12/30 area 0  //连接FW1

router ipv6 ospf   //启用OSPFv3

router-id 10.1.1.1

interface Loopback1   //loopback1开启IPv6的OSPFv3配置

ipv6 router ospf area 0      //端口启用OSPFv3，通告网络

interface Vlan10   //产品1段（VLAN10）开启IPv6的OSPFv3配置

ipv6 router ospf area 0

interface Vlan1019   //连接FW1的端口开启IPv6的OSPFv3配置

ipv6 router ospf area 0

interface Vlan1020   //连接SW3的端口开启IPv6的OSPFv3配置

ipv6 router ospf area 0

interface Vlan1022   //连接SW2的端口开启IPv6的OSPFv3配置

ipv6 router ospf area 0

SW2配置：

注意：Loopback1的IP地址是10.1.2.1/32,产品是:10.1.21.0/24；SW1连接SW1（1022-1022,10.1.255.0/30）,SW3（1020-1020,10.1.255.8/30）,连接FW1（1019-RT1,10.1.255.20/30），IPv6地址按规律表示。

router ospf 1   //配置OSPFv2

router-id 10.1.2.1

network 10.1.2.1/32 area 0

network 10.1.21.0/24 area 0

network 10.1.255.0/30 area 0

network 10.1.255.8/30 area 0

network 10.1.255.20/30 area 0

router ipv6 ospf   //配置OSPFv3

router-id 10.1.2.1

interface Loopback1

ipv6 router ospf area 0

interface Vlan10

ipv6 router ospf area 0

interface Vlan1019   //连接RT1的端口开启IPv6的OSPFv3配置

ipv6 router ospf area 0

interface Vlan1020

ipv6 router ospf area 0

interface Vlan1022

ipv6 router ospf area 0

SW3配置：

注意：Loopback1的IP地址是10.1.3.1/32,产品是:10.1.31.0/24；SW1连接SW1（1019-1020,10.1.255.4/30）,SW2（1020-1020,10.1.255.8/30）, IPv6地址按规律表示。

router ospf 1

router-id 10.1.3.1

network 10.1.3.1/32 area 0

network 10.1.31.0/24 area 0

network 10.1.255.4/30 area 0

network 10.1.255.8/30 area 0

router ipv6 ospf

router-id 10.1.3.1

interface Loopback1

ipv6 router ospf area 0

interface Vlan10

ipv6 router ospf area 0

interface Vlan1019

ipv6 router ospf area 0

interface Vlan1020

ipv6 router ospf area 0

FW1配置：

注意：Loopback1的IP地址是10.1.7.1/32,没有产品网段；RT1连接SW1（E0/1-1019,10.1.255.12/30），连接FW1（E0/2-G0/2，10.1.255.16/30）,IPv6地址按规律表示。

ip vrouter trust-vr

router ospf 1

router-id 10.1.7.1

network 10.1.7.1/32 area 0

network 10.1.255.12/30 area 0

network 10.1.255.16/30 area 0

ipv6 router ospf

router-id 10.1.7.1

interface loopback1

ipv6 ospf area 0

interface ethernet0/1

ipv6 ospf area 0

interface ethernet0/2

ipv6 ospf area 0

RT2配置：

注意：Loopback1的IP地址是10.1.6.1/32,没有产品网段；RT1连接RT1（G0/0-G0/0,10.1.255.28/30）,IPv6地址按规律表示。

router ospf 1

router-id 10.1.6.1

network 10.1.6.1 255.255.255.255 area 0

network 10.1.255.28 255.255.255.252 area 0

network 10.1.255.40 255.255.255.252 area 1  //通告OSPFv2区域1

ipv6 unicast-routing        //打开接口的ipv6转发功能

router ospfv3 1

router-id 10.1.6.1

interface Loopback1

ipv6 ospf 1 area 0

interface GigaEthernet0/0

ipv6 ospf 1 area 0

AC1配置：

注意：AC1配置需要设定Router-ID。发布LoopBack1(10.1.4.1/32)，产品网络（10.1.140.0/24）、营销网络（10.1.150.0/24）。

router ospf 1

router-id 10.1.4.1

network 10.1.4.1/32 area 1

network 10.1.255.40/30 area 1

network 10.1.130.0/24 area 1

network 10.1.140.0/24 area 1

network 10.1.150.0/24 area 1

RT1配置：

注意：Loopback1的IP地址是10.1.5.1/32,没有产品网段；RT1连接SW2（G0/1-1019,10.1.255.20/30）,连接RT2（G0/0-G0/0,10.1.255.28/30），连接FW1（G0/2-E0/2，10.1.255.16/30）,IPv6地址按规律表示；特别注意不要把进程2区域2配置漏了。 

router ospf 1

router-id 10.1.5.1

network 10.1.5.1 255.255.255.255 area 0

network 10.1.255.20 255.255.255.252 area 0

network 10.1.255.28 255.255.255.252 area 0

network 10.1.255.16 255.255.255.252 area 0

ipv6 unicast-routing        //打开接口的ipv6转发功能

router ospfv3 1

router-id 10.1.5.1

interface Loopback1

ipv6 ospf 1 area 0

interface GigaEthernet0/0

ipv6 ospf 1 area 0

interface GigaEthernet0/1

ipv6 ospf 1 area 0

interface GigaEthernet0/2

ipv6 ospf 1 area 0

router ospf 2   //OSPFv2进程2

router-id 10.1.5.4

network 10.1.5.4 255.255.255.255 area 2

network 10.1.255.24 255.255.255.252 area 2

router ospfv3 2  //OSPFv3进程2

router-id 10.1.5.4

interface Loopback4

ipv6 ospf 2 area 2

interface GigaEthernet0/3

ipv6 ospf 2 area 2

FW2配置：

注意OSPFv6的配置。

ip vrouter trust-vr

router ospf 2

router-id 10.1.8.1

network 10.1.8.1/32 area 2

network 10.1.255.24/30 area 2

ipv6 router ospf

router-id 10.1.8.1

interface loopback1

ipv6 ospf area 2

interface ethernet0/2

ipv6 ospf area 2

（2）完成OSPFv2的功能性配置和OSPFv3的功能型配置

完成（1）题的在FW1通告type1默认路由

FW2配置：

ip vrouter trust-vr

ip route 0.0.0.0/0 200.200.200.1  //为了访问Internet服务。

Ipv6 route  ::/0  ethernet0/3 FE80::203:FFF:FEBD:C706  //这个不能漏了

router ospf 1

default-information originate always type 1  //通告type1默认路由

ipv6 router ospf

default-information originate always type 1  //通告type1默认路由

完成（2）和（3）题完全末节区域配置和利用前缀发布loopback3

RT2配置：

router ospf 1

area 1 nssa no-summary   //设置区域1为nssa no-summary区域

router ospfv3 1

area 1 stub no-summary   //设置区域1为stub no-summary区域

AC1配置：

ip prefix-list Lo3 permit 10.1.4.3/32   //使用前缀定义ipv4流量

route-map Lo3 permit 10        //将定义的ipv4流量用route-map套用

match ip address prefix-list Lo3

router ospf 1

area 1 nssa no-summary   //设置区域1为nssa no-summary区域

redistribute connect route-map Lo3 //将Loopback3重分布到ospf 1

router ipv6 ospf

area 1 stub no-summary  //设置区域1为stub no-summary区域

完成（4）题模拟办事处SW3的产品和营销的loopback配置和IPv6默认路由配置；FW2到模拟办事处的loopback2、产品和营销的IPv6明细静态路由及FW2重发布静态路由

SW3配置：

int ethernet 1/0/11-12

loopback

//配置ipv6默认路由指向对方端口，对端端口为自动IPv6链路地址，注意如何获取

//格式：ipv6 route <⽬标IPv6前缀> <出站接⼝> <下⼀跳IPv6地址>

ipv6 route vrf Office ::/0 fe80::203:fff:fea5:a4c1 vlan1015

FW2配置：

ip vrouter trust-vr

//VLAN1015地址

ipv6 route 2001:10:1:3::2/128 ethernet0/1 FE80::203:FFF:FEBD:C706    

//配置ipv6静态路由

ipv6 route 2001:10:1:110::/64 ethernet0/1 FE80::203:FFF:FEBD:C706  

ipv6 route 2001:10:1:120::/64 ethernet0/1 FE80::203:FFF:FEBD:C706

ipv6 router ospf   //把IPv6静态路由引入

redistribute  static

完成（5）题RT1向进程2通告type1默认路由；RT1通过前缀发布FW2的loopback1、模拟办事处SW3的Loopback2和产品路由、RT1与FW2直连IPv4路由，将这路由重发布到区域0。

RT1配置：

router ospf 2

default-information originate always metric-type 1  //通过type1默认路由

router ospfv3 2

default-information originate always metric-type 1   //通过type1默认路由

//使用前缀定义ipv4流量

ip prefix-list P1 permit 10.1.8.1/32   //FW1的loopback1

ip prefix-list P1 permit 10.1.3.2/32 //SW3模拟办事处的loopback2

ip prefix-list P1 permit 10.1.110.0/24  //SW3办事处的产品

ip prefix-list P1 permit 10.1.255.24/30  //与FW2的直连网络

route-map M1 permit   //将定义的ipv4流量用route-map套用

match ip address prefix-list P1

router ospf 1

redistribute ospf 2 route-map M1  //将ospf 2指定ipv4流量重分布到ospf 1

redistribute connect route-map M1  //将直连指定ipv4流量重分布到ospf 1

（3）完成OSPFv2和OSPFv3的选路配置，即cost值设置。

画出示意拓扑图

从图示，很明显只要在RT1和FW1的链路开销修改为100即可。

RT1配置：

interface GigaEthernet0/2

ip ospf cost 100  //IPv4的开销为100

ipv6 ospf cost 100  //IPv6的开销为100

FW1配置：

Interface e0/2

ip ospf cost 100

ipv6 ospf cost 100

路由信息结果分析

（1）到RT2、AC1、FW2的路由

（2）到FW1的默认路由下一跳。

STEP 1：根据题目要求，画出拓扑图。

（1）完成RIP和RIPng的基础配置，即FW1、RT1、RT2和AC1发布Loopback2的IPv4和IPv6地址，只是注意在AC1中RIP的loopback2直接发布，RIPng发布通过前缀发布。

（2）RT1和RT2之间完成RIP和RIPng的选路配置。

（3）在RT1的S1/0和RT2的S1/1链路配置CHAP双向认证，用户名为对端设备名称，密码为Key-1122。

STEP 2：按步骤完成配置。

（1）完成RIP和RIPng的基础配置

RT1配置：

router rip 1                   //启用RIP进程

version 2               //选择版本2

no auto-summary       //关闭自动汇总

router ripng 1                //启用RIPng进程

interface Loopback2

ip rip 1 enable           //RIP通告网络

ipv6 rip 1 enable         //RIPng通告网络

interface Serial1/0

ip rip 1 enable

ipv6 rip 1 enable

interface Serial1/1

ip rip 1 enable

ipv6 rip 1 enable

interface GigaEthernet0/2  //连接FW1的接口

ip rip 1 enable

ipv6 rip 1 enable

RT2配置：

router rip 1

version 2

no auto-summary

router ripng 1

interface Loopback2

ip rip 1 enable

ipv6 rip 1 enable

interface Serial1/0

ip rip 1 enable

ipv6 rip 1 enable

interface Serial1/1

ip rip 1 enable

ipv6 rip 1 enable

interface GigaEthernet0/1  //连接AC1的接口

ip rip 1 enable

ipv6 rip 1 enable

FW1配置：

ip vrouter trust-vr

router rip                        //启用RIP

network 10.1.7.2/32          //通告Loopback2网络

network 10.1.255.16/30

ipv6 router rip                   //启用RIPng

network loopback2          //通告Loopback2网络

network ethernet0/2

AC1配置：

router rip                              //启用RIP

network 10.1.4.2/32              //通告Loopback2网络

network 10.1.255.40/30

//使用前缀定义ipv6流量

ipv6 prefix-list l2 permit 2001:10:1:4::2/64   //使用前缀定义ipv6流量

route-map L2 permit 10   //将定义的ipv6流量用route-map套用

match ipv6 address prefix-list L2

router ipv6 rip      //启用RIPng

redistribute connected route-map L2   //将直连L2的ipv6流量重分布到RIPng

interface Vlan1001

ipv6 router rip      //RIPng通告流量

（2）RT1和RT2之间完成RIP和RIPng的选路配置

注意：题目要求只能在RT1上配置

RT1配置：

ip access-list standard AclRIP   //使用ACL允许所有ipv4流量

permit any

router rip 1

//增大IPv4流量经S1/1进出的跳数，确保进出流量走S1/0

offset Serial1/1 in AclRIP 3

offset Serial1/1 out AclRIP 3

ipv6 access-list AclRIPng   //使用ACL允许所有ipv6流量

permit ipv6 any any

router ripng 1

//增大IPv6流量经S1/1进出的跳数，确保进出流量走S1/0

offset Serial1/1 in AclRIPng 3

offset Serial1/1 out AclRIPng 3

（3）在RT1的S1/0和RT2的S1/1链路配置CHAP双向认证，用户名为对端设备名称，密码为Key-1122。

RT1配置：

是否需要启用本地认证？

username RT1 password Key-1122 //配置身份识别

interface Serial1/0    //配置主链路CHAP双向认证

encapsulation ppp

ppp authentication chap         //启用chap认证

ppp chap hostname RT2         //发送用户名

ppp chap password Key-1122    //发送自身的密码

RT2配置：

username RT2 password Key-1122

interface Serial1/1

encapsulation ppp

ppp authentication chap

ppp chap hostname RT1

ppp chap password Key-1122

STEP 1：明晰配置要求，完善配置内容，画出拓扑图。

知识要点：

1.RT1与RT2之间配置ISIS。因此，必须对ISIS配置熟悉：中间系统到中间系统的路由选择协议（IS-IS）是由 ISO 提出的一种路由选择协议。

1）激活IS-IS，最基础配置

router isis 1    //激活IS-IS路由协议  

net 10. 0000.0000.0001.00 //配置网络实体标题(NET)

interface interface-name 进入接口配置态

ip router isis 1  //在接口上关联IS-IS进程

2）配置 IS-IS 路由器级别

router isis 1  

is-type [level-1|level-1-2|level-2-only]  //配置路由器类型，确省为level-1-2 

interface interface-name   //进入接口配置态

isis circuit-type  level-1|level-1-2| level-2-only  //与定义类型一致，缺省为level-1

3）配置 IS-IS 接口网络类型

isis network [ broadcast|point-to-point ]  //这个命令配置IS-IS的接口网络类型。

4）配置 domain 区域验证

router isis 1  //从全局配置态进入IS-IS路由配置态

domain-password WORD [authenticate snp send-only|validate]

5)配置邻接关系验证

interface interface-name

//分别对level-1和level-2的接口配置邻接认证密码，缺省同时对level-1和level-2生效

STEP 2：完成ISIS的IPv4和IPv6的配置。

RT1配置：

router isis 1

is-type level-2  //配置路由器类型为Level-2

authentication mode md5 level-2  //配置域md5认证

authentication key 0 Key-1122 level-2

net 10.0000.0000.0001.00

interface Loopback3

ip router isis 1    //启用ipv4的ISIS

ipv6 router isis 1  //启用ipv6的ISIS

isis circuit-type level-2

interface GigaEthernet0/0

ip router isis 1

ipv6 router isis 1

isis network point-to-point //接口网络类型为点到点

isis circuit-type level-2   //路由器类型为Level-2

isis authentication mode md5 level-2  //接口md5认证

isis authentication key 0 Key-1122 level-2

RT2配置：

router isis 1

is-type level-2

authentication mode md5 level-2

authentication key 0 Key-1122 level-2

net 10.0000.0000.0002.00

interface Loopback3

ip router isis 1

ipv6 router isis 1

isis circuit-type level-2

interface GigaEthernet0/0

ip router isis 1

ipv6 router isis 1

isis network point-to-point

isis circuit-type level-2

isis authentication mode md5

isis authentication key 0 Key-1122 level-2

STEP 1:根据题意

任务1. 在RT2上做NAT为AC1的产品IPv4用户访问Internet服务；

任务2. 在RT2上做NAT64实现AC1的产品IPv6用户通过外网口IPv4访问Internet，IPv4地址转化为IPv6地址前缀为64:ff96::/96

网络拓扑结构如下所示：

STEP 2:完成配置任务

RT2配置：

第1步：完成配置准备

Ip route default 200.200.200.5  //配置指向外网的默认路由

注意：为什么不进行注入默认路由，在OSPF配置时已经在FW1注入默认路由了，不可以重复注入。

第2步：配置IPv4和IPv6的NAT转换的约定范围（ACL）

ip access-list standard nat4

permit 10.1.140.0 255.255.255.0  //IPv4的ACL

//通过ACL约定NAT64访问规则

ipv6 access-list nat6

permit ipv6 2001:10:1:140::/64 64:FF9B::/96   //约定NAT64访问规则

ipv6 nat prefix 64:FF9B::/96 v4-mapped nat6  //ipv4地址转ipv6地址前缀

第3步：配置NAT转换规则

ip nat inside source list nat4 interface GigaEthernet0/3  //IPv4转换规则

ipv6 nat v6v4 source list nat6 interface GigaEthernet0/3  //IPv6转换规则

第4步：指定NAT的内外接口

interface GigaEthernet0/1

ip nat inside     //IPv4内网接口

ipv6 nat     //IPv6内网接口

interface GigaEthernet0/3

ip nat outside     //IPv4外网接口

ipv6 nat    //IPv6外网接口

STEP 2：进行测试

AC1#ping6 src 2001:10:1:140::1 64:ff9b::200.200.3.3

Type ^c to abort.

Sending 5 56-byte ICMP Echos to 64:ff9b::200.200.3.3, using src address 2001:10:1:140::1, timeout is 2 seconds.

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/10/20 ms

STEP 1：根据题目要求，可以画出网络拓扑图如下

STEP 2：根据配置要求，完成BGP基础配置

第1步：根据（1）要求，完成BGP基础配置

配置要求：

1）BGP配置包含建立邻居关系、指定邻居关系更新源、建立ebgp邻居关系及更新源。

2）BGP配置中，在IPv4中取消IPv6的激活，在IPv6中再进行激活。

3）不同区域之间需要配置ebgp-multihop  255,用于不同区域之间交换路由信息。

4）财务是在独立的VRF区域内的配置，在此仅要求配置IPv4的邻居关系，之后需要拓展一下知识，若需要配置IPv6邻居关系如何配置。

SW1配置：

router bgp 65001               //启用BGP，as为65001

bgp router-id 10.1.1.1   //设置BGP的router-id

neighbor 10.1.2.1 remote-as 65001  //建立IPv4邻居关系

neighbor 10.1.3.1 remote-as 65003

neighbor 10.1.5.1 remote-as 65001

neighbor 10.1.6.1 remote-as 65002

neighbor 2001:10:1:2::1 remote-as 65001  //建立IPv6邻居关系

neighbor 2001:10:1:3::1 remote-as 65003

neighbor 2001:10:1:5::1 remote-as 65001

neighbor 2001:10:1:6::1 remote-as 65002

neighbor 10.1.2.1 update-source 10.1.1.1   //指定IPv4更新源

neighbor 10.1.3.1 update-source 10.1.1.1

neighbor 10.1.5.1 update-source 10.1.1.1

neighbor 10.1.6.1 update-source 10.1.1.1

neighbor 2001:10:1:2::1 update-source 2001:10:1:1::1  //指定更新源

neighbor 2001:10:1:3::1 update-source 2001:10:1:1::1

neighbor 2001:10:1:5::1 update-source 2001:10:1:1::1

neighbor 2001:10:1:6::1 update-source 2001:10:1:1::1

neighbor 10.1.3.1 ebgp-multihop 255  //与ebgp建立IPv4邻居关系

neighbor 10.1.6.1 ebgp-multihop 255

neighbor 2001:10:1:3::1 ebgp-multihop 255  //与ebgp建立IPv6邻居关系

neighbor 2001:10:1:6::1 ebgp-multihop 255

no neighbor 2001:10:1:2::1 activate   //在ipv4中取消IPv6激活

no neighbor 2001:10:1:3::1 activate

no neighbor 2001:10:1:5::1 activate

no neighbor 2001:10:1:6::1 activate

neighbor 10.1.2.1 next-hop-self  //与IBGP指定下一跳配置

neighbor 10.1.5.1 next-hop-self

address-family ipv6

neighbor 2001:10:1:2::1 activate   //在ipv6中激活

neighbor 2001:10:1:3::1 activate

neighbor 2001:10:1:5::1 activate

neighbor 2001:10:1:6::1 activate

neighbor 2001:10:1:2::1 next-hop-self

neighbor 2001:10:1:5::1 next-hop-self

SW2配置：

router bgp 65001

bgp router-id 10.1.2.1

neighbor 10.1.1.1 remote-as 65001

neighbor 10.1.3.1 remote-as 65003

neighbor 10.1.5.1 remote-as 65001

neighbor 10.1.6.1 remote-as 65002

neighbor 2001:10:1:1::1 remote-as 65001

neighbor 2001:10:1:3::1 remote-as 65003

neighbor 2001:10:1:5::1 remote-as 65001

neighbor 2001:10:1:6::1 remote-as 65002

neighbor 10.1.1.1 update-source 10.1.2.1

neighbor 10.1.3.1 update-source 10.1.2.1

neighbor 10.1.5.1 update-source 10.1.2.1

neighbor 10.1.6.1 update-source 10.1.2.1

neighbor 2001:10:1:1::1 update-source 2001:10:1:2::1

neighbor 2001:10:1:3::1 update-source 2001:10:1:2::1

neighbor 2001:10:1:5::1 update-source 2001:10:1:2::1

neighbor 2001:10:1:6::1 update-source 2001:10:1:2::1

neighbor 10.1.3.1 ebgp-multihop 255

neighbor 10.1.6.1 ebgp-multihop 255

neighbor 2001:10:1:3::1 ebgp-multihop 255

neighbor 2001:10:1:6::1 ebgp-multihop 255

no neighbor 2001:10:1:1::1 activate

no neighbor 2001:10:1:3::1 activate

no neighbor 2001:10:1:5::1 activate

no neighbor 2001:10:1:6::1 activate

neighbor 10.1.1.1 next-hop-self

neighbor 10.1.5.1 next-hop-self

address-family ipv6

neighbor 2001:10:1:1::1 activate

neighbor 2001:10:1:3::1 activate

neighbor 2001:10:1:5::1 activate

neighbor 2001:10:1:6::1 activate

neighbor 2001:10:1:1::1 next-hop-self

neighbor 2001:10:1:5::1 next-hop-self

SW3配置：

router bgp 65003

bgp router-id 10.1.3.1

neighbor 10.1.1.1 remote-as 65001

neighbor 10.1.2.1 remote-as 65001

neighbor 10.1.5.1 remote-as 65001

neighbor 10.1.6.1 remote-as 65002

neighbor 2001:10:1:1::1 remote-as 65001

neighbor 2001:10:1:2::1 remote-as 65001

neighbor 2001:10:1:5::1 remote-as 65001

neighbor 2001:10:1:6::1 remote-as 65002

neighbor 10.1.1.1 update-source 10.1.3.1

neighbor 10.1.2.1 update-source 10.1.3.1

neighbor 10.1.5.1 update-source 10.1.3.1

neighbor 10.1.6.1 update-source 10.1.3.1

neighbor 2001:10:1:1::1 update-source 2001:10:1:3::1

neighbor 2001:10:1:2::1 update-source 2001:10:1:3::1

neighbor 2001:10:1:5::1 update-source 2001:10:1:3::1

neighbor 2001:10:1:6::1 update-source 2001:10:1:3::1

neighbor 10.1.1.1 ebgp-multihop 255

neighbor 10.1.2.1 ebgp-multihop 255

neighbor 10.1.5.1 ebgp-multihop 255

neighbor 10.1.6.1 ebgp-multihop 255

neighbor 2001:10:1:1::1 ebgp-multihop 255

neighbor 2001:10:1:2::1 ebgp-multihop 255

neighbor 2001:10:1:5::1 ebgp-multihop 255

neighbor 2001:10:1:6::1 ebgp-multihop 255

no neighbor 2001:10:1:1::1 activate

no neighbor 2001:10:1:2::1 activate

no neighbor 2001:10:1:5::1 activate

no neighbor 2001:10:1:6::1 activate

address-family ipv6

neighbor 2001:10:1:1::1 activate

neighbor 2001:10:1:2::1 activate

neighbor 2001:10:1:5::1 activate

neighbor 2001:10:1:6::1 activate

RT1配置：

router bgp 65001

bgp router-id 10.1.5.1

neighbor 10.1.1.1 remote-as 65001

neighbor 10.1.2.1 remote-as 65001

neighbor 10.1.3.1 remote-as 65003

neighbor 10.1.6.1 remote-as 65002

neighbor 2001:10:1:1::1 remote-as 65001

neighbor 2001:10:1:2::1 remote-as 65001

neighbor 2001:10:1:3::1 remote-as 65003

neighbor 2001:10:1:6::1 remote-as 65002

neighbor 10.1.1.1 update-source 10.1.5.1

neighbor 10.1.2.1 update-source 10.1.5.1

neighbor 10.1.3.1 update-source 10.1.5.1

neighbor 10.1.6.1 update-source 10.1.5.1

neighbor 2001:10:1:1::1 update-source 2001:10:1:5::1

neighbor 2001:10:1:2::1 update-source 2001:10:1:5::1

neighbor 2001:10:1:3::1 update-source 2001:10:1:5::1

neighbor 2001:10:1:6::1 update-source 2001:10:1:5::1

neighbor 10.1.3.1 ebgp-multihop 255

neighbor 10.1.6.1 ebgp-multihop 255

neighbor 2001:10:1:3::1 ebgp-multihop 255

neighbor 2001:10:1:6::1 ebgp-multihop 255

no neighbor 2001:10:1:1::1 activate

no neighbor 2001:10:1:2::1 activate

no neighbor 2001:10:1:3::1 activate

no neighbor 2001:10:1:6::1 activate

neighbor 10.1.1.1 next-hop-self

neighbor 10.1.2.1 next-hop-self

address-family ipv6

neighbor 2001:10:1:1::1 activate

neighbor 2001:10:1:2::1 activate

neighbor 2001:10:1:3::1 activate

neighbor 2001:10:1:6::1 activate

neighbor 2001:10:1:1::1 next-hop-self

neighbor 2001:10:1:2::1 next-hop-self

RT2配置：

router bgp 65002

bgp router-id 10.1.6.1

neighbor 10.1.1.1 remote-as 65001

neighbor 10.1.2.1 remote-as 65001

neighbor 10.1.3.1 remote-as 65003

neighbor 10.1.5.1 remote-as 65001

neighbor 2001:10:1:1::1 remote-as 65001

neighbor 2001:10:1:2::1 remote-as 65001

neighbor 2001:10:1:3::1 remote-as 65003

neighbor 2001:10:1:5::1 remote-as 65001

neighbor 10.1.1.1 update-source 10.1.6.1

neighbor 10.1.2.1 update-source 10.1.6.1

neighbor 10.1.3.1 update-source 10.1.6.1

neighbor 10.1.5.1 update-source 10.1.6.1

neighbor 2001:10:1:1::1 update-source 2001:10:1:6::1

neighbor 2001:10:1:2::1 update-source 2001:10:1:6::1

neighbor 2001:10:1:3::1 update-source 2001:10:1:6::1

neighbor 2001:10:1:5::1 update-source 2001:10:1:6::1

neighbor 10.1.1.1 ebgp-multihop 255

neighbor 10.1.2.1 ebgp-multihop 255

neighbor 10.1.3.1 ebgp-multihop 255

neighbor 10.1.5.1 ebgp-multihop 255

neighbor 2001:10:1:1::1 ebgp-multihop 255

neighbor 2001:10:1:2::1 ebgp-multihop 255

neighbor 2001:10:1:3::1 ebgp-multihop 255

neighbor 2001:10:1:5::1 ebgp-multihop 255

no neighbor 2001:10:1:1::1 activate

no neighbor 2001:10:1:2::1 activate

no neighbor 2001:10:1:3::1 activate

no neighbor 2001:10:1:5::1 activate

address-family ipv6

neighbor 2001:10:1:1::1 activate

neighbor 2001:10:1:2::1 activate

neighbor 2001:10:1:3::1 activate

neighbor 2001:10:1:5::1 activatea

SW1配置财务区域内的BGP：

ip route vrf Finance 10.1.2.2/32 10.1.255.2 //配置静态路由与SW2互通

ipv6 route vrf Finance 2001:10:1:2::2/128 fe80::203:fff:febd:c70c Vlan1023

router bgp 65001

//VPN建立邻居关系，指定更新源，通告网络

address-family ipv4 vrf Finance

neighbor 10.1.2.2 remote-as 65001

neighbor 10.1.2.2 update-source 10.1.1.2

network 10.1.14.0/24  //通告财务网络

address-family ipv6 vrf Finance                                                                                                      

neighbor 2001:10:1:2::2 remote-as 65001                                        

neighbor 2001:10:1:2::2 update-source Loopback2

network 2001:10:1:14::/64 //通告财务网络

SW2配置财务区域内的BGP：

ip route vrf Finance 10.1.1.2/32 10.1.255.1

ipv6 route vrf Finance 2001:10:1:1::2/128 fe80::203:fff:febd:c709 Vlan1023

router bgp 65001

address-family ipv4 vrf Finance

neighbor 10.1.1.2 remote-as 65001

neighbor 10.1.1.2 update-source 10.1.2.2

network 10.1.24.0/24

address-family ipv6 vrf Finance                                                                                               

neighbor 2001:10:1:1::2 remote-as 65001                                        

neighbor 2001:10:1:1::2 update-source Loopback2

network 2001:10:1:24::/64

第2步：根据（2）要求，完成BGP路由通告

配置要求：

1）SW1-3通告营销（Vlan20）、法务（VLAN30）、人力（Vlan50）的ipv4和ipv6路由；

2）RT1通告营销的ipv4和ipv6路由；

3）RT2通告营销的ipv4和ipv6路由。

SW1配置：

router bgp 65001

network 10.1.12.0/24   //营销ipv4的BGP通告网络

network 10.1.13.0/24   //法务ipv4的BGP通告网络

network 10.1.15.0/24   //人力ipv4的BGP通告网络

address-family ipv6

network 2001:10:1:12::/64  //营销ipv6的BGP通告网络

network 2001:10:1:13::/64   //法务ipv6的BGP通告网络

network 2001:10:1:15::/64   //人力ipv6的BGP通告网络

SW2配置：

router bgp 65001

network 10.1.22.0/24

network 10.1.23.0/24

network 10.1.25.024

address-family ipv6

network 2001:10:1:22::/64

network 2001:10:1:23::/64

network 2001:10:1:25::/64

SW3配置：

router bgp 65003

network 10.1.32.0/24

network 10.1.33.0/24

network 10.1.35.0/24

address-family ipv6

network 2001:10:1:32::/64

network 2001:10:1:33::/64

network 2001:10:1:35::/64

RT1配置：

router bgp 65001

network 10.1.120.0/24

address-family ipv6

network 2001:10:1:120::/64

RT2配置：

router bgp 65002

network 10.1.150.0/24

address-family ipv6

network 2001:10:1:150::/64

STEP 3：根据配置要求，完成BGP选路配置

配置思路：

1）选路配置的要求是通过前缀（prefix-list）route-map和BGP路径属性进行选路。

2）新增AS 65000作用：营销在SW3——SW2的链路进出增加65000，法务和人力在SW3——SW1链路进出增加65000；从而控制数据传输方向

3）注意选路包含IPv4和IPv6。

SW3配置：

第1步：SW3与SW1、SW2营销互访业务，优先走SW1àSW3,即SW1àSW3和SW2àSW1àSW3

ip prefix-list in-yx4 permit 10.1.12.0/24  //SW1进SW3营销IPv4流量

ip prefix-list in-yx4 permit 10.1.120.0/24  //SW1进SW3营销IPv4流量

ip prefix-list in-yx4 permit 10.1.150.0/24  //SW1进SW3营销IPv4流量

ip prefix-list in-yx4 permit 10.1.22.0/24  //SW2进SW3营销IPv4流量

ip prefix-list out-yx4 permit 10.1.32.0/24  //SW3进SW1或SW2营销IPv4流量

ipv6 prefix-list in-yx6 permit 2001:10:1:12::1/64  //SW1进SW3营销IPv6流量

ipv6 prefix-list in-yx6 permit 2001:10:1:120::1/64  //SW1进SW3营销IPv6流量

ipv6 prefix-list in-yx6 permit 2001:10:1:150::1/64  //SW1进SW3营销IPv6流量

ipv6 prefix-list in-yx6 permit 2001:10:1:22::1/64  //SW2进SW3营销IPv6流量

ipv6 prefix-list out-yx6 permit 2001:10:1:32::1/64  //SW3进SW1/SW2营销IPv6流量

#IPv4进SW3

route-map yx4-in permit 10

match ip address prefix-list in-yx4

set as-path prepend 65000

route-map yx4-in permit 15

#IPv4离开SW3

route-map yx4-out permit 10

match ip address prefix-list out-yx4

set as-path prepend 65000

route-map yx4-out permit 15

#IPv6进SW3

route-map yx6-in permit 10

match ipv6 address prefix-list in-yx6

set as-path prepend 65000

route-map yx6-in permit 15

#IPv6离开SW3

route-map yx6-out permit 10

match ipv6 address prefix-list out-yx6

set as-path prepend 65000

route-map yx6-out permit 15

router bgp 65003

neighbor 10.1.2.1 route-map yx4-in in   //从SW2进增加AS 65000

neighbor 10.1.2.1 route-map yx4-out out   //从SW2出增加AS 65000

neighbor 10.1.5.1 route-map yx4-in in   //从RT1进增加AS 65000

neighbor 10.1.6.1 route-map yx4-in in   //从RT2进增加AS 65000

address-family ipv6

neighbor 2001:10:1:2::1 route-map yx4-in in   //从SW2进增加AS 65000

neighbor 2001:10:1:2::1 route-map yx4-out out   //从SW2出增加AS 65000

neighbor 2001:10:1:5::1 route-map yx4-in in   //从RT1进增加AS 65000

neighbor 2001:10:1:6::1 route-map yx4-in in   //从RT2进增加AS 65000

第2步：SW1、SW2法务与人力网络进入SW3，优先走SW2àSW3,即SW2àSW3和SW1àSW2àSW3

ip prefix-list in-fr4 permit 10.1.13.0/24  // SW1的法务流量

ip prefix-list in-fr4 permit 10.1.15.0/24  // SW1的人力流量

ip prefix-list in-fr4 permit 10.1.23.0/24  // SW2的法务流量

ip prefix-list in-fr4 permit 10.1.25.0/24  // SW2的人力流量

ip prefix-list out-fr4 permit 10.1.33.0/24  // SW3的法务流量

ip prefix-list out-fr4 permit 10.1.35.0/24  // SW3的法务流量

ipv6 prefix-list in-fr6 permit 2001:10:1:13::1/64  // SW1的法务流量

ipv6 prefix-list in-fr6 permit 2001:10:1:15::1/64  // SW1的人力流量

ipv6 prefix-list in-fr6 permit 2001:10:1:23::1/64  // SW2的法务流量

ipv6 prefix-list in-fr6 permit 2001:10:1:25::1/64  // SW2的人力流量

ipv6 prefix-list out-fr6 permit 2001:10:1:33::1/64  // SW3的法务流量

ipv6 prefix-list out-fr6 permit 2001:10:1:35::1/64 // SW3的法务流量

route-map fr4-in permit 10

match ip address prefix-list in-fr4

set as-path prepend 65000

route-map fr4-in permit 15

route-map fr4-out permit 10

match ip address prefix-list out-fr4

set as-path prepend 65000

route-map fr4-out permit 15

route-map fr6-in permit 10

match ipv6 address prefix-list in-fr6

set as-path prepend 65000

route-map fr6-in permit 15

route-map fr6-out permit 10

match ipv6 address prefix-list out-fr6

set as-path prepend 65000

route-map fr6-out permit 15

router bgp 65003

neighbor 10.1.1.1 route-map fr4-in in   //阻止从SW1进到SW3

neighbor 10.1.1.1 route-map fr4-out out   //阻止从SW3出到SW1

address-family ipv6

neighbor 2001:10:1:1::1 route-map fr4-in in   //阻止从SW1进到SW3

neighbor 2001:10:1:1::1 route-map fr4-out out  //阻止从SW3出到SW1

STEP 1：根据题目要求，画出网络拓扑图

注意：MPLS BGP VPN是MPLS与VRF 技术的一种结合运用。

1）配置MPLS

mpls ip  //全局启动MPLS。

interface intf-name

mpls ip  //启动接口的MPLS功能。

2）配置LDP

mpls ldp router-id A.B.C.D  //配置LDP的路由器标识。

interface intf-name

mpls ldp enable  //在接口启动LDP。

3）配置VRF

ip vrf vrf-name     //创建VRF，并进入VRF配置模式。

rd route-distinguisher       //制定VRF的路由区分符。

route-target {export|import|both} route-target-extened-community

//创建VRF的输入和输出目标VPN扩展属性。

//route-target-extended-community：由自治域号与任意数字组成，或IP地址与数字组成。

interface intf-name   //进入端口配置模式。

ip vrf forwarding vrf-name    //将接口与VRF关联。

STEP 2：按照题目要求完成配置

RT1配置：

mpls ip                            //启用MPLS

mpls ldp router-id 10.1.5.1         //设置router-id

interface GigaEthernet0/0  //将BGP MPLS运用到接口上

mpls ip

mpls ldp enable

//创建ipv4和IPv6财务VPN实例,配置VPN实例的RD和RT

ip vrf Finance

rd 1:1

route-target export 1:2

route-target import 2:1

ipv6 vrf Finance

rd 1:1

route-target export 1:2

route-target import 2:1

interface Loopback5

ip vrf forwarding Finance

ipv6 vrf forwarding Finance

ip address 10.1.5.5 255.255.255.255

ipv6 enable

ipv6 address 2001:10:1:5::5/128

router bgp 65001

address-family vpnv4   //配置对端为VPNv4邻居

neighbor 10.1.6.1 activate

neighbor 10.1.6.1 send-community extended

address-family vpnv6        //配置对端为VPNv6邻居

neighbor 10.1.6.1 activate

neighbor 10.1.6.1 send-community extended

address-family ipv4 vrf Finance  //VPNv4建立邻居，指定更新源，通告网络

network 10.1.5.5/32

neighbor 10.1.6.1 remote-as 65002

neighbor 10.1.6.1 ebgp-multihop 255

neighbor 10.1.6.1 update-source 10.1.5.1

address-family ipv6 vrf Finance //VPNv6建立邻居，指定更新源，通告网络

network 2001:10:1:5::5/128

neighbor 2001:10:1:6::1 remote-as 65002

neighbor 2001:10:1:6::1 ebgp-multihop 255

neighbor 2001:10:1:6::1 update-source 2001:10:1:5::1

RT2配置：

mpls ip

mpls ldp router-id 10.1.6.1

interface GigaEthernet0/0

mpls ip

mpls ldp enable

ip vrf Finance

rd 2:2

route-target export 2:1

route-target import 1:2

ipv6 vrf Finance

rd 2:2

route-target export 2:1

route-target import 1:2

interface Loopback5

ip vrf forwarding Finance

ipv6 vrf forwarding Finance

ip address 10.1.6.5 255.255.255.255

ipv6 enable

ipv6 address 2001:10:1:6::5/128

router bgp 65002

address-family vpnv4

neighbor 10.1.5.1 activate

neighbor 10.1.5.1 send-community extended

address-family vpnv6

neighbor 10.1.5.1 activate

neighbor 10.1.5.1 send-community extended

address-family ipv4 vrf Finance

network 10.1.6.5/32

neighbor 10.1.5.1 remote-as 65001

neighbor 10.1.5.1 ebgp-multihop 255

neighbor 10.1.5.1 update-source 10.1.6.1

address-family ipv6 vrf Finance

network 2001:10:1:6::5/128

neighbor 2001:10:1:5::1 remote-as 65001

neighbor 2001:10:1:5::1 ebgp-multihop 255

neighbor 2001:10:1:5::1 update-source 2001:10:1:6::1

理清配置要求：

1.查看IP地址配置及DHCP配置是否正确，启用无线功能。

2.掌握查看AP的MAC地址方法。

3.掌握各种加密方式配置，掌握射频工作模式配置，掌握信道配置，掌握VAP配置。

AC1配置：

wireless

enable         //启用无线功能

no auto-ip-assign  //关闭无线特性自动指定 IP 地址功能

static-ip  10.1.4.1   //设置IPv4管理地址

static-ipv6  2001:10:1:4::1   //设置IPv6管理地址

ap authentication mac  //采用MAC地址认证

ap database 【AP MAC】   //通过DHCP获取到的AP的MAC地址

discovery vlan-list 130  //配置二层广播发现

network 140  //设置SSID，采用WPA-personal加密方式，对应vlan140

security mode wpa-personal

wpa key Key-1122     //注意秘钥

ssid skills-2.4G

vlan 140

network 150

security mode none

ssid skills-5G

hide-ssid         //隐藏SSID

vlan 150

ap profile 1

radio 1

mode n-only-g  //在模板内配置2.4G信号

vap 0

network 140

enable

radio 2

mode n-only-a    //在模板内配置5G信号

vap 15

network 150

enable

AC1配置：

wireless

ap auto-upgrade               //AP自动升级

agetime ap-failure 2   //设置AP失败状态超时时间2小时

agetime detected-clients 2   //探测到的客户端状态超时时间都为2小时

AC1配置：

wreless

mac-authentication-mode black-list  // MAC认证模式为黑名单

// MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证

known-client 80-45-DD-77-CC-48 action global-action

network 140

mac authentication local

network 150

mac authentication local

AC1配置：

wireless

ap client-qos                      //启用client-qos功能

network 140

client-qos enable      //启动Network QoS 功能

client-qos bandwidth-limit up 800000   //配置上行最大带宽

client-qos bandwidth-limit down 800000  //配置下行最大带宽

client-qos bandwidth-limit arp up 6  //配置ARP上行最大速率

client-qos bandwidth-limit arp down 6  //配置ARP下行最大速率

AC1配置:

time-range Skills

periodic weekdays 09:00:00 to 17:00:00  //设置无线接入用户上班时间

//按要求配置访问控制列表约束vlan140

ip access-list extended Skills

permit tcp 10.1.140.0 0.0.0.255 any-destination d-port 443 time-range Skills

class-map Skills

match access-group Skills   //设置分类

policy-map Skills      //设置策略

class Skills

policy 1000 20000 30000 exceed-action drop violate-action drop

wireless

ap client-qos                                 //启用client-qos功能

network 140

client-qos enable                         //启动Network QoS 功能

client-qos diffserv-policy up Skills  //运用策略设置上下的CIR，CBS，PBS

client-qos diffserv-policy down Skills

AC1配置：

wireless

channel-plan an mode time  //开启Radio的自动信道调整

channel-plan an time 10:00  //每天上午10:00触发信道调整功能

channel-plan bgn time 10:00

AC1配置：

wireless

ap profile 1

radio 1

rate-limit     //开启AP组播广播突发限制功能

incorrect-frame-no-ack   // AP收到错误帧时，将不再发送ACK帧

beacon-interval 1000 //AP发送向无线终端表明AP存在的帧时间间隔为1秒

radio 2

rate-limit

incorrect-frame-no-ack

beacon-interval 1000

AC1配置：

Wireless

ap database 00-03-0f-c1-a8-b0 //注意是AP的MAC地址

radio 1 power 90

radio 2 power 90

ap profile 1

radio 1

power default 90

radio 2

power default 90   // AP发射功率为90%

AC1配置：

Wireless

network 110

arp-suppression   //开启ARP抑制功能

time-limit from 00:00 to 04:00 weekday all //限制每天早上0点到4点禁止终端接入

station-isolation  //启动同 VAP 关联的无线用户隔离功能

ap profile 1

station-isolation allowed vlan 110  //设置AP下属于VLAN110的VAP之间的隔离

AC1配置：

Wireless

wireless ap anti-flood                    //打开AP FLOOD防制功能

wireless ap anti-flood interval 10       //设置 AP FLOOD 反制功能检测时间

wireless ap anti-flood max-conn-count 5  //设置AP FLOOD反制功能的最大允许连接数

wireless ap anti-flood agetime 120       //2小时后恢复正常

STEP 1：根据题意，画出拓扑图

理清配置思路：

1）源地址为集团产品1段（10.1.11.0/24），公网地址为：200.200.200.16/24；公网地址与FW1的E3口地址不是相同网段，因此需要在SW3配置返回路由。

2）映射基本要求：每一个源IP产生的所有会话将被映射到同一个固定的IP地址（dynamicport [sticky]）；如果使用了 sticky，每一个源IP产生的所有会话将被映射到同一个固定的 IP 地址。

3）要求启动日志功能（log），日志位置：10.1.11.120 UDP 514，记录主机名，启动明文轮询分发日志；

FW1配置：

Ip vrouter trust-vr

Snatrule from ip 10.1.11.0/24 to address-book any service any eif e0/3 trans-to ip 200.200.200.16/28 mode dynamicport sticky log

Logging traffic nat on

logging traffic nat to buffer

logging traffic session to buffer

logging traffic nat to syslog custom-format

Logging traffic nat to syslog custom-format distributed round-robin

Logging syslog 10.1.11.120 vrouter trust-vr udp 514 type traffic nat

Expanded-port-pool （y）

SW3配置：

//配置一条静态路由用来核验NAT是否配置成功

Ip route vrf Internet 200.200.200.16/28 200.200.200.2

FW1配置：

ip vrouter trust-vr

snatrule from ip 2001:10:1:11::/64 to ip 64:FF9B::/96 service Any eif ethernet0/3 trans-to eif-ip mode dynamicport

dnatrule from ip 2001:10:1:11::/64 to ip 64:FF9B::/96 service "Any" v4-mapped

理清配置思路：

1）注意不要漏配FW1和FW2策略默认是拒绝服务配置；

2）产品1段的IPv4地址是10.1.11.0/24，IPv6地址是2001:10:1:11：/64；

3）可以采用图形配置，也可以采用命令配置，命令配置有两种方法：

FW1配置：

方法1：采用结果显示样式

Policy-global

no default-action permit

Rule id 1

Src-zone trust

Dst-zone untrust

Src-addr 10.1.11.0/24

Dst-addr any

Service any

Action permit

Rule id 2

Src-zone trust

Dst-zone untrust

Src-addr 2001:1:10:11::/64

Dst-addr ipv6-any

Service any

Action permit

方法2：采用一体化配置模式

Policy-global

no default-action permit

rule id 1 from 10.1.11.0/24 to any from-zone trust to-zone untrust service any permit

rule id 2 from 2001:10:1:11::/64 to IPv6-any from-zone trust to-zone untrust service any permit

理清配置思路：

1）办事处产品IPv4的地址是10.1.110.0/24；集团产品1段的地址是10.1.11.0/24；FW2 LOOPBACK1 IPv4地址是10.1.8.1/32；SW3模拟办事处LoopBack2 IPv4的地址是10.1.3.2/32;

2）区域为trust与DMZ之间。

3）注意服务，前者是https,后者是any。

FW2配置：

方法1：采用结果显示样式

Policy-global

no default-action permit

Rule id 1

Src-zone trust

Dst-zone dmz

Src-addr 10.1.110.0/24

Dst-addr 10.1.11.0/24

Service https

Action permit

Rule id 2

Src-zone dmz

Dst-zone trust

Src-addr 10.1.11.0/24

Dst-addr 10.1.3.2/32

Dst-addr 10.1.8.1/32

Dst-addr 10.1.110.0/24

Service any

Action permit

方法2：采用一体化配置模式

Policy-global

no default-action permit

rule id 1 from 10.1.110.0/24 to any from-zone trust to-zone dmz service https permit

rule id 2 from 10.1.11.0/24 to 10.1.3.2/32 from-zone dmz to-zone trust service any permit

rule id 2 from 10.1.11.0/24 to 10.1.8.1/32 from-zone dmz to-zone trust service any permit

rule id 2 from 10.1.11.0/24 to 10.1.110.0/24 from-zone dmz to-zone trust service any permit

理清配置思路:

一、配置思路

1.配置静态路由实现对应端口互连互通。

2.配置GRE隧道

3.配置IPSec

4.配置放通策略

5.测试加密隧道工作情况

二、注意事项

1.路由器默认生存时间是3600

2.注意题目完善时，可能会要求完成对应的方法和协议。

FW1配置：

第1步：配置静态路由

ip vrouter trust-vr

ip route 0.0.0.0/0 200.200.200.1   //实际上之前已经配置了

第2步：配置GRE隧道

tunnel gre t4

source 200.200.200.2                            //源地址

destination 200.200.200.6                       //目的地址

interface ethernet0/3                           //源端口

interface tunnel4

zone  VPNHub

ip address 10.1.255.49/30

manage ping

manage ssh

manage telnet

manage snmp

manage http

manage https

tunnel gre t4                         //绑定GRE隧道

第3步：配置IPSec

isakmp proposal p1

hash md5

ipsec proposal p2

hash md5

encryption 3des

isakmp peer RT2

isakmp-proposal p1

pre-share 123456

peer 200.200.200.6

generate-route

interface ethernet0/3

tunnel ipsec ipsec auto

isakmp-peer RT2

ipsec-proposal p2

auto-connect

track-event-notify enable

id local 200.200.200.2/32 remote 200.200.200.6/32 service gre

tunnel gre t4

next-tunnel ipsec ipsec                //在隧道中运用、

//配置静态路由实现Loopback4通过隧道加密访问

ip vrouter trust-vr

ip route 10.1.6.4/32 tunnel4

第4步：配置放通策略

rule id 3 from 10.1.6.4/32 to 10.1.7.4/32 from-zone VPNHub to-zone trust service any permit

RT2配置：

第1步：配置静态路由

ip route default 200.200.200.5  //之前已经配置

第2步：配置GRE隧道

interface Tunnel4

ip address 10.1.255.50 255.255.255.252

tunnel source 200.200.200.6                      //源端口

tunnel destination 200.200.200.2                 //目的地址

第3步：配置IPSec

//配置访问控制列表（定义需要走在安全隧道的数据）

ip access-list extended ipsec

permit gre 200.200.200.6 255.255.255.255 200.200.200.2 255.255.255.255

//配置与共享密钥，指向对端地址

crypto isakmp key 0 123456 address 200.200.200.2 255.255.255.252 

crypto isakmp policy 1

authentication pre-share

encryption 3des

group 2

hash md5

lifetime 86400

//配置ipsec的转换集（与第二阶段提议对应）

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto map mymap 1 ipsec-isakmp

match address ipsec

set peer 200.200.200.2

set transform-set myset

//在外网口应用映射

interface  gigaEthernet 0/3

crypto map mymap

//配置静态路由实现Loopback4通过隧道加密访问

ip route 10.1.7.4 255.255.255.255 Tunnel4

理清配置思路：

1.要完整掌握图形配置和命令配置两种方法。

FW1配置：

mail-profile DenyKey

mail any

mail control smtp

category DenyKey

keyword Business simple category DenyKey confidence 100

rule id 1

mail DenyKey

FW1配置：

track Track1

icmp 200.200.200.1 interface ethernet0/3 interval 5 threshold 10 src-interface ethernet0/3

interface ethernet0/3

shutdown track Track1

FW1配置：

qos-engine first

root-pipe Skills

qos-mode police

pipe-map

src-zone trust

dst-zone untrust

ingress-if ethernet0/1

egress-if ethernet0/3

dst-addr Any

src-ip 10.1.11.0/24

pipe-map

family 10

src-zone trust

dst-zone untrust

ingress-if ethernet0/1

egress-if ethernet0/3

dst-addr IPv6-any

src-ip 2001:10:1:11::/64

pipe-rule forward bandwidth Mbps 800 per-ip-min Mbps 2 per-ip-max Mbps 4 per-ip-using src-ip priority 3

pipe-rule forward bandwidth Mbps 800 per-ip-min Mbps 2 per-ip-max Mbps 4 per-ip-using src-ip priority 3

FW1配置：

zone trust

ad session-limit id 1 ip Any session max 300 per-ip

FW1配置：

tcp-syn-bit-check drop

tcp-syn-check 60

tcp-mss tunnel 1460