www.yeslab.net 韩士良
实验设备清单;
4 台 AR2220 路由器
4 台 S5700 交换机
4 台 PC 机
第一部分;二层网络配置要求;
1.1 VLAN
在 LSW1 LSW2 LSW3 LSW4 上均创建 VLAN10 VLAN20 VLAN30 VLAN40 ,分别在
LSW1 LSW2 上创建 VLAN100 VLAN200 VLAN300 VLAN400.
www.yeslab.net 韩士良
把下属接口划入相应的 VLAN 中;
VLAN10
LSW3 G0/0/1
VLAN20
LSW4 G0/0/1
VLAN30
LSW3 G0/0/3
VLAN40
LSW4 G0/0/4
VLAN100
LSW1 G0/0/10
VLAN200
LSW1 G0/0/11
VLAN300
LSW2 G0/0/10
VLAN400 LSW2 G0/0/11
1.2 链路聚合
LSW1 和 LSW2 分别通过 G0/0/19 G0/0/20 互联,把这两个接口捆绑成一个逻辑
接口。SW2 为主动端。
1.3 Trunk
LSW1 LSW2 LSW3 LSW4 互联口的接口类型为 trunk,允许所有 VLAN 通过。
1.4 MSTP
LSW1 LSW2 LSW3 LSW4 都运行 MSTP
VLAN 10、VLAN30 关联到 Instance 10,LSW1 作为 Primary Root,SW2 为 Secondary
Root。VLAN20、VLAN40 关联到 Instance 20,LSW2 为 Primary Root,LSW1 为
Secondary Root。MSTP 的 Region-name 是 HANS,revision-level 为 1.
LSW3 LSW4 链接 PC 的接口 UP 后需要立即处于转发状态。当该端口收到 BPDU
报文后,需要接口自动关闭。
1.5 PPP
AR1 与 AR3、AR2 与 AR3 通过 POS 口互联,封装类型为 PPP。
AR3 需要对 AR1 进行 CHAP 认证,AR3 为认证端,AR1 为被认证端。验证的用户
名为 HCIE,密码为 HANS.
AR3 需要对 AR1 进行 PAP 认证,AR3 为认证端,AR2 为被认证端。验证的用户
名为 HCNP,密码为 HANS.
第二部分;IGP 配置
www.yeslab.net 韩士良
2.1 基本配置
所有设备 IP 地址规划;
AR1
e3/0/0 10.1.14.1/24
g0/0/0 10.1.100.1/24(与 SW1vlanif100 互联)
g0/0/2 10.1.12.1/24
g0/0/1 10.1.103.1/24(与 SW2vlanif300 互联)
pos2/0/0 10.1.13.1/24
Loopback0 10.1.1.1/32
AR2
g0/0/2 10.1.12.2/24
g0/0/0 10.1.102.2/24(与 SW1vlanif200 互联)
g0/0/1 10.1.104.2/24(与 SW2vlanif400 互联)
pos2/0/0 10.1.23.2/24
Loopback0 10.1.2.2/32
AR3
pos2/0/0 10.1.13.3/24
pos5/0/0 10.1.23.3/24
Loopback200 200.200.200.200/32
AR4
g0/0/0 10.1.14.4/24
Loopback0 10.1.4.4/24
SW1
vlanif100 10.1.100.10/24
vlanif200 10.1.102.10/24
SW2
vlanif300 10.1.103.10/24
vlanif400 10.1.104.10/24
2.2 OSPF
所有路由器的 OSPF 进程号为 1
AR1 AR2 LSW1 LSW2 互联接口以及 loopback0 都运行在 OSPF 区域 0 中。
2.3 OSPF 认证;
区域 0 要使用区域认证进行安全防护。认证方式使用 MD5 认证,认证密码为
HANS。
www.yeslab.net 韩士良
2.4 RIP
AR1 与 AR4 的互联口及 AR4 的 looback0 口运行在 RIPV2 中。
2.5 RIP 和 OSPF 互通
在 AR1 上 RIP 和 OSPF 互相进行路由引入,并且在 AR1 上做 AR4 loopback0 路由
的汇总,汇总路由的 cost 为 100。
2.6 缺省路由通过
在 AR1 AR2 上做 OSPF 的缺省路由通过,以使得内网可以将访问外网的数据传输
到出口设备 AR1 AR2.
配置完该部分后,内网所有设备都能互通。
第三部分;BGP
3.1 EBGP
在 AR1 AR2 分别与 AR3 配置 EBGP 邻居关系,使用直连地址建立邻居。AR1 AR2
所属的 AS 为 100,AR3 所属的 AS 为 200.
3.2 BGP 路由
在 AR3 上分别针对 EBGP 邻居通过缺省路由。
在 AR3 上将自己的 200.200.200.200 地址宣告进去 BGP。
3.3 BGP 控制
要求内网访问 AS200 的数据流量在 AR1 与 AR3 没有问题的情况下将 AR1 作为出
口,只有当 AR1 与 AR3 链路出现问题,流量切换到 AR2 上。
3.4 数据通信
配置完该部分要求内网 PC 能正常访问到 AS200 里的路由
第四部分;VRRP 配置;
在 LSW1 LSW2 上分别配置 VRRP 协议,针对 VLAN10 VLAN20 VLAN30 VLAN40 都
做出正确的配置。
对于 VLAN10 VLAN30 LSW1 作为 VRRP 的 Master,对于 VLAN 20 VLAN40 LSW2 作
为 VRRP 的 Master。
VLAN10 的虚拟 IP 为 10.1.10.254,VRID 为 10
VLAN20 的虚拟 IP 为 10.1.20.254,VRID 为 20
VLAN30 的虚拟 IP 为 10.1.30.254,VRID 为 30
VLAN40 的虚拟 IP 为 10.1.40.254,VRID 为 40
为了安全的交换协议报文,要求 VRRP 开启认证,认证类型为 MD5,密码为 HANS。
www.yeslab.net 韩士良
第五部分;DHCP 配置;
网络中 AR4 模拟 DHCP 服务器,要求在 LSW1 LSW2 上配置 DHCP 的 relay。PC 通
过 DHCP 获取地址。
为了 DHCP 服务器的安全性,需要在交换网络里开启 DHCP snooping 特性。
最终 PC 都能获取到正确的 IP 地址,同时能够访问外部网络。