CCNA Complete Configuration Bible

高级交换综合项目

实验目的：
1、掌握大中型园区网络的部署。

实验拓扑：

高级交换综合项目

1
R1
E0/0 E0/1

CS1 E0/0 E0/0 CS2

E0/1 172.16.23.0/24 E0/1

2 E0/2 E0/2 3
E0/3
172.16.35.0/24

E0/3
172.16.24.0/24

E1/1

E0/0 E0/0
DS1 DS2
.10 .20
E0/1 E0/1
4 SW1
E0/2 E0/2
SW2 5
E0/3 E1/0 E1/0 E0/3

E0/0 E0/0

6 AS1 R2
E0/1 E0/1
AS2 R2
7
E0/2 E0/3 E0/2 E0/3

VLAN10 E0/0 E0/0 VLAN20 VLAN30 E0/0 E0/0 VLAN40

PC1 PC2 PC3 PC4

ip:192.168.10.1/24 ip:192.168.20.1/24 ip:192.168.30.1/24 ip:192.168.40.1/24

gw:192.168.10.254/24 gw:192.168.20.254/24 gw:192.168.30.254/24 gw:192.168.40.254/24

8 9 10 11

PingingLab ·高品质 IT 教育提供商

CCIE 实验室·IT 项目实战·高端人才定制
深圳拼客信息科技有限公司·广州大学城外环西路站
QQ:1047189815 Weibo: @PingingLab Blog: blog.sina.com.cn/pinginglab
1
 CCNA Complete Configuration Bible

实验要求：
一、安全管理
1、依据图中拓扑，为全网设备定义主机名、关闭域名解析、并在 Console 和
VTY 线路下关闭线路超时并开启输出同步。
2、为实现安全远程登录，要求在设备 CS1 上创建本地用户名 PingingLab，密码
CCIE ， 并 只 允 许 3 个 管 理 员 同 时 远 程 登 录 ， 其 中 管 理 员 地 址 分 别 为
192.168.10.1~192.168.10.3；要求只运行 SSH 协议进行登录，并且关闭其他虚拟
终端线路。
3、在设备 CS1 设置 banner，要求当远程登录时可以看到“THIS IS
PingingLab*CCIE Lab*CS1”。
4、在 CS2 上关闭 HTTP 服务，开启 HTTPS 服务并调用本地认证。
5、在 R1 的 E0/0 上关闭 CDP 服务。
5、汇聚和接入交换机的管理 vlan 为 vlan1，所在网段为 192.168.1.0/24，其中
DS1 的管理 IP 为 192.168.1.1/24，DS2 为 192.168.1.2/24，DS3 为
192.168.1.3/24，DS4 为 192.168.1.4/24 。要求二层交换机可以远程管理。
二、交换技术
1、Trunk 技术
①DS1、DS2、AS1 交换机之间强制启用 Trunk 并关闭 DTP 协商，并采用
802.1Q 进行封装。
②AS2 和其他交换机之间采用 DTP 协议协商 Trunk，AS2 端为 Auto 模式，其
他交换机为 Desirable 模式。
③所有交换机要求 Trunk 上只允许 VLAN1、10、20、30、40 通过。
2、VTP&VLAN 技术
①总部 DS1 和 DS2 均为 Server，其他交换机为 Client。
②总部 VTP 管理域为 PingingLab，密码为 cisco。
③总部全局开启 VTP 修剪。
④在 DS1 上创建 VLAN10/20/30/40，并要求全局同步。
⑥将不同用户接口放入相应的 VLAN 中。
3、STP 技术
①部署 MSTP，全局 MSTP 域为 PL，修订号为 1，并创建两个实例，其中实例
1 映射 10 和 30，实例 2 映射 20 和 40；
②要求 DS1 为实例 1 的主根，实例 2 的备根；DS2 为实例 1 的备根，实例 2 的
主根。
③在接入层交换机上开启 BPDU 防护，当违反规则时，要求 30S 后恢复。
4、HSRP 技术
①部署 HSRP 技术，要求 DS1 作为 VLAN10/30 的主网关，VLAN20/40 的备
PingingLab ·高品质 IT 教育提供商
CCIE 实验室·IT 项目实战·高端人才定制
深圳拼客信息科技有限公司·广州大学城外环西路站
QQ:1047189815 Weibo: @PingingLab Blog: blog.sina.com.cn/pinginglab
2
 CCNA Complete Configuration Bible
网关，DS2 作为 VLAN20/40 的主网关，VLAN10/30 的备网关，
其中网关地址如下：
VLAN10，主 192.168.10.253/24，备 192.168.10.252/24，虚 192.168.10.254/24
VLAN20，主 192.168.20.254/24，备 192.168.20.253/24，虚 192.168.20.254/24
VLAN30，主 192.168.30.254/24，备 192.168.30.253/24，虚 192.168.20.254/24
VLAN40，主 192.168.40.254/24，备 192.168.40.253/24，虚 192.168.20.254/24
5、DHCP Relay 技术
①在 R1 上同时部署 DHCP 服务，方便不同 VLAN 的主机接入网络，其中主
DNS 为 8.8.8.8，备用 DNS 为 114.114.114.114。
②在 DS1 和 DS2 上部署 DHCP 中继技术。
6、Etherchannel 技术
①为实现链路冗余并提供网络带宽，要求在汇聚层交换机之间部署 L2
Etherchannel 技术，在核心交换机之间部署 L3 Etherchannel。
7、Port-Security 技术
①为实现用户接入安全，要求在所有用户接入接口启用端口安全技术。
②开启地址学习，并定义最大 MAC 数为 1。
③定义用户违反规则为 shutdown 模式，并要求在 30s 后自动恢复。
8、DHCP Snooping 技术
①在 AS1 上部署 DHCP 侦听技术，防止 DHCP 欺骗攻击。
三、路由技术
1、在全网所有三层设备部署动态路由协议 OSPF，其中 R1、CS1、CS2 通告到
骨干区域中，CS1、CS2、DS1 通告到区域 10 中，CS1、CS2、DS2 通告到区域
20 中。
2、要求 VLAN10 和 VLAN30 的流量路径是：DS1CS1R1，并且当 CS1 出
现故障后，流量路径切换为 DS1CS2R1。
3、要求 VLAN20 和 VLAN40 的流量路径是：DS2CS2R1，并且当 CS2 出
现故障后，流量路径切换为 DS2CS1R1。
4、在 R1 上创建环回接口 Lo1，地址为 1.1.1.1/32，要求全网能与之通信。

PingingLab ·高品质 IT 教育提供商

CCIE 实验室·IT 项目实战·高端人才定制
深圳拼客信息科技有限公司·广州大学城外环西路站
QQ:1047189815 Weibo: @PingingLab Blog: blog.sina.com.cn/pinginglab
3