三、 交换配置与调试
(一) 为了减少广播，需要根据题目要求规划并配置 VLAN。要求配置合理，所有链路上不允许不必要 VLAN 的数据流通过，包含 VLAN1。核心交换机 SW-1 和核心交换机 SW-2 之间实现二层业务承载的裸光缆通道目前暂时只允许 VLAN10、VLAN20、VLAN30、VLAN40、VLAN50 通过，禁止配置 VLAN 及接口的描述信息。根据下述信息及表，在交换机上完成 VLAN 配置和端口分配。

SW-1和SW-2同配置：
vlan 10
sw int e 1/0/1
vlan 20
sw int e 1/0/2
vlan 30
sw int e 1/0/3
vlan 40
sw int e 1/0/4
vlan 50
sw int e 1/0/5

int e 1/0/28
sw mo tr
sw tr all vlan 10,20,30,40,50
sw tr na vlan 50

SW-3：
vlan 10
sw int e 1/0/1
vlan 20
sw int e 1/0/2
vlan 30
sw int e 1/0/3
vlan 50
sw int e 1/0/5

(二) SW-1 和核心交换机 SW-2 之间线路租用运营商三条裸光缆通道实现两个 DC 之间互通，一条裸光缆通道实现三层 IP 业务承载、一条裸光缆通道实现 VPN 业务承载、一条裸光缆通道实现二层业务承载。核心交换机 SW-1 与核心交换机 SW-3 之间、核心交换机 SW-2 与核心交换机 SW-3 之间租用运营商 OTN 波分链路实现互通。具体要求如下：

1. 为了节约集团成本，设计实现 VPN 业务承载的裸光缆通道带宽只有 10Mbps

SW-1和SW-2同配置：
int e 1/0/27
ban con 10000

2. 后续再根据业务使用情况考虑是否扩容；使用相关技术分别实现集团财务 1 段、财务 2 段业务路由表与集团其它业务网段路由表隔离，财务业务位于 VPN 实例名称 CW 内。

SW-1和SW-2同配置：
ip vr CW（全局模式下）

int vlan 4094
ip vrf for CW

3. 配置实现三层 IP 业务承载的裸光缆通道最大传输单元为
   1700Bytes，满足后续集团双 DC VXLAN、EVPN 等新技术应用。

SW-1和SW-2同配置：
Int vlan 4094
Mtu 1700

4. 目前设计实现二层业务承载的只有一条裸光缆通道，随着集团 1#DC 服务器数量快速扩容，预计未来 2-3 年集团 1#DC 与
   2#DC 间服务器大二层流量会呈现爆发式增长，配置相关技术，方便后续链路扩容与冗余备份，编号为 1。

SW-1和SW-2同配置：
Port-group 1（全局模式下）

Int e 1/0/28
Port-group 1 mode on

5. 配置核心交换机 SW-1、SW-2、SW-3 采用源、目的 IP 进行实现流量负载分担。

SW-1、SW-2、SW-3同配置：
load-balance dst-src-ip（全局模式下）

6. 核心交换机 SW-3 针对每个业务 VLAN 的第一个接口配置Loopback 命令，模拟接口 UP，方便后续业务验证与测试。

SW-3：
int e 1/0/1-5
loopback

(三) SW-1 和核心交换机 SW-2 针对营销业务网段的每个物理接口限制收、发数据占用的带宽分别为 100Mbps、90Mbps；针对产品业务网段的每个物理接口限制所有报文最大收包速率为 100packets/s，如果超过了设置交换机端口的报文最大收包速率则关闭此端口，10 分钟后再恢复此端口，来保证交换机对其他业务的正常处理。

SW-1和SW-2同配置：
int e 1/0/1
ban con 100000 re
ban con 90000 tr
int e 1/0/2
rate-vi all 100
rate-vi con shut re 600

(四) 要求禁止配置访问控制列表，实现核心交换机 SW-3 法务业务对应的物理端口间二层流量无法互通；针对 SW-3 人力业务配置相关特性，每个端口只允许的最大安全 MAC 地址数为 1，当超过设定 MAC 地址数量的最大值，不学习新的 MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留；配置相关特性实现报文上送设备 CPU 的前端整体上对攻击报文进行拦截，开启日志记录功能，采样周期 10s 一次，恢复周期为 2 分钟，从而保障 CPU 稳定运行。

SW-3：
isolate-port group FW switch interface ethernet 1/0/3（全局模式下）
mac-address-learning cpu-control （全局模式下）
int e 1/0/5
switchport port-security (开启端口安全)
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security aging type inactivity
cpu-protect enable （全局模式下）
cpu-protect log enable
cpu-protect interval 10
cpu-protect recovery-time 120

(五）分别配置简单网络管理协议，计划启用 V3 版本，V3 版本在安全性方面做了极大的扩充。配置引擎号分别为 62001、62002、62003；创建认证用户为2022，采用 3des 算法进行加密，密钥为：20222022，哈希算法为 SHA，密钥为：20222022；加入组DCN，采用最高安全级别；配置组的读、写视图分别为：2022_R、2022_W；当设备有异常时，需要使用本地的环回地址 Loopback2 发送 Trap 消息至集团网管服务器 10.60.15.120、2001:10:60:15::120，采用最高安全级别；当人力部门对应的用户接口发生 UP/DOWN 事件时禁止发送 trap 消息至上述集团网管服务器。

SW-1：
snmp-server enable
snmp-server trap-source 10.60.255.2
snmp-server trap-source 2001:10:60:255::2
snmp-server engineid 62001
snmp user 2022 DCN authPriv 3des 20222022 auth sha 20222022
snmp-server group DCN authpriv read 2022_R write 2022_W
snmp-server host 2001:10:60:15::120 v3 authpriv trap
snmp-server host 10.60.15.120 v3 authpriv trap

SW-2：
snmp-server enable
snmp-server trap-source 10.60.255.4
snmp-server trap-source 2001:10:60:255::4
snmp-server engineid 62002
snmp user 2022 DCN authPriv 3des 20222022 auth sha 20222022
snmp-server group DCN authpriv read 2022_R write 2022_W
snmp-server host 2001:10:60:15::120 v3 authpriv trap
snmp-server host 10.60.15.120 v3 authpriv trap

SW-3：
snmp-server enable
snmp-server trap-source 10.60.255.9
snmp-server trap-source 2001:10:60:255::9
snmp-server engineid 62003
snmp user 2022 DCN authPriv 3des 20222022 auth sha 20222022
snmp-server group DCN authpriv read 2022_R write 2022_W
snmp-server host 2001:10:60:15::120 v3 authpriv trap
snmp-server host 10.60.15.120 v3 authpriv trap

SW-1、SW-2、SW-3同配置：
Interface Ethernet1/0/5
 no switchport updown notification enable

(六) 使用相关技术将核心交换机 SW-3 模拟为 Internet 交换机，实现与集团其它业务网段路由表隔离，Internet 路由表位于
VPN 实例名称 Internet 内。

SW-3：
Ip vr Internet(全局模式下)

Int vlan 4000
Ip vr for Internet
Int vlan 4001
Ip vr for Internet
Int loopback 100
Ip vr for Internet

(七) 配置相关功能，使核心交换机 SW-1、核心交换机 SW-2、核心交换机 SW-3 设备能够在网络中相互发现并交互各自的系统及配置信息，以供管理员查询两端接口对应关系及判断链路的通信状况；配置所有使能此功能的端口发送更新报文的时间间隔为 1 分钟、更新报文所携带的老化时间为 5 分钟，配置租用运营商三条裸光缆通道相关端口使能 Trap 功能，Trap 报文发送间隔为 1 分钟。

SW-1、SW-2、SW-3同配置：
lldp enable
lldp msgTxHold 5（老化时间）
lldp tx-interval 60（更新报文间隔）
lldp notification interval 60（trap间隔）

SW-1和SW-2同配置
Interface Ethernet1/0/26-28
lldp trap enable

(九) 因集团营销人员较多、同时也为了节约成本，在集团接入交换机下挂两个 8 口 HUB 交换机实现营销部接入，已经为营销业务 VLAN 分配 IP 主机位为 1-14，在集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发，对 IP 不在上述范围内的用户发来的数据包，交换机不能转发，直接丢弃, 要求禁止采用访问控制列表实现。

SW-1、SW-2、SW-3同配置：
Am enable(全局模式下)
Int e 1/0/1
am port
am ip-pool 10.60.11.1 14

(十) SW-1 与 SW-2 之间的互连采用光纤接口且跨楼层，当发现单向链路后，要求自动地关闭互连端口；发送握手报文时间间隔为 5s, 以便对链路连接错误做出更快的响应，如果某端口被关闭，经过 30 分钟，该端口自动重启。

SW-1、SW-2同配置：
uldp enable(全局模式下)
uldp recovery-time 1800
uldp hello-interval 5
int e 1/0/21-25
uldp disable

(十一) 已知 SNTP Server 为 202.120.2.101，该服务器时间是国 际标准时间，请在所有交换机上配置该功能，保证交换机的时钟 和北京时间一致。

SW-1、SW-2、SW-3同配置：
sntp server 202.120.2.101（全局模式下）

(十二) 为方便用户日志查询管理，现需要把 SW-1、SW-2、SW-3 的时间在每年 4 月第一个星期日 23:00 到这一年的 10 月最后一个 星期日 00:00，实行夏令时，时钟偏移量为 2 小时，命名为 Time。（ april:四月 Sunday：星期日 October:十月 ）

SW-1、SW-2、SW-3同配置：
clock summer-time time recur 23:00 first sun apr 00:00 last sun oct 120

(十三) 防止终端产生 MAC 地址泛洪攻击，在 SW-1，SW-2 的 所有业务端口设置开启端口安全功能，配置端口允许的最大安全 MAC 数量为 20，发生违规阻止后续违规流量通过，关闭端口，恢复时间为 3 分钟。

mac-address-learning cpu-control（全局模式下）
int e 1/0/1-5
switchport port-security (开启端口安全)
switchport port-security maximum 20

(十四) 集团预采购多个厂商网流分析平台对集团整体流量进 行监控、审计，分别连接在两台核心交换机 E1/0/10-E1/0/11 接口测试VLAN300作为远程端口镜像VLAN，Ethernet1/0/12作为反射端口，将核心交换机与接入交换机、路由器互连流量提供给多个 厂商网流分析平台。（红字补充题目）

SW-1、SW-2同配置：
Vlan 300  （创建一个给远程镜像的VLAN）
sw int e 1/0/10-11
Sw ac v 300
monitor session 1 source interface Ethernet1/0/21-22 (全局模式下)
Monitor session 1 reflector-port int