用華為設(shè)備搭建一個典型企業(yè)園區(qū)網(wǎng)(QCNA華為測試題)

經(jīng)典企業(yè)園區(qū)網(wǎng)建設(shè)方案
全方向網(wǎng)工初中級綜合實(shí)戰(zhàn)測試
乾頤堂安德（軍哥）

版本1.3
2019年4月

1.網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計

圖1

1.1規(guī)劃說明

如圖1實(shí)現(xiàn)一個典型的企業(yè)網(wǎng)，其中AS1（包含R1、SW1、SW2和SW3）為企業(yè)主園區(qū)網(wǎng)絡(luò)，AS2為企業(yè)分支網(wǎng)絡(luò)，云部分代表互聯(lián)網(wǎng)設(shè)備（8.8.8.8）。讀者需要完成AS1和AS2基本的網(wǎng)絡(luò)功能，可以訪問互聯(lián)網(wǎng)（8.8.8.8）以及通過GRE ×××使得位于兩個AS的終端實(shí)現(xiàn)跨越廣域網(wǎng)的通信

1.2 整體架構(gòu)設(shè)計

在AS1中，R1作為企業(yè)網(wǎng)關(guān)出口，負(fù)責(zé)接入互聯(lián)網(wǎng)以及同R3的×××互聯(lián)，同時作為AS內(nèi)部的核心路由器；SW1和SW2作為AS1的匯聚層交換機(jī)，其上的SVI接口如圖1所示；SW3作為接入層交換機(jī)。
在AS2中，R3作為該分支網(wǎng)絡(luò)的網(wǎng)關(guān)出口，由于分支機(jī)構(gòu)人員較少，在AS2中僅僅有一臺SW4作為接入2層交換機(jī)，連接了終端設(shè)備和路由器

1.3 整體要求

請按照拓?fù)渲蠭P地址規(guī)劃和實(shí)施網(wǎng)絡(luò)，在兩個AS中，每個AS最多出現(xiàn)一條靜態(tài)路由
總分60分，得分40分以上可以學(xué)習(xí)NP和IE課程，低于36分建議重修QCNA課程

2.交換網(wǎng)絡(luò)部分（17分）

交換網(wǎng)絡(luò)是一個園區(qū)網(wǎng)的重點(diǎn)內(nèi)容，請先實(shí)施2層網(wǎng)絡(luò)，然后再進(jìn)行3層網(wǎng)絡(luò)和其他特性的調(diào)整
2.1 VLAN規(guī)劃和接入（2分）
Sw1-e0/1 VLAN11
Sw2-e0/2 VLAN12
Sw3-e0/0 VLAN8
Sw3-e0/1 VLAN9
Sw3-e0/2 VLAN10
Sw4-e0/1 VLAN20
Sw4-e0/2 VLAN30
表1

? 在AS1中的交換機(jī)上創(chuàng)建VLAN8、9、10、11、12、99；
? 在AS2中的交換機(jī)上創(chuàng)建VLAN20和30.按照表1進(jìn)行VLAN的接入

2.2 實(shí)施Trunk封裝（3分）

? 在AS1內(nèi)交換機(jī)互聯(lián)接口實(shí)施標(biāo)準(zhǔn)封裝格式的Trunk鏈路；
? AS1內(nèi)所有Trunk上允許除了VLAN1之外的所有VLAN通過，同時所有VLAN的流量必須攜帶TAG
? 在AS2內(nèi)的交換機(jī)上實(shí)施Trunk，安全期間僅僅允許對應(yīng)VLAN通過

2.3實(shí)施生成樹協(xié)議（6分）

? 在AS1和AS2內(nèi)實(shí)施802.1s的生成樹
? SW1在實(shí)例1中具有成為VLAN8、10、11的根的最大可能性，同時SW1是其他VLAN（實(shí)例2）的備份根
? SW2反之，即成為VLAN8、10、11的備份根，成為其他VLAN的主根
? 區(qū)域名為ender，修訂版本號為1
? 在SW1，SW2和SW3各個設(shè)備上，僅僅使用一條命令，使得連接終端的接口可以快速進(jìn)入轉(zhuǎn)發(fā)狀態(tài)
? 在SW4的接口下配置命令，使得連接其他設(shè)備的接口快速進(jìn)入轉(zhuǎn)發(fā)狀態(tài)
? 為了保護(hù)交換網(wǎng)絡(luò)，在接入層交換機(jī)（SW3、SW4）上，一旦收到非法的BPDU關(guān)閉接口

2.4 實(shí)施以太聚合鏈路（2分）

? 為了保證匯聚交換機(jī)之間擁有足夠的帶寬，在匯聚交換機(jī)之間實(shí)施手工模式的以太鏈路聚合
? 以太鏈路聚合使用基于源目IP的負(fù)載分擔(dān)方式

2.5 2層網(wǎng)絡(luò)向3層網(wǎng)絡(luò)過渡（4分）

圖2
? 如圖2所示，請?jiān)谒新酚善魃吓渲肐P地址，保證路由器之間，路由器和交換機(jī)之間的直連IP地址通信
? 如圖2所示，請?jiān)谒薪粨Q機(jī)上配置IP地址，保證路由器之間，路由器和交換機(jī)之間的直連IP地址通信

3.路由部分（20分）

3.1 搭建AS2內(nèi)部網(wǎng)絡(luò)（3分）

? 如圖2，配置PC3 的IP地址，配置正確的網(wǎng)關(guān)
? 如圖2，配置S2的 IP地址，配置正確的網(wǎng)關(guān)
? 配置R3，保證PC3和S2通信

3.2 搭建AS1內(nèi)部網(wǎng)絡(luò)（5分）

圖3
? 如圖3所示，在AS1內(nèi)部實(shí)施OSPF多區(qū)域（area0和area1）網(wǎng)絡(luò)，進(jìn)程號為110
? 配置設(shè)備的OSPF路由器ID，分別為0.0.0.1,0.0.0.2和0.0.0.3
? R1的環(huán)回接口0（請自行創(chuàng)建，地址11.1.1.1/32）運(yùn)行在區(qū)域0
? AS1內(nèi)其他接口都運(yùn)行在area1中，請實(shí)施對應(yīng)的接口
? 確保AS1內(nèi)所有主機(jī)（包含11.1.1.1）相互之間實(shí)現(xiàn)通信

3.3 網(wǎng)絡(luò)邊界的實(shí)施（6分）

? AS1的網(wǎng)關(guān)設(shè)備配置2條默認(rèn)路由，下一跳為運(yùn)營商地址，請使用以太鏈路作為主路徑
? AS2的網(wǎng)關(guān)設(shè)備配置默認(rèn)路由，下一跳為運(yùn)營商地址
? 保證R1和R3可以和8.8.8.8通信
? 保證R1和R3可以相互通信
? 確保PC1和PC3可以發(fā)送數(shù)據(jù)到8.8.8.8（并不一定ping通）

3.4 總部和分支網(wǎng)絡(luò)通信（6分）

圖4
? 如圖4所示，AS1和AS2之間實(shí)施IP協(xié)議47，兩個網(wǎng)關(guān)設(shè)備的地址配置為10.1.13.1/30和10.1.13.2/30
? 請保證兩個隧道地址可以實(shí)現(xiàn)通信
? R1配置BGP，其AS號碼為1,R3配置BGP，其AS號碼為2，使用隧道地址建立eBGP鄰居
? 在R1上產(chǎn)生來自AS1內(nèi)部的BGP路由，這些路由的起源代碼為?
? 在R3上產(chǎn)生AS2的BGP路由，這些路由的起源代碼為i
? 在BGP實(shí)施完畢之后，保證所有的PC和服務(wù)器之間可以通信

4.互聯(lián)網(wǎng)接入和網(wǎng)絡(luò)安全（23分）

4.1 VRRP協(xié)議（6分）

? SW1響應(yīng)vlan8、10中的終端的ARP請求，作為vlan9的backup
? SW2響應(yīng)vlan9中的終端的ARP請求，作為vlan8、10的backup
? Master設(shè)備都追蹤上行鏈路，如果失效則進(jìn)行主備切換

4.2 接入層交換機(jī)調(diào)整（6分）

? SW3的管理IP：vlan 99=10.1.99.99/24，SW2：vlan99=10.1.99.254/24使其僅可以被Telnet協(xié)議遠(yuǎn)程管理
? 使用端口號為23的協(xié)議進(jìn)行遠(yuǎn)程管理，SW3僅僅允許10.1.0.0/16和202.100.1.0/30的網(wǎng)絡(luò)進(jìn)行管理
? 管理SW3的用戶名為qytang，密碼為qytang123, 無法通過配置直接看到該密碼

4.3 SW3的安全措施（6分）

? 為了防止客戶私自接入其他非授權(quán)設(shè)備，在接入設(shè)備SW3做相應(yīng)實(shí)施
? 接口最多允許接入2臺設(shè)備
? 如果出現(xiàn)違規(guī)行為，并不關(guān)閉接口
? 安全MAC必須以stick的方式實(shí)施，用以方便排除故障

4.4 NAT接入互聯(lián)網(wǎng)（5分）

? 業(yè)務(wù)網(wǎng)絡(luò)VLAN8、9、10的用戶可以訪問互聯(lián)網(wǎng)
? 互聯(lián)網(wǎng)設(shè)備可以遠(yuǎn)程通過telnet 1234端口來管理SW3
? 遠(yuǎn)程管理成功，必須顯示管理日志（一次性行為）