用華爲設備搭建一個典型企業園區網(QCNA華爲測試題)

經典企業園區網建設方案
全方向網工初中級綜合實戰測試
乾頤堂安德（軍哥）

版本1.3
2019年4月

1.網絡架構規劃設計

圖1

1.1規劃說明

如圖1實現一個典型的企業網，其中AS1（包含R一、SW一、SW2和SW3）爲企業主園區網絡，AS2爲企業分支網絡，雲部分表明互聯網設備（8.8.8.8）。讀者須要完成AS1和AS2基本的網絡功能，能夠訪問互聯網（8.8.8.8）以及經過GRE ×××使得位於兩個AS的終端實現跨越廣域網的通訊

1.2 總體架構設計

在AS1中，R1做爲企業網關出口，負責接入互聯網以及同R3的×××互聯，同時做爲AS內部的核心路由器；SW1和SW2做爲AS1的匯聚層交換機，其上的SVI接口如圖1所示；SW3做爲接入層交換機。
在AS2中，R3做爲該分支網絡的網關出口，因爲分支機構人員較少，在AS2中僅僅有一臺SW4做爲接入2層交換機，鏈接了終端設備和路由器

1.3 總體要求

請按照拓撲中IP地址規劃和實施網絡，在兩個AS中，每一個AS最多出現一條靜態路由
總分60分，得分40分以上能夠學習NP和IE課程，低於36分建議重修QCNA課程

2.交換網絡部分（17分）

交換網絡是一個園區網的重點內容，請先實施2層網絡，而後再進行3層網絡和其餘特性的調整
2.1 VLAN規劃和接入（2分）
Sw1-e0/1 VLAN11
Sw2-e0/2 VLAN12
Sw3-e0/0 VLAN8
Sw3-e0/1 VLAN9
Sw3-e0/2 VLAN10
Sw4-e0/1 VLAN20
Sw4-e0/2 VLAN30
表1

 在AS1中的交換機上建立VLAN八、九、十、十一、十二、99；
 在AS2中的交換機上建立VLAN20和30.按照表1進行VLAN的接入

2.2 實施Trunk封裝（3分）

 在AS1內交換機互聯接口實施標準封裝格式的Trunk鏈路；
 AS1內全部Trunk上容許除了VLAN1以外的全部VLAN經過，同時全部VLAN的流量必須攜帶TAG
 在AS2內的交換機上實施Trunk，安全期間僅僅容許對應VLAN經過

2.3實施生成樹協議（6分）

 在AS1和AS2內實施802.1s的生成樹
 SW1在實例1中具備成爲VLAN八、十、11的根的最大可能性，同時SW1是其餘VLAN（實例2）的備份根
 SW2反之，即成爲VLAN八、十、11的備份根，成爲其餘VLAN的主根
 區域名爲ender，修訂版本號爲1
 在SW1，SW2和SW3各個設備上，僅僅使用一條命令，使得鏈接終端的接口能夠快速進入轉發狀態
 在SW4的接口下配置命令，使得鏈接其餘設備的接口快速進入轉發狀態
 爲了保護交換網絡，在接入層交換機（SW三、SW4）上，一旦收到非法的BPDU關閉接口

2.4 實施以太聚合鏈路（2分）

 爲了保證匯聚交換機之間擁有足夠的帶寬，在匯聚交換機之間實施手工模式的以太鏈路聚合
 以太鏈路聚合使用基於源目IP的負載分擔方式

2.5 2層網絡向3層網絡過渡（4分）

圖2
 如圖2所示，請在全部路由器上配置IP地址，保證路由器之間，路由器和交換機之間的直連IP地址通訊
 如圖2所示，請在全部交換機上配置IP地址，保證路由器之間，路由器和交換機之間的直連IP地址通訊

3.路由部分（20分）

3.1 搭建AS2內部網絡（3分）

 如圖2，配置PC3 的IP地址，配置正確的網關
 如圖2，配置S2的 IP地址，配置正確的網關
 配置R3，保證PC3和S2通訊

3.2 搭建AS1內部網絡（5分）

圖3
 如圖3所示，在AS1內部實施OSPF多區域（area0和area1）網絡，進程號爲110
 配置設備的OSPF路由器ID，分別爲0.0.0.1,0.0.0.2和0.0.0.3
 R1的環回接口0（請自行建立，地址11.1.1.1/32）運行在區域0
 AS1內其餘接口都運行在area1中，請實施對應的接口
 確保AS1內全部主機（包含11.1.1.1）相互之間實現通訊

3.3 網絡邊界的實施（6分）

 AS1的網關設備配置2條默認路由，下一跳爲運營商地址，請使用以太鏈路做爲主路徑
 AS2的網關設備配置默認路由，下一跳爲運營商地址
 保證R1和R3能夠和8.8.8.8通訊
 保證R1和R3能夠相互通訊
 確保PC1和PC3能夠發送數據到8.8.8.8（並不必定ping通）

3.4 總部和分支網絡通訊（6分）

圖4
 如圖4所示，AS1和AS2之間實施IP協議47，兩個網關設備的地址配置爲10.1.13.1/30和10.1.13.2/30
 請保證兩個隧道地址能夠實現通訊
 R1配置BGP，其AS號碼爲1,R3配置BGP，其AS號碼爲2，使用隧道地址創建eBGP鄰居
 在R1上產生來自AS1內部的BGP路由，這些路由的起源代碼爲?
 在R3上產生AS2的BGP路由，這些路由的起源代碼爲i
 在BGP實施完畢以後，保證全部的PC和服務器之間能夠通訊

4.互聯網接入和網絡安全（23分）

4.1 VRRP協議（6分）

 SW1響應vlan八、10中的終端的ARP請求，做爲vlan9的backup
 SW2響應vlan9中的終端的ARP請求，做爲vlan八、10的backup
 Master設備都追蹤上行鏈路，若是失效則進行主備切換

4.2 接入層交換機調整（6分）

 SW3的管理IP：vlan 99=10.1.99.99/24，SW2：vlan99=10.1.99.254/24使其僅能夠被Telnet協議遠程管理
 使用端口號爲23的協議進行遠程管理，SW3僅僅容許10.1.0.0/16和202.100.1.0/30的網絡進行管理
 管理SW3的用戶名爲qytang，密碼爲qytang123, 沒法經過配置直接看到該密碼

4.3 SW3的安全措施（6分）

 爲了防止客戶私自接入其餘非受權設備，在接入設備SW3作相應實施
 接口最多容許接入2臺設備
 若是出現違規行爲，並不關閉接口
 安全MAC必須以stick的方式實施，用以方便排除故障

4.4 NAT接入互聯網（5分）

 業務網絡VLAN八、九、10的用戶能夠訪問互聯網 互聯網設備能夠遠程經過telnet 1234端口來管理SW3 遠程管理成功，必須顯示管理日誌（一次性行爲）