经典企业园区网建设方案-全方向网工初中级综合实战测试

本文由乾颐堂CCIE\HCIE讲师安德（周亚军）提供

1.网络架构规划设计

图1

1.1规划说明

如图1实现一个典型的企业网，其中AS1（包含R1、SW1、SW2和SW3）为企业主园区网络，AS2为企业分支网络，云部分代表互联网设备（8.8.8.8）。读者需要完成AS1和AS2基本的网络功能，可以访问互联网（8.8.8.8）以及通过GRE VPN使得位于两个AS的终端实现跨越广域网的通信

1.2 整体架构设计

在AS1中，R1作为企业网关出口，负责接入互联网以及同R3的VPN互联，同时作为AS内部的核心路由器；SW1和SW2作为AS1的汇聚层交换机，其上的SVI接口如图1所示；SW3作为接入层交换机。

在AS2中，R3作为该分支网络的网关出口，由于分支机构人员较少，在AS2中仅仅有一台SW4作为接入2层交换机，连接了终端设备和路由器

1.3 整体要求

请按照拓扑中IP地址规划和实施网络，在两个AS中，每个AS最多出现一条静态路由

总分60分，得分40分以上可以学习NP和IE课程，低于36分建议重修QCNA课程

2.交换网络部分（17分）

交换网络是一个园区网的重点内容，请先实施2层网络，然后再进行3层网络和其他特性的调整

2.1 VLAN规划和接入（2分）

表1

n  在AS1中的交换机上创建VLAN8、9、10、11、12、99；

n  在AS2中的交换机上创建VLAN20和30.按照表1进行VLAN的接入

2.2 实施Trunk封装（3分）

n  在AS1内交换机互联接口实施标准封装格式的Trunk链路；

n  AS1内所有Trunk上允许所有VLAN通过，同时所有VLAN的流量必须携带TAG

n  在AS2内的交换机上实施Trunk，安全期间仅仅允许对应VLAN通过

2.3实施生成树协议（6分）

n  在AS1和AS2内实施802.1D的生成树

n  SW1具有成为VLAN8、10、11的根的最大可能性，同时SW1是其他VLAN的备份根

n  SW2反之，即成为VLAN8、10、11的备份根，成为其他VLAN的主根

n  在SW1，SW2和SW3各个设备上，仅仅使用一条命令，使得连接终端的接口可以快速进入转发状态

n  在SW4的接口下配置命令，使得连接其他设备的接口快速进入转发状态

n  为了保护交换网络，在接入层交换机上，一旦收到非法的BPDU关闭接口

2.4 实施以太聚合链路（2分）

n  为了保证汇聚交换机之间拥有足够的带宽，在汇聚交换机之间实施公有标准模式的以太链路聚合

n  以太链路聚合使用基于源目IP的负载分担方式

2.5 2层网络向3层网络过渡（4分）

图2

n  如图2所示，请在所有路由器上配置IP地址，保证路由器之间，路由器和交换机之间的直连IP地址通信

n  如图2所示，请在所有交换机上配置IP地址，保证路由器之间，路由器和交换机之间的直连IP地址通信

3.路由部分（20分）

3.1 搭建AS2内部网络（3分）

n  如图2，配置PC3 的IP地址，配置正确的网关

n  如图2，配置S2的 IP地址，配置正确的网关

n  配置R3，保证PC3和S2通信

3.2 搭建AS1内部网络（5分）

图3

n  如图3所示，在AS1内部实施OSPF多区域（area0和area1）网络，进程号为110

n  配置设备的OSPF路由器ID，分别为0.0.0.1,0.0.0.2和0.0.0.3

n  R1的环回接口0（请自行创建，地址11.1.1.1/32）运行在区域0

n  AS1内其他接口都运行在area1中，请实施对应的接口

n  确保AS1内所有主机（包含11.1.1.1）相互之间实现通信

3.3 网络边界的实施（6分）

n  AS1的网关设备配置2条默认路由，下一跳为运营商地址，请使用以太链路作为主路径

n  AS2的网关设备配置默认路由，下一跳为运营商地址

n  保证R1和R3可以和8.8.8.8通信

n  保证R1和R3可以相互通信

n  确保PC1和PC3可以发送数据到8.8.8.8（并不一定ping通）

3.4 总部和分支网络通信（6分）

n  如图4所示，AS1和AS2之间实施IP协议47，两个网关设备的地址配置为10.1.13.1/30和10.1.13.2/30

n  请保证两个隧道地址可以实现通信

n  R1配置BGP，其AS号码为1,R3配置BGP，其AS号码为2，使用隧道地址建立eBGP邻居

n  在R1上产生来自AS1内部的BGP路由，这些路由的起源代码为?

n  在R3上产生AS2的BGP路由，这些路由的起源代码为i

n  在BGP实施完毕之后，保证所有的PC和服务器之间可以通信

4.互联网接入和网络安全（23分）

4.1 VRRP协议（6分）

n  SW1响应vlan8、10中的终端的ARP请求，作为vlan9的backup

n  SW2响应vlan9中的终端的ARP请求，作为vlan8、10的backup

n  Master设备都追踪上行链路，如果失效则进行主备切换

4.2 接入层交换机调整（6分）

n  SW3管理IP，vlan 99=10.1.99.99/24，SW1 vlan99=10.1.99.254/24使其仅可以被远程管理

n  使用端口号为23的协议进行远程管理，SW3仅仅允许10.1.0.0/16和202.100.1.0/30的网络进行管理

n  管理SW3的用户名为qytang，密码为qytang12?4

n  SW3的特权密码为cisco，但管理员无法通过配置直接看到该密码

4.3 SW3的安全措施（6分）

n  为了防止客户私自接入其他非授权设备，在接入设备SW3做相应实施

n  接口最多允许接入2台设备

n  如果出现违规行为，并不关闭接口

n  安全MAC必须出现在配置中，用以方便排除故障

4.4 NAT接入互联网（5分）

n  业务网络VLAN8、9、10的用户可以访问互联网

n  互联网设备可以远程通过telnet 1234端口来管理SW3

远程管理成功，必须显示管理日志（一次性行为）

本文由乾颐堂CCIE\HCIE讲师安德（周亚军）提供

咨询QQ及电话：4006188070

乾颐堂官网：www.qytang.com

乾颐堂网络实验室 我们为您想的更多