用华为设备搭建一个典型企业园区网(QCNA华为测试题)

经典企业园区网建设方案
全方向网工初中级综合实战测试
乾颐堂安德（军哥）

版本1.3
2019年4月

1.网络架构规划设计

图1

1.1规划说明

如图1实现一个典型的企业网，其中AS1（包含R一、SW一、SW2和SW3）为企业主园区网络，AS2为企业分支网络，云部分表明互联网设备（8.8.8.8）。读者须要完成AS1和AS2基本的网络功能，能够访问互联网（8.8.8.8）以及经过GRE ×××使得位于两个AS的终端实现跨越广域网的通讯

1.2 总体架构设计

在AS1中，R1做为企业网关出口，负责接入互联网以及同R3的×××互联，同时做为AS内部的核心路由器；SW1和SW2做为AS1的汇聚层交换机，其上的SVI接口如图1所示；SW3做为接入层交换机。
在AS2中，R3做为该分支网络的网关出口，因为分支机构人员较少，在AS2中仅仅有一台SW4做为接入2层交换机，链接了终端设备和路由器

1.3 总体要求

请按照拓扑中IP地址规划和实施网络，在两个AS中，每一个AS最多出现一条静态路由
总分60分，得分40分以上能够学习NP和IE课程，低于36分建议重修QCNA课程

2.交换网络部分（17分）

交换网络是一个园区网的重点内容，请先实施2层网络，而后再进行3层网络和其余特性的调整
2.1 VLAN规划和接入（2分）
Sw1-e0/1 VLAN11
Sw2-e0/2 VLAN12
Sw3-e0/0 VLAN8
Sw3-e0/1 VLAN9
Sw3-e0/2 VLAN10
Sw4-e0/1 VLAN20
Sw4-e0/2 VLAN30
表1

 在AS1中的交换机上建立VLAN八、九、十、十一、十二、99；
 在AS2中的交换机上建立VLAN20和30.按照表1进行VLAN的接入

2.2 实施Trunk封装（3分）

 在AS1内交换机互联接口实施标准封装格式的Trunk链路；
 AS1内全部Trunk上容许除了VLAN1以外的全部VLAN经过，同时全部VLAN的流量必须携带TAG
 在AS2内的交换机上实施Trunk，安全期间仅仅容许对应VLAN经过

2.3实施生成树协议（6分）

 在AS1和AS2内实施802.1s的生成树
 SW1在实例1中具备成为VLAN八、十、11的根的最大可能性，同时SW1是其余VLAN（实例2）的备份根
 SW2反之，即成为VLAN八、十、11的备份根，成为其余VLAN的主根
 区域名为ender，修订版本号为1
 在SW1，SW2和SW3各个设备上，仅仅使用一条命令，使得链接终端的接口能够快速进入转发状态
 在SW4的接口下配置命令，使得链接其余设备的接口快速进入转发状态
 为了保护交换网络，在接入层交换机（SW三、SW4）上，一旦收到非法的BPDU关闭接口

2.4 实施以太聚合链路（2分）

 为了保证汇聚交换机之间拥有足够的带宽，在汇聚交换机之间实施手工模式的以太链路聚合
 以太链路聚合使用基于源目IP的负载分担方式

2.5 2层网络向3层网络过渡（4分）

图2
 如图2所示，请在全部路由器上配置IP地址，保证路由器之间，路由器和交换机之间的直连IP地址通讯
 如图2所示，请在全部交换机上配置IP地址，保证路由器之间，路由器和交换机之间的直连IP地址通讯

3.路由部分（20分）

3.1 搭建AS2内部网络（3分）

 如图2，配置PC3 的IP地址，配置正确的网关
 如图2，配置S2的 IP地址，配置正确的网关
 配置R3，保证PC3和S2通讯

3.2 搭建AS1内部网络（5分）

图3
 如图3所示，在AS1内部实施OSPF多区域（area0和area1）网络，进程号为110
 配置设备的OSPF路由器ID，分别为0.0.0.1,0.0.0.2和0.0.0.3
 R1的环回接口0（请自行建立，地址11.1.1.1/32）运行在区域0
 AS1内其余接口都运行在area1中，请实施对应的接口
 确保AS1内全部主机（包含11.1.1.1）相互之间实现通讯

3.3 网络边界的实施（6分）

 AS1的网关设备配置2条默认路由，下一跳为运营商地址，请使用以太链路做为主路径
 AS2的网关设备配置默认路由，下一跳为运营商地址
 保证R1和R3能够和8.8.8.8通讯
 保证R1和R3能够相互通讯
 确保PC1和PC3能够发送数据到8.8.8.8（并不必定ping通）

3.4 总部和分支网络通讯（6分）

图4
 如图4所示，AS1和AS2之间实施IP协议47，两个网关设备的地址配置为10.1.13.1/30和10.1.13.2/30
 请保证两个隧道地址能够实现通讯
 R1配置BGP，其AS号码为1,R3配置BGP，其AS号码为2，使用隧道地址创建eBGP邻居
 在R1上产生来自AS1内部的BGP路由，这些路由的起源代码为?
 在R3上产生AS2的BGP路由，这些路由的起源代码为i
 在BGP实施完毕以后，保证全部的PC和服务器之间能够通讯

4.互联网接入和网络安全（23分）

4.1 VRRP协议（6分）

 SW1响应vlan八、10中的终端的ARP请求，做为vlan9的backup
 SW2响应vlan9中的终端的ARP请求，做为vlan八、10的backup
 Master设备都追踪上行链路，若是失效则进行主备切换

4.2 接入层交换机调整（6分）

 SW3的管理IP：vlan 99=10.1.99.99/24，SW2：vlan99=10.1.99.254/24使其仅能够被Telnet协议远程管理
 使用端口号为23的协议进行远程管理，SW3仅仅容许10.1.0.0/16和202.100.1.0/30的网络进行管理
 管理SW3的用户名为qytang，密码为qytang123, 没法经过配置直接看到该密码

4.3 SW3的安全措施（6分）

 为了防止客户私自接入其余非受权设备，在接入设备SW3作相应实施
 接口最多容许接入2台设备
 若是出现违规行为，并不关闭接口
 安全MAC必须以stick的方式实施，用以方便排除故障

4.4 NAT接入互联网（5分）

 业务网络VLAN八、九、10的用户能够访问互联网 互联网设备能够远程经过telnet 1234端口来管理SW3 远程管理成功，必须显示管理日志（一次性行为）