经典企业园区网建设方案
全方向网工初中级综合实战测试
作者乾颐堂安德(军哥)
版本1.2
2019年3月
1.网络架构规划设计
图1
1.1规划说明
如图1实现一个典型的企业网,其中AS1(包含R1、SW1、SW2和SW3)为企业主园区网络,AS2为企业分支网络,云部分代表互联网设备(8.8.8.8)。读者需要完成AS1和AS2基本的网络功能,可以访问互联网(8.8.8.8)以及通过GRE ×××使得位于两个AS的终端实现跨越广域网的通信
1.2 整体架构设计
在AS1中,R1作为企业网关出口,负责接入互联网以及同R3的×××互联,同时作为AS内部的核心路由器;SW1和SW2作为AS1的汇聚层交换机,其上的SVI接口如图1所示;SW3作为接入层交换机。
在AS2中,R3作为该分支网络的网关出口,由于分支机构人员较少,在AS2中仅仅有一台SW4作为接入2层交换机,连接了终端设备和路由器
1.3 整体要求
请按照拓扑中IP地址规划和实施网络,在两个AS中,每个AS最多出现一条静态路由
总分60分,得分40分以上可以学习NP和IE课程,低于36分建议重修QCNA课程
2.交换网络部分(17分)
交换网络是一个园区网的重点内容,请先实施2层网络,然后再进行3层网络和其他特性的调整
2.1 VLAN规划和接入(2分)
Sw1-e0/1 VLAN11
Sw2-e0/2 VLAN12
Sw3-e0/0 VLAN8
Sw3-e0/1 VLAN9
Sw3-e0/2 VLAN10
Sw4-e0/1 VLAN20
Sw4-e0/2 VLAN30
表1
在AS1中的交换机上创建VLAN8、9、10、11、12、99;
在AS2中的交换机上创建VLAN20和30.按照表1进行VLAN的接入
2.2 实施Trunk封装(3分)
在AS1内交换机互联接口实施标准封装格式的Trunk链路;
AS1内所有Trunk上允许所有VLAN通过,同时所有VLAN的流量必须携带TAG
在AS2内的交换机上实施Trunk,安全期间仅仅允许对应VLAN通过
2.3实施生成树协议(6分)
在AS1和AS2内实施802.1D的生成树
SW1具有成为VLAN8、10、11的根的最大可能性,同时SW1是其他VLAN的备份根
SW2反之,即成为VLAN8、10、11的备份根,成为其他VLAN的主根
在SW1,SW2和SW3各个设备上,仅仅使用一条命令,使得连接终端的接口可以快速进入转发状态
在SW4的接口下配置命令,使得连接其他设备的接口快速进入转发状态
为了保护交换网络,在接入层交换机上,一旦收到非法的BPDU关闭接口
2.4 实施以太聚合链路(2分)
为了保证汇聚交换机之间拥有足够的带宽,在汇聚交换机之间实施公有标准模式的以太链路聚合
以太链路聚合使用基于源目IP的负载分担方式
2.5 2层网络向3层网络过渡(4分)
图2
如图2所示,请在所有路由器上配置IP地址,保证路由器之间,路由器和交换机之间的直连IP地址通信
如图2所示,请在所有交换机上配置IP地址,保证路由器之间,路由器和交换机之间的直连IP地址通信
3.路由部分(20分)
3.1 搭建AS2内部网络(3分)
如图2,配置PC3 的IP地址,配置正确的网关
如图2,配置S2的 IP地址,配置正确的网关
配置R3,保证PC3和S2通信
3.2 搭建AS1内部网络(5分)
图3
如图3所示,在AS1内部实施OSPF多区域(area0和area1)网络,进程号为110
配置设备的OSPF路由器ID,分别为0.0.0.1,0.0.0.2和0.0.0.3
R1的环回接口0(请自行创建,地址11.1.1.1/32)运行在区域0
AS1内其他接口都运行在area1中,请实施对应的接口
确保AS1内所有主机(包含11.1.1.1)相互之间实现通信
3.3 网络边界的实施(6分)
AS1的网关设备配置2条默认路由,下一跳为运营商地址,请使用以太链路作为主路径
AS2的网关设备配置默认路由,下一跳为运营商地址
保证R1和R3可以和8.8.8.8通信
保证R1和R3可以相互通信
确保PC1和PC3可以发送数据到8.8.8.8(并不一定ping通)
3.4 总部和分支网络通信(6分)
图4
如图4所示,AS1和AS2之间实施IP协议47,两个网关设备的地址配置为10.1.13.1/30和10.1.13.2/30
请保证两个隧道地址可以实现通信
R1配置BGP,其AS号码为1,R3配置BGP,其AS号码为2,使用隧道地址建立eBGP邻居
在R1上产生来自AS1内部的BGP路由,这些路由的起源代码为?
在R3上产生AS2的BGP路由,这些路由的起源代码为i
在BGP实施完毕之后,保证所有的PC和服务器之间可以通信
4.互联网接入和网络安全(23分)
4.1 VRRP协议(6分)
SW1响应vlan8、10中的终端的ARP请求,作为vlan9的backup
SW2响应vlan9中的终端的ARP请求,作为vlan8、10的backup
Master设备都追踪上行链路,如果失效则进行主备切换
4.2 接入层交换机调整(6分)
SW3管理IP,vlan 99=10.1.99.99/24,SW1 vlan99=10.1.99.254/24使其仅可以被远程管理
使用端口号为23的协议进行远程管理,SW3仅仅允许10.1.0.0/16和202.100.1.0/30的网络进行管理
管理SW3的用户名为qytang,密码为qytang12?4
SW3的特权密码为cisco,但管理员无法通过配置直接看到该密码
4.3 SW3的安全措施(6分)
为了防止客户私自接入其他非授权设备,在接入设备SW3做相应实施
接口最多允许接入2台设备
如果出现违规行为,并不关闭接口
安全MAC必须出现在配置中,用以方便排除故障
4.4 NAT接入互联网(5分)
业务网络VLAN8、9、10的用户可以访问互联网
互联网设备可以远程通过telnet 1234端口来管理SW3
远程管理成功,必须显示管理日志(一次性行为)