案例一:
某园区组网方案如下图所示,数据规划如下表所示,根据下面的图表进行分析:
案例分析一:
以Switch3为例配置接入层交换机,补充下列命令片段:
<HUAWEI>(1)
[HUAWEI]sysname Switch3
[Switch3]vlan batch(2)
[Switch3]interface GigabitEthernet 0/0/3
[Switch3-GigabitEthernet 0/0/3]port link-type(3)
[Switch3-GigabitEthernet 0/0/3]port trunk allow-pass vlan 10 20
[Switch3-GigabitEthernet 0/0/3]quit
[Switch3]interface GigabitEthernet 0/0/1
[Switch3-GigabitEthernet 0/0/1]port link-type (4)
[Switch3-GigabitEthernet 0/0/1]port default vlan 10
[Switch3-GigabitEthernet 0/0/1]quit
[Switch3]stp bpdu-protection
答:(1)system-view
解析:根据上下文,这是最基础的一条命令,语句的作用是从用户视图进入交换机系统视图,也可写sys
(2)10 20
解析:命令vlan batch作用是批量创建VLAN,根据题意这是在Switch3上进行配置,根据数据规划表所示,Switch3包含两个VLAN,即VLAN10和VLAN20,故此处填写10 20
(3)trunk
解析:根据命令[Switch3-GigabitEthernet 0/0/3]port trunk allow-pass vlan 10 20可以判断端口链路类型是trunk
(4)access
解析:结合命令[Switch3-GigabitEthernet 0/0/1]port default vlan 10可判断出接口链路类型为access,因为VLAN10是主机终端电脑,主机和交换机连接都是access类型
案例分析二:
以Switch1为例配置核心层交换机,创建其与接入交换机、备份设备以及出口路由器的互通VLAN,补充下列命令:
<HUAWEI>system-view
[HUAWEI]sysname Switch1
[Switch1]vlan batch (5)
[Switch1]interface GigabitEthernet0/0/1
[Switch1-GigabitEthernet0/0/1]port link-type trunk
[Switch1-GigabitEthernet0/0/1]port trunk allow-pass (6)
[Switch1-GigabitEthernet0/0/1]quit
[Switch1]interface Vlanif 10
[Switch1-Vlanif10]ip address 192.168.10.1 24
[Switch1-Vlanif10]quit
[Switch1]interface Vlanif 20
[Switch1-Vlanif20]ip address 192.168.20.1 24
[Switch1-Vlanif20]quit
[Switch1]interface GigabitEthernet0/0/7
[Switch1-GigabitEthernet0/0/7]port link-type trunk
[Switch1-GigabitEthernet0/0/7]port trunk allow-pass vlan10
[Switch1-GigabitEthernet0/0/7]quit
[Switch1]interface Vlanif 100
[Switch1-Vlanif100]ip address (7)
[Switch1-Vlanif100]quit
[Switch1]interface GigabitEthernet0/0/5
[Switch1-GigabitEthernet0/0/5]port link-type access
[Switch1-GigabitEthernet0/0/5]port default vlan300
[Switch1-GigabitEthernet0/0/5]quit
[Switch1]interface Vlanif 300
[Switch1-Vlanif300]ip address (8)
[Switch1-Vlanif300]quit
答:(5)10 20 30 100 300
解析:vlan batch 是批量创建vlan命令,根据数据规划表显示Switch1的vlan为vlan10、vlan20、vlan30、vlan100、vlan300;创建如下表所示的vlan即可
(6)VLAN 10 20
解析:Switch通过trunk链路端口GigabitEthernet0/0/1和Switch3相连,Switch3下面的部门 A和部门B的vlan分别是:vlan10和vlan20,即Switch1的GigabitEthernet0/0/1端口通过vlan10和vlan20即可
(7)172.16.10.1 24 或者 172.16.10.1 255.255.255.0
解析:命令[Switch1-Vlanif100]ip address 作用是为vlan100配置IP地址,根据数据规划表,vlanif的地址是172.16.10.1/24,所以这里填写 172.16.10.1 24,注意:172.16.10.1 24 和172.16.10.1/24 意思都一样,就是 24是在配置状态用的,/24是计算书写状态用的。如在vlanif接口视图下 就是172.16.10.1 24 ,计算路由聚合可以写成192.168.1.129 /24、192.168.1.133/24格式
① VLAN if接口与VLAN端口定义
VLAN端口:它是一个物理端口。通常,我们配置access VLAN 10以使物理接口属于VLAN 10。
VLAN if:接口VLAN是逻辑端口。通常,此接口地址用作VLAN下用户的网关,如接口VLAN 10 IP add 192.168.10.254 255.255.255.0
② VLAN if接口与VLAN端口的区别:
(1)VLAN端口:它是一个物理端口。通常,我们配置access VLAN 10使一个物理接口属于VLAN 10
(2)VLAN if:接口VLAN是一个逻辑端口。通常,这个接口地址被用作VLAN下用户的网关。
③ VLAN if接口与VLAN端口的区别?
VLAN是指虚拟局域网。默认情况下,交换机端口属于一个组(VLAN)。当您要将交换机端口划分为多个组时,需要建立多个VLAN,并将该端口与相应的VLAN相关联,简而言之,端口是VLAN的成员。
④ VLAN和VLANIF是什么关系?
其全称为虚拟局域网(VLAN)。它的功能是将连接到同一交换机的主机划分成更小的逻辑网段,从而减少广播的数量。不同的VLAN之间无法通信,因此广播仅限于同一服务需求主机的VLAN。即使它们连接到同一个交换机,不同的VLAN也不会接收ARP广播请求!如果他们需要相互通信,他们只能使用路由器或第三层交换机
⑤ VLANif是什么意思?有什么作用?什么情况下用到?
Vlanif接口是基于VLAN的三层逻辑接口,可以配置IP地址。VLAN划分后,同一VLAN中的用户可以相互通信,但属于不同VLAN的用户不能直接通信。为了实现vlan之间的通信,可以配置逻辑三层接口vlaif接口。
(8)172.16.30.1 24 或者 172.16.30.1 255.255.255.0
解析:跟上面同理,根据数据规划表查询即可得到IP地址
案例分析三:
如果配置静态路由实现网络互通,补充在Switch1和Router上配置的命令片段:
[Swith1]ip route-static (9)
[Swith1]ip route-static 0.0.0.0 0.0.0.0 172.16.30.2 preference 70
[Router]ip route-static (10)
[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.10.1
[Router]ip route-static 192.168.10.0 255.255.255.0 172.16.20.1 preference 70
[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.10.1
[Router]ip route-static 192.168.20.0 255.255.255.0 172.16.20.1 preference 70
答:(9)0.0.0.0 0.0.0.0 172.16.10.2
解析:Switch1的下一跳为Router的GE0/0/1接口,GE0/0/1接口的内网接口IP地址为
172.16.10.2 /24
命令ip route-static作用是配置静态路由,命令格式如下:
ip route-static 0.0.0.0 0.0.0.0 172.16.10.2
(1)第一个0.0.0.0 代表所要到达的目的网络
(2)第二个0.0.0.0 代表所要到达目的网络的子网掩码
(3)172.16.10.2 下一跳的IP地址,即相邻路由器的端口地址
(4)路由的优先级:数值越小优先级越大
① 直连路由默认优先级:0
② OSPF默认优先级:10
③ 静态路由默认优先级:60
④ RIP默认优先级:100
⑤ BGP默认优先级:255
(10)0.0.0.0 0.0.0.0 202.101.111.1
分析:根据数据规划表,路由器出口需要配置一条缺省路由,用于内网流量转发到Internet,数据规划表显示路由器公网网关地址为:202.101.111.1/30,可知下一跳为202.101.111.1
============================分界线==================================
案例二:
某企业分支与总部组网方案如下图所示,企业分支网络规划如下表所示:
企业分支与总部组网说明:
1.企业分支采用双链路接入Internet,其中ADSL有线链路作为企业分支的主Internet接口,3G/LTE Cellular 无线链路作为企业分支的备用Internet接口
2.指定Router1作为企业出口网关,由Router1为企业内网用户分配IP地址
3.在Router上配置缺省路由,使企业分支内网的流量可以通过xDSL和3G/LTE Cellular无线链路访问Internet
4.企业分支与总部之间的3G/LTE Cellular无线链路采用加密传输
案例分析一:
依据组网方案,为企业分支Router1配置互联网接口板卡,应该在是(1)和 (2)单板中选择配置
答(1)xDSL
解析:如上图所示,Router1连接互联网有两条链路:一条连接DSLAM,此设备为局端xDSL设备,因此应填写xDSL
(2)3G/LTE
解析:如上题,Router1连接互联网有两条链路:另外一条连接3G/LTE,此为无线3G线路,因此应填写3G/LTE
案例分析二:
在Router1上配置DHCP服务的命令片段如下所示,请将相关内容补充完整:
[Huawei]dhcp enable
[Huawei]interface vlanif 123
[Huawei-vlanif123]dhcp select global //(3)
[Huawei-vlanif123]quit
[Huawei]ip (4)lan
[Huawei-ip-pool-lan]gateway-list (5)
[Huawei-ip-pool-lan]network 192.168.100.0 mask 24
[Huawei-ip-pool-lan]quit
答:(3)DHCP启用全局地址池
解析:命令dhcp select global 含义为DHCP启用全局地址池,知识点记住就行
(4)pool
解析:配置DHCP地址池,应填写pool,或者根据下一条命令[Huawei-ip-pool-lan]也可判断,[Huawei]ip pool lan意思是在路由器上创建IP地址池,
(5)192.168.100.1
解析:配置地址池的网关,根据下图知道网关地址为192.168.100.1 ,[Huawei-ip-pool-lan]network 192.168.100.0 mask 24意思是为IP地址池添加IP地址网段
案例分析三:
在Router配置上行接口的命令如下所示,请将相关内容补充完整:
#配置NAT地址转换
[Huawei]acl number 3002
[Huawei-acl-adv-3002]rule 5 permit ip source 192.168.100.0 0.0.0.255
[Huawei-acl-adv-3002]quit
[Huawei]interface virtual-template 10 //(6)
[Huawei-virtual-template 10]ip address ppp-negotiate
[Huawei-virtual-template 10]nat outbound (7)
[Huawei-virtual-template 10]quit
#配置ATM接口
[Huawei]interface atm 1/0/0
[Huawei-Atm 1/0/0]pvc voip 1/35
[Huawei-atm-pvc-Atm1/0/0-1/35-voip]map ppp virtual-template 10
[Huawei-atm-pvc-Atm1/0/0-1/35-voip]quit
[Huawei-Atm 1/0/0]standby interface cellular 0/0/0 //(8)
[Huawei-Atm 1/0/0]quit
#配置APN与网络连接方式
[Huawei]apn profile 3gprofile
[Huawei-apn-profile-3gprofile]apn wcdma
[Huawei-apn-profile-3gprofile]quit
[Huawei]interface cellular 0/0/0
[Huawei-cellular 0/0/0]mode wcdma (9)
[Huawei-cellular 0/0/0]dialer enable-circular
[Huawei-cellular 0/0/0]apn-profile(10)
绑定APN模板
[Huawei-cellular 0/0/0]shutdown
[Huawei-cellular 0/0/0]undo shutdown
[Huawei-cellular 0/0/0]quit
#配置轮询DCC拨号连接
[Huawei]dialer-rule
[Huawei-dialer-rule]dialer-rule 1 ip permit
[Huawei-dialer-rule]quit
[Huawei]interface cellular 0/0/0
[Huawei-cellular 0/0/0]link-protocol ppp
[Huawei-cellular 0/0/0]ip address ppp-negotiate
[Huawei-cellular 0/0/0]dialer-group 1
[Huawei-cellular 0/0/0]dialer timer idle (11)
[Huawei-cellular 0/0/0]dialer number *99#
[Huawei-cellular 0/0/0]nat outbound 3002
[Huawei-cellular 0/0/0]quit
答:(6)创建虚拟接口模板10
解析:命令interface virtual-template 10为创建虚拟接口模板10
(7)3002
解析:命令nat outbound 3002 意思是NAT转换方向为出口方向outbound,匹配内网流量ACL,应填写3002
(8)配置3G接口为备份接口
解析:命令standby interface cellular 0/0/0意思是设置备用接口为CE0/0/0,配置3G接口为备份接口,优先级默认为0
(9)wcdma-only
解析:命令mode wcdma wcdma-only意思是配置3G modem的连接方式,根据提升应该为wcdma-only
(10)3gprofile
解析:命令[Huawei]apn profile 3gprofile含义是创建APN模板3gprofile,因此此处应该填写3gprofile
(11)100
解析:命令dialer timer idle含义是拨号空闲时间,根据上图拨号方式提升信息所示,应该填写100
案例分析四:
在现有组网方案的基础上,为确保分支机构与总部之间的数据传输安全,配置(12)协议,实现在网络层端对端的(13)
答:(12)IPSec
解析:为确保分支机构与总部自己的额数据传输安全,在网络层实现的应配置IPSec协议
(1) IPSec定义:IPSec (Internet 协议安全)是一个工业标准网络安全协议,为 IP 网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
(2)IPSec有两个基本目标:1)保护IP数据包安全;2)为抵御网络攻击提供防护措施。
(3)IPSec基于一种端对端的安全模式,即对经过的通讯数据进行加密,而掌握数据加解密方法的只有发送端和接收端,网络中其他负责转发的路由器等无须支持IPSec。
(4)IPSec基本原理:两台IPSec计算机在交换数据之前,必须先建立某种约定,这种约定,称为"安全关联(SA)",指双方需要就如何保护信息、交换信息等公用的安全设置达成一致以及安全的交换密钥供连接使用。IKE提供了一种方法供两台计算机建立安全关联(SA)。
① IKE(Internet Key Exchange Protocol)Internet密钥交换协议:
主要负责安全关联SA(Security Associations)的集中化管理和密钥的生成与管理
② SA(Security Associations)安全关联:
定义了计算机间如何使用安全服务(如加密)进行通信,是一条单向的逻辑连接。内容包括采用何种IPSec协议(AH还是ESP )、运行模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口,从而决定了保护什么、如何保护以及谁来保护
(5)IPSec协商过程
IKE使用了两个阶段的ISAKMP(Internet安全关联和密钥管理协议)
(13)数据加密过程
解析:网络层的IPSec协议可以实现端对端的安全认证加密传输
==============================分界线===================================
案例三:
阅读下列说明,回答问题将解答填入答题纸:
某组网拓扑如下图所示,网络接口规划表如下图所示,VLAN规划表如下图所示,网络部分需求如下:
1.交换机SwitchA作为有线终端的网关,同时作为DHCP Server,为无线终端和有线终端分配IP地址,同时配置ACL控制不同用户的访问权限,控制摄像头(camera区域)只能跟DMZ区域服务器互访,无线访客禁止访问业务服务器区和员工有线网络
2.各接入交换机的接口加入VLAN,流量进行二层转发
3.出口防火墙上配置NAT功能,用于公网和私网地址转换,配置安全策略,控制Internet的访问,
例如摄像头流量无需访问外网,但可以和DMZ区域的服务器互访,配置NATServer使得DMZ区的Web服务器开放给公网访
案例分析一:
防火墙的数据规划如下表,补充完整:
备注:防火墙区域说明:防火墙GE1/0/2接口连接DMZ区域,防火墙GE1/0/1接口连接非安全区域,防火墙GE1/0/0接口连接安全区域,srcip表示内网区域
答:(1)10.106.1.1/24
解析:根据题干中“控制摄像头(camera区域)只能跟DMZ区域服务器互访”,根据网络拓扑图知道DMZ区域中只有Web服务器,因此此处填写web服务器的ip地址,查表得到10.106.1.1/24,也可根据untrust_dmz上下文可以看到目的地址即是dmz的地址
(2)any(或者0.0.0.0/0)
解析:trust访问UNtrust区域,也就是内网区域访问外网区域,源地址为内网地址srcip,目的地址为外网所有的地址,即any或者0.0.0.0/0
案例分析二:
补充下表SwitchA的数据规划表内容的空缺项:
答:(3)10.101.1.0 0.0.0.255
解析:根据文中提示无线访客禁止访问业务服务器和员工有线网络“联合第二行进行推断出,目的IP为业务vlan108的ip地址,因此此处源ip填写无线访客vlan101的ip地址:10.101.1.0 0.0.0.255
(4)10.103.1.0 0.0.0.255
解析:根据文中提示无线访客禁止访问业务服务器和员工有线网络“联合第一行进行推断出,源IP为无线访客vlan101的ip地址,因此此处目的IP填写员工有线VLAN103的ip地址:10.103.1.0 0.0.0.255
(5)允许
解析:根据题意“控制摄像头(camera区域)只能跟DMZ区域服务器互访,其他禁止访问”其中10.104.1.0是摄像头业务vlan的ip,10.106.1.0根据查表是防火墙端口GE1/0/2,在端口GE1/0/2上连接的是web服务器,因此此处填写允许
(6)10.104.1.0 0.0.0.255
解析:据题意“控制摄像头(camera区域)只能跟DMZ区域服务器互访,其他禁止访问”和后面的处理动作丢弃,此处应该填写摄像头业务vlan104的ip地址
案例分析三:
补充路由器的数据规划表,如下图所示:
答:(7)10.101.1.0 24
解析:根据路由器数据规划表描述部分,访问访客无线终端的路由,此处目的地址应该是访客vlan的网络地址,即10.101.1.0 24
(8)10.104.1.0 24
解析:根据路由器数据规划表描述部分,访问摄像头的路由,此处目的地址应该是摄像头区域vlan的网络地址,即10.101.1.0 24
(9)10.107.1.2
解析:此处填写SwitchA的缺省路由,此处下一跳是防火墙的GE1/0/0接口,查看网络接口规划表得到防火墙的GE1/0/0接口ip地址为10.107.1.2/24,所以此处填写10.107.1.2
(10)10.100.1.1
解析:此处填写AC控制器的缺省路由,AC控制器和SwitchA的GE0/0/8接口连接,此处的下一跳应该填写SwitchA的GE0/0/8接口IP地址,此接口所属vlan的ip地址是10.100.1.1/24,所以此处填写10.100.1.1(为啥不带/24,看路由表的上下文联系)