培训以及相关资料,点私信即可
模块二:网络建设与调试
任务背景描述:
某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。
集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。
注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。
网络拓扑图及IP 地址表:
- 网络拓扑图
- 网络设备 IP 地址分配表
设备名称 | 设备接口 | IP 地址 |
SW-Core | Loopback1 ospfv2 ospfv3 bgp | 10.10.1.1/32 2002:10:10:1::1/128 |
Vlan1 | 192.168.1.2/24 | |
Vlan2 | 192.168.2.1/24 | |
Vlan10 | 10.10.10.1/24 2002:10:10:10::1/64 | |
Vlan20 | 10.10.20.1/24 2002:10:10:20::1/64 | |
Vlan30 | 10.10.30.1/24 2002:10:10:30::1/64 | |
Vlan40 | 10.10.40.1/24 2002:10:10:40::1/64 | |
Vlan50 | 10.10.50.1/24 2002:10:10:50::1/64 | |
Vlan100 | 192.168.100.1/24 | |
Vlan1000 | 10.10.255.1/30 | |
Vlan1001 | 10.10.255.5/30 2001:10:10:255::5/127 | |
Vlan1002 | 10.10.255.9/30 | |
SW3 | Vlan1 | 192.168.1.1/24 |
SW3 模拟 Internet | Vlan1004 | 200.200.200.1/30 |
Vlan1003 | 200.200.200.5/30 | |
AC1 | Loopback1 rip | 10.10.4.1/32 |
Vlan1001 | 10.10.255.14/30 | |
RT1 | Loopback1 ospfv2 ospfv3 bgp mpls | 10.10.5.1/32 2001:10:10:5::1/128 |
Loopback3 vpn 财务 | 10.10.5.3/32 2002:10:10:5::3/128 | |
G0/0 | 10.10.255.21/30 | |
G0/2 | 10.10.255.6/30 2001:10:10:255::4/127 | |
G0/3 | 10.10.255.10/30 | |
S1/0 | 10.10.255.25/30 2001:10:10:255::/127 | |
S1/1 | 10.10.255.29/30 2001:10:10:255::A/127 | |
RT2 | Loopback1 ospfv2 ospfv3 bgp mpls | 10.10.6.1/32 2002:10:10:6::1/128 |
Loopback2 isis | 10.10.6.2/32 2002:10:10:6::2/128 | |
Loopback3 vpn 财务 | 10.10.6.3/32 2002:10:10:6::3/128 | |
G0/0 | 10.10.255.22/30 | |
G0/2 | 10.10.255.18/30 | |
G0/3.131 | 10.10.31.1/24 2002:10:10:31::1/64 | |
G0/3.132 | 10.10.32.1/24 2002:10:10:32::1/64 | |
G0/3.133 | 10.10.33.1/24 2002:10:10:33::1/64 | |
G0/3.134 | 10.10.34.1/24 2002:10:10:34::1/64 | |
G0/3.135 | 10.10.35.1/24 2002:10:10:35::1/64 | |
S1/0 | 10.10.255.30/30 2001:10:10:255::B/127 | |
S1/1 | 10.10.255.26/30 2001:10:10:255::1/127 | |
FW1 | Loopback1 ospfv2 ospfv3 trust | 10.10.7.1/32 2002:10:10:7::1/128 |
Loopback2 rip trust | 10.10.7.2/32 | |
Loopback4 trust | 10.10.7.4/32 | |
Tunnel1 ipsecvpn untrust | 1.1.1.1/30 | |
Tunnel4 VPNHUB | 10.10.255.49/30 | |
E0/1 dmz | 10.10.255.13/30 | |
E0/2 trust | 10.10.255.2/30 | |
E0/3 trust | 10.10.255.2/30 | |
E0/4 untrust | 200.200.200.2/30 | |
FW2 | Tunnel1 ipsecvpn untrust | 1.1.1.2/30 |
Tunnel4 VPNHUB | 10.10.255.50/30 | |
Loopback2 trust | 10.10.8.2/32 2002:10:10:8::2/128 | |
Loopback4 trust | 10.10.8.4/32 | |
E0/2 trust | 10.10.255.17/30 | |
E0/3 untrust | 200.200.200.6/30 | |
Vlan130 无线管理 | 10.10.130.1/24 2002:10:10:130::1/64 | |
Vlan140 无线 2.4G 产品 | 10.10.140.1/24 2002:10:10:140::1/64 | |
Vlan150 无线 5G 营销 | 10.10.150.1/24 2002:10:10:150::1/64 |
(一)工程统筹(本题共 15 分)
- 职业素养
(1)整理赛位,工具、设备归位,保持赛后整洁序。
(2)无因选手原因导致设备损坏。
(3)恢复调试现场,保证网络和系统安全运行。
- 网络布线
(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。
(二)交换配置(本题共 120 分)
- 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。
(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。
(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。
(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:1.1.1.1/30,SW-2 BFD MAD接口IP地址为:1.1.1.2/30,配置VSF链路down延迟上报时间为0.5s。
- 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。
设备 | Vlan 编号 | 端口 | 说明 |
SW-Core | Vlan10 | E1/0/11;E16/0/11 | 产品 1 段 |
Vlan20 | E1/0/12;E16/0/11 | 营销 1 段 | |
Vlan30 | E1/0/13;E16/0/11 | 法务 1 段 | |
Vlan40 | E1/0/14;E16/0/11 | 人力 1 段 | |
Vlan50 | E1/0/15;E16/0/11 | 财务 1 段 | |
SW3 | Vlan10 | E1/0/1 | 产品 1 段 |
Vlan20 | E1/0/2 | 营销 1 段 | |
Vlan30 | E1/0/3 | 法务 1 段 | |
Vlan40 | E1/0/4 | 人力 1 段 | |
Vlan50 | E1/0/5 | 人力 1 段 |
- 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP 协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。
- 为方便后续验证与测试,将SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。
设备 | Vlan 编号 | 端口 | 说明 |
SW3 | Vlan31 | E1/0/11 | 产品 3 段 |
Vlan32 | E1/0/12 | 营销 3 段 | |
Vlan33 | E1/0/13 | 法务 3 段 | |
Vlan34 | E1/0/14 | 人力 3 段 | |
Vlan35 | E1/0/15 | 财务 3 段 |
- 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。
- 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。
- 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。
- 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。