本up会分享所有期末考试系列的最终效果,所有作品都是up纯手工制作,知识付费,先到先得,拒绝白嫖!博客私信即可
网络构建需求
1、按照上图所示规划VLAN和子网,所有服务器采用固定IP地址,如有规定IP地址请使用规定IP地址,如没有规定的请自行如下规划:末节网络最大可用地址为网关,最小可用地址依次分配给PC机使用或由DHCP服务器分配。
2、总公司A的Sw1,Sw2,Sw3,Sw4,其中Sw1,Sw2为三层交换机、Sw3,Sw4为二层交换机,按照拓扑图做进行VLAN划分。接入终端设备的VLAN(2-6)和交换机管理VLAN(66)使用最大可用地址作为网关,网关都配置在Sw1,Sw2上。4台交换机都配置GVRP的Normal模式,实现VLAN的动态统一部署。
3、总公司A的Sw1、Sw2之间链路部署链路聚合技术
链路聚合采用LACP,保留1条线路为备份线路;
4、总公司A内部的所有交换机配置多生成树协议MSTP,MSTP的区域名字为net-xxx。在Sw1-Sw4设备上创建二个生成树新实例,将VLAN 2、VLAN 4、vlan 7、VLAN 66加入实例1,VLAN 3、VLAN 5、VLAN6、vlan 8加入实例2;在Sw1设备上设置为实例1的根桥,实例2的备份根桥,在Sw2设备上设置为实例1的备份根桥,实例2的根桥,以实现网络负载均衡机制;接入层交换机Sw3、Sw4连接终端的接口设置为边缘端口,加快转发流量的速率。
5、总公司A内部在Sw1、Sw2设备上配置vrrp协议,提高网络的稳定性,可用性,采用主备模式,统一虚拟网关为10.xxx.2.254/24-10.xxx.5.254/24,Sw1设备作为VLAN2,VLAN 4 的主网关,VLAN 3、VLAN5 的备网关,Sw2设备作为VLAN3、VLAN5的主网关,VLAN2、VLAN4的备网关。
6、总公司A在Sw1、Sw2上适当调整抢占时延参数,避免主备网关频繁切换造成二次网络中断影响;跟踪上行接口,当监测到上行链路出现故障时减低优先级,从而进行主备切换,解决次优路径问题。
7、总公司A内部部署集中式主DHCP服务器为AR1。需要向财务部,业务部,车间部,技术部下发正确的IP地址、网关、掩码、dns服务器等信息。在Sw1、Sw2上做DHCP中继,AR1上配置一条默认路由,保障与客户端的连通信。在交换机Sw4上配置DHCP snooping功能,拒绝非法DHCP服务器接入;
8、总公司A内部使用动态路由协议OSPF(包括3层交换机),解决路由问题,注意AR0上不能将外网网段202.xxx.17.0/24宣告进ospf里,并在AR0上部署默认路由,同时通过ospf下发一条默认路由。
9、总公司A的路由器AR0,开启ssh功能,只允许vlan 5的用户进行远程登陆,其他的用户应远程登录不上这台路由器。(新建一个服务类型为stelnet的用户,用户名为:姓名首字母拼音-xxx,密码同用户名;)
10、拓扑上AR2-AR5模拟Internet路由器,使用OSPF解决路由问题
11、AR6上配置静态NAT,把WEB服务器、DNS服务器对外提供服务,服务器1(DNS)对外映射的公网地址为202.1.56.53;服务器2只对外发布Web服务,对外映射的公网地址为202.1.56.80;在DNS服务器1上添加域名(www.net-xxx.com)与WEB服务器1的公网地址的资源记录。
12、总公司A的路由器AR0上运行NAT技术,实现内部vlan2-vlan5的用户访问外网时,转化地址池为202.1.17.10/24-202.1.17.15/24。实现总公司A的内部用户访问www.qq.com、www.google.cn
13、分公司B的Sw6做三层交换、每个VLAN使用10.xxx.yyy.254作为网关,yyy为VLAN号。分公司B内部使用动态路由协议OSPF(AR7、Sw6、AC1),解决路由问题,注意R8上不能将外网网段202.xxx.28.0/29宣告进ospf里,并在AR7上部署默认路由,并通过ospf强制下发一条默认路由。
14、分公司B部署无线网络,组网方式为旁挂三层组网,具体的数据规划如下
(1)域管理模板:模板名字为:姓名拼音首字母,国家代码:CN
(2)AP认证方式:mac-auth
(3)AP组:组名为“姓名拼音首字母-xxx”
(4)AC的管理VLAN:VLAN 100,AP的管理VLAN:VLAN 101、
(5)SSID模板:模板名称:ssm-guest-xxx SSID名称:guest-xxx
模板名称:ssm-net-xxx SSID名称:net-xxx
(6)安全模板:模板名称:secm-open-xxx 安全策略:open;
模板名称:secm-wpa2-xxx 安全策略:WPA2,密码为1qaz2wsx
(7)VAP模板:名称:vapm1-xxx 转发模式:隧道转发 业务VLAN:102
引用模板:SSID模板ssm-guest-xxx、安全模板secm-open-xxx
名称:vapm2-xxx 转发模式:直接转发 业务VLAN:103
引用模板:SSID模板ssm-net-xxx 、安全模板secm-wpa2-xxx
- 在AC上开启DHCP服务,并为STA和AP分配IP地址
实现AP上线、WLAN业务下发、WLAN客户端成功获取到IP地址等参数。
15、分公司B的路由器R8使用Easy-ip技术,实现内部无线用户和有线用户都能访问到Internet上的www.net-xxx.com。
16、使用GRE技术,实现总公司A与分公司B内部局域网互联互通。并通过OSPF路由协议实现总公司A与分公司B内部局域网的路由。使得总公司A和分公司B的技术部可以直接使用私网地址通信。此时,总公司A与分公司B访问Internet的通信不受影响。
17、为了实现总公司A与分公司B通信流量的安全性,使用IPsec技术对GRE流量进行一个加密封装
IKE协商策略如下:
认证方式:预共享密钥,key为net21-xxx
加密:AES(256位)
哈希:MD5
DH组:GROUP 5
对GRE隧道传输数据进行加密和完整性校验:使用ESP-AES(256)进行加密,使用ESP-sha2(256)进行完整性校验。
18、总公司A在Sw1、Sw2设备上采用MQC方式限制vlan2与vlan4的通信;(有时间选做,加分)
注意:补全拓扑图上的空缺信息。然后截图到网络拓扑图。请把关键配置命令填写到设备配置,把需求效果截图复制到结果截图。注意页面的排版要简洁明了。
答案:
1、PC1、PC2、PC3、STA1和STA2上输入 ipconfig,检查DHCP分配是否成功,并完成输出截图;
2、PC1 ping 通 PC2、PC3、PC4、PC5、Server1、STA1、STA2,并完成输出截图;
3、STA1 ping通 STA2、PC4、PC5、Server1,并完成输出截图
4、Client1、Client2能通过浏览器成功访问www.net-xxx.com,并完成下载网站网页弹框的截图
5、在Sw1和Sw2上输入 display stp brief,检查MSTP的实例1、2的根桥是否设置成功,并完成输出截图;
6、在Sw1和Sw2上输入 display vrrp brief,检查VLAN2-5的Master和Backup是否成功,并完成输出截图;
7、确定Sw1和Sw2谁是LACP的主控设备,在主控设备上输入“display eth-trunk 编号”,检查LACP是否成功,并完成输出截图;
8、在AR0、Sw1、Sw5上输入 display ip routing-table | ex /32,检查是否有所有的15个VLAN的路由,并完成输出截图;
9、在AC1上输入display ap all,检查是否有两个AP上线且Nor状态,并完成输出结果截图;
10、在STA1和STA2上检查VAP列表中是否出现了guest-xxx和net-xxx的SSID,并完成输出结果截图;
11、在AR1上输入 display ike sa 和 display ipsec sa brief,检查是否与AR7创建了IKE和IPSec的安全关联;
12、验证只有VLAN 5的设备能SSH远程登录到AR0,并进入AR0的系统视图;VLAN 66的设备不能远程登录到AR0;