网络工程师--网络规划和设计案例分析（8）

案例一：

某园区组网方案如下图所示，数据规划如下表所示，根据下面的图表进行分析：

案例分析一：

以为例配置接入层交换机，补充下列命令片段：

（1）

[]

[]vlan batch（2）

[] 0/0/3

[- 0/0/3]port link-type（3）

[- 0/0/3]port trunk allow-pass vlan 10 20

[- 0/0/3]quit

[] 0/0/1

[- 0/0/1]port link-type （4）

[- 0/0/1]port vlan 10

[- 0/0/1]quit

[]stp bpdu-

答：（1）-view

解析：根据上下文，这是最基础的一条命令，语句的作用是从用户视图进入交换机系统视图，也可写sys

（2）10 20

解析：命令作用是批量创建VLAN，根据题意这是在上进行配置，根据数据规划表所示，包含两个VLAN，即和，故此处填写10 20

（3）trunk

解析：根据命令[- 0/0/3]port trunk allow-pass vlan 10 20可以判断端口链路类型是trunk

（4）

解析：结合命令[- 0/0/1]port vlan 10可判断出接口链路类型为，因为是主机终端电脑，主机和交换机连接都是类型

案例分析二：

以为例配置核心层交换机，创建其与接入交换机、备份设备以及出口路由器的互通VLAN，补充下列命令：

-view

[]

[]vlan batch （5）

[] /0/1

[-/0/1]port link-type trunk

[-/0/1]port trunk allow-pass （6）

[-/0/1]quit

[] 10

[-]ip 192.168.10.1 24

[-]quit

[] 20

[-]ip 192.168.20.1 24

[-]quit

[] /0/7

[-/0/7]port link-type trunk

[-/0/7]port trunk allow-pass

[-/0/7]quit

[] 100

[-]ip （7）

[-]quit

[] /0/5

[-/0/5]port link-type

[-/0/5]port

[-/0/5]quit

[] 300

[-]ip （8）

[-]quit

答：（5）10 20 30 100 300

解析：vlan batch是批量创建vlan命令，根据数据规划表显示的vlan为、、、、；创建如下表所示的vlan即可

（6）VLAN 10 20

解析：通过trunk链路端口/0/1和相连，下面的部门 A和部门B的vlan分别是：和，即的/0/1端口通过和即可

（7）172.16.10.1 24 或者172.16.10.1 255.255.255.0

解析：命令[-]ip 作用是为配置IP地址，根据数据规划表，的地址是172.16.10.1/24,所以这里填写172.16.10.1 24，注意：172.16.10.1 24 和172.16.10.1/24 意思都一样，就是 24是在配置状态用的，/24是计算书写状态用的。如在接口视图下 就是172.16.10.1 24 ，计算路由聚合可以写成192.168.1.129 /24、192.168.1.133/24格式

① VLAN if接口与VLAN端口定义

VLAN端口：它是一个物理端口。通常，我们配置 VLAN 10以使物理接口属于VLAN 10。

VLAN if：接口VLAN是逻辑端口。通常，此接口地址用作VLAN下用户的网关，如接口VLAN 10 IP add 192.168.10.254 255.255.255.0

② VLAN if接口与VLAN端口的区别：

（1）VLAN端口：它是一个物理端口。通常，我们配置 VLAN 10使一个物理接口属于VLAN 10

（2）VLAN if：接口VLAN是一个逻辑端口。通常，这个接口地址被用作VLAN下用户的网关。

③ VLAN if接口与VLAN端口的区别？

VLAN是指虚拟局域网。默认情况下，交换机端口属于一个组（VLAN）。当您要将交换机端口划分为多个组时，需要建立多个VLAN，并将该端口与相应的VLAN相关联，简而言之，端口是VLAN的成员。

④ VLAN和是什么关系？

其全称为虚拟局域网（VLAN）。它的功能是将连接到同一交换机的主机划分成更小的逻辑网段，从而减少广播的数量。不同的VLAN之间无法通信，因此广播仅限于同一服务需求主机的VLAN。即使它们连接到同一个交换机，不同的VLAN也不会接收ARP广播请求！如果他们需要相互通信，他们只能使用路由器或第三层交换机

⑤ 是什么意思？有什么作用？什么情况下用到？

接口是基于VLAN的三层逻辑接口，可以配置IP地址。VLAN划分后，同一VLAN中的用户可以相互通信，但属于不同VLAN的用户不能直接通信。为了实现vlan之间的通信，可以配置逻辑三层接口vlaif接口。

（8）172.16.30.1 24或者172.16.30.1 255.255.255.0

解析：跟上面同理，根据数据规划表查询即可得到IP地址

案例分析三：

如果配置静态路由实现网络互通，补充在和上配置的命令片段：

[]ip route- （9）

[]ip route- 0.0.0.0 0.0.0.0 172.16.30.2 70

[]ip route- （10）

[]ip route- 192.168.10.0 255.255.255.0 172.16.10.1

[]ip route- 192.168.10.0 255.255.255.0 172.16.20.1 70

[]ip route- 192.168.20.0 255.255.255.0 172.16.10.1

[]ip route- 192.168.20.0 255.255.255.0 172.16.20.1 70

答：（9）0.0.0.0 0.0.0.0172.16.10.2

解析：的下一跳为的GE0/0/1接口，GE0/0/1接口的内网接口IP地址为

172.16.10.2 /24

命令ip route-作用是配置静态路由，命令格式如下：

ip route-.0.0.0 0.0.0.0172.16.10.2

（1）第一个0.0.0.0代表所要到达的目的网络

（2）第二个0.0.0.0代表所要到达目的网络的子网掩码

（3）172.16.10.2下一跳的IP地址，即相邻路由器的端口地址

（4）路由的优先级：数值越小优先级越大

①直连路由默认优先级：0

②OSPF默认优先级：10

③静态路由默认优先级：60

④RIP默认优先级：100

⑤BGP默认优先级：255

（10）0.0.0.0 0.0.0.0 202.101.111.1

分析：根据数据规划表，路由器出口需要配置一条缺省路由，用于内网流量转发到，数据规划表显示路由器公网网关地址为：202.101.111.1/30，可知下一跳为202.101.111.1

============================分界线==================================

案例二：

某企业分支与总部组网方案如下图所示，企业分支网络规划如下表所示：

企业分支与总部组网说明：

1.企业分支采用双链路接入，其中ADSL有线链路作为企业分支的主接口，3G/LTE 无线链路作为企业分支的备用接口

2.指定作为企业出口网关，由为企业内网用户分配IP地址

3.在上配置缺省路由，使企业分支内网的流量可以通过xDSL和3G/LTE 无线链路访问

4.企业分支与总部之间的3G/LTE 无线链路采用加密传输

案例分析一：

依据组网方案，为企业分支配置互联网接口板卡，应该在是（1）和（2）单板中选择配置

答（1）xDSL

解析：如上图所示，连接互联网有两条链路：一条连接DSLAM，此设备为局端xDSL设备，因此应填写xDSL

（2）3G/LTE

解析：如上题，连接互联网有两条链路：另外一条连接3G/LTE，此为无线3G线路，因此应填写3G/LTE

案例分析二：

在上配置DHCP服务的命令片段如下所示，请将相关内容补充完整：

[]dhcp

[] 123

[-]dhcp //（3）

[-]quit

[]ip （4）lan

[-ip-pool-lan]-list （5）

[-ip-pool-lan] 192.168.100.0 mask 24

[-ip-pool-lan]quit

答：（3）DHCP启用全局地址池

解析：命令dhcp 含义为DHCP启用全局地址池，知识点记住就行

（4）pool

解析：配置DHCP地址池，应填写pool，或者根据下一条命令[-ip-pool-lan]也可判断，[]意思是在路由器上创建IP地址池，

（5）192.168.100.1

解析：配置地址池的网关，根据下图知道网关地址为192.168.100.1 ，[-ip-pool-lan] 192.168.100.0 mask 24意思是为IP地址池添加IP地址网段

案例分析三：

在配置上行接口的命令如下所示，请将相关内容补充完整：

#配置NAT地址转换

[]acl 3002

[-acl-adv-3002]rule 5 ip 192.168.100.0 0.0.0.255

[-acl-adv-3002]quit

[] - 10 //（6）

[-- 10]ip ppp-

[-- 10]nat （7）

[-- 10]quit

#配置ATM接口

[] atm 1/0/0

[-Atm 1/0/0]pvc voip 1/35

[-atm-pvc-Atm1/0/0-1/35-voip]map ppp - 10

[-atm-pvc-Atm1/0/0-1/35-voip]quit

[-Atm 1/0/0] 0/0/0 //（8）

[-Atm 1/0/0]quit

#配置APN与网络连接方式

[]apn

[-apn--]apn wcdma

[-apn--]quit

[] 0/0/0

[- 0/0/0]mode wcdma （9）

[- 0/0/0] -

[- 0/0/0]apn-（10）

绑定APN模板

[- 0/0/0]

[- 0/0/0]undo

[- 0/0/0]quit

#配置轮询DCC拨号连接

[]-rule

[--rule]-rule 1 ip

[--rule]quit

[] 0/0/0

[- 0/0/0]link- ppp

[- 0/0/0]ip ppp-

[- 0/0/0]-group 1

[- 0/0/0] timer idle （11）

[- 0/0/0] *99#

[- 0/0/0]nat 3002

[- 0/0/0]quit

答：（6）创建虚拟接口模板10

解析：命令 - 10为创建虚拟接口模板10

（7）3002

解析：命令nat 3002意思是NAT转换方向为出口方向，匹配内网流量ACL，应填写3002

（8）配置3G接口为备份接口

解析：命令 0/0/0意思是设置备用接口为CE0/0/0，配置3G接口为备份接口，优先级默认为0

（9）wcdma-only

解析：命令mode wcdma wcdma-only意思是配置的连接方式，根据提升应该为wcdma-only

（10）

解析：命令[]apn 含义是创建APN模板,因此此处应该填写

（11）100

解析：命令 timer idle含义是拨号空闲时间，根据上图拨号方式提升信息所示，应该填写100

案例分析四：

在现有组网方案的基础上，为确保分支机构与总部之间的数据传输安全，配置（12）协议，实现在网络层端对端的（13）

答：（12）IPSec

解析：为确保分支机构与总部自己的额数据传输安全，在网络层实现的应配置IPSec协议

（1） IPSec定义：IPSec ( 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。

（2）IPSec有两个基本目标：1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。

（3）IPSec基于一种端对端的安全模式，即对经过的通讯数据进行加密，而掌握数据加解密方法的只有发送端和接收端，网络中其他负责转发的路由器等无须支持IPSec。

（4）IPSec基本原理：两台IPSec计算机在交换数据之前，必须先建立某种约定，这种约定，称为"安全关联（SA）"，指双方需要就如何保护信息、交换信息等公用的安全设置达成一致以及安全的交换密钥供连接使用。IKE提供了一种方法供两台计算机建立安全关联（SA）。

① IKE（ Key ）密钥交换协议：

主要负责安全关联SA（ ）的集中化管理和密钥的生成与管理

② SA（ ）安全关联：

定义了计算机间如何使用安全服务（如加密）进行通信，是一条单向的逻辑连接。内容包括采用何种IPSec协议（AH还是ESP ）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口，从而决定了保护什么、如何保护以及谁来保护

（5）IPSec协商过程

IKE使用了两个阶段的（安全关联和密钥管理协议）

（13）数据加密过程

解析：网络层的IPSec协议可以实现端对端的安全认证加密传输

==============================分界线===================================

案例三：

阅读下列说明，回答问题将解答填入答题纸：

某组网拓扑如下图所示，网络接口规划表如下图所示，VLAN规划表如下图所示，网络部分需求如下：

1.交换机作为有线终端的网关，同时作为，为无线终端和有线终端分配IP地址，同时配置ACL控制不同用户的访问权限，控制摄像头（区域）只能跟DMZ区域服务器互访，无线访客禁止访问业务服务器区和员工有线网络

2.各接入交换机的接口加入VLAN，流量进行二层转发

3.出口防火墙上配置NAT功能，用于公网和私网地址转换，配置安全策略，控制的访问，

例如摄像头流量无需访问外网，但可以和DMZ区域的服务器互访，配置使得DMZ区的Web服务器开放给公网访

案例分析一：

防火墙的数据规划如下表，补充完整：

备注：防火墙区域说明：防火墙GE1/0/2接口连接DMZ区域，防火墙GE1/0/1接口连接非安全区域，防火墙GE1/0/0接口连接安全区域，srcip表示内网区域

答：（1）10.106.1.1/24

解析：根据题干中“控制摄像头（区域）只能跟DMZ区域服务器互访”，根据网络拓扑图知道DMZ区域中只有Web服务器，因此此处填写web服务器的ip地址，查表得到10.106.1.1/24，也可根据上下文可以看到目的地址即是dmz的地址

（2）any（或者0.0.0.0/0）

解析：trust访问区域，也就是内网区域访问外网区域，源地址为内网地址srcip，目的地址为外网所有的地址，即any或者0.0.0.0/0

案例分析二：

补充下表的数据规划表内容的空缺项：

答：（3）10.101.1.0 0.0.0.255

解析：根据文中提示无线访客禁止访问业务服务器和员工有线网络“联合第二行进行推断出，目的IP为业务的ip地址，因此此处源ip填写无线访客的ip地址：10.101.1.0 0.0.0.255

（4）10.103.1.0 0.0.0.255

解析：根据文中提示无线访客禁止访问业务服务器和员工有线网络“联合第一行进行推断出，源IP为无线访客的ip地址，因此此处目的IP填写员工有线的ip地址：10.103.1.0 0.0.0.255

（5）允许

解析：根据题意“控制摄像头（区域）只能跟DMZ区域服务器互访，其他禁止访问”其中10.104.1.0是摄像头业务vlan的ip，10.106.1.0根据查表是防火墙端口GE1/0/2，在端口GE1/0/2上连接的是web服务器，因此此处填写允许

（6）10.104.1.0 0.0.0.255

解析：据题意“控制摄像头（区域）只能跟DMZ区域服务器互访，其他禁止访问”和后面的处理动作丢弃，此处应该填写摄像头业务的ip地址

案例分析三：

补充路由器的数据规划表，如下图所示：

答：（7）10.101.1.0 24

解析：根据路由器数据规划表描述部分，访问访客无线终端的路由，此处目的地址应该是访客vlan的网络地址，即10.101.1.0 24

（8）10.104.1.0 24

解析：根据路由器数据规划表描述部分，访问摄像头的路由，此处目的地址应该是摄像头区域vlan的网络地址，即10.101.1.0 24

（9）10.107.1.2

解析：此处填写的缺省路由，此处下一跳是防火墙的GE1/0/0接口，查看网络接口规划表得到防火墙的GE1/0/0接口ip地址为10.107.1.2/24，所以此处填写10.107.1.2

（10）10.100.1.1

解析：此处填写AC控制器的缺省路由，AC控制器和的GE0/0/8接口连接，此处的下一跳应该填写的GE0/0/8接口IP地址，此接口所属vlan的ip地址是10.100.1.1/24，所以此处填写10.100.1.1（为啥不带/24，看路由表的上下文联系）