文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
在总部交换机S2、S3上配置MSTP防止二层环路;要求所有数据流经过S2转发,S2失效时经过S3转发。所配置的参数要求如下:
? region-name为ruijie; ? revision版本为1; ? 实例值为1;
? S2作为实例中的主根, S3作为实例中的从根。
? 在S2和S3上配置VRRP,实现主机的网关冗余。所配置的参数要求如表1-11。
表1-11 S2和S3的VRRP参数表
VLAN VLAN10 VLAN20 VLAN30 VLAN40 VLAN50 VLAN100(交换机间) VRRP备份组号(VRID) 10 20 30 40 50 100 VRRP虚拟IP 192.xx.10.254 192.xx.20.254 192.xx.30.254 192.xx.40.254 192.xx.50.254 192.xx.100.254 ? S2作为所有主机的实际网关,S3作为所有主机的备份网关;其中各VRRP组中高优先级设置为150,低优先级设置为120。
3. DHCP中继与安全
在交换机S2、S3上配置DHCP中继,对VLAN10以内的用户进行中继,使得总部PC1用户使用DHCP Relay方式获取IP地址。具体要求如下:
? DHCP服务器搭建于R2上;
? 为了防止DHCP服务器欺骗及用户私设静态IP地址,在S1交换机部署DHCP Snooping功能。 4. 网络设备虚拟化
两台核心交换机通过VSU虚拟化为一台设备进行管理,从而实现高可靠性。当任意交换机或板卡故障时,都能保障能够实现设备、链路切换,保护客户业务。
- 16 -文档收集于互联网,如有不妥请联系删除.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
? 规划S4和S5间的Te0/29-30端口作为VSL链路,使用VSU技术实现网络设备虚拟化。其中S4为主,S5为备;
? 规划S4和S5间的Gi0/2端口作为双主机检测链路,配置基于BFD的双主机检,当VSL的所有物理链路都异常断开时,备机会切换成主机,从而保障网络正常;
? 主设备:Domain id:1,switch id:1,priority 200, description: S6000C-48GT4XS-E-1;
? 备设备:Domain id:1,switch id:2,priority 150, description: S6000C-48GT4XS-E-2。 5. 路由协议部署
因历史原因,总部使用静态路由、OSPF多协议组网。其中S2、S3、S4、S5、R2、R3使用OSPF协议,R2、R3与总部出口网关及分部R1间使用静态路由协议,分部使用静态路由协议。要求网络具有安全性、稳定性。具体要求如下:
? OSPF进程号为10,规划多区域0(S2、S3、R2、R3)、区域1(S4、S5、R2、R3);
? R2、R3互联链路规划入区域0; ? 要求业务网段中不出现协议报文; ? 要求所有路由协议都发布具体网段; ? 为了管理方便,需要发布Loopback地址; ? 优化OSPF相关配置,以尽量加快OSPF收敛; ? 重发布路由进OSPF中使用类型1;
? 采用浮动静态路由,主静态路由优先级为10,备份静态路由优先级为100。
6. 广域网链路配置与安全部署
总部路由器与分部路由器间属于广域网链路,其中R1-R2间所租用线路带宽为2M,R1-R3间所租用线路带宽为1M。R2-R3间线路带宽为2M。总部路由器与分部路由器间属于广域网链路。需要使用PPP进行安全保护。PPP的具体要求如下:
- 17 -文档收集于互联网,如有不妥请联系删除.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
? 使用CHAP协议;
? 单向认证,用户名+验证口令方式,R1为认证客户端,R2、R3为认证服务端;
? 用户名和密码均为ruijie。 7. 路由选路部署
考虑到从分部到总部有两条广域网线路,且其带宽不一样。所以规划R1-R2间为主线路,R1-R3间为备线路。另外总部局域网到互联网数据,经规划R2-EG1为主线路,R3-EG1为备线路。根据以上需求,在路由器上进行合理的路由协议配置。具体要求如下: ? 修改链路或接口开销COST值,且其值必须为5或10; ? 总部用户区与互联网互通主路径规划为:S1-S2-R2-EG1; ? 总部与分部互通主路径为:S1-S2-R2-R1或(S4/S5)-R2-R1; ? 主链路故障可无缝切换到备用链路上; ? 要求来回数据流一致。 8. PBR配置与部署
考虑到分部到总部间有2条广域网线路,为合理利用带宽,规划从分部去往总部的SSH数据通过R1-R2的线路转发,从分部去往总部的WEB数据通过R1-R3的线路转发。为达到上述目的,采用PBR来实现。具体要求如下:
? Route-map策略名为fenliu;
? 分部去往总部的SSH数据由ACL101来定义; ? 分部去往总部的WEB数据由ACL102来定义。 9. QoS部署
为了防止大量用户不断突发的数据导致网络拥挤,必须对接入的用户流量加以限制。所配置的参数要求如下
? 总部设备S1的Gi0/1至Gi0/16接口处方向设置接口限速,限速10M/S;
- 18 -文档收集于互联网,如有不妥请联系删除.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
? 分部设备R1做流量监管,G0/0接口对接收的报文进行流量控制,下行报文流量不能超过1Mbps,如果超过流量限制则将违规报文丢弃。
模块四:移动互联网搭建与网络优化
为满足“互联网+”时代下,员工移动办公的发展趋势,公司总部与分部均需要规划和部署移动互联无线网络,同时为保证无线用户安全、可靠的访问互联网,我们需要进行无线网络安全及性能优化配置,确保员工有良好的上网体验。 1. 无线网络基础部署
? 使用AC为总部无线用户DHCP 服务器,使用(S2/S3)为总部AP的DHCP 服务器,S2分配地址范围为其网段的1至100,S3分配地址为其网段的101至200。使用S6为分部无线用户与AP DHCP服务器,为其终端自动分配地址;
? 创建总部 SSID 为 Ruijie-ZB_XX(XX代表工位号),AP-Group为ZB,总部无线用户关联SSID后可自动获取地址;
? 创建分部 SSID 为 Ruijie-FB_XX(XX代表工位号),AP-Group为FB,分部无线用户关联SSID后可自动获取地址; ? 调整信道使得总部AP间信道不冲突。 2. AC热备部署
? AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去连接时能无缝切换至AC2并提供服务。 3. 无线安全部署 具体配置参数如下:
? 无线用户接入无线网络时需要采用基于 WPA2 加密方式,其口令为 XXX(现场提供);
? 为避免无线网络被非法用户通过SSID搜索到,并建立非法连接,需要禁用AP广播SSID,隐藏无线SSID;
- 19 -文档收集于互联网,如有不妥请联系删除.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
? 为了防御无线局域网ARP欺骗影响用户上网体验,配置总部无线环境ARP欺骗防御功能。 4. 无线性能优化
? 关闭低速率(1M,6M)应用接入;
? 设备总部无线用户启用集中转发模式,各分公司无线用户启用本地转发模式。
- 20 -文档收集于互联网,如有不妥请联系删除.
“2018年安徽省职业院校技能大赛”高职组“计算机网络应用”赛项样题
