经典企业园区网建设方案，本课程为 https://edu.51cto.com/course/18205.html 从零基础到中型企业网络实战全方向网工课程QCNA（HCIA+CCNA）的结课考察内容，即全方向网工初中级综合实战测试。

方便学员对自己的学习成果进行测试，同时综合实施一个基础的企业网络，使得您对网络的认识进一步提升。

整体上氛围了4大部分，具体需求如下：

1.网络架构规划设计

图1

1.1规划说明

如图1实现一个典型的企业网，其中AS1（包含R1、SW1、SW2和SW3）为企业主园区网络，AS2为企业分支网络，云部分代表互联网设备（8.8.8.8）。读者需要完成AS1和AS2基本的网络功能，可以访问互联网（8.8.8.8）以及通过GRE ×××使得位于两个AS的终端实现跨越广域网的通信

1.2 整体架构设计

在AS1中，R1作为企业网关出口，负责接入互联网以及同R3的×××互联，同时作为AS内部的核心路由器；SW1和SW2作为AS1的汇聚层交换机，其上的SVI接口如图1所示；SW3作为接入层交换机。
在AS2中，R3作为该分支网络的网关出口，由于分支机构人员较少，在AS2中仅仅有一台SW4作为接入2层交换机，连接了终端设备和路由器

1.3 整体要求

请按照拓扑中IP地址规划和实施网络，在两个AS中，每个AS最多出现一条静态路由
总分60分，得分40分以上可以学习NP和IE课程，低于36分建议重修QCNA课程

2.交换网络部分（17分）

交换网络是一个园区网的重点内容，请先实施2层网络，然后再进行3层网络和其他特性的调整
2.1 VLAN规划和接入（2分）
Sw1-e0/1 VLAN11
Sw2-e0/2 VLAN12
Sw3-e0/0 VLAN8
Sw3-e0/1 VLAN9
Sw3-e0/2 VLAN10
Sw4-e0/1 VLAN20
Sw4-e0/2 VLAN30
表1

 在AS1中的交换机上创建VLAN8、9、10、11、12、99；
 在AS2中的交换机上创建VLAN20和30.按照表1进行VLAN的接入

2.2 实施Trunk封装（3分）

 在AS1内交换机互联接口实施标准封装格式的Trunk链路；
 AS1内所有Trunk上允许除了VLAN1之外的所有VLAN通过，同时所有VLAN的流量必须携带TAG
 在AS2内的交换机上实施Trunk，安全期间仅仅允许对应VLAN通过

2.3实施生成树协议（6分）

 在AS1和AS2内实施802.1s的生成树
 SW1在实例1中具有成为VLAN8、10、11的根的最大可能性，同时SW1是其他VLAN（实例2）的备份根
 SW2反之，即成为VLAN8、10、11的备份根，成为其他VLAN的主根
 区域名为ender，修订版本号为1
 在SW1，SW2和SW3各个设备上，仅仅使用一条命令，使得连接终端的接口可以快速进入转发状态
 在SW4的接口下配置命令，使得连接其他设备的接口快速进入转发状态
 为了保护交换网络，在接入层交换机（SW3、SW4）上，一旦收到非法的BPDU关闭接口

2.4 实施以太聚合链路（2分）

 为了保证汇聚交换机之间拥有足够的带宽，在汇聚交换机之间实施手工模式的以太链路聚合
 以太链路聚合使用基于源目IP的负载分担方式

2.5 2层网络向3层网络过渡（4分）

图2
 如图2所示，请在所有路由器上配置IP地址，保证路由器之间，路由器和交换机之间的直连IP地址通信
 如图2所示，请在所有交换机上配置IP地址，保证路由器之间，路由器和交换机之间的直连IP地址通信

3.路由部分（20分）

3.1 搭建AS2内部网络（3分）

 如图2，配置PC3 的IP地址，配置正确的网关
 如图2，配置S2的 IP地址，配置正确的网关
 配置R3，保证PC3和S2通信

3.2 搭建AS1内部网络（5分）

图3
 如图3所示，在AS1内部实施OSPF多区域（area0和area1）网络，进程号为110
 配置设备的OSPF路由器ID，分别为0.0.0.1,0.0.0.2和0.0.0.3
 R1的环回接口0（请自行创建，地址11.1.1.1/32）运行在区域0
 AS1内其他接口都运行在area1中，请实施对应的接口
 确保AS1内所有主机（包含11.1.1.1）相互之间实现通信

3.3 网络边界的实施（6分）

 AS1的网关设备配置2条默认路由，下一跳为运营商地址，请使用以太链路作为主路径
 AS2的网关设备配置默认路由，下一跳为运营商地址
 保证R1和R3可以和8.8.8.8通信
 保证R1和R3可以相互通信
 确保PC1和PC3可以发送数据到8.8.8.8（并不一定ping通）

3.4 总部和分支网络通信（6分）

图4
 如图4所示，AS1和AS2之间实施IP协议47，两个网关设备的地址配置为10.1.13.1/30和10.1.13.2/30
 请保证两个隧道地址可以实现通信
 R1配置BGP，其AS号码为1,R3配置BGP，其AS号码为2，使用隧道地址建立eBGP邻居
 在R1上产生来自AS1内部的BGP路由，这些路由的起源代码为?
 在R3上产生AS2的BGP路由，这些路由的起源代码为i
 在BGP实施完毕之后，保证所有的PC和服务器之间可以通信

4.互联网接入和网络安全（23分）

4.1 VRRP协议（6分）

 SW1响应vlan8、10中的终端的ARP请求，作为vlan9的backup
 SW2响应vlan9中的终端的ARP请求，作为vlan8、10的backup
 Master设备都追踪上行链路，如果失效则进行主备切换

4.2 接入层交换机调整（6分）

 SW3的管理IP：vlan 99=10.1.99.99/24，SW2：vlan99=10.1.99.254/24使其仅可以被Telnet协议远程管理
 使用端口号为23的协议进行远程管理，SW3仅仅允许10.1.0.0/16和202.100.1.0/30的网络进行管理
 管理SW3的用户名为qytang，密码为qytang123, 无法通过配置直接看到该密码

4.3 SW3的安全措施（6分）

 为了防止客户私自接入其他非授权设备，在接入设备SW3做相应实施
 接口最多允许接入2台设备
 如果出现违规行为，并不关闭接口
 安全MAC必须以stick的方式实施，用以方便排除故障

4.4 NAT接入互联网（5分）

 业务网络VLAN8、9、10的用户可以访问互联网
 互联网设备可以远程通过telnet 1234端口来管理SW3
 远程管理成功，必须显示管理日志（一次性行为）