2016年華為網絡技術精英大賽複賽試題

1 實驗考試說明

100分。   

150分鐘内完成本考試的所有内容。

實驗中請根據題幹要求完成相應題目。題幹中沒有明确要求的名稱，請一律使用“huawei”，沒有明确要求的編号，請一律使用編号可用範圍内的最小值。如：某模闆需要命名及編号，且此時可用最小編号為1，則命名為“huawei”，編号為1。

2 實驗場景介紹

    實驗拓撲圖如圖2-1所示。

圖2-1實驗拓撲圖

    實驗所用裝置情況如下：

    2台USG5500防火牆，1台AR2200路由器，2台S5700交換機，1台S3700交換機，一台AC6005無線控制器，一台AP6010無線接入點，2台PC有線終端，1台Station無線終端。以下為了友善，簡稱FW1-FW2，AR1，SW1-SW3，AC1，AP1，PC1，PC2，Station。

IP位址規劃表請見表2-1：

場景說明：

    某公司業務擴充，準備搬遷至建立園區，鑒于之前業務量小，并沒有對網絡擴充性方面有過多的考慮，是以現有網絡已經不适合公司目前的情況，需要在新的園區對公司的業務網絡做新的規劃。

首先，該公司對安全性方面要求較高，要求所有出入流量必須經過防火牆，配置過濾和内容檢測，是以需要在内網的出口直連部署防火牆，并且由于業務重要，網絡中斷幾乎不可接受，為防止單點故障，需要兩台防火牆部署雙機熱備。

其次，公司内部有線網絡布置到每一個工位，并且由于部分員工配置了筆記本電腦，有移動辦公的需求，是以公司内部的無線網絡同樣必不可少。

該拓撲中，雙出口連接配接外網。其中FW1和FW2為企業邊界防火牆，AR1為公網裝置，SW1、SW2與SW3組成園區網核心和有線接入，AC1和AP1組成内部無線接入網，PC1為園區網内有線終端裝置，Station為園區内無線終端裝置，PC2作為公網使用者。所有的有線終端都是手動配置IP位址及網關。

3 考試題目

3.1 路由交換部分 62 Points

3.1.1 鍊路聚合 5 Points

    為了保證SW1和SW2之間的鍊路可靠性，請通過靜态LACP方式實作鍊路聚合，SW1為主裝置，優先級為100，最大活動鍊路數為2。

3.1.2 VLAN  22 Points

    在所有交換機和AC1上配置所有用到的VLAN，見下文。

    PC1歸屬企業網業務網段，屬VLAN 100，通過SW3 Access有線接入。

    Station歸屬企業網業務網段，屬VLAN 200，通過AP無線接入。

    VLAN 300為WLAN管理VLAN。

    SW1和SW2之間通過VLANif 3互聯。

    SW1連接配接出口防火牆FW1，SW1通過VLANif 2接口與FW1的GE1/0/3相連，SW1的GE0/0/3接口類型設定為Access。

    SW2連接配接出口防火牆FW2，SW2通過VLANif 2接口與FW2的GE1/0/3相連，SW2的GE0/0/3接口類型設定為Access。

    SW1與SW2之間鍊路為Trunk，允許所有業務VLAN、管理VLAN和互聯VLAN通過。

    SW1、SW2與SW3之間的鍊路為Trunk，允許所有業務VLAN和管理VLAN通過。

    SW1、SW2與AC1之間鍊路為Trunk，隻允許無線業務VLAN和管理VLAN通過。

3.1.3 STP  7 Points

    為了防止SW1、SW2、SW3和AC1之間出現環路需要配置STP協定。

    STP模式為MSTP。

    要求全部VLAN都屬于Instance 0。

    要求Instance 0中以SW1為根橋，優先級為0，SW2的優先級為4096。

    要求SW3的Ethernet 0/0/1和Ethernet0/0/2端口，在連接配接網線後立即就可以通路網絡。并且開啟BPDU保護，防止該接口因接收BPDU而造成網絡震蕩。

3.1.4 IP Addressing   12 Points

    請按照圖2-1和表2-1給出的位址資訊配置網絡裝置的IP位址。

3.1.5 OSPF                   12 Points  

    FW1、FW2、SW1、SW2之間運作OSPF，配置OSPF程序号為1。

    FW1和FW2的GE0/0/2、GE0/0/3口都宣告進區域0，要求宣告時使用Network精确宣告。

    SW1和SW2的VLANif2、VLANif3、VLANif100和VLANif200都宣告進區域0，要求宣告時使用Network精确宣告。

    禁止在業務網段傳播OSPF封包。

    FW1和FW2通過非強制下發的方式對内網下發預設路由，FW2下發時将Cost改為100。

    為保證流量流向最優，請在FW1和FW2的GE0/0/2接口下調整OSPF Cost為50。

3.1.6 VRRP                   4 Points

    為了保證業務網段的可靠性，要求在兩個業務網段分别使用VRRP技術。

    VLAN 100使用VRRP備份組1，VRRP備份組虛拟IP位址為10.1.100.254，VLAN 200使用VRRP備份組1，VRRP備份組虛拟IP位址為10.1.200.254。

    SW1為有線接入業務的主用網關，優先級為120，當它出現故障時，SW2能夠快速接替SW1的工作。

    SW2為無線接入業務的主用網關，優先級為120，當它出現故障時，SW1能夠快速接替SW2的工作。

3.2 安全部分                   19 Points

3.2.1 安全區域               4 Points

    請按照圖2-1劃分安全區域，并将接口加入所對應的安全區域。

    其中内網在Trust區域，外網在Untrust區域。

3.2.2 安全政策              3 Points

    為實作業務網段通路的暢通無阻，請配置安全政策放通需要經過防火牆的網段，防火牆隻允許開啟業務網段的安全政策，禁止修改防火牆預設的過濾政策。

    配置時請遵循最小放通原則，隻使用一條政策，允許兩個源業務網段通過，目的為PC2，比對時使用反掩碼，不得使用位址集。

3.2.3 NAT                   3 Points

    為實作内網有線使用者和無線使用者能夠通路外網，請在防火牆上配置NAT政策，使用EASY IP，同樣，隻使用一條政策，精确比對兩個源業務網段，目的為PC2，比對時使用反掩碼，不得使用位址集。

3.2.4 雙機熱備             7 Points

    在FW1和FW2之間使用防火牆雙機熱備技術保證業務穩定性，使用主備模式，FW1為主，FW2為備，在Trust區域和Untrust區域檢測鍊路，使預設情況下，所有業務通過FW1通路外網。GE0/0/2所連接配接的鍊路為帶内心跳鍊路，會話備份方式為快速備份。

3.2.5 靜态路由             2 Points

    兩台防火牆通路公網的流量通過查詢預設路由來轉發，預設路由的下一跳為防火牆與營運商相連的營運商裝置接口位址。

3.3 WLAN部分                  19 Points

3.3.1 DHCP                  4 Points

    在VLANif 300接口下配置AP所在的管理網段的DHCP服務，選擇接口模式，所有的AP都通過該DHCP擷取IP位址。

在VLANif 200接口下配置Station所在的業務網段的DHCP服務，選擇全局模式，全局位址池名為huawei，網關和DNS都是10.1.200.254，排除10.1.200.201以上的位址，包括10.1.200.201，所有無線終端都通過該DHCP擷取IP位址。

3.3.2 AP上線               

    請配置WLAN源為管理VLAN的VLANif接口，認證模式為MAC位址認證。

SW3上連接配接AP的接口類型為Trunk。

3.3.3 配置及下發            12 Points

    實作基本的WLAN二層組網，VLAN 200為業務VLAN，VLAN 300為管理VLAN。

    所有名稱都是huawei，ID号為最小編号，否則不得分。

    Wlan-Ess接口的類型為hybrid。

    射頻使用2.4G，模式為802.11bgn。

    加密方式wep40，共享秘鑰，密碼為明文12345。