华为eNSP防火墙综合网络结构训练.docx

RUNNING123!2025-09-03 18:28

1.IP及VLAN规划情况

|------|-----------|--------------------|------|-----------------|
| 设备 | 接口 | IP | vlan | 备注 |
| AR1 | g0/0/0 | 1.1.1.2/28 | | PPPOE |
| AR1 | g0/0/1 | 3.3.3.1/30 | | |
| AR1 | g0/0/2 | 114.114.114.254/24 | | |
| AR2 | g0/0/0 | 2.2.2.2/28 | | DHCP |
| AR2 | g0/0/1 | 3.3.3.2/30 | | |
| AR2 | g0/0/2 | 100.100.100.254/24 | | |
| FW1 | g1/0/0 | 10.0.0.1/30 | | trust |
| FW1 | g1/0/1 | 10.2.2.2/29 | | trust |
| FW1 | g1/0/2 | 10.3.3.2/29 | | trust |
| FW1 | g1/0/3 | 10.1.1.2/24 | | dmz |
| FW1 | g1/0/4 | PPPOE | | Dialer1/untrust |
| FW1 | Loopback1 | 10.10.10.1/32 | | |
| FW2 | g1/0/0 | 10.0.0.2/30 | | trust |
| FW2 | g1/0/1 | 10.2.2.3/29 | | trust |
| FW2 | g1/0/2 | 10.3.3.3/29 | | trust |
| FW2 | g1/0/3 | 10.1.1.3/29 | | dmz |
| FW2 | g1/0/4 | DHCP | | untrust |
| FW2 | Loopback1 | 10.10.10.2/32 | | |
| LSW1 | g0/0/1-2 | 10.2.2.4/29 | 2 | |
| LSW1 | g0/0/3-4 | 10.4.4.1/30 | 4 | Eth-trunk1 |
| LSW1 | g0/0/5 | 10.5.5.2/29 | 5 | |
| LSW1 | g0/0/6 | 10.6.6.2/29 | 6 | |
| LSW1 | Loopback1 | 10.10.10.3/32 | | |
| LSW2 | g0/0/1-2 | 10.3.3.4/29 | 3 | |
| LSW2 | g0/0/3-4 | 10.4.4.2/30 | 4 | Eth-trunk1 |
| LSW2 | g0/0/5 | 10.5.5.3/29 | 5 | |
| LSW2 | g0/0/6 | 10.6.6.3/29 | 6 | |
| LSW2 | Loopback1 | 10.10.10.4/32 | | |
| LSW3 | g0/0/1-2 | 10.5.5.4/29 | 5 | |
| LSW3 | g0/0/3-4 | 192.168.10.254/24 | 10 | Eth-trunk1 |
| LSW3 | Loopback1 | 10.10.10.5/32 | | |
| LSW4 | g0/0/1-2 | 10.6.6.4/29 | 6 | |
| LSW4 | g0/0/3-4 | 192.168.20.254/24 | 20 | Eth-trunk1 |
| LSW4 | Loopback1 | 10.10.10.6/32 | | |
| LSW5 | g0/0/1-2 | 192.168.10.253/24 | 10 | Eth-trunk1 |
| LSW6 | g0/0/1-2 | 192.168.20.253/24 | 20 | Eth-trunk1 |

2.STP设计

|----|------|------|------|
| MSTP name : mstp ||||
| 实例 | VLAN | 根桥 | 备份根桥 |
| 1 | 5,10 | LSW1 | LSW2 |
| 2 | 6,20 | LSW2 | LSW1 |
| 3 | 2 | | |
| 4 | 3 | | |
| 5 | 4 | | |

3.LSW1和LSW2的VRRP基础设计

|------|------|------------|-----|------|
| 设备 | VRID | Virtual-IP | 优先级 | vlan |
| LSW1 | 1 | 10.5.5.1 | 120 | 5 |
| LSW1 | 2 | 10.6.6.1 | 100 | 6 |
| LSW2 | 1 | 10.5.5.1 | 100 | 5 |
| LSW2 | 2 | 10.6.6.1 | 120 | 6 |

4.防火墙hrp设计

模式:负载均衡

心跳线:G1/0/0

|------|------------|-----|--------|
| VRID | Virtual-IP | 主设备 | 接口 |
| 1 | 10.1.1.1 | FW1 | G1/0/3 |
| 2 | 10.2.2.1 | FW1 | G1/0/1 |
| 3 | 10.3.3.1 | FW2 | G1/0/2 |

5.路由设计

|--------|-----------|--------------------|
| 协议:OSPF |||
| 区域 | 设备 | 接口 |
| AREA 0 | FW1/FW2 | 除untrust所有接口 |
| AREA 0 | LSW1 | vlan 2,4 Loopback1 |
| AREA 0 | LSW2 | vlan 3,4 Loopback1 |
| AREA1 | LSW1,LSW3 | vlan5 |
| AREA2 | LSW2,LSW4 | vlan6 |
| 协议:RIP |||
| 进程 | 设备 | 接口 |
| 1 | AR1/AR2 | G0/0/1 |

6.路由优化及拓展

(1)LSW3、LSW4:ospf引入直连路由。

(2)配置静态默认路由:

|------|-----------|
| 设备 | 下一跳 |
| FW1 | Dialer1 |
| FW2 | DHCP |
| LSW1 | vlan2虚拟IP |
| LSW2 | vlan3虚拟IP |
| LSW3 | vlan5虚拟IP |
| LSW4 | vlan6虚拟IP |
| LSW5 | vlan10 网关 |
| LSW6 | vlan20 网关 |

(3)防火墙和LSW1、LSW2配置ospf主设备的接口cost值5,备用设备的接口为10。

(4)AR1、AR2:RIP引入直连路由。

(5)开启所有OSPF协议设备的bfd探测功能。

7.VRRP可靠性检测(LSW1和LSW2)

(1)上行链路:NQA

|------|----------|-------|------|----------|----------|-------|----|
| 设备 | 名称 | 管理员 | 模式 | 源IP | 目的IP | 频率 | 次数 |
| LSW1 | vrrp_5_2 | admin | icmp | 10.2.2.4 | 10.2.2.1 | 1/10s | 2 |
| LSW2 | vrrp_6_3 | admin | icmp | 10.3.3.4 | 10.3.3.1 | 1/10s | 2 |

(2)下行链路:BFD

|------|----|----------|----------|------|
| 设备 | 名称 | 源IP | 目的IP | 模式 |
| LSW1 | 1 | 10.5.5.2 | 10.5.5.4 | auto |
| LSW2 | 1 | 10.6.6.2 | 10.6.6.4 | auto |

8.hrp可靠性相关配置(FW1和FW2)

(1)IP-LINK

|-----|--------|------|---------------|---------|
| 设备 | 名称 | 模式 | 目的地址 | 下一跳 |
| FW1 | TO_ISP | icmp | www.baidu.com | Dialer1 |
| FW2 | TO_ISP | icmp | www.baidu.com | G1/0/4 |

(2)OSPF检测:G1/0/0

9.AC+AP无线设计

(1)capwap隧道:vlan1

(2)域模板:

名称:CN 区域:CN

(3)SSID模板:

名称:AP_WIFI1 SSID:AP_WIFI1

名称:AP_WIFI2 SSID:AP_WIFI2

(4)安全模板

名称:AP_WIFI1 密码:AP_WIFI1

名称:AP_WIFI2 密码:AP_WIFI2

(5)VAP模板:

名称:AP_WIFI1 SSID:AP_WIFI1 安全模板:AP_WIFI1

名称:AP_WIFI2 SSID:AP_WIFI2 安全模板:AP_WIFI2

(6)AP组:

|------------|----------|------|-------|-----|
| 名称 | VAP模板 | WLAN | RAIDO | 域模板 |
| AP_range_1 | AP_WIFI1 | 1 | ALL | CN |
| AP_range_2 | AP_WIFI2 | 1 | ALL | CN |

(7)AP

|----|------------|------|
| ID | AP组 | AP名称 |
| 1 | AP_range_1 | AP1 |
| 2 | AP_range_2 | AP2 |

10.DHCP设计

|------|--------|-----------------------|------|--------|------------|-------------|
| 设备 | 基于接口 | DNS | 排除IP | option | sub-option | option'type |
| LSW3 | VLAN10 | 10.10.10.1 10.10.10.2 | .253 | 43 | 3 | aniss |
| LSW4 | VLAN20 | 10.10.10.1 10.10.10.2 | .253 | 43 | 3 | aniss |

11.DNS设计

(1)FW1和FW2开启dns缓存

(2)FW1和FW2开启dns代理

(3)FW1和FW2静态绑定域名和IP:www.jw.com ==> 10.1.1.253

12.Server配置

(1)Server1开启www功能

(2)Server2开启dns功能(配置www.baidu.com的解析(映射可达的IP地址))

13.NAT设计

(1)FW1和FW2

源区域:trust/dmz

目的区域:untrust

模式:easy-ip

(2)nat server

设备:FW1 协议:www

全局地址:1.1.1.1 内部地址:10.1.1.253

14.安全策略

(1)放行相应区域相应的流量。

15.远程管理设计

(1)内网设备都开启SSH服务,登录名称:huawei,密码:123456

LSW8 和 Cloud 模拟带外管理。

留言:答案已经找不到了,这个一张试卷,如果能做出来,软考网工就基本没什么问题,这种卷子算作比较基础的,基于21~24年软考下午实操题的考试范围做的一张卷子,综合了基础常见的网络协议,路由优化手法,dns部署参考方式,无线ACAP旁挂。遗憾的是没有做dhcp负载,策略路由的设计等。

针对出口链路的设计可以参考下本人的另一篇文章:防火墙 监听技术nqa bfd ip-link 健康检测 pppoe 策略路由 pbr-CSDN博客

相关推荐
如意.7597 分钟前
【Linux开发工具实战】Git、GDB与CGDB从入门到精通
linux·运维·git
运维小欣37 分钟前
智能体选型实战指南
运维·人工智能
yy552741 分钟前
Nginx 性能优化与监控
运维·nginx·性能优化
爱吃土豆的马铃薯ㅤㅤㅤㅤㅤㅤㅤㅤㅤ2 小时前
Linux 查询某进程文件所在路径 命令
linux·运维·服务器
05大叔3 小时前
网络基础知识 域名,JSON格式,AI基础
运维·服务器·网络
安当加密3 小时前
无需改 PAM!轻量级 RADIUS + ASP身份认证系统 实现 Linux 登录双因子认证
linux·运维·服务器
我想走路带风3 小时前
c++工具转向网络底层工具
网络
dashizhi20153 小时前
服务器共享禁止保存到本地磁盘、共享文件禁止另存为本地磁盘、移动硬盘等
运维·网络·stm32·安全·电脑
皙然3 小时前
深入理解TCP流量控制
网络·网络协议·tcp/ip
卷福同学4 小时前
【养虾日记】QClaw操作浏览器自动化发文
运维·人工智能·程序人生·自动化
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04Labelme从安装到标注:零基础完整指南05AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南06UV安装并设置国内源07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08OpenClaw Control UI安全上下文访问配置09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南