华为eNSP防火墙综合网络结构训练.docx

1.IP及VLAN规划情况

|------|-----------|--------------------|------|-----------------|
| 设备 | 接口 | IP | vlan | 备注 |
| AR1 | g0/0/0 | 1.1.1.2/28 | | PPPOE |
| AR1 | g0/0/1 | 3.3.3.1/30 | | |
| AR1 | g0/0/2 | 114.114.114.254/24 | | |
| AR2 | g0/0/0 | 2.2.2.2/28 | | DHCP |
| AR2 | g0/0/1 | 3.3.3.2/30 | | |
| AR2 | g0/0/2 | 100.100.100.254/24 | | |
| FW1 | g1/0/0 | 10.0.0.1/30 | | trust |
| FW1 | g1/0/1 | 10.2.2.2/29 | | trust |
| FW1 | g1/0/2 | 10.3.3.2/29 | | trust |
| FW1 | g1/0/3 | 10.1.1.2/24 | | dmz |
| FW1 | g1/0/4 | PPPOE | | Dialer1/untrust |
| FW1 | Loopback1 | 10.10.10.1/32 | | |
| FW2 | g1/0/0 | 10.0.0.2/30 | | trust |
| FW2 | g1/0/1 | 10.2.2.3/29 | | trust |
| FW2 | g1/0/2 | 10.3.3.3/29 | | trust |
| FW2 | g1/0/3 | 10.1.1.3/29 | | dmz |
| FW2 | g1/0/4 | DHCP | | untrust |
| FW2 | Loopback1 | 10.10.10.2/32 | | |
| LSW1 | g0/0/1-2 | 10.2.2.4/29 | 2 | |
| LSW1 | g0/0/3-4 | 10.4.4.1/30 | 4 | Eth-trunk1 |
| LSW1 | g0/0/5 | 10.5.5.2/29 | 5 | |
| LSW1 | g0/0/6 | 10.6.6.2/29 | 6 | |
| LSW1 | Loopback1 | 10.10.10.3/32 | | |
| LSW2 | g0/0/1-2 | 10.3.3.4/29 | 3 | |
| LSW2 | g0/0/3-4 | 10.4.4.2/30 | 4 | Eth-trunk1 |
| LSW2 | g0/0/5 | 10.5.5.3/29 | 5 | |
| LSW2 | g0/0/6 | 10.6.6.3/29 | 6 | |
| LSW2 | Loopback1 | 10.10.10.4/32 | | |
| LSW3 | g0/0/1-2 | 10.5.5.4/29 | 5 | |
| LSW3 | g0/0/3-4 | 192.168.10.254/24 | 10 | Eth-trunk1 |
| LSW3 | Loopback1 | 10.10.10.5/32 | | |
| LSW4 | g0/0/1-2 | 10.6.6.4/29 | 6 | |
| LSW4 | g0/0/3-4 | 192.168.20.254/24 | 20 | Eth-trunk1 |
| LSW4 | Loopback1 | 10.10.10.6/32 | | |
| LSW5 | g0/0/1-2 | 192.168.10.253/24 | 10 | Eth-trunk1 |
| LSW6 | g0/0/1-2 | 192.168.20.253/24 | 20 | Eth-trunk1 |

2.STP设计

|----|------|------|------|
| MSTP name ： mstp ||||
| 实例 | VLAN | 根桥 | 备份根桥 |
| 1 | 5，10 | LSW1 | LSW2 |
| 2 | 6，20 | LSW2 | LSW1 |
| 3 | 2 | | |
| 4 | 3 | | |
| 5 | 4 | | |

3.LSW1和LSW2的VRRP基础设计

|------|------|------------|-----|------|
| 设备 | VRID | Virtual-IP | 优先级 | vlan |
| LSW1 | 1 | 10.5.5.1 | 120 | 5 |
| LSW1 | 2 | 10.6.6.1 | 100 | 6 |
| LSW2 | 1 | 10.5.5.1 | 100 | 5 |
| LSW2 | 2 | 10.6.6.1 | 120 | 6 |

4.防火墙hrp设计

模式：负载均衡

心跳线：G1/0/0

|------|------------|-----|--------|
| VRID | Virtual-IP | 主设备 | 接口 |
| 1 | 10.1.1.1 | FW1 | G1/0/3 |
| 2 | 10.2.2.1 | FW1 | G1/0/1 |
| 3 | 10.3.3.1 | FW2 | G1/0/2 |

5.路由设计

|--------|-----------|--------------------|
| 协议：OSPF |||
| 区域 | 设备 | 接口 |
| AREA 0 | FW1/FW2 | 除untrust所有接口 |
| AREA 0 | LSW1 | vlan 2,4 Loopback1 |
| AREA 0 | LSW2 | vlan 3,4 Loopback1 |
| AREA1 | LSW1，LSW3 | vlan5 |
| AREA2 | LSW2，LSW4 | vlan6 |
| 协议：RIP |||
| 进程 | 设备 | 接口 |
| 1 | AR1/AR2 | G0/0/1 |

6.路由优化及拓展

(1)LSW3、LSW4：ospf引入直连路由。

(2)配置静态默认路由：

|------|-----------|
| 设备 | 下一跳 |
| FW1 | Dialer1 |
| FW2 | DHCP |
| LSW1 | vlan2虚拟IP |
| LSW2 | vlan3虚拟IP |
| LSW3 | vlan5虚拟IP |
| LSW4 | vlan6虚拟IP |
| LSW5 | vlan10 网关 |
| LSW6 | vlan20 网关 |

(3)防火墙和LSW1、LSW2配置ospf主设备的接口cost值5，备用设备的接口为10。

(4)AR1、AR2：RIP引入直连路由。

(5)开启所有OSPF协议设备的bfd探测功能。

7.VRRP可靠性检测(LSW1和LSW2)

(1)上行链路：NQA

|------|----------|-------|------|----------|----------|-------|----|
| 设备 | 名称 | 管理员 | 模式 | 源IP | 目的IP | 频率 | 次数 |
| LSW1 | vrrp_5_2 | admin | icmp | 10.2.2.4 | 10.2.2.1 | 1/10s | 2 |
| LSW2 | vrrp_6_3 | admin | icmp | 10.3.3.4 | 10.3.3.1 | 1/10s | 2 |

(2)下行链路：BFD

|------|----|----------|----------|------|
| 设备 | 名称 | 源IP | 目的IP | 模式 |
| LSW1 | 1 | 10.5.5.2 | 10.5.5.4 | auto |
| LSW2 | 1 | 10.6.6.2 | 10.6.6.4 | auto |

8.hrp可靠性相关配置(FW1和FW2)

(1)IP-LINK

|-----|--------|------|---------------|---------|
| 设备 | 名称 | 模式 | 目的地址 | 下一跳 |
| FW1 | TO_ISP | icmp | www.baidu.com | Dialer1 |
| FW2 | TO_ISP | icmp | www.baidu.com | G1/0/4 |

(2)OSPF检测：G1/0/0

9.AC+AP无线设计

(1)capwap隧道：vlan1

(2)域模板：

名称：CN 区域：CN

(3)SSID模板：

名称：AP_WIFI1 SSID:AP_WIFI1

名称：AP_WIFI2 SSID:AP_WIFI2

(4)安全模板

名称：AP_WIFI1 密码:AP_WIFI1

名称：AP_WIFI2 密码:AP_WIFI2

(5)VAP模板：

名称：AP_WIFI1 SSID:AP_WIFI1 安全模板：AP_WIFI1

名称：AP_WIFI2 SSID:AP_WIFI2 安全模板：AP_WIFI2

(6)AP组：

|------------|----------|------|-------|-----|
| 名称 | VAP模板 | WLAN | RAIDO | 域模板 |
| AP_range_1 | AP_WIFI1 | 1 | ALL | CN |
| AP_range_2 | AP_WIFI2 | 1 | ALL | CN |

(7)AP

|----|------------|------|
| ID | AP组 | AP名称 |
| 1 | AP_range_1 | AP1 |
| 2 | AP_range_2 | AP2 |

10.DHCP设计

|------|--------|-----------------------|------|--------|------------|-------------|
| 设备 | 基于接口 | DNS | 排除IP | option | sub-option | option'type |
| LSW3 | VLAN10 | 10.10.10.1 10.10.10.2 | .253 | 43 | 3 | aniss |
| LSW4 | VLAN20 | 10.10.10.1 10.10.10.2 | .253 | 43 | 3 | aniss |

11.DNS设计

(1)FW1和FW2开启dns缓存

(2)FW1和FW2开启dns代理

(3)FW1和FW2静态绑定域名和IP：www.jw.com ==> 10.1.1.253

12.Server配置

(1)Server1开启www功能

(2)Server2开启dns功能（配置www.baidu.com的解析（映射可达的IP地址））

13.NAT设计

(1)FW1和FW2

源区域：trust/dmz

目的区域：untrust

模式：easy-ip

(2)nat server

设备：FW1 协议：www

全局地址：1.1.1.1 内部地址：10.1.1.253

14.安全策略

(1)放行相应区域相应的流量。

15.远程管理设计

(1)内网设备都开启SSH服务，登录名称：huawei，密码：123456

LSW8 和 Cloud 模拟带外管理。

留言：答案已经找不到了，这个一张试卷，如果能做出来，软考网工就基本没什么问题，这种卷子算作比较基础的，基于21~24年软考下午实操题的考试范围做的一张卷子，综合了基础常见的网络协议，路由优化手法，dns部署参考方式，无线ACAP旁挂。遗憾的是没有做dhcp负载，策略路由的设计等。

针对出口链路的设计可以参考下本人的另一篇文章：防火墙 监听技术nqa bfd ip-link 健康检测 pppoe 策略路由 pbr-CSDN博客