2016年华为网络技术精英大赛复赛试题
2016年华为网络技术精英大赛复赛试题
1 实验考试说明
本次实验考试满分100分。
考生需要在除给定文档外没有任何协助的情况下,在150分钟内完成本考试的所有内容。
实验中请根据题干要求完成相应题目。题干中没有明确要求的名称,请一律使用“huawei”,没有明确要求的编号,请一律使用编号可用范围内的最小值。如:某模板需要命名及编号,且此时可用最小编号为1,则命名为“huawei”,编号为1。
2 实验场景介绍
实验拓扑图如图2-1所示。
图2-1实验拓扑图
实验所用设备情况如下:
2台USG5500防火墙,1台AR2200路由器,2台S5700交换机,1台S3700交换机,一台AC6005无线控制器,一台AP6010无线接入点,2台PC有线终端,1台Station无线终端。以下为了方便,简称FW1-FW2,AR1,SW1-SW3,AC1,AP1,PC1,PC2,Station。
IP地址规划表请见表2-1:
场景说明:
某公司业务扩展,准备搬迁至新建园区,鉴于之前业务量小,并没有对网络扩展性方面有过多的考虑,所以现有网络已经不适合公司目前的情况,需要在新的园区对公司的业务网络做新的规划。
首先,该公司对安全性方面要求较高,要求所有出入流量必须经过防火墙,配置过滤和内容检测,所以需要在内网的出口直连部署防火墙,并且由于业务重要,网络中断几乎不可接受,为防止单点故障,需要两台防火墙部署双机热备。
其次,公司内部有线网络布置到每一个工位,并且由于部分员工配置了笔记本电脑,有移动办公的需求,所以公司内部的无线网络同样必不可少。
该拓扑中,双出口连接外网。其中FW1和FW2为企业边界防火墙,AR1为公网设备,SW1、SW2与SW3组成园区网核心和有线接入,AC1和AP1组成内部无线接入网,PC1为园区网内有线终端设备,Station为园区内无线终端设备,PC2作为公网用户。所有的有线终端都是手动配置IP地址及网关。
3 考试题目
3.1 路由交换部分 62 Points
3.1.1 链路聚合 5 Points
为了保证SW1和SW2之间的链路可靠性,请通过静态LACP方式实现链路聚合,SW1为主设备,优先级为100,最大活动链路数为2。
3.1.2 VLAN 22 Points
在所有交换机和AC1上配置所有用到的VLAN,见下文。
PC1归属企业网业务网段,属VLAN 100,通过SW3 Access有线接入。
Station归属企业网业务网段,属VLAN 200,通过AP无线接入。
VLAN 300为WLAN管理VLAN。
SW1和SW2之间通过VLANif 3互联。
SW1连接出口防火墙FW1,SW1通过VLANif 2接口与FW1的GE1/0/3相连,SW1的GE0/0/3接口类型设置为Access。
SW2连接出口防火墙FW2,SW2通过VLANif 2接口与FW2的GE1/0/3相连,SW2的GE0/0/3接口类型设置为Access。
SW1与SW2之间链路为Trunk,允许所有业务VLAN、管理VLAN和互联VLAN通过。
SW1、SW2与SW3之间的链路为Trunk,允许所有业务VLAN和管理VLAN通过。
SW1、SW2与AC1之间链路为Trunk,只允许无线业务VLAN和管理VLAN通过。
3.1.3 STP 7 Points
为了防止SW1、SW2、SW3和AC1之间出现环路需要配置STP协议。
STP模式为MSTP。
要求全部VLAN都属于Instance 0。
要求Instance 0中以SW1为根桥,优先级为0,SW2的优先级为4096。
要求SW3的Ethernet 0/0/1和Ethernet0/0/2端口,在连接网线后立即就可以访问网络。并且开启BPDU保护,防止该接口因接收BPDU而造成网络震荡。
3.1.4 IP Addressing 12 Points
请按照图2-1和表2-1给出的地址信息配置网络设备的IP地址。
3.1.5 OSPF 12 Points
FW1、FW2、SW1、SW2之间运行OSPF,配置OSPF进程号为1。
FW1和FW2的GE0/0/2、GE0/0/3口都宣告进区域0,要求宣告时使用Network精确宣告。
SW1和SW2的VLANif2、VLANif3、VLANif100和VLANif200都宣告进区域0,要求宣告时使用Network精确宣告。
禁止在业务网段传播OSPF报文。
FW1和FW2通过非强制下发的方式对内网下发默认路由,FW2下发时将Cost改为100。
为保证流量流向最优,请在FW1和FW2的GE0/0/2接口下调整OSPF Cost为50。
3.1.6 VRRP 4 Points
为了保证业务网段的可靠性,要求在两个业务网段分别使用VRRP技术。
VLAN 100使用VRRP备份组1,VRRP备份组虚拟IP地址为10.1.100.254,VLAN 200使用VRRP备份组1,VRRP备份组虚拟IP地址为10.1.200.254。
SW1为有线接入业务的主用网关,优先级为120,当它出现故障时,SW2能够快速接替SW1的工作。
SW2为无线接入业务的主用网关,优先级为120,当它出现故障时,SW1能够快速接替SW2的工作。
3.2 安全部分 19 Points
3.2.1 安全区域 4 Points
请按照图2-1划分安全区域,并将接口加入所对应的安全区域。
其中内网在Trust区域,外网在Untrust区域。
3.2.2 安全策略 3 Points
为实现业务网段访问的畅通无阻,请配置安全策略放通需要经过防火墙的网段,防火墙只允许开启业务网段的安全策略,禁止修改防火墙缺省的过滤策略。
配置时请遵循最小放通原则,只使用一条策略,允许两个源业务网段通过,目的为PC2,匹配时使用反掩码,不得使用地址集。
3.2.3 NAT 3 Points
为实现内网有线用户和无线用户能够访问外网,请在防火墙上配置NAT策略,使用EASY IP,同样,只使用一条策略,精确匹配两个源业务网段,目的为PC2,匹配时使用反掩码,不得使用地址集。
3.2.4 双机热备 7 Points
在FW1和FW2之间使用防火墙双机热备技术保证业务稳定性,使用主备模式,FW1为主,FW2为备,在Trust区域和Untrust区域检测链路,使默认情况下,所有业务通过FW1访问外网。GE0/0/2所连接的链路为带内心跳链路,会话备份方式为快速备份。
3.2.5 静态路由 2 Points
两台防火墙访问公网的流量通过查询默认路由来转发,默认路由的下一跳为防火墙与运营商相连的运营商设备接口地址。
3.3 WLAN部分 19 Points
3.3.1 DHCP 4 Points
在VLANif 300接口下配置AP所在的管理网段的DHCP服务,选择接口模式,所有的AP都通过该DHCP获取IP地址。
在VLANif 200接口下配置Station所在的业务网段的DHCP服务,选择全局模式,全局地址池名为huawei,网关和DNS都是10.1.200.254,排除10.1.200.201以上的地址,包括10.1.200.201,所有无线终端都通过该DHCP获取IP地址。
3.3.2 AP上线 3 Points
请配置WLAN源为管理VLAN的VLANif接口,认证模式为MAC地址认证。
SW3上连接AP的接口类型为Trunk。
3.3.3 配置及下发 12 Points
实现基本的WLAN二层组网,VLAN 200为业务VLAN,VLAN 300为管理VLAN。
所有名称都是huawei,ID号为最小编号,否则不得分。
Wlan-Ess接口的类型为hybrid。
射频使用2.4G,模式为802.11bgn。
加密方式wep40,共享秘钥,密码为明文12345。
SSID为huawei,业务转发方式为直接转发。
射频使用第一个信道。