广域网综合实验

一、实验拓扑

注：如无特别说明，描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备，R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备，以此类推；另外，同一网段中，IP 地址的主机位为其设备编号，如 R3 的 g0/0 接口若在 192.168.1.0/24 网段，则其 IP 地址为 192.168.1.3/24，以此类推

二、实验需求

1.组网需求：

总部网络由两台路由器R1 R2和三台交换机SW1、SW2、SW3组成，其中R1作为企业所有分支二节点广域网接入路由器，R2作为企业所有分支一节点广域网接入路由器，SW1、SW2、SW3组成总部局域网核心，路由器R4和交换机用来模拟企业的一个分支一节点网络，路由器R3和R5分别用来模拟企业的两个分支二节点网络，SW5用来模拟互联网。

分支一节点通过一条2M的线路（背对背专线模拟）和总部相连接，分支二节点采用GRE over IPsec的方式跨越互联网接入总部网络。

整个企业应用分为两种业务，A流和B流，A、B两种业务，各个分支节点都可以和总部互通，A流的分支二节点之间，以及分支一和分支二之间不能互通，B流各个节点之间能够互通，A流不能访问互联网，分支一的B流由单独的互联网出口（组网途中没有涉及）不可以通过专线从总部访问互联网，分部二的B流可以通过互联网出口直接访问互联网，总部的B流可以通过互联网出口直接访问互联网。

A流和B流通过在部分路由器上配置物理接口或在交换机上配置VLAN虚拟接口模拟

分部二节点的路由器连接互联网的接口地址，由互联网动态分配，总部R1连接互联网的接口地址为静态分配

2.局域网规划

总部局域网内部使用单域MSTP协议保证网络无环，通过合理规划实例和VLAN的映射关系，以及实例中的根和备份根，使得A流优先从SW1转发，B流优先通过SW2转发，并且当交换机故障时，能够互为备份，两核心交换机之间使用两条物理层链路进行聚合。

3.路由规划

网络中包含10个分支一节点，20个分支二节点，10分分支一节点A流地址分别为192.168.11.0/24---192.168.20.0/24，B流地址段为10.11.0.0/16---10.20.0.0./16，20个分支二节点的A流地址为192.168.101.0/24---192.168.120.0/24，B流地址为10.101.1.0/24---10.101.20.0/24

总部的R2与分部一之间运行OSPF路由协议，总部的R1与分部二运行RIPv2协议，SW1和SW2之间使用VLAN30进行三层互联。

为实现分部二和总部以及分部一节点的互通，需要在R1上进行RIP和OSPF的相互引入，全网不允许出现等价路由。

在合适的路由器上配置路由的过滤策略，保证A流的分支二节点之间以及分支一和分支二之间都不能互访。

SW5模拟互联网，各网段的明细路由不能出现在总部以及各分部节点中（直连路由除外），需要访问互联网的节点通过缺省路由，并在出口路由器上进行NAT来实现。

总部B流提供一台服务器，内网地址为10.1.1.100对应的互联网地址为100.1.1.100要求能够从互联网进行各类业务访问。

总部A流访问分部一的A流经过的设备依次是SW3--SW1--R1--SW5--R3--R4

总部B流访问分部一的B流经过的设备依次是SW3--SW2--R2--R4--SW4

4.可靠性规划

总部核心交换机SW1和SW2之间进行链路聚合，保证线路冗余；两台核心交换机之间运行VRRP，A流使用SW1 作为VRRP的MAST，B流使用SW2作为VRRP的MAST，不需要Tranck上行链路。

在总部到分部一的专线上，要求优先转发A流的流量，且至少要保障1.5M

总部网络中任何一条线路（不包括广域网线路）中断不影响全网连通性

5.安全性规划

全网A流不能访问互联网，各个分部A流可以和总部互通，分部二节点之间以及分部一和分部二之间A流不能互通，要求通过路由过滤实现；总部和各分支节点业务VLAN内不允许出现路由协议报文，OSPF区域中不应该出现RIP协议报文。

总部与分部一系节点之间的PPP线路采用双向CHAP验证分部二节点和总部互访通过GRE over IPsec实现，为降低IPsec配置的复杂性，需要使用IPsec模板进行配置。

通过源IP对Telnet进行控制，仅允许来自192.168.0.100的telnet用户访问总部设备R1，且用户名密码都为abc，登陆时要求通过用户名加密码验证方式。

通过源IP对网管用户进行控制，仅允许来自10.1.0.100的SNMP用户访问总部设备R2，要求SNMP使用v2c版本，读团体字和组名可考生自拟。

三、实验解法