我搭建的拓撲:
做實驗時發現SW5模擬業務終端只能PING通網關,所以又加了兩台PC分別模擬業務AB。
需求:
環境中共有二個部分:總部,分部。
每個部分有兩個業務網段:A業務、B業務。
Internet
1 通過一台三層交換機模擬因特網環境,這個設備上不允許配置任何路由,只有兩條直連路由;
VLAN
1 在S1上有VLAN 10(A業務),VLAN20(B業務),(S1-S2間沒有三層鏈路),VLAN2(S1,S2上分別用於上連到R1,R2);
2 S5交換機有兩條鏈路連到S3,分別用於模擬兩個業務鏈路,即S5上這兩條ACCESS鏈路,分別屬於VLAN10\VLAN20,而且不要用STP;
3 S3上連S5的這兩個接口,要求接口狀態變化不要影響STP的計算;
MSTP
1 S1\SW2\SW3用MSTP防二層環路,三台交換機運行在同一個MSTP域中;
2 VLAN 10是A業務,VLAN 20是B業務網段;分別映射到MSTP實例1、實例2;
3 S1作為實例1的根交換機,S2作為實例1的備份根;
4 S2作為實例2的根交換機,S1作為實例2的備份根;
鏈路聚合
1 S1\S2之間有二條物理鏈路,將這兩條物理路由聚合成一條邏輯鏈路;
2 要求實例1的阻塞端口在S2上的聚合接口;
3 要求實例2的阻塞端口在S1上的聚合接口;
TRUNK
1 S1\S2\S3之間的鏈路都是TRUNK鏈路,允許VLAN10 VLAN 20,不用允許VLAN 2;
VRRP
1 總部的A業務、B業務使用虛擬網關提供可靠性;
2 S1作為A業務的主網關,S2作為A業務的備份網關;優先級分別使用100、80;
3 S2作為B業務的主網關,S1作為B業務的備份網關;優先級分別使用100、80;
4 使用跟蹤上行鏈路(端口);並可以實現自動切換;
PPP
1 R4\R5之間有兩條專線使用PPP互連,通過MP-GROUP將兩條鏈路捆綁,並使用CHAP保證鏈路安全;
IPSEC OVER GRE
1 R4和R2通過Internet互連,IPSEC OVER GRE保護業務流;
2 R2\R4分別有一條靜態默認路由;
3 S4上沒有任何路由;
OSPF
1 總部和分部內部通過OSPF路由協議學習路由(不包括業務網絡、AS互通網絡);
2 S1與S2間沒有鄰居關系;
BGP
1 AS間通過BGP傳輸業務路由,只發布本地路由;
2 總部,S1\S2\R1\R2間是IBGP鄰居(除了S1與S2其它設備間都有建立鄰居),BGP鄰居通過LO接口建立;
3 分部,R3\R4\R5間是全互連IBGP鄰居,同樣通過LO接口建立BGP鄰居;
路徑選擇
1 總部和分部的A業務訪問通過S1-R1-R3-R5,總部訪問分部的B業務通過S2-R2-R4-R5;
2 R1-R3的專線、與R2-R4間的VPN互為備份;
3 AS間選路通過AS-PATH實現;
4 總部AS內部通過(MED/Local-preference)實現選路:
當S1-R1的鏈路斷開時,A流的訪問路徑為S2-R2-R1-R3;
當S2-R2的鏈路斷開時,B流的訪問路徑為S1-R1-R2-R4;
5 分部中選路:
當R3-R5的路徑斷開時,訪問總部的A流通過R5-R4-R3-R1;
當R5-R4的路徑斷開時,訪問總部的B流通過R5-R3-R4-R2;
QOS
1 R4-R5的鏈路上的B流保證接口帶寬的50%。
NAT
分部的B業務通過R4配置NAT實現internet訪問;總部有自己的internet出口,不允許通過分部訪問internet。
注:實驗部分internet交換機不配置路由,路徑選擇部分沒有做出來,QOS配置不確定。
實驗的.net配置文件自行百度雲盤下載:
百度網盤地址:https://pan.baidu.com/s/133nmZENZ7zS9vS9bMoICkw 提取碼:9fn0
使用HCL,display current-configuration可以查看配置命令
!其他IE備考實驗,僅供參考:
百度網盤:https://pan.baidu.com/s/1UILKhMJUpFhz-2GnmQikEQ 提取碼:0x10