华为eNSP防火墙综合网络结构训练.docx

华为eNSP防火墙综合网络结构训练.docx - 教程

news/2025/9/20 16:54:23/文章来源:https://www.cnblogs.com/yxysuanfa/p/19102600

1.IP及VLAN规划情况

设备	接口	IP	vlan	备注
AR1	g0/0/0	1.1.1.2/28		PPPOE
	g0/0/1	3.3.3.1/30
	g0/0/2	114.114.114.254/24
AR2	g0/0/0	2.2.2.2/28		DHCP
	g0/0/1	3.3.3.2/30
	g0/0/2	100.100.100.254/24
FW1	g1/0/0	10.0.0.1/30		trust
	g1/0/1	10.2.2.2/29		trust
	g1/0/2	10.3.3.2/29		trust
	g1/0/3	10.1.1.2/24		dmz
	g1/0/4	PPPOE		Dialer1/untrust
	Loopback1	10.10.10.1/32
FW2	g1/0/0	10.0.0.2/30		trust
	g1/0/1	10.2.2.3/29		trust
	g1/0/2	10.3.3.3/29		trust
	g1/0/3	10.1.1.3/29		dmz
	g1/0/4	DHCP		untrust
	Loopback1	10.10.10.2/32
LSW1	g0/0/1-2	10.2.2.4/29	2
	g0/0/3-4	10.4.4.1/30	4	Eth-trunk1
	g0/0/5	10.5.5.2/29	5
	g0/0/6	10.6.6.2/29	6
	Loopback1	10.10.10.3/32
LSW2	g0/0/1-2	10.3.3.4/29	3
	g0/0/3-4	10.4.4.2/30	4	Eth-trunk1
	g0/0/5	10.5.5.3/29	5
	g0/0/6	10.6.6.3/29	6
	Loopback1	10.10.10.4/32
LSW3	g0/0/1-2	10.5.5.4/29	5
	g0/0/3-4	192.168.10.254/24	10	Eth-trunk1
	Loopback1	10.10.10.5/32
LSW4	g0/0/1-2	10.6.6.4/29	6
	g0/0/3-4	192.168.20.254/24	20	Eth-trunk1
	Loopback1	10.10.10.6/32
LSW5	g0/0/1-2	192.168.10.253/24	10	Eth-trunk1
LSW6	g0/0/1-2	192.168.20.253/24	20	Eth-trunk1

2.STP设计

MSTP name ： mstp
实例	VLAN	根桥	备份根桥
1	5，10	LSW1	LSW2
2	6，20	LSW2	LSW1
3	2
4	3
5	4

3.LSW1和LSW2的VRRP基础设计

设备	VRID	Virtual-IP	优先级	vlan
LSW1	1	10.5.5.1	120	5
LSW1	2	10.6.6.1	100	6
LSW2	1	10.5.5.1	100	5
LSW2	2	10.6.6.1	120	6

4.防火墙hrp设计

模式：负载均衡

心跳线：G1/0/0

VRID	Virtual-IP	主设备	接口
1	10.1.1.1	FW1	G1/0/3
2	10.2.2.1	FW1	G1/0/1
3	10.3.3.1	FW2	G1/0/2

5.路由设计

协议：OSPF
区域	设备	接口
AREA 0	FW1/FW2	除untrust所有接口
	LSW1	vlan 2,4 Loopback1
	LSW2	vlan 3,4 Loopback1
AREA1	LSW1，LSW3	vlan5
AREA2	LSW2，LSW4	vlan6
协议：RIP
进程	设备	接口
1	AR1/AR2	G0/0/1

6.路由优化及拓展

(1)LSW3、LSW4：ospf引入直连路由。

(2)配置静态默认路由：

设备	下一跳
FW1	Dialer1
FW2	DHCP
LSW1	vlan2虚拟IP
LSW2	vlan3虚拟IP
LSW3	vlan5虚拟IP
LSW4	vlan6虚拟IP
LSW5	vlan10 网关
LSW6	vlan20 网关

(3)防火墙和LSW1、LSW2安装ospf主设备的接口cost值5，备用设备的接口为10。

(4)AR1、AR2：RIP引入直连路由。

(5)开启所有OSPF协议设备的bfd探测效果。

7.VRRP可靠性检测(LSW1和LSW2)

(1)上行链路：NQA

设备	名称	管理员	模式	源IP	目的IP	频率	次数
LSW1	vrrp_5_2	admin	icmp	10.2.2.4	10.2.2.1	1/10s	2
LSW2	vrrp_6_3	admin	icmp	10.3.3.4	10.3.3.1	1/10s	2

(2)下行链路：BFD

设备	名称	源IP	目的IP	模式
LSW1	1	10.5.5.2	10.5.5.4	auto
LSW2	1	10.6.6.2	10.6.6.4	auto

8.hrp可靠性相关部署(FW1和FW2)

(1)IP-LINK

设备	名称	模式	目的地址	下一跳
FW1	TO_ISP	icmp	www.baidu.com	Dialer1
FW2	TO_ISP	icmp	www.baidu.com	G1/0/4

(2)OSPF检测：G1/0/0

9.AC+AP无线设计

(1)capwap隧道：vlan1

(2)域模板：

名称：CN 区域：CN

(3)SSID模板：

名称：AP_WIFI1 SSID:AP_WIFI1

名称：AP_WIFI2 SSID:AP_WIFI2

(4)安全模板

名称：AP_WIFI1 密码:AP_WIFI1

名称：AP_WIFI2 密码:AP_WIFI2

(5)VAP模板：

名称：AP_WIFI1 SSID:AP_WIFI1 安全模板：AP_WIFI1

名称：AP_WIFI2 SSID:AP_WIFI2 安全模板：AP_WIFI2

(6)AP组：

名称	VAP模板	WLAN	RAIDO	域模板
AP_range_1	AP_WIFI1	1	ALL	CN
AP_range_2	AP_WIFI2	1	ALL	CN

(7)AP

ID	AP组	AP名称
1	AP_range_1	AP1
2	AP_range_2	AP2

10.DHCP设计

设备

基于接口

DNS

排除IP

option

sub-option

option’type

LSW3

VLAN10

10.10.10.1

10.10.10.2

.253

aniss

LSW4

VLAN20

.253

aniss

11.DNS设计

(1)FW1和FW2开启dns缓存

(2)FW1和FW2开启dns代理

(3)FW1和FW2静态绑定域名和IP：www.jw.com==> 10.1.1.253

12.Server设置

(1)Server1开启www功能

(2)Server2开启dns功能（配置www.baidu.com的解析（映射可达的IP地址））

13.NAT设计

(1)FW1和FW2

源区域：trust/dmz

目的区域：untrust

模式：easy-ip

(2)nat server

设备：FW1 协议：www

全局地址：1.1.1.1 内部地址：10.1.1.253

14.安全策略

(1)放行相应区域相应的流量。

15.远程管理设计

(1)内网设备都开启SSH服务，登录名称：huawei，密码：123456

LSW8 和 Cloud 模拟带外管理。

没有做dhcp负载，策略路由的设计等。就是留言：答案已经找不到了，这个一张试卷，如果能做出来，软考网工就根本没什么问题，此种卷子算作比较基础的，基于21~24年软考下午实操题的考试范围做的一张卷子，综合了基础常见的网络协议，路由优化手法，dns部署参考方式，无线ACAP旁挂。遗憾的

针对出口链路的设计可以参考下本人的另一篇文章：防火墙监听技术nqa bfd ip-link 健康检测 pppoe 策略路由 pbr-CSDN博客

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/908446.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！