2013年全國職業(yè)院校技能大賽高職組計算機網(wǎng)絡(luò)應(yīng)用競賽賽題

“2013年全國職業(yè)院校技能大賽”高職組“H3C?企想杯”計算機網(wǎng)絡(luò)應(yīng)用競賽賽題A卷第72頁共87頁“2013年全國職業(yè)院校技能大賽”高職組“H3C·企想杯”計算機網(wǎng)絡(luò)應(yīng)用競賽競賽賽題A卷2013年全國職業(yè)院校技能大賽組委會中國·天津2013年6月

賽題說明一、競賽內(nèi)容分布“計算機網(wǎng)絡(luò)應(yīng)用”競賽共分為四個部分（每部分均采用百分制）,其中：第一部分：數(shù)據(jù)中心網(wǎng)絡(luò)真實網(wǎng)絡(luò)設(shè)備搭建和調(diào)試的正確性、規(guī)范性和合理性（占60%）；第二部分：數(shù)據(jù)中心服務(wù)器配置及應(yīng)用項目（占10%）；第三部分：綜合布線與傳感網(wǎng)（占25%）；第四部分：職業(yè)規(guī)范、工程文檔、團隊風(fēng)貌、分工與協(xié)作、著裝與環(huán)境等（占5%）。二、競賽時間比賽時間：2013年6月26日8:30-16:30（競賽時間為8小時）8:20-8:30選手進場，檢查設(shè)備清單并簽字；12:00-12:30在工位用餐；12:30-13:10指導(dǎo)教師進場指導(dǎo)；16:20-16:30提交比賽結(jié)果并簽字確認；16:30選手離場。三、競賽注意事項（1）禁止攜帶和使用移動存儲設(shè)備、計算器、通信工具及參考資料。（2）請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件清單、材料清單是否齊全，計算機設(shè)備是否能正常使用。（3）本試卷共有四個部分。請選手仔細閱讀比賽試卷，按照試卷要求完成各項操作。（4）操作過程中，需要及時保存設(shè)備配置。比賽結(jié)束后，所有設(shè)備保持運行狀態(tài)，不要拆、動硬件連接。（5）比賽完成后，比賽設(shè)備、軟件和賽題請保留在座位上，禁止將比賽所用的所有物品（包括試卷和草紙）帶離賽場。（6）所有需要提交的文檔均要求按照模板制作，且每份word文檔必須相應(yīng)附帶一份pdf文檔，文檔模板請參考“d:\國賽軟件資料\”目錄中相關(guān)模板文檔；禁止在競賽結(jié)果文檔有任何與競賽無關(guān)的標記。（7）競賽結(jié)果文件電子版需要按照監(jiān)考老師的要求，在競賽結(jié)束前復(fù)制到監(jiān)考老師提供的U盤進行保存，并填寫提交文件清單（包含文件名和文件大?。?，參賽選手簽字確認。

第一部分網(wǎng)絡(luò)數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備搭建與管理(600分)一、注意事項1.檢查硬件設(shè)備、網(wǎng)線頭和Console線等的數(shù)量是否齊全，電腦設(shè)備是否正常。2.操作完成后，需要保存設(shè)備配置，不要關(guān)閉任何設(shè)備，不要拆動硬件的連接，不要對設(shè)備隨意加密碼，試卷留在考場。3.檢查競賽所需的各項設(shè)備、軟件和競賽材料等。二、競賽環(huán)境硬件設(shè)備清單序號類別設(shè)備廠商型號數(shù)量1硬件路由器H3CRT-MSR2630-AC32硬件1端口增強型同/異步串口接口模塊H3CRT-SIC-1SAE-H363硬件同異步串口(SA)V.35DCE電纜(DB28)H3CCAB-V35DCE(DB28)33硬件同異步串口(SA)V.35DTE電纜(DB28)H3CCAB-V35DTE(DB28)34硬件數(shù)據(jù)中心交換機H3CLS-5800-32C-H325硬件SFP+電纜0.65mH3CLSWM1STK26硬件三層交換機H3CLS-3600V2-28TP-EI37硬件三、項目描述威高集團是一家從事高科技產(chǎn)品研發(fā)、生產(chǎn)和銷售的大型企業(yè)，總公司和分公司通過網(wǎng)絡(luò)互連，隨著業(yè)務(wù)的發(fā)展，公司原有網(wǎng)絡(luò)已經(jīng)不能滿足高效企業(yè)管理的需要，公司經(jīng)常遭到來自互聯(lián)網(wǎng)絡(luò)的攻擊或入侵，網(wǎng)絡(luò)安全對生產(chǎn)和經(jīng)營的影響也越來越明顯。為了滿足業(yè)務(wù)的需要，公司決定構(gòu)建一個高速、穩(wěn)定、安全的適應(yīng)企業(yè)現(xiàn)代化辦公需求的高性能網(wǎng)絡(luò)。四、網(wǎng)絡(luò)拓撲規(guī)劃網(wǎng)絡(luò)拓撲結(jié)構(gòu)規(guī)劃如圖1所示。本次公司的網(wǎng)絡(luò)構(gòu)建包括總公司、分公司一和分公司二的三個部分?？偣揪钟蚓W(wǎng)核心采用雙交換機的架構(gòu)，通過VRRP結(jié)合MSTP技術(shù)實現(xiàn)負載均衡和鏈路備份。兩臺核心交換機分別連接到核心路由器，通過核心路由器連接訪問互聯(lián)網(wǎng)，同時核心路由器通過專線連接到分公司的出口路由器。總公司和分公司之間的辦公用戶通過VPN建立的隧道互相通信，有效的保證了數(shù)據(jù)傳輸?shù)陌踩浴？偣痉?wù)器集中放置在網(wǎng)絡(luò)數(shù)據(jù)中心機房，通過數(shù)據(jù)中心交換機連接到核心交換機，通過IRF虛擬化交換技術(shù)增加網(wǎng)絡(luò)數(shù)據(jù)中心機房交換網(wǎng)絡(luò)的可靠性及管理便捷性。五、網(wǎng)絡(luò)物理拓撲連接1.制作雙絞線：按568B的標準，制作適當長度的14根網(wǎng)線，并驗證無誤。2.物理拓撲鏈接：根據(jù)下表和網(wǎng)絡(luò)拓撲圖，將所有網(wǎng)絡(luò)設(shè)備與主機連接起來。源設(shè)備名稱設(shè)備接口目標設(shè)備名稱設(shè)備接口Core1E1/0/11Core2E1/0/11Core1E1/0/12Core2E1/0/12Core1E1/0/13Core3E1/0/13Core1E1/0/14Core3E1/0/14Core2E1/0/20PC1Core2G1/0/25HQ-adminG0/0Core2E1/0/23Core3E1/0/23Core2E1/0/24Core3E1/0/24Core3G1/0/25HQ-adminG0/1Core3E1/0/1DC-SW1G1/0/1Core3E1/0/2DC-SW2G1/0/1DC-SW1Ten-G1/0/25DC-SW2Ten-G1/0/26DC-SW1Ten-G1/0/26DC-SW2Ten-G1/0/25DC-SW1G1/0/24DC-SW2G1/0/24DC-SW2G1/0/20Server1HQ-adminS2/0Branch1S2/0HQ-adminS3/0Branch2S2/0Branch1S3/0Branch2S3/0Branch1G0/0PC2Branch2G0/0Server2六、網(wǎng)絡(luò)設(shè)備配置1、網(wǎng)絡(luò)設(shè)備基本配置根據(jù)下表為網(wǎng)絡(luò)設(shè)備配置主機名：設(shè)備名稱配置主機名（Sysname名）說明HQ-adminHQ-admin總公司路由器Branch1Branch1分公司一路由器Branch2Branch2分公司二路由器Core1Core1總公司園區(qū)網(wǎng)三層交換機Core2Core2總公司園區(qū)網(wǎng)三層交換機Core3Core3總公司園區(qū)網(wǎng)三層交換機DC-SW1DC-SW2IRF-SW數(shù)據(jù)中心級交換機2、數(shù)據(jù)中心虛擬化配置數(shù)據(jù)中心交換機需要實現(xiàn)虛擬化。交換機是H3C的5800系列交換機，所支持的虛擬化技術(shù)為IRF。具體需求如下：（1）在2臺數(shù)據(jù)中心級交換機上啟用IRF，要求IRFDomain值為10，并通過將DC-SW1優(yōu)先級調(diào)整為5使DC-SW1成為Master設(shè)備。（2）為了防止IRF鏈路突發(fā)故障導(dǎo)致IRF分裂，要求啟用MAD檢測功能。為了能再最快單位時間內(nèi)檢測出IRF分裂，要求在IRF間采用BFDMAD檢測技術(shù)。所使用的端口為G1/0/24，檢測IP和VLAN可自己規(guī)劃，不與業(yè)務(wù)IP和VLAN沖突即可。（3）并且為了增加IRF的可靠性，要求同時在IRF間啟用用LACPMAD檢測技術(shù)（4）在IRF成員設(shè)備間轉(zhuǎn)發(fā)數(shù)據(jù)時，要求聚合IRF端口能夠?qū)崿F(xiàn)基于數(shù)據(jù)源目MAC地址的負載分擔功能。（5）要求當Master設(shè)備離開IRF時，系統(tǒng)立即會使用新選舉的Master設(shè)備的橋MAC做IRF橋MAC。（6）由于因為BFDMAD和生成樹功能互斥，所以在GigabitEthernet1/0/24和GigabitEthernet2/0/24接口上關(guān)閉生成樹協(xié)議。（7）為了防止IRF系統(tǒng)分裂后IRF設(shè)備DC-SW2變?yōu)镽ecovery狀態(tài)導(dǎo)致其G1/0/20接口下接入的服務(wù)器無法訪問網(wǎng)絡(luò)，要求將DC-SW2的G1/0/20接口配置為IRF保留接口，使該接口其當DC-SW2變?yōu)榈腞ecovery狀態(tài)后依然能夠保證正常轉(zhuǎn)發(fā)數(shù)據(jù)包，以保證服務(wù)器網(wǎng)絡(luò)的穩(wěn)定性。3、廣域網(wǎng)鏈路配置路由器間使用廣域網(wǎng)串口線連接，使用PPP協(xié)議。為了安全起見，需將HQ-admin、Branch1、Branch2之間的鏈路啟用相關(guān)安全認證機制，具體需求如下：（1）在HQ-admin與Branch1相連的串口鏈路上，要求HQ-admin對Branch1使用單向CHAP驗證，認證用戶名為chapuser1，密碼為aabbcc，要求HQ-admin使用chapuser2為用戶名向Branch1發(fā)起chap單向chap認證挑戰(zhàn)報文。（2）在HQ-admin與Branch2相連的串口鏈路上，要求HQ-admin與Branch2之間使用單向PAP驗證(用戶名+密碼的方式)，用戶名為papuser，密碼為aabbcc。（3）在Branch1與Branch2相連的串口鏈路上，要求Branch1對Branch2采用單向pap驗證，用戶名為papuser2，密碼為aabbcc；并要求Branch2同時對Branch1采用單向chap驗證，用戶名為chapuser3，密碼為aabbcc。（4）要求Branch1與Branch2相連的串口IP地址通過ppp協(xié)議從Branch2的串口協(xié)商獲取。（5）要求Branch1與Branch2相連的串口通過ppp協(xié)議從Branch2的串口協(xié)商獲取DNS服務(wù)器地址為5。(1).chap單向驗證HQ-admin：local-userchapuser1passwordcipheraabbccservice-typepppinterfaceSerial2/0link-protocolppppppauthentication-modechappppchapuserchapuser2ipaddress252Branch1:interfaceSerial2/0link-protocolppppppchapuserchapuser1pppchappasswordcipheraabbccipaddress152(2).pap單向驗證HQ-admin：local-userpapuserpasswordcipheraabbccservice-typepppinterfaceSerial1/0link-protocolppppppauthentication-modepapipaddress852Branch2:interfaceSerial2/0link-protocolpppppppaplocal-userpapuserpasswordcipheraabbccipaddress752.pap與chap的單向驗證Branch1:local-userchapuser3passwordcipheraabbccservice-typepppinterfaceSerial1/0link-protocolppppppauthentication-modepappppchapuserchapuser3pppchappasswordcipheraabbccBranch2:local-userchapuser3passwordcipheraabbccservice-typepppinterfaceSerial1/0link-protocolppppppauthentication-modechapppppaplocal-userpapuser2passwordcipheraabbcc.串口ppp協(xié)商獲取ip地址Branch1:interfaceSerial1/0ipaddressppp-negotiateBranch2:interfaceSerial1/0pppipcpdns5remoteaddress6(5).串口ppp協(xié)商獲取dns地址Branch1:interfaceSerial1/0pppipcpdnsrequestBranch2:interfaceSerial1/0pppipcpdns54、園區(qū)交換網(wǎng)鏈路可靠性配置（1）為了增加園區(qū)網(wǎng)核心交換網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)能力，要求實施相關(guān)鏈路匯聚方案，具體需求如下：eq\o\ac(○,1)CORE1與CORE2之間以及CORE1與CORE3之間要求采用二層鏈路匯聚，使用靜態(tài)LACP方式。并且要求按照報文的源MAC地址和目的MAC地址進行匯聚負載分擔的方式，來實現(xiàn)數(shù)據(jù)流量在各成員端口間的負載分擔。eq\o\ac(○,2)Core2與Core3之間要求采用三層鏈路匯聚，使用動態(tài)方式。并且要求按照報文的源IP地址和目的IP地址進行匯聚負載分擔的方式，來實現(xiàn)數(shù)據(jù)流量在各成員端口間的分擔。eq\o\ac(○,3)為了網(wǎng)絡(luò)管理員可以及時獲悉園區(qū)交換網(wǎng)絡(luò)設(shè)備端口變化狀態(tài)，要求開啟CORE2、CORE3之間匯聚接口鏈路狀態(tài)變化Trap功能，使匯聚接口在鏈路狀態(tài)發(fā)生改變時可生成端口Linkup和Linkdown的Trap報文。具體命令（1）eq\o\ac(○,1)CORE1：interfaceBridge-Aggregation1InterfaceE1/0/11portlink-aggregationgroup1InterfaceE1/0/12portlink-aggregationgroup1interfaceBridge-Aggregation1Portlink-typetrunkPorttrunkpermitvlan10110120interfaceBridge-Aggregation2InterfaceE1/0/13portlink-aggregationgroup2InterfaceE1/0/14portlink-aggregationgroup2interfaceBridge-Aggregation2Portlink-typetrunkPorttrunkpermitvlan10110120CORE2：interfaceBridge-Aggregation1InterfaceE1/0/11portlink-aggregationgroup1InterfaceE1/0/12portlink-aggregationgroup1interfaceBridge-Aggregation1Portlink-typetrunkPorttrunkpermitvlan10110120CORE3：interfaceBridge-Aggregation2InterfaceE1/0/13portlink-aggregationgroup2InterfaceE1/0/14portlink-aggregationgroup2interfaceBridge-Aggregation2Portlink-typetrunkPorttrunkpermitvlan10110120eq\o\ac(○,2)[CORE1]link-aggregationload-sharingmodesource-macdestination-mac[CORE2]link-aggregationload-sharingmodesource-macdestination-mac[CORE3]link-aggregationload-sharingmodesource-macdestination-maceq\o\ac(○,1)CORE2：interfaceBridge-Aggregation3Link-aggregationmodedynamicInterfaceE1/0/23portlink-aggregationgroup3InterfaceE1/0/24portlink-aggregationgroup3interfaceBridge-Aggregation3Portlink-typetrunkCORE3：interfaceBridge-Aggregation3Link-aggregationmodedynamicInterfaceE1/0/23portlink-aggregationgroup3InterfaceE1/0/24portlink-aggregationgroup3interfaceBridge-Aggregation3Portlink-typetrunkeq\o\ac(○,2)[CORE1]link-aggregationload-sharingmodesource-ipdestination-ip[CORE2]link-aggregationload-sharingmodesource-ipdestination-ip[CORE3]link-aggregationload-sharingmodesource-ipdestination-ip(3)[CORE2]snmp-agenttrapenablestantardlinkuplinkdown[CORE3]snmp-agenttrapenablestantardlinkuplinkdown（2）為了降低單向鏈路故障對園區(qū)交換網(wǎng)絡(luò)的影響，要求CORE1與CORE2、CORE3之間的鏈路配置開啟相關(guān)DLDP單向鏈路檢測技術(shù)。具體需求如下：eq\o\ac(○,1)要求相關(guān)網(wǎng)絡(luò)設(shè)備DLDP鄰居表項老化時能夠主動探測鄰居是否存在。eq\o\ac(○,2)要求使DLDP檢測到單向鏈路故障后通知網(wǎng)絡(luò)管理員，讓網(wǎng)絡(luò)管理員手工關(guān)閉故障端口。eq\o\ac(○,3)為防止網(wǎng)絡(luò)攻擊和惡意探測，要求啟用明文DLDP報文認證，密碼為aabbcc。eq\o\ac(○,4)為避免鏈路抖動造成DLDP鄰居信息翻滾，要求將DelayDown定時器超時時間設(shè)定為3秒。具體命令[CORE1]:dldpenableInterfacee1/0/11DldpenableInterfacee1/0/12DldpenabledldpenableInterfacee1/0/13DldpenableInterfacee1/0/14DldpenableQuitDldpunidirectional-shutdownmanualDldpauthentication-modesimpleabbccDldpdelaydown-time3[CORE2]:dldpenableInterfacee1/0/11DldpenableInterfacee1/0/12DldpenableQuitDldpunidirectional-shutdownmanualDldpauthentication-modesimpleabbccDldpdelaydown-time3[CORE3]:dldpenableInterfacee1/0/13DldpenableInterfacee1/0/14DldpenableQuitDldpunidirectional-shutdownmanualDldpauthentication-modesimpleabbccDldpdelaydown-time35、vlan虛擬局域網(wǎng)技術(shù)配置為了減小總公司園區(qū)交換網(wǎng)絡(luò)廣播域范圍以及方便網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)管理，要求對總公司園區(qū)交換網(wǎng)絡(luò)進行相關(guān)vlan虛擬局域網(wǎng)技術(shù)的規(guī)劃實施工作。具體需求如下：（1）所有交換機間二層鏈路均采用Trunk鏈路互連，要求配置合理，不允許不必要的VLAN通過。（2）根據(jù)下表，在交換機上完成VLAN配置和端口分配。VLAN編號VLAN名稱說明端口映射VLAN10Sale銷售部Core1、DC-SW1、DC-SW2上的4~6端口VLAN11Product產(chǎn)品部Core1、DC-SW1、DC-SW2上的7~10端口VLAN12Ministry法務(wù)部Core2、DC-SW1、DC-SW2上的15~18端口VLAN110IT信息技術(shù)部Core2上的19~22、DC-SW1、DC-SW2上的19、21~23端口VLAN111Server服務(wù)器區(qū)DC-SW1、DC-SW2上的12~14、20端口VLAN120Manager管理VLAN注意：三層交換機與路由器間、服務(wù)器之間不建議采用VLAN-Interface接口互連，直接采用三層模式互連。（3）Core2交換機有些接口是接入總公司會議室內(nèi)的，專門為公司各部門員工在會議室內(nèi)開會時的筆記本提供網(wǎng)絡(luò)接入服務(wù)，為了各部門員工的筆記本在接入Core2交換機后依然能夠處于各自部門的不同vlan中，這里要求通過相關(guān)配置使Core2交換機能夠根據(jù)E1/0/1~E1/0/5這些接口各自所接入客戶機不同的IP網(wǎng)段動態(tài)的將這些接口劃分到相對應(yīng)的vlan內(nèi)。（4）由于工作需要，該公司網(wǎng)絡(luò)管理員會經(jīng)常攜帶筆記本在公司不同部門內(nèi)進行些日常運維工作，這里要求通過相關(guān)配置使網(wǎng)絡(luò)管理員的筆記本無論接入那個部門的交換下，交換機都將自動根據(jù)網(wǎng)絡(luò)管理員筆記本的MAC地址將其劃入VLAN110內(nèi)。網(wǎng)絡(luò)管理員的MAC地址為：5d-6c-ce-01-01-00。（5）為了降低總公司園區(qū)交換網(wǎng)vlan配置的工作量，要求所有相關(guān)vlan信息均直接配置在數(shù)據(jù)中心交換機上，然后通過配置相應(yīng)的GVRP及trunk技術(shù)使其他交換機可以自動學(xué)習(xí)到相應(yīng)的vlan信息。具體命令[IRF-SW]vlan10Vlan11Vlan12Vlan110Vlan120management-vlan120gvrpInterfacee1/0/1Portlink-typetrunkporttrunkpermitvlan110to12110to111Gvrpgvrpregistrationnormal(缺省為normal)(Gvrptimerhold/join/leavehold定時器<=1/2join定時器<1/2leave定時器<leaveall定時器=32765毫秒)QuitMac-vlanmac-address5d6c-ce01-0100vlan110[core3]gvrp#interfaceBridge-Aggregation2portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to11110gvrp#interfaceBridge-Aggregation3portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to12110link-aggregationmodedynamicgvrp#[core1]:gvrp#interfaceBridge-Aggregation1portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to11120#interfaceBridge-Aggregation2portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to11110gvrp[core2]:gvrpInterfaceBridge-Aggregation1UndoporttrunkpermitvlanallPorttrunkpermitvlan1112120gvrpInterfaceBridge-Aggregation3UndoporttrunkpermitvlanallPorttrunkpermitvlan10111112120Gvrpvlan10ip-subnet-vlan0ip28#vlan11ip-subnet-vlan0ip2892#vlan12ip-subnet-vlan0ip9224#vlan110ip-subnet-vlan0ip2424#interfaceEthernet1/0/1portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/2portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/3portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/4portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/4portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan1106、IP地址規(guī)劃與配置總公司辦公區(qū)各部門以及分公司信息點分布如下：部門信息點銷售部113產(chǎn)品部52法務(wù)部21信息技術(shù)部23服務(wù)器區(qū)18分公司一27分公司二25公司網(wǎng)絡(luò)使用/23地址段。規(guī)劃的結(jié)果如下：區(qū)域IP地址段網(wǎng)關(guān)銷售部/2526產(chǎn)品部28/2690法務(wù)部92/2722信息技術(shù)部24/2754服務(wù)器區(qū)/270分公司一2/272分公司二4/274管理VLAN28/2554公司放置和維護4臺服務(wù)器，其中2臺位于公司總部；另外2臺位于分公司二。所規(guī)劃的服務(wù)器IP地址如下：設(shè)備IP地址網(wǎng)關(guān)Server1（Windows1）8/270Server1（Linux1）9/270Server2（Windows2）5/274Server2（Linux2）6/274為了維護管理方便，計劃給公司內(nèi)所有網(wǎng)絡(luò)設(shè)備配置LoopBack地址或管理地址。要求LoopBack地址使用32位掩碼，管理地址在28/25內(nèi)。所規(guī)劃的LoopBack和管理地址如下所示：設(shè)備IP地址/掩碼Core1的管理地址01/25Core2的管理地址02/25Core3的管理地址03/25IRF-SW的管理地址04/25HQ-admin的LoopBack0地址/32Branch1的LoopBack0地址/32Branch2的LoopBack0地址/32設(shè)備間互連地址使用/26地址段，30位掩碼。規(guī)劃如下：設(shè)備IP地址Core2－HQ-admin/30Core3－HQ-admin2/30HQ-admin－Branch6/30HQ-admin－Branch0/30Branch1－Branch4/30Core2－Core38/30為了應(yīng)對IPv6升級的需要，要求給各公司及部門規(guī)劃實施相應(yīng)的IPv6地址網(wǎng)段。規(guī)劃結(jié)果如下：區(qū)域IPv6網(wǎng)段網(wǎng)關(guān)銷售部2011:10::/642011:10::254/64產(chǎn)品部2011:11::/642011:11::254/64法務(wù)部2011:12::/642011:12::254/64信息技術(shù)部2011:110::/642011:110::254/64服務(wù)器區(qū)2011:111::/642011:111::254/64分公司一2012:2012::/642012:2012::1:254/64分公司二2013:2013::/642013:2013::1:254/64管理VLAN2011:120::/642011:120::254/64設(shè)備間互連IPv6地址表設(shè)備IP地址Core2－HQ-admin2011:2011::12:2/120–2011:2011::12:1/120Core3－HQ-admin2011:2011::13:3/120–2011:2011::13:1/120HQ-admin－Branch22011:2013::13:1/126–2011:2013::13:2/126HQ-admin－Branch12011:2012::12:1/126–2011:2012::12:2/126Branch1－Branch22012:2013::23:1/126–2011:2011::23:2/126Core2－Core32011:2011::23:2/120–2011:2011::23:3/120Branch1－PC22012:2012::1:254/64–通過DHCPv6獲取Branch2－Windows22013:2013::1:254/64–2013:2013::1:1/64[Core1]#interfaceVlan-interface120ipaddress0128[core2]]interfaceEthernet1/0/5portlink-moderouteipaddress052#interfaceVlan-interface120ipaddress0228[core3]#interfaceVlan-interface120ipaddress0328#interfaceEthernet1/0/5portlink-moderouteipaddress4527、STP及VRRP配置（1）MSTP配置：在交換機上配置MSTP防止二層環(huán)路，要求mstp域名統(tǒng)一為jsj，具體需求如下：eq\o\ac(○,1)要求Core3通過作為產(chǎn)品部和法務(wù)部所在VLAN的主根，Core2作為其他VLAN的主根，且互為備份。（要求不允許通過手工調(diào)整優(yōu)先級實現(xiàn)）eq\o\ac(○,2)在數(shù)據(jù)中心交換機的所有連接終端的端口上啟用邊緣端口特性。[core1]:Stpenable#stpregion-configurationinstance1vlan10110instance2vlan11to12activeregion-configuration[core2]:Stpenable#stpregion-configurationinstance1vlan10110instance2vlan11to12activeregion-configuration#stpinstance1rootprimarystpinstance2rootsecondarystpenable[core3]#stpregion-configurationinstance1vlan10110instance2vlan11to12activeregion-configuration#stpinstance1rootsecondarystpinstance2rootprimarystpenable[IRF-SW]:intG1/0/20Stpedge-portenable（2）基于IPv4的VRRP配置：為了提升總公司園區(qū)交換網(wǎng)主機IPv4網(wǎng)關(guān)健壯性，在三層交換機Core2和Core3上配置基于IPv4的VRRP技術(shù)，實現(xiàn)主機的IPv4網(wǎng)關(guān)冗余，具體需求如下：eq\o\ac(○,1)要求在正常情況下，產(chǎn)品部和法務(wù)部所在VLAN內(nèi)主機的數(shù)據(jù)流經(jīng)由三層交換機Core3HQ-admin進行轉(zhuǎn)發(fā)（不允許經(jīng)由Core2轉(zhuǎn)發(fā)）；當Core3發(fā)生故障時，主機的數(shù)據(jù)流切換到經(jīng)Core2HQ-admin進行轉(zhuǎn)發(fā)；故障恢復(fù)后，主機的數(shù)據(jù)流又能夠切換回去。eq\o\ac(○,2)在正常情況下，其它各部門內(nèi)主機的數(shù)據(jù)流經(jīng)由三層交換機Core2HQ-admin轉(zhuǎn)發(fā)（不允許經(jīng)由Core3轉(zhuǎn)發(fā)）；當Core2發(fā)生故障時，主機的數(shù)據(jù)流切換到經(jīng)Core3HQ-admin轉(zhuǎn)發(fā)；故障恢復(fù)后，主機的數(shù)據(jù)流又能夠切換回去。其中各VRRP組中高優(yōu)先級設(shè)置為150，低優(yōu)先級設(shè)置為110。eq\o\ac(○,3)為了避免備份組內(nèi)的成員頻繁進行主備狀態(tài)轉(zhuǎn)換，讓備網(wǎng)關(guān)有足夠的時間搜集必要的信息（如路由信息），備網(wǎng)關(guān)接收到優(yōu)先級低于本地優(yōu)先級的通告報文后，不會立即搶占成為主網(wǎng)關(guān)，而是等待5秒鐘時間后，才會對外發(fā)送VRRP通告報文取代原來的主網(wǎng)關(guān)。eq\o\ac(○,4)在正常情況下如果主網(wǎng)關(guān)設(shè)備的上行鏈路出現(xiàn)故障，則VRRP是無法檢測到的，所以我們要求通過配置VRRP上行鏈路檢測功能為了防止這種情況的發(fā)生，當主網(wǎng)關(guān)設(shè)備上行鏈路發(fā)生故障時，主網(wǎng)關(guān)設(shè)備能夠自動降低自身優(yōu)先級，使備網(wǎng)關(guān)設(shè)備能夠搶占成為新主網(wǎng)關(guān)設(shè)備為客戶端繼續(xù)提供數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)。eq\o\ac(○,5)為了方便網(wǎng)絡(luò)管理員可以及時通過SNMP了解相關(guān)VRRP網(wǎng)絡(luò)設(shè)備的VRRP運行狀態(tài)信息，要求開啟VRRP的Trap功能，讓網(wǎng)絡(luò)管理人員可以及時了解新主網(wǎng)關(guān)的變更狀態(tài)信息。eq\o\ac(○,6)為了防止備份組中存在IP地址擁有者，且備份組虛擬IP地址是與虛擬MAC地址相對應(yīng)時而造成的一個IP地址對應(yīng)兩個MAC地址的地址混對應(yīng)混亂問題，要求將虛擬IP地址對應(yīng)的MAC地址的類型配置為接口的實際MAC地址對應(yīng)類型。[core2]:vrrpmethodreal-mac#interfaceVlan-interface10ipv6address2011:10::252/64ipaddress2428vrrpvrid1virtual-ip26vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50#interfaceVlan-interface12ipv6address2011:12::252/64ipaddress2024vrrpvrid1virtual-ip22vrrpvrid1priority110vrrpvrid1preempt-modetimerdelay5#interfaceVlan-interface110ipv6address2011:110::252/64ipaddress5224vrrpvrid1virtual-ip54vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50[core3]:interfaceVlan-interface10ipv6address2011:10::253/64ipaddress2528vrrpvrid1virtual-ip26vrrpvrid1priority110vrrpvrid1preempt-modetimerdelay5#interfaceVlan-interface11ipv6address2011:11::253/64ipaddress8992vrrpvrid1virtual-ip90vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50#interfaceVlan-interface12ipv6address2011:12::253/64ipaddress2124vrrpvrid1virtual-ip22vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50#interfaceVlan-interface110ipv6address2011:110::253/64ipaddress5324vrrpvrid1virtual-ip54vrrpvrid1priority110vrrpvrid1preempt-modetimerdelay5#snmp-agenttrapenablevrrpnewmaster（3）基于IPv6的VRRP配置：為了提升總公司園區(qū)交換網(wǎng)的健壯性，在三層交換機Core2和Core3上配置基于IPv6的VRRP，實現(xiàn)主機的IPv6網(wǎng)關(guān)冗余，具體需求如下：eq\o\ac(○,1)要求在正常情況下，三層交換機Core2作為產(chǎn)品部和法務(wù)部所在VLAN內(nèi)主機的IPv6數(shù)據(jù)流的主網(wǎng)關(guān)，而三層交換機Core3則作為產(chǎn)品部和法務(wù)部所在VLAN內(nèi)主機的IPv6數(shù)據(jù)流的備網(wǎng)關(guān)，但是這里要求主網(wǎng)關(guān)設(shè)備與備網(wǎng)關(guān)設(shè)備能夠都同時為客戶端用戶提供IPv6數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)，以此提升網(wǎng)絡(luò)設(shè)備的資源利用率。eq\o\ac(○,2)在正常情況下，三層交換機Core3作為其它各部門內(nèi)主機所在VLAN內(nèi)主機的IPv6數(shù)據(jù)流的主網(wǎng)關(guān)，而三層交換機Core2則作為其它各部門內(nèi)主機所在VLAN內(nèi)主機的IPv6數(shù)據(jù)流的備網(wǎng)關(guān)，但是這里要求主網(wǎng)關(guān)設(shè)備與備網(wǎng)關(guān)設(shè)備能夠都同時為客戶端用戶提供IPv6數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)，以此提升網(wǎng)絡(luò)設(shè)備的資源利用率。其中各VRRP組中高優(yōu)先級設(shè)置為130，低優(yōu)先級設(shè)置為110。eq\o\ac(○,3)在正常情況下，主網(wǎng)關(guān)出現(xiàn)故障時，備網(wǎng)關(guān)若只依賴于VRRP通告報文的超時時間來判斷是否應(yīng)該搶占，切換時間一般在3秒～4秒之間，無法達到秒級以下的切換速度，所以這里要求備網(wǎng)關(guān)通過配合BFD技術(shù)檢測主網(wǎng)關(guān)的運行狀態(tài)，使其能夠在毫秒級的時間內(nèi)發(fā)現(xiàn)主網(wǎng)關(guān)的故障，立即搶占成為主網(wǎng)關(guān)，加快切換速度。檢測IP可自己規(guī)劃，不與業(yè)務(wù)IP沖突即可。eq\o\ac(○,4)在正常情況下如果主網(wǎng)關(guān)設(shè)備的上行鏈路出現(xiàn)故障，則VRRP是無法檢測到的，所以我們要求通過配置VRRP上行鏈路檢測功能為了防止這種情況的發(fā)生，當主網(wǎng)關(guān)設(shè)備上行鏈路發(fā)生故障時，主網(wǎng)關(guān)設(shè)備能夠自動降低其虛擬轉(zhuǎn)發(fā)器的權(quán)重，以便其他設(shè)備接管它的轉(zhuǎn)發(fā)任務(wù)。eq\o\ac(○,5)為了防止非法用戶構(gòu)造報文攻擊備份組，通過簡單字符認證方法驗證VRRPv6各備份組中的VRRP報文，認證密鑰為hello。eq\o\ac(○,6)為了方便網(wǎng)絡(luò)管理員可以及時通過SNMP了解相關(guān)VRRP網(wǎng)絡(luò)設(shè)備的VRRP運行狀態(tài)信息，要求開啟VRRP的Trap功能，讓網(wǎng)絡(luò)管理人員可以及時了解VRRP備份組認證失敗的狀態(tài)信息。interfaceVlan-interface10ipv6address2011:10::253/64Vrrpipv6vrid2virtual-ip2011:11::254Vrrpipv6vrid2priotity130bfdecho-source-ipBfdsessioninit-modeactiveInterfacee1/0/5Bfdmin-echo-receive-interval20snmp-agenttrapenablevrrpauthfailure8、路由協(xié)議配置（1）要求為總公司Core2、Core3、HQ-admin以及分公司一Branch1配置運行OSPF路由協(xié)議，以實現(xiàn)公司網(wǎng)絡(luò)的正常通信，具體需求如下：eq\o\ac(○,1)總公司配置為OSPF的骨干區(qū)域，總公司與分公司一之間的專線為area10區(qū)域，要求分公司一Branch1通過重分布直連將其直連網(wǎng)絡(luò)匯入OSPF路由表中。eq\o\ac(○,2)不允許OSPF將路由發(fā)布給PC、服務(wù)器等非網(wǎng)絡(luò)設(shè)備。（靜默端口）eq\o\ac(○,3)為了配置OSPF參考帶寬為100Gbpseq\o\ac(○,4)要求使用精確通配符(wildcardbits)通告eq\o\ac(○,5)為了避免路由信息外泄或者OSPF網(wǎng)絡(luò)設(shè)備受到惡意攻擊，要求啟用OSPF接口認證，認證方式md5，認證密鑰為123456。eq\o\ac(○,6)正常情況下當鏈路出現(xiàn)故障時OSPF自身往往只能在幾秒內(nèi)發(fā)現(xiàn)并實現(xiàn)收斂動作。所以為了加快OSPF對鏈路故障得感知速度，要求為HQ-admin與Core2、Core3相連的OSPF鏈路配置BFD檢測技術(shù)并與OSPF路由協(xié)議實現(xiàn)聯(lián)動，當BFD探測到鏈路故障時能夠立即告知OSPF路由協(xié)議，使OSPF路由協(xié)議能夠在1秒鐘以內(nèi)感知到鏈路故障然后實現(xiàn)相關(guān)的路由收斂動作。eq\o\ac(○,7)為了減少area10區(qū)域的OSPFLSA信息泛洪數(shù)量，要求將area10區(qū)域配置為NSSA區(qū)域。eq\o\ac(○,8)由于HQ-admin與Branch1路由器專線之間的線路相對來說屬于低速鏈路，所以要求將HQ-admin與Branch1路由器專線之間的線路的OSPFLSA信息傳輸延遲時間增加至3秒。eq\o\ac(○,9)為了便于網(wǎng)絡(luò)管理員查詢OSPF相關(guān)錯誤日志信息，要求啟用OSPF路由協(xié)議的錯誤信息日志功能eq\o\ac(○,10)為了當路由器接收和處理的報文數(shù)量很大時能夠保證OSPF路由協(xié)議的正常運行以及OSPF鄰居關(guān)系的穩(wěn)定性，要求配置相關(guān)網(wǎng)絡(luò)設(shè)備OSPF優(yōu)先接收并處理Hello報文。（2）要求為總公司Core2、Core3、HQ-admin以及分公司二Branch2配置運行OSPFv3路由協(xié)議，以實現(xiàn)公司IPv6網(wǎng)絡(luò)的正常通信，具體需求如下：eq\o\ac(○,1)總公司配置為OSPFv3的骨干區(qū)域，總公司與分公司二之間的專線以及分公司二內(nèi)部網(wǎng)絡(luò)IPv6網(wǎng)段為area12區(qū)域。eq\o\ac(○,2)不允許OSPFv3將路由發(fā)布給PC、服務(wù)器等非網(wǎng)絡(luò)設(shè)備。eq\o\ac(○,3)為了配置OSPFv3參考帶寬為100Gbps。eq\o\ac(○,4)要求將OSPFv3的Hello報文發(fā)送間隔配置為8秒。eq\o\ac(○,5)為了避免路由信息外泄或者OSPFv3網(wǎng)絡(luò)設(shè)備受到惡意攻擊，要求為Area0配置OSPFv3區(qū)域認證，認證方式md5，認證密鑰為123456。eq\o\ac(○,6)正常情況下當鏈路出現(xiàn)故障時OSPFv3自身往往只能在幾秒內(nèi)發(fā)現(xiàn)并實現(xiàn)收斂動作。所以為了加快OSPFv3對鏈路故障得感知速度，要求為HQ-admin與Core2、Core3相連的OSPFv3鏈路配置BFD檢測技術(shù)并與OSPFv3路由協(xié)議實現(xiàn)聯(lián)動，當BFD探測到鏈路故障時能夠立即告知OSPFv3路由協(xié)議，使OSPFv3路由協(xié)議能夠在1秒鐘以內(nèi)感知到鏈路故障然后實現(xiàn)相關(guān)的路由收斂動作。eq\o\ac(○,7)為了減少area12區(qū)域的OSPFv3LSA信息泛洪數(shù)量，要求將area12區(qū)域配置為Stub區(qū)域。eq\o\ac(○,8)由于OSPFarea12區(qū)域被配置為Stub區(qū)域后，其OSPFLSA信息數(shù)量并不會太多，再這種情況下并沒有必要去檢查其LSA報文中MTU的大小，所以這里要求為Area12區(qū)域配置忽略DD報文中的MTU檢查，從而提高Area12區(qū)域中相關(guān)網(wǎng)絡(luò)設(shè)備的OSPF路由收斂性能。eq\o\ac(○,9)為了便于網(wǎng)絡(luò)管理員查看OSPFv3路由協(xié)議的相關(guān)鄰居狀態(tài)信息，要求啟用OSPFv3路由協(xié)議的鄰居狀態(tài)變化信息輸出開關(guān)。（3）要求為總公司園區(qū)交換網(wǎng)交換設(shè)備配置rip路由協(xié)議，以實現(xiàn)總公司園區(qū)交換網(wǎng)絡(luò)的正常通信，具體需求如下：eq\o\ac(○,1)要求配置rip路由協(xié)議版本統(tǒng)一為版本2。eq\o\ac(○,2)為了避免路由信息外泄或者rip網(wǎng)絡(luò)設(shè)備受到惡意攻擊，不允許將rip路由發(fā)布給PC、服務(wù)器等非網(wǎng)絡(luò)設(shè)備。eq\o\ac(○,3)為了提升交換網(wǎng)絡(luò)環(huán)境的安全性，要求啟用rip路由協(xié)議的認證功能，認證方式為md5密文認證方式，認證密鑰為123456。eq\o\ac(○,4)為了便于網(wǎng)絡(luò)管理員能夠在NMS平臺通過SNMP接收到運行rip路由協(xié)議的交換機的rip進程信息，要求將在運行了rip路由協(xié)議的交換機上將rip進程與SNMP的MIB進行綁定。eq\o\ac(○,5)為了加快rip路由協(xié)議的路由收斂速度，要求手工將rip路由協(xié)議的Update定時器時間調(diào)整為20秒。eq\o\ac(○,6)由于正常情況下rip路由協(xié)議對鏈路故障的響應(yīng)速度過慢，為了加快rip路由協(xié)議對鏈路故障相應(yīng)速度，要求配置BFDecho報文單跳檢測鏈路故障檢測技術(shù)并與rip路由協(xié)議聯(lián)動，使rip路由協(xié)議能夠在1秒以內(nèi)感知相應(yīng)鏈路故障的發(fā)生。eq\o\ac(○,7)由于總公司園區(qū)交換網(wǎng)中每臺設(shè)備的負載均衡鏈路并不多，所以這里要求將rip路由協(xié)議的最大等價路由條數(shù)減少為4條。eq\o\ac(○,8)為了防止網(wǎng)絡(luò)中同時發(fā)送大量RIP協(xié)議報文有可能會對當前設(shè)備和網(wǎng)絡(luò)帶寬帶來沖擊，要求配置rip路由協(xié)議的報文發(fā)送速率為每個15毫秒發(fā)送一次，每次最多發(fā)送2個rip報文。為了實現(xiàn)公司全網(wǎng)數(shù)據(jù)流量的互通性，要求相關(guān)網(wǎng)絡(luò)設(shè)備上將rip路由與ospf路由互相進行路由重分布，其中要求OSPF路由信息被重分布入RIP路由表之后的COST值為2。（5）要求為總公司園區(qū)交換網(wǎng)交換設(shè)備配置RIPng路由協(xié)議，以實現(xiàn)總公司園區(qū)交換網(wǎng)絡(luò)的IPv6數(shù)據(jù)流量的正常轉(zhuǎn)發(fā)，具體需求如下：eq\o\ac(○,1)為了加快RIPng路由協(xié)議的路由收斂速度，要求手工將RIPng路由協(xié)議的Update定時器時間調(diào)整為20秒eq\o\ac(○,2)由于總公司園區(qū)交換網(wǎng)中每臺設(shè)備的負載均衡鏈路并不多，所以這里要求將RIPng路由協(xié)議的最大等價路由條數(shù)減少為4條。eq\o\ac(○,3)為了避免路由信息外泄或者RIPng網(wǎng)絡(luò)設(shè)備受到惡意攻擊，要求相關(guān)運行了RIPng路由協(xié)議的交換設(shè)備必須配置RIPngIPsec安全策略設(shè)備之間的RIPng報文進行有效性檢查和驗證。（6）為了實現(xiàn)公司全網(wǎng)IPv6數(shù)據(jù)流量的互通性，要求相關(guān)網(wǎng)絡(luò)設(shè)備上將RIPng路由與OSPFv3路由互相進行路由重分布，其中要求OSPFv3路由信息被重分布入RIP路由表之后的COST值為3。OSPFHQ-admin:interfaceinterfaceSerial2/0ipaddress152ospfauthentication-modemd51cipheraabbccospftrans-delay3interfaceEthernet0/0ospfbfdenablebfdmin-transmit-interval100bfdmin-receive-interval100bfddetect-multiplier5interfaceEthernet0/1ospfbfdenableechobfdmin-receive-interval200ospfpacket-processprioritized-treatmentospf1import-routedirectbandwidth-reference100000areanetworknetwork2networkarea0network0nssaBranch1：interfaceSerial2/0ipaddress152ospfauthentication-modemd51cipheraabccospfpacket-processprioritized-treatmentospf1import-routedirectsilent-interfaceEthernet0/0bandwidth-reference100000area0network3network0networknssaCore2:interfaceEthernet1/0/5ospfauthentication-modemd51cipher123456ospfbfdenablebfdmin-transmit-interval100bfdmin-receive-interval100bfddetect-multiplier5ospfpacket-processprioritized-treatmentospf1import-routerip1silent-interfaceEthernet1/0/20bandwidth-reference100000areanetwork02network0Core3:interfaceEthernet1/0/5ospfauthentication-modemd51cipher123456ospfbfdenableechobfdmin-receive-interval200ospfpacket-processprioritized-treatmentospf1import-routerip1bandwidth-reference100000areanetwork03network4OSPFv3HQ-admin:interfaceSerial2/0ospftimerhello8ospfv31area2ospfv3mtu-ignoreOspfv3bfdenableospfv3authentication-modemd5rfc2453123456ospfv31silent-interfaceEthernet0/0bandwidth-reference1000000area2stubCore2:interfaceEthernet1/0/5portlink-moderouteospfv31areaospfv3mtu-ignoreospfv3timerhelloOspfv3bfdenableospfv3authentication-modemd5rfc2453123456ospfv31areasilent-interfaceEthernet1/0/20bandwidth-reference1000000log-peer-changeRIP:Core2:interfaceEthernet1/0/5ripauthentication-modemd5rfc2453cipher123456ripbfdenableripmib-binding1rip1version2networknetworkmaximumload-balancing4timersupdate20output-delay15count2import-routeospf1cost2RIPng:ripng1timersupdate20maximumload-balancing4RIPngIPsecvpn:score2:[score2]ipsecproposalaaa[score2-ipsec-proposal-aaa]encapsulation-modetransport[score2-ipsec-proposal-aaa]transformesp[score2-ipsec-proposal-aaa]espencryption-algorithmdes[score2-ipsec-proposal-aaa]espauthentication-algorithmsha1[score2]ipsecpolicyccc10manual[score2-ipsec-policy-manual-ccc-10]proposalaaa[score2-ipsec-policy-manual-ccc-10]saspioutboundesp12345[score2-ipsec-policy-manual-ccc-10]saspiinboundesp12345[score2-ipsec-policy-manual-ccc-10]sastring-keyoutboundesp789[score2-ipsec-policy-manual-ccc-10]sastring-keyinboundesp789[score2]ripng1[score2-ripng-1]ipsec-policycccscore3:[score3]ipsecproposalaaa[score3-ipsec-proposal-aaa]encapsulation-modetransport[score3-ipsec-proposal-aaa]transformesp[score3-ipsec-proposal-aaa]espencryption-algorithmdes[score3-ipsec-proposal-aaa]espauthentication-algorithmsha1[score3]ipsecpolicyccc10manual[score3-ipsec-policy-manual-ccc-10]proposalaaa[score3-ipsec-policy-manual-ccc-10]saspioutboundesp12345[score3-ipsec-policy-manual-ccc-10]saspiinboundesp12345[score3-ipsec-policy-manual-ccc-10]sastring-keyoutboundespabcdefg[score3-ipsec-policy-manual-ccc-10]sastring-keyinboundespabcdefg[score3]ripng1[score3-ripng-1]ipsec-policyccc（7）要求為分公司二與總公司邊界路由器配置BGPv4，以實現(xiàn)分公司二與總公司網(wǎng)絡(luò)的正常通信，具體需求如下：分配給分公司二的BGPAS號為65004，分配給總公司的BGPAS號為65005，AS65004和AS65005通過設(shè)備Branch2和HQ-admin相連。現(xiàn)要求BGP實現(xiàn)分公司二能夠訪問總公司內(nèi)部網(wǎng)絡(luò)的網(wǎng)段，總公司能夠訪問分公司二內(nèi)部網(wǎng)絡(luò)的