本模拟试题聚焦于一个典型的中型企业园区网络升级与安全加固项目,旨在考察网络工程师在网络规划、设备配置、故障排查及安全策略部署等方面的综合应用能力。
项目背景
某公司原有网络结构简单,核心为一台三层交换机,接入层为百兆二层交换机。随着业务发展,移动办公、视频会议等应用导致网络拥堵、无线覆盖不均、安全事件频发。现计划对园区网进行升级改造。
需求分析
1. 性能与可靠性:核心层实现万兆互联与设备冗余,接入层升级至千兆,提升整网吞吐量。关键业务服务器需保证高可用性。
2. 无线网络:实现办公区、会议室、公共区域无缝漫游,并支持大量终端并发接入。
3. 安全与管理:实现不同部门(如研发、财务、行政)之间的访问隔离;防范外部攻击与内部信息泄露;具备集中网络管理与日志审计能力。
4. 互联网接入:优化出口链路,提升访问公网速度与稳定性。
规划设计(考查点)
1. 拓扑与架构:采用经典的三层架构(核心、汇聚、接入)。请设计逻辑拓扑图,并说明核心层采用双机热备(如VRRP、堆叠)的方案选择与理由。
2. VLAN与IP规划:根据部门划分VLAN,例如VLAN 10(研发)、VLAN 20(财务)、VLAN 30(行政),并规划合理的IP地址段。阐述Trunk端口配置要点。
3. 无线网络设计:部署基于无线控制器(AC)的瘦AP(Fit AP)架构。说明SSID规划、射频调优、以及实现无缝漫游的关键技术(如802.11k/v/r)。
4. 路由协议:在核心与汇聚层之间运行动态路由协议(如OSPF),请简述区域划分与骨干区域设计原则。
5. 安全部署:
- 访问控制:在核心交换机上配置ACL,实现财务VLAN仅允许访问特定服务器,禁止访问互联网。
- 边界安全:在出口防火墙上配置NAT、防DoS攻击策略,并开通对内部服务器的特定端口映射(如HTTP/HTTPS)。
- 网络管理:部署网络管理系统(NMS),配置SNMP协议,实现设备状态监控与告警。
配置与实施模拟
1. 给出核心交换机上创建上述VLAN,并将端口划分至相应VLAN的基础配置命令片段。
2. 给出在AC上创建一个名为“Staff”的SSID,并绑定到VLAN 10的典型配置步骤。
3. 在出口防火墙上,配置一条允许内网(192.168.0.0/16)访问互联网的PAT转换命令示例。
故障排查场景
场景:财务部用户无法访问公司的ERP服务器(该服务器位于服务器专用VLAN),但可以正常访问互联网。请提供系统性的排查思路(如:检查终端IP与网关、检查ACL策略、检查VLAN间路由、检查服务器防火墙设置等)。
试题
本题整合了网络工程师实际工作中的多个核心技能模块。考生需在理解需求的基础上,进行系统性的设计,并具备将设计方案转化为具体配置命令的能力,同时能运用逻辑分析处理网络故障。复习时应重点掌握园区网经典架构、VLAN/路由协议原理、无线网络组网、以及防火墙基本安全策略配置,并加强动手实验与案例分析能力。
