【正确答案】Switch#configure terminal Switch(config)# hostname AccessSwitch6 AccessSwitch6(config)# enable secret secretpasswdtest AccessSwitch6(config)# interface vlan1 AccessSwitch6(config-if)# ip address 192.168.0.6 255.255.255.0 AccessSwitch6(config-if)# no shutdown AccessSwitch6(config-if)# exit AccessSwitch6(config)# ip default-gateway 192.168.0.254 AccessSwitch6(config)# interface range fastethernet 0/1-10 Accessswitch6(config-if-range)# switchport mode access AccessSwitch6(config-if-range)# switchport access vlan20 AccessSwitch6(config-if-range)# interface range fastethemet 0/11-22 AccessSwitch6(config-if-range)# switchport mode access Accessswitch6(config-if-range)# switehport access vlan30 AccessSwitch6(config-if-range)# interface range fastethemet 0/23-24 AccessSwitch6(config-if-range)# switchport mode trunk AccessSwitch6(config-if-range)# switchport trunk allowed vlan 1，20，30 AccessSwitch6(conng-if-range)# switchport trunk encapsulation dotlq AccessSwitch6(config-if-range)#

【答案解析】该园区网采用了核心层、汇聚层、接入层3层架构，由交换模块、广域网接入模块、远程访问模块和服务器群4大部分组成。在YU公司园区网组网方案设计中，按照应用需求，在网络中需要设置VLAN、快速端口、链路捆绑、Internet接入等功能。为简化起见，除管理VLAN外，表只规划了7个VLAN，同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。 在上图所示的拓扑结构中，接入层交换机拥有24个10/100Mbps自适应快速以太网端口。设置交换机名称，也就是设置出现在交换机CLI提示符中的名字。一般以地理位置或行政划分来为交换机命名。当需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。将接入层交换机Switch6命名为AccessSwitch6的配置过程如下： Switch# configure terminal Switch (config) # hostname AccessSwitch6 AccessSwitch6 (config) # 当用户在普通用户模式下想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。 将交换机的加密口令设置为secretpasswdtest的配置语句如下： AccessSwitch6 (config) # enable secret secretpasswdtest 接入层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给接入层交换机的每个端口设置IP地址是没有意义的。但是，为了使网络管理人员可以从远程登录到接入层交换机上进行管理，必须给接入层交换机设置一个管理用IP地址。在这种情况下，实际上是将交换机看成和PC一样的主机。 给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照上表，管理VLAN所在的子网是192.168.0.0/24。将接入层交换机Switch6的管理IP地址设置为192.168.0.6/24，并激活本征VLAN的配置过程如下： AccessSwitch6 (config) # interface vlan1 AccessSwitch6 (config-if) # ip address 192.168.0.6 255.255.255.0 AccessSwitch6 (config-if) # no shutdown 为了使网络管理人员可以在不同的子网中管理交换机Switch6，还应设置默认网关地址192.168.0.254。其配置过程如下： AccessSwitch6 (config) # ip default-gateway 192.168.0.254 接入层交换机为终端用户提供接入服务。在上图中，接入层交换机Switch6为VLAN20、VLAN30提供接入服务。设置接入层交换机Switch6的端口1～10工作于静态访问(接入)模式；同时，设置端口1～10为VLAN20的成员的配置过程如下： AccessSwitch6 (config) # interface range fastethernet 0/1-10 AccessSwitch6 (config-if-range) # switchport mode access AccessSwitch6 (config-if-range) # switchport access vlan20 设置接入层交换机Switch6的端口11～22工作于静态访问模式；同时，设置端口11～22为VLAN30的成员的配置过程如下： AccessSwitch6 (config) # interface range fastethernet 0/11-22 AccessSwitch6 (config-if-range) # switchport mode access AccessSwitch6 (config-if-range) # switchport access vlan30 在上图所示的拓扑结构中，接入层交换机Switch6通过端口FastEthernet 0/23上连到汇聚层交换机Switch3的端口FastEthernet 0/23。同时，接入层交换机Switch6还通过端口FastEthernet 0/24上连到汇聚层交换机Switch4的端口FastEthemet 0/23。交换机Switch6的这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。设置接入层交换机Switch6的端口FastEthernet 0/23、FastEthemet 0/24为主干道端口，配置允许中继的VLAN，封装IEEE 802.1Q协议的配置语句如下： AccessSwitch6 (config) # interface range fastethernet 0/23-24 AccessSwitch6 (config-if-range) # switchport mode trunk AccessSwitch6 (config-if-range) # switchport trunk allowed vlan 1，20，30 AccessSwitch6 (config-if-range) # switchport trunk encapsulation dotlq AccessSwitch6 (config-if-range) # 注意，应尽量一个一个指定允许通过的VLAN ID，避免对端口进行switchport trunkallowed vlan all或switchport trunk allowed vlan 1-200之类的配置操作。这种配置操作的目的是尽可能减少网络中的广播报文，从而有助于提高复杂组网环境中网络服务的稳定性。

【正确答案】DistributeSwitch3(config)# vtp domain test DistributeSwitch3(config)# vtp mode server Distrmuteswitch3(config)# vtp pruning DistributeSwitch3(config)# vlan10 DistributeSwitch3(config-vlan)# name Xsb DistributeSwitch3(config-vlan)# exit DistributeSwitch3(config)# ip routing DistributeSwitch3(config)# interface vlan10 DistributeSwitch3(config-if)# ip address 192.168.10.254 255.255.255.0 DistributeSwitch3(config-if)# no shutdown DistributeSwitch3(config-if)# exit DistributeSwitch3(config)# ip route 0.0.0.0 0.0.0.0 gigabitethernet0/1

【答案解析】在上图所示的拓扑结构中，汇聚层交换机采用的是三层交换机，拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GB端口供上连使用。当网络中交换机的数量很多时，需要分别在每台交换机上创建很多重复的VLAN，工作量很大，过程很烦琐，并且容易出错。在实际工作中常采用VLAN中继协议(VTP)来解决这个问题。VTP允许在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义到所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而可大大减轻网络管理人员配置交换机的负担。 共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个域名。不同VTP管理域的交换机之间不交换VTP通告信息。将VTP管理域的域名定义为test的配置语句如下： DistributeSwitch3 (config) # vtp domain test 工作在VTP服务器模式下的交换机可以创建、删除VLAN，修改VLAN参数；同时，还有责任发送和转发VLAN更新消息。设置汇聚层交换机Switch3成为VTP服务器的配置语句如下： DistributeSwitch3 (config) # vtp mode server 在默认情况下，主干道传输所有VLAN的用户数据。若交换网络中，某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。此时，可以激活主干道上的VTP剪裁功能。当激活VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。激活VTP剪裁功能的配置语句如下： DistributeSwitch3 (config) # vtp pruning 在本园区网案例中，除了默认的本征VLAN外，又额外定义了7个VLAN(见上表)。由于使用了VTP技术，因此所有VLAN的定义都只需要在VTP服务器(即汇聚层交换机Switch3)上进行。在汇聚层交换机Switch3上定义相应的VLAN，并为每个VLAN命名的配置语句如下： Switch# configure terminal DistributeSwitch3(config)# vlanl0 DistributeSwitch3(config-vlan)# name Xsb DistributeSwitch3(config-vlan)# vlan20 DistributeSwitch3(config-vlan)# name Scb DistributeSwitch3(config-vlan)# vlan30 DistributeSwitch3(config-vlan)# name Sjb DistributeSwitch3(config-vlan)# vlan40 DistributeSwitch3(config-vlan)# name Cwc DistributeSwitch3(config-vlan)# vlan50 DistributeSwitch3(config-vlan)# name Hdzx DistributeSwitch3(config-vlan)# vlan60 DistributeSwitch3(config-vlan)# name Zgss DistributeSwitch3(config-vlan)# vlanl00 DistributeSwitch3(config-vlan)# name Fwqq 汇聚层除了负责将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。换言之，汇聚层交换机Switch3需要为网络中的各个VLAN提供路由功能。 首先使用ip routing命令启用汇聚层交换机的路由功能，接着为每个VLAN定义自己的默认网关地址，然后还需要定义通往Internet的路由。具体的配置步骤、命令如下： DistributeSwitch3(config)# ip routing DistributeSwitch3(config)# interface vlan10 DistributeSwitch3(config-if)# ip address 192.168.10.254 255.255.255.0 DistributeSwitch3(config-if)# no shutdown DistributeSwitch3(config-if)# interface vlan20 DistributeSwitch3(config-if)# ip address 192.168.20.254 255.255.255.0 DistributeSwitch3(config-if)# no shutdown DistributeSwitch3(config-if)# interface vlan30 DistributeSwitch3(config-if)# ip address 192.168.30.254 255.255.255.0 DistributeSwitch3(confiq-if)# no shutdown DistributeSwitch3(config-if)# interface vlan40 DistributeSwitch3(config-if)# ip address 192.168.40.254 255.255.255.0 DistributeSwitch3(config-if)# no shutdown DistributeSwitch3(config-if)# interface vlan50 DistributeSwitch3(config-if)# ip address 192.168.50.254 255.255.255.0 DistributeSwitch3(config-if)# no shutdown DistributeSwitch3(config-if)# interface vlan60 DistributeSwitch3(config-if)# ip address 192.168.60.254 255.255.255.0 DistributeSwitch3(config-if)# no shutdown DistributeSwitch3(config-if)# interface vlanl00 DistributeSwitch3(config-if)# ip address 192.168.100.254 25.5.255.255.0 DistributeSwitch3(config-if)# no shutdown DistributeSwitch3(config-if)# exit DistributeSwitch3(config)# ip route 0.0.0.0 0.0.0.0 gigabitethernet0/1 以上最后一条配置语句使用了默认路由命令。其中，gigabitethernet0/1为交换机Switch3的端口，表示数据包从该端口送出。此处也可以是上图中核心层交换机Switch1的G2/3端口的IP地址。

【正确答案】CoreSwitch1(config)# interface port-channel 1 CoreSwitch1(config-if)# switchport mode truttk CoreSwitch1(config-if)# switchporttrunk encapsulation dotlq CoreSwitch1(config-if)# switchport trunk allowed vlan 1-100 CoreswItch1(config-if)# duplex full CoreSwitch1(config)# speed 1000 CoreSwitch1(config-if)# interface range gigabitEthernet 2/1-2 CoreSwitch1(config-if)# channel-group 1 mode desirable non-silent CoreSwitch1(config-in)# no shutdown

【答案解析】为了提高主干道的吞吐量及实现冗余设计，在本案例设计中，将核心层交换机Switch1的千兆端口GigabitEthemet 2/1、GigabitEthemet 2/2捆绑在一起，实现2000Mbps的干兆以太网信道，然后再连接到另一台核心层交换机Switch2上。设置核心层交换机CoreSwitch1的干兆以太网信道的步骤如下： CoreSwitchl(config)# interface port-channel 1 //创建以太通道。通道组号的范围是1～6的正整数 CoreSwitch1(config-if)# switchport mode trunk CoreSwitch1(config-if)# duplex full CoreSwitch1(config-if)# speed 1000 CoreSwitch1(config-if)# interface range gigabitEthernet 2/1-2 CoreSwitch1(config-if)# channel-group 1 mode desirable non-silent //将当前接口加入到相应的以太通道中，并指明以太通道模式 CoreSwitch1(config-if)# no shutdown 在端口配置模式下，使用命令channel-group＜1-6＞mode＜on|desirable|auto|active|passive＞将当前接口加入到相应的以太通道中，并指明以太通道模式。参数on为手动配置模式，参数desirable、auto分别为PAGP的desirable、auto模式，参数active、passive分别为LGAP的active、passive模式。

【正确答案】Router(config)# ip local pool rasclients 192.168.200.1 192.168.200.15 Router(config)# interface async97 Router(config-if)# encapsulation ppp Router(config-if)# async mode dedicated Router(config-if)# peer default ip address pool rasclients Router(config-if)# exit Router(config)# interface serial 0/0 Router(config-if)# ppp authentication pap

【答案解析】远程访问也是园区网必须提供的服务之一，它可以为家庭办公用户和出差在外的员工提供远程、移动接入服务，如上图左上部分所示。该企业园区网采用异步拨号进行远程访问。异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话网(PSTN)上提供服务的，也是较为方便、普遍的远程访问类型。适用于用户群规模及业务量较小的场合。以异步拨号模块NM-16AM为例，对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。具体配置过程如下： Router(config)# line 97 Router(config-line)# modem InOut Router(config-line)# transport input all Router(config-line)# stopbits 1 Router(config-line)# speed 115200 Router(config-line)# flowcontrol hardware 对接口基本参数的配置包括接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。具体配置过程如下： Router(config)# ip local pool rasclients 192.168.200.1 192.168.200.15 Router(config)# interface async97 Router(config-if)# ip address 192.168.200.100 255.255.255.0 Router(config-if)# encapsulation ppp Router(config-if)# async mode dedicated Router(config-if)# peer default ip addreSS pool rasclientS 注意，远程拨号用户是从IP地址池rasclients中动态取得IP地址的。因此需要建立一个名为rasclients的IP地址池。其IP地址的范围是192.168.200.0/28，即192.168.200.1～192.168.200.15。 异步拨号连接技术中其封装协议通常采用PPP。PPP提供了两种可选的身份认证方法：口令认证协议(PAP)和质询握手认证协议(CHAP)。其中，PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，则在通信过程中不再进行认证；如果认证失败，则直接释放链路。CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列(也称为挑战字符串)。同时，身份认证可以随时进行，包括在双方正常通信的过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对端系统要求较高，因为需要多次进行身份质询、响应，同时也会耗费较多的CPU资源，因此只用在对安全要求较高的场合。 PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进行，因此可节省宝贵的链路带宽。在如上图所示的拓扑结构中，已标识本案例设计中采用PAP认证方法。具体配置过程如下： Router(config)# username remoteuser password userpwd //建立本地口令数据库 Router(config)# interface serial 0/0 Router(config-if)# ppp authentication pap //进行PAP认证