网络设备安装与调试（eNSP）（AIGC版） 课后习题及答案汇 -项目1-7

练习题1．选择题（1）答案：B解析：Telnet最大缺点是所有通信数据（账号、密码、配置命令）都以明文传输，容易被抓包窃取，安全性极差。A错误：Telnet核心功能就是远程管理；C错误：无需特殊硬件，普通网线即可；D错误：CLI界面不是缺点。（2）答案：C解析：SSH是Telnet的安全替代协议，数据全程加密传输，适合远程设备管理。AHTTP：网页浏览协议；BFTP：文件传输协议；DSNMP：网络设备监控管理协议，不用于远程登录配置。（3）答案：A解析：带外管理：独立于业务网络，不占用业务数据带宽，典型为Console口本地串口管理。带内管理：依托业务网络进行管理，Telnet、SNMP、Web网页管理都属于带内。（4）答案：C解析：网络设备本地初始配置、本地管理，专用接口是Console控制口，通过配置线连接电脑串口进行初始化登录。ALAN口、BWAN口都是业务数据端口；D电源端口只负责供电，不能管理设备。2．实训题小王是一名刚入职的新员工，最近被公司分配了一项重要任务。由于公司最近采购了一批华为的路由器和交换机，现在需要他使用华为eNSP搭建一个基础的网络架构。在这个过程中，小王的首要任务是通过设备的Console端口进行初始配置，确保这些网络设备能够正常工作。完成初始配置后，小王还需要配置Telnet服务，以便能够远程管理这些设备。网络拓扑图如图1-11所示，设备的端口和IP地址规划表如表1-8所示。图1-11实训题的网络拓扑图表1-8设备的端口和IP地址规划表设备名称端口IP地址默认网关RAGE0/0/054/24无SWAVLANIF1/24无PCGE0/0/0/2454实训要求如下：（1）通过Console端口对路由器进行初始配置。（2）根据图1-11所示的网络拓扑图，使用合适的线缆将设备连接起来。（3）根据图1-11所示的网络拓扑图，为设备命名并配置端口的IP地址。（4）启用Telnet服务，进入VTY用户界面视图，配置认证方式为密码验证，并设置登录密码（以密文形式保存）。（5）测试网络的连通性。配置步骤如下：一、在路由器RA上配置<Huawei>system-view[Huawei]undoinfo-centerenable[Huawei]sysnameRA[RA]interfaceGigabitEthernet0/0/0[RA-GigabitEthernet0/0/0]ipaddress54[RA-GigabitEthernet0/0/0]undoshutdown[RA-GigabitEthernet0/0/0]quit[RA]user-interfacevty04[RA-ui-vty0-4]authentication-modepassword[RA-ui-vty0-4]setauthenticationpasswordcipherAdmin@123[RA-ui-vty0-4]userprivilegelevel3[RA-ui-vty0-4]return<RA>save二、在交换机SWA上配置_x0007_<Huawei><Huawei>system-view[Huawei]undoinfo-centerenable[Huawei]sysnameSWA[SWA]interfaceVlanif1[SWA-Vlanif1]ipaddress[SWA-Vlanif1]undoshutdown[SWA-Vlanif1]quit[SWA]user-interfacevty04[SWA-ui-vty0-4]authentication-modepassword[SWA-ui-vty0-4]setauthenticationpasswordcipherAdmin@123[SWA-ui-vty0-4]userprivilegelevel3[SWA-ui-vty0-4]quit[SWA]quit<SWA>save<SWA>三、验证测试（1）在PC上测试ping54#测试到路由器ping#测试到交换机在交换机SWA上Telnet路由器<SWA>telnet54（3）在路由器RA上Telnet交换机<RA>telnet_x0007_练习题1．选择题（1）答案：B解析Trunk（中继模式）：可以同时转发多个VLAN带标签的数据。Access模式：只能属于一个VLAN，仅转发单个VLAN数据。forward、storage不是交换机端口VLAN模式。（2）答案：B解析VLAN（虚拟局域网）工作在OSI第二层数据链路层，基于帧进行划分和隔离，不属于物理层、网络层、应用层。（3）答案：B解析二层广播风暴会导致网络中广播帧无限循环激增，交换机负载爆满、资源耗尽，无法处理新流量，只能丢弃新报文。A：路由器不会接管二层帧转发；C：广播风暴下CSMA/CD无法正常工作；D：不是广播风暴造成的主要结果。（4）答案：A解析STP生成树协议核心作用：消除二层交换网络环路，同时实现链路冗余备份。B：路由环路由RIP、OSPF等三层协议防环；C、D：STP不用于改变冲突域、广播域大小。2．实训题将3台交换机SA、SB和SC相互连接起来，组成一个环。通过生成树选举根端口和指定端口，阻塞非指定端口，形成无环路的逻辑网络，实现冗余。网络拓扑图如2-24所示，分析STP的参数和干预STP的自动选举。图2-24实训题的网络拓扑图实训要求如下：（1）在每台交换机上查看STP并分析端口类型。（2）如果SA不是根桥，则修改SA的优先级为最低，使其成为根桥。（3）在每台交换机上查看STP并分析端口类型，分析并比较端口类型的变化配置步骤如下：子任务1：默认STP状态查看与端口角色分析1、在交换机SA上配置<Huawei>system-view[Huawei]undoinfo-centerenable[Huawei]sysnameSA[SA]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet0/0/1ROOTFORWARDINGNONE0GigabitEthernet0/0/2ALTEDISCARDINGNONE[SA]·GigabitEthernet0/0/1：ROOT（根端口），处于FORWARDING转发状态，是本设备去往根桥的最优路径端口。·GigabitEthernet0/0/2：ALTE（替代端口），处于DISCARDING阻塞状态，不转发用户流量，用于破除环路，是备份端口。2、在交换机SB上配置<Huawei>system-view[Huawei]undoinfo-centere [Huawei]undoinfo-centerenable[Huawei]sysnameSB[SB]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet0/0/1DESIFORWARDINGNONE0GigabitEthernet0/0/2DESIFORWARDINGNONE[SB]·两个端口均为DESI（指定端口），全部处于FORWARDING转发状态。·说明本设备是当前网络的根桥，根桥所有端口都会成为指定端口。3、在交换机SC上配置<Huawei>system-view[Huawei]undoinfo-centerenable[Huawei]sysnameAC[AC]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet0/0/1ROOTFORWARDINGNONE0GigabitEthernet0/0/2DESIFORWARDINGNONE[AC]·GigabitEthernet0/0/1：ROOT（根端口），去往根桥的最优端口。·GigabitEthernet0/0/2：DESI（指定端口），处于转发状态。从上述结果可以得出：·默认STP已自动运行，华为交换机默认开启STP功能。·根桥为设备SB，因为SB的两个端口均为指定端口（DESI），符合根桥特征。·SA选举出1个根端口（ROOT）和1个阻塞端口（ALTE），环路被破除，网络无环路。·SC选举出1个根端口（ROOT）和1个指定端口（DESI），处于正常转发状态。·当前环形网络已通过STP协议自动计算，形成无环逻辑拓扑，实现链路冗余备份。子任务2：配置STP优先级，使SA成为根桥配置SA为根桥#方法1：直接设优先级为0（最常用）[SA]stppriority0#或方法2：直接指定为根桥（效果一样）[SA]stprootprimary验证（1）在SA上验证[SA]displaystp[SA]displaystp-------[CISTGlobalInfo][ModeMSTP]-------CISTBridge:04c1f-ccbf-417fConfigTimes:Hello2sMaxAge20sFwDly15sMaxHop20ActiveTimes:Hello2sMaxAge20sFwDly15sMaxHop20CISTRoot/ERPC:04c1f-ccbf-417f/0CISTRegRoot/IRPC:04c1f-ccbf-417f/0CISTRootPortId:00BPDU-Protection:Disabled看这两行CISTBridge:04c1f-ccbf-417f←本桥优先级0CISTRoot:04c1f-ccbf-417f←根桥和自己一样=SA是根桥[SA]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet0/0/1DESIFORWARDINGNONE0GigabitEthernet0/0/2DESIFORWARDINGNONE[SA]两个端口均为DESI（指定端口）全部处于FORWARDING转发状态符合根桥设备特征（2）在SB上验证<SB>displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet0/0/1ROOTFORWARDINGNONE0GigabitEthernet0/0/2DESIFORWARDINGNONE<SB>GigabitEthernet0/0/1：ROOT（根端口），指向新根桥SAGigabitEthernet0/0/2：DESI（指定端口）（3）在AC上验证<AC>displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet0/0/1ALTEDISCARDINGNONE0GigabitEthernet0/0/2ROOTFORWARDINGNONE<AC>GigabitEthernet0/0/2：ROOT（根端口）GigabitEthernet0/0/1：ALTE（替代端口），状态DISCARDING阻塞，破除环路由上述结果可以知道，将SA的STP优先级设置为0后，SA成为全网根桥。STP重新收敛后，SA所有端口变为指定端口并转发；SB、SC各选举一个根端口指向SA，冗余链路端口被阻塞，网络无环且冗余可用。修改前后端口角色对比设备修改前（默认STP）端口角色修改后（SA为根桥）端口角色变化说明SAGE0/0/1：ROOTGE0/0/2：ALTEGE0/0/1：DESIGE0/0/2：DESI由非根桥变为根桥，所有端口成为指定端口并转发SBGE0/0/1：DESIGE0/0/2：DESIGE0/0/1：ROOTGE0/0/2：DESI由根桥变为非根桥，选举根端口指向SASCGE0/0/1：ROOTGE0/0/2：DESIGE0/0/1：ALTEGE0/0/2：ROOT端口角色互换，冗余端口被阻塞，消除环路练习题1．选择题（1）B答案解析：简化网络结构不是链路聚合的主要作用。链路聚合的主要作用是增加带宽（A）、提供冗余/可靠性（C）和负载分担（D）（2）A答案解析：在华为设备中，查看Eth-Trunk（链路聚合）接口详细状态和成员端口信息的命令是

displayeth-trunk。（3）B答案解析：在路由器上配置单臂路由（VLAN间路由）时，需要在物理接口上创建虚拟子端口（Sub-interface），并封装802.1Q协议来识别不同VLAN。（4）A答案解析：三层交换机上的VLANIF接口IP地址，在逻辑上充当该VLAN内所有终端设备的网关地址。（5）B答案解析：相比于传统路由器，三层交换机基于硬件（ASIC）进行路由转发，具有更高的转发性能，且端口密度更高，更适合用于VLAN间路由2．实训题图3-15实训题的网络拓扑图关键步骤提示如下：（1）在SW1上创建VLAN并命名，同时把端口划分到对应的VLAN中。<Huawei>system-view[Huawei]sysnameSW1//修改设备名//1.创建VLAN并命名[SW1]vlanbatch102030[SW1]vlan10[SW1-vlan10]descriptiongongcheng//命名示例[SW1-vlan10]quit[SW1]vlan20[SW1-vlan20]descriptioncaiwu[SW1-vlan20]quit[SW1]vlan30[SW1-vlan30]descriptionchanpin[SW1-vlan30]quit//2.划分端口//配置VLAN10端口[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Ethernet0/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit//配置VLAN20端口[SW1]interfaceEthernet0/0/2[SW1-Ethernet0/0/2]portlink-typeaccess[SW1-Ethernet0/0/2]portdefaultvlan20[SW1-Ethernet0/0/2]quit//配置VLAN30端口[SW1]interfaceEthernet0/0/3[SW1-Ethernet0/0/3]portlink-typeaccess[SW1-Ethernet0/0/3]portdefaultvlan30[SW1-Ethernet0/0/3]quit（2）把SW1的GE0/0/1端口的链路类型配置为Trunk，并允许VLAN10、VLAN20和VLAN30的数据通过。//配置上行链路接口[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk//设置为Trunk模式[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan102030//放行指定VLAN[SW1-GigabitEthernet0/0/1]quit（3）在RS1上创建VLAN，把GE0/0/1端口的链路类型配置为Trunk。<Huawei>system-view[Huawei]sysnameRS1//1.创建VLAN(三层交换机也需要创建VLAN数据库才能识别标签)[RS1]vlanbatch102030//2.配置连接SW1的接口为Trunk[RS1]interfaceGigabitEthernet0/0/1[RS1-GigabitEthernet0/0/1]portlink-typetrunk[RS1-GigabitEthernet0/0/1]porttrunkallow-passvlan102030[RS1-GigabitEthernet0/0/1]quit（4）在RS1上配置各个VLANIF端口的IP地址。//配置VLANIF10(作为VLAN10的网关)[RS1]interfaceVlanif10[RS1-Vlanif10]ipaddress5424[RS1-Vlanif10]quit//配置VLANIF20(作为VLAN20的网关)[RS1]interfaceVlanif20[RS1-Vlanif20]ipaddress5424[RS1-Vlanif20]quit//配置VLANIF30(作为VLAN30的网关)[RS1]interfaceVlanif30[RS1-Vlanif30]ipaddress5424[RS1-Vlanif30]quit（5）为PC配置IP地址和网关，并测试各台PC之间的连通性。PC1(VLAN10):IP地址:子网掩码:网关:54(必须指向RS1的Vlanif10地址)PC2(VLAN20):IP地址:子网掩码:网关:54(必须指向RS1的Vlanif20地址)测试命令:在PC1的命令行中输入ping，若能通，说明三层路由配置成功。1.选择题答案(1)D答案解析：配置静态路由时，必须指定目标网络、子网掩码以及下一跳IP（或出接口）。(2)A答案解析：RIPv1是有类路由协议，不支持VLSM（变长子网掩码）；RIPv2是无类路由协议，支持VLSM和CIDR。(3)C答案解析：下一跳地址告诉路由器将数据包转发给哪个相邻的路由器接口，即指导数据包到达下一跳。(4)B答案解析：在华为VRP系统中，静态路由的默认优先级（Preference）是60。（直连路由是0，OSPF是10）。（5）B答案解析：OSPF网络必须包含一个骨干区域，即Area0，所有非骨干区域必须与骨干区域直接相连。2．实训题小王在搭建公司网络时同时使用了三层交换机S5700和路由器AR2220，因此需要在这两台设备上配置静态路由，从而使各台PC之间能够连通。网络拓扑图如图4-14所示。图4-14实训题的网络拓扑图实训要求如下：在SW1上创建VLAN10和VLAN20，把GE0/0/1端口和GE0/0/2端口分别划分到VLAN10和VLAN20中。<Huawei>system-view[Huawei]sysnameSW1//修改设备名为SW1//1.创建VLAN[SW1]vlanbatch1020//2.配置GE0/0/1接口(连接PC1或对应部门)[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess//设置为接入模式[SW1-GigabitEthernet0/0/1]portdefaultvlan10//划分到VLAN10[SW1-GigabitEthernet0/0/1]quit//3.配置GE0/0/2接口(连接PC2或对应部门)[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess//设置为接入模式[SW1-GigabitEthernet0/0/2]portdefaultvlan20//划分到VLAN20[SW1-GigabitEthernet0/0/2]quit（2）在SW1上创建VLAN100，把GE0/0/24端口划分到该VLAN中。#1.创建VLAN100[SW1]vlan100#2.配置GE0/0/24接口[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess#根据题目要求划分到VLAN，通常设为Access[SW1-GigabitEthernet0/0/24]portdefaultvlan100#划分到VLAN100[SW1-GigabitEthernet0/0/24]quit（3）在RS1上创建VLAN，把GE0/0/1端口的链路类型配置为Trunk。<Huawei>system-view[Huawei]sysnameRS1#配置GE0/0/1为Trunk模式[RS1]interfaceGigabitEthernet0/0/1[RS1-GigabitEthernet0/0/1]portlink-typetrunk#设置链路类型为Trunk[RS1-GigabitEthernet0/0/1]porttrunkallow-passvlanall#允许相关VLAN通过[RS1-GigabitEthernet0/0/1]quit（4）在RS1上配置各个VLANIF端口的IP地址，在R1上配置各个端口的IP地址。在RS1上配置默认路由，在R1上配置两条静态路由。#配置VLANIF10(PC1网关)[RS1]interfaceVlanif10[RS1-Vlanif10]ipaddress5424[RS1-Vlanif10]quit#配置VLANIF20(PC2网关)[RS1]interfaceVlanif20[RS1-Vlanif20]ipaddress5424[RS1-Vlanif20]quit#配置VLANIF100(与R1互联接口)[RS1]interfaceVlanif100[RS1-Vlanif100]ipaddress30#假设互联地址为/30[RS1-Vlanif100]quit[RS1]iproute-static//配置默认路由<Huawei>system-view[Huawei]sysnameR1#配置连接RS1的接口(假设为G0/0/0)[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress30#与RS1在同一网段[R1-GigabitEthernet0/0/0]quit#配置连接外部/服务器的接口(假设为G0/0/1)[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24#假设外部网段[R1-GigabitEthernet0/0/1]quit[R1iproute-static//配置静态路由[R1iproute-static（5）为各台PC配置IP地址和网关，并测试各台PC之间的连通性。练习题1．选择题（1）（B）答案解析：NATServer用于将公网IP映射为私网IP，允许外部用户访问内部服务器。A选项源NAT是用于内网访问外网。（2）（A）答案解析：在配置防火墙NAT之前，首先必须明确接口所在的区域（如Trust/Untrust）以及区域间的安全策略，这是防火墙工作的基础。（3）（C）答案解析：NATServer配置中，公网IP地址（GlobalIP）是外部用户访问时使用的地址，它会被转换为内网服务器的私有IP。（4）（C）答案解析：华为防火墙通常默认包含4个安全区域：Local（本端）、Trust（信任/内网）、Untrust（非信任/外网）、DMZ（非军事化区/服务器区）。（5）（C）答案解析：DMZ区域专门用于放置对外提供服务的服务器（如Web、FTP），既允许外网有限访问，又与内网隔离，安全性较高。2．实训题小王需要配置公司的防火墙FW，使PC1和PC2可以通过防火墙的NAT访问互联网中的

PC3，PC3

可以通过防火墙的NATServer访问内网服务器提供的FTP服务和HTTP服务。网络拓扑图如图5-23所示。图5-23实训题的网络拓扑图关键步骤提示如下：（1）配置FW的端口IP地址，将端口划分到FW的安全区域中。<USG6000V>system-view<USG6000V>system-view[USG6000V]sysnameFW//1.配置内网接口(Trust)[FW]interfaceGigabitEthernet1/0/0[FW-GigabitEthernet1/0/0]ipaddress5424[FW-GigabitEthernet1/0/0]quit//2.配置服务器接口(DMZ)[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress5424[FW-GigabitEthernet1/0/1]quit//3.配置外网接口(Untrust)-修正点：GE1/0/2连接互联网[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress5424[FW-GigabitEthernet1/0/2]quit//4.将接口加入对应的安全区域//内网口加入Trust[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/0[FW-zone-trust]quit//服务器口加入DMZ(修正点)[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet1/0/1[FW-zone-dmz]quit//外网口加入Untrust[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW-zone-untrust]quit（2）配置防火墙NAT，使内网中的PC1和PC2可以通过IP地址/24访问互联网中的PC3。//1.配置源NAT策略(Easy-IP模式或地址池模式)//题目要求使用特定IP，因此配置地址池[FW]nataddress-group1[FW-address-group-1]section//定义NAT转换后的公网IP[FW-address-group-1]modepat//启用端口转换[FW-address-group-1]routeenable[FW-address-group-1]quit//1.创建NAT地址组(定义转换后的公网IP)[FW]nataddress-groupOUTBOUND_POOL[FW-address-group-OUTBOUND_POOL]section0[FW-address-group-OUTBOUND_POOL]modepat//开启端口复用[FW-address-group-OUTBOUND_POOL]quit//2.配置NAT策略[FW]nat-policy//进入NAT策略视图[FW-policy-nat]rulenameNAT-OUT//创建规则并命名[FW-policy-nat-rule-NAT-OUT]source-zonetrust//匹配源区域：内网[FW-policy-nat-rule-NAT-OUT]destination-zoneuntrust//匹配目的区域：外网[FW-policy-nat-rule-NAT-OUT]source-address24//匹配源网段[FW-policy-nat-rule-NAT-OUT]actionsource-nataddress-groupOUTBOUND_POOL//执行源NAT，使用地址组[FW-policy-nat-rule-NAT-OUT]quit[FW-policy-nat]quit//3.配置安全策略(防火墙必须放行流量)[FW]security-policy[FW-policy-security]rulenameTRUST_TO_UNTRUST[FW-policy-security-rule-TRUST_TO_UNTRUST]source-zonetrust[FW-policy-security-rule-TRUST_TO_UNTRUST]destination-zoneuntrust[FW-policy-security-rule-TRUST_TO_UNTRUST]source-address24[FW-policy-security-rule-TRUST_TO_UNTRUST]actionpermit[FW-policy-security-rule-TRUST_TO_UNTRUST]quit[FW-policy-security]quit[FW-policy-security]quit（3）配置防火墙NATServer，使PC3可以通过IP地址/24访问内网服务器提供的FTP服务和HTTP服务。//1.配置NATServer(端口映射)//将公网的21端口映射到内网服务器的21端口[FW]natserverFTP_MAPprotocoltcpglobal21inside21//将公网的80端口映射到内网服务器的80端口[FW]natserverWEB_MAPprotocoltcpglobal80inside80//2.配置安全策略(放行Untrust->DMZ)[FW]security-policy[FW-policy-security]rulenameUntrust_TO_DMZ[FW-policy-security-rule-Untrust_TO_DMZ]source-zoneuntrust[FW-policy-security-rule-Untrust_TO_DMZ]destination-zonedmz[FW-policy-security-rule-Untrust_TO_DMZ]destination-address32//目标为新的服务器IP[FW-policy-security-rule-Untrust_TO_DMZ]serviceftp[FW-policy-security-rule-Untrust_TO_DMZ]servicehttp[FW-policy-security-rule-Untrust_TO_DMZ]actionpermit[FW-policy-security-rule-Untrust_TO_DMZ]quit[FW-policy-security]quit练习题1．选择题（1）答案：D解析IEEE802.11是无线局域网WLAN标准。IEEE802.3：以太网有线标准；IEEE802.4：令牌总线网；IEEE802.5：令牌环网。（2）答案：B解析安全性排序：WPA>WEP>MAC过滤>开放验证WEP加密漏洞多，极易被破解；WPA相比WEP做了加密和认证升级，安全性更高；MAC地址过滤只是接入控制，易伪造，加密安全性远不如WPA；开放系统验证无任何加密，完全不设防。（3）答案：B解析无线AC+AP组网中，DHCPOption43专门用于给AP下发AC控制器IP地址，实现AP发现AC。其他选项都不是AP获取AC地址的标准Option字段。2．实训题某公司的无线网络原来采用的是一台AC对全网的AP进行控制，但随着公司业务的发展，无线网络已承载公司部分生产业务。因此，为了保证生产业务的稳定运行，该公司决定采用双AC+双AP的设计方案。网络拓扑如图6-14所示，AC数据规划表如表6-12所示，设备的端口和IP地址规划表如表6-13所示。图6-14实训题的网络拓扑图表6-12AC数据规划表配置项数据AP管理VLANVLAN99L2SW管理VLANVLAN100STA业务VLANVLAN10DHCP服务器汇聚交换机（L3SW）作为AP和STA的DHCP服务器；STA的默认网关为54/24AP的IP地址池~53/24STA的IP地址池~53/24AC1的源端口IP地址VLANIF99:/24AC2的源端口IP地址VLANIF99:/24AP组名称：ap-group；引用模板：VAP模板wlan-net、域管理模板default安全模板名称：wlan-net；安全策略：WPA-WPA2+PSK+AES；密码：a1234567域管理模板名称：wlan-net；国家码：CNSSID模板名称：wlan-net；SSID的名称：wlan-netVAP模板名称：wlan-net；转发模式：直接转发；业务VLAN：VLAN10；引用模板：SSID模板wlan-net、安全模板wlan-net表6-13设备的端口和IP地址规划表设备端口IP地址备注L3SWVLAN9954/24AP管理IP地址的网关~53DHCP分配VLAN10054/24L2SW管理地址VLAN101/24与AC互联地址段VLAN1054/24无线用户网关L2SWVLAN100/24与L3SW互联地址AC1VLAN99/24CAPWAP隧道源地址VLAN101/24与L3SW互联地址AC2VLAN99/24CAPWAP隧道源地址VLAN101/24与L3SW互联地址AP1VLAN99DHCPAP管理地址AP2VLAN99DHCPAP管理地址STA1无线端口DHCP网关为54/24STA2无线端口DHCP网关为54/24关键步骤提示如下：（1）实现各设备的基础配置。（2）配置WLAN业务参数。（3）配置AP上线。（4）配置DHCP服务。（5）配置高可用AC的热备。（6）配置高可用AP的负载均衡功能。配置步骤如下：子任务一网络的基础配置1、在L3SW交换机上配置<Huawei><Huawei>system-view[Huawei]sysnameL3SW[L3SW]undoinfo-centerenable[L3SW]vlanbatch1099100101[L3SW]interfaceGigabitEthernet0/0/1[L3SW-GigabitEthernet0/0/1]portlink-typetrunk[L3SW-GigabitEthernet0/0/1]porttrunkallow-passvlan1099101[L3SW-GigabitEthernet0/0/1]quit[L3SW]interfaceGigabitEthernet0/0/2[L3SW-GigabitEthernet0/0/2]portlink-typetrunk[L3SW-GigabitEthernet0/0/2]porttrunkallow-passvlan1099101[L3SW-GigabitEthernet0/0/2]quit[L3SW]interfaceGigabitEthernet0/0/24[L3SW-GigabitEthernet0/0/24]portlink-typetrunk[L3SW-GigabitEthernet0/0/24]porttrunkallow-passvlan1099100[L3SW-GigabitEthernet0/0/24]quit[L3SW]dhcpenable[L3SW]interfaceVlanif10[L3SW-Vlanif10]ipaddress54[L3SW-Vlanif10]dhcpselectinterface[L3SW-Vlanif10]quit[L3SW]interfaceVlanif99[L3SW-Vlanif99]ipaddress54[L3SW-Vlanif99]dhcpselectinterface[L3SW-Vlanif99]quit[L3SW]interfaceVlanif100[L3SW-Vlanif100]ipaddress54[L3SW-Vlanif100]quit[L3SW]interfaceVlanif101[L3SW-Vlanif101]ipaddress[L3SW-Vlanif101]quit<L3SW>save2、在L2SW交换机上配置<Huawei>system-view[Huawei]sysnameL2SW[L2SW]vlanbatch1099100[L2SW]interfaceGigabitEthernet0/0/1[L2SW-GigabitEthernet0/0/1]portlink-typetrunk[L2SW-GigabitEthernet0/0/1]porttrunkallow-passvlan1099100[L2SW-GigabitEthernet0/0/1]quit[L2SW]interfaceEthernet0/0/1[L2SW-Ethernet0/0/1]portlink-typetrunk[L2SW-Ethernet0/0/1]porttrunkpvidvlan99[L2SW-Ethernet0/0/1]porttrunkallow-passvlan1099[L2SW-Ethernet0/0/1]quit[L2SW]interfaceEthernet0/0/2[L2SW-Ethernet0/0/2]portlink-typetrunk[L2SW-Ethernet0/0/2]porttrunkpvidvlan99[L2SW-Ethernet0/0/2]porttrunkallow-passvlan1099[L2SW-Ethernet0/0/2]quit[L2SW]interfaceVlanif100[L2SW-Vlanif100]ipaddress[L2SW-Vlanif100]quit[L2SW]iproute-static54<L2SW>save3、在AC1上配置<AC6605>system-view[AC6605]undoinfo-centerenable[AC6605]sysnameAC1[AC1]vlanbatch1099101[AC1]interfaceGigabitEthernet0/0/1[AC1-GigabitEthernet0/0/1]portlink-typetrunk[AC1-GigabitEthernet0/0/1]porttrunkallow-passvlan1099101[AC1-GigabitEthernet0/0/1]quit[AC1]interfaceVlanif101[AC1-Vlanif101]ipaddress[AC1-Vlanif101]quit[AC1]interfaceVlanif99[AC1-Vlanif99]ipaddress[AC1-Vlanif99]quit[AC1]iproute-static[AC1]quit<AC1>save在AC2上配置<AC6005>system-view[AC6005]undoinfo-centerenable[AC6005]sysnameAC2[AC2]vlanbatch1099101[AC2]interfaceGigabitEthernet0/0/2[AC2-GigabitEthernet0/0/2]portlink-typetrunk[AC2-GigabitEthernet0/0/2]porttrunkallow-passvlan1099101[AC2-GigabitEthernet0/0/2]quit[AC2]interfaceVlanif101[AC2-Vlanif101]ipaddress[AC2-Vlanif101]quit[AC2]interfaceVlanif99[AC2-Vlanif99]ipaddress[AC2-Vlanif99]quit[AC2]iproute-static5、子任务1验证（1）在L3SW上查看接口信息。确认三层交换机VLANIF接口IP配置正确、物理与协议状态均为UP，确保网络层互通基础正常。Vlanif10、Vlanif99、Vlanif100、Vlanif101接口IP地址与规划一致，且Physical、Protocol均为UP，接口工作正常。在L3SW上查看DHCP服务状态。确认DHCP服务已启用，地址池正常接收客户端请求并分配IP。DHCP服务正常运行，可正常为AP与STA分配IP地址。（3）测试L2SW管理地址的连通性确认L3SW与L2SW管理网段路由可达、二层Trunk正常。L3SW可以正常Ping通L2SW管理地址，二层互通正常，路由配置正确。（4）在L2SW上用“displayportvlan”命令查看VLAN信息确认端口链路类型、PVID、Trunk允许通过的VLAN与规划一致。AP端口Ethernet0/0/1、0/0/2：Trunk类型，PVID99，放通VLAN10、99上联口GigabitEthernet0/0/1：放通VLAN10、99、100端口配置完全符合规划。在L2SW上使用“displayiprouting-table”命令查看路由表。确认默认路由正确指向L3SW，确保跨网段访问正常。存在默认路由/0，下一跳为54（L3SW），路由配置正确。（6）在AC2上使用“displayipinterfacebrief”命令查看接口信息。确认AC2的Vlanif99、Vlanif101IP配置正确、接口UP。AC2管理地址与互联地址配置正确，接口状态全UP。（7）在AC2上查看路由表。确认AC2默认路由指向L3SW，确保能到达AP管理网段与用户网段。默认路由指向（L3SW），AC路由配置正确。AC2pingAP网关(54)。确认AC与AP管理网段互通，CAPWAP隧道可正常建立。AC2与AP管理网关互通正常，CAPWAP隧道建立条件满足。（9）用同样的方法在AC1上验证子任务二WLAN配置1、在AC1上配置[AC1]wlan[AC1-wlan-view]apauth-modeno-auth[AC1-wlan-view]regulatory-domain-profilenamedefault[AC1-wlan-regulate-domain-default]country-codecn[AC1-wlan-regulate-domain-default]quit[AC1-wlan-view]ssid-profilenamewlan-net[AC1-wlan-ssid-prof-wlan-net]ssidwlan-net[AC1-wlan-ssid-prof-wlan-net]quit[AC1-wlan-view]security-profilenamewlan-net[AC1-wlan-sec-prof-wlan-net]securitywpa-wpa2pskpass-phrasea1234567aes[AC1-wlan-sec-prof-wlan-net]quit[AC1-wlan-view]vap-profilenamewlan-net[AC1-wlan-vap-prof-wlan-net]forward-modedirect-forward[AC1-wlan-vap-prof-wlan-net]service-vlanvlan-id10[AC1-wlan-vap-prof-wlan-net]ssid-profilewlan-net[AC1-wlan-vap-prof-wlan-net]security-profilewlan-net[AC1-wlan-vap-prof-wlan-net]quit[AC1-wlan-view]ap-groupnameap-group[AC1-wlan-ap-group-ap-group]regulatory-domain-profiledefault[AC1-wlan-ap-group-ap-group]vap-profilewlan-netwlan1radio0[AC1-wlan-ap-group-ap-group]vap-profilewlan-netwlan1radio1[AC1-wlan-ap-group-ap-group]quit[AC1-wlan-view]quit[AC1]capwapsourceinterfacevlanif99[AC1-wlan-view]ap-id1[AC1-wlan-ap-1]ap-nameAp1[AC1-wlan-ap-1]ap-groupap-group[AC1-wlan-ap-1]quit[AC1-wlan-view]ap-id0[AC1-wlan-ap-0]ap-nameAP2[AC1-wlan-ap-0]ap-groupap-group[AC1-wlan-ap-0]return2、在AC2上配置[AC2]wlan[AC2-wlan-view]apauth-modeno-auth[AC2-wlan-view]regulatory-domain-profilenamedefault[AC2-wlan-regulate-domain-default]country-codecn[AC2-wlan-regulate-domain-default]quit[AC2-wlan-view]ssid-profilenamewlan-net[AC2-wlan-ssid-prof-wlan-net]ssidwlan-net[AC2-wlan-ssid-prof-wlan-net]quit[AC2-wlan-view]security-profilenamewlan-net[AC2-wlan-sec-prof-wlan-net]securitywpa-wpa2pskpass-phrasea1234567aes[AC2-wlan-sec-prof-wlan-net]quit[AC2-wlan-view]vap-profilenamewlan-net[AC2-wlan-vap-prof-wlan-net]forward-modedirect-forward[AC2-wlan-vap-prof-wlan-net]service-vlanvlan-id10[AC2-wlan-vap-prof-wlan-net]ssid-profilewlan-net[AC2-wlan-vap-prof-wlan-net]security-profilewlan-net[AC2-wlan-vap-prof-wlan-net]quit[AC2-wlan-view]ap-groupnameap-group[AC2-wlan-ap-group-ap-group]regulatory-domain-profiledefault[AC2-wlan-ap-group-ap-group]vap-profilewlan-netwlan1radio0[AC2-wlan-ap-group-ap-group]vap-profilewlan-netwlan1radio1[AC2-wlan-ap-group-ap-group]quit[AC2-wlan-view]quit[AC2]capwapsourceinterfacevlanif99#关闭AC，重启AP1和AP2[AC2]wlan[AC2-wlan-view]ap-id0[AC2-wlan-ap-0]ap-nameAP1[AC2-wlan-ap-0]ap-groupap-group[AC2-wlan-ap-0]quit[AC2-wlan-view]ap-id1[AC2-wlan-ap-1]ap-nameAP2[AC2-wlan-ap-1]ap-groupap-group[AC2-wlan-ap-1]quit3、子任务2验证（1）在AC1使用“displayapall”命令查看已注册的AP信息。确认AP1、AP2成功与AC1建立CAPWAP隧道，AP状态正常，可被AC统一管理。AP1、AP2均成功上线，状态为normal，已加入AP组ap-group，CAPWAP隧道建立正常。（2）在AC1上使用“displayvap-profileall”命令查看VAP文件信息确认WLAN业务所需的VAP模板已创建，并被AP正常引用。VAP模板wlan-net已创建成功，被2次引用，模板配置生效。在AC1查看AP2配置信息。确认AP2已加入指定AP组，参数下发正确。AP2已成功加入ap-group，国家码、VAP模板等配置均与规划一致。（4）用同样的方法在AC2上验证。（5）检查WLAN配置下发结果。确认SSID、安全策略、转发模式、业务VLAN已正确下发至AP。WLAN配置全部正确下发：直接转发、业务VLAN10、SSID:wlan-net、安全策略正常绑定。（6）STA查看IP地址（ipconfig）确认无线终端从DHCP获取到正确的业务网段IP、网关、掩码。STA成功获取/24网段IP，网关、掩码正确，DHCP与WLAN业务正常。（7）AC1ping无线用户网关54。验证AC到无线用户网关三层路由可达，业务流量转发通路正常。<AC1>ping54PING54:56databytes,pressCTRL_CtobreakReplyfrom54:bytes=56Sequence=1ttl=255time=30msReplyfrom54:bytes=56Sequence=2ttl=255time=20msReplyfrom54:bytes=56Sequence=3ttl=255time=20msReplyfrom54:bytes=56Sequence=4ttl=255time=10msReplyfrom54:bytes=56Sequence=5ttl=255time=10msAC1到无线用户网关连通性正常、无丢包，三层路由与业务转发通路无误。子任务3高可用AC热备的配置1、双链路备份的配置[AC1]wlan [AC1-wlan-view]acprotectenable[AC1-wlan-view]acprotectprotect-ac[AC1-wlan-view]acprotectpriority0[AC1-wlan-view]quit[AC1][AC2]wlan[AC2-wlan-view]acprotectenable[AC2-wlan-view]acprotectprotect-ac[AC2-wlan-view]acprotectpriority5[AC2-wlan-view]quit[AC1-wlan-view]ap-resetall[AC1-wlan-view]quit2、双机热备功能配置[AC1]hsb-service0[AC1-hsb-service-0]service-ip-portlocal-ippeer-iplocal-data-port10241peer-data-port10241[AC1-hsb-service-0]quit[AC1]hsb-service-typeaphsb-service0[AC1]hsb-service-typeaccess-userhsb-service0[AC2]hsb-service0[AC2-hsb-service-0]service-ip-portlocal-ippeer-iplocal-data-port10241peer-data-port10241[AC2-hsb-service-0]quit[AC2]hsb-service-typeaphsb-service0[AC2]hsb-service-typeaccess-userhsb-service03、子任务3验证（1）在AC1上使用displayacprotect命令查看双链路备份的配置信息。确认AC双链路备份功能已开启，备份AC地址、优先级、自动回切配置正确。<AC1>displayacprotect------------------------------------------------------------Protectstate:enableProtectAC:Priority:0Protectrestore:enableColdbackupkickoffstation:disable------------------------------------------------------------<AC1>AC1双链路备份已启用，备份AC为，优先级0（备用），自动回切开启。（2）在AC2上使用displayacprotect命令查看双链路备份的配置信息。<AC2>displayacprotect------------------------------------------------------------Protectstate:enableProtectAC:Priority:5Protectrestore:enableColdbackupkickoffstation:disable------------------------------------------------------------<AC2>AC2双链路备份已启用，备份AC为，优先级5（主用），自动回切开启。（3）在AC1使用“displayhsb-service0”命令查看HSB主备服务状态。确认AC1与AC2的热备通道建立成功，服务状态为Connected。[AC1]displayhsb-service0HotStandbyServiceInformation:LocalIPAddress:PeerIPAddress:SourcePort:10241DestinationPort:10241KeepAliveTimes:5KeepAliveInterval:3ServiceState:ConnectedServiceBatchModules:APAccess-user[AC1]AC1的HSB服务已与AC2建立连接，通道正常，绑定AP与用户同步模块。（4）在AC2使用“displayhsb-service0”命令查看HSB主备服务状态。确认AC2侧HSB服务正常，与AC1主备通道双向连通。[AC2]displayhsb-service0HotStandbyServiceInformation:----------------------------------------------------------LocalIPAddress:PeerIPAddress:SourcePort:10241DestinationPort:10241KeepAliveTimes:5KeepAliveInterval:3ServiceState:ConnectedServiceBatchModules:APAccess-user----------------------------------------------------------[AC2]AC2的HSB服务状态为Connected，主备通道正常，可实时同步AP与用户信息。子任务4高可用AP负载均衡验证1、在AC1上配置[AC1]wlan[AC1-wlan-view]sta-load-balancestatic-groupnametest[AC1-wlan-sta-lb-static-test]memberap-id0[AC1-wlan-sta-lb-static-test]memberap-id1[AC1-wlan-sta-lb-static-test]start-threshold7[AC1-wlan-sta-lb-static-test]gap-threshold1[AC1-wlan-sta-lb-static-test]quit2、在AC2上配置[AC2]wlan[AC2-wlan-view]sta-load-balancestatic-groupnametest[AC2-wlan-sta-lb-static-test]memberap-id0 [AC2-wlan-sta-lb-static-test]memberap-id1[AC2-wlan-sta-lb-static-test]start-threshold7[AC2-wlan-sta-lb-static-test]gap-threshold1[AC2-wlan-sta-lb-static-test]quit[AC2-wlan-view]quit3、子任务4验证（1）在AC1上使用“displaysta-load-balancestatic-groupnametest”命令查看静态负载均衡组。确认静态负载均衡组test已创建，AP1、AP2已加入，阈值配置正确。<AC1>displaysta-load-balancestatic-groupnametest------------------------------------------------------------Groupname:testLoad-balancestatus:balanceStartthreshold:5Gapthreshold(%):1Denythreshold:3------------------------------------------------------------RfID:RadioIDCurEIRP:CurrentEIRP(dBm)ActCH:Actualchannel,CfgCH:Configchannel-------------------------------------------------------------APIDAPNameRfIDActCH/CfgCHCurEIRP/MaxEIRPClient-------------------------------------------------------------1Ap10-/--/-01Ap11-/--/-00AP20-/--/-00AP21-/--/-0-------------------------------------------------------------Total:4<AC1>负载均衡组test创建成功，包含AP1、AP2，启动阈值7、差值阈值1，配置符合规划。（2）多STA关联后查看负载分配结果。7台STA接入后，AP1承载6台、AP2承载1台，负载均衡策略生效，流量自动分担。练习题1．选择题（1）答案：C解析端口安全核