实验配置：点击跳转

组网需求：

总部网络由两台路由器r1 r2和三台交换机 sw1 sw2 sw3组成，其中r1作为企业所有分支二节点广域网接入路由器，r2作为企业所有分支一节点广域网接入路由器，sw1 sw2 sw3组成总部局域网核心，路由器r5和交换机sw4用来模拟企业的一个分支一节点网络，路由器r3和r4分别用来模拟企业的两个分支二节点网络，sw5用来模拟互联网。

分支一节点通过一条2M的线路（背对背专线模拟）和总部相连接，分支二节点采用gre over ipsec的方式跨越互联网接入总部网络

整个企业应用分为两种业务，A流和B流

A B两种业务，各个分支节点都可以和总部互通，A流的分之二节点之间，以及分支一和分之二之间不能互通，B流各个节点之间能够互通， A流不能访问互联网，分支一的B流有单独的互联网出口（组网图中没有涉及），不可以通过专线从总部访问互联网，分布二的B流可以通过互联网出口直接访问互联网，总部的B流可以通过互联网出口直接访问互联网

A流和B流通过在部分路由器上配置物理接口或在交换机上配置vlan虚拟接口模拟

分布二节点路由器连接互联网的接口地址，由互联网动态分配，总部r1连接互联网的接口地址为静态分配

局域网规划：

总部局域网内部使用单域mstp协议保证网络无环，通过合理规划实例和vlan的映射关系，以及实例中的根和备份根，使得A流优先从sw1转发，B流优先通过sw2转发，并且当交换机故障时，能够互为备份
两核心交换机之间使用两条物理链路进行聚合。

路由规划：

网络中包含10个分支一节点，20个分支二节点，10个分支一节点的A流地址分别为 192.168.11.0/24—192.168.20.0/24 ,B流地址段为 10.11.0.0/16 ---- 10.20.0.0/16,20个分支二节点的A流地址为 192.168.101.0-----192.168.120.0/24 B流地址为 10.101.1.0—10.101.20.0/24

总部的r2于分布一之间运行ospf路由协议，总部的r1与分布二运行ripv2协议
Sw1和sw2之间使用vlan30进行三层互联

为实现分布二和总部以及分布一节点的互通，需要在r1上进行rip和ospf的相互引入
全网不允许出现等价路由

在合适的路由器上配置路由的过滤策略，保证A流的分之二节点之间以及分支一和分支二之间都不能互访

Sw5模拟互联网，各网段的明细路由不能出现在总部以及各分部节点中（直连路由除外），需要访问互联网的节点通过缺省路由，并在出口路由器上进行nAt来实现

总部B流提供一台服务器，内网地址为10.1.1.100 对应的互联网地址为100.1.1.100.要求能够从互联网进行各类业务的访问。

总部A流访问分布一的A流经过的设备依次是sw3-sw1-r1-r2-r5-sw4
总部A流访问分布二的A流经过的设备依次是 sw3-sw1-r1-sw5-r3/r4

总部B流访问分布一的B流经过的设备依次是sw3-sw2-r2-r5-sw4
总部B流访问分布二的B流经过的设备依次是sw3-sw2-r2-r1-sw5-r3/r4

可靠性：

总部核心交换机sw1 和sw2之间进行链路聚合，保证线路冗余

两台核心交换机之间运行vrrp，A流使用sw1作为vrrp 的mAst，B流使用sw2作为vrrp的mAst，不需要track上行链路。

在总部到分布一的专线上，要求优先转发A流的流量，且至少要保障1.5M

总部网络中任何一条线路（不包括广域网线路）中断，不影响全网连通性

安全性

全网A流不能访问互联网
各个分布A流可以和总部互通，分布二节点之间以及分布一和分布二之间A流不能互通，要求通过路由过滤实现

总部和各分支节点业务vlan内不允许出现路由协议报文，ospf区域中不应该出现rip协议报文

总部与分布一节点之前的ppp线路采用双向chAp验证
分布二节点和总部互访通过 gre over ipsec实现，为降低ipsec配置的复杂性，需要使用ipsec模板进行配置