1、每名学生根据自己实际情况搭建一个园区网拓扑图，拓扑图不限大小，要求拓扑至面必议必须熟悉。

以下内容源自超时代AI智能助手，仅供参考，可行性需要自行评估。

以下是一个简单的园区网拓扑图示例以及相关的解释，你可以根据自己的实际需求进行修改和扩展。

一、园区网拓扑图

graph TD;
    A[核心交换机] --> B[汇聚交换机1];
    A --> C[汇聚交换机2];
    B --> D[接入交换机1];
    B --> E[接入交换机2];
    C --> F[接入交换机3];
    C --> G[接入交换机4];
    D --> H[PC1];
    D --> I[PC2];
    E --> J[PC3];
    E --> K[PC4];
    F --> L[PC5];
    F --> M[PC6];
    G --> N[PC7];
    G --> O[PC8];
    A --> P[防火墙];
    P --> Q[路由器];
    Q --> R[Internet];

二、各组件的作用及解释

（一）核心交换机

1. 功能
   • 作为园区网的核心设备，负责高速转发数据帧。它连接着各个汇聚交换机，处理大量的网络流量，是整个园区网数据交换的枢纽。
   • 例如，在一个大型企业园区中，核心交换机要处理来自不同部门（通过汇聚交换机连接）的数据交互，如研发部门与市场部门之间的文件传输等。
2. 配置要点
   • 通常需要配置VLAN（虚拟局域网），将不同功能或者部门的网络流量进行隔离。例如，将财务部门的设备划分到一个VLAN，研发部门划分到另一个VLAN，以提高网络安全性和管理效率。
   • 还需要配置链路聚合技术，将多条物理链路捆绑成一条逻辑链路，增加链路带宽，提高网络的可靠性。

（二）汇聚交换机

1. 功能
   • 汇聚来自接入交换机的流量，并将其上传到核心交换机。它可以对接入层的流量进行初步的汇聚和管理，减轻核心交换机的负担。
   • 比如，在一栋办公楼中，每个楼层的接入交换机连接着各个办公室的PC，这些接入交换机将流量汇聚到本楼层的汇聚交换机，然后再传输到核心交换机。
2. 配置要点
   • 配置端口安全，限制接入端口的连接数量和MAC地址绑定，防止非法设备接入网络。
   • 实现QoS（Quality of Service）策略，对不同类型的流量（如语音、视频、数据）进行优先级划分，确保重要业务的网络质量。

（三）接入交换机

1. 功能
   • 直接连接终端设备（如PC），为终端设备提供网络接入功能。它是园区网与终端用户的接口，负责将终端设备的网络请求转发到上层网络设备。
   • 例如，在办公室环境中，接入交换机为办公桌上的电脑、打印机等设备提供网络连接。
2. 配置要点
   • 配置端口的VLAN成员身份，确保终端设备能够正确地与所属的VLAN进行通信。
   • 开启端口的PoE（Power over Ethernet）功能（如果支持），为一些支持PoE的设备（如无线接入点）提供电力和网络连接。

（四）防火墙

1. 功能
   • 保护园区网内部网络免受外部网络的攻击。它可以根据预先定义的安全策略，对进出园区网的网络流量进行过滤，阻止非法的访问请求。
   • 例如，阻止外部网络中的恶意IP地址对园区网内部服务器的扫描和攻击，同时限制内部网络用户对某些危险网站的访问。
2. 配置要点
   • 定义访问控制列表（ACL），明确允许和禁止的网络流量类型和来源/目的地址。
   • 配置入侵检测和防御功能（IDS/IPS），实时监测和防范网络攻击。

（五）路由器

1. 功能
   • 实现园区网与外部网络（如Internet）的连接，并进行网络地址转换（NAT）。它负责将园区网内部的私有IP地址转换为合法的外部IP地址，以便园区网内的设备能够访问外部网络资源。
   • 例如，当园区网内的员工使用电脑访问互联网上的网站时，路由器将内部电脑的私有IP地址转换为运营商分配的公网IP地址，并将请求转发到互联网上的目标服务器。
2. 配置要点
   • 配置NAT规则，确定内部网络地址和外部网络地址的转换关系。
   • 配置路由协议（如静态路由、动态路由协议如OSPF等），确保园区网与外部网络之间的路由可达性。

三、可能的答辩问题及回答

（一）关于拓扑结构的问题

1. 问题：为什么选择这种分层的拓扑结构（核心 - 汇聚 - 接入）？
   • 回答：分层的拓扑结构具有很多优点。首先，它便于网络的管理和维护，每一层都有明确的功能和职责。核心层专注于高速数据转发，汇聚层对流量进行汇聚和初步管理，接入层负责连接终端设备。其次，这种结构具有良好的可扩展性，当园区网规模扩大时，可以方便地在汇聚层或接入层添加新的设备。例如，如果园区新建了一栋办公楼，只需要在汇聚层添加新的汇聚交换机，再连接接入交换机和终端设备即可。
2. 问题：如果接入交换机D出现故障，会对网络产生什么影响？
   • 回答：如果接入交换机D出现故障，连接到它的PC1和PC2将无法正常访问网络。但是，由于网络采用了分层结构，其他接入交换机连接的设备不受影响，仍然可以正常通信。不过，与PC1和PC2有通信需求的其他设备（如位于其他接入交换机下的设备，如果它们之间有业务往来）将无法与PC1和PC2进行数据交互。

（二）关于设备配置的问题

1. 问题：在核心交换机上如何配置VLAN间的路由？
   • 回答：在核心交换机上配置VLAN间的路由可以通过多种方式。一种常见的方法是使用单臂路由或者三层交换技术。如果采用三层交换技术，首先要在核心交换机上创建每个VLAN的SVI（交换虚拟接口），例如创建VLAN 10的SVI接口：interface vlan 10，然后为这个接口配置IP地址，这个IP地址将作为VLAN 10内设备的默认网关。接着，启用IP路由功能，使用命令ip routing。这样，不同VLAN之间的设备就可以通过核心交换机进行路由通信了。
2. 问题：防火墙的访问控制列表（ACL）如何配置才能允许内部特定IP段访问外部特定服务器？
   • 回答：首先，要确定内部特定IP段（假设为192.168.1.0/24）和外部特定服务器的IP地址（假设为202.100.100.100）。在防火墙上创建ACL规则，例如在Cisco防火墙上，可以使用如下命令：
   • 创建ACL：access - list 100 permit tcp 192.168.1.0 0.0.0.255 host 202.100.100.100 eq 80（假设是允许访问外部服务器的80端口，用于HTTP服务）。
   • 然后将这个ACL应用到防火墙的外部接口（假设为outside接口）的入方向：interface outside; ip access - group 100 in。这样就允许内部192.168.1.0/24网段的设备访问外部IP为202.100.100.100的服务器的80端口了。