华为企业网网络规划

华为5g网络规划面试题面试的岗位是5G网络规划和优化工程师。

先说说集体面，我觉得我整个面试的亮点应该是自我介绍阶段的时候第一个发言，面试官念完面试流程后大概过了一分钟，一直没人开始自我介绍，我就首当其冲非常简单的用两句话介绍了自己：我是来自xx大学xx专业的本科生xxx，非常荣幸可以和大家一同参加此次面试，谢谢！说完之后我才反应过来自我介绍的时间是一分钟，当时就想着那就之后自由讨论环节好好发挥好了，所以后续的全程讨论都有在积极参与，最后问答环节被问到组内贡献最多和最少的组员，中规中矩回答完就结束了。

然后就到了下午的专业面，面试官很友好，就大概聊了一下关于调制解调、网络架构的一些简单的问题，还有就是简历上写的项目相关的问题，问题都不难，但是没有准备的话可能会比较慌，冷静下来按着自己的理解回答就好，回答不出来就委婉地说自己记不太清楚了，面试官也能理解，大概面了一个小时之后就结束了。

之后去官网刷新动态，显示通过了之后问了同一组面试的其他同学，发现专业面没有刷人。

过了四天后就收到了主管面的通知，看了面经发现很多人都说主管面就是聊天不问技术问题，所以当时就没怎么准备直接去面试了，一开始有点压力面的意思，面试官说我六级没过的问题，还挑专业知识问，直接点明我的技术不足，我就承认自己存在不足，同时表明不足的原因是投入不够，而自身是具备学习能力的，一顿乱扯后好像说服了对方。

后来就聊了聊为什么选择华为、对岗位的认识和对外派的看法一些常见问题，聊了大概半个小时就结束了。

主管面过了之后就到英语测评和座谈会了。

英语测评好像也不刷人，太久没接触英语了，我答得还挺烂的。

座谈会就还是聊了对华为和岗位的认识，也问了选择华为的原因，还聊了一下自身的职业规划以及家庭情况等等，差不多二十分钟就结束了。

总结下来，我觉得面试最重要的就是自信大方，不要慌，回答问题的时候逻辑性强一点，把面试当作是聊天会好很多，不要太紧张。

对了还有就是关于性格测试，之前我做过其他公司的性格测试，做的时候一直会去想岗位需要的是什么样的人，按着自己的猜想去选最后挂了。

项目设计方案密级：商密2级( 严禁泄密)正本XX集团公司园区网建设方案设计单位：郑州**信息技术有限公司2013年9月目录项目设计方案 (1)第一章网络现状及需求分析 (1)1.1 公司背景 (1)1.2 现状及需求分析 (1)第二章网络总体设计 (2)2.1 网络设计分析 (2)2.2 网络拓扑结构设计 (3)第三章设备选型 (5)3.1 性能要求 (5)3.2 设备清单 (6)3.3 产品介绍 (7)第四章设计原则 (9)4.1 实用性设计 (9)4.2 开放性设计 (9)4.3 可靠性设计 (9)4.4 安全性设计 (9)4.5 先进性设计 (9)4.6 可扩展设计 (9)第五章VLAN设计与IP地址规划 (9)5.1 VLAN设计 (9)5.2 IP地址规划 (11)5.2.1 园区网用户地址规划 (12)5.2.2 设备互联地址规划 (12)5.3.3 设备管理地址规划 (15)第六章路由策略 (15)第七章设备配置文件 (16)第八章培训 (17)第九章售后服务与技术支持 (17)第一章网络现状及需求分析1.1 公司背景**科技集团有限公司（简称：**集团）创办于2002年，目前，整个集团员工总数1000多名，国内有3个分支机构。

作为**市第三大的工业企业、**省第十大的电子企业，2011年，***集团名列“中国电子信息百强”第38位。

公司局域网建设始于2004年，2005年完成整个工程建设，至今系统已经运行近6年时间。

目前，公司的新办公大楼正在进行装修，并趁此机会进行整个局域主干网的改造，以适合当前的网络应用需求。

1.2 现状及需求分析旧网网络架构如图所示：**集团总部原有的主干网络采用二层设计，设备属于比较早期的产品，Cisco4500做为核心交换机，以100M端口连接接入层cisco2924交换机；用户采用100M以太网链路连接cisco2924交换机。

总部与分公司目前采用512K DDN专线进行数据连接，与Internet连接采用2M的宽带线路。

实用标准项目编号: 华为网络整体解决方案目录1 概述 (4)2 企业网络建设设计原则 (5)3 华为产品解决方案 (7)3.1 整体架构设计 (7)3.1.1 总体网络架构 (7)3.1.2 有线网络解决方案 (8)3.1.2.1 核心层网络设计 (9)3.1.2.2 汇聚层网络设计 (9)3.1.2.3 接入层网络设计 (10)3.1.3 数据中心解决方案 (10)3.1.4 无线网络解决方案 (11)3.1.4.1 无线网络的建设需求 (11)3.1.4.2 无线网络解决方案 (14)3.2 高可靠性设计 (18)3.2.1 网络高可靠性设计 (18)3.2.2 设备高可靠性设计 (18)3.2.2.1 重要部件冗余 (18)3.2.2.2 设备自身安全 (19)3.3 安全方案设计 (21)3.3.1 园区网安全方案总体设计 (21)3.3.2 园区内网安全设计 (21)3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 (21)3.3.2.2 防IP/MAC地址扫描攻击 (23)3.3.2.3 广播/组播报文抑制 (25)3.3.3 园区网边界防御 (26)3.3.4 园区网出口安全 (27)3.3.5 无线安全设计 (28)3.3.5.1 无线局域网的安全威胁 (29)3.3.5.2 华为无线网络的安全策略 (30)4 设备介绍........................................................................................................ 错误!未定义书签。

4.1 Quidway® S9300系列交换机............................................... 错误!未定义书签。

4.2 Quidway® S7700系列交换机............................................... 错误!未定义书签。

SingleFAN 解决方案10G GPON 网络规划设计指导书文档版本05发布日期2016-01-22华为技术有限公司版权所有 ? 华为技术有限公司 2016。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址： 深圳市龙岗区坂田华为总部办公楼 邮编：518129 网址：客户服务邮箱：客户服务电话：18关于本文档读者对象本文档主要介绍10G GPON设备和硬件选择原则、分光比选择、ODN规划原则、VLAN规划说明。

本文档只适用于华为工程师，不直接交付客户。

修改记录修改记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

文档版本05 (2016-01-22)配套SingleFAN V1R16C00进行刷新。

同时合入规划注意事项。

文档版本04 (2014-05-12)配套SingleFAN V1R15C00进行刷新。

文档版本03 (2013-12-25)配套SingleFAN V1R13C00进行刷新。

文档版本02 (2013-03-20)配套SingleFANV1R12进行刷新。

文档版本01 (2012-07-30)配套SingleFANV1R11输出第一个版本目录硬件与业务选择原则1.1 版本选择推荐使用OLT MA5600T V800R016C00、MA5800 V100R016C00以及MxU V800R016C00、ONT V300R016C00配套支持10G GPON。

华为企业接入网络ODN 产品介绍目录企业接入产品命名规则介绍1企业接入ODN产品介绍2产品品类英文前缀第1位数字(NNI)第2位数字（UNI）第3位数字（WIFI）后缀字母举例Opti X star W 3-表示EPON1-仅GE1-WIFI5 2X2单频E-企业网产品W626EGPON+ 1*POTS+4*GE+WIFI6 2x2W826E原V862E:XGSPON+1*POTS+4*GE+WIFI6 2x25-表示10G EPON2-GE+POTS2-WIFI5 2X2双频在命名后增加后缀-S表示分销产品6-表示GPON 3-GE+RF3-WIFI5 3X37-表示2.5G / 5GPON4-GE+POTS+RF4-WIFI5 4X48-表示10G GPON/20G PON5-xGE6-WIFI6 2X29-表示50G-PON6-xGE+POTS7-WIFI6 3X37-xGE+RF8-WIFI6 4X48-xGE+POTS+RF9-三频WIFINotes代表WIFIONT与ONU保持一致，其余预留重名的情况下使用同一个名称，用不同的型号来区分，类似MA5821的8口和24口。

产品品类英文前缀第1位数字(NNI)第2位数字（UNI）第3位数字（LAN口数）后缀字母举例Opti X star D 3-表示EPON1-仅GE1-1个LAN口E-企业网产品D852E原EN8020xs:XGSPON+1*10GE+1*GE 5-表示10G EPON2-GE+POTS2-2个LAN口在命名后增加后缀-S表示分销产品6-表示GPON 3-GE+RF3-3个LAN口7-表示2.5G / 5GPON4-GE+POTS+RF4-4个LAN口8-表示10G GPON/20G PON5-xGE5-5个LAN口9-表示50G-PON6-xGE+POTS7-xGE+RF8-xGE+POTS+RFNotes Device首字母与ONU保持一致，其余预留上一代ONT命名规则HG/EG【8 B1 B2 B3 】二进制命名规则：◼HG运营商/广电，EG企业网POL◼8代表PON终端◼B1代表POTS端口的数量◼B2代表GE/FE端口的数量◼B3表示[USB，RF，Wifi]，有该接口置“1”，没有则置“0”，然后将二进制转换成十进制数字“111”支持USB, RF，Wi-Fi4个GE口2个POTS口PON终端企业网POL ONT举例：EG 8 2 4 7 H产品品类英文前缀第1位数字(NNI)第2位数字（UNI）第3位数字（LAN口数）后缀字母Opti X star P-POL ONUT-特种ONUS-SuperiorONU，主要用于Wi-Fi6 AP回传1-WIFI上行0: 无其他接口0: 表示1个端口E：企业网产品3-表示EPON1: 支持POE1: 表示2个端口D: 表示双电源5-表示10G EPON2: 支持双上行2: 表示4个端口H: 表示Hybrid SC接口6-表示GPON 3: 用户侧支持POTS端口3: 表示8个端口W: 表示带WIFI ONU7-表示2.5G / 5GPON5: 用户侧支持PON口4: 表示16个端口在命名后增加后缀-S表示分销产品8-表示10G GPON/20G PON6: 用户侧支持工业接口如串口，USB5: 表示24个端口9-表示50G-PON7: 支持一体化/面板式8: 预留9：用户侧支持xGE, x>=5Notes其余数字保留4，8保留不使用以2的N次方为基准冲突时才使用E以外的字母，且以重点特性字母表示企业ONU命名规则目录企业接入产品命名规则介绍1企业接入ODN产品介绍2光纤接头类型光纤截面类型PC/UPC 蓝色，APC 绿色光纤接口类型SC/UPC-SC/UPC SC/APC-SC/APC SC/UPC-SC/APCLC/UPC-LC/UPC LC/APC-LC/UPC LC/APC-LC/APCSC/APC-LC/UPC SC/APC-LC/APC SC/UPC-LC/APC SC/UPC-LC/UPC成，最大支持4 万芯以上的配线。

企业级网络ip地址规划与配置以设计具有三层结构的大型企业级网络设计为例，完成IP地址的分配、NAT 地址转换、三层网络拓扑结构等功能，并选择合适的设备实现该网络，用模拟器验证通连性。

二、实验拓扑结构图与IP规划拓扑实现：ROUTER0为本园区网络的出口，并在出口处通过NAT转换来实现与外网的连接，出口网络地址为10.2.145.91，三台路由器构成的主路由区域使用RIP动态路由协议，ROUTER1所连为园区网络服务器群，网段为10.0.10.0 /24；由于设备限制在此只设置WEB与FTP服务器模拟现实中的服务器群，ROUTER3所连网段为192.168.10.0/24。

Switch0模拟现实中的新交换机，并与switch3做链路负载均衡，switch1与switch1之间使用PVLAN技术连接，做到本交换机上VLAN之间的隔离与整体的透传，Switch3模拟学生机房主交换机，与switch1之间使用两条普通链路，利用端口汇聚技术实现带宽的增加，并在交换机上连接一台DHCP服务器实现IP 地址的自动分配，DHCP服务器使用windows 2003 server 附带的DHCP组建实现，由于设备限制，本次试验采用架设在VM虚拟机中的windows 2003 server操作系统实现，虚拟机与现实网络通过桥接网络通信，wlan部分采用单AP布局，AP 型号为NETGEAR————，internet接口地址为：192.168.10.254，LAN地址段为192.168.20.1 /24。

三、实验器材：四、配置过程：配置命令：Router0：[Quidway]sysname router0 /重新命名交路由器[router0]int s0 /配置串行链路接口[router0-Serial0]ip add 172.16.32.5 255.255.255.252 /配置接口IP地址[router0-Serial0]link-protocol ppp /链路层启用PPP协议[router0-Serial0]quit[router0]int s1[router0-Serial1]ip add 172.16.32.2 255.255.255.252[router0-Serial1]link-protocol ppp[router0-Serial1]quit[router0]rip /启用RIP协议[router0-rip]network all /发布直连网络[router0-rip]quit[router0]nat address-group 10.2.145.91 10.2.145.91 pool 1 /设定nat 地址池[router0]acl 1[router0-acl-2]rule permit source 192.168.20.8 /设定ACL规则[router0-acl-2]rule permit source 192.168.10.8[router0-acl-2]quit[router0]int e0[router0-Ethernet0]nat outbound 1 address-group pool1 /增加访问控制列表和端口关联[router0-Ethernet0]ip route-s 0.0.0.0 0.0.0.0 10.2.145.1 /设置缺省路由[router0-Ethernet0]nat server global 10.0.10.2 ftp tcp /设置内部FTP服务器[router0-Ethernet0]nat server global 10.0.10.2 www tcp /设置内部WWW服务器[router0-Ethernet0]quitRouter1：<Quidway>syspassword:[Quidway]sysname router1[router1]int s0[router1-Serial0]ip add 172.16.32.1 255.255.255.252[router1-Serial0]link-protocol ppp[router1-Serial0]clock dteclk1[router1-Serial0]int s1[router1-Serial1]ip add 172.16.32.10 255.255.255.252[router1-Serial1]link-protocol ppp[router1-Serial1]int e0[router1-Ethernet0]ip add 10.0.10.1 255.255.255.0[router1-Ethernet0]quit[router1]rip[router1-rip]network all[router1]ip route-s 0.0.0.0 0.0.0.0 s0Router 3：<Quidway>sys[Quidway]sysname router3[router3]int s0[router3-Serial0]ip add 172.16.32.6 255.255.255.252[router3-Serial0]link-protocol ppp[router3-Serial0]clock dteclk1[router3-Serial0]int s1[router3-Serial1]ip add 172.16.32.9 255.255.255.252[router3-Serial1]link-protocol ppp[router3-Serial1]clock dteclk1[router3-Serial1]int e0[router3-Ethernet0]ip add 172.168.10.1 255.255.255.0[router3-Ethernet0]quit[router3]rip[router3-rip]network all[router3-rip][router3]ip route-s 0.0.0.0 0.0.0.0 s1Switch0:<Quidway>syspassword:[Quidway]sysname switch0[switch0]int e 0/1 /进入端口视图[switch0-Ethernet0/1]port link-type trunk /设置端口类型为TRUNK [switch0-Ethernet0/1]port trunk permit vlan all /允许通过所有VLAN [switch0-Ethernet0/1]duplex full /设置工作模式为全双工[switch0-Ethernet0/1]speed 100 /设置速率为100Mbps[switch0]int e 0/2[switch0-Ethernet0/2]port link-type trunk[switch0-Ethernet0/2]port trunk permit vlan all[switch0-Ethernet0/2]duplex full /设置工作模式为全双工[switch0-Ethernet0/2]speed 100 /设置速率为100Mbps [switch0-Ethernet0/2]quit[switch0]link-aggreation int e0/1 to int e0/2 both /设置汇聚连接[switch0]Switch1:<Quidway>sys[Quidway]sysname switch1[switch1]vlan 8 /配置VLAN信息[switch1-vlan8]port eth 0/1 to eth 0/4 /加入端口[switch1-vlan8]vlan 24[switch1-vlan24]port eth 0/5 to eth 0/8[switch1-vlan24]quit[switch1]vlan 23 /配置isovlan [switch1-vlan23]isolate-user-vlan enable /启用ISO[switch1-vlan23]port eth 0/9 /加入端口[switch1-vlan23]isolate-user-vlan 23 secondary 8 24 /配置与二层vlan之间关联信息[switch1-vlan23]Switch2:<Quidway>sys[Quidway]sysname switch2[switch2]vlan 4[switch1-vlan8]port eth 0/8[switch2-vlan8]port eth 0/1 to eth 0/4[switch2-vlan8]vlan 5[switch2-vlan24]port eth 0/5 to eth 0/8[switch2-vlan24]quit[switch2]vlan 23[switch2-vlan23]isolate-user-vlan enable[switch2-vlan23]port eth 0/9[switch2-vlan23]isolate-user-vlan 23 secondary 4 5 [switch2-vlan23]Switch3:<Quidway>syspassword:[Quidway]sysname switch3[switch3]int e 0/1[switch3-Ethernet0/1]port link-type trunk [switch3-Ethernet0/1]port trunk permit vlan all [switch3-Ethernet0/1]duplex full [switch3-Ethernet0/1]speed 100 [switch3-Ethernet0/1]int e 0/2[switch3-Ethernet0/2]port link-type trunk[switch3-Ethernet0/2]port trunk permit vlan all [switch3-Ethernet0/2]duplex full [switch3-Ethernet0/2]speed 100 [switch3-Ethernet0/2]quit][switch3]link-aggreation int e 0/1 to e 0/2 both [switch3]int e 0/3[switch3-Ethernet0/3]quit[switch3]moniter e 0/3[switch3]port mirror int e 0/4 to int e 0/8AP配置信息图： Wan信息：Lan信息：测试和验证：R0配置信息：R1配置信息：R3配置信息：R0路由表：广州大学华软软件学院第 2008-2009学年第 一学期考试卷页脚内容11 R0nat 配置信息：R0acl 控制信息：。

小型企业网络构建一、实训设备：1、H3C路由器2台2、H3C交换机一台3、Windows XP客户端两台4、Windows Server 2003一台5、Console串口线1条6、V.35串口线一条7、网线若干二、实训要求1、规划网络环境各组根据实际情况，规划网络环境，要求客户端至少在两个子网中，即至少需要划分两个VLAN，分配IP地址及相关参数，写出实训环境说明。

2、配置客户端计算机配置各网段客户端计算机的静态IP地址及相关网络参数，为实训的验证做好准备工作。

3、配置DHCP服务器，创建多个作用域，以实现为企业网内部不同网段的客户端计算机提供IP地址。

4、配置路由器（1）配置路由器外网和内网地址，启用NA T功能，实现内部客户端计算机连接Internet。

（2）配置路由器的ACL，实现对内部计算机的安全管理。

（3）配置核心路由交换机。

（4）配置接入层交换机。

（5）配置基于IPsec的VPN隧道（6）802.1x对接入主机进行认证（使用Windows XP设置802.1x客户端）。

三、网络规划1、使用Windows server 2003 做DHCP服务器2、路由器RTA做NAT 转换3、路由器RTB做IPSec4、在交换机划上分VLAN，配置认证四、网络拓扑图五、拓扑图分析1、RTA 的e0/1接口连接外网2、RTA与RTB通过各自的S0/0接口连接3、RTA的e0/0接口连接到交换机的e1/0/22接口4、DHCP服务器连接到交换机e1/0/20接口5、C1连接到交换机e1/0/1接口，C2连接到交换机e1/0/6接口六、IP 地址、VLAN及DHCP的规划DHCP: 192.168.5.2 24RTA e0/0:192.168.5.3 24 e0/1:172.16.45.133 24 s0/0:1.1.1.1 24RTB e0/0:192.168.8.1 s0/0:1.1.1.2 24DHCP作用域1地址范围：192.168.6.1~192.168.6.100 网关：192.168.6.1 排除IP 192.168.6.1~192.168.6.3 作用域2地址范围：192.168.7.1~192.168.7.100 网关：192.168.7.1 排除IP 192.168.7.1~192. VLAN划分Vlan 2 接口e1/0/1~e1/0/5Vlan 3接口e1/0/6~e1/0/10Vlan 1 IP: 192.168.5.1 24Vlan 2 IP：192.168.6.1 24Vlan 3 IP: 192.168.7.1 24七、配置步骤1、配置DHCP，建立两个作用域，如以上规划的地址范围2、为了使得客户端可以获取到不同作用域的IP地址，需为交换机创建Vlan 2 3 并为其配置IP地址，为各作用域的网关，为默认Vlan 1配置与DHCP在同一网段的IP地址3、在交换机上配置dhcp-server 0 ip 192.168.5.2 并在Vlan 2 Vlan 3中引用dhcp-server 04、客户端自动获取IP地址，根据以上规划，C1连接在属于Vlan 1接口中，C2连接属于Vlan 2 的接口中，可以获取到不同网段的IP地址5、在RTA上配置NAT服务器，NAT地址池172.16.45.140~172.16.45.1506、配置完成后，在e0/1接口上引用7、配置RIP协议使得RTA与RTB可以互通8、配置交换机与RTA相连的e1/0/22接口为Trunk端口，允许所有Vlan通过9、在交换机上配置RIP，使得交换机上的Vlan 1 2 3可以互相通信10、在交换机上配置802.1x认证，将与客户端相连的端口加入认证客户端连接成功后可输入用户名和密码可进行认证11、在RTB上做IPSec隧道八、最终配置结果1、交换机[swa]dis cur#local-server nas-ip 127.0.0.1 key huawei#domain default enable system#dhcp-server 0 ip 192.168.5.2#dot1x#udp-helper enable#queue-scheduler wrr 1 2 3 4 5 9 13 15#radius scheme system#domain system#local-user ttpassword simple 123service-type lan-access#vlan 1#vlan 2#vlan 3#interface Vlan-interface1ip address 192.168.5.1 255.255.255.0#interface Vlan-interface2ip address 192.168.2.1 255.255.255.0 dhcp-server 0udp-helper server 192.168.6.1#interface Vlan-inip address 192.168.3.1 255.255.255.0 dhcp-server 0udp-helper server 192.168.7.1#interface Aux1/0/0#interface Ethernet1/0/1port access vlan 2#interface Ethernet1/0/2port access vlan 2#interface Ethernet1/0/3port access vlan 2#interface Ethernet1/0/4port access vlan 2#interface Ethernet1/0/5port access vlan 2#interface Ethernet1/0/6port access vlan 3dot1x#interface Ethernet1/0/7port access vlan 3#interface Ethernet1/0/8port access vlan 3#interface Ethernet1/0/9port access#interface Ethernet1/0/10port access vlan 3#interface Ethernet1/0/11#interface Ethernet1/0/12#interface Ethernet1/0/13#interface Ethernet1/0/14#interface Ethernet1/0/15#interface Ethernet1/0/16#interface Ethernet1/0/17#interface Ethernet1/0/18#interface Ethernet1/0/19#interface Ethernet1/0/20#interface Ethernet1/0/21#interface Ethernet1/0/22port link-type trunkport trunk permit vlan all#interface Ethernet1/0/23#interface Ethernet1/0/24#sysname swaundo irf-fabric authentication-mode #interface NULL0#ripnetwork 192.168.1.0network 192.168.2.0network 192.168.3.0#user-interface aux 0 7user-interface vty 0 4#Return2、RTA<rta>dis cur#sysname rta#FTP server enable#l2tp domain suffix-separator @#nat address-group 1 172.16.45.140 172.16.45.150#radius scheme system#domain system#local-user adminpasswordcipher .]@USE=B,53Q=^Q`MAF4<<"TX$_S#6.NM(0=0\)*5WWQ=^Q`MAF4<<"TX$_S#6. Nservice-type telnet terminallevel 3service-type ftp#ike peer peer1pre-shared-key 123remote-address 192.168.3.2#ipsec proposal ttesp authentication-a#ipsec policy tang2 10 isakmpike-peer peer1proposal tt#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.5.3 255.255.255.0ip address 192.168.5.5 255.255.255.0 subdhcp select relay#interface Ethernet0/1ip address 172.16.45.133 255.255.255.0nat outbound 2000 address-group 1interface Ethernet1/0ip address dhcp-alloc#interface Serial0/0clock DTECLK1link-protocol pppip address 1.1.1.1 255.255.255.0ipsec policy yy#interface NULL0#acl number 2000rule 0 permit#ripnetwork 192.168.5.0network 1.1.1.0network 172.16.45.0network 192.168.3.0import-route directimport-route static#ip route-static 0.0.0.0 0.0.0.0 172.16.45.1 preference 60ip route-static 192.168.8.0 255.255.255.0 1.1.1.2 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#Return3、RTB<rtb>dis cur#sysname rtb#FTP server enable#l2tp domain suffix-separator @#radius scheme system#domain systemlocal-user adminpasswordcipher .]@USE=B,53Q=^Q`MAF4<<"TX$_S#6.NM(0=0\)*5WWQ=^Q`MAF4<<"TX$_S#6. Nservice-type telnet terminallevel 3service-type ftp#ike peer peer1pre-shared-key 123remote-address 192.168.3.1#ipsec proposal ttesp authentication-algorithm sha1#ipsec policy yy 10 isakmpike-peer peer1proposal tt#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.8.1 255.255.255.0#interface Ethernet0/1ip address dhcp-alloc#interface Ethernet1/0ip address dhcp-alloc#interface Serial0/0link-protocol pppip address 1.1.1.2 255.255.255.0ipsec policy yy#interface NULL0#ip route-static 192.168.5.0 255.255.255.0 1.1.1.1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return八、测试最终结果，客户端可以通过自动获取到的IP地址，通过NAT转换访问到外网，通过802.1认证，RTA和RTB两个子网之间的数据被加密传送。