职业院校技能大赛网络搭建与应用试题Word文档格式.docx

1、一台 DCR-2655 路由器编号为 RT-1，作为集团总部的出口路由器；另外一台 DCR-2655 编号为 RT-2，作为集团分公司出口路由器；一台 DCWS-6028 作为集团的有线无线智能一体化控制器，编号为DCWS，通过与 WL8200-I2 高性能企业级 AP 配合实现集团无线覆盖。请注意：结合网络环境和网络拓扑要求，合理规划网络和 IP 地址，保证网络搭建及安全部署项目和服务器配置及应用项目顺利实施。 A 设备连接至 B 设备 设备名称 接口 RT-1 G0/3 FW-1 E0/4 G0/4 FW-2 S0/1 RT-2 S0/2 G0/5 SW-Core 模拟 Internet

2、交换机 E1/0/17 E1/0/18 AC E1/0/1 SW-1 E0/1 E1/0/2 E1/0/24 SW-3 SW-2 E0/2 E1/0/23 云平台 管理口 业务口 E1/0/3 PC1 NIC E1/0/4 PC2 AP 表 1 网络设备连接表 表 2 网络设备 IP 地址分配表 设备 设备接口 IP 地址 路由器 Loopback1 21.1.1.1/32 G 0/3 10.0.0.1/30 G 0/4 10.0.0.5/30 G 0/5 202.12.19.1/30 S 0/1-2 202.5.18.1/30 Tunnel 1 10.0.0.253/30 Loopback2

3、000 100.100.100.100/32 21.1.1.2/32 10.0.201.1/30 202.12.19.5/30 202.5.18.2/30 10.0.0.254/30 200.200.200.200/32 三层交换机 SW-Core Loopback 1 21.1.1.5/32 VLAN101 SVI 10.0.101.2/30 VLAN102 SVI 10.0.102.2/30 VLAN110 SVI 192.168.110.254/24 VLAN120 SVI 192.168.120.254/24 VLAN130 SVI 192.168.130.254/24 VLAN140

4、 SVI 192.168.140.254/24 VLAN100 SVI 192.168.100.254/24 模拟 Internet 交换机 VLAN4001 SVI 202.12.19.2/30 VLAN4002 SVI 202.12.19.6/30 防火墙 21.1.1.3/32（trust 安全域） Eth0/1-2 10.0.101.1/30（trust 安全域） Eth0/4 10.0.0.2/30（untrust 安全域） 21.1.1.4/32（trust 安全域） 10.0.102.1/30（trust 安全域） 10.0.0.6/30（untrust 安全域） 无线控制器 D

5、CWS VLAN201 SVI 10.0.201.2/30 VLAN210 SVI 192.168.210.254/24 VLAN220 SVI 192.168.220.254/24 VLAN230 SVI 192.168.230.254/24 VLAN2001SVI 192.168.21.254/24 二层交换机 VLAN1000 SVI 172.16.1.1/24 宿主虚拟主机名称 域名信息 服务角色 系 统 及 版本信息 IPv4 地址信息 云 实 训 平 台 云主机1 DC 域控制器DNS 服务器 CA 证书服务器 Windows Server 2012 R2 10.30.30.xx/

6、24 云主机2 SCA 从属 CA 服务器 辅助域控制器 Windows Server 2012 R2 3 DHCP DHCP 服务器 文件服务器 Server 2008 R2 云主机4 WEB 服务器负载均衡集群服务 10.30.50.xx/24 云主机5 6 Client Windows 10 7 证书服务器 Centos 7.4 10.30.40.xx/24 8 WEB 服务器 9 数据库服务器 10 Tomcat 服务器 磁盘管理 11 邮件服务器 12 Ha 集群服务器 表 3 服务器 IP 地址分配表 云主机和服务器密码 2019Netwrk（注意区分大小写） 表 4 云主机和服务

7、器密码表 注：需把云主机的默认密码改为表 4.云主机和服务器密码表要求的密码 网络名称 Vlan 号 外部网络 子网名称 子网网络地址 网关 IP 激活DHCP 地址池范围 Vlan30 30 是 Vlan30-subnet 10.30.30.0/24 10.30.30.254 10.30.30.100,10.30.30.200 Vlan40 40 Vlan40-10.30.40.0/24 10.30.40.254 10.30.40.100,10.30.40.200 Vlan50 50 Vlan50-10.30.50.0/24 10.30.50.254 10.30.50.100,10.30.5

8、0.200 表 5 云平台网络信息表 表 6 虚拟主机信息表 虚拟主机名称 镜像模板 （源） 云主机类型 （实例规格） VCPU 数量 内存、硬盘信息 网络名称 备注 1 WindowsServer2012 windows-450 4G、50G 加入域 连接卷 hd1-hd3 WindowsServer2008 windows-240 2G、40G 4 5 Windows10 windows10-240 Centos7-mini-V2 linux-130 1G、30G 连接 hd4、hd5 【说明】 网络搭建及安全部署项目 （500 分） 1. 设备 console 线有不同两条。交换机、 A

9、C、防火墙使用同一条 console 线，路由器使用另外一条 console 线；2. 请在 PC1 桌面上新建一个“比赛文档_X”（X 为赛位号）文件夹， 3. 请将 U 盘中的“网络搭建及安全部署项目报告单”放到 PC1 桌面上“比赛文档_X”（X 为赛位号）文件夹下“网络部分文件夹”中，并按照截图注意事项的要求填写完整； 4.设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在 PC1 桌面的“比赛文档_X”（X 为赛位号）文件夹下的“网络部分文件夹”中。保存文档方式如下： 交换机、

10、路由器、AC 要把 show running-config 的配置、防火墙要把 show configuration 的配置保存在 PC1 桌面上的“比赛文档_X”文件夹下“网络部分文件夹” 中，文档命名规则为：设备名称.txt。例如：RT-1 路由器文件命名为：RT-1.txt； 无论通过 SSH、telnet、Console 登录防火墙进行 show configuration 配置收集， 需要先调整 CRT 软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。CRT 软件调整字符编号配置如图：山东省职业院校技能大赛网络搭建与应用赛项正式赛卷一、线缆制作与基础配置（30 分）

11、1. 根据网络拓扑要求，截取适当长度和数量的双绞线，制作网络线缆，根据题目要求，插入相应的设备的相关端口。2. 根据网络拓扑要求及网络地址规划表，对网络设备进行地址设置。二、交换配置与调试（136 分） 1. 总部两台核心交换机通过 VSF 物理端口连接起来形成一台虚拟的逻辑设备命名为SW-Core，用户对这台虚拟设备进行管理，来实现对虚拟设备中所有物理设备的管理。两台设备之间建立一个 vsf port-group，vsf port-group 编号都使用最小值，每个 vsf port-group 绑定两个万兆光端口（25 口和 26 口），两台设备 VSF 逻辑域为 10，SW-1 的成员编

12、号使用最大值，SW-2 的成员编号使用最小值，正常情况下 SW-2 负责管理整个 VSF， 采用 LACP MAD 分裂检测，配置快速检测模式为 short，配置 VSF 链路 down 延迟上报时间为 2s、vsf 分裂后桥 MAC 地址保留时间为 6 分钟。2. 为了减少广播，需要根据题目要求规划并配置 VLAN。具体要求如下：（1） 配置合理，所有链路上不允许不必要 VLAN 的数据流通过，包括 VLAN 1；（2） 配置销售业务 VLAN 每个物理端口最多允许每秒钟通过 640kbit 的广播数据包； 策划业务 VLAN 每个物理端口最多允许每秒钟通过 1280kbit 的单播数据包。

13、VLAN 编号 VLAN 名称 端口 说明 VLAN110 XSBM E1/0/5-7 销售部门 VLAN120 XZBM E1/0/8-9 行政部门 VLAN130 CHBM E1/0/10-12 策划部门 VLAN140 CWBM E1/0/13-17 财务 VLAN1000 WLGL 网络管理 根据下述信息及表，在交换机上完成 VLAN 配置和端口分配。3. 销售、行政、策划、财务各部门业务内部终端、采用自动获取 IP 地址，总部SW-Core作为 DHCP 服务器进行 IP 地址分配，使用该网段最后一个 ip 地址作为地址池网关，地址池主机位范围为 100-200；为了防止恶意主机试图

14、伪装 DHCP server，请在交换机上设置相应功能阻止此现象发生。4. 为了尽可能加大总部核心交换机 SW-Core 与 FW1、FW2 之间的带宽，在 FW1、FW2上分别使用聚集接口来提高单个 IP 地址的可用带宽，SW-Core 使用聚合组 3 连接 FW1 的聚集接口 3，SW-Core 使用聚合组 4 连接 FW2 的集聚接口 3，SW-Core 与防火墙之间启用强制聚合模式，使用端口汇聚技术，SW3 与 SW-Core 之间启用动态聚合，SW-Core 为主动端， SW3 为被动端，使用 Port-group 5。5. 用户为了维护方便，需要在总部所有交换机设备上开启 Secu

15、re Shell 管理功能， 设备上只允许一个本地认证用户，用户名：2019SDSS，优先级设置为 15，密码：SDSS2019； 为保证安全需设置客户端的验证重试次数为 2 次，最大访问连接数为 10，并设置认证超时时间为 5 分钟。6. SW-3 为接入交换机，在接入交换机连接终端的接口下设置端口安全，每个端口最多学习 3 个 MAC 地址，当学习到更多的 MAC 地址时，直接 shutdown 端口，且设置自动恢复端口，恢复时间 60s。7. SW-Core 开启端口镜像功能，将 SW-Core 与 FW1、FW2 互联的全部流量信息映射到E1/0/20 端口。8. SW-Core 即作

16、为总公司核心交换机，同时又使用相关技术将 SW-Core 模拟为Internet 交换机，实现总公司内部路由表与 Internet 路由表隔离，Internet 路由表位于vpn 实例名称 Internet 内。三、路由配置与调试（136 分） 1. 尽可能加大总公司路由器与分公司路由器之间的专线链路带宽，将路由器上的S0/1和 S0/2 口绑定成一个口，使用 group 12。2. 规划总公司内部网络使用 OSPF 路由协议实现全网互通，进程号为 200，RT1、FW1 、 FW2、与 SW-Core 的 ospf 进程 RID 分别为 21.1.1.1、21.1.1.3、21.1.1.4、

17、21.1.1.5，其中 SW-Core 与 FW1 直连网段和 SW-Core 与 FW2 直连网段宣告到 area 10 中， 将 SW-Core 的业务 VLAN 宣告到区域 10 中， FW1、FW2 与 RT1 的直连网段宣告到骨干区域。3. 为了加快 ospf 邻居收敛，通过修改 area 0 的 ospf 报文时间来加快邻居收敛速度。4. 针对骨干区域启用 MD5 验证，验证密钥为：SDSS2019。5. 通过设置特殊区域，将 area 10 中的 3 类、4 类、5 类 LSA 过滤掉，来减少 SW-Core上的链路状态数据库数量。6. 总公司与分公司之间使用与 SW-Core

18、模拟 Internet 交换机的接口互联地址建立GRE隧道，再使用 IPsec 技术对 GRE 隧道进行保护，IPsec 技术使用 IKE 协商 IPsec 安全联盟、交换 IPsec 密钥，两端加密访问控制列表名称都为 CTW，总公司和分公司路由器上分别创建 loopback2000 来模拟业务网络，通过静态路由协议在运营商网络相互访问，通过 vpn 技术就不担心数据被监视篡改和伪造。7. RT2 与 AC 之间使用 RIP 协议，使用版本 2，宣告到 RIP 中，RT2 上显示 rip 明细路由。8. 总公司与分公司之间使用 BGP 协议进行业务访问，RT1 与 RT2 之间使用 ppp

19、链路的串口建立 EBGP 邻居关系，RT1 处于 AS 100，RT2 处于 AS 200，在 RT1 上将 OSPF 路由引入到 BGP 中，同时将 BGP 路由引入到 ospf 中，在 RT2 将 rip 路由协议与 BGP 路由协议相互引入，要求总公司和分公司全网互通。9. 在总公司的 RT-1 上配置源 NAT，要求总部内网用户均可经地址转换后而访问公网，使用的地址为 202.12.19.1/30。四、无线配置（112 分） 1. AC 和瘦 AP 来构建网络，AC 将 VLAN 2001 作为管理 VLAN，VLAN 210、VLAN 220、VLAN230 作为业务 VLAN 为终

20、端下发 ip 地址，AP 启用密码认证方式通过 option43 方式注册上线，验证密钥为：SDSS2019，AC 手动指定 ip 为 192.168.21.254 让 AP 发现 AC。2. AC 上的 VLAN 2001、VLAN 210 和 VLAN 220、VLAN230 网段内，用户通过 AC 上的DHCP 服务获取 IP 地址，地址池名称分别为 AP、WX2.4G、WX5.0G 租期为 8 个小时，配置默认最后一个 IP 地址为网关，DNS 为 10.10.10.10、220.220.220.220，每个地址池均排除该网段的后十个 ip 地址。3. 无线 Network 20，创建

21、 SSID 为 2.4GDCN 对应业务 VLAN 210，用户接入无线时采用 WPA-personal 加密方式，其密钥为：SSID2.4G。4. 无线 network 30，创建 SSID 为 5.0GDCN 对应业务 VLAN 220，用户接入无线时采用 WPA-personal 加密方式，其密钥为：SSID5.0G。5. 无线 network40，创建 SSID 为 WXNW，对应业务 VLAN230，接入用户采用不认证方式，并隐藏该 ssid，开启 AP 对用户流量监测功能，设定流量检测功能的静默时间为 500S, 流量阈值为 900bytes。6. AC 采用 profile 1 为 AP 下发配置，服务集标识码为 2.4GDCN 位于 AP 的 2.4G 频段，服务集标识码为 5.0GDCN 位于 AP 的 5.0G 频段，要求从小到大使用 VAP 虚接口。7. 在 5.0G 射频下开启弱信号接入功能，当终端接入信号的 RSSI 值小于 40 时，则拒绝终端接入此网络。8. 瘦 AP 在发生意外情况下与 AC 意外断开，此时关联的客户端将会被迫下线，会影响正常用户的工作，因此需在