全国职业院校技能大赛网络建设与运维赛项赛题(一) 网络建设与调试_网络建设与运维技能大赛

模块二：网络建设与调试             

任务描述：

某集团公司原在城市A成立了总公司，后在城市B成立了分公司，又在城市C建立了办事处。集团设有产品、营销、法务、财务、人力5个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。

随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要素潜能，为社会创造更多价值，集团决定在总公司建立两个数据中心，在某省建立异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构演进，更好的服务于公司客户。

网络拓扑图及IP地址表：

1.网络拓扑图

2.网络设备IP地址分配表

一、工程统筹

1.职业素养

（1）整理赛位，工具、设备归位，保持赛后整洁有序。

（2）无因选手原因导致设备损坏。

（3）恢复调试现场，保证网络和系统安全运行。

2.网络布线

左侧布线面板立面示意图        右侧布线面板立面示意图

（1）机柜左侧布线面板编号101；机柜右侧布线面板编号102。

（2）面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。

（3）主配线区配线点与工作区配线点连线对应关系如下：

（4）铺设线缆并端接。截取2根适当长度的双绞线，两端制作标签，穿过PVC线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定。将2根双绞线的一端，端接在配线架相应端口，另一端端接上RJ45模块，并且安装上信息点面板，并标注标签。

（5）跳线制作与测试。截取2根当长度的双绞线，端接水晶头，所有网络跳线要求按568B标准制作，两端制作标签，连接网络信息点和相应计算机。根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，插入相应设备的相关端口上，实现PC、信息点面板、配线架、设备之间的连通（提示：可利用机柜上自带的设备进行通断测试）。

3.IP规划

为了不断壮大集团业务经营范围，集团计划在上海成立办事处。通过调研，计划在上海办事处设立与Internet连接的4个业务部门，每个业务部门的最大所需主机数如下表所示，要求从10.1.10.100/19主机地址所在网络第一个网段开始进行IP地址规划，IP地址按照下表依次往后顺延规划，网关地址取每个网段最后一个可用地址，请完成下表IP地址规划。

二、交换配置

1.配置vlan，SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。

2.SW1和SW2之间利用三条裸光缆实现互通，其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离，财务业务VPN实例名称为Finance。承载二层业务的只有一条裸光缆通道，配置相关技术，方便后续链路扩容与冗余备份，编号为1，用LACP协议，SW1为active，SW2为passive；采用源、目的IP进行实现流量负载分担。

3.SW3针对每个业务VLAN的第一个接口配置Loopback命令，模拟接口UP，方便后续业务验证与测试。

4.将SW3模拟为Internet交换机，实现与集团其它业务路由表隔离，Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表VPN实例名称为Office。

5.SW1配置SNMP，引擎id分别为1000；创建组GroupSkills，采用最高安全级别，配置组的读、写视图分别为：Skills_R、Skills_W；创建认证用户为UserSkills，采用aes算法进行加密，密钥为Key-1122，哈希算法为sha，密钥为Key-1122；当设备有异常时，需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器10.1.15.120、2001:10:1:15::120，采用最高安全级别；当法务部门对应的用户接口发生UP DOWN事件时禁止发送trap消息至上述集团网管服务器。

6.对SW1与FW1互连流量镜像到SW1 E1/0/1，会话列表为1。

7.SW1和SW2 E1/0/21-28启用单向链路故障检测，当发生该故障时，端口标记为errdisable状态，自动关闭端口，经过1分钟后，端口自动重启；发送Hello报文时间间隔为15s。

8.SW1和SW2所有端口启用链路层发现协议，更新报文发送时间间隔为20s，老化时间乘法器值为5，Trap报文发送间隔为10s，配置三条裸光缆端口使能Trap功能。

三、路由调试

1.启用所有设备的ssh服务，防火墙用户名admin，明文密码Key-1122，其余设备用户名和明文密码均为admin。

2.配置所有设备的时区为GMT+08:00，调整SW1时间为实际时间，SW1配置为ntp server，其他设备用SW1 loopback1 ipv4地址作为ntp server地址，ntp client 请求报文时间间隔1分钟。

3.配置接口ipv4地址和ipv6地址，互联接口ipv6地址用本地链路地址。

4.SW2配置DHCPv4和DHCPv6，分别为总公司产品1段、总公司产品2段、分公司Vlan130、分公司Vlan140和分公司Vlan150分配地址。IPv4地址池名称分别为Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan130、Poolv4-Vlan140、Poolv4-Vlan150，排除网关，DNS为10.1.210.101和10.1.220.101。IPv6地址池名称分别为Poolv6-Vlan11、Poolv6-Vlan21、Poolv6-Vlan130、Poolv6-Vlan140、Poolv6-Vlan150，IPv6地址池用网络前缀表示,排除网关，DNS为2400:3200::1。PC1保留地址10.1.11.9和2001:10:1:11::9，PC2保留地址10.1.21.9和2001:10:1:21::9，AP1保留地址10.1.130.9和2001:10:1:130::9。SW1、AC1中继地址为SW2 Loopback1地址，SW1启用DHCPv4和DHCPv6 snooping，如果E1/0/1连接dhcpv4服务器，则关闭该端口，恢复时间为10分钟。

5.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行OSPFv2和OSPFv3协议（路由模式发布网络用接口地址，BGP协议除外）。

（1）SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议，进程1，区域0，分别发布loopback1地址路由和产品路由，FW1通告type1默认路由。

（2）RT2与AC1之间运行OSPFv2协议，进程1，nssa no-summary区域1；AC1发布loopback1地址路由、产品和营销路由，用prefix-list重发布loopback3。

（3）RT2与AC1之间运行OSPFv3协议，进程1，stub no-summary区域1；AC1发布loopback1地址路由、产品和营销。

（4）SW3模拟办事处产品和营销接口配置为loopback，模拟接口up。SW3模拟办事处与FW2之间运行OSPFv2协议，进程2，区域2，SW3模拟办事处发布loopback2、产品和营销。SW3模拟办事处配置ipv6默认路由；FW2分别配置到SW3模拟办事处loopback2、产品和营销的ipv6明细静态路由，FW2重发布静态路由到OSPFv3协议。

（5）RT1、FW2之间OSPFv2和OSPFv3协议，进程2，区域2；RT1发布loopback4路由，向该区域通告type1默认路由；FW2发布loopback1路由，FW2禁止学习到集团和分公司的所有路由。RT1用prefix-list匹配FW2 loopback1路由、SW3模拟办事处loopback2和产品路由、RT1与FW2直连ipv4路由，将这些路由重发布到区域0。

（6）修改ospf cost为100，实现SW1分别与RT2、FW2之间ipv4和ipv6互访流量优先通过SW1_SW2_RT1链路转发，SW2访问Internet ipv4和ipv6流量优先通过SW2_SW1_FW1链路转发。

6.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议，FW1、RT1、RT2的RIP和RIPng发布loopback2地址路由，AC1 RIP发布loopback2地址路由，AC1 RIPng采用route-map匹配prefix-list重发布loopback2地址路由。RT1配置offset值为3的路由策略，实现RT1-S1/0_RT2-S1/1为主链路，RT1-S1/1_RT2-S1/0为备份链路，ipv4的ACL名称为AclRIP，ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1之间采用chap双向认证，用户名为对端设备名称，密码为Key-1122。

7.RT1以太链路、RT2以太链路之间运行ISIS协议，进程1，分别实现loopback3 之间ipv4互通和ipv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、10.0000.0000.0002.00，路由器类型是Level-2，接口网络类型为点到点。配置域md5认证和接口md5认证，密码均为Key-1122。

8.RT2配置ipv4 nat，实现AC1 ipv4产品用RT2外网接口ipv4地址访问Internet。RT2配置nat64，实现AC1 ipv6产品用RT2外网接口ipv4地址访问Internet，ipv4地址转ipv6地址前缀为64:ff9b::/96。

9.SW1、SW2、SW3、RT1、RT2之间运行BGP协议，SW1、SW2、RT1 AS号65001、RT2 AS号65002、SW3 AS号65003。

（1）SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6 BGP邻居。SW1和SW2之间财务通过loopback2建立ipv4 BGP邻居，SW1和SW2的loopback2互通采用静态路由。

（2）SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6路由；RT1发布办事处营销ipv4和ipv6路由到BGP。

（3）SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转发；SW3法务及人力分别与SW1和SW2法务及人力ipv4和ipv6互访优先在SW3_SW2链路转发，主备链路相互备份；用prefix-list、route-map和BGP路径属性进行选路，新增AS 65000。

10.利用BGP MPLS VPN技术，RT1与RT2以太链路间运行多协议标签交换、标签分发协议。RT1与RT2间创建财务VPN实例，名称为Finance，RT1的RD值为1:1，export rt值为1:2，import rt值为2:1；RT2的RD值为2:2。通过两端loopback1建立VPN邻居，分别实现两端loopback5 ipv4互通和ipv6互通。

四、无线部署

1.AC1 loopback1 ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。AP二层自动注册，AP采用MAC地址认证。配置2个ssid，分别为skills-2.4G和skills-5G。skills-2.4G对应vlan140，用network 140和radio1（模式为n-only-g）,用户接入无线网络时需要采用基于WPA-personal加密方式，密码为Key-1122。skills-5G对应vlan150，用network 150和radio2（模式为n-only-a），不需要认证，隐藏ssid，skills-5G用倒数第一个可用VAP发送5G信号。

2.当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。

3.MAC认证模式为黑名单，MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证。

4.配置vlan110无线接入用户上下行最大带宽为800Mbps，arp上下行最大速率为6packets/s。

5.配置vlan110无线接入用户上班时间（工作日09:00-17:00）访问Internet https上下行CIR为1Mbps，CBS为20Mbps，PBS为30Mbps，exceed-action和violate-action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为Skills。

6.开启Radio的自动信道调整，每天上午10:00触发信道调整功能。

7.开启AP组播广播突发限制功能；AP收到错误帧时，将不再发送ACK帧；AP发送向无线终端表明AP存在的帧时间间隔为1秒。

8.AP发射功率为90%。

五、安全维护

说明：ip地址按照题目给定的顺序用“ip/mask”表示，ipv4 any地址用0.0.0.0/0，ipv6 any地址用::/0，禁止用地址条目，否则按零分处理。

1.FW1配置ipv4 nat，实现集团产品1段ipv4访问Internet ipv4，转换ip/mask为200.200.200.16/28，保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址；当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.1.11.120的 UDP 514端口，记录主机名，用明文轮询方式分发日志；开启相关特性，实现扩展nat转换后的网络地址端口资源。

2.FW1配置nat64，实现集团产品1段ipv6访问Internet ipv4，转换为出接口IP，ipv4转ipv6地址前缀为64:ff9b::/96。

3.FW1和FW2策略默认动作为拒绝，FW1允许集团产品1段ipv4和ipv6访问Internet任意服务。

4.FW2允许办事处产品ipv4访问集团产品1段https服务，允许集团产品1段访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处loopback2 ipv4。

5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN，实现loopback4之间的加密访问。

6.FW1配置邮件内容过滤，规则名称和类别名称均为“DenyKey”，过滤含有“business”字样的邮件。

7.FW1通过ping监控外网网关地址，监控对象名称为Track1，每隔5S发送探测报文，连续10次收不到监测报文，就认为线路故障，关闭外网接口。

8.FW1利用iQoS，实现集团产品1段访问Internet https服务时，上下行管道带宽为800Mbps，限制每IP上下行最小带宽2Mbps、最大带宽4Mbps、优先级为3，管道名称为Skills，模式为管制。