2022年全國(guó)職業(yè)院校技能大賽

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)

模塊A：網(wǎng)絡(luò)構(gòu)建

（樣題2）

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建2/10

任務(wù)描述

CII集團(tuán)公司業(yè)務(wù)不斷發(fā)展壯大，為適應(yīng)IT行業(yè)技術(shù)飛速發(fā)展，滿足公司業(yè)

務(wù)發(fā)展需要，集團(tuán)公司決定建設(shè)北京分校、廣州分校與本部校區(qū)的信息化網(wǎng)絡(luò)。

你做為火星公司網(wǎng)絡(luò)工程師前往CII集團(tuán)完成網(wǎng)絡(luò)規(guī)劃與建設(shè)任務(wù)。

任務(wù)清單

（一）基礎(chǔ)配置

1.根據(jù)附錄1、附錄2，配置設(shè)備接口信息。

2.所有交換機(jī)和無(wú)線控制器開(kāi)啟SSH服務(wù)，用戶名密碼分別為admin、admin1234；

密碼為明文類型,特權(quán)密碼為admin。

3.交換機(jī)配置SNMP功能，向主機(jī)172.16.0.254發(fā)送Trap消息版本采用V2C，讀

寫(xiě)的Community為“Test”，只讀的Community為“public”，開(kāi)啟Trap消息。

（二）有線網(wǎng)絡(luò)配置

1.在全網(wǎng)Trunk鏈路上做VLAN修剪。

2.為隔離網(wǎng)絡(luò)中部分終端用戶間的二層互訪，在交換機(jī)S1、S2上使用端口保護(hù)。

為了規(guī)避網(wǎng)絡(luò)末端接入設(shè)備上出現(xiàn)環(huán)路影響全網(wǎng)，要求在本部與分校接入設(shè)備S1，

S2，S6，S7進(jìn)行防環(huán)處理。具體要求如下：接口開(kāi)啟BPDU防護(hù)不能接收bpduguard

報(bào)文；接口下開(kāi)啟rldp防止環(huán)路，檢測(cè)到環(huán)路后處理方式為shutdown-port；連

接終端的所有端口配置為邊緣端口；如果端口被BPDUGuard檢測(cè)進(jìn)入

err-disabled狀態(tài)，再過(guò)300秒后會(huì)自動(dòng)恢復(fù)，重新檢測(cè)是否有環(huán)路。

3.為了保證接入?yún)^(qū)DHCP服務(wù)安全及偽IP源地址攻擊，具體要求如下：DHCP服務(wù)

器搭建于S3上對(duì)VLAN10以內(nèi)的用戶進(jìn)行地址分配；為了防御從非法DHCP服務(wù)器

獲得的地址要求在S1、S2上部署DHCPSnooping功能。

4.在本部交換機(jī)S3、S4上配置MSTP防止二層環(huán)路；要求VLAN10、VLAN20、VLAN30

數(shù)據(jù)流經(jīng)過(guò)S3轉(zhuǎn)發(fā)，VLAN40、VLAN50、VLAN100數(shù)據(jù)流經(jīng)過(guò)S4轉(zhuǎn)發(fā)，S3、S4其

中一臺(tái)宕機(jī)時(shí)均可無(wú)縫切換至另一臺(tái)進(jìn)行轉(zhuǎn)發(fā)。所配置的參數(shù)要求如

下:region-name為test；revision版本為1；實(shí)例1，包含VLAN10，VLAN20，VLAN30；

實(shí)例2，包含VLAN40，VLAN50，VLAN100；S3作為實(shí)例0、1中的主根，S4作為實(shí)

例0、1的從根；S4作為實(shí)例2中的主根，S3作為實(shí)例2的從根；主根優(yōu)先級(jí)為

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建3/10

4096，從根優(yōu)先級(jí)為8192；在S3和S4上配置VRRP，實(shí)現(xiàn)主機(jī)的網(wǎng)關(guān)冗余。所配

置的參數(shù)要求如表1；S3、S4各VRRP組中高優(yōu)先級(jí)設(shè)置為150，低優(yōu)先級(jí)設(shè)置為

120。

表1S3和S4的VRRP參數(shù)表

VLANVRRP備份組號(hào)（VRID）VRRP虛擬IP

VLAN1010192.1.10.254

VLAN2020192.1.20.254

VLAN3030192.1.30.254

VLAN4040192.1.40.254

VLAN5050192.1.50.254

VLAN100(交換機(jī)間)100192.1.100.254

5.本部?jī)?nèi)網(wǎng)使用靜態(tài)路由、OSPF多協(xié)議組網(wǎng)。其中S3、S4、S5、EG1、EG2、R1使

用OSPF協(xié)議，本部其余三層設(shè)備間使用靜態(tài)路由協(xié)議。本部與分校廣域網(wǎng)間使用

靜態(tài)路由協(xié)議（R1除外），各分校局域網(wǎng)環(huán)境使用靜態(tài)路由協(xié)議。要求網(wǎng)絡(luò)具有安

全性、穩(wěn)定性。具體要求如下：本部OSPF進(jìn)程號(hào)為10，規(guī)劃多區(qū)域；區(qū)域0（S3、

S4），區(qū)域1（S3，S4，S5）,區(qū)域2（S3，S4，EG1，EG2），區(qū)域3（S4、R1）；區(qū)

域1為完全NSSA區(qū)域；AP使用靜態(tài)路由協(xié)議；本部與分校通過(guò)重分發(fā)引入彼此路

由；要求本部業(yè)務(wù)網(wǎng)段中不出現(xiàn)協(xié)議報(bào)文；不允許重發(fā)布直連路由，Network方式

發(fā)布本地明細(xì)路由；為了管理方便，需要發(fā)布Loopback地址；優(yōu)化OSPF相關(guān)配

置，以盡量加快OSPF收斂；重發(fā)布路由進(jìn)OSPF中使用類型1。

4.不允許在R1設(shè)備使用IPV4靜態(tài)路由。

5.本部路由器R1與北京校區(qū)路由器R2、廣州校區(qū)路由器R3間屬于廣域網(wǎng)鏈路，

其中R1-R2間所租用一條帶寬為2M的線路，R1-R3間租用2條帶寬均為2M的線路。

本部路由器與分校路由器間屬于廣域網(wǎng)鏈路。需要使用PPP進(jìn)行安全保護(hù)，同時(shí)

提高R1與R3的鏈路帶寬與簡(jiǎn)化網(wǎng)絡(luò)部署的目的，現(xiàn)要求如下：使用CHAP協(xié)議;

單向認(rèn)證，用戶名+驗(yàn)證口令方式；R1為認(rèn)證服務(wù)端，R2、R3為認(rèn)證客戶端；用

戶名和密碼均為test；R1與R3間使用PPP鏈路捆綁，捆綁組號(hào)為1。

6.考慮到廣域網(wǎng)線路安全性較差，所以需要使用IPSec對(duì)各分校到總校的業(yè)務(wù)數(shù)

據(jù)進(jìn)行加密。要求使用動(dòng)態(tài)隧道主模式，安全協(xié)議采用esp協(xié)議，加密算法采用

3des，認(rèn)證算法采用md5，以IKE方式建立IPsecSA。

7.在R1上所配置的參數(shù)要求如下：ipsec加密轉(zhuǎn)換集名稱為myset；動(dòng)態(tài)ipsec

加密圖名稱為dymymap；預(yù)共享密鑰為明文123456；靜態(tài)的ipsec加密圖mymap。

8.在R2和R3上所配置的參數(shù)要求如下：ACL編號(hào)為101；靜態(tài)的ipsec加密圖mymap；

預(yù)共享密鑰為明文123456。

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建4/10

9.考慮到數(shù)據(jù)分流及負(fù)載均衡的目的，針對(duì)本部與各分校數(shù)據(jù)流走向要求如下:通

過(guò)修改OSPF接口COST達(dá)到分流的目的，且其值必須為5或10；OSPF通過(guò)路由引

入時(shí)改變引入路由的COST值，且其值必須為5或10；本部VLAN10，VLAN20，VLAN30

用戶與互聯(lián)網(wǎng)互通主路徑規(guī)劃為：S3-EG1；本部VLAN40用戶與互聯(lián)網(wǎng)互通主路徑

規(guī)劃為：S4-EG2；各分校用戶與互聯(lián)網(wǎng)互通主路徑規(guī)劃為：S4-EG2；云平臺(tái)服務(wù)

器與互聯(lián)網(wǎng)互通主路徑規(guī)劃為S3-EG1；主鏈路故障可無(wú)縫切換到備用鏈路上。

（三）無(wú)線網(wǎng)絡(luò)配置

CII集團(tuán)公司擬投入13.5萬(wàn)元（網(wǎng)絡(luò)設(shè)備采購(gòu)部分），項(xiàng)目要求重點(diǎn)覆蓋樓層、走

廊和辦公室。平面布局如圖1所示。

圖1平面布局圖

1.繪制AP點(diǎn)位圖（包括：AP型號(hào)、編號(hào)、信道等信息，其中信道采用2.4G的1、

6、11三個(gè)信道進(jìn)行規(guī)劃）。

2.使用無(wú)線地勘軟件，輸出AP點(diǎn)位圖的2.4G頻道的信號(hào)仿真熱圖（仿真信號(hào)強(qiáng)

度要求大于-65db）。

3.根據(jù)表2無(wú)線產(chǎn)品價(jià)格表，制定該無(wú)線網(wǎng)絡(luò)工程項(xiàng)目設(shè)備的預(yù)算表。

表2無(wú)線產(chǎn)品價(jià)格表

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建5/10

傳輸速率推薦/最大價(jià)格

產(chǎn)品型號(hào)產(chǎn)品特征功率

（2.4G/最大）帶點(diǎn)數(shù)（元）

AP1雙頻雙流300M/1.167G32/256100mw6000

AP2雙頻雙流300M/600M32/256100mw11000

AP3單頻單流150M12/3260mw2500

線纜110米饋線N/AN/AN/A1600

線纜215米饋線N/AN/AN/A2400

天線雙頻單流/單頻單流N/AN/AN/A500

Switch24口POE交換機(jī)N/AN/A240w15000

AC無(wú)線控制器6*1000M32/20040w50000

4.使用AC為本部無(wú)線用戶DHCP服務(wù)器，使用S3、S4為本部AP的DHCP服務(wù)器,S3

分配AP地址范圍為其網(wǎng)段的1至100,S4分配AP地址范圍為其網(wǎng)段的101至200。

5.創(chuàng)建本部SSID(WLAN-ID1)為test-ZX_XX(XX現(xiàn)場(chǎng)提供)，AP-Group為ZX，本

部無(wú)線用戶關(guān)聯(lián)SSID后可自動(dòng)獲取地址。

6.AC1為主用，AC2為備用。AP與AC1、AC2均建立隧道，當(dāng)AP與AC1失去連接

時(shí)能無(wú)縫切換至AC2并提供服務(wù)。

7.為了保證合法用戶連接入本部?jī)?nèi)網(wǎng)，本部無(wú)線用戶使用MAC校驗(yàn)方式。在本部

的AC設(shè)備上配置白名單只允許PC1（無(wú)線網(wǎng)卡ipconfig確定MAC地址）接入無(wú)線

網(wǎng)絡(luò)中，并設(shè)置AC白名單數(shù)量最多為10。

8.在同一個(gè)AP中的用戶在某些時(shí)候出于安全性的考慮，需要將他們彼此之間進(jìn)行

隔離，實(shí)現(xiàn)用戶之間彼此不能互相訪問(wèn)，配置AP1實(shí)現(xiàn)同AP下用戶間隔離功能。

9.要求本部無(wú)線用戶啟用集中轉(zhuǎn)發(fā)模式。

10.限制AP1關(guān)聯(lián)用戶數(shù)最高為16。

11.本部關(guān)閉低速率（1M,6M）應(yīng)用接入。

12.北京校區(qū)與廣州校區(qū)使用無(wú)線AP胖模式進(jìn)行部署。

13.AP2以透明模式進(jìn)行部署，S6部署DHCP為無(wú)線終端和AP分配地址。

14.AP2創(chuàng)建SSID(WLAN-ID1)為test-BJ_XX(XX現(xiàn)場(chǎng)提供),采用WEB進(jìn)行認(rèn)證，

認(rèn)證用戶名為user1,密碼為XX(現(xiàn)場(chǎng)提供)。

15.AP3以路由模式進(jìn)行部署，本地部署DHCP為無(wú)線終端分配地址。

16.AP3創(chuàng)建SSID(WLAN-ID1)為test-GZ_XX(XX現(xiàn)場(chǎng)提供),啟用白名單校驗(yàn)，

放通PC3無(wú)線網(wǎng)卡。

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建6/10

（四）出口網(wǎng)絡(luò)配置

1.本部出口網(wǎng)關(guān)上配置訪問(wèn)控制列表，允許本部、分部有線無(wú)線業(yè)務(wù)網(wǎng)段(ACL編

號(hào)110)通過(guò)NAPT訪問(wèn)聯(lián)通、教育網(wǎng)資源。

2.在本部EG1上配置，使本部核心交換S4（11.1.0.4）設(shè)備的Telnet服務(wù)可以通

過(guò)互聯(lián)網(wǎng)被訪問(wèn)，將其地址映射至聯(lián)通線路上，映射地址為196.1.0.10。

3.需確保NAT映射數(shù)據(jù)流來(lái)回一致，啟用EG源進(jìn)源出功能保證任何外網(wǎng)用戶（聯(lián)

通、電信、移動(dòng)、教育……）均可訪問(wèn)映射地址196.1.0.10。

4.在本部網(wǎng)關(guān)上啟用WebPortal認(rèn)證服務(wù)，并創(chuàng)建user1、user2，密碼均為123456；

有線用戶需進(jìn)行WEB認(rèn)證訪問(wèn)互聯(lián)網(wǎng)。

5.無(wú)線用戶不需在EG上進(jìn)行WEB認(rèn)證即可訪問(wèn)互聯(lián)網(wǎng)。

6.本部針對(duì)訪問(wèn)外網(wǎng)WEB流量限速每IP1000Kbps，內(nèi)網(wǎng)WEB總流量不超過(guò)100M

（策略及通道名稱均為：WEB）。

7.工作日（周一到周五：上午9點(diǎn)到下午5點(diǎn)）阻斷并審計(jì)P2P應(yīng)用軟件使用（策

略名稱：P2P）。

8.對(duì)創(chuàng)建的用戶user1用戶上網(wǎng)活動(dòng)不進(jìn)行監(jiān)控審計(jì)。

9.本部與分校用戶數(shù)據(jù)流匹配EG內(nèi)置聯(lián)通與教育地址庫(kù)，實(shí)現(xiàn)訪問(wèn)聯(lián)通資源走聯(lián)

通線路，訪問(wèn)教育資源走教育線路；除聯(lián)通、教育資源之外默認(rèn)所有數(shù)據(jù)流在聯(lián)

通與教育線路間進(jìn)行負(fù)載轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建7/10

附錄1：拓?fù)鋱D

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建8/10

附錄2：地址規(guī)劃表

設(shè)備接口或VLANVLAN名稱二層或三層規(guī)劃說(shuō)明

VLAN10Office10Gi0/1至Gi0/4辦公網(wǎng)段

VLAN20Office20Gi0/5至Gi0/8辦公網(wǎng)段

VLAN30Office30Gi0/9至Gi0/12辦公網(wǎng)段

S1

VLAN40Office40Gi0/13至Gi0/16辦公網(wǎng)段

VLAN50APGi0/21至Gi0/22無(wú)線AP管理

VLAN100Manage192.1.100.4/24設(shè)備管理VLAN

VLAN10Office10Gi0/1至Gi0/4辦公網(wǎng)段

VLAN20Office20Gi0/5至Gi0/8辦公網(wǎng)段

VLAN30Office30Gi0/9至Gi0/12辦公網(wǎng)段

S2

VLAN40Office40Gi0/13至Gi0/16辦公網(wǎng)段

VLAN50APGi0/21至Gi0/22無(wú)線AP管理

VLAN100Manage192.1.100.5/24設(shè)備管理VLAN

VLAN10Office10192.1.10.252/24辦公網(wǎng)段

VLAN20Office20192.1.20.252/24辦公網(wǎng)段

VLAN30Office30192.1.30.252/24辦公網(wǎng)段

VLAN40Office40192.1.40.252/24辦公網(wǎng)段

VLAN50AP192.1.50.252/24無(wú)線AP管理

S3

VLAN100Manage192.1.100.252/24設(shè)備管理VLAN

Gi0/410.1.0.41/30互聯(lián)EG2

Gi0/510.1.0.1/30互聯(lián)S5

Gi0/610.1.0.5/30互聯(lián)EG1

LoopBack011.1.0.33/32

VLAN10Office10192.1.10.253/24辦公網(wǎng)段

VLAN20Office20192.1.20.253/24辦公網(wǎng)段

VLAN30Office30192.1.30.253/24辦公網(wǎng)段

VLAN40Office40192.1.40.253/24辦公網(wǎng)段

VLAN50AP192.1.50.253/24無(wú)線AP管理

S4VLAN100Manage192.1.100.253/24設(shè)備管理VLAN

Gi0/410.1.0.37/30互聯(lián)EG1

Gi0/510.1.0.33/30互聯(lián)S5

Gi0/610.1.0.9/30互聯(lián)EG2

Gi0/710.1.0.13/30互聯(lián)R1

LoopBack011.1.0.34/32

LoopBack011.1.0.204/32

VLAN60Wiressless192.1.60.252/24無(wú)線用戶

AC1

管理與互聯(lián)

Vlan100Manage192.1.100.2/24

VLAN

LoopBack011.1.0.205/32

AC2VLAN60Wiressless192.1.60.253/24無(wú)線用戶

Vlan100Manage192.1.100.3/24管理與互聯(lián)

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建9/10

VLAN

LoopBack011.1.0.5/32

S5Gi0/2310.1.0.2/30互聯(lián)S3

Gi0/2410.1.0.34/30互聯(lián)S4

Gi0/010.1.0.6/30互聯(lián)S3

Gi0/1196.1.0.1/24互聯(lián)EG2

EG1Gi0/2197.1.0.1/24互聯(lián)EG2

Gi0/310.1.0.38/30互聯(lián)S4

LoopBack011.1.0.11/32

Gi0/010.1.0.10/30互聯(lián)S4

Gi0/1196.1.0.2/24互聯(lián)EG1

EG2Gi0/2197.1.0.2/24互聯(lián)EG1

Gi0/310.1.0.42/30互聯(lián)S3

LoopBack011.1.0.12/32

Gi0/010.1.0.14/30互聯(lián)S4

S2/020.0.0.1/30互聯(lián)R2

R1S3/010.1.0.22/30捆綁組1成員

S4/010.1.0.22/30捆綁組1成員

LoopBack011.1.0.1/32

Gi0/010.1.0.25/30互聯(lián)S6

R2S2/020.0.0.2/30互聯(lián)R1

LoopBack011.1.0.2/32

Gi0/010.1.0.29/30互