2022年全國(guó)職業(yè)院校技能大賽

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)

模塊A：網(wǎng)絡(luò)構(gòu)建

（樣題3）

任務(wù)描述

CII集團(tuán)公司業(yè)務(wù)不斷發(fā)展壯大，為適應(yīng)IT行業(yè)技術(shù)飛速發(fā)展，滿足公司業(yè)

務(wù)發(fā)展需要，集團(tuán)公司決定建設(shè)廣州總部、吉林分部的信息化網(wǎng)絡(luò)。你做為火星

公司網(wǎng)絡(luò)工程師前往CII集團(tuán)完成網(wǎng)絡(luò)規(guī)劃與建設(shè)任務(wù)。

任務(wù)清單

（一）基礎(chǔ)配置

1.根據(jù)附錄1、附錄2，配置設(shè)備接口信息。

2.所有交換機(jī)和無(wú)線控制器開(kāi)啟SSH服務(wù)，用戶名密碼分別為admin、admin1234；

密碼為明文類型,特權(quán)密碼為admin。

3.交換機(jī)配置SNMP功能，向主機(jī)172.16.0.254發(fā)送Trap消息版本采用V2C，讀

寫(xiě)的Community為“Test”，只讀的Community為“public”，開(kāi)啟Trap消息。

（二）有線網(wǎng)絡(luò)配置

1.在全網(wǎng)Trunk鏈路上做VLAN修剪。

2.為隔離部分終端用戶間的二層互訪，在交換機(jī)S1/S2的Gi0/5-Gi0/16端口啟用

端口保護(hù)。

3.要求在吉林分部接入設(shè)備S1/S2進(jìn)行防環(huán)處理。具體要求如下：終端接口開(kāi)啟

BPDU防護(hù)不能接收BPDU報(bào)文；終端接口下開(kāi)啟RLDP防止環(huán)路，檢測(cè)到環(huán)路后處

理方式為Shutdown-Port；連接終端的所有端口配置為邊緣端口；如果端口被

BPDUGuard檢測(cè)進(jìn)入Err-Disabled狀態(tài)，再過(guò)300秒后會(huì)自動(dòng)恢復(fù)（基于接口

部署策略），重新檢測(cè)是否有環(huán)路。

4.在交換機(jī)S3、S4上配置DHCP中繼，對(duì)VLAN10內(nèi)的用戶進(jìn)行中繼，使得本部PC1

用戶使用DHCPRelay方式獲取IP地址。具體要求如下：DHCP服務(wù)器搭建于VSU

上，地址池命名為Pool_VLAN10，DHCP對(duì)外服務(wù)使用loopback0地址；為了防御

動(dòng)態(tài)環(huán)境局域網(wǎng)偽DHCP服務(wù)欺騙，在S1、S2交換機(jī)部署DHCPSnooping功能。

5.為了防止偽IP源地址攻擊，導(dǎo)致出口路由器會(huì)話占滿，要求S1交換機(jī)部署

端口安全，接口Gi0/1只允許PC1通過(guò)。

6.在吉林分部交換機(jī)S1、S2、S3、S4上配置MSTP防止二層環(huán)路；要求所有數(shù)據(jù)

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建2/9

流經(jīng)過(guò)S4轉(zhuǎn)發(fā)，S4失效時(shí)經(jīng)過(guò)S3轉(zhuǎn)發(fā)。所配置的參數(shù)要求如下：region-name

為test；revision版本為1；S3作為實(shí)例中的從根，S4作為實(shí)例中的主根；主

根優(yōu)先級(jí)為4096，從根優(yōu)先級(jí)為8192；在S3和S4上配置VRRP，實(shí)現(xiàn)主機(jī)的網(wǎng)關(guān)

冗余，所配置的參數(shù)要求如表1；S3、S4各VRRP組中高優(yōu)先級(jí)設(shè)置為150，低優(yōu)

先級(jí)設(shè)置為120。

表1S3和S4的VRRP參數(shù)表

VLANVRRP備份組號(hào)（VRID）VRRP虛擬IP

VLAN1010192.1.10.254

VLAN2020192.1.20.254

VLAN3030192.1.30.254

VLAN100(交換機(jī)間)100192.1.100.254

7.S6和S7間部署虛擬化，其中S7為主，S6為備；規(guī)劃S6和S7間的Gi0/48端

口作為雙主機(jī)檢測(cè)鏈路，配置基于BFD的雙主機(jī)檢；主設(shè)備：Domainid：1,switch

id:2,priority150,description:S6000-2;備設(shè)備：Domainid：1,switch

id:1,priority120,description:S6000-1。

8.廣州總部與吉林分部?jī)?nèi)網(wǎng)均使用OSPF協(xié)議組網(wǎng)，訪問(wèn)互聯(lián)網(wǎng)均使用默認(rèn)路由。

具體要求如下：總部S5、AC1、AC2、EG1間運(yùn)行OSPF，進(jìn)程號(hào)為10；吉林分部EG2、

S3、S4、S6/S7間運(yùn)行OSPF，進(jìn)程號(hào)為10；要求業(yè)務(wù)網(wǎng)段中不出現(xiàn)協(xié)議報(bào)文；要

求所有路由協(xié)議都發(fā)布具體網(wǎng)段；為了管理方便，需要發(fā)布Loopback地址;優(yōu)化

OSPF相關(guān)配置，以盡量加快OSPF收斂；重發(fā)布路由進(jìn)OSPF中使用類型1。

9.吉林分部部署IPV6網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)網(wǎng)IPV6終端通過(guò)無(wú)狀態(tài)自動(dòng)從網(wǎng)關(guān)處獲取地址；

10.在S3和S4上配置VRRPforIPv6，實(shí)現(xiàn)主機(jī)的IPv6網(wǎng)關(guān)冗余;VRRP與MSTP

的主備狀態(tài)與IPV4網(wǎng)絡(luò)一致；IPV6地址規(guī)劃如下表2：

表2IPV6地址規(guī)劃表

設(shè)VRRP

接口IPV6地址虛擬IP

備組號(hào)

VLAN102001:193:10::252/64102001:193:10::254/64

S3VLAN202001:193:20::252/64202001:193:20::254/64

VLAN302001:193:30::252/64302001:193:30::254/64

VLAN102001:193:10::253/64102001:193:10::254/64

S4VLAN202001:193:20::253/64202001:193:20::254/64

VLAN302001:193:30::253/64302001:193:30::254/64

11.由于公司在吉林設(shè)有分部。為總部及分部之間互聯(lián)互通，申請(qǐng)運(yùn)營(yíng)商專線業(yè)務(wù)。

針對(duì)運(yùn)營(yíng)商組網(wǎng)部署要求如下：R1、R2、R3直連接口封裝PPP協(xié)議，部署IGP中

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建3/9

OSPF動(dòng)態(tài)路由進(jìn)程號(hào)為20，實(shí)現(xiàn)直連網(wǎng)段互聯(lián)互通。

12.R1、R2、R3間部署B(yǎng)GP聯(lián)盟,聯(lián)盟AS號(hào)為100,使用Loopback接口建立Peer;R1

與R2的成員AS號(hào)為64512，R3的成員AS號(hào)為64523。

13.運(yùn)營(yíng)商R1、R2、R3各自通告EG1、EG2的直連網(wǎng)段到BGP中，以匯總B段靜態(tài)

路由的方式進(jìn)行發(fā)布，當(dāng)運(yùn)營(yíng)商路由器與EG直連鏈路斷開(kāi)時(shí)，可通過(guò)其他路由器

與EG互通。

14.考慮到數(shù)據(jù)分流及負(fù)載均衡的目的，具體要求如下：可通過(guò)修改OSPF路由COST

達(dá)到分流的目的，且其值必須為5或10；吉林分部有線IPV4用戶與互聯(lián)網(wǎng)互通主

路徑規(guī)劃為：S4-S7-EG2;主鏈路故障時(shí)可無(wú)縫切換到備用鏈路上。

（三）無(wú)線網(wǎng)絡(luò)配置

CII集團(tuán)公司擬投入9.5萬(wàn)元（網(wǎng)絡(luò)設(shè)備采購(gòu)部分），項(xiàng)目要求重點(diǎn)覆蓋樓層、走

廊和辦公室。平面布局如圖1所示。

圖1平面布局圖

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建4/9

1.繪制AP點(diǎn)位圖（包括：AP型號(hào)、編號(hào)、信道等信息，其中信道采用2.4G的1、

6、11三個(gè)信道進(jìn)行規(guī)劃）。

2.使用無(wú)線地勘軟件，輸出AP點(diǎn)位圖的2.4G頻道的信號(hào)仿真熱圖（仿真信號(hào)強(qiáng)

度要求大于-65db）。

3.根據(jù)表3無(wú)線產(chǎn)品價(jià)格表，制定該無(wú)線網(wǎng)絡(luò)工程項(xiàng)目設(shè)備的預(yù)算表。

表3無(wú)線產(chǎn)品價(jià)格表

傳輸速率推薦/最大價(jià)格

產(chǎn)品型號(hào)產(chǎn)品特征功率

（2.4G/最大）帶點(diǎn)數(shù)（元）

AP1雙頻雙流300M/1.167G32/256100mw6000

AP2雙頻雙流300M/600M32/256100mw11000

AP3單頻單流150M12/3260mw2500

線纜110米饋線N/AN/AN/A1600

線纜215米饋線N/AN/AN/A2400

天線雙頻單流/單頻單流N/AN/AN/A500

Switch24口POE交換機(jī)N/AN/A240w15000

AC無(wú)線控制器6*1000M32/20040w50000

4.使用S5作為廣州總部無(wú)線用戶和無(wú)線AP的DHCP服務(wù)器。

5.創(chuàng)建財(cái)務(wù)部?jī)?nèi)網(wǎng)SSID為test-CW_XX(XX現(xiàn)場(chǎng)提供)，WLANID為1；創(chuàng)建研發(fā)

部?jī)?nèi)網(wǎng)SSID為test-YF_XX(XX現(xiàn)場(chǎng)提供)，WLANID為2。

6.AP-Group為ZB，內(nèi)網(wǎng)無(wú)線用戶關(guān)聯(lián)SSID后可自動(dòng)獲取地址。

7.本部AC1為主用，AC2為備用。AP與AC1、AC2均建立隧道，當(dāng)AP與AC1失去

連接時(shí)能無(wú)縫切換至AC2并提供服務(wù)。

8.研發(fā)部用戶接入無(wú)線網(wǎng)絡(luò)時(shí)需要采用WPA2加密方式，加密密碼為XX(現(xiàn)場(chǎng)提供)；

9.啟用白名單校驗(yàn)，僅放通PC2無(wú)線終端。

10.要求內(nèi)網(wǎng)無(wú)線網(wǎng)絡(luò)均啟用集中轉(zhuǎn)發(fā)模式。

11.為了保障本部每個(gè)用戶的無(wú)線體驗(yàn)，針對(duì)WLANID1下的每個(gè)用戶的下行

平均速率為800KB/s，突發(fā)速率為1600KB/s。

12.配置AP3最大帶點(diǎn)人數(shù)為30人。

13.通過(guò)時(shí)間調(diào)度，要求每周一至周五的21:00至23:30期間關(guān)閉研發(fā)部無(wú)線

服務(wù)。

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建5/9

14.設(shè)置AP2最小接入信號(hào)強(qiáng)度為-65dBm。

15.關(guān)閉低速率（11b/g1M、2M、5M，11a6M、9M）應(yīng)用接入。

（四）出口網(wǎng)絡(luò)配置

1.出口網(wǎng)關(guān)及出口路由器上進(jìn)行NAT配置實(shí)現(xiàn)總部與分部的所有用戶(ACL110)均

可訪問(wèn)互聯(lián)網(wǎng)，通過(guò)NAPT方式將內(nèi)網(wǎng)用戶IP地址轉(zhuǎn)換到互聯(lián)網(wǎng)接口上。

2.廣州總部EG1針對(duì)訪問(wèn)外網(wǎng)WEB流量限速每IP1000Kbps，內(nèi)網(wǎng)WEB總流量不超

過(guò)50Mbps（策略名稱WEB）。

3.廣州總部EG1基于網(wǎng)站訪問(wèn)、郵件收發(fā)、IM聊天、論壇發(fā)帖、搜索引擎多應(yīng)用

啟用審計(jì)功能。

4.廣州總部EG1周一到周五工作時(shí)間09：00-17:00（命名為work）阻斷并審計(jì)P2P

應(yīng)用軟件使用（策略名稱P2P）。

5.為了實(shí)現(xiàn)總部與分部互訪數(shù)據(jù)的安全性，要求使用IPSec對(duì)總部到分部的數(shù)據(jù)

流進(jìn)行加密ACL（編號(hào)為101）。為此規(guī)劃如下：要求使用動(dòng)態(tài)隧道主模式，預(yù)共

享密碼為test，加密認(rèn)證方式為ESP-3DES、ESP-MD5-HMAC，DH使用組2;總分機(jī)

構(gòu)間數(shù)據(jù)通信及加密通過(guò)運(yùn)營(yíng)商R1聯(lián)通節(jié)點(diǎn)作為中轉(zhuǎn)設(shè)備；總部無(wú)線IPV4用戶

與分部IPV4用戶互通主路徑規(guī)劃為：AC1-S5-EG1-EG2-S7-S4-S1/S2(EG1/EG2間運(yùn)

行VPN隧道)。

6.本部與分部用戶數(shù)據(jù)流匹配EG內(nèi)置聯(lián)通、電信與教育地址庫(kù)，實(shí)現(xiàn)訪問(wèn)聯(lián)通資

源走聯(lián)通線路，訪問(wèn)電信資源走電信線路，訪問(wèn)教育網(wǎng)資源走教育網(wǎng)線路。

6.除聯(lián)通、電信、教育資源之外默認(rèn)所有數(shù)據(jù)流在三條線路間進(jìn)行負(fù)載轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建6/9

附錄1：拓?fù)鋱D

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建7/9

附錄2：地址規(guī)劃表

設(shè)備接口或VLANVLAN名稱二層或三層規(guī)劃說(shuō)明

VLAN10YanfaGi0/1至Gi0/4研發(fā)部

VLAN20XiaoshouGi0/5至Gi0/8銷售部

S1

VLAN30CaiwuGi0/9至Gi0/12財(cái)務(wù)部

Vlan100Manage192.1.100.1/24管理與互聯(lián)VLAN

VLAN10YanfaGi0/1至Gi0/4研發(fā)部

VLAN20XiaoshouGi0/5至Gi0/8銷售部

S2

VLAN30CaiwuGi0/9至Gi0/12財(cái)務(wù)部

Vlan100Manage192.1.100.2/24管理與互聯(lián)VLAN

VLAN10Yanfa192.1.10.252/24研發(fā)部

VLAN20Xiaoshou192.1.20.252/24銷售部

VLAN30Caiwu192.1.30.252/24財(cái)務(wù)部

S3

Vlan100Manage192.1.100.252/24管理與互聯(lián)VLAN

Gi0/2410.1.0.1/30

LoopBack011.1.0.33/32

VLAN10Yanfa192.1.10.253/24研發(fā)部

VLAN20Xiaoshou192.1.20.253/24銷售部

VLAN30Caiwu192.1.30.253/24財(cái)務(wù)部

S4

Vlan100Manage192.1.100.253/24管理與互聯(lián)VLAN

Gi0/2410.1.0.5/30

LoopBack011.1.0.34/32

Gi1/0/110.1.0.2/30

Gi2/0/110.1.0.6/30

S6/S7Gi1/0/210.1.0.9/30

Gi2/0/210.1.0.13/30

LoopBack011.1.0.67/32

Gi0/010.1.0.18/30

Gi0/220.1.0.1/29

EG1Gi0/330.1.0.1/29

Gi0/440.1.0.1/29

LoopBack011.1.0.11/32

Gi0/010.1.0.10/30

Gi0/110.1.0.14/30

Gi0/220.1.0.9/29

EG2

Gi0/330.1.0.9/29

Gi0/440.1.0.9/29

LoopBack011.1.0.12/32

194.1.10.254/24

S5VLAN10AP

Gi0/1至Gi10

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊A：網(wǎng)絡(luò)構(gòu)建8/9

VLAN20Caiwu_Wif