样题5
网络系统管理赛项
模块A:网络构建
任务清单
(一)基础配置
1.根据附录1拓扑图及附录2地址规划表,配置设备接口信息;
2.所有设备开启SSH认证,用户名:admin,密码:987123Aa,特权密码为admin123!,密码呈现需加密。所有交换机开启Telnet功能,对所有Telnet用户采用本地认证的方式。
3.S7设备启用SNMPv3功能,用户名Admin!@#,隶属于group组,认证方式为md5,认证密码为password!@#,加密算法为des56,加密密码为password#@!,安全级别为priv;用户admin对MIB默认视图具有读写权限;交换机能主动向主机172.16.0.254发送验
证加密消息。
(二)有线网络配置
1.在全网Trunk链路上做VLAN修剪;控制用户安全接入,局域网安全设备启用端口保护功能;
2.局域网接入设备启用环路检测功能,规避不同设备间、同一设备不同端口、同一设备单点下的多种环路现象,检测环路后处理方式为shutdown-port;
3.DHCP服务器搭建于R1/R2、R3和EG2上;总部局域网启用DHCP安全防护机制,通过硬件IP/MAC表项过滤匹配保证主机安全,针对有线用户启用ARP防御;
4.总部配置MSTP防止二层环路;要求所有有线数据流经过S1转发。配置参数要求:region-name为ruijie;revision版本为1;主根优先级4096,从根优先级8192;
5.在S1与S2上配置VRRP;其中S1为主设备,优先级255;S2为备设备,优先级120;在R1与R2上为VLAN100配置VRRP,其中R1为主设备,优先级255;R2为备设备,优先级120;
6.交换机S1与S2之间(Gi0/47、Gi0/48)配置二层链路聚合,采取LACP动态聚合模式;
7.总部使用OSPF协议组网,OSPF进程号10;规划多区域组网,区域0(R1、R2、S1、S2),区域1(S1、S2、AC1、AC2);优化OSPF配置尽量加快OSPF收敛,AC1与AC2不参与DR/BDR的选举,尽可能精简AC1和AC2的路由表条目,重发布路由进OSPF域中使用类型1;
8.联通运营商S5和S6设备启用OSPF协议,进程号20,区域0;
9.联通运营商只维护宽带业务,对于专线业务和客户私网地址不做转发;
10.S1、S2、R1、R2、R3使用BGP路由协议,总部为AS100,分部为AS200;R1、R2与R3建立EBGP邻居;S1、S2、R1、R2建立全互联IBGP邻居(通过LOOPBACK0);总部与分部所有路由必须通过network命令来发布,总部路由通过重分布引入分部;
11.分部(R3、S7)采用单区域OSPF协议,进程号30;
12.总部R1与EG1、R2与EG2建立GRE隧道,隧道内运行OSPF协议,实现总部与办事处互联互通;广州办事处内部的OSPF进程号11,区域号0;上海办事处内部的OSPF进程号12,区域号0;
13.启用IPsec
VPN加密GRE隧道内流量,对总部/分部和办事处的数据流进行保护,尽可能减小IPSEC报文封装长度;
14.联通运营商、公司总部和分部以OSPF LSA5
OE1的方式引入路由,并基于业务网段各自汇总发布B类路由(包括宽带业务、VLAN10、VLAN20和VLAN30);
15.过滤非必须路由,使用路由策略名称filter;如需修改路由开销,IGP必须设定5或10,BGP必须设定50或100;
16.业务路径要求:总部访问分部主路径为:S1-R1-R3-S7;总部访问互联网:S1-R1-S5;分部访问互联网:S7-R3-R1-S5;所有数据路径要求来回一致;
17.IPv6网络建设要求:总部R1/R2通过管理VLAN与分部R3的环回口建立6to4动态隧道,实现总部与分部间IPv6互联互通;总分部IPv6地址自行规划计算,隧道内启用静态路由协议,总部R1/R2/S1/S2间启用OSPFv3协议;OSPFv3进程号10,区域0,优化配置,加快收敛速度,业务网段不允许出现协议报文。S1、S2、S7启用IPv6网络,实现有线与无线客户端的IPv6终端可自动从网关处获取地址,IPv6地址规划如下:
表1 IPV6地址规划表
(三)无线网络配置
集团拟投入10.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊、会议室大厅和办公室。平面布局如图1所示。
本次无线网络要求设备均通过2.4G频段接入(信道1、6、11),访客采用5G频段(信道149,153,157,161)。
图1 平面布局图
1.绘制AP点位图(包括:AP型号、编号、信道等信息,卫生间、楼梯和电梯区域无需覆盖);
2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db);
3.输出该无线网络工程项目设备的预算表,网络设备型号和价格依据表2;
表2 无线产品价格表
4.创建总部 SSID 1为 Ruijie-ZB_XX(XX现场提供),AP-Group为ZB;创建分部 SSID 2为
Ruijie-FB_XX(XX现场提供),AP-Group为FB;创建上海办事处 SSID 3为
Ruijie-SH_XX(XX现场提供),AP-Group为SH;
5.AP与AC1、AC2均建立隧道,当AP与主用AC1失去连接时能无缝切换至AC2并提供服务;
6.省公司总部与分公司无线用户接入无线网络时需要采用基于 WPA2 加密方式,其口令为
XXX(现场提供);
7.要求所有无线用户均启用本地转发模式;限制AP1、AP2、AP3关联用户数最多为16人;关闭低速率(11b/g
1M、2M、5M,11a 6M、9M)应用接入;
8.调整2.4G频段射频卡powerlocal功率数值为20,5.8G频段射频卡powerlocal功率数值为100,尽量降低同频干扰带来的影响。
(四)出口网络配置
1.出口网关上配置访问控制列表,允许所有用户(ACL编号110)在每天08:30-17:00(命名为work)通过NAPT访问互联网,NAPT映射到互联网接口上;
在办事处EG网关上启用Web
Portal认证服务,并创建user1、user2;无线用户访问互联网免WEB认证;
在办事处EG针对内网访问外网WEB流量限速每IP
500Kbps,WEB总流量不超过50Mbps,通道名称定义为WEB;
4.EG对敏感词“供应链企业资料”和“员工薪酬明细”进行过滤;
5.禁止局域网用户通过浏览器访问http://15.1.0.2
附录1:拓扑图
附录2:地址规划表
表4 IPv4地址分配表
