2023年全国职业院校技能大赛=GZ073 网络系统管理赛项赛题第1套A模块

2023年全国职业院校技能大赛

GZ073网络系统管理赛项

赛题第1套

模块A：网络构建

任务清单

（一）基础配置

1.根据附录1、附录2，配置设备接口信息。

2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、admin1234；密码为明文类型，特权密码为admin。

3.交换机配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test”，只读的Community为“public”，开启Trap消息。

（二）有线网络配置

1.在全网Trunk链路上做VLAN修剪。

2.为隔离部分终端用户间的二层互访，在交换机S1的Gi0/1-Gi0/10端口启用端口保护。

3.为规避网络末端接入设备上出现环路影响全网，要求在总部接入设备S1进行防环处理。具体要求如下：终端接口开启BPDU防护不能接收BPDU报文；终端接口下开启RLDP防止环路，检测到环路后处理方式为Shutdown-Port；连接PC终端的所有端口配置为边缘端口；如果端口被BPDU

Guard检测进入Err-Disabled状态，再过300秒后会自动恢复（基于接口部署策略），重新检测是否有环路。

4.在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继，使得总部PC1用户使用DHCP

Relay方式获取IP地址。

5.DHCP服务器搭建于EG1上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback

0地址。

6.为了防御动态环境局域网伪DHCP服务欺骗，在S1交换机部署DHCP Snooping功能。

7.在总部交换机S1、S3、S4上配置MSTP防止二层环路；要求VLAN10、VLAN20、VLAN50、VLAN60、VLAN100数据流经过S3转发，S3失效时经过S4转发；VLAN30、VLAN40数据流经过S4转发，S4失效时经过S3转发。所配置的参数要求如下：region-name为test；revision版本为1；S3作为实例1的主根、实例2的从根，S4作为实例2的主根、实例2的从根；生成树优先级可设置为4096、8192或保持默认值；在S3和S4上配置VRRP，实现主机的网关冗余，所配置的参数要求如下表；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。

表1 S3和S4的VRRP参数表

9.总部与分部内网均使用OSPF协议组网，总部、分部与互联网间使用静态路由协议。具体要求如下：总部S3、S4、EG1间运行OSPF，进程号为10，规划单区域0；分部S7、EG2间运行OSPF，进程号为20，规划单区域0；服务器区使用静态路由组网；重发布路由进OSPF中使用类型1。

10.总部与分部部署IPv6网络实现总分机构内网IPv6终端可通过无状态自动从网关处获取地址。IPv6地址规划如下：

表2 IPv6地址规划表

11.在S3和S4上配置VRRP for

IPv6，实现主机的IPv6网关冗余；在S3和S4上VRRP与MSTP的主备状态与IPV4网络一致。

12.R1、R2、R3部署IGP中OSPF动态路由实现直连网段互联互通。

13.R1、R2、R3间部署IBGP，AS号为100，使用Loopback接口建立Peer。

14.运营商通告EG1、EG2专线至服务器区，R1、R2均以汇总B段静态路由的方式进行发布。服务器区通过R3将AC1、AC2通告到BGP中。

15.可通过修改OSPF路由COST达到分流的目的，且其值必须为5或10。

16.总部财务、销售IPv4用户与互联网互通主路径规划为：S3-EG1。

17.总部研发、市场IPv4用户与互联网互通主路径规划为：S4-EG1。

18.主链路故障可无缝切换到多条备用链路上。

（三）无线网络配置

CII集团公司拟投入13万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。

1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。

2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。

3.根据表3无线产品价格表，制定该无线网络工程项目设备的预算表。

表3 无线产品价格表

| 产品型号 | 产品特征 | 传输速率 | 推荐/最大带点数 | 功率 | 价格（元） |

4.使用S3、S4作为总部无线用户和无线AP的DHCP服务器，使用S6/S7作为分部无线用户和无线AP的DHCP服务器。

5.创建总部内网 SSID 为 test-ZB_XX(XX现场提供)，WLAN ID

为1，AP-Group为ZB，总部内网无线用户关联SSID后可自动获取地址，启用WEB认证方。

6.创建分部内网 SSID 为 test-FB_XX(XX现场提供)，WLAN ID

为2，AP-Group为FB，总部内网无线用户关联SSID后可自动获取地址，启用802.1X认证方式。

7.认证服务器（IP：194.1.100.100）建立总部认证用户user1，user2，分部认证用户user3，user4分别对应WEB、DOT1X认证；

8.AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去连接时能无缝切换至AC2并提供服务。

9.要求总部分部内网无线网络启用本地转发模式。

10.为了保障每个用户的无线体验，针对WLAN ID2下的每个用户的下行平均速率为 800KB/s

，突发速率为1600KB/s。

11.总部每AP最大带点人数为30人。

12.分部通过时间调度，要求每周一至周五的21:00至23:30期间关闭无线服务。

13.总部设置AP信号发送强度为30。

14.总部关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入。

（四）出口网络配置

1.出口网关上进行NAT配置实现总部与分部的所有用户(ACL

110)均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上。

2.在总部EG1上配置，使总部核心交换S4（11.1.0.34）设备的SSH服务可以通过互联网被访问，将其地址映射至联通线路上，映射地址为20.1.0.1。

3.在总部网关上启用Web

Portal认证服务，并创建Caiwu1、Xiaoshou2，密码均为XX（现场提供）。

4.总部有线用户需进行WEB认证访问互联网。

5.分部EG2针对访问外网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过50Mbps。

6.分部EG2基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。

7.对创建的用户user1用户上网活动不进行监控审计。

8.要求使用ipsec隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立ipsec

SA。在EG1和EG2上所配置的参数要求如下：ipsec加密转换集名称为myset；预共享密钥为明文123456；静态的ipsec加密图mymap。ACL编号为101。

（五）网络运维配置

1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控广州总部内所有设备（具体设备：S1、S3、S4、EG1）。

2.通过运维平台将广州总部的被监控设备纳入监控范围；通过拓扑配置功能，将广州总部的网络拓扑配置到平台中；

3.将广州总部S3、S4和EG1的两条链路作为重点监测链路，纳入链路监控；

4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。

（六）SDN网络配置

1.SDN控制器登录地址：192.168.1.2/24，默认用户密码为admin/test@123。

2.使用S7/S8/S9构建SDN网络，S8/S9连接SDN控制器的6653端口。

3.通过SDN控制器手工给S8下发一条流表项名称为drop的流表，执行动作为丢弃，并在交换机上查看流表，测试普通PC禁止ping通高性能PC。

4.通过SDN控制器流表管理实现PC1/PC2与分部各核心网段互联互通。

附录1：拓扑图

附录2：地址规划表