2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第3套
模块A:网络构建
任务清单
(一)基础配置
1.根据附录1、附录2,配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin。
3.交换机配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息。
(二)有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.为了规避网络末端接入设备上出现环路影响全网,要求在分校接入设备S6,S7进行防环处理。具体要求如下:接口开启BPDU防护不能接收bpduguard报文;接口下开启rldp防止环路,检测到环路后处理方式为shutdown-port;连接终端的所有端口配置为边缘端口;如果端口被BPDU
Guard检测进入err-disabled状态,再过300秒后会自动恢复,重新检测是否有环路。
3.为了保证接入区DHCP服务安全及伪IP源地址攻击,具体要求如下:DHCP服务器搭建于S3上对VLAN10以内的用户进行地址分配;
4.在本部交换机S3、S4上配置MSTP防止二层环路;要求VLAN10、VLAN20、VLAN30数据流经过S3转发,VLAN40、VLAN50、VLAN100数据流经过S4转发,S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下:region-name为test;revision版本为1;实例1,包含VLAN10,VLAN20,VLAN30;实例2,包含VLAN40,VLAN50,VLAN100;S3作为实例0、1中的主根,S4作为实例0、1的从根;S4作为实例2中的主根,S3作为实例2的从根;主根优先级为4096,从根优先级为8192;在S3和S4上配置VRRP,实现主机的网关冗余。所配置的参数要求如表1;S3、S4各VRRP组中高优先级设置为150,低优先级设置为120。
表1 S3和S4的VRRP参数表
5.本部内网使用静态路由、OSPF多协议组网。其中S3、S4、S5、EG1、EG2、R1使用OSPF协议,本部其余三层设备间使用静态路由协议。本部与分校广域网间使用静态路由协议(R1除外),各分校局域网环境使用静态路由协议。要求网络具有安全性、稳定性。具体要求如下:本部OSPF进程号为10,规划多区域;区域0(S3、S4),区域1(S3,S4,S5),区域2(S3,S4,EG1,EG2),区域3(S4、R1);区域1为完全NSSA区域;AP使用静态路由协议;本部与分校通过重分发引入彼此路由;要求本部业务网段中不出现协议报文;不允许重发布直连路由,Network方式发布本地明细路由;为了管理方便,需要发布Loopback地址;优化OSPF相关配置,以尽量加快OSPF收敛;重发布路由进OSPF中使用类型1。
4.不允许在R1设备使用IPv4静态路由。
5.本部路由器R1与广州校区路由器R3
使用两根链路保证可靠性,使用三层链路聚合协议进行聚合端口。Vlan100作为三层互联vlan。
6.考虑到广域网线路安全性较差,所以需要使用IPSec对各分校到总校的业务数据进行加密。要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以IKE方式建立IPsec
SA。
7.在R1上所配置的参数要求如下:ipsec加密转换集名称为myset;动态ipsec加密图名称为dymymap;预共享密钥为明文123456;静态的ipsec加密图mymap。
8.在R2和R3上所配置的参数要求如下:ACL编号为101;静态的ipsec加密图mymap;
预共享密钥为明文123456。
9.考虑到数据分流及负载均衡的目的,针对本部与各分校数据流走向要求如下:通过修改OSPF接口COST达到分流的目的,且其值必须为5或10;OSPF通过路由引入时改变引入路由的COST值,且其值必须为5或10;本部VLAN10,VLAN20,VLAN30用户与互联网互通主路径规划为:S3-EG1;本部VLAN40用户与互联网互通主路径规划为:S4-EG2;各分校用户与互联网互通主路径规划为:S4-EG2;云平台服务器与互联网互通主路径规划为S3-EG1;主链路故障可无缝切换到备用链路上。
(三)无线网络配置
CII集团公司拟投入13.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划)。
2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。
3.根据表2无线产品价格表,制定该无线网络工程项目设备的预算表。
表2 无线产品价格表
| 产品型号 | 产品特征 | 传输速率 | 推荐/最大带点数 | 功率 | 价格(元) |
使用AC为本部无线用户DHCP服务器,使用S3、S4为本部AP的DHCP服务器,S3分配AP地址范围为其网段的1至100,S4分配AP地址范围为其网段的101至200。
创建本部SSID(WLAN-ID
1)为test-ZX_XX(XX现场提供),AP-Group为ZX,本部无线用户关联SSID后可自动获取地址,启用802.1X认证方式。
认证服务器(IP:194.1.100.100)建立总部认证用户user1,user2,分部认证用户user3,user4分别对应WEB、DOT1X认证;
AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去连接时能无缝切换至AC2并提供服务。
为了保证合法用户连接入本部内网,本部无线用户使用MAC校验方式。在本部的AC设备上配置白名单只允许PC1(无线网卡ipconfig确定MAC地址)接入无线网络中,并设置AC白名单数量最多为10。
在同一个AP中的用户在某些时候出于安全性的考虑,需要将他们彼此之间进行隔离,实现用户之间彼此不能互相访问,配置AP1实现同AP下用户间隔离功能。
要求本部无线用户启用集中转发模式。
限制AP1关联用户数最高为16。
本部关闭低速率(1M,6M)应用接入。
北京校区与广州校区使用无线AP胖模式进行部署。
AP2以透明模式进行部署,S6部署DHCP为无线终端和AP分配地址。
AP2创建SSID(WLAN-ID
1)为test-BJ_XX(XX现场提供),采用WEB进行认证,认证用户名为user1,密码为XX(现场提供)。
AP3以路由模式进行部署,本地部署DHCP为无线终端分配地址。
AP3创建SSID(WLAN-ID
1)为test-GZ_XX(XX现场提供),启用白名单校验,放通PC3无线网卡。
(四)出口网络配置
1.本部出口网关上配置访问控制列表,允许本部、分部有线无线业务网段(ACL编号110)通过NAPT访问联通、教育网资源。
2.在本部EG1上配置,使本部核心交换S4(11.1.0.4)设备的Telnet服务可以通过互联网被访问,将其地址映射至联通线路上,映射地址为196.1.0.10。
3.需确保NAT映射数据流来回一致,启用EG源进源出功能保证任何外网用户(联通、电信、移动、教育……)均可访问映射地址196.1.0.10。
4.在本部网关上启用Web Portal认证服务,并创建user1、user2,密码均为123456;
有线用户需进行WEB认证访问互联网。
5.无线用户不需在EG上进行WEB认证即可访问互联网。
6.本部针对访问外网WEB流量限速每IP
1000Kbps,内网WEB总流量不超过100M(策略及通道名称均为:WEB)。
7.工作日(周一到周五:上午9点到下午5点)阻断并审计P2P应用软件使用(策略名称:P2P)。
8.对创建的用户user1用户上网活动不进行监控审计。
9.本部与分校用户数据流匹配EG内置联通与教育地址库,实现访问联通资源走联通线路,访问教育资源走教育线路;除联通、教育资源之外默认所有数据流在联通与教育线路间进行负载转发。
(五)网络运维配置
1.完成整网连通后,进入网络监控运维阶段,运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100),通过运维平台监控本部校区内所有设备(具体设备:S1-S5、EG1、EG2)。
2.通过运维平台将本部校区的被监控设备纳入监控范围;通过拓扑配置功能,将本部校区的网络拓扑配置到平台中;
3.将本部校区S3和EG1、EG2的两条链路作为重点监测链路,纳入链路监控;
4.自定义监控大屏(名称:Chinaskills_network),将网络拓扑、设备运行状态(CPU使用率)、链路运行状态实时显示在大屏中。
(六)SDN网络配置
1.SDN控制器登录地址:192.168.1.2/24,默认用户密码为admin/test@123。
2.使用S1/S2/S4构建SDN网络,S1/S2连接SDN控制器的6653端口。S1/S2所有业务流转发需经SDN控制器统一控制管理。
3.通过SDN控制器手工给S2下发一条流表项名称为drop的流表,执行动作为丢弃,并在交换机上查看流表,测试普通PC禁止ping通高性能PC。
4.通过SDN控制器流表管理实现PC1/PC2与本部业务网段互联互通。
附录1:拓扑图
附录2:地址规划表
