2022年全国职业院校技能大赛网络搭建与应用赛项正式赛卷-网络部分答案

2022年全国职业院校技能大赛网络搭建与应用赛项正式赛卷

 

第二部分 网络搭建及安全部署竞赛总分  450分竞赛时长  3小时

2022年(中职组)网络搭建与应用赛项专家组

2022年8月

 

竞赛说明:

1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。

3.请参赛选手仔细阅读赛卷,按照要求完成各项操作。

4.操作过程中,需要及时保存配置。

5.比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。禁止将比赛所用的所有物品(包括赛卷)带离赛场。

6.禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,如违反规定,可视为0分。

7.与比赛相关的软件和文档存放在物理机的D:soft文件夹中。

8.请在物理机PC1桌面上新建“XXX”文件夹作为“选手目录”(XXX为赛位号。举例:1号赛位,文件夹名称为“001”),按照“网络搭建及安全部署竞赛结果提交指南.txt”保存要求生成的全部结果文档,将生成的文档复制到

“选手目录”。

项目简介:

某集团公司原在北京建立了总公司,后在成都建立了分公司,又在广东设立了办事处。集团设有产品、营销、法务、财务、人力5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。

2022 年在党的坚强领导下,全年公司规模保持快速增长,业务数据量和公司访问量增长巨大,不断开创新局面,向着全面建成社会主义现代化强国的第二个百年奋斗目标迈进。为了更好管理数据,提供服务,集团决定在北京建立两个数据中心,在贵州建立异地灾备数据中心,以达到快速、可靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战略架构演进,更好的服务于公司客户。

集团、分公司及办事处的网络结构详见拓扑图。编号为SW1的设备作为集团北京1#DC核心交换机,编号为SW2的设备作为集团北京2#DC核心交换机;编号为SW3的设备作为贵州DC核心交换机;编号FW1的设备作为集团互联网出口防火墙;编号为FW2的设备作为办事处防火墙;编号为RT1的设备作为集团核心路由器;编号为RT2的设备作为分公司路由器;编号为AC1的设备作为分公司的有线无线智能一体化控制器,通过与AP1配合实现分公司无线覆盖。

注意:在此典型互联网应用网络架构中,作为IT网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。

请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应应用。网络拓扑:

表1-网络设备连接表

A设备连接至B设备

设备名称

接口

设备名称

接口

SW1

E1/0/21

FW1

E0/1

SW1

E1/0/22

SW3

E1/0/21

SW1

E1/0/23 二层

SW3

E1/0/23 二层

SW1

E1/0/24 三层

SW2

E1/0/24 三层

SW1

E1/0/27 VPN

SW2

E1/0/27 VPN

SW1

E1/0/28 二层

SW2

E1/0/28 二层

SW1

E1/0/1

PC1

NIC

SW2

E1/0/21

RT1

G0/1

SW2

E1/0/22

SW3

E1/0/22

SW2

E1/0/23 二层

SW3

E1/0/24 二层

SW3模拟办事处

E1/0/11

模拟产品PC

 

SW3模拟办事处

E1/0/12

模拟营销PC

 

SW3模拟办事处

E1/0/15

FW2

E0/1

SW3模拟Internet

E1/0/17

FW1

E0/3

SW3模拟Internet

E1/0/18

RT2

G0/3

RT1

G0/0

RT2

G0/0

RT1

S1/0

RT2

S1/1

RT1

S1/1

RT2

S1/0

RT1

G0/2

FW1

E0/2

RT1

G0/3

FW2

E0/2

RT2

G0/1

AC1

E1/0/1

AC1

E1/0/3

AP1

ETH

AC1

E1/0/4 vlan110

PC2

NIC

SW2

E1/0/11

云平台

Eth1

SW2

E1/0/12

云平台

Eth2

表2-网络设备IP地址分配表

设备名称

设备接口

IP地址

SW1

loopback1 ospfv2 ospfv3 bgp

10.10.1.1/32

2001:10:10:1::1/128

loopback2

10.10.1.2/32

2001:10:10:1::2/128

vlan10

10.10.11.1/24

2001:10:10:11::1/64

vlan20

10.10.12.1/24

2001:10:10:12::1/64

vlan30

10.10.13.1/24

2001:10:10:13::1/64

vlan40

10.10.14.1/24

2001:10:10:14::1/64

vlan50

10.10.15.1/24

2001:10:10:15::1/64

vlan60

10.10.60.1/24

2001:10:10:60::1/64

vlan70

10.10.70.1/24

2001:10:10:70::1/64

vlan80

10.10.80.1/24

2001:10:10:80::1/64

vlan90

10.10.90.1/24

2001:10:10:90::1/64

vlan1021

10.10.255.14/30

vlan1022

10.10.255.5/30

vlan1026

10.10.255.1/30

vlan1027 vpn

10.10.255.1/30

SW2

loopback1 ospfv2 ospfv3 bgp

10.10.2.1/32

2001:10:10:2::1/128

loopback2

10.10.2.2/32

2001:10:10:2::2/128

vlan10

10.10.21.1/24

2001:10:10:21::1/64

vlan20

10.10.22.1/24

2001:10:10:22::1/64

设备名称

设备接口

IP地址

vlan30

10.10.23.1/24

2001:10:10:23::1/64

vlan40

10.10.24.1/24

2001:10:10:24::1/64

vlan50

10.10.25.1/24

2001:10:10:25::1/64

vlan60

10.10.60.2/24

2001:10:10:60::2/64

vlan70

10.10.70.2/24

2001:10:10:70::2/64

vlan80

10.10.80.2/24

2001:10:10:80::2/64

vlan90

10.10.90.2/24

2001:10:10:90::2/64

vlan1021

10.10.255.22/30

vlan1022

10.10.255.9/30

vlan1026

10.10.255.2/30

vlan1027 vpn

10.10.255.2/30

SW3

loopback1 ospfv2 ospfv3 bgp

10.10.3.1/32

2001:10:10:3::1/128

vlan10

10.10.31.1/24

2001:10:10:31::1/64

vlan20

10.10.32.1/24

2001:10:10:32::1/64

vlan30

10.10.33.1/24

2001:10:10:33::1/64

vlan50

10.10.35.1/24

2001:10:10:35::1/64

vlan60

10.10.60.3/24

2001:10:10:60::3/64

vlan70

10.10.70.3/24

2001:10:10:70::3/64

vlan80

10.10.80.3/24

2001:10:10:80::3/64

vlan90

10.10.90.3/24

设备名称

设备接口

IP地址

2001:10:10:90::3/64

vlan1021

10.10.255.6/30

vlan1022

10.10.255.10/30

SW3模拟办事处

loopback2

10.10.3.2/32

2001:10:10:3::2/128

vlan110

10.16.110.1/24

2001:10:16:110::1/64

vlan120

10.16.120.1/24

2001:10:16:120::1/64

vlan1015

10.10.255.46/30

SW3模拟

Internet

loopback3

200.200.3.3/32

2001:200:200:3::3/128

vlan1017

200.200.200.1/30

vlan1018

200.200.200.5/30

RT1

loopback1 ospfv2 ospfv3 bgp mpls

10.10.4.1/32

2001:10:10:4::1/128

loopback2 rip ripng

10.10.4.2/32

2001:10:10:4::2/128

loopback3 isis

10.10.4.3/32

2001:10:10:4::3/128

loopback4 集团与办事处互联

10.10.4.4/32

2001:10:10:4::4/128

loopback5 vpn财务

10.10.4.5/32

2001:10:10:4::5/128

g0/0

10.10.255.29/30

g0/1

10.10.255.21/30

g0/2

10.10.255.18/30

g0/3

10.10.255.25/30

s1/0

10.10.255.33/30

s1/1

10.10.255.37/30

RT2

loopback1 ospfv2 ospfv3 bgp mpls

10.10.5.1/32

2001:10:10:5::1/128

loopback2 rip ripng

10.10.5.2/32

2001:10:10:5::2/128

loopback3 isis

10.10.5.3/32

设备名称

设备接口

IP地址

2001:10:10:5::3/128

loopback4 ipsecvpn

10.10.5.4/32

2001:10:10:5::4/128

tunnel4 ipsecvpn

10.10.255.50/30

loopback5 vpn财务

10.10.5.5/32

2001:10:10:5::5/128

g0/0

10.10.255.30/30

g0/1

10.10.255.41/30

g0/3

200.200.200.6/30

s1/0

10.10.255.38/30

s1/1

10.10.255.34/30

FW1

loopback1 ospfv2 ospfv3 trust

10.10.6.1/32

2001:10:10:6::1/128

loopback2 rip ripng trust

10.10.6.2/32

2001:10:10:6::2/128

loopback4 ipsecvpn trust

10.10.6.4/32

2001:10:10:6::4/128

tunnel4 ipsecvpn VPNHUB

10.10.255.49/30

tunnel8 sslvpn VPNHUB

10.18.0.1/24

e0/1 trust

10.10.255.13/30

e0/2 trust

10.10.255.17/30

e0/3 untrust

200.200.200.2/30

FW2

loopback1 ospfv2 ospfv3 trust

10.10.7.1/32

2001:10:10:7::1/128

e0/1 trust

10.10.255.45/30

e0/2 dmz

10.10.255.26/30

tunnel9 l2tpvpn VPNHUB

10.19.0.1/24

AC1

loopback1 ospfv2 ospfv3

10.10.8.1/32

2001:10:10:8::1/128

loopback2 rip ripng

10.10.8.2/32

2001:10:10:8::2/128

loopback3

10.10.8.3/32

2001:10:10:8::3/128

vlan100 无线管理

10.17.100.1/24

2001:10:17:100::1/64

设备名称

设备接口

IP地址

vlan110 无线2.4G 产品

10.17.110.1/24

2001:10:17:110::1/64

vlan120 无线5G 营销

10.17.120.1/24

2001:10:17:120::1/64

vlan1001

10.10.255.42/30

 

  • 职业素养

1.整理赛位,工具、设备归位,保持赛后整洁有序。

2.无因选手原因导致设备损坏。

3.恢复调试现场,保证网络和系统安全运行。

  • 网络连接

左侧布线面板立面示意图        右侧布线面板立面示意图

 

1.机柜左侧布线面板编号101;机柜右侧布线面板编号102。

2.面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照

568B标准端接。

3.主配线区配线点与工作区配线点连线对应关系如下:

序号

信息点编号

配线架编号

底盒编号

信息点编号

配线架端口编号

1

W1-02-101-1

W1

101

1

02

2

W1-06-102-2

W1

102

2

06

4.铺设线缆并端接。截取2根适当长度的双绞线,两端制作标签,穿过PVC 线槽或线管。双绞线在机柜内部进行合理布线,并且通过扎带合理固定。将2根双绞线的一端,端接在配线架相应端口,另一端端接上RJ45模块,并且安装在信息点面板,并标注标签。

5.跳线制作与测试。截取2根当长度的双绞线,端接水晶头,所有网络跳线要求按568B标准制作,两端制作标签,连接网络信息点和相应计算机。根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,插入相应设备的相关端口上,实现PC、信息点面板、配线架、设备之间的连通。

三、交换配置

1.配置vlan,SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。

设备

vlan编号

端口

说明

SW1

vlan10

E1/0/1

产品1段

vlan20

E1/0/2

营销1段

vlan30

E1/0/3

法务1段

vlan40

E1/0/4

财务1段

vlan50

E1/0/5

人力1段

vlan60

E1/0/6

产品管理

vlan70

E1/0/7

产品研发

vlan80

E1/0/8

产品生产

vlan90

E1/0/9

产品支持

SW2

vlan10

E1/0/1

产品2段

vlan20

E1/0/2

营销2段

vlan30

E1/0/3

法务2段

vlan40

E1/0/4

财务2段

vlan50

E1/0/5

人力2段

vlan60

E1/0/6

产品管理

vlan70

E1/0/7

产品研发

vlan80

E1/0/8

产品生产

vlan90

E1/0/9

产品支持

SW3

vlan10

E1/0/1

产品3段

vlan20

E1/0/2

营销3段

vlan30

E1/0/3

法务3段

vlan50

E1/0/5

人力3段

vlan60

E1/0/6

产品管理

vlan70

E1/0/7

产品研发

vlan80

E1/0/8

产品生产

vlan90

E1/0/9

产品支持

配置二层接口只允许以上vlan通过

下面只帖出互连vlan的划分

SW1、SW2:

Vlan 1021

Switchport  interface ethernet  1/0/21

Vlan 1022

Switchport  interface ethernet  1/0/22

Vlan 1026

Switchport  interface ethernet  1/0/26

Vlan 1027

Switchport  interface ethernet  1/0/27

SW3

Vlan 1021

Switchport  interface ethernet  1/0/21

Vlan 1022

Switchport  interface ethernet  1/0/22

Vlan 1015

Switchport  interface ethernet  1/0/15

Vlan 1017

Switchport  interface ethernet  1/0/17

Vlan 1018

Switchport  interface ethernet  1/0/18

2.SW1、SW2、SW3启用MSTP,实现网络二层负载均衡和冗余备份,创建实例 Instance10和Instance20,名称为SKILLS,修订版本为1,其中Instance10关联vlan60和vlan70,Instance20关联vlan80和vlan90。SW1为Instance0和 Instance10的根交换机,为Instance20备份根交换机;SW2为Instance20根交换机,为Instance0和Instance10的备份根交换机;根交换机STP优先级为0,备份根交换机STP优先级为4096。关闭交换机之间三层互联接口的STP。

SW-1:

spanning-tree mst configuration

name SKILLS

 revision-level 1

instance 10 vlan 60;70

 instance 20 vlan 80;90

!

spanning-tree

 spanning-tree mst 0 priority 0

 spanning-tree mst 10 priority 0

 spanning-tree mst 20 priority 4096

!

Interface ethernet1/0/21-22;24

No spanning-tree

SW-2:

spanning-tree mst configuration

name SKILLS

 revision-level 1

instance 10 vlan 60;70

 instance 20 vlan 80;90

!

spanning-tree

 spanning-tree mst 0 priority 4096

 spanning-tree mst 10 priority 4096

 spanning-tree mst 20 priority 0

!

Interface ethernet1/0/21-22;24

No spanning-tree

SW-3:

spanning-tree mst configuration

name SKILLS

 revision-level 1

instance 10 vlan 60;70

 instance 20 vlan 80;90

!

spanning-tree

!

Interface ethernet1/0/21-22

No spanning-tree

这一题一定要注意三层接口关闭stp,一定注意

3.SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP 业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为active;采用源、目的IP进行实现流量负载分担。

SW-1:

ip vrf CW

!

interface vlan 40

ip vrf forwarding CW

 ipv6 address 2001:10:10:14::1/64

 ip address 10.10.14.1 255.255.255.0                          //创建vrf将CW业务隔离

!

port-group 1

interface ethernet1/0/28

port-group 1 mode active            //配置链路聚合SW1为active

!

load-balance dst-src-ip                   //负载分担方式

SW-2:

ip vrf CW

!

interface vlan 40

ip vrf forwarding CW

ipv6 address 2001:10:10:24::1/64

 ip address 10.10.24.1 255.255.255.0

!

port-group 1

interface ethernet1/0/28

port-group 1 mode active

!

load-balance dst-src-ip

4.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,

Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表VPN实例名称为Guangdong。

SW-3:

Ip vrf Internet

Rd 3:1

!

Ip vrf Guangdong

Rd 3:2

!

随后将需要隔离到vrf中的vlan加入vrf

interface Vlan110

 ip vrf forwarding Guangdong

 ip address 10.16.110.1 255.255.255.0

!

interface Vlan120

 ip vrf forwarding Guangdong

 ip address 10.16.120.1 255.255.255.0

!

interface Vlan1015

 ip vrf forwarding Guangdong

 ip address 10.10.255.46 255.255.255.252

!

interface Loopback2

 ip vrf forwarding Guangdong

 ip address 10.10.3.2 255.255.255.255

!

interface Vlan1017

 ip vrf forwarding Internet

 ip address 200.200.200.1 255.255.255.252

!

interface Vlan1018

 ip vrf forwarding Internet

 ip address 200.200.200.5 255.255.255.252

!

interface Loopback3

 ip vrf forwarding Internet

 ip address 200.200.3.3 255.255.255.255

!

5.SW1法务物理接口限制收发数据占用的带宽均为1000Mbps,限制所有报文最大收包速率为1000packets/s,如果超过了配置交换机端口的报文最大收包速率则关闭此端口,1分钟后恢复此端口;启用端口安全功能,最大安全MAC地址数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。

SW-1:

interface ethernet1/0/3

bandwidth control 1000000 both

rate-violation all 1000

rate-violation control shutdown recovery 60

!

mac-address-learning cpu-control   //开启cpu控制学习mac,这样才能开启接口的端口安全功能

!

interface ethernet1/0/3

swtichport port-security

switchport port-security maximum 20

switchport port-security violation restrict   recovery 600  //restrict违背模式

switchport port-security aging type inactivity  //老化不活跃的

switchport port-securtiy aging time 10       //恢复时间间隔10min

!

am enable

!

interface ethernet1/0/3

am port

am ip-pool 10.10.13.20 30   //20后延续30ip地址

!

isolate-port apply l2

isolate-port group FW switchport interface Ethernet1/0/3

6.开启 SW1日志记录功能和保护功能,采样周期5s一次,恢复周期为100s,从而保障CPU稳定运行。

SW-1

cpu-protect enable

cpu-protect log enable

cpu-protect interval 5

cpu-protect recovery-time 100

7.SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为USER2022,采用aes算法进行加密,密钥为Pass-1234,哈希算法为sha,密钥为Pass-1234;当设备有异常时,需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对应的用户接口发生UP DOWN事件时,禁止发送trap消息至上述集团网管服务器。

SW-1

snmp-server enable

snmp-server engineid 1

snmp-server group GROUP2022 authpriv read SKILLS-R write SKILLS-W

snmp-server user USER2022 GROUP2022 authpriv aes Pass-1234 auth sha Pass-1234

snmp-server trap-source 10.10.1.1

snmp-server trap-source 2001:10:10:1::1

snmp-server host 2001:10:10:11::99 v3 authpriv USER2022

snmp-server host 10.10.11.99 v3 authpriv USER2022

snmp-server securityip 10.10.11.99

snmp-server securityip 2001:10:10:11::99                 \因为是最高安全级别,所以也需要设置一下安全ip,这个功能默认打开,只需要设置一下安全ip就行了(其实snmpv3设置这个没有意义,但是多做也不扣分)

snmp-server enable traps             \这条命令一定记得要打,经常不记得打

!

internet ethernet 1/0/3

no switchport updown notification enable

8.将W1与FW1互连流量镜像到SW1 E1/0/1,会话列表为1。

SW-1

Monitor session 1 source interface Ethernet1/0/21 both

Monitor session 1 destination interface Ethernet1/0/1

9.SW1和SW2 E1/0/21-28启用单向链路故障检测,当发生该故障时,端口标记为errdisable状态,自动关闭端口,经过1分钟后,端口自动重启;发送

Hello报文时间间隔为15s;

SW-1SW-2

uldp enable //全局开启uldp后,所有光口自动也开启uldp

uldp recovery-time 60

uldp hello-interval 15

uldp aggressive-mode  //积极模式自动关闭端口

10.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三条裸光缆端口使能

Trap功能。

SW-1SW-2

lldp enable

lldp msgTxHold 5

lldp tx-interval 20  //更新报文发送间隔

lldp notification interval 10  //trap报文发送时间间隔

interface ethernet1/0/26-28

lldp trap enable

四、路由配置

1.启用所有设备的ssh服务,防火墙用户名admin,明文密码Pass-1234,其余设备用户名和明文密码均为admin。

RT1RT2

Ip sshd enable  //开启ssh服务,将生产rsa密钥,需要1到2分钟时间

aaa authentication login default local //缺省使用本地用户认证

username admin password admin

SW-1SW-2SW-3AC1

ssh-server enable

authentication line vty login local  //登录使用本地用户认证

FW-1FW-2

默认1800pro防火墙第一次登陆就会需要改密码

Admin user admin

Access ssh           //允许使用ssh登录设备

Password Pass-1234   //更改admin的密码为Pass-1234

交换机路由器这一题总结就是开启ssh登录,然后再设置登录使用本地用户认证

防火墙就是先进入到用户改个密码,然后再允许使用ssh接入

2.配置所有设备的时区为GMT+08:00,调整SW1时间为实际时间,SW1配置为ntp server,其他设备用SW1 loopback1 ipv4地址作为ntp server地址, ntp client 请求报文时间间隔1分钟

最好做完路由部分再来做这个,才有效果

SW-1SW-2SW-3AC1

Clock timezone GMT add 8

SW-1:

ntp enable

ntp-service refclock-master 1

AC1

ntp enable

ntp syn-interval 00:01:00

ntp server 10.10.1.1

SW-2SW-3

ntp enable

ntp syn-interval 60

ntp server 10.10.1.1

FW-1、FW-2:

clock zone GMT 8 0

ntp enable

ntp query-interval 1

ntp server "10.10.1.1"

RT1、RT2:

time-zone GMT 8 0

ntp query-interval 60

ntp server 10.10.1.1

路由器不用开启ntp默认开启,只需要设置一下ntp服务器的地址

这里只要sw1的loobpack1的ipv4地址别把ipv6地址也打上了

3.配置所有设备接口ipv4地址和ipv6地址,互联接口ipv6地址用本地链路地址。

配置接口IPv4、v6地址,本地链路地址把接口ipv6功能打开就会自动生成一个地址ipv6本地链路地址

互连接口下

Ipv6 enable

4.利用vrrpv2和vrrpv3技术实现vlan60、vlan70、vlan80、vlan90网关冗余备份,vrrp id与vlan id相同。vrrpv2 vip为10.10.vlanid.9(如vlan60 的vrrpv2 vip为10.10.60.9),vrrpv3 vip为FE80:vlanid::9(如vlan60的 vrrpv3 vip 为 FE80:60::9)。配置 SW1vlan60、vlan701Master,SW2 为 vlan80、vlan90的Master。要求vrrp组中高优先级为120,低优先级为默认值,抢占模式为默认值,vrrpv2和vrrpv3发送通告报文时间间隔为默认值。当SW1 或SW2上联链路发生故障,Master优先级降低50。

SW-1

router vrrp 60

 virtual-ip 10.10.60.9      //设置虚拟ip

 interface Vlan60           //绑定vlan

 circuit-failover Vlan1021 50      //当上行链路vlan发生故障优先级降低

 priority 120               //设置优先级120,默认100,越大越优

 enable

!

router vrrp 70

 virtual-ip 10.10.70.9

 interface Vlan70

 circuit-failover Vlan1021 50

 priority 120

 enable

!

router vrrp 80

 virtual-ip 10.10.80.9

 interface Vlan80

enable

!

router vrrp 90

 virtual-ip 10.10.90.9

 interface Vlan90

enable  

只有SW1作为master的vlan才监视上行链路

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

router ipv6 vrrp 60

 virtual-ipv6 fe80:60::9 interface Vlan60    //配置虚拟ipv4地址+绑定到的vlan

 circuit-failover Vlan1021 50

 priority 120

 enable

!

router ipv6 vrrp 70

 virtual-ipv6 fe80:70::9 interface Vlan70

 circuit-failover Vlan1021 50

 priority 120

 enable

!

router ipv6 vrrp 80

 virtual-ipv6 fe80:80::9 interface Vlan80

 enable

!

router ipv6 vrrp 90

 virtual-ipv6 fe80:90::9 interface Vlan90

enable

!

SW-2

router vrrp 60

 virtual-ip 10.10.60.9

 interface Vlan60

enable

!

router vrrp 70

 virtual-ip 10.10.70.9

 interface Vlan70

enable

!

router vrrp 80

 virtual-ip 10.10.80.9

 interface Vlan80

 circuit-failover Vlan1021 50

 priority 120

 enable

!

router vrrp 90

 virtual-ip 10.10.90.9

 interface Vlan90

 circuit-failover Vlan1021 50

 priority 120

 enable  

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

router ipv6 vrrp 60

 virtual-ipv6 fe80:60::9 interface Vlan60

enable

!

router ipv6 vrrp 70

 virtual-ipv6 fe80:70::9 interface Vlan70

enable

!

router ipv6 vrrp 80

 virtual-ipv6 fe80:80::9 interface Vlan80

 circuit-failover Vlan1021 50

 priority 120

 enable

!

router ipv6 vrrp 90

 virtual-ipv6 fe80:90::9 interface Vlan90

 circuit-failover Vlan1021 50

 priority 120

 enable

!

5.AC1配置dhcpv4和dhcpv6,分别为SW1产品1段vlan10和分公司vlan100、 vlan110和vlan120分配地址;ipv4地址池名称分别为POOLv4-10、POOLv4-100、 POOLv4-110、POOLv4-120,ipv6 地址池名称分别为 POOLv6-10、POOLv6-100、

POOLv6-110、POOLv6-120;ipv6·前缀表示;排除网关;DNS分别为 114.114.114.114 和 2400:3200::1;为 PC1 保留地址 10.10.11.9 和 2001:10:10:11::9,为=AP1保留地址10.17.100.9和2001:10:17:100::9,为PC2 保留地址10.17.110.9和2001:10:17:110::9。SW1上中继地址为AC1 loopback1 地址。SW1启用dhcpv4和dhcpv6 snooping,如果E1/0/1连接dhcpv4服务器,则关闭该端口,恢复时间为1分钟。

这一题首先路由要通,要SW1要先能ping通AC1的loobpack1口地址,所以路有部分做的没问题这里才能看到效果

AC1

service dhcp

!

ip dhcp pool POOLv4-10

 network-address 10.10.11.0 255.255.255.0

 default-router 10.10.11.1

 dns-server 114.114.114.114

!

ip dhcp pool POOLv4-100

 network-address 10.17.100.0 255.255.255.0

 default-router 10.17.100.1

 dns-server 114.114.114==.114

!

ip dhcp pool POOLv4-110

 network-address 10.17.110.0 255.255.255.0

 default-router 10.17.110.1

 dns-server 114.114.114.114

!

ip dhcp pool POOLv4-120

 network-address 10.17.120.0 255.255.255.0

 default-router 10.17.120.1

 dns-server 114.114.114.114

!

ip dhcp pool AP

 host 10.17.100.9 255.255.255.0

 hardware-address 00-03-0F-6A-A9-80

 default-router 10.17.100.1

dns-server 114.114.114.114

!

ip dhcp pool PC1

 host 10.10.11.9 255.255.255.0

 hardware-address 6C-4B-90-D4-88-03

 default-router 10.10.11.1

dns-server 114.114.114.114

!

ip dhcp pool PC2

 host 10.10.110.9 255.255.255.0

 hardware-address 6C-4B-90-D4-88-06

 default-router 10.10.110.1

dns-server 114.114.114.114

!

ip dhcp excluded-address 10.10.11.1

ip dhcp excluded-address 10.17.100.1

ip dhcp excluded-address 10.17.110.1

ip dhcp excluded-address 10.17.120.1

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

service dhcpv6

!

ipv6 dhcp pool POOLv6-100

 network-address 2001:10:17:100:: 64

 static-binding 2001:10:17:100::9 00-03-0f-6a-a9-80

 excluded-address 2001:10:17:100::1

 dns-server 2400:3200::1

!

ipv6 dhcp pool POOLv6-120

 network-address 2001:10:17:120:: 24

 excluded-address 2001:10:17:120::1

 dns-server 2400:3200::1

!

ipv6 dhcp pool POOLv6-110

 network-address 2001:10:17:110:: 64

static-binding 2001:10:10:110::9 6c-4b-90-d4-88-06

 excluded-address 2001:10:17:110::1

 dns-server 2400:3200::1

!        

ipv6 dhcp pool POOLv6-10

 network-address 2001:10:10:11:: 64

 static-binding 2001:10:10:11::9 6c-4b-90-d4-88-03

 excluded-address 2001:10:10:11::1

 dns-server 2400:3200::1

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

interface Vlan100

no ipv6 nd suppress-ra

 ipv6 nd managed-config-flag

 ipv6 nd other-config-flag

ipv6 dhcp server POOLv6-100

!

interface Vlan110

no ipv6 nd suppress-ra

 ipv6 nd managed-config-flag

 ipv6 nd other-config-flag

ipv6 dhcp server POOLv6-110

!

interface Vlan120

no ipv6 nd suppress-ra

 ipv6 nd managed-config-flag

 ipv6 nd other-config-flag

ipv6 dhcp server POOLv6-120

!

interface Loopback1

ipv6 dhcp server POOLv6-10

!

SW-1

service dhcp

service dhcpv6

ip forward-protocol udp bootps //开启dhcp中继功能

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

interface Vlan10

no ipv6 nd suppress-ra

 ipv6 nd managed-config-flag

 ipv6 nd other-config-flag

ip helper-address 10.10.8.1           //ipv4dhcp中继地址

 ipv6 dhcp relay destination 2001:10:10:8::1      //ipv6dhcpv6中继地址

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

ip dhcp snooping enable

savi enable

 savi ipv6 dhcp-only enable

Interface Ethernet1/0/24

Ipv6 dhcp snooping trust

ip dhcp snooping trust

Interface Ethernet1/0/1

ip dhcp snooping action shutdown recovery 60

这里似乎不可以做dhcpv6 snooping,开启savi功能之后就PC就不能成功 dhcpv6地址池中获取到ipv6地址,不开dhcpv6 snooping则可以获取到,如果做了dhcp中继获取不到地址,那应该就是路由的问题了。

这里路由部分的命令太多了,需要的私信

6.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行 OSPFv2和OSPFv3协议(路由模式发布网络用接口地址,BGP协议除外)。

(1)SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议,进程1,区域0,分别发布loopback1地址路由和产品路由,FW1通告type2默认路由。

(5)RT1、FW2之间OSPFv2和OSPFv3协议,进程2,区域2;RT1发布loopback4 路由,向该区域通告type1默认路由;FW2发布loopback1路由,FW2禁止学习到集团和分公司的所有路由。RT1用prefix-list匹配FW2 loopback1路由、SW3 模拟办事处loopback2和产品路由、RT1与FW2直连ipv4路由,将这些路由重发布到区域0。

(6)修改ospf cost为100,实现SW1分别与RT2、FW2之间ipv4和ipv6互访流量优先通过SW1_SW2_RT1链路转发,SW2访问Internet ipv4和ipv6流量优先通过SW2_SW1_FW1链路转发。

7.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议, FW1、RT1、RT2的RIP和RIPng发布loopback2地址路由,AC1 RIP发布loopback2 地址路由,AC1 RIPng采用route-map匹配prefix-list重发布loopback2地址路由。RT1配置offset值为3的路由策略,实现RT1-S1/0_RT2-S1/1为主链路, RT1-S1/1_RT2-S1/0为备份链路,ipv4的ACL名称为AclRIP,ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1之间采用chap双向认证,用户名为对端设备名称,密码为Pass-1234。

8.RT1 以太链路、RT2 以太链路之间运行 ISIS 协议,进程 1,分别实现 loopback3 之间 ipv4 互通和 ipv6 互通。RT1、RT2 的 NET 分别为10.0000.0000.0001.00、10.0000.0000.0002.00,路由器类型是Level-2,接口网络类型为点到点。配置域md5认证和接口md5认证,密码均为Pass-1234。

RT1:

Router isis 1

Is-type level-2

Domain-password Pass-1234

Net 10.0000.0000.0001.00

!

Interface G0/0

Ip router isis 1

Ipv6 router isis 1

Isis network point-to-point

Isis password Pass-1234

!

Interface loopback 3

Ip router isis 1

Ipv6 router isis 1

!

RT2:

Router isis 1

Is-type 2

Domain-password Pass-1234

Net 10.0000.0000.0002.00

!

Interface G0/0

Ip router isis 1

Ipv6 router isis 1

Isis network point-to-point

Isis password Pass-1234

!

Interface loopback 3

Ip router isis 1

Ipv6 router isis 1

!

Isis就按照普通的做法就行了

9.RT2配置ipv4 nat,实现AC1 ipv4产品部门用RT2外网接口ipv4地址访问Internet。RT2配置nat64,实现AC1 ipv6产品部门用RT2外网接口ipv4地址访问Internet,ipv4地址转ipv6地址前缀为64:ff9b::/96。

10.SW1、SW2、SW3、RT1、RT2之间运行BGP协议,SW1、SW2、RT1 AS号65001、 RT2 AS号65002、SW3 AS号65003。

BGP命令太多了就不贴上了,这里给点思路还有方法。

(1)SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6 BGP邻居。SW1 和 SW2 之间财务通过 loopback2 建立 ipv4 BGP 邻居,SW1 和 SW2 的 loopback2互通采用静态路由。

BGP的命令太多了,由于交换机和路由器的命令不太一样,所以先做交换机不太好修改txt,所以先做RT1,然后再做SW1、2,

最后做RT2、SW3

只有RT1最开始敲其余设备全部刷,这样速度快一些

这里一定要注意相同AS号的邻居要打next-hop-soft

(2)SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6 路由;RT1发布办事处营销ipv4和ipv6路由到BGP。

R1和R2直接network发布就行,R2只有产品和营销业务所以其他的业务

(3)SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转发;SW3 法务及人力分别与 SW1 和 SW2法务及人力 ipv4 和ipv6 互访优先在 SW3_SW2链路转发,主备链路相互备份;用prefix-list、route-map和BGP路径属性进行选路,新增AS 65000。

这一题直接全部在SW3上做,neighbor绑定route-map的时候in和out方向都打

11.利用BGP MPLS VPN技术,RT1与RT2以太链路间运行多协议标签交换、标签分发协议。RT1与RT2间创建财务VPN实例,名称为CW,RT1的RD值为1:1, export rt值为1:2,import rt值为2:1;RT2的RD值为2:2。通过两端loopback1 建立VPN邻居,分别实现两端loopback5 ipv4互通和ipv6互通。

总结起来这题就三步

  1. 全局mpls开开启,接口mpls开启,然后看看有没有mpls ldp neighbor有就成功了
  2. 创建ipv4和ipv6的CW的vrf,将loobapck5加入
  3. 到bgp中,因为之前已经建立了bgp邻居,所以现在只需要在vpnv4和vpnv6里activate一下 ,最后在ipv4 vrf和ipv6 vrf下宣告loopback5的地址

12.SW1、SW2、RT1、RT2、AC1运行PIM-SM,RT1 loopback1为c-bsr和crp,RT2运行IGMPv3;SW1产品部门(PC1测试)终端启用组播,用VLC工具串流播放视频文件“1.mp4”,模拟组播源,设置此视频循环播放,组地址232.1.1.1,端口1234,实现分公司产品部门(PC2测试)收看视频。

五、无线配置 (没有特别说明命令都是在wireless配置模式下配置)

1.AC1 loopback1 ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。AP二层自动注册,AP采用MAC地址认证。配置2个ssid,分别为SKILLS-

2.4G和SKILLS-5G。SKILLS-2.4G对应vlan110,用network 110和radio1(模式为 n-only-g),用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为Pass-1234。SKILLS-5G对应vlan120,用network 120和radio2(模式为n-only-a),不需要认证,隐藏ssid,SKILLS-5G用倒数第一个可用VAP发送 5G信号。

2.当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为 2小时。

Ap auto-upgrade

!

Agetime ap-failure 2

Agetime detected-clients 2

3.MAC认证模式为黑名单,MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证。

Mac-authentication-mode black-list

Known-client 80-45-DD-77-CC-48 action global-action

!

Network 110

Mac authentication local

Network 120

Mac authentication local

4.防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP 与AC 10分钟内建立连接5次就不再允许继续连接,2小时后恢复正常。

Wireless ap anti-flood interval 10

Wireless ap anti-flood max-conn-count 5

Wireless ap anti-flood agetime 120

5.配置vlan110无线接入用户上班时间(工作日09:00-17:00)访问Internet https上下行CIR为100Mbps,CBS为200Mbps,PBS为300Mbps,exceed-action 和violate-action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为SKILLS。

6.开启AP组播广播突发限制功能;AP收到错误帧时,将不再发送ACK帧; AP发送向无线终端表明AP存在的帧时间间隔为1秒。

ap profile 1

radio 1

rate-limit

incorrect-frame-no-ack

beacon-interval 10000

7.AP发射功率为80%。

Ap database 00-03-0f-6a-a9-80

Radio 1 power 80

Radio 2 power 80

六、安全配置

防火墙都是web点点,不好贴上去。

说明:ip 地址按照题目给定的顺序用“ip/mask”表示,ipv4 any 地址用

0.0.0.0/0,ipv6 any地址用::/0,禁止用地址条目,否则按零分处理。

1.FW1配置ipv4 nat,实现集团产品1段ipv4访问Internet ipv4,转换 ip/mask为200.200.200.160/28,保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址;当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.10.11.99的 UDP 514端口,记录主机名,用明文轮询方式分发日志;开启相关特性,实现扩展nat转换后的网络地址端口资源。

2.FW1配置nat64,实现集团产品1段ipv6访问Internet ipv4,转换为出接口IP,ipv4转ipv6地址前缀为64:ff9b::/96。

3.FW1和FW2策略默认动作为拒绝,FW1允许集团产品1段ipv4和ipv6访问Internet任意服务。

4.FW2允许办事处产品ipv4访问集团产品1段https服务,允许集团产品 1段和分公司产品访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处 loopback2 ipv4。

5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现 loopback4之间的加密访问。

6.FW1配置SSL VPN,名称为VPNSSL,ssl协议为1.2版本,Internet用户通过端口 8888 连接,本地认证账号 UserSSL,密码 Pass-1234,地址池名称为

POOLSSL,地址池范围为10.18.0.100/24-10.18.0.199/24。保持PC1位置不变,用PC1测试。

7.FW2配置L2TP Over IPSec VPN,名称为VPNL2TP,远程用户通过dmz区域接口拨入,本地认证账号UserL2TP,密码Pass-1234,地址池名称为POOLL2TP,地址池范围为10.19.0.100/24-10.19.0.199/24。保持PC2位置不变,用PC2测试。L2TPVPN连接成功后,本地私有地址为10.19.0.199。

这题需要注意,很多人都做不通,因为他的p1提议和p2提议都是固定的,windows对注册表也有要求

 8.FW1配置邮件内容过滤,规则名称和类别名称均为“Denied”,过滤含有

“pornographic”字样的邮件。

9.FW1通过ping监控外网网关地址,监控对象名称为TRACK1,每隔5S发送探测报文,连续10次收不到监测报文,就认为线路故障,关闭外网接口。

10.FW1利用iQoS,实现集团产品1段访问Internet https服务时,上下行管道带宽为1000Mbps,限制每IP上下行最小带宽100Mbps、最大带宽200Mbps、优先级为5,管道名称为SKILLS,模式为管制。