2022年全国职业院校技能大赛网络搭建与应用赛项正式赛卷-网络部分答案
2022年全国职业院校技能大赛网络搭建与应用赛项正式赛卷
第二部分 网络搭建及安全部署竞赛总分 450分竞赛时长 3小时
2022年(中职组)网络搭建与应用赛项专家组
2022年8月
竞赛说明:
1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。
3.请参赛选手仔细阅读赛卷,按照要求完成各项操作。
4.操作过程中,需要及时保存配置。
5.比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。禁止将比赛所用的所有物品(包括赛卷)带离赛场。
6.禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,如违反规定,可视为0分。
7.与比赛相关的软件和文档存放在物理机的D:soft文件夹中。
8.请在物理机PC1桌面上新建“XXX”文件夹作为“选手目录”(XXX为赛位号。举例:1号赛位,文件夹名称为“001”),按照“网络搭建及安全部署竞赛结果提交指南.txt”保存要求生成的全部结果文档,将生成的文档复制到
“选手目录”。
项目简介:
某集团公司原在北京建立了总公司,后在成都建立了分公司,又在广东设立了办事处。集团设有产品、营销、法务、财务、人力5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。
2022 年在党的坚强领导下,全年公司规模保持快速增长,业务数据量和公司访问量增长巨大,不断开创新局面,向着全面建成社会主义现代化强国的第二个百年奋斗目标迈进。为了更好管理数据,提供服务,集团决定在北京建立两个数据中心,在贵州建立异地灾备数据中心,以达到快速、可靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战略架构演进,更好的服务于公司客户。
集团、分公司及办事处的网络结构详见拓扑图。编号为SW1的设备作为集团北京1#DC核心交换机,编号为SW2的设备作为集团北京2#DC核心交换机;编号为SW3的设备作为贵州DC核心交换机;编号FW1的设备作为集团互联网出口防火墙;编号为FW2的设备作为办事处防火墙;编号为RT1的设备作为集团核心路由器;编号为RT2的设备作为分公司路由器;编号为AC1的设备作为分公司的有线无线智能一体化控制器,通过与AP1配合实现分公司无线覆盖。
注意:在此典型互联网应用网络架构中,作为IT网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。
请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应应用。网络拓扑:
表1-网络设备连接表
| A设备连接至B设备 | |||
| 设备名称 |
接口 |
设备名称 |
接口 |
| SW1 |
E1/0/21 |
FW1 |
E0/1 |
| SW1 |
E1/0/22 |
SW3 |
E1/0/21 |
| SW1 |
E1/0/23 二层 |
SW3 |
E1/0/23 二层 |
| SW1 |
E1/0/24 三层 |
SW2 |
E1/0/24 三层 |
| SW1 |
E1/0/27 VPN |
SW2 |
E1/0/27 VPN |
| SW1 |
E1/0/28 二层 |
SW2 |
E1/0/28 二层 |
| SW1 |
E1/0/1 |
PC1 |
NIC |
| SW2 |
E1/0/21 |
RT1 |
G0/1 |
| SW2 |
E1/0/22 |
SW3 |
E1/0/22 |
| SW2 |
E1/0/23 二层 |
SW3 |
E1/0/24 二层 |
| SW3模拟办事处 |
E1/0/11 |
模拟产品PC |
|
| SW3模拟办事处 |
E1/0/12 |
模拟营销PC |
|
| SW3模拟办事处 |
E1/0/15 |
FW2 |
E0/1 |
| SW3模拟Internet |
E1/0/17 |
FW1 |
E0/3 |
| SW3模拟Internet |
E1/0/18 |
RT2 |
G0/3 |
| RT1 |
G0/0 |
RT2 |
G0/0 |
| RT1 |
S1/0 |
RT2 |
S1/1 |
| RT1 |
S1/1 |
RT2 |
S1/0 |
| RT1 |
G0/2 |
FW1 |
E0/2 |
| RT1 |
G0/3 |
FW2 |
E0/2 |
| RT2 |
G0/1 |
AC1 |
E1/0/1 |
| AC1 |
E1/0/3 |
AP1 |
ETH |
| AC1 |
E1/0/4 vlan110 |
PC2 |
NIC |
| SW2 |
E1/0/11 |
云平台 |
Eth1 |
| SW2 |
E1/0/12 |
云平台 |
Eth2 |
表2-网络设备IP地址分配表
| 设备名称 |
设备接口 |
IP地址 |
| SW1 |
loopback1 ospfv2 ospfv3 bgp |
10.10.1.1/32 2001:10:10:1::1/128 |
| loopback2 |
10.10.1.2/32 2001:10:10:1::2/128 |
|
| vlan10 |
10.10.11.1/24 2001:10:10:11::1/64 |
|
| vlan20 |
10.10.12.1/24 2001:10:10:12::1/64 |
|
| vlan30 |
10.10.13.1/24 2001:10:10:13::1/64 |
|
| vlan40 |
10.10.14.1/24 2001:10:10:14::1/64 |
|
| vlan50 |
10.10.15.1/24 2001:10:10:15::1/64 |
|
| vlan60 |
10.10.60.1/24 2001:10:10:60::1/64 |
|
| vlan70 |
10.10.70.1/24 2001:10:10:70::1/64 |
|
| vlan80 |
10.10.80.1/24 2001:10:10:80::1/64 |
|
| vlan90 |
10.10.90.1/24 2001:10:10:90::1/64 |
|
| vlan1021 |
10.10.255.14/30 |
|
| vlan1022 |
10.10.255.5/30 |
|
| vlan1026 |
10.10.255.1/30 |
|
| vlan1027 vpn |
10.10.255.1/30 |
|
| SW2 |
loopback1 ospfv2 ospfv3 bgp |
10.10.2.1/32 2001:10:10:2::1/128 |
| loopback2 |
10.10.2.2/32 2001:10:10:2::2/128 |
|
| vlan10 |
10.10.21.1/24 2001:10:10:21::1/64 |
|
| vlan20 |
10.10.22.1/24 2001:10:10:22::1/64 |
| 设备名称 |
设备接口 |
IP地址 |
| vlan30 |
10.10.23.1/24 2001:10:10:23::1/64 |
|
| vlan40 |
10.10.24.1/24 2001:10:10:24::1/64 |
|
| vlan50 |
10.10.25.1/24 2001:10:10:25::1/64 |
|
| vlan60 |
10.10.60.2/24 2001:10:10:60::2/64 |
|
| vlan70 |
10.10.70.2/24 2001:10:10:70::2/64 |
|
| vlan80 |
10.10.80.2/24 2001:10:10:80::2/64 |
|
| vlan90 |
10.10.90.2/24 2001:10:10:90::2/64 |
|
| vlan1021 |
10.10.255.22/30 |
|
| vlan1022 |
10.10.255.9/30 |
|
| vlan1026 |
10.10.255.2/30 |
|
| vlan1027 vpn |
10.10.255.2/30 |
|
| SW3 |
loopback1 ospfv2 ospfv3 bgp |
10.10.3.1/32 2001:10:10:3::1/128 |
| vlan10 |
10.10.31.1/24 2001:10:10:31::1/64 |
|
| vlan20 |
10.10.32.1/24 2001:10:10:32::1/64 |
|
| vlan30 |
10.10.33.1/24 2001:10:10:33::1/64 |
|
| vlan50 |
10.10.35.1/24 2001:10:10:35::1/64 |
|
| vlan60 |
10.10.60.3/24 2001:10:10:60::3/64 |
|
| vlan70 |
10.10.70.3/24 2001:10:10:70::3/64 |
|
| vlan80 |
10.10.80.3/24 2001:10:10:80::3/64 |
|
| vlan90 |
10.10.90.3/24 |
| 设备名称 |
设备接口 |
IP地址 |
| 2001:10:10:90::3/64 |
||
| vlan1021 |
10.10.255.6/30 |
|
| vlan1022 |
10.10.255.10/30 |
|
| SW3模拟办事处 |
loopback2 |
10.10.3.2/32 2001:10:10:3::2/128 |
| vlan110 |
10.16.110.1/24 2001:10:16:110::1/64 |
|
| vlan120 |
10.16.120.1/24 2001:10:16:120::1/64 |
|
| vlan1015 |
10.10.255.46/30 |
|
| SW3模拟 Internet |
loopback3 |
200.200.3.3/32 2001:200:200:3::3/128 |
| vlan1017 |
200.200.200.1/30 |
|
| vlan1018 |
200.200.200.5/30 |
|
| RT1 |
loopback1 ospfv2 ospfv3 bgp mpls |
10.10.4.1/32 2001:10:10:4::1/128 |
| loopback2 rip ripng |
10.10.4.2/32 2001:10:10:4::2/128 |
|
| loopback3 isis |
10.10.4.3/32 2001:10:10:4::3/128 |
|
| loopback4 集团与办事处互联 |
10.10.4.4/32 2001:10:10:4::4/128 |
|
| loopback5 vpn财务 |
10.10.4.5/32 2001:10:10:4::5/128 |
|
| g0/0 |
10.10.255.29/30 |
|
| g0/1 |
10.10.255.21/30 |
|
| g0/2 |
10.10.255.18/30 |
|
| g0/3 |
10.10.255.25/30 |
|
| s1/0 |
10.10.255.33/30 |
|
| s1/1 |
10.10.255.37/30 |
|
| RT2 |
loopback1 ospfv2 ospfv3 bgp mpls |
10.10.5.1/32 2001:10:10:5::1/128 |
| loopback2 rip ripng |
10.10.5.2/32 2001:10:10:5::2/128 |
|
| loopback3 isis |
10.10.5.3/32 |
| 设备名称 |
设备接口 |
IP地址 |
| 2001:10:10:5::3/128 |
||
| loopback4 ipsecvpn |
10.10.5.4/32 2001:10:10:5::4/128 |
|
| tunnel4 ipsecvpn |
10.10.255.50/30 |
|
| loopback5 vpn财务 |
10.10.5.5/32 2001:10:10:5::5/128 |
|
| g0/0 |
10.10.255.30/30 |
|
| g0/1 |
10.10.255.41/30 |
|
| g0/3 |
200.200.200.6/30 |
|
| s1/0 |
10.10.255.38/30 |
|
| s1/1 |
10.10.255.34/30 |
|
| FW1 |
loopback1 ospfv2 ospfv3 trust |
10.10.6.1/32 2001:10:10:6::1/128 |
| loopback2 rip ripng trust |
10.10.6.2/32 2001:10:10:6::2/128 |
|
| loopback4 ipsecvpn trust |
10.10.6.4/32 2001:10:10:6::4/128 |
|
| tunnel4 ipsecvpn VPNHUB |
10.10.255.49/30 |
|
| tunnel8 sslvpn VPNHUB |
10.18.0.1/24 |
|
| e0/1 trust |
10.10.255.13/30 |
|
| e0/2 trust |
10.10.255.17/30 |
|
| e0/3 untrust |
200.200.200.2/30 |
|
| FW2 |
loopback1 ospfv2 ospfv3 trust |
10.10.7.1/32 2001:10:10:7::1/128 |
| e0/1 trust |
10.10.255.45/30 |
|
| e0/2 dmz |
10.10.255.26/30 |
|
| tunnel9 l2tpvpn VPNHUB |
10.19.0.1/24 |
|
| AC1 |
loopback1 ospfv2 ospfv3 |
10.10.8.1/32 2001:10:10:8::1/128 |
| loopback2 rip ripng |
10.10.8.2/32 2001:10:10:8::2/128 |
|
| loopback3 |
10.10.8.3/32 2001:10:10:8::3/128 |
|
| vlan100 无线管理 |
10.17.100.1/24 2001:10:17:100::1/64 |
|
| 设备名称 |
设备接口 |
IP地址 |
| vlan110 无线2.4G 产品 |
10.17.110.1/24 2001:10:17:110::1/64 |
|
| vlan120 无线5G 营销 |
10.17.120.1/24 2001:10:17:120::1/64 |
|
| vlan1001 |
10.10.255.42/30 |
- 职业素养
1.整理赛位,工具、设备归位,保持赛后整洁有序。
2.无因选手原因导致设备损坏。
3.恢复调试现场,保证网络和系统安全运行。
- 网络连接
左侧布线面板立面示意图 右侧布线面板立面示意图
1.机柜左侧布线面板编号101;机柜右侧布线面板编号102。
2.面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照
568B标准端接。
3.主配线区配线点与工作区配线点连线对应关系如下:
| 序号 |
信息点编号 |
配线架编号 |
底盒编号 |
信息点编号 |
配线架端口编号 |
| 1 |
W1-02-101-1 |
W1 |
101 |
1 |
02 |
| 2 |
W1-06-102-2 |
W1 |
102 |
2 |
06 |
4.铺设线缆并端接。截取2根适当长度的双绞线,两端制作标签,穿过PVC 线槽或线管。双绞线在机柜内部进行合理布线,并且通过扎带合理固定。将2根双绞线的一端,端接在配线架相应端口,另一端端接上RJ45模块,并且安装在信息点面板,并标注标签。
5.跳线制作与测试。截取2根当长度的双绞线,端接水晶头,所有网络跳线要求按568B标准制作,两端制作标签,连接网络信息点和相应计算机。根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,插入相应设备的相关端口上,实现PC、信息点面板、配线架、设备之间的连通。
三、交换配置
1.配置vlan,SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。
| 设备 |
vlan编号 |
端口 |
说明 |
| SW1 |
vlan10 |
E1/0/1 |
产品1段 |
| vlan20 |
E1/0/2 |
营销1段 |
|
| vlan30 |
E1/0/3 |
法务1段 |
|
| vlan40 |
E1/0/4 |
财务1段 |
|
| vlan50 |
E1/0/5 |
人力1段 |
|
| vlan60 |
E1/0/6 |
产品管理 |
|
| vlan70 |
E1/0/7 |
产品研发 |
|
| vlan80 |
E1/0/8 |
产品生产 |
|
| vlan90 |
E1/0/9 |
产品支持 |
|
| SW2 |
vlan10 |
E1/0/1 |
产品2段 |
| vlan20 |
E1/0/2 |
营销2段 |
|
| vlan30 |
E1/0/3 |
法务2段 |
|
| vlan40 |
E1/0/4 |
财务2段 |
|
| vlan50 |
E1/0/5 |
人力2段 |
|
| vlan60 |
E1/0/6 |
产品管理 |
|
| vlan70 |
E1/0/7 |
产品研发 |
|
| vlan80 |
E1/0/8 |
产品生产 |
|
| vlan90 |
E1/0/9 |
产品支持 |
|
| SW3 |
vlan10 |
E1/0/1 |
产品3段 |
| vlan20 |
E1/0/2 |
营销3段 |
|
| vlan30 |
E1/0/3 |
法务3段 |
|
| vlan50 |
E1/0/5 |
人力3段 |
|
| vlan60 |
E1/0/6 |
产品管理 |
|
| vlan70 |
E1/0/7 |
产品研发 |
|
| vlan80 |
E1/0/8 |
产品生产 |
|
| vlan90 |
E1/0/9 |
产品支持 |
配置二层接口只允许以上vlan通过
下面只帖出互连vlan的划分
SW1、SW2:
Vlan 1021
Switchport interface ethernet 1/0/21
Vlan 1022
Switchport interface ethernet 1/0/22
Vlan 1026
Switchport interface ethernet 1/0/26
Vlan 1027
Switchport interface ethernet 1/0/27
SW3:
Vlan 1021
Switchport interface ethernet 1/0/21
Vlan 1022
Switchport interface ethernet 1/0/22
Vlan 1015
Switchport interface ethernet 1/0/15
Vlan 1017
Switchport interface ethernet 1/0/17
Vlan 1018
Switchport interface ethernet 1/0/18
2.SW1、SW2、SW3启用MSTP,实现网络二层负载均衡和冗余备份,创建实例 Instance10和Instance20,名称为SKILLS,修订版本为1,其中Instance10关联vlan60和vlan70,Instance20关联vlan80和vlan90。SW1为Instance0和 Instance10的根交换机,为Instance20备份根交换机;SW2为Instance20根交换机,为Instance0和Instance10的备份根交换机;根交换机STP优先级为0,备份根交换机STP优先级为4096。关闭交换机之间三层互联接口的STP。
SW-1:
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
!
spanning-tree
spanning-tree mst 0 priority 0
spanning-tree mst 10 priority 0
spanning-tree mst 20 priority 4096
!
Interface ethernet1/0/21-22;24
No spanning-tree
SW-2:
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
!
spanning-tree
spanning-tree mst 0 priority 4096
spanning-tree mst 10 priority 4096
spanning-tree mst 20 priority 0
!
Interface ethernet1/0/21-22;24
No spanning-tree
SW-3:
spanning-tree mst configuration
name SKILLS
revision-level 1
instance 10 vlan 60;70
instance 20 vlan 80;90
!
spanning-tree
!
Interface ethernet1/0/21-22
No spanning-tree
这一题一定要注意三层接口关闭stp,一定注意
3.SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP 业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为active;采用源、目的IP进行实现流量负载分担。
SW-1:
ip vrf CW
!
interface vlan 40
ip vrf forwarding CW
ipv6 address 2001:10:10:14::1/64
ip address 10.10.14.1 255.255.255.0 //创建vrf将CW业务隔离
!
port-group 1
interface ethernet1/0/28
port-group 1 mode active //配置链路聚合SW1为active
!
load-balance dst-src-ip //负载分担方式
SW-2:
ip vrf CW
!
interface vlan 40
ip vrf forwarding CW
ipv6 address 2001:10:10:24::1/64
ip address 10.10.24.1 255.255.255.0
!
port-group 1
interface ethernet1/0/28
port-group 1 mode active
!
load-balance dst-src-ip
4.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,
Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表VPN实例名称为Guangdong。
SW-3:
Ip vrf Internet
Rd 3:1
!
Ip vrf Guangdong
Rd 3:2
!
随后将需要隔离到vrf中的vlan加入vrf
interface Vlan110
ip vrf forwarding Guangdong
ip address 10.16.110.1 255.255.255.0
!
interface Vlan120
ip vrf forwarding Guangdong
ip address 10.16.120.1 255.255.255.0
!
interface Vlan1015
ip vrf forwarding Guangdong
ip address 10.10.255.46 255.255.255.252
!
interface Loopback2
ip vrf forwarding Guangdong
ip address 10.10.3.2 255.255.255.255
!
interface Vlan1017
ip vrf forwarding Internet
ip address 200.200.200.1 255.255.255.252
!
interface Vlan1018
ip vrf forwarding Internet
ip address 200.200.200.5 255.255.255.252
!
interface Loopback3
ip vrf forwarding Internet
ip address 200.200.3.3 255.255.255.255
!
5.SW1法务物理接口限制收发数据占用的带宽均为1000Mbps,限制所有报文最大收包速率为1000packets/s,如果超过了配置交换机端口的报文最大收包速率则关闭此端口,1分钟后恢复此端口;启用端口安全功能,最大安全MAC地址数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。
SW-1:
interface ethernet1/0/3
bandwidth control 1000000 both
rate-violation all 1000
rate-violation control shutdown recovery 60
!
mac-address-learning cpu-control //开启cpu控制学习mac,这样才能开启接口的端口安全功能
!
interface ethernet1/0/3
swtichport port-security
switchport port-security maximum 20
switchport port-security violation restrict recovery 600 //restrict违背模式
switchport port-security aging type inactivity //老化不活跃的
switchport port-securtiy aging time 10 //恢复时间间隔10min
!
am enable
!
interface ethernet1/0/3
am port
am ip-pool 10.10.13.20 30 //20后延续30个ip地址
!
isolate-port apply l2
isolate-port group FW switchport interface Ethernet1/0/3
6.开启 SW1日志记录功能和保护功能,采样周期5s一次,恢复周期为100s,从而保障CPU稳定运行。
SW-1:
cpu-protect enable
cpu-protect log enable
cpu-protect interval 5
cpu-protect recovery-time 100
7.SW1 配置 SNMP,引擎 id 分别为 1;创建组 GROUP2022,采用最高安全级别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为USER2022,采用aes算法进行加密,密钥为Pass-1234,哈希算法为sha,密钥为Pass-1234;当设备有异常时,需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对应的用户接口发生UP DOWN事件时,禁止发送trap消息至上述集团网管服务器。
SW-1:
snmp-server enable
snmp-server engineid 1
snmp-server group GROUP2022 authpriv read SKILLS-R write SKILLS-W
snmp-server user USER2022 GROUP2022 authpriv aes Pass-1234 auth sha Pass-1234
snmp-server trap-source 10.10.1.1
snmp-server trap-source 2001:10:10:1::1
snmp-server host 2001:10:10:11::99 v3 authpriv USER2022
snmp-server host 10.10.11.99 v3 authpriv USER2022
snmp-server securityip 10.10.11.99
snmp-server securityip 2001:10:10:11::99 \因为是最高安全级别,所以也需要设置一下安全ip,这个功能默认打开,只需要设置一下安全ip就行了(其实snmpv3设置这个没有意义,但是多做也不扣分)
snmp-server enable traps \这条命令一定记得要打,经常不记得打
!
internet ethernet 1/0/3
no switchport updown notification enable
8.将W1与FW1互连流量镜像到SW1 E1/0/1,会话列表为1。
SW-1:
Monitor session 1 source interface Ethernet1/0/21 both
Monitor session 1 destination interface Ethernet1/0/1
9.SW1和SW2 E1/0/21-28启用单向链路故障检测,当发生该故障时,端口标记为errdisable状态,自动关闭端口,经过1分钟后,端口自动重启;发送
Hello报文时间间隔为15s;
SW-1、SW-2:
uldp enable //全局开启uldp后,所有光口自动也开启uldp
uldp recovery-time 60
uldp hello-interval 15
uldp aggressive-mode //积极模式自动关闭端口
10.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,老化时间乘法器值为 5,Trap 报文发送间隔为 10s,配置三条裸光缆端口使能
Trap功能。
SW-1、SW-2:
lldp enable
lldp msgTxHold 5
lldp tx-interval 20 //更新报文发送间隔
lldp notification interval 10 //trap报文发送时间间隔
interface ethernet1/0/26-28
lldp trap enable
四、路由配置
1.启用所有设备的ssh服务,防火墙用户名admin,明文密码Pass-1234,其余设备用户名和明文密码均为admin。
RT1、RT2:
Ip sshd enable //开启ssh服务,将生产rsa密钥,需要1到2分钟时间
aaa authentication login default local //缺省使用本地用户认证
username admin password admin
SW-1、SW-2、SW-3、AC1:
ssh-server enable
authentication line vty login local //登录使用本地用户认证
FW-1、FW-2:
默认1800pro防火墙第一次登陆就会需要改密码
Admin user admin
Access ssh //允许使用ssh登录设备
Password Pass-1234 //更改admin的密码为Pass-1234
交换机路由器这一题总结就是开启ssh登录,然后再设置登录使用本地用户认证
防火墙就是先进入到用户改个密码,然后再允许使用ssh接入
2.配置所有设备的时区为GMT+08:00,调整SW1时间为实际时间,SW1配置为ntp server,其他设备用SW1 loopback1 ipv4地址作为ntp server地址, ntp client 请求报文时间间隔1分钟
最好做完路由部分再来做这个,才有效果
SW-1、SW-2、SW-3、AC1:
Clock timezone GMT add 8
SW-1:
ntp enable
ntp-service refclock-master 1
AC1:
ntp enable
ntp syn-interval 00:01:00
ntp server 10.10.1.1
SW-2、SW-3:
ntp enable
ntp syn-interval 60
ntp server 10.10.1.1
FW-1、FW-2:
clock zone GMT 8 0
ntp enable
ntp query-interval 1
ntp server "10.10.1.1"
RT1、RT2:
time-zone GMT 8 0
ntp query-interval 60
ntp server 10.10.1.1
路由器不用开启ntp默认开启,只需要设置一下ntp服务器的地址
这里只要sw1的loobpack1的ipv4地址别把ipv6地址也打上了
3.配置所有设备接口ipv4地址和ipv6地址,互联接口ipv6地址用本地链路地址。
配置接口IPv4、v6地址,本地链路地址把接口ipv6功能打开就会自动生成一个地址ipv6本地链路地址
互连接口下
Ipv6 enable
4.利用vrrpv2和vrrpv3技术实现vlan60、vlan70、vlan80、vlan90网关冗余备份,vrrp id与vlan id相同。vrrpv2 vip为10.10.vlanid.9(如vlan60 的vrrpv2 vip为10.10.60.9),vrrpv3 vip为FE80:vlanid::9(如vlan60的 vrrpv3 vip 为 FE80:60::9)。配置 SW1 为 vlan60、vlan70 的 1Master,SW2 为 vlan80、vlan90的Master。要求vrrp组中高优先级为120,低优先级为默认值,抢占模式为默认值,vrrpv2和vrrpv3发送通告报文时间间隔为默认值。当SW1 或SW2上联链路发生故障,Master优先级降低50。
SW-1:
router vrrp 60
virtual-ip 10.10.60.9 //设置虚拟ip
interface Vlan60 //绑定vlan
circuit-failover Vlan1021 50 //当上行链路vlan发生故障优先级降低
priority 120 //设置优先级120,默认100,越大越优
enable
!
router vrrp 70
virtual-ip 10.10.70.9
interface Vlan70
circuit-failover Vlan1021 50
priority 120
enable
!
router vrrp 80
virtual-ip 10.10.80.9
interface Vlan80
enable
!
router vrrp 90
virtual-ip 10.10.90.9
interface Vlan90
enable
只有SW1作为master的vlan才监视上行链路
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
router ipv6 vrrp 60
virtual-ipv6 fe80:60::9 interface Vlan60 //配置虚拟ipv4地址+绑定到的vlan
circuit-failover Vlan1021 50
priority 120
enable
!
router ipv6 vrrp 70
virtual-ipv6 fe80:70::9 interface Vlan70
circuit-failover Vlan1021 50
priority 120
enable
!
router ipv6 vrrp 80
virtual-ipv6 fe80:80::9 interface Vlan80
enable
!
router ipv6 vrrp 90
virtual-ipv6 fe80:90::9 interface Vlan90
enable
!
SW-2:
router vrrp 60
virtual-ip 10.10.60.9
interface Vlan60
enable
!
router vrrp 70
virtual-ip 10.10.70.9
interface Vlan70
enable
!
router vrrp 80
virtual-ip 10.10.80.9
interface Vlan80
circuit-failover Vlan1021 50
priority 120
enable
!
router vrrp 90
virtual-ip 10.10.90.9
interface Vlan90
circuit-failover Vlan1021 50
priority 120
enable
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
router ipv6 vrrp 60
virtual-ipv6 fe80:60::9 interface Vlan60
enable
!
router ipv6 vrrp 70
virtual-ipv6 fe80:70::9 interface Vlan70
enable
!
router ipv6 vrrp 80
virtual-ipv6 fe80:80::9 interface Vlan80
circuit-failover Vlan1021 50
priority 120
enable
!
router ipv6 vrrp 90
virtual-ipv6 fe80:90::9 interface Vlan90
circuit-failover Vlan1021 50
priority 120
enable
!
5.AC1配置dhcpv4和dhcpv6,分别为SW1产品1段vlan10和分公司vlan100、 vlan110和vlan120分配地址;ipv4地址池名称分别为POOLv4-10、POOLv4-100、 POOLv4-110、POOLv4-120,ipv6 地址池名称分别为 POOLv6-10、POOLv6-100、
POOLv6-110、POOLv6-120;ipv6·前缀表示;排除网关;DNS分别为 114.114.114.114 和 2400:3200::1;为 PC1 保留地址 10.10.11.9 和 2001:10:10:11::9,为=AP1保留地址10.17.100.9和2001:10:17:100::9,为PC2 保留地址10.17.110.9和2001:10:17:110::9。SW1上中继地址为AC1 loopback1 地址。SW1启用dhcpv4和dhcpv6 snooping,如果E1/0/1连接dhcpv4服务器,则关闭该端口,恢复时间为1分钟。
这一题首先路由要通,要SW1要先能ping通AC1的loobpack1口地址,所以路有部分做的没问题这里才能看到效果
AC1:
service dhcp
!
ip dhcp pool POOLv4-10
network-address 10.10.11.0 255.255.255.0
default-router 10.10.11.1
dns-server 114.114.114.114
!
ip dhcp pool POOLv4-100
network-address 10.17.100.0 255.255.255.0
default-router 10.17.100.1
dns-server 114.114.114==.114
!
ip dhcp pool POOLv4-110
network-address 10.17.110.0 255.255.255.0
default-router 10.17.110.1
dns-server 114.114.114.114
!
ip dhcp pool POOLv4-120
network-address 10.17.120.0 255.255.255.0
default-router 10.17.120.1
dns-server 114.114.114.114
!
ip dhcp pool AP
host 10.17.100.9 255.255.255.0
hardware-address 00-03-0F-6A-A9-80
default-router 10.17.100.1
dns-server 114.114.114.114
!
ip dhcp pool PC1
host 10.10.11.9 255.255.255.0
hardware-address 6C-4B-90-D4-88-03
default-router 10.10.11.1
dns-server 114.114.114.114
!
ip dhcp pool PC2
host 10.10.110.9 255.255.255.0
hardware-address 6C-4B-90-D4-88-06
default-router 10.10.110.1
dns-server 114.114.114.114
!
ip dhcp excluded-address 10.10.11.1
ip dhcp excluded-address 10.17.100.1
ip dhcp excluded-address 10.17.110.1
ip dhcp excluded-address 10.17.120.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
service dhcpv6
!
ipv6 dhcp pool POOLv6-100
network-address 2001:10:17:100:: 64
static-binding 2001:10:17:100::9 00-03-0f-6a-a9-80
excluded-address 2001:10:17:100::1
dns-server 2400:3200::1
!
ipv6 dhcp pool POOLv6-120
network-address 2001:10:17:120:: 24
excluded-address 2001:10:17:120::1
dns-server 2400:3200::1
!
ipv6 dhcp pool POOLv6-110
network-address 2001:10:17:110:: 64
static-binding 2001:10:10:110::9 6c-4b-90-d4-88-06
excluded-address 2001:10:17:110::1
dns-server 2400:3200::1
!
ipv6 dhcp pool POOLv6-10
network-address 2001:10:10:11:: 64
static-binding 2001:10:10:11::9 6c-4b-90-d4-88-03
excluded-address 2001:10:10:11::1
dns-server 2400:3200::1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
interface Vlan100
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ipv6 dhcp server POOLv6-100
!
interface Vlan110
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ipv6 dhcp server POOLv6-110
!
interface Vlan120
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ipv6 dhcp server POOLv6-120
!
interface Loopback1
ipv6 dhcp server POOLv6-10
!
SW-1:
service dhcp
service dhcpv6
ip forward-protocol udp bootps //开启dhcp中继功能
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
interface Vlan10
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ip helper-address 10.10.8.1 //ipv4的dhcp中继地址
ipv6 dhcp relay destination 2001:10:10:8::1 //ipv6的dhcpv6中继地址
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ip dhcp snooping enable
savi enable
savi ipv6 dhcp-only enable
Interface Ethernet1/0/24
Ipv6 dhcp snooping trust
ip dhcp snooping trust
Interface Ethernet1/0/1
ip dhcp snooping action shutdown recovery 60
这里似乎不可以做dhcpv6 snooping,开启savi功能之后就PC就不能成功 从dhcpv6地址池中获取到ipv6地址,不开dhcpv6 snooping则可以获取到,如果做了dhcp中继获取不到地址,那应该就是路由的问题了。
这里路由部分的命令太多了,需要的私信
6.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行 OSPFv2和OSPFv3协议(路由模式发布网络用接口地址,BGP协议除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议,进程1,区域0,分别发布loopback1地址路由和产品路由,FW1通告type2默认路由。
(5)RT1、FW2之间OSPFv2和OSPFv3协议,进程2,区域2;RT1发布loopback4 路由,向该区域通告type1默认路由;FW2发布loopback1路由,FW2禁止学习到集团和分公司的所有路由。RT1用prefix-list匹配FW2 loopback1路由、SW3 模拟办事处loopback2和产品路由、RT1与FW2直连ipv4路由,将这些路由重发布到区域0。
(6)修改ospf cost为100,实现SW1分别与RT2、FW2之间ipv4和ipv6互访流量优先通过SW1_SW2_RT1链路转发,SW2访问Internet ipv4和ipv6流量优先通过SW2_SW1_FW1链路转发。
7.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议, FW1、RT1、RT2的RIP和RIPng发布loopback2地址路由,AC1 RIP发布loopback2 地址路由,AC1 RIPng采用route-map匹配prefix-list重发布loopback2地址路由。RT1配置offset值为3的路由策略,实现RT1-S1/0_RT2-S1/1为主链路, RT1-S1/1_RT2-S1/0为备份链路,ipv4的ACL名称为AclRIP,ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1之间采用chap双向认证,用户名为对端设备名称,密码为Pass-1234。
8.RT1 以太链路、RT2 以太链路之间运行 ISIS 协议,进程 1,分别实现 loopback3 之间 ipv4 互通和 ipv6 互通。RT1、RT2 的 NET 分别为10.0000.0000.0001.00、10.0000.0000.0002.00,路由器类型是Level-2,接口网络类型为点到点。配置域md5认证和接口md5认证,密码均为Pass-1234。
RT1:
Router isis 1
Is-type level-2
Domain-password Pass-1234
Net 10.0000.0000.0001.00
!
Interface G0/0
Ip router isis 1
Ipv6 router isis 1
Isis network point-to-point
Isis password Pass-1234
!
Interface loopback 3
Ip router isis 1
Ipv6 router isis 1
!
RT2:
Router isis 1
Is-type 2
Domain-password Pass-1234
Net 10.0000.0000.0002.00
!
Interface G0/0
Ip router isis 1
Ipv6 router isis 1
Isis network point-to-point
Isis password Pass-1234
!
Interface loopback 3
Ip router isis 1
Ipv6 router isis 1
!
Isis就按照普通的做法就行了
9.RT2配置ipv4 nat,实现AC1 ipv4产品部门用RT2外网接口ipv4地址访问Internet。RT2配置nat64,实现AC1 ipv6产品部门用RT2外网接口ipv4地址访问Internet,ipv4地址转ipv6地址前缀为64:ff9b::/96。
10.SW1、SW2、SW3、RT1、RT2之间运行BGP协议,SW1、SW2、RT1 AS号65001、 RT2 AS号65002、SW3 AS号65003。
BGP命令太多了就不贴上了,这里给点思路还有方法。
(1)SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6 BGP邻居。SW1 和 SW2 之间财务通过 loopback2 建立 ipv4 BGP 邻居,SW1 和 SW2 的 loopback2互通采用静态路由。
BGP的命令太多了,由于交换机和路由器的命令不太一样,所以先做交换机不太好修改txt,所以先做RT1,然后再做SW1、2,
最后做RT2、SW3
只有RT1最开始敲其余设备全部刷,这样速度快一些
这里一定要注意相同AS号的邻居要打next-hop-soft
(2)SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6 路由;RT1发布办事处营销ipv4和ipv6路由到BGP。
R1和R2直接network发布就行,R2只有产品和营销业务所以其他的业务
(3)SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转发;SW3 法务及人力分别与 SW1 和 SW2法务及人力 ipv4 和ipv6 互访优先在 SW3_SW2链路转发,主备链路相互备份;用prefix-list、route-map和BGP路径属性进行选路,新增AS 65000。
这一题直接全部在SW3上做,neighbor绑定route-map的时候in和out方向都打
11.利用BGP MPLS VPN技术,RT1与RT2以太链路间运行多协议标签交换、标签分发协议。RT1与RT2间创建财务VPN实例,名称为CW,RT1的RD值为1:1, export rt值为1:2,import rt值为2:1;RT2的RD值为2:2。通过两端loopback1 建立VPN邻居,分别实现两端loopback5 ipv4互通和ipv6互通。
总结起来这题就三步
- 全局mpls开开启,接口mpls开启,然后看看有没有mpls ldp neighbor有就成功了
- 创建ipv4和ipv6的CW的vrf,将loobapck5加入
- 到bgp中,因为之前已经建立了bgp邻居,所以现在只需要在vpnv4和vpnv6里activate一下 ,最后在ipv4 vrf和ipv6 vrf下宣告loopback5的地址
12.SW1、SW2、RT1、RT2、AC1运行PIM-SM,RT1 loopback1为c-bsr和crp,RT2运行IGMPv3;SW1产品部门(PC1测试)终端启用组播,用VLC工具串流播放视频文件“1.mp4”,模拟组播源,设置此视频循环播放,组地址232.1.1.1,端口1234,实现分公司产品部门(PC2测试)收看视频。
五、无线配置 (没有特别说明命令都是在wireless配置模式下配置)
1.AC1 loopback1 ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。AP二层自动注册,AP采用MAC地址认证。配置2个ssid,分别为SKILLS-
2.4G和SKILLS-5G。SKILLS-2.4G对应vlan110,用network 110和radio1(模式为 n-only-g),用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为Pass-1234。SKILLS-5G对应vlan120,用network 120和radio2(模式为n-only-a),不需要认证,隐藏ssid,SKILLS-5G用倒数第一个可用VAP发送 5G信号。
2.当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为 2小时。
Ap auto-upgrade
!
Agetime ap-failure 2
Agetime detected-clients 2
3.MAC认证模式为黑名单,MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证。
Mac-authentication-mode black-list
Known-client 80-45-DD-77-CC-48 action global-action
!
Network 110
Mac authentication local
Network 120
Mac authentication local
4.防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP 与AC 10分钟内建立连接5次就不再允许继续连接,2小时后恢复正常。
Wireless ap anti-flood interval 10
Wireless ap anti-flood max-conn-count 5
Wireless ap anti-flood agetime 120
5.配置vlan110无线接入用户上班时间(工作日09:00-17:00)访问Internet https上下行CIR为100Mbps,CBS为200Mbps,PBS为300Mbps,exceed-action 和violate-action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为SKILLS。
6.开启AP组播广播突发限制功能;AP收到错误帧时,将不再发送ACK帧; AP发送向无线终端表明AP存在的帧时间间隔为1秒。
ap profile 1
radio 1
rate-limit
incorrect-frame-no-ack
beacon-interval 10000
7.AP发射功率为80%。
Ap database 00-03-0f-6a-a9-80
Radio 1 power 80
Radio 2 power 80
六、安全配置
防火墙都是web点点,不好贴上去。
说明:ip 地址按照题目给定的顺序用“ip/mask”表示,ipv4 any 地址用
0.0.0.0/0,ipv6 any地址用::/0,禁止用地址条目,否则按零分处理。
1.FW1配置ipv4 nat,实现集团产品1段ipv4访问Internet ipv4,转换 ip/mask为200.200.200.160/28,保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址;当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.10.11.99的 UDP 514端口,记录主机名,用明文轮询方式分发日志;开启相关特性,实现扩展nat转换后的网络地址端口资源。
2.FW1配置nat64,实现集团产品1段ipv6访问Internet ipv4,转换为出接口IP,ipv4转ipv6地址前缀为64:ff9b::/96。
3.FW1和FW2策略默认动作为拒绝,FW1允许集团产品1段ipv4和ipv6访问Internet任意服务。
4.FW2允许办事处产品ipv4访问集团产品1段https服务,允许集团产品 1段和分公司产品访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处 loopback2 ipv4。
5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现 loopback4之间的加密访问。
6.FW1配置SSL VPN,名称为VPNSSL,ssl协议为1.2版本,Internet用户通过端口 8888 连接,本地认证账号 UserSSL,密码 Pass-1234,地址池名称为
POOLSSL,地址池范围为10.18.0.100/24-10.18.0.199/24。保持PC1位置不变,用PC1测试。
7.FW2配置L2TP Over IPSec VPN,名称为VPNL2TP,远程用户通过dmz区域接口拨入,本地认证账号UserL2TP,密码Pass-1234,地址池名称为POOLL2TP,地址池范围为10.19.0.100/24-10.19.0.199/24。保持PC2位置不变,用PC2测试。L2TPVPN连接成功后,本地私有地址为10.19.0.199。
这题需要注意,很多人都做不通,因为他的p1提议和p2提议都是固定的,windows对注册表也有要求
8.FW1配置邮件内容过滤,规则名称和类别名称均为“Denied”,过滤含有
“pornographic”字样的邮件。
9.FW1通过ping监控外网网关地址,监控对象名称为TRACK1,每隔5S发送探测报文,连续10次收不到监测报文,就认为线路故障,关闭外网接口。
10.FW1利用iQoS,实现集团产品1段访问Internet https服务时,上下行管道带宽为1000Mbps,限制每IP上下行最小带宽100Mbps、最大带宽200Mbps、优先级为5,管道名称为SKILLS,模式为管制。