2022 年全国职业院校技能大赛
网络系统管理赛项 模块 A:网络构建
目录
考试说明 … 3
任务描述 … 3
任务清单 … 3
(一)基础配置 … 3
(二)有线网络配置 … 4
(三)无线网络配置 … 5
(四)出口安全配置 … 7
附录 1:拓扑图 … 8
附录 2:地址规划表 … 9
附录 3:设备清单表 … 10
考试说明
1. 安全操作:竞赛过程安全操作,注意赛位电源线位置,操作时不要碰到,及时进行设备配置保存,以防误碰电缆导致设备断电配置丢失情况。
2. 竞赛成果物提交确认:评分将以各参赛队提交的竞赛提交物为主要评分依据。
请按照 U 盘中答题卡要求创建和编辑竞赛成果物,确保答题卡截图信息清晰完整,并在竞赛结束时提交,所有提交的内容必须按照“竞赛成果物提交要求”进行命名并签署《竞赛成果提交确认单》。
3. 离场要求:竞赛结束时,所有设备保持运行状态,不要拆掉网络连接。禁止将竞赛用的所有物品(包括试卷和草纸)带离赛场。
4. 竞赛成果提交物:请在 U 盘根目录建立“竞赛成果物”文件夹,文件夹中包含
以下内容:
网络构建答题卡.pdf
“设备配置”文件夹:文件夹内包含 4 个文本文档,按网络设备类型分别
存放交换、路由、无线、出口网关设备配置记录集,文件命名为:Switch.txt、Router.txt、Wireless.txt、EG.txt。
任务描述
集团公司业务不断发展壮大,满足公司业务发展需要,集团公司决定建设北京总部与各地分部的信息化网络。你做为网络工程师前往火星集团完成网络规划与建设任务,最终目标为:
1. 北京总部局域网内互联互通;
2. 各地分部局域网内互联互通;
3. 北京总部通过运营商专线业务与各分部间互联互通;
4. 各地分部通过运营商专线业务实现分部间互联互通;
5. 各地分部统一通过总部运营商宽带业务访问互联网资源;
6. 总部与分部间互访数据安全加密;
7. 分部与分部间互访数据安全加密。
任务清单
(一)基础配置
1.根据附录 1 拓扑图、附录 2 地址规划表及附录 3 设备清单表,完成设备连线及设备接口信息配置;
2.所有设备采用 SSH 认证,设定用户名:admin,密码:987321Aa,特权密码:Admin123!,密码呈现需加密;
3.S5 设备启用 SNMPv3 功能;用户名 Admin!@#(隶属组 test),认证方式为 sha2-256,认证密码为 Test!@#,加密算法为 aes128,加密密码为 Test$#@!;安全级别为认证加密模式 priv;用户 admin 对 MIB 具有读写权限;交换机能够主动向 SNMP 服务器172.16.0.254 发送验证加密的消息。
(二)有线网络配置
1.局域网二层网络部署 RSTP 防环协议;
2.局域网接入设备启用环路功能优化,规避不同设备间、同一设备不同端口、同一设备单一端口下的多种环路现象;检测到环路后处理方式 Shutdown-Port;
3.局域网接入设备启用安全优化功能,控制局域网二层广播传播范围;限制接入层终端设备间广播交互;
4.北京总部启用 VRRP 功能实现网关冗余备份的目的,其中 S1 为主设备,优先级255;S2 为备设备,优先级为 100;5.S1、S2 的 2 条互联链路(Gi0/7、Gi0/8),启用二层链路聚合,采取 LACP 动态聚合模式;
6.总部 R1 与分部 R2、R3 上启用 DHCP,为局域网 VLAN10、VLAN20 终端自动分配地址;
7.总部局域网内启用 DHCP 安全防护机制,通过硬件 IP/MAC 表项过滤匹配,保证动态环境下网关及终端主机安全;
8.分部局域网内启用 DHCP 安全防护机制,规避动态环境下用户私设 IP 地址;
9.联通运营商 S5/S6/S7 骨干网设备间启用 OSPF 路由协议,进程号 10,区域号 0;
10.联通运营商只维护宽带业务与专线业务网段,对于客户私有网段不做转发;
11.总部R1与分部R2、R3 上启用点到多点GRE隧道,隧道IP 地址段为10.5.1.0/24;
12.GRE 隧道内运行 OSPF 协议,实现总部与分部,分部与分部间局域网互联互通。其中总部 S1/S2/EG1/EG2/R1 局域网内启用 OSPF 路由协议,进程号 11,区域号 0;广州分部 R2 局域网内启用 OSPF 路由协议,进程号 12,区域号 0;上海分部 R3 局域网内启用 OSPF 路由协议,进程号 13,区域号 0;
13.Tunnel 0 隧道口调整 OSPF 网络类型使其可以完成分支机构间路由交互的同时自动优化下一跳的目的;
14.启用 IPSEC VPN 加密 GRE 隧道流量,对总部与分部,分部与分部间业务数据进行保护;规避报文分片导致的设备性能消耗,调整 IPSEC 隧道封装模式减小报文长度;
15.联通运营商、公司总部、各分支机构以 OSPF LSA5 OE1 的方式引入路由,并基于业务网段各自汇总发布 C 类路由(包含 VLAN10、VLAN20、宽带业务网段、专线业务网段);
16.路由策略部署中如若过滤非必须路由,策略名称定义为 filter;
17.禁止物理接口、SVI 接口及重发布中修改 OSPF cost 值;
18.网络正常时业务连通路径要求:总部访问互联网的主路径为:S1-EG1-S5-S6;总部访问分部的主路径为:S1-R1-(R2/R3);分部访问互联网的主路径为:(R2/R3)-R1-S1-EG1-S5-S6;要求来回数据一致;
19.网络异常时业务连通路径要求:EG1 宕机情况,总部访问互联网的路径切换为:S1-S2-EG2-S6-S5;S1/R1 间线路故障情况,总部访问分部的路径切换为:S1-S2-R1-(R2/R3)。
20.IPV6 网络建设要求:总部与各分部通过隧道口 Tunnel 1 口建立 IPV6 点到多点隧道,实现总部与分部间 VLAN20 IPV6 网段互联互通;总分部 VLAN20 IPV6 地址自行规划计算。隧道内启动静态路由协议;北京总部局域网S1/S2/R1间启用OSPFV3协议;总部 VLAN20 网段以 O 类路由引入,通过 cost 值修改(取值 5 或 10)实现S1 主转发 IPV6 终端业务数据;重发布路由采用 OE1 方式;总分部 VLAN20 终端使用无状态地址获取自动从网关获取 IPV6 前缀地址。
(三)无线网络配置
集团公司下光明医院门诊区近期拟升级院区无线网络,预算为 11.5 万元(网络设备采购部分)。医院网络和环境情况:楼层配线间位于卫生间外部走廊;所有科室均已部署了有线网络,有线网络部署在办工桌下方,其它区域没有有线网络;门诊区没有吊顶,原有监控网络和有线网络均通过 PVC 线槽铺设;门诊部的
平面布局如图 1 所示。
本次无线升级要求:实现医院办公场所及大厅走廊无线全覆盖(备注:不要求覆盖洗手间);医院采用了大量的医用设备,这些设备均通过 2.4G 频段接入(信道 1,6,11),要求信号强度大于 65db;就医群众采用 5G(信道 149,153,157,161)频段接入;无线网络施工可以利旧。
图 1 平面布局图
1.绘制 AP 点位图(包括:AP 型号、编号、信道等信息,卫生间、楼梯和电梯区域无须覆盖);
2.使用无线地勘软件,输出 AP 点位图的 2.4G 频道的信号仿真热图(仿真信号强度要求大于-65db);
3.输出该无线网络工程项目设备的预算表,网络设备型号和价格依据表 3;
表 3 无线产品价格表
| 产品型号 | 产品特征 | 传输速率 (2.4G/最大) | 推荐/最大 带点数 | 功率 | 价格 (元) |
|---|---|---|---|---|---|
| AP330-I | 双频双流 | 300M/1.167G | 32/256 | 100mw | 6000 |
| AP220-E(M)-V3.0 | 双频双流 | 300M/600M | 32/256 | 100mw | 11000 |
| AP110-w | 单频单流 | 150M | 12/32 | 60mw | 2500 |
| RG-Cab-SMA-10m | 10 米馈线 | N/A | N/A | N/A | 1600 |
| RG-Cab-SMA-15m | 15 米馈线 | N/A | N/A | N/A | 2400 |
| RG-IOA-2505-S1 | 双频单流/单频单流 | N/A | N/A | N/A | 500 |
| S2928G-24P | 24 口 POE 交换机 | N/A | N/A | 240w | 15000 |
| WS6008 | 无线控制器 | 6*1000M | 32/200 | 40w | 50000 |
4.创建广州分部内网 SSID 为 Test-GZ_XX(XX 现场提供),WLAN ID 为 1,AP-Group为 GZ。创建上海分部内网 SSID 为 Test-SH_XX(XX 现场提供),WLAN ID 为 2,AP-Group 为 SH;创建北京总部内网 SSID 为 Test-BJ_XX(XX 现场提供),WLAN ID为 3,AP-Group 为 BJ;
5.AP 与 AC1、AC2 均建立隧道,当 AP 与主用 AC1 失去连接时能无缝切换至备用 AC2并提供服务。
6.要求无线网络均启用本地转发模式;
7.无线用户接入网络时需要采用 WPA2 加密方式,加密密码现场提供;
8.上海分部每个无线终端的下行平均速率为 800KB/s ,突发速率为 1600KB/s;
9.关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)应用接入。
(四)出口安全配置
1.出口网关上进行NAT 配置实现总部与分部的所有终端均可访问互联网,通过NAPT方式将内网用户 IP 地址转换到互联网接口上。
2.针对 WEB 流量限速每 IP 500Kbps,WEB 总流量不超过 50Mbps(通道名称为 web);
3.基于网站访问、邮件收发、IM 聊天、论坛发帖、搜索引擎多应用启用审计功能;
4.周一到周五工作时间 09:00-17:00(命名为 work)阻断并审计 P2P 应用软件使用;
5.禁止局域网用户通过浏览器访问 http://15.1.1.2。
附录 1:拓扑图
附录 2:地址规划表
| 设备 | 接口 | 地址 | 说明 |
|---|---|---|---|
| EG1 | Gi0/1 | 10.1.1.1/30 | 互联地址 |
| Gi0/2 | 15.1.1.2/30 | 互联地址 | |
| LoopBack 0 | 10.10.10.1/32 | Router ID | |
| EG2 | Gi0/1 | 10.2.1.1/30 | 互联地址 |
| Gi0/2 | 26.1.1.2/30 | 互联地址 | |
| LoopBack 0 | 10.10.10.2/32 | Router ID | |
| R1 | Gi0/0 | 10.3.1.1/30 2001:10:3:1::1/64 | IPV6 对端地址:2001:10:3:1::2 |
| Gi0/1 | 10.4.1.1/30 2001:10:4:1::1/64 | IPV6 对端地址:2001:10:4:1::2 | |
| Gi0/2 | 17.1.1.2/30 | 互联地址 | |
| LoopBack 0 | 10.10.10.10/32 | Router ID | |
| Tunnel 0 | 10.5.1.1/24 | 互联地址 | |
| R2 | VLAN10 | 172.16.2.1/25 | AP 管理 |
| VLAN20 | 172.16.2.254/25 X:Y:Z::254/64 | 无线用户 IPV6 地址 XYZ 自行计算补充 | |
| Gi0/2 | 25.1.1.2/30 | 互联地址 | |
| LoopBack 0 | 10.10.10.20/32 | Router ID | |
| Tunnel 0 | 10.5.1.2/24 | 互联地址 | |
| R3 | VLAN10 | 172.16.3.1/25 | AP 管理 |
| VLAN20 | 172.16.3.254/25 X:Y:Z::254/64 | 无线用户 IPV6 地址 XYZ 自行计算补充 | |
| Gi0/2 | 37.1.1.2/30 | 互联地址 | |
| LoopBack 0 | 10.10.10.30/32 | Router ID | |
| Tunnel 0 | 10.5.1.3/24 | 互联地址 | |
| S5 | Te0/27 | 56.1.1.1/30 | 互联地址 |
| LoopBack 0 | 10.10.10.5/32 | Router ID | |
| LoopBack 1 | 20.10.10.5/32 | 宽带业务网段 | |
| S6 | Te0/27 | 56.1.1.2/30 | 互联地址 |
| Te0/28 | 67.1.1.2/30 | 互联地址 | |
| LoopBack 0 | 10.10.10.6/32 | Router ID | |
| LoopBack 1 | 20.10.10.6/32 | 宽带业务网段 | |
| S7 | Te0/28 | 67.1.1.1/30 | 互联地址 |
| LoopBack 0 | 10.10.10.7/32 | Router ID | |
| S1 | VLAN10 | 172.16.1.1/25 | AP 管理 |
| VLAN20 | 172.16.1.254/25 X:Y:Z::254/64 | 无线用户 IPV6 地址 XYZ 自行计算补充 | |
| ------ | ------------- | --------------------------------- | --------------------------------------- |
| Vlan100 | 172.16.100.254/24 | 设备管理 | |
| LoopBack 0 | 10.10.10.100/32 | Router ID | |
| S2 | VLAN10 | 172.16.1.2/25 | AP 管理 |
| VLAN20 | 172.16.1.253/25 X:Y:Z::253/64 | 无线用户 IPV6 地址 XYZ 自行计算补充 | |
| Vlan100 | 172.16.100.253/24 | 设备管理 | |
| LoopBack 0 | 10.10.10.200/32 | Router ID | |
| AC1 | Vlan100 | 172.16.100.1/24 | 设备管理 |
| AC2 | Vlan100 | 172.16.100.2/24 | 设备管理 |
| S3 | Vlan100 | 172.16.100.3/24 | 设备管理 |
| S4 | Vlan100 | 172.16.100.4/24 | 设备管理 |
附录 3:设备清单表
| 拓扑编号 | 网络设备型号 |
|---|---|
| S1 | RG-S5760C-48GT4XS-X |
| S2 | RG-S6000C-48GT4XS-E |
| S3 | RG-S2910-24GT4XS-E |
| S4 | RG-S5300-24GT4XS-E |
| S5 | RG-S5310-24GT4XS-E |
| S6 | RG-S5310-24GT4XS-E |
| S7 | RG-S5310-24GT4XS |
| R1 | RSR20-X-28 |
| R2 | RSR20-X-28 |
| R3 | RSR20-X-28 |
| EG1 | RG-EG3210V2 |
| EG2 | RG-EG2000F |
| AC1 | RG-WS6008 |
| AC2 | RG-WS6008 |
| AP1 | RG-AP850 |
| AP2 | RG-AP520 |
| AP3 | RG-AP520 |
| EG1 | RG-EG3210V2 |
| EG2 | RG-EG2000F |
| AC1 | RG-WS6008 |
| AC2 | RG-WS6008 |
| AP1 | RG-AP850 |
| AP2 | RG-AP520 |
| AP3 | RG-AP520 |
极安云科专注职业教育技能竞赛培训4年,包含信息安全管理与评估、网络系统管理、网络搭建等多个赛项及各大CTF模块培训学习服务。本团队基于赛项知识点,提供完整全面的系统性理论教学与技能培训,成立至今持续优化教学资源与讲师结构,拥有丰富的职业教育经验,提供CTF赛事承办、理论讲解、技能教学等多种服务,通过校企合作、产教融合为院校与经济社会发展培养更多高素质应用型技能人才,推进学校高质量建设。
团队讲师由各赛项国赛选手、大厂在职专家等专业人才组成。
极安云科提供从0到1的竞赛知识点掌握方案,也可根据学生掌握情况定制专属学习计划。
截止2023年已帮助各大院校竞赛团队取得各省国家级奖项十余次,CTF赛事承办方案获采六次,
获各省市院校一致好评与认可。
