2023年全国职业院校技能大赛
GZ073网络系统管理赛项
模块A:网络构建
卷II
1.赛题中涉及的登陆信息请查阅《比赛设备系统平台用户和密码说明》
2.竞赛成果物提交请查阅《竞赛成果提交确认单》并严格按要求提交相关文件(注意,为避免文件丢失,请不要直接在U盘上编辑文档)。
任务清单
(一)基础配置
1.根据附录1拓扑图、附录2地址规划表、附录3设备编号表,配置设备接口及主机名信息。
2.在网络设备上均开启SSH服务端功能。其中用户名和密码为admin、Test@123456。密码为明文类型。特权密码为Test@123456。
3.在网络设备上均部署SNMP功能,配置所有设备SNMP消息,向主机192.1.100.100发送Trap消息。版本采用V2C,读写的Community为“Test@123”。
(二)有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.在S3、S4开启边缘端口和BPDU防护功能;检测到环路后处理方式为关闭端口。如果端口检测进入禁用状态,设置200秒后会自动恢复。
3.DHCP服务器搭建于S3、S4、GW1、GW2设备上,为局域网终端动态分配IP地址。
4.S5的2条互联链路(G 0/1、G 0/2)启用链路聚合,采取LACP动态聚合模式。
5.北京综合服务中心R2、S1、S2间运行OSPF,归属区域0,进程号10;S1、S3间及S2、S4间分别运行OSPF,归属区域0,基于生产、办公、管理业务分别定义进程号为11、12、13。
6.上海管理中心R3、S5间运行OSPF,归属区域0,进程号20。AC1、AC2与S5间运行静态路由协议。
7.各中心出口设备至互联网使用静态路由协议。
8.R2、S1、S2间部署IBGP,AS号为100;定义R2为路由反射器RR,使用Loopback 0接口建立BGP邻居关系。
9.北京综合服务中心局域网间通过MPLS VPN技术实现各业务安全隔离。R2、S1、S2开启MPLS报文转发及LDP标签转发协议。
10.生产VRF名称为SC,RD值为100:1、RT值自定义;办公VRF名称为BG,RD值为100:2、RT值自定义;管理VRF名称为GL,RD值为100:3、RT值自定义。
11.通过MPLS VPN技术实现同VPN终端间互访,生产与办公不同VPN间禁止互访,管理VPN可与生产及办公VPN互通。北京综合服务中心办公VPN终端用户可访问互联网。
12.北京综合服务中心内网部署IPv6网络,内网启用OSPF V3路由协议,进程号14。R2、S1、S2间归属区域0,S1、S3间归属区域1,S2、S4间归属区域2。VLAN40业务终端可通过无状态自动从网关S3、S4处获取地址。
13.北京综合服务中心内网VLAN40 IPv6终端有访问广域网30.0.0.1地址需求,为此在R2路由器部署NAT-PT实现IPv6地址的动态转换,具体规划内网IPv6地址转换地址池为12.1.1.3-12.1.1.5,30.0.0.1转换为2001:21:1::2。
14.要求终端网段中不出现OSPF协议报文;减少非必须OSPF协商报文;所有路由协议都发布具体网段;需要发布Loopback地址;优化OSPF相关配置,加快OSPF收敛;外部路由引入采用第一类外部路由模式。
(三)无线网络配置
CII集团公司拟投入12万元(网络设备采购部分)用于租用楼宇的无线网络覆盖。该楼宇1楼设有产品展厅、会议室、接待处及办公室。展厅没有吊顶,原有强电通过PVC线槽铺设。项目要求实现1楼无线全覆盖(不要求覆盖洗手间),接待处(105~108)设有打印机及公共电脑,需要使用有线接入网络,信号强度大于65DB。公司的2.4GHz频段用于研发系统使用,本次新建无线网络要求全部使用5GHz频段,平面布局如图1所示。
 |
图1 平面布局图
1.绘制AP点位图(包括:AP型号、编号、信道等信息)。
2.使用无线地勘软件,输出AP点位仿真热图(仿真信号强度要求大于-65db)。
3.根据表1无线产品价格表,制定该无线网络工程项目设备的预算表。
表1无线产品价格表
| 产品型号 | 产品特征 | 传输速率 | 推荐/最大带点数 | 功率 | 价格(元) |
| AP1(放装型) | 双频双流 | 300M/1.167G | 32/256 | 100mw | 6000 |
| AP2(智分型) | 双频双流 | 300M/600M | 32/256 | 100mw | 11000 |
| AP3(墙面型) | 单频单流 | 150M | 12/32 | 60mw | 3500 |
| 线缆1 | 10米馈线 | N/A | N/A | N/A | 1600 |
| 线缆2 | 15米馈线 | N/A | N/A | N/A | 2400 |
| 天线 | 双频单流/单频单流 | N/A | N/A | N/A | 500 |
| Switch | 24口POE交换机 | N/A | N/A | 240w | 15000 |
| AC | 无线控制器 | 6*1000M | 32/200 | 40w | 50000 |
4.配置两台AC设备,使用虚拟化方案组合成1台虚拟AC。
5.AC1和AC2之间的G 0/3-4端口作为虚拟交换链路。配置AC1为主,AC2为备。主设备 description为AC1,备用设备description为AC2。
6.无线网络采用FIT AP+AC方案,所有AP都关联到上海管理中心AC进行管理。
7.北京综合服务中心使用S3交换机作为无线生产1用户(VLAN 10)、办公1用户(VLAN 20)和无线FIT AP1(VLAN 30)的DHCP服务器。使用S4交换机作为无线生产2用户(VLAN 10)、办公2用户(VLAN 20)和无线FIT AP2(VLAN 30)的DHCP服务器。
8.北京综合服务中心无线网络部署中,创建SSID为BJ_SC_DOT1X_XX;WLANID为1;AP-GROUP为Admin_BJ;无线用户(认证用户名user1、密码为YY)关联SSID后使用802.1X认证方式,可自动获取VLAN10地址(XX、YY现场提供)。
9.北京综合服务中心无线网络部署中,创建SSID为BJ_BG_WEB_XX;WLANID为2;AP-GROUP为Admin_BJ;无线用户(认证用户名user2、密码为YY)关联SSID后使用WEB认证方式,可自动获取VLAN20地址(XX、YY现场提供)。
10.广州生产中心使用GW1/GW2作为无线生产1用户(VLAN 10)、生产2用户(VLAN 11)和无线FIT AP3(VLAN 20)的DHCP服务器。
11.广州生产中心无线网络部署中,创建SSID为GZ_SC_DOT1X_XX;WLANID为3;AP-GROUP为Admin_GZ;无线用户(认证用户名user11、密码为YY)关联SSID后使用802.1X认证方式,可自动获取VLAN10地址(XX、YY现场提供)。
12.广州生产中心无线网络部署中,创建SSID为:GZ_SC_WEB_XX;WLANID为4;AP-GROUP为Admin_GZ;无线用户(认证用户名user12、密码为YY)关联SSID后使用WEB认证方式,可自动获取VLAN11地址(XX、YY现场提供)。
13.认证平台考试现场提供登陆用户名密码信息。
14.所有AP均通过VAC的loopback 0接口建立隧道。
15.无线用户的下行平均速率为1000KB/s,突发速率为1600KB/s。
16.每AP最大带点人数为25人。
(四)出口网络配置
1.北京综合服务中心办公终端可通过出口路由器R2 G 0/0.21子接口的NAPT方式访问互联网。
2.上海管理中心局域网管理终端可通过出口路由器R3 NAPT方式访问互联网。
3.广州生产中心局域网生产终端可通过出口网关GW1/GW2 NAPT方式访问互联网。
4.广州生产中心出口网关内网启用VRRP功能,其中GW1为生产1、AP管理、网络设备管理网段的主设备,优先级255;GW2为生产2的主设备,优先级255;两者互为备份,在其中一台宕机的情况下终端流量可以无缝切换到另一台设备,达到网关冗余备份的目的。
5.在R3与R2间启用GRE隧道,隧道内承载OSPF协议,使上海管理中心与北京综合服务中心内网连通(访问规则遵循MPLS VPN规划)。
6.GW1/GW2与R2间启用L2TP隧道,隧道内承载OSPF协议,使广州生产中心与北京综合服务中心内网连通(访问规则遵循MPLS VPN规划)。两者互为备份,在其中一台宕机的情况下业务流量可自动切换到另一条L2TP隧道进行转发。
7.L2TP隧道验证用户名及密码均为Test@123,L2TP隧道密码为Test@123。L2TP用户地址池为172.16.0.1—172.16.0.254,服务端L2TP隧道接口引用本地loopback 1接口地址。
8.IPsecVPN针对GRE及L2TP隧道内数据进行加密,其中isakmp策略定义加密算法采用3des。散列算法采用md5,预共享密码为Test@123。DH使用组2。此外,转换集myset定义加密验证方式为esp-des esp-md5-hmac。加密图定义为mymap。
9.出口网关GW1上,设置黑名单禁止局域网用户通过浏览器访问www.exam.com网址。
(五)网络运维配置
1.完成整网连通后,进入网络监控运维阶段,运维软件已安装在PC的虚拟机中,通过运维平台监控拓扑中所有网络设备(AP除外)。考试现场提供运维平台登陆的用户名密码信息。
2.通过运维平台将被监控设备纳入监控范围;通过拓扑配置功能,将网络拓扑配置到平台中。
3.联通运营商提供的三条互联网链路作为重点监测链路,三条链路名称分别为R1-R2、R1-R3、R1-S7,状态信息中能够监控到各项链路指标信息。
4.自定义监控大屏(名称:Chinaskills_network),将网络拓扑、CPU使用率、内存使用率、链路运行状态、采集器Server状态、最新告警信息、告警级别统计各项指标实时显示在大屏中。
(六)SDN网络配置
1.考试现场提供SDN控制器登陆的用户名密码信息。
2.S6完成基础IP、VLAN及端口配置确保传统网络连通的情况,使用openflow1.3版本对接至SDN控制器下发策略(基于传统表项转发)达到流量转发控制的目的。
3.SDN控制器下发流表至S6默认禁止所有流量通过。
4.SDN控制器下发流表至S6逐一放通DHCP、ARP流量。
5.SDN控制器下发流表至S6放通广州生产中心(10.4.0.0/16)到北京综合服务中心及上海管理中心的IP流量(10.0.0.0/8),其它流量根据业务访问需求自行分析添加。
6.下发流表需实现网络负载冗余性,确保在S6双上联线路中任意一条线路中断,流量均可以切换到另一条线路正常转发。
附录2:地址规划表
| 设备 | 接口/VLAN | 接口/VLAN描述 | 二层/三层规划 | 说明 |
| S1 | G 0/24 | Connect_To_R2 | 10.1.0.1/30 2001:10:1::1/64 | 级联R2 |
| VLAN11 | SC1-Connect | 10.1.1.1/30 | 生产1VPN互联 | |
| VLAN12 | BG1-Connect | 10.1.2.1/30 | 办公1VPN互联 | |
| VLAN13 | GL1-Connect | 10.1.3.1/30 | 管理1VPN互联 | |
| VLAN14 | IPv6-Connect | 2001:10:1:4::1/64 | IPv6互联 | |
| LoopBack 0 | \ | 10.0.0.1/32 | OSPF 10 | |
| LoopBack11 | \ | 10.1.4.1/32 | 生产1 OSPF 11 Router-id | |
| LoopBack12 | \ | 10.1.4.2/32 | 办公1 OSPF 12 Router-id | |
| LoopBack13 | \ | 10.1.4.3/32 | 管理1 OSPF 13 Router-id | |
| S3 | VLAN11 | SC1-Connect | 10.1.1.2/30 | 生产1VPN互联 |
| VLAN12 | BG1-Connect | 10.1.2.2/30 | 办公1VPN互联 | |
| VLAN13 | GL1-Connect | 10.1.3.2/30 | 管理1VPN互联 | |
| VLAN14 | IPv6-Connect | 2001:10:1:4::2/64 | IPv6互联 | |
| VLAN10 | SC1-Terminal | 10.1.10.254/24 | 生产终端 | |
| VLAN20 | BG1-Terminal | 10.1.20.254/24 | 办公终端 | |
| VLAN30 | GL1-Terminal | 10.1.30.254/24 | G 0/21(AP) | |
| VLAN40 | IPv6-Terminal | 2001:10:1:40::254/64 | IPv6终端 | |
| LoopBack11 | \ | 10.1.4.4/32 | 生产1 OSPF 11 Router-id | |
| LoopBack12 | \ | 10.1.4.5/32 | 办公1 OSPF 12 Router-id | |
| LoopBack13 | \ | 10.1.4.6/32 | 管理1 OSPF 13 Router-id | |
| LoopBack14 | \ | 10.1.4.7/32 | IPv6 OSPF 14 Router-id | |
| S2 | G 0/24 | Connect_To_R2 | 10.2.0.1/30 2001:10:2::1/64 | 级联R2 |
| VLAN11 | SC2-Connect | 10.2.1.1/30 | 生产2VPN互联 | |
| VLAN12 | BG2-Connect | 10.2.2.1/30 | 办公2VPN互联 | |
| VLAN13 | GL2-Connect | 10.2.3.1/30 | 管理2VPN互联 | |
| VLAN14 | IPv6-Connect | 2001:10:2:4::1/64 | IPv6互联 | |
| LoopBack 0 | \ | 10.0.0.2/32 | OSPF 10 | |
| S2 | LoopBack11 | \ | 10.2.4.1/32 | 生产2 OSPF 11 Router-id |
| LoopBack12 | \ | 10.2.4.2/32 | 办公2 OSPF 12 Router-id | |
| LoopBack13 | \ | 10.2.4.3/32 | 管理2 OSPF 13 Router-id | |
| S4 | VLAN11 | SC2-Connect | 10.2.1.2/30 | 生产2VPN互联 |
| VLAN12 | BG2-Connect | 10.2.2.2/30 | 办公2VPN互联 | |
| VLAN13 | GL2-Connect | 10.2.3.2/30 | 管理2VPN互联 | |
| VLAN14 | IPv6-Connect | 2001:10:2:4::2/64 | IPv6互联 | |
| VLAN10 | SC2-Terminal | 10.2.10.254/24 | 生产终端 | |
| VLAN20 | BG2-Terminal | 10.2.20.254/24 | 办公终端 | |
| VLAN30 | GL2-Terminal | 10.2.30.254/24 | G 0/21(AP) | |
| VLAN40 | IPv6-Terminal | 2001:10:2:40::254/64 | IPv6终端 | |
| LoopBack11 | \ | 10.2.4.4/32 | 生产2 OSPF 11 Router-id | |
| LoopBack12 | \ | 10.2.4.5/32 | 办公2 OSPF 12 Router-id | |
| LoopBack13 | \ | 10.2.4.6/32 | 管理2 OSPF 13 Router-id | |
| LoopBack14 | \ | 10.2.4.7/32 | IPv6 OSPF 14 Router-id | |
| R2 | G 0/1 | Connect_To_S1 | 10.1.0.2/30 2001:10:1::2/64 | |
| G 0/2 | Connect_To_S1 | 10.2.0.2/30 2001:10:2::2/64 | ||
| G 0/0 | Connect_To_R1 | 12.1.1.2/29 | 对接各业务中心 | |
| G 0/0.21 | Connect_To_R1 | 21.1.1.2/29 | 对接Internet | |
| LoopBack 0 | \ | 10.0.0.22/32 | ||
| LoopBack 1 | \ | 172.16.0.2/24 | L2TP隧道 | |
| Tunnel 0 | \ | 172.17.0.2/24 | GRE隧道 | |
| LoopBack13 | \ | 10.1.4.22/32 | 运维管理使用 | |
| R1 | G 0/1 | Connect_To_R2 | 12.1.1.1/29 | |
| G 0/1.21 | Connect_To_R2 | 21.1.1.1/29 | ||
| G 0/2 | Connect_To_R3 | 13.1.1.1/29 | ||
| G 0/0 | Connect_To_S7 | 17.1.1.1/29 | ||
| LoopBack 20 | \ | 20.0.0.1/32 | 模拟IPv4公网 资源 | |
| LoopBack 30 | \ | 30.0.0.1/32 | ||
| R3 | G 0/1 | Connect_To_R1 | 13.1.1.2/29 | |
| G 0/2 | Connect_To_S5 | 10.3.0.1/30 | ||
| LoopBack 0 | \ | 10.3.1.3/32 | OSPF 20 Router id | |
| Tunnel 0 | \ | 172.17.0.3/24 | GRE隧道 | |
| S5 | G 0/24 | Connect_To_R3 | 10.3.0.2/30 | |
| AG1 | Connect_To_VAC | 10.3.0.10/30 | G 0/1 G 0/2 | |
| LoopBack 0 | \ | 10.3.1.5/32 | OSPF 20 Router id | |
| G 0/21 | Connect_To_IOM | 192.1.100.254/24 | 运维系统 | |
| G 0/22 | Connect_To_AAA | 194.1.100.254/24 | 认证系统 | |
| VAC | AG1 | Connect_To_S5 | 10.3.0.9/30 | G 1/0/2 G 2/0/2 |
| LoopBack 0 | \ | 10.3.1.12/32 | OSPF 20 Router id | |
| GW1 | G 0/0 | Connect_To_R1 | 17.1.1.2/29 | |
| G 0/1.10 | SC1-Terminal | 10.4.10.254/24 | 生产1终端 | |
| G 0/1.11 | SC2-Terminal | 10.4.11.254/24 | 生产2终端 | |
| G 0/1.20 | AP-Manage | 10.4.20.254/24 | AP管理 | |
| G 0/1.30 | Net-Manage | 10.4.30.254/24 | 设备管理 | |
| LoopBack 0 | \ | 10.4.1.1/32 | ||
| Virtual-ppp | 172.16.0.3/24 | L2tp隧道 | ||
| GW2 | G 0/0 | Connect_To_R1 | 17.1.1.3/29 | |
| G 0/1.10 | SC1-Terminal | 10.4.10.253/24 | 生产1终端 | |
| G 0/1.11 | SC2-Terminal | 10.4.11.253/24 | 生产2终端 | |
| G 0/1.20 | AP-Manage | 10.4.20.253/24 | AP管理 | |
| G 0/1.30 | Net-Manage | 10.4.30.253/24 | 设备管理 | |
| LoopBack 0 | \ | 10.4.1.2/32 | ||
| Virtual-ppp | \ | 172.16.0.4/24 | L2tp隧道 | |
| S6 | G 0/21 | Connect_To_SDN | 192.168.1.6/24 | SDN控制器 |
| VLAN10 | SC1-Terminal | \ | ||
| VLAN11 | SC2-Terminal | \ | ||
| VLAN20 | AP-Manage | \ | G 0/11(AP) | |
| VLAN30 | Net-Manage | 10.4.30.1/24 | 设备管理 | |
| S7 | VLAN1 | HUB | 17.1.1.4/29 | 测试运维使用 |
注:交换设备、安全设备、无线设备的接口编号G 0/x与G1/0/x一致。
附录3:设备编号表
| 编号 | 锐捷硬件型号 | H3C硬件型号 |
| S1 | RG-S5760C-48GT4XS-X | H3C S5560X |
| S2 | RG-S5760C-48GT4XS-X | H3C S5560X |
| S3 | RG-S5310-24GT4XS-E | H3C S5560X |
| S4 | RG-S5310-24GT4XS-E | H3C S5560X |
| S5 | RG-S5310-24GT4XS | H3C S5560X |
| S6 | RG-S5300-24GT4XS-E | H3C S5130S |
| S7 | RG-S2910-24GT4XS-E | H3C S5130S |
| GW1 | RG-EG3210 | H3C SecPath F1010 |
| GW2 | RG-EG3210 | H3C SecPath F1010 |
| R1 | RSR20-X-28 | H3C MSR3600 |
| R2 | RSR20-X-28 | H3C MSR3600 |
| R3 | RSR20-X-28 | H3C MSR3600 |
| AC1 | RG-WS6008 | H3C WX3510 |
| AC2 | RG-WS6008 | H3C WX3510 |
| AP1 | RG-AP520 | H3C WA6320 |
| AP2 | RG-AP520 | H3C WA6320 |
| AP3 | RG-AP850 | H3C WA6320 |
