全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析

本文笔者根据赛场提供的表格信息,整理对应拓扑图及地址规划:

全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第1张图片

2019 年广西职业院校技能大赛 高职组《计算机网络应用》赛项 竞赛样题

赛题说明

一、竞赛内容分布

第一部分:网络规划与实施(95%)

  • 模块一:无线网络规划与实施(10%)

  • 模块二:设备基础信息配置(5%)

  • 模块三:网络搭建与网络冗余备份方案部署(20%)

  • 模块四:移动互联网搭建与网优(20%)

  • 模块五:出口安全防护与远程接入(20%)

  • 模块六:云计算服务搭建与企业应用(20%)

第二部分:赛场规范和文档规范(5%)

二、竞赛时间 竞赛时间为 4 个小时。

全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第2张图片
全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第3张图片
全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第4张图片
全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第5张图片
全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第6张图片
全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第7张图片
全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第8张图片

模块二:设备基础信息配置

1.设备命名规范和设备的基础信息

  • 根据总体规划内容,将所有的设备根据命名规则修订设备 名称ruijie(config)#hostname 目标设备名 (比赛时可直接从PDF表中复制)

  • 设备的总体规划物流连接表,配置设备的接口描述信 息。
    ruijie(config-if)#description 目标(比赛时可直接从PDF表中复制)

2.密码恢复和软件版本统一

  • 接入交换机S1和S2做密码恢复,新的密码设置为ruijie;
    拔插交换机电源按ctrl+c 进入菜单模式后,按ctrl+q 进入BootLoader模式 键入main_config_password_clear,重启后配置enable secret ruijie
  • 接入交换机 S1 和 S2 软件版本统一,更新版本至 RGOS 11.4(1)B1P3;
    建议使用Web端升级较快,也可使用tftp.配置管理地址后,电脑接入管理vlan接口,电脑与交换机管理口配置同一网段IP,用网页升级软件版本。如:(本文将假设抽到8号工位)
    s1(config)#ienable service web-server
    s1(config)#interface vlan 100
    s1(config)# ip address 192.8.100.4 24
    电脑段网卡地址设置为 192.8.100.1 255.255.255.0 即可打开浏览器访问192.8.100.4 默认密码是admin
  • 因为项目需求,为了满足一个新增的功能产商发布了无线 AP 的专属的软件版本,满足软件版本的一致性,请将总部 和分布的无线 AP 统一版本至 AP_RGOS 11.1(5)B9P11。
    `Ap的默认ip地址为192.168.110.1,设置pc机的ip地址与其在同一网段,确保能web登录至ap,登录后升级。

3.网络设备安全技术

  • 为路由器和无线控制器开启 SSH 服务端功能,用户名和密 码为 admin,密码为明文类型,特权密码为 admin。
    R1(config)#enable service ssh-server
    R1(config)#username admin password admin
    R1(config)#enable password admin
    R1(config)#no service password-encryption
    R1(config)#Line vty 0 4
    R1(config-line)#transport input ssh
    R1(config-line)# login local

  • 为交换机开启 Telnet 功能,对所有 Telnet 用户采用本地 认证的方式。创建本地用户,设定用户名和密码为 admin, 密码为明文类型,特权密码为 admin。
    S1(config)#username admin password admin
    S1(config)#enable password admin
    S1(config)#no service password-encryption
    S1(config)#Line vty 0 4
    S1(config-line)# login local

  • 配置所有设备 SNMP 消息,向主机 172.16.0.254 发送 Trap 消息版本采用 V2C,读写的 Community 为“ruijie”,只 读的 Community 为“public”,开启 Trap 消息
    R1(config)#snmp-server host 172.16.0.254 traps version 2c ruijie 建立共同体名字
    R1(config)#snmp-server host 172.16.0.254 traps version 2c public
    R1(config)#snmp-server community ruijie rw设置共同体权限
    R1(config)#snmp-server community public ro
    R1(config)#snmp-server enable traps 开启trap消息

模块三:网络搭建与网络冗余备份方案部署

1. 虚拟局域网及 IPv4 地址部署

为了减少广播,需要规划并配置 VLAN。具体要求如下:

  • 配置合理,Trunk 链路上不允许不必要 VLAN 的数据流通过;
    S1(config)#interface gig0/23
    S1(config-if)#switchport mode trunk
    S1(config-if)#switchport trunk allow vlan only 10,20,30,40,50,60,100
  • 为隔离网络中部分终端用户间的二层互访,在交换机 S1、S2 上 使用端口保护。
    S1(config)#int range gi0/1-16
    S1(config-if)#switchport protected
  • 根据上述信息及表 1-9、表 1-10,在各设备上完成 VLAN 配置和端 口分配以及 IPv4 地址。
  • 全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第9张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第10张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第11张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第12张图片
    本文笔者根据赛场提供的表格信息,整理的拓扑图如下:
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第13张图片

2. 局域网环路规避方案部署

为了规避网络末端接入设备上出现环路影响全网,要求在本部与 分校接入设备 S1,S2,S6,S7 进行防环处理。具体要求如下:

  • 接口开启 BPDU 防护不能接收 bpduguard 报文;
    S1(config)#int range gi0/1-16
    S1(config-if)#spanning-tree bpduguard enable
  • 接 口 下 开 启 rldp 防 止 环 路 , 检 测 到 环 路 后 处 理 方 式 为 shutdown-port;
    S1(config)#rldp enable
    S1(config)#int range gi0/1-16
    S1(config-if)#rldp port loop-detect shutdown-port
  • 连接终端的所有端口配置为边缘端口;
    S1(config)#int range gi0/1-16
    S1(config-if)#spannin-tree portfast
  • 如果端口被 BPDU Guard 检测进入 err-disabled 状态,再过 300 秒后会自动恢复,重新检测是否有环路。
    S1、S2、S6、S7接入层交换机上做防护
    S1(config)#int range gi0/1-16
    S1(config-if)# ip verify source port-security
    S1(config-if)#err-disabled recovery interval 300

汇总2:

S1(config)#rldp enable
S1(config)#int r gi0/1-16
S1(config-if-range)#spanning-tree bpduguard enable
S1(config-if-range)# ip verify source port-security
S1(config-if-range)# spanning-tree portfast 
S1(config-if-range)#rldp port loop-detect shutdown-port
S1(config-if-range)#errdisable recovery interval 300
S1(config-if-range)#exit

3. 接入安全部署

为了保证接入区 DHCP 服务安全及伪 IP 源地址攻击,具体要求如下:

  • DHCP 服务器搭建于 S3 上对 VLAN10 以内的用户进行地址分配;
    S3(config)# server dhcp
    S3(config)# ip dhcp pool vlan10
    S3(config-pool)# network 192.8.10.0 255.255.255.0
    S3(config)#default-router 192.8.10.254
  • 为了防御从非法 DHCP 服务器获得的地址及动态环境下防御 ARP 欺骗要求在 S1、S2 上部署 DHCP Snooping+DAI 解决方案;
    S1(config)# ip dhcp snooping
    S1(config)#ip arp inspection vlan 10
    S1(config)#ip arp inspection vlan 20
    S1(config)#int r gi0/23-24
    S1(config-if-range)#ip dhcp snooping trust
    S1(config-if-range)#ip arp inspection trust
  • 调整 CPU 保护机制中 ARP 阈值 500pps;
    S1(config)#cpu-protect type arp pps 500
  • 关闭 S1、S2 上联接口 NFPP 功能,全局设置 NFPP 日志缓存容量 为 1024,打印相同 log 的阈值为 300s。
    S1(config)#nfpp
    S1(config-nfpp)#log-buffer enable
    S1(config-nfpp)#log-buffer entries 1024
    S1(config-nfpp)#log-buffer logs 1 interval 300

4.MSTP及VRRP部署

全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第14张图片
全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第15张图片

MSTP:

S3:
S3(config)#spanning-tree
S3(config)#spanning-tree mst configuration
S3(config-mst)#revision 1
S3(config-mst)#name ruijie
S3(config-mst)#instance 1 vlan 10, 20,30
S3(config-mst)#instance 2 vlan 40, 50,100
S3(config)#spanning-tree mst 1 priority 4096
S3(config)#spanning-tree mst 2 priority 8192
S4:
S4(config)#spanning-tree
S4(config)#spanning-tree mst configuration
S4(config-mst)#revision 1
S4(config-mst)#name ruijie
S4(config-mst)#instance 1 vlan 10, 20,30
S4(config-mst)#instance 2 vlan 40, 50,100
S4(config)#spanning-tree mst 1 priority 8192
S4(config)#spanning-tree mst 2 priority 4096

VRRP

S3:
S3(config)#int vlan 10
S3(config-if-VLAN 10)# vrrp 10 ip 192.8.10.254
S3(config-if-VLAN 10)# vrrp 10 priority 150
S3(config-if-VLAN 10)#int vlan 20
S3(config-if-VLAN 20)# vrrp 20 ip 192.8.20.254
S3(config-if-VLAN 20)# vrrp 20 priority 150
S3(config-if-VLAN 20)#int vlan 30
S3(config-if-VLAN 30)# vrrp 30 ip 192.8.30.254
S3(config-if-VLAN 30)# vrrp 30 priority 150
S3(config-if-VLAN 30)#int vlan 40
S3(config-if-VLAN 40)# vrrp 40 ip 192.8.40.254
S3(config-if-VLAN 40)# vrrp 40 priority 120
S3(config-if-VLAN 40)#int vlan 50
S3(config-if-VLAN 50)# vrrp 50 ip 192.8.50.254
S3(config-if-VLAN 50)# vrrp 50 priority 120
S3(config-if-VLAN 50)#int vlan 100
S3(config-if-VLAN 100)# vrrp 100 ip 192.8.100.254
S3(config-if-VLAN 100)# vrrp 100 priority 120
S3(config-if-VLAN 100)#exi

S4:
S4(config)#int vlan 10
S4(config-if-VLAN 10)# vrrp 10 ip 192.8.10.254
S4(config-if-VLAN 10)# vrrp 10 priority 120
S4(config-if-VLAN 10)#int vlan 20
S4(config-if-VLAN 20)# vrrp 20 ip 192.8.20.254
S4(config-if-VLAN 20)# vrrp 20 priority 120
S4(config-if-VLAN 20)#int vlan 30
S4(config-if-VLAN 30)# vrrp 30 ip 192.8.30.254
S4(config-if-VLAN 30)# vrrp 30 priority 120
S4(config-if-VLAN 30)#int vlan 40
S4(config-if-VLAN 40)# vrrp 40 ip 192.8.40.254
S4(config-if-VLAN 40)# vrrp 40 priority 150
S4(config-if-VLAN 40)#int vlan 50
S4(config-if-VLAN 50)# vrrp 50 ip 192.8.50.254
S4(config-if-VLAN 50)# vrrp 50 priority 150
S4(config-if-VLAN 50)#int vlan 100
S4(config-if-VLAN 100)# vrrp 100 ip 192.8.100.254
S4(config-if-VLAN 100)# vrrp 100 priority 150
S4(config-if-VLAN 100)#exit

5. 路由协议部署

本部内网使用静态路由OSPF 多协议组网。其中 S3、S4、S5、EG1、 EG2 使用 OSPF 协议,本部其余三层设备间使用静态路由协议。本部与 分校广域网间使用静态路由协议(R1 除外),各分校局域网环境使用 RIP 路由协议和静态路由协议。要求网络具有安全性、稳定性。具体要 求如下:

  • 本部 OSPF 进程号为 10,规划多区域;
  • 区域 0(S3、S4),区域 1(S3,S4,S5),区域 2(S3,S4,EG1, EG2),区域 3(S4、R1);
  • 区域 1 为完全 NSSA 区域;
  • 各分校 RIP 版本为 RIP-2,取消自动聚合;
  • AP 使用静态路由协议;
  • 本部与分校通过重分发引入彼此路由;
  • 要求本部业务网段中不出现协议报文;
  • 不允许重发布直连路由,Network 方式发布本地明细路由;
  • 为了管理方便,需要发布 Loopback 地址;
  • 优化 OSPF 相关配置,以尽量加快 OSPF 收敛;
  • 重发布路由进 OSPF 中使用类型 1
  • 不允许在 R1 设备使用静态路由。
    注意:S5 需要重发布云平台(172.16.0.0/22)静态路由至本部内 网。
    S3:

S3(config)#route ospf 10
S3(config-router)#area 1 nssa
S3(config-router)#network 10.8.0.0 0.0.0.3 a 1
S3(config-router)#network 10.8.0.4 0.0.0.3 a 2
S3(config-router)#network 10.8.0.40 0.0.0.3 a 2
S3(config-router)#network 192.8.10.0 0.0.0.255 a 0
S3(config-router)#network 192.8.20.0 0.0.0.255 a 0
S3(config-router)#network 192.8.30.0 0.0.0.255 a 0
S3(config-router)#network 192.8.40.0 0.0.0.255 a 0
S3(config-router)#network 192.8.50.0 0.0.0.255 a 0
S3(config-router)#network 192.8.100.0 0.0.0.255 a 0
S3(config-router)#network 10.8.0.33 0.0.0.0 a 0
S3(config-router)#network 10.8.0.33 0.0.0.0 a 1
S3(config-router)#network 10.8.0.33 0.0.0.0 a 2
S3(config)#redistribute static metric-type 1 subnets

S4:
S4(config)#route ospf 10
S4(config-router)#area 1 nssa
S4(config-router)#network 10.8.0.32 0.0.0.3 a 1
S4(config-router)#network 10.8.0.36 0.0.0.3 a 2
S4(config-router)#network 10.8.0.8 0.0.0.3 a 2
S4(config-router)#network 10.8.0.12 0.0.0.3 a 3
S4(config-router)#network 192.8.10.0 0.0.0.255 a 0
S4(config-router)#network 192.8.20.0 0.0.0.255 a 0
S4(config-router)#network 192.8.30.0 0.0.0.255 a 0
S4(config-router)#network 192.8.40.0 0.0.0.255 a 0
S4(config-router)#network 192.8.50.0 0.0.0.255 a 0
S4(config-router)#network 192.8.100.0 0.0.0.255 a 0
S4(config-router)#network 10.8.0.34 0.0.0.0 a 0
S4(config-router)#network 10.8.0.34 0.0.0.0 a 1
S4(config-router)#network 10.8.0.34 0.0.0.0 a 2
S4(config-router)#network 10.8.0.34 0.0.0.0 a 3
S4(config)#redistribute static metric-type 1 subnets
S5:

S5(config)#route ospf 10
S5(config-router)#area 1 nssa
S5(config-router)#network 193.8.0.0 0.0.0.3 a 1
S5(config-router)#network 10.8.0.0 0.0.0.3 a 1
S5(config-router)#network 10.8.0.40 0.0.0.3 a 1
S5(config-router)#network 10.8.0.5 0.0.0.0 a 1
S5(config)#redistribute static metric-type 1 subnets
S5(config)#ip rou 172.16.0.0 255.255.252.0 193.8.0.2

EG1:
EG1(config)#route ospf 10
EG1(config-router)#network 10.8.0.4 0.0.0.3 a 2
EG1(config-router)#network 10.8.0.36 0.0.0.3 a 2
EG1(config-router)#network 196.8.0.0 0.0.0.255 a 2
EG1(config-router)#network 197.8.0.0 0.0.0.255 a 2
EG1(config-router)#network 11.8.0.11 0.0.0.0 a 2
EG1(config)#redistribute static metric-type 1 subnets

EG2:
EG2(config)#route ospf 10
EG2(config-router)#network 10.8.0.40 0.0.0.3 a 2
EG2(config-router)#network 10.8.0.8 0.0.0.3 a 2
EG2(config-router)#network 196.8.0.0 0.0.0.255 a 2
EG2(config-router)#network 197.8.0.0 0.0.0.255 a 2
EG2(config-router)#network 11.8.0.12 0.0.0.0 a 2
EG2(config)#redistribute static metric-type 1 subnets

R1:
R1(config)#router ospf 10
R1(config-router)#network 10.8.0.12 0.0.0.3 a 3
R1(config-router)#network 11.8.0.1 0.0.0.0 a 3
R1(config-router)#network 11.8.0.1 0.0.0.0 a 3
R1(config)#redistribute static metric-type 1 subnets
R2:
R2(config)#router rip
R2(config-route)#version 2
R2(config-route)#no auto-summary
R2(config-route)#network 10.8.0.24 0.0.0.3
R2(config-route)#network 11.8.0.2 0.0.0.0
R2(config)#ip route 0.0.0.0 0.0.0.0 10.8.0.18
R2(config)#ip route 10.8.0.44 255.255.255.252 10.8.0.26
R2(config)#ip route 194.8.10.0 255.255.255.0 10.8.0.26
R2(config)#ip route 194.8.20.0 255.255.255.0 10.8.0.26

R3:
R3(config)#router rip
R3(config-route)#version 2
R3(config-route)#no auto-summary
R3(config-route)#network 10.8.0.28 0.0.0.3
R3(config-route)#network 11.8.0.3 0.0.0.0
R3(config)#ip route 0.0.0.0 0.0.0.0 10.8.0.22
R3(config)#ip route 10.8.0.48 255.255.255.252 10.8.0.30
R3(config)#ip route 195.8.10.0 255.255.255.0 10.8.0.30
R3(config)#ip route 195.8.20.0 255.255.255.0 10.8.0.30

6. 广域网链路配置与安全部署

本部路由器 R1 与东校区路由器 R2、西校区路由器 R3 间属于广域 网链路,其中 R1-R2 间所租用一条带宽为 2M 的线路,R1-R3 间租用 2 条带宽均为 2M 的线路。 需要使用 PPP 进行安全保护,同时提高 R1 与 R3 的链路带宽与简化网络部署的目的,现要求如下:

  • 使用 CHAP 协议;
  • 单向认证,用户名+验证口令方式;
  • R1 为认证服务端,R2、R3 为认证客户端;
  • 用户名和密码均为 ruijie;
  • R1 与 R3 间使用 PPP 链路捆绑,捆绑组号为 1。

R1:

R1(config)# interface se2/0
R1(config-if)# encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#ppp chap hostname ruijie
R1(config-if)#ppp chap password ruijie
R1(config-if)#ip ad 10.8.0.18 255.255.255.252
R1(config-if)#clock rate 64000
R1(config-if)#int multilink 1
R1(config-if)#ip add 10.8.0.22 255.255.255.252
R1(config-if)#int se3/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap 
R1(config-if)#ppp chap hostname ruijie
R1(config-if)#ppp chap password ruijie
R1(config-if)#ppp multilink
R1(config-if)#ppp multilink group 1
R1(config-if)#clock rate 64000
R1(config-if)#int se4/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#ppp chap hostname ruijie
R1(config-if)#ppp chap password ruijie
R1(config-if)#ppp multilink
R1(config-if)#ppp multilink group 1
R1(config-if)#clock rate 64000

R2:

R2(config-if)#interface Serial 2/0
R2(config-if)#encapsulation PPP
R2(config-if)#ppp authentication chap
R2(config-if)#ppp chap hostname ruijie
R2(config-if)#ppp chap password ruijie
R2(config-if)#ip address 10.1.0.17 255.255.255.252

R3:

R3(config-if)#interface multilink 1
R3(config-if)#ip address 10.1.0.21 255.255.255.252
R3(config-if)#interface Serial 3/0
R3(config-if)#encapsulation PPP
R3(config-if)#ppp authentication chap
R3(config-if)#ppp chap hostname ruijie
R3(config-if)#ppp chap password ruijie
R3(config-if)#ppp multilink
R3(config-if)#ppp multilink group 1
R3(config-if)#description con_To_R1_S3/0
R3(config-if)#interface Serial 4/0
R3(config-if)#encapsulation PPP
R3(config-if)#ppp authentication chap
R3(config-if)#ppp chap hostname ruijie
R3(config-if)#ppp chap password ruijie
R3(config-if)#ppp multilink
R3(config-if)#ppp multilink group 1
R3(config-if)#description con_To_R1_S4/0
  • 考虑到广域网线路安全性较差,所以需要使用 IPSec 对本部到各 分校的数据流进行加密。
  • 要求使用动态隧道主模式,安全协议采用 ah-esp 协议,加密算法 采用 3des,认证算法采用 md5,以 IKE 方式建立 IPsec SA。
  • 在 R1 上所配置的参数要求如下:
    • ipsec 加密转换集名称为 myset;
    • 动态 ipsec 加密图名称为 dymymap;
    • 预共享密钥为明文 123456;
    • 静态的 ipsec 加密图 mymap。
  • 在 R2 和 R3 上所配置的参数要求如下:
    • ACL 编号为 101;
    • 静态的 ipsec 加密图 mymap;
    • 预共享密钥为明文 123456。
      R1:
R1(config)#ip access-list ex 101
R1(config-ext-nacl)#permit ip 10.8.0.18  0.0.0.0 10.8.0.17  0.0.0.0
R1(config-ext-nacl)#permit ip 10.8.0.22  0.0.0.0 10.8.0.21  0.0.0.0
R1(config)#crypto isakmp key 0 123456 address 10.8.0.21
R1(configl)#crypto isakmp key 0 123456 address 10.8.0.17
R1(config)#crypto isakmp policy 1
R1(config)#encryption 3des
R1(config)#authentication md5
R1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymymap
R1(config-crypto-map)#set transform-set myset
R1(config-crypto-map)#match address 103
R1(config-crypto-map)#set peer 10.8.0.17
R1(config)#inter s2/0
R1(config-if)#crypto map mymap

7. 路由选路部署

考虑到数据分流及负载均衡的目的,针对本部与各分校数据流走 向要求如下:

  • 通过修改 OSPF 接口 COST 达到分流的目的,且其值必须为 5 或 10;
  • OSPF 通过路由引入时改变引入路由的 COST 值,且其值必须为 5 或 10;
  • 本部 VLAN10,VLAN20,VLAN30 用户与互联网互通主路径规划为: S3-EG1;
  • 本部 VLAN40 用户与互联网互通主路径规划为:S4-EG2;
  • 各分校用户与互联网互通主路径规划为:S4-EG2;
  • 云平台服务器与互联网互通主路径规划为 S3-EG1;
  • 主链路故障可无缝切换到备用链路上;
  • 要求来回数据流路径一致。

S3:

S3(config)#int vlan 10
S3(config-if-VLAN 10)#ip ospf cost 5
S3(config-if-VLAN 10)#int vlan 20
S3(config-if-VLAN 20)#ip ospf cost 5
S3(config-if-VLAN 20)#int vlan 30   
S3(config-if-VLAN 30)#ip ospf cost 5
S3(config-if-VLAN 30)#int vlan 40   
S3(config-if-VLAN 40)#ip ospf cost 10
S3(config)#int gig0/6
S3(config-if)#ip ospf cost 5
S3(config)#int gig0/4
S3(config-if)#ip ospf cost 10
S3(config)#rou ospf 10
S3(config-router)#area 2 default-cost 5

S4:

S3(config)#int vlan 10
S3(config-if-VLAN 10)#ip ospf cost 10
S3(config-if-VLAN 10)#int vlan 20
S3(config-if-VLAN 20)#ip ospf cost 10
S3(config-if-VLAN 20)#int vlan 30   
S3(config-if-VLAN 30)#ip ospf cost 10
S3(config-if-VLAN 30)#int vlan 40   
S3(config-if-VLAN 40)#ip ospf cost 5
S3(config)#int gig0/6
S3(config-if)#ip ospf cost 5
S3(config)#int gig0/4
S3(config)#rou ospf 10
S3(config-router)#area 2 default-cost 10

8. QoS 部署

为了防止大量用户不断突发的数据导致网络拥挤,必须对接入的 用户流量加以限制。所配置的参数要求如下:

  • 本部设备 S1、S2 的 Gi0/1 至 Gi0/16 接口出入方向设置接口限 速,限速 10M/s;
    S1(config)#int r gi0/1-16
    S1(config-if-range)##rate-limit input 10000
  • 各分校设备 R2、R3 做流量整形,G0/0 接口对接收的报文进行流 量控制,上行报文流量不能超过 1Mbps,如果超过流量限制则 将违规报文丢弃。
    S1(config)#int rgi0/0
    R2(config-if)#rate-limit input 1000 conform-action continue exceed-action drop

全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第16张图片

S3(config)#int vlan 10
S3(config-if-VLAN 10)#ipv6 enable 
S3(config-if-VLAN 10)#ipv6 address 2001:192:10::252/64
S3(config-if-VLAN 10)#no ipv6 nd suppress-ra //缺省路由通告关闭
S3(config-if-VLAN 10)#vrrp 10 ipv6 2001:192:10::254   
S3(config-if-VLAN 10)#vrrp ipv6 10 priority 150
S3(config-if-VLAN 10)#vrrp ipv6 10 accept_mode 

S3(config-if-VLAN 10)#int vlan 20
S3(config-if-VLAN 20)# vrrp 20 ipv6 2001:192:20::254
S3(config-if-VLAN 20)# ipv6 address 2001:192:20::252/64
S3(config-if-VLAN 20)# ipv6 enable
S3(config-if-VLAN 20)# no ipv6 nd suppress-ra
S3(config-if-VLAN 20)# vrrp ipv6 20 priority 150
S3(config-if-VLAN 20)# vrrp ipv6 20 accept_mode

S3(config-if-VLAN 20)#int vlan 30
S3(config-if-VLAN 30)# vrrp 30 ipv6 2001:192:30::254
S3(config-if-VLAN 30)# ipv6 address 2001:192:30::252/64
S3(config-if-VLAN 30)# ipv6 enable
S3(config-if-VLAN 30)# no ipv6 nd suppress-ra
S3(config-if-VLAN 30)# vrrp ipv6 30 priority 150
S3(config-if-VLAN 30)# vrrp ipv6 30 accept_mode

S3(config-if-VLAN 30)#int vlan 40
S3(config-if-VLAN 40)# vrrp 40 ipv6 2001:192:40::254
S3(config-if-VLAN 40)# ipv6 address 2001:192:40::252/64
S3(config-if-VLAN 40)# ipv6 enable
S3(config-if-VLAN 40)# no ipv6 nd suppress-ra
S3(config-if-VLAN 40)# vrrp ipv6 40 priority 150
S3(config-if-VLAN 40)# vrrp ipv6 40 accept_mode

IPv6 Dhcp:

S3:
S3(config)#ipv6 unicast-routing
S3(config)#ipv6 dhcp pool vlan10
S3(config)#address prefix 2001:192:10::252/64
其他交换机配置类似。

模块四:

移动互联网搭建与网优 为满足互联网+时代下,移动教学的发展趋势,促进校园信息化建 设,本部校区与分校均需要规划和部署移动互联无线网络,同时,为 保证不同学生之间利用无线安全、可靠的访问互联网,我们需要进行 无线网络安全及性能优化配置,确保师生有良好的上网体验。

1. 无线网络基础部署

使用 AC 为本部无线用户 DHCP 服务器,使用 S3、S4 为本部 AP 的 DHCP 服务器,S3 分配 AP 地址范围为其网段的 1 至 100,S4 分 配 AP 地址范围为其网段的 101 至 200;
AC1:

AC1:(config)#ip dhcp pool yonghu
AC1:(dhcp-config)#network 192.8.60.0 255.255.255.0
AC1:(dhcp-config)#default-router 192.1.60.254  

S3: AP管理段一定要定义option 138 AP才能正常获取地址

S3(config)#ip dhcp excluded-address 192.8.50.252   192.168.50.254
S3(config)#ip dhcp pool AP
S3(dhcp-config)#option 138 ip 11.8.0.33
S3(dhcp-config)#network 192.8.50.0 255.255.255.0 192.8.50.1 192.8.50.100
S3(dhcp-config)#default-router 192.8.50.254

S4:

S4(config)#ip dhcp excluded-address 192.8.50.252   192.168.50.254
S4(config)#ip dhcp pool AP
S4(dhcp-config)#option 138 ip 11.8.0.34
S4(dhcp-config)#network 192.8.50.0 255.255.255.0 192.8.50.101 192.8.50.200
S4(dhcp-config)#default-router 192.8.50.254
  • 创建本部 SSID(WLAN-ID 1)为 Ruijie-ZX_XX(XX 现场提供), AP-Group 为 ZX,本部无线用户关联 SSID 后可自动获取地址。
AC1与AC2一样的配置:
AC1(config)#wlan-config 1 Ruijie_ZX_8
AC1(config-wlan)#TUnnel LOcal
AC1(config-wlan)#exi
AC1(config)#ap-group ZX
AC1(config-group)#interface-mapping 1 60 ap-wlan-id 1
AC1(config-group)#tunnel local wlan 1 vlan 60

2. AC 热备部署

  • AC1 为主用,AC2 为备用。AP 与 AC1、AC2 均建立隧道,当 AP 与 AC1 失去连接时能无缝切换至 AC2 并提供服务。
AC1(config)# wlan hot-backup 11.8.0.205  //配置对端热备IP地址
AC1(config-hotbackup)# context 10           //配置备份实例
AC1(config-hotbackup-ctx)# priority level 7  //配置AC-1热备实例优先级,数字越高优先级越高
C1(config-hotbackup-ctx)# ap-group ZX    //将ap-group加入热备实例
AC1(config-hotbackup)# wlan hot-backup enable  //启用热备功能

AC-2(config)# wlan hot-backup 11.8.0.204
AC-2(config-hotbackup)# context 10  
AC-2(config-hotbackup-ctx)# ap-group ZX
AC-2(config-hotbackup)# wlan hot-backup enable  

3. 无线安全部署

具体配置参数如下:

  • 为了保证合法用户连接入本部内网,本部无线用户使用 MAC 校 验方式。在本部的 AC 设备上配置白名单只允许 PC1(无线网卡 ipconfig 确定 MAC 地址)接入无线网络中,并设置 AC 白名单数 量最多为 10;
AC1(config-ap)#ap-name AP1
AC1(config-ap)#ap-group ZX
AC1(config-ap)# sta-limit 16 radio 1
AC1(config-ap)# sta-limit 16 radio 2
  • 为了防御无线局域网 ARP 欺骗影响用户上网体验,配置无线环 境 ARP 欺骗防御功能;
  • 在同一个 AP 中的用户在某些时候出于安全性的考虑,需要将他 们彼此之间进行隔离,实现用户之间彼此不能互相访问,配置 AP1 实现同 AP 下用户间隔离功能。

4. 无线性能优化

要求本部无线用户启用集中转发模式;

  • 限制 AP1 关联用户数最高为 16;
  • 本部关闭低速率(1M,6M)应用接入。

5. 胖 AP 部署

北京校区与广州校区使用无线 AP 胖模式进行部署,具体要求如下:

  • AP2 以路由模式进行部署,本地部署 DHCP 为无线终端分配地址;
  • AP2 创建 SSID(WLAN-ID 1)为 Ruijie-BJ_XX(XX 现场提供),采用 WPA2 进行无线数据加密,加密密码为 XX(现场提供);
  • AP3 以 NAT 模式进行部署,本地部署 DHCP 为无线终端分配地址;
  • AP3 创建 SSID(WLAN-ID 1)为 Ruijie-GZ_XX(XX 现场提供),启用 白名单校验,放通 PC3 无线网卡。

模块五:

出口安全防护与远程接入 本部校区与分校无线用户需要通过独立的互联网线路访问外网资 源,同时针对访问资源进行用户身份认证与信息审计监督。

1. 出口 NAT 部署

具体配置参数如下:

  • 本部出口网关上配置访问控制列表,允许本部、分部有线无线 (ACL 编号 110)在每天 09:00-17:00(命名为 work)通过 NAPT 访问联通、教育网资源;
EG1和EG2类似:
FZ1-EG2000-EG1(config)#ip nat pool nat_pool prefix-length 24
FZ1-EG2000-EG1(config-ipnat-pool)# address interface GigabitEthernet 0/1 match interface GigabitEthernet 0/1           
FZ1-EG2000-EG1(config)#time-range work
FZ1-EG2000-EG1(config)#periodic daily 9:00 to 17:00
FZ1-EG2000-EG1(config)# ip nat inside source list 110 pool nat_pool overload
FZ1-EG2000-EG1(config)#ip access-list extended 110
FZ1-EG2000-EG1(config-ext-nacl)# 10 permit ip 192.8.10.0 0.0.0.255 any 
FZ1-EG2000-EG1(config-ext-nacl)# 20 permit ip 192.8.20.0 0.0.0.255 any 
FZ1-EG2000-EG1(config-ext-nacl)# 30 permit ip 192.8.50.0 0.0.0.255 any 
FZ1-EG2000-EG1(config-ext-nacl)# 40 permit ip 192.8.60.0 0.0.0.255 any 
FZ1-EG2000-EG1(config)#access-list 110 permit ip any any time-range work
FZ1-EG2000-EG1(config-ext-nacl)#int gi0/0
FZ1-EG2000-EG1(config-if-GigabitEthernet 0/0)#ip nat in 
FZ1-EG2000-EG1(config-if-GigabitEthernet 0/0)#int gi0/3
FZ1-EG2000-EG1(config-if-GigabitEthernet 0/3)#ip nat in 
FZ1-EG2000-EG1(config-if-GigabitEthernet 0/3)#int gi0/1
FZ1-EG2000-EG1(config-if-GigabitEthernet 0/1)#ip nat outside
  • 云平台服务器区(ACL 编号 111)通过 NAPT 转换至教育网线路, 只能访问教育网资源;
    EG2:
FW-EG2000-EG2(config)#ip access-list ex 111
FW-EG2000-EG2(config-ext-nacl)#permit ip 172.16.0.0 0.0.3.255 any
FW-EG2000-EG2(config-ext-nacl)#exit
FW-EG2000-EG2(config)#ip nat pool nat_pool prefix-length 24
FW-EG2000-EG2(config-ipnat-pool)# address interface GigabitEthernet 0/2 match interface GigabitEthernet 0/2  
FW-EG2000-EG2(config)#int gi0/0
FW-EG2000-EG2(config-if-GigabitEthernet 0/1)#ip nat in 
FW-EG2000-EG2(config-if-GigabitEthernet 0/1)#int gi0/2
FW-EG2000-EG2(config-if-GigabitEthernet 0/4)#ip nat out
  • 在本部 EG1 上配置,使本部核心交换 S4(11.XX.0.4)设备的 Telnet 服务可以通过互联网被访问,将其地址映射至联通线路 上,映射地址为 196.XX.0.10(XX 现场提供);
FZ1-EG2000-EG1(config)# ip nat in source static tcp 11.8.0.4 23 196.8.0.10 23
  • 需确保 NAT 映射数据流来回一致,启用 EG 源进源出功能保证任 何外网用户(联通、电信、移动、教育……)均可访问映射地 址 196.XX.0.10(XX 现场提供)。

2. 全局流表策略部署

在用户没有防火墙做限制的情况下,如果遇到大量的伪源 IP 攻击,或者是端口扫描时,会把设备的流表给占满,而导致正常的 数据无法建流而被丢弃,为此要求部署全局流表防火墙,ACL(编 号为 112)策略要求如下:

  • 放通所有 IP 到设备接口的 WEB 管理和 ping;
  • 放通内网 IP 到外网所有资源的访问;
  • 放通任意 IP 来访问映射的内网服务器的资源;
  • 根据上下文要求放通设备已启用的功能协议端口。
FW-EG2000-EG2(config)#ip access-list ex 112
FW-EG2000-EG2(config-ext-nacl)#permit ip any any
FW-EG2000-EG2(config-ext-nacl)#exit
  1. 应用流量控制部署
    本部针对访问外网 WEB 流量限速每 IP 1000Kbps,内网 WEB 总流 量不超过 100M。
  2. 用户行为策略部署
  • 工作日(周一到周五:上午 9 点到下午 5 点)禁止 P2P 应用软 件使用;
  • 对创建的用户 user1(192.1.10.10)进行限制,禁止访问外网 网站。 5. 数据分流与负载均衡
  • 本部与分校用户数据流匹配 EG 内置联通与教育地址库,实现访 问联通资源走联通线路,访问教育资源走教育线路;
  • 除联通、教育资源之外默认所有数据流在联通与教育线路间进 行负载转发;
  • 每天晚上 6 点到 10 点联通线路上网流量压力较大,将 P2P 应用 软件流量在此时间段内引流到教育网线路
    参考如下web配置:
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第17张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第18张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第19张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第20张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第21张图片
    在这里插入图片描述
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第22张图片
    全国职业院校《计算机网络应用》赛项 2019 年广西高职组------样题分析_第23张图片

模块六:

云计算服务搭建与企业应用 集团总部为了更好管理数据,提供服务,需要建立自己的小型数 据中心及云计算服务平台,以达到快速、可靠交换数据,以及增强业 务部署弹性的目的。

  1. 云计算管理平台环境
  • JCOS 云平台登陆地址:http://172.16.0.2
  • 登陆方式:(现场提供) 域名:default 用户名:随机 密码:随机 注意:登陆之后禁止点击首页的“一键 VPC”按钮。
  1. 创建两台虚拟交换机,要求如下:
  • 虚拟交换机子网用途: 虚拟机交换机 DNet:对外数据通信网络  虚拟机交换机 SNet:数据存储通信网络  为数据网络 DNet 创建虚拟交换机,具体要求如下:
  • 虚拟交换机名称:D-Net
  • 子网名称:D-SubNet
  • 网络地址:192.168.XX.0/24
  • 启用 DHCP 功能
  • 分配地址池范围:192.168.XX.10-192.168.XX.100
  • 为存储网络 SNet 创建虚拟交换机,具体要求如下:  虚拟交换机名称:S-Net  子网名称:S-SubNet 29 网络地址:192.168.XX+1.0/24  勾选禁用网关功能  启用 DHCP 功能  分配地址池范围:192.168.XX+1.10-192.168.XX+1.100
  1. 创建一台虚拟路由器,要求如下:
  • 虚拟路由器名称:VGate
  • 虚拟路由器跟 D-Net 虚拟交换机子网关联
  1. 创建 2 台云主机,要求如下:
  • 云主机 A 的配置要求  硬件资源:CPU 2 核;内存 2G  操作系统:Windows2008R2  网卡数量:2 网卡 1 与 Dnet 连接,IP 为:192.168.XX.22 网卡 2 与 SNet 连接,IP 为:192.168.XX+1.22  随机申请并绑定一个公网 IP 地址  云主机 B 的配置要求  硬件资源:CPU 2 核;内存 2G  操作系统:CentOS7  网卡数量:2  网卡 1 与 Dnet 连接,IP 为:192.168.XX.33  网卡 2 与 SNet 连接,IP 为:192.168.XX+1.33  随机申请并绑定一个公网 IP 地址 5. 应用部署  Windows2008 R2 系统配置 (1) 云硬盘的配置要求
     新建两个 10G 的云硬盘,名称为 A-10-1、A-10-2,挂载到 云主机 A;  新建镜像卷,使用所有空间,驱动器号为 D。 (2) 配置 DNS 服务  配置 rj.com 域的从 DNS 服务,主 DNS 为云主机 A。  配置 0.16.172 反向域的从 DNS 服务,主 DNS 为云主机 A。 (3) 配置 FTP 服务  FTP 站点名称为 rjftp,物理路径为 D:\ftpdata;  允许匿名用户和普通用户 tom 登录,匿名用户对主目录只有 读权限,tom 对主目录有读写权限,禁止上传 exe 后缀的文 件;  设置 FTP 最大客户端连接数为 100,设置无任何操作的超时 时间为 5 分钟,设置数据连接的超时时间为 1 分钟。 (4) 配置企业 CA 证书服务  并提供 Web 注册方式,可接受 CSR(证书请求文件)并签发 证书;  加密服务提供程序为“RSA#Microsoft Software Key Storage Providew”,密钥字符长度为“2048”;  颁发的签名证书的哈希算法为“SHA256”;  CA 证书名称:ca.rj.com;  为云主机 B 的 web 服务提供证书,颁发的证书命名为 httpd.crt。
     云主机 B 的配置 在 CentOS 系统中,利用赛场提供的 CentOS 镜像文件(/root 目录),配置本地 yum 源,然后完成 bind、bind-utils、httpd、 mod_ssl、ftp、bzip2 软件包的安装;请将 CentOS 镜像文件挂载到 /mnt/cdrom 目录下(目录需要自行创建)。 (1)云硬盘的配置要求:  新建一个 15G 的云硬盘,云硬盘名称为 B-15,挂载到云主机 B;  创建 lvm 物理卷:  创建一个名为 datastore 的卷组,卷组的 PE 尺寸为 16MB;  逻辑卷的名称为 web_data 所属卷组为 datastore,该逻 辑卷大小为 10G;  将新建的逻辑卷格式化为 XFS 文件系统,编辑/etc/fstab 文件通过 UUID 的方式实现系统启动时能够自动挂载到 /data/web_data 目录。 (2)配置 DNS 服务:  监听所有地址;  允许所有机器查询;  将 ftp.rj.com 解析至云主机 B 公网 IP;  将 www.rj.com 解析至云主机 A 公网 IP;  建立反向简析区域完成 ftp.rj.com,www.rj.com,域名的反 向解析;  只允许云主机 B 192.168.XX+1.22 的 ip 进行区域传送。 (3)配置 http 服务,以虚拟主机的方式建立一个 web 站点。 32
     将/etc/httpd/conf.d/ssl.conf 重命名为 ssl.conf.bak;  配置文件名为 virthost.conf,放置在/etc/httpd/conf.d 目录下;  https 所用的证书 httpd.crt、私钥 httpd.key、请求证书 httpd.csr 放置在/etc/httpd/ssl 目录中(目录需自己创建);  监听 80、443 端口,分别配置 http 和 https 功能;  使用 www.rj.com 作为域名进行访问;  网站根目录为/data/web_data;  index.html 内容使用 Welcome to 2018 Computer Network Application contest! (4)创建一个归档备份,将/etc/httpd 目录打包备份至/home 目录下 文件名为 httpd.tar.bz2。 6. 软件定义网络 (1)在考试电脑 PC1 上部署 Vmware Workstation 软件,并导入 ODL 集成模板,虚拟机的内存设置为 2G。配置 IP 地址为 192.168.1.100/24,网关是 192.168.1.254/24。默认用户密码都是 mininet。 (2)启动 OpenDayLight 的 karaf 程序,并安装如下组件: feature:install odl-restconf feature:install odl-l2switch-switch-ui feature:install odl-mdsal-apidocs feature:install odl-dluxapps-applications 33
    (3)使用 Mininet 和 OpenVswitch 构建拓扑,采用采用 OVS 交换 机格式,连接 ODL 的 6653 端口 Openflow1.3 协议,构造如下拓扑: (4)在浏览器上可以访问 ODL 管理页面并查看网元拓扑结构。 (5)通过 OVS 下发流表,H1 与 H2 可以互通,H1 与 H3 不能互通, 但 H3 和 H4 之间可以互通。 提交竞赛结果文件(模块六) 制作竞赛结果文件:严格参照“云平台服务器配置答题卡模板 x” 文档格式要求制作输出竞赛结果文件。 考生将“云平台服务器配置答题卡模板 x”保存到桌面上,并且拷 贝到“提交文档”目录下然后提交给现场工作人员。 注意:考生所提交的文件是竞赛结果的唯一依据,请考生一定确 保文件确实有效,能够正常读取。如有疑问,可咨询现场工作人员。

第二部分:赛场规范和文档规范 模块七:赛场规范和文档规范 参赛选手在比赛过程中,必须严格遵从计算机网络工程相关职业 规范,严格遵守网络综合布线相关工具的操作规范,注意用电安全、 预防梯子倒砸,听从裁判指挥,做到文明参赛,安全比赛。 竞赛结果文件的提交要严格按照赛题要求,按照相关文档模板来 完成,并且注意截图大小,注意排版,不得以任何形式体现参赛院校、 工位号码等信息。 (完)

你可能感兴趣的:(高职技能大赛-网络系统管理,网络,交换机,acl,运维,bt)