2024年广东省网络系统管理样题第3套网络部署部分

模块A：网络构建

极安云科专注职业教育技能培训4年，包含信息安全管理与评估、网络系统管理、网络搭建等多个赛项及各大CTF模块培训学习服务。本团队基于赛项知识点，提供完整全面的系统性理论教学与技能培训，成立至今持续优化教学资源与讲师结构，拥有丰富的职业教育经验，提供CTF赛事承办、理论讲解、技能教学等多种服务，通过校企合作、产教融合为院校与经济社会发展培养更多高素质应用型技能人才，推进学校高质量建设。
团队讲师由各赛项国赛选手、大厂在职专家等专业人才组成。
极安云科提供从0到1的竞赛知识点掌握方案，也可根据学生掌握情况定制专属学习计划。
截止2023年已帮助各大院校竞赛团队取得各省国家级奖项十余次，CTF赛事承办方案获采六次，
获各省市院校一致好评与认可。
培训、环境、资料、考证
公众号：Geek极安云科
网络安全群：775454947
网络系统管理群：223627079
网络建设与运维群：870959784
极安云科专注于技能提升，赋能
2024年广东省高校的技能提升，受赋能的客户院校均获奖！
2024年江苏省赛一二等奖前13名中，我们赋能客户占五支队伍！
2024年湖南省赛赋能三所院校均获奖！
2024年山东省赛赋能两所院校均获奖！
2024年湖北省赛赋能参赛院校九支队伍，共计斩获一等奖2项、三等奖7项!

任务清单

（一）基础配置

1.根据附录1拓扑图及附录2地址规划表，配置设备接口信息。

2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、Ruijie1234；密码为明文类型,特权密码为Ruijie123。

3.S7设备配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test1234”，只读的Community为“Public123”，开启Trap消息。

（二）有线网络配置

1.在全网Trunk链路上做VLAN修剪。

2.在S5的Gi0/10-Gi0/15端口上启用端口保护。

3.在S5连接PC机端口上开启Portfast和BPDUguard防护功能。

4.配置MSTP防止二层环路；要求所有数据流经过S4转发。region-name为test；revision版本为1；S3作为实例中的从根，
S4作为实例中的主根；主根优先级为4096，从根优先级为8192。

5.在S3和S4上配置VRRP，实现主机的网关冗余，所配置的参数要求如表1；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。

表1 S3和S4的VRRP参数表

VLAN	VRRP备份组号（VRID）	VRRP虚拟IP
VLAN10	10	193.1.10.254
VLAN20	20	193.1.20.254
VLAN30	30	193.1.30.254
VLAN40	40	193.1.40.254
VLAN100(交换机间)	100	193.1.100.254

6.S1和S2设置为虚拟化，S1和S2间的Te0/51-52端口作为VSL链路，其中S2为主，S1为备；规划S1和S2间的Gi0/48端口作为BFD双主机检测链路；主设备：Domain
id：1,switch id:2,priority 150, description: S5760-2;备设备：Domain id：1,switch
id:1,priority 120, description: S5760-1。

7.R1、S1/S2、AC1、AC2间运行OSPF，进程号为10；EG1、S3、S4间运行OSPF，进程号为10；S5、EG2使用静态路由。

8.要求业务网段中不出现协议报文；所有路由协议都发布具体网段；需要发布Loopback地址。

9.优化OSPF相关配置，以尽量加快OSPF收敛；广州分部需要重分发默认路由到OSPF中；本部出口路由器R1上不允许配置默认路由，但需要让本部所有设备都学习到指向R1的默认路由；重发布路由进OSPF中使用类型1。

10.R1、R2、R3间部署IBGP,AS号为100,
使用Loopback接口建立Peer，建立全互联的IBGP邻居。

11.二级运营商通告EG1、EG2的直连网段到BGP中，实现R1能够访问到EG1、EG2的外网接口。

12.可通过修改OSPF
路由COST达到分流的目的，且其值必须为5或10；广州分部有线IPV4用户与互联网互通主路径规划为：S4-EG1;主链路故障时可无缝切换到备用链路上。

13.R3服务节点在G0/0接口做流量监管，上行报文流量不能超过10Mbps，Burst-normal为1M
bytes, Burst-max为2M bytes如果超过流量限制则将违规报文丢弃。

（三）无线网络配置

CII集团公司拟投入12万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。

在这里插入图片描述

图1 平面布局图

1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。

2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。

3.根据表2无线产品价格表，制定该无线网络工程项目设备的预算表。

表2 无线产品价格表

产品型号	产品特征	传输速率（2.4G/最大）	推荐/最大带点数	功率	价格（元）
AP1	双频双流	300M/1.167G	32/256	100mw	6000
AP2	双频双流	300M/600M	32/256	100mw	11000
AP3	单频单流	150M	12/32	60mw	2500
线缆1	10米馈线	N/A	N/A	N/A	1600
线缆2	15米馈线	N/A	N/A	N/A	2400
天线	双频单流/单频单流	N/A	N/A	N/A	500
Switch	24口POE交换机	N/A	N/A	240w	15000
AC	无线控制器	6*1000M	32/200	40w	50000

4.使用EG1作为广州分部无线用户和无线AP的DHCP
服务器，使用S5作为吉林分部无线用户和无线AP的DHCP服务器。

5.创建广州分部内网 SSID 为 Test-GZ_XX(XX现场提供)，WLAN ID
为1，AP-Group为GZ，内网无线用户关联SSID后可自动获取地址。创建吉林分部内网 SSID
为 Test-JL_XX(XX现场提供)，WLAN ID
为2，AP-Group为JL，内网无线用户关联SSID后可自动获取地址。

6.本部AC2为主用，AC1为备用。AP与AC1、AC2均建立隧道，当AP与AC2失去连接时能无缝切换至AC1并提供服务。

7.广州分部无线用户接入无线网络时需要采用WPA2加密方式，加密密码为XX(现场提供)。

8.要求内网无线网络均启用本地转发模式; 对WLAN ID 2下的每个用户的下行平均速率为
800KB/s ，突发速率为1600KB/s。

9.设置广州分部用户最小接入信号强度为-65dBm。关闭低速率（11b/g 1M、2M、5M，11a
6M、9M）应用接入。

（四）出口网络配置

1.EG1、EG2、R1进行NAT配置实现本部与各分部的所有用户(ACL
110)均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上。

2.EG1基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。

3.EG1周一到周五工作时间09：00-17:00（命名为work）阻断并审计P2P应用软件使用。禁止广州分部内网用户通过浏览器访问http://40.1.0.9。

4.使用IPSec对本部到各分部的数据流进行加密。要求使用动态隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立IPsec
SA。在R1上配置ipsec加密转换集名称为myset；动态ipsec加密图名称为dymymap；预共享密钥为明文123456；静态的ipsec加密图mymap。

5.在
EG1和EG2上配置ACL编号为101；静态的ipsec加密图mymap；预共享密钥为明文123456。

（五）SDN网络配置

1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。

2.使用S6/S3构建SDN网络，S6连接SDN控制器的6653端口。

3.通过SDN控制器手工给S6下发流表项使其S6下终端可与业务网段互联互通。

附录1：拓扑图

在这里插入图片描述

附录2：地址规划表

设备	接口或VLAN	VLAN名称	二层或三层规划	说明
S1/S2	VLAN20	Xiaoshou	192.1.20.254/24	销售部
	VLAN30	Caiwu	192.1.30.254/24	财务部
	Vlan100	Manage	192.1.100.254/24	管理与互联VLAN
	Gi1/0/1		10.1.0.9/30	AG1
	Gi2/0/1		10.1.0.9/30	AG1
	Gi1/0/2	Trunk		AG2
	Gi2/0/2	Trunk		AG2
	Gi1/0/3	Trunk		AG3
	Gi2/0/3	Trunk		AG3
	Gi1/0/4	Trunk		AG4
	Gi2/0/4	Trunk		AG4
	LoopBack 0		11.1.0.31/32
S7	VLAN20	Xiaoshou	Gi0/13至Gi0/16	销售部
	VLAN30	Caiwu	Gi0/17至Gi0/20	财务部
	Vlan100	Manage	192.1.100.1/24	管理与互联VLAN
	Gi0/1	Trunk		AG1
	Gi0/2	Trunk		AG1
AC1	LoopBack 0		11.1.0.21/32
	Vlan100	Manage	192.1.100.2/24	管理与互联VLAN
AC2	LoopBack 0		11.1.0.22/32
	Vlan100	Manage	192.1.100.3/24	管理与互联VLAN
S6	Gi0/23	SDN-Manage	192.168.1.3	SDN管理网段
	VLAN20	Xiaoshou	Gi0/5至Gi0/8	销售部
	VLAN30	Caiwu	Gi0/9至Gi0/12	财务部
	VLAN40	Shichang	Gi0/13至Gi0/16	市场部
S3	VLAN10	AP	193.1.10.252/24	AP
	VLAN20	Xiaoshou	193.1.20.252/24	销售部无线用户
	VLAN30	Caiwu	193.1.30.252/24	财务部
	VLAN40	Shichang	193.1.40.252/24	市场部
	VLAN100	Manage	193.1.100.252/24	设备管理VLAN
	Gi0/13	Trunk		AG1成员口
	Gi0/14	Trunk		AG1成员口
	Gi0/24		10.1.0.1/30
	LoopBack 0		11.1.0.33/32
S4	VLAN10	AP	193.1.10.253/24	AP
	VLAN20	Xiaoshou	193.1.20.253/24	销售部无线用户
	VLAN30	Caiwu	193.1.30.253/24	财务部
	VLAN40	Shichang	193.1.40.253/24	市场部
	VLAN100	Manage	193.1.100.253/24	设备管理VLAN
	Gi0/13	Trunk		AG1成员口
	Gi0/14	Trunk		AG1成员口
	Gi0/24		10.1.0.5/30
	LoopBack 0		11.1.0.34/32
EG1	Gi0/1		10.1.0.2/30
	Gi0/2		10.1.0.6/30
	Gi0/3		10.1.0.17/30
	LoopBack 0		11.1.0.11/32
S5	VLAN10	AP	194.1.10.254/24	AP
			Gi0/1-4	Native vlan
	VLAN20	Wireless	194.1.20.254/24	无线用户
	Gi0/24		10.1.0.13/30
	LoopBack 0		11.1.0.35/32
EG2	Gi0/1		10.1.0.14/30
	Gi0/3		10.1.0.21/30
	LoopBack 0		11.1.0.12/32
R1	Gi1/0		12.1.0.1/24（VLAN20）
	Gi1/1		13.1.0.1/24（VLAN30）
	VLAN10		10.1.0.10/30	Gi1/2、Gi1/3
	LoopBack 0		11.1.0.1/32
R2	Fa1/0		12.1.0.2/24（VLAN20）
	Fa1/1		14.1.0.2/24(VLAN40)
	Gi0/0		10.1.0.18/30
	LoopBack 0		11.1.0.2/32
R3	Fa1/1		14.1.0.3/24(VLAN40)
	Fa1/0		13.1.0.3/24（VLAN30）
	Gi0/0		10.1.0.22/30
	LoopBack 0		11.1.0.3/32
	Gi0/0		10.1.0.22/30
	LoopBack 0		11.1.0.3/32