2024年河北省职业院校技能大赛网络系统管理赛项样题解法
有问题请留言或主页私信咨询
2024年河北省职业院校技能大赛
网络系统管理赛项
网络构建
目录
任务描述
任务清单
(一)基础配置
(二)有线网络配置
(三)无线网络配置
(四)出口网络配置
附录1:拓扑图
附录2:地址规划表
任务描述
CII集团公司业务不断发展壮大,为适应IT行业技术飞速发展,满足公司业务发展需要,集团公司决定建设广州总部、吉林分部的信息化网络。你做为火星公司网络工程师前往CII集团完成网络规划与建设任务。
任务清单
(一)基础配置
1.根据附录1、附录2,配置设备接口信息。
S1:
conf
hos S1
vlan 10
name Yanfa
vlan 20
name Xiaoshou
vlan 30
name Caiwu
vlan 100
name Manage
exi
int ran g1/0/1-4
sw mo ac
sw ac vlan 10
int ran g1/0/5-8
sw mo ac
sw ac vlan 20
int ran g1/0/9-12
sw mo ac
sw ac vlan 30
int vlan 100
ip add 192.1.100.1 255.255.255.0
int ran g1/0/23-24
sw mo tr
sw tr al v only 10,20,30,100S2:
conf
hos S2
vlan 10
name Yanfa
vlan 20
name Xiaoshou
vlan 30
name Caiwu
vlan 100
name Manage
exi
int ran g1/0/1-4
sw mo ac
sw ac vlan 10
int ran g1/0/5-8
sw mo ac
sw ac vlan 20
int ran g1/0/9-12
sw mo ac
sw ac vlan 30
int vlan 100
ip add 192.1.100.2 255.255.255.0
int ran g1/0/23-24
sw mo tr
sw tr al v only 10,20,30,100
S3:
conf
hos S3
vlan 10
name Yanfa
vlan 20
name Xiaoshou
vlan 30
name Caiwu
vlan 100
name Manage
exi
int vlan10
ip add 192.1.10.252 255.255.255.0
int vlan20
ip add 192.1.20.252 255.255.255.0
int vlan30
ip add 192.1.30.252 255.255.255.0
int vlan100
ip add 192.1.100.252 255.255.255.0
exi
int gi1/0/24
no sw
ip add 10.1.0.1 255.255.255.252
int lo 0
ip add 11.1.0.33 32
exi
int ran gi1/0/1-2
sw mo tr
sw tr al v on 10,20,30,100
int ran gi1/0/21-22
sw mo tr
sw tr al v on 10,20,30,100
S4:
conf
hos S4
vlan 10
name Yanfa
vlan 20
name Xiaoshou
vlan 30
name Caiwu
vlan 100
name Manage
exi
int vlan10
ip add 192.1.10.253 255.255.255.0
int vlan20
ip add 192.1.20.253 255.255.255.0
int vlan30
ip add 192.1.30.253 255.255.255.0
int vlan100
ip add 192.1.100.253 255.255.255.0
exi
int gi1/0/24
no sw
ip add 10.1.0.5 255.255.255.252
int lo 0
ip add 11.1.0.34 32
exi
int ran gi1/0/1-2
sw mo tr
sw tr al v on 10,20,30,100
int ran gi1/0/21-22
sw mo tr
sw tr al v on 10,20,30,100
S6/7:
先配置虚拟化,再配置IP
int gi1/0/1
no sw
ip add 10.1.0.2 30
int gi2/0/1
no sw
ip add 10.1.0.6 30
int gi1/0/2
no sw
ip add 10.1.0.9 30
int gi2/0/2
no sw
ip add 10.1.0.13 30
exi
int lo 1
ip add 11.1.0.67 32
EG1:
需要先修改接口属性,然后重启
Gi0/0口不做任何配置,路由全网通后再修改IP
执行命令 创建loopback1
conf
int lo 0
ip add 11.1.0.11 32
EG2:
执行命令 创建loopback1
conf
int lo 0
ip add 11.1.0.12 32
S5:
conf
hos S5
vlan 10
name AP
vlan 20
name Caiwu_Wifi
vlan 30
name Yanfa_Wifi
vlan 100
name Manage
int vlan 10
ip add 194.1.10.254 255.255.255.0
int vlan 20
ip add 194.1.20.254 255.255.255.0
int vlan 30
ip add 194.1.30.254 255.255.255.0
int vlan 100
ip add 194.1.100.254 255.255.255.0
exi
int gi1/0/24
no sw
ip add 10.1.0.17 30
int lo 0
ip add 11.1.0.5 32
exi
int ran gi1/0/1-10
sw mo tr
sw tr al vl on 10,20,30,100
int ran gi1/0/21-22
sw mo tr
sw tr al vl on 10,20,30,100
AC1配置:
conf
hos AC1
vlan 100
name Manage
int vlan 100
ip add 194.1.100.251 24
int lo 0
ip add 11.1.0.204 32
int gi1/0/1
sw mo tr
sw tr al vl on 10,20,30,100
AC2配置:
conf
hos AC2
vlan 100
name Manage
int vlan 100
ip add 194.1.100.252 24
int lo 0
ip add 11.1.0.205 32
int gi1/0/1
sw mo tr
sw tr al vl on 10,20,30,100
R1配置:
因设备原因,s2/3口使用gi0/2-3口代替。1/1-2口使用gi0/0-1口代替
conf
hos R1
int gi0/0
ip add 20.1.0.6 255.255.255.248
int gi0/1
ip add 20.1.0.14 255.255.255.248
int gi0/2
ip add 12.1.0.1 255.255.255.252
int lo 0
ip add 11.1.0.1 255.255.255.255
R2配置
conf
hos R2
int gi0/0
ip add 30.1.0.6 255.255.255.248
int gi0/1
ip add 30.1.0.14 255.255.255.248
int gi0/2
ip add 12.1.0.2 255.255.255.252
int lo 0
ip add 11.1.0.2 255.255.255.255
int gi0/3
ip add 23.1.0.1 255.255.255.252
R3配置:
conf
hos R3
int gi0/0
ip add 40.1.0.6 255.255.255.248
int gi0/1
ip add 40.1.0.14 255.255.255.248
int lo 0
ip add 11.1.0.3 255.255.255.255
int gi0/3
ip add 23.1.0.2 255.255.255.252
2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin。
所有SW与AC执行
username admin password 0 admin1234
enable password 0 admin
enable service ssh-server
crypto key generate rsaline vty 0 4
login local
3.交换机配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息。
所有交换机执行
enable service snmp-agent
snmp-server enable traps
snmp-server community test rw
snmp-server community public ro
snmp-server host 172.16.0.254 version 2c test
snmp-server host 172.16.0.254 version 2c public
(二)有线网络配置
1.在全网Trunk链路上做VLAN修剪。
trunk链路中只允许指定vlan通过,具体配置请看 接口配置 部分
2.为隔离部分终端用户间的二层互访,在交换机S1/S2的Gi0/5-Gi0/16端口启用端口保护。
在S1、2执行
int ran gi1/0/5-16
sw pro
3.要求在吉林分部接入设备S1/S2进行防环处理。具体要求如下:终端接口开启BPDU防护不能接收 BPDU报文;终端接口下开启 RLDP防止环路,检测到环路后处理方式为 Shutdown-Port;连接终端的所有端口配置为边缘端口;如果端口被 BPDU Guard检测进入 Err-Disabled状态,再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路。
S1 2执行
rldp ena
int ran gi1/0/1-12
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
errdisable recovery interval 300
rldp port loop-detect shutdown-port
4.在交换机S3、S4上配置DHCP中继,对VLAN10内的用户进行中继,使得本部PC1用户使用DHCP Relay方式获取IP地址。具体要求如下:DHCP服务器搭建于VSU上,地址池命名为Pool_VLAN10,DHCP对外服务使用loopback 0地址;为了防御动态环境局域网伪DHCP服务欺骗,在S1、S2交换机部署DHCP Snooping功能。
VSU:
service dhcp
ip dhcp pool Pool_VLAN10
network 192.1.10.0 255.255.255.0
default-router 192.1.10.254
中继要求使用VSU的loopback 0,所以这里要等路由打通之后再做
S3 S4:
service dhcp
int vlan 10
ip helper-address 11.1.0.67
S1 S2:
service dhcp
ip dhcp snooping
int ran gi1/0/23-24
ip dhcp snooping trust
5.为了防止伪 IP 源地址攻击, 导致出口路由器会话占满,要求S1交换机部署端口安全,接口Gi0/1只允许PC1通过。
S1
int gi1/0/1
switchport port-security mac-address 6018.952b.6f62
6.在吉林分部交换机S1、S2、S3、S4上配置MSTP防止二层环路;要求所有数据流经过S4转发,S4失效时经过S3转发。所配置的参数要求如下:region-name为test;revision版本为1;S3作为实例中的从根, S4作为实例中的主根;主根优先级为4096,从根优先级为8192;在S3和S4上配置VRRP,实现主机的网关冗余,所配置的参数要求如表1;S3、S4各VRRP组中高优先级设置为150,低优先级设置为120。
表1 S3和S4的VRRP参数表
| VLAN | VRRP备份组号(VRID) | VRRP虚拟IP |
|---|---|---|
| VLAN10 | 10 | 192.1.10.254 |
| VLAN20 | 20 | 192.1.20.254 |
| VLAN30 | 30 | 192.1.30.254 |
| VLAN100(交换机间) | 100 | 192.1.100.254 |
S1 S2配置:
spanning-tree
spanning-tree mst configuration
revision 1
name test
S3:
spanning-tree
spanning-tree mst configuration
revision 1
name test
exi
spanning-tree mst 0 pri 8192
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 pri 120
int vlan 30
vrrp 30 ip 192.1.30.254
vrrp 30 pri 120
int vlan 20
vrrp 20 ip 192.1.20.254
vrrp 20 pri 120
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 pri 120
S4:
spanning-tree
spanning-tree mst configuration
revision 1
name test
exi
spanning-tree mst 0 pri 4096
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 pri 150
int vlan 30
vrrp 30 ip 192.1.30.254
vrrp 30 pri 150
int vlan 20
vrrp 20 ip 192.1.20.254
vrrp 20 pri 150
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 pri 1507.S6和S7间部署虚拟化,其中S7为主,S6为备;规划S6和S7间的Gi0/48端口作为双主机检测链路,配置基于BFD的双主机检;主设备:Domain id:1,switch id:2,priority 150, description: S6000-2;备设备:Domain id:1,switch id:1,priority 120, description: S6000-1。
S6:
conf
switch virtual domain 1
switch 1
switch 1 priority 120
switch 1 description S6000-1
exit
vsl-port
port-member interface TengigabitEthernet 0/49
port-member interface TengigabitEthernet 0/50
end
wr
switch convert mode virtual
S7:
conf
switch virtual domain 1
switch 2
switch 2 priority 150
switch 2 description S6000-2
exit
vsl-port
port-member interface TengigabitEthernet 0/49
port-member interface TengigabitEthernet 0/50
end
wr
switch convert mode virtual
VSU:
配置BFD
int gi1/0/48
no sw
int gi2/0/48
no sw
switch virtual domain 1
dual-active detection bfd
dual-active bfd interface gi1/0/48
dual-active bfd interface gi2/0/48
8.广州总部与吉林分部内网均使用OSPF协议组网,访问互联网均使用默认路由。具体要求如下:总部S5、AC1、AC2、EG1间运行OSPF,进程号为10;吉林分部EG2、S3、S4、S6/S7间运行OSPF,进程号为10; 要求业务网段中不出现协议报文;要求所有路由协议都发布具体网段;为了管理方便,需要发布Loopback地址;优化OSPF相关配置,以尽量加快OSPF收敛;重发布路由进OSPF中使用类型1。
吉林分部
VSU:
router ospf 10
router-id 11.1.0.67
network 10.1.0.2 0.0.0.3 ar 0
network 10.1.0.9 0.0.0.3 ar 0
network 10.1.0.6 0.0.0.3 ar 0
network 10.1.0.13 0.0.0.3 ar 0
network 11.1.0.67 0.0.0.0 ar 0
exi
int ran gi1/0/1-2
ip ospf network point-to-point
int ran gi1/0/2-2
ip ospf network point-to-point
S3:
router ospf 10
router-id 11.1.0.33
network 10.1.0.1 0.0.0.3 ar 0
network 11.1.0.33 0.0.0.0 ar 0
network 192.1.10.252 0.0.0.255 ar 0
network 192.1.20.252 0.0.0.255 ar 0
network 192.1.30.252 0.0.0.255 ar 0
network 192.1.100.252 0.0.0.255 ar 0
pass vlan 10
pass vlan 20
pass vlan 30
exi
int gi1/0/24
ip ospf network point-to-point
int vlan 100
ip ospf network point-to-point
S4:
router ospf 10
router-id 11.1.0.34
network 10.1.0.5 0.0.0.3 ar 0
network 11.1.0.34 0.0.0.0 ar 0
network 192.1.10.252 0.0.0.255 ar 0
network 192.1.20.252 0.0.0.255 ar 0
network 192.1.30.252 0.0.0.255 ar 0
network 192.1.100.252 0.0.0.255 ar 0
pass vlan 10
pass vlan 20
pass vlan 30
exi
int gi1/0/24
ip ospf network point-to-point
int vlan 100
ip ospf network point-to-point
EG2:
router ospf 10
router-id 11.1.0.12
network 10.1.0.10 0.0.0.3 ar 0
network 10.1.0.14 0.0.0.3 ar 0
network 11.1.0.12 0.0.0.0 ar 0
default-information originate always
exi
int gi0/0
ip ospf network point-to-point
int gi0/1
ip ospf network point-to-point
广州总部
S5:
router ospf 10
router-id 11.1.0.5
network 10.1.0.17 0.0.0.3 ar 0
network 11.1.0.5 0.0.0.0 ar 0
network 194.1.10.254 0.0.0.255 ar 0
network 194.1.20.254 0.0.0.255 ar 0
network 194.1.30.254 0.0.0.255 ar 0
network 194.1.100.254 0.0.0.255 ar 0
pass vlan 10
pass vlan 20
pass vlan 30
int gi0/24
ip ospf network point-to-multipoint
AC1:
router ospf 10
router-id 11.1.0.204
network 11.1.0.204 0.0.0.0 ar 0
network 194.1.100.251 0.0.0.255 ar 0
int vlan 100
ip ospf network point-to-multipoint
AC2:
router ospf 10
router-id 11.1.0.205
network 11.1.0.205 0.0.0.0 ar 0
network 194.1.100.252 0.0.0.255 ar 0
int vlan 100
ip ospf network point-to-multipoint
EG1:
router ospf 10
router-id 11.1.0.11
network 10.1.0.18 0.0.0.3 ar 0
network 11.1.0.11 0.0.0.0 ar 0
default-information originate always
exi
int gi0/0
ip ospf network point-to-point
9.吉林分部部署IPV6网络实现内网IPV6终端通过无状态自动从网关处获取地址;
S3 S4:
ipv6 un
int vlan 10
ipv6 ena
no ipv6 nd sup
int vlan 20
ipv6 ena
no ipv6 nd sup
int vlan 30
ipv6 ena
no ipv6 nd sup
10.在S3和S4上配置VRRP for IPv6,实现主机的IPv6网关冗余;VRRP与MSTP的主备状态与IPV4网络一致;IPV6地址规划如下表2:
表2 IPV6地址规划表
| 设备 | 接口 | IPV6地址 | VRRP组号 | 虚拟IP |
|---|---|---|---|---|
| S3 | VLAN10 | 2001:193:10::252/64 | 10 | 2001:193:10::254/64 |
| VLAN20 | 2001:193:20::252/64 | 20 | 2001:193:20::254/64 | |
| VLAN30 | 2001:193:30::252/64 | 30 | 2001:193:30::254/64 | |
| S4 | VLAN10 | 2001:193:10::253/64 | 10 | 2001:193:10::254/64 |
| VLAN20 | 2001:193:20::253/64 | 20 | 2001:193:20::254/64 | |
| VLAN30 | 2001:193:30::253/64 | 30 | 2001:193:30::254/64 |
S3:
int vlan 10
ipv6 address 2001:193:10::252/64
ipv6 address autoconfig
vrrp 10 ipv6 FE80::310
vrrp 10 ipv6 2001:193:10::254
vrrp ipv6 10 pri 120
int vlan 20
ipv6 address 2001:193:20::252/64
ipv6 address autoconfig
vrrp 20 ipv6 FE80::320
vrrp 20 ipv6 2001:193:20::254
vrrp ipv6 20 pri 120
int vlan 30
ipv6 address 2001:193:30::252/64
ipv6 address autoconfig
vrrp 30 ipv6 FE80::330
vrrp 30 ipv6 2001:193:30::254
vrrp ipv6 30 pri 120
S4
int vlan 10
ipv6 address 2001:193:10::253/64
ipv6 address autoconfig
vrrp 10 ipv6 FE80::410
vrrp 10 ipv6 2001:193:10::254
vrrp ipv6 10 pri 150
int vlan 20
ipv6 address 2001:193:20::253/64
ipv6 address autoconfig
vrrp 20 ipv6 FE80::420
vrrp 20 ipv6 2001:193:20::254
vrrp ipv6 20 pri 150
int vlan 30
ipv6 address 2001:193:30::253/64
ipv6 address autoconfig
vrrp 30 ipv6 FE80::430
vrrp 30 ipv6 2001:193:30::254
vrrp ipv6 30 pri 150
11.由于公司在吉林设有分部。为总部及分部之间互联互通,申请运营商专线业务。针对运营商组网部署要求如下:R1、R2、R3直连接口封装PPP协议,部署IGP中OSPF动态路由进程号为20,实现直连网段互联互通。
R1
router ospf 20
router-id 11.1.0.1
yes
network 20.1.0.6 0.0.0.7 ar 0
network 20.1.0.14 0.0.0.7 ar 0
network 12.1.0.1 0.0.0.3 ar 0
network 11.1.0.1 0.0.0.0 ar 0
exi
int gi0/2
ip ospf network point-to-point
R2
router ospf 20
router-id 11.1.0.2
yes
network 30.1.0.6 0.0.0.7 ar 0
network 30.1.0.14 0.0.0.7 ar 0
network 12.1.0.2 0.0.0.3 ar 0
network 23.1.0.1 0.0.0.3 ar 0
network 11.1.0.2 0.0.0.0 ar 0
exi
int gi0/2
ip ospf network point-to-point
int gi0/3
ip ospf network point-to-point
R3
router ospf 20
router-id 11.1.0.3
yes
network 40.1.0.6 0.0.0.7 ar 0
network 40.1.0.14 0.0.0.7 ar 0
network 23.1.0.2 0.0.0.3 ar 0
network 11.1.0.3 0.0.0.0 ar 0
exi
int gi0/3
ip ospf network point-to-point
12.R1、R2、R3间部署BGP联盟,联盟AS号为100, 使用Loopback接口建立Peer;R1与R2的成员AS号为64512,R3的成员AS号为64523。
R3的成员AS这里使用64513替代
R1
router bgp 64512bgp confederation identifier 100bgp confederation peers 64513bgp log-neighbor-changesneighbor 11.1.0.2 remote-as 64512neighbor 11.1.0.2 update-source Loopback 0
address-family ipv4neighbor 11.1.0.2 activate
R2
router bgp 64512bgp confederation identifier 100bgp confederation peers 64513bgp log-neighbor-changesneighbor 11.1.0.1 remote-as 64512neighbor 11.1.0.1 update-source Loopback 0neighbor 11.1.0.3 remote-as 64513neighbor 11.1.0.3 update-source Loopback 0
address-family ipv4neighbor 11.1.0.1 activateneighbor 11.1.0.3 activate
R3
router bgp 64513bgp confederation identifier 100bgp confederation peers 64512bgp log-neighbor-changesneighbor 11.1.0.2 remote-as 64512neighbor 11.1.0.2 update-source Loopback 0
address-family ipv4neighbor 11.1.0.2 activate
13.运营商R1、R2、R3各自通告EG1、EG2的直连网段到BGP中,以汇总B段静态路由的方式进行发布,当运营商路由器与EG直连链路断开时,可通过其他路由器与EG互通。
R1
router bgp 64512network 20.1.0.0 mask 255.255.255.248network 20.1.0.8 mask 255.255.255.248aggregate-address 20.0.0.0 255.255.0.0R2
router bgp 64512network 30.1.0.6 mask 255.255.255.248network 30.1.0.14 mask 255.255.255.248aggregate-address 30.0.0.0 255.255.0.0
R3
router bgp 64513network 40.1.0.6 mask 255.255.255.248network 40.1.0.14 mask 255.255.255.248aggregate-address 40.0.0.0 255.255.0.0
14.考虑到数据分流及负载均衡的目的,具体要求如下:可通过修改OSPF 路由COST达到分流的目的,且其值必须为5或10;吉林分部有线IPV4用户与互联网互通主路径规划为:S4-S7-EG2;主链路故障时可无缝切换到备用链路上。
修改S6/S7的cost
VSU
int ran gi1/0/1-2
ip ospf cost 10
int ran gi2/0/1-2
ip ospf cost 5
原路径:vlan10下PC用户
修改后路径:
(三)无线网络配置
CII集团公司拟投入9.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划)。
2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。
3.根据表3无线产品价格表,制定该无线网络工程项目设备的预算表。
表3 无线产品价格表
| 产品型号 | 产品特征 | 传输速率(2.4G/最大) | 推荐/最大带点数 | 功率 | 价格(元) |
|---|---|---|---|---|---|
| AP1 | 双频双流 | 300M/1.167G | 32/256 | 100mw | 6000 |
| AP2 | 双频双流 | 300M/600M | 32/256 | 100mw | 11000 |
| AP3 | 单频单流 | 150M | 12/32 | 60mw | 2500 |
| 线缆1 | 10米馈线 | N/A | N/A | N/A | 1600 |
| 线缆2 | 15米馈线 | N/A | N/A | N/A | 2400 |
| 天线 | 双频单流/单频单流 | N/A | N/A | N/A | 500 |
| Switch | 24口POE交换机 | N/A | N/A | 240w | 15000 |
| AC | 无线控制器 | 6*1000M | 32/200 | 40w | 50000 |
4.使用S5作为广州总部无线用户和无线AP的DHCP 服务器。
S5
ip dhcp pool v10
network 194.1.10.254 255.255.255.0
default-router 194.1.10.254
option 138 ip 11.1.0.204 11.1.0.205
ip dhcp pool v20
network 194.1.20.254 255.255.255.0
default-router 194.1.20.254
ip dhcp pool v30
network 194.1.30.254 255.255.255.0
default-router 194.1.30.254
5.创建财务部内网 SSID 为 test-CW_XX(XX现场提供),WLAN ID 为1;创建研发部内网 SSID 为 test-YF_XX(XX现场提供),WLAN ID 为2。
6.AP-Group为ZB,内网无线用户关联SSID后可自动获取地址。
两台AC都创建组,并把AP全部添加进去
7.本部AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去连接时能无缝切换至AC2并提供服务。
AC1
wlan hot-backup 11.1.0.205local-ip 11.1.0.204context 10priority level 7ap-group ZBwlan hot-backup enable
AC2
wlan hot-backup 11.1.0.204local-ip 11.1.0.205context 10ap-group ZBwlan hot-backup enable
8.研发部用户接入无线网络时需要采用WPA2加密方式,加密密码为XX(现场提供);
两台AC同时配置
9.启用白名单校验,仅放通PC2无线终端。
10.要求内网无线网络均启用集中转发模式。
11.为了保障本部每个用户的无线体验,针对WLAN ID 1下的每个用户的下行平均速率为 800KB/s ,突发速率为1600KB/s。
wlan-config 1
wlan-based per-user-limit down-streams average-data-rate 800 burst-data-rate 1600
12.配置AP3最大带点人数为30人。
ap-config AP3
sta-limit 30
13.通过时间调度,要求每周一至周五的21:00至23:30期间关闭研发部无线服务。
14.设置AP2最小接入信号强度为-65dBm。
ap-config AP2
response-rssi 65 radio 1
15.关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)应用接入。
ac-controller
802.11g network rate 1 disabled
802.11g network rate 2 disabled
802.11g network rate 5 disabled
802.11b network rate 1 disabled
802.11b network rate 2 disabled
802.11b network rate 5 disabled
802.11a network rate 6 disabled
802.11a network rate 9 disabled
(四)出口网络配置
因题目未详细说明,这里假设20.x为联通,30.x为电信,40.x为教育网
1.出口网关及出口路由器上进行NAT配置实现总部与分部的所有用户(ACL 110)均可访问互联网,通过NAPT方式将内网用户IP地址转换到互联网接口上。
EG1
ip access-list extended 11010 deny ip 194.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255 20 permit ip 194.0.0.0 0.255.255.255 any
ip nat inside source list 110 interface GigabitEthernet 0/2 overload
EG2
ip access-list extended 11010 deny ip 192.0.0.0 0.255.255.255 194.0.0.0 0.255.255.255 20 permit ip 192.0.0.0 0.255.255.255 any
ip nat inside source list 110 interface GigabitEthernet 0/2 overload
2.广州总部EG1针对访问外网WEB流量限速每IP 1000Kbps,内网WEB总流量不超过50Mbps(策略名称WEB)。
3.广州总部EG1基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。
4.广州总部EG1周一到周五工作时间09:00-17:00(命名为work)阻断并审计P2P应用软件使用(策略名称P2P)。
5.为了实现总部与分部互访数据的安全性,要求使用IPSec对总部到分部的数据流进行加密ACL(编号为101)。为此规划如下:要求使用动态隧道主模式,预共享密码为 test,加密认证方式为 ESP-3DES、ESP-MD5-HMAC,DH使用组2;总分机构间数据通信及加密通过运营商R1联通节点作为中转设备;总部无线IPV4用户与分部IPV4用户互通主路径规划为:AC1-S5-EG1-EG2-S7-S4-S1/S2(EG1/EG2间运行VPN隧道)。
EG1
ip access-list extended 101
permit ip 194.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255
exi
crypto isakmp policy 1encryption 3desauthentication pre-sharehash md5group 2
exi
crypto isakmp key 0 test address 20.1.0.9
crypto ipsec transform-set myset esp-3des esp-md5-hmac
exi
crypto map mymap 10 ipsec-isakmpset peer 20.1.0.9 set transform-set mysetmatch address 101set autoup
exi
int gi0/2
crypto map mymap// 添加一条静态路由,指向EG2。并引进OSPF
ip route 192.0.0.0 255.0.0.0 20.1.0.6
router ospf 10
redistribute static metric-type 1
EG2
ip access-list extended 101
permit ip 192.0.0.0 0.255.255.255 194.0.0.0 0.255.255.255
exi
crypto isakmp policy 1encryption 3desauthentication pre-sharehash md5group 2
exi
crypto isakmp key 0 test address 20.1.0.1
crypto ipsec transform-set myset esp-3des esp-md5-hmac
exi
crypto map mymap 10 ipsec-isakmpset peer 20.1.0.1 set transform-set mysetset autoupmatch address 101
exi
int gi0/2
crypto map mymap// 添加一条静态路由,指向EG1。并引进OSPF
ip route 194.0.0.0 255.0.0.0 20.1.0.14
router ospf 10
redistribute static metric-type 1
隧道建立成功
6.本部与分部用户数据流匹配EG内置联通、电信与教育地址库,实现访问联通资源走联通线路,访问电信资源走电信线路,访问教育网资源走教育网线路。
配置接口IP时,选择一下运营商即可。
系统会默认生成
7.除联通、电信、教育资源之外默认所有数据流在三条线路间进行负载转发。
附录1:拓扑图
附录2:地址规划表
| 设备 | 接口或VLAN | VLAN名称 | 二层或三层规划 | 说明 |
|---|---|---|---|---|
| S1 | VLAN10 | Yanfa | Gi0/1至Gi0/4 | 研发部 |
| VLAN20 | Xiaoshou | Gi0/5至Gi0/8 | 销售部 | |
| VLAN30 | Caiwu | Gi0/9至Gi0/12 | 财务部 | |
| Vlan100 | Manage | 192.1.100.1/24 | 管理与互联VLAN | |
| S2 | VLAN10 | Yanfa | Gi0/1至Gi0/4 | 研发部 |
| VLAN20 | Xiaoshou | Gi0/5至Gi0/8 | 销售部 | |
| VLAN30 | Caiwu | Gi0/9至Gi0/12 | 财务部 | |
| Vlan100 | Manage | 192.1.100.2/24 | 管理与互联VLAN | |
| S3 | VLAN10 | Yanfa | 192.1.10.252/24 | 研发部 |
| VLAN20 | Xiaoshou | 192.1.20.252/24 | 销售部 | |
| VLAN30 | Caiwu | 192.1.30.252/24 | 财务部 | |
| Vlan100 | Manage | 192.1.100.252/24 | 管理与互联VLAN | |
| Gi0/24 | 10.1.0.1/30 | |||
| LoopBack 0 | 11.1.0.33/32 | |||
| S4 | VLAN10 | Yanfa | 192.1.10.253/24 | 研发部 |
| VLAN20 | Xiaoshou | 192.1.20.253/24 | 销售部 | |
| VLAN30 | Caiwu | 192.1.30.253/24 | 财务部 | |
| Vlan100 | Manage | 192.1.100.253/24 | 管理与互联VLAN | |
| Gi0/24 | 10.1.0.5/30 | |||
| LoopBack 0 | 11.1.0.34/32 | |||
| S6/S7 | Gi1/0/1 | 10.1.0.2/30 | ||
| Gi2/0/1 | 10.1.0.6/30 | |||
| Gi1/0/2 | 10.1.0.9/30 | |||
| Gi2/0/2 | 10.1.0.13/30 | |||
| LoopBack 0 | 11.1.0.67/32 | |||
| EG1 | Gi0/0 | 10.1.0.18/30 | ||
| Gi0/2 | 20.1.0.1/29 | |||
| Gi0/3 | 30.1.0.1/29 | |||
| Gi0/4 | 40.1.0.1/29 | |||
| LoopBack 0 | 11.1.0.11/32 | |||
| EG2 | Gi0/0 | 10.1.0.10/30 | ||
| Gi0/1 | 10.1.0.14/30 | |||
| Gi0/2 | 20.1.0.9/29 | |||
| Gi0/3 | 30.1.0.9/29 | |||
| Gi0/4 | 40.1.0.9/29 | |||
| LoopBack 0 | 11.1.0.12/32 | |||
| S5 | VLAN10 | AP | 194.1.10.254/24 | |
| Gi0/1至Gi10 | ||||
| VLAN20 | Caiwu_Wifi | 194.1.20.254/24 | ||
| VLAN30 | Yanfa_Wifi | 194.1.30.254/24 | ||
| Vlan100 | Manage | 194.1.100.254/24 | ||
| Gi0/24 | 10.1.0.17/30 | |||
| LoopBack 0 | 11.1.0.5/32 | |||
| AC1 | Vlan100 | Manage | 194.1.100.251/24 | |
| LoopBack 0 | 11.1.0.204/32 | |||
| AC2 | Vlan100 | Manage | 194.1.100.252/24 | |
| LoopBack 0 | 11.1.0.205/32 | |||
| R1 | Gi0/0 | 20.1.0.6/29 | ||
| Gi0/1 | 20.1.0.14/29 | |||
| Se2/0 | 12.1.0.1/30 | |||
| Loopback0 | 11.1.0.1/32 | |||
| R2 | Gi0/0 | 30.1.0.6/29 | ||
| Gi0/1 | 30.1.0.14/29 | |||
| Se2/0 | 12.1.0.2/30 | |||
| Se3/0 | 23.1.0.1/30 | |||
| Loopback0 | 11.1.0.2/32 | |||
| R3 | Gi0/0 | 40.1.0.6/29 | ||
| Gi0/1 | 40.1.0.14/29 | |||
| Se3/0 | 23.1.0.2/30 | |||
| Loopback0 | 11.1.0.3/32 |