全国职业院校技能大赛 网络搭建与应用赛项 公开赛卷 (十套合卷)

全国职业院校技能大赛

网络搭建与应用赛项

公开赛卷

(十套合卷)

第一部分 网络搭建及安全部署

竞赛总分 400分

竞赛时长 8小时

qq群：1169187367（改变程度解析）

（中职组）网络搭建与应用赛项专家组

12月3日

竞赛说明

一、 竞赛内容分布

本赛卷共分七项，其中：

第一项：职业规范与素养 （50分）

第二项：网络布线与基础连接（50分）

————以下为（350分）————

第三项：交换配置与调试

第四项：路由配置与调试

第五项：无线网络配置

第六项：安全策略配置

第七项：业务选路与组播配置

二、 竞赛注意事项

1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2.请根据大赛所提供的比赛环境，检查所列的硬件设备、软

件及文档清单、材料清单是否齐全，计算机设备是否能正常使用。

3.请参赛选手仔细阅读赛卷，按照要求完成各项操作。

4.操作过程中，需要及时保存配置命令。

5.比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和提交文档为最终结果。

6.比赛完成后，禁止将比赛所用的所有物品（包括赛卷）带离赛场。

7.禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记，如违反规定，可视为 0 分。

8.与比赛相关的软件和《网络搭建及安全部署竞赛结果提交指南》存放在物理机的 D:\soft 文件夹中。

9.请在物理机 PC1 桌面上新建“XXX”文件夹作为“选手目录”，用以保存按照《网络搭建及安全部署竞赛结果提交指南》要求自动生成的全部结果文档。（XXX 为赛位号。举例：1 号赛位，文件夹名称为“001”）重要提示：选手目录如缺少文档，相应分值计为0分。

三、 竞赛说明

1.请根据物理机“D:\soft\网络搭建及安全部署竞赛结果提交指

南.docx”的要求生成文档，将生成的文档复制到选手目录。

2.收集防火墙信息时，需要先调整 SecureCRT 软件字符编号为：

UTF-8（提示：默认是 UTF-8），否则收集的命令行中文信息会显示乱码。

竞赛题目

 项目简介:

某集团公司原在北京建立了总公司，后在成都建立了分公司，又

在广东设立了一个办事处。集团设有营销、产品、法务、财务、人力

5 个部门，统一进行 IP 及业务资源的规划和分配，全网采用 RIP、ISIS、

OSPF 和 BGP 路由协议进行互联互通。

年在党的坚强领导下，全年公司规模保持快速增长，业务数据量和公司访问量增长巨大，不断开创新局面，向着全面建成社会主义现代化强国的第二个百年奋斗目标迈进。为了更好管理数据，提供服务，集团决定在北京建立两个数据中心，在贵州建立异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构演进，更好的服务于公司客户。

集团、成都分公司及广东办事处的网络结构详见拓扑图。编号为 SW-1和SW-2分别作为集团北京两个DC的核心交换机；编号为SW-3 作为灾备DC的核心交换机；两台防火墙编号FW-1和FW-2分别作为集团互联网出口、广东办事处的防火墙；编号为RT-1作为集团的核心路由器；编号为RT-2作为分公司的路由器；一台AC设备作为分公司的有线无线智能一体化控制器，通过与高性能企业级AP配合实现分公司无线覆盖。

请注意：在此典型互联网应用网络架构中，作为IT网络运维人员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后，从客户端进行测试，确保能正常访问到相应应用。

 网络拓扑:

 表 1-网络设备连接表

A设备连接至B设备

设备

名称 接口 设备名称 接口

RT-1 G0/0 RT-2 G0/0

RT-1 G0/1 FW-2 E0/1

RT-1 G0/2 FW-1 E0/1

RT-1 G0/3 SW-2 E0/22

RT-1 S1/0 RT-2 S1/1

RT-1 S1/1 RT-2 S1/0

A设备连接至B设备

设备

名称 接口 设备名称 接口

RT-2 G0/1 AC E1/0/24

RT-2 G0/2 SW-3模拟

Internet交换机 E1/0/18

FW-1 E0/2 SW-3模拟

Internet交换机 E1/0/19

FW-1 E0/3 SW-1 E1/0/21

SW-1 E1/0/22 SW-3 E1/0/21

SW-1 E1/0/26(实现三层

IP业务承载) SW-2 E1/0/26（实现三层

IP业务承载）

SW-1 E1/0/27(实现VPN

业务承载) SW-2 E1/0/27(实现VPN业务承载)

SW-1 E1/0/28(实现二层业务承载) SW-2 E1/0/28(实现二层业务承载)

SW-2 E1/0/21 SW-3 E1/0/22

SW-1 E1/0/15 PC1 NIC

SW-2 E1/0/15 PC2 NIC

AC E1/0/10 AP

 表2-网络设备IP地址分配表

设备名称 设备接口 IP地址

RT-1 Loopback1

(ospfv2、ospfv3、bgp使用) 10.60.255.6/32

2001:10:60:255::6/128

(集团内使用)

Loopback2 10.60.255.7/32

(集团与广东办事处互联使用)

Loopback3 10.60.255.11/32

2001:10:60:254::11/128

(集团与分公司互联使用)

Loopback10 10.60.64.2/32

(模拟集团财务业务使用)

G0/0 10.60.254.37/30

2001:10:60:254::38/127

G0/1 10.60.254.17/30

2001:10:60:254::16/127

G0/2 10.60.254.21/30

2001:10:60:254::18/127

G0/3 10.60.254.25/30

2001:10:60:254::6/127

S1/0 10.60.254.29/30

2001:10:60:254::8/127

S1/1 10.60.254.33/30

2001:10:60:254::A/127

设备名称 设备接口 IP地址

RT-2

Loopback3 10.60.255.12/32

2001:10:60:254::12/128

(分公司与集团互联使用)

Loopback10 10.60.64.3/32

(模拟分公司财务业务使用)

G0/0 10.60.254.38/30

2001:10:60:254::39/127

G0/1.100 172.16.100.254/24

G0/1.200 172.16.200.254/24

2001:172:16:200::254/64

G0/2 202.60.100.1/30

2001:10:40:254::26/127

S1/1 10.60.254.30/30

2001:10:60:254::9/127

S1/0 10.60.254.34/30

2001:10:60:254::B/127

SW-1 Loopback 1

(ospfv2、bgp使用) 10.60.255.1/32

Loopback 2

(ospfv3使用) 10.60.255.2/32

2001:10:60:255::2/128

VLAN10 SVI 10.60.11.254/24

VLAN20 SVI 10.60.12.254/24

2001:10:60:12::254/64

VLAN30 SVI 10.60.13.254/24

2001:10:60:13::254/64

VLAN40 SVI 10.60.14.254/24

VLAN50 SVI 10.60.15.254/24

2001:10:60:15::254/64

VLAN1000 SVI 10.60.254.14/30 2001:10:60:254::14/127

VLAN1001 SVI 10.60.254.6/30

2001:10:60:254::3/127

VLAN4093 SVI 10.60.254.1/30

（实现VPN业务承载）

VLAN4094 SVI 10.60.254.1/30

2001:10:60:254::/127

SW-2 Loopback 1

(ospfv2、bgp使用) 10.60.255.3/32

Loopback 2

(ospfv3使用) 10.60.255.4/32

2001:10:60:255::4/128

VLAN10 SVI 10.60.21.254/24

VLAN20 SVI 10.60.22.254/24

2001:10:60:22::254/64

VLAN30 SVI 10.60.23.254/24

2001:10:60:23::254/64

VLAN40 SVI 10.60.24.254/24

VLAN50 SVI 10.60.25.254/24

2001:10:60:25::254/64

VLAN1000 SVI 10.60.254.10/30

2001:10:60:254::5/127

VLAN1001 SVI 10.60.254.26/30

2001:10:60:254::7/127

VLAN4093 SVI 10.60.254.2/30

（实现VPN业务承载）

VLAN4094 SVI 10.60.254.2/30

2001:10:60:254::1/127

SW-3 Loopback 1

(ospfv2、bgp使用) 10.60.255.8/32

Loopback 2

(ospfv3使用) 10.60.255.9/32

2001:10:60:255::9/128

VLAN10 SVI 10.60.31.254/24

VLAN20 SVI 10.60.32.254/24

2001:10:60:32::254/64

VLAN30 SVI 10.60.33.254/24

2001:10:60:33::254/64

VLAN50 SVI 10.60.35.254/24

2001:10:60:35::254/64

VLAN1000 SVI 10.60.254.5/30

2001:10:60:254::2/127

VLAN1001 SVI 10.60.254.9/30

2001:10:60:254::4/127

SW-3模拟 Internet 交换机 VLAN4000 SVI 202.60.100.2/30

2001:10:40:254::27/127

VLAN4001 SVI 202.60.100.5/30

2001:10:40:254::34/127

Loopback100 202.60.100.100/32

2001:202:50💯:100/128

FW-1 Loopback1 10.60.255.5/32

（trust安全域）

E0/1 10.60.254.22/30

（trust安全域）

2001:10:60:254::19/127

E0/2 202.60.100.6/30

（untrust安全域）

2001:10:40:254::35/127

E0/3 10.60.254.13/30

（trust安全域）

2001:10:60:254::15/127

FW-2 Loopback1 10.60.255.10/32

（trust安全域）

E0/1 10.60.254.18/30

（dmz安全域）

2001:10:60:254::17/127

E0/2.10

（营销网段业务） 172.16.10.254/24

（trust安全域）

E0/2.20

（产品网段业务） 172.16.20.254/24

（trust安全域）

一、 职业规范与素养（50 分）

1.整理赛位，工具、设备归位，保持赛后整洁有序。

2.无因选手原因导致设备损坏。

3.恢复调试现场，保证网络和系统安全运行。

二、 网络布线与基础连接（50 分）

右侧布线面板立面示意图 左侧布线面板立面示意图

【说明】

1.机柜左侧布线面板编号 101；机柜右侧布线面板编号 102。

2.面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B 标准端接。

3.主配线区配线点与工作区配线点连线对应关系如下表所示。

PC1、PC2配线点连线对应关系表

序号 信息点编号 配线架编号 底盒编号 信息点编号 配线架端口编号

1 W1-03-101-1 W1 101 1 03

2 W1-02-102-1 W1 102 1 02

(一) 铺设线缆并端接

1.截取 2 根适当长度的双绞线，两端制作标签，穿过 PVC 线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定。

2.将 2 根双绞线的一端，根据“PC1、PC2 配线点连线对应关系表“的要求，端接在配线架的相应端口上。

3.将 2 根双绞线的另一端，根据“PC1、PC2 配线点连线对应关系表”的要求，端接上 RJ45 模块，并且安装上信息点面板，并标注标签。

(二) 跳线制作与测试

1.再截取 2 根当长度的双绞线，两端制作标签，根据“PC1、

PC2 配线点连线对应关系表”的要求，链接网络信息点和相应计算机，端接水晶头，制作网络跳线，所有网络跳线要求按 568B 标准制作。

2.根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络跳线， 根据题目要求，插入相应设备的相关端口上；（包括设备与设备之间、设备与配线架之间）；

3.实现 PC、信息点面板、配线架、设备之间的连通；（提示：可利用机柜上自带的设备进行通断测试）。

4.按照“PC1、PC2 配线点连线对应关系表”连接机柜两侧底盒端口。

三、 交换配置与调试

(一)为了减少广播，需要根据题目要求规划并配置 VLAN。要求配置合理，所有链路上不允许不必要 VLAN 的数据流通过，包含 VLAN1。核心交换机 SW-1 和核心交换机 SW-2 之间实现二层业务承载的裸光缆通道目前暂时只允许 VLAN10、VLAN20、VLAN30、VLAN40、VLAN50 通过，禁止配置 VLAN 及接口的描述信息。根据下述信息及表，在交换机上完成 VLAN 配置和端口分配。

设备 VLAN编号 端口 说明（非VLAN描述信息）

SW-1 VLAN10 E1/0/1 营销1段

VLAN20 E1/0/2 产品1段

VLAN30 E1/0/3 法务1段

VLAN40 E1/0/4 财务1段

VLAN50 E1/0/5 人力1段

SW-2 VLAN10 E1/0/1 营销2段

VLAN20 E1/0/2 产品2段

VLAN30 E1/0/3 法务2段

VLAN40 E1/0/4 财务2段

VLAN50 E1/0/5 人力2段

SW-3 VLAN10 E1/0/1 营销3段

VLAN20 E1/0/2 产品3段

VLAN30 E1/0/3 法务3段

VLAN50 E1/0/5 人力3段

(二)SW-1 和核心交换机 SW-2 之间线路租用运营商三条裸光缆通道实现两个 DC 之间互通，一条裸光缆通道实现三层 IP 业务承载、一条裸光缆通道实现 VPN 业务承载、一条裸光缆通道实现二层业务承载。核心交换机 SW-1 与核心交换机 SW-3 之间、核心交换机 SW-2 与核心交换机 SW-3 之间租用运营商 OTN 波分链路实现互通。具体要求如下：

1.为了节约集团成本，设计实现 VPN 业务承载的裸光缆通道带宽只有 10Mbps

2.后续再根据业务使用情况考虑是否扩容；使用相关技术分别实现集团财务 1 段、财务 2 段业务路由表与集团其它业务网段路由表隔离，财务业务位于 VPN 实例名称 CW 内。

3.配置实现三层 IP 业务承载的裸光缆通道最大传输单元为

1700Bytes，满足后续集团双 DC VXLAN、EVPN 等新技术应用。

4.目前设计实现二层业务承载的只有一条裸光缆通道，随着集团 1#DC 服务器数量快速扩容，预计未来 2-3 年集团 1#DC 与

2#DC 间服务器大二层流量会呈现爆发式增长，配置相关技术，方便后续链路扩容与冗余备份，编号为 1。

5.配置核心交换机 SW-1、SW-2、SW-3 采用源、目的 IP 进行实现流量负载分担。

6.核心交换机 SW-3 针对每个业务 VLAN 的第一个接口配置Loopback 命令，模拟接口 UP，方便后续业务验证与测试。

(三)SW-1 和核心交换机 SW-2 针对营销业务网段的每个物理接口限制收、发数据占用的带宽分别为 100Mbps、90Mbps；针对产品业务网段的每个物理接口限制所有报文最大收包速率为 100packets/s，如果超过了设置交换机端口的报文最大收包速率则关闭此端口，10 分钟后再恢复此端口，来保证交换机对其他业务的正常处理。

(四)要求禁止配置访问控制列表，实现核心交换机 SW-3 法务业务对应的物理端口间二层流量无法互通；针对 SW-3 人力业务配置相关特性，每个端口只允许的最大安全 MAC 地址数为 1，当超过设定 MAC 地址数量的最大值，不学习新的 MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留；配置相关特性实现报文上送设备 CPU 的前端整体上对攻击报文进行拦截，开启日志记录功能，采样周期 10s 一次，恢复周期为 2 分钟，从而保障 CPU 稳定运行。

(五)SW-1、SW-2、SW-3 分别配置简单网络管理协议，计划启用 V3 版本，V3 版本在安全性方面做了极大的扩充。配置引擎号分别为 62001、62002、6；创建认证用户为，采用 3des 算法进行加密，密钥为：，哈希算法为 SHA，密钥为：；加入组DCN，采用最高安全级别；配置组的读、写视图分别为：_R、_W；当设备有异常时，需要使用本地的环回地址 Loopback2 发送 Trap 消息至集团网管服务器 10.60.15.120、2001:10:60:15::120，采用最高安全级别；当人力部门对应的用户接口发生 UP/DOWN 事件时禁止发送 trap 消息至上述集团网管服务器。

(六)使用相关技术将核心交换机 SW-3 模拟为 Internet 交换机，实现与集团其它业务网段路由表隔离，Internet 路由表位于VPN 实例名称 Internet 内。

(七)配置相关功能，使核心交换机 SW-1、核心交换机 SW-2、核心交换机 SW-3 设备能够在网络中相互发现并交互各自的系统及配置信息，以供管理员查询两端接口对应关系及判断链路的通信状况；配置所有使能此功能的端口发送更新报文的时间间隔为 1 分钟、更新报文所携带的老化时间为 5 分钟，配置租用运营商三条裸光缆通道相关端口使能 Trap 功能，Trap 报文发送间隔为 1 分钟。

(八)配置相关功能，使集团核心交换机 SW-1 和 SW-2 设备能够在网络中相互发现并交互各自的系统及配置信息，以供管理员查询两端接口对应关系及判断链路的通信状况。

(九)因集团营销人员较多、同时也为了节约成本，在集团接入交换机下挂两个 8 口 HUB 交换机实现营销部接入，已经为营销业务 VLAN 分配 IP 主机位为 1-14，在集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发，对 IP 不在上述范围内的用户发来的数据包，交换机不能转发，直接丢弃, 要求禁止采用访问控制列表实现。

(十)SW-1 与 SW-2 之间的互连采用光纤接口且跨楼层，当发现单向链路后，要求自动地关闭互连端口；发送握手报文时间间隔为 5s, 以便对链路连接错误做出更快的响应，如果某端口被关闭，经过 30 分钟，该端口自动重启。

(十一)已知 SNTP Server 为 202.120.2.101，该服务器时间是国 际标准时间，请在所有交换机上配置该功能，保证交换机的时钟 和北京时间一致。 ）

(十二)为方便用户日志查询管理，现需要把 SW-1、SW-2、SW-3 的时间在每年 4 月第一个星期日 23:00 到这一年的 10 月最后一个 星期日 00:00，实行夏令时，时钟偏移量为 2 小时，命名为 Time。

(十三)防止终端产生 MAC 地址泛洪攻击，在 SW-1，SW-2 的 所有业务端口设置开启端口安全功能，配置端口允许的最大安全 MAC 数量为 20，发生违规阻止后续违规流量通过，关闭端口，恢复时间为 3 分钟。

(十四)集团预采购多个厂商网流分析平台对集团整体流量进 行监控、审计，分别连接在两台核心交换机 E1/0/10-E1/0/11 接口测试VLAN300作为远程端口镜像VLAN，Ethernet1/0/12作为反射端口，将核心交换机与接入交换机、路由器互连流量提供给多个 厂商网流分析平台。（红字补充题目）

四、 路由配置与调试

(一) 规划集团内部、集团与广东办事处之间使用OSPF协议，

集团内使用进程号为 1，集团与广东办事处间使用进程号为 2，具体要求如下：

1.核心交换机 SW-1 与 FW-1 之间、核心路由器 RT-1 与 FW-1 之间、核心路由器 RT-1 与 SW-2 之间、SW-1 与 SW-2 之间、SW-1 与 SW-3、SW-2 与 SW-3 均属于骨干区域；RT-1 与 FW-2 之间属于普通区域，区域号为 20。

2.调整 OSPF 进程号 1 所有接口发送 Hello 包的时间间隔为 5 秒，如果接口在 3 倍时间内都没有收到对方的 Hello 报文，则认为对端邻居失效。

3.RT-1、SW-1、SW-2、SW-3、FW-1、FW-2 分别发布自己的环回地址路由；SW-1、SW-2、SW-3 只允许发布营销网段业务路由；FW-2 分别发布自身营销、产品网段业务路由。

4.核心交换机 SW-1、SW-2、SW-3 OSPF 进程 1 的路由表中业务网段路由只允许学习到 FW-1 通告的 TYPE1 类型的缺省路由、集团营销业务网段路由、FW-2 环回地址与营销业务网段路由；由于 FW-2 路由条目支持数量有限，禁止学习到集团、分公司的所有互联地址与业务路由。

(二)规划核心交换机 SW-1 与 SW-2 之间、SW-1 与 SW-3 之间、SW-2 与 SW-3、SW-2 与 RT-1 之间使用 OSPFv3 协议，均属于骨干区域，发布相应环回地址，禁止发布业务路由；SW-1 与SW-2之间通过两端三层IP 业务承载的裸光缆通道进行互联互通。

(三)规划集团核心路由器 RT-1 与分公司路由器 RT-2 之间运行 ISIS 协议，实现两端环回地址3 之间的互通。使用进程号为 10，设置路由器类型是 Level-2，接口网络类型为点到点链路，通过配置相关验证功能，验证密码为：Skills，验证密码将会按照设定的方式封装到 Level-2 报文中，并对收到的 Level-2 报文进行验证密码的检查，防止将不可信的路由信息注入当前路由域。

(四)为了方便业务灵活调度，同时还规划集团北京两个 DC 与集团灾备 DC 之间、集团与分公司之间使用 BGP 协议，集团北京两个 DC 使用的 AS 号为 6、集团灾备 DC 使用的 AS 号为6、分公司使用的 AS 号为 6，具体要求如下：

1.核心交换机 SW-1 与 SW-2 之间、SW-1 与 RT-1 之间、SW-2 与 RT-1 之间通过 OSPFv2 环回地址建立 IBGP 邻居，SW-1 与 SW-3 之间、SW-2 与 SW-3 之间、核心路由器 RT-1 与分公司路由器 RT-2 之间通过互联地址建立 EBGP 邻居。

2.使用 BGP 协议实现集团 DC 之间 IPV6 业务、集团与分公司之间 IPV6 业务、北京 DC 之间财务业务互联互通，满足集团 DC 之间、集团与分公司之间 IPV6 及北京 DC 之间财务业务发展的需要；其中要求 SW-1、SW-2、SW-3 之间实现 DC 间 IPV6 业务互联互通需使用环回地址建立 BGP 邻居；集团与分公司之间 IPV6 业务互联互通要求 SW-1、SW-2 与 RT-1 使用环回地址建立 BGP 邻居、核心路由器 RT-1 与分公司路由器 RT-2 采用互联地址建立 BGP 邻居。

3.要求北京两个 DC 与贵州 DC、分公司路由器 RT-2 禁止发布除产品、法务、财务、人力、无线业务网段外的其它路由；

4.SW-1、SW-2、SW-3 BGP 公网路由表中只允许学习到集团DC 间产品& 法务&人力业务网段、广东办事处产品业务网段路由、分公司无线业务业务网段路由。

5.利用 BGP 相关功能特性，减少网络不稳定带来的过多的路由更新，抑制这些不稳定的路由信息，不允许这类路由参与路由选择。

(五) 为了合理分配集团内业务流向，保证来回路径一致，业务选路具体要求如下：

1.实现核心交换机 SW-1 与分公司路由器 RT-2、广东办事处

IPV4 互访流量优先通过 SW-1_SW-2_RT-1 之间链路转发，

SW-1_FW-1_RT-1 之间链路作为备用链路；实现核心交换机 SW-2 与分公司路由器 RT-2、广东办事处 IPV4 互访流量优先通过 SW-2_RT-1 之间链路转发，SW-2_SW-1_FW-1_RT-1 之间链路作为备用链路。

2.实现核心交换机 SW-1 与 Internet 互访流量优先通过

SW-1_FW-1 之间链路转发，SW-1_SW-2_RT-1_FW-1 之间链路作为备用链路；实现核心交换机 SW-2 与 Internet 互访流量优先通过 SW-2_SW-1_FW-1 之间链路转发，SW-2_RT-1_FW-1 之间链路作为备用链路。

3.核心交换机 SW-3 与 SW-1、SW-2 IPv4 营销业务互访流量优先通过 SW-3_SW-2 之间链路转发，SW-3_SW-1 之间链路作为备用链路；实现 SW-3 与 SW-1、SW-2 DC 间 IPV6 业务互访流量优先通过 SW-3_SW-1 之间链路转发，SW-3_SW-2 之间链作为备用链路

(六)FW-1 集团 RT-1_RT-2 之间配置 RIPng，无线 IPv6 用户优先通过 RT-2 访问 INTERNET,RT-2 -FW1 为备份线路，如备份线路启用则优先使用专线传送数据；

(七)北京 1#DC 和分公司之间用相关特性，实现无线的 IPv6终端与产品业务的 IPv6 终端可以通过 RIPng 互访

五、 无线网络配置

(一)分公司无线控制器 AC 与 RT-2 互连，无线业务网关位于 RT-2 上，配置 VLAN100 为 AP 管理 VLAN，VLAN200，201

为业务 VLAN；AC 提供无线管理与业务的 DHCP 服务，动态分配 IP 地址和网关；分别使用第一个可用地址作为 AC 管理地址和无线业务管理地址；IP 二层自动注册，AP 采用 MAC 地址认证。

(二)配置一个 SSID ，访问 Internet 业务，采用 WPA-PSK 认证方式，加密方式为 WPA 个人版，配置密钥为

(三)配置所有无线接入用户相互隔离，Network 模式下限制

SSID 每天早上 0 点到 4 点禁止终端接入，开启 SSID ARP 抑制功能；配置当无线终端支持 5GHz 网络时，优先引导接入 5GHz 网络，从而获得更大的吞吐量，提高无线体验。

(四)配置一个 SSID XXX_IPv6，属于VLAN201，访问 Internet 业务，用户接入无线网络时需要采用基于 WPA-personal 加密方式，其口令为“12345678”，该网络中的用户从RT-2 DHCP 获取 IPv6 地址，地址范围为：2001:172:40:201::254/64。

(五)配置2 个SSID，分别为“skills-2.4”和“skills-5.0”。

“skills-2.4”对应业务Vlan 200，使用 network 200,用户接入无线网络时需要采用基于WPA-personal加密方式，其口令“12345678”； “skills-5.0”对应业务 Vlan201，使用 network 201，不需要认证，隐藏 SSID，“skills-5.0”的 SSID 只使用倒数第一个可用 VAP 发送5.0G 信号。

(六)配置当 AP 上线，如果 AC 中储存的 Image 版本和 AP 的 Image 版本号不同时，会触发 AP 自动升级；配置 AP 发送向无线终端表明 AP 存在的帧时间间隔为 1 秒；配置 AP 失败状态超时时间及探测到的客户端状态超时时间都为 2 小时。

(七)保障无线信息的覆盖性，无线 AP 的发射功率设置为 90%。禁止 MAC 地址为 80-45-DD-77-CC-48 的无线终端连接。针 对 skills-5.0 开启内置 portal+本地认证的认证方式，账号为密码为 12345678，组编号为 1。

(八)AP 在收到错误帧时，将不再发送 ACK 帧；打开 AP 组播广播突发限制功能；开启 Radio 的自动信道调整(默认开启)，每天上午 7:00 触发信道调整功能。

(九)通过配置防止多 AP 和 AC 相连时过多的安全认证连接 而消耗 CPU 资源，检测到 AP 与 AC 在 10 分钟内建立连接 5 次就 不再允许继续连接，两小时后恢复正常。

(十)为方便合理使用带宽，要求针对 SSID 为“skills-2.4”下 的用户进行带宽控制。对用户上行速率没有限制，但是针对下行 速率要求普通用户的最大速率只能使用 2Mbps，在使用视频会议 时候最大带宽可以达到 4Mbps。最终给要求限制用户上行下行速 率不能超过 8Mbps。控制列表名称、分类名称、策略名称均为 ShiPin。

六、 安全策略配置

说明：为了统一结果，要求源地址和目的地址均使用“IP/掩码” 表示，禁止使用地址薄或地址条目表示，否则按零分处理。举例截图如下：

(三)根据题目要求配置 FW-1、FW-2 相应的业务安全域、业务接口； 年护网行动开展在即，调整全网防火墙安全策略缺省规则为拒绝；限制 FW-1 只允许集团营销业务、分公司无线 IPV4 业务、广东办事处营销业务访问 Internet 业务；在 FW-2 上限制广东办事处产品业务网段只可以访问集团产品网段 https、mysql 数据库类型业务，集团营销网段可以访问广东办事处营销业务网段任何端口。

(四)为了避免集团内部业务直接映射至 Internet 成为攻击

“靶心”，不断提升集团网络安全体系建设，在 FW-1 配置 L2TP VPN，名称为 VPN，满足远程办公用户通过拨号登陆访问集团营销业务，创建隧道接口为 tunnel 1、并加入 untrust 安全域，地址池 名 称 为 AddressPool ， LNS 地 址 池 为

10.60.253.1/24-10.60.253.100/24，网关为最大可用地址，认证账号

001,密码 。

(五)在 FW-1 配置网络地址转换，NAT 地址转换条件中源、目的 IP 均为 any，公网 NAT 地址池为：202.60.21.0/28；保证每一个源 IP 产生的所有会话将被映射到同一个固定的 IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至

10.60.11.120 的 UDP 514 端口；开启相关特性，实现扩展 NAT 转换后的网络地址端口资源。

(六)在 FW-2 开启安全网关的 TCP SYN 包检查功能，只有检查收到的包为 TCP SYN 包后，才建立连接；配置所有的 TCP 数据包每次能够传输的最大数据分段为 1460，尽力减少网络分片；配置对 TCP 三次握手建立的时间进行检查，如果在 1 分钟内未完成三次握手，则断掉该连接。

(七)FW-1 的出口带宽为 800Mbps，为集团内研发、营销、行政、财务 4 个业务网段更加合理使用出口资源，要求出口口带宽小于 480Mbps 时，每 IP 上下行最大 5Mbps 带宽；出口带宽大于 720Mbps 时，每 IP 上下行最大 2Mbps 带宽，规则名称为 JT。同时要求在流量变化期间带宽增长速率为 2 倍，在任何时候都要确保网页访问服务占每 IP 带宽的 40%。

(八)为防止集团内部收到垃圾邮件，请在防火墙上配置邮箱过滤，规则名称和类别名称均为“商业中心”，过滤含有“商业中心”字样的邮件。

(九)为保证集团 Internet 出口线路，在 FW-1 上使用相关技 术，通过 ping 监控外网网关地址，监控对象名称为 Track， 每隔 5S 发送探测报文，连续 10 次收不到监测报文，就认为线路故障， 直接关闭外网接口。FW-1 要求内网每个 IP 限制会话数量为 300。

(十)FW-2 上配置 SSL 方式的远程接入 VPN，VPN 名称为 SSLVPN，认证账号 user01,密码 skills001，拔入的计算机获取的 IP 地址段为 172.16.0.40-100，地址池名称为 VPNPool。要求在外 办公用户拨入通过 8889 端口进行 VPN 认证及数据传输。

(十一)广州办事处只有 100M Internet 出口，在广州办事处防火墙上限制该业务网段每个 IP 上下行最多 4M 带宽；对 Internet 出口 http 流量整形到 10Mbps，从而实现流量精细化控制，保障办事处其它关键应用和服务的带宽。

(十二)正常情况下集团 FW1 与分公司 RT-2 使用 BGP 连接， 当连接断开时，集团 FW1 与分公司 RT-2 使用公网 VPN 作为备份 链路，VPN 要求如下：集团 FW1 与分公司 RT-2 使用与 Internet 的接口互联地址建立 GRE 隧道，再使用 IPSEC 技术对 GRE 隧道 进行保护，使用 IKE 协商 IPSec 安全联盟、交换 IPSec 密钥，两 端加密访问列表名称都为 ipsecacl，这样有了 IPSec，集团与分公 司在通过运营商网络传输时，就不用担心被监视、篡改和伪造。

(十三)为确保北京与广东之间业务数据的安全可靠性，两地防火墙之间使用 Internet 之间建立 GRE 隧道，使用 IPSec 技术对 GRE 隧道进行保护，使用 IKE 协商自行设置 IPSec 安全联盟、交换 IPSec 密钥。

(十四)计划在集团与分公司间进行 BGP MPLS VPN 试点测试，为下一步实现集团内、集团与分公司间多业务承载&多业务互访隔离、信息安全等级保护测评、Segment Routing 等新需求逐步提供技术支撑，助力集团数据化转型。具体要求如下：

1．在集团核心路由器 RT-1 与分公司路由器 RT-2 间运行多协议标签交换、标签分配协议；

2．在集团核心路由器 RT-1 与分公司路由器 RT-2 间创建财务业务测试 VPN 实例，名称为 CW，规划 RT、RD 值为 :，将环回地址 10 加入财务业务测试 VPN 实例；

3．使用两端环回地址 3 建立 VPNV4 邻居，实现两端环回地

址 10(财务业务测试)互通。

七、 业务选路与组播配置

(一) 考虑到从北京两个 DC 与贵州 DC 之间共有两条链路，贵州 DC 产品业务网段与北京两个 DC 产品业务网段 IPV4 协议栈互访优先在 SW-3 与 SW-1 之间链路转发；贵州 DC 法务&人力网段与北京两个 DC 法务&人力网段 IPV4 协议栈互访优先在 SW-3 与 SW-2 之间链路转发，主备链路相互备份。根据以上需求，在交换机上进行合理的业务选路配置。具体要求如下：

1.使用 IP 前缀列表匹配上述业务数据流。

2.使用 BGP 自治系统路径属性进行业务选路，允许新增的变量为 AS 62000，只允许使用 route-map 来改变路径属性、路由控制。

(二) 前年集团内部完成视频会议系统组播功能的测试与上线，获得了良好演示效果与集团高层领导高度认可。为了更加方便集团与分公司多业务部门横向沟通、交流，提升工作效率，计划在集团营销与分公司无线业务部门间启用组播协议进行测试，具体要求如下：

1.在 SW-1 与 SW-2 之间、核心路由器 RT-1 与 SW-2 之间、

核心路由器 RT-1 与 RT-2 之间运行协议独立组播－密集模式协议、因特网组管理协议第二版本。

2.SW-1营销业务部门内部终端启用组播，此终端IP地址为：

10.60.11.234/24，使用 VLC 工具串流播放视频文件“大赛宣传片.mp4”，模拟组播源，设置此视频循环播放，组地址 228.50.50.50，端口：，实现分公司无线业务部门内部终端可以通过组播查看视频播放。