2023年全国职业院校技能大赛(网络系统管理赛项)样题一

2023****年全国职业院校技能大赛

GZ073****网络系统管理赛项

赛题第1套

模块A：网络构建

任务清单… 1

（一）基础配置… 1

（二）有线网络配置… 1

（三）无线网络配置… 3

（四）出口网络配置… 4

（五）网络运维配置… 4

（六）SDN网络配置… 5

附录1：拓扑图… 5

附录2：地址规划表… 6

任务清单

（一）基础配置

1.根据附录1、附录2，配置设备接口信息。

2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、admin1234；密码为明文类型，特权密码为admin。

ena ser ssh
ena pass admin1234
userna admin pass admin1234
line vty 0 4
login local
tr in ssh

3.交换机配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test”，只读的Community为“public”，开启Trap消息。

snmp com Test rw
snmp com public ro
snmp en tr
snmp host 172.16.0.254 tr v 2c Test
snmp host 172.16.0.254 tr v 2c public

（二）有线网络配置

1.在全网Trunk链路上做VLAN修剪。

S3/S4
int r g0/21-22
port-group 1 mode active
int ag 1
sw mo tr 
sw tr native vlan 100 
sw tr all vlan on 10,20,30,40,50,60,100
int  g0/1
sw mo tr
sw tr native vlan 100
sw tr all vlan on 10,20,30,40,50,60,100
exit#S1
int range g0/23-24
sw mo tr
sw tr native vlan 100
sw tr all vlan on 10,20,30,40,50,60,100
exit
int range g0/21-22
sw mo tr
sw tr na vlan 50
sw tr all vlan on 50,60
exit#S5
int r g0/1-2
sw mo tr
sw tr nat vlan 100
sw tr all vlan on 100#AC1/AC2
int g0/1
sw mo tr
sw tr na vlan 100 
sw tr all vlan on 100#S7
int g0/23
sw mo tr 
sw tr na vlan 50
sw tr all vlan on 50,60

2.为隔离部分终端用户间的二层互访，在交换机S1的Gi0/1-Gi0/10端口启用端口保护。

int ran gi0/1-10
switchport port-security

3.为规避网络末端接入设备上出现环路影响全网，要求在总部接入设备S1进行防环处理。具体要求如下：终端接口开启BPDU防护不能接收BPDU报文；终端接口下开启RLDP防止环路，检测到环路后处理方式为Shutdown-Port；连接PC终端的所有端口配置为边缘端口；如果端口被BPDU Guard检测进入Err-Disabled状态，再过300秒后会自动恢复（基于接口部署策略），重新检测是否有环路。

int ran gi0/1-10
rldp enable
rldp port loop-detect shutdown-port
spanning-tree bpduguard enable 
spanning-tree autoedge //边缘端口
errdisable recovery interval 300 //bpdu guard err 300s

4.在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继，使得总部PC1用户使用DHCP Relay方式获取IP地址。

为了防御动态环境局域网伪DHCP服务欺骗，在S1交换机部署DHCP Snooping功能。

S3/S4
service dhcp
ip heloper-address 11.1.0.11
S1
ip route 0.0.0.0 0.0.0.0 192.1.100.254
ip dhcp snooping 
int r g0/23-24
ip dhcp snooping trust

DHCP服务器搭建于EG1上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback 0地址。

#EG1
service dhcp					
ip dhcp pool Pool_VLAN10network 192.1.10.0 255.255.255.0default-router 192.1.10.254exit

7.在总部交换机S1、S3、S4上配置MSTP防止二层环路；要求VLAN10、VLAN20、VLAN50、VLAN60、VLAN100数据流经过S3转发，S3失效时经过S4转发；VLAN30、VLAN40数据流经过S4转发，S4失效时经过S3转发。所配置的参数要求如下：region-name为test；revision版本为1；S3作为实例1的主根、实例2的从根，S4作为实例2的主根、实例2的从根；生成树优先级可设置为4096、8192或保持默认值；

S3:
spanning-tree mst configurationrevision 1name testinstance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-49, 51-59, 61-4094instance 1 vlan 10, 20, 50, 60，100instance 2 vlan 30, 40
!
spanning-tree mst 1 priority 4096
spanning-tree mst 2 priority 8192S4:
spanning-tree mst configurationrevision 1name testinstance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-49, 51-59, 61-4094instance 1 vlan 10, 20, 50, 60，100instance 2 vlan 30, 40
!
spanning-tree mst 1 priority 8192
spanning-tree mst 2 priority 4096S1:
spanning-tree mst configurationrevision 1name testinstance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-49, 51-59, 61-4094instance 1 vlan!10, 20, 50, 60，100instance 2 vlan 30, 40

在S3和S4上配置VRRP，实现主机的网关冗余，所配置的参数要求如下表；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。

S3:
int vlan 10
vrrp 10 ip 192.1.10.254vrrp 10 priority 150
int vlan 20
vrrp 20 ip 192.1.20.254vrrp 20 priority 150
int vlan 30
vrrp 30 ip 192.1.30.254vrrp 30 priority 120
int vlan 40
vrrp 40 ip 192.1.40.254vrrp 40 priority 120
int vlan 50
vrrp 50 ip 192.1.50.254vrrp 50 priority 150
int vlan 60
vrrp 60 ip 192.1.60.254vrrp 60 priority 150
int vlan 100
vrrp 100 ip 192.1.100.254vrrp 100 priority 150

S4:
int vlan 10
vrrp 10 ip 192.1.10.254vrrp 10 priority 120
int vlan 20
vrrp 20 ip 192.1.20.254vrrp 20 priority 120
int vlan 30
vrrp 30 ip 192.1.30.254vrrp 30 priority 150
int vlan 40
vrrp 40 ip 192.1.40.254vrrp 40 priority 150
int vlan 50
vrrp 50 ip 192.1.50.254vrrp 50 priority 120
int vlan 60
vrrp 60 ip 192.1.60.254vrrp 60 priority 120
int vlan 100
vrrp 100 ip 192.1.100.254vrrp 100 priority 120

表1 S3和S4的VRRP参数表

VLAN	VRRP备份组号（VRID）	VRRP虚拟IP
VLAN10	10	192.1.10.254
VLAN20	20	192.1.20.254
VLAN30	30	192.1.30.254
VLAN40	40	192.1.40.254
VLAN50	50	192.1.50.254
VLAN60	60	192.1.60.254
VLAN100(交换机间)	100	192.1.100.254

9.总部与分部内网均使用OSPF协议组网，总部、分部与互联网间使用静态路由协议。

EG1:
ip route 0.0.0.0 0.0.0.0 20.1.0.2
R1:
ip route  192.1.0.0 255.255.0.0 20.1.0.1
ip route 20.0.0.0 255.0.0.0 Null 0EG2:
ip route  0.0.0.0 0.0.0.0 30.1.0.2
R2:
ip route  193.1.0.0 255.255.0.0 30.1.0.1
ip route 30.0.0.0 255.0.0.0 Null 0R3:
R3(config)#ip route  11.1.0.204  255.255.255.255 40.1.0.1
R3(config)#ip route  11.1.0.205  255.255.255.255 40.1.0.1S5:
ip route 0.0.0.0 0.0.0.0 40.1.0.2
ip route 11.1.0.204 255.255.255.255 194.1.100.2
ip route 11.1.0.205 255.255.255.255 194.1.100.3AC1
ip route   0.0.0.0 0.0.0.0 194.1.100.254AC2
ip route   0.0.0.0 0.0.0.0 194.1.100.254

具体要求如下：总部S3、S4、EG1间运行OSPF，进程号为10，规划单区域0；分部S7、EG2间运行OSPF，进程号为20，规划单区域0

S3/S4/EG1

S3:
router ospf 10router-id 11.1.0.33graceful-restartnetwork 10.1.0.0 0.0.0.3 area 0network 11.1.0.33 0.0.0.0 area 0network 192.1.10.0 0.0.0.255 area 0network 192.1.20.0 0.0.0.255 area 0network 192.1.30.0 0.0.0.255 area 0network 192.1.40.0 0.0.0.255 area 0network 192.1.50.0 0.0.0.255 area 0network 192.1.60.0 0.0.0.255 area 0network 192.1.100.0 0.0.0.255 area 0S4:router ospf 10network 10.1.0.4 0.0.0.3 area 0network 11.1.0.34 0.0.0.0 area 0network 192.1.10.0 0.0.0.255 area 0network 192.1.20.0 0.0.0.255 area 0network 192.1.30.0 0.0.0.255 area 0network 192.1.40.0 0.0.0.255 area 0network 192.1.50.0 0.0.0.255 area 0network 192.1.60.0 0.0.0.255 area 0network 192.1.100.0 0.0.0.255 area 0EG1:router ospf 10router-id 11.1.0.31graceful-restartredistribute static subnetsnetwork 10.1.0.0 0.0.0.3 area 0network 10.1.0.4 0.0.0.3 area 0network 11.1.0.11 0.0.0.0 area 0
default-information originate metric 1 metric-type 1EG2:router ospf 20router-id 11.1.0.12graceful-restartnetwork 10.1.0.12 0.0.0.3 area 0network 10.1.0.16 0.0.0.3 area 0network 11.1.0.12 0.0.0.0 area 0default-information originate metric 1 metric-type 1S7:router ospf 20router-id 11.1.0.67graceful-restartpassive-interface VLAN 10passive-interface VLAN 20passive-interface VLAN 50passive-interface VLAN 60network 10.1.0.12 0.0.0.3 area 0network 10.1.0.16 0.0.0.3 area 0network 11.1.0.67 0.0.0.0 area 0network 193.1.10.0 0.0.0.255 area 0network 193.1.20.0 0.0.0.255 area 0network 193.1.50.0 0.0.0.255 area 0network 193.1.60.0 0.0.0.255 area 0network 193.1.100.0 0.0.0.255 area 0

服务器区使用静态路由组网；重发布路由进OSPF中使用类型1。

#AC1/AC2
ip route 0.0.0.0 0.0.0.0 194.1.100.254
#S5
ip route 0.0.0.0 0.0.0.0 40.1.0.2
ip route 11.1.0.204 255.255.255.255 194.1.100.2
ip route 11.1.0.205 255.255.255.255 194.1.100.3

10.总部与分部部署IPv6网络实现总分机构内网IPv6终端可通过无状态自动从网关处获取地址。IPv6地址规划如下：

表2 IPv6地址规划表

#S3
int vlan 10 
ipv6 enable
ipv6 add 2001:192:10::252/64
int vlan 20 
ipv6 enable
ipv6 add 2001:192:20::252/64
int vlan 30 
ipv6 enable
ipv6 add 2001:192:30::252/64
int vlan 40 
ipv6 enable
ipv6 add 2001:192:40::252/64
int vlan 50 
ipv6 enable
ipv6 add 2001:192:50::252/64
int vlan 60 
ipv6 enable
ipv6 add 2001:192:60::252/64
int vlan 100 
ipv6 enable
ipv6 add 2001:192:100::252/64#S4
int vlan 10 
ipv6 enable
ipv6 add 2001:192:10::253/64
int vlan 20 
ipv6 enable
ipv6 add 2001:192:20::253/64
int vlan 30 
ipv6 enable
ipv6 add 2001:192:30::253/64
int vlan 40 
ipv6 enable
ipv6 add 2001:192:40::253/64
int vlan 50 
ipv6 enable
ipv6 add 2001:192:50::253/64
int vlan 60 
ipv6 enable
ipv6 add 2001:192:60::253/64
int vlan 100 
ipv6 enable
ipv6 add 2001:192:100::253/64

11.在S3和S4上配置VRRP for IPv6，实现主机的IPv6网关冗余；在S3和S4上VRRP与MSTP的主备状态与IPV4网络一致。

#S3
int vlan 10 
vrrp 10 ipv6  fe80::1
vrrp 10 ipv6  2001:192:10::254
vrrp ipv6 10 pri 150
vrrp ipv6 10 accept_mode 
int vlan 20
vrrp 20 ipv6 fe80::1
vrrp 20 ipv6 2001:192:20::254
vrrp ipv6 20 pri 150
vrrp ipv6 20 accept_mode
int vlan 30
vrrp 30 ipv6 fe80::1
vrrp 30 ipv6  2001:192:30::254
vrrp ipv6 30 pri 120
vrrp ipv6 30 accept_mode
int vlan 40
vrrp 40 ipv6  fe80::1
vrrp 40 ipv6  2001:192:40::254
vrrp ipv6 40 pri 120
vrrp ipv6 40 accept_mode
int vlan 50
vrrp 50 ipv6  fe80::1
vrrp 50 ipv6  2001:192:50::254
vrrp ipv6 50 pri 150
vrrp ipv6 50 accept_mode
int vlan 60
vrrp 60 ipv6  fe80::1
vrrp 60 ipv6  2001:192:60::254
vrrp ipv6 60 pri 150
vrrp ipv6 60 accept_mode
int vlan 100
vrrp 100 ipv6  fe80::1
vrrp 100 ipv6  2001:192:100::254
vrrp ipv6 100 pri 150
vrrp ipv6 100 accept_mode#S4
int vlan 10 
vrrp 10 ipv6  fe80::1
vrrp 10 ipv6  2001:192:10::254
vrrp ipv6 10 pri 120
vrrp ipv6 10 accept_mode
int vlan 20
vrrp 20 ipv6 fe80::1
vrrp 20 ipv6 2001:192:20::254
vrrp ipv6 20 pri 120
vrrp ipv6 20 accept_mode
int vlan 30
vrrp 30 ipv6 fe80::1
vrrp 30 ipv6  2001:192:30::254
vrrp ipv6 30 pri 150
vrrp ipv6 30 accept_mode
int vlan 40
vrrp 40 ipv6  fe80::1
vrrp 40 ipv6  2001:192:40::254
vrrp ipv6 40 pri 150
vrrp ipv6 40 accept_mode
int vlan 50
vrrp 50 ipv6  fe80::1
vrrp 50 ipv6  2001:192:50::254
vrrp ipv6 50 pri 120
vrrp ipv6 50 accept_mode
int vlan 60
vrrp 60 ipv6  fe80::1
vrrp 60 ipv6  2001:192:60::254
vrrp ipv6 60 pri 120
vrrp ipv6 60 accept_mode
int vlan 100
vrrp 100 ipv6  fe80::1
vrrp 100 ipv6  2001:192:100::254
vrrp ipv6 100 pri 120
vrrp ipv6 100 accept_mode

12.R1、R2、R3部署IGP中OSPF动态路由实现直连网段互联互通。

 R1:router ospf 30router-id 11.1.0.1network 11.1.0.1 0.0.0.0 area 0network 12.1.0.0 0.0.0.15 area 0network 13.1.0.0 0.0.0.15 area 0redistribute  static metric 1 metric-type 1 subnets ip route 20.0.0.0 255.0.0.0 Null 0   R2:router ospf 30router-id 11.1.0.2network 11.1.0.2 0.0.0.0 area 0network 12.1.0.0 0.0.0.15 area 0network 23.1.0.0 0.0.0.15 area 0redistribute  static metric 1 metric-type 1 subnets ip route 30.0.0.0 255.0.0.0 Null 0R3:router ospf 30router-id 11.1.0.3network 11.1.0.3 0.0.0.0 area 0network 13.1.0.0 0.0.0.15 area 0network 23.1.0.0 0.0.0.15 area 0redistribute  static metric 1 metric-type 1 subnets EG1和EG2不能互通  ip route 直连  黑洞路由即可

13.R1、R2、R3间部署IBGP，AS号为100，使用Loopback接口建立Peer。

R1:
router bgp 100
bgp router-id 11.1.0.1bgp log-neighbor-changesneighbor 11.1.0.2 remote-as 100neighbor 11.1.0.2 update-source Loopback 0neighbor 11.1.0.3 remote-as 100neighbor 11.1.0.3 update-source Loopback 0!address-family ipv4neighbor 11.1.0.2 activateneighbor 11.1.0.3 activateneighbor 11.1.0.2 next-hop-selfneighbor 11.1.0.3 next-hop-selfexit-address-familyrouter bgp 100bgp router-id 11.1.0.2bgp log-neighbor-changesneighbor 11.1.0.1 remote-as 100neighbor 11.1.0.1 update-source Loopback 0neighbor 11.1.0.3 remote-as 100neighbor 11.1.0.3 update-source Loopback 0!address-family ipv4neighbor 11.1.0.1 activateneighbor 11.1.0.1 next-hop-selfneighbor 11.1.0.3 activateneighbor 11.1.0.3 next-hop-selfexit-address-familyrouter bgp 100bgp router-id 11.1.0.3bgp log-neighbor-changesneighbor 11.1.0.1 remote-as 100neighbor 11.1.0.1 update-source Loopback 0neighbor 11.1.0.2 remote-as 100neighbor 11.1.0.2 update-source Loopback 0!address-family ipv4neighbor 11.1.0.1 activateneighbor 11.1.0.1 next-hop-selfneighbor 11.1.0.2 activateneighbor 11.1.0.2 next-hop-selfexit-address-family

14.运营商通告EG1、EG2专线至服务器区，R1、R2均以汇总B段静态路由的方式进行发布。服务器区通过R3将AC1、AC2通告到BGP中。

R3:
ip route 11.1.0.204 255.255.255.255 40.1.0.1
ip route 11.1.0.205 255.255.255.255 40.1.0.1router bgp 100
network 11.1.0.204 mask 255.255.255.255
network 11.1.0.205 mask 255.255.255.255

15.可通过修改OSPF路由COST达到分流的目的，且其值必须为5或10。

16.总部财务、销售IPv4用户与互联网互通主路径规划为：S3-EG1。

S3：
int vlan 10
ip ospf cost 5
int vlan 20
ip ospf cost 5
int vlan 30
ip ospf cost 10
int vlan 40
ip ospf cost 10

17.总部研发、市场IPv4用户与互联网互通主路径规划为：S4-EG1。

S4:
int vlan 10
ip ospf cost 10
int vlan 20
ip ospf cost 10
int vlan 30
ip ospf cost 5
int vlan 40
ip ospf cost 5

18.主链路故障可无缝切换到多条备用链路上。

（三）无线网络配置

CII集团公司拟投入13万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。

65000+42000+22500=129500

2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。

3.根据表3无线产品价格表，制定该无线网络工程项目设备的预算表。

网络设备型号	单价	数量	总价	分值
AP330-I	6000	7	42000	1
AP110-w	2500	9	22500	1
switch	15000	1	15000	1
ac	50000	1	50000	1
总价	129500

图1 平面布局图

1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。

表 3 无线产品价格表

产品型号	产品特征	传输速率（2.4G/最大）	推荐/最大带点数	功率	价格（元）
AP330-I	双频双流	300M/1.167G	32/256	100mw	6000
AP220-E(M)-V3.0	双频双流	300M/600M	32/256	100mw	11000
AP110-w	单频单流	150M	12/32	60mw	2500
RG-Cab-SMA-10m	10 米馈线	N/A	N/A	N/A	1600
RG-Cab-SMA-15m	15 米馈线	N/A	N/A	N/A	2400
RG-IOA-2505-S1	双频单流/单频单流	N/A	N/A	N/A	500
S2928G-24P	24 口 POE 交换机	N/A	N/A	240w	15000
WS6008	无线控制器	6*1000M	32/200	40w	50000

4.使用S3、S4作为总部无线用户和无线AP的DHCP服务器，使用S6/S7作为分部无线用户和无线AP的DHCP服务器。

\\S3 S4
server dhcp
ip dhcp pool Wireless netw 192.1.60.0 255.255.255.0default-router 192.1.60.254exit
ip dhcp pool APnetw 192.1.50.0 255.255.255.0default-route 192.1.50.254option 138 ip 11.1.0.204 11.1.0.205S7server dhcpip dhcp pool Wirelessnetw 193.1.60.0 255.255.255.0default-router 193.1.60.254exit
ip dhcp pool APnetw 193.1.50.0 255.255.255.0default-route 193.1.50.254option 138 ip 11.1.0.204 11.1.0.205\\VSU
server dhcp
ip dhcp pool APoption 138 ip 11.1.0.204 11.1.0.205 network 193.1.50.0 255.255.255.0default-router 193.1.50.254 
!
ip dhcp pool Wirelessnetwork 193.1.60.0 255.255.255.0default-router 193.1.60.254

5.创建总部内网 SSID 为 test-ZB_XX(XX现场提供)，WLAN ID 为1，AP-Group为ZB，总部内网无线用户关联SSID后可自动获取地址，启用WEB认证方。

6.创建分部内网 SSID 为 test-FB_XX(XX现场提供)，WLAN ID 为2，AP-Group为FB，总部内网无线用户关联SSID后可自动获取地址，启用802.1X认证方式。

AC1#show ap-c su          
========= show ap status =========
Radio: Radio ID or Band: 2.4G = 1#, 5G = 2#E = enabled, D = disabled, N = Not exist, V = Virtual APCurrent Sta numberChannel: * = GlobalPower Level = PercentOnline AP number: 3
Offline AP number: 0AP Name                                  IP Address      Mac Address    Radio               Radio               Up/Off time   State
---------------------------------------- --------------- -------------- ------------------- ------------------- ------------- -----
AP1                                      192.1.50.2      0074.9c64.ac60 1  E   0    1*  100 2  E   0  161*  100    0:00:06:52 Run   
AP2                                      192.1.50.1      5869.6ca7.ef06 1  E   0    6*  100 2  E   1  165*  100    0:00:06:25 Run   
AP3                                      193.1.50.1      0074.9c65.a5b8 1  E   0    6*  100 2  E   0  153*  100    0:00:21:47 Run   AC1#show ac-config client 
========= show sta status =========
AP    : ap name/radio id
Status: Speed/Power Save/Work Mode/Roaming State/MU MIMO, E = enable power save, D = disable power saveBACKUP = STA is on peer ACTotal Sta Num : 1
Backup Sta Num : 0
STA MAC        IP Address                     AP                                       Wlan Vlan Status             Asso Auth       Net Auth        Up time     
-------------- ------------------------------ ---------------------------------------- ---- ---- ------------------ --------------- --------------- ------------
5477.d48f.5e27                                AP2/2                                    1    60      6.0M/D/ac       WPA2_PSK        OPEN              0:00:02:16 show ac-config client 
========= show sta status =========
AP    : ap name/radio id
Status: Speed/Power Save/Work Mode/Roaming State/MU MIMO, E = enable power save, D = disable power saveBACKUP = STA is on peer ACTotal Sta Num : 1
Backup Sta Num : 0
STA MAC        IP Address                     AP                                       Wlan Vlan Status             Asso Auth       Net Auth        Up time     
-------------- ------------------------------ ---------------------------------------- ---- ---- ------------------ --------------- --------------- ------------
a0e8.f728.eda1                                AP3/1                                    2    60     11.0M/D/bgn      WPA2_PSK        OPEN              0:00:00:45

7.认证服务器（IP：194.1.100.100）建立总部认证用户user1，user2，分部认证用户user3，user4分别对应WEB、DOT1X认证；启用WEB认证方。

8.AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去连接时能无缝切换至AC2并提供服务。

AC1:
wlan hot-backup 11.1.0.205description AC2local-ip  11.1.0.204work-mode quick-switchcontext 1priority level 7ap-group ZBap-group FB!wlan hot-backup enableAC2:
wlan hot-backup 11.1.0.204description AC1local-ip 11.1.0.205work-mode quick-switchcontext 1ap-group ZBap-group FB!wlan hot-backup enable

AC1(config)#show wlan hot-backup 11.1.0.205
wlan hot-backup 11.1.0.205          hot-backup     : Enableconnect state  : CHANNEL_UPhello-interval : 10kplv-pkt       : ipwork-mode      : quick-switchlocal-ip       : 11.1.0.204!context 1hot-backup role        : PAIR-ACTIVEhot-backup rdnd state  : REALTIME-SYNhot-backup priority    : 7AC2(config)#show wlan hot-backup 11.1.0.204
wlan hot-backup 11.1.0.204          hot-backup     : Enableconnect state  : CHANNEL_UPhello-interval : 10kplv-pkt       : ipwork-mode      : quick-switchlocal-ip       : 11.1.0.205!context 1hot-backup role        : PAIR-STANDBYhot-backup rdnd state  : REALTIME-SYNhot-backup priority    : 4

9.要求总部分部内网无线网络启用本地转发模式。

10.为了保障每个用户的无线体验，针对WLAN ID2下的每个用户的下行平均速率为 800KB/s ，突发速率为1600KB/s。

wlan-config 2 test-FB_28wlan-based per-user-limit down-streams average-data-rate 800 burst-data-rate 1600

11.总部每AP最大带点人数为30人。

ap-group ZB
sta-limit 30
ap-group FB
sta-limit 30

12.分部通过时间调度，要求每周一至周五的21:00至23:30期间关闭无线服务。

schedule session 1 time-range 1 period Mon to Fri time 21:00 to 23:30

13.总部设置AP信号发送强度为30。

AC(config)#ap-config ZB
AC(config-ap)#response-rssi 30 radio 1
AC(config-ap)#response-rssi 30 radio 2

14.总部关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入。

ac-controller802.11b network rate 1 disabled802.11b network rate 2 disabled802.11b network rate 5 disabled802.11g network rate 1 disabled802.11g network rate 2 disabled802.11g network rate 5 disabled802.11a network rate 6 disabled802.11a network rate 9 disabled

（四）出口网络配置

1.出口网关上进行NAT配置实现总部与分部的所有用户(ACL 110)均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上。

EG1:
int gi0/0
ip nat in 
int gi0/1
ip nat in 
int gi0/4
ip nat outip access-list extended 1101000 deny ip 192.1.0.0 0.0.255.255 193.1.0.0 0.0.255.255 99999 permit ip any any 
！
ip nat pool g0/4 prefix-length 24address interface GigabitEthernet 0/4 match interface GigabitEthernet 0/4
！
ip nat inside source list 110 pool g0/4 overloadEG2:
int gi0/1
ip nat in 
int gi0/4
ip nat out
！
ip access-list extended 1101000 deny ip 193.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255 99999 permit ip any any 
！
ip nat pool g0/4 prefix-length 24address interface GigabitEthernet 0/4 match interface GigabitEthernet 0/4
！
ip nat inside source list 110 pool g0/4 overload

2.在总部EG1上配置，使总部核心交换S4（11.1.0.34）设备的SSH服务可以通过互联网被访问，将其地址映射至联通线路上，映射地址为20.1.0.1。

ip nat inside source static tcp 11.1.0.34 22 20.1.0.1 22

3.在总部网关上启用Web Portal认证服务，并创建Caiwu1、Xiaoshou2，密码均为XX（现场提供）。

4.总部有线用户需进行WEB认证访问互联网。

5.分部EG2针对访问外网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过50Mbps。

在这里插入图片描述

6.分部EG2基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。

7.对创建的用户user1用户上网活动不进行监控审计。

8.要求使用ipsec隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立ipsec SA。在EG1和EG2上所配置的参数要求如下：ipsec加密转换集名称为myset；预共享密钥为明文123456；静态的ipsec加密图mymap。ACL编号为101。

EG1:
acc 101 permit ip 192.1.0.0 0.0.255.255  193.1.0.0 0.0.255.255
cry isa poli 10
enc 3d
hash md5
auth pre
group 2
cryp isa key 0 123456 add 30.1.0.1
cry ipsec tran myset esp-3d esp-md5-h
exit
cry map mymap 10 ipsec-is
set peer 30.1.0.1
set tran myset
match add 101
exit
int g0/4
cry map mymapEG2:
acc 101 permit ip 193.1.0.0 0.0.255.255  192.1.0.0 0.0.255.255
cry isa poli 10
enc 3d
hash md5
auth pre
group 2
exit 
cryp isa key 0 123456 add 20.1.0.1
cry ipsec tran myset esp-3d esp-md5-h
exit 
cry map mymap 10 ipsec-is
set peer 20.1.0.1
set tran myset
match add 101
exit
int g0/4
cry map mymapEG1:
ip route 193.1.0.0 255.255.0.0 20.1.0.2
R1:
ip route 20.0.0.0 255.0.0.0 Null 0
EG2:
ip route 192.1.0.0 255.255.0.0 30.1.0.2R2:
ip route 30.0.0.0 255.0.0.0 Null 0

S3#ping 193.1.10.254 source 192.1.10.254EG1#show crypto isakmp  sa destination       source            state                    conn-id           lifetime(second) 30.1.0.1          20.1.0.1          IKE_IDLE                 1                 86384            EG2#show crypto isakmp  sa destination       source        state                    conn-id           lifetime(second) 20.1.0.1          30.1.0.1          IKE_IDLE                 1  "              86213

（五）网络运维配置

1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控广州总部内所有设备（具体设备：S1、S3、S4、EG1）。

再运维平台使用snmpwalk -v 版本号 -c 团体名主机测试snmp连通性

后期练熟以后确定snmp连通性没问题可以不用不然一个一个试猴年马月都弄不完

端口发现需要很久的时间，点击设备的指标列表

任意点击一个配置

一键发送信息

这样端口表十几秒就会出来了

不出来端口表网络topo和链路监控都弄不了

连线不多说不带脑子就算了一定要习惯性的点保存

投屏展示建议是新增页面

看题目要求监控多少指标就选有几个格子的

2.通过运维平台将广州总部的被监控设备纳入监控范围；通过拓扑配置功能，将广州总部的网络拓扑配置到平台中；

3.将广州总部S3、S4和EG1的两条链路作为重点监测链路，纳入链路监控；

4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。

（六）SDN网络配置

1.SDN控制器登录地址：192.168.1.2/24，默认用户密码为admin/test@123。

2.使用S7/S8/S9构建SDN网络，S8/S9连接SDN控制器的6653端口。

3.通过SDN控制器手工给S8下发一条流表项名称为drop的流表，执行动作为丢弃，并在交换机上查看流表，测试普通PC禁止ping通高性能PC。

4.通过SDN控制器流表管理实现PC1/PC2与分部各核心网段互联互通。

附录1：拓扑图

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

附录2：地址规划表

设备	接口或VLAN	VLAN名称	二层或三层规划	说明
S1	VLAN10	CAIWU	Gi0/1至Gi0/4	财务部
VLAN20	XIAOSHOU	Gi0/5至Gi0/8	销售部
VLAN30	YANFA	Gi0/9至Gi0/12	研发部
VLAN40	SHICHANG	Gi0/13至Gi0/16	市场部
VLAN50	AP	Gi0/20至Gi0/21	无线AP管理
VLAN100	Manage	192.1.100.1/24	设备管理VLAN
S3	VLAN10	CAIWU	192.1.10.252/24	财务部
VLAN20	XIAOSHOU	192.1.20.252/24	销售部
VLAN30	YANFA	192.1.30.252/24	研发部
VLAN40	SHICHANG	192.1.40.252/24	市场部
VLAN50	AP	192.1.50.252/24	AP
VLAN60	Wireless	192.1.60.252/24	无线用户
VLAN100	Manage	192.1.100.252/24	设备管理VLAN
Gi0/24		10.1.0.1/30
LoopBack 0		11.1.0.33/32
S4	VLAN10	CAIWU	192.1.10.253/24	财务部
VLAN20	XIAOSHOU	192.1.20.253/24	销售部
VLAN30	YANFA	192.1.30.253/24	研发部
VLAN40	SHICHANG	192.1.40.253/24	市场部
VLAN50	AP	192.1.50.253/24	AP
VLAN60	Wireless	192.1.60.253/24	无线用户
VLAN100	Manage	192.1.100.253/24	设备管理VLAN
Gi0/24		10.1.0.5/30
LoopBack 0		11.1.0.34/32
AC1	LoopBack 0		11.1.0.204/32
Vlan100	Manage	194.1.100.2/24	管理与互联VLAN
AC2	LoopBack 0		11.1.0.205/32
Vlan100	Manage	194.1.100.3/24	管理与互联VLAN
S5	Gi0/24		40.1.0.1/30
VLAN100	Manage	194.1.100.254/24	管理与互联VLAN
LoopBack 0		11.1.0.5/32
EG1	GI0/0		10.1.0.2/30
GI0/1		10.1.0.6/30
GI0/4		20.1.0.1/30
LoopBack 0		11.1.0.11/32
EG2	GI0/0		10.1.0.14/30
GI0/1		10.1.0.18/30
GI0/4		30.1.0.1/30
LoopBack 0		11.1.0.12/32
R1	Gi0/0		20.1.0.2/30
Se2/0		12.1.0.1/28
Se3/0		13.1.0.1/28
LoopBack 0		11.1.0.1/32
R2	Gi0/0		30.1.0.2/30
Se2/0		12.1.0.2/28
Se3/0		23.1.0.2/28
LoopBack 0		11.1.0.2/32
R3	Gi0/0		40.1.0.2/30
Se2/0		13.1.0.3/28
Se3/0		23.1.0.3/28
LoopBack 0		11.1.0.3/32
S2	VLAN10	CAIWU		财务部
VLAN20	XIAOSHOU		销售部
VLAN50	AP	Gi0/1至Gi0/20	无线AP管理
VLAN100	Manage	193.1.100.2/24	设备管理VLAN
S7	VLAN10	CAIWU	193.1.10.254/24	财务部
VLAN20	XIAOSHOU	193.1.20.254/24	销售部
VLAN50	AP	193.1.50.254/24	无线AP管理
VLAN60	Wireless	193.1.60.254/24	无线用户
VLAN100	Manage	193.1.100.254/24	设备管理VLAN
Gi0/24		10.1.0.17/30
LoopBack 0		11.1.0.67/32
S8	VLAN10	CAIWU	Gi0/1至Gi0/4	财务部
VLAN20	XIAOSHOU	Gi0/5至Gi0/8	销售部
Gi0/23	SDN-Manage	192.168.1.3	SDN管理网段
S9	VLAN10	CAIWU	Gi0/1至Gi0/4	财务部
VLAN20	XIAOSHOU	Gi0/5至Gi0/8	销售部
Gi0/23	SDN-Manage	192.168.1.4	SDN管理网段

| 无线AP管理 | |
| VLAN100 | Manage | 193.1.100.2/24 | 设备管理VLAN | |
| S7 | VLAN10 | CAIWU | 193.1.10.254/24 | 财务部 |
| VLAN20 | XIAOSHOU | 193.1.20.254/24 | 销售部 | |
| VLAN50 | AP | 193.1.50.254/24 | 无线AP管理 | |
| VLAN60 | Wireless | 193.1.60.254/24 | 无线用户 | |
| VLAN100 | Manage | 193.1.100.254/24 | 设备管理VLAN | |
| Gi0/24 | | 10.1.0.17/30 | | |
| LoopBack 0 | | 11.1.0.67/32 | | |
| S8 | VLAN10 | CAIWU | Gi0/1至Gi0/4 | 财务部 |
| VLAN20 | XIAOSHOU | Gi0/5至Gi0/8 | 销售部 | |
| Gi0/23 | SDN-Manage | 192.168.1.3 | SDN管理网段 | |
| S9 | VLAN10 | CAIWU | Gi0/1至Gi0/4 | 财务部 |
| VLAN20 | XIAOSHOU | Gi0/5至Gi0/8 | 销售部 | |
| Gi0/23 | SDN-Manage | 192.168.1.4 | SDN管理网段 | |