2022年全國職業院校技能大賽

網絡系統管理賽項

模塊A：網絡構建

（樣題2）

網絡系統管理賽項-模塊A：網絡構建2/10

任務描述

CII集團公司業務不斷發展壯大，為適應IT行業技術飛速發展，滿足公司業

務發展需要，集團公司決定建設北京分校、廣州分校與本部校區的信息化網絡。

你做為火星公司網絡工程師前往CII集團完成網絡規劃與建設任務。

任務清單

（一）基礎配置

1.根據附錄1、附錄2，配置設備接口信息。

2.所有交換機和無線控制器開啟SSH服務，用戶名密碼分別為admin、admin1234；

密碼為明文類型,特權密碼為admin。

3.交換機配置SNMP功能，向主機172.16.0.254發送Trap消息版本采用V2C，讀

寫的Community為“Test”，只讀的Community為“public”，開啟Trap消息。

（二）有線網絡配置

1.在全網Trunk鏈路上做VLAN修剪。

2.為隔離網絡中部分終端用戶間的二層互訪，在交換機S1、S2上使用端口保護。

為了規避網絡末端接入設備上出現環路影響全網，要求在本部與分校接入設備S1，

S2，S6，S7進行防環處理。具體要求如下：接口開啟BPDU防護不能接收bpduguard

報文；接口下開啟rldp防止環路，檢測到環路后處理方式為shutdown-port；連

接終端的所有端口配置為邊緣端口；如果端口被BPDUGuard檢測進入

err-disabled狀態，再過300秒后會自動恢復，重新檢測是否有環路。

3.為了保證接入區DHCP服務安全及偽IP源地址攻擊，具體要求如下：DHCP服務

器搭建于S3上對VLAN10以內的用戶進行地址分配；為了防御從非法DHCP服務器

獲得的地址要求在S1、S2上部署DHCPSnooping功能。

4.在本部交換機S3、S4上配置MSTP防止二層環路；要求VLAN10、VLAN20、VLAN30

數據流經過S3轉發，VLAN40、VLAN50、VLAN100數據流經過S4轉發，S3、S4其

中一臺宕機時均可無縫切換至另一臺進行轉發。所配置的參數要求如

下:region-name為test；revision版本為1；實例1，包含VLAN10，VLAN20，VLAN30；

實例2，包含VLAN40，VLAN50，VLAN100；S3作為實例0、1中的主根，S4作為實

例0、1的從根；S4作為實例2中的主根，S3作為實例2的從根；主根優先級為

網絡系統管理賽項-模塊A：網絡構建3/10

4096，從根優先級為8192；在S3和S4上配置VRRP，實現主機的網關冗余。所配

置的參數要求如表1；S3、S4各VRRP組中高優先級設置為150，低優先級設置為

120。

表1S3和S4的VRRP參數表

VLANVRRP備份組號（VRID）VRRP虛擬IP

VLAN1010192.1.10.254

VLAN2020192.1.20.254

VLAN3030192.1.30.254

VLAN4040192.1.40.254

VLAN5050192.1.50.254

VLAN100(交換機間)100192.1.100.254

5.本部內網使用靜態路由、OSPF多協議組網。其中S3、S4、S5、EG1、EG2、R1使

用OSPF協議，本部其余三層設備間使用靜態路由協議。本部與分校廣域網間使用

靜態路由協議（R1除外），各分校局域網環境使用靜態路由協議。要求網絡具有安

全性、穩定性。具體要求如下：本部OSPF進程號為10，規劃多區域；區域0（S3、

S4），區域1（S3，S4，S5）,區域2（S3，S4，EG1，EG2），區域3（S4、R1）；區

域1為完全NSSA區域；AP使用靜態路由協議；本部與分校通過重分發引入彼此路

由；要求本部業務網段中不出現協議報文；不允許重發布直連路由，Network方式

發布本地明細路由；為了管理方便，需要發布Loopback地址；優化OSPF相關配

置，以盡量加快OSPF收斂；重發布路由進OSPF中使用類型1。

4.不允許在R1設備使用IPV4靜態路由。

5.本部路由器R1與北京校區路由器R2、廣州校區路由器R3間屬于廣域網鏈路，

其中R1-R2間所租用一條帶寬為2M的線路，R1-R3間租用2條帶寬均為2M的線路。

本部路由器與分校路由器間屬于廣域網鏈路。需要使用PPP進行安全保護，同時

提高R1與R3的鏈路帶寬與簡化網絡部署的目的，現要求如下：使用CHAP協議;

單向認證，用戶名+驗證口令方式；R1為認證服務端，R2、R3為認證客戶端；用

戶名和密碼均為test；R1與R3間使用PPP鏈路捆綁，捆綁組號為1。

6.考慮到廣域網線路安全性較差，所以需要使用IPSec對各分校到總校的業務數

據進行加密。要求使用動態隧道主模式，安全協議采用esp協議，加密算法采用

3des，認證算法采用md5，以IKE方式建立IPsecSA。

7.在R1上所配置的參數要求如下：ipsec加密轉換集名稱為myset；動態ipsec

加密圖名稱為dymymap；預共享密鑰為明文123456；靜態的ipsec加密圖mymap。

8.在R2和R3上所配置的參數要求如下：ACL編號為101；靜態的ipsec加密圖mymap；

預共享密鑰為明文123456。

網絡系統管理賽項-模塊A：網絡構建4/10

9.考慮到數據分流及負載均衡的目的，針對本部與各分校數據流走向要求如下:通

過修改OSPF接口COST達到分流的目的，且其值必須為5或10；OSPF通過路由引

入時改變引入路由的COST值，且其值必須為5或10；本部VLAN10，VLAN20，VLAN30

用戶與互聯網互通主路徑規劃為：S3-EG1；本部VLAN40用戶與互聯網互通主路徑

規劃為：S4-EG2；各分校用戶與互聯網互通主路徑規劃為：S4-EG2；云平臺服務

器與互聯網互通主路徑規劃為S3-EG1；主鏈路故障可無縫切換到備用鏈路上。

（三）無線網絡配置

CII集團公司擬投入13.5萬元（網絡設備采購部分），項目要求重點覆蓋樓層、走

廊和辦公室。平面布局如圖1所示。

圖1平面布局圖

1.繪制AP點位圖（包括：AP型號、編號、信道等信息，其中信道采用2.4G的1、

6、11三個信道進行規劃）。

2.使用無線地勘軟件，輸出AP點位圖的2.4G頻道的信號仿真熱圖（仿真信號強

度要求大于-65db）。

3.根據表2無線產品價格表，制定該無線網絡工程項目設備的預算表。

表2無線產品價格表

網絡系統管理賽項-模塊A：網絡構建5/10

傳輸速率推薦/最大價格

產品型號產品特征功率

（2.4G/最大）帶點數（元）

AP1雙頻雙流300M/1.167G32/256100mw6000

AP2雙頻雙流300M/600M32/256100mw11000

AP3單頻單流150M12/3260mw2500

線纜110米饋線N/AN/AN/A1600

線纜215米饋線N/AN/AN/A2400

天線雙頻單流/單頻單流N/AN/AN/A500

Switch24口POE交換機N/AN/A240w15000

AC無線控制器6*1000M32/20040w50000

4.使用AC為本部無線用戶DHCP服務器，使用S3、S4為本部AP的DHCP服務器,S3

分配AP地址范圍為其網段的1至100,S4分配AP地址范圍為其網段的101至200。

5.創建本部SSID(WLAN-ID1)為test-ZX_XX(XX現場提供)，AP-Group為ZX，本

部無線用戶關聯SSID后可自動獲取地址。

6.AC1為主用，AC2為備用。AP與AC1、AC2均建立隧道，當AP與AC1失去連接

時能無縫切換至AC2并提供服務。

7.為了保證合法用戶連接入本部內網，本部無線用戶使用MAC校驗方式。在本部

的AC設備上配置白名單只允許PC1（無線網卡ipconfig確定MAC地址）接入無線

網絡中，并設置AC白名單數量最多為10。

8.在同一個AP中的用戶在某些時候出于安全性的考慮，需要將他們彼此之間進行

隔離，實現用戶之間彼此不能互相訪問，配置AP1實現同AP下用戶間隔離功能。

9.要求本部無線用戶啟用集中轉發模式。

10.限制AP1關聯用戶數最高為16。

11.本部關閉低速率（1M,6M）應用接入。

12.北京校區與廣州校區使用無線AP胖模式進行部署。

13.AP2以透明模式進行部署，S6部署DHCP為無線終端和AP分配地址。

14.AP2創建SSID(WLAN-ID1)為test-BJ_XX(XX現場提供),采用WEB進行認證，

認證用戶名為user1,密碼為XX(現場提供)。

15.AP3以路由模式進行部署，本地部署DHCP為無線終端分配地址。

16.AP3創建SSID(WLAN-ID1)為test-GZ_XX(XX現場提供),啟用白名單校驗，

放通PC3無線網卡。

網絡系統管理賽項-模塊A：網絡構建6/10

（四）出口網絡配置

1.本部出口網關上配置訪問控制列表，允許本部、分部有線無線業務網段(ACL編

號110)通過NAPT訪問聯通、教育網資源。

2.在本部EG1上配置，使本部核心交換S4（11.1.0.4）設備的Telnet服務可以通

過互聯網被訪問，將其地址映射至聯通線路上，映射地址為196.1.0.10。

3.需確保NAT映射數據流來回一致，啟用EG源進源出功能保證任何外網用戶（聯

通、電信、移動、教育……）均可訪問映射地址196.1.0.10。

4.在本部網關上啟用WebPortal認證服務，并創建user1、user2，密碼均為123456；

有線用戶需進行WEB認證訪問互聯網。

5.無線用戶不需在EG上進行WEB認證即可訪問互聯網。

6.本部針對訪問外網WEB流量限速每IP1000Kbps，內網WEB總流量不超過100M

（策略及通道名稱均為：WEB）。

7.工作日（周一到周五：上午9點到下午5點）阻斷并審計P2P應用軟件使用（策

略名稱：P2P）。

8.對創建的用戶user1用戶上網活動不進行監控審計。

9.本部與分校用戶數據流匹配EG內置聯通與教育地址庫，實現訪問聯通資源走聯

通線路，訪問教育資源走教育線路；除聯通、教育資源之外默認所有數據流在聯

通與教育線路間進行負載轉發。

網絡系統管理賽項-模塊A：網絡構建7/10

附錄1：拓撲圖

網絡系統管理賽項-模塊A：網絡構建8/10

附錄2：地址規劃表

設備接口或VLANVLAN名稱二層或三層規劃說明

VLAN10Office10Gi0/1至Gi0/4辦公網段

VLAN20Office20Gi0/5至Gi0/8辦公網段

VLAN30Office30Gi0/9至Gi0/12辦公網段

S1

VLAN40Office40Gi0/13至Gi0/16辦公網段

VLAN50APGi0/21至Gi0/22無線AP管理

VLAN100Manage192.1.100.4/24設備管理VLAN

VLAN10Office10Gi0/1至Gi0/4辦公網段

VLAN20Office20Gi0/5至Gi0/8辦公網段

VLAN30Office30Gi0/9至Gi0/12辦公網段

S2

VLAN40Office40Gi0/13至Gi0/16辦公網段

VLAN50APGi0/21至Gi0/22無線AP管理

VLAN100Manage192.1.100.5/24設備管理VLAN

VLAN10Office10192.1.10.252/24辦公網段

VLAN20Office20192.1.20.252/24辦公網段

VLAN30Office30192.1.30.252/24辦公網段

VLAN40Office40192.1.40.252/24辦公網段

VLAN50AP192.1.50.252/24無線AP管理

S3

VLAN100Manage192.1.100.252/24設備管理VLAN

Gi0/410.1.0.41/30互聯EG2

Gi0/510.1.0.1/30互聯S5

Gi0/610.1.0.5/30互聯EG1

LoopBack011.1.0.33/32

VLAN10Office10192.1.10.253/24辦公網段

VLAN20Office20192.1.20.253/24辦公網段

VLAN30Office30192.1.30.253/24辦公網段

VLAN40Office40192.1.40.253/24辦公網段

VLAN50AP192.1.50.253/24無線AP管理

S4VLAN100Manage192.1.100.253/24設備管理VLAN

Gi0/410.1.0.37/30互聯EG1

Gi0/510.1.0.33/30互聯S5

Gi0/610.1.0.9/30互聯EG2

Gi0/710.1.0.13/30互聯R1

LoopBack011.1.0.34/32

LoopBack011.1.0.204/32

VLAN60Wiressless192.1.60.252/24無線用戶

AC1

管理與互聯

Vlan100Manage192.1.100.2/24

VLAN

LoopBack011.1.0.205/32

AC2VLAN60Wiressless192.1.60.253/24無線用戶

Vlan100Manage192.1.100.3/24管理與互聯

網絡系統管理賽項-模塊A：網絡構建9/10

VLAN

LoopBack011.1.0.5/32

S5Gi0/2310.1.0.2/30互聯S3

Gi0/2410.1.0.34/30互聯S4

Gi0/010.1.0.6/30互聯S3

Gi0/1196.1.0.1/24互聯EG2

EG1Gi0/2197.1.0.1/24互聯EG2

Gi0/310.1.0.38/30互聯S4

LoopBack011.1.0.11/32

Gi0/010.1.0.10/30互聯S4

Gi0/1196.1.0.2/24互聯EG1

EG2Gi0/2197.1.0.2/24互聯EG1

Gi0/310.1.0.42/30互聯S3

LoopBack011.1.0.12/32

Gi0/010.1.0.14/30互聯S4

S2/020.0.0.1/30互聯R2

R1S3/010.1.0.22/30捆綁組1成員

S4/010.1.0.22/30捆綁組1成員

LoopBack011.1.0.1/32

Gi0/010.1.0.25/30互聯S6

R2S2/020.0.0.2/30互聯R1

LoopBack011.1.0.2/32

Gi0/010.1.0.29/30互