2022年全國職業院校技能大賽

網絡系統管理賽項

模塊A：網絡構建

（樣題3）

任務描述

CII集團公司業務不斷發展壯大，為適應IT行業技術飛速發展，滿足公司業

務發展需要，集團公司決定建設廣州總部、吉林分部的信息化網絡。你做為火星

公司網絡工程師前往CII集團完成網絡規劃與建設任務。

任務清單

（一）基礎配置

1.根據附錄1、附錄2，配置設備接口信息。

2.所有交換機和無線控制器開啟SSH服務，用戶名密碼分別為admin、admin1234；

密碼為明文類型,特權密碼為admin。

3.交換機配置SNMP功能，向主機172.16.0.254發送Trap消息版本采用V2C，讀

寫的Community為“Test”，只讀的Community為“public”，開啟Trap消息。

（二）有線網絡配置

1.在全網Trunk鏈路上做VLAN修剪。

2.為隔離部分終端用戶間的二層互訪，在交換機S1/S2的Gi0/5-Gi0/16端口啟用

端口保護。

3.要求在吉林分部接入設備S1/S2進行防環處理。具體要求如下：終端接口開啟

BPDU防護不能接收BPDU報文；終端接口下開啟RLDP防止環路，檢測到環路后處

理方式為Shutdown-Port；連接終端的所有端口配置為邊緣端口；如果端口被

BPDUGuard檢測進入Err-Disabled狀態，再過300秒后會自動恢復（基于接口

部署策略），重新檢測是否有環路。

4.在交換機S3、S4上配置DHCP中繼，對VLAN10內的用戶進行中繼，使得本部PC1

用戶使用DHCPRelay方式獲取IP地址。具體要求如下：DHCP服務器搭建于VSU

上，地址池命名為Pool_VLAN10，DHCP對外服務使用loopback0地址；為了防御

動態環境局域網偽DHCP服務欺騙，在S1、S2交換機部署DHCPSnooping功能。

5.為了防止偽IP源地址攻擊，導致出口路由器會話占滿，要求S1交換機部署

端口安全，接口Gi0/1只允許PC1通過。

6.在吉林分部交換機S1、S2、S3、S4上配置MSTP防止二層環路；要求所有數據

網絡系統管理賽項-模塊A：網絡構建2/9

流經過S4轉發，S4失效時經過S3轉發。所配置的參數要求如下：region-name

為test；revision版本為1；S3作為實例中的從根，S4作為實例中的主根；主

根優先級為4096，從根優先級為8192；在S3和S4上配置VRRP，實現主機的網關

冗余，所配置的參數要求如表1；S3、S4各VRRP組中高優先級設置為150，低優

先級設置為120。

表1S3和S4的VRRP參數表

VLANVRRP備份組號（VRID）VRRP虛擬IP

VLAN1010192.1.10.254

VLAN2020192.1.20.254

VLAN3030192.1.30.254

VLAN100(交換機間)100192.1.100.254

7.S6和S7間部署虛擬化，其中S7為主，S6為備；規劃S6和S7間的Gi0/48端

口作為雙主機檢測鏈路，配置基于BFD的雙主機檢；主設備：Domainid：1,switch

id:2,priority150,description:S6000-2;備設備：Domainid：1,switch

id:1,priority120,description:S6000-1。

8.廣州總部與吉林分部內網均使用OSPF協議組網，訪問互聯網均使用默認路由。

具體要求如下：總部S5、AC1、AC2、EG1間運行OSPF，進程號為10；吉林分部EG2、

S3、S4、S6/S7間運行OSPF，進程號為10；要求業務網段中不出現協議報文；要

求所有路由協議都發布具體網段；為了管理方便，需要發布Loopback地址;優化

OSPF相關配置，以盡量加快OSPF收斂；重發布路由進OSPF中使用類型1。

9.吉林分部部署IPV6網絡實現內網IPV6終端通過無狀態自動從網關處獲取地址；

10.在S3和S4上配置VRRPforIPv6，實現主機的IPv6網關冗余;VRRP與MSTP

的主備狀態與IPV4網絡一致；IPV6地址規劃如下表2：

表2IPV6地址規劃表

設VRRP

接口IPV6地址虛擬IP

備組號

VLAN102001:193:10::252/64102001:193:10::254/64

S3VLAN202001:193:20::252/64202001:193:20::254/64

VLAN302001:193:30::252/64302001:193:30::254/64

VLAN102001:193:10::253/64102001:193:10::254/64

S4VLAN202001:193:20::253/64202001:193:20::254/64

VLAN302001:193:30::253/64302001:193:30::254/64

11.由于公司在吉林設有分部。為總部及分部之間互聯互通，申請運營商專線業務。

針對運營商組網部署要求如下：R1、R2、R3直連接口封裝PPP協議，部署IGP中

網絡系統管理賽項-模塊A：網絡構建3/9

OSPF動態路由進程號為20，實現直連網段互聯互通。

12.R1、R2、R3間部署BGP聯盟,聯盟AS號為100,使用Loopback接口建立Peer;R1

與R2的成員AS號為64512，R3的成員AS號為64523。

13.運營商R1、R2、R3各自通告EG1、EG2的直連網段到BGP中，以匯總B段靜態

路由的方式進行發布，當運營商路由器與EG直連鏈路斷開時，可通過其他路由器

與EG互通。

14.考慮到數據分流及負載均衡的目的，具體要求如下：可通過修改OSPF路由COST

達到分流的目的，且其值必須為5或10；吉林分部有線IPV4用戶與互聯網互通主

路徑規劃為：S4-S7-EG2;主鏈路故障時可無縫切換到備用鏈路上。

（三）無線網絡配置

CII集團公司擬投入9.5萬元（網絡設備采購部分），項目要求重點覆蓋樓層、走

廊和辦公室。平面布局如圖1所示。

圖1平面布局圖

網絡系統管理賽項-模塊A：網絡構建4/9

1.繪制AP點位圖（包括：AP型號、編號、信道等信息，其中信道采用2.4G的1、

6、11三個信道進行規劃）。

2.使用無線地勘軟件，輸出AP點位圖的2.4G頻道的信號仿真熱圖（仿真信號強

度要求大于-65db）。

3.根據表3無線產品價格表，制定該無線網絡工程項目設備的預算表。

表3無線產品價格表

傳輸速率推薦/最大價格

產品型號產品特征功率

（2.4G/最大）帶點數（元）

AP1雙頻雙流300M/1.167G32/256100mw6000

AP2雙頻雙流300M/600M32/256100mw11000

AP3單頻單流150M12/3260mw2500

線纜110米饋線N/AN/AN/A1600

線纜215米饋線N/AN/AN/A2400

天線雙頻單流/單頻單流N/AN/AN/A500

Switch24口POE交換機N/AN/A240w15000

AC無線控制器6*1000M32/20040w50000

4.使用S5作為廣州總部無線用戶和無線AP的DHCP服務器。

5.創建財務部內網SSID為test-CW_XX(XX現場提供)，WLANID為1；創建研發

部內網SSID為test-YF_XX(XX現場提供)，WLANID為2。

6.AP-Group為ZB，內網無線用戶關聯SSID后可自動獲取地址。

7.本部AC1為主用，AC2為備用。AP與AC1、AC2均建立隧道，當AP與AC1失去

連接時能無縫切換至AC2并提供服務。

8.研發部用戶接入無線網絡時需要采用WPA2加密方式，加密密碼為XX(現場提供)；

9.啟用白名單校驗，僅放通PC2無線終端。

10.要求內網無線網絡均啟用集中轉發模式。

11.為了保障本部每個用戶的無線體驗，針對WLANID1下的每個用戶的下行

平均速率為800KB/s，突發速率為1600KB/s。

12.配置AP3最大帶點人數為30人。

13.通過時間調度，要求每周一至周五的21:00至23:30期間關閉研發部無線

服務。

網絡系統管理賽項-模塊A：網絡構建5/9

14.設置AP2最小接入信號強度為-65dBm。

15.關閉低速率（11b/g1M、2M、5M，11a6M、9M）應用接入。

（四）出口網絡配置

1.出口網關及出口路由器上進行NAT配置實現總部與分部的所有用戶(ACL110)均

可訪問互聯網，通過NAPT方式將內網用戶IP地址轉換到互聯網接口上。

2.廣州總部EG1針對訪問外網WEB流量限速每IP1000Kbps，內網WEB總流量不超

過50Mbps（策略名稱WEB）。

3.廣州總部EG1基于網站訪問、郵件收發、IM聊天、論壇發帖、搜索引擎多應用

啟用審計功能。

4.廣州總部EG1周一到周五工作時間09：00-17:00（命名為work）阻斷并審計P2P

應用軟件使用（策略名稱P2P）。

5.為了實現總部與分部互訪數據的安全性，要求使用IPSec對總部到分部的數據

流進行加密ACL（編號為101）。為此規劃如下：要求使用動態隧道主模式，預共

享密碼為test，加密認證方式為ESP-3DES、ESP-MD5-HMAC，DH使用組2;總分機

構間數據通信及加密通過運營商R1聯通節點作為中轉設備；總部無線IPV4用戶

與分部IPV4用戶互通主路徑規劃為：AC1-S5-EG1-EG2-S7-S4-S1/S2(EG1/EG2間運

行VPN隧道)。

6.本部與分部用戶數據流匹配EG內置聯通、電信與教育地址庫，實現訪問聯通資

源走聯通線路，訪問電信資源走電信線路，訪問教育網資源走教育網線路。

6.除聯通、電信、教育資源之外默認所有數據流在三條線路間進行負載轉發。

網絡系統管理賽項-模塊A：網絡構建6/9

附錄1：拓撲圖

網絡系統管理賽項-模塊A：網絡構建7/9

附錄2：地址規劃表

設備接口或VLANVLAN名稱二層或三層規劃說明

VLAN10YanfaGi0/1至Gi0/4研發部

VLAN20XiaoshouGi0/5至Gi0/8銷售部

S1

VLAN30CaiwuGi0/9至Gi0/12財務部

Vlan100Manage192.1.100.1/24管理與互聯VLAN

VLAN10YanfaGi0/1至Gi0/4研發部

VLAN20XiaoshouGi0/5至Gi0/8銷售部

S2

VLAN30CaiwuGi0/9至Gi0/12財務部

Vlan100Manage192.1.100.2/24管理與互聯VLAN

VLAN10Yanfa192.1.10.252/24研發部

VLAN20Xiaoshou192.1.20.252/24銷售部

VLAN30Caiwu192.1.30.252/24財務部

S3

Vlan100Manage192.1.100.252/24管理與互聯VLAN

Gi0/2410.1.0.1/30

LoopBack011.1.0.33/32

VLAN10Yanfa192.1.10.253/24研發部

VLAN20Xiaoshou192.1.20.253/24銷售部

VLAN30Caiwu192.1.30.253/24財務部

S4

Vlan100Manage192.1.100.253/24管理與互聯VLAN

Gi0/2410.1.0.5/30

LoopBack011.1.0.34/32

Gi1/0/110.1.0.2/30

Gi2/0/110.1.0.6/30

S6/S7Gi1/0/210.1.0.9/30

Gi2/0/210.1.0.13/30

LoopBack011.1.0.67/32

Gi0/010.1.0.18/30

Gi0/220.1.0.1/29

EG1Gi0/330.1.0.1/29

Gi0/440.1.0.1/29

LoopBack011.1.0.11/32

Gi0/010.1.0.10/30

Gi0/110.1.0.14/30

Gi0/220.1.0.9/29

EG2

Gi0/330.1.0.9/29

Gi0/440.1.0.9/29

LoopBack011.1.0.12/32

194.1.10.254/24

S5VLAN10AP

Gi0/1至Gi10

網絡系統管理賽項-模塊A：網絡構建8/9

VLAN20Caiwu_Wif