2024河北省赛题交换机答案

(一)工程统筹（本题共 15 分）
1.职业素养
（1）整理赛位，工具、设备归位，保持赛后整洁序。
（2）无因选手原因导致设备损坏。
（3）恢复调试现场，保证网络和系统安全运行。
2.网络布线
（1）跳线制作与测试。根据网络拓扑要求，截取适当长度和数量的双绞线，所有网络跳线要求按 T568B 标准制作端接水晶头，插入相应设备的相关端口上，实现 PC、设备之间的连通。

(二)交换配置（本题共 120 分）

1.总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备，网管人员可对这台虚拟设备进行管理，来实现对虚拟设备中所有物理设备的管理。
（1）两台设备之间建立一个vsf port-group，vsf port-group编号都为 2，每个vsf port-group绑定两个千兆光端口。

SW1:

vsf port-group 2

vsf port-group int e 1/0/27

vsf port-group int e1/0/28

exit

SW2:

vsf port-group 2

vsf port-group int e 1/0/27

vsf port-group int e1/0/28

exit

（2）SW-1：成员编号为1，域编号为32，优先级为32；SW-2：成员编号为16，域编号为32，优先级为1；正常情况下SW-1负责管理整个VSF。

SW1:

vsf domain 32

vsf member 1

vsf priority 32

SW2:

vsf domain 32

vsf member 16

vsf priority 1

查看命令：show vsf config

配置完成之后：立马在SW1、2上配置switch convert mode vsf y;n y
（3）使用VLAN 4090 进行BFD MAD分裂检测，SW-1 BFD MAD IP地址为： 1.1.1.1/30，SW-2 BFD MAD接口IP地址为：1.1.1.2/30，配置VSF链路
down延迟上报时间为0.5s。

SW-Core:

vlan 4090

interface ethernet 1/0/26;16/0/26

switchport access vlan 4090

exit

int vlan 4090

vsf mad bfd enable

vsf mad ip address 1.1.1.1 255.255.255.252 member 1

vsf mad ip address 1.1.1.2 255.255.255.252 member 16

vsf link delay 500 延迟上报500毫秒

2.配置SW-Core的二层链路只允许下面Vlan 通过，不限制vlan1。

设备	Vlan编号	端口	说明
SW-Core	Vlan10	E1/0/11;E16/0/11	产品1段
	Vlan20	E1/0/12;E16/0/12	营销1段
	Vlan30	E1/0/13;E16/0/13	法务1段
	Vlan40	E1/0/14;E16/0/14	人力1段
	Vlan50	E1/0/15;E16/0/15	财务1段
SW3	Vlan10	E1/0/1	产品1段
	Vlan20	E1/0/2	营销1段
	Vlan30	E1/0/3	法务1段
	Vlan40	E1/0/4	人力1段
	Vlan50	E1/0/5	人力1段

SW-Core:

int e 1/0/11;16/0/11

sw ac vlan 10

exit

int e 1/0/12;16/0/12

sw ac vlan 20

exit

int e 1/0/13;16/0/13

sw ac vlan 30

exit

int e 1/0/14;16/0/14

sw ac vlan 40

exit

int e 1/0/15;16/0/15

sw ac vlan 50

exit

SW3:

int e 1/0/1

sw ac vlan 10

exit

int e 1/0/2

sw ac vlan 20

int e 1/0/3

sw ac vlan 30

int e 1/0/4

sw ac vlan 40

int e 1/0/5

sw ac vlan 50

查看命令：show vlan
3.配置相关技术，方便后续链路扩容与冗余备份，编号为 10，用 LACP协议，SW1 为active，FW1 为active；采用目的、源 IP 进行实现流量负载分担。

SW-Core:

port-group 10

interface ethernet 1/0/3;16/0/3

switchport mo trunk

switchport trunk allowed vlan 10,20,30,40,50,1000

port-group 10 mode active

exit

load-balance dst-src-ip

FW1:

interface aggregate10

zone "trust"

ip address 10.10.255.2 255.255.255.252

ipv6 enable

manage ping

lacp enable 开启lacp模式

load-balance mode tuple dest-ip src-ip 采用目的、源IP进行实现流量负载分担

exit

interface ethernet0/2

aggregate aggregate10

exit

interface ethernet0/3

aggregate aggregate10

exit

4.为方便后续验证与测试，将 SW3 模拟分公司交换机，实现与集团其 它业务路由表隔离，分公司路由表VPN 实例名称为Subcom，RD 为 1:1。业务网段按下表要求分配接口。

设备	Vlan编号	端口	说明
SW3	Vlan31	E1/0/11	产品3段
	Vlan32	E1/0/12	营销3段
	Vlan33	E1/0/13	法务3段
	Vlan34	E1/0/14	人力3段
	Vlan35	E1/0/15	财务3段

SW3:

ip vrf Subcom

rd 1:1

interface Vlan31

ip vrf forwarding Subcom

interface Vlan32

ip vrf forwarding Subcom

interface Vlan33

ip vrf forwarding Subcom

interface Vlan34

ip vrf forwarding Subcom

interface Vlan35

ip vrf forwarding Subcom

Interface Ethernet1/0/11

switchport access vlan 31

Interface Ethernet1/0/12

switchport access vlan 32

Interface Ethernet1/0/13

switchport access vlan 33

Interface Ethernet1/0/14

switchport access vlan 34

Interface Ethernet1/0/15

switchport access vlan 35
5.将SW3 模拟为 Internet交换机，实现与集团其它业务路由表隔离， Internet 路由表 VPN 实例名称为Internet，RD 为2:2。

SW3:

ip vrf Internet

rd 2:2

!

interface Vlan1003

ip vrf forwarding Internet

ip address 200.200.200.5 255.255.255.252

!

interface Vlan1004

ip vrf forwarding Internet

ip address 200.200.200.1 255.255.255.252

!

查看命令：show ip vrf

6.集团预采购多个厂商网流分析平台对集团整体流量进行监控、审

计，分别连接在SW3交换机E1/0/16-E1/0/17接口测试，将核心交换

财务 3 段机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。

配置使用远程交换Vlan为2023，SW1核心交换机端口20做流量反射。

7. 配置相关技术，避免SW-Core和SW3之间形成环路：产品和营销1段

业务网段划分到1组，法务、人力和财务1段业务网段划分到2组；组

1优先选择SW3的E1/0/10作为转发业务主端口，选择SW3的E1/0/20作

为转发业务副端口；组2优先选择SW3的E1/0/20作为转发业务主端口，

选择SW3的E1/0/10作为转发业务副端口；均开启抢占模式，并使用

VLAN2000做为控制VLAN；网络设备开启MAC地址更新和ARP删除的

flush报文的发送、接收功能。

8. 避免SW1和SW2出现故障后，SW3无法感知上联设备的故障，造成数据

流量的丢失。配置相关技术，根据上联设备故障情况自动切换数据传

输线路。

(三)路由调试（本题共 125 分）

1. 配置所有设备主机名，名称见“网络拓扑”。启用所有设备的 ssh 服

务，用户名和明文密码均为 admin；配置所有设备 ssh 连接超时为 9

分钟，console 连接不做登录超时限制。

2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间，SW1

配置为 ntp server，其他设备为ntp client，请求报文时间间隔 1

分钟，用SW1 Loopback1 IPv4 地址作为 ntp server 地址。

3. 配置接口 IPv4 地址和 IPv6 地址，互联接口 IPv6 地址用本地链路

10 / 23 地址。

4. AC配置DHCPv4功能，分别为分公司无线Vlan130、Vlan140、Vlan150

分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 ， 排除网关，

DNS 为 8.8.8.8 和114.114.114.144。AP 保留地址 10.10.130.9

（ DHCPv4 地址池名称为 AP）。RT2配置DHCPv4功能，为分公司产品3

段自动分配IP地址，DNS 为 8.8.8.8 和114.114.114.144。

5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和

OSPFv3 协议（路由模式发布网络用网络地址）。

（1）RT1和RT2之间OSPFv2 和OSPFv3 协议，process 1，area 0，分

别发布Loopback1 地址路由和产品路由。

（2）SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议，process 1，

area 1，分别发布Loopback1 地址路由和产品路由。；

（3）SW-Core和FW1 之间OSPFv2 和OSPFv3 协议，OSPFv2：process

1，area 2，OSPFv3：process 1，area 1，发布 Loopback1 地址

路由， FW1 在OSPFv2中通告默认路由。

（4）为增加IPv4网络数据传输中的安全性，需在骨干区域配置基于

区域，非骨干区域配置基于端口的md5安全认证，认证密钥均

为OSPF2023@。

6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、

RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议；RT1 串行链路

11 / 23 S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议；SW-Core与RT1

以太链路G0/2之间采用IPv6静态路由协议；IPv4与IPv6协议均发布人

力、财务路由，并使得总部与分部的人力、财务互通。

7. FW2和RT2之间运行ISIS 协议，实现Loopback2 之间 IPv4 互通和

IPv6 互通。 FW2 和 RT2 的 NET 分别为 10.0000.0000.0001.00 、

10.0000.0000.0002.00 、路由器类型是Level-2。

8. SW-Core、RT1、RT2之间运行BGP 协议，SW-Core、RT1的AS号为65001、

RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6

BGP邻居， RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW

Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。

9. 利用BGP MPLS VPN 技术，RT1 与RT2 以太链路间运行多协议标签

交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例，名称为

Finance， RT1 的RD 值为 1:1，export rt 值为 1:2，import rt

值为 2:1；RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻

居，分别实现两端Loopback3 IPv4 互通和IPv6 互通。

(四)无线部署（本题共 60 分）

1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三

层自动注册，AP 采用密码认证，密码为Skills123。配置 2 个ssid，分

别 为 SKILLS-2.4G 和 SKILLS-5G 。SKILLS-2.4G 对 应 Vlan140 ，用

Network 140 和radio1（profile 1, mode n-only-g）,用户接入无

12 / 23 13 / 23

线网络时需要采用基于 WPA-personal 加密方式，密码为 Key-1122，

用第一个可用VAP 发送 2.4G 信号，设定AP的使用功率为80%。SKILLS-

5G 对应 Vlan150，用Network 150 和 radio2（profile 1, mode n

only-a），开启WAPI认证，密码为Key-12345， SKILLS-5G 用倒数第一

个可用VAP 发送 5G 信号，设置每分钟跨信道扫描无线信号。

(五)安全维护（本题共 80 分）

说明：按照 IP 地址从小到大的顺序用“IP/mask”表示，IPv4 Any

地址用 0.0.0.0/0，IPv6 Any 地址用::/0，禁止使用地址条目。

1. FW1 配置IPv4 NAT，

id 为 1，实现集团产品 1 段 IPv4 访问 Internet

IPv4，保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP

地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任

意服务。

2. FW1 配置 NAT64，id 为 2，实现集团产品 1 段 IPv6 访问 Internet

IPv4，转换为出接口 IP，IPv4 转IPv6 地址前缀为 64:ff9b::/96。

3. FW1 和 FW2 策略默认动作为拒绝，并根据题意设置FW1和FW2的策

略条目，dmz区域要求使用明细地址条目。

4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN， 实现

Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1，

isakmp peer 名称为 PEER，ipsec proposal 名称为P2，tunnel

ipsec 名称为IPSEC，使用tunnel1 做隧道传输接口。