竞赛说明
1. 竞赛内容
分布 “网络建设与运维”竞赛共分七个部分,其中:
第一部分:网络组建与配置(35 分)
第二部分:X86 架构计算机操作系统安装与管理(5 分)
第三部分:ARM 架构计算机操作系统安装与管理(5 分)
第四部分:云平台与 Windows 系统配置(20 分)
第五部分:Linux 系统配置(20 分)
第六部分:网络运维(10 分)
第七部分:职业素养(5 分)
2. 项目简介
某集团公司原在北京建立了总部,后在深圳建立了分部,又在成都、郑州设 立了两个办事处。总部设有销售、产品、法务、财务、信息技术 5 个部门,统一 进行 IP 及业务资源的规划和分配,全网采用 OSPF 动态路由协议和静态路由协议 进行互连互通。
公司规模在 2024 年快速发展,业务数据量和公司访问量增长巨大。为了更好 管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到 快速、可靠交换数据,以及增强业务部署弹性的目的。
集团、分公司及两个办事处的网络结构详见“主要网络环境”拓扑图。
其中一台交换机编号为 SW-3,用于实现终端高速接入;另外两台交换机作为 总部的核心交换机(SW-1、SW-2);两台防火墙分别作为成都办事处、郑州办事处 的防火墙;一台路由器编号为 RT-1,作为集团的核心路由器;另一台路由器编号 为 RT-2,作为分公司路由器;一台无线交换机作为集团的有线无线智能一体化控 制器,编号为 AC,通过与高性能企业级 AP 配合实现集团无线覆盖。
二、 交换配置与调试
(一) 为了减少广播,需要根据题目要求规划并配置 VLAN。具体要求如下:
1.配置合理,所有链路上不允许不必要 VLAN 的数据流通过,包括 VLAN 1;
2.集团接入交换机与核心交换机之间的互连接口发送 AP&交换机管理 VLAN 的报文时不 携带标签,发送其它 VLAN 的报文时携带标签,要求禁止采用 trunk 链路类型;
3.当财务业务 VLAN 物理端口接收到的流量大于端口缓存所能容纳的大小时,端口将通 知向其发送流量的设备减慢发送速度,以防止丢包;当法务业务 VLAN 物理端口收包 BUM 报文 速率超过 2000packets/s 则关闭端口,10 分钟后恢复端口。
4.根据下述信息及表,在交换机上完成 VLAN 配置和端口分配。
(二) 在集团核心交换机 SW-1 和 SW-2、接入交换机 SW-3 间运行一种协议,具体要求如 下:
1. 实现销售、产品、信息技术业务优先通过 SW-1 至 SW-3 间链路转发,法务、财务、AP& 交换机管理等业务优先通过 SW-2 至 SW-3 间链路转发,从而实现 VLAN 流量的负载分担与相互 备份;
2. 设置路径开销值的取值范围为 1-65535,BPDU 支持在域中传输的最大跳数为 7 跳;同 时不希望每次拓扑改变都清除设备 MAC/ARP 表,全局限制拓扑改变进行刷新的次数;
3. 加速接入交换机所有业务端口收敛,当接口收到 BPDU 丢弃报文并关闭端口,如果 5 分钟内没有收到 BPDU 报文,则恢复该端口。
(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议,为所有业务 VLAN 实现网关 冗余,具体要求如下:
1.虚地址使用该 VLAN 中的最后一个可用 IP、SW-1 使用该 VLAN 中的倒数第三可用 IP、 SW-2 使用该 VLAN 中的倒数第二可用 IP,SW-1 为销售、产品、信息技术业务的 Master,SW2 为法务、财务、AP&交换机管理等业务的 Master,且互为备份;每隔 3s,VRRP 备份组中的 Master 发送 VRRP 报文来向组内的三层交换机通知自己工作状态;
2.监视上行链路状态,当上行链路故障时,Slave 设备能够接管 Master 设备转发数据; 而当链路故障恢复后,原 Master 设备接管 Slave 设备转发数据。
(四) 因集团销售人员较多、同时也为了节约成本,在集团接入交换机下挂两个 8 口 HUB 交换机实现销售业务接入,集团信息技术部已经为销售业务 VLAN 分配 IP 主机位为 1-14,在 集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发,对 IP 不在上述范围内的 用户发来的数据包,交换机不能转发,直接丢弃, 要求禁止采用访问控制列表实现。
(五) 集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层,当发现单向链 路后,要求自动地关闭互连端口;发送握手报文时间间隔为 5s, 以便对链路连接错误做出更 快的响应,如果某端口被关闭,经过 30 分钟,该端口自动重启。
(六) SW-2 既作为集团核心交换机,同时又使用相关技术将 SW-2 模拟为 Internet 交换 机,实现集团内部业务路由表与 Internet 路由表隔离。
(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在 SW-1 核心交换机 E1/0/10-E1/0/11 接口测试,将核心交换机与接入交换机、路由器互连流量 提供给多个厂商网流分析平台。
三、 路由配置与调试
(一) 尽可能加大集团路由器与分公司路由器之间专线链路带宽,配置 Mutlilink PPP 捆 绑;
(二) 规划集团与分公司、成都办事处之间使用 OSPF 协议进行互连互通,进程号为 1,具 体要求如下:
1.集团路由器与集团核心交换机之间、集团核心交换机与集团核心交换机之间、集团路 由器与分公司路由器之间均属于骨干区域,集团业务网段属于 Area1,分公司业务网段属于 Area2;集团路由器与成都办事处防火墙之间、成都办事处防火墙与分公司路由器之间、成都 办事处业务网段属于 Area3;
2.借助 OSPF 相关特性,尽可能保证骨干区域完整性;
3.针对骨干区域启用区域 MD5 验证,验证密钥为:DCN2019,调整接口的网络类型加快 邻居关系收敛;
4.要求集团业务网段 Area、分公司业务网段 Area 禁止学习 LSA3、LSA4、LSA5、LSA7 类 路由,要求集团业务网段中不发送协议报文;
5.集团路由器将访问郑州办事处业务网段的静态路由引入 OSPF,要求分公司禁止学习 到郑州办事处业务网段路由。
(三) 实现集团销售&产品&信息技术&无线业务、分公司业务网段、成都办事处业务网段统 一通过集团路由器访问 Internet,轮询使用 NAT 地址为:202.99.192.4/30,针对上述源地 址,限制单个 IP 地址能建立 NAT 翻译表项的最大数目为 100;配置一对一地址转换,实现通 过 Internet 任意位置访问 202.99.192.8/32 都可以访问至集团 OA 平台 10.XX.10.1/32(XX 与“主要网络环境”地址中相应网段一致)进行数据查询;郑州办事处业务网段通过郑州办 事处防火墙访问 Internet,NAT 地址池为接口公网 IP。
(四) 集团路由器与郑州办事处防火墙之间使用与 Internet 的接口互联地址建立 GRE 隧道,再使用 IPSEC 技术对 GRE 隧道进行保护,使用 IKE 协商 IPSec 安全联盟、交换 IPSec 密钥,两端加密访问列表名称都为 ipsecacl,这样有了 IPSec,郑州办事处通过静态路由协 议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全 上传郑州办事处相关销售业务数据。
(五) 为了合理分配集团业务流向,保证来回路径一致,业务选路具体要求如下:
1. 集团核心交换机与集团无线控制器 DCWS 之间采用静态路由协议,使用 OSPF 相关特性 实现集团无线业务与Internet互访流量优先通过DCWS_SW-1_RT1间链路转发,DCWS_SW-2_RT1 间链路作为备用链路;
2. 实现销售、产品、信息技术业务分别与 Internet、分公司、办事处互访流量优先通过SW-1_RT1 间链路转发,法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优 先通过 SW-2_RT1 间链路转发,从而实现流量的负载分担与相互备份。
四、 无线配置
(一) 集团无线控制器 DCWS 与核心交换机互联,无线业务网关位于 DCWS 上,VLAN220 为业务 VLAN;核心交换机侧配置使用 DHCP 进行 AP 管理地址分配,利用 DHCP 方式让 AP 发现 DCWS 进行三层注册,采用 MAC 地址认证。
(二) 配置一个 SSID DCNXX:DCNXX 中的 XX 为赛位号,访问集团及 Internet 业务,采 用 WPA-PSK 认证方式,加密方式为 WPA 个人版,配置密钥为 Dcn12345678。
(三) AP 在收到错误帧时,将不再发送 ACK 帧;打开 AP 组播广播突发限制功能;开启 Radio 的自动信道调整,每天上午 7:00 触发信道调整功能。
五、 安全策略配置
(一) 根据题目要求配置成都办事处防火墙、郑州办事处防火墙相应的业务安全域、业 务接口;限制成都办事处业务网段只可以与集团销售、产品、财务业务网段 http&https 业务 和 Internet 业务互访;郑州办事处业务网段通过 VPN 隧道只可以访问集团销售业务网段 http&https 业务,通过公网接口可以访问 Internet 业务;集团所有业务网段均可以与成都办 事处业务网段、郑州办事处业务网段双向互 ping,方便网络连通性测试与排障。
(二) 集团计划在成都办事处进行 https 认证试点,对成都办事处业务网段上网的用户 进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密码分别为 dcn01 或者 dcn02 才可以访问外部网络,强制用户在线时常超过 1 天后必须重新登录。
(三) 郑州办事处只有 100M Internet 出口,在郑州办事处防火墙上限制该业务网段每 个 IP 上下行最多 4M 带宽;对 Internet 出口 http 流量整形到 10Mbps,从而实现流量精细化 控制,保障办事处其它关键应用和服务的带宽。
六、 IPV6 配置 集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版 (IPv6)规模部署行动计划》,加快推进基于互联网协议第六版(IPv6)基础网络设施规模部 署和应用系统升级,现准备先在集团公司开始 IPv6 测试,要求如下:
(一) 在集团核心交换机 SW-1 配置 IPv6 地址,使用相关特性实现销售业务的 IPv6 终端可自动从网关处获得 IPv6 有状态地址。
(二) 在集团核心交换机 SW-2 配置 IPv6 地址,开启路由公告功能,路由器公告的生存 期为 2 小时,确保产品业务的 IPv6 终端可以获得 IPv6 无状态地址。
(三) 在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性,实现销售业务的 IPv6 终端与产品业务的 IPv6 终端可以互访。
举例:“主要网络环境”中销售业务 IPv4 地址为:10.30.10.0/24,对应 IPv6 地址为: 2001:30:10::254/64.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
