2019年全国职业院校技能大赛-竞赛样题H卷

模块二：设备基础信息配置与验证

1.设备命名规范和设备的基础信息

• 根据总体规划内容，将所有的设备根据命名规则修订设备名称；

hostname 设备名

• 依据设备的总体规划物流连接表，配置设备的接口描述信息。

description 描述

2.密码恢复和软件版本统一

• 将接入交换机S2做密码恢复，新的密码设置为admin；

Ctrl+c      进入boot
Ctrl+q 
main_config_password_clear

• 接入交换机S2软件版本升级，更新版本至RGOS 11.4(1)B1P3；

使用upgrade升级

copy tftp: flash0: 
upgrade flash0:文件名 

通过web升级

enable service web-server
int vlan 100
配管理地址，默认ip:192.168.110.1

• 胖AP3进行版本升级，升级至RGOS11.1(5)B9P11。

与上同理

3.网络设备安全技术

• 为路由器和无线控制器开启SSH服务端功能，用户名和密码为admin，密码为明文类型,特权密码为admin。

enable service ssh-server

line vty 0 4
	login local
	transport input ssh

username 用户名 password 密码
enable password 密码

• 为交换机开启Telnet功能，对所有Telnet用户采用本地认证的方式。创建本地用户，设定用户名和密码为admin，密码为明文类型,特权密码为admin。

line vty 0 4
	login local

• 配置所有设备SNMP消息，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“ruijie”，只读的Community为“public”，开启Trap消息。

snmp-server host 172.16.0.254 traps version 2c [ruijie|public]
snmp-server enable traps
snmp-server community [ruijie rw|public ro]

模块三：网络搭建与网络冗余备份方案部署

1.虚拟局域网及IPv4地址部署

为了减少广播，需要规划并配置VLAN。具体要求如下：

• 配置合理，Trunk链路上不允许不必要VLAN的数据流通过;

swichport trunk allowed vlan only [vlan号,[vlan号],···]

• 为隔离网络中部分终端用户间的二层互访，在交换机S1、S2上使用端口保护。

switchport protected	配置在链接终端用户口上

2.局域网环路规避方案部署

为了规避网络末端接入设备上出现环路影响全网，要求在本部校区与分校接入设备S1，S2，S6，S7进行防环处理。具体要求如下：

以下四步都配置在链接终端用户口上

• 接口开启BPDU防护不能接收bpduguard报文；

spanning-tree bpduguard enable

• 接口下开启rldp防止环路，检测到环路后处理方式为shutdown-port；

rldp enable
rldp port loop-detect shutdown-port

• 连接终端的所有端口配置为边缘端口；

spanning-tree portfast

• 如果端口被BPDU Guard检测进入err-disabled状态，再过300秒后会自动恢复，重新检测是否有环路。

ip verify source port-security	验证IP+MAC（同时需开启ip dhcp snooping）
errdisable recovery interval 300

3.接入安全部署

为了保证接入区DHCP服务安全及伪IP源地址攻击，具体要求如下：

• DHCP服务器搭建于S3上对VLAN10以内的用户进行地址分配；

service dhcp
ip dhcp pool 地址池名
	network 网络号 掩码
	default-route 网关

ip helper address ip地址		中继DHCP

• 为了防御从非法DHCP服务器获得的地址要求在S1、S2上部署DHCP Snooping功能；

防御ARP欺骗

ip dhcp snooping
ip dhcp snooping trust		信任口(配置在链接DHCP服务器口上)
ip arp inspection [vlan号,[vlan号]]
ip arp inspection trust		配置在链接DHCP服务器口上

• 调整CPU保护机制中ARP阈值500pps；

cpu-protect type arp bandwidth 500

• 关闭S1、S2上联接口NFPP功能，全局设置NFPP日志缓存容量为1024，打印相同log的阈值为300s。

no nfpp nd-guard enable
no nfpp icmp-guard enable
no nfpp arp-guard enable
no nfpp ip-guard enable
no nfpp dhcp-guard enable
no nfpp dhcpv6-guard enable

nfpp		进入nfpp模式
log-buffer enable
log-buffer entries 容量值[0-1024]
log-buffer logs 1 interval 300

4.MSTP及VRRP部署

在本部校区交换机S3、S4上配置MSTP防止二层环路；要求VLAN10、VLAN20、VLAN30数据流经过S3转发，VLAN40、VLAN50、VLAN100数据流经过S4转发，S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下：

spanning-tree mode mstp

• region-name为ruijie；

name ruijie

• revision版本为1；

revision 1

• 实例1，包含VLAN10，VLAN20，VLAN30；

spanning-tree mst configuration
instance 1 vlan10,20,30

• 实例2，包含VLAN40，VLAN50，VLAN100；
  与上同理
• S3作为实例0、1中的主根，S4作为实例0、1的从根；

spanning-tree mst [0|1] priority 4096

• S4作为实例2中的主根，S3作为实例2的从根；
  与上同理
• 主根优先级为4096，从根优先级为8192；
• 在S3和S4上配置VRRP，实现主机的网关冗余。所配置的参数要求如表1-11；

表1-11 S3和S4的VRRP参数表

VLAN	VRRP备份组号（VRID）	VRRP虚拟IP
VLAN10	10	192.XX.10.254
VLAN20	20	192.XX.20.254
VLAN30	30	192.XX.30.254
VLAN40	40	192.XX.40.254
VLAN50	50	192.XX.50.254
VLAN100(交换机间)	100	192.XX.100.254

• S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。

vrrp 组号 ip 网关
vrrp 组号 priority 优先级

5.路由协议部署

本部校区内网使用静态路由、OSPF多协议组网。其中S3、S4、S5、EG1、EG2、R1使用OSPF协议，本部校区其余三层设备间使用静态路由协议。本部校区与分校广域网间使用静态路由协议（R1除外），各分校局域网环境使用RIP路由协议和静态路由协议。要求网络具有安全性、稳定性。具体要求如下：

• 本部校区OSPF进程号为10，规划多区域；

router ospf 进程号

• 区域0（S3、S4），区域1（S3，S4，S5）,区域2（S3，S4，EG1，EG2），区域3（S4、R1）；

network 网络号 反掩码 area 区域号

• 区域1为完全NSSA区域；

area 区域号 nssa no-summary

• 各分校RIP版本为RIP-2，取消自动聚合；

router rip
version 2
no auto-summary

• AP使用静态路由协议；
• 本部校区与分校通过重分发引入彼此路由；

redistribute [rip|ospf|connected|static] metric-type  类型[1|2]  subnets 

• 要求本部校区业务网段中不出现协议报文；

passive-interface vlan vlan号

• 不允许重发布直连路由，Network方式发布本地明细路由；
• 为了管理方便，需要发布Loopback地址；
• 优化OSPF相关配置，以尽量加快OSPF收敛；
• 重发布路由进OSPF中使用类型1；
• 不允许在R1设备使用IPV4静态路由。

注意：S5需要重发布云平台（172.16.0.0/24）静态路由至本部内网。

redistribute static metric-type 1 subnets
ip route 172.16.0.0 255.255.255.0 下一跳地址

6.广域网链路配置与安全部署

本部校区路由器R1与北京校区路由器R2、广州校区路由器R3间属于广域网链路，其中R1-R2间所租用一条带宽为2M的线路，R1-R3间租用2条带宽均为2M的线路。本部校区路由器与分校路由器间属于广域网链路。需要使用PPP进行安全保护，同时提高R1与R3的链路带宽与简化网络部署的目的，现要求如下：

• 使用CHAP协议；

encapsulation ppp		端口配置为ppp封装
ppp authentication [chap|pap|chap pap|pap chap]		在服务端上开启认证 

• 单向认证，用户名+验证口令方式；

ppp chap hostname 用户名		设置认证
ppp chap password 密码		设置认证

ps：双向认证就是设备即作为服务端也作为客户端

• R1为认证服务端，R2、R3为认证客户端；
• 用户名和密码均为ruijie；

username ruijie password ruijie		作为服务端创建客户端用户

• R1与R3间使用PPP链路捆绑，捆绑组号为1。

interface multilink 组号		创建逻辑多链路
配置地址

进入要捆绑的接口
ppp multilink		端口上启用多链路功能
ppp multilink group 组号		将接口划分到相应组

考虑到广域网线路安全性较差，所以需要使用IPSec对各分校到总校的业务数据进行加密。
要求使用动态隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立IPsec SA。

在R1上所配置的参数要求如下：

• ipsec加密转换集名称为myset；
• 动态ipsec加密图名称为dymymap；
• 预共享密钥为明文123456；
• 静态的ipsec加密图mymap。

crypto isakmp policy 标识编号(1)		创建isakmp策略
	encryption 3des		指定加密算法为3des
	hash md5			指定认证算法为md5
	authentication pre-share		指定认证方式为预共享密钥

crypto isakmp key [0明文|7密文] address 0.0.0.0 0.0.0.0		配置预共享密钥，对端ip地址为动态
crypto ipsec transform-set 转化集名 [esp-~|esp-md5-~|···]	指定ipsec使用esp封装

crypto dynamic-map 动态加密图名 标识编号(5)					新建动态ipsec加密图
	set transform-set 转换集名		指定加密转换集
crypto map 静态加密图名 标识编号(10) ipsec-isakmp dynamic 动态加密图名		将动态图映射到静态图中
crypto map 静态图名		将加密图应用到接口

在R2和R3上所配置的参数要求如下：

• ACL编号为101；
• 静态的ipsec加密图mymap；
• 预共享密钥为明文123456。

静态隧道可参考

access-list 101 permit ip 本地网段 对端网段		配置ACL
crypto isakmp keepalive 标识编号(5) periodic		配置IPSEC DPD探测功能(客户端)

crypto isakmp policy 标识编号
	encryption 3des		指定加密算法为3des
	hash md5			指定认证算法为md5
	authentication pre-share		指定认证方式为预共享密钥
crypto isakmp key 0 密码 address 对端出口地址		配置预共享密钥
crypto ipsec transform-set 转换集名 [esp-des|esp-md5-~]		配置转换集

crypto map 图名 标识编号(5) ipsec-isakmp		新建加密图
	set peer 对端出口ip		指定peer地址
	set transform-set 转换集名		指定转换集
	match address ACL编号		指定流
	set autoup		自动连接
crypto map 图名		将加密图应用到接口

7.路由选路部署

考虑到数据分流及负载均衡的目的，针对本部校区与各分校数据流走向要求如下：

• 通过修改OSPF接口COST达到分流的目的，且其值必须为5或10；
• OSPF通过路由引入时改变引入路由的COST值，且其值必须为5或10；
• 本部校区VLAN10，VLAN20，VLAN30用户与互联网互通主路径规划为：S3-EG1；
• 本部校区VLAN40用户与互联网互通主路径规划为：S4-EG2；
• 各分校用户与互联网互通主路径规划为：S4-EG2；
• 云平台服务器与互联网互通主路径规划为S3-EG1；
• 主链路故障可无缝切换到备用链路上；

8.QoS部署

为了防止大量用户不断突发的数据导致网络拥挤，必须对接入的用户流量加以限制。所配置的参数要求如下：

• 本部校区设备S1、S2的Gi0/1至Gi0/16接口入方向设置接口限速，限速10Mbps,猝发流量1024 kbytes；；

rate-limit input 10000 1024

• 各分校设备R2、R3出口处做流量整形；

traffic-shape rate 出接口带宽(kbits)

• 各分校设备R2、R3内网G0/0接口对接收的报文进行流量监管，(上行流量不超)10Mbps，Burst-normal为1M bytes, burst-max为2M bytes如果超过流量限制则将违规报文丢弃。

rate-limit input 10000 1000 2000 conform-action continue exceed-dropacion

9.IPV6部署

• 在S3和S4上配置VRRP for IPv6，实现主机的IPv6网关冗余；
• VRRP与MSTP的主备状态与IPV4网络一致。

ipv6 unicast-routing
int [vlan|接口号]
	ipv6 enable
	ipv6 address ipv6地址
	no ipv6 nd suppress-ra
	vrrp 组号 ipv6 [FE80::1|ipv6地址]
	vrrp ipv6 组号 priority 优先级
	vrrp ipv6 组号 accept_mode

• S3、S4、R1间部署OSPFV3,进程为10，区域为0；
• R2、S6间部署OSPFV3进程为20，区域为0；
• R3、S7间部署OSPFV3进程为30，区域为0；

int [vlan|接口号]
	ipv6 ospf 进程号 area 区域号

• S3、S4、AC1、AC2部署IPV6静态路由协议，实现本部校区有线与无线IPV6终端互联互通；

ipv6 route ipv6地址 [出接口|对端ip]

• R1\R2间部署IPV6 6to4动态隧道，隧道内部署静态路由协议，实现总分机构间IPV6终端互联互通；

int 接口号
	ipv6 enable
	tunnel mode ipv6 6to4
	tunnel source ipv4地址或源接口号
ipv6 route ipv6地址 [出接口|对端ip]

• R1\R3间部署IPV6 GRE隧道，隧道内部署OSPFV3协议，实现本部校区与分校之间IPV6终端互联互通；

int tunnel 0
	tunnel source ipv4地址或源接口号
	tunnel destination 隧道对端地址
ipv6 route ipv6地址段 tunnel 0

模块四：移动互联网搭建与网优

为满足互联网+时代下，移动教学的发展趋势，促进校园信息化建设，本部校区与分校均需要规划和部署移动互联无线网络，同时，为保证不同学生之间利用无线安全、可靠的访问互联网，我们需要进行无线网络安全及性能优化配置，确保师生有良好的上网体验。

1.无线网络基础部署

• 使用AC为本部校区无线用户DHCP服务器，使用S3、S4为本部校区AP的DHCP服务器,S3分配AP地址范围为其网段的1至100,S4分配AP地址范围为其网段的101至200；

service dhcp		开启dhcp服务

为AP配置DHCP池

ip dhcp 池名(ap)		建池
	option 138 ip AC地址(Loop)		指定AC的地址
	network 网络号 掩码				分配地址
	default-route ip 网关ip			指定网关
ip dhcp excluded-address ip [ip]	排除地址

• 创建本部校区SSID(WLAN-ID 1)为Ruijie-ZX_XX(XX现场提供)，AP-Group为ZX，本部校区无线用户关联SSID后可自动获取地址。

wlan-config WLAN-ID号(1) SSID标识符(Ruijie-ZX_XX)
	tunnel [8023(集中转发)|local(本地转发)]

ap-group 组名(ZX)		创建AP组
	interface-mapping WLAN-ID号 VLAN号(1) ap-wlan-id WLAN-ID号(1)(指定在AP上使用的wlan-id)		配置WLAN部署到指定AP组上
	tunnel [8023(集中)|local(本地)] wlan wlan号 vlan vlan号(可选输，指定在ap上使用的转发模式、wlan和vlan)

ap-config [all|AP名]
	ap-group ap组名			把AC上的配置分配到AP上
	wired-vlan vlan号		配置有线用户vlan(可选)
	ap-vlan vlan号			配置AP的本征vlan(可选，不打标签，默认1)

PS:

集中转发(小流量) AP口一般为access
本地转发(大流量)AP口一般为trunk

2.AC热备部署

• AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去连接时能无缝切换至AC2并提供服务。

wlan hot-backup 邻居ip(另一台AC)		配置热备邻居
	context 实例号					配置热备实例(两边相同)
		ap-group ap组名				绑定AP组
		priority level 优先级		设置实例优先级(0~7,默认4,越高优先级越高)
		peer-ip ip地址				地址为对端ac地址(根据情况)
		wlanhot-backup enable		开启热备功能

3.无线安全部署

具体配置参数如下：

• 为了保证合法用户连接入本部校区内网，本部校区无线用户使用MAC校验方式。在本部校区的AC设备上配置白名单只允许PC1（无线网卡ipconfig确定MAC地址）接入无线网络中，并设置AC白名单数量最多为10；

wlansec wlanid
	dot1x-mab		启用MAB认证模式(MAC)
wids
	whitelist mac-address H.H.H		配置白名单MAC
	whitelist max 白名单数量		配置白名单MAC上限

• 在同一个AP中的用户在某些时候出于安全性的考虑，需要将他们彼此之间进行隔离，实现用户之间彼此不能互相访问，配置AP1实现同AP下用户间隔离功能。

wids 
	user-isolation [ap|ssid-ap(基于wlan,相同wlan不能访问)] enable	配置基于AP用户隔离

4.无线性能优化

• 要求本部校区无线用户启用集中转发模式；
• 限制AP1关联用户数最高为16；

ap-config [all|AP名]
	sta-limit 用户数

• 本部校区关闭低速率（1M,6M）应用接入。

[802.11a|802.11b|802.11g] network rate M disabled		关闭低速率应用接入

5.胖AP部署

北京校区与广州校区使用无线AP胖模式进行部署，具体要求如下：

• AP2以透明模式进行部署，S6部署DHCP为无线终端和AP分配地址；

ap-mode [fit(瘦模式)|fat(胖模式) [dhcp] ]		设置AP模式(若加dhcp切换为胖模式时会自动获取dhcp)

• AP2创建SSID(WLAN-ID 1)为Ruijie-BJ_XX(XX现场提供),采用WEB进行认证，认证用户名为user1,密码为XX(现场提供)；

命令行配置：
ps:web依赖于aaa

aaa new-model		开启aaa认证
aaa authentication iportal default local		配置AAA中Web认证方法列表(local:使用本地用户名数据进行认证)
aaa accounting network default start-stop none		配置网络记账方法列表

http redirect direct-arp APip地址		配置直通ARP资源范围
http redirect port 8081(端口)		配置重定向的HTTP端口

username 用户名 web-auth password 密码		配置本地用户(web-auth:只用于web认证)
web-auth template iportal		配置全局使用内置portal进行认证
wlansec WLANID号
	web-auth portal iportal
	web	auth

• AP3以路由模式进行部署，本地部署DHCP为无线终端分配地址；
• AP3创建SSID(WLAN-ID 1)为Ruijie-GZ_XX(XX现场提供),启用白名单校验，放通PC3无线网卡。

wids
	whitelist mac-address MAC地址
	whitellist max ~ (默认1024)		设置最大连接数

模块五：出口安全防护与远程接入

本部校区与分校无线用户需要通过独立的互联网线路访问外网资源，同时针对访问资源进行用户身份认证与信息审计监督。

1.出口NAT部署

具体配置参数如下：

• 本部校区出口网关上配置访问控制列表，允许本部校区、分校有线无线业务网段(ACL编号110)通过NAPT访问联通、教育网资源；

创建ACL
ip nat inside source list ACL号 [pool 池名|int 接口] overload		配置NAPT

• 在本部校区EG1上配置，使本部校区校区核心交换S4（11.1.0.4）设备的Telnet服务可以通过互联网被访问，将其地址映射至联通线路上，映射地址为196.1.0.10；

ip nat inside source static tcp 11.1.0.4 23 196.1.0.10 映射端口(23) permit-inside(允许内网用户访问)

• 需确保NAT映射数据流来回一致，启用EG源进源出功能保证任何外网用户（联通、电信、移动、教育……）均可访问映射地址196.1.0.10。

int 出口(dia口)
	reverse-path

排错：

show ip nat translations		查看NAT映射表

2.全局流表策略部署

在用户没有防火墙做限制的情况下，如果遇到大量的伪源IP攻击，或者是端口扫描时，会把设备的流表给占满，而导致正常的数据无法建流而被丢弃，为此要求部署全局流表防火墙，ACL（编号为112）策略要求如下：

ip access-list ex 112

• 放通所有IP到设备外网接口的WEB管理；

permit tcp any host 接口ip eq 80

• 放通内网IP到外网所有资源的访问；
  permit ip 内网网段 掩码 any
• 放通任意IP来访问映射的内网服务器的资源；

permit tcp any host 服务器映射外网ip eq 22 

• 根据上下文要求放通设备已启用的功能协议端口。

permit ospf any any
permit esp any any
permit udp any any wq snmp
permit udp any any eq snmptrap
permit udp any eq bootpc any eq bootps
permit udp any eq bootps any eq bootpc
permit udp any any eq 1701 

3.Web Portal用户认证部署

• 在本部校区网关上启用Web Portal认证服务，并创建user1、user2，密码均为123456；

用户---->上网认证

• 有线用户需进行WEB认证访问互联网；

用户---->用户组织---->用户管理

• 无线用户不需在EG上进行WEB认证即可访问互联网。
  同上

4.应用流量控制部署

• 本部校区针对访问外网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过100M（策略及通道名称均为：WEB）。

流控---->流控策略---->高级流控
WEB流量限速 最大下载、上传(kbps) 1Mbps/s=1024kbps/s（不以图片为准）
内网WEB总流量 下载网速、上传网速 100Mbps/s=102400kbps/s（不以图片为准）

5.用户行为策略部署

• 工作日（周一到周五：上午9点到下午5点）阻断并审计P2P应用软件使用（策略名称：P2P）；
• 对创建的用户user1用户上网活动不进行监控审计。

流控---->行为策略---->高级配置---->新建行为策略

6.数据分流与负载均衡

• 本部校区与分校用户数据流匹配EG内置联通与教育地址库，实现访问联通资源走联通线路，访问教育资源走教育线路；

网络---->路由/负载---->应用路由

• 除联通、教育资源之外默认所有数据流在联通与教育线路间进行负载转发；
• 每天晚上6点到10点联通线路上网流量压力较大，将P2P应用软件流量在此时间段内引流到教育网线路。

网络---->路由/负载---->应用路由