2023年全国职业院校技能大赛网络建设与运维赛项正式赛卷-网络部分答案

 

2023年全国职业院校技能大赛网络建设与运维赛项

 

 

 

 

 

 

赛题

 

 

 

 

 

 

 

 

 

 

2023年7月26日

赛题说明

• 竞赛项目简介

“网络建设与运维”竞赛共分为模块一：网络理论测试；模块二：网络建设与调试；模块三：服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。

表 1 竞赛时间安排与分值权重

 

模块		比赛时长	分值	答题方式
模块一	网络理论测试	0.5 小时	10%	在线测试
模块二	网络建设与调试	6.5 小时	40%	设备实操
模块三	服务搭建与运维		50%	设备实操
合计		7 小时	100%

• 竞赛注意事项

1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件及文档清单、材料清单是否齐全，计算机设备是否能正常使用。
3. 请参赛选手仔细阅读赛卷，按照要求完成各项操作。
4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和提交文档为最终结果。
5. 竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将竞赛所用的所有物品（包括试卷等）带离赛场。
6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记，禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为0分。
7. 与比赛相关的软件和文档存放在<U盘>/soft文件夹中。
8. 请在贴有“pc1-赛位号”U盘（赛位号从001-101变化）根目录新建“xxx”文件夹作为“选手目录”（xxx为赛位号。举例：1号赛位，文件夹名称为“001”），按照U盘中“答案提交指南.txt”要求生成答案文档，将答案文档复制到选手目录。
9. server1管理 web网址http://192.168.100.100/dashboard，管理员为admin，密码为admin。server1底层操作系统root用户密码

为Key-1122。Windows虚拟机中Administrator用户密码为Key-1122，题目中所有未指定的密码均用该密码。虚拟主机的IP地址必须手动设置为该虚拟机自动获取的IP地址。

1. server2管理web网址http://192.168.2.10，管理员为Admin，密码为Admin@123。
2. 使用完全合格域名访问网络资源。

     

模块二：网络建设与调试

（共计40分）

任务背景描述:

某集团公司原在城市A建立了总公司，后在城市B建立了分公司，

又在城市C设立了办事处。集团设有产品、营销、法务、财务、人力

5个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF、

RIP、ISIS、BGP路由协议进行互联互通。

随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要素潜能，为社会创造更多价值，集团决定在总公司建立两个数据中心，在某省建立异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构演进，更好的服务于公司客户。

集团、分公司及办事处的网络结构详见拓扑图。编号为SW1的设备作为总公司1#DC核心交换机，编号为SW2的设备作为总公司2#DC 核心交换机；编号为SW3的设备作为某省灾备DC核心交换机；编号

FW1的设备作为总公司互联网出口防火墙；编号为FW2的设备作为办事处防火墙；编号为RT1的设备作为总公司核心路由器；编号为RT2 的设备作为分公司路由器；编号为AC1的设备作为分公司的有线无线智能一体化控制器，通过与AP1配合实现所属区域无线覆盖。

注意：在此典型互联网应用网络架构中，作为IT网络运维人员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后，需从客户端进行测试，确保能正常访问到相应应用。网络拓扑图及IP地址表：

1.网络拓扑图

    

2.网络设备IP地址分配表

设备名称	设备接口	IP地址
SW1	Loopback1 ospfv2 ospfv3 bgp	10.4.1.1/32 2001:10:4:1::1/128
	Loopback2	10.4.1.2/32 2001:10:4:1::2/128
	Vlan11	10.4.11.1/24 2001:10:4:11::1/64
	Vlan12	10.4.12.1/24 2001:10:4:12::1/64
	Vlan13	10.4.13.1/24 2001:10:4:13::1/64
	Vlan14	10.4.14.1/24 2001:10:4:14::1/64
	Vlan15	10.4.15.1/24 2001:10:4:15::1/64
	Vlan1019	10.4.255.14/30
	Vlan1020	10.4.255.5/30
	Vlan1023	10.4.255.1/30
	Vlan1024 vpn	10.4.255.1/30
SW2	Loopback1 ospfv2 ospfv3 bgp	10.4.2.1/32 2001:10:4:2::1/128
	Loopback2	10.4.2.2/32 2001:10:4:2::2/128
	Vlan21	10.4.21.1/24 2001:10:4:21::1/64
	Vlan22	10.4.22.1/24 2001:10:4:22::1/64
	Vlan23	10.4.23.1/24 2001:10:4:23::1/64
	Vlan24	10.4.24.1/24 2001:10:4:24::1/64
	Vlan25	10.4.25.1/24 2001:10:4:25::1/64
	Vlan1019	10.4.255.22/30
	Vlan1020	10.4.255.9/30
	Vlan1023	10.4.255.2/30
	Vlan1024 vpn	10.4.255.2/30

设备名称	设备接口	IP地址
SW3	Loopback1 ospfv2 ospfv3 bgp	10.4.3.1/32 2001:10:4:3::1/128
	Vlan31	10.4.31.1/24 2001:10:4:31::1/64
	Vlan32	10.4.32.1/24 2001:10:4:32::1/64
	Vlan33	10.4.33.1/24 2001:10:4:33::1/64
	Vlan34	10.4.34.1/24 2001:10:4:34::1/64
	Vlan1019	10.4.255.6/30
	Vlan1020	10.4.255.10/30
SW3模拟办事处	Loopback2	10.4.3.2/32 2001:10:4:3::2/128
	Vlan110	10.4.110.1/24 2001:10:4:110::1/64
	Vlan120	10.4.120.1/24 2001:10:4:120::1/64
	Vlan1015	10.4.255.30/30
SW3模拟 Internet	Vlan1017	200.200.200.1/30
	Vlan1018	200.200.200.5/30
AC1	Loopback1 ospfv2 ospfv3	10.4.4.1/32 2001:10:4:4::1/128
	Loopback2 rip ripng	10.4.4.2/32 2001:10:4:4::2/128
	Loopback3	10.4.4.3/32 2001:10:4:4::3/128
	Vlan1001	10.4.255.46/30
	Vlan130 无线管理	10.4.130.1/24 2001:10:4:130::1/64
	Vlan140 无线2.4G 产品	10.4.140.1/24 2001:10:4:140::1/64
	Vlan150 无线5G 营销	10.4.150.1/24 2001:10:4:150::1/64
RT1	Loopback1 ospfv2 ospfv3 bgp mpls	10.4.5.1/32 2001:10:4:5::1/128
	Loopback2 rip ripng	10.4.5.2/32 2001:10:4:5::2/128

设备名称	设备接口	IP地址
	Loopback3 isis	10.4.5.3/32 2001:10:4:5::3/128
	Loopback4 集团与办事处互联	10.4.5.4/32 2001:10:4:5::4/128
	Loopback5 vpn财务	10.4.5.5/32 2001:10:4:5::5/128
	G0/0	10.4.255.33/3 0
	G0/1	10.4.255.18/30
	G0/2	10.4.255.21/30
	G0/3	10.4.255.25/30
	S1/0	10.4.255.37/30
	S1/1	10.4.255.41/30
RT2	Loopback1 ospfv2 ospfv3 bgp mpls	10.4.6.1/32 2001:10:4:6::1/128
	Loopback2 rip ripng	10.4.6.2/32 2001:10:4:6::2/128
	Loopback3 isis	10.4.6.3/32 2001:10:4:6::3/128
	Loopback4 ipsecvpn	10.4.6.4/32 2001:10:4:6::4/128
	Tunnel4 ipsecvpn	10.4.255.50/30
	Loopback5 vpn财务	10.4.6.5/32 2001:10:4:6::5/128
	G0/0	10.4.255.34/30
	G0/1	10.4.255.45/30
	G0/2	200.200.200.6/30
	S1/0	10.4.255.42/30
	S1/1	10.4.255.38/30
FW1	Loopback1 ospfv2 ospfv3 trust	10.4.7.1/32 2001:10:4:7::1/128
	Loopback2 rip ripng trust	10.4.7.2/32 2001:10:4:7::2/128
	Loopback3 isis trust	10.4.7.3/32 2001:10:4:7::3/128
	Loopback4 ipsecvpn trust	10.4.7.4/32 2001:10:4:7::4/128
	Tunnel4 ipsecvpn VPNHUB	10.4.255.49/30
	E0/1 trust	10.4.255.13/30
设备名称	设备接口	IP地址
	E0/2 trust	10.4.255.17/30
	E0/3 untrust	200.200.200.2/30
FW2	Loopback1 ospfv2 ospfv3 trust	10.4.8.1/32 2001:10:4:8::1/128
	E0/1 dmz	10.4.255.26/30
	E0/2 trust	10.4.255.29/30

 

(一)工程统筹（本题共10分）

1.职业素养

整理赛位，工具、设备归位，保持赛后整洁有序。

无因选手原因导致设备损坏。

恢复调试现场，保证网络和系统安全运行。

2.网络布线

机架立面示意图

 左侧面板编号101；右侧面板编号102。

面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。

主配线区配线点与工作区配线点连线对应关系如下：

序号	信息点编号	配线架编号	底盒编号	信息点编号	配线架端口编号
1	W1-02-101-1	W1	101	1	02
2	W1-06-102-1	W1	102	2	06

铺设线缆并端接。截取2根适当长度的双绞线，两端制作标签，穿过

PVC线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定。将2根双绞线的一端，端接在配线架相应端口，另一端端接上RJ45模块，并且安装上信息点面板，并标注标签。

跳线制作与测试。截取2根当长度的双绞线，端接水晶头，所有网络跳线要求按568B标准制作，两端制作标签，连接网络信息点和相应计算机。根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，插入相应设备的相关端口上，实现PC、信息点面板、配线架、设备之间的连通。 

(二)交换配置（本题共10分）

1.配置SW1、SW2、SW3的Vlan，二层链路只允许下面Vlan通过，不限制vlan1。

设备	Vlan编号	端口	说明
SW1	Vlan11	E1/0/1	产品1段
	Vlan12	E1/0/2	营销1段
	Vlan13	E1/0/3	法务1段
	Vlan14	E1/0/4	人力1段
	Vlan15	E1/0/5	财务1段
SW2	Vlan21	E1/0/1	产品2段
	Vlan22	E1/0/2	营销2段
设备	Vlan编号	端口	说明
	Vlan23	E1/0/3	法务2段
	Vlan24	E1/0/4	人力2段
	Vlan25	E1/0/5	财务2段
SW3	Vlan31	E1/0/1	产品3段
	Vlan32	E1/0/2	营销3段
	Vlan33	E1/0/3	法务3段
	Vlan34	E1/0/4	人力3段
	Vlan110	E1/0/11	办事处产品
	Vlan120	E1/0/12	办事处营销

SW 1:

Interface Ethernet1/0/19

switchport access vlan 1019

!

Interface Ethernet1/0/20

switchport access vlan 1020

!

Interface Ethernet1/0/1

switchport access vlan 11

!

Interface Ethernet1/0/2

switchport access vlan 12

!

Interface Ethernet1/0/3

switchport access vlan 13

!

Interface Ethernet1/0/4

switchport access vlan 14

!

Interface Ethernet1/0/5

switchport access vlan 15

!

SW 2:

Interface Ethernet1/0/19

switchport access vlan 1019

!

Interface Ethernet1/0/20

switchport access vlan 1020

!

Interface Ethernet1/0/1

switchport access vlan 21

!

Interface Ethernet1/0/2

switchport access vlan 22

!

Interface Ethernet1/0/3

switchport access vlan 23

!

Interface Ethernet1/0/4

switchport access vlan 24

!

Interface Ethernet1/0/5

switchport access vlan 25

!

SW 3:

Interface Ethernet1/0/19

switchport access vlan 1019

!

Interface Ethernet1/0/20

switchport access vlan 1020

!

Interface Ethernet1/0/1

switchport access vlan 31

!

Interface Ethernet1/0/2

switchport access vlan 32

!

Interface Ethernet1/0/3

switchport access vlan 33

!

Interface Ethernet1/0/4

switchport access vlan 34

!

Interface Ethernet1/0/5

switchport access vlan 35

!

Interface Ethernet1/0/11

switchport access vlan 110

!

Interface Ethernet1/0/12

switchport access vlan 120

!

2.SW1和SW2之间利用三条裸光缆实现互通，其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离，财务业务VPN实例名称为Finance，RD为1:1。承载二层业务的只有一条裸光缆通道，配置相关技术，方便后续链路扩容与冗余备份，编号为1，用LACP协议，SW1为active，SW2为passive；采用目的、源IP进行实现流量负载分担。

SW1:

ip vrf Finance

RD:1:1

interface Vlan15

ip vrf forwarding Finance

ipv6 address 2001:10:4:15::1/64

ip address 10.4.15.1 255.255.255.0

！

interface Vlan1024

ip vrf forwarding Finance

ip address 10.4.255.1 255.255.255.252

!

SW2:

ip vrf Finance

RD:1:1

interface Vlan25

ip vrf forwarding Finance

ipv6 address 2001:10:4:25::1/64

ip address 10.4.25.1 255.255.255.0

！

interface Vlan1024

ip vrf forwarding Finance

ip address 10.4.255.2 255.255.255.252

!

SW1:

port-group 1

Interface Ethernet1/0/22

switchport mode trunk

switchport trunk allowed vlan 11-15

port-group 1 mode active

!

load-balance  dst-src-ip    采用目的、源IP进行实现流量负载分担

SW2: 

port-group 1

Interface Ethernet1/0/22

switchport mode trunk

switchport trunk allowed vlan 21-15

port-group 1 mode  passvie

!

load-balance  dst-src-ip     采用目的、源IP进行实现流量负载分担

3.为方便后续验证与测试，SW3的E1/0/22连接其他合适设备的一个接口，配置为trunk，允许Vlan31-34、110、120通过。

SW3：

Interface Ethernet1/0/22

switchport mode trunk

switchport trunk allowed vlan 31-34;110;120

4.将SW3模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表VPN实例名称为Office，RD为1:1。将SW3模拟为Internet 交换机，实现与集团其它业务路由表隔离，Internet 路由表 VPN 实例名称为Internet，RD为2:2。

SW3：

ip vrf Office

rd 1:1

!

int loopback 2

ip vrf forwarding Office

ip add 10.4.3.2 255.255.255.255

ipv add 2001:10:4:4::2/128

int vlan 110

ip vrf forwarding Office

ip add 10.4.110.1 255.255.255.0

ipv add 2001:10:4:110::1/64

int vlan 120

ip vrf forwarding Office

ip add 10.4.120.1 255.255.255.0

ipv add 2001:10:4:120::1/64

int vlan 1015

ip vrf forwarding Office

ip add 10.4.255.30 255.255.255.252

!

ip vrf Internet

rd 2:2

!

int vlan 1017

ip vrf forwarding Internet

ip add 200.200.200.1 255.255.255.252

int vlan 1018

ip vrf forwarding Internet

ip add 200.200.200.5 255.255.255.252

!

5.SW1配置SNMP，引擎id分别为1000；创建组GroupSkills，采用最高安全级别，配置组的读、写视图分别为：Skills_R、Skills_W；创建认证用户为UserSkills，采用aes算法进行加密，密钥为Key-

1122，哈希算法为sha，密钥为Key-1122；当设备有异常时，需要用本地的环回地址 Loopback1 发送 v3 Trap 消息至集团网管服务器

10.4.15.120、2001:10:4:15::120，采用最高安全级别；当法务部门的用户端口发生 updown 事件时禁止发送 trap 消息至上述集团网管服务器。

SW1:

snmp-server enable

snmp-server enable traps s

snmp-server engineid 1000

snmp-server group GroupSKills authpriv read SKills_R write SKills_w

snmp-server user UserSKills GroupSKills authPriv aes Key-1122 auth sha Key-1122

snmp-server trap-source 10.4.1.1 Trap

snmp-server trap-source 2001:10:4:1::1 Trap

snmp-server securityip 10.4.15.120

snmp-server securityip 2001:10:4:15::120

snmp-server host 2001:10:4:15::120 v3 authpriv UserSKills

snmp-server host 10.4.15.120 v3 authpriv UserSKills

Interface Ethernet1/0/3

no switchport access vlan 13

!

6.对SW1与FW1互连流量镜像到SW1 E1/0/1，会话列表为1。

SW1:

monitor session 1 source interface ethernet 1/0/19 both 源端口

monitor session 1 destination interface ethernet 1/0/1 目的端口

7.SW1和SW2 E1/0/21-28启用单向链路故障检测，当发生该故障时，端口标记为errdisable状态，自动关闭端口，经过1分钟后，端口自动重启；发送Hello报文时间间隔为15s；

SW1:

uldp enable    //全局开启uldp后，所有光口自动也开启uldp

uldp aggressive-mode   开启积极模式（将自动将端口标记errdisable)

uldp recovery-time 60   端口关闭1分钟自动启动

uldp hello-interval 15   报文时间间隔15秒

Interface Ethernet1/0/21-28

uldp enable

uldp aggressive-mode

!

SW2:

uldp enable

uldp aggressive-mode

uldp recovery-time 60

uldp hello-interval 15

Interface Ethernet1/0/21-28

uldp enable

uldp aggressive-mode

!

8.SW1和SW2所有端口启用链路层发现协议，更新报文发送时间间隔为20s，老化时间乘法器值为5，Trap报文发送间隔为10s，配置三条裸光缆端口使能Trap功能。

SW-1、SW-2：

lldp enable

lldp msgTxHold 5

lldp tx-interval 20  //更新报文发送间隔

lldp notification interval 10  //trap报文发送时间间隔

interface ethernet1/0/22-24

lldp trap enable

(二)路由调试（本题共10分）

需要的私聊，私聊。

 (四)无线部署（本题共5分）

1.AC1 与 AP1 相连接口只允许 Vlan140 和 Vlan150 通过。AC1 Loopback1 IPv4和IPv6地址分别作为AC1的IPv4和IPv6管理地址。AP二层自动注册，AP采用MAC地址认证。配置2个ssid，分别

为SKILLS-2.4G和SKILLS-5G。SKILLS-2.4G对应Vlan140，用Network 140和radio1（profile 1, mode n-only-g）,用户接入无线网络时需要采用基于WPA-personal加密方式，密码为Key-1122，用第一个可用VAP发送2.4G信号。SKILLS-5G对应Vlan150，用Network 150 和radio2（profile 1, mode n-only-a），不需要认证，隐藏ssid，

SKILLS-5G用倒数第一个可用VAP发送5G信号。

AC１：

wireless

ap authentication mac

discovery vlan-list 130

static-ip 10.4.4.1

static-ipv6 2001:10:4:4::1

network 1

device-finger enable

！

network 140

security mode wpa-personal

ssid SKILLS-2.4G

vlan 140

wpa key　Key-1122

!

network 150

hide-ssid

ssid SKILLS-5G

vlan 150

!

radio 1

mode n-only-g

vap 0

enable

network 140

!

radio 2

mode n-only-a

vap 0

!

vap 15

enable

network 150

!

(五)安全维护（本题共5分）说明：按照IP地址从小到大的顺序用“IP/mask”表示，IPv4 Any 地址用0.0.0.0/0，IPv6 Any地址用::/0，禁止使用地址条目。

防火墙都是web界面的图片，不好贴上去。

1.FW1配置IPv4 NAT，id为1，实现集团产品1段IPv4访问Internet IPv4，转换ip/mask为200.200.200.16/28，保证每一个源ip产生

的所有会话将被映射到同一个固定的IP地址。

2.FW1配置NAT64，id为2，实现集团产品1段IPv6访问Internet IPv4，转换为出接口IP，IPv4转IPv6地址前缀为64:ff9b::/96。

3.FW1和FW2策略默认动作为拒绝，FW1允许 集团产品1段IPv4和

IPv6访问Internet任意服务。

4.FW2允许办事处产品IPv4访问集团产品1段https服务，允许集团产品1段和产品2 段访问SW3 模拟办事处Loopback2 IPv4、FW2 Loopback1 IPv4、办事处产品IPv4

5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN，实现 Loopback4 之间的加密访问。RT2 的 ACL 名称为 ACL-VPN，

transform-set 名称为 SET-1，crypto map 名称为 MAP-1。FW1 的 isakmp proposal名称为P-1，isakmp peer名称为PEER-1，ipsec proposal名称为P-2，tunnel ipsec名称为IPSEC-1，tunnel gre名称为GRE-1。