2023年全国院校技能大赛-GZ073 网络系统管理赛项赛题第1套A模块部分答案参考详解

猫猫虫绅士

已于 2024-12-17 16:28:20 修改

阅读量1.9k

点赞数 15

文章标签：网络网络协议服务器

于 2024-10-31 20:03:49 首次发布

本文链接：https://blog.csdn.net/qq_19825299/article/details/143295902

版权

本人技术并不算非常好，如果有部分看不懂或者错误的地方，可以私信我

(一) 基础，有线配置

根据附录1、附录2，配置设备接口信息。
所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、admin1234；密码为明文类型，特权密码为admin。
交换机配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test”，只读的Community为“public”，开启Trap消息。
在全网Trunk链路上做VLAN修剪。
为隔离部分终端用户间的二层互访，在交换机S1的Gi0/1-Gi0/10端口启用端口保护。
为规避网络末端接入设备上出现环路影响全网，要求在总部接入设备S1进行防环处理。具体要求如下：终端接口开启BPDU防护不能接收BPDU报文；终端接口下开启环路检测功能，检测到环路后处理方式为关闭端口；连接PC终端的所有端口配置为边缘端口；如果端口被BPDU防护检测进入禁用状态，再过300秒后会自动恢复，重新检测是否有环路。

这部分个人建议可以先写在部分记事本里，然后略修改复制，不做赘述，以S1做部分举例

hostname S1

enable service ssh-server
useradd admin password admin1234
enable password admin
line vty  0 4 
login local
transport input ssh
exec-t 0

snmp-server enable traps
snmp-server community Test rw
snmp-server community public ro
snmp-server host 172.16.0.254 traps version 2c Test
snmp-server host 172.16.0.254 traps version 2c public

vlan 10 
name CAIWU

rldp enable

int ran g0/1-4                                             //记事本里复制几份修改即可
sw a v 10
spanning-tree bpduguard enable 
rldp port loop-detect shutdown-port
spanning-tree portfast
exit

int ran g0/1-10
switchport protected
exit 

int vlan 100
ip add 192.1.100.1 24

int ran g0/23-24
sw m t
sw t a v o 10,20,30,40,50,60,100                            //因为下联有AP所以不要忘记要通过无线用户vlan

errdisable recovery interval 300

在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继，使得总部PC1用户使用DHCP Relay方式获取IP地址。
DHCP服务器搭建于EG1上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback 0地址。
为了防御动态环境局域网伪DHCP服务欺骗，在S1交换机部署DHCP Snooping功能。
在总部交换机S1、S3、S4上配置MSTP防止二层环路；要求VLAN10、VLAN20、VLAN50、VLAN60、VLAN100数据流经过S3转发，S3失效时经过S4转发；VLAN30、VLAN40数据流经过S4转发，S4失效时经过S3转发。所配置的参数要求如下：region-name为test；revision版本为1；S3作为实例1的主根、实例2的从根，S4作为实例2的主根、实例2的从根；生成树优先级可设置为4096、8192或保持默认值；在S3和S4上配置VRRP，实现主机的网关冗余，所配置的参数要求如下表；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。

这部分依旧使用记事本举例部分，方便快捷

//记事本部分举例
hostname S4

vlan 10 
name CAIWU

int vlan 10
ip add 192.1.10.253 24
vrrp 10 ip 192.1.10.254
vrrp 10 pri 120
exit 


int vlan 30
ip add 192.1.30.253 24
vrrp 30 ip 192.1.30.254
vrrp 30 pri 150
exit 

spanning-tree
spanning-tree mode mstp
spa mst con
name test
revision 1
in 1 v 10,20,50,60,100
in 2 v 30,40
exit

spa mst 1 pri 8192
spa mst 2 pri 4096

int ran g0/21-22
po 1 m ac
exit

agg lo src-dst-ip

int a 1
sw m t 
sw t a v o 10,20,30,40,50,60,100
exit


ser dhcp
ip helper-address 11.1.0.11 

S1(config)#ip dhcp snooping 
S1(config)#int ran g0/23-24
S1(config-if-range)#ip dhcp snooping trust 
S1(config-if-range)#ex

//因为网关经常需要切换lan口和wan口，所以这部分要注意用之前切换，切换后要保存重启，然后再配IP

EG1(config)#ser dhcp
EG1(config)#ip dhcp pool Pool_VLAN10
EG1(dhcp-config)#netw
EG1(dhcp-config)#network 192.1.10.0 255.255.255.0
EG1(dhcp-config)#default-router 192.1.10.254
EG1(dhcp-config)#exit
EG1(config)#ip dhcp exc 192.1.10.252 192.1.10.254 
EG1(config)#specify interface g0/4 wan
EG1(config)#end
EG1#wr
EG1#reload

总部与分部内网均使用OSPF协议组网，总部、分部与互联网间使用静态路由协议。具体要求如下：总部S3、S4、EG1间运行OSPF，进程号为10，规划单区域0；分部S7、EG2间运行OSPF，进程号为20，规划单区域0；服务器区使用静态路由组网；重发布路由进OSPF中使用类型1。

ipv6建议后做，先不打乱配置IGP和EGP的思路先

EG1(config)#router ospf 10
EG1(config-router)#network 10.1.0.2 0.0.0.3 area 0
EG1(config-router)#network 10.1.0.6 0.0.0.3 area 0
EG1(config-router)#network 11.1.0.11 0.0.0.0 area 0
EG1(config-router)#redistribute sta subnets metric-type 1
EG1(config-router)#redistribute co subnets metric-type 1 
EG1(config-router)#ex

S3(config)#router ospf 10
S3(config-router)#network 192.1.10.0 0.0.0.255 ar
S3(config-router)#network 192.1.10.0 0.0.0.255 area 0
S3(config-router)#network 192.1.20.0 0.0.0.255 area 0
S3(config-router)#network 192.1.30.0 0.0.0.255 area 0
S3(config-router)#network 192.1.40.0 0.0.0.255 area 0
S3(config-router)#network 192.1.50.0 0.0.0.255 area 0
S3(config-router)#network 192.1.100.0 0.0.0.255 area 0
S3(config-router)#network 11.1.0.33 0.0.0.0 area 0
S3(config-router)#network 10.1.0.1 0.0.0.3 area 0
S3(config-router)#passive-interface VLAN 10
S3(config-router)#passive-interface VLAN 20
S3(config-router)#passive-interface VLAN 30
S3(config-router)#passive-interface VLAN 40
S3(config-router)#passive-interface VLAN 50
S3(config-router)#redistribute static subnets metric-type 1

EG2(config)#router ospf 20
EG2(config-router)#network 10.1.0.14 0.0.0.3 area 0
EG2(config-router)#network 10.1.0.18 0.0.0.3 area 0
EG2(config-router)#network 11.1.0.12 0.0.0.0 area 0
EG2(config-router)#redistribute static subnets metric-type 1
EG2(config-router)#redistribute con subnets metric-type 1   
EG2(config-router)#ex

S7(config)#router ospf 20
S7(config-router)#network 193.1.10.0 0.0.0.255 area 0
S7(config-router)#network 193.1.20.0 0.0.0.255 area 0
S7(config-router)#network 193.1.50.0 0.0.0.255 area 0
S7(config-router)#network 193.1.100.0 0.0.0.255 area 0
S7(config-router)#network 11.1.0.67 0.0.0.0 area 0
S7(config-router)#network 10.1.0.17 0.0.0.3 area 0
S7(config-router)#ex

R1、R2、R3部署IGP中OSPF动态路由实现直连网段互联互通。
R1、R2、R3间部署IBGP，AS号为100，使用Loopback接口建立Peer。
运营商通告EG1、EG2专线至服务器区，R1、R2均以汇总B段静态路由的方式进行发布。服务器区通过R3将AC1、AC2通告到BGP中。

R1(config)#router ospf 10
R1(config-router)#network 12.1.0.1 0.0.0.15 area 0
R1(config-router)#network 13.1.0.1 0.0.0.15 area 0
R1(config-router)#network 11.1.0.1 0.0.0.0 area 0
R1(config-router)#ex

R1(config)#ip route 20.1.0.0 255.255.0.0 null 0                            //汇总B段静态路由，路由欺骗
    
R1(config)#router bgp 100
R1(config-router)#neighbor 11.1.0.2 remote-as 100  
R1(config-router)#neighbor 11.1.0.2 update-source lo0
R1(config-router)#neighbor 11.1.0.3 remote-as 100    
R1(config-router)#neighbor 11.1.0.3 update-source lo0
R1(config-router)#network 20.1.0.0 mask 255.255.0.0
R1(config-router)#ex

//R2与R1同理

R3(config)#router ospf 10
R3(config-router)#network 13.1.0.3 0.0.0.15 area 0
R3(config-router)#network 23.1.0.3 0.0.0.15 area 0              
R3(config-router)#network 11.1.0.3 0.0.0.0 area 0
R3(config-router)#ex

R3(config)#ip route 11.1.0.204 255.255.255.255 null 0
R3(config)#ip route 11.1.0.205 255.255.255.255 null 0                      //AC回环

R3(config)#router bgp 100
R3(config-router)#neighbor 11.1.0.1 remote-as 100
R3(config-router)#neighbor 11.1.0.1 update-source lo0
R3(config-router)#neighbor 11.1.0.2 remote-as 100
R3(config-router)#neighbor 11.1.0.2 update-source lo0
R3(config-router)#network 11.1.0.204 mask 255.255.255.255
R3(config-router)#network 11.1.0.205 mask 255.255.255.255
R3(config-router)#ex

可通过修改OSPF路由COST达到分流的目的，且其值必须为5或10。
总部财务、销售IPv4用户与互联网互通主路径规划为：S3-EG1。
总部研发、市场IPv4用户与互联网互通主路径规划为：S4-EG1。

S3(config)#int ran vlan 10,20 
S3(config-if-range)#ip ospf cost 5
S3(config-if-range)#ex
   
S3(config)#int ran vlan 30,40
S3(config-if-range)#ip ospf cost 10
S3(config-if-range)#ex

//S4反过来就好

总部与分部部署IPv6网络实现总分机构内网IPv6终端可通过无状态自动从网关处获取地址。IPv6地址规划如下：
在S3和S4上配置VRRP for IPv6，实现主机的IPv6网关冗余；在S3和S4上VRRP与MSTP的主备状态与IPV4网络一致。

ipv6目前最快的方法就是用记事本，没有别的，50虽然没有但是都是无线所以60跟着50分

S3
int vlan 60
no ipv6 nd suppress-ra
ipv6 enable
ipv6 add 2001:192:60::252/64
vrrp 60 ipv6 FE80::1
vrrp 60 ipv6 2001:192:50::254
vrrp ipv6 60 pri 150

在做完上面那一堆之后再做把各个区域链接起来的静态就会思路清晰不少
出口网关上进行NAT配置实现总部与分部的所有用户(ACL 110)均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上。

先从广州总部的EG开始，先做napt，我用命令行演示，但是我建议直接用web，点两下就完事，分部EG同理

先做NAPT
EG1(config)#no ip nat inside source list 1 pool nat_pool overload                    //把EG自己的先去掉
EG1(config)#ip access-list extended 110 
EG1(config-ext-nacl)#permit deny 192.1.0.0 0.0.255.255 193.1.0.0 0.0.255.255         //偷懒了，没按vlan分，到时候有空闲时间再分也不迟
EG1(config-ext-nacl)#permit ip 192.1.10.0 0.0.0.255 any
EG1(config-ext-nacl)#permit ip 192.1.20.0 0.0.0.255 any 
EG1(config-ext-nacl)#permit ip 192.1.30.0 0.0.0.255 any 
EG1(config-ext-nacl)#permit ip 192.1.40.0 0.0.0.255 any 
EG1(config-ext-nacl)#permit ip 192.1.50.0 0.0.0.255 any 
EG1(config-ext-nacl)#permit ip 192.1.60.0 0.0.0.255 any  
EG1(config-ext-nacl)#permit ip 192.1.100.0 0.0.0.255 any 
EG1(config-ext-nacl)#ex
EG1(config)#ip nat inside source list 110 int g0/4 overload

EG1(config)#int ran g0/0-1
EG1(config-if-range)#ip nat inside 
EG1(config-if-range)#ex

EG1(config)#int g0/4
EG1(config-if-GigabitEthernet 0/4)#ip nat outside 
EG1(config-if-GigabitEthernet 0/4)#ex

EG1(config)#ip route 0.0.0.0 0.0.0.0 g0/4 20.1.0.2
EG1(config)#ip route 11.1.0.204 255.255.255.255 g0/4 20.1.0.2
EG1(config)#ip route 11.1.0.205 255.255.255.255 g0/4 20.1.0.2

再做VPN

EG1(config)#ip route 193.1.0.0 255.255.0.0 20.1.0.2                         //依旧是偷懒，有空再分vlan放行              

EG1(config)#ip access-list extended 101
EG1(config-ext-nacl)#permit ip 192.1.0.0 0.0.255.255 193.1.0.0 0.0.255.255  //偷懒

EG1(config)#crypto isakmp policy 1
EG1(isakmp-policy)#encryption 3des
EG1(isakmp-policy)#authentication pre-share
EG1(isakmp-policy)#hash md5
EG1(isakmp-policy)#group 2
EG1(isakmp-policy)#ex

EG1(config)#crypto isakmp key 0 123456 address 30.1.0.1
EG1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac

EG1(config)#crypto map mymap 5 ipsec-isakmp
EG1(config-crypto-map)#set peer 30.1.0.1
EG1(config-crypto-map)#set transform-set myset
EG1(config-crypto-map)#set autoup
EG1(config-crypto-map)#match address 101
EG1(config-crypto-map)#ex

EG1(config)#int g0/4
EG1(config-if-GigabitEthernet 0/4)#crypto map mymap

EG2同理
注意用tra或者ping测试的时候要等大概10s左右，如果10s后都不通再检查是否是NAT，ACL等其他问题导致

服务器区我想了很多办法，感觉都没达到“OSPF动态路由 ‘只用来’ 实现直连网段互联互通”这个条件，所以我使用了ospf进行重分发，ospf内直接宣告效果一样，如果有其他做法请务必私信我。

要运行以下方法的前提是，已经运行上面关于服务器区的所有命令
R3(config)#router ospf 10
R3(config-router)#redistribute connected subnets metric-type 1
R3(config-router)#ex
R3(config)#ip route 11.1.0.204 255.255.255.255 GigabitEthernet 0/0 40.1.0.1
R3(config)#ip route 11.1.0.205 255.255.255.255 GigabitEthernet 0/0 40.1.0.1
R3(config-router)#router bgp 100
R3(config-router)#network 11.1.0.204 mask 255.255.255.255
R3(config-router)#network 11.1.0.205 mask 255.255.255.255
R3(config-router)#ex

S5(config)#ip route 20.1.0.0 255.255.255.252 GigabitEthernet 0/24 40.1.0.2
S5(config)#ip route 30.1.0.0 255.255.255.252 GigabitEthernet 0/24 40.1.0.2
S5(config)#ip route 11.1.0.204 255.255.255.255 VLAN 100 194.1.100.2
S5(config)#ip route 11.1.0.205 255.255.255.255 VLAN 100 194.1.100.3

//AC2同理
AC1(config)#ip route 20.1.0.0 255.255.255.252 GigabitEthernet 0/1 194.1.100.254
AC1(config)#ip route 30.1.0.0 255.255.255.252 GigabitEthernet 0/1 194.1.100.254

(二) 无线配置

使用S3、S4作为总部无线用户和无线AP的DHCP服务器，使用S6/S7作为分部无线用户和无线AP的DHCP服务器

S3(config)#ip dhcp pool Wireless
S3(dhcp-config)#network 192.1.60.0 255.255.255.0
S3(dhcp-config)#default-router 192.1.60.254
S3(dhcp-config)#ex

S3(config)#ip dhcp pool AP
S3(dhcp-config)#option 138 ip 11.1.0.204 11.1.0.205
S3(dhcp-config)#network 192.1.50.0 255.255.255.0
S3(dhcp-config)#default-router 192.1.50.254
S3(dhcp-config)#ex

S3，S4，S6，S7同理

创建总部内网 SSID 为 test-ZB_XX(XX现场提供)，WLAN ID 为1，AP-Group为ZB，总部内网无线用户关联SSID后可自动获取地址，启用WEB认证方式。
创建分部内网 SSID 为 test-FB_XX(XX现场提供)，WLAN ID 为2，AP-Group为FB，总部内网无线用户关联SSID后可自动获取地址，启用802.1X认证方式。
认证服务器（IP：194.1.100.100）建立总部认证用户user1，user2，分部认证用户user3，user4分别对应WEB、DOT1X认证；
要求总部分部内网无线网络启用本地转发模式。
为了保障每个用户的无线体验，针对WLAN ID2下的每个用户的下行平均速率为 800KB/s ，突发速率为1600KB/s。

AC1(config)#wlan-config 1 Test-ZB_FXXK 
AC1(config-wlan)#tunnel local 

AC1(config)#ap-group ZB
AC1(config-group)#interface-mapping 1 60 wlan-id 1
AC1(config-group)#tunnel local wlan 1 vlan 60                    //可加可不加
AC1(config-group)#sta-limit 30

AC1(config)#wlan-config 2 Test-FB_FxxK
AC1(config-wlan)#tunnel local
AC1(config-wlan)#wlan-based per-user-limit down-streams average-data-rate 800 burst-data-rate 1600

AC1(config)#ap-group FB
AC1(config-group)#interface-mapping 2 60 wlan-id 2
AC1(config-group)#tunnel local wlan 2 vlan 60
AC1(config-group)#sta-limit 30

AC1(config)#ap-config xx
AC1(config-ap)#ap-group FB/ZB                                    //有几台配几台，看总部和分部填不同的group就行

由于本人没用过运维平台所以web认证和802.1x认证完全没思路做，这部分的缺失请见谅。

AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去连接时能无缝切换至AC2并提供服务。

AC1(config)#ip route 11.1.0.205 255.255.255.255 vlan 100 194.1.100.254
AC2(config)#ip route 11.1.0.204 255.255.255.255 vlan 100 194.1.100.254

S5(config)#ip route 11.1.0.204 255.255.255.255 vlan 100 194.1.100.2
S5(config)#ip route 11.1.0.205 255.255.255.255 vlan 100 194.1.100.3

AC1(config)#wlan hot-backup 11.1.0.205
AC1(config-hotbackup)#context 1
AC1(config-hotbackup-ctx)#priority level 7
AC1(config-hotbackup-ctx)#ap-group FB
AC1(config-hotbackup-ctx)#ap-group ZB
AC1(config-hotbackup-ctx)#ex
AC1(config-hotbackup)#wlan hot-backup enable 
AC1(config-hotbackup)#ex

AC2同理

分部通过时间调度，要求每周一至周五的21:00至23:30期间关闭无线服务。
总部设置AP信号发送强度为30。
总部关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入。

AC1(config)#schedule session 1
AC1(config)#schedule session 1 time-range 1 period Mon to Fri time 21:00 to 23:30
AC1(config)#ap-group FB
AC1(config-group)#schedule session 1 radio 1                            //关闭一号射频卡

AC1(config)#ap-config xx
AC1(config-ap)#assoc-rssi 30 radio 1                                    //设置发送强度

AC1(config)#ac-controller
AC1(config-ac)#802.11b network rate 1 disabled
AC1(config-ac)#802.11b network rate 2 disabled	
AC1(config-ac)#802.11b network rate 5 disabled
AC1(config-ac)#802.11g network rate 1 disabled		
AC1(config-ac)#802.11g network rate 2 disabled	
AC1(config-ac)#802.11g network rate 5 disabled
AC1(config-ac)#802.11a network rate 6 disabled
AC1(config-ac)#802.11a network rate 9 disabled

如果觉得太多其实直接show run然后找所有数字小于10的全部改成disabled就行

(三) 出口网关配置

在总部EG1上配置，使总部核心交换S4（11.1.0.34）设备的SSH服务可以通过互联网被访问，将其地址映射至联通线路上，映射地址为20.1.0.1。

EG1(config)#ip nat inside source 11.1.0.34 22 20.1.0.1 22 permit-inside

其余的EG配置可以去看手册或者搜索有图片教程，我不过多赘述，有不懂或者不正确的部分的可以私信我，我会尽快回复