2022 年江苏省职业院校技能大赛”高职组
网络系统管理竞赛 样题
赛题说明
一、竞赛内容分布
第一部分:Linux 网络服务(30%)
第二部分:Windows 网络服务(30%)
第三部分:网络构建(40%)
二、竞赛时间
竞赛时间为 4 个小时。
三、竞赛注意事项
1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。 四、竞赛结果文件的提交按照题目要求,提交符合模板的 WORD 文件以及对应的 PDF 文件(利用 Office Word 另存为 pdf 文件方式生成 pdf 文件),所有截图建议除了配置文件截图外,还需要截功能测试的图,能在终端上测试的就一定要在终端上测试并截图,否则功能测试部分不得分。
第一部分:Linux网络服务
一、竞赛简介
1.请认真阅读以下指引!
2.当比赛结束时,离开时请不要关机您的虚拟机。
3.如果没有明确要求,请使用“Chinaskill21”作为默认密码。
4.本模块所有的系统为已经安装的最基本的系统状态,客户端带桌面。
二、初始化环境
1.默认账号及默认密码
Username: root
Password: ChinaSkill21!
Username: skills
Password: Chinaskill21!
注:若非特别指定,所有账号的密码均为 Chinaskill21!
2.操作系统配置
所处区域:CST + 8
系统环境语言:English US (UTF-8)
键盘:English US
注意:当任务是配置 TLS,请把根证书或者自签名证书添加到受信任区。 控制台登陆后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示
*********************************
ChinaSkills 2021 – Jiangsu
Module A Linux
lnxserver1
选手姓名拼音全拼
>>hostname<<
>>Debian Version<<
>> TIME <<
*********************************
三、项目任务描述
你作为一个 Linux 的技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于 Linux操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表:
ISPSRV
完全限定域名:ispsrv
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:81.6.63.100/24/无
AppSrv
完全限定域名:appsrv.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:192.168.100.100/24/192.168.100.254
STORAGESRV
完全限定域名:storagesrv.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:192.168.100.200/24/192.168.100.254
ROUTERSRV
完全限定域名:routersrv.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关: 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI
完全限定域名:insidecli.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:DHCP From AppSrv
OUTSIDECLI
完全限定域名:outsidecli.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:DHCP From IspSrv
四、项目任务清单
服务器IspSrv工作任务
1. DHCP
为 OutsideCli 客户端网络分配地址,地址池范围:81.6.63.110-81.6.63.190/24;
域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
网关:按照实际需求配置网关地址选项;
2. DNS
安装 BIND9;
配置为 DNS 根域服务器;
其他未知域名解析,统一解析为该本机 IP;
创建正向区域“chinaskills.cn”。
类型为 Slave;
主服务器为“AppSrv”。
3. CHRONY
安装 chrony,提供时间同步。
在 AppSrv 和 StorageSrv 创建 CRON 计划任务,每隔五分钟进行一次时间同步。
4. RAID5 & 磁盘加密
在虚拟机上,新建四块大小为 10GB 的虚拟硬盘,挂载到系统上;
创建 raid 5 md0 组,模式为三个磁盘,一个为热备;
挂载 md0 到系统中创建的/backup 文件夹下;
系统启动自动挂载 md0 RAID 磁盘;
创建一块新的磁盘,对该卷进行磁盘加密,解锁密码为“CSK2021!”,映射到/dev/mapper/crypt 分区上;格式化成 ext4 分区;挂载到/mut/crypt 目录;配置开机自动挂载;
5. WEB 服务
安装 nginx 软件包;
配置文件名为 ispweb.conf,放置在/etc/nginx/conf.d/目录下;
网站根目录为/mut/crypt(目录不存在需创建);
启用 FastCGI 功能,让 nginx 能够解析 php 请求;
index.php 内容使用 Welcome to 2020 Computer Network Application contest!
服务器RouterSrv上的工作任务
1. DHCP RELAY
安装 DHCP 中继;
允许客户端通过中继服务获取网络地址;
2. ROUTING
开启路由转发,为当前实验环境提供路由功能。
根据题目要求,配置单臂路由实现内部客户端和服务器之间的通信。
3. SSH
工作端口为 2021;
只允许用户 user01,密码 ChinaSkill21 登录到 router。其他用户(包括root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从 ssh 远程登录。
通过 ssh 登录尝试登录到 RouterSrv,一分钟内最多尝试登录的次数为 3 次,超过后禁止该客户端网络地址访问 ssh 服务。
记录用户登录的日志到/var/log/ssh.log,日志内容要包含:源地址,目标地址,协议,源端口,目标端口。
4. OPENVPN
VPN 客户端只能与 InsideCli 客户端网段通信,以及允许访问 StorageSrv 主机上的 SAMBA 服务;
VPN 客户端可使用的地址范围是 172.16.0.100-172.16.0.120/24。
允许在 OutsideCli 客户端上使用 systemctl start openvpn@csk 进行连接。
5. IPTABLES
添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的 DNS、MAIL、WEB 和 FTP 服务。
INPUT、OUTPUT 和 FOREARD 链默认拒绝(DROP)所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
服务器AppSrv上的工作任务
1. SSH
安装 SSH,工作端口监听在 192101。
仅允许 InsideCli 客户端进行 ssh 访问,其余所有主机的请求都应该拒绝。
在 cskadmin 用户环境下可以免秘钥登录,并且拥有 root 控制权限。
2. DHCP
为 InsideCli 客户端网络分配地址,地址池范围:192.168.0.110-192.168.0.190/24;
域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
网关:按照实际需求配置网关地址选项;
为 InsideCli 分配固定地址为 192.168.0.190/24。
3. DNS(BIND)
为 chinaskills.cn 域提供域名解析。
为 www.chinaskills.cn、download.chinaskills.cn 和 mail.chinaskills.cn 提供解析。
添加邮件 MX 记录用于邮件服务器;配置 DNS 组件;
启用内外网解析功能,当内网客户端请求解析的时候,解析到对应的内部服务器地址,当外部客户端请求解析的时候,请把解析结果解析到提供服务的公有地址。
请将 IspSrv 作为上游 DNS 服务器,所有未知查询都由该服务器处理。
4. APACHE2
安装 apache 服务;
服务以用户 webuser 系统用户运行;
限制 web 服务只能使用系统 500M 物理内存;
全站点启用 TLS访问,使用本机上的“CSK Global Root CA”颁发机构颁发,网站证书信息如下:
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.chinaskills.com
客户端访问 https 时应无浏览器(含终端)安全警告信息; 当用户使用 http 访问时自动跳转到 https 安全连接;
搭建 www.chinaskills.cn 站点;
网页文件放在 StorgeSrv 服务器上;
在 StorageSrv 上安装 MriaDB,在本机上安装 PHP,发布 WordPress 网站;
MariaDB 数据库管理员信息:User: root/ Password: Chinaskill21!。
创建网站 download.chinaskills.cn 站点;
仅允许 ldsgp 用户组访问;
网页文件存放在 StorageSrv 服务器上;
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”,其中 test.mp4 文件的大小为100M,页面访问成功后能够列出目录所有文件。
作安全加固,在任何页面不会出现系统和 WEB 服务器版本信息。
5. MAIL(POSTFIX-SMTPS & DOVECOT-IMAPS)
安装配置 postfix 和 dovecot,启用 imaps 和 smtps,并创建测试用户mailuser1 和 mailuser2。
使用 mailuser1@chinaskills.cn 的邮箱向 mailuser2@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用 mailuser2@chinaskills.cn 的邮箱向 mailuser1@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
添加广播邮箱地址 all@chinaskills.cn,当该邮箱收到邮件时,所有用户都能在自己的邮箱中查看。
使用 https://mail.chinaskills.cn 网站测试邮件发送与接收。
6. CA(证书颁发机构)
CA 根证书路径/csk-rootca/csk-ca.pem;
签发数字证书,颁发者信息:(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
服务器StorageSrv上的工作任务
1. SSH
安装 openssh 组件;
创建的 user01 、 user02 用户允许访问 ssh 服务;
服务器本地 root 用户不允许访问;
修改 SSH 服务默认端口,启用新端口 3358;
添加用户 user01 user02 到 sudo 组;用于远程接入,提权操作。
2. DISK
添加大小均为 10G 的虚拟磁盘,配置 raid-5 磁盘。
创建 LVM 命名为/dev/vg01/lv01,大小为 100G,格式化为 ext4,挂在到本地目录/webdata,在分区内建立测试空文件 disk.txt。
3. NFS
共享/webdata/目录;
用于存储 AppSrv 主机的 WEB 数据;
仅允许 AppSrv 主机访问该共享。
4. VSFTPD
禁止使用不安全的 FTP,请使用“CSK Global Root CA”证书颁发机构,颁发的证书,启用 FTPS 服务;
用户 webadmin,登录 ftp 服务器,根目录为/webdata/;
登录后限制在自己的根目录;
允许 WEB 管理员上传和下载文件,但是禁止上传后缀名为.doc .docx .xlsx 的文件;
上传的文件所有者均设置为 ftpusr。
5. AIDE
配置 aide 安全监控策略;
监控/webdata 目录,当目录中文件发生变化时进行检查可以看到相关提示信息 ;
6. SAMBA
安装 Samba 组件
创建 Samba 共享目录为/var/skills,共享名为 csk-share;user01,user02,用户都能访问共享文件夹;
user01 能够查看和删除所有人的文件;user02 能够查看所有人的文件,但不能删除别人的文件;
通过物理机访问共享目录,根据配置上传,下载文件进行测试操作;
7. ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh 目录;
当有新员工入职时,管理员运行脚本为其创建公司账号;
自动分配客户端账号、公司邮箱、samba 目录及权限、网站账号等;
以 userAdd lifei 的方式运行脚本,lifei 为举例的员工姓名。
客户端OutsideCli和InsideCli工作任务
1. OutsideCli
作为 DNS 服务器域名解析测试的客户端,安装 nslookup、dig 命令行工具;
作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工具;
作为 SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
作为 SAMBA 测试的客户端,使用图形界面文件浏览器测试, 并安装 smbclient 工具;
作为 FTP 测试的客户端,安装 lftp 命令行工具;
作为防火墙规则效果测试客户端,安装 ping 命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
2. InsideCli
作为 DNS 服务器域名解析测试的客户端,安装 nslookup、dig 命令行工具;
作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工具;
作为 SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
作为 SAMBA 测试的客户端,使用图形界面文件浏览器测试, 并安装 smbclient 工具;
作为 FTP 测试的客户端,安装 lftp 命令行工具;
作为防火墙规则效果测试客户端,安装 ping 命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
第二部分:Windows 网络服务
一、竞赛简介
1.请认真阅读以下指引!
2.当比赛结束时,离开时请不要关机您的虚拟机。
3.如果没有明确要求,请使用“Chinaskill21”作为默认密码。
二、初始化环境
1.默认账号及默认密码
Username: Administrator
Password: ChinaSkill21!
Username: demo
Password: ChinaSkill21!
注:若非特别指定,所有账号的密码均为 ChinaSkill21!
2.操作系统配置
Region: China
Locale: English US (UTF-8)
Key Map: English US
注意:当任务是配置 TLS,请把根证书或者自签名证书添加到受信任区。
三、项目任务描述
你作为一个微软高级认证的技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于Windows 操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表:
表 1 服务器和客户端基本配置表
四、项目任务清单
服务器IspSrv上的工作任务
1. 互联网访问检测服务器
为了模拟 Internet 访问测试,请搭建网卡互联网检测服务。
2. Web Print
添加一台虚拟打印机,名称为“CS-Print”,发布到 AD 域。
客户端们都能够通过访问“https://print.worldskills2018.cn/”查看打印机,证书由 WORLDSKILLS2018-ROOTCA 进行签署颁发。
服务器RouterSrv1上的工作任务
1. 路由功能
安装 Remote Access 服务开启路由转发,为当前实验环境提供路由功能。
启用网络地址转换功能,实现内部客户端访问互联网资源。
配置网络地址转换,允许互联网区域客户端访问 AppSrv 上的 HTTP 资源。
2. 动态地址分配中继服务
安装和配置 dhcp relay 服务,为办公区域网络提供地址上网。
DHCP 服务器位于 AppSrv 服务器上。
3. 虚拟专用网络
设置 L2TP/IPSec,IKE 通道采用证书进行验证。
L2TP 通道使用 chinaskills.com 域内用户进行身份验证,仅允许 manager组内用户通过身份证验证。
对于 vpn 客户端,请使用范围 192.168.1.200-192.168.1.220/24。
服务器AppSrv上的工作任务
1. 万维网服务
在 RouterSrv1 上搭建网站服务器。
将访问 http://www.chinaskills.com 的 http 的请求重定向到https://www.chinaskills.com 站点。
网站内容设置为“该页面为 www.chinaskills.com 测试页!”。
将当前 web 根目录的设置为 d:\wwwroot 目录。
启用 windows 身份验证,只有通过身份验证的用户才能访问到该站点,
manager 用户组成员使用 IE 浏览器打开不提示认证,直接访问。
设置“http://www.chinaskills.com/”网站的最大连接数为 1000,网站连接超时为 60sl;
使用 W3C 记录日志;每天创建一个新的日志文件,文件名格式:
日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端口号;
日志文件存储到“C:\WWWLogFile”目录中; IIS(FTP): 匿名用户上传的文件都将映射为 ftp2 用户
ftp 在登录前显示 Banner 消息:
“Hello, unauthorized login is prohibited!”
2. 动态地址分配服务
安装和配置 dhcp 服务,为办公区域网络提供地址上网。
地址池范围:192.168.0.100-192.168.0.200。
3. DFS
在 ppSrv 上安装及配置 DFS 服务。
目录设置在 F:\DFSsharedir。
配置 DFS 复制,使用 Server03 作为次要服务器,复制方式配置为交错拓扑。
在 F:\DFSsharedir 文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件,不可以跨部门访问别的部门文件夹内容。
Management 用户组用户可以访问全局的文件夹。
4. 磁盘管理
安装及配置软 RAID5。 | 在安装好的 AppSrv 虚拟机中添加三块 10G 虚拟磁盘。 组成 RAID5,磁盘分区命名为卷标 F 盘:Raid5。 手动测试破坏一块磁盘,做 RAID 磁盘修复;确认 RAID5 配置完毕。
5. DNS
安装 DNS 服务器,根据题目创建必要的 DNS 解析。
把当前机器作为互联网根域服务器。
服务器DC1&DC2上的工作任务
1. 活动目录域服务
在 DC1 和 DC2 服务器上安装活动目录域服务,DC1 作为主域控,DC2作为备份域控,活动目录域名为:chinaskills.com。
域用户能够使用[username]@csk.cn 进行登录。
创建一个名为“CSK”的 OU,并新建以下域用户和组:
sa01-sa20,请将该用户添加到 sales 用户组。
it01-it20,请将该用户添加到 IT 用户组。
ma01-ma10,请将该用户添加到 manager 用户组。
许除 manager 组和 IT 组,所有用户隐藏 C 盘。
除 manager 组和 IT 组,所有普通给用户禁止使用 cmd。
禁止客户端电脑显示用户首次登录动画。
所有用户的 IE 浏览器首页设置为“https://www.chinaskills.com”。 所有用户都应该收到登录提示信息:标题“登录安全提示:”,内容“禁止非法用户登录使用本计算机。”。
设置所有主机的登录 Banner:标题为“CHINASKILLS-DOMAIN”;
内容为“Hello, unauthorized login is prohibited!”。
域内的所有计算机(除 dc 外),当 dc 服务器不可用时,禁止使用缓存登录。
启用 AD 回收站功能。
2. NPS(网络策略服务)
在 DC1 上安装网络策略服务作为 VPN 用户登录验证。 仅允许 L2TP/IPSEC VPN 进行 VPN 连接访问验证。 认证、授权日志将存储到 DC1 上的“C:\NPS\”目录下。
3. DNS(域名解析服务)
拓扑中所有主机的 DNS 查询请求都应由 IspSrv 进行解析。
4. 证书颁发机构
在 DC1 服务器上安装证书办法机构。
定义名称:CSK2021-ROOTCA。
证书颁发机构有效期:3 years。
为 chinaskills.com 域内的 web 站点颁发 web 证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。
5. 文件共享
创建用户主目录共享文件夹:
本地目录为 F:\share\users\,允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹,该文件夹将设置为所有域用户的 home 目录,用户登录计算机成功后,自动映射挂载到 H 卷。
禁止用户在该共享文件中创建“*.exe, *.bat, *.sh”文件。
创建 manager 组共享文件夹:
本地目录为 F:\ share\managers,仅允许 manager 用户组成员拥有写入权限,该共享文件对其他组成员不可见。
创建 public-share 公共共享文件夹:
本地目录为 F:\ share\public-share,仅允许 manager 用户组成员拥有写 入权限,其他认证用户只读权限。
客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域。 | 设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
该客户端用于测试用户登录,Profiles,文件共享,安全策略和 RDS 等功能。
客户端OutsideCli上的工作任务
该主机不允许加入域。 添加一个名为 Connect-CSK 的 VPN 拨号器,用于连接到 chinaskills.com域网络,不记录用户名称密码信息。
设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
该客户端用于测试用户登录,Profiles,文件共享,安全策略和 RDS 等功能。
第三部分:网络构建
一、考试说明
请仔细阅读以下要求。
1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 操作过程中,需要及时保存配置。比赛结束后,所有设备、计算机保持运行状态,不要拆动硬件连接。
3. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
4.严格按照“网络构建答题卡.docx”文档格式要求,制作输出竞赛结果文件。同时,另存一份“PDF 格式文档”。
5.在每台设备上使用 show running-config 命令,将该命令下显示的结果,分别保存为独立的“*.txt”文件中。其中,文件名要以设备的编号命名。并把所有的“*.txt”文件,集中存放在新建的“设备配置”文件夹下。
6.考生所提交的文件是竞赛结果的唯一依据,请考生一定确保文件确实有效,能够正常读取。如有疑问,可咨询现场工作人员。
二、任务描述
随着业务的发展,现在要对海琼银行进行全网改造,为其它区域的网络提供高效的保障服务。同时,海琼银行还针对各个分支行、网点的网络进行升级、改造和优化。你做为火星公司网络工程师前往并完成网络规划与建设任务。
三、任务清单
(一)基础配置
1.根据附录 1 拓扑图及附录 2 地址规划表,配置设备接口信息。
2.需要在所有的网络设备上,都需要开启 SSH 服务,以保障网络设备的安全。其中,用户名密码分别为 admin、admin1234。特权密码为 admin1234。
3.网络管理员计划增设网管平台,网管平台的 IP 规划为 192.2.90.25/24。配置所有网络设备的 SNMP 消息报告机制。其中,向主机 192.2.90.25/24 发送Trap 消息版本采用 V2C。读写的 Community 为“admin”。只读的 Community 为“public”。开启 Trap 消息通告。
(二)有线网络配置
1.在全网 Trunk 链路上做 VLAN 修剪。
2.在 S5、S6 的 Gi0/10-Gi0/15 端口上启用端口保护。
3.在搭建完成的虚拟交换机 S5-S6 的 Gi1/0/10-Gi1/0/15 端口上启用端口保护。
4.在连接 PC 机端口上开启 Portfast 和 BPDUguard 防护功能。
5.端口被检测异常进入 Err-Disabled 状态,再过 240 秒后会自动恢复(基于接口部署策略),重新检测是否有环路。交换机端口检测到环路,处理的方试为 shutdown-Port。
6.省行 DHCP 服务器安装在 S2 交换机上,分配以下 3 个网段地址:省行办公有线用户(192.3.10.0/24)、省行办公区 AP(192.3.50.0/24)、省行办公区无线(192.3.60.0/24)。交换机 S5-S6 上,部署 DHCP 安全防护功能,使用“Snooping +IP Source Guard+ARP-CHECK”技术。按照要求为无线用户和 AP 分配地址和管理地址,其中无线 AP 租约为永久,无线用户租约设为 0.5 天。
7.梅钱金融公司 DHCP 服务器搭建于 AP3 上,按照地址规划表规划地址。
8.在交换机 S3、S4、AC1、AC2 上配置 MSTP。要求来自 VLAN90 中的数据流经过 S3 交换机转发,一旦 S3 交换机失效时经过 S4 交换机转发。要求来自 VLAN60和 VLAN 100 数据流经过 S4 交换机转发,S4 失效时经过 S3 交换机转发。配置MSTP 参数要求:region-name 为 test。revision 版本为 1。实例 1 包含VLAN90。实例 2 包含 VLAN60,VLAN100。
9.配置 S3 交换机作为实例 1 的主根、实例 2 的从根。配置 S4 交换机作为实例 2 的主根、实例 1 的从根。其中,主根交换机的优先级为 4096。从根交换机的优先级为 8192。
10.在交换机 S3、S4 连接连接 AC1 和 AC2 的接口上,启用“TC-IGNORE”功能。
11.在交换机 S3 和 S4 上配置 VRRP,实现网络中的主机的网关冗余,所配置的参数要求如表 4 所示。其中,在交换机 S3、S4 上设置各 VRRP 组中的高优先级设置为 150,低优先级设置为 120。
表 2 S3 和 S4 的 VRRP 参数表
12.在交换机 S3 与 S4 之间部署 2 条互联链路(Gi0/21、Gi0/22),采取 LACP动态聚合模式配置二层链路聚合。
13.部署交换机 S5 和 S6 之间的 Te0/27-28 端口作为 VSL 链路,使用网络虚拟化技术,实现核心网络的虚拟化。其中:设置 S5 交换机为主交换机。设置 S6交换机为备用交换机。规划交换机 S5 和 S6 之间的 Gi0/22 端口,作为双主机检测链路,配置基于 BFD 的双主机检测。
需要配置主交换机参数信息为:Domain id:1。Switch id:1;priority 150; description:Access-Switch-Virtual-Switch1
需要配置备交换机设备参数信息为:Domain id:1。Switch id:2。priority 120。description:Access-Switch-Virtual-Switch2。
14.省行核心区与服务器区(S1、S2、S3、S4)部署 OSPF 100,使用单区域(区域 0)部署,省行核心区与外联区(S1、S2、EG1)部署 OSPF 100,规划区域为 10,重发布路由进 OSPF 中使用类型 1。
15.核心区(S1、S2)使用自治域号为 64520,互联区及超辰支行(R1、R2、R3)自治域号为 64521,省行核心区与互联区(S1、S2、R1、R2)使用互联接口地址部署 EBGP,省行及各支行/网点(R1、R2、R3)使用 LOOPBACK 0 地址部署IBGP,其底层 IGP 协议使用静态路由协议。
16.省行核心区与办公区(S1、S2)部署静态路由协议,省行服务器区中无6线控制器 AC1 和 AC2 设备,与两台交换机 S3 和 S4 之间部署静态路由协议,Internet 区域(EG1、EG2、R3)均使用静态路由协议。
17.使得生产性业务的传输主路径为 R3-R1-S1-S3。办公性业务的传输主路径为 R3-R2-S2-S4, 并且要求来回路径保持一致,主链路或主设备故障时,可无缝切换到备用链路或设备上,在使用 BGP 路由通告网络中,交换机 S1、S2 和路由器 R3 通过 Network 引入明细路由。禁止将 IGP 路由以重发布形式导入 BGP 自制系统中。
18.使用 BGP 选路策略中,要求只能在省行核心区 S1、S2 交换机上部署。其中,凡涉及 MED 值调整,要求其值必须是 10、15、20。凡涉及 LP 值调整,要求值必须是 200、300。此外,省行生产流量定义为 ACL1。省行办公流量定义为ACL2。支行生产流量定义为 ACL11。支行办公流量定义为 ACL12,在部署 OSPF 各路由图以及各接口中,凡涉及 COST 值的调整,要求其值必须为 5 或 10。
(三)无线网络配置
现在对海琼银行进行无线网络优化项目拟投入 18 万元(网络设备采购部分)平面布局如图 1 所示。
图 1 平面布局图
1.绘制 AP 点位图(包括:AP 型号、编号、信道等信息,其中信道采用 2.4G的 1、6、11 三个信道进行规划,洗手间、茶水间无须覆盖)。
2.使用无线地勘软件,输出 AP 点位图的 2.4G 频道的信号仿真热图(仿真信号强度要求大于-65db)。
3.输出该无线网络工程项目设备的预算表,网络设备型号和价格依据表 2。
表 3 无线产品价格表
4.在省行办公区的无线部署中,无线 AP 采用 FIT AP 架构,所有 AP(AP1)关联到省行服务器区 AC,在省行办公区无线部署中,使用 S2 交换机作为无线用户(VLAN 60)和无线 FIT AP(VLAN 50)的 DHCP 服务器,在省行的业务区部署无线网络,创建省行业务区中内网的 SSID 为:Admin_SHBGQ_XX(XX 现场提供)。WLANID 为 1。AP-GROUP 为 Admin_SHBGQ。其中,内网无线用户关联 SSID 后,可自动获取 VLAN60 地址,在省行办公区无线部署中,配置省行办公区 AP 采用集中式转发。
5.超辰支行无线网络架构采用 FIT AP+AC 的方案,区域内所有 AP(AP2)都关联到 VAC 进行管理,超辰支行使用 R3 路由器作为无线生产用户(VLAN 10)、办公用户(VLAN 60)和无线 FIT AP(VLAN 50)的 DHCP 服务器,超辰支行无线网络部署中,创建生产用户 SSID 为:Admin_CCZH_SS_XX(XX 现场提供)。WLANID为 2。AP-GROUP 为 Admin_CCZH。生产用户关联 SSID 后,可自动获取 VLAN10 地址。创建超辰支行办公用户 SSID 为:Admin_CCZH_BG_XX(XX 现场提供)。WLANID为 3。AP-GROUP 为 Admin_CCZH。生产用户关联 SSID 后可自动获取 VLAN60 地址,超辰支行无线网络部署中,超辰支行 AP 采用本地转发。
6.在无线网络中部署 AC 冗余,实现备份。两台 AC 采用主备形式。其中,AC1 为省行办公区 AP 主设备。AC2 为超辰支行 AP 主设备,两 AC 互为备份。
7.在梅钱金融公司部署胖 AP 设备,用户网关及 DHCP 服务器均部署在 AP3上。AP3 与 EG2 之间使用静态路由协议实现连通,配置 AP3 设备,在 AP3 上配置SSID(WLAN-ID 4)为 Admin-Fat_XX(XX 现场提供),内网无线用户关联 SSID 后,可自动获取 195.1.60.0/24 网段地址。
8.
5.8G 频段的 Coverage-area-control 功率调整为 17db。2.4G 频段的Coverage-area-control 功率调整为 10db,关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)应用接入,调整 2.4G 频段射频卡 powerlocal 功率数值为 20。调整5.8G 频段射频卡 powerlocal 功率数值为 100,调整 5.8G 频段的射频卡无线频率带宽至 40MHz。
9.限制 3 台 AP 的每个射频卡最大带点人数为 15 人,通过 Fit AP 方式接入无线网络时,采用 WPA2 加密方式,加密密码为 XX(现场提供),通过 Fat AP 方式接入无线网络时,采用 WEB 认证方式,认证用户名、密码为 XX(现场提供)。
(四)出口网络配置
1.省行的外联区出口网关 EG1 上进行 NAT 配置,实现省行业务区办公网络(VLAN 60、VLAN 110)通过 NAPT 方式,将内网 IP 地址转换到互联网接口上。其中,NAT 地址池的地址为 201.1.1.3/29-201.1.1.5/29。生产网络及其他地址均不允许访问互联网,转换 ACL 定义为 ACL 120。
2.省行外联区出口网关 EG1 上配置,使省行的核心交换机 S1 的 HTTP 服务器(IP 为 11.1.0.1)的 HTTP 服务(TCP 80)将其地址映射至运营商线路上,映射地址为 201.1.1.6,映射端口 58888。
3.超辰支行部署了一条 Internet 出口,实现支行办公用户访问 Internet。正常情况下,生产用户不允许访问 Internet,ALC 编号为 101。其中:超辰支行出口路由器 R3 上 NAT 地址池的地址为 202.1.1.3/29-201.1.1.4/29。
4.梅钱金融公司出口网关 EG2 上进行 NAT 配置,实现其无线用户能访问Internet,NAT 地址池与 EG2 的 Gi0/4 接口 IP 相同。
5.在网关 EG1 上启用 Web Portal 认证服务。创建两个认证用户,其用户名/密码分别为:user1/user1、user2/user2,在省行的无线办公用户(VLAN 60)上,需进行 WEB 认证方式访问互联网,在省行有线办公用户(VLAN 110),不需在 EG 上进行 WEB 认证,即可访问互联网,在出口网关 EG2 上,实施基于网站访问、邮件收发、IM 聊天、论坛发帖、搜索引擎等多应用,启用审计功能,配置EG2 设备安全防护,要求从周一到周六的工作时间 09:00—17:00(命名为work)内,阻断并审计 P2P 应用软件使用,审计策略名称定义为 P2P。
6.在网络安全出口设备 EG2 与 R3 出口网关之间,启用 IPSec VPNOver GRE.
配置 IPSec 使用静态点对点模式,esp 隧道模式封装协议,isakmp 策略定义加密算法采用 3des,散列算法采用 md5,预共享密码为 admin,DH 使用组 2。转换集myset 定义加密验证方式为 esp-3des esp-md5-hmac,感兴趣流 ACL 编号为 103,加密图定义为 mymap。
附录 1:拓扑图
附录 2:地址规划表