2024年广东省网络系统管理样题第2套网络搭建部分

简介: 2024年广东省网络系统管理样题第2套网络搭建部分

任务清单

(一)基础配置

1.根据附录1拓扑图及附录2地址规划表,配置设备接口信息。


2.在网络设备上,均开启SSH服务端功能。其中,用户名和密码为admin、Test@123。密码为明文类型。特权密码为Test@123。


3.交换设备上部署SNMP功能。配置所有设备SNMP消息,向主机192.1.100.100发送Trap消息版本采用V2C,读写的Community为“Test@123”,只读的Community为“Public123”,开启Trap消息。


(二)有线网络配置

1.在全网Trunk链路上做VLAN修剪。


2.在交换机S1的Gi0/1-Gi0/22端口启用端口保护。


3.在S1连接PC机端口上开启边缘端口和BPDU防护功能。


4.检测到环路后处理方式为关闭端口。


5.如果端口检测进入禁用状态,设置再过 300 秒后会自动恢复,重新检测是否有环路。


6.DHCP服务器搭建于EG1上,DHCP对外服务使用loopback 0地址。


7.在S1交换机部署DHCP

Snooping+DAI功能。其中,DAI功能主要针对VLAN10与VLAN20启用ARP防御。


8.配置MSTP防止二层环路。要求VLAN10、VLAN20数据流经过S3转发,S3失效时经过S4转发。VLAN50、VLAN60、VLAN100数据流经过S4转发,S4失效时经过S3转发。region-name为test。revision版本为1。S3作为实例1的主根、实例2的从根,S4作为实例2的主根、实例1的从根。其中,主根优先级为4096,从根优先级为8192。


9.在S3和S4交换机上配置VRRP,实现主机的网关冗余,所配置的参数要求见表1。在交换机S3、S4上配置的各VRRP组中,设置高优先级设置为150,低优先级设置为120,S3、S4的2条互联链路(Gi0/22、Gi0/23)上,配置二层链路聚合,采取LACP动态聚合模式。


表1 S3和S4的VRRP参数表

image.png

10.S6和S7间的Te0/49-50端口作为虚拟交换链路实现网络设备虚拟化。其中S6为主,S7为备。S6和S7间的Gi0/47端口作为双主机检测链路,配置基于双主机检测,当虚拟交换链路的所有物理链路都异常断开时,备机会切换成主机,通过双主机链路检测从而保障网络正常。其中,主设备:Domain

id:1。switch id:1。priority 150。 description:

Switch-Virtual-Switch1。备设备:Domain id:1。switch id:2。priority

120。description: Switch-Virtual-Switch2。


11.各机构内网运行OSPF,配置(AC1/AC2)、S5、EG2之间运行OSPF,进程号10,规划单区域:区域0。R1、R2、R3之间运行OSPF,进程号20,规划单区域:区域0。

(S6/S7)、R2、R3之间运行OSPF,进程号21,规划单区域:区域0。S3、S4、EG1之间运行OSPF,进程号为30。


12.要求业务网段中不出现协议报文。R1、(S6/S7)始发的终端网段以及各设备上的Loopback管理地址,均以重分发直连路由的方式注入路由;R2/EG2、R3/EG1之间互联段,均以重发布直连的方式,注入R2、R3的OSPF双进程中,R2、R3之间启用OSPF与BFD联动,以达到迅速检测运营商网络中断,快速地切换到其他备份线路,提高用户网络体验。


13.优化OSPF相关配置,以尽量加快OSPF收敛。配置重发布路由进OSPF中使用类型1。


14.R1引入路由时进行路由标记,生产网段标记为10,办公网段标记为20,loopback地址标记为30,路由图定义为SET_TAG;(S6/S7)引入路由时进行路由标记,生产网段标记为100,办公网段标记为200,loopback地址标记为300,路由图定义为SET_TAG;R2、R3要求OSPF双进程重发布,OSPF20进程发布至OSPF21进程时关联路由图定义为OSPF20_TO_OSPF21,OSPF21进程发布至OSPF20进程时关联路由图定义为OSPF21_TO_OSPF20;R2、R3要求OSPF路由标记过滤规避路由环路与次优路径风险,OSPF20进程内路由过滤关联路由图定义为FILTER_OSPF21_TAG,OSPF21进程内路由过滤关联路由图定义为FILTER_OSPF20_TAG;路由图中涉及COST值的调整,要求其值必须为5或10;通过策略部署,使得生产业务的主路径为R1—R2—(S6/S7),办公业务的主路径为R1—R3—(S6/S7),且要求来回路径一致。Loopback接口互访路径与办公业务一致;主链路或R2、R3故障时可无缝切换到备用链路上。


15.分支机构之间,部署IPV6网络,实现机构之间的内网中安装的IPV6终端,可通过无状态自动从网关处获取地址。其中,IPV6地址规划如表2。R1、(S6/S7)通过Gre隧道实现局域网IPV6终端互联互通,且隧道内运行OSPFV3协议,进程号10,区域号为0。R1、(S6/S7)直连R2、R3的其中任意链路故障均不影响Gre隧道的连通。


表2 IPV6地址规划表

image.png

(三)无线网络配置

CII集团公司拟投入16.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。

370d07b3abb790ff370bea06b27ef186_b41129562e8b44b794eb99dcdbd93b3f.png

图1 平面布局图


1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划,洗手间、楼梯区域无须覆盖)。


2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。


3.根据表3无线产品价格表,制定该无线网络工程项目设备的预算表;


表3无线产品价格表


| 产品型号 | 产品特征 | 传输速率 | 推荐/最大带点数 | 功率 | 价格(元) |

image.png

4.分公司的无线网络规划中,使用EG1作为无线用户和无线FIT

AP的DHCP服务器。分公司内网SSID为admin_Fit_XX(备注:XX现场提供)。WLANID为1。AP-Group为admin。配置内网中的无线用户在关联SSID后,即可自动获取VLAN60地址


5.配置两台AC设备,使用虚拟化方案组合成1台虚拟AC。


6.AC1和AC2之间的Gi0/4-5端口作为虚拟交换链路。其中:配置AC1为主,AC2为备。


7.AC1和AC2间的Gi0/3端口,作为双主机检测链路,配置基于双主机检测。当虚拟交换链路的所有物理链路都异常断开时,备机切换成主机,通过双主机链路检测从而保障网络正常。其中,主设备为:Domain

id:1。device id:1。priority 150。 description: AC-1。备设备为:Domain

id:1。device id:2。priority 120。 description: AC-2。


8.虚拟AC与S5之间的业务线缆都规划为双线路。为提升冗余性,采用三层链路聚合。


9.AP3使用胖模式进行部署,以透明模式进行部署,管理地址为192.1.100.3/24。在无线AP3上创建SSID(WLAN-ID

2),相关参数为:admin-Fat_XX(备注:XX现场提供)

。其中,内网无线用户关联SSID后,可自动获取VLAN60网段地址。


10.无线用户接入无线网络时,连接Fit

AP无线用户接入无线网络时采用802.1X加密方式,认证用户名user1、密码为XX。Fat

AP部署的无线网络中,无线用户接入无线网络时采用WEB认证方式,认证用户名user2、密码为XX。认证服务器登陆地址为http://194.1.100.100/admin,用户名:admin

密码:987321Aa)


11.无线用户的下行平均速率为 800KB/s ,突发速率为1600KB/s。

12.关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)无线终端接入。

13.启用同AP下用户间隔离功能。

14.避免链路不稳定,导致AP/AC隧道中断,启用无线AP边缘感知功能。


15.每AP最大带点人数为30人。

16.调整2.4G频段射频卡功率数值为20,5.8G频段射频卡功率数值为100,尽量降低同频干扰带来的影响。


(四)出口网络配置

1.出口网关上进行NAT配置,实现机构内网终端及服务器,均可访问互联网,通过NAPT方式将内网IP地址转换到互联网接口上。


2.出口网关EG1上配置,使S1交换机(192.1.100.1)设备的Telnet服务,可以通过互联网被访问。此外,将其地址映射至运营商线路上,映射地址为11.1.2.10,映射端口23333。


3.EG1设备上启用Web

Portal认证服务,认证用户名密码均为user11、user12。有线用户需进行WEB认证访问互联网。无线用户不需在EG上进行WEB认证即可访问互联网。


4.在EG1与EG2出口网关之间,启用GRE Over IPSec

VPN嵌套功能。创建GRE隧道,实现内部承载OSPF协议,使其总分机构间内网连通。


5.配置IPSec安全使用静态点对点模式,要求esp传输模式封装协议。isakmp策略定义加密算法采用3des。散列算法采用md5,预共享密码为admin。DH使用组2。此外,转换集myset定义加密验证方式为esp-3des

esp-md5-hmac。感兴趣流ACL编号为103。加密图定义为mymap。


6.出口网关EG1上,针对内网访问互联网WEB流量限速每IP

1000Kbps,内网WEB总流量不超过20Mbps,通道名称定义为WEB。


7.出口网关EG1上,基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎等多应用启用审计功能。


8.出口网关EG1上,对创建的用户user11用户上网活动不进行监控审计。


9.出口网关EG1上,对外发信息包含敏感词“供应链企业资料”和“员工薪酬明细”进行阻断并审计和告警;


10.出口网关EG1上,设置黑名单禁止局域网用户通过浏览器访问http://15.1.0.2网址。


11.出口网关EG1上,周一到周日工作时间09:00—17:00(命名为work)阻断并审计P2P应用软件使用,审计策略名称定义为P2P。


(五)SDN网络配置

1.SDN控制器登陆地址:https://192.168.1.2:8089/onc/,用户名:admin

密码:987321Aa 。


2.使用S2/S4构建SDN网络,S2连接SDN控制器的6653端口。


3.SDN控制器下发流表实现S2所有流量均禁止通过。


4.通过SDN控制器手工给S2下发流表项使其S2下生产终端可与总部10.2.0.12地址互联互通。


附录1:拓扑图

3a0dc51c9ef4f51625a3d7953baf2527_39426b50d317428fbbc728709e78f614.png

附录2:地址规划表

image.png

image.png

image.png

相关文章
|
4月前
|
Kubernetes 关系型数据库 MySQL
网络基本管理
网络基本管理
40 6
|
4月前
|
监控 安全 网络安全
网络防线的构筑与维护:漏洞管理、加密技术与安全意识的协同进化
在数字时代的浪潮中,网络安全与信息安全的重要性愈发凸显。本文将探讨网络安全的薄弱环节—漏洞,并分析如何通过高效的漏洞管理来强化网络防御。同时,我们将深入了解加密技术的原理及其在保护数据安全中的应用。最后,文章强调了安全意识的核心地位,以及如何通过提升个人和组织的安全意识来构建更为坚固的网络安全防线。
|
4月前
|
安全 网络安全 区块链
网络防御新境界:漏洞管理、加密技术与安全意识的融合之道
在数字化浪潮中,网络安全成为保护企业资产和用户隐私的关键防线。本文深入探讨了网络安全漏洞的发现与管理、加密技术的最新进展以及提升个人和组织安全意识的重要性。通过分析近期的安全事件和技术发展,揭示了一个多层次、动态发展的网络防御体系的必要性。文章强调,只有将技术创新与人的要素相结合,才能构筑起真正坚固的网络安全防线。
49 0
|
6月前
|
网络安全 数据安全/隐私保护 网络协议
2024年广东省网络系统管理样题第4套网络搭建部分
2024年广东省网络系统管理样题第4套网络搭建部分
2024年广东省网络系统管理样题第4套网络搭建部分
|
6月前
|
数据安全/隐私保护 网络协议 网络安全
2024年广东省网络系统管理样题第4套服务部署部分
2024年广东省网络系统管理样题第4套服务部署部分
2024年广东省网络系统管理样题第4套服务部署部分
|
4月前
|
数据采集 存储 缓存
使用Scrapy进行网络爬取时的缓存策略与User-Agent管理
使用Scrapy进行网络爬取时的缓存策略与User-Agent管理
|
6月前
|
存储 安全 网络安全
网络防御的三重奏:漏洞管理、加密技术与安全意识提升
【5月更文挑战第29天】随着数字化时代的到来,网络安全和信息安全成为维护社会稳定和个人隐私的重要防线。本文将深入探讨网络安全中的漏洞管理、加密技术以及提升个人和企业的安全意识这三个关键领域。通过对现有安全威胁的分析,我们将提供一系列针对性的策略来强化网络防御体系,确保信息在传输和存储过程中的安全性,同时提高整体社会对网络安全重要性的认知。
|
6月前
|
网络虚拟化 网络协议 Windows
【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套B模块-1
【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套B模块
【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套B模块-1
|
6月前
|
数据安全/隐私保护 网络协议 网络虚拟化
【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套A模块
【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套A模块
【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套A模块
|
6月前
|
网络安全 数据安全/隐私保护 Linux
2023年全国职业院校技能大赛=GZ073 网络系统管理赛项赛题第2套B模块-2
2023年全国职业院校技能大赛=GZ073 网络系统管理赛项赛题第2套B模块
2023年全国职业院校技能大赛=GZ073 网络系统管理赛项赛题第2套B模块-2