2019年廣西職業(yè)院校技能大賽高職組《計算機網絡應用》賽項樣題

2019年廣西職業(yè)院校技能大賽

高職組《計算機網絡應用》賽項

競賽樣題

-1-

賽題說明

一、競賽內容分布

第一部分：網絡規(guī)劃與實施（95%）

模塊一：無線網絡規(guī)劃與實施（10%）

模塊二：設備基礎信息配置（5%）

模塊三：網絡搭建與網絡冗余備份方案部署（20%）

模塊四：移動互聯網搭建與網優(yōu)（20%）

模塊五：出口安全防護與遠程接入（20%）

模塊六：云計算服務搭建與企業(yè)應用（20%）

第二部分：賽場規(guī)范和文檔規(guī)范（5%）

二、競賽時間

競賽時間為4個小時。

三、競賽注意事項

1.競賽所需的硬件、軟件和輔助工具由組委會統(tǒng)一布置，選手不

得私自攜帶任何軟件、移動存儲、輔助工具、移動通信設備等進入賽

場。

2.請根據大賽所提供的比賽環(huán)境，檢查所列的硬件設備、軟件清

單、材料清單是否齊全，計算機設備是否能正常使用。

3.操作過程中，需要及時保存設備配置。比賽結束后，所有設備

保持運行狀態(tài)，不要拆動硬件連接。

-2-

4.比賽完成后，比賽設備、軟件和賽題請保留在座位上，禁止將

比賽所用的所有物品（包括試卷和草紙）帶離賽場。

5.裁判以各參賽隊提交的競賽結果文檔為主要評分依據。所有提

交的文檔必須按照賽題所規(guī)定的命名規(guī)則命名，不得以任何形式體現

參賽院校、工位號等信息。

四、競賽結果文件的提交

按照題目要求提交符合模板的WORD文件、PDF文件、Visio圖紙

文件和設備配置文件。

-3-

第一部分：網絡規(guī)劃與實施

注意事項

賽場提供一組云平臺環(huán)境，已經安裝好JCOS系統(tǒng)及導入虛擬機模板鏡像

（WindowsServer2008R2及CentOS7.0）。JCOS系統(tǒng)的IP地址為。

考生通過WEB頁面登錄到JCOS系統(tǒng)中，基于模板鏡像建立虛擬機并對虛擬機

中的操作系統(tǒng)進行相關網絡服務配置。JCOS系統(tǒng)的登錄用戶名和密碼都是

XX(現場提供)。

Windows操作系統(tǒng)的管理員和CentOS的root用戶的密碼在創(chuàng)建云主機的時候

自行設置，ODL的虛擬機默認用戶名密碼都是mininet，軟件均已經安裝在電

腦中。

考生在PC機上通過SecureCRT軟件配置網絡設備，軟件已經安裝在電腦中。

競賽結果文件的制作請參考“答題卡”文件夾中的“交換路由無線網關設備配

置答題卡模板x”、“云平臺服務器配置答題卡模板x”和“無線網絡勘測設計

答題卡”。請注意排版，文檔排版得分將計入總成績。

設備及文檔列表

本競賽中所使用的網絡設備及線纜如下表所示：

表1-1設備及線纜列表

序

類別設備廠商型號數量

號

1硬件出口網關銳捷RG-EG20002臺

2硬件路由器銳捷RG-RSR20-14E（LAB）/RSR20-X-283臺

3硬件數據中心交換機銳捷RG-S6000C-48GT4XS-E2臺

4硬件數據中心電源模塊銳捷RG-PA70I2個

5硬件萬兆堆疊模塊銳捷XG-SFP-CU1M/XG-SFP-AOC1M2條

6硬件三層交換機銳捷RG-S5750-24GT4XS-L3臺

7硬件二層接入交換機銳捷RG-S2910-24GT4XS-E2臺

8硬件無線控制器銳捷RG-WS60082臺

9硬件無線AP銳捷RG-AP520/RG-AP7203臺

10硬件電源適配器銳捷RG-E-1203個

11硬件串口接口模塊銳捷RG-SIC-1HS/RG-SIC-2HS6個

12硬件串口線纜銳捷CAB-V.35DTE-V.35DCE3條

推薦RG-UDS1022G或同等配置的

若干

13硬件服務器銳捷其他主流品牌服務器服務器最低

臺

配置要求

14軟件云平臺管理軟件銳捷RG-JCOS2套

15軟件無線地勘系統(tǒng)銳捷無線地勘系統(tǒng)1套

-4-

本競賽中使用的設備參考資料如下表所示：

表1-2文檔列表

序號名稱位置

PC機桌面上的“競賽資料\網

1RG-RSR20-14系列路由器配置手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

2RG-S5750系列交換機配置手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

3RG-S6000E系列交換機配置手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

4RG-S2910系列交換機配置手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

5RG-AC系列無線控制器配置手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

6RG-AP系列無線接入點配置手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

7RG-EG2000系列出口網關配置手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

8無線地勘系統(tǒng)用戶手冊.pdf

絡應用\參考文檔”

PC機桌面上的“競賽資料\網

9RG-JCOS系列捷云操作系統(tǒng)用戶手冊.pdf

絡應用\參考文檔”

賽題背景

CII教育公司業(yè)務不斷發(fā)展壯大，公司員工數量快速增長。為適應

IT行業(yè)技術飛速發(fā)展，提升員工素養(yǎng)和技術能力水平，滿足公司業(yè)務

發(fā)展需求，決定建設本部企業(yè)大學以及東校區(qū)和西校區(qū)企業(yè)大學分校。

為了促進本部企業(yè)大學與分校的交流溝通，需要進行企業(yè)大學信息化

建設。同時為了更好管理數據，提供服務，本部企業(yè)大學決定建立自

己的小型數據中心及云計算服務平臺，以達到快速、可靠交換數據，

以及增強業(yè)務部署彈性的目的。同時考慮企業(yè)大學信息化教學的需求，

在本部及所有分校有線網絡的基礎上建設無線網絡，另外為學員訪問

互聯網申請獨立的教育網線路避免訪問互聯網數據過多影響正常業(yè)務

數據的交互，同時針對訪問互聯網數據進行身份認證與信息審計確保

用網安全。

-5-

模塊一：無線網絡規(guī)劃與實施

某研發(fā)基地最近在濟南新租用了一棟綜合商住兩用樓用于公司臨

時辦公，由于原樓層未進行信息化改造，考慮到是短期租用，公司信

息部建議通過部署無線來實現網絡接入，用于購置無線設備的預算為

10萬元。

1.業(yè)務背景及需求：

樓宇的相關信息如下：

建筑使用說明：該樓宇為一棟商住綜合樓，可供公司員工住宿、辦

公和會議，目前該公司租用了一樓。

建筑現場情況：該樓宇為室內無吊頂，原有強電布線室內外均采用

了pvc線槽敷設。

建筑物弱電間情況：該樓宇目前沒有獨立的弱電間，經同管理處協(xié)

商，弱電間位置位于北面最右側走廊，安裝位置為在會議廳房間外，

安裝方式為壁掛式，整層建筑的平面布局圖如下圖所示。

圖1-1平面布局圖

無線產品的參數與價格

-6-

表1-2無線產品及配件價格表

傳輸速率推薦/最大

產品型號工作模式功率價格（元）

（2.4G/最大）帶點數

AP330-I雙頻雙流300M/1.167G32/256100mW6000

AP220-E(M)-

雙頻雙流300M/600M32/256100mW11000

V3.0

RG-Cab-SMA-

10米饋線N/AN/AN/A1600

10m

RG-Cab-SMA-

15米饋線N/AN/AN/A2400

15m

RG-IOA-2505雙頻單流/單

N/AN/AN/A500

-S1頻單流

AP110-w單頻單流150M12/3260mW2500

24口POE交

S2928G-24PN/AN/A240W15000

換機

WS6008無線控制器6*1000M32/20040W42000

網絡系統(tǒng)集成物料清單

表1-3綜合布線工程材料清單

產品名稱規(guī)格單位

Cat5e網絡配線架24口、1U個

理線架1U個

20mm*10mm*2.8m條

25mm*12.5mm*2.8m條

PVC線槽30mm*16mm*2.8m條

39mm*18mm*2.8m條

50mm*25mm*2.8m條

PVC線槽底盒標準個

PVC暗盒標準個

16mm*2.8m條

PVC線管20mm*2.8m條

25mm*2.8m條

50mm*25mm米

金屬橋架

60mm*22mm米

-7-

Cat5e網線305米/箱箱

Cat5e水晶頭100個/盒盒

機柜6U個

機柜12U個

2.無線業(yè)務規(guī)劃

無線地勘部分

根據提供的建筑平面布局圖、項目預算（設備經費）和業(yè)務需求進

行AP的規(guī)劃與設計，通過無線地勘軟件進行AP點位設計和無線信號

仿真，確保無線信號全覆蓋（廚房、廁所、樓梯間和電梯區(qū)域無須覆

蓋）。然后進一步做無線信道規(guī)劃，并輸出該層無線AP點位示意圖、

無線熱圖和網絡設備清單。

1）繪制AP點位圖（包括：AP型號、編號、信道等信息，其中信道

采用2.4G的1、6、11三個信道進行規(guī)劃），AP點位參考示意圖如

下。

2）使用無線地勘軟件，輸出AP點位圖的2.4G信號仿真熱圖（仿

真信號強度要求大于-65db），參考示意圖如下。

-8-

3）輸出該無線網絡工程項目設備的預算表，網絡設備型號和價格

依據表1-5。

表1-5設備清單表

設備型號單價數量總價

項目總預算

網絡系統(tǒng)集成工勘

根據AP點位部署位置和建筑物現場情況，輸出無線網絡工程項目

施工的水平布線圖、機柜安裝示意圖、網絡配線架標簽和物料清單。

（1）根據無線AP點位和建筑物現場環(huán)境設計該無線網絡的水平

布線圖（vsd格式），在進行綜合布線型材選型中，根據GB50311-2007

要求，線槽/管截面利用率不能高于30%且線槽/管規(guī)格選擇最小規(guī)格。

參考示意圖如下。

-9-

（2）根據機柜上架設備清單，規(guī)劃設備在機柜的安裝位置、設備

和網絡配線架的標識，輸出機柜安裝示意圖（vsd格式）。參考示意圖

如下。

（3）根據無線AP點位編號信息，合理規(guī)劃AP對應雙絞線的上架

位置，并在網絡配線架面板做標注。請將機柜上網絡配線架的標簽信

息（從左到右）填寫到表1-6中。

表1-6數據配線架標簽表

網絡配線架標簽表

-10-

123456789101112131415161718192021222324

（4）工程物料清單。根據無線網絡的水平布線圖，計算本次無線

網絡工程的物料清單，其中線纜采用平均值法進行估算，所有材料以

表1-4為準。請將本次無線網絡工程的物料清單填寫到表1-7中。

表1-7物料清單表

物料名稱單位數量

提交競賽結果文件（模塊一）

制作競賽結果文件：嚴格按照“無線網絡勘測設計答題卡模板x”

文檔格式要求制作輸出競賽結果文件，同時另存一份PDF格式文檔（利

用OfficeWord另存為pdf文件方式生成pdf文件）。

考生將競賽結果文件“無線網絡勘測設計答題卡模板”和“無線

網絡勘測設計答題卡.pdf”保存到桌面上，并且拷貝到“提交文檔”

目錄下然后提交給現場工作人員。

注意：考生所提交的文件是競賽結果的唯一依據，請考生一定確

保文件確實有效，能夠正常讀取。如有疑問，可咨詢現場工作人員。

-11-

總體規(guī)劃

CII教育公司在進行企業(yè)大學信息化建設的過程中，為了保證北京

分校、廣州分校與本部校區(qū)的日常OA辦公通信等關鍵業(yè)務，需要保證

本部與分校之間的網絡互聯與可靠。同時，為了確保所有校區(qū)均可正

常訪問互聯網，在本部校區(qū)出口規(guī)劃了雙出口及雙鏈路備份。具體的

網絡拓撲結構如圖1-2所示。

其中兩臺EG2000出口網關分別編號EG1、EG2與教育網和聯通互

聯，兩臺S6000交換機編號為S3、S4作為本部校區(qū)的核心交換機。一

臺S5750交換機編號為S5，用于服務器高速接入。兩臺無線控制器

WS6008編號為AC1、AC2，用作無線控接入點的配置和管理。兩臺S2910

接入交換機編號為S1、S2，用作本部校區(qū)的接入設備。一臺無線AP520

編號AP1用作本部校區(qū)的無線接入點。三臺路由器RSR20-14編號為R1、

R2、R3，通過本部的R1與北京分校以及廣州分校的R2和R3路由器相

連。兩臺S5750編號為S6、S7，分別作為北京分校和廣州分校的核心

交換機。兩臺無線AP520編號AP2、AP3分別作為北京分校和廣州分校

的無線接入點。

圖1-2網絡拓撲結構圖

-12-

請根據拓撲圖及網絡物理連接表完成設備的連線。

設備互聯規(guī)范主要對各種網絡設備的互聯進行規(guī)范定義，在項目

實施中，如用戶無特殊要求，應根據規(guī)范要求進行各級網絡設備的互

聯，統(tǒng)一現場設備互聯界面，結合規(guī)范的線纜標簽使用，使網絡結構

清晰明了，方便后續(xù)的維護。如下“表1-8網絡物理連接表”。

表1-8網絡物理連接表

源設備名稱設備接口接口描述目標設備名稱設備接口

S1Gi0/1Con_To_PC1PC1

S1Gi0/23Con_To_S3_Gi0/1S3Gi0/1

S1Gi0/24Con_To_S4_Gi0/1S4Gi0/1

S2Gi0/22Con_To_AP1_Gi0/1AP1Gi0/1

S2Gi0/23Con_To_S3_Gi0/2S3Gi0/2

S2Gi0/24Con_To_S4_Gi0/2S4Gi0/2

S3Gi0/1Con_To_S1_Gi0/23S1Gi0/23

S3Gi0/2Con_To_S2_Gi0/23S2Gi0/23

S3Gi0/3Con_To_AC1_Gi0/1AC1Gi0/1

S3Gi0/4Con_To_EG2_Gi0/3EG2Gi0/3

S3Gi0/5Con_To_S5_Gi0/23S5Gi0/23

S3Gi0/6Con_To_EG1_Gi0/0EG1Gi0/0

S3Te0/49Con_To_S4_Te0/49S4Te0/49

S3Te0/50Con_To_S4_Te0/50S4Te0/50

S4Gi0/1Con_To_S1_Gi0/24S1Gi0/24

S4Gi0/2Con_To_S2_Gi0/24S2Gi0/24

S4Gi0/3Con_To_AC2_Gi0/1AC2Gi0/1

S4Gi0/4Con_To_EG1_Gi0/3EG1Gi0/3

S4Gi0/5Con_To_S5_Gi0/24S5Gi0/24

S4Gi0/6Con_To_EG2_Gi0/0EG2Gi0/0

S4Gi0/7Con_To_R1_Gi0/0R1Gi0/0

S4Te0/49Con_To_S3_Te0/49S3Te0/49

S4Te0/50Con_To_S3_Te0/50S3Te0/50

S5Gi0/1Con_To_Jcos云服務器

S5Gi0/23Con_To_S3_Gi0/5S3Gi0/5

S5Gi0/24Con_To_S4_Gi0/5S4Gi0/5

AC1Gi0/1Con_To_S3_Gi0/3S3Gi0/3

AC2Gi0/1Con_To_S4_Gi0/3S4Gi0/3

EG1Gi0/0Con_To_S3_Gi0/6S3Gi0/6

EG1Gi0/1Con_To_ChinaUnicomEG2Gi0/1

EG1Gi0/2Con_To_CernetEG2Gi0/2

EG1Gi0/3Con_To_S4_Gi0/4S4Gi0/4

-13-

EG2Gi0/0Con_To_S4_Gi0/6S4Gi0/6

EG2Gi0/1Con_To_ChinaUnicomEG1Gi0/1

EG2Gi0/2Con_To_CernetEG1Gi0/2

EG2Gi0/3Con_To_S3_Gi0/4S3Gi0/4

R1Gi0/0Con_To_S4_Gi0/7S4Gi0/7

R1S2/0Con_To_R2_S2/0R2S2/0

R1S3/0Con_To_R3_S3/0R3S3/0

R1S4/0Con_To_R3_S4/0R3S4/0

R2S2/0Con_To_R1_S2/0R1S2/0

R2Gi0/0Con_To_S6_Gi0/24S6Gi0/24

R3S3/0Con_To_R1_S3/0R1S3/0

R3S4/0Con_To_R1_S4/0R1S4/0

R3Gi0/0Con_To_S7_Gi0/24S7Gi0/24

S6Gi0/1Con_To_PC2PC2

S6Gi0/23Con_To_AP2_Gi0/1AP2Gi0/1

S6Gi0/24Con_To_R2_Gi0/0R2Gi0/0

S7Gi0/1Con_To_PC3PC3

S7Gi0/23Con_To_AP3_Gi0/1AP3Gi0/1

S7Gi0/24Con_To_R3_Gi0/0R3Gi0/0

AP2Gi0/1Con_To_S6_Gi0/23S6Gi0/23

AP3Gi0/1Con_To_S7_Gi0/23S7Gi0/23

本部校區(qū)和兩個分校區(qū)間需要互聯互通，同時也需要對某些業(yè)務

進行互訪限制。另外，各業(yè)務對網絡可靠性要求較高，要求網絡核心

區(qū)域發(fā)生故障時的中斷時間盡可能短。還有，網絡部署時要考慮到網

絡的可管理性，并合理利用網絡資源。

-14-

模塊二：設備基礎信息配置

1.設備命名規(guī)范和設備的基礎信息

根據總體規(guī)劃內容，將所有的設備根據命名規(guī)則修訂設備

名稱；

依據設備的總體規(guī)劃物流連接表，配置設備的接口描述信

息。

2.密碼恢復和軟件版本統(tǒng)一

將接入交換機S1和S2做密碼恢復，新的密碼設置為ruijie；

接入交換機S1和S2軟件版本統(tǒng)一，更新版本至RGOS

11.4(1)B1P3；

因為項目需求，為了滿足一個新增的功能產商發(fā)布了無線

AP的專屬的軟件版本，滿足軟件版本的一致性，請將總部

和分布的無線AP統(tǒng)一版本至AP_RGOS11.1(5)B9P11。

3.網絡設備安全技術

為路由器和無線控制器開啟SSH服務端功能，用戶名和密

碼為admin，密碼為明文類型,特權密碼為admin。

為交換機開啟Telnet功能，對所有Telnet用戶采用本地

認證的方式。創(chuàng)建本地用戶，設定用戶名和密碼為admin，

密碼為明文類型,特權密碼為admin。

配置所有設備SNMP消息，向主機54發(fā)送Trap

消息版本采用V2C，讀寫的Community為“ruijie”，只

讀的Community為“public”，開啟Trap消息。

-15-

模塊三：網絡搭建與網絡冗余備份方案部署

1.虛擬局域網及IPv4地址部署

為了減少廣播，需要規(guī)劃并配置VLAN。具體要求如下：

配置合理，Trunk鏈路上不允許不必要VLAN的數據流通過;

為隔離網絡中部分終端用戶間的二層互訪，在交換機S1、S2上

使用端口保護。

根據上述信息及表1-9、表1-10，在各設備上完成VLAN配置和端

口分配以及IPv4地址。

表1-9網絡設備名稱表

拓撲圖中設備名稱配置主機名（hostname名）

S1BB-S2910-01

S2BB-S2910-02

S3BB-S6000-01

S4BB-S6000-02

S5BB-S5750-01

S6BJFX-S5750-01

S7GZFX-S5750-01

R1BB-RSR20-01

R2BJFX-RSR20-01

R3GZFX-RSR20-02

AC1BB-WS6008-01

AC2BB-WS6008-02

EG1BB-EG2000-01

EG2BB-EG2000-01

AP1BB-AP520-01

AP2BJFX-AP520-01

AP3GZFX-AP520-01

表1-10IPv4地址分配表

二層或三層規(guī)劃

設備接口或VLANVLAN名稱說明

(XX現場提供)

VLAN10Office10Gi0/1至Gi0/4辦公網段

VLAN20Office20Gi0/5至Gi0/8辦公網段

VLAN30Office30Gi0/9至Gi0/12辦公網段

S1

VLAN40Office40Gi0/13至Gi0/16辦公網段

VLAN50APGi0/21至Gi0/22無線AP管理

VLAN100Manage192.XX.100.4/24設備管理VLAN

-16-

VLAN10Office10Gi0/1至Gi0/4辦公網段

VLAN20Office20Gi0/5至Gi0/8辦公網段

VLAN30Office30Gi0/9至Gi0/12辦公網段

S2

VLAN40Office40Gi0/13至Gi0/16辦公網段

VLAN50APGi0/21至Gi0/22無線AP管理

VLAN100Manage192.XX.100.5/24設備管理VLAN

VLAN10Office10192.XX.10.252/24辦公網段

VLAN20Office20192.XX.20.252/24辦公網段

VLAN30Office30192.XX.30.252/24辦公網段

VLAN40Office40192.XX.40.252/24辦公網段

VLAN50AP192.XX.50.252/24無線AP管理

VLAN100Manage192.XX.100.252/24設備管理VLAN

S3Gi0/1Trunk

Gi0/2Trunk

Gi0/3Trunk

Gi0/410.XX.0.41/30互聯EG2

Gi0/510.XX.0.1/30互聯S5

Gi0/610.XX.0.5/30互聯EG1

LoopBack011.XX.0.33/32

VLAN10Office10192.XX.10.253/24辦公網段

VLAN20Office20192.XX.20.253/24辦公網段

VLAN30Office30192.XX.30.253/24辦公網段

VLAN40Office40192.XX.40.253/24辦公網段

VLAN50AP192.XX.50.253/24無線AP管理

VLAN100Manage192.XX.100.253/24設備管理VLAN

Gi0/1Trunk

S4

Gi0/2Trunk

Gi0/3Trunk

Gi0/410.XX.0.37/30互聯EG1

Gi0/510.XX.0.33/30互聯S5

Gi0/610.XX.0.9/30互聯EG2

Gi0/710.XX.0.13/30互聯R1

LoopBack011.XX.0.34/32

LoopBack011.XX.0.204/32

VLAN60Wiressless192.XX.60.252/24無線用戶

AC1

管理與互聯

Vlan100Manage192.XX.100.2/24

VLAN

LoopBack011.XX.0.205/32

VLAN60Wiressless192.XX.60.253/24無線用戶

AC2

管理與互聯

Vlan100Manage192.XX.100.3/24

VLAN

Gi0/1Con_To_Cloud193.XX.0.1/30互聯云平臺

S5

LoopBack011.XX.0.5/32

-17-

Gi0/2310.XX.0.2/30互聯S3

Gi0/2410.XX.0.34/30互聯S4

Gi0/010.XX.0.6/30互聯S3

Gi0/1196.XX.0.1/24互聯EG2

EG1Gi0/2197.XX.0.1/24互聯EG2

Gi0/310.XX.0.38/30互聯S4

LoopBack011.XX.0.11/32

Gi0/010.XX.0.10/30互聯S4

Gi0/1196.XX.0.2/24互聯EG1

EG2Gi0/2197.XX.0.2/24互聯EG1

Gi0/310.XX.0.42/30互聯S3

LoopBack011.XX.0.12/32

Gi0/010.XX.0.14/30互聯S4

S2/010.XX.0.18/30互聯R2

R1S3/010.XX.0.22/30捆綁組1成員

S4/010.XX.0.22/30捆綁組1成員

LoopBack011.XX.0.1/32

Gi0/010.XX.0.25/30互聯S6

R2S2/010.XX.0.17/30互聯R1

LoopBack011.XX.0.2/32

Gi0/010.XX.0.29/30互聯S7

S3/010.XX.0.21/30捆綁組1成員

R3

S4/010.XX.0.21/30捆綁組1成員

LoopBack011.XX.0.3/32

Gi0/2310.XX.0.45/30

Gi0/2410.XX.0.26/30

S6

VLAN10Wire_user194.XX.10.254/24分校有線用戶

LoopBack011.XX.0.6/32

Gi0/2310.XX.0.49/30

Gi0/2410.XX.0.30/30

S7

VLAN10Wire_user195.XX.10.254/24分校有線用戶

LoopBack011.XX.0.7/32

Gi0/110.XX.0.46/30

AP2

BVI20194.XX.20.254/24分校無線用戶

Gi0/110.XX.0.50/30

AP3

BVI20195.XX.20.254/24分校無線用戶

PC1自動獲取

PC機PC2194.XX.10.2/24

PC3195.XX.10.2/24

2.局域網環(huán)路規(guī)避方案部署

-18-

為了規(guī)避網絡末端接入設備上出現環(huán)路影響全網，要求在本部與

分校接入設備S1，S2，S6，S7進行防環(huán)處理。具體要求如下：

接口開啟BPDU防護不能接收bpduguard報文；

接口下開啟rldp防止環(huán)路，檢測到環(huán)路后處理方式為

shutdown-port；

連接終端的所有端口配置為邊緣端口；

如果端口被BPDUGuard檢測進入err-disabled狀態(tài)，再過300

秒后會自動恢復，重新檢測是否有環(huán)路。

3.接入安全部署

為了保證接入區(qū)DHCP服務安全及偽IP源地址攻擊，具體要求如

下：

DHCP服務器搭建于S3上對VLAN10以內的用戶進行地址分配；

為了防御從非法DHCP服務器獲得的地址及動態(tài)環(huán)境下防御ARP

欺騙要求在S1、S2上部署DHCPSnooping+DAI解決方案；

調整CPU保護機制中ARP閾值500pps；

關閉S1、S2上聯接口NFPP功能，全局設置NFPP日志緩存容量

為1024，打印相同log的閾值為300s。

4.MSTP及VRRP部署

在本部交換機S3、S4上配置MSTP防止二層環(huán)路；要求VLAN10、

VLAN20、VLAN30數據流經過S3轉發(fā)，VLAN40、VLAN50、VLAN100數據

流經過S4轉發(fā)，S3、S4其中一臺宕機時均可無縫切換至另一臺進行轉

發(fā)。所配置的參數要求如下：

region-name為ruijie；

revision版本為1；

實例1，包含VLAN10，VLAN20，VLAN30；

實例2，包含VLAN40，VLAN50，VLAN100；

S3作為實例0、1中的主根，S4作為實例0、1的從根；

S4作為實例2中的主根，S3作為實例2的從根；

-19-

主根優(yōu)先級為4096，從根優(yōu)先級為8192；

在S3和S4上配置VRRP，實現主機的網關冗余。所配置的參數

要求如表1-11；

表1-11S3和S4的VRRP參數表

VLANVRRP備份組號（VRID）VRRP虛擬IP

VLAN1010192.XX.10.254

VLAN2020192.XX.20.254

VLAN3030192.XX.30.254

VLAN4040192.XX.40.254

VLAN5050192.XX.50.254

VLAN100(交換機間)100192.XX.100.254

S3、S4各VRRP組中高優(yōu)先級設置為150，低優(yōu)先級設置為120。

5.路由協(xié)議部署

本部內網使用靜態(tài)路由、OSPF多協(xié)議組網。其中S3、S4、S5、EG1、

EG2使用OSPF協(xié)議，本部其余三層設備間使用靜態(tài)路由協(xié)議。本部與

分校廣域網間使用靜態(tài)路由協(xié)議（R1除外），各分校局域網環(huán)境使用

RIP路由協(xié)議和靜態(tài)路由協(xié)議。要求網絡具有安全性、穩(wěn)定性。具體要

求如下：

本部OSPF進程號為10，規(guī)劃多區(qū)域；

區(qū)域0（S3、S4），區(qū)域1（S3，S4，S5）,區(qū)域2（S3，S4，EG1，

EG2），區(qū)域3（S4、R1）；

區(qū)域1為完全NSSA區(qū)域；

各分校RIP版本為RIP-2，取消自動聚合；

AP使用靜態(tài)路由協(xié)議；

本部與分校通過重分發(fā)引入彼此路由；

要求本部業(yè)務網段中不出現協(xié)議報文；

不允許重發(fā)布直連路由，Network方式發(fā)布本地明細路由；

為了管理方便，需要發(fā)布Loopback地址；

優(yōu)化OSPF相關配置，以盡量加快OSPF收斂；

重發(fā)布路由進OSPF中使用類型1；

不允許在R1設備使用靜態(tài)路由。

-20-

注意：S5需要重發(fā)布云平臺（/22）靜態(tài)路由至本部內

網。

6.廣域網鏈路配置與安全部署

本部路由器R1與東校區(qū)路由器R2、西校區(qū)路由器R3間屬于廣域

網鏈路，其中R1-R2間所租用一條帶寬為2M的線路，R1-R3間租用2

條帶寬均為2M的線路。本部路由器與分校路由器間屬于廣域網鏈路。

需要使用PPP進行安全保護，同時提高R1與R3的鏈路帶寬與簡化網

絡部署的目的，現要求如下：

使用CHAP協(xié)議；

單向認證，用戶名+驗證口令方式；

R1為認證服務端，R2、R3為認證客戶端；

用戶名和密碼均為ruijie；

R1與R3間使用PPP鏈路捆綁，捆綁組號為1。

考慮到廣域網線路安全性較差，所以需要使用IPSec對本部到各

分校的數據流進行加密。

要求使用動態(tài)隧道主模式，安全協(xié)議采用ah-esp協(xié)議，加密算法

采用3des，認證算法采用md5，以IKE方式建立IPsecSA。

在R1上所配置的參數要求如下：

ipsec加密轉換集名稱為myset；

動態(tài)ipsec加密圖名稱為dymymap；

預共享密鑰為明文123456；

靜態(tài)的ipsec加密圖mymap。

在R2和R3上所配置的參數要求如下：

ACL編號為101；

靜態(tài)的ipsec加密圖mymap；

預共享密鑰為明文123456。

7.路由選路部署

-21-

考慮到數據分流及負載均衡的目的，針對本部與各分校數據流走

向要求如下：

通過修改OSPF接口COST達到分流的目的，且其值必須為5或

10；

OSPF通過路由引入時改變引入路由的COST值，且其值必須為5

或10；

本部VLAN10，VLAN20，VLAN30用戶與互聯網互通主路徑規(guī)劃為：

S3-EG1；

本部VLAN40用戶與互聯網互通主路徑規(guī)劃為：S4-EG2；

各分校用戶與互聯網互通主路徑規(guī)劃為：S4-EG2；

云平臺服務器與互聯網互通主路徑規(guī)劃為S3-EG1；

主鏈路故障可無縫切換到備用鏈路上；

要求來回數據流路徑一致。

8.QoS部署

為了防止大量用戶不斷突發(fā)的數據導致網絡擁擠，必須對接入的

用戶流量加以限制。所配置的參數要求如下：

本部設備S1、S2的Gi0/1至Gi0/16接口出入方向設置接口限

速，限速10M/s；

各分校設備R2、R3做流量整形，G0/0接口對接收的報文進行流

量控制，上行報文流量不能超過1Mbps，如果超過流量限制則

將違規(guī)報文丟棄。

9.IPV6部署

S3、S4啟用IPV6網絡，實現VLAN10、VLAN20、VLAN30、VLAN40

的IPV6終端可自動從網關處獲取地址，并實現互聯互通資源

共享。地址規(guī)劃如下：

表1-12VRRPforIPV6參數表

設VRRP

接口IPV6地址虛擬IP

備