实验指导书模板.docx

- 1 -20182018 年全国职业院校技能大赛高职组年全国职业院校技能大赛高职组 河南省选拔赛河南省选拔赛计算机网络应用赛项计算机网络应用赛项样题样题- 2 -赛题说明赛题说明一、竞赛内容分布一、竞赛内容分布第一部分：网络配置与搭建环节 模块一：无线网络规划与实施（10%）模块二：设备基础信息配置（5%）模块三：网络搭建与网络冗余备份方案部署（20%）模块四：移动互联网搭建与网优（15%）模块五：出口安全防护与远程接入（10%）模块六：云计算服务搭建与企业应用（20%）第二部分：综合布线环节 模块七：综合布线规划与设计 （15%）第三部分：赛项规范与标准化 模块八：赛场规范和文档规范 （5%）二、竞赛时间二、竞赛时间竞赛时间为 240 分钟。三、竞赛注意事项三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。- 3 -3. 操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，不要拆动硬件连接。4. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，不得以任何形式体现参赛院校、工位号等信息。四、竞赛结果文件的提交四、竞赛结果文件的提交按照题目要求，提交符合模板的 WORD 文件和设备配置文件。- 4 -第一部分：网络规划与实施第一部分：网络规划与实施注意事项注意事项赛场提供一组云平台环境，已经安装好 JCOS 系统及导入虚拟机模板镜像（Windows Server 2008 R2 及 CentOS 7.0） 。JCOS 系统的 IP 地址为172.16.0.2。考生通过 WEB 页面登录到 JCOS 系统中，基于模板镜像建立虚拟机并对虚拟机中的操作系统进行相关网络服务配置。JCOS 系统的登录用户名和密码都是XX(现场提供)。Windows 操作系统的管理员和 CentOS 的 root 用户密码自己设定。考生在 PC 机上通过 SecureCRT 软件配置网络设备，软件已经安装在电脑中。 竞赛结果文件的制作请参考 U 盘“答题卡”文件夹中的 “交换路由无线网关设备配置答题卡.docx” 、 “云平台服务器配置答题卡.docx”和“无线网络勘测设计答题卡” 。请注意排版，文档排版得分将计入总成绩。设备及文档列表设备及文档列表本竞赛中所使用的网络设备及线缆如下表所示：表 1-1 设备及线缆列表序号序号类别类别设备设备厂商厂商型号型号数量数量1硬件出口网关锐捷RG-EG20002 台2硬件路由器锐捷RG-RSR20-14E（LAB）3 台3硬件串口接口模块锐捷RG-SIC-1HS6 个4硬件串口线缆锐捷CAB-V.35DTE-V.35DCE3 条5硬件数据中心交换机锐捷RG-S6000C-48GT4XS-E2 台6硬件电源模块锐捷RG-PA70I2 台7硬件VSU 堆叠电缆锐捷XG-SFP-CU1M2 条8硬件三层交换机锐捷RG-S5750-24GT4XS-L3 台9硬件二层接入交换机锐捷RG-S2910-24GT4XS-E2 台10硬件无线控制器锐捷RG-WS60082 台11硬件服务器品牌服务器2 台12软件软件锐捷JCOS1 套13硬件无线 AP锐捷RG-AP5203 台14硬件电源适配器锐捷RG-E-1203 个- 5 -本竞赛中使用的设备参考资料如下表所示：表 1-2 文档列表序号序号名称名称位置位置1RG-RSR20-14 系列由器配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”2RG-S5750 系列交换机配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”3RG-S6000E 系列交换机配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”4RG-S2910 系列交换机配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”5RG-AC 系列无线控制器配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”6RG-AP 系列无线接入点配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”7RG-EG2000 系列出口网关配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”8RG-JCOS 系列配置手册.pdfPC 机桌面上的“竞赛资料网 络应用参考文档”模块一：无线网络规划与实施模块一：无线网络规划与实施CII 网络公司租用一层商业楼作为办公使用，考虑到是短期租用，公司信息部建议通过部署无线来实现网络接入，用于购置无线设备的预算为 11 万元。1.1. 业务背景及需求：业务背景及需求： 楼宇的相关信息如下：楼宇的相关信息如下：建筑使用说明：建筑使用说明：该楼宇为一栋办公大楼，主要提供公司员工办公、会议使用，目前公司租用大楼的其中一层。建筑现场情况：建筑现场情况：该楼层为室内无吊顶，且部署了门禁、电话等弱电系统，这些弱电系统采用了 PVC 线槽进行部署安装。建筑物弱电间情况建筑物弱电间情况: : 该楼宇有独立的弱电间，弱电间位于楼层最右侧，整层建筑的平面布局如图 1-1 所示。- 6 -Up副经理 室102办公室 104休息区 109弱电间 111办公区 11031000.00办公室 108办公室 107办公室 106办公室 105经理室 101办公室 10318000.004500.00 4500.00 4500.00 4500.0013000.006000.009000.0031000.004500.007600.004500.004500.00备注： 墙体厚度：200mm 层高：3000mm 长：31000mm 宽：18000mm18000.003600.003600.003600.003600.00图 1-1 平面布局图 无线产品的参数与价格无线产品的参数与价格表 1-3 无线产品及配件价格表产品型号产品型号产品特征产品特征传输速率传输速率（2.4G/2.4G/最大）最大）推荐推荐/ /最大带最大带点数点数功率功率价格（元）价格（元）AP330-I双频双流300M/1.167G32/256100mw7000AP110-w单频单流150M8/2660mw3000S2928G-24P24 口 POE交换机N/AN/A240w20000WS6008无线控制器6*1000M32/22440w50000 网络系统集成物料清单网络系统集成物料清单表 1-4 综合布线工程材料清单- 7 -2.2. 无无线线业业务务规规划划 无线地勘部分无线地勘部分客户已提供建筑平面布局图，根据项目预算（设备经费）和公司场地进行 AP 的规划与设计，通过无线地勘软件进行 AP 点位设计，并确保公司整层无线信号全覆盖（厕所、楼梯间和电梯区域无须覆盖） 、同时进行无线信道规划，输出公司无线 AP 点位布置图、无线热图、设备清单。建筑平面布局图如下图。产品名称产品名称规格规格单位单位Cat5e 网络配线架24 口、1U个理线架1U个20mm*10mm*2.8m条25mm*12.5mm*2.8m条30mm*16mm*2.8m条39mm*18mm*2.8m条PVC 线槽50mm*25mm*2.8m条PVC 线槽底盒标准个PVC 暗盒标准个16mm*2.8m条20mm*2.8m条PVC 线管25mm*2.8m条50mm*25mm米 金属桥架 60mm*22mm米Cat5e 网线305 米/箱箱Cat5e 水晶头100 个/盒盒6U个机柜 12U个- 8 -Up副经理 室102办公室 104休息区 109弱电间 111办公区 11031000.00办公室 108办公室 107办公室 106办公室 105经理室 101办公室 10318000.004500.00 4500.00 4500.00 4500.0013000.006000.009000.0031000.004500.007600.004500.004500.00备注： 墙体厚度：200mm 层高：3000mm 长：31000mm 宽：18000mm18000.003600.003600.003600.003600.001）在建筑平面图的基础上绘制 AP 点位图（包括：AP 型号、AP编号、AP 信道等信息。信道规划统一使用 1、6、11） 。参考示意图如下图：27000mm2200mm3100mm3100mm3100mm3100mm7000mm弱 电 间6000mm4700mm1500mm向上3100mm101办公室1950mm102办公室103办公室104办公室105办公室106办公室WallWallWallWallWall放装AP110-101-1 信道1AP110-102-1 信道6AP110-103-1 信道11AP110-104-1 信道1AP110-105-1 信道6AP330-106-1 信道112）根据 AP 点位图输出 AP 热图（通过无线地勘软件） 。参考示意图如下图：- 9 -3）输出该无线网络工程项目设备的预算表，表如下所示：表 1-5 设备清单表 设备型号设备型号单价单价数量数量总价总价项目总预算 网络系统集成工勘网络系统集成工勘根据地勘确定的 AP 点位和机柜安装位置，输出工勘图纸、系统集成物料清单。考核点如下：1）根据无线 AP 点位图和建筑物现场环境输出该无线网络的水平布线图（vsd 格式） ，在进行综合布线型材选型中，根据 GB50311-2007 要求， “线槽/管”截面利用率不能高于 30%且“线槽/管”规格选择最小规格。参考示意图如下图：- 10 -27000mm2200mm3100mm3100mm3100mm3100mm7000mm备注： 1、墙高：300cm 2、门宽度：90cm、高度：200cm 3、窗户：90*150cm弱 电 间6000mm4700mm向上3100mm101办公室1950mm102办公室103办公室104办公室105办公室106办公室图例：比例尺：1:1006条Cat5e30*16 PVC线槽 20*10 PVC线槽 配线间7000mm3000mm500mm西面视图 （适用于106）南面视图 （适用于101105）放装AP Wall AP西面3100mm3000mm 500mm300mm1500mm线槽入口2000mm线槽入口南面2）根据设备信息绘制机房机柜安装示意图（vsd 格式） 。参考示意图如下图：AC6008理线架理线架W1S1D16543211224FD11 12 23 34 45 56 67 78 89 91 10 01 11 11 13 31 12 21 14 41 15 51 16 61 17 71 19 91 18 82 20 02 21 12 22 22 23 32 24 43）输出机柜上网络配线架的标签（从左到右） ，如表 1-6 所示。表 1-6 数据配线架标签表4）工程物料清单网络配线架标签表 123456789101112131415161718192021222324- 11 -根据无线网络的水平布线图，按平均值法输出系统集成物料清单，如表 1-7 所示。表 1-7 物料清单表提交竞赛结果文件（模块一）制作竞赛结果文件：严格按照 “无线网络规划与实施答题卡.docx”文档格式要求制作输出竞赛结果文件。考生将“无线网络规划与实施答题卡.docx”保存到桌面上，并且拷贝到 U 盘上的“提交文档”目录下然后提交给现场工作人员。注意：考生在 U 盘中所提交的文件是竞赛结果的唯一依据，请考生一定确保文件确实有效，能够正常读取。如有疑问，可咨询现场工作人员。物料名称单位数量- 12 -赛题背景赛题背景CII 网络公司业务不断发展壮大，在亚太地区建立了分部。为了更好地促进分部业务的发展以及与总部的交流，需要进行分部信息化建设。同时为了更好管理数据，提供服务，公司决定建立自己的小型数据中心及云计算服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。同时考虑员工移动办公的需求在总部及所有分部有线网络的基础上建设无线网络，另外为员工访问互联网申请独立的运营商线路避免访问互联网数据过多影响正常业务数据的交互，同时针对访问互联网数据进行身份认证与信息审计确保用网安全。模块二：设备基础信息配置模块二：设备基础信息配置1 1、设备命名规范和设备的基础信息、设备命名规范和设备的基础信息 根据总体规划内容，将所有的设备根据命名规则修订设备名称 依据设备的总体规划物理连接表，配置设备的接口描述信息 2 2、密码恢复和软件版本统一、密码恢复和软件版本统一 将分部接入交换机和总部接入交换机 S1 和 S7 做密码恢复，新的密码设置为 ruijie 总部和分部的接入交换机 S1 和 S7 软件版本统一 因为项目需求，为了满足一个新增的功能产商发布了无线 AP 的专属的软件版本，满足软件版本的一致性，请将总部和分布的无线 AP 统一版本至 AP_RGOS 11.1(5)B81P3。 3 3、网络设备安全技术、网络设备安全技术- 13 - 为路由器和无线控制器开启 SSH 服务端功能，用户名和密码为 ruijie，密码为明文类型，特权密码为 ruijie。 为交换机开启 Telnet 功能，对所有 Telnet 用户采用本地认证的方式。创建本地用户，设定用户名和密码为ruijie，密码为明文类型，特权密码为 ruijie。 配置所有设备 SNMP 消息，版本采用 V2C，读写的Community 为“ruijie” ，只读的 Community 为“public” ，开启 Trap 消息。模块三：模块三：网络搭建与网络冗余备份方案部署网络搭建与网络冗余备份方案部署CII 网络公司总部设有研发、市场、供应链、售后等 4 个部门，统一进行 IP 地址及业务资源的规划和分配。公司总部及亚太地区的网络拓扑结构如图 1-2 所示。其中两台 S6000 交换机编号为 S4、S5，用于服务器高速接入；两台 S5750 编号为 S2、S3，作为总部的核心交换机；两台 RSR20 路由器编号为 R2、R3，作为总部的核心路由器，一台 EG2000 编号为 EG1，作为总部互联网出口网关 1。一台 S2910 编号为 S1，作为总部接入交换机；一台 RSR20 路由器编号为 R1，作为分支机构路由器，一台EG2000 编号为 EG2，作为分部互联网出口网关 2。一台 S5750 编号为S6 作为分部核心交换机，一台 S2910 编号为 S7，作为分部接入交换机。3 台 AP520 编号为 AP1，AP2，AP3 分别作为总部与分部的无线接入点。- 14 -R2R3S2S3S1S4S5S6R1AC1AC2AP1AP2PC1PC2PC3AP3AG分部C Cl lo ou ud dS7EG1EG2总部数据中心图 1-2 网络拓扑结构图请根据拓扑图及网络物理连接表完成设备的连线。设备互联规范主要对各种网络设备的互联进行规范定义，在项目实施中，如用户无特殊要求，应根据规范要求进行各级网络设备的互联，统一现场设备互联界面，结合规范的线缆标签使用，使网络结构清晰明了，方便后续的维护。如下“表 1-8 网络物理连接表” 。表 1-8 网络物理连接表 源设备 名称设备接口接口描述目标设备名称设备接口S1Gi0/1Con_To_PC1PC1 S1Gi0/5Con_To_PC2PC2 S1Gi0/21Con_To_AP1AP1 S1Gi0/22Con_To_AP2AP2 S1Gi0/23Con_To_S2_Gi0/1S2Gi0/1 S1Gi0/24Con_To_S3_Gi0/1S3Gi0/1 S2Gi0/1Con_To_S1_Gi0/23S1Gi0/23 S2Gi0/2Con_To_S3_Gi0/2S3Gi0/2 S2Gi0/3Con_To_S3_Gi0/3S3Gi0/3- 15 -S2Gi0/4Con_To_R2_Gi0/0R2Gi0/0 S2Gi0/5Con_To_AC1_Gi0/1AC1Gi0/1 S3Gi0/1Con_To_S1_Gi0/24S1Gi0/24 S3Gi0/2Con_To_S2_Gi0/2S2Gi0/2 S3Gi0/3Con_To_S2_Gi0/3S2Gi0/3 S3Gi0/4Con_To_R3_Gi0/0R3Gi0/0 S3Gi0/5Con_To_AC2_Gi0/1AC2Gi0/1 R2FA1/1Con_To_S4_Gi0/1S4Gi0/1 R2Gi0/0Con_To_S2_Gi0/4S2Gi0/4 R2Gi0/1Con_To_EG1_Gi0/0EG1Gi0/0 R2S2/0Con_To_R1_S2/0R1S2/0 R2S3/0Con_To_R3_S3/0R3S3/0 R3FA1/1Con_To_S5_Gi0/1S5Gi0/1 R3Gi0/0Con_To_S3_Gi0/4S3Gi0/4 R3Gi0/1Con_To_EG1_Gi0/1EG1Gi0/1 R3S2/0Con_To_R1_S3/0R1S3/0 R3S3/0Con_To_R2_S3/0R2S3/0 S4Gi0/1Con_To_R2_FA1/1R2FA1/1 S4Gi0/2Con_To_S5_Gi0/2S5Gi0/2 S4Gi0/5Con_To_Cloud_M云平台(主用)S4Te0/49 S5Te0/49 S4Te0/50 S5Te0/50 S5Gi0/1Con_To_R3_FA1/1R3FA1/1 S5Gi0/2Con_To_S4_Gi0/2S4Gi0/2 S5Gi0/5Con_To_Cloud_B云平台（备用）S5Te0/49 S4Te0/49 S5Te0/50 S4Te0/50 R1S2/0Con_To_R2_S2/0R2S2/0 R1S3/0Con_To_R3_S2/0R3S2/0 R1Gi0/0Con_To_S6_Gi0/1S6Gi0/1 R1Gi0/1Con_To_EG2_Gi0/0EG2Gi0/0 S6Gi0/1Con_To_R1_Gi0/0R1Gi0/0 S6Gi0/2Con_To_AP3_Gi0/0AP3Gi0/0 S6Gi0/3Con_To_S7_Gi0/24S7Gi0/24 S7Gi0/1Con_To_PC3PC3 S7Gi0/24Con_To_S6_Gi0/3S6Gi0/3 EG1GI0/0Con_To_R2_Gi0/1R2Gi0/1 EG1GI0/1Con_To_R3_Gi0/1R3Gi0/1 EG1GI0/2Con_To_EG2_Gi0/2EG2GI0/2 EG2GI0/0Con_To_R1_Gi0/1R1Gi0/1 EG2GI0/2Con_To_EG1_Gi0/2EG1GI0/2- 16 -公司有 4 个不同业务部门和分部，彼此间需要互联互通，同时也需要对某些业务进行互访限制。另外，各业务对网络可靠性要求较高，要求网络核心区域发生故障时的中断时间尽可能短。还有，网络部署时要考虑到网络的可管理性，并合理利用网络资源。 1.1. 虚拟局域网及虚拟局域网及 IPv4IPv4 地址部署地址部署为了减少广播，需要规划并配置 VLAN。具体要求如下： 配置合理，Trunk 链路上不允许不必要 VLAN 的数据流通过。 为节省 IP 资源，隔离广播风暴、病毒攻击，控制端口二层互访，在分部 S6、S7 交换机使用 Private Vlan。 为隔离网络中部分终端用户间的二层互访，在交换机 S1 上使用端口保护。根据上述信息及表 1-9、表 1-10，在各设备上完成 VLAN 配置和端口分配以及 IPv4 地址。表 1-9 网络设备名称表拓扑图中设备名称配置主机名（hostname 名） S1ZB-S2910-01 S2ZB-S5750-01 S3ZB-S5750-02 S4ZB-VSU-S6000 S5ZB-VSU-S6000 S6FB-S5750-01 S7FB-2910-01 R1FB-RSR20-01 R2ZB-RSR20-01 R3ZB-RSR20-02 AC1ZB-WS6008-01 AC2ZB-WS6008-02 EG1ZB-EG2000-01 EG2FB-EG2000-01 AP1ZB-AP520-01 AP2ZB-AP520-02 AP3FB-AP520-01表 1-10 IPv4 地址分配表设接口或 VLANVLAN 名称二层或三层规划(XX(XX 代代说明- 17 -备表工位号表工位号) ) VLAN10ResGi0/1 至 Gi0/4研发 VLAN20SalesGi0/5 至 Gi0/8市场 VLAN30SupplyGi0/9 至 Gi0/12供应链 VLAN40ServiceGi0/13 至 Gi0/16售后 VLAN50APGi0/21 至 Gi0/22无线 APS1VLAN100Manage192.XX.100.4/24设备管理 VLAN VLAN10Res192.XX.10.252/24研发 VLAN20Sales192.XX.20.252/24市场 VLAN30Supply192.XX.30.252/24供应链 VLAN40Service192.XX.40.252/24售后 VLAN50AP192.XX.50.252/24无线 APVLAN100Manage192.XX.100.252/24设备管理 VLAN Gi0/4 10.XX.0.1/30 Gi0/5 TRUNK互联 ACS2LoopBack 0 11.XX.0.202/32 VLAN10Res192.XX.10.253/24研发 VLAN20Sales192.XX.20.253/24市场 VLAN30Supply192.XX.30.253/24供应链 VLAN40Service192.XX.40.253/24售后 VLAN50AP192.XX.50.253/24无线 APVLAN100Manage192.XX.100.253/24设备管理 VLAN Gi0/4 10.XX.0.5/30 Gi0/5 TRUNK互联 ACS3LoopBack 0 11.XX.0.203/32 LoopBack 0 11.XX.0.204/32 VLAN60Wiressless192.XX.60.252/24无线用户AC1 Vlan100Manage192.XX.100.2/24管理与互 联 VLAN LoopBack 0 11.XX.0.205/32 VLAN60Wiressless192.XX.60.253/24无线用户AC2 Vlan100Manage192.XX.100.3/24管理与互 联 VLANVLAN100Con_To_Cloud193.XX.0.1/30互联云平 台 Gi0/1 10.XX.0.9/30 S4LoopBack 0 11.XX.0.45/32 VLAN100Con_To_Cloud193.XX.0.1/30互联云平 台(备用)S5 Gi0/1 10.XX.0.13/30 - 18 -LoopBack 0 11.XX.0.45/32 GI0/2 195.XX.0.1/24与 EG2 互 联 GI0/0 10.XX.0.34/30 GI0/1 10.XX.0.38/30 EG1LoopBack 0 11.XX.0.11/32 GI0/2 195.XX.0.2/24与 EG1 互 联 GI0/0 10.XX.0.42/30 EG2LoopBack 0 11.XX.0.12/32 S2/0 10.XX.0.17/30 S3/0 10.XX.0.21/30 Gi0/0 10.XX.0.25/30 Gi0/1 10.XX.0.41/30 R1LoopBack 0 11.XX.0.1/32 Gi0/0 10.XX.0.2/30 FA1/1(vlan100) 10.XX.0.10/30SVI 接口互 联 Gi0/1 10.XX.0.33/30 S2/0 10.XX.0.18/30 S3/0 10.XX.0.29/30 R2LoopBack 0 11.XX.0.2/32 Gi0/0 10.XX.0.6/30 FA1/1(vlan100) 10.XX.0.14/30SVI 接口互 联 Gi0/1 10.XX.0.37/30 S2/0 10.XX.0.22/30 S3/0 10.XX.0.30/30 R3LoopBack 0 11.XX.0.3/32 Gi0/1 10.XX.0.26/30 VLAN10Pvlan194.XX.10.254/24分部有线 用户VLAN20Wireless_user194.XX.20.254/24分部无线 用户VLAN30AP194.XX.30.254/24分部无线 APVLAN100Manage194.XX.100.254/24设备管理 VLANS6LoopBack 0 11.XX.0.6/32 VLAN10Pvlan Primaty vlanS7 VLAN11Community_vlanGi0/1 至 Gi0/4community vlan- 19 -VLAN12Isolated_vlanGi0/5 至 Gi0/8isolated vlanVLAN100Manage194.XX.100.1/24设备管理 VLAN PC1 自动获取PC2 192.XX.20.2/24 PC 机PC3 194.XX.10.2/24 2.2. MSTPMSTP 及及 VRRPVRRP 部署部署在总部交换机 S2、S3 上配置 MSTP 防止二层环路；要求所有数据流经过 S2 转发，S2 失效时经过 S3 转发。所配置的参数要求如下： region-name 为 ruijie； revision 版本为 1； 实例值为 1； S2 作为实例中的主根， S3 作为实例中的从根。 在 S2 和 S3 上配置 VRRP，实现主机的网关冗余。所配置的参数要求如表 1-11。表 1-11 S2 和 S3 的 VRRP 参数表VLANVRRP 备份组号（VRID）VRRP 虚拟 IP VLAN1010192.xx.10.254 VLAN2020192.xx.20.254 VLAN3030192.xx.30.254 VLAN4040192.xx.40.254 VLAN5050192.xx.50.254 VLAN100(交换机间)100192.xx.100.254 S2 作为所有主机的实际网关，S3 作为所有主机的备份网关；其中各 VRRP 组中高优先级设置为 150，低优先级设置为120。3.3. DHCPDHCP 中继与安全中继与安全在交换机 S2、S3 上配置 DHCP 中继，对 VLAN10 以内的用户进行中继，使得总部 PC1 用户使用 DHCP Relay 方式获取 IP 地址。具体要求如下： DHCP 服务器搭建于 R2 上；- 20 - 为了防止 DHCP 服务器欺骗及用户私设静态 IP 地址，在 S1 交换机部署 DHCP Snooping 功能。4.4. 网络设备虚拟化网络设备虚拟化两台核心交换机通过 VSU 虚拟化为一台设备进行管理，从而实现高可靠性。当任意交换机或板卡故障时，都能保障能够实现设备、链路切换，保护客户业务。 规划 S4 和 S5 间的 Te0/49-50 端口作为 VSL 链路，使用 VSU技术实现网络设备虚拟化。其中 S4 为主，S5 为备； 规划 S4 和 S5 间的 Gi0/2 端口作为双主机检测链路，配置基于 BFD 的双主机检，当 VSL 的所有物理链路都异常断开时，备机会切换成主机，从而保障网络正常； 主设备：Domain id：1,switch id:1,priority 200； 备设备：Domain id：1,switch id:2,priority 150；5.5. 路由协议部署路由协议部署因历史原因，总部使用静态路由、OSPF 多协议组网。其中S2、S3、S4、S5、R2、R3 使用 OSPF 协议，R2、R3 与总部出口网关及分部 R1 间使用静态路由协议，分部使用静态路由协议。要求网络具有安全性、稳定性。具体要求如下： OSPF 进程号为 10，规划多区域 0（S2、S3、R2、R3） 、区域1（S4、S5、R2、R3） ； R2、R3 互联链路规划入区域 0； 要求业务网段中不出现协议报文； 要求所有路由协议都发布具体网段； 为了管理方便，需要发布 Loopback 地址; 优化 OSPF 相关配置，以尽量加快 OSPF 收敛； 重发布路由进 OSPF 中使用类型 1； 采用浮动静态路由，主静态路由优先级为 10，备份静态路由优先级为 100。- 21 -注意：(S4/S5 需要重发布云平台（172.16.0.0/22）静态路由至总部内网)。6.6. 广域网链路配置与安全部署广域网链路配置与安全部署总部路由器与分部路由器间属于广域网链路，其中 R1-R2 间所租用线路带宽为 2M，R1-R3 间所租用线路带宽为 1M。R2-R3 间线路带宽为 2M。总部路由器与分部路由器间属于广域网链路。需要使用 PPP 进行安全保护。PPP 的具体要求如下： 使用 CHAP 协议； 单向认证，用户名+验证口令方式，R1 为认证客户端，R2、R3为认证服务端； 用户名和密码均为 ruijie。7.7. 路由选路部署路由选路部署 考虑到从分部到总部有两条广域网线路，且其带宽不一样。所以规划 R1-R2 间为主线路，R1-R3 间为备线路。另外总部局域网到互联网数据，经规划 R2-EG1 为主线路，R3-EG1 为备线路。根据以上需求，在路由器上进行合理的路由协议配置。具体要求如下： 修改链路或接口开销 COST 值，且其值必须为 5 或 10； 总部用户区与互联网互通主路径规划为：S1-S2-R2-EG1; 总部与分部互通主路径为：S1-S2-R2-R1 或（S4/S5）-R2-R1； 主链路故障可无缝切换到备用链路上； 要求来回数据流一致。8.8. PBRPBR 配置与部署配置与部署 考虑到分部到总部间有 2 条广域网线路，为合理利用带宽，规划从分部去往总部的 SSH 数据通过 R1-R2 的线路转发，从分部去往总部的 WEB 数据通过 R1-R3 的线路转发。为达到上述目的，采用 PBR 来实现。具体要求如下： Route-map 策略名为 fenliu； 分部去往总部的 SSH 数据由 ACL101 来定义；- 22 - 分部去往总部的 WEB 数据由 ACL102 来定义。9.9. QoSQoS 部署部署为了防止大量用户不断突发的数据导致网络拥挤，必须对接入的用户流量加以限制。所配置的参数要求如下 总部设备 S1 的 Gi0/1 至 Gi0/16 接口处方向设置接口限速，限速 10M/S； 分部设备 R1 做流量监管，G0/0 接口对接收的报文进行流量控制，下行报文流量不能超过 1Mbps，如果超过流量限制则将违规报文丢弃。- 23 -模块四：模块四：移动互联网搭建与网优移动互联网搭建与网优为满足“互联网+”时代下，员工移动办公的发展趋势，公司总部与分部均需要规划和部署移动互联无线网络，同时为保证无线用户安全、可靠的访问互联网，我们需要进行无线网络安全及性能优化配置，确保员工有良好的上网体验。1.1. 无线网络基础部署无线网络基础部署 使用 AC 为总部无线用户 DHCP 服务器，使用（S2/S3）为总部AP 的 DHCP 服务器,S2 分配地址范围为其网段的 1 至 100，S3分配地址为其网段的 101 至 200。使用 S6 为分部无线用户与AP DHCP 服务器，为其终端自动分配地址； 创建总部 SSID 为 Ruijie-ZB_XX(XX 代表工位号)，AP-Group为 ZB，总部无线用户关联 SSID 后可自动获取地址； 创建分部 SSID 为 Ruijie-FB_XX(XX 代表工位号)，AP-Group为 FB,分部无线用户关联 SSID 后可自动获取地址； 调整信道使得总部 AP 间信道不冲突。2.2. ACAC 热备部署热备部署 AC1 为主用，AC2 为备用。AP 与 AC1、AC2 均建立隧道，当 AP与 AC1 失去连接时能无缝切换至 AC2 并提供服务。3.3. 无线安全部署无线安全部署具体配置参数如下： 无线用户接入无线网络时需要采用基于 WPA2 加密方式，其口令为 XXX(现场提供)； 为避免无线网络被非法用户通过 SSID 搜索到，并建立非法连接，需要禁用 AP 广播 SSID，隐藏无线 SSID；4.4. 无线性能优化无线性能优化 关闭低速率（1M,6M）应用接入； 设备总部无线用户启用集中转发模式，各分公司无线用户启用本地转发模式。 24模块五：模块五：出口安全防护与远程接入出口安全防护与远程接入公司总部与分部无线用户需要通过独立的互联网线路访问外网资源，同时针对访问资源进行用户身份认证与信息审计监督，另外满足出差在外的员工可以访问总部内部服务器资源，需针对出口用户提供远程 VPN 功能。1.1. 出口出口 NATNAT 部署部署具体配置参数如下： 总部与分部出口网关上配置访问控制列表 ACL 110，仅允许无线用户与研发部门在周一到周五的上班时间通过 NAPT 访问互联网，NAPT 映射到互联网接口上； 在总部 EG 上配置，使公司总部核心交换 R2（11.XX.0.2）(XX代表工位号)设备的 SSH 服务可以通过互联网被访问，从互联网访问的地址是 195.XX.0.20(XX 代表工位号)。2.2. WebWeb PortalPortal 用户认证部署用户认证部署 在总部网关上启用 Web Portal 认证服务，并创建user1、user2; 设置免认证资源 http:/195.XX.0.20(XX 代表工位号)。3.3. 应用流量控制部署应用流量控制部署 针对访问外网 FTP 流量限速每用户 5000Kbps，内网 ftp 总流量不超过 100M。4.4. 用户行为策略部署用户行为策略部署 禁止总部内网用户通过浏览器访问 http:/195.XX.0.2(XX 代表工位号); 禁止总部内网用户下载后缀是.mp3 类型的文件； 内网 user1、user2 访问互联网资源免审计。5.5. VPNVPN 部署部署 分部 R1 至 R2、R3 两条专线均发生故障时确保分部可正常访问总部服务器区，要求在总部与分部 EG 上启用 IPSEC VPN 建立25IPSEC 隧道，实现总部与分部有线用户数据互通及加密处理。VPN 需要采用隧道模式、预共享密码为 123456，加密认证方式为 ESP-DES、ESP-HASH-MD5 ，DH 使用组 1，与此同时总部关闭 WEB 认证功能。6.6. 设备与网络管理部署设备与网络管理部署 为路由器开启 SSH 服务端功能，用户名和密码为 admin，密码为明文类型； 为交换机开启 Telnet 功能，对所有 Telnet 用户采用本地认证的方式。创建本地用户，设定用户名和密码为 admin，密码为明文类型。提交竞赛结果文件（模块二、模块三、模块四）制作竞赛结果文件：严格按照 “交换路由无线网关设备配置答题卡.docx”文档格式要求制作输出竞赛结果文件。同时在每台设备上使用 show running-config 命令，将该命令下显示的结果分别保存到独立的 TXT 文件中，文件名以设备编号命名（S1、S2、S3、(S4/S5)、S6、S7、R1、R2、R3、A