2022年全省職業(yè)院校網(wǎng)絡(luò)搭建與應(yīng)用項(xiàng)目樣題

2022年江西省職業(yè)院校技能大賽網(wǎng)絡(luò)搭建與應(yīng)用賽項(xiàng)正式賽卷

操作題總分900分，競賽時(shí)長3.5小時(shí)

競賽說明：

1.禁止攜帶和使用移動存儲設(shè)備、計(jì)算器、通信工具及參考資料。

2.請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件及文檔清單、材料清單

是否齊全，計(jì)算機(jī)設(shè)備是否能正常使用。

3.請參賽選手仔細(xì)閱讀賽卷，按照要求完成各項(xiàng)操作。

4.操作過程中，需要及時(shí)保存配置。

5.比賽結(jié)束后，所有設(shè)備保持運(yùn)行狀態(tài)，評判以最后的硬件連接和提交文檔為最終結(jié)

果。禁止將比賽所用的所有物品（包括賽卷）帶離賽場。

6.禁止在紙質(zhì)資料、比賽設(shè)備和電腦桌上作任何與競賽無關(guān)的標(biāo)記，如違反規(guī)定，可

視為0分。

7.與比賽相關(guān)的軟件和文檔存放在物理機(jī)的D:\soft文件夾中。

8.請?jiān)谖锢頇C(jī)PC1桌面上新建“XXX”文件夾作為“選手目錄”（XXX為賽位號。舉

例：1號賽位，文件夾名稱為“001”），按照“網(wǎng)絡(luò)搭建及安全部署競賽結(jié)果提交指

南.txt”保存要求生成的全部結(jié)果文檔，將生成的文檔復(fù)制到“選手目錄”。

網(wǎng)絡(luò)搭建及安全部署項(xiàng)目

項(xiàng)目簡介:

某集團(tuán)公司原在北京建立了總公司，后在成都建立了分公司，又在廣東設(shè)立了辦事處。

集團(tuán)設(shè)有產(chǎn)品、營銷、法務(wù)、財(cái)務(wù)、人力5個(gè)部門，統(tǒng)一進(jìn)行IP及業(yè)務(wù)資源的規(guī)劃

和分配，全網(wǎng)采用OSPF、RIP、ISIS、BGP路由協(xié)議進(jìn)行互聯(lián)互通。

2022年在黨的堅(jiān)強(qiáng)領(lǐng)導(dǎo)下，全年公司規(guī)模保持快速增長，業(yè)務(wù)數(shù)據(jù)量和公司訪問量

增長巨大，不斷開創(chuàng)新局面，向著全面建成社會主義現(xiàn)代化強(qiáng)國的第二個(gè)百年奮斗目

標(biāo)邁進(jìn)。為了更好管理數(shù)據(jù)，提供服務(wù)，集團(tuán)決定在北京建立兩個(gè)數(shù)據(jù)中心，在貴州

建立異地災(zāi)備數(shù)據(jù)中心，以達(dá)到快速、可靠交換數(shù)據(jù)，增強(qiáng)業(yè)務(wù)部署彈性的目的，完

成向兩地三中心整體戰(zhàn)略架構(gòu)演進(jìn)，更好的服務(wù)于公司客戶。

集團(tuán)、分公司及辦事處的網(wǎng)絡(luò)結(jié)構(gòu)詳見拓?fù)鋱D。編號為SW1的設(shè)備作為集團(tuán)北京

1#DC核心交換機(jī)，編號為SW2的設(shè)備作為集團(tuán)北京2#DC核心交換機(jī)；編號為SW3的

設(shè)備作為貴州DC核心交換機(jī)；編號FW1的設(shè)備作為集團(tuán)互聯(lián)網(wǎng)出口防火墻；編號為

FW2的設(shè)備作為辦事處防火墻；編號為RT1的設(shè)備作為集團(tuán)核心路由器；編號為RT2

的設(shè)備作為分公司路由器；編號為AC1的設(shè)備作為分公司的有線無線智能一體化控制

器，通過與AP1配合實(shí)現(xiàn)分公司無線覆蓋。

注意：在此典型互聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)架構(gòu)中，作為IT網(wǎng)絡(luò)運(yùn)維人員，請根據(jù)拓?fù)錁?gòu)建完

整的系統(tǒng)環(huán)境，使整體網(wǎng)絡(luò)架構(gòu)具有良好的穩(wěn)定性、安全性、可擴(kuò)展性。

請完成所有服務(wù)配置后，從客戶端進(jìn)行測試，確保能正常訪問到相應(yīng)應(yīng)用。網(wǎng)絡(luò)拓?fù)?

2/27

表1-網(wǎng)絡(luò)設(shè)備連接表

A設(shè)備連接至B設(shè)備

設(shè)備名稱接口設(shè)備名稱接口

SW1E1/0/21FW1E0/1

SW1E1/0/22SW3E1/0/21

SW1E1/0/23二層SW3E1/0/23二層

SW1E1/0/26三層SW2E1/0/26三層

3/27

SW1E1/0/27VPNSW2E1/0/27VPN

SW1E1/0/28二層SW2E1/0/28二層

SW1E1/0/1PC1NIC

SW2E1/0/21RT1G0/1

SW2E1/0/22SW3E1/0/22

SW2E1/0/23二層SW3E1/0/24二層

SW3模擬辦事處E1/0/11模擬產(chǎn)品PC

SW3模擬辦事處E1/0/12模擬營銷PC

SW3模擬辦事處E1/0/15FW2E0/1

SW3模擬InternetE1/0/17FW1E0/3

SW3模擬InternetE1/0/18RT2G0/3

RT1G0/0RT2G0/0

RT1S1/0RT2S1/1

RT1S1/1RT2S1/0

RT1G0/2FW1E0/2

RT1G0/3FW2E0/2

RT2G0/1AC1E1/0/1

AC1E1/0/3AP1ETH

AC1E1/0/4vlan110PC2NIC

SW2E1/0/11云平臺Eth1

SW2E1/0/12云平臺Eth2

表2-網(wǎng)絡(luò)設(shè)備IP地址分配表

4/27

設(shè)備名稱設(shè)備接口IP地址

/32

loopback1ospfv2ospfv3bgp

2001:10:10:1::1/128

/32

loopback2

2001:10:10:1::2/128

/24

vlan10

2001:10:10:11::1/64

/24

vlan20

2001:10:10:12::1/64

/24

vlan30

2001:10:10:13::1/64

/24

SW1vlan40

2001:10:10:14::1/64

/24

vlan50

2001:10:10:15::1/64

/24

vlan60

2001:10:10:60::1/64

/24

vlan70

2001:10:10:70::1/64

/24

vlan80

2001:10:10:80::1/64

/24

vlan90

2001:10:10:90::1/64

5/27

vlan10214/30

vlan1022/30

vlan1026/30

vlan1027vpn/30

/32

loopback1ospfv2ospfv3bgp

2001:10:10:2::1/128

/32

loopback2

2001:10:10:2::2/128

SW2

/24

vlan10

2001:10:10:21::1/64

/24

vlan20

2001:10:10:22::1/64

設(shè)備名稱設(shè)備接口IP地址

/24

vlan30

2001:10:10:23::1/64

/24

vlan40

2001:10:10:24::1/64

/24

vlan50

2001:10:10:25::1/64

/24

vlan60

2001:10:10:60::2/64

vlan70/24

6/27

2001:10:10:70::2/64

/24

vlan80

2001:10:10:80::2/64

/24

vlan90

2001:10:10:90::2/64

vlan10212/30

vlan1022/30

vlan1026/30

vlan1027vpn/30

/32

loopback1ospfv2ospfv3bgp

2001:10:10:3::1/128

/24

vlan10

2001:10:10:31::1/64

/24

vlan20

2001:10:10:32::1/64

/24

SW3vlan30

2001:10:10:33::1/64

/24

vlan50

2001:10:10:35::1/64

/24

vlan60

2001:10:10:60::3/64

/24

vlan70

2001:10:10:70::3/64

7/27

/24

vlan80

2001:10:10:80::3/64

vlan90/24

設(shè)備名稱設(shè)備接口IP地址

2001:10:10:90::3/64

vlan1021/30

vlan10220/30

/32

loopback2

2001:10:10:3::2/128

/24

vlan110

SW3模擬2001:10:16:110::1/64

辦事處

/24

vlan120

2001:10:16:120::1/64

vlan10156/30

/32

loopback3

SW3模擬2001:200:200:3::3/128

Internetvlan1017/30

vlan1018/30

/32

loopback1ospfv2ospfv3bgpmpls

2001:10:10:4::1/128

RT1

/32

loopback2ripripng

2001:10:10:4::2/128

8/27

/32

loopback3isis

2001:10:10:4::3/128

/32

loopback4集團(tuán)與辦事處互聯(lián)

2001:10:10:4::4/128

/32

loopback5vpn財(cái)務(wù)

2001:10:10:4::5/128

g0/09/30

g0/11/30

g0/28/30

g0/35/30

s1/03/30

s1/17/30

/32

loopback1ospfv2ospfv3bgpmpls

2001:10:10:5::1/128

RT2/32

loopback2ripripng

2001:10:10:5::2/128

loopback3isis/32

設(shè)備名稱設(shè)備接口IP地址

2001:10:10:5::3/128

/32

loopback4ipsecvpn

2001:10:10:5::4/128

tunnel4ipsecvpn0/30

9/27

/32

loopback5vpn財(cái)務(wù)

2001:10:10:5::5/128

g0/00/30

g0/11/30

g0/3/30

s1/08/30

s1/14/30

/32

loopback1ospfv2ospfv3trust

2001:10:10:6::1/128

/32

loopback2ripripngtrust

2001:10:10:6::2/128

/32

loopback4ipsecvpntrust

2001:10:10:6::4/128

FW1

tunnel4ipsecvpnVPNHUB9/30

tunnel8sslvpnVPNHUB/24

e0/1trust3/30

e0/2trust7/30

e0/3untrust/30

/32

loopback1ospfv2ospfv3trust

2001:10:10:7::1/128

FW2e0/1trust5/30

e0/2dmz6/30

tunnel9l2tpvpnVPNHUB/24

10/27

/32

loopback1ospfv2ospfv3

2001:10:10:8::1/128

/32

loopback2ripripng

2001:10:10:8::2/128

AC1

/32

loopback3

2001:10:10:8::3/128

/24

vlan100無線管理

2001:10:17:100::1/64

設(shè)備名稱設(shè)備接口IP地址

/24

vlan110無線2.4G產(chǎn)品

2001:10:17:110::1/64

/24

vlan120無線5G營銷

2001:10:17:120::1/64

vlan10012/30

11/27

1.職業(yè)素養(yǎng)

1.整理賽位，工具、設(shè)備歸位，保持賽后整潔有序。

2.無因選手原因?qū)е略O(shè)備損壞。

3.恢復(fù)調(diào)試現(xiàn)場，保證網(wǎng)絡(luò)和系統(tǒng)安全運(yùn)行。

2.網(wǎng)絡(luò)連接

1．根據(jù)“圖1”的要求，截取適當(dāng)長度和數(shù)量的雙絞線，端接水晶頭，制作網(wǎng)絡(luò)線

纜，根據(jù)“表1”和“表2”進(jìn)行設(shè)備之間端口的互連，設(shè)備接口地址的配置。

3.交換配置

1.配置vlan，SW1、SW2、SW3、AC1的二層鏈路只允許相應(yīng)vlan通過。

設(shè)備vlan編號端口說明

vlan10E1/0/1產(chǎn)品1段

vlan20E1/0/2營銷1段

vlan30E1/0/3法務(wù)1段

vlan40E1/0/4財(cái)務(wù)1段

SW1vlan50E1/0/5人力1段

vlan60E1/0/6產(chǎn)品管理

vlan70E1/0/7產(chǎn)品研發(fā)

vlan80E1/0/8產(chǎn)品生產(chǎn)

vlan90E1/0/9產(chǎn)品支持

vlan10E1/0/1產(chǎn)品2段

SW2

vlan20E1/0/2營銷2段

12/27

vlan30E1/0/3法務(wù)2段

vlan40E1/0/4財(cái)務(wù)2段

vlan50E1/0/5人力2段

vlan60E1/0/6產(chǎn)品管理

vlan70E1/0/7產(chǎn)品研發(fā)

vlan80E1/0/8產(chǎn)品生產(chǎn)

vlan90E1/0/9產(chǎn)品支持

vlan10E1/0/1產(chǎn)品3段

vlan20E1/0/2營銷3段

vlan30E1/0/3法務(wù)3段

vlan50E1/0/5人力3段

SW3

vlan60E1/0/6產(chǎn)品管理

vlan70E1/0/7產(chǎn)品研發(fā)

vlan80E1/0/8產(chǎn)品生產(chǎn)

vlan90E1/0/9產(chǎn)品支持

2.SW1、SW2、SW3啟用MSTP，實(shí)現(xiàn)網(wǎng)絡(luò)二層負(fù)載均衡和冗余備份，創(chuàng)建實(shí)例

Instance10和Instance20，名稱為SKILLS，修訂版本為1，其中Instance10關(guān)聯(lián)

vlan60和vlan70，Instance20關(guān)聯(lián)vlan80和vlan90。SW1為Instance0和

Instance10的根交換機(jī)，為Instance20備份根交換機(jī)；SW2為Instance20根交換機(jī)，

為Instance0和Instance10的備份根交換機(jī)；根交換機(jī)STP優(yōu)先級為0，備份根交

換機(jī)STP優(yōu)先級為4096。關(guān)閉交換機(jī)之間三層互聯(lián)接口的STP。

3.SW1和SW2之間利用三條裸光纜實(shí)現(xiàn)互通，其中一條裸光纜承載三層IP業(yè)務(wù)、一

條裸光纜承載VPN業(yè)務(wù)、一條裸光纜承載二層業(yè)務(wù)。用相關(guān)技術(shù)分別實(shí)現(xiàn)財(cái)務(wù)1段、

財(cái)務(wù)2段業(yè)務(wù)路由表與其它業(yè)務(wù)路由表隔離，財(cái)務(wù)業(yè)務(wù)VPN實(shí)例名稱為CW。承載二

層業(yè)務(wù)的只有一條裸光纜通道，配置相關(guān)技術(shù)，方便后續(xù)鏈路擴(kuò)容與冗余備份，編號

為1，用LACP協(xié)議，SW1為active，SW2為active；采用源、目的IP進(jìn)行實(shí)現(xiàn)流量

負(fù)載分擔(dān)。

13/27

4.將SW3模擬為Internet交換機(jī)，實(shí)現(xiàn)與集團(tuán)其它業(yè)務(wù)路由表隔離，

Internet路由表VPN實(shí)例名稱為Internet。將SW3模擬辦事處交換機(jī)，實(shí)現(xiàn)與集團(tuán)

其它業(yè)務(wù)路由表隔離，辦事處路由表VPN實(shí)例名稱為Guangdong。

5.SW1法務(wù)物理接口限制收發(fā)數(shù)據(jù)占用的帶寬均為1000Mbps，限制所有報(bào)文最大收包

速率為1000packets/s，如果超過了配置交換機(jī)端口的報(bào)文最大收包速率則關(guān)閉此端

口，1分鐘后恢復(fù)此端口；啟用端口安全功能，最大安全MAC地址數(shù)為20，當(dāng)超過設(shè)

定MAC地址數(shù)量的最大值，不學(xué)習(xí)新的MAC、丟棄數(shù)據(jù)包、發(fā)snmptrap、同時(shí)在

syslog日志中記錄，端口的老化定時(shí)器到期后，在老化周期中沒有流量的部分表項(xiàng)

老化，有流量的部分依舊保留，恢復(fù)時(shí)間為10分鐘；禁止采用訪問控制列表，只允

許IP主機(jī)位為20-50的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)；禁止配置訪問控制列表，實(shí)現(xiàn)端口間二層

流量無法互通，組名稱FW。

7.SW1配置SNMP，引擎id分別為1；創(chuàng)建組GROUP2022，采用最高安全級別，配置組

的讀、寫視圖分別為：SKILLS_R、SKILLS_W；創(chuàng)建認(rèn)證用戶為USER2022，采用aes

算法進(jìn)行加密，密鑰為Pass-1234，哈希算法為sha，密鑰為Pass-1234；當(dāng)設(shè)備有

異常時(shí)，需要用本地的環(huán)回地址loopback1發(fā)送v3Trap消息至集團(tuán)網(wǎng)管服務(wù)器

9、2001:10:10:11::99，采用最高安全級別；當(dāng)法務(wù)部門對應(yīng)的用戶接口

發(fā)生UPDOWN事件時(shí)，禁止發(fā)送trap消息至上述集團(tuán)網(wǎng)管服務(wù)器。

10.SW1和SW2所有端口啟用鏈路層發(fā)現(xiàn)協(xié)議，更新報(bào)文發(fā)送時(shí)間間隔為20s，老化時(shí)

間乘法器值為5，Trap報(bào)文發(fā)送間隔為10s，配置三條裸光纜端口使能Trap功能。

4.路由配置

3.配置所有設(shè)備接口ipv4地址和ipv6地址，互聯(lián)接口ipv6地址用本地鏈路地址。

4.利用vrrpv2和vrrpv3技術(shù)實(shí)現(xiàn)vlan60、vlan70、vlan80、vlan90網(wǎng)關(guān)冗余備份，

vrrpid與vlanid相同。vrrpv2vip為10.10.vlanid.9（如vlan60的vrrpv2vip為

），vrrpv3vip為FE80:vlanid::9（如vlan60的vrrpv3vip為

FE80:60::9）。配置SW1為vlan60、vlan70的Master，SW2為vlan80、vlan90的

Master。要求vrrp組中高優(yōu)先級為120，低優(yōu)先級為默認(rèn)值，搶占模式為默認(rèn)值，

vrrpv2和vrrpv3發(fā)送通告報(bào)文時(shí)間間隔為默認(rèn)值。當(dāng)SW1或SW2上聯(lián)鏈路發(fā)生故障，

Master優(yōu)先級降低50。

6.SW1、SW2、SW3、RT1以太鏈路、RT2以太鏈路、FW1、FW2、AC1之間運(yùn)行OSPFv2

和OSPFv3協(xié)議（路由模式發(fā)布網(wǎng)絡(luò)用接口地址，BGP協(xié)議除外）。

(1)SW1、SW2、SW3、RT1、RT2、FW1之間OSPFv2和OSPFv3協(xié)議，進(jìn)程1，區(qū)域0，

分別發(fā)布loopback1地址路由和產(chǎn)品路由，F(xiàn)W1通告type2默認(rèn)路由。

(2)RT2與AC1之間運(yùn)行OSPFv2協(xié)議，進(jìn)程1，nssano-summary區(qū)域1；AC1發(fā)布

loopback1地址路由、產(chǎn)品和營銷路由，用prefix-list重發(fā)布loopback3。

14/27

(3)RT2與AC1之間運(yùn)行OSPFv3協(xié)議，進(jìn)程1，stubno-summary區(qū)域1；AC1發(fā)布

loopback1地址路由、產(chǎn)品和營銷。

(4)SW3模擬辦事處產(chǎn)品和營銷接口配置為loopback，模擬接口up。SW3模擬辦事處

與FW2之間運(yùn)行OSPFv2協(xié)議，進(jìn)程2，區(qū)域2，SW3模擬辦事處發(fā)布loopback2、產(chǎn)

品和營銷。SW3模擬辦事處配置ipv6默認(rèn)路由；FW2分別配置到SW3模擬辦事處

loopback2、產(chǎn)品和營銷的ipv6明細(xì)靜態(tài)路由，F(xiàn)W2重發(fā)布靜態(tài)路由到OSPFv3協(xié)議。

(5)RT1、FW2之間OSPFv2和OSPFv3協(xié)議，進(jìn)程2，區(qū)域2；RT1發(fā)布loopback4路由，

向該區(qū)域通告type1默認(rèn)路由；FW2發(fā)布loopback1路由，F(xiàn)W2禁止學(xué)習(xí)到集團(tuán)和分

公司的所有路由。RT1用prefix-list匹配FW2loopback1路由、SW3模擬辦事處

loopback2和產(chǎn)品路由、RT1與FW2直連ipv4路由，將這些路由重發(fā)布到區(qū)域0。

(6)修改ospfcost為100，實(shí)現(xiàn)SW1分別與RT2、FW2之間ipv4和ipv6互訪流量優(yōu)

先通過SW1_SW2_RT1鏈路轉(zhuǎn)發(fā)，SW2訪問Internetipv4和ipv6流量優(yōu)先通過

SW2_SW1_FW1鏈路轉(zhuǎn)發(fā)。

7.RT1串行鏈路、RT2串行鏈路、FW1、AC1之間分別運(yùn)行RIP和RIPng協(xié)議，F(xiàn)W1、

RT1、RT2的RIP和RIPng發(fā)布loopback2地址路由，AC1RIP發(fā)布loopback2地址路

由，AC1RIPng采用route-map匹配prefix-list重發(fā)布loopback2地址路由。RT1配

置offset值為3的路由策略，實(shí)現(xiàn)RT1-S1/0_RT2-S1/1為主鏈路，RT1-S1/1_RT2-

S1/0為備份鏈路，ipv4的ACL名稱為AclRIP，ipv6的ACL名稱為AclRIPng。RT1的

S1/0與RT2的S1/1之間采用chap雙向認(rèn)證，用戶名為對端設(shè)備名稱，密碼為Pass-

1234。

8.RT1以太鏈路、RT2以太鏈路之間運(yùn)行ISIS協(xié)議，進(jìn)程1，分別實(shí)現(xiàn)loopback3之

間ipv4互通和ipv6互通。RT1、RT2的NET分別為

10.0000.0000.0001.00、10.0000.0000.0002.00，路由器類型是Level-2，接口網(wǎng)絡(luò)

類型為點(diǎn)到點(diǎn)。配置域md5認(rèn)證和接口md5認(rèn)證，密碼均為Pass-1234。

9.RT2配置ipv4nat，實(shí)現(xiàn)AC1ipv4產(chǎn)品部門用RT2外網(wǎng)接口ipv4地址訪問

Internet。RT2配置nat64，實(shí)現(xiàn)AC1ipv6產(chǎn)品部門用RT2外網(wǎng)接口ipv4地址訪問

Internet，ipv4地址轉(zhuǎn)ipv6地址前綴為64:ff9b::/96。

10.SW1、SW2、SW3、RT1、RT2之間運(yùn)行BGP協(xié)議，SW1、SW2、RT1AS號65001、

RT2AS號65002、SW3AS號65003。

(1)SW1、SW2、SW3、RT1、RT2之間通過loopback1建立ipv4和ipv6BGP鄰居。SW1

和SW2之間財(cái)務(wù)通過loopback2建立ipv4BGP鄰居，SW1和SW2的loopback2互通采

用靜態(tài)路由。

(2)SW1、SW2、SW3、RT2分別只發(fā)布營銷、法務(wù)、財(cái)務(wù)、人力等ipv4和ipv6路由；

RT1發(fā)布辦事處營銷ipv4和ipv6路由到BGP。

(3)SW3營銷分別與SW1和SW2營銷ipv4和ipv6互訪優(yōu)先在SW3_SW1鏈路轉(zhuǎn)發(fā)；SW3

法務(wù)及人力分別與SW1和SW2法務(wù)及人力ipv4和ipv6互訪優(yōu)先在SW3_SW2鏈路轉(zhuǎn)發(fā)，

15/27

主備鏈路相互備份；用prefix-list、route-map和BGP路徑屬性進(jìn)行選路，新增

AS65000。

11.利用BGPMPLSVPN技術(shù)，RT1與RT2以太鏈路間運(yùn)行多協(xié)議標(biāo)簽交換、標(biāo)簽分發(fā)協(xié)

議。RT1與RT2間創(chuàng)建財(cái)務(wù)VPN實(shí)例，名稱為CW，RT1的RD值為1:1，exportrt值

為1:2，importrt值為2:1；RT2的RD值為2:2。通過兩端loopback1建立VPN鄰居，

分別實(shí)現(xiàn)兩端loopback5ipv4互通和ipv6互通。

5.無線配置

1.AC1loopback1ipv4和ipv6地址分別作為AC1的ipv4和ipv6管理地址。AP二層

自動注冊，AP采用MAC地址認(rèn)證。配置2個(gè)ssid，分別為SKILLS-2.4G和SKILLS-

5G。SKILLS-2.4G對應(yīng)vlan110，用network110和radio1（模式為n-only-g）,用戶

接入無線網(wǎng)絡(luò)時(shí)需要采用基于WPA-personal加密方式，密碼為Pass-1234。SKILLS-

5G對應(yīng)vlan120，用network120和radio2（模式為n-only-a），不需要認(rèn)證，隱藏

ssid，SKILLS-5G用倒數(shù)第一個(gè)可用VAP發(fā)送5G信號。

2.AC1配置dhcpv4和dhcpv6，分別為SW1產(chǎn)品1段vlan10和分公司vlan100、

vlan110和vlan120分配地址；ipv4地址池名稱分別為POOLv4-10、POOLv4-100、

POOLv4-110、POOLv4-120，ipv6地址池名稱分別為POOLv6-10、POOLv6-100、

POOLv6-110、POOLv6-120；ipv6地址池用網(wǎng)絡(luò)前綴表示；排除網(wǎng)關(guān)；DNS分別為

14和2400:3200::1；為PC1保留地址和

2001:10:10:11::9，為AP1保留地址和2001:10:17:100::9，為PC2保

留地址和2001:10:17:110::9。SW1上中繼地址為AC1loopback1地址。

SW1啟用dhcpv4和dhcpv6snooping，如果E1/0/1連接dhcpv4服務(wù)器，則關(guān)閉該端

口，恢復(fù)時(shí)間為1分鐘。

3.當(dāng)AP上線，如果AC中儲存的Image版本和AP的Image版本號不同時(shí)，會觸發(fā)AP

自動升級。AP失敗狀態(tài)超時(shí)時(shí)間及探測到的客戶端狀態(tài)超時(shí)時(shí)間都為2小時(shí)。

4.MAC認(rèn)證模式為黑名單，MAC地址為80-45-DD-77-CC-48的無線終端采用全局配置

MAC認(rèn)證。

5.配置vlan110無線接入用戶上班時(shí)間（工作日09:00-17:00）訪問Internethttps

上下行CIR為100Mbps，CBS為200Mbps，PBS為300Mbps，exceed-action和

violate-action均為drop。時(shí)間范圍名稱、控制列表名稱、分類名稱、策略名稱均

為SKILLS。

6.開啟AP組播廣播突發(fā)限制功能；AP收到錯誤幀時(shí)，將不再發(fā)送ACK幀；AP發(fā)送

向無線終端表明AP存在的幀時(shí)間間隔為1秒。

7.AP發(fā)射功率為80%。

6.安全配置

【說明：ip地址按照題目給定的順序用“ip/mask”表示，ipv4any地址用

/0，ipv6any地址用::/0，禁止用地址條目，否則按零分處理?！?/p>

16/27

1.FW1配置ipv4nat，實(shí)現(xiàn)集團(tuán)產(chǎn)品1段ipv4訪問Internetipv4，轉(zhuǎn)換ip/mask為

60/28，保證每一個(gè)源ip產(chǎn)生的所有會話將被映射到同一個(gè)固定的IP

地址；當(dāng)有流量匹配本地址轉(zhuǎn)換規(guī)則時(shí)產(chǎn)生日志信息，將匹配的日志發(fā)送至

9的UDP514端口，記錄主機(jī)名，用明文輪詢方式分發(fā)日志；開啟相關(guān)特

性，實(shí)現(xiàn)擴(kuò)展nat轉(zhuǎn)換后的網(wǎng)絡(luò)地址端口資源。

2.FW1配置nat64，實(shí)現(xiàn)集團(tuán)產(chǎn)品1段ipv6訪問Internetipv4，轉(zhuǎn)換為出接口IP，

ipv4轉(zhuǎn)ipv6地址前綴為64:ff9b::/96。

3.FW1和FW2策略默認(rèn)動作為拒絕，F(xiàn)W1允許集團(tuán)產(chǎn)品1段ipv4和ipv6訪問

Internet任意服務(wù)。

4.FW2允許辦事處產(chǎn)品ipv4訪問集團(tuán)產(chǎn)品1段https服務(wù)，允許集團(tuán)產(chǎn)品1段和分

公司產(chǎn)品訪問辦事處產(chǎn)品ipv4、FW2loopback1ipv4、SW3模擬辦事處loopback2

ipv4。

5.FW1與RT2之間用Internet互聯(lián)地址建立GREOverIPSecVPN，實(shí)現(xiàn)loopback4

之間的加密訪問。

6.FW1配置SSLVPN，名稱為VPNSSL，ssl協(xié)議為1.2版本，Internet用戶通過端口

8888連接，本地認(rèn)證賬號UserSSL,密碼Pass-1234，地址池名稱為POOLSSL，地址池

范圍為00/24-99/24。保持PC1位置不變，用PC1測試。

17/27

云平臺配置

云平臺網(wǎng)絡(luò)連接

任務(wù)描述：請使用超五類非屏蔽雙絞線連接網(wǎng)絡(luò)并設(shè)置云平臺，保證網(wǎng)絡(luò)

/24，/24，00能夠相互通信。（提示：關(guān)閉

交換機(jī)與云平臺業(yè)務(wù)相連端口的STP）

1.網(wǎng)絡(luò)信息表

網(wǎng)絡(luò)名稱VLAN子網(wǎng)名稱網(wǎng)關(guān)ipv4地址池

00-

network110110subnet110/24

99

00-

network120120subnet120/24

99

2.實(shí)例類型信息表

名稱idvcpu內(nèi)存磁盤實(shí)例模板

windows1-

windows144G40Gwindows2022

windows7

linux1-

linux244G40Grocky8.6

linux7

openstack322G40Gopenstackdcnclient-cli

3.卷信息

卷名稱大小連接的實(shí)例

d1-d45Gwindows3

d5-d85Glinux3

4.實(shí)例信息表

實(shí)例名稱ipv4地址FQDN

18/27

windows101

windows202

windows303

windows404

windows505

windows606

windows707

linux101

linux202

linux303

linux404

linux505

openstack11

19/27

Windows系統(tǒng)服務(wù)配置

1.域服務(wù)

任務(wù)描述：請采用域環(huán)境，管理企業(yè)網(wǎng)絡(luò)資源。

任務(wù)要求：

1.配置windows2為域控制器；安裝dns服務(wù)，dns正反向區(qū)域在

activedirectory中存儲，負(fù)責(zé)該域的正反向域名解析。

2.把域服務(wù)遷移到windows1；安裝dns服務(wù)，dns正反向區(qū)域在

activedirectory中存儲，負(fù)責(zé)該域的正反向域名解析。

3.配置windows6為林中的域控制器；安裝dns服務(wù)，負(fù)

責(zé)該域的正反向域名解析。

4.配置windows7為域控制器；安裝dns服務(wù)，負(fù)責(zé)該域的正反向

域名解析。

5.把其他windows主機(jī)加入到域。所有windows主機(jī)（含域控制器）用

skills\Administrator身份登陸。

6.在windows1上安裝證書服務(wù)，為windows主機(jī)頒發(fā)證書，證書頒發(fā)機(jī)構(gòu)有效期為

10年，證書頒發(fā)機(jī)構(gòu)的公用名為。復(fù)制“計(jì)算機(jī)”證書模板，

名稱為“計(jì)算機(jī)副本”，申請并頒發(fā)一張供windows服務(wù)器使用的證書，證書友好名

稱為pc，（將證書導(dǎo)入到需要證書的windows服務(wù)器），證書信息：證書有效期=5年，

公用名=，國家=CN，省=Beijing，城市=Beijing，組織=skills，組織單

位=system，使用者可選名稱=*.和。瀏覽器訪問https網(wǎng)站

時(shí)，不出現(xiàn)證書警告信息。

7.在windows2上安裝從屬證書服務(wù)，證書頒發(fā)機(jī)構(gòu)的公用名為

。

8.在windows1上新建名稱為manager、dev、sale的3個(gè)組織單元；每個(gè)組織單元內(nèi)

新建與組織單元同名的全局安全組；每個(gè)組內(nèi)新建20個(gè)用戶：行政部manager00-

manager19、開發(fā)部dev00-dev19、營銷部sale00-sale19，所有用戶只能每天8:00-

18:00可以登錄，不能修改其口令，密碼永不過期。manager00擁有域管理員權(quán)限。

2.文件共享

任務(wù)描述：請采用文件共享，實(shí)現(xiàn)共享資源的安全訪問。

20/27

任務(wù)要求：

1.在windows1的C分區(qū)劃分2GB的空間，創(chuàng)建NTFS主分區(qū)，驅(qū)動器號為D。創(chuàng)建用

戶主目錄共享文件夾：本地目錄為D:\share\home，共享名為home，允許所有域用戶

完全控制。該文件夾將設(shè)置為所有域用戶的home目錄，skills域用戶登錄計(jì)算機(jī)成

功后，自動映射掛載到T卷。禁止用戶在該共享文件中創(chuàng)建“*.exe”文件，文件組

名和模板名為SKILLS。

2.創(chuàng)建目錄D:\share\work，共享名為work，僅Administrator組和manager組有完

全控制的安全權(quán)限和共享權(quán)限，其他認(rèn)證用戶有讀取執(zhí)行的安全權(quán)限和共享權(quán)限。在

ADDS中發(fā)布該共享。

3.打印服務(wù)

任務(wù)描述：請采用共享打印服務(wù)，實(shí)現(xiàn)共享打印的安全性。

任務(wù)要求：

1.在windows4上安裝打印機(jī)，驅(qū)動程序?yàn)椤癕sPublisherColorPrinter”，名稱

和共享名稱均為“Printers”；在域中發(fā)布共享；使用組策略部署在"DefaultDomain

Policy"的計(jì)算機(jī)。

2.網(wǎng)站名稱為printers，http和https綁定主機(jī)ip地址，僅允許使用域名訪問，

啟用hsts，實(shí)現(xiàn)http訪問自動跳轉(zhuǎn)到https（使用“計(jì)算機(jī)副本”證書模板）。

3.用瀏覽器訪問打印機(jī)虛擬目錄printers時(shí)，啟用匿名身份認(rèn)證，匿名用戶為

manager00。

4.新建虛擬目錄dev，對應(yīng)物理目錄C:\Development，該虛擬目錄啟用windows身

份驗(yàn)證，默認(rèn)文檔index.html內(nèi)容為"Development"。

4.ftp服務(wù)

任務(wù)描述：請采用ftp服務(wù)器，實(shí)現(xiàn)文件安全傳輸。

任務(wù)要求：

1.把windows3配置為ftp服務(wù)器，ftp站點(diǎn)名稱為ftp，站點(diǎn)綁定本機(jī)ip地址，站

點(diǎn)根目錄為C:\ftp。

21/27

2.站點(diǎn)通過activedirectory隔離用戶，用戶目錄為C:\ftp，用戶目錄名稱與用戶

名相同，使用dev00和dev01測試。

5.DHCP服務(wù)

任務(wù)描述：請采用DHCP服務(wù)器，實(shí)現(xiàn)ip地址及其他網(wǎng)絡(luò)參數(shù)動態(tài)分配。

任務(wù)要求：

1.配置windows4和windows5為DHCP服務(wù)器，只綁定該主機(jī)的ipv4地址，DHCPipv4

的作用域名稱為SKILLS，地址范圍為0-9，租約期3小時(shí)，

網(wǎng)關(guān)為，dns為01和02，dns域名為

。

2.兩臺DHCP服務(wù)器實(shí)現(xiàn)故障轉(zhuǎn)移，故障轉(zhuǎn)移關(guān)系名稱為skills，最長客戶端提前期

為2小時(shí)，模式為“負(fù)載平衡”，負(fù)載平衡比例各為50%，狀態(tài)切換間隔1小時(shí)，啟

用消息驗(yàn)證，共享機(jī)密為Pass-1234。

6.iscsi服務(wù)

任務(wù)描述：請采用iscsi，實(shí)現(xiàn)集中管理存儲。

任務(wù)要求：

1.在windows3上添加4塊硬盤，初始化為gpt磁盤，配置raid5，創(chuàng)建1個(gè)iscsi

磁盤，存放在E:\iscsi，磁盤名稱和目標(biāo)名稱分別為file，磁盤大小為動態(tài)擴(kuò)展

5GB，目標(biāo)的iqn名稱為.skills:server使用dns名稱建立目標(biāo)。

發(fā)起程序的iqn名稱為.skills:client。

2.window