2020年山東省職業(yè)院校技能大賽：高職組網(wǎng)絡系統(tǒng)管理賽項-模塊C-考題

2020年山東職業(yè)院校技能大賽高職組

網(wǎng)絡系統(tǒng)管理賽項賽題

模塊C：網(wǎng)絡構(gòu)建

山東省職業(yè)院校技能大賽網(wǎng)絡系統(tǒng)管理賽項執(zhí)委會.技術(shù)專家組

2020年11月

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建

目錄

一．說明............................................................1

二．項目背景........................................................1

三．項目規(guī)劃和設計..................................................2

（一）項目規(guī)劃與建設內(nèi)容........................................2

（二）網(wǎng)絡拓撲說明..............................................2

（三）網(wǎng)絡拓撲連線與規(guī)劃說明....................................3

四．網(wǎng)絡項目實施....................................................7

（一）網(wǎng)絡設備基礎(chǔ)信息配置與驗證................................7

（二）網(wǎng)絡搭建與網(wǎng)絡冗余備份方案部署............................8

（三）移動互聯(lián)網(wǎng)搭建與無線網(wǎng)絡優(yōu)化.............................11

（四）實施出口安全防護與遠程接入...............................13

五．無線網(wǎng)絡規(guī)劃與實施.............................................14

（一）無線網(wǎng)絡業(yè)務背景及需求介紹...............................14

（二）無線網(wǎng)絡中的業(yè)務規(guī)劃.....................................18

六．競賽結(jié)果文件提交說明...........................................21

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建

一．說明

本模塊比賽時間為4小時。請合理分配競賽時間。請仔細閱讀以下要求。

1.競賽所需的硬件、軟件和輔助工具由組委會統(tǒng)一布置，選手不得私自攜

帶任何軟件、移動存儲、輔助工具、移動通信等進入賽場。

2.請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設備、軟件清單、材料

清單是否齊全，計算機設備是否能正常使用。

3.操作過程中，需要及時保存配置。比賽結(jié)束后，所有設備、計算機保持

運行狀態(tài)，不要拆動硬件連接。

4.比賽完成后，比賽設備、軟件和賽題請保留在座位上，禁止將比賽所用

的所有物品（包括試卷和草紙）帶離賽場。

5.裁判以各參賽隊提交的競賽結(jié)果文檔為主要評分依據(jù)。所有提交的文檔

必須按照賽題所規(guī)定的命名規(guī)則命名，不得以任何形式體現(xiàn)參賽院校、工位號等

信息。

二．項目背景

在人工智能、移動互聯(lián)網(wǎng)、云計算等信息技術(shù)深刻影響當前商業(yè)競爭格局的當

下，ZR集團公司在進行業(yè)務拓展的過程中，為了拓展市場，現(xiàn)收購A公司數(shù)據(jù)

中心以及A公司涉密部門，需要保證集團公司與A公司網(wǎng)絡無縫對接并且不影響

現(xiàn)有業(yè)務。并購的網(wǎng)絡需要具備高速、可靠、安全的信息采集、數(shù)據(jù)傳輸，以及

高度集中計算和智能事務處理能力，為集團可持續(xù)發(fā)展，鑄就雄厚軟實力。同時，

ZR集團希望在本次信息化業(yè)務建設方面打通供應商、采購物流、生產(chǎn)計劃以及

銷售管理等業(yè)務環(huán)節(jié)，從而提升標準化、高效化和應對異常的能力，而每個業(yè)務對

于網(wǎng)絡的要求和挑戰(zhàn)也越來越高，不僅需要可靠穩(wěn)定的網(wǎng)絡設備，更需要統(tǒng)一管

理運維體系支撐其龐大的業(yè)務正常運營。

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建1/23

三．項目規(guī)劃和設計

（一）項目規(guī)劃與建設內(nèi)容

網(wǎng)絡信息化項目規(guī)劃與建設需求如下：

1、分支機構(gòu)通過互聯(lián)網(wǎng)可訪問總部，實現(xiàn)有線無線融合網(wǎng)絡互聯(lián)互通；

2、機構(gòu)間部署鏈路加密功能實現(xiàn)安全可靠的數(shù)據(jù)傳輸；

3、機構(gòu)間根據(jù)業(yè)務類別進行路由策略部署，實現(xiàn)業(yè)務數(shù)據(jù)分流備份；

4、機構(gòu)局域網(wǎng)內(nèi)部部署防環(huán)、防攻擊、數(shù)據(jù)負載均衡等相關(guān)策略，確保局

域網(wǎng)業(yè)務安全、可靠；

（二）網(wǎng)絡拓撲說明

具體網(wǎng)絡拓撲結(jié)構(gòu)如圖1所示。

一臺EG2000編號EG1作為ZR公司辦事處出口網(wǎng)關(guān)；

一臺EG3210編號EG2作為ZR公司總部出口網(wǎng)關(guān)；

兩臺S5310編號為S3、S4作為ZR公司的核心交換機；

兩臺S2910編號為S1、S2作為ZR公司的接入設備；

兩臺AP520編號AP1、AP2作為ZR公司的無線接入點；

兩臺S6000編號為S5、S6作為A公司涉密部門的核心交換機；

一臺S5310編號為S7作為A公司涉密部門的接入交換機；

一臺RSR20-X路由器編號為R3作為A公司的服務器接入；

一臺WS6008編號AC1作為ZR辦事處無線控制器與核心交換機；

一臺WS6008編號AC2作為ZR公司無線控制器，用作無線接入點的配置和管

理；

兩臺RSR20編號為R1、R2作為ZR公司與A公司互聯(lián)設備；

一臺AP850編號AP3作為ZR公司辦事處的無線接入點。

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建2/23

圖1網(wǎng)絡拓撲結(jié)構(gòu)圖

（三）網(wǎng)絡拓撲連線與規(guī)劃說明

設備互聯(lián)規(guī)范主要對各種網(wǎng)絡設備的互聯(lián)進行規(guī)范定義，在項目實施中，如

用戶無特殊要求，應根據(jù)規(guī)范要求進行各級網(wǎng)絡設備的互聯(lián)，統(tǒng)一現(xiàn)場設備互聯(lián)

界面，結(jié)合規(guī)范的線纜標簽使用，使網(wǎng)絡結(jié)構(gòu)清晰明了，方便后續(xù)的維護。

請根據(jù)拓撲及網(wǎng)絡設備物理連接表，完成設備連線。其中，網(wǎng)絡物理連接表如

表1所示；網(wǎng)絡設備名稱表如表2所示；網(wǎng)絡中IPv4地址分配表如表3所示。

表1網(wǎng)絡物理連接表

源設備名稱設備接口接口描述目標設備名稱設備接口

S1Gi0/1Con_To_PC1PC1

S1Gi0/17Con_To_S2_Gi0/17S2Gi0/17

S1Gi0/22Con_To_AP1_Gi0/1AP1Gi0/1

S1Gi0/24Con_To_S3_Gi0/1S3Gi0/1

S1Te0/25Con_To_S2_Te0/25S2Te0/25

S1Te0/26Con_To_S2_Te0/26S2Te0/26

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建3/23

S2Gi0/17Con_To_S1_Gi0/17S1Gi0/17

S2Gi0/21Con_To_AP2_Gi0/1AP2Gi0/1

S2Gi0/24Con_To_S4_Gi0/1S4Gi0/1

S2Te0/25Con_To_S1_Te0/25S1Te0/25

S2Te0/26Con_To_S1_Te0/26S1Te0/26

S3Gi0/1Con_To_S1_Gi0/24S1Gi0/24

S3Gi0/2Con_To_S4_Gi0/2S4Gi0/2

S3Gi0/3Con_To_S4_Gi0/3S4Gi0/3

S3Gi0/4Con_To_EG2_Gi0/0EG2Gi0/0

S3Gi0/5Con_To_R1_Gi0/0R1Gi0/0

S4Gi0/1Con_To_S2_Gi0/24S2Gi0/24

S4Gi0/2Con_To_S3_Gi0/2S3Gi0/2

S4Gi0/3Con_To_S3_Gi0/3S3Gi0/3

S4Gi0/4Con_To_EG2_Gi0/1EG2Gi0/1

S4Gi0/5Con_To_R2_Gi0/0R2Gi0/0

S4Gi0/6Con_To_AC2_Gi0/1AC2Gi0/1

EG1Gi0/0Con_To_AC1_Gi0/1AC1Gi0/1

EG1Gi0/2Con_To_Internet互聯(lián)網(wǎng)

EG2Gi0/0Con_To_S3_Gi0/4S3Gi0/4

EG2Gi0/1Con_To_S4_Gi0/4S4Gi0/4

EG2Gi0/2Con_To_Internet互聯(lián)網(wǎng)

AC1Gi0/1Con_To_EG1_Gi0/0EG1Gi0/0

AC1Gi0/2Con_To_PC3

AC1Gi0/5Con_To_AP3_Gi0/1AP3Gi0/1

AC2Gi0/1Con_To_S4_Gi0/6S4Gi0/6

R1Gi0/0Con_To_S3_Gi0/5S3Gi0/5

R1Gi0/1Con_To_S5_Gi0/48S5Gi0/48

R1Fa1/1Con_To_R2_Fa1/1R2Fa1/1

R1Fa1/0Con_To_R3_Gi0/0R3Gi0/0

R2Gi0/0Con_To_S4_Gi0/5S4Gi0/5

R2Gi0/1Con_To_S6_Gi0/48S6Gi0/48

R2Fa1/1Con_To_R1_Fa1/1R1Fa1/1

R2Fa1/0Con_To_R3_Gi0/1R3Gi0/1

R3Gi0/0Con_To_R1_Fa1/0R1Fa1/0

R3Gi0/1Con_To_R2_Fa1/0R2Fa1/0

R3Gi1/0Con_To_Cloud模擬云平臺

S5Gi0/1Con_To_S7_Gi0/23S7Gi0/23

S5Gi0/2Con_To_S6_Gi0/2S6Gi0/2

S5Gi0/48Con_To_R1_Gi0/1R1Gi0/1

S6Gi0/1Con_To_S7_Gi0/24S7Gi0/24

S6Gi0/2Con_To_S5_Gi0/2S5Gi0/2

S6Gi0/48Con_To_R2_Gi0/1R2Gi0/1

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建4/23

S7Gi0/1Con_To_PC2PC2

S7Gi0/23Con_To_S5_Gi0/1S5Gi0/1

S7Gi0/24Con_To_S6_Gi0/1S6Gi0/1

AP1Gi0/1Con_To_S1_Gi0/22S1Gi0/22

AP2Gi0/1Con_To_S2_Gi0/21S2Gi0/21

AP3Gi0/1Con_To_AC1_Gi0/5AC1Gi0/5

表2網(wǎng)絡設備名稱表

拓撲圖中設備名稱配置主機名（hostname名）

S1ZB-VSU-S2910

S2ZB-VSU-S2910

S3ZB-S5310-01

S4ZB-S5310-02

S5FB-S6000-01

S6FB-S6000-02

S7FB-S5310-01

R1FB-RSR20-01

R2FB-RSR20-02

R3FB-RSR20-03

AC1BSC-WS6008-01

AC2ZB-WS6008-01

EG1BSC-EG2000-01

EG2ZB-EG3210-01

AP1ZB-AP520-01

AP2ZB-AP520-02

AP3BSC-AP850-01

表3IPv4地址分配表

設備接口或VLANVLAN名稱二層或三層規(guī)劃說明

VLAN10Office10Gi0/1至Gi0/4辦公網(wǎng)段

VLAN20Office20Gi0/5至Gi0/8辦公網(wǎng)段

VLAN30Office30Gi0/9至Gi0/12辦公網(wǎng)段

S1

VLAN40Office40Gi0/13至Gi0/16辦公網(wǎng)段

VLAN50APGi0/21至Gi0/22無線AP管理

VLAN100Manage2/24設備管理VLAN

VLAN10Office10Gi0/1至Gi0/4辦公網(wǎng)段

VLAN20Office20Gi0/5至Gi0/8辦公網(wǎng)段

VLAN30Office30Gi0/9至Gi0/12辦公網(wǎng)段

S2

VLAN40Office40Gi0/13至Gi0/16辦公網(wǎng)段

VLAN50APGi0/21至Gi0/22無線AP管理

VLAN100Manage2/24設備管理VLAN

VLAN10Office1052/24辦公網(wǎng)段

VLAN20Office2052/24辦公網(wǎng)段

S3VLAN30Office3052/24辦公網(wǎng)段

VLAN40Office4052/24辦公網(wǎng)段

VLAN50AP52/24無線AP管理

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建5/23

VLAN60Wireless52/24無線用戶

VLAN100Manage52/24設備管理VLAN

VLAN101Connect3/30設備互聯(lián)

Gi0/1Trunk

Gi0/2TrunkAG1成員口

Gi0/3TrunkAG1成員口

Gi0/4/30互聯(lián)EG2

Gi0/5/30互聯(lián)R1

LoopBack03/32

VLAN10Office1053/24辦公網(wǎng)段

VLAN20Office2053/24辦公網(wǎng)段

VLAN30Office3053/24辦公網(wǎng)段

VLAN40Office4053/24辦公網(wǎng)段

VLAN50AP53/24無線AP管理

VLAN60Wireless53/24無線用戶

VLAN100Manage53/24設備管理VLAN

S4VLAN101Connect4/30設備互聯(lián)

Gi0/1Trunk

Gi0/2TrunkAG1成員口

Gi0/3TrunkAG1成員口

Gi0/43/30互聯(lián)EG2

Gi0/57/30互聯(lián)R2

Gi0/6Trunk互聯(lián)AC2

LoopBack04/32

LoopBack004/32

Gi0/1/30互聯(lián)EG1

AC1VLAN10User54/24Gi0/2-4

VLAN20Wire_user54/24

VLAN30AP54/24

LoopBack005/32

AC2

VLAN100Manage/24

Gi0/15/30互聯(lián)S7

Gi0/21/30互聯(lián)S6

S5

Gi0/480/30互聯(lián)R1

LoopBack05/32

Gi0/10/30互聯(lián)S7

Gi0/22/30互聯(lián)S5

S6

Gi0/484/30互聯(lián)R2

LoopBack06/32

GI0/0/30

EG1GI0/2/24與EG2互聯(lián)

LoopBack01/32

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建6/23

Gi0/0/30

Gi0/14/30

EG2

Gi0/2/24與EG1互聯(lián)

LoopBack02/32

Gi0/00/30互聯(lián)S3

Gi0/19/30互聯(lián)S5

R1Fa1/1(Vlan300)5/30互聯(lián)R2

Fa1/0(Vlan200)1/30互聯(lián)R3

LoopBack0/32

Gi0/08/30互聯(lián)S4

Gi0/13/30互聯(lián)S6

R2Fa1/1(Vlan300)6/30互聯(lián)R1

Fa1/0(Vlan200)7/30互聯(lián)R3

LoopBack0/32

Gi0/02/30互聯(lián)R1

Gi0/18/30互聯(lián)R2

R3

LoopBack0/32

Gi1/（0Vlan160）Con_To_Cloud54/24模擬云平臺

VLAN10Primary54/24primaryvlan

community

VLAN11CommunityGi0/1至Gi0/8

vlan

VLAN12IsolatedGi0/9至Gi0/16isolatedvlan

VlAN100Manage54/24

S7

涉密業(yè)務

VlAN200Secret54/24

Gi0/17-Gi0/22

Gi0/236/30互聯(lián)S5

Gi0/249/30互聯(lián)S6

LoopBack07/32

PC1

根據(jù)業(yè)務部署

PC機PC2

靈活調(diào)整

PC3

四．網(wǎng)絡項目實施

（一）網(wǎng)絡設備基礎(chǔ)信息配置與驗證

1.設備基礎(chǔ)信息

根據(jù)總體規(guī)劃內(nèi)容，將所有的設備根據(jù)命名規(guī)則修訂設備名稱；

依據(jù)設備的總體規(guī)劃物流連接表，配置設備的接口描述信息。

將接入交換機S7做密碼恢復，新的密碼設置為admin；

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建7/23

2.網(wǎng)絡設備安全技術(shù)

為路由器和無線控制器開啟SSH服務端功能，用戶名和密碼為admin，

密碼為明文類型,特權(quán)密碼為admin；

為交換機開啟Telnet功能，對所有Telnet用戶采用本地認證的方式。

創(chuàng)建本地用戶，設定用戶名和密碼為admin，密碼為明文類型,特權(quán)密碼

為admin;

配置所有設備SNMP消息，向主機54發(fā)送Trap消息版本采用

V2C，讀寫的Community為“ruijie”，只讀的Community為“public”，

開啟Trap消息。

（二）網(wǎng)絡搭建與網(wǎng)絡冗余備份方案部署

1.虛擬局域網(wǎng)及IPv4地址部署

為了減少網(wǎng)絡廣播，需要規(guī)劃和配置VLAN，要求如下：

配置合理，Trunk鏈路上不允許不必要VLAN的數(shù)據(jù)流通過;

為節(jié)省IP資源，隔離廣播風暴、病毒攻擊，控制端口二層互訪，在S7

交換機使用PrivateVlan;

為隔離部分終端用戶間的二層互訪，在交換機S1、S2的Gi0/1-Gi0/16

端口啟用端口保護。

在各設備上完成VLAN配置和端口分配以及IPv4地址。

2.局域網(wǎng)接入安全部署

為規(guī)避網(wǎng)絡末端接入設備上出現(xiàn)環(huán)路影響全網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)以及可能由終端帶

來的安全風險，要求在接入設備S1，S2進行防環(huán)處理及流量監(jiān)控工作，在S7

上部署端口安全策略，具體要求如下：

連接PC端口開啟Portfast和BPDUguard防護功能；

為防止接入交換機下聯(lián)端口私接HUB設備引起環(huán)路，需要啟用RLDP協(xié)議；

終端接口檢測到環(huán)路后處理方式為Shutdown-Port；

端口檢測進入Err-Disabled狀態(tài)，設置300秒自動恢復機制（基于接口

部署策略）；

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建8/23

為了防止偽IP源地址攻擊，導致出口路由器會話占滿，要求S7交換機

部署端口安全，接口Gi0/1只允許PC2通過；

在S3上只針對A公司涉密部門VLAN10網(wǎng)段與總部VLAN40網(wǎng)段流量（ACL

編號100）做端口鏡像，目的端口為Gi0/24，并且監(jiān)控服務器也能正常

訪問互聯(lián)網(wǎng)。

3.DHCP中繼與服務安全部署

在交換機S3、S4上配置DHCP中繼，對VLAN10內(nèi)的用戶進行中繼。具體要

求如下：

DHCP服務器搭建于EG2上，地址池命名為Pool_VLAN10，DHCP對外服務

使用loopback0地址；

為了防御動態(tài)環(huán)境局域網(wǎng)ARP欺騙及偽DHCP服務欺騙，在（S1/S2）上

部署DHCPSnooping+IPSourceGuard+ARP-check解決方案。

4.MSTP及VRRP部署

在交換機S3、S4上配置MSTP防止二層環(huán)路。要求VLAN10、VLAN20、VLAN30、

VLAN40、VLAN100數(shù)據(jù)流經(jīng)過S3轉(zhuǎn)發(fā)，VLAN50、VLAN60數(shù)據(jù)流經(jīng)過S4轉(zhuǎn)發(fā)，S3、

S4其中一臺宕機時均可無縫切換至另一臺進行轉(zhuǎn)發(fā)。所配置的參數(shù)要求如下：

region-name為ruijie；

revision版本為1；

實例1，包含VLAN10、VLAN20、VLAN30、VLAN40、VLAN100；

實例2，包含VLAN50,VLAN60；

S3作為實例0、1中的主根，S4作為實例0、1的從根；

S4作為實例2中的主根，S3作為實例2的從根；

主根優(yōu)先級為4096，從根優(yōu)先級為8192；

在S3和S4上配置VRRP，實現(xiàn)主機的網(wǎng)關(guān)冗余。所配置的參數(shù)要求如表

4；

表4S3和S4的VRRP參數(shù)表

VLANVRRP備份組號（VRID）VRRP虛擬IP

VLAN101054

VLAN202054

VLAN303054

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建9/23

VLAN404054

VLAN505054

VLAN606054

VLAN10010054

S3、S4各VRRP組中高優(yōu)先級設置為200，低優(yōu)先級設置為110。

5.網(wǎng)絡設備虛擬化

兩臺接入交換機通過VSU虛擬化為一臺設備進行管理，從而實現(xiàn)高可靠性。

當任意交換機故障時，都能實現(xiàn)設備、鏈路切換，保護客戶業(yè)務穩(wěn)定運行。

規(guī)劃S1和S2間的Te0/25-26端口作為VSL鏈路，使用VSU技術(shù)實現(xiàn)網(wǎng)

絡設備虛擬化。其中S1為主，S2為備；

規(guī)劃S1和S2間的Gi0/17端口作為雙主機檢測鏈路，配置基于BFD的雙

主機檢測，當VSL的所有物理鏈路都異常斷開時，備機會切換成主機，

從而保障網(wǎng)絡正常；

主設備：Domainid：1,switchid:1,priority200,

description:S2910-24GT4XS-E-1；

備設備：Domainid：1,switchid:2,priority150,

description:S2910-24GT4XS-E-2。

6.路由協(xié)議部署

由于公司并購前的歷史原因?qū)е码p方使用不同的OSPF進程，經(jīng)由總部技術(shù)

部統(tǒng)一規(guī)劃后再做調(diào)整，現(xiàn)階段使用暫時過渡方案，即使用靜態(tài)路由、OSPF、RIP、BGP

多協(xié)議組網(wǎng)，具體要求如下：

OSPF進程號10，規(guī)劃單區(qū)域，,區(qū)域0（S3、S4、EG2）；

OSPF進程號20，規(guī)劃多區(qū)域，區(qū)域0（R1、R2），區(qū)域2（R1、R2、R3）；

OSPF進程號30，規(guī)劃單區(qū)域，區(qū)域0（AC1、EG1）；

總部與A公司互聯(lián)鏈路規(guī)劃至區(qū)域0，并且不允許新增OSPF進程；

為了方便管理，所有運行OSPF的設備router-id必須為loopback口地

址;

S5、S6、S7使用RIP協(xié)議，RIP協(xié)議使用版本2，并且關(guān)閉自動聚合；

S5、S6、R1、R2使用BGP協(xié)議，BGP協(xié)議中S5、S6使用AS號100，R1、

R2使用AS號200，同AS號內(nèi)使用loopback口建立iBGP鄰居，不同AS

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建10/23

號使用互聯(lián)接口建立eBGP鄰居;

各設備禁止重發(fā)布直連網(wǎng)段，以Network發(fā)布明細路由;

要求只允許在設備互聯(lián)網(wǎng)段出現(xiàn)協(xié)議報文;

為了管理方便，所有路由協(xié)議都需要發(fā)布Loopback地址;

優(yōu)化OSPF相關(guān)配置，以盡量加快OSPF收斂;

AC2/S4、EG1/EG2間部署靜態(tài)路由協(xié)議；

重發(fā)布路由進OSPF中使用類型1。

7.路由選路部署

由于/24是涉密業(yè)務網(wǎng)段，僅允許A公司內(nèi)部訪問，并且考慮到

數(shù)據(jù)分流及負載均衡的目的，針對本部與分部數(shù)據(jù)流走向要求如下：

OSPF可以通過修改COST值的方式實現(xiàn)數(shù)據(jù)分流，并且其值為1或2;

禁止將BGP的路由條目通過重發(fā)布BGPAS方式引入RIP及OSPF中；

禁止將RIP、OSPF的路由條目通過重發(fā)布整個進程方式引入BGP中；

總部有線網(wǎng)段與數(shù)據(jù)中心服務器互通主路徑為S3-R1-R3;

總部無線網(wǎng)段與數(shù)據(jù)中心服務器互通主路徑為S4-R2-R3;

總部有線網(wǎng)絡與互聯(lián)網(wǎng)互通主路徑為S3-EG2

總部無線網(wǎng)絡與互聯(lián)網(wǎng)互通主路徑為S4-EG2

A公司涉密部門VLAN10網(wǎng)段與總部VLAN40網(wǎng)段間的互通主路徑為

S3-R1-S5-S7;

A公司涉密部門與數(shù)據(jù)中心服務器互通的主路徑為S7-S5-R1-R3;

數(shù)據(jù)中心服務器與互聯(lián)網(wǎng)互通的主路徑為R3-R1-S3-EG2;

主鏈路故障可無縫切換到多條備用鏈路上。

8.IPv6部署

S3、S4啟用IPV6網(wǎng)絡，實現(xiàn)IPV6終端可自動從網(wǎng)關(guān)處獲取地址。地址

規(guī)劃如下：

表5VRRPforIPV6參數(shù)表

設VRRP

接口IPV6地址虛擬IP

備組號

VLAN102001:192:10::252/64102001:192:10::254/64

S3VLAN202001:192:20::252/64202001:192:20::254/64

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建11/23

VLAN302001:192:30::252/64302001:192:30::254/64

VLAN402001:192:40::252/64402001:192:40::254/64

VLAN602001:192:60::252/64602001:192:60::254/64

VLAN1002001:192:100::252/641002001:192:100::254/64

VLAN102001:192:10::253/64102001:192:10::254/64

VLAN202001:192:20::253/64202001:192:20::254/64

VLAN302001:192:30::253/64302001:192:30::254/64

S4

VLAN402001:192:40::253/64402001:192:40::254/64

VLAN602001:192:60::253/64602001:192:60::254/64

VLAN1002001:192:100::253/641002001:192:100::254/64

在S3和S4上配置VRRPforIPv6，實現(xiàn)主機的IPv6網(wǎng)關(guān)冗余；

VRRP主備狀態(tài)與IPV4網(wǎng)絡一致；

（三）移動互聯(lián)網(wǎng)搭建與無線網(wǎng)絡優(yōu)化

1.無線網(wǎng)絡基礎(chǔ)部署

使用S3、S4為無線用戶與APDHCP服務器，S3分配地址范圍為其網(wǎng)段的

1至100，S4分配地址為其網(wǎng)段的101至200（使用最短的命令實現(xiàn)）。使

用AC1為辦事處無線用戶與APDHCP服務器；

創(chuàng)建SSID(WLAN-ID1)為Ruijie-ZB_XX(XX現(xiàn)場提供)，AP-Group為ZB，

本部無線用戶關(guān)聯(lián)SSID后可自動獲取地址；

創(chuàng)建SSID(WLAN-ID2)為Ruijie-BSC_XX(XX現(xiàn)場提供)，AP-Group為

BSC，辦事處無線用戶關(guān)聯(lián)SSID后可自動獲取地址；

2.AC熱備部署

為了減輕AC1的負擔，因此AC2為主用AC，AC1為備用AC；

AP與AC1、AC2均建立隧道，當AP與主用AC失去連接時能無縫切換至

備用AC并提供服務。

3.無線安全部署

避免鏈路不穩(wěn)定，導致AP工作不正常，總部啟用無線AP邊緣感知功能；

在同一個AP中的用戶在某些時候出于安全性的考慮，需要將他們彼此

之間進行隔離，實現(xiàn)用戶之間彼此不能互相訪問，配置同下用AP戶間

隔離功能；

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建12/23

連接FitAP的無線用戶接入無線網(wǎng)絡時采用WPA2加密方式，加密密碼

為XX(現(xiàn)場提供)；

非工作時間（周一至周五凌晨0點至早上8點）自動關(guān)閉總部無線信號；

隱藏辦事處無線信號。

4.無線性能優(yōu)化

為了保障每個用戶的無線體驗，在AC上采用基于單個用戶的限速，辦事

處無線限制每個用戶上行和下行平均速率為2000kB/s，突發(fā)速率為

4000kB/s；

辦事處AP設置用戶最小接入信號強度為-65dbm;

要求無線用戶啟用本地轉(zhuǎn)發(fā)模式;

總部每個AP最大帶點人數(shù)為32。

（四）實施出口安全防護與遠程接入

1.出口NAT部署

總部出口網(wǎng)關(guān)上配置訪問控制列表ACL120，僅允許用戶在周一到周五

的上班時間（命名為work，9:00至17:00）通過NAPT訪問互聯(lián)網(wǎng)，NAPT

映射到互聯(lián)網(wǎng)接口上，服務器上網(wǎng)不受限制;

辦事處出口網(wǎng)關(guān)上配置訪問控制列表ACL120，允許用戶通過NAPT訪問

互聯(lián)網(wǎng)，NAPT映射到互聯(lián)網(wǎng)接口上；

辦事處網(wǎng)關(guān)上配置端口映射，使AC1（04）設備的SSH服務可

以通過互聯(lián)網(wǎng)被訪問，映射地址為:2222。

2.WebPortal用戶認證部署

在總部網(wǎng)關(guān)上啟用WebPortal認證服務，并創(chuàng)建user1、user2；

無線用戶和服務器不需要進行WEB認證即可訪問互聯(lián)網(wǎng);

總部網(wǎng)關(guān)設置免認證資源0，并根據(jù)上下文需求添加

必要的免認證資源。

3.應用流量控制部署

總部現(xiàn)有運營商出口帶寬200Mbps；

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建13/23

總部針對訪問外網(wǎng)SSH流量限速每用戶1000kbps，內(nèi)網(wǎng)SSH總流量不超

過50M（命名為SSH）；

辦事處針對訪問外網(wǎng)FTP流量限速每用戶5000kbps，內(nèi)網(wǎng)ftp總流量不

超過100M（命名為FTP）。

4.用戶行為策略部署

禁止辦事處內(nèi)網(wǎng)用戶通過瀏覽器訪問；

總部網(wǎng)關(guān)上開啟防ARP及流量攻擊功能，用于過濾ARP攻擊流量，內(nèi)網(wǎng)

ARP泛洪時，設備限制每個IP地址的ARP報文每秒不超過10個，避免

ARP報文影響設備的其他處理。管理IP：01不做流量限制。

5.VPN部署

為了實現(xiàn)總部與辦事處互訪數(shù)據(jù)的安全性，同時要求總部對辦事處路由

器采用本地的用戶名、密碼方式進行驗證，為此規(guī)劃如下：

部署L2TP隧道進行總部對辦事處路由的對接驗證，驗證用戶名密碼均為

ruijie，L2TP隧道密碼為ruijie;

L2TP用戶地址池為—54;

L2TP隧道中承載OSPF協(xié)議，使其總部與辦事處通過OSPF進行路由交互，

區(qū)域號1；

部署IPsec對L2TP隧道中的業(yè)務數(shù)據(jù)加密；

IPsecVPN需要采用傳輸模式，預共享密碼為ruijie，加密認證方式為

ESP-3DES、ESP-MD5-HMAC，DH使用組2；

五．無線網(wǎng)絡規(guī)劃與實施

某CII教育集團公司最近在廣州新租用了一棟樓層用于公司臨時辦公場所，

由于原樓層未進行信息化改造，考慮到短期租用，公司建議通過部署無線來實現(xiàn)

網(wǎng)絡接入，用于采購無線設備的預算為11萬。

（一）無線網(wǎng)絡業(yè)務背景及需求介紹

1.業(yè)務背景及需求介紹。

1.無線終端情況如下說明。

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建14/23

（1）辦公室區(qū)域：有臺式電腦、筆記本電腦、手機。

（2）部門辦公區(qū)域：有臺式電腦、筆記本電腦、手機。

（3）培訓與會議區(qū)域：有臺式電腦、手機。。

2.建筑現(xiàn)場情況介紹。

該樓宇是個回型建筑，中間是個回型空地，無吊頂，原有強電布線室內(nèi)均采

用了pvc線槽敷設。經(jīng)了解培訓室與會議室使用時都超過10人，走廊與廁所不

需要實現(xiàn)覆蓋。

3.建筑物弱電間情況介紹。

該樓宇有獨立的弱電間，弱電間位于107房間，平面布局如圖2所示。

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建15/23

圖2平面布局圖

2.無線產(chǎn)品的參數(shù)與價格介紹。

無線產(chǎn)品及配件價格表如表6所示。

表6：無線產(chǎn)品及配件價格表

傳輸速率（2.4G/推薦/最大價格

產(chǎn)品型號產(chǎn)品特征功率

最大）帶點數(shù)（元）

AP330-I雙頻雙流300M/1.167G32/256100mW6000

AP220-E(M)-V3.0雙頻雙流300M/600M32/256100mW11000

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建16/23

RG-Cab-SMA-10m10米饋線N/AN/AN/A1600

RG-Cab-SMA-15m15米饋線N/AN/AN/A2400

RG-IOA-2505-S1雙頻單流/單頻單流N/AN/AN/A500

AP110-w單頻單流150M12/3260mW2500

S2928G-24P24口POE交換機N/AN/A240W15000

WS6008無線控制器6*1000M32/20040W50000

3.無線網(wǎng)絡系統(tǒng)中集成物料清單。

無線網(wǎng)絡系統(tǒng)中需要使用的綜合布線工程材料清單如表7所示。

表7：綜合布線工程材料清單

產(chǎn)品名稱規(guī)格容納網(wǎng)線數(shù)單位

Cat5e網(wǎng)絡配線架24口、1U24個

理線架1U24個

20mm*10mm*2.8m1~2條

25mm*12.5mm*2.8m3~4條

PVC線槽30mm*16mm*2.8m5~7條

39mm*19mm*2.8m8~12條

50mm*25mm*2.8m13~22條

PVC線槽底盒標準2個

PVC暗盒標準2個

16mm*2.8m1~3條

PVC線管20mm*2.8m2~5條

25mm*2.8m4~8條

50mm*25mm13~22米

金屬橋架

60mm*22mm13~23米

Cat5e網(wǎng)線305米/箱N/A箱

Cat5e水晶頭100個/盒N/A盒

機柜6UN/A個

機柜12UN/A個

網(wǎng)絡系統(tǒng)管理項目-模塊C：網(wǎng)絡構(gòu)建17/23

（二）無線網(wǎng)絡中的業(yè)務規(guī)劃

1.完成樓宇中無線地勘

根據(jù)提供的建筑平面布局圖、項目預算（設備經(jīng)費）和業(yè)務需求，進行全網(wǎng)

中無線AP的點位的規(guī)劃與設計。然后，再通過無線地勘軟件進行AP點位設計和無

線信號仿真；確保全網(wǎng)中無線信號全覆蓋（備注：廁所、樓