2015年全国职业院校技能大赛 网络搭建与应用竞赛题
软件部(Vlan30)和系统集成部(Vlan40)两个部门都有120名员工,需要根据需要做出IP地址划分;上海区域有行政部(Vlan10)最少90台主机,销售部(Vlan20)最少有300台主机。把IP地址填入上面网络设备IP地址分配表中的空白处。
注意:
? 网关地址为网段最后一个可用地址。
2. 交换机调试与配置
(1) 为交换机设备命名,命名规则参考为表1中的设备名称。 (2) 依据拓扑结构图和下表,把相应端口加入到Vlan中;
设备 VLAN名称 CU GC SW3-1 RJ JC Server XZ DCWS XS Server Link-to-SW3-1 (端口命名) SW-1 Link-to-PC1 (端口命名) Link-to-PC2 (端口命名) SW-2 Link-to-PC3 (端口命名) 11 / 23
VLANID 10 20 30 40 200 10 20 200 Trunk 接口 E 1/0/22-23 E 1/0/22-23 E 1/0/22-23 E 1/0/22-23 E 1/0/22-23 E1/0/23 E1/0/23 E 1/0/23 E1/23-24 200 E1/1 200 E1/9 200 E1/5 2015年全国职业院校技能大赛 网络搭建与应用竞赛题 Link-to-PC4 (端口命名)
200 E1/9 (3) 为了统一管理,所有交换机开启Telnet功能,用户名为user1,密码为
PWD@123,用户级别为15级,Enable密码为DCN(注意密码大小写)。 (4) 使用端口汇聚技术,将SW3-1的E1/0/22-23和二层交换机SW-1的
E1/23-24配置为端口汇聚,汇聚接口为动态方式。SW-1负载分担方式基于源、目地MAC
(5) 在SW3-1连接FW-1的端口进行端口限速,将SW3-1的E1/0/24端口
双向限速为20M。
(6) 上海办公区为了加强内网防护等级,计划后续增加流量分析服务器,本次
首先将PC1、PC2所连端口的双向流量镜象到端口E1/20,以便后续增加的流量分析服务器分析内网服务器的流量。
3. 路由器调试与配置
(1) 为路由设备命名,命名规则参考为表1中的“设备名称”。
(2) FW-1与R-2间运行RIPv2路由协议;R-2与R-1间运行OSPF路由协
议区域为Area0,R-2与SW3-2间运行OSPF路由协议,区域为Area0;R-1与SW3-2和SW3-2与R-3之间运行RIPv2路由协议,北京、上海内部使用静态路由。
(3) 根据下表,配置设备的RouterID,要求不能增加接口的相关信息。
设备名称 R-1 R-2 SW3-2
Router-ID 1.1.1.1 2.2.2.2 3.3.3.3 12 / 23
2015年全国职业院校技能大赛 网络搭建与应用竞赛题
(4) 在R-1,R-2及SW3-2中通过路由重发布确保网络互联互通 (5) R-2不参与SW3-2之间OSPF的DR、BDR选举;
(6) 在R-2上使用QoS进行流量整形,使R-2到SW3-2间的流量限制CIR
为40000,Exces Burst Size为1000,Burst Size为2000,超额流量不需要处理。
(7) R-2配置策略路由,限制北京区域访问上海区域时,通过R-1与SW3-2
之间的链路转发。
4. 广域网配置
(1) R-1与R-2之间的串口配置为PPP链路,启用双向Chap认证。对端设
备名称做为用户名,密码为PWDchap;
(2) 北京、上海区域用户在互相访问时,由各区域的出口设备负责NAT转换
工作,转换方式为端口NAT;FW2使用端口NAT
5. 无线网调试与配置
(1) 为无线控制器进行设备命名,命名规则参考表1中的“设备名称”。 (2) 无线控制器建立2个SSID,SSID分别为BJ1和BJ2。BJ1的SSID设置
为隐藏,工作信道为11;BJ1工作信道为自动。使用无线控制器的DHCP服务,使BJ1、BJ2这2个SSID下的用户分别获得VLAN50/60的IP地址,每个网段最少保证50个用户接入。通过无线方式接入的用户获取DHCP方式分配的IP地址,DNS地址为8.8.8.8,租期1天;
(3) 限制无线发射功率为90%。
13 / 23
2015年全国职业院校技能大赛 网络搭建与应用竞赛题
6、路由器、交换机和AP上部署安全策略
(1) 北京办公区的SW-1限制端口E1/3的端口MAC地址学习规则,指定E1/3
端口最多可以学习3个MAC地址,对于学习到更多的MAC地址时直接丢弃。E1/4端口绑定MAC地址为00-33-33-33-33-33,其他MAC地址不再学习。
(2) 北京区域限制每周的工作日9:00-18:00的办公时间以外不允许访问外
网。
(3) 激活无线网络的二层隔离,实现同一个AP下无线局域网内的用户不能互
相访问
(4) 阻止MAC地址为F0-11-22-33-44-55的主机连接无线网络
(5) 限制通过无线方式接入的用户上行速度为5Mbps,下行速度为4Mbps。 (6) 用户接入无线网络时需要输入密码,加密方式为WPA-Personal,口令为
“chinaDCN”
(7) 在SW3-2上开启端口保护功能,防止PC机发出网关欺骗报文。 (8) 在SW1的E1/2接口上,限制源MAC为00-11-22-33-44-55的主机不
允许访问MAC地址为00-55-44-33-22-11的主机。其余主机可以正常访问。
7、 防火墙安全策略
(1) 为防火墙设备命名,命名规则参考表1中的”设备名称“
(2) 上海办公区出口防火墙上配置SSL方式远程接入VPN,允许远程办公的
用户可以访问内部服务器资源,SSL方式允许用户名为vpn5、vpn6、vpn7、vpn8,密码与用户名相同,拔入的计算机获取的IP地址段为172.16.0.40-50
14 / 23
2015年全国职业院校技能大赛 网络搭建与应用竞赛题
(3) 北京办公区的FW-1禁止访问www.taobao.com
(4) 北京办公区为了保证宽带的正常使用,限制P2P的应用下行带宽最高为
4M。
(5) 北京办公区限制用户访问含有“赌博”字段的网页。
15 / 23