【赛题解析&命令脚本配置】2023年全国职业院校技能大赛GZ073网络系统管理赛项赛题第9套模块A:网络构建 & (三)无线网络配置+(四)出口网络配置-命令配置
目录
任务清单
赛题题目&解析答案配置
(三)无线网络配置
1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划,卫生间、楼梯和电梯区域无须覆盖);
【AP点位图】
2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db);
【信号仿真热图】
3.输出该无线网络工程项目设备的预算表,网络设备型号和价格依据表3;
【设备预算表】
4.使用AC1和AC2作为总部无线用户和无线AP的DHCP 服务器,使用S5作为分校无线用户和无线AP的DHCP服务器;
① 配置AC1作为DHCP服务器
1.1 配置VLAN50的DHCP池
1.2 配置VLAN60的DHCP池
② 配置AC2作为DHCP服务器
2.1 配置VLAN50的DHCP池
2.2 配置VLAN60的DHCP池
③ 配置S5作为分校DHCP服务器
3.1 配置VLAN20的DHCP池
3.2 配置VLAN30的DHCP池
3.3 配置VLAN40的DHCP池
④ 验证配置
5.创建总部内网 SSID 为 Ruijie-BX_XX(XX现场提供),WLAN ID 为1,AP-Group为BX,本部内网无线用户关联SSID后可自动获取地址;
① 创建无线配置文件
1.1 在AC1上配置
1.2 在AC2上配置
② 配置DHCP服务
2.1 在AC1上配置DHCP
2.2 在AC2上配置DHCP
6.总部AC2为主用,AC1为备用。AP与AC1、AC2均建立隧道,当AP与AC2失去连接时能无缝切换至AC1并提供服务;
① 配置AP与AC的隧道
1.1 在AC1上配置
1.2 在AC2上配置
② 配置AP的主备AC优先级
2.1 在AP上配置
7.AP3使用无线AP胖模式,以透明模式进行部署,S5部署DHCP服务为无线终端及AP分配地址,且AP每次均获取地址均为194.1.20.2;
① 配置S5作为DHCP服务器
1.1 配置VLAN20的DHCP池
② 配置AP3为胖模式
2.1 配置AP3为胖模式
2.2 配置AP3的接口
③ 配置AP3的DHCP选项
3.1 配置DHCP选项
8.AP3创建 SSID(WLAN-ID 1) 为 Ruijie-BJ_XX_1(XX现场提供), 分校内网无线用户关联SSID后可自动获取分校VLAN30网段地址;
9.AP3创建 SSID(WLAN-ID 2) 为 Ruijie-BJ_XX_2(XX现场提供),分校内网无线用户关联SSID后可自动获取分校VLAN40网段地址;
【8~9,赛题解析&命令脚本配置】如下
① 创建SSID Ruijie-BJ_XX_1
1.1 配置SSID
② 创建SSID Ruijie-BJ_XX_2
2.1 配置SSID
③ 配置DHCP服务
3.1 配置VLAN30的DHCP池
3.2 配置VLAN40的DHCP池
10.总部无线用户接入无线网络时需要采用WPA2加密方式,加密密码为XX(现场提供);
① 配置总部无线网络的WPA2加密
1.1 在AC1上配置
1.2 在AC2上配置
11.为了防御无线局域网ARP欺骗影响用户上网体验,总部配置无线环境ARP欺骗防御功能;
① 配置NFPP和ARP-Guard
② 配置DHCP Snooping
③ 配置动态ARP检测(DAI)
④ 配置ARP Check
⑤ 配置端口安全
⑥ 配置ARP表项固化
⑦ 配置非法ARP报文过滤
⑧ 配置ARP代理防护
⑨ 配置硬件级防护(CPCAR限速)
⑩ 验证配置
12.要求总部内网无线网络启用本地转发模式;
① 配置AP本地转发模式
1.1 登录到AP
1.2 进入配置模式
1.3 配置无线接口为本地转发模式
1.4 配置VLAN接口
1.5 配置默认网关
② 验证配置
13.为了保障总部每个用户的无线体验,针对WLAN ID 1下的每个用户的下行平均速率为 800KB/s ,突发速率为1600KB/s;
① 配置WLAN ID 1的速率限制
1.1 在AC1上配置
1.2 在AC2上配置
② 验证配置
1.3 配置AP的最大用户数
② 验证配置
15.总部设置用户最小接入信号强度为-65dbm;
① 配置AP的最小接入信号强度
1.1 登录到AP
1.2 进入配置模式
1.3 配置无线用户的最小接入信号强度
② 验证配置
16.总部关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)应用接入。
① 配置AC控制器
1.1 进入AC控制器配置模式
1.2 禁用低速率选项
② 验证配置
(四)出口网络配置
1.出口网关上进行NAT配置实现本部与分校的所有用户均可访问互联网,通过NAPT方式将内网用户IP地址转换到互联网接口上,同时总部用户仅可在周一到周五工作时间09:00-17:00(命名为work)访问互联网;
① 在出口网关EG1上配置NAT
1.1 配置NAT
② 在出口网关EG2上配置NAT
2.1 配置NAT
③ 配置总部用户的时间限制
3.1 配置时间范围
3.2 配置访问控制列表
3.3 应用访问控制列表
④ 验证配置
2.在本部EG1上配置,使本部核心交换S4(11.1.0.34)设备的SSH服务可以通过互联网被访问,将其地址映射至联通线路上,映射地址为20.1.0.2;
① 配置静态NAT映射
② 配置访问控制列表
③ 应用访问控制列表
3.本部内网主机有访问上海办事处S6设备的Telnet服务需求,但本部内网因网络规划要求不能引入外部路由,同时上海办事处网络运维人员考虑安全起见也不希望将S6设备(11.1.0.6)地址对外公布。为此规划在出口网关上进行NAT地址转化将S6真实地址映射至20.1.0.20;
① 配置静态NAT映射
② 配置访问控制列表
③ 应用访问控制列表
4.在本部网关上启用Web Portal认证服务,并创建user1、user2,密码均为XX(现场提供);
① 配置Web Portal认证服务
1.1 启用Web Portal认证
② 配置Portal服务
③ 创建用户账户
④ 配置访问控制
5.本部有线用户需进行WEB认证访问互联网;
6.本部无线用户不需在EG上进行WEB认证即可访问互联网;
【5~6,赛题解析&命令脚本配置】如下
① 配置Web Portal认证服务
1.1 启用Web Portal认证
② 配置Portal服务
③ 创建用户账户
④ 配置有线用户的Web Portal认证
⑤ 配置无线用户免认证访问互联网
7.分校EG2联通线路针对访问外网WEB流量限速每IP 1000Kbps,内网WEB总流量不超过50Mbps;
8.分校EG2周一到周五工作时间09:00-17:00(命名为work)阻断并审计P2P应用软件使用;
【7~8,赛题解析&命令脚本配置】如下
① 配置外网WEB流量限速
1.1 配置ACL匹配WEB流量
1.2 配置流量监管
② 配置内网WEB总流量不超过50Mbps
2.1 配置ACL匹配内网WEB流量
2.2 配置流量监管
③ 配置时间范围和阻断P2P应用
3.1 配置时间范围
3.2 配置ACL阻断P2P应用
3.3 应用ACL
④ 配置审计功能
4.1 配置审计策略
9.本部与分校用户数据流匹配EG内置联通、电信与教育地址库,实现访问联通资源走联通线路,访问电信资源走电信线路,访问教育网资源走教育网线路;
① 配置策略路由
1.1 在EG1上配置策略路由
1.2 在EG2上配置策略路由
② 配置访问控制列表(ACL)
2.1 配置ACL
③ 验证配置
10.除联通、电信、教育资源之外默认所有数据流在三条线路间进行负载转发;
① 配置策略路由
1.1 在EG1上配置策略路由
1.2 在EG2上配置策略路由
11.部署L2TP隧道进行本部对分部路由的对接验证,验证用户名密码均为ruijie,L2TP隧道密码为ruijie;
① 配置分部S5设备
② 配置总部EG1设备
③ 验证L2TP隧道
12.L2TP用户地址池为12.1.0.1—12.1.0.254,Virtual-Template接口引用本地loopback 1接口地址,Virtual-ppp使用12.1.0.2;
① 配置分部S5设备
② 配置总部EG1设备
13.L2TP隧道中承载OSPF协议,使其总部与分部通过OSPF进行路由交互,区域号0;
① 配置分部S5设备
② 配置总部EG1设备
③ 验证L2TP隧道和OSPF配置
14.部署IPSec对L2TP隧道中的业务数据加密;
配置IPSec加密
1.1 在分部S5设备上配置IPSec
1.2 在总部EG1设备上配置IPSec
15.IPSec VPN需要采用传输模式、预共享密码为 ruijie,加密认证方式为 ESP-3DES、ESP-MD5-HMAC ,DH使用组2;
① 配置分部S5设备
② 配置总部EG1设备
16.总分机构间数据通信及加密通过二级运营商R1联通节点作为中转设备;
① 配置分部S5设备
② 配置总部EG1设备
③ 配置二级运营商R1设备
17.本部有线IPV4用户与分部IPV4用户互通主路径规划为:S3-EG1-EG2-S5(EG1/EG2间运行VPN隧道)。
① 配置S3和S4的VLAN和VLAN接口
1.1 在S3上配置
1.2 在S4上配置
② 配置EG1和EG2之间的VPN隧道
2.1 在EG1上配置VPN
2.2 在EG2上配置VPN
③ 配置S5的VLAN和VLAN接口
④ 配置静态路由
4.1 在S3上配置
4.2 在EG1上配置
4.3 在EG2上配置
4.4 在S5上配置
⑤ 验证配置
附录1:拓扑图
附录2:地址规划表
