“2018年安徽省职业院校技能大赛”高职组“计算机网络应用”赛项样题.doc

1、“2018年安徽省职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题赛题说明一、竞赛内容分布模块一：无线网络勘测与规划（15%）模块二：设备基础信息配置 （10%）模块三：网络搭建与网络冗余备份方案部署 （25%）模块四：移动互联网搭建与网络优化 （15%）模块五：出口安全防护与远程接入 （15%）模块六：服务搭建与企业应用 （15%）模块七：赛场规范和文档规范 （5%）二、竞赛时间竞赛时间为180分钟。三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软

2、件清单、材料清单是否齐全，计算机设备是否能正常使用。3. 操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，不要拆动硬件连接。4. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，不得以任何形式体现参赛院校、工位号等信息。四、竞赛结果文件的提交按照题目要求，提交符合模板的WORD文件、Visio图纸文件和设备配置文件。第一部分：网络规划与实施注意事项l 赛场提供一组云平台环境，已经安装好VMware WorkStation

3、12虚拟机系统并导入虚拟机模板镜像（Windows Server 2008 R2及CentOS 7.0）。l 自行部署安装Windows操作系统的管理员administrator和CentOS的root的密码都是JsjWL_2018。l 考生在PC机上通过SecureCRT软件配置网络设备，软件已经安装在电脑中。l 竞赛结果文件的制作请参考U盘“答题卡”文件夹中的 “交换路由无线网关设备配置答题卡.docx”、“服务搭建与企业应用答题卡.docx”和“无线网络勘测设计答题卡”。请注意排版，文档排版得分将计入总成绩。设备及文档列表本竞赛中所使用的网络设备及线缆如下表所示：表1-1 设备及线缆列表

4、序号类别设备厂商型号数量1硬件出口网关锐捷RG-EG20002台2硬件路由器锐捷RG-RSR20-14E（LAB）3台3硬件串口接口模块锐捷RG-SIC-1HS6个4硬件串口线缆锐捷CAB-V.35DTE-V.35DCE3条5硬件数据中心交换机锐捷RG-S6000C-48GT4XS-E2台6硬件电源模块锐捷RG-PA70I2台7硬件VSU堆叠电缆锐捷XG-SFP-CU1M2条8硬件三层交换机锐捷RG-S5750-24GT4XS-L3台9硬件二层接入交换机锐捷RG-S2910-24GT4XS-E2台10硬件无线控制器锐捷RG-WS60082台11硬件无线AP锐捷RG-AP5203台12硬件电源适

5、配器锐捷RG-E-1203个13软件无线地勘系统锐捷锐捷无线地勘系统1套本竞赛中使用的设备参考资料如下表所示：表1-2文档列表序号名称位置1RG-RSR20-14系列由器配置手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”2RG-S5750系列交换机配置手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”3RG-S6000E系列交换机配置手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”4RG-S2910系列交换机配置手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”5RG-AC系列无线控制器配置手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”6RG-AP系列无线接入点配

6、置手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”7RG-EG2000系列出口网关配置手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”8无线地勘系统用户手册.pdfPC机桌面上的“竞赛资料网络应用参考文档”赛题背景CII网络公司业务不断发展壮大，在亚太地区建立了分部。为了更好地促进分部业务的发展以及与总部的交流，需要进行分部信息化建设。同时为了更好管理数据，提供服务，公司决定建立自己的小型数据中心及云计算服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。同时考虑员工移动办公的需求在总部及所有分部有线网络的基础上建设无线网络，另外为员工访问互联网申请独立的运营商线路避免

7、访问互联网数据过多影响正常业务数据的交互，同时针对访问互联网数据进行身份认证与信息审计确保用网安全。模块一：无线网络勘测与规划CII网络公司租用一层商业楼作为办公使用，考虑到是短期租用，公司信息部建议通过部署无线来实现网络接入，用于购置无线设备的预算为11万元。1. 业务背景及需求： 楼宇的相关信息如下：建筑使用说明：该楼宇为一栋办公大楼，主要提供公司员工办公、会议使用，目前公司租用大楼的其中一层。建筑现场情况：该楼层为室内无吊顶，且部署了门禁、电话等弱电系统，这些弱电系统采用了PVC线槽进行部署安装。建筑物弱电间情况: 该楼宇有独立的弱电间，弱电间位于楼层最右侧，整层建筑的平面布局如图1-1

8、所示。图1-1 平面布局图 无线产品的参数与价格表1-3无线产品及配件价格表产品型号产品特征传输速率（2.4G/最大）推荐/最大带点数功率价格（元）AP330-I双频双流300M/1.167G32/256100mw7000AP110-w单频单流150M8/2660mw3000S2928G-24P24口POE交换机N/AN/A240w20000WS6008无线控制器6*1000M32/22440w50000 网络系统集成物料清单表1-4 综合布线工程材料清单产品名称规格单位Cat5e网络配线架24口、1U个理线架1U个PVC线槽20mm*10mm*2.8m条25mm*12.5mm*2.8m条30

9、mm*16mm*2.8m条39mm*18mm*2.8m条50mm*25mm*2.8m条PVC线槽底盒标准个PVC暗盒标准个PVC线管16mm*2.8m条20mm*2.8m条25mm*2.8m条金属桥架50mm*25mm米60mm*22mm米Cat5e网线305米/箱箱Cat5e水晶头100个/盒盒机柜6U个12U个2. 无线业务规划 无线地勘部分客户已提供建筑平面布局图，根据项目预算（设备经费）和公司场地进行AP的规划与设计，通过无线地勘软件进行AP点位设计，并确保公司整层无线信号全覆盖（厕所、楼梯间和电梯区域无须覆盖）、同时进行无线信道规划，输出公司无线AP点位布置图、无线热图、设备清单。建

10、筑平面布局图如下图。1）在建筑平面图的基础上绘制AP点位图（包括：AP型号、AP编号、AP信道等信息。信道规划统一使用1、6、11）。参考示意图如下图：2）根据AP点位图输出AP热图（通过无线地勘软件）。参考示意图如下图：3）输出该无线网络工程项目设备的预算表，表如下所示：表1-5 设备清单表设备型号单价数量总价项目总预算 网络系统集成工勘根据地勘确定的AP点位和机柜安装位置，输出工勘图纸、系统集成物料清单。考核点如下：1）根据无线AP点位图和建筑物现场环境输出该无线网络的水平布线图（vsd格式），在进行综合布线型材选型中，根据GB50311-2007要求，“线槽/管”截面利用率不能高于30%

11、且“线槽/管”规格选择最小规格。参考示意图如下图：2）根据设备信息绘制机房机柜安装示意图（vsd格式）。参考示意图如下图：3）输出机柜上网络配线架的标签（从左到右），如表1-6所示。表1-6 数据配线架标签表网络配线架标签表1234567891011121314151617181920212223244）工程物料清单根据无线网络的水平布线图，按平均值法输出系统集成物料清单，如表1-7所示。表1-7物料清单表物料名称单位数量提交竞赛结果文件（模块一）制作竞赛结果文件：严格按照 “无线网络勘测设计答题卡.docx”文档格式要求制作输出竞赛结果文件。考生将“无线网络勘测设计答题卡.docx”保存到桌

12、面上，并且拷贝到U盘上的“提交文档”目录下然后提交给现场工作人员。注意：考生在U盘中所提交的文件是竞赛结果的唯一依据，请考生一定确保文件确实有效，能够正常读取。如有疑问，可咨询现场工作人员。39模块二：设备基础信息配置1、设备命名规范和设备的基础信息 根据总体规划内容，将所有的设备根据命名规则修订设备名称 依据设备的总体规划物理连接表，配置设备的接口描述信息2、密码恢复和软件版本统一 将分部接入交换机和总部接入交换机S1和S7做密码恢复，新的密码设置为ruijie 总部和分部的接入交换机S1和S7软件版本统一 因为项目需求，为了满足一个新增的功能产商发布了无线AP的专属的软件版本，满足软件版本

13、的一致性，请将总部和分布的无线AP统一版本至AP_RGOS 11.1(5)B81P3。3、网络设备安全技术 为路由器和无线控制器开启SSH服务端功能，用户名和密码为ruijie，密码为明文类型，特权密码为ruijie。 为交换机开启Telnet功能，对所有Telnet用户采用本地认证的方式。创建本地用户，设定用户名和密码为ruijie，密码为明文类型，特权密码为ruijie。 配置所有设备SNMP消息，版本采用V2C，读写的Community为“ruijie”，只读的Community为“public”，开启Trap消息。模块三：网络搭建与网络冗余备份方案部署CII网络公司总部设有研发、市场、

14、供应链、售后等4个部门，统一进行IP地址及业务资源的规划和分配。公司总部及亚太地区的网络拓扑结构如图1-2所示。其中两台S6000交换机编号为S4、S5，用于服务器高速接入；两台S5750编号为S2、S3，作为总部的核心交换机；两台RSR20路由器编号为R2、R3，作为总部的核心路由器，一台EG2000编号为EG1，作为总部互联网出口网关1。一台S2910编号为S1，作为总部接入交换机；一台RSR20路由器编号为R1，作为分支机构路由器，一台EG2000编号为EG2，作为分部互联网出口网关2。一台S5750编号为S6作为分部核心交换机，一台S2910编号为S7，作为分部接入交换机。3台AP52

15、0编号为AP1，AP2，AP3分别作为总部与分部的无线接入点。图1-2网络拓扑结构图请根据拓扑图及网络物理连接表完成设备的连线。设备互联规范主要对各种网络设备的互联进行规范定义，在项目实施中，如用户无特殊要求，应根据规范要求进行各级网络设备的互联，统一现场设备互联界面，结合规范的线缆标签使用，使网络结构清晰明了，方便后续的维护。如下“表1-8 网络物理连接表”。表1-8网络物理连接表源设备名称设备接口接口描述目标设备名称设备接口S1Gi0/1Con_To_PC1PC1S1Gi0/5Con_To_PC2PC2S1Gi0/21Con_To_AP1AP1S1Gi0/22Con_To_AP2AP2S1

16、Gi0/23Con_To_S2_Gi0/1S2Gi0/1S1Gi0/24Con_To_S3_Gi0/1S3Gi0/1S2Gi0/1Con_To_S1_Gi0/23S1Gi0/23S2Gi0/2Con_To_S3_Gi0/2S3Gi0/2S2Gi0/3Con_To_S3_Gi0/3S3Gi0/3S2Gi0/4Con_To_R2_Gi0/0R2Gi0/0S2Gi0/5Con_To_AC1_Gi0/1AC1Gi0/1S3Gi0/1Con_To_S1_Gi0/24S1Gi0/24S3Gi0/2Con_To_S2_Gi0/2S2Gi0/2S3Gi0/3Con_To_S2_Gi0/3S2Gi0/3S3Gi

17、0/4Con_To_R3_Gi0/0R3Gi0/0S3Gi0/5Con_To_AC2_Gi0/1AC2Gi0/1R2FA1/1Con_To_S4_Gi0/1S4Gi0/1R2Gi0/0Con_To_S2_Gi0/4S2Gi0/4R2Gi0/1Con_To_EG1_Gi0/0EG1Gi0/0R2S2/0Con_To_R1_S2/0R1S2/0R2S3/0Con_To_R3_S3/0R3S3/0R3FA1/1Con_To_S5_Gi0/1S5Gi0/1R3Gi0/0Con_To_S3_Gi0/4S3Gi0/4R3Gi0/1Con_To_EG1_Gi0/1EG1Gi0/1R3S2/0Con_To_R

18、1_S3/0R1S3/0R3S3/0Con_To_R2_S3/0R2S3/0S4Gi0/1Con_To_R2_FA1/1R2FA1/1S4Gi0/2Con_To_S5_Gi0/2S5Gi0/2S4Gi0/5Con_To_Cloud_M云平台(主用)S4Te0/49S5Te0/49S4Te0/50S5Te0/50S5Gi0/1Con_To_R3_FA1/1R3FA1/1S5Gi0/2Con_To_S4_Gi0/2S4Gi0/2S5Gi0/5Con_To_Cloud_B云平台（备用）S5Te0/49S4Te0/49S5Te0/50S4Te0/50R1S2/0Con_To_R2_S2/0R2S2/0

19、R1S3/0Con_To_R3_S2/0R3S2/0R1Gi0/0Con_To_S6_Gi0/1S6Gi0/1R1Gi0/1Con_To_EG2_Gi0/0EG2Gi0/0S6Gi0/1Con_To_R1_Gi0/0R1Gi0/0S6Gi0/2Con_To_AP3_Gi0/0AP3Gi0/0S6Gi0/3Con_To_S7_Gi0/24S7Gi0/24S7Gi0/1Con_To_PC3PC3S7Gi0/24Con_To_S6_Gi0/3S6Gi0/3EG1GI0/0Con_To_R2_Gi0/1R2Gi0/1EG1GI0/1Con_To_R3_Gi0/1R3Gi0/1EG1GI0/2Con_T

20、o_EG2_Gi0/2EG2GI0/2EG2GI0/0Con_To_R1_Gi0/1R1Gi0/1EG2GI0/2Con_To_EG1_Gi0/2EG1GI0/2公司有4个不同业务部门和分部，彼此间需要互联互通，同时也需要对某些业务进行互访限制。另外，各业务对网络可靠性要求较高，要求网络核心区域发生故障时的中断时间尽可能短。还有，网络部署时要考虑到网络的可管理性，并合理利用网络资源。1. 虚拟局域网及IPv4地址部署为了减少广播，需要规划并配置VLAN。具体要求如下： 配置合理，Trunk链路上不允许不必要VLAN的数据流通过。 为节省IP资源，隔离广播风暴、病毒攻击，控制端口二层互访，在分部

21、S6、S7交换机使用Private Vlan。 为隔离网络中部分终端用户间的二层互访，在交换机S1上使用端口保护。根据上述信息及表1-9、表1-10，在各设备上完成VLAN配置和端口分配以及IPv4地址。表1-9网络设备名称表拓扑图中设备名称配置主机名（hostname名）S1ZB-S2910-01S2ZB-S5750-01S3ZB-S5750-02S4ZB-VSU-S6000S5ZB-VSU-S6000S6FB-S5750-01S7FB-2910-01R1FB-RSR20-01R2ZB-RSR20-01R3ZB-RSR20-02AC1ZB-WS6008-01AC2ZB-WS6008-02EG

22、1ZB-EG2000-01EG2FB-EG2000-01AP1ZB-AP520-01AP2ZB-AP520-02AP3FB-AP520-01表1-10 IPv4地址分配表设备接口或VLANVLAN名称二层或三层规划(XX代表工位号)说明S1VLAN10ResGi0/1至Gi0/4研发VLAN20SalesGi0/5至Gi0/8市场VLAN30SupplyGi0/9至Gi0/12供应链VLAN40ServiceGi0/13至Gi0/16售后VLAN50APGi0/21至Gi0/22无线APVLAN100Manage192.XX.100.4/24设备管理VLANS2VLAN10Res192.XX.

23、10.252/24研发VLAN20Sales192.XX.20.252/24市场VLAN30Supply192.XX.30.252/24供应链VLAN40Service192.XX.40.252/24售后VLAN50AP192.XX.50.252/24无线APVLAN100Manage192.XX.100.252/24设备管理VLANGi0/410.XX.0.1/30Gi0/5TRUNK互联ACLoopBack 011.XX.0.202/32S3VLAN10Res192.XX.10.253/24研发VLAN20Sales192.XX.20.253/24市场VLAN30Supply192.XX.

24、30.253/24供应链VLAN40Service192.XX.40.253/24售后VLAN50AP192.XX.50.253/24无线APVLAN100Manage192.XX.100.253/24设备管理VLANGi0/410.XX.0.5/30Gi0/5TRUNK互联ACLoopBack 011.XX.0.203/32AC1LoopBack 011.XX.0.204/32VLAN60Wiressless192.XX.60.252/24无线用户Vlan100Manage192.XX.100.2/24管理与互联VLANAC2LoopBack 011.XX.0.205/32VLAN60Wir

25、essless192.XX.60.253/24无线用户Vlan100Manage192.XX.100.3/24管理与互联VLANS4VLAN100Con_To_Cloud193.XX.0.1/24互联云平台Gi0/110.XX.0.9/30LoopBack 011.XX.0.45/32S5VLAN100Con_To_Cloud193.XX.0.1/24互联云平台(备用)Gi0/110.XX.0.13/30LoopBack 011.XX.0.45/32EG1GI0/2195.XX.0.1/24与EG2互联GI0/010.XX.0.34/30GI0/110.XX.0.38/30LoopBack 0

26、11.XX.0.11/32EG2GI0/2195.XX.0.2/24与EG1互联GI0/010.XX.0.42/30LoopBack 011.XX.0.12/32R1S2/010.XX.0.17/30S3/010.XX.0.21/30Gi0/010.XX.0.25/30Gi0/110.XX.0.41/30LoopBack 011.XX.0.1/32R2Gi0/010.XX.0.2/30FA1/1(vlan100)10.XX.0.10/30SVI接口互联Gi0/110.XX.0.33/30S2/010.XX.0.18/30S3/010.XX.0.29/30LoopBack 011.XX.0.2/

27、32R3Gi0/010.XX.0.6/30FA1/1(vlan100)10.XX.0.14/30SVI接口互联Gi0/110.XX.0.37/30S2/010.XX.0.22/30S3/010.XX.0.30/30LoopBack 011.XX.0.3/32S6Gi0/110.XX.0.26/30VLAN10Pvlan194.XX.10.254/24分部有线用户VLAN20Wireless_user194.XX.20.254/24分部无线用户VLAN30AP194.XX.30.254/24分部无线APVLAN100Manage194.XX.100.254/24设备管理VLANLoopBack

28、011.XX.0.6/32S7VLAN10PvlanPrimaty vlanVLAN11Community_vlanGi0/1至Gi0/4community vlanVLAN12Isolated_vlanGi0/5至Gi0/8isolated vlanVLAN100Manage194.XX.100.1/24设备管理VLANPC机PC1自动获取PC2192.XX.20.2/24PC3194.XX.10.2/242. MSTP及VRRP部署在总部交换机S2、S3上配置MSTP防止二层环路；要求所有数据流经过S2转发，S2失效时经过S3转发。所配置的参数要求如下： region-name为ruiji

29、e； revision版本为1； 实例值为1； S2作为实例中的主根， S3作为实例中的从根。 在S2和S3上配置VRRP，实现主机的网关冗余。所配置的参数要求如表1-11。表1-11 S2和S3的VRRP参数表VLANVRRP备份组号（VRID）VRRP虚拟IPVLAN1010192.xx.10.254VLAN2020192.xx.20.254VLAN3030192.xx.30.254VLAN4040192.xx.40.254VLAN5050192.xx.50.254VLAN100(交换机间)100192.xx.100.254 S2作为所有主机的实际网关，S3作为所有主机的备份网关；其中各V

30、RRP组中高优先级设置为150，低优先级设置为120。3. DHCP中继与安全在交换机S2、S3上配置DHCP中继，对VLAN10以内的用户进行中继，使得总部PC1用户使用DHCP Relay方式获取IP地址。具体要求如下： DHCP服务器搭建于R2上； 为了防止DHCP服务器欺骗及用户私设静态IP地址，在S1交换机部署DHCP Snooping功能。4. 网络设备虚拟化两台核心交换机通过VSU虚拟化为一台设备进行管理，从而实现高可靠性。当任意交换机或板卡故障时，都能保障能够实现设备、链路切换，保护客户业务。 规划S4和S5间的Te0/29-30端口作为VSL链路，使用VSU技术实现网络设备虚

31、拟化。其中S4为主，S5为备； 规划S4和S5间的Gi0/2端口作为双主机检测链路，配置基于BFD的双主机检，当VSL的所有物理链路都异常断开时，备机会切换成主机，从而保障网络正常； 主设备：Domain id：1,switch id:1,priority 200, description: S6000C-48GT4XS-E-1; 备设备：Domain id：1,switch id:2,priority 150, description: S6000C-48GT4XS-E-2。5. 路由协议部署因历史原因，总部使用静态路由、OSPF多协议组网。其中S2、S3、S4、S5、R2、R3使用OSPF

32、协议，R2、R3与总部出口网关及分部R1间使用静态路由协议，分部使用静态路由协议。要求网络具有安全性、稳定性。具体要求如下： OSPF进程号为10，规划多区域0（S2、S3、R2、R3）、区域1（S4、S5、R2、R3）； R2、R3互联链路规划入区域0； 要求业务网段中不出现协议报文； 要求所有路由协议都发布具体网段； 为了管理方便，需要发布Loopback地址; 优化OSPF相关配置，以尽量加快OSPF收敛； 重发布路由进OSPF中使用类型1； 采用浮动静态路由，主静态路由优先级为10，备份静态路由优先级为100。6. 广域网链路配置与安全部署总部路由器与分部路由器间属于广域网链路，其中R

33、1-R2间所租用线路带宽为2M，R1-R3间所租用线路带宽为1M。R2-R3间线路带宽为2M。总部路由器与分部路由器间属于广域网链路。需要使用PPP进行安全保护。PPP的具体要求如下： 使用CHAP协议； 单向认证，用户名+验证口令方式，R1为认证客户端，R2、R3为认证服务端； 用户名和密码均为ruijie。7. 路由选路部署 考虑到从分部到总部有两条广域网线路，且其带宽不一样。所以规划R1-R2间为主线路，R1-R3间为备线路。另外总部局域网到互联网数据，经规划R2-EG1为主线路，R3-EG1为备线路。根据以上需求，在路由器上进行合理的路由协议配置。具体要求如下： 修改链路或接口开销CO

34、ST值，且其值必须为5或10； 总部用户区与互联网互通主路径规划为：S1-S2-R2-EG1; 总部与分部互通主路径为：S1-S2-R2-R1或（S4/S5）-R2-R1； 主链路故障可无缝切换到备用链路上； 要求来回数据流一致。8. PBR配置与部署 考虑到分部到总部间有2条广域网线路，为合理利用带宽，规划从分部去往总部的SSH数据通过R1-R2的线路转发，从分部去往总部的WEB数据通过R1-R3的线路转发。为达到上述目的，采用PBR来实现。具体要求如下： Route-map策略名为fenliu； 分部去往总部的SSH数据由ACL101来定义； 分部去往总部的WEB数据由ACL102来定义。

35、9. QoS部署为了防止大量用户不断突发的数据导致网络拥挤，必须对接入的用户流量加以限制。所配置的参数要求如下 总部设备S1的Gi0/1至Gi0/16接口处方向设置接口限速，限速10M/S； 分部设备R1做流量监管，G0/0接口对接收的报文进行流量控制，下行报文流量不能超过1Mbps，如果超过流量限制则将违规报文丢弃。模块四：移动互联网搭建与网络优化为满足“互联网+”时代下，员工移动办公的发展趋势，公司总部与分部均需要规划和部署移动互联无线网络，同时为保证无线用户安全、可靠的访问互联网，我们需要进行无线网络安全及性能优化配置，确保员工有良好的上网体验。1. 无线网络基础部署 使用AC为总部无线

36、用户DHCP 服务器，使用（S2/S3）为总部AP的DHCP 服务器,S2分配地址范围为其网段的1至100，S3分配地址为其网段的101至200。使用S6为分部无线用户与AP DHCP服务器，为其终端自动分配地址； 创建总部 SSID 为 Ruijie-ZB_XX(XX代表工位号)，AP-Group为ZB，总部无线用户关联SSID后可自动获取地址； 创建分部 SSID 为 Ruijie-FB_XX(XX代表工位号)，AP-Group为FB,分部无线用户关联SSID后可自动获取地址； 调整信道使得总部AP间信道不冲突。2. AC热备部署 AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道

37、，当AP与AC1失去连接时能无缝切换至AC2并提供服务。3. 无线安全部署具体配置参数如下： 无线用户接入无线网络时需要采用基于 WPA2 加密方式，其口令为 XXX(现场提供)； 为避免无线网络被非法用户通过SSID搜索到，并建立非法连接，需要禁用AP广播SSID，隐藏无线SSID； 为了防御无线局域网ARP欺骗影响用户上网体验，配置总部无线环境ARP欺骗防御功能。4. 无线性能优化 关闭低速率（1M,6M）应用接入； 设备总部无线用户启用集中转发模式，各分公司无线用户启用本地转发模式。 模块五：出口安全防护与远程接入公司总部与分部无线用户需要通过独立的互联网线路访问外网资源，同时针对访问资

38、源进行用户身份认证与信息审计监督，另外满足出差在外的员工可以访问总部内部服务器资源，需针对出口用户提供远程VPN功能。1. 出口NAT部署具体配置参数如下： 总部与分部出口网关上配置访问控制列表ACL 110，仅允许无线用户与研发部门在周一到周五的上班时间通过NAPT访问互联网，NAPT映射到互联网接口上； 在总部EG上配置，使公司总部核心交换R2（11.XX.0.2）(XX代表工位号)设备的SSH服务可以通过互联网被访问，从互联网访问的地址是195.XX.0.20(XX代表工位号)。2. Web Portal用户认证部署 在总部网关上启用Web Portal认证服务，并创建user1、use

39、r2; 设置免认证资源http:/195.XX.0.20(XX代表工位号)。3. 应用流量控制部署 针对访问外网FTP流量限速每用户5000Kbps，内网ftp总流量不超过100M。4. 用户行为策略部署 禁止总部内网用户通过浏览器访问http:/195.XX.0.2(XX代表工位号); 禁止总部内网用户下载后缀是.mp3类型的文件； 内网user1、user2访问互联网资源免审计。5. VPN部署 分部R1至R2、R3两条专线均发生故障时确保分部可正常访问总部服务器区，要求在总部与分部EG上启用IPSEC VPN建立IPSEC隧道，实现总部与分部有线用户数据互通及加密处理。VPN需要采用隧道

40、模式、预共享密码为 123456，加密认证方式为 ESP-DES、ESP-HASH-MD5 ，DH使用组1，与此同时总部关闭WEB认证功能。6. 设备与网络管理部署 为路由器开启SSH服务端功能，用户名和密码为admin，密码为明文类型； 为交换机开启Telnet功能，对所有Telnet用户采用本地认证的方式。创建本地用户，设定用户名和密码为admin，密码为明文类型。提交竞赛结果文件（模块二、模块三、模块四、模块五）制作竞赛结果文件：严格按照 “交换路由无线网关设备配置答题卡.docx”文档格式要求制作输出竞赛结果文件。同时在每台设备上使用show running-config命令，将该命令

41、下显示的结果分别保存到独立的TXT文件中，文件名以设备编号命名（S1、S2、S3、(S4/S5)、S6、S7、R1、R2、R3、AC1、AC2、EG1、EG2），并把所有的TXT文件存放在“设备配置”文件夹下。 考生将“交换路由无线网关设备配置答题卡.docx”以及“设备配置”文件夹保存到桌面上，并且拷贝到U盘上的“提交文档”目录下然后提交给现场工作人员。注意：考生在U盘中所提交的文件是竞赛结果的唯一依据，请考生一定确保文件确实有效，能够正常读取。如有疑问，可咨询现场工作人员。模块六：服务搭建与企业应用公司总部为了更好管理数据，提供服务，需要建立自己的小型数据中心及云计算服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。1. 云计算管理平台搭建根据在服务器上提供的VMware WorkStation 12虚拟化软件、Windows2008 R2和Centos7镜像安装操作系统，硬盘空间为50G，