2024年河南省职业技能竞赛（网络建设与运维赛项）

模块二：网络建设与调试
说明：
1.所网络设备在创建之后都可以直接通过 SecureCRT 软件 telnet 远程连接操作。
2.要求在全员化竞赛平台中保留竞赛生成的所有虚拟主机。 3.题目中所有所有的密码均为 Pass-1234，若未按照要求设置，涉 及到该操作的所有分值记为 0 分。
4.网络设备的 IP 地址、设备名称请按照题目要求设定，若未按照 要求设置，涉及到该操作的所有分值记为 0 分。
5.防火墙初始用户名为 hillstone，密码为 hillstone；第一次登 录需要修改密码，密码统一修改为 Pass-1234。
6.选手提交答案方式：在答题界面右上角点击“提交做题结果”，选择需要提交答案的设备点击“提交答案”进行提交。

任务描述： 
某集团公司原在城市 A 成立了总公司，后在城市 B 成立了分公司，又在城市 C 建立了机房。集团设有产品、营销、法务、人力、财务 5 个部门，统一进行 IP 及业务资源的规划和分配，全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。 

2. 网络设备 IP 地址分配表
   设备名称 设备接口 ip 地址
   SW1 loopback1 ospfv2 ospfv3 bgp 10.1.1.1/32
   随着企业数字化转型工作进一步推进，为持续优化运营创新，充 分激活数据要素潜能，为社会创造更多价值，集团决定在总公司建立 两个数据中心，在某省建立异地灾备数据中心，以达到快速、可靠交 换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构 演进，更好的服务于公司客户。
   网络拓扑图及 IP 地址表：
   
   
   
   

一、交换配置 
1.配置相对应 vlan，SW1、SW2、SW3 的二层链路只允许相应 vlan 通过。模拟交换机 SW5 的 G0/7 口设置为 trunk，只允许相应 vlan 通过。 

设备 vlan 编号 说明
SW1 vlan11 产品 1 段
vlan12 营销 1 段
vlan13 法务 1 段
vlan14 人力 1 段
vlan15 财务 1 段
vlan10 信息技术
vlan20 生产
SW2 vlan21 产品 2 段
vlan22 营销 2 段
vlan23 法务 2 段
vlan24 人力 2 段
vlan25 财务 2 段
vlan10 信息技术
vlan20 生产
SW3 vlan31 产品 3 段
vlan32 营销 3 段
vlan33 法务 3 段
vlan34 人力 3 段
vlan10 信息技术
vlan20 生产
SW4 vlan210 服务器网段
模拟交换 机 SW5 vlan110 分公司产品
vlan120 分公司营销

2.SW1 和 SW2 之间利用三条网线实现互通，其中一条网线承载三层 IP 业务、一条网线承载 VPN 业务、一条网线承载二层业务。用相 关技术分别实现财务 1 段、财务 2 段业务路由表与其它业务路由表隔 离，财务业务 VPN 实例名称为 Finance。承载二层业务的只有一条裸 光缆通道，配置相关技术，方便后续链路扩容与冗余备份，编号为 1，用 LACP 协议，SW1 为 active，SW2 为 passive；采用目的、源 IP 进 行实现流量负载分担。
3.SW1 和 SW3 之间、SW2 和 SW3 之间利用两条网线实现互通，其中 一条网线承载三层 IP 业务、一条网线承载二层业务。
4.将 SW3 模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表 VPN 实例名称为 Office。将 SW3 模拟为 Internet 交 换机，实现与集团其它业务路由表隔离，Internet 路由表 VPN 实例 名称为 Internet。
5.SW1 和 SW2 所有端口启用链路层发现协议，报文发送时间间隔 为 20s，发送 LLDP 告警的时间间隔为 10s，配置 SW1 和 SW2 互连端口 LLDP 告警功能。
6.SW1 和 SW2 G0/0-2 启用环路故障检测，当发生该故障时，自 动关闭端口，经过 1 分钟后，端口自动重启；发送 Hello 报文时间 间隔为 10s。
二、路由调试
1.配置所有设备主机名，名称见“网络拓扑”。启用所有设备的 ssh 服务，用户名 admin 和密码 Key-1234；配置所有设备 ssh 连接超 时为 1 分钟。
2.配置接口 ipv4 地址和 ipv6 地址，互联接口 ipv6 地址用本地链 路地址。
3.RT1 配置 DHCPv4，分别为总公司产品 1 段、总公司产品 2 段、总公司产品 3 段、分公司产品分配地址。IPv4 地址池名称分别为 Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan110，排除网关，DNS为 10.1.210.1。SW1、SW2、SW3、模拟交换机 SW5 的中继地址为 RT1 Loopback1 地址。
4.SW1、SW2、SW3、SW4、RT1、FW1、FW2、之间运行 OSPFv2 和 OSPFv3 协议（路由模式发布网络用接口地址）。
（1）SW1、SW2、SW3、RT1 之间运行 OSPFv2 和 OSPFv3 协议，进程 1，区域 0，分别发布 loopback1 地址路由和产品路由。
（2）RT1 和 FW1 之间运行 OSPFv2 和 OSPFv3 协议，进程 1，区域 1，分别发布 loopback1 地址路由。
（3）RT1 和 FW2 之间运行 OSPFv2 和 OSPFv3 协议，进程 1，区域 2，分别发布 loopback1 地址路由。
（4）SW4 和 FW2 之间运行 OSPFv2 和 OSPFv3 协议，进程 2，区域 0。
SW4 发布 loopback1 地址路由和服务器网段路由。FW2 向该区域通告 type1 默认路由。FW2 用 access-list 匹配 SW4 Loopback1 和服务器 网段路由、 FW2 与 SW4 直连 IPv4 路由，将以上路由重发布到 ipv4 process 1。FW2 直接将 ipv6 process2 路由发布到 ipv6 process1 5.RT1、RT2、FW1、FW2 之间分别运行 RIP 协议和 RIPng 协议，版 本 2。分别发布 Loopback2 地址路由，RT1 配置 offset 值为 5 的路由 策略，实现 FW1-E0/2_RT1-G0/2_RT1-G0/3_FW2-E0/3 为主链路，FW1-E0/4_RT1-G0/4_RT1-G0/5_FW2-E0/5 为备份链路。
6.RT1、FW1、FW2 之间运行 ISIS 协议，进程 1，分别实现 loopback3 之间互通。RT1、FW1、FW2 的 NET 分别为 49.0000.0000.0005.00、49.0000.0000.0007.00 、 49.0000.0000.0008.00 ， 路 由 器 类 型 是 Level-2，接口网络类型为点到点证。配置域 md5 认证，密码为 Key-1234。
三、安全维护
说明：ip 地址按照题目给定的顺序用“ip/mask”表示，ipv4 any 地址用 0.0.0.0/0，ipv6 any 地址用::/0，禁止用地址条目，否则按 零分处理。

1.FW1 和 FW2 策略默认动作为拒绝，FW1 允许 产品 1 段 IPv4 和 IPv6 访问 Internet 任意服务。 

2.FW2 允许集团产品 1 段 IPv4 访问 DMZ 区域任意服务。
3.FW1 配置 IPv4 NAT，实现集团产品 1 段 IPv4 访问 Internet IPv4，转换 ip/mask 为 200.200.200.16/28，保证每一个源 ip 产生 的所有会话将被映射到同一个固定的 IP 地址。
4.FW2 配置 IPv4 NAT，实现外网访问 200.200.200.5 的 HTTP 服务 时，映射到 10.1.210.20 的 80 端口。
5.FW1 与 FW2 之间用 Internet 互联地址建立 GRE Over IPSec VPN， 实现 Loopback4 之间的加密访问。FW1 和 FW2 的 isakmp proposal 名称为 P-1，isakmp peer 名称为 PEER-1，ipsec proposal 名称为 P-2，tunnel ipsec 名称为 IPSEC-1，tunnel gre 名称为 GRE-1。