附件一、学生组赛卷样卷

2023 年江苏省职业院校技能大赛网络搭建与应用赛项中职组样卷

技能要求

竞赛说明

1. 竞赛内容分布

“网络搭建与应用”竞赛共分五个部分，其中： 第一部分：网络组建与配置（35 分）

第二部分：云平台配置（5 分）

第三部分：Windows 系统配置（20 分） 第四部分：Linux 系统配置（20 分） 第五部分：职业素养（5 分）

1. 项目简介

某集团公司原在北京建立了总部，在郑州设立了办事处。总部设有销售、产品、法务、财务、信息技术 5 个部门，统一进行 IP 及业务资源的规划和分配，全网采用 OSPF 动态路由协议和静态路由协议进行互连互通。

公司规模在 2020 年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。

集团、办事处的网络结构详见“主要网络环境”拓扑图。

其中一台 CS6200 交换机编号为 SW-3，用于实现终端高速接入；两台 CS6200 交换机作为总部的核心交换机；两台 DCFW-1800 分别作为集团、郑州办事处的防火墙；一台 DCWS-6028 作为集团的有线无线智能一体化控制器，编号为 DCWS， 通过与 WL8200-I2 高性能企业级 AP 配合实现集团无线覆盖。

第一部分：网络组建与配置（35 分）

【说明】

1. 交换机、 DCWS、防火墙使用同一条 console 线；
2. 设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在 PC1 桌面的“比赛文档_X”（X 为赛位号）文件夹中；
3. 保存文档方式如下：

1. 交换机、DCWS 要把 show running-config 的配置、防火墙要把 show configuration 的配置保存在 PC1 桌面上的“比赛文档_X”文件夹中，文档命名规则为：设备名称.txt。例如： SW-1 交换机文件命名为：SW-1.txt；
2. 无论通过 SSH、telnet、Console 登录防火墙进行 show configuration 配置收集，需要先调整 CRT 软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。CRT 软件调整字符编号配置如图：

一、 网络布线与基础连接

右侧布线面板立面示意图    左侧布线面板立面示意图

说明

1. 机柜左侧布线面板编号 101；机柜右侧布线面板编号 102。
2. 面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B 标准端接。
3. 主配线区配线点与工作区配线点连线对应关系如下表所示。

PC1、PC2 配线点连线对应关系表

（一） 铺设线缆并端接

1. 截取 2 根适当长度的双绞线，两端制作标签，穿过 PVC 线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定；
2. 将 2 根双绞线的一端，根据“PC1、PC2 配线点连线对应关系表“的要求，端接在配线架的相应端口上；
3. 将 2 根双绞线的另一端，根据“PC1、PC2 配线点连线对应关系表”的要求，端接上

RJ45 模块，并且安装上信息点面板，并标注标签。

（二） 跳线制作与测试

1. 再截取 2 根当长度的双绞线，两端制作标签，根据“PC1、PC2 配线点连线对应关系表”的要求，链接网络信息点和相应计算机，端接水晶头，制作网络跳线，所有网络跳线要求

按 568A 标准制作；

1. 根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络跳线，根据题目要求，插入相应设备的相关端❑上（包括设备与设备之间、设备与配线架之间）；
2. 实现 PC、信息点面板、配线架、设备之间的连通（提示：可利用机柜上自带的设备进行通断测试）；
3. PC1 连接 102 底盒 1 端❑、PC2 连接 101 底盒 1 端❑。

二、 交换配置与调试

(一)       为了减少广播，需要根据题目要求规划并配置 VLAN。具体要求如下：

1. 配置合理，所有链路上不允许不必要 VLAN 的数据流通过，包括 VLAN 1；
2. 集团接入交换机与核心交换机之间的互连接❑发送 AP&交换机管理 VLAN 的报文时不携带标签，发送其它 VLAN 的报文时携带标签，要求禁止采用 trunk 链路类型；
3. 当财务业务 VLAN 物理端❑接收到的流量大于端❑缓存所能容纳的大小时，端❑将通知向其发送流量的设备减慢发送速度，以防止丢包；当法务业务 VLAN 物理端❑收包 BUM 报文速率超过 2000packets/s 则关闭端❑，10 分钟后恢复端❑。
4. 根据下述信息及表，在交换机上完成 VLAN 配置和端❑分配。

(二) 在集团核心交换机 SW-1 和 SW-2、接入交换机 SW-3 间运行一种协议，具体要求如下：

1. 实现销售、产品、信息技术业务优先通过 SW-1 至 SW-3 间链路转发，法务、财务、AP&交换机管理等业务优先通过 SW-2 至 SW-3 间链路转发，从而实现 VLAN 流量的负载分担与相互备份；

1. 设置路径开销值的取值范围为 1-65535，BPDU 支持在域中传输的最大跳数为 7 跳； 同时不希望每次拓扑改变都清除设备 MAC/ARP 表，全局限制拓扑改变进行刷新的次数；
2. 加速接入交换机所有业务端❑收敛，当接❑收到 BPDU 丢弃报文并关闭端❑，如果 5

分钟内没有收到 BPDU 报文，则恢复该端❑。

(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议，为所有业务 VLAN 实现网关冗余，具体要求如下：

1. 虚地址使用该 VLAN 中的最后一个可用 IP、SW-1 使用该 VLAN 中的倒数第三可用IP、SW-2 使用该 VLAN 中的倒数第二可用 IP，SW-1 为销售、产品、信息技术业务的 Master， SW-2 为法务、财务、AP&交换机管理等业务的 Master，且互为备份；每隔 3s，VRRP 备份组中的 Master 发送 VRRP 报文来向组内的三层交换机通知自己工作状态；
2. 监视上行链路状态，当上行链路故障时，Slave 设备能够接管 Master 设备转发数据； 而当链路故障恢复后，原 Master 设备接管 Slave 设备转发数据。

(四) 因集团销售人员较多、同时也为了节约成本，在集团接入交换机下挂两个 8 ❑ HUB 交换机实现销售业务接入，集团信息技术部已经为销售业务 VLAN 分配 IP 主机位为 1- 14，在集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发，对 IP 不在上述范围内的用户发来的数据包，交换机不能转发，直接丢弃, 要求禁止采用访问控制列表实现。

(五) 集团接入交换机与核心交换机之间的互连采用光纤接❑且跨楼层，当发现单向链路后，要求自动地关闭互连端❑；发送握手报文时间间隔为 5s, 以便对链路连接错误做出更快的响应，如果某端❑被关闭，经过 30 分钟，该端❑自动重启。

(六) SW-2 既作为集团核心交换机，同时又使用相关技术将 SW-2 模拟为 Internet 交换机，实现集团内部业务路由表与 Internet 路由表隔离。

(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计，分别连接在SW-1 核心交换机 E1/0/10-E1/0/11 接❑测试，将核心交换机与接入交换机、防火墙互连流量提供给多个厂商网流分析平台。

三、 路由配置与调试

(一) 尽可能加大集团防火墙与核心交换机之间链路带宽；

(二) 规划集团使用 OSPF 协议进行互连互通，进程号为 1，具体要求如下：

1. 集团防火墙与集团核心交换机之间、集团核心交换机与集团核心交换机之间均属于骨干区域；
2. 借助 OSPF 相关特性，尽可能保证骨干区域完整性；
3. 针对骨干区域启用区域 MD5 验证，验证密钥为：DCN2019，调整接❑的网络类型加快邻居关系收敛；
4. 集团防火墙将访问郑州办事处业务网段的静态路由引入 OSPF。

(三) 实现集团销售&产品&信息技术&无线业务、统一通过集团防火墙访问 Internet，轮询使用 NAT 地址为：202.99.192.4/30，针对上述源地址，限制单个 IP 地址能建立 NAT 翻译表项的最大数目为 100；配置一对一地址转换，实现通过 Internet 任意位置访问 202.99.192.8/32 都可以访问至集团 OA 平台 10.XX.10.1/32（XX 与“主要网络环境”地址中相应网段一致）进行数据查询；郑州办事处业务网段通过郑州办事处防火墙访问 Internet，NAT 地址池为接❑公网 IP。

(四) 集团防火墙与郑州办事处防火墙之间使用与Internet 的接❑互联地址建立GRE 隧道， 再使用 IPSEC 技术对 GRE 隧道进行保护，使用 IKE 协商 IPSec 安全联盟、交换 IPSec 密钥， 两端加密访问列表名称都为 ipsecacl，这样有了 IPSec，郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时，就不用担心被监视、篡改和伪造，可以安全上传郑州办事处相关销售业务数据。

(五) 为了合理分配集团业务流向，保证来回路径一致，业务选路具体要求如下：

1. 集团核心交换机与集团无线控制器 DCWS 之间采用静态路由协议，使用 OSPF 相关特性实现集团无线业务与 Internet 互访流量优先通过 DCWS_SW-1_FW-1 间链路转发， DCWS_SW-2_FW-1 间链路作为备用链路；
2. 实现销售、产品、信息技术业务分别与 Internet、办事处互访流量优先通过 SW-1_ FW- 1 间链路转发，法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过SW-2_ FW-1 间链路转发，从而实现流量的负载分担与相互备份。

四、 无线配置

(一)       集团无线控制器 DCWS 与核心交换机互联，无线业务网关位于 DCWS 上，

VLAN220 为业务 VLAN；核心交换机侧配置使用 DHCP 进行 AP 管理地址分配，利用 DHCP

方式让 AP 发现 DCWS 进行三层注册，采用 MAC 地址认证。

(二) 配置一个 SSID DCNXX：DCNXX 中的 XX 为赛位号，访问集团及 Internet 业务， 采用 WPA-PSK 认证方式，加密方式为 WPA 个人版，配置密钥为 Dcn12345678。

(三) AP 在收到错误帧时，将不再发送 ACK 帧；打开 AP 组播广播突发限制功能；开启 Radio 的自动信道调整，每天上午 7:00 触发信道调整功能。

五、 安全策略配置

(一) 根据题目要求配置郑州办事处防火墙相应的业务安全域、业务接❑；郑州办事处业务网段通过 VPN 隧道只可以访问集团销售业务网段 http&https 业务,通过公网接❑可以访问 Internet 业务；集团所有业务网段均可以与郑州办事处业务网段双向互 ping，方便网络连通性测试与排障。

(二)   集团计划在郑州办事处进行 https 认证试点，对郑州办事处业务网段上网的用户进行控制，认证服务器为本地防火墙，只有在认证页面输入用户名和密码分别为 dcn01 或者dcn02 才可以访问外部网络，强制用户在线时常超过 1 天后必须重新登录。

(三) 郑州办事处只有 100M Internet 出❑，在郑州办事处防火墙上限制该业务网段每个IP 上下行最多 4M 带宽；对 Internet 出❑ http 流量整形到 10Mbps，从而实现流量精细化控制，保障办事处其它关键应用和服务的带宽。

六、 IPV6 配置

集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版

（IPv6）规模部署行动计划》，加快推进基于互联网协议第六版（IPv6）基础网络设施规模部署和应用系统升级，现准备先在集团公司开始 IPv6 测试，要求如下：

(一)在集团核心交换机 SW-1 配置 IPv6 地址，使用相关特性实现销售业务的 IPv6 终端可自动从网关处获得 IPv6 有状态地址。

(二)在集团核心交换机 SW-2 配置 IPv6 地址，开启路由公告功能，路由公告的生存期为 2

小时，确保产品业务的 IPv6 终端可以获得 IPv6 无状态地址。

(三)在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性，实现销售业务的 IPv6

终端与产品业务的 IPv6 终端可以互访。