赛题说明
一、竞赛内容分布
第一部分:网络规划与实施(95%)
模块一:无线网络规划与实施(10%)
模块二:设备基础信息配置(5%)
模块三:网络搭建与网络冗余备份方案部署(25%)
模块四:移动互联网搭建与网优(20%)
模块五:出口安全防护与远程接入(15%)
模块六:云计算服务搭建与企业应用(20%)
第二部分:赛场规范和文档规范(5%)
二、竞赛时间
竞赛时间为3个小时。
三、竞赛注意事项
1.竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信设备等进入赛场。
2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3.操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4.比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5.裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。
四、竞赛结果文件的提交
按照题目要求提交符合模板的WORD文件、PDF文件、Visio图纸文件和设备配置文件。
第一部分:网络规划与实施
注意事项
l 赛场提供一组云平台环境,已经安装好JCOS系统及导入虚拟机模板镜像(Windows Server 2008 R2及CentOS 7.0)。JCOS系统的IP地址为172.16.0.2。
l 考生通过WEB页面登录到JCOS系统中,基于模板镜像建立虚拟机并对虚拟机中的操作系统进行相关网络服务配置。JCOS系统的登录用户名和密码都是XX(现场提供)。
l Windows操作系统的管理员和CentOS的root用户的密码在创建云主机的时候自行设置,ODL的虚拟机默认用户名密码都是mininet,软件均已经安装在电脑中。
l 考生在PC机上通过SecureCRT软件配置网络设备,软件已经安装在电脑中。
l 竞赛结果文件的制作请参考“答题卡”文件夹中的“交换路由无线网关设备配置答题卡模板x”、“云平台服务器配置答题卡模板x”和“无线网络勘测设计答题卡”。请注意排版,文档排版得分将计入总成绩。
设备及文档列表
本竞赛中所使用的网络设备及线缆如下表所示:
表1-1 设备及线缆列表
序号 |
类别 |
设备 |
厂商 |
型号 |
数量 |
1 |
硬件 |
出口网关 |
锐捷 |
RG-EG2000 |
2台 |
2 |
硬件 |
路由器 |
锐捷 |
RG-RSR20-14E(LAB)/RSR20-X-28 |
3台 |
3 |
硬件 |
数据中心交换机 |
锐捷 |
RG-S6000C-48GT4XS-E |
2台 |
4 |
硬件 |
数据中心电源模块 |
锐捷 |
RG-PA70I |
2个 |
5 |
硬件 |
万兆堆叠模块 |
锐捷 |
XG-SFP-CU1M/XG-SFP-AOC1M |
2条 |
6 |
硬件 |
三层交换机 |
锐捷 |
RG-S5750-24GT4XS-L |
3台 |
7 |
硬件 |
二层接入交换机 |
锐捷 |
RG-S2910-24GT4XS-E |
2台 |
8 |
硬件 |
无线控制器 |
锐捷 |
RG-WS6008 |
2台 |
9 |
硬件 |
无线AP |
锐捷 |
RG-AP520/RG-AP720 |
3台 |
10 |
硬件 |
电源适配器 |
锐捷 |
RG-E-120 |
3个 |
11 |
硬件 |
串口接口模块 |
锐捷 |
RG-SIC-1HS/RG-SIC-2HS |
6个 |
12 |
硬件 |
串口线缆 |
锐捷 |
CAB-V.35DTE-V.35DCE |
3条 |
13 |
硬件 |
服务器 |
锐捷 |
推荐RG-UDS1022G或同等配置的其他主流品牌服务器服务器最低配置要求 |
若干台 |
14 |
软件 |
云平台管理软件 |
锐捷 |
RG-JCOS |
2套 |
15 |
软件 |
无线地勘系统 |
锐捷 |
无线地勘系统 |
1套 |
本竞赛中使用的设备参考资料如下表所示:
表1-2 文档列表
序号 |
名称 |
位置 |
1 |
RG-RSR20-14系列路由器配置手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
2 |
RG-S5750系列交换机配置手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
3 |
RG-S6000E系列交换机配置手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
4 |
RG-S2910系列交换机配置手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
5 |
RG-AC系列无线控制器配置手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
6 |
RG-AP系列无线接入点配置手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
7 |
RG-EG2000系列出口网关配置手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
8 |
无线地勘系统用户手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
9 |
RG-JCOS系列捷云操作系统用户手册.pdf |
PC机桌面上的“竞赛资料\网络应用\参考文档” |
赛题背景
CII教育公司业务不断发展壮大,公司员工数量快速增长。为适应IT行业技术飞速发展,提升员工素养和技术能力水平,满足公司业务发展需求,决定建设本部企业大学以及东校区和西校区企业大学分校。为了促进本部企业大学与分校的交流沟通,需要进行企业大学信息化建设。同时为了更好管理数据,提供服务,本部企业大学决定建立自己的小型数据中心及云计算服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。同时考虑企业大学信息化教学的需求,在本部及所有分校有线网络的基础上建设无线网络,另外为学员访问互联网申请独立的教育网线路避免访问互联网数据过多影响正常业务数据的交互,同时针对访问互联网数据进行身份认证与信息审计确保用网安全。
模块一:无线网络规划与实施
某研发基地最近在济南新租用了一栋综合商住两用楼用于公司临时办公,由于原楼层未进行信息化改造,考虑到是短期租用,公司信息部建议通过部署无线来实现网络接入,用于购置无线设备的预算为10万元。
1. 业务背景及需求:
Ø 楼宇的相关信息如下:
建筑使用说明:该楼宇为一栋商住综合楼,可供公司员工住宿、办公和会议,目前该公司租用了一楼。
建筑现场情况:该楼宇为室内无吊顶,原有强电布线室内外均采用了pvc线槽敷设。
建筑物弱电间情况:该楼宇目前没有独立的弱电间,经同管理处协商,弱电间位置位于北面最右侧走廊,安装位置为在会议厅房间外,安装方式为壁挂式,整层建筑的平面布局图如下图所示。
图1-1 平面布局图
Ø 无线产品的参数与价格
表1-2 无线产品及配件价格表
产品型号 |
工作模式 |
传输速率 |
推荐/最大 带点数 |
功率 |
价格(元) |
AP330-I |
双频双流 |
300M/1.167G |
32/256 |
100mW |
6000 |
AP220-E(M)-V3.0 |
双频双流 |
300M/600M |
32/256 |
100mW |
11000 |
RG-Cab-SMA-10m |
10米馈线 |
N/A |
N/A |
N/A |
1600 |
RG-Cab-SMA-15m |
15米馈线 |
N/A |
N/A |
N/A |
2400 |
RG-IOA-2505-S1 |
双频单流/单频单流 |
N/A |
N/A |
N/A |
500 |
AP110-w |
单频单流 |
150M |
12/32 |
60mW |
2500 |
S2928G-24P |
24口POE交换机 |
N/A |
N/A |
240W |
15000 |
WS6008 |
无线控制器 |
6*1000M |
32/200 |
40W |
42000 |
Ø 网络系统集成物料清单
表1-3 综合布线工程材料清单
产品名称 |
规格 |
单位 |
Cat5e网络配线架 |
24口、1U |
个 |
理线架 |
1U |
个 |
PVC线槽 |
20mm*10mm*2.8m |
条 |
25mm*12.5mm*2.8m |
条 |
|
30mm*16mm*2.8m |
条 |
|
39mm*18mm*2.8m |
条 |
|
50mm*25mm*2.8m |
条 |
|
PVC线槽底盒 |
标准 |
个 |
PVC暗盒 |
标准 |
个 |
PVC线管 |
16mm*2.8m |
条 |
20mm*2.8m |
条 |
|
25mm*2.8m |
条 |
|
金属桥架 |
50mm*25mm |
米 |
60mm*22mm |
米 |
|
Cat5e网线 |
305米/箱 |
箱 |
Cat5e水晶头 |
100个/盒 |
盒 |
机柜 |
6U |
个 |
机柜 |
12U |
个 |
2. 无线业务规划
Ø 无线地勘部分
根据提供的建筑平面布局图、项目预算(设备经费)和业务需求进行AP的规划与设计,通过无线地勘软件进行AP点位设计和无线信号仿真,确保无线信号全覆盖(厨房、厕所、楼梯间和电梯区域无须覆盖)。然后进一步做无线信道规划,并输出该层无线AP点位示意图、无线热图和网络设备清单。
1)绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划),AP点位参考示意图如下。
2)使用无线地勘软件,输出AP点位图的2.4G信号仿真热图(仿真信号强度要求大于-65db),参考示意图如下。
3)输出该无线网络工程项目设备的预算表,网络设备型号和价格依据表1-5。
表1-5 设备清单表
设备型号 |
单价 |
数量 |
总价 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
项目总预算 |
|
Ø 网络系统集成工勘
根据AP点位部署位置和建筑物现场情况,输出无线网络工程项目施工的水平布线图、机柜安装示意图、网络配线架标签和物料清单。
(1)根据无线AP点位和建筑物现场环境设计该无线网络的水平布线图(vsd格式),在进行综合布线型材选型中,根据GB50311-2007要求,线槽/管截面利用率不能高于30%且线槽/管规格选择最小规格。参考示意图如下。
(2)根据机柜上架设备清单,规划设备在机柜的安装位置、设备和网络配线架的标识,输出机柜安装示意图(vsd格式)。参考示意图如下。
(3)根据无线AP点位编号信息,合理规划AP对应双绞线的上架位置,并在网络配线架面板做标注。请将机柜上网络配线架的标签信息(从左到右)填写到表1-6中。
表1-6 数据配线架标签表
网络配线架标签表 |
|||||||||||||||||||||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(4)工程物料清单。根据无线网络的水平布线图,计算本次无线网络工程的物料清单,其中线缆采用平均值法进行估算,所有材料以表1-4为准。请将本次无线网络工程的物料清单填写到表1-7中。
表1-7 物料清单表
物料名称 |
单位 |
数量 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
提交竞赛结果文件(模块一)
制作竞赛结果文件:严格按照“无线网络勘测设计答题卡模板x”文档格式要求制作输出竞赛结果文件,同时另存一份PDF格式文档(利用Office Word另存为pdf文件方式生成pdf文件)。
考生将竞赛结果文件“无线网络勘测设计答题卡模板”和“无线网络勘测设计答题卡.pdf”保存到桌面上,并且拷贝到“提交文档”目录下然后提交给现场工作人员。
注意:考生所提交的文件是竞赛结果的唯一依据,请考生一定确保文件确实有效,能够正常读取。如有疑问,可咨询现场工作人员。
总体规划
CII教育公司在进行企业大学信息化建设的过程中,为了保证北京分校、广州分校与本部校区的日常OA办公通信等关键业务,需要保证本部与分校之间的网络互联与可靠。同时,为了确保所有校区均可正常访问互联网,在本部校区出口规划了双出口及双链路备份。具体的网络拓扑结构如图1-2所示。
其中两台EG2000出口网关分别编号EG1、EG2与教育网和联通互联,两台S6000交换机编号为S3、S4作为本部校区的核心交换机。一台S5750交换机编号为S5,用于服务器高速接入。两台无线控制器WS6008编号为AC1、AC2,用作无线控接入点的配置和管理。两台S2910接入交换机编号为S1、S2,用作本部校区的接入设备。一台无线AP520编号AP1用作本部校区的无线接入点。三台路由器RSR20-14编号为R1、R2、R3,通过本部的R1与北京分校以及广州分校的R2和R3路由器相连。两台S5750编号为S6、S7,分别作为北京分校和广州分校的核心交换机。两台无线AP520编号AP2、AP3分别作为北京分校和广州分校的无线接入点。
图1-2 网络拓扑结构图
请根据拓扑图及网络物理连接表完成设备的连线。
设备互联规范主要对各种网络设备的互联进行规范定义,在项目实施中,如用户无特殊要求,应根据规范要求进行各级网络设备的互联,统一现场设备互联界面,结合规范的线缆标签使用,使网络结构清晰明了,方便后续的维护。如下“表1-8网络物理连接表”。
表1-8 网络物理连接表
源设备名称 |
设备接口 |
接口描述 |
目标设备名称 |
设备接口 |
S1 |
Gi0/1 |
Con_To_PC1 |
PC1 |
|
S1 |
Gi0/23 |
Con_To_S3_Gi0/1 |
S3 |
Gi0/1 |
S1 |
Gi0/24 |
Con_To_S4_Gi0/1 |
S4 |
Gi0/1 |
S2 |
Gi0/22 |
Con_To_AP1_Gi0/1 |
AP1 |
Gi0/1 |
S2 |
Gi0/23 |
Con_To_S3_Gi0/2 |
S3 |
Gi0/2 |
S2 |
Gi0/24 |
Con_To_S4_Gi0/2 |
S4 |
Gi0/2 |
S3 |
Gi0/1 |
Con_To_S1_Gi0/23 |
S1 |
Gi0/23 |
S3 |
Gi0/2 |
Con_To_S2_Gi0/23 |
S2 |
Gi0/23 |
S3 |
Gi0/3 |
Con_To_AC1_Gi0/1 |
AC1 |
Gi0/1 |
S3 |
Gi0/4 |
Con_To_EG2_Gi0/3 |
EG2 |
Gi0/3 |
S3 |
Gi0/5 |
Con_To_S5_Gi0/23 |
S5 |
Gi0/23 |
S3 |
Gi0/6 |
Con_To_EG1_Gi0/0 |
EG1 |
Gi0/0 |
S3 |
Te0/49 |
Con_To_S4_Te0/49 |
S4 |
Te0/49 |
S3 |
Te0/50 |
Con_To_S4_Te0/50 |
S4 |
Te0/50 |
S4 |
Gi0/1 |
Con_To_S1_Gi0/24 |
S1 |
Gi0/24 |
S4 |
Gi0/2 |
Con_To_S2_Gi0/24 |
S2 |
Gi0/24 |
S4 |
Gi0/3 |
Con_To_AC2_Gi0/1 |
AC2 |
Gi0/1 |
S4 |
Gi0/4 |
Con_To_EG1_Gi0/3 |
EG1 |
Gi0/3 |
S4 |
Gi0/5 |
Con_To_S5_Gi0/24 |
S5 |
Gi0/24 |
S4 |
Gi0/6 |
Con_To_EG2_Gi0/0 |
EG2 |
Gi0/0 |
S4 |
Gi0/7 |
Con_To_R1_Gi0/0 |
R1 |
Gi0/0 |
S4 |
Te0/49 |
Con_To_S3_Te0/49 |
S3 |
Te0/49 |
S4 |
Te0/50 |
Con_To_S3_Te0/50 |
S3 |
Te0/50 |
S5 |
Gi0/1 |
Con_To_Jcos |
云服务器 |
|
S5 |
Gi0/23 |
Con_To_S3_Gi0/5 |
S3 |
Gi0/5 |
S5 |
Gi0/24 |
Con_To_S4_Gi0/5 |
S4 |
Gi0/5 |
AC1 |
Gi0/1 |
Con_To_S3_Gi0/3 |
S3 |
Gi0/3 |
AC2 |
Gi0/1 |
Con_To_S4_Gi0/3 |
S4 |
Gi0/3 |
EG1 |
Gi0/0 |
Con_To_S3_Gi0/6 |
S3 |
Gi0/6 |
EG1 |
Gi0/1 |
Con_To_ChinaUnicom |
EG2 |
Gi0/1 |
EG1 |
Gi0/2 |
Con_To_Cernet |
EG2 |
Gi0/2 |
EG1 |
Gi0/3 |
Con_To_S4_Gi0/4 |
S4 |
Gi0/4 |
EG2 |
Gi0/0 |
Con_To_S4_Gi0/6 |
S4 |
Gi0/6 |
EG2 |
Gi0/1 |
Con_To_ChinaUnicom |
EG1 |
Gi0/1 |
EG2 |
Gi0/2 |
Con_To_Cernet |
EG1 |
Gi0/2 |
EG2 |
Gi0/3 |
Con_To_S3_Gi0/4 |
S3 |
Gi0/4 |
R1 |
Gi0/0 |
Con_To_S4_Gi0/7 |
S4 |
Gi0/7 |
R1 |
S2/0 |
Con_To_R2_S2/0 |
R2 |
S2/0 |
R1 |
S3/0 |
Con_To_R3_S3/0 |
R3 |
S3/0 |
R1 |
S4/0 |
Con_To_R3_S4/0 |
R3 |
S4/0 |
R2 |
S2/0 |
Con_To_R1_S2/0 |
R1 |
S2/0 |
R2 |
Gi0/0 |
Con_To_S6_Gi0/24 |
S6 |
Gi0/24 |
R3 |
S3/0 |
Con_To_R1_S3/0 |
R1 |
S3/0 |
R3 |
S4/0 |
Con_To_R1_S4/0 |
R1 |
S4/0 |
R3 |
Gi0/0 |
Con_To_S7_Gi0/24 |
S7 |
Gi0/24 |
S6 |
Gi0/1 |
Con_To_PC2 |
PC2 |
|
S6 |
Gi0/23 |
Con_To_AP2_Gi0/1 |
AP2 |
Gi0/1 |
S6 |
Gi0/24 |
Con_To_R2_Gi0/0 |
R2 |
Gi0/0 |
S7 |
Gi0/1 |
Con_To_PC3 |
PC3 |
|
S7 |
Gi0/23 |
Con_To_AP3_Gi0/1 |
AP3 |
Gi0/1 |
S7 |
Gi0/24 |
Con_To_R3_Gi0/0 |
R3 |
Gi0/0 |
AP2 |
Gi0/1 |
Con_To_S6_Gi0/23 |
S6 |
Gi0/23 |
AP3 |
Gi0/1 |
Con_To_S7_Gi0/23 |
S7 |
Gi0/23 |
本部校区和两个分校区间需要互联互通,同时也需要对某些业务进行互访限制。另外,各业务对网络可靠性要求较高,要求网络核心区域发生故障时的中断时间尽可能短。还有,网络部署时要考虑到网络的可管理性,并合理利用网络资源。
模块二:设备基础信息配置
1.设备命名规范和设备的基础信息
Ø 根据总体规划内容,将所有的设备根据命名规则修订设备名称;
Ø 依据设备的总体规划物流连接表,配置设备的接口描述信息。
2.密码恢复和软件版本统一
Ø 将接入交换机S1和S2做密码恢复,新的密码设置为ruijie;
Ø 接入交换机S1和S2软件版本统一,更新版本至RGOS 11.4(1)B1P3;
Ø 因为项目需求,为了满足一个新增的功能产商发布了无线AP的专属的软件版本,满足软件版本的一致性,请将总部和分布的无线AP统一版本至AP_RGOS 11.1(5)B9P11。
3.网络设备安全技术
Ø 为路由器和无线控制器开启SSH服务端功能,用户名和密码为admin,密码为明文类型,特权密码为admin。
Ø 为交换机开启Telnet功能,对所有Telnet用户采用本地认证的方式。创建本地用户,设定用户名和密码为admin,密码为明文类型,特权密码为admin。
Ø 配置所有设备SNMP消息,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“ruijie”,只读的Community为“public”,开启Trap消息。
模块三:网络搭建与网络冗余备份方案部署
1. 虚拟局域网及IPv4地址部署
为了减少广播,需要规划并配置VLAN。具体要求如下:
Ø 配置合理,Trunk链路上不允许不必要VLAN的数据流通过;
Ø 为隔离网络中部分终端用户间的二层互访,在交换机S1、S2上使用端口保护。
根据上述信息及表1-9、表1-10,在各设备上完成VLAN配置和端口分配以及IPv4地址。
表1-9 网络设备名称表
拓扑图中设备名称 |
配置主机名(hostname名) |
S1 |
BB-S2910-01 |
S2 |
BB-S2910-02 |
S3 |
BB-S6000-01 |
S4 |
BB-S6000-02 |
S5 |
BB-S5750-01 |
S6 |
BJFX-S5750-01 |
S7 |
GZFX-S5750-01 |
R1 |
BB-RSR20-01 |
R2 |
BJFX-RSR20-01 |
R3 |
GZFX-RSR20-02 |
AC1 |
BB-WS6008-01 |
AC2 |
BB-WS6008-02 |
EG1 |
BB-EG2000-01 |
EG2 |
BB-EG2000-01 |
AP1 |
BB-AP520-01 |
AP2 |
BJFX-AP520-01 |
AP3 |
GZFX-AP520-01 |
表1-10 IPv4地址分配表
设备 |
接口或VLAN |
VLAN名称 |
二层或三层规划 (XX现场提供) |
说明 |
S1 |
VLAN10 |
Office10 |
Gi0/1至Gi0/4 |
办公网段 |
VLAN20 |
Office20 |
Gi0/5至Gi0/8 |
办公网段 |
|
VLAN30 |
Office30 |
Gi0/9至Gi0/12 |
办公网段 |
|
VLAN40 |
Office40 |
Gi0/13至Gi0/16 |
办公网段 |
|
VLAN50 |
AP |
Gi0/21至Gi0/22 |
无线AP管理 |
|
VLAN100 |
Manage |
192.XX.100.4/24 |
设备管理VLAN |
|
S2 |
VLAN10 |
Office10 |
Gi0/1至Gi0/4 |
办公网段 |
VLAN20 |
Office20 |
Gi0/5至Gi0/8 |
办公网段 |
|
VLAN30 |
Office30 |
Gi0/9至Gi0/12 |
办公网段 |
|
VLAN40 |
Office40 |
Gi0/13至Gi0/16 |
办公网段 |
|
VLAN50 |
AP |
Gi0/21至Gi0/22 |
无线AP管理 |
|
VLAN100 |
Manage |
192.XX.100.5/24 |
设备管理VLAN |
|
S3 |
VLAN10 |
Office10 |
192.XX.10.252/24 |
办公网段 |
VLAN20 |
Office20 |
192.XX.20.252/24 |
办公网段 |
|
VLAN30 |
Office30 |
192.XX.30.252/24 |
办公网段 |
|
VLAN40 |
Office40 |
192.XX.40.252/24 |
办公网段 |
|
VLAN50 |
AP |
192.XX.50.252/24 |
无线AP管理 |
|
VLAN100 |
Manage |
192.XX.100.252/24 |
设备管理VLAN |
|
Gi0/1 |
Trunk |
|
|
|
Gi0/2 |
Trunk |
|
|
|
Gi0/3 |
Trunk |
|
|
|
Gi0/4 |
|
10.XX.0.41/30 |
互联EG2 |
|
Gi0/5 |
|
10.XX.0.1/30 |
互联S5 |
|
Gi0/6 |
|
10.XX.0.5/30 |
互联EG1 |
|
LoopBack 0 |
|
11.XX.0.33/32 |
|
|
S4 |
VLAN10 |
Office10 |
192.XX.10.253/24 |
办公网段 |
VLAN20 |
Office20 |
192.XX.20.253/24 |
办公网段 |
|
VLAN30 |
Office30 |
192.XX.30.253/24 |
办公网段 |
|
VLAN40 |
Office40 |
192.XX.40.253/24 |
办公网段 |
|
VLAN50 |
AP |
192.XX.50.253/24 |
无线AP管理 |
|
VLAN100 |
Manage |
192.XX.100.253/24 |
设备管理VLAN |
|
Gi0/1 |
Trunk |
|
|
|
Gi0/2 |
Trunk |
|
|
|
Gi0/3 |
Trunk |
|
|
|
Gi0/4 |
|
10.XX.0.37/30 |
互联EG1 |
|
Gi0/5 |
|
10.XX.0.33/30 |
互联S5 |
|
Gi0/6 |
|
10.XX.0.9/30 |
互联EG2 |
|
Gi0/7 |
|
10.XX.0.13/30 |
互联R1 |
|
LoopBack 0 |
|
11.XX.0.34/32 |
|
|
AC1 |
LoopBack 0 |
|
11.XX.0.204/32 |
|
VLAN60 |
Wiressless |
192.XX.60.252/24 |
无线用户 |
|
Vlan100 |
Manage |
192.XX.100.2/24 |
管理与互联VLAN |
|
AC2 |
LoopBack 0 |
|
11.XX.0.205/32 |
|
VLAN60 |
Wiressless |
192.XX.60.253/24 |
无线用户 |
|
Vlan100 |
Manage |
192.XX.100.3/24 |
管理与互联VLAN |
|
S5 |
Gi0/1 |
Con_To_Cloud |
193.XX.0.1/30 |
互联云平台 |
LoopBack 0 |
|
11.XX.0.5/32 |
|
|
Gi0/23 |
|
10.XX.0.2/30 |
互联S3 |
|
Gi0/24 |
|
10.XX.0.34/30 |
互联S4 |
|
EG1 |
Gi0/0 |
|
10.XX.0.6/30 |
互联S3 |
Gi0/1 |
|
196.XX.0.1/24 |
互联EG2 |
|
Gi0/2 |
|
197.XX.0.1/24 |
互联EG2 |
|
Gi0/3 |
|
10.XX.0.38/30 |
互联S4 |
|
LoopBack 0 |
|
11.XX.0.11/32 |
|
|
EG2 |
Gi0/0 |
|
10.XX.0.10/30 |
互联S4 |
Gi0/1 |
|
196.XX.0.2/24 |
互联EG1 |
|
Gi0/2 |
|
197.XX.0.2/24 |
互联EG1 |
|
Gi0/3 |
|
10.XX.0.42/30 |
互联S3 |
|
LoopBack 0 |
|
11.XX.0.12/32 |
|
|
R1 |
Gi0/0 |
|
10.XX.0.14/30 |
互联S4 |
S2/0 |
|
10.XX.0.18/30 |
互联R2 |
|
S3/0 |
|
10.XX.0.22/30 |
捆绑组1成员 |
|
S4/0 |
|
10.XX.0.22/30 |
捆绑组1成员 |
|
LoopBack 0 |
|
11.XX.0.1/32 |
|
|
R2 |
Gi0/0 |
|
10.XX.0.25/30 |
互联S6 |
S2/0 |
|
10.XX.0.17/30 |
互联R1 |
|
LoopBack 0 |
|
11.XX.0.2/32 |
|
|
R3 |
Gi0/0 |
|
10.XX.0.29/30 |
互联S7 |
S3/0 |
|
10.XX.0.21/30 |
捆绑组1成员 |
|
S4/0 |
|
10.XX.0.21/30 |
捆绑组1成员 |
|
LoopBack 0 |
|
11.XX.0.3/32 |
|
|
S6 |
Gi0/23 |
|
10.XX.0.45/30 |
|
Gi0/24 |
|
10.XX.0.26/30 |
|
|
VLAN10 |
Wire_user |
194.XX.10.254/24 |
分校有线用户 |
|
LoopBack 0 |
|
11.XX.0.6/32 |
|
|
S7 |
Gi0/23 |
|
10.XX.0.49/30 |
|
Gi0/24 |
|
10.XX.0.30/30 |
|
|
VLAN10 |
Wire_user |
195.XX.10.254/24 |
分校有线用户 |
|
LoopBack 0 |
|
11.XX.0.7/32 |
|
|
AP2 |
Gi0/1 |
|
10.XX.0.46/30 |
|
BVI20 |
|
194.XX.20.254/24 |
分校无线用户 |
|
AP3 |
Gi0/1 |
|
10.XX.0.50/30 |
|
BVI20 |
|
195.XX.20.254/24 |
分校无线用户 |
|
PC机 |
PC1 |
|
自动获取 |
|
PC2 |
|
194.XX.10.2/24 |
|
|
PC3 |
|
195.XX.10.2/24 |
|
2. 局域网环路规避方案部署
为了规避网络末端接入设备上出现环路影响全网,要求在本部与分校接入设备S1,S2,S6,S7进行防环处理。具体要求如下:
Ø 接口开启BPDU防护不能接收bpduguard报文;
Ø 接口下开启rldp防止环路,检测到环路后处理方式为shutdown-port;
Ø 连接终端的所有端口配置为边缘端口;
Ø 如果端口被BPDU Guard检测进入err-disabled状态,再过300秒后会自动恢复,重新检测是否有环路。
3. 接入安全部署
为了保证接入区DHCP服务安全及伪IP源地址攻击,具体要求如下:
Ø DHCP服务器搭建于S3上对VLAN10以内的用户进行地址分配;
Ø 为了防御从非法DHCP服务器获得的地址及动态环境下防御ARP欺骗要求在S1、S2上部署DHCP Snooping+DAI解决方案;
Ø 调整CPU保护机制中ARP阈值500pps;
Ø 关闭S1、S2上联接口NFPP功能,全局设置NFPP日志缓存容量为1024,打印相同log的阈值为300s。
4. MSTP及VRRP部署
在本部交换机S3、S4上配置MSTP防止二层环路;要求VLAN10、VLAN20、VLAN30数据流经过S3转发,VLAN40、VLAN50、VLAN100数据流经过S4转发,S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下:
Ø region-name为ruijie;
Ø revision版本为1;
Ø 实例1,包含VLAN10,VLAN20,VLAN30;
Ø 实例2,包含VLAN40,VLAN50,VLAN100;
Ø S3作为实例0、1中的主根,S4作为实例0、1的从根;
Ø S4作为实例2中的主根,S3作为实例2的从根;
Ø 主根优先级为4096,从根优先级为8192;
Ø 在S3和S4上配置VRRP,实现主机的网关冗余。所配置的参数要求如表1-11;
表1-11 S3和S4的VRRP参数表
VLAN |
VRRP备份组号(VRID) |
VRRP虚拟IP |
VLAN10 |
10 |
192.XX.10.254 |
VLAN20 |
20 |
192.XX.20.254 |
VLAN30 |
30 |
192.XX.30.254 |
VLAN40 |
40 |
192.XX.40.254 |
VLAN50 |
50 |
192.XX.50.254 |
VLAN100(交换机间) |
100 |
192.XX.100.254 |
Ø S3、S4各VRRP组中高优先级设置为150,低优先级设置为120。
5. 路由协议部署
本部内网使用静态路由、OSPF多协议组网。其中S3、S4、S5、EG1、EG2使用OSPF协议,本部其余三层设备间使用静态路由协议。本部与分校广域网间使用静态路由协议(R1除外),各分校局域网环境使用RIP路由协议和静态路由协议。要求网络具有安全性、稳定性。具体要求如下:
Ø 本部OSPF进程号为10,规划多区域;
Ø 区域0(S3、S4),区域1(S3,S4,S5),区域2(S3,S4,EG1,EG2),区域3(S4、R1);
Ø 区域1为完全NSSA区域;
Ø 各分校RIP版本为RIP-2,取消自动聚合;
Ø AP使用静态路由协议;
Ø 本部与分校通过重分发引入彼此路由;
Ø 要求本部业务网段中不出现协议报文;
Ø 不允许重发布直连路由,Network方式发布本地明细路由;
Ø 为了管理方便,需要发布Loopback地址;
Ø 优化OSPF相关配置,以尽量加快OSPF收敛;
Ø 重发布路由进OSPF中使用类型1;
Ø 不允许在R1设备使用静态路由。
注意:S5需要重发布云平台(172.16.0.0/22)静态路由至本部内网。
6. 广域网链路配置与安全部署
本部路由器R1与东校区路由器R2、西校区路由器R3间属于广域网链路,其中R1-R2间所租用一条带宽为2M的线路,R1-R3间租用2条带宽均为2M的线路。本部路由器与分校路由器间属于广域网链路。需要使用PPP进行安全保护,同时提高R1与R3的链路带宽与简化网络部署的目的,现要求如下:
Ø 使用CHAP协议;
Ø 单向认证,用户名+验证口令方式;
Ø R1为认证服务端,R2、R3为认证客户端;
Ø 用户名和密码均为ruijie;
Ø R1与R3间使用PPP链路捆绑,捆绑组号为1。
考虑到广域网线路安全性较差,所以需要使用IPSec对本部到各分校的数据流进行加密。
要求使用动态隧道主模式,安全协议采用ah-esp协议,加密算法采用3des,认证算法采用md5,以IKE方式建立IPsec SA。
在R1上所配置的参数要求如下:
Ø ipsec加密转换集名称为myset;
Ø 动态ipsec加密图名称为dymymap;
Ø 预共享密钥为明文123456;
Ø 静态的ipsec加密图mymap。
在R2和R3上所配置的参数要求如下:
Ø ACL编号为101;
Ø 静态的ipsec加密图mymap;
Ø 预共享密钥为明文123456。
7. 路由选路部署
考虑到数据分流及负载均衡的目的,针对本部与各分校数据流走向要求如下:
Ø 通过修改OSPF接口COST达到分流的目的,且其值必须为5或10;
Ø OSPF通过路由引入时改变引入路由的COST值,且其值必须为5或10;
Ø 本部VLAN10,VLAN20,VLAN30用户与互联网互通主路径规划为:S3-EG1;
Ø 本部VLAN40用户与互联网互通主路径规划为:S4-EG2;
Ø 各分校用户与互联网互通主路径规划为:S4-EG2;
Ø 云平台服务器与互联网互通主路径规划为S3-EG1;
Ø 主链路故障可无缝切换到备用链路上;
Ø 要求来回数据流路径一致。
8. QoS部署
为了防止大量用户不断突发的数据导致网络拥挤,必须对接入的用户流量加以限制。所配置的参数要求如下:
Ø 本部设备S1、S2的Gi0/1至Gi0/16接口出入方向设置接口限速,限速10M/s;
Ø 各分校设备R2、R3做流量整形,G0/0接口对接收的报文进行流量控制,上行报文流量不能超过1Mbps,如果超过流量限制则将违规报文丢弃。
9. IPV6部署
Ø S3、S4启用IPV6网络,实现VLAN10、VLAN20、VLAN30、VLAN40的IPV6终端可自动从网关处获取地址,并实现互联互通资源共享。地址规划如下:
表1-12 VRRP for IPV6参数表
设备 |
接口 |
IPV6地址 |
VRRP组号 |
虚拟IP |
S3 |
VLAN10 |
2001:192:10::252/64 |
10 |
2001:192:10::254/64 |
VLAN20 |
2001:192:20::252/64 |
20 |
2001:192:20::254/64 |
|
VLAN30 |
2001:192:30::252/64 |
30 |
2001:192:30::254/64 |
|
VLAN40 |
2001:192:40::252/64 |
40 |
2001:192:40::254/64 |
|
S4 |
VLAN10 |
2001:192:10::253/64 |
10 |
2001:192:10::254/64 |
VLAN20 |
2001:192:20::253/64 |
20 |
2001:192:20::254/64 |
|
VLAN30 |
2001:192:30::253/64 |
30 |
2001:192:30::254/64 |
|
VLAN40 |
2001:192:40::253/64 |
40 |
2001:192:40::254/64 |
Ø 在S3和S4上配置VRRP for IPv6,实现主机的IPv6网关冗余;
Ø VRRP与MSTP的主备状态与IPV4网络一致。
模块四:移动互联网搭建与网优
为满足互联网+时代下,移动教学的发展趋势,促进校园信息化建设,本部校区与分校均需要规划和部署移动互联无线网络,同时,为保证不同学生之间利用无线安全、可靠的访问互联网,我们需要进行无线网络安全及性能优化配置,确保师生有良好的上网体验。
1. 无线网络基础部署
Ø 使用AC为本部无线用户DHCP服务器,使用S3、S4为本部AP的DHCP服务器,S3分配AP地址范围为其网段的1至100,S4分配AP地址范围为其网段的101至200;
Ø 创建本部SSID(WLAN-ID 1)为Ruijie-ZX_XX(XX现场提供),AP-Group为ZX,本部无线用户关联SSID后可自动获取地址。
2. AC热备部署
Ø AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去连接时能无缝切换至AC2并提供服务。
3. 无线安全部署
具体配置参数如下:
Ø 为了保证合法用户连接入本部内网,本部无线用户使用MAC校验方式。在本部的AC设备上配置白名单只允许PC1(无线网卡ipconfig确定MAC地址)接入无线网络中,并设置AC白名单数量最多为10;
Ø 为了防御无线局域网ARP欺骗影响用户上网体验,配置无线环境ARP欺骗防御功能;
Ø 在同一个AP中的用户在某些时候出于安全性的考虑,需要将他们彼此之间进行隔离,实现用户之间彼此不能互相访问,配置AP1实现同AP下用户间隔离功能。
4. 无线性能优化
Ø 要求本部无线用户启用集中转发模式;
Ø 限制AP1关联用户数最高为16;
Ø 本部关闭低速率(1M,6M)应用接入。
5. 胖AP部署
北京校区与广州校区使用无线AP胖模式进行部署,具体要求如下:
Ø AP2以路由模式进行部署,本地部署DHCP为无线终端分配地址;
Ø AP2创建SSID(WLAN-ID 1)为Ruijie-BJ_XX(XX现场提供),采用WPA2进行无线数据加密,加密密码为XX(现场提供);
Ø AP3以NAT模式进行部署,本地部署DHCP为无线终端分配地址;
Ø AP3创建SSID(WLAN-ID 1)为Ruijie-GZ_XX(XX现场提供),启用白名单校验,放通PC3无线网卡。
模块五:出口安全防护与远程接入
本部校区与分校无线用户需要通过独立的互联网线路访问外网资源,同时针对访问资源进行用户身份认证与信息审计监督。
1. 出口NAT部署
具体配置参数如下:
Ø 本部出口网关上配置访问控制列表,允许本部、分部有线无线(ACL编号110)在每天09:00-17:00(命名为work)通过NAPT访问联通、教育网资源;
Ø 云平台服务器区(ACL编号111)通过NAPT转换至教育网线路,只能访问教育网资源;
Ø 在本部EG1上配置,使本部核心交换S4(11.XX.0.4)设备的Telnet服务可以通过互联网被访问,将其地址映射至联通线路上,映射地址为196.XX.0.10(XX现场提供);
Ø 需确保NAT映射数据流来回一致,启用EG源进源出功能保证任何外网用户(联通、电信、移动、教育……)均可访问映射地址196.XX.0.10(XX现场提供)。
2. 全局流表策略部署
在用户没有防火墙做限制的情况下,如果遇到大量的伪源IP攻击,或者是端口扫描时,会把设备的流表给占满,而导致正常的数据无法建流而被丢弃,为此要求部署全局流表防火墙,ACL(编号为112)策略要求如下:
Ø 放通所有IP到设备接口的WEB管理和ping;
Ø 放通内网IP到外网所有资源的访问;
Ø 放通任意IP来访问映射的内网服务器的资源;
Ø 根据上下文要求放通设备已启用的功能协议端口。
3. 应用流量控制部署
Ø 本部针对访问外网WEB流量限速每IP 1000Kbps,内网WEB总流量不超过100M。
4. 用户行为策略部署
Ø 工作日(周一到周五:上午9点到下午5点)禁止P2P应用软件使用;
Ø 对创建的用户user1(192.1.10.10)进行限制,禁止访问外网网站。
5. 数据分流与负载均衡
Ø 本部与分校用户数据流匹配EG内置联通与教育地址库,实现访问联通资源走联通线路,访问教育资源走教育线路;
Ø 除联通、教育资源之外默认所有数据流在联通与教育线路间进行负载转发;
Ø 每天晚上6点到10点联通线路上网流量压力较大,将P2P应用软件流量在此时间段内引流到教育网线路。
提交竞赛结果文件(模块二、模块三、模块四、模块五)
制作竞赛结果文件:严格按照“交换路由无线网关设备配置答题卡模板x”文档格式要求制作输出竞赛结果文件。
同时在每台设备上使用show running-config命令,将该命令下显示的结果分别保存到独立的TXT文件中,文件名以设备编号命名(S1、S2、S3、S4、S5、S6、S7、R1、R2、R3、AC1、AC2、EG1、EG2),并把所有的TXT文件存放在“设备配置”文件夹下。
考生将“交换路由无线网关设备配置答题卡模板x”以及“设备配置”文件夹保存到桌面上,并且拷贝到“提交文档”目录下然后提交给现场工作人员。
注意:考生所提交的文件是竞赛结果的唯一依据,请考生一定确保文件确实有效,能够正常读取。如有疑问,可咨询现场工作人员。
模块六:云计算服务搭建与企业应用
集团总部为了更好管理数据,提供服务,需要建立自己的小型数据中心及云计算服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。
1. 云计算管理平台环境
Ø JCOS云平台登陆地址:http://172.16.0.2
Ø 登陆方式:(现场提供)
域名:default
用户名:随机
密码:随机
注意:登陆之后禁止点击首页的“一键VPC”按钮。
2. 创建两台虚拟交换机,要求如下:
Ø 虚拟交换机子网用途:
l 虚拟机交换机DNet:对外数据通信网络
l 虚拟机交换机SNet:数据存储通信网络
Ø 为数据网络DNet创建虚拟交换机,具体要求如下:
l 虚拟交换机名称:D-Net
l 子网名称:D-SubNet
l 网络地址:192.168.XX.0/24
l 启用DHCP功能
l 分配地址池范围:192.168.XX.10-192.168.XX.100
Ø 为存储网络SNet创建虚拟交换机,具体要求如下:
l 虚拟交换机名称:S-Net
l 子网名称:S-SubNet
l 网络地址:192.168.XX+1.0/24
l 勾选禁用网关功能
l 启用DHCP功能
l 分配地址池范围:192.168.XX+1.10-192.168.XX+1.100
3. 创建一台虚拟路由器,要求如下:
Ø 虚拟路由器名称:VGate
Ø 虚拟路由器跟D-Net虚拟交换机子网关联
4. 创建2台云主机,要求如下:
Ø 云主机A的配置要求
l 硬件资源:CPU 2核;内存2G
l 操作系统:Windows2008R2
l 网卡数量:2
网卡1与Dnet连接,IP为:192.168.XX.22
网卡2与SNet连接,IP为:192.168.XX+1.22
l 随机申请并绑定一个公网IP地址
Ø 云主机B的配置要求
l 硬件资源:CPU 2核;内存2G
l 操作系统:CentOS7
l 网卡数量:2
l 网卡1与Dnet连接,IP为:192.168.XX.33
l 网卡2与SNet连接,IP为:192.168.XX+1.33
l 随机申请并绑定一个公网IP地址
5. 应用部署
Ø Windows2008 R2系统配置
(1) 云硬盘的配置要求
l 新建两个10G的云硬盘,名称为A-10-1、A-10-2,挂载到云主机A;
l 新建镜像卷,使用所有空间,驱动器号为D。
(2) 配置DNS服务
l 配置rj.com域的从DNS服务,主DNS为云主机A。
l 配置0.16.172反向域的从DNS服务,主DNS为云主机A。
(3) 配置FTP服务
l FTP站点名称为rjftp,物理路径为D:\ftpdata;
l 允许匿名用户和普通用户tom登录,匿名用户对主目录只有读权限,tom对主目录有读写权限,禁止上传exe后缀的文件;
l 设置FTP最大客户端连接数为100,设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟。
(4) 配置企业CA证书服务
l 并提供Web注册方式,可接受CSR(证书请求文件)并签发证书;
l 加密服务提供程序为“RSA#Microsoft Software Key Storage Providew”,密钥字符长度为“2048”;
l 颁发的签名证书的哈希算法为“SHA256”;
l CA证书名称:ca.rj.com;
l 为云主机B的web服务提供证书,颁发的证书命名为httpd.crt。
Ø 云主机B的配置
在CentOS系统中,利用赛场提供的CentOS镜像文件(/root目录),配置本地yum源,然后完成bind、bind-utils、httpd、mod_ssl、ftp、bzip2软件包的安装;请将CentOS镜像文件挂载到/mnt/cdrom目录下(目录需要自行创建)。
(1) 云硬盘的配置要求:
l 新建一个15G的云硬盘,云硬盘名称为B-15,挂载到云主机B;
l 创建lvm物理卷:
² 创建一个名为datastore的卷组,卷组的PE尺寸为16MB;
² 逻辑卷的名称为web_data所属卷组为datastore,该逻辑卷大小为10G;
² 将新建的逻辑卷格式化为XFS文件系统,编辑/etc/fstab文件通过UUID的方式实现系统启动时能够自动挂载到/data/web_data目录。
(2) 配置DNS服务:
l 监听所有地址;
l 允许所有机器查询;
l 将ftp.rj.com解析至云主机B公网IP;
l 将www.rj.com解析至云主机A公网IP;
l 建立反向简析区域完成ftp.rj.com,www.rj.com,域名的反向解析;
l 只允许云主机B 192.168.XX+1.22的ip进行区域传送。
(3) 配置http服务,以虚拟主机的方式建立一个web站点。
l 将/etc/httpd/conf.d/ssl.conf重命名为ssl.conf.bak;
l 配置文件名为virthost.conf,放置在/etc/httpd/conf.d目录下;
l https所用的证书httpd.crt、私钥httpd.key、请求证书httpd.csr放置在/etc/httpd/ssl目录中(目录需自己创建);
l 监听80、443端口,分别配置http和https功能;
l 使用www.rj.com作为域名进行访问;
l 网站根目录为/data/web_data;
l index.html内容使用Welcome to 2018 Computer Network Application contest!
(4) 创建一个归档备份,将/etc/httpd目录打包备份至/home目录下文件名为httpd.tar.bz2。
6. 软件定义网络
(1)在考试电脑PC1上部署Vmware Workstation软件,并导入ODL集成模板,虚拟机的内存设置为2G。配置IP地址为192.168.1.100/24,网关是192.168.1.254/24。默认用户密码都是mininet。
(2)启动OpenDayLight的karaf程序,并安装如下组件:
feature:install odl-restconf
feature:install odl-l2switch-switch-ui
feature:install odl-mdsal-apidocs
feature:install odl-dluxapps-applications
(3)使用Mininet和OpenVswitch构建拓扑,采用采用OVS交换机格式,连接ODL的6653端口Openflow1.3协议,构造如下拓扑:
(4)在浏览器上可以访问ODL管理页面并查看网元拓扑结构。
(5)通过OVS下发流表,H1与H2可以互通,H1与H3不能互通,但H3和H4之间可以互通。
提交竞赛结果文件(模块六)
制作竞赛结果文件:严格参照“云平台服务器配置答题卡模板x”文档格式要求制作输出竞赛结果文件。
考生将“云平台服务器配置答题卡模板x”保存到桌面上,并且拷贝到“提交文档”目录下然后提交给现场工作人员。
注意:考生所提交的文件是竞赛结果的唯一依据,请考生一定确保文件确实有效,能够正常读取。如有疑问,可咨询现场工作人员。
第二部分:赛场规范和文档规范
模块七:赛场规范和文档规范
参赛选手在比赛过程中,必须严格遵从计算机网络工程相关职业规范,严格遵守网络综合布线相关工具的操作规范,注意用电安全、预防梯子倒砸,听从裁判指挥,做到文明参赛,安全比赛。
竞赛结果文件的提交要严格按照赛题要求,按照相关文档模板来完成,并且注意截图大小,注意排版,不得以任何形式体现参赛院校、工位号码等信息。