飞道的博客

锐捷网络技能大赛-2018年国赛真题[2018年全国职业技能大赛高职组计算机网络应用赛项真题-I卷]AC/AP/EG部分答案详解

344人阅读  评论(0)

锐捷网络技能大赛-2018年国赛AC/AP/EG部分答案详解

声明:写这些比赛的文章只是便于有些地区上进同学学习,博主本人只是出于好心,因此,博主没有对个人服务的义务,更何况一分钱都得不到,之所以这样讲是因为某些加我问问题的同学态度恶劣,因此我删除了很多地方我本人的联系方式,这个比赛本身和我一点关系都没有,只与你自己个人学习能力有关,看不看得懂和我一点关系都没有,懂的人自然都懂,我尽力了,你们随意!

这是2018年全国职业技能大赛高职组计算机网络应用赛项真题-I卷AC/AP/EG部分

相关链接:
锐捷网络技能大赛-2018年全国职业技能大赛高职组计算机网络应用赛项真题-I卷路由交换部分答案详解

1.无线网络基础部署
使用AC1和AC2作为总部无线用户和无线AP的DHCP服务器,使用S5作为分校无线用户和无线AP的DHCP服务器;
AP3以透明模式进行部署,S5部署DHCP服务为无线终端及AP分配地址,且AP每次均获取地址均为194.XX.20.2(XX现场提供);

AC1配置:

BX-WS6008-01(config)#ip dhcp excluded-address 192.1.50.252 192.1.50.254
BX-WS6008-01(config)#ip dhcp excluded-address 192.1.60.252 192.1.60.254
BX-WS6008-01(config)#service dhcp 
BX-WS6008-01(config)#ip dhcp pool AP
BX-WS6008-01(dhcp-config)# option 138 ip 11.1.0.204 11.1.0.205
BX-WS6008-01(dhcp-config)#network 192.1.50.0 255.255.255.0
BX-WS6008-01(dhcp-config)#default-router 192.1.50.254
BX-WS6008-01(dhcp-config)#exi
BX-WS6008-01(config)#ip dhcp pool yonghu
BX-WS6008-01(dhcp-config)#network 192.1.60.0 255.255.255.0
BX-WS6008-01(dhcp-config)#default-router 192.1.60.254
BX-WS6008-01(dhcp-config)#exi

S5配置(连接ap的端口必须放通的vlan)

FX-S5750-01(config)#int gi0/21
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport mode trunk 
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport trunk allowed vlan only 20,30,40
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport trunk native vlan 20
FX-S5750-01(config-if-GigabitEthernet 0/21)#exi
FX-S5750-01(config)#service dhcp 
FX-S5750-01(config)#ip dhcp pool AP
FX-S5750-01(dhcp-config)#hardware-address 0074.9c22.f6c4	(mac地址为ap的mac地址)
FX-S5750-01(dhcp-config)#host 194.1.20.2 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.20.254
FX-S5750-01(dhcp-config)#exi
FX-S5750-01(config)#ip dhcp pool Wiressless_users1
FX-S5750-01(dhcp-config)#network 194.1.30.0 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.30.254     
FX-S5750-01(dhcp-config)#exi
FX-S5750-01(config)#ip dhcp pool Wiressless_users2
FX-S5750-01(dhcp-config)#network 194.1.40.0 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.40.254 

创建总部内网SSID为Ruijie-BX_XX(XX现场提供),WLAN ID为1,AP-Group为BX,总部内网无线用户关联SSID后可自动获取地址。
要求总部内网无线网络启用本地转发模式;
为了保障总部每个用户的无线体验,针对WLAN ID 1下的每个用户的下行平均速率为800kB/s,突发速率为1600kB/s;

BX-WS6008-01(config)#wlan-config 1 Ruijie-BX_1
BX-WS6008-01(config-wlan)#tunnel local
BX-WS6008-01(config-wlan)#wlan-based per-user-limit down-streams average-data-rate 800 burst-data-rate 1600
BX-WS6008-01(config)#ap-group BX
BX-WS6008-01(config-group)#interface-mapping 1 60 ap-wlan-id 1
BX-WS6008-01(config-group)#tunnel local wlan 1 vlan 60

2.AC热备部署
总部AC2为主用,AC1为备用。AP与AC1、AC2均建立隧道,当AP与AC2失去连接时能无缝切换至AC1并提供服务。

AC1配置:

BX-WS6008-01(config)#wlan hot-backup 11.1.0.205
BX-WS6008-01(config-hotbackup)#context 10
BX-WS6008-01(config-hotbackup-ctx)#ap-group BX
BX-WS6008-01(config-hotbackup-ctx)#exi
BX-WS6008-01(config-hotbackup)#wlan hot-backup enable 
*Jun 22 14:50:32: %WLAN_HOTBACKUP-6-PEER: wlan hot-backup start doing ENABLE, please wait.
*Jun 22 14:50:32: %WLAN_HOTBACKUP-6-PEER: Peer(11.1.0.205) hot-backup enable.

AC2配置:

BX-WS6008-01(config)#wlan hot-backup 11.1.0.204
BX-WS6008-01(config-hotbackup)#context 10
BX-WS6008-01(config-hotbackup-ctx)#priority level 7
BX-WS6008-01(config-hotbackup-ctx)#ap-group BX
BX-WS6008-01(config-hotbackup-ctx)#exi
BX-WS6008-01(config-hotbackup)#wlan hot-backup enable 

3.无线安全部署
总部无线用户接入无线网络时需要采用WPA2加密方式,密码为XX(现场提供);
为了防御无线局域网ARP欺骗影响用户上网体验,总部配置无线环境ARP欺骗防御功能。

BX-WS6008-01(config)#wlansec 1
BX-WS6008-01(config-wlansec)#security rsn enable 
BX-WS6008-01(config-wlansec)#security rsn ciphers aes enable 
BX-WS6008-01(config-wlansec)#security rsn akm psk enable 
BX-WS6008-01(config-wlansec)#security rsn akm psk set-key ascii 12345678
BX-WS6008-01(config-wlansec)#exi  
BX-WS6008-01(config)#ip dhcp snooping 
BX-WS6008-01(config)#int gi0/1
BX-WS6008-01(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust
BX-WS6008-01(config)#wlansec 1        
BX-WS6008-01(config-wlansec)#ip verify source port-security 
BX-WS6008-01(config-wlansec)#arp-check 
BX-WS6008-01(config-wlansec)#exi

分校启用白名单校验,仅放通PC3无线终端;

BX-WS6008-01(config)#wids 
BX-WS6008-01(config-wids)#whitelist mac-address 00ff.ffff.ffff
BX-WS6008-01(config-wids)#whitelist max 1

总部每AP最大带点人数为45人;
总部通过时间调度,要求每周一至周五的21:00至23:30期间关闭无线服务;
总部设置用户最小接入信号强度为-65dBm;

BX-WS6008-01(config)#schedule session 1
Session 1 is created now.
BX-WS6008-01(config)#schedule session 1 time-range 1 period Mon to Fri time 21:00 to 23:30
BX-WS6008-01(config)#ap-config 5869.6cd6.8fc5
You are going to config AP(5869.6cd6.8fc5), which is online now.
BX-WS6008-01(config-ap)#ap-name BX-AP520-01
The AP(BX-AP520-01) is on line.
BX-WS6008-01(config-ap)#ap-group BX
BX-WS6008-01(config-ap)#sta-limit 45
BX-WS6008-01(config-ap)#response-rssi 30 radio 1
BX-WS6008-01(config-ap)#response-rssi 30 radio 2
BX-WS6008-01(config-ap)#quiet-mode session 1
BX-WS6008-01(config-ap)#no 11acsupport enable radio 2
BX-WS6008-01(config-ap)#channel 1 radio 1
BX-WS6008-01(config-ap)#exi
BX-WS6008-01(config)#ac-controller 
BX-WS6008-01(config-ac)#802.11a network rate 6 disabled 
BX-WS6008-01(config-ac)#802.11a network rate 9 disabled 
BX-WS6008-01(config-ac)#802.11b network rate 1 disabled 
BX-WS6008-01(config-ac)#802.11b network rate 2 disabled 
BX-WS6008-01(config-ac)#802.11b network rate 5 disabled 
BX-WS6008-01(config-ac)#802.11g network rate 5 disabled 
BX-WS6008-01(config-ac)#802.11g network rate 2 disabled 
BX-WS6008-01(config-ac)#802.11g network rate 1 disabled 
BX-WS6008-01(config-ac)#exi

4.胖AP部署
北京校区使用无线AP胖模式进行部署,具体要求如下:
AP3创建SSID(WLAN-ID 1)为Ruijie-BJ_XX_1(XX现场提供),分校内网无线用户关联SSID后可自动获取分校VLAN30网段地址;
AP3创建SSID(WLAN-ID 2)为Ruijie-BJ_XX_2(XX现场提供),分校内网无线用户关联SSID后可自动获取分校VLAN40网段地址。

AP3配置:

FX-AP520-01(config)#int gi0/1
FX-AP520-01(config-if-GigabitEthernet 0/1)#ip address dhcp 
FX-AP520-01(config-if-GigabitEthernet 0/1)#exi
00:03:54: %DHCP_CLIENT-6-ADDRESS_ASSIGN: Interface GigabitEthernet 0/1 assigned DHCP address 194.1.20.2, mask 255.255.255.0.
FX-AP520-01(config)#vlan 30
FX-AP520-01(config-vlan)#exi
FX-AP520-01(config)#vlan 40
FX-AP520-01(config-vlan)#exit 
FX-AP520-01(config)#dot11 wlan 1
FX-AP520-01(dot11-wlan-config)#vlan 30
FX-AP520-01(dot11-wlan-config)#ssid Ruijie-BJ_1_1
FX-AP520-01(dot11-wlan-config)#exi
FX-AP520-01(config)#dot11 wlan 2
FX-AP520-01(dot11-wlan-config)#vlan 40
FX-AP520-01(dot11-wlan-config)#ssid Ruijie-BJ_1_2
FX-AP520-01(dot11-wlan-config)#exi
FX-AP520-01(config)#int gi0/1.3
FX-AP520-01(config-subif-GigabitEthernet 0/1.3)#encapsulation dot1Q 30
FX-AP520-01(config-subif-GigabitEthernet 0/1.3)#exi
FX-AP520-01(config)#int gi0/1.4
FX-AP520-01(config-subif-GigabitEthernet 0/1.4)#encapsulation dot1Q 40
FX-AP520-01(config-subif-GigabitEthernet 0/1.4)#exi
FX-AP520-01(config)#int dot11radio 1/0.3
FX-AP520-01(config-subif-Dot11radio 1/0.3)#encapsulation dot1Q 30
FX-AP520-01(config-subif-Dot11radio 1/0.3)#wlan-id 1
FX-AP520-01(config-subif-Dot11radio 1/0.3)#exi
FX-AP520-01(config)#int dot11radio 1/0.4
FX-AP520-01(config-subif-Dot11radio 1/0.4)#encapsulation dot1Q 40
FX-AP520-01(config-subif-Dot11radio 1/0.4)#wlan-id 2 

出口NAT部署
具体配置参数如下:
出口网关上进行NAT配置实现总部与分校的所有用户均可访问互联网,通过NAPT方式将内网用户IP地址转换到互联网接口上,同时总部用户仅可在周一到周五工作时间09:00-17:00(命名为work)访问互联网;

EG1:

BX-EG2000-01(config)#time-range work
BX-EG2000-01(config-time-range)#periodic weekdays 09:00 to 17:00
BX-EG2000-01(config)#ip access-list ex 110
BX-EG2000-01(config-ext-nacl)#permit ip 192.1.0.0 0.0.255.255 any time-range work
BX-EG2000-01(config-ext-nacl)#permit ip 172.16.0.0 0.0.3.255 any time-range work
BX-EG2000-01(config-ext-nacl)#int gi0/0
BX-EG2000-01(config-if-GigabitEthernet 0/0)#ip nat in 
BX-EG2000-01(config-if-GigabitEthernet 0/0)#int gi0/1
BX-EG2000-01(config-if-GigabitEthernet 0/1)#ip nat in





EG2:

FX-EG2000-01(config)#ip access-list ex 110
FX-EG2000-01(config-ext-nacl)#permit ip 194.1.0.0 0.0.255.255 any
FX-EG2000-01(config-ext-nacl)#int gi0/0
FX-EG2000-01(config-if-GigabitEthernet 0/0)#ip nat in





在总部EG1上配置,使总部核心交换S4(11.1.0.34)设备的SSH服务可以通过互联网被访问,将其地址映射至联通线路上,映射地址为20.1.0.2;
EG1:

BX-EG2000-01(config)#ip nat in source static tcp 11.1.0.34 22 20.1.0.2 22 permit-inside

总部内网主机有访问上海办事处S6设备的Telnet服务需求,但总部内网因网络规划要求不能引入外部路由,同时上海办事处网络运维人员考虑安全起见也不希望将S6设备(11.1.0.6)地址对外公布。为此规划在出口网关上进行NAT地址转化将S6真实地址映射至20.1.0.20。

EG1:

BX-EG2000-01(config)#ip nat outside source static tcp 11.1.0.6 23 20.1.0.20 23

全局流表策略部署
在用户没有防火墙做限制的情况下,如果遇到大量的伪源IP攻击,或者是端口扫描时,会把设备的流表给占满,而导致正常的数据无法建流而被丢弃,为此要求总部部署全局流表防火墙,ACL(编号为102)策略要求如下:
放通所有IP到本设备外网接口的ICMP、Telnet协议;
放通内网终端IP到外网所有资源的访问;
放通任意IP来访问映射的内网交换机的资源;
根据上下文要求放通设备已启用的功能协议端口

EG1:

BX-EG2000-01(config)#ip access-list ex 102
BX-EG2000-01(config-ext-nacl)# permit icmp any host 20.1.0.6 
BX-EG2000-01(config-ext-nacl)# permit icmp any host 30.1.0.6 
BX-EG2000-01(config-ext-nacl)# permit icmp any host 40.1.0.6 
BX-EG2000-01(config-ext-nacl)# permit tcp any host 20.1.0.6 eq telnet 
BX-EG2000-01(config-ext-nacl)# permit tcp any host 30.1.0.6 eq telnet 
BX-EG2000-01(config-ext-nacl)# permit tcp any host 40.1.0.6 eq telnet 
BX-EG2000-01(config-ext-nacl)# permit ip 192.1.0.0 0.0.255.255 any 
BX-EG2000-01(config-ext-nacl)# permit ip 172.16.0.0 0.0.3.255 any    
BX-EG2000-01(config-ext-nacl)# permit tcp any host 20.1.0.2 eq 22 
BX-EG2000-01(config-ext-nacl)# permit ospf any any 
BX-EG2000-01(config-ext-nacl)# permit udp any any eq snmp 
BX-EG2000-01(config-ext-nacl)# permit udp any any eq snmptrap 
BX-EG2000-01(config-ext-nacl)# permit esp any any 
BX-EG2000-01(config-ext-nacl)# permit udp any eq bootpc any eq bootps 
BX-EG2000-01(config-ext-nacl)# permit udp any eq bootps any eq bootpc 
BX-EG2000-01(config-ext-nacl)# permit udp any any eq 1701

Web Portal用户认证部署
在总部网关上启用Web Portal认证服务,并创建user1、user2,密码均为XX(现场提供);
总部有线用户需进行WEB认证访问互联网;
总部无线用户不需在EG上进行WEB认证即可访问互联网。

EG1:


应用流量控制部署
分校EG2联通线路针对访问外网WEB流量限速每IP 1000kbps,内网WEB总流量不超过50Mbps。



用户行为策略部署
分校EG2基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能;

分校EG2周一到周五工作时间09:00-17:00(命名为work)阻断并审计P2P应用软件使用;

禁止分校内网用户通过浏览器访问http://40.1.0.9。数据分流与负载均衡

数据分流与负载均衡
总部与分校用户数据流匹配EG内置联通、电信与教育地址库,实现访问联通资源走联通线路,访问电信资源走电信线路,访问教育网资源走教育网线路;
除联通、电信、教育资源之外默认所有数据流在三条线路间进行负载转发;
分校EG2每天晚上6点到10点(命名为Night)联通线路上网流量压力较大,将P2P应用软件流量在此时间段内引流到电信线路。





VPN部署
为了实现总部与分部互访数据的安全性,同时要求总部对分部路由器采用本地的用户名、密码方式进行验证,为此规划如下:
部署L2TP隧道进行总部对分部路由的对接验证,验证用户名密码均为ruijie,L2TP隧道密码为ruijie;
L2TP用户地址池为12.1.0.1—12.1.0.254,Virtual-Template及Virtual-ppp接口均引用本地loopback 1接口地址;
L2TP隧道中承载OSPF协议,使其总部与分部通过OSPF进行路由交互,区域号0;
部署IPSec对L2TP隧道中的业务数据加密;
IPSec VPN需要采用传输模式,预共享密码为ruijie,加密认证方式为ESP-3DES、ESP-MD5-HMAC,DH使用组2;
总分机构间数据通信及加密通过二级运营商R1联通节点作为中转设备;
总部有线IPV4用户与分部IPV4用户互通主路径规划为:VSU-S3-EG1-EG2-S5(EG1/EG2间运行VPN隧道)。

EG1:








BX-EG2000-01(config)#rou ospf 10
BX-EG2000-01(config-router)#net 12.1.0.1 0.0.0.255 a 0

EG2:


FX-EG2000-01(config)#rou ospf 10
FX-EG2000-01(config-router)#network 12.1.0.2 0.0.0.255 a 0

相关链接
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题A卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题B卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题C卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题D卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题E~J卷(软件定义网络部分答案参考)
关于锐捷网络技能大赛软件定义网络部分题目分析与探讨

下面三个都开源在Github上 对参加网络技能大赛的同学帮助较大
希望看到的人能给我点个star 给予更多同学帮助 谢谢大家

锐捷网络技能大赛使用到的公共资料

全国各省市网络技能大赛比赛样题/评分标准/解题过程

课程设计与毕业设计


转载:https://blog.csdn.net/qq_40695642/article/details/108968847
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场