锐捷网络技能大赛-2018年国赛AC/AP/EG部分答案详解
声明:写这些比赛的文章只是便于有些地区上进同学学习,博主本人只是出于好心,因此,博主没有对个人服务的义务,更何况一分钱都得不到,之所以这样讲是因为某些加我问问题的同学态度恶劣,因此我删除了很多地方我本人的联系方式,这个比赛本身和我一点关系都没有,只与你自己个人学习能力有关,看不看得懂和我一点关系都没有,懂的人自然都懂,我尽力了,你们随意!
这是2018年全国职业技能大赛高职组计算机网络应用赛项真题-I卷AC/AP/EG部分
相关链接:
锐捷网络技能大赛-2018年全国职业技能大赛高职组计算机网络应用赛项真题-I卷路由交换部分答案详解
1.无线网络基础部署
使用AC1和AC2作为总部无线用户和无线AP的DHCP服务器,使用S5作为分校无线用户和无线AP的DHCP服务器;
AP3以透明模式进行部署,S5部署DHCP服务为无线终端及AP分配地址,且AP每次均获取地址均为194.XX.20.2(XX现场提供);
AC1配置:
BX-WS6008-01(config)#ip dhcp excluded-address 192.1.50.252 192.1.50.254
BX-WS6008-01(config)#ip dhcp excluded-address 192.1.60.252 192.1.60.254
BX-WS6008-01(config)#service dhcp
BX-WS6008-01(config)#ip dhcp pool AP
BX-WS6008-01(dhcp-config)# option 138 ip 11.1.0.204 11.1.0.205
BX-WS6008-01(dhcp-config)#network 192.1.50.0 255.255.255.0
BX-WS6008-01(dhcp-config)#default-router 192.1.50.254
BX-WS6008-01(dhcp-config)#exi
BX-WS6008-01(config)#ip dhcp pool yonghu
BX-WS6008-01(dhcp-config)#network 192.1.60.0 255.255.255.0
BX-WS6008-01(dhcp-config)#default-router 192.1.60.254
BX-WS6008-01(dhcp-config)#exi
S5配置(连接ap的端口必须放通的vlan)
FX-S5750-01(config)#int gi0/21
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport mode trunk
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport trunk allowed vlan only 20,30,40
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport trunk native vlan 20
FX-S5750-01(config-if-GigabitEthernet 0/21)#exi
FX-S5750-01(config)#service dhcp
FX-S5750-01(config)#ip dhcp pool AP
FX-S5750-01(dhcp-config)#hardware-address 0074.9c22.f6c4 (mac地址为ap的mac地址)
FX-S5750-01(dhcp-config)#host 194.1.20.2 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.20.254
FX-S5750-01(dhcp-config)#exi
FX-S5750-01(config)#ip dhcp pool Wiressless_users1
FX-S5750-01(dhcp-config)#network 194.1.30.0 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.30.254
FX-S5750-01(dhcp-config)#exi
FX-S5750-01(config)#ip dhcp pool Wiressless_users2
FX-S5750-01(dhcp-config)#network 194.1.40.0 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.40.254
创建总部内网SSID为Ruijie-BX_XX(XX现场提供),WLAN ID为1,AP-Group为BX,总部内网无线用户关联SSID后可自动获取地址。
要求总部内网无线网络启用本地转发模式;
为了保障总部每个用户的无线体验,针对WLAN ID 1下的每个用户的下行平均速率为800kB/s,突发速率为1600kB/s;
BX-WS6008-01(config)#wlan-config 1 Ruijie-BX_1
BX-WS6008-01(config-wlan)#tunnel local
BX-WS6008-01(config-wlan)#wlan-based per-user-limit down-streams average-data-rate 800 burst-data-rate 1600
BX-WS6008-01(config)#ap-group BX
BX-WS6008-01(config-group)#interface-mapping 1 60 ap-wlan-id 1
BX-WS6008-01(config-group)#tunnel local wlan 1 vlan 60
2.AC热备部署
总部AC2为主用,AC1为备用。AP与AC1、AC2均建立隧道,当AP与AC2失去连接时能无缝切换至AC1并提供服务。
AC1配置:
BX-WS6008-01(config)#wlan hot-backup 11.1.0.205
BX-WS6008-01(config-hotbackup)#context 10
BX-WS6008-01(config-hotbackup-ctx)#ap-group BX
BX-WS6008-01(config-hotbackup-ctx)#exi
BX-WS6008-01(config-hotbackup)#wlan hot-backup enable
*Jun 22 14:50:32: %WLAN_HOTBACKUP-6-PEER: wlan hot-backup start doing ENABLE, please wait.
*Jun 22 14:50:32: %WLAN_HOTBACKUP-6-PEER: Peer(11.1.0.205) hot-backup enable.
AC2配置:
BX-WS6008-01(config)#wlan hot-backup 11.1.0.204
BX-WS6008-01(config-hotbackup)#context 10
BX-WS6008-01(config-hotbackup-ctx)#priority level 7
BX-WS6008-01(config-hotbackup-ctx)#ap-group BX
BX-WS6008-01(config-hotbackup-ctx)#exi
BX-WS6008-01(config-hotbackup)#wlan hot-backup enable
3.无线安全部署
总部无线用户接入无线网络时需要采用WPA2加密方式,密码为XX(现场提供);
为了防御无线局域网ARP欺骗影响用户上网体验,总部配置无线环境ARP欺骗防御功能。
BX-WS6008-01(config)#wlansec 1
BX-WS6008-01(config-wlansec)#security rsn enable
BX-WS6008-01(config-wlansec)#security rsn ciphers aes enable
BX-WS6008-01(config-wlansec)#security rsn akm psk enable
BX-WS6008-01(config-wlansec)#security rsn akm psk set-key ascii 12345678
BX-WS6008-01(config-wlansec)#exi
BX-WS6008-01(config)#ip dhcp snooping
BX-WS6008-01(config)#int gi0/1
BX-WS6008-01(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust
BX-WS6008-01(config)#wlansec 1
BX-WS6008-01(config-wlansec)#ip verify source port-security
BX-WS6008-01(config-wlansec)#arp-check
BX-WS6008-01(config-wlansec)#exi
分校启用白名单校验,仅放通PC3无线终端;
BX-WS6008-01(config)#wids
BX-WS6008-01(config-wids)#whitelist mac-address 00ff.ffff.ffff
BX-WS6008-01(config-wids)#whitelist max 1
总部每AP最大带点人数为45人;
总部通过时间调度,要求每周一至周五的21:00至23:30期间关闭无线服务;
总部设置用户最小接入信号强度为-65dBm;
BX-WS6008-01(config)#schedule session 1
Session 1 is created now.
BX-WS6008-01(config)#schedule session 1 time-range 1 period Mon to Fri time 21:00 to 23:30
BX-WS6008-01(config)#ap-config 5869.6cd6.8fc5
You are going to config AP(5869.6cd6.8fc5), which is online now.
BX-WS6008-01(config-ap)#ap-name BX-AP520-01
The AP(BX-AP520-01) is on line.
BX-WS6008-01(config-ap)#ap-group BX
BX-WS6008-01(config-ap)#sta-limit 45
BX-WS6008-01(config-ap)#response-rssi 30 radio 1
BX-WS6008-01(config-ap)#response-rssi 30 radio 2
BX-WS6008-01(config-ap)#quiet-mode session 1
BX-WS6008-01(config-ap)#no 11acsupport enable radio 2
BX-WS6008-01(config-ap)#channel 1 radio 1
BX-WS6008-01(config-ap)#exi
BX-WS6008-01(config)#ac-controller
BX-WS6008-01(config-ac)#802.11a network rate 6 disabled
BX-WS6008-01(config-ac)#802.11a network rate 9 disabled
BX-WS6008-01(config-ac)#802.11b network rate 1 disabled
BX-WS6008-01(config-ac)#802.11b network rate 2 disabled
BX-WS6008-01(config-ac)#802.11b network rate 5 disabled
BX-WS6008-01(config-ac)#802.11g network rate 5 disabled
BX-WS6008-01(config-ac)#802.11g network rate 2 disabled
BX-WS6008-01(config-ac)#802.11g network rate 1 disabled
BX-WS6008-01(config-ac)#exi
4.胖AP部署
北京校区使用无线AP胖模式进行部署,具体要求如下:
AP3创建SSID(WLAN-ID 1)为Ruijie-BJ_XX_1(XX现场提供),分校内网无线用户关联SSID后可自动获取分校VLAN30网段地址;
AP3创建SSID(WLAN-ID 2)为Ruijie-BJ_XX_2(XX现场提供),分校内网无线用户关联SSID后可自动获取分校VLAN40网段地址。
AP3配置:
FX-AP520-01(config)#int gi0/1
FX-AP520-01(config-if-GigabitEthernet 0/1)#ip address dhcp
FX-AP520-01(config-if-GigabitEthernet 0/1)#exi
00:03:54: %DHCP_CLIENT-6-ADDRESS_ASSIGN: Interface GigabitEthernet 0/1 assigned DHCP address 194.1.20.2, mask 255.255.255.0.
FX-AP520-01(config)#vlan 30
FX-AP520-01(config-vlan)#exi
FX-AP520-01(config)#vlan 40
FX-AP520-01(config-vlan)#exit
FX-AP520-01(config)#dot11 wlan 1
FX-AP520-01(dot11-wlan-config)#vlan 30
FX-AP520-01(dot11-wlan-config)#ssid Ruijie-BJ_1_1
FX-AP520-01(dot11-wlan-config)#exi
FX-AP520-01(config)#dot11 wlan 2
FX-AP520-01(dot11-wlan-config)#vlan 40
FX-AP520-01(dot11-wlan-config)#ssid Ruijie-BJ_1_2
FX-AP520-01(dot11-wlan-config)#exi
FX-AP520-01(config)#int gi0/1.3
FX-AP520-01(config-subif-GigabitEthernet 0/1.3)#encapsulation dot1Q 30
FX-AP520-01(config-subif-GigabitEthernet 0/1.3)#exi
FX-AP520-01(config)#int gi0/1.4
FX-AP520-01(config-subif-GigabitEthernet 0/1.4)#encapsulation dot1Q 40
FX-AP520-01(config-subif-GigabitEthernet 0/1.4)#exi
FX-AP520-01(config)#int dot11radio 1/0.3
FX-AP520-01(config-subif-Dot11radio 1/0.3)#encapsulation dot1Q 30
FX-AP520-01(config-subif-Dot11radio 1/0.3)#wlan-id 1
FX-AP520-01(config-subif-Dot11radio 1/0.3)#exi
FX-AP520-01(config)#int dot11radio 1/0.4
FX-AP520-01(config-subif-Dot11radio 1/0.4)#encapsulation dot1Q 40
FX-AP520-01(config-subif-Dot11radio 1/0.4)#wlan-id 2
出口NAT部署
具体配置参数如下:
出口网关上进行NAT配置实现总部与分校的所有用户均可访问互联网,通过NAPT方式将内网用户IP地址转换到互联网接口上,同时总部用户仅可在周一到周五工作时间09:00-17:00(命名为work)访问互联网;
EG1:
BX-EG2000-01(config)#time-range work
BX-EG2000-01(config-time-range)#periodic weekdays 09:00 to 17:00
BX-EG2000-01(config)#ip access-list ex 110
BX-EG2000-01(config-ext-nacl)#permit ip 192.1.0.0 0.0.255.255 any time-range work
BX-EG2000-01(config-ext-nacl)#permit ip 172.16.0.0 0.0.3.255 any time-range work
BX-EG2000-01(config-ext-nacl)#int gi0/0
BX-EG2000-01(config-if-GigabitEthernet 0/0)#ip nat in
BX-EG2000-01(config-if-GigabitEthernet 0/0)#int gi0/1
BX-EG2000-01(config-if-GigabitEthernet 0/1)#ip nat in
EG2:
FX-EG2000-01(config)#ip access-list ex 110
FX-EG2000-01(config-ext-nacl)#permit ip 194.1.0.0 0.0.255.255 any
FX-EG2000-01(config-ext-nacl)#int gi0/0
FX-EG2000-01(config-if-GigabitEthernet 0/0)#ip nat in
在总部EG1上配置,使总部核心交换S4(11.1.0.34)设备的SSH服务可以通过互联网被访问,将其地址映射至联通线路上,映射地址为20.1.0.2;
EG1:
BX-EG2000-01(config)#ip nat in source static tcp 11.1.0.34 22 20.1.0.2 22 permit-inside
总部内网主机有访问上海办事处S6设备的Telnet服务需求,但总部内网因网络规划要求不能引入外部路由,同时上海办事处网络运维人员考虑安全起见也不希望将S6设备(11.1.0.6)地址对外公布。为此规划在出口网关上进行NAT地址转化将S6真实地址映射至20.1.0.20。
EG1:
BX-EG2000-01(config)#ip nat outside source static tcp 11.1.0.6 23 20.1.0.20 23
全局流表策略部署
在用户没有防火墙做限制的情况下,如果遇到大量的伪源IP攻击,或者是端口扫描时,会把设备的流表给占满,而导致正常的数据无法建流而被丢弃,为此要求总部部署全局流表防火墙,ACL(编号为102)策略要求如下:
放通所有IP到本设备外网接口的ICMP、Telnet协议;
放通内网终端IP到外网所有资源的访问;
放通任意IP来访问映射的内网交换机的资源;
根据上下文要求放通设备已启用的功能协议端口
EG1:
BX-EG2000-01(config)#ip access-list ex 102
BX-EG2000-01(config-ext-nacl)# permit icmp any host 20.1.0.6
BX-EG2000-01(config-ext-nacl)# permit icmp any host 30.1.0.6
BX-EG2000-01(config-ext-nacl)# permit icmp any host 40.1.0.6
BX-EG2000-01(config-ext-nacl)# permit tcp any host 20.1.0.6 eq telnet
BX-EG2000-01(config-ext-nacl)# permit tcp any host 30.1.0.6 eq telnet
BX-EG2000-01(config-ext-nacl)# permit tcp any host 40.1.0.6 eq telnet
BX-EG2000-01(config-ext-nacl)# permit ip 192.1.0.0 0.0.255.255 any
BX-EG2000-01(config-ext-nacl)# permit ip 172.16.0.0 0.0.3.255 any
BX-EG2000-01(config-ext-nacl)# permit tcp any host 20.1.0.2 eq 22
BX-EG2000-01(config-ext-nacl)# permit ospf any any
BX-EG2000-01(config-ext-nacl)# permit udp any any eq snmp
BX-EG2000-01(config-ext-nacl)# permit udp any any eq snmptrap
BX-EG2000-01(config-ext-nacl)# permit esp any any
BX-EG2000-01(config-ext-nacl)# permit udp any eq bootpc any eq bootps
BX-EG2000-01(config-ext-nacl)# permit udp any eq bootps any eq bootpc
BX-EG2000-01(config-ext-nacl)# permit udp any any eq 1701
Web Portal用户认证部署
在总部网关上启用Web Portal认证服务,并创建user1、user2,密码均为XX(现场提供);
总部有线用户需进行WEB认证访问互联网;
总部无线用户不需在EG上进行WEB认证即可访问互联网。
EG1:
应用流量控制部署
分校EG2联通线路针对访问外网WEB流量限速每IP 1000kbps,内网WEB总流量不超过50Mbps。
用户行为策略部署
分校EG2基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能;
分校EG2周一到周五工作时间09:00-17:00(命名为work)阻断并审计P2P应用软件使用;
禁止分校内网用户通过浏览器访问http://40.1.0.9。数据分流与负载均衡
数据分流与负载均衡
总部与分校用户数据流匹配EG内置联通、电信与教育地址库,实现访问联通资源走联通线路,访问电信资源走电信线路,访问教育网资源走教育网线路;
除联通、电信、教育资源之外默认所有数据流在三条线路间进行负载转发;
分校EG2每天晚上6点到10点(命名为Night)联通线路上网流量压力较大,将P2P应用软件流量在此时间段内引流到电信线路。
VPN部署
为了实现总部与分部互访数据的安全性,同时要求总部对分部路由器采用本地的用户名、密码方式进行验证,为此规划如下:
部署L2TP隧道进行总部对分部路由的对接验证,验证用户名密码均为ruijie,L2TP隧道密码为ruijie;
L2TP用户地址池为12.1.0.1—12.1.0.254,Virtual-Template及Virtual-ppp接口均引用本地loopback 1接口地址;
L2TP隧道中承载OSPF协议,使其总部与分部通过OSPF进行路由交互,区域号0;
部署IPSec对L2TP隧道中的业务数据加密;
IPSec VPN需要采用传输模式,预共享密码为ruijie,加密认证方式为ESP-3DES、ESP-MD5-HMAC,DH使用组2;
总分机构间数据通信及加密通过二级运营商R1联通节点作为中转设备;
总部有线IPV4用户与分部IPV4用户互通主路径规划为:VSU-S3-EG1-EG2-S5(EG1/EG2间运行VPN隧道)。
EG1:
BX-EG2000-01(config)#rou ospf 10
BX-EG2000-01(config-router)#net 12.1.0.1 0.0.0.255 a 0
EG2:
FX-EG2000-01(config)#rou ospf 10
FX-EG2000-01(config-router)#network 12.1.0.2 0.0.0.255 a 0
相关链接
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题A卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题B卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题C卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题D卷(软件定义网络部分答案参考)
锐捷“2019年全国职业院校技能大赛”高职组计算机网络应用竞赛竞赛样题E~J卷(软件定义网络部分答案参考)
关于锐捷网络技能大赛软件定义网络部分题目分析与探讨
下面三个都开源在Github上 对参加网络技能大赛的同学帮助较大
希望看到的人能给我点个star 给予更多同学帮助 谢谢大家
转载:https://blog.csdn.net/qq_40695642/article/details/108968847