全国职业院校技能大赛网络系统管理项目模块C样卷1Word文档格式.docx

资源描述

全国职业院校技能大赛网络系统管理项目模块C样卷1Word文档格式.docx

《全国职业院校技能大赛网络系统管理项目模块C样卷1Word文档格式.docx》由会员分享，可在线阅读，更多相关《全国职业院校技能大赛网络系统管理项目模块C样卷1Word文档格式.docx（32页珍藏版）》请在冰豆网上搜索。

全国职业院校技能大赛网络系统管理项目模块C样卷1Word文档格式.docx

以上每项业务的运营对于网络稳健性、智慧性要求都带来挑战，不仅需要可靠稳定的基础网络支撑，更需要统一管理运维体系保障其庞大的业务正常运营。

为了优化省行的网络，为其它区域的网络提供高效的保障服务，陕西招财银行同时针对各个分支行、网点的网络进行升级、改造和优化。

其中，对省行进行全网改造，包括调整全网拓扑实现核心网络虚拟化、部署集中式AC的智慧无线网络；

保证网络在宕机时能平滑切换，保障各项业务不中断。

此次也新建如龙首原支行、凤翔路支行、虎口镇网点……等多个支行和网点；

同时部署网络安全整体解决方案，改变之前上网行为管理难的问题，实现员工访问网络事后可溯源，省行和各支行/网点之间传输的数据实现加密等多项安全问题；

构建安全高效的网络出口，依托互联网最大限度实现各业务安全、高效、快速的传输，创建新时代金融网络环境，保障银行各项业务的高效运营。

三．项目规划和设计

为了顺利实施陕西招财银行全省营业网点的网络改造，优化省行的网络，为其它区域的网络提供高效的保障服务，陕西招财银行同时针对各个分支行、网点的网络进行升级、改造和优化。

1.项目规划与建设内容

主要实施的网络信息化项目规划与建设内容如下所示。

（1）各支行/网点的网络通过MSTP专线访问省行的业务区，实现生产和办公业务互通。

（2）生产性数据通过有线网络传输、办公数据通过无线网络传输，保证其稳定性。

（3）通过路由策略部署，实现生产和办公数据按指定路径进行分流和互相备份，保证数据来回路径一致。

（4）省行及各支行网点局域网内部部署防环、防攻击、数据负载均衡等相关策略，确保局域网业务安全、可靠。

（5）保证省行特定服务器能通过外联区对外提供服务、省行的用户能正常上网，同时第三方公司能通过VPN访问银行特定资源。

2.项目规划与建设拓扑

陕西招财银行全省营业网点的改造和信息化建设方案拓扑图如图1所示。

图1陕西招财银行全省营业网点网络改造拓扑

3.项目规划与建设拓扑

陕西招财银行省行核心网以及营业网点网络改造拓扑相关说明如下。

（1）两台数据中心交换机作为省行核心区中的核心交换机，在网络拓扑中的编号为S1和S2。

（2）两台三层可控交换机作为省行业务区中的汇聚交换机，在网络拓扑中的编号为S3和S4。

（3）两台二层可控交换机作为省行业务区中的接入交换机，在网络拓扑中的编号为S5和S6。

（4）两台无线控制器作为省行业务区中的无线网络控制器，在网络拓扑中的编号为AC1和AC2。

（5）一台无线AP作为省行业务区无线接入点，在网络拓扑中编号为AP1。

（6）省行通过互联区和支行/网点的连接，使用两台路由器接入，在网络拓扑中的编号为R1和R2。

（7）省行外联区中使用一台出口网关把省行的网络接入互联网（运营商网络），在网络拓扑中的编号为EG1。

（8）龙首原支行使用一台三层可控交换机作为支行的业务交换机，在网络拓扑中的编号为S7。

（9）龙首原支行无线网部署使用一台无线AP接入，在网络拓扑中编号为AP2。

（10）省行的外联区通过宽带链路接入运营商（Internet）路由器，运营商网络中接入路由器在网络拓扑中编号为R3。

（11）第三方公司使用一台出口网关作网络出口，在网络拓扑中编号为EG2。

（12）第三方公司使用一台无线AP部署无线网络，在网络拓扑中编号为AP3。

4.网络拓扑连线要求与说明

在项目实施过程中，如用户无特殊要求，应根据规范要求进行各级网络设备互联，统一现场设备互联界面；

使用线缆标签规范连接，使网络结构清晰明了，方便后续维护。

请根据拓扑图及网络设备物理连接表，完成设备的连线。

其中，网络物理连接表如表1所示；

网络设备名称表如表2所示；

网络中IPv4地址分配表如表3所示。

表1网络设备物理连接表

源设备名称

设备接口

接口描述

目标设备名称

Gi0/1

Connect_To_EG1_Gi0/1

EG1

Gi0/2

Connect_To_S3_Gi0/23

Gi0/23

Gi0/3

Connect_To_S4_Gi0/23

Gi0/4

Connect_To_R1_Gi0/0

Gi0/0

Gi0/5

Connect_To_R2_Gi0/0

Gi0/47

Connect_To_S2_Gi0/47

Gi0/48

Connect_To_S2_Gi0/48

Connect_To_EG1_Gi0/2

Connect_To_S3_Gi0/24

Gi0/24

Connect_To_S4_Gi0/24

Connect_To_R1_Gi0/1

Connect_To_R2_Gi0/1

Connect_To_S1_Gi0/47

Connect_To_S1_Gi0/48

Connect_To_AC1_Gi0/3

AC1

Connect_To_S5_Gi0/23

Connect_To_S6_Gi0/23

Gi0/21

Connect_To_S4_Gi0/21

Gi0/22

Connect_To_S4_Gi0/22

Connect_To_S1_Gi0/2

Connect_To_S2_Gi0/2

Connect_To_AC2_Gi0/4

AC2

Connect_To_S5_Gi0/24

Connect_To_S6_Gi0/24

Connect_To_S3_Gi0/21

Connect_To_S3_Gi0/22

Connect_To_S1_Gi0/3

Connect_To_S2_Gi0/3

Connect_To_AP1_Gi0/1

AP1

Connect_To_S6_Gi0/22

Connect_To_S3_Gi0/3

Connect_To_S4_Gi0/3

Te0/27

Connect_To_S6_Te0/27

Te0/28

Connect_To_S6_Te0/28

Connect_To_S5_Gi0/22

Connect_To_S3_Gi0/4

Connect_To_S4_Gi0/4

Connect_To_S5_Te0/27

Connect_To_S5_Te0/28

Connect_To_S3_Gi0/1

Connect_To_S4_Gi0/2

Connect_To_S5_Gi0/1

Connect_To_S1_Gi0/4

Connect_To_S2_Gi0/4

Fa1/1

Connect_To_S7_Gi0/23

Fa1/0

Connect_To_R2_Fa1/0

Connect_To_S1_Gi0/5

Connect_To_S2_Gi0/5

Connect_To_S7_Gi0/24

Connect_To_R1_Fa1/0

Connect_To_AP2_Gi0/1

AP2

Connect_To_R1_Fa1/1

Connect_To_R2_Fa1/1

Connect_To_S7_Gi0/1

Connect_To_S1_Gi0/1

Connect_To_S2_Gi0/1

Connect_To_R3_Gi0/1

Connect_To_EG2_Gi0/4

EG2

Connect_To_EG1_Gi0/4

Connect_To_AP3_Gi0/1

AP3

Connect_To_R3_Gi0/0

Connect_To_EG2_Gi0/1

表2网络设备名称表

拓扑中设备名称

配置主机名（hostname名）

备注

SHHXQ-DataCenter-Switch-S1

省行核心区核心交换机1

SHHXQ-DataCenter-Switch-S2

省行核心区核心交换机2

SHYWQ-Aggregation-Switch-S3

省行业务区汇聚交换机1

SHYWQ-Aggregation-Switch-S4

省行业务区汇聚交换机2

S5/S6（VSU）

SHYWQ-Access-Switch-Virtual-Switch

省行业务区接入交换机（虚拟化）

AC1/AC2（VAC）

SHYWQ-Wireless-Switch

省行业务区无线控制器（VAC）

SHHLQ-Router-R1

省行互联区互联路由器1

SHHLQ-Router-R2

省行互联区互联路由器2

LSYZH-Aggregation-Switch-S7

龙首原支行业务网中汇聚交换机

SHWLQ-Egress-Gateway-EG1

省行外联区出口网关设备

ISP-Router-R3

运营商网络中接入路由器

DSF-Egress-Gateway-EG2

第三方公司出口网关

表3IPv4地址分配表

设备

接口或VLAN

VLAN名称

二层或三层规划

说明

10.1.3.1/30

互联地址

10.1.1.1/30

10.1.1.5/30

10.1.2.1/30

10.1.2.5/30

Gi0/47-48

（AG1）

10.1.254.253/30

OSPF100进程

Loopback0

10.1.0.1/32

——

10.1.3.5/30

10.1.1.9/30

10.1.1.13/30

10.1.2.9/30

10.1.2.13/30

Gi0/47-48（AG1）

10.1.254.254/30

10.1.0.2/32

VLAN10

Production

192.1.10.252/24

生产/有线用户地址

VLAN50

APManage_YWQ

192.1.50.252/24

业务区AP管理地址

VLAN60

Wireless

192.1.60.252/24

办公/无线用户地址

VLAN100

Manage

192.1.100.252/24

设备管理

10.1.1.2/30

10.1.1.10/30

10.1.0.3/32

192.1.10.253/24

192.1.50.253/24

192.1.60.253/24

192.1.100.253/24

设备管理地址

10.1.1.6/30

10.1.1.14/30

10.1.0.4/32

S5-S6

（虚拟化）

Gi1/0/6至Gi1/0/20,

Gi2/0/6至Gi2/0/20

Gi1/0/1至Gi1/0/5,

Gi2/0/1至Gi2/0/5

192.1.100.1/24

192.1.100.2/24

10.1.0.5/32

192.1.100.3/24

10.1.0.6/32

10.1.2.2/30

10.1.2.10/30

10.1.2.253/30

10.1.2.21/30

10.1.0.7/32

10.1.2.6/30

10.1.2.14/30

10.1.2.254/30

10.1.2.25/30

10.1.0.8/32

10.1.2.22/30

10.1.2.26/30

VLAN410

194.1.10.254/24

G0/11-20

VLAN450

194.1.50.254/24

VLAN460

194.1.60.254/24

10.1.0.9/32

10.1.3.2/30

10.1.3.6/30

200.1.1.2/29

Tunnel0

10.1.4.1/30

GRE接口地址

10.1.0.10/32

200.2.1.1/29

200.1.1.1/29

Loopback1

195.1.1.1/32

Gi0/1.60

195.1.60.254/24

用户地址

Gi0/1.100

195.1.100.254/24

AP管理地址

200.2.1.2/29

10.1.4.2/30

10.1.0.11/32

四．网络项目实施

（一）设备基础信息配置与验证

1.完成网络设备规范命名；

配置网络设备基础信息。

（1）根据网络设备名称表（表2），修订所有设备名称。

（2）依据网络设备物理连接表（表1），配置设备接口描述信息。

2.完成网络设备密码恢复，实现设备软件版本统一。

（1）交换机S7做密码恢复，新密码设置为admin1234。

（2）交换机S7进行版本更新至指定版本，指定版本见现场升级文件包。

3.保障全网中的网络设备安全。

（1）在所有的网络设备上都需要开启SSH服务，以保障网络设备的安全。

其中，用户名密码分别为admin、admin1234；

特权密码为admin1234。

（2）为方便实现对全网开展网络管理功能，网络管理员计划增设网管平台，网管平台的IP规划为172.16.0.254/24。

（3）为了实现网管平台后期上线后可用，需要在每台设备上部署SNMP功能，配置所有网络设备的SNMP消息报告机制。

其中，向主机172.16.0.254发送Trap消息版本采用V2C；

读写的Community为“admin”；

只读的Community为“public”；

开启Trap消息通告。

（二）网络搭建与网络冗余备份方案部署

1.在全网部署虚拟局域网，完成全网IPv4地址部署。

为了减少全网中广播干扰，需要在全网规划和部署VLAN，需要实施的内容如下所示。

（1）全网的VLAN规划和配置合理，并在Trunk链路上不允许不必要VLAN中的数据流通过。

（2）为了隔离网络终端之间的二层互访，需要在交换机S5、S6的Gi0/6-Gi0/20端口上，启用端口保护功能。

（3）根据“网络设备名称表（表2）”、“IPv4地址分配表（表3）”中规划要求，在各设备上完成对应的VLAN、IP地址的配置。

2.在局域网中部署环路规避方案

为避免网络接入设备上出现环路，影响全网运行状态。

要求在网络接入交换机S5、S6上进行防环处理。

具体要求如下所示。

（1）在连接PC机端口上开启Portfast和BPDUguard防护功能。

（2）为防止接入交换机的下联端口出现用户私接集线器（Hub）设备引起办公网中的环路，需要启用RLDP协议进行防环处理。

（3）接入交换机的连接终端的接口上检测到环路后，要求处理的方式为Shutdown-Port，实现防环保护。

（4）一旦端口检测异常事件并进入Err-Disabled状态，设置300秒自动恢复机制（基于接口部署策略）。

3.部署DHCP中继与服务安全

（1）在交换机S3、S4上配置DHCP中继功能，使得网络中的终端用户通过DHCPRelay方式获取IP地址。

（2）省行的DHCP服务器搭建于S1交换机上,一方面为无线网络中的用户提供地址服务；

同时为网络中的无线AP设备提供管理地址（具体参数见表3：

IPv4地址分配表，共3个网段：

192.1.10.0/24，192.1.50.0/24，192.1.60.0/24）。

其中，无线AP的地址租约为永久；

无线网络中用户设备的租约为0.5天。

（3）为了防御局域网中出现伪造DHCP服务器与ARP欺骗安全事件，需要在S5、S6交换机上部署DHCP的“Snooping+DAI”功能。

其中，DAI安全功能主要针对VLAN10中用户设备启用ARP防御。

（4）为了防止网关设备连续发送大量、正常报文，被接入交换机误认是攻击事件而被丢弃，导致下联网络中的用户设备无法获取网关设备上发出ARP信息，造成无法上网，要求关闭S5、S6交换机上联口上“NFPParp-guard”功能。

（5）调整S5、S6交换机设备上的“CPU保护机制”，其中，调整ARP带宽为1500pps。

4.部署MSTP及VRRP技术，实现网络冗余。

在交换机S3、S4、S5、S6上配置MSTP防止二层环路。

（1）配置MSTP要求来自VLAN10、VLAN100中的数据流经过S3交换机转发，一旦S3交换机失效时，经过S4交换机转发。

要求来自VLAN50、VLAN60中的数据流经过S4交换机转发，一旦S4交换机失效时，经过S3交换机转发。

其中，所配置的MSTP参数要求：

region-name为tes

展开阅读全文