全国职业院校技能大赛网络系统管理项目模块C样卷1.docx

全国职业院校技能大赛网络系统管理项目模块C样卷1.docx

《全国职业院校技能大赛网络系统管理项目模块C样卷1.docx》由会员分享，可在线阅读，更多相关《全国职业院校技能大赛网络系统管理项目模块C样卷1.docx（32页珍藏版）》请在冰豆网上搜索。

全国职业院校技能大赛网络系统管理项目模块C样卷1

2020年全国职业院校技能大赛改革试点赛

“网络系统管理”赛项

“网络构建”模块

（样卷1）

全国职业院校技能大赛执委会.技术专家组

2020年9月

一．说明

本模块比赛时间为4小时。

请合理分配竞赛时间。

请仔细阅读以下要求。

1.比赛时间结束时，请将工作站保持运行状态，评分过程需要在运行状态进行，不允许重启。

由于重启造成配置丢失由考生个人负责。

2.为了方便测试，全网允许ICMP流量通行，请将操作系统的防火墙配置为允许Ping状态。

3．默认密码：

XXXXXX。

4．软件&工具:

见“2020年全国职业院校技能大赛改革试点赛赛项规程”。

二．项目背景

陕西招财银行是一家地方性商业银行，创建于1985年，其省行（一级行）位于陕西省西安市，在全省各地市均建有二级行，各区县建立的支行及网点已超过150个。

随着省行的网络扁平化改造，所有的二级行、支行及网点均需要直接连接到省行，其网络运行及维护的效率也得到了极大的提升。

为了保证网络的稳定且方便维护，省行网络分为核心区、业务区、互联区、外联区四个部分。

其中：

核心区作为全网的中心枢纽承担了各类业务数据流量的转发工作。

业务区分别通过有线和无线网络，为生产数据流（存/取款等相关数据）和办公数据流（OA、视频会议等与钱无关的数据）提供了服务。

互联区通过MSTP专线连接总行、全省所有的二级行、支行及网点。

外联区通过互联网向用户提供如网上银行等线上服务，并对接第三方公司并提供相关服务；同时，省行的办公人员也能通过外联区访问Internet。

各支行/网点的业务也包括生产和办公两类。

其中，生产性的数据主要由ATM机等设备通过有线方式传输；办公业务主要通过无线网络提供服务。

各支行/网点的交换机通过两条MSTP专线分别将生产及办公数据传至省行。

陕西招财银行的智慧网络需要具备高速、可靠、安全的数据传输，实现高度集中计算和处理能力，为银行可持续发展铸就雄厚软实力。

同时，招财银行希望在本次信息化业务建设方面，打通从供应商、采购物流、生产计划以及销售管理等多业务之间的连接环节，从而提升银行业务运营的标准化、智能化、高效化以及应对异常的能力。

以上每项业务的运营对于网络稳健性、智慧性要求都带来挑战，不仅需要可靠稳定的基础网络支撑，更需要统一管理运维体系保障其庞大的业务正常运营。

为了优化省行的网络，为其它区域的网络提供高效的保障服务，陕西招财银行同时针对各个分支行、网点的网络进行升级、改造和优化。

其中，对省行进行全网改造，包括调整全网拓扑实现核心网络虚拟化、部署集中式AC的智慧无线网络；保证网络在宕机时能平滑切换，保障各项业务不中断。

此次也新建如龙首原支行、凤翔路支行、虎口镇网点……等多个支行和网点；同时部署网络安全整体解决方案，改变之前上网行为管理难的问题，实现员工访问网络事后可溯源，省行和各支行/网点之间传输的数据实现加密等多项安全问题；构建安全高效的网络出口，依托互联网最大限度实现各业务安全、高效、快速的传输，创建新时代金融网络环境，保障银行各项业务的高效运营。

三．项目规划和设计

为了顺利实施陕西招财银行全省营业网点的网络改造，优化省行的网络，为其它区域的网络提供高效的保障服务，陕西招财银行同时针对各个分支行、网点的网络进行升级、改造和优化。

1.项目规划与建设内容

主要实施的网络信息化项目规划与建设内容如下所示。

（1）各支行/网点的网络通过MSTP专线访问省行的业务区，实现生产和办公业务互通。

（2）生产性数据通过有线网络传输、办公数据通过无线网络传输，保证其稳定性。

（3）通过路由策略部署，实现生产和办公数据按指定路径进行分流和互相备份，保证数据来回路径一致。

（4）省行及各支行网点局域网内部部署防环、防攻击、数据负载均衡等相关策略，确保局域网业务安全、可靠。

（5）保证省行特定服务器能通过外联区对外提供服务、省行的用户能正常上网，同时第三方公司能通过VPN访问银行特定资源。

2.项目规划与建设拓扑

陕西招财银行全省营业网点的改造和信息化建设方案拓扑图如图1所示。

图1陕西招财银行全省营业网点网络改造拓扑

3.项目规划与建设拓扑

陕西招财银行省行核心网以及营业网点网络改造拓扑相关说明如下。

（1）两台数据中心交换机作为省行核心区中的核心交换机，在网络拓扑中的编号为S1和S2。

（2）两台三层可控交换机作为省行业务区中的汇聚交换机，在网络拓扑中的编号为S3和S4。

（3）两台二层可控交换机作为省行业务区中的接入交换机，在网络拓扑中的编号为S5和S6。

（4）两台无线控制器作为省行业务区中的无线网络控制器，在网络拓扑中的编号为AC1和AC2。

（5）一台无线AP作为省行业务区无线接入点，在网络拓扑中编号为AP1。

（6）省行通过互联区和支行/网点的连接，使用两台路由器接入，在网络拓扑中的编号为R1和R2。

（7）省行外联区中使用一台出口网关把省行的网络接入互联网（运营商网络），在网络拓扑中的编号为EG1。

（8）龙首原支行使用一台三层可控交换机作为支行的业务交换机，在网络拓扑中的编号为S7。

（9）龙首原支行无线网部署使用一台无线AP接入，在网络拓扑中编号为AP2。

（10）省行的外联区通过宽带链路接入运营商（Internet）路由器，运营商网络中接入路由器在网络拓扑中编号为R3。

（11）第三方公司使用一台出口网关作网络出口，在网络拓扑中编号为EG2。

（12）第三方公司使用一台无线AP部署无线网络，在网络拓扑中编号为AP3。

4.网络拓扑连线要求与说明

在项目实施过程中，如用户无特殊要求，应根据规范要求进行各级网络设备互联，统一现场设备互联界面；使用线缆标签规范连接，使网络结构清晰明了，方便后续维护。

请根据拓扑图及网络设备物理连接表，完成设备的连线。

其中，网络物理连接表如表1所示；网络设备名称表如表2所示；网络中IPv4地址分配表如表3所示。

表1网络设备物理连接表

源设备名称

设备接口

接口描述

目标设备名称

设备接口

S1

Gi0/1

Connect_To_EG1_Gi0/1

EG1

Gi0/1

Gi0/2

Connect_To_S3_Gi0/23

S3

Gi0/23

Gi0/3

Connect_To_S4_Gi0/23

S4

Gi0/23

Gi0/4

Connect_To_R1_Gi0/0

R1

Gi0/0

Gi0/5

Connect_To_R2_Gi0/0

R2

Gi0/0

Gi0/47

Connect_To_S2_Gi0/47

S2

Gi0/47

Gi0/48

Connect_To_S2_Gi0/48

Gi0/48

S2

Gi0/1

Connect_To_EG1_Gi0/2

EG1

Gi0/2

Gi0/2

Connect_To_S3_Gi0/24

S3

Gi0/24

Gi0/3

Connect_To_S4_Gi0/24

S4

Gi0/24

Gi0/4

Connect_To_R1_Gi0/1

R1

Gi0/1

Gi0/5

Connect_To_R2_Gi0/1

R2

Gi0/1

Gi0/47

Connect_To_S1_Gi0/47

S1

Gi0/47

Gi0/48

Connect_To_S1_Gi0/48

Gi0/48

S3

Gi0/1

Connect_To_AC1_Gi0/3

AC1

Gi0/3

Gi0/3

Connect_To_S5_Gi0/23

S5

Gi0/23

Gi0/4

Connect_To_S6_Gi0/23

S6

Gi0/23

Gi0/21

Connect_To_S4_Gi0/21

S4

Gi0/21

Gi0/22

Connect_To_S4_Gi0/22

Gi0/22

Gi0/23

Connect_To_S1_Gi0/2

S1

Gi0/2

Gi0/24

Connect_To_S2_Gi0/2

S2

Gi0/2

S4

Gi0/2

Connect_To_AC2_Gi0/4

AC2

Gi0/4

Gi0/3

Connect_To_S5_Gi0/24

S5

Gi0/24

Gi0/4

Connect_To_S6_Gi0/24

S6

Gi0/24

Gi0/21

Connect_To_S3_Gi0/21

S3

Gi0/21

Gi0/22

Connect_To_S3_Gi0/22

Gi0/22

Gi0/23

Connect_To_S1_Gi0/3

S1

Gi0/3

Gi0/24

Connect_To_S2_Gi0/3

S2

Gi0/3

S5

Gi0/1

Connect_To_AP1_Gi0/1

AP1

Gi0/1

Gi0/22

Connect_To_S6_Gi0/22

S6

Gi0/22

Gi0/23

Connect_To_S3_Gi0/3

S3

Gi0/3

Gi0/24

Connect_To_S4_Gi0/3

S4

Gi0/3

Te0/27

Connect_To_S6_Te0/27

S6

Te0/27

Te0/28

Connect_To_S6_Te0/28

Te0/28

S6

Gi0/22

Connect_To_S5_Gi0/22

S5

Gi0/22

Gi0/23

Connect_To_S3_Gi0/4

S3

Gi0/4

Gi0/24

Connect_To_S4_Gi0/4

S4

Gi0/4

Te0/27

Connect_To_S5_Te0/27

S5

Te0/27

Te0/28

Connect_To_S5_Te0/28

Te0/28

AC1

Gi0/3

Connect_To_S3_Gi0/1

S3

Gi0/1

AC2

Gi0/4

Connect_To_S4_Gi0/2

S4

Gi0/2

AP1

Gi0/1

Connect_To_S5_Gi0/1

S5

Gi0/1

R1

Gi0/0

Connect_To_S1_Gi0/4

S1

Gi0/4

Gi0/1

Connect_To_S2_Gi0/4

S2

Gi0/4

Fa1/1

Connect_To_S7_Gi0/23

S7

Gi0/23

Fa1/0

Connect_To_R2_Fa1/0

R2

Fa1/0

R2

Gi0/0

Connect_To_S1_Gi0/5

S1

Gi0/5

Gi0/1

Connect_To_S2_Gi0/5

S2

Gi0/5

Fa1/1

Connect_To_S7_Gi0/24

S7

Gi0/24

Fa1/0

Connect_To_R1_Fa1/0

R1

Fa1/0

S7

Gi0/1

Connect_To_AP2_Gi0/1

AP2

Gi0/1

Gi0/23

Connect_To_R1_Fa1/1

R1

Fa1/1

Gi0/24

Connect_To_R2_Fa1/1

R2

Fa1/1

AP2

Gi0/1

Connect_To_S7_Gi0/1

S7

Gi0/1

EG1

Gi0/1

Connect_To_S1_Gi0/1

S1

Gi0/1

Gi0/2

Connect_To_S2_Gi0/1

S2

Gi0/1

Gi0/4

Connect_To_R3_Gi0/1

R3

Gi0/1

R3

Gi0/0

Connect_To_EG2_Gi0/4

EG2

Gi0/4

Gi0/1

Connect_To_EG1_Gi0/4

EG1

Gi0/4

EG2

Gi0/1

Connect_To_AP3_Gi0/1

AP3

Gi0/1

Gi0/4

Connect_To_R3_Gi0/0

R3

Gi0/0

AP3

Gi0/1

Connect_To_EG2_Gi0/1

EG2

Gi0/1

表2网络设备名称表

拓扑中设备名称

配置主机名（hostname名）

备注

S1

SHHXQ-DataCenter-Switch-S1

省行核心区核心交换机1

S2

SHHXQ-DataCenter-Switch-S2

省行核心区核心交换机2

S3

SHYWQ-Aggregation-Switch-S3

省行业务区汇聚交换机1

S4

SHYWQ-Aggregation-Switch-S4

省行业务区汇聚交换机2

S5/S6（VSU）

SHYWQ-Access-Switch-Virtual-Switch

省行业务区接入交换机（虚拟化）

AC1/AC2（VAC）

SHYWQ-Wireless-Switch

省行业务区无线控制器（VAC）

R1

SHHLQ-Router-R1

省行互联区互联路由器1

R2

SHHLQ-Router-R2

省行互联区互联路由器2

S7

LSYZH-Aggregation-Switch-S7

龙首原支行业务网中汇聚交换机

EG1

SHWLQ-Egress-Gateway-EG1

省行外联区出口网关设备

R3

ISP-Router-R3

运营商网络中接入路由器

EG2

DSF-Egress-Gateway-EG2

第三方公司出口网关

表3IPv4地址分配表

设备

接口或VLAN

VLAN名称

二层或三层规划

说明

S1

Gi0/1

\

10.1.3.1/30

互联地址

Gi0/2

\

10.1.1.1/30

互联地址

Gi0/3

\

10.1.1.5/30

互联地址

Gi0/4

\

10.1.2.1/30

互联地址

Gi0/5

\

10.1.2.5/30

互联地址

Gi0/47-48

（AG1）

\

10.1.254.253/30

OSPF100进程

Loopback0

\

10.1.0.1/32

——

S2

Gi0/1

\

10.1.3.5/30

互联地址

Gi0/2

\

10.1.1.9/30

互联地址

Gi0/3

\

10.1.1.13/30

互联地址

Gi0/4

\

10.1.2.9/30

互联地址

Gi0/5

\

10.1.2.13/30

互联地址

Gi0/47-48（AG1）

\

10.1.254.254/30

OSPF100进程

Loopback0

\

10.1.0.2/32

——

S3

VLAN10

Production

192.1.10.252/24

生产/有线用户地址

VLAN50

APManage_YWQ

192.1.50.252/24

业务区AP管理地址

VLAN60

Wireless

192.1.60.252/24

办公/无线用户地址

VLAN100

Manage

192.1.100.252/24

设备管理

Gi0/23

\

10.1.1.2/30

互联地址

Gi0/24

\

10.1.1.10/30

互联地址

Loopback0

\

10.1.0.3/32

——

S4

VLAN10

Production

192.1.10.253/24

生产/有线用户地址

VLAN50

APManage_YWQ

192.1.50.253/24

业务区AP管理地址

VLAN60

Wireless

192.1.60.253/24

办公/无线用户地址

VLAN100

Manage

192.1.100.253/24

设备管理地址

Gi0/23

\

10.1.1.6/30

互联地址

Gi0/24

\

10.1.1.14/30

互联地址

Loopback0

\

10.1.0.4/32

——

S5-S6

（虚拟化）

VLAN10

Production

Gi1/0/6至Gi1/0/20,

Gi2/0/6至Gi2/0/20

生产/有线用户地址

VLAN50

APManage_YWQ

Gi1/0/1至Gi1/0/5,

Gi2/0/1至Gi2/0/5

业务区AP管理地址

VLAN100

Manage

192.1.100.1/24

设备管理地址

AC1

VLAN100

Manage

192.1.100.2/24

设备管理地址

Loopback0

\

10.1.0.5/32

——

AC2

VLAN100

Manage

192.1.100.3/24

设备管理地址

Loopback0

\

10.1.0.6/32

——

R1

Gi0/0

\

10.1.2.2/30

互联地址

Gi0/1

\

10.1.2.10/30

互联地址

Fa1/0

\

10.1.2.253/30

互联地址

Fa1/1

\

10.1.2.21/30

互联地址

Loopback0

\

10.1.0.7/32

——

R2

Gi0/0

\

10.1.2.6/30

互联地址

Gi0/1

\

10.1.2.14/30

互联地址

Fa1/0

\

10.1.2.254/30

互联地址

Fa1/1

\

10.1.2.25/30

互联地址

Loopback0

\

10.1.0.8/32

——

S7

Gi0/23

\

10.1.2.22/30

互联地址

Gi0/24

\

10.1.2.26/30

互联地址

VLAN410

Production

194.1.10.254/24

G0/11-20

生产/有线用户地址

VLAN450

APManage_YWQ

194.1.50.254/24

业务区AP管理地址

VLAN460

Wireless

194.1.60.254/24

办公/无线用户地址

Loopback0

\

10.1.0.9/32

——

EG1

Gi0/1

\

10.1.3.2/30

互联地址

Gi0/2

\

10.1.3.6/30

互联地址

Gi0/4

\

200.1.1.2/29

互联地址

Tunnel0

\

10.1.4.1/30

GRE接口地址

Loopback0

\

10.1.0.10/32

——

R3

Gi0/0

\

200.2.1.1/29

互联地址

Gi0/1

\

200.1.1.1/29

互联地址

Loopback1

\

195.1.1.1/32

——

EG2

Gi0/1.60

\

195.1.60.254/24

用户地址

Gi0/1.100

\

195.1.100.254/24

AP管理地址

Gi0/4

\

200.2.1.2/29

互联地址

Tunnel0

\

10.1.4.2/30

GRE接口地址

Loopback0

\

10.1.0.11/32

——

四．网络项目实施

（一）设备基础信息配置与验证

1.完成网络设备规范命名；配置网络设备基础信息。

（1）根据网络设备名称表（表2），修订所有设备名称。

（2）依据网络设备物理连接表（表1），配置设备接口描述信息。

2.完成网络设备密码恢复，实现设备软件版本统一。

（1）交换机S7做密码恢复，新密码设置为admin1234。

（2）交换机S7进行版本更新至指定版本，指定版本见现场升级文件包。

3.保障全网中的网络设备安全。

（1）在所有的网络设备上都需要开启SSH服务，以保障网络设备的安全。

其中，用户名密码分别为admin、admin1234；特权密码为admin1234。

（2）为方便实现对全网开展网络管理功能，网络管理员计划增设网管平台，网管平台的IP规划为172.16.0.254/24。

（3）为了实现网管平台后期上线后可用，需要在每台设备上部署SNMP功能，配置所有网络设备的SNMP消息报告机制。

其中，向主机172.16.0.254发送Trap消息版本采用V2C；读写的Community为“admin”；只读的Community为“public”；开启Trap消息通告。

（二）网络搭建与网络冗余备份方案部署

1.在全网部署虚拟局域网，完成全网IPv4地址部署。

为了减少全网中广播干扰，需要在全网规划和部署VLAN，需要实施的内容如下所示。

（1）全网的VLAN规划和配置合理，并在Trunk链路上不允许不必要VLAN中的数据流通过。

（2）为了隔离网络终端之间的二层互访，需要在交换机S5、S6的Gi0/6-Gi0/20端口上，启用端口保护功能。

（3）根据“网络设备名称表（表2）”、“IPv4地址分配表（表3）”中规划要求，在各设备上完成对应的VLAN、IP地址的配置。

2.在局域网中部署环路规避方案

为避免网络接入设备上出现环路，影响全网运行状态。

要求在网络接入交换机S5、S6上进行防环处理。

具体要求如下所示。

（1）在连接PC机端口上开启Portfast和BPDUguard防护功能。

（2）为防止接入交换机的下联端口出现用户私接集线器（Hub）设备引起办公网中的环路，需要启用RLDP协议进行防环处理。

（3）接入交换机的连接终端的接口上检测到环路后，要求处理的方式为Shutdown-Port，实现防环保护。

（4）一旦端口检测异常事件并进入Err-Disabled状态，设置300秒自动恢复机制（基于接口部署策略）。

3.部署DHCP中继与服务安全

（1）在交换机S3、S4上配置DHCP中继功能，使得网络中的终端用户通过DHCPRelay方式获取IP地址。

（2）省行的DHCP服务器搭建于S1交换机上,一方面为无线网络中的用户提供地址服务；同时为网络中的无线AP设备提供管理地址（具体参数见表3：

IPv4地址分配表，共3个网段：

192.1.10.0/24，192.1.50.0/24，192.1.60.0/24）。

其中，无线AP的地址租约为永久；无线网络中用户设备的租约为0.5天。

（3）为了防御局域网中出现伪造DHCP服务器与ARP欺骗安全事件，需要在S5、S6交换机上部署DHCP的“Snooping+DAI”功能。

其中，DAI安全功能主要针对VLAN10中用户设备启用ARP防御。

（4）为了防止网关设备连续发送大量、正常报文，被接入交换机误认是攻击事件而被丢弃，导致下联网络中的用户设备无法获取网关设备上发出ARP信息，造成无法上网，要求关闭S5、S6交换机上联口上“NFPParp-guard”功能。

（5）调整S5、S6交换机设备上的“CPU保护机制”，其中，调整ARP带宽为1500pps。

4.部署MSTP及VRRP技术，实现网络冗余。

在交换机S3、S4、S5、S6上配置MSTP防止二层环路。

（1）配置MSTP要求来自VLAN10、VLAN100中的数据流经过S3交换机转发，一旦S3交换机失效时，经过S4交换机转发。

要求来自VLAN50、VLAN60中的数据流经过S4交换机转发，一旦S4交换机失效时，经过S3交换机转发。

其中，所配置的MSTP参数要求：

region-name为tes