第一部分赛题组网重点.docx

1、第一部分赛题组网重点2013年吉林省高职院校技能大赛“网络组建及安全应用”项目第一部分赛题：占总分50%网络组建及安全配置（PT仿真）吉林省高职院校技能大赛组委会2013年4月目录第一部分、网络组建及安全配置（PT仿真） 3一、网络拓扑结构 3二、网络设备连接规划 4三、各部分网络设备的配置要求 4（一）模拟互联网部分的配置 41模拟互联网部分的配置说明 42模拟互联网部分的具体配置要点 5（二）A企业北京办事处部分的配置 61. A企业北京办事处部分的配置说明 62. A企业北京办事处部分的具体配置要点 6（三）A企业上海分公司部分的配置 71. A企业上海分公司部分的配置说明 72. A企

2、业上海分公司部分的配置要点 8（四）A企业福建总部部分的配置任务 91. A企业福建总部部分的配置说明 92. A企业福建总部部分的配置要点 10第一部分、网络组建及安全配置（PT仿真）注意事项 测试用的PT文件位于统一发放的U盘根下的：“第一部分赛题原始电子文档第一部分组网赛题.pka”。建议将其复制一份到G盘下进行配置操作。这个文件在比赛完成后复制到U盘根下的：“工位号XX竞赛结果提交文档第一部分赛题电子文档”目录下！此部分仅提交这个PKA文件。 为了防止由于操作不当导致的PT软件崩溃，建议及时保存设备配置，在退出PT前出现提示保存时一定要选择“YES”。 在完成比赛任务提交作品时复制一份

3、到指定的U盘目录中后，还要将完成的PT测试文件处于运行状态保留在比赛用的计算机上，以供裁判测试。比赛结束后不要关闭计算机。一、网络拓扑结构一个跨地区的A企业网络通过模拟的互联网络互联，企业由福建总部、上海分公司、北京办事处三个不同规模的网络构成，中间经过模拟的互联网连接，A企业总部及分支内网采用内部私有地址，模拟互联网采用公网地址配置原则。请根据网络规划表及拓扑图中所示的设备及接口标识配置各设备的功能及参数；模拟互联网部分采用OSPF动态路由协议，保证互联网之间公网地址互相能够连通，配置FJ-R、SH-R与BJ-R路由器的NAT技术连接到模拟的互联网区域，保证各部门内部网络可以通过NAT访问公

4、网上的服务器。具体配置要求详见配置要求。下图是A企业综合项目的互联网络拓扑图，请根据此任务书重点完成所有网络设备的配置。上图中各设备的连接接口及相关标识具体参见PT文件，文件在大赛指定的文件夹下。二、网络设备连接规划三个内网都采用私有IP地址规划进行配置A、B、C类地址。北京办事处采用C类私有地址段、上海分公司采用B类私有地址段、福建总部采用A类私有地址段。三个内网所有私有IP地址的掩码都为24位，即为255.255.255.0。模拟互联网采用VLSM，具体参见各部分地址规划表。几点重要说明：（1）为了便于配置与理解，所有设备的密码都设置为“cisco”，所有企业内网地址的掩码都为24位，模拟

5、互联网路由互联部分子网掩码为30位（总部接入公网段采用29位）！（2）命令中所有数字参数如果没有具体要求的，取最小数开始使用。（3）不要修改设备连接的接口或替换设备。（4）对于配置过程中需要的，但没提出要求的参数采用默认值即可。（5）所有需要配置默认路由项目，或静态路由项目，要指定下一跳IP，不要指接口。（6）各部分的规划表中标识了各设备的名称、互相连接接口、VLAN、IP地址等信息，配置过程中，要参照表和PT文件图来进行设置。三、各部分网络设备的配置要求（一）模拟互联网部分的配置1模拟互联网部分的配置说明本部分中所有设备互联接口地址、设备名称具体地址参见PT拓扑图或网络规划表。企业网络互联综

6、合项目模拟互联网部分规划表设备接口范围IP地址或网段对端设备及接口对端地址配置备注R1F0/1211.1.1.1FJ-R:F0/0211.1.1.229位掩码R1F1/012.1.1.1R2:F1/012.1.1.230位掩码R1F1/161.1.1.2R6:F1/161.1.1.130位掩码R2F0/1201.1.1.1FTP: 以太网接口201.1.1.10024位掩码R2F1/012.1.1.2R1:F1/012.1.1.130位掩码R2F1/123.1.1.1R3:F1/123.1.1.230位掩码R3F0/1202.1.1.1DNS:以太网接口202.1.1.10024位掩码R3F1

7、/123.1.1.2R2:F1/123.1.1.130位掩码R3F1/034.1.1.1R4:F1/034.1.1.230位掩码R4F0/1213.1.1.1BJ-R: F0/1213.1.1.230位掩码R4F1/034.1.1.2R3:F1/034.1.1.130位掩码R4F1/145.1.1.1R5:F1/145.1.1.230位掩码R5F0/1212.1.1.1SH-R: F0/1212.1.1.230位掩码R5F1/145.1.1.2R4:F1/145.1.1.130位掩码R5F1/056.1.1.1R6:F1/056.1.1.230位掩码R6F0/1203.1.1.1WWW:以太网

8、接口203.1.1.10024位掩码R6F1/056.1.1.2R5:F1/056.1.1.130位掩码R6F1/161.1.1.1R1:F1/161.1.1.230位掩码公网FTP以太网口IP：201.1.1.100；网关：201.1.1.1；DNS：202.1.1.100；24位掩码公网DNS以太网口IP：202.1.1.100；网关：202.1.1.1；DNS：202.1.1.100；24位掩码公网WWW以太网口IP：203.1.1.100；网关：203.1.1.1；DNS：202.1.1.100；24位掩码2模拟互联网部分的具体配置要点（1）R1配置要点： 配置主机名为R1 配置各接口

9、地址F0/1:211.1.1.1/29；F1/0:12.1.1.1/30；F1/1:61.1.1.2/30 配置OSPF动态路由协议，进程号为1，区域号为0，要求发布所有接口网络211.1.1.0/29、12.1.1.0/30、61.1.1.0/30（2）R2配置要点： 配置主机名为R2 配置各接口地址F0/1:201.1.1.1/24；F1/1:23.1.1.1/30；F1/0:12.1.1.2/30 配置OSPF动态路由协议，进程号为1，区域号为0，要求发布所有接口网络12.1.1.0/30、23.1.1.0/30、201.1.1.0/24（3）R3配置要点： 配置主机名为R3 配置各接口

10、地址F0/1: 202.1.1.1/24；F1/1: 23.1.1.2/30；F1/0:34.1.1.1/30 配置OSPF动态路由协议，进程号为1，区域号为0，要求发布所有接口网络34.1.1.0/30、23.1.1.0/30、202.1.1.0/24（4）R4配置要点： 配置主机名为R4 配置各接口地址F0/1: 213.1.1.1/30；F1/1: 45.1.1.1/30；F1/0:34.1.1.2/30 配置OSPF动态路由协议，进程号为1，区域号为0，要求发布所有接口网络34.1.1.0/30、45.1.1.0/30、213.1.1.0/30（5）R5配置要点： 配置主机名为R5 配

11、置各接口地址F0/1: 212.1.1.1/30；F1/1: 45.1.1.2/30；F1/0:56.1.1.1/30 配置OSPF动态路由协议，进程号为1，区域号为0，要求发布所有接口网络45.1.1.0/30、56.1.1.0/30、212.1.1.0/30（6）R6配置要点： 配置主机名为R6 配置各接口地址F0/1: 203.1.1.1/24；F1/1: 61.1.1.1/30；F1/0:56.1.1.2/30 配置OSPF动态路由协议，进程号为1，区域号为0，要求发布所有接口网络56.1.1.0/30、61.1.1.0/30、203.1.1.0/24（7）公网FTP服务器配置要点：

12、配置IP为201.1.1.100/24，网关为201.1.1.1，DNS为202.1.1.100 配置公网服务器，访问名与密码都为“fj”（给所有权限）。（8）公网DNS服务器配置要点： 配置IP为202.1.1.100/24，网关为202.1.1.1，DNS为202.1.1.100 设置DNS解析，为（203.1.1.100）、（201.1.1.100）和www.a-（211.1.1.6）进行域名地址解析。（9）公网WWW服务器配置要点： 配置IP为203.1.1.100/24，网关为203.1.1.1，DNS为202.1.1.100 修改公网服务器中默认主页，将其中的两处“Cisco Pa

13、cket Tracer”都用“”替换。注意：互联网部分不能配置到A企业各部分内网私有网络的路由条目！因为公网中不可以存在到达私网的路由条目。（二）A企业北京办事处部分的配置1. A企业北京办事处部分的配置说明按表中所示配置网络设备接口IP地址及主机名本部分中所有设备互联接口地址、设备名称具体地址参见PT图或网络规划表。此部分内网中凡涉及到静态路由、访问控制列表中的网络地址都采用明细网段由小到大逐一列出，除默认路由外，都不要进行汇总。涉及TRUNK链路的，默认封装，默认允许所有VLAN通过。VLAN接口都设置为ACCESS模式。配置所有内网交换机和路由器特权密码为“cisco”企业网络互联综合项

14、目A企业北京办事处网络规划表设备接口范围所属VLANIP地址或网段对端设备及接口对端地址配置备注BJS2-1F0/1-F0/20VLAN11192.168.1.0PC动态获取未使用的接口不用配置，使用的接口根据需求配置链路模式；涉及数字参数的分别与1-3对应BJS2-1F0/24BJ-R:F0/0192.168.1.254192.168.2.254192.168.3.254BJS2-2F0/1-F0/20VLAN22192.168.2.0PC动态获取BJS2-2G1/1BJS2-1:G1/1BJS2-2F0/24VLAN33BJAP:PORT0192.168.3.0BJ-RF0/1213.1.

15、1.2R3:F0/1213.1.1.1BJS2-1管理地址为192.168.1.253；BJS2-2管理地址为192.168.2.253；要求可以被所有内网PC远程管理。注意：配置中由于自动评分，所以一些配置名称及列表号等项目要统一1. 根据需求确定敏感数据流，定义敏感数据流ACL号为102，采用明细网段由小到大逐一列出。2. 配置IPSEC的VPN时，IKE过程中的策略号用1；认证方式使用预共享密钥；加密算法采用AES；摘要算法或称消息摘要算法采用MD5算法；DH密钥交换生成材料的长度选择1024位；安全关联SA生存时间默认；预共享密钥为cisco；VPN对端即总部路由器地址。3. 配置IP

16、SEC的VPN时，IPSEC过程中的转换集名为tran1、封装采用ESP、加密采用AES算法、摘要算法采用MD5；定义加密图名为map1，序号为1；在映射图中指定关联的转换集为前面定义的tran1；在映射图中指定敏感数据流，并设置IPSEC连接的对端为总部路由器地址。2. A企业北京办事处部分的具体配置要点（1）BJS2-1配置要点： 配置主机名为BJS2-1，根据规划表创建所有3个VLAN，并配置各指定端口。 BJS2-1管理地址为192.168.1.253；要求可以被所有内网6个以内的PC同时进行远程TELNET通过密码管理。（2）BJS2-2配置要点： 配置主机名为BJS2-2，根据规划

17、表创建所有3个VLAN，并配置各指定端口。 BJS2-2管理地址为192.168.2.253；要求可以被所有内网6个以内的PC同时进行远程TELNET通过密码管理。（3）BJAP配置要点： 无线AP配置所能使用中最弱的安全加密码与认证措施，密码为“0123456789”，SSID为BJAP。（4）BJ-R配置要点： 配置主机名为BJ-R 配置各接口地址F0/1: 213.1.1.2；F0/0:根据需求 配置默认路由，下一跳指IP地址，不指接口 要求可以被所有内网6个以内的PC同时进行远程TELNET通过密码管理。 配置DHCP，地址池名为“pool11”，为内网分配192.168.1.0 25

18、5.255.255.0网段的地址，网关192.168.1.254，DNS服务器为202.1.1.100；地址池名为“pool22”，为内网分配192.168.2.0 255.255.255.0网段的地址，网关192.168.2.254，DNS服务器为202.1.1.100；地址池名为“pool33”，为内网分配192.168.3.0 255.255.255.0网段的地址，网关192.168.3.254，DNS服务器为202.1.1.100。 定义访问控制列表，用于NAT地址转换，列表号为101；基于公网接口地址的NAT超载转换。 路由器BJ-R配置VPN连接到企业总部，允许办事处的内网所有网段

19、PC可以访问总部内的10.3.3.0网络，即总部内网服务器，以便于获取总部文档等资源。根据规划表中要求配置VPN连接。（三）A企业上海分公司部分的配置1. A企业上海分公司部分的配置说明按表中所示配置网络设备接口IP地址及主机名本部分中所有设备互联接口地址、设备名称具体地址参见PT图或网络规划表。此部分内网中凡涉及到静态路由、访问控制列表中的网络地址都采用明细网段由小到大逐一列出，除默认路由外，都不要进行汇总。涉及TRUNK链路的，默认封装，默认允许所有VLAN通过。VLAN接口都设置为ACCESS模式。配置所有内网交换机和路由器特权密码为“cisco”企业网络互联综合项目A企业上海分公司网络

20、规划表设备接口范围所属VLANIP地址或网段对端设备及接口对端地址配置备注SHS2-1F0/1-F0/10VLAN101172.16.1.01楼销售员工PC动态获取SHS2-1管理VLAN101地址为：172.16.1.253SHS2-1F0/11-F0/20VLAN201172.16.2.01楼行政员工PC动态获取SHS2-1G1/1级联SHS3SHS2-1G1/2备用级联SHS2-2SHS2-2F0/1-F0/10VLAN101172.16.1.02楼销售员工PC动态获取SHS2-2管理VLAN201地址为：172.16.2.253SHS2-2F0/11-F0/20VLAN201172.1

21、6.2.02楼行政员工PC动态获取SHS2-2G1/2级联SHS3SHS2-2G1/1备用级联SHS2-1SHS3F0/21VLAN301172.16.3.254无线AP，SHAP172.16.3.0会议室SHS3F0/23VLAN401172.16.4.254连接服务器172.16.4.100上海内网的SHS3F0/22VLAN501172.16.5.2连接SHPH动态获取VOIP电话SHS3F0/24VLAN501172.16.5.2连接SH-R172.16.5.1接入路由器SHS3G0/1级联SHS2-1SHS3G0/2级联SHS2-2注意：配置中由于自动评分，所以一些配置名称及列表号等

22、项目要统一1. SHS3、SHS2-1、SHS2-2启用快速多生成树协议，5个VLAN以SHS3为根ROOT桥2. 根据需求确定敏感数据流，定义敏感数据流ACL号为102，采用明细网段由小到大逐一列出。3. 配置IPSEC的VPN时，IKE过程中的策略号用1；认证方式使用预共享密钥；加密算法采用AES；摘要算法或称消息摘要算法采用MD5算法；DH密钥交换生成材料的长度选择1024位；安全关联SA生存时间默认；预共享密钥为cisco；VPN对端即总部路由器地址。4. 配置IPSEC的VPN时，IPSEC过程中的转换集名为tran1、封装采用ESP、加密采用AES算法、摘要算法采用MD5；定义加密

23、图名为map1，序号为1；在映射图中指定关联的转换集为前面定义的tran1；在映射图中指定敏感数据流，并设置IPSEC连接的对端为总部路由器地址。2. A企业上海分公司部分的配置要点（1）SHS2-1配置要点： 配置主机名为SHS2-1，根据规划表创建所有VLAN，并配置各指定端口。 配置管理地址为172.16.1.253；要求可以被所有内网6个以内的PC同时进行远程SSH通过管理。域名为，用户名为jlds，密码为cisco。涉及的参数采用默认值。 对交换机中所配置的密码进行加密保护，使其不能通过查看命令看到明文的密码。（2）SHS2-2配置要点： 配置主机名为SHS2-2，根据规划表创建所有

24、VLAN，并配置各指定端口。 配置管理地址为172.16.2.253；要求可以被所有内网6个以内的PC同时进行远程SSH通过管理。域名为，用户名为jlds，密码为cisco。涉及的参数采用默认值。 对交换机中所配置的密码进行加密保护，使其不能通过查看命令看到明文的密码。（3）SHS3配置要点： 配置主机名为SHS3，根据规划表创建所有VLAN，并配置各指定端口。 配置DHCP，两个地址池名为“p101”，为内网分配172.16.1.0 255.255.255.0网段的地址，网关172.16.1.254，dns服务器为202.1.1.100；“p201” 为内网分配172.16.2.0 255.

25、255.255.0网段的地址，网关172.16.2.254，dns服务器为202.1.1.100；“p301” 为内网分配172.16.3.0 255.255.255.0网段的地址，网关172.16.3.254，dns服务器为202.1.1.100 启用快速多生成树协议，通过修改一个步长的优先级，让全部的5个VLAN以SHS3为根ROOT桥，用于防止员工私接线路形成环路 配置Vlan101接中IP地址为172.16.1.254；配置Vlan201接中IP地址为172.16.2.254；配置Vlan301接中IP地址为172.16.3.254；配置Vlan401接中IP地址为172.16.4.2

26、54；配置Vlan501接中IP地址为172.16.5.2； 内网三层设备间运行RIP动态路由协议，并保证内网所有PC可以访问公网。 将用户登录后的特权操作信息日志发送172.16.4.100日志服务器。 配置远程管理，要求可以被所有内网6个内的PC同时进行远程SSH通过管理。域名，用户名为jlds，密码为cisco。涉及的参数采用默认值。 对交换机中所配置的密码进行加密保护，使其不能通过查看命令看到明文的密码。（4）SH-R配置要点： 配置主机名为SH-R 配置各接口地址F0/0: 172.16.5.1；F0/1:212.1.1.2 配置默认路由、下一跳都使用指定IP地址方式，即不指接口；配

27、置RIP动态路由发布172.16.5.0网段， 为VOIP电话配置DHCP地址池，“p501” 为内网分配172.16.5.0 255.255.255.0网段的地址，网关172.16.5.1，dns服务器为202.1.1.100，TFTP服务器为路由器本身，并根据实际排除使用的地址。 配置VOIP电话，本端电话号码为2001。最大连接数为5个。要求其能与总部的FJPH互相进行语音电话，FJPH电话号码为1001，基本参数默认即可。远端匹配时仅电话号首位固定，其它位不指定。 定义访问控制列表，用于NAT地址转换，列表号为101；基于公网接口地址的NAT超载转换。 配置远程管理，要求可以被所有内网

28、6个以内的PC同时进行远程SSH通过管理。域名为，用户名为jlds，密码为cisco。涉及的参数采用默认值。 对路由器中所配置的密码进行加密保护，使其不能通过查看命令看到明文的密码。 路由器SH-R配置VPN连接到企业总部，允许办事处的内网所有网段PC可以访问总部内的10.3.3.0网络，即总部内网服务器，以便于获取总部文档等资源。根据规划表中要求配置VPN连接。（5）SHPH配置要点 在路由器上配置VOIP电话，基本参数默认即可。（6）内网服务器配置点 在服务器上配置日志服务器，对SHS3的用户行为进行日志记录。 在配置完所有交换机和路由器后，将配置文件上传到TFTP服务器172.16.4.

29、100上保存，保存时配置文件名默认。（7）设置无线AP配置点 设置无线AP的SSID名为“SHAP”，并设置加中等强度的加密与认证方式，密码为“12345678”（四）A企业福建总部部分的配置任务1. A企业福建总部部分的配置说明按表中所示配置网络设备接口IP地址及主机名本部分中所有设备互联接口地址、设备名称具体地址参见PT图或网络规划表。核心交换机、接入路由器和内网服务器位于C楼。此部分内网中凡涉及到静态路由、访问控制列表中的网络地址都采用明细网段由小到大逐一列出，除默认路由外，都不要进行汇总。（本部分NAT的ACL101由于较多，可以汇总）涉及TRUNK链路的，默认封装，默认允许所有VLAN通过。VLAN接口都设置为ACCESS模式。由汇聚三层交换机作为网关为下联本楼内的PC动态分配地址、网关、DNS。配置所有内网交换机和路由器特权密码为“cisco”A企业网络项目连接与地址规划表福建总部交换网络设备接口范围所属VLANIP地址或网段对端设备