安全模块防火墙上

该课程不提供任何学习资料，试卷请去全国职业技能大赛官网自行下载

本课程是2022全国职业技能大赛网络赛项赛正式赛卷知识点讲解与配置

课程全部使用真机搭建拓扑

第一天内容：交换模块

第二天内容：路由模块

第三天内容：安全模块

第五天内容：无线模块

内容如下：

拓扑图：

交换配置

 2.SW1、SW2、SW3 启用 MSTP，实现网络二层负载均衡和冗余备份，创建实例 Instance10 和 Instance20，名称为 SKILLS，修订版本为 1，其中 Instance10 关 联 vlan60 和 vlan70，Instance20 关联 vlan80 和 vlan90。SW1 为 Instance0 和 Instance10 的根交换机，为 Instance20 备份根交换机；SW2 为 Instance20 根交 换机，为 Instance0 和 Instance10 的备份根交换机；根交换机 STP 优先级为 0， 备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的 STP。

3.SW1 和 SW2 之间利用三条裸光缆实现互通，其中一条裸光缆承载三层 IP 业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离，财务业务 VPN 实例名 称为 CW。承载二层业务的只有一条裸光缆通道，配置相关技术，方便后续链路扩 容与冗余备份，编号为 1，用 LACP 协议，SW1 为 active，SW2 为 active；采用 源、目的 IP 进行实现流量负载分担。

4.将 SW3 模拟为 Internet 交换机，实现与集团其它业务路由表隔离， Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机，实现与 集团其它业务路由表隔离，办事处路由表 VPN 实例名称为 Guangdong。

5.SW1 法务物理接口限制收发数据占用的带宽均为 1000Mbps，限制所有报文 最/大收包速率为 1000packets/s，如果超过了配置交换机端口的报文最/大收包速 率则关闭此端口，1 分钟后恢复此端口；启用端口安全功能，最/大安全 MAC 地址 数为 20，当超过设定 MAC 地址数量的最/大值，不学习新的 MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录，端口的老化定时器到期后，在老化周期 中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为 10 分钟；禁 止采用访问控制列表，只允许 IP 主机位为 20-50 的数据包进行转发；禁止配置 访问控制列表，实现端口间二层流量无法互通，组名称 FW。

6.开启 SW1日志记录功能和保护功能，采样周期5s一次，恢复周期为100s， 从而保障 CPU 稳定运行。

7.SW1 配置 SNMP，引擎 id 分别为 1；创建组 GROUP2022，采用最/高安全级 别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2022， 采用 aes 算法进行加密，密钥为 Pass-1234，哈希算法为 sha，密钥为 Pass-1234； 当设备有异常时，需要用本地的环回地址 loopback1 发送 v3 Trap 消息至集团网 管服务器 10.10.11.99、2001:10:10:11::99，采用最/高安全级别；当法务部门对 应的用户接口发生 UP DOWN 事件时，禁止发送 trap 消息至上述集团网管服务器。

8.将 W1 与 FW1 互连流量镜像到 SW1 E1/0/1，会话列表为 1。

9.SW1 和 SW2 E1/0/21-28 启用单向链路故障检测，当发生该故障时，端口 标记为 errdisable 状态，自动关闭端口，经过 1 分钟后，端口自动重启；发送 Hello 报文时间间隔为 15s；

10.SW1和SW2所有端口启用链路层发现协议，更新报文发送时间间隔为20s， 老化时间乘法器值为 5，Trap 报文发送间隔为 10s，配置三条裸光缆端口使能 Trap 功能。

四、路由配置 

1.启用所有设备的 ssh 服务，防火墙用户名 admin，明文密码 Pass-1234， 其余设备用户名和明文密码均为 admin。

2.配置所有设备的时区为 GMT+08:00，调整 SW1 时间为实际时间，SW1 配置 为 ntp server，其他设备用 SW1 loopback1 ipv4 地址作为 ntp server 地址， ntp client 请求报文时间间隔 1 分钟。

3.配置所有设备接口 ipv4 地址和 ipv6 地址，互联接口 ipv6 地址用本地链 路地址。

4.利用 vrrpv2 和 vrrpv3 技术实现 vlan60、vlan70、vlan80、vlan90 网关 冗余备份，vrrp id 与 vlan id 相同。vrrpv2 vip 为 10.10.vlanid.9（如 vlan60 的 vrrpv2 vip 为 10.10.60.9），vrrpv3 vip 为 FE80:vlanid::9（如 vlan60 的 vrrpv3 vip 为 FE80:60::9）。配置 SW1 为 vlan60、vlan70 的 Master，SW2 为 vlan80、vlan90 的 Master。要求 vrrp 组中高优先级为 120，低优先级为默认值， 抢占模式为默认值，vrrpv2 和 vrrpv3 发送通告报文时间间隔为默认值。当 SW1 或 SW2 上联链路发生故障，Master 优先级降低 50。

5.AC1配置dhcpv4和dhcpv6，分别为SW1产品1段vlan10和分公司vlan100、 vlan110 和 vlan120 分配地址；ipv4 地址池名称分别为 POOLv4-10、POOLv4-100、 POOLv4-110、POOLv4-120，ipv6 地址池名称分别为 POOLv6-10、POOLv6-100、 POOLv6-110、POOLv6-120；ipv6 地址池用网络前缀表示；排除网关；DNS 分别为 114.114.114.114 和 2400:3200::1 ； 为 PC1 保 留 地 址 10.10.11.9 和 2001:10:10:11::9，为 AP1 保留地址 10.17.100.9 和 2001:10:17:100::9，为 PC2 保留地址 10.17.110.9 和 2001:10:17:110::9。SW1 上中继地址为 AC1 loopback1 地址。SW1 启用 dhcpv4 和 dhcpv6 snooping，如果 E1/0/1 连接 dhcpv4 服务器， 则关闭该端口，恢复时间为 1 分钟。

6.SW1、SW2、SW3、RT1 以太链路、RT2 以太链路、FW1、FW2、AC1 之间运行 OSPFv2 和 OSPFv3 协议（路由模式发布网络用接口地址，BGP 协议除外）。

(1)SW1、SW2、SW3、RT1、RT2、FW1 之间 OSPFv2 和 OSPFv3 协议，进程 1， 区域 0，分别发布 loopback1 地址路由和产品路由，FW1 通告 type2 默认路由。

(2)RT2 与 AC1 之间运行 OSPFv2 协议，进程 1，nssa no-summary 区域 1； AC1 发布 loopback1 地址路由、产品和营销路由，用 prefix-list 重发布 loopback3。

(3)RT2 与 AC1 之间运行 OSPFv3 协议，进程 1，stub no-summary 区域 1； AC1 发布 loopback1 地址路由、产品和营销。

(4)SW3 模拟办事处产品和营销接口配置为 loopback，模拟接口 up。SW3 模 拟办事处与 FW2 之间运行 OSPFv2 协议，进程 2，区域 2，SW3 模拟办事处发布 loopback2、产品和营销。SW3 模拟办事处配置 ipv6 默认路由；FW2 分别配置到 SW3 模拟办事处 loopback2、产品和营销的 ipv6 明细静态路由，FW2 重发布静态 路由到 OSPFv3 协议。

(5)RT1、FW2 之间 OSPFv2 和 OSPFv3 协议，进程 2，区域 2；RT1 发布 loopback4 路由，向该区域通告 type1 默认路由；FW2 发布 loopback1 路由，FW2 禁止学习 到集团和分公司的所有路由。RT1 用 prefix-list 匹配 FW2 loopback1 路由、SW3 模拟办事处 loopback2 和产品路由、RT1 与 FW2 直连 ipv4 路由，将这些路由重 发布到区域 0。

(6)修改 ospf cost 为 100，实现 SW1 分别与 RT2、FW2 之间 ipv4 和 ipv6 互 访流量优先通过 SW1_SW2_RT1 链路转发，SW2 访问 Internet ipv4 和 ipv6 流量 优先通过 SW2_SW1_FW1 链路转发。

7.RT1 串行链路、RT2 串行链路、FW1、AC1 之间分别运行 RIP 和 RIPng 协议， FW1、RT1、RT2 的 RIP 和 RIPng 发布 loopback2 地址路由，AC1 RIP 发布 loopback2 地址路由，AC1 RIPng 采用 route-map 匹配 prefix-list 重发布 loopback2 地址 路由。RT1 配置 offset 值为 3 的路由策略，实现 RT1-S1/0_RT2-S1/1 为主链路， RT1-S1/1_RT2-S1/0 为备份链路，ipv4 的 ACL 名称为 AclRIP，ipv6 的 ACL 名称 为 AclRIPng。RT1 的 S1/0 与 RT2 的 S1/1 之间采用 chap 双向认证，用户名为对 端设备名称，密码为 Pass-1234。

8.RT1 以太链路、RT2 以太链路之间运行 ISIS 协议，进程 1，分别实现 loopback3 之 间 ipv4 互 通 和 ipv6 互 通 。 RT1 、 RT2 的 NET 分别为 10.0000.0000.0001.00、10.0000.0000.0002.00，路由器类型是 Level-2，接口 网络类型为点到点。配置域 md5 认证和接口 md5 认证，密码均为 Pass-1234。

9.RT2 配置 ipv4 nat，实现 AC1 ipv4 产品部门用 RT2 外网接口 ipv4 地址访 问 Internet。RT2 配置 nat64，实现 AC1 ipv6 产品部门用 RT2 外网接口 ipv4 地 址访问 Internet，ipv4 地址转 ipv6 地址前缀为 64:ff9b::/96。

10.SW1、SW2、SW3、RT1、RT2 之间运行 BGP 协议，SW1、SW2、RT1 AS 号 65001、 RT2 AS 号 65002、SW3 AS 号 65003。

(1)SW1、SW2、SW3、RT1、RT2 之间通过 loopback1 建立 ipv4 和 ipv6 BGP 邻 居。SW1 和 SW2 之间财务通过 loopback2 建立 ipv4 BGP 邻居，SW1 和 SW2 的 loopback2 互通采用静态路由。

(2)SW1、SW2、SW3、RT2 分别只发布营销、法务、财务、人力等 ipv4 和 ipv6 路由；RT1 发布办事处营销 ipv4 和 ipv6 路由到 BGP。

(3)SW3 营销分别与 SW1 和 SW2 营销 ipv4 和 ipv6 互访优先在 SW3_SW1 链路 转发；SW3 法务及人力分别与 SW1 和 SW2 法务及人力 ipv4 和 ipv6 互访优先在 SW3_SW2 链路转发，主备链路相互备份；用 prefix-list、route-map 和 BGP 路 径属性进行选路，新增 AS 65000。

11.利用 BGP MPLS VPN 技术，RT1 与 RT2 以太链路间运行多协议标签交换、 标签分发协议。RT1 与 RT2 间创建财务 VPN 实例，名称为 CW，RT1 的 RD 值为 1:1， export rt 值为 1:2，import rt 值为 2:1；RT2 的 RD 值为 2:2。通过两端 loopback1 建立 VPN 邻居，分别实现两端 loopback5 ipv4 互通和 ipv6 互通。

12.SW1、SW2、RT1、RT2、AC1 运行 PIM-SM，RT1 loopback1 为 c-bsr 和 crp，RT2 运行 IGMPv3；SW1 产品部门（PC1 测试）终端启用组播，用 VLC 工具串 流播放视频文件“1.mp4”，模拟组播源，设置此视频循环播放，组地址232.1.1.1， 端口 1234，实现分公司产品部门（PC2 测试）收看视频。

五、无线配置 

1.AC1 loopback1 ipv4 和 ipv6 地址分别作为 AC1 的 ipv4 和 ipv6 管理地 址。AP 二层自动注册，AP 采用 MAC 地址认证。配置 2 个 ssid，分别为 SKILLS- 2.4G 和 SKILLS-5G。SKILLS-2.4G 对应 vlan110，用 network 110 和 radio1（模 式为 n-only-g）,用户接入无线网络时需要采用基于 WPA-personal 加密方式， 密码为 Pass-1234。SKILLS-5G 对应 vlan120，用 network 120 和 radio2（模式 为 n-only-a），不需要认证，隐藏 ssid，SKILLS-5G 用倒数第一个可用 VAP 发送 5G 信号。

2.当 AP 上线，如果 AC 中储存的 Image 版本和 AP 的 Image 版本号不同时， 会触发 AP 自动升级。AP 失败状态超时时间及探测到的客户端状态超时时间都为 2 小时。

3.MAC 认证模式为黑名单，MAC 地址为 80-45-DD-77-CC-48 的无线终端采用 全局配置 MAC 认证。

4.防止多 AP 和 AC 相连时过多的安全认证连接而消耗 CPU 资源，检测到 AP 与 AC 10 分钟内建立连接 5 次就不再允许继续连接，2 小时后恢复正常。

5.配置vlan110无线接入用户上班时间（工作日09:00-17:00）访问Internet https 上下行 CIR 为 100Mbps，CBS 为 200Mbps，PBS 为 300Mbps，exceed-action 和 violate-action 均为 drop。时间范围名称、控制列表名称、分类名称、策略 名称均为 SKILLS。

6.开启 AP 组播广播突发限制功能；AP 收到错误帧时，将不再发送 ACK 帧； AP 发送向无线终端表明 AP 存在的帧时间间隔为 1 秒。 7.AP 发射功率为 80%。

六、安全配置  

说明：ip 地址按照题目给定的顺序用“ip/mask”表示，ipv4 any 地址用 0.0.0.0/0，ipv6 any 地址用::/0，禁止用地址条目，否则按零分处理。 

1.FW1 配置 ipv4 nat，实现集团产品 1 段 ipv4 访问 Internet ipv4，转换 ip/mask 为 200.200.200.160/28，保/证每一个源 ip 产生的所有会话将被映射到 同一个固定的 IP 地址；当有流量匹配本地址转换规则时产生日志信息，将匹配 的日志发送至 10.10.11.99 的 UDP 514 端口，记录主机名，用明文轮询方式分 发日志；开启相关特性，实现扩展 nat 转换后的网络地址端口资源。

2.FW1 配置 nat64，实现集团产品 1 段 ipv6 访问 Internet ipv4，转换为出 接口 IP，ipv4 转 ipv6 地址前缀为 64:ff9b::/96。

3.FW1 和 FW2 策略默认动作为拒绝，FW1 允许集团产品 1 段 ipv4 和 ipv6 访 问 Internet 任意服务。

4.FW2 允许办事处产品 ipv4 访问集团产品 1 段 https 服务，允许集团产品 1 段和分公司产品访问办事处产品 ipv4、FW2 loopback1 ipv4、SW3 模拟办事处 loopback2 ipv4。

5.FW1 与 RT2 之间用 Internet 互联地址建立 GRE Over IPSec VPN，实现 loopback4 之间的加密访问。

6.FW1 配置 SSL VPN，名称为 VPNSSL，ssl 协议为 1.2 版本，Internet 用户 通过端口 8888 连接，本地认证账号 UserSSL,密码 Pass-1234，地址池名称为 POOLSSL，地址池范围为 10.18.0.100/24-10.18.0.199/24。保持 PC1 位置不变， 用 PC1 测试。

7.FW2 配置 L2TP Over IPSec VPN，名称为 VPNL2TP，远程用户通过 dmz 区 域接口拨入，本地认证账号 UserL2TP,密码 Pass-1234，地址池名称为 POOLL2TP， 地址池范围为 10.19.0.100/24-10.19.0.199/24。保持 PC2 位置不变，用 PC2 测 试。L2TPVPN 连接成功后，本地私有地址为 10.19.0.199。

8.FW1 配置邮件内容过滤，规则名称和类别名称均为“Denied”，过滤含有 “pornographic”字样的邮件。 9.FW1 通过 ping 监控外网网关地址，监控对象名称为 TRACK1，每隔 5S 发送 探测报文，连续 10 次收不到监测报文，就认为线路故障，关闭外网接口。

10.FW1 利用 iQoS，实现集团产品 1 段访问 Internet https 服务时，上下行 管道带宽为 1000Mbps，限制每 IP 上下行最/小带宽 100Mbps、最/大带宽 200Mbps、 优先级为 5，管道名称为 SKILLS，模式为管制。