2021年广东省职业院校技能大赛 （高职组） 网络系统管理赛项选拔赛 模块C：网络构建

2021年广东省职业院校技能大赛
（高职组）
网络系统管理赛项选拔赛
模块C：网络构建（1）

2021年04月

目录
一．说明 1
二．项目背景 1
三．项目规划和设计 2
（一）项目规划与建设内容 2
（二）网络拓扑说明 2
（三）网络拓扑连线与规划说明 3
四．网络项目实施 7
（一）网络设备基础信息配置与验证 7
（二）网络搭建与网络冗余备份方案部署 8
（三）移动互联网搭建与无线网络优化 12
（四）实施出口安全防护与远程接入 13
五．无线网络规划与实施 14
（一）无线网络业务背景及需求介绍 14
（二）无线网络中的业务规划 16
六．竞赛结果文件提交说明 16

一．说明

1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。
3. 操作过程中，需要及时保存配置。比赛结束后，所有设备、计算机保持运行状态，不要拆动硬件连接。
4. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，不得以任何形式体现参赛院校、工位号等信息。

二．项目背景
在人工智能、移动互联网、云计算等信息技术深刻影响当前商业竞争格局的当下，ZR集团公司在进行业务拓展的过程中，为了拓展市场，现收购A公司数据中心以及A公司涉密部门，需要保证集团公司与A公司网络无缝对接并且不影响现有业务。并购的网络需要具备高速、可靠、安全的信息采集、数据传输，以及高度集中计算和智能事务处理能力，为集团可持续发展，铸就雄厚软实力。同时，ZR集团希望在本次信息化业务建设方面打通供应商、采购物流、生产计划以及销售管理等业务环节，从而提升标准化、高效化和应对异常的能力，而每个业务对于网络的要求和挑战也越来越高，不仅需要可靠稳定的网络设备，更需要统一管理运维体系支撑其庞大的业务正常运营。

三．项目规划和设计
（一）项目规划与建设内容
网络信息化项目规划与建设需求如下：
1、分支机构通过互联网可访问总部，实现有线无线融合网络互联互通；
2、机构间部署链路加密功能实现安全可靠的数据传输；
3、机构间根据业务类别进行路由策略部署，实现业务数据分流备份；
4、机构局域网内部部署防环、防攻击、数据负载均衡等相关策略，确保局域网业务安全、可靠；
（二）网络拓扑说明
具体网络拓扑结构如图1所示。
一台EG2000编号EG1作为ZR公司办事处出口网关；
一台EG3210编号EG2作为ZR公司总部出口网关；
两台S5310编号为S3、S4作为ZR公司的核心交换机；
两台S2910编号为S1、S2作为ZR公司的接入设备；
两台AP520编号AP1、AP2作为ZR公司的无线接入点；
两台S6000编号为S5、S6作为A公司涉密部门的核心交换机；
一台S5310编号为S7作为A公司涉密部门的接入交换机；
一台RSR20-X路由器编号为R3作为A公司的服务器接入；
一台WS6008编号AC1作为ZR办事处无线控制器与核心交换机；
一台WS6008编号AC2作为ZR公司无线控制器，用作无线接入点的配置和管理；
两台RSR20编号为R1、R2作为ZR公司与A公司互联设备；
一台AP850编号AP3作为ZR公司办事处的无线接入点。

图1网络拓扑结构图
（三）网络拓扑连线与规划说明
设备互联规范主要对各种网络设备的互联进行规范定义，在项目实施中，如用户无特殊要求，应根据规范要求进行各级网络设备的互联，统一现场设备互联界面，结合规范的线缆标签使用，使网络结构清晰明了，方便后续的维护。
请根据拓扑及网络设备物理连接表，完成设备连线。其中，网络物理连接表如表1所示；网络设备名称表如表2所示；网络中IPv4地址分配表如表3所示。
表1网络物理连接表
源设备名称 设备接口 接口描述 目标设备名称 设备接口
S1 Gi0/1 Con_To_PC1 PC1 　
S1 Gi0/17 Con_To_S2_Gi0/17 S2 Gi0/17
S1 Gi0/22 Con_To_AP1_Gi0/1 AP1 Gi0/1
S1 Gi0/24 Con_To_S3_Gi0/1 S3 Gi0/1
S1 Te0/25 Con_To_S2_Te0/25 S2 Te0/25
S1 Te0/26 Con_To_S2_Te0/26 S2 Te0/26
S2 Gi0/17 Con_To_S1_Gi0/17 S1 Gi0/17
S2 Gi0/21 Con_To_AP2_Gi0/1 AP2 Gi0/1
S2 Gi0/24 Con_To_S4_Gi0/1 S4 Gi0/1
S2 Te0/25 Con_To_S1_Te0/25 S1 Te0/25
S2 Te0/26 Con_To_S1_Te0/26 S1 Te0/26
S3 Gi0/1 Con_To_S1_Gi0/24 S1 Gi0/24
S3 Gi0/2 Con_To_S4_Gi0/2 S4 Gi0/2
S3 Gi0/3 Con_To_S4_Gi0/3 S4 Gi0/3
S3 Gi0/4 Con_To_EG2_Gi0/0 EG2 Gi0/0
S3 Gi0/5 Con_To_R1_Gi0/0 R1 Gi0/0
S4 Gi0/1 Con_To_S2_Gi0/24 S2 Gi0/24
S4 Gi0/2 Con_To_S3_Gi0/2 S3 Gi0/2
S4 Gi0/3 Con_To_S3_Gi0/3 S3 Gi0/3
S4 Gi0/4 Con_To_EG2_Gi0/1 EG2 Gi0/1
S4 Gi0/5 Con_To_R2_Gi0/0 R2 Gi0/0
S4 Gi0/6 Con_To_AC2_Gi0/1 AC2 Gi0/1
EG1 Gi0/0 Con_To_AC1_Gi0/1 AC1 Gi0/1
EG1 Gi0/2 Con_To_Internet 互联网 　
EG2 Gi0/0 Con_To_S3_Gi0/4 S3 Gi0/4
EG2 Gi0/1 Con_To_S4_Gi0/4 S4 Gi0/4
EG2 Gi0/2 Con_To_Internet 互联网 　
AC1 Gi0/1 Con_To_EG1_Gi0/0 EG1 Gi0/0
AC1 Gi0/2 Con_To_PC3
AC1 Gi0/5 Con_To_AP3_Gi0/1 AP3 Gi0/1
AC2 Gi0/1 Con_To_S4_Gi0/6 S4 Gi0/6
R1 Gi0/0 Con_To_S3_Gi0/5 S3 Gi0/5
R1 Gi0/1 Con_To_S5_Gi0/48 S5 Gi0/48
R1 Fa1/1 Con_To_R2_Fa1/1 R2 Fa1/1
R1 Fa1/0 Con_To_R3_Gi0/0 R3 Gi0/0
R2 Gi0/0 Con_To_S4_Gi0/5 S4 Gi0/5
R2 Gi0/1 Con_To_S6_Gi0/48 S6 Gi0/48
R2 Fa1/1 Con_To_R1_Fa1/1 R1 Fa1/1
R2 Fa1/0 Con_To_R3_Gi0/1 R3 Gi0/1
R3 Gi0/0 Con_To_R1_Fa1/0 R1 Fa1/0
R3 Gi0/1 Con_To_R2_Fa1/0 R2 Fa1/0
R3 Gi1/0 Con_To_Cloud 模拟云平台
S5 Gi0/1 Con_To_S7_Gi0/23 S7 Gi0/23
S5 Gi0/2 Con_To_S6_Gi0/2 S6 Gi0/2
S5 Gi0/48 Con_To_R1_Gi0/1 R1 Gi0/1
S6 Gi0/1 Con_To_S7_Gi0/24 S7 Gi0/24
S6 Gi0/2 Con_To_S5_Gi0/2 S5 Gi0/2
S6 Gi0/48 Con_To_R2_Gi0/1 R2 Gi0/1
S7 Gi0/1 Con_To_PC2 PC2
S7 Gi0/23 Con_To_S5_Gi0/1 S5 Gi0/1
S7 Gi0/24 Con_To_S6_Gi0/1 S6 Gi0/1
AP1 Gi0/1 Con_To_S1_Gi0/22 S1 Gi0/22
AP2 Gi0/1 Con_To_S2_Gi0/21 S2 Gi0/21
AP3 Gi0/1 Con_To_AC1_Gi0/5 AC1 Gi0/5
表2 网络设备名称表
拓扑图中设备名称 配置主机名（hostname名）
S1 ZB-VSU-S2910
S2 ZB-VSU-S2910
S3 ZB-S5310-01
S4 ZB-S5310-02
S5 FB-S6000-01
S6 FB-S6000-02
S7 FB-S5310-01
R1 FB-RSR20-01
R2 FB-RSR20-02
R3 FB-RSR20-03
AC1 BSC-WS6008-01
AC2 ZB-WS6008-01
EG1 BSC-EG2000-01
EG2 ZB-EG3210-01
AP1 ZB-AP520-01
AP2 ZB-AP520-02
AP3 BSC-AP850-01
表3 IPv4地址分配表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 VLAN10 Office10 Gi0/1至Gi0/4 办公网段
VLAN20 Office20 Gi0/5至Gi0/8 办公网段
VLAN30 Office30 Gi0/9至Gi0/12 办公网段
VLAN40 Office40 Gi0/13至Gi0/16 办公网段
VLAN50 AP Gi0/21至Gi0/22 无线AP管理
VLAN100 Manage 192.1.100.12/24 设备管理VLAN
S2 VLAN10 Office10 Gi0/1至Gi0/4 办公网段
VLAN20 Office20 Gi0/5至Gi0/8 办公网段
VLAN30 Office30 Gi0/9至Gi0/12 办公网段
VLAN40 Office40 Gi0/13至Gi0/16 办公网段
VLAN50 AP Gi0/21至Gi0/22 无线AP管理
VLAN100 Manage 192.1.100.12/24 设备管理VLAN
S3 VLAN10 Office10 192.1.10.252/24 办公网段
VLAN20 Office20 192.1.20.252/24 办公网段
VLAN30 Office30 192.1.30.252/24 办公网段
VLAN40 Office40 192.1.40.252/24 办公网段
VLAN50 AP 192.1.50.252/24 无线AP管理
VLAN60 Wireless 192.1.60.252/24 无线用户
VLAN100 Manage 192.1.100.252/24 设备管理VLAN
VLAN101 Connect 10.1.0.53/30 设备互联
Gi0/1 Trunk
Gi0/2 Trunk AG1成员口
Gi0/3 Trunk AG1成员口
Gi0/4 10.1.0.5/30 互联EG2
Gi0/5 10.1.0.9/30 互联R1
LoopBack 0 11.1.0.33/32
S4 VLAN10 Office10 192.1.10.253/24 办公网段
VLAN20 Office20 192.1.20.253/24 办公网段
VLAN30 Office30 192.1.30.253/24 办公网段
VLAN40 Office40 192.1.40.253/24 办公网段
VLAN50 AP 192.1.50.253/24 无线AP管理
VLAN60 Wireless 192.1.60.253/24 无线用户
VLAN100 Manage 192.1.100.253/24 设备管理VLAN
VLAN101 Connect 10.1.0.54/30 设备互联
Gi0/1 Trunk
Gi0/2 Trunk AG1成员口
Gi0/3 Trunk AG1成员口
Gi0/4 10.1.0.13/30 互联EG2
Gi0/5 10.1.0.17/30 互联R2
Gi0/6 Trunk 互联AC2
LoopBack 0 11.1.0.34/32
AC1 LoopBack 0 11.1.0.204/32
Gi0/1 10.1.0.1/30 互联EG1
VLAN10 User 195.1.10.254/24 Gi0/2-4
VLAN20 Wire_user 195.1.20.254/24
VLAN30 AP 195.1.30.254/24
AC2 LoopBack 0 11.1.0.205/32
VLAN100 Manage 192.1.100.1/24
S5 Gi0/1 10.1.0.45/30 互联S7
Gi0/2 10.1.0.41/30 互联S6
Gi0/48 10.1.0.30/30 互联R1
LoopBack 0 11.1.0.35/32
S6 Gi0/1 10.1.0.50/30 互联S7
Gi0/2 10.1.0.42/30 互联S5
Gi0/48 10.1.0.34/30 互联R2
LoopBack 0 11.1.0.36/32
EG1 GI0/0 　 10.1.0.2/30
GI0/2 　 197.1.0.1/24 与EG2互联
LoopBack 0 　 11.1.0.11/32
EG2 Gi0/0 　 10.1.0.6/30 　
Gi0/1 　 10.1.0.14/30
Gi0/2 　 197.1.0.2/24 与EG1互联
LoopBack 0 　 11.1.0.12/32 　
R1 Gi0/0 10.1.0.10/30 互联S3
Gi0/1 10.1.0.29/30 互联S5
Fa1/1(Vlan300) 10.1.0.25/30 互联R2
Fa1/0(Vlan200) 10.1.0.21/30 互联R3
LoopBack 0 11.1.0.1/32
R2 Gi0/0 10.1.0.18/30 互联S4
Gi0/1 10.1.0.33/30 互联S6
Fa1/1(Vlan300) 10.1.0.26/30 互联R1
Fa1/0(Vlan200) 10.1.0.37/30 互联R3
LoopBack 0 11.1.0.2/32
R3 Gi0/0 10.1.0.22/30 互联R1
Gi0/1 10.1.0.38/30 互联R2
LoopBack 0 11.1.0.3/32
Gi1/0（Vlan160） Con_To_Cloud 172.16.0.254/24 模拟云平台
S7 VLAN10 Primary 194.1.10.254/24 primary vlan
VLAN11 Community Gi0/1至Gi0/8 community vlan
VLAN12 Isolated Gi0/9至Gi0/16 isolated vlan
VlAN100 Manage 194.1.100.254/24
VlAN200 Secret 172.17.0.254/24 涉密业务
Gi0/17-Gi0/22
Gi0/23 10.1.0.46/30 互联S5
Gi0/24 10.1.0.49/30 互联S6
LoopBack 0 11.1.0.37/32
PC机 PC1 根据业务部署灵活调整
PC2
PC3

四．网络项目实施
（一）网络设备基础信息配置与验证
1.设备基础信息
根据总体规划内容，将所有的设备根据命名规则修订设备名称；
依据设备的总体规划物流连接表，配置设备的接口描述信息。
2.网络设备安全技术
为路由器和无线控制器开启SSH服务端功能，用户名和密码为admin，密码为明文类型,特权密码为admin；
为交换机开启Telnet功能，对所有Telnet用户采用本地认证的方式。创建本地用户，设定用户名和密码为admin，密码为明文类型,特权密码为admin;
配置所有设备SNMP消息，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“ruijie”，只读的Community为“public”，开启Trap消息。
（二）网络搭建与网络冗余备份方案部署
1.虚拟局域网及IPv4地址部署
为了减少网络广播，需要规划和配置VLAN，要求如下：
配置合理，Trunk链路上不允许不必要VLAN的数据流通过;
为节省IP资源，隔离广播风暴、病毒攻击，控制端口二层互访，在S7交换机使用Private Vlan;
为隔离部分终端用户间的二层互访，在交换机S1、S2的Gi0/1-Gi0/16端口启用端口保护。
在各设备上完成VLAN配置和端口分配以及IPv4地址。
2.局域网接入安全部署
为规避网络末端接入设备上出现环路影响全网数据转发以及可能由终端带来的安全风险，要求在接入设备S1，S2进行防环处理及流量监控工作，在S7上部署端口安全策略，具体要求如下：
连接PC端口开启Portfast和BPDUguard防护功能；
为防止接入交换机下联端口私接HUB设备引起环路，需要启用RLDP协议；
终端接口检测到环路后处理方式为Shutdown-Port；
端口检测进入Err-Disabled状态，设置300秒自动恢复机制（基于接口部署策略）；
为了防止伪 IP 源地址攻击，导致出口路由器会话占满，要求S7交换机部署端口安全，接口Gi0/1只允许PC2通过；
在S3上只针对A公司涉密部门VLAN10网段与总部VLAN40网段流量（ACL编号100）做端口镜像，目的端口为Gi0/24，并且监控服务器也能正常访问互联网。
3.DHCP中继与服务安全部署
在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继。具体要求如下：
DHCP服务器搭建于EG2上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback 0地址；
为了防御动态环境局域网ARP欺骗及伪DHCP服务欺骗，在（S1/S2）上部署DHCP Snooping+IP Source Guard+ARP-check解决方案。
4.MSTP及VRRP部署
在交换机S3、S4上配置MSTP防止二层环路。要求VLAN10、VLAN20、VLAN30、VLAN40、VLAN100数据流经过S3转发，VLAN50、VLAN60数据流经过S4转发，S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下：
region-name为ruijie；
revision版本为1；
实例1，包含VLAN10、VLAN20、VLAN30、VLAN40、VLAN100；
实例2，包含VLAN50,VLAN60；
S3作为实例0、1中的主根，S4作为实例0、1的从根；
S4作为实例2中的主根，S3作为实例2的从根；
主根优先级为4096，从根优先级为8192；
在S3和S4上配置VRRP，实现主机的网关冗余。所配置的参数要求如表4；
表4 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN30 30 192.1.30.254
VLAN40 40 192.1.40.254
VLAN50 50 192.1.50.254
VLAN60 60 192.1.60.254
VLAN100 100 192.1.100.254
S3、S4各VRRP组中高优先级设置为200，低优先级设置为110。
5.网络设备虚拟化
两台接入交换机通过VSU虚拟化为一台设备进行管理，从而实现高可靠性。当任意交换机故障时，都能实现设备、链路切换，保护客户业务稳定运行。
规划S1和S2间的Te0/25-26端口作为VSL链路，使用VSU技术实现网络设备虚拟化。其中S1为主，S2为备；
规划S1和S2间的Gi0/17端口作为双主机检测链路，配置基于BFD的双主机检测，当VSL的所有物理链路都异常断开时，备机会切换成主机，从而保障网络正常；
主设备：Domain id：1,switch id:1,priority 200, description:S2910-24GT4XS-E-1；
备设备：Domain id：1,switch id:2,priority 150, description:S2910-24GT4XS-E-2。
6.路由协议部署
由于公司并购前的历史原因导致双方使用不同的OSPF进程，经由总部技术部统一规划后再做调整，现阶段使用暂时过渡方案，即使用静态路由、OSPF、RIP、BGP多协议组网，具体要求如下：
OSPF进程号10，规划单区域，,区域0（S3、S4、EG2）；
OSPF进程号20，规划多区域，区域0（R1、R2），区域2（R1、R2、R3）；
OSPF进程号30，规划单区域，区域0（AC1、EG1）；
总部与A公司互联链路规划至区域0，并且不允许新增OSPF进程；
为了方便管理，所有运行OSPF的设备router-id必须为loopback口地址;
S5、S6、S7使用RIP协议，RIP协议使用版本2，并且关闭自动聚合；
S5、S6、R1、R2使用BGP协议，BGP协议中S5、S6使用AS号100， R1、R2使用AS号200，同AS号内使用loopback口建立iBGP邻居，不同AS号使用互联接口建立eBGP邻居;
各设备禁止重发布直连网段，以Network发布明细路由;
要求只允许在设备互联网段出现协议报文;
为了管理方便，所有路由协议都需要发布Loopback地址;
优化OSPF相关配置，以尽量加快OSPF收敛;
AC2/S4、EG1/EG2间部署静态路由协议；
重发布路由进OSPF中使用类型1。
7.路由选路部署
由于172.17.0.0/24是涉密业务网段，仅允许A公司内部访问，并且考虑到数据分流及负载均衡的目的，针对本部与分部数据流走向要求如下：
OSPF可以通过修改COST值的方式实现数据分流，并且其值为1或2;
禁止将BGP的路由条目通过重发布BGP AS方式引入RIP及OSPF中；
禁止将RIP、OSPF的路由条目通过重发布整个进程方式引入BGP中；
总部有线网段与数据中心服务器互通主路径为S3-R1-R3;
总部无线网段与数据中心服务器互通主路径为S4-R2-R3;
总部有线网络与互联网互通主路径为S3-EG2
总部无线网络与互联网互通主路径为S4-EG2
A公司涉密部门VLAN10网段与总部VLAN40网段间的互通主路径为S3-R1-S5-S7;
A公司涉密部门与数据中心服务器互通的主路径为S7-S5-R1-R3;
数据中心服务器与互联网互通的主路径为R3-R1-S3-EG2;
主链路故障可无缝切换到多条备用链路上。
8.IPv6部署
S3、S4启用IPV6网络，实现IPV6终端可自动从网关处获取地址。地址规划如下：
表5 VRRP for IPV6参数表
设备 接口 IPV6地址 VRRP组号 虚拟IP
S3 VLAN10 2001:192:10::252/64 10 2001:192:10::254/64
VLAN20 2001:192:20::252/64 20 2001:192:20::254/64
VLAN30 2001:192:30::252/64 30 2001:192:30::254/64
VLAN40 2001:192:40::252/64 40 2001:192:40::254/64
VLAN60 2001:192:60::252/64 60 2001:192:60::254/64
VLAN100 2001:192💯:252/64 100 2001:192💯:254/64
S4 VLAN10 2001:192:10::253/64 10 2001:192:10::254/64
VLAN20 2001:192:20::253/64 20 2001:192:20::254/64
VLAN30 2001:192:30::253/64 30 2001:192:30::254/64
VLAN40 2001:192:40::253/64 40 2001:192:40::254/64
VLAN60 2001:192:60::253/64 60 2001:192:60::254/64
VLAN100 2001:192💯:253/64 100 2001:192💯:254/64
在S3和S4上配置VRRP for IPv6，实现主机的IPv6网关冗余；
VRRP主备状态与IPV4网络一致；
（三）移动互联网搭建与无线网络优化
1.无线网络基础部署
使用S3、S4为无线用户与AP DHCP服务器，S3分配地址范围为其网段的1至100，S4分配地址为其网段的101至200（使用最短的命令实现）。 使用AC1为办事处无线用户与AP DHCP服务器；
创建SSID (WLAN-ID 1)为 Ruijie-ZB_XX(XX现场提供)，AP-Group为ZB，本部无线用户关联SSID后可自动获取地址；
创建SSID (WLAN-ID 2)为 Ruijie-BSC_XX(XX现场提供)，AP-Group为BSC，办事处无线用户关联SSID后可自动获取地址；
2.AC热备部署
为了减轻AC1的负担，因此AC2为主用AC，AC1为备用AC；
AP与AC1、AC2均建立隧道，当AP与主用AC失去连接时能无缝切换至备用AC并提供服务。
3.无线安全部署
避免链路不稳定，导致AP工作不正常，总部启用无线AP边缘感知功能；
在同一个 AP 中的用户在某些时候出于安全性的考虑，需要将他们彼此之间进行隔离，实现用户之间彼此不能互相访问，配置同 下用AP户间隔离功能；
连接Fit AP的无线用户接入无线网络时采用WPA2加密方式，加密密码为XX(现场提供)；
非工作时间（周一至周五凌晨0点至早上8点）自动关闭总部无线信号；
隐藏办事处无线信号。
4.无线性能优化
为了保障每个用户的无线体验，在AC上采用基于单个用户的限速，办事处无线限制每个用户上行和下行平均速率为2000kB/s，突发速率为4000kB/s；
办事处AP设置用户最小接入信号强度为-65dbm;
要求无线用户启用本地转发模式;
总部每个AP最大带点人数为32。
（四）实施出口安全防护与远程接入
1.出口NAT部署
总部出口网关上配置访问控制列表ACL 120，仅允许用户在周一到周五的上班时间（命名为work，9:00至17:00）通过NAPT访问互联网，NAPT映射到互联网接口上，服务器上网不受限制;
办事处出口网关上配置访问控制列表ACL120，允许用户通过NAPT访问互联网，NAPT映射到互联网接口上；
办事处网关上配置端口映射，使AC1（11.1.0.204）设备的SSH服务可以通过互联网被访问，映射地址为197.1.0.5:2222。
2.Web Portal用户认证部署
在总部网关上启用Web Portal认证服务，并创建user1、user2；
无线用户和服务器不需要进行WEB认证即可访问互联网;
总部网关设置免认证资源http://197.1.0.20，并根据上下文需求添加必要的免认证资源。
3.应用流量控制部署
总部现有运营商出口带宽200Mbps；
总部针对访问外网SSH流量限速每用户1000kbps，内网SSH总流量不超过50M（命名为SSH）；
办事处针对访问外网FTP流量限速每用户5000kbps，内网ftp总流量不超过100M（命名为FTP）。
4.用户行为策略部署
禁止办事处内网用户通过浏览器访问http://197.1.0.2；
总部网关上开启防ARP及流量攻击功能，用于过滤ARP攻击流量，内网ARP泛洪时，设备限制每个IP地址的ARP报文每秒不超过10个，避免ARP报文影响设备的其他处理。管理IP：192.1.20.101不做流量限制。
5.VPN部署
为了实现总部与办事处互访数据的安全性，同时要求总部对办事处路由器采用本地的用户名、密码方式进行验证，为此规划如下：
部署L2TP隧道进行总部对办事处路由的对接验证，验证用户名密码均为ruijie，L2TP隧道密码为ruijie;
L2TP用户地址池为10.1.2.1—10.1.2.254;
L2TP隧道中承载OSPF协议，使其总部与办事处通过OSPF进行路由交互，区域号1；
部署IPsec对L2TP隧道中的业务数据加密；
IPsec VPN需要采用传输模式，预共享密码为ruijie，加密认证方式为ESP-3DES、ESP-MD5-HMAC，DH使用组2；
五．无线网络规划与实施
某CII教育集团公司最近在广州新租用了一栋楼层用于公司临时办公场所，由于原楼层未进行信息化改造，考虑到短期租用，公司建议通过部署无线来实现网络接入，用于采购无线设备的预算为11万。
（一）无线网络业务背景及需求介绍
1.业务背景及需求介绍。
1.无线终端情况如下说明。
（1）办公室区域：有台式电脑、笔记本电脑、手机。
（2）部门办公区域：有台式电脑、笔记本电脑、手机。
（3）培训与会议区域：有台式电脑、手机。。
2.建筑现场情况介绍。
该楼宇是个回型建筑，中间是个回型空地，无吊顶，原有强电布线室内均采用了pvc线槽敷设。经了解培训室与会议室使用时都超过10人，走廊与厕所不需要实现覆盖。
3.建筑物弱电间情况介绍。
该楼宇有独立的弱电间，弱电间位于107房间，平面布局如图2所示。

图2 平面布局图
2.无线产品的参数与价格介绍。
无线产品及配件价格表如表6所示。
表6：无线产品及配件价格表
产品型号 产品特征 传输速率（2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP330-I 双频双流 300M/1.167G 32/256 100mW 6000
AP220-E(M)-V3.0 双频双流 300M/600M 32/256 100mW 11000
RG-Cab-SMA-10m 10米馈线 N/A N/A N/A 1600
RG-Cab-SMA-15m 15米馈线 N/A N/A N/A 2400
RG-IOA-2505-S1 双频单流/单频单流 N/A N/A N/A 500
AP110-w 单频单流 150M 12/32 60mW 2500
S2928G-24P 24口POE交换机 N/A N/A 240W 15000
WS6008 无线控制器 61000M 32/200 40W 50000
（二）无线网络中的业务规划
1.完成楼宇中无线地勘
根据提供的建筑平面布局图、项目预算（设备经费）和业务需求，进行全网中无线AP的点位的规划与设计。然后，再通过无线地勘软件进行AP点位设计和无线信号仿真；确保全网中无线信号全覆盖（备注：厕所、楼梯间区域无须覆盖）。
然后，进一步做无线信道规划，并输出该层需要安装的无线AP设备的点位示意图、无线热图；并输出无线网络设备清单。
（1）绘制AP点位图，包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划。
（2）使用无线地勘软件，输出AP点位图在2.4G频段上的信号仿真热图（备注：仿真信号强度要求大于-65db）。
（3）完成点位设计之后，输出该无线网络工程项目中需要的设备预算表。
六．竞赛结果文件提交说明
说明1：严格按照“网络构建答题卡.docx”文档格式要求，制作输出竞赛结果文件。同时，另存一份“PDF格式文档”（备注：利用Office Word中另存为pdf文件方式，生成pdf文件）。
说明2：在每台设备上使用show running-config命令，将该命令下显示的结果，分别保存为独立的“.txt”文件中。其中，文件名要以设备的编号命名；并把所有的“*.txt”文件，集中存放在新建的“设备配置”文件夹下。
说明3：考生将“网络构建答题卡.docx”、“网络构建答题卡.pdf”、“设备配置”文件夹保存到桌面上；并且拷贝到U盘上的“提交文档”目录下。然后，提交给现场工作人员。
说明4：考生所提交的文件是竞赛结果的唯一依据，请考生一定确保文件确实有效，能够正常读取。如有疑问，可咨询现场工作人员。