Ruijieネットワークスキルコンペティション-2018全国コンペティションAC / AP / EG部分回答詳細な説明
免責事項:これらの大会に関する記事を書くことは、一部の地域で意欲的な学生の学習を促進するためだけのものです。ブロガー自身は善意から外れているため、ブロガーはペニーを受け取らないことは言うまでもなく、個人的なサービスを行う義務はありません。これは理由です。質問をしてくれたクラスメートの中には態度が悪かったので、個人の連絡先情報をたくさん削除しました。大会自体は私とは関係ありません。それはあなた自身の個人的な学習能力に関係しているだけで、あなたは私を理解できません。関係はありません、理解している人は自然に理解します、私は最善を尽くしました、あなたは自由です!
これは、2018 National VocationalSkillsCompetitionの上位職業グループのためのコンピュータネットワークアプリケーションコンペティションの実際のテストです-パートAC / AP / EG
1.ワイヤレスネットワークの基本的な展開で
は、AC1とAC2を本社のワイヤレスユーザーとワイヤレスAPのDHCPサーバーとして使用し、S5をブランチキャンパスのワイヤレスユーザーとワイヤレスAPのDHCPサーバーとして使用します
。AP3は透過モードで展開され、S5はワイヤレス端末とAPのDHCPサービスを展開します。アドレスを割り当てると、APは194.XX.20.2(XXサイトで提供)ごとにアドレスを取得します。
AC1構成:
BX-WS6008-01(config)#ip dhcp excluded-address 192.1.50.252 192.1.50.254
BX-WS6008-01(config)#ip dhcp excluded-address 192.1.60.252 192.1.60.254
BX-WS6008-01(config)#service dhcp
BX-WS6008-01(config)#ip dhcp pool AP
BX-WS6008-01(dhcp-config)# option 138 ip 11.1.0.204 11.1.0.205
BX-WS6008-01(dhcp-config)#network 192.1.50.0 255.255.255.0
BX-WS6008-01(dhcp-config)#default-router 192.1.50.254
BX-WS6008-01(dhcp-config)#exi
BX-WS6008-01(config)#ip dhcp pool yonghu
BX-WS6008-01(dhcp-config)#network 192.1.60.0 255.255.255.0
BX-WS6008-01(dhcp-config)#default-router 192.1.60.254
BX-WS6008-01(dhcp-config)#exi
S5構成(APに接続されたポートを介して許可する必要があるvlan)
FX-S5750-01(config)#int gi0/21
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport mode trunk
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport trunk allowed vlan only 20,30,40
FX-S5750-01(config-if-GigabitEthernet 0/21)#switchport trunk native vlan 20
FX-S5750-01(config-if-GigabitEthernet 0/21)#exi
FX-S5750-01(config)#service dhcp
FX-S5750-01(config)#ip dhcp pool AP
FX-S5750-01(dhcp-config)#hardware-address 0074.9c22.f6c4 (mac地址为ap的mac地址)
FX-S5750-01(dhcp-config)#host 194.1.20.2 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.20.254
FX-S5750-01(dhcp-config)#exi
FX-S5750-01(config)#ip dhcp pool Wiressless_users1
FX-S5750-01(dhcp-config)#network 194.1.30.0 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.30.254
FX-S5750-01(dhcp-config)#exi
FX-S5750-01(config)#ip dhcp pool Wiressless_users2
FX-S5750-01(dhcp-config)#network 194.1.40.0 255.255.255.0
FX-S5750-01(dhcp-config)#default-router 194.1.40.254
本社イントラネットSSIDをRuijie-BX_XX(XXサイトで提供)、WLAN IDを1、APグループをBXとして作成すると、本社イントラネットのワイヤレスユーザーは、SSIDを関連付けた後にアドレスを自動的に取得できます。
ローカル転送モードを有効にするには、本社のイントラネットワイヤレスネットワークが必要です。
本社の各ユーザーのワイヤレスエクスペリエンスを確保するために、WLAN ID1での各ユーザーの平均ダウンリンクレートは800kB / s、バーストレートは1600kB / sです。
BX-WS6008-01(config)#wlan-config 1 Ruijie-BX_1
BX-WS6008-01(config-wlan)#tunnel local
BX-WS6008-01(config-wlan)#wlan-based per-user-limit down-streams average-data-rate 800 burst-data-rate 1600
BX-WS6008-01(config)#ap-group BX
BX-WS6008-01(config-group)#interface-mapping 1 60 ap-wlan-id 1
BX-WS6008-01(config-group)#tunnel local wlan 1 vlan 60
2. ACホットバックアップは、本部のAC2を主な用途として、AC1をバックアップとして展開してい
ます。APはAC1とAC2とのトンネルを確立します。APがAC2との接続を失うと、APはシームレスにAC1に切り替えて、サービスを提供できます。
AC1構成:
BX-WS6008-01(config)#wlan hot-backup 11.1.0.205
BX-WS6008-01(config-hotbackup)#context 10
BX-WS6008-01(config-hotbackup-ctx)#ap-group BX
BX-WS6008-01(config-hotbackup-ctx)#exi
BX-WS6008-01(config-hotbackup)#wlan hot-backup enable
*Jun 22 14:50:32: %WLAN_HOTBACKUP-6-PEER: wlan hot-backup start doing ENABLE, please wait.
*Jun 22 14:50:32: %WLAN_HOTBACKUP-6-PEER: Peer(11.1.0.205) hot-backup enable.
AC2構成:
BX-WS6008-01(config)#wlan hot-backup 11.1.0.204
BX-WS6008-01(config-hotbackup)#context 10
BX-WS6008-01(config-hotbackup-ctx)#priority level 7
BX-WS6008-01(config-hotbackup-ctx)#ap-group BX
BX-WS6008-01(config-hotbackup-ctx)#exi
BX-WS6008-01(config-hotbackup)#wlan hot-backup enable
3.ワイヤレスセキュリティの展開
本社のワイヤレスユーザーは、ワイヤレスネットワークにアクセスするときにWPA2暗号化を使用する必要があり、パスワードはXX(サイトで提供)です。
ワイヤレスLAN ARPスプーフィングがユーザーのインターネットエクスペリエンスに影響を与えるのを防ぐために、本社はワイヤレス環境のARPスプーフィング防御機能を構成します。
BX-WS6008-01(config)#wlansec 1
BX-WS6008-01(config-wlansec)#security rsn enable
BX-WS6008-01(config-wlansec)#security rsn ciphers aes enable
BX-WS6008-01(config-wlansec)#security rsn akm psk enable
BX-WS6008-01(config-wlansec)#security rsn akm psk set-key ascii 12345678
BX-WS6008-01(config-wlansec)#exi
BX-WS6008-01(config)#ip dhcp snooping
BX-WS6008-01(config)#int gi0/1
BX-WS6008-01(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust
BX-WS6008-01(config)#wlansec 1
BX-WS6008-01(config-wlansec)#ip verify source port-security
BX-WS6008-01(config-wlansec)#arp-check
BX-WS6008-01(config-wlansec)#exi
ブランチスクールはホワイトリストの検証を可能にし、PC3ワイヤレス端末のみを許可します。
BX-WS6008-01(config)#wids
BX-WS6008-01(config-wids)#whitelist mac-address 00ff.ffff.ffff
BX-WS6008-01(config-wids)#whitelist max 1
本社のAPあたりのポイントを持つ最大人数は45人です。本社は
、月曜日から金曜日の21:00から23:30までワイヤレスサービスをシャットダウンするための時間スケジュールを必要とします。
本社は、ユーザーの最小アクセス信号強度を-65dBmに設定します。
BX-WS6008-01(config)#schedule session 1
Session 1 is created now.
BX-WS6008-01(config)#schedule session 1 time-range 1 period Mon to Fri time 21:00 to 23:30
BX-WS6008-01(config)#ap-config 5869.6cd6.8fc5
You are going to config AP(5869.6cd6.8fc5), which is online now.
BX-WS6008-01(config-ap)#ap-name BX-AP520-01
The AP(BX-AP520-01) is on line.
BX-WS6008-01(config-ap)#ap-group BX
BX-WS6008-01(config-ap)#sta-limit 45
BX-WS6008-01(config-ap)#response-rssi 30 radio 1
BX-WS6008-01(config-ap)#response-rssi 30 radio 2
BX-WS6008-01(config-ap)#quiet-mode session 1
BX-WS6008-01(config-ap)#no 11acsupport enable radio 2
BX-WS6008-01(config-ap)#channel 1 radio 1
BX-WS6008-01(config-ap)#exi
BX-WS6008-01(config)#ac-controller
BX-WS6008-01(config-ac)#802.11a network rate 6 disabled
BX-WS6008-01(config-ac)#802.11a network rate 9 disabled
BX-WS6008-01(config-ac)#802.11b network rate 1 disabled
BX-WS6008-01(config-ac)#802.11b network rate 2 disabled
BX-WS6008-01(config-ac)#802.11b network rate 5 disabled
BX-WS6008-01(config-ac)#802.11g network rate 5 disabled
BX-WS6008-01(config-ac)#802.11g network rate 2 disabled
BX-WS6008-01(config-ac)#802.11g network rate 1 disabled
BX-WS6008-01(config-ac)#exi
4.ファットAPの展開
北京キャンパスでは、ワイヤレスAPファットモードを使用して展開します。具体的な要件は次のとおりです
。AP3はRuijie-BJ_XX_1(XXサイトで提供)としてSSID(WLAN-ID 1)を作成し、ブランチキャンパスイントラネットワイヤレスユーザーは、SSIDに関連付けた後、ブランチキャンパスを自動的に取得できます。 VLAN30ネットワークセグメントアドレス。AP3
はSSID(WLAN-ID 2)をRuijie-BJ_XX_2(XXサイトで提供)として作成します。ブランチキャンパスイントラネットワイヤレスユーザーは、SSIDに関連付けた後、ブランチキャンパスVLAN40ネットワークセグメントアドレスを自動的に取得できます。
AP3構成:
FX-AP520-01(config)#int gi0/1
FX-AP520-01(config-if-GigabitEthernet 0/1)#ip address dhcp
FX-AP520-01(config-if-GigabitEthernet 0/1)#exi
00:03:54: %DHCP_CLIENT-6-ADDRESS_ASSIGN: Interface GigabitEthernet 0/1 assigned DHCP address 194.1.20.2, mask 255.255.255.0.
FX-AP520-01(config)#vlan 30
FX-AP520-01(config-vlan)#exi
FX-AP520-01(config)#vlan 40
FX-AP520-01(config-vlan)#exit
FX-AP520-01(config)#dot11 wlan 1
FX-AP520-01(dot11-wlan-config)#vlan 30
FX-AP520-01(dot11-wlan-config)#ssid Ruijie-BJ_1_1
FX-AP520-01(dot11-wlan-config)#exi
FX-AP520-01(config)#dot11 wlan 2
FX-AP520-01(dot11-wlan-config)#vlan 40
FX-AP520-01(dot11-wlan-config)#ssid Ruijie-BJ_1_2
FX-AP520-01(dot11-wlan-config)#exi
FX-AP520-01(config)#int gi0/1.3
FX-AP520-01(config-subif-GigabitEthernet 0/1.3)#encapsulation dot1Q 30
FX-AP520-01(config-subif-GigabitEthernet 0/1.3)#exi
FX-AP520-01(config)#int gi0/1.4
FX-AP520-01(config-subif-GigabitEthernet 0/1.4)#encapsulation dot1Q 40
FX-AP520-01(config-subif-GigabitEthernet 0/1.4)#exi
FX-AP520-01(config)#int dot11radio 1/0.3
FX-AP520-01(config-subif-Dot11radio 1/0.3)#encapsulation dot1Q 30
FX-AP520-01(config-subif-Dot11radio 1/0.3)#wlan-id 1
FX-AP520-01(config-subif-Dot11radio 1/0.3)#exi
FX-AP520-01(config)#int dot11radio 1/0.4
FX-AP520-01(config-subif-Dot11radio 1/0.4)#encapsulation dot1Q 40
FX-AP520-01(config-subif-Dot11radio 1/0.4)#wlan-id 2
出力NAT展開の
具体的な構成パラメータは次のとおりです。
出力ゲートウェイのNAT構成は、本社および支社のすべてのユーザーがインターネットにアクセスできることを認識し、イントラネットユーザーのIPアドレスはNAPTを介してインターネットインターフェイスに変換されます。同時に、本社のユーザーは月曜日から週までしか使用できません。 5.勤務時間09:00-17:00(名前付き勤務)中のインターネットへのアクセス。
EG1:
BX-EG2000-01(config)#time-range work
BX-EG2000-01(config-time-range)#periodic weekdays 09:00 to 17:00
BX-EG2000-01(config)#ip access-list ex 110
BX-EG2000-01(config-ext-nacl)#permit ip 192.1.0.0 0.0.255.255 any time-range work
BX-EG2000-01(config-ext-nacl)#permit ip 172.16.0.0 0.0.3.255 any time-range work
BX-EG2000-01(config-ext-nacl)#int gi0/0
BX-EG2000-01(config-if-GigabitEthernet 0/0)#ip nat in
BX-EG2000-01(config-if-GigabitEthernet 0/0)#int gi0/1
BX-EG2000-01(config-if-GigabitEthernet 0/1)#ip nat in
EG2:
FX-EG2000-01(config)#ip access-list ex 110
FX-EG2000-01(config-ext-nacl)#permit ip 194.1.0.0 0.0.255.255 any
FX-EG2000-01(config-ext-nacl)#int gi0/0
FX-EG2000-01(config-if-GigabitEthernet 0/0)#ip nat in
本社EG1で、本社コア交換S4(11.1.0.34)デバイスのSSHサービスにインターネット経由でアクセスできるように構成し、そのアドレスをUnicom回線にマップします。マップされたアドレスは、20.1.0.2;
EG1:です。
BX-EG2000-01(config)#ip nat in source static tcp 11.1.0.34 22 20.1.0.2 22 permit-inside
本社のイントラネットのメインフレームには、上海事務所のS6機器にアクセスするためのTelnetサービス要件がありますが、本社のイントラネットは、ネットワーク計画要件のために外部ルートを導入できません。同時に、上海事務所のネットワーク運用および保守担当者は、S6機器を使用したくない(11.1.0.6)。 )住所が発表されます。したがって、出力ゲートウェイでNATアドレス変換を実行して、S6実アドレスを20.1.0.20にマップすることが計画されています。
EG1:
BX-EG2000-01(config)#ip nat outside source static tcp 11.1.0.6 23 20.1.0.20 23
グローバルフローテーブル戦略は
、ユーザーにファイアウォールの制限がない場合に
展開されます。疑似ソースIP攻撃またはポートスキャンが多数発生すると、デバイスのフローテーブルがいっぱいになり、通常のデータでフローを確立できなくなります。したがって、本社はグローバルフローテーブルファイアウォールを展開する必要があります。ACL(No。102)ポリシー要件は、デバイスの外部ネットワークインターフェイスのICMPおよびTelnetプロトコルにすべてのIPを解放し、外部ネットワーク上のすべてのリソースに内部端末IPを解放します。アクセス;任意のIPがマップされたイントラネットスイッチのリソースにアクセスできるようにします。コンテキスト要件に従って
、デバイスの有効な機能プロトコルポートEG1を許可します。
BX-EG2000-01(config)#ip access-list ex 102
BX-EG2000-01(config-ext-nacl)# permit icmp any host 20.1.0.6
BX-EG2000-01(config-ext-nacl)# permit icmp any host 30.1.0.6
BX-EG2000-01(config-ext-nacl)# permit icmp any host 40.1.0.6
BX-EG2000-01(config-ext-nacl)# permit tcp any host 20.1.0.6 eq telnet
BX-EG2000-01(config-ext-nacl)# permit tcp any host 30.1.0.6 eq telnet
BX-EG2000-01(config-ext-nacl)# permit tcp any host 40.1.0.6 eq telnet
BX-EG2000-01(config-ext-nacl)# permit ip 192.1.0.0 0.0.255.255 any
BX-EG2000-01(config-ext-nacl)# permit ip 172.16.0.0 0.0.3.255 any
BX-EG2000-01(config-ext-nacl)# permit tcp any host 20.1.0.2 eq 22
BX-EG2000-01(config-ext-nacl)# permit ospf any any
BX-EG2000-01(config-ext-nacl)# permit udp any any eq snmp
BX-EG2000-01(config-ext-nacl)# permit udp any any eq snmptrap
BX-EG2000-01(config-ext-nacl)# permit esp any any
BX-EG2000-01(config-ext-nacl)# permit udp any eq bootpc any eq bootps
BX-EG2000-01(config-ext-nacl)# permit udp any eq bootps any eq bootpc
BX-EG2000-01(config-ext-nacl)# permit udp any any eq 1701
Webポータルユーザー認証は
、Webポータル認証サービスを有効にするために本社ゲートウェイに
展開され、パスワードXX(サイトで提供)を使用してuser1とuser2を作成します。本社の有線ユーザーはインターネットにアクセスするために認証される必要があります。本社のワイヤレスユーザーはEGでWEBを実行する必要はありません。認証後、インターネットにアクセスできます。
EG1:
フロー制御を適用して
ブランチキャンパスEG2 Unicom回線を展開し、IP 1000kbpsあたりの外部ネットワークWEBトラフィック速度制限にアクセスします。内部ネットワークWEBトラフィックの合計は50Mbpsを超えません。
ユーザー行動戦略の展開
ブランチスクールEG2は、Webサイトへのアクセス、電子メール、IMチャット、フォーラム投稿、および検索エンジンアプリケーションに基づく監査機能を有効にします。
ブランチスクールEG2は、月曜日から金曜日の09:00から17:00までの作業をブロックします(名前付き作業)。 P2Pアプリケーションソフトウェアの使用を監査します。
ブランチキャンパスのイントラネットのユーザーは、ブラウザを介してhttp://40.1.0.9にアクセスすることを禁止されています。データのオフロードと負荷の分散
データのオフロードと負荷の分散
本部とブランチキャンパスのユーザーデータフローマッチングEG組み込みUnicom、通信および教育アドレスライブラリ、Unicom回線を介したUnicomリソースへのアクセス、通信回線を介した通信リソース、教育ネットワーク回線を介した教育ネットワークリソースへのアクセスを実現;
China Unicom、電気通信、および教育リソースを除いて、すべてのデータストリームはデフォルトで3つの回線間で転送されます。
午後6時から午後10時までのブランチスクールEG2(Nightという名前)は、Unicom回線に大きなインターネットトラフィック圧力がかかるため、P2Pアプリケーションソフトウェアトラフィックはこの期間内に通信回線に排水します。本社と支店間のデータ交換のセキュリティを実現するために、
VPNの導入では、本社がローカルユーザー名とパスワードを使用して支店のルーターを確認する必要があります。計画は次のとおりです。L2TPトンネルを導入して、本社と支店間の接続を確認します。 、ユーザー名とパスワードの両方がruijieであり、L2TPトンネルパスワードがruijieであることを確認します。
L2TPユーザーアドレスプールは12.1.0.1-12.1.0.254であり、Virtual-TemplateおよびVirtual-pppインターフェイスはすべてローカルループバック1インターフェイスアドレスを参照します。L2TP
トンネルはOSPFプロトコルを伝送し、本社とブランチがOSPFルーティングを介して相互に対話できるようにします。 0;
IPCを展開してL2TPトンネル内のビジネスデータを暗号化する;
IPSec VPNは送信モードを採用する必要があり、事前共有パスワードはruijie、暗号化認証方法はESP-3DES、ESP-MD5-HMAC、DH使用グループ2
、一般組織と支部組織間のデータ通信と暗号化では、セカンダリオペレータR1 Unicomノードをトランジットデバイスとして使用します。
本社の有線IPV4ユーザーとブランチIPV4ユーザー間の通信の主なルートプランは、VSU-S3-EG1-EG2-S5(EG1 / EG2間のVPNトンネル)です。
EG1:
BX-EG2000-01(config)#rou ospf 10
BX-EG2000-01(config-router)#net 12.1.0.1 0.0.0.255 a 0
EG2:
FX-EG2000-01(config)#rou ospf 10
FX-EG2000-01(config-router)#network 12.1.0.2 0.0.0.255 a 0
関連リンク
Ruijie「2019NationalVocational CollegeSkillsCompetition」高等職業グループコンピュータネットワークアプリケーションコンペティションサンプル質問ボリュームA(ソフトウェア定義のネットワーク部分の回答への参照)
Ruijie「2019National Vocational CollegeSkillsCompetition」高等職業グループコンピュータネットワークアプリケーションコンテストサンプル質問ボリュームB(ソフトウェア定義ネットワークパートの回答への参照)
Ruijie「2019National Vocational CollegeSkillsCompetition」高等職業グループコンピュータネットワークアプリケーションコンテストサンプル質問ボリュームC(ソフトウェア定義ネットワークパート回答へのリファレンス)
Ruijie "2019 National Vocational College Skills Contest "High Vocational Group Computer Network Application Contest Sample Question D(ソフトウェアで定義されたネットワーク部分への回答の参照)
Ruijie" 2019 National Vocational College Skills Contest "High Vocational College Computer Network Application Contest Sample Question E〜Jボリューム(ソフトウェア定義ネットワークの一部への回答の参照)
Ruijieネットワークスキルコンペティションのソフトウェア定義ネットワーク部分の質問に関する分析とディスカッション
次の3つはすべてGithubのオープンソースであり、ネットワークスキルコンテストに参加する学生を支援します。
それを見た人が私にスターを与え、より多くの学生に助けてくれることを願っています。
Ruijie NetworkSkillsCompetitionが使用する公開情報