省赛样题解析(非官方)
2022年山东省职业院校技能大赛
高职组“网络系统管理”赛项样卷
模块C Linux环境
“网络系统管理”赛项专家组
2022年10月
目录
一、 竞赛简介................................................................................................................ 1
二、 竞赛注意事项......................................................................................................... 1
三、 竞赛结果文件的提交.............................................................................................. 1
四、 初始化环境............................................................................................................ 1
五、 初始化环境............................................................................................................ 1
1.默认账号及默认密码............................................................................................. 1
2.操作系统配置........................................................................................................ 2
六、 项目任务描述......................................................................................................... 2
1.拓扑图................................................................................................................... 2
2.基本配置............................................................................................................... 4
3.任务需求............................................................................................................... 4
CLIENT TASK................................................................................................... 5
RSERVER TASK................................................................................................ 5
SERVER01 TASK............................................................................................... 6
SERVER02 TASK............................................................................................... 8
SERVER03 TASK............................................................................................... 9
SERVER04 TASK............................................................................................. 10
一、 竞赛简介
1. 请认真阅读以下指引!
2. 比赛共4个小时,你必须自行决定如何分配你的时间。
3. 当比赛结束时,离开时请不要关机您的虚拟机。
4. 如果没有明确要求,请使用“Chinaskills22”作为默认密码。
5. 本模块所有的系统为已经安装的最基本的系统状态,客户端带桌面。
二、 竞赛注意事项
1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。
三、 竞赛结果文件的提交
按照题目要求,提交符合模板的WORD文件以及对应的PDF文件(利用Office Word另存为pdf文件方式生成pdf文件),所有截图建议除了配置文件截图外,还需要截功能测试的图,能在终端上测试的就一定要在终端上测试并截图,否则功能测试部分不得分。
四、 初始化环境
五、 初始化环境
1.默认账号及默认密码
Username: root
Password: ChinaSkill22!
Username: skills
Password: ChinaSkill22!
注:若非特别指定,所有账号的密码均为
2.操作系统配置
所处区域:CST + 8
系统环境语言:English US (UTF-8)
键盘:English US
注意:当任务是配置TLS,请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示
*********************************
ChinaSkills 2022 – CSK
Module C Linux
>>hostname<<
>>Linux Version<<
>> TIME <<
*********************************
六、 项目任务描述
某公司要为员工提供便捷、安全稳定内外网络服务,你作为一个公司网络系统管理员,负责公司网络系统管理,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:
1.拓扑图
2.基本配置
服务器和客户端基本配置如下表,各虚拟机已预装系统。
Device | Hostname | System | FQDN | IP Address | Service |
Server01 | Server01 | Centos | Server01.sdskills.cn | 172.16.100.201 | RAID5 NFS DNS Webserver SSH DBMS |
Server02 | Server02 | Centos | Server02.sdskills.cn | 172.16.100.202 | Ftp(vsftpd) MAIL(postfix,dovecot) SSH SDN |
Server03 | Server03 | UOS | Server03.skills.cn | 192.168.10.3 | Ntp(chrony), SSH |
Server04 | Server04 | UOS | Server04.skills.cn | 192.168.10.X | DNS Webserver SSH LDAP |
Rserver | Rserver | Centos | Rserver.skills.cn Rserver.sdskills.cn | 172.16.100.254 192.168.10.2 10.10.100.254 | proxy(squid) firewall(iptables) shellscript(bash) CA SSH Dhcp |
Client | Client | Centos | 10.10.100.x | none |
网络:
Network | CIDR |
office | 10.10.100.0/24 |
service | 172.16.100.128/25 |
internet | 192.168.10.0/28 |
3.任务需求
任务设备:Client,Rserver,servr01,server02,server03,server04。
注意:若题目中未明确规定,请使用默认配置。
CLIENT TASK
1.Client相关任务,具体要求如下:
• 要求能访问所有服务器,用于测试应用服务。
• 请为该主机安装支持GNOME桌面环境。
• 调整显示分辨率至1280x768;
• 测试DHCP,该主机网卡IPv4地址为自动获取;
• 测试dns,安装dnsutils、dig 命令行工具;
• 测试web,安装firefox 浏览器, curl 命令行测试工具,在任何时候进行访问测试时不允许弹出安全警告信息;
• 测试ssh,安装ssh 命令行工具;
• 测试ftp,安装ftp命令行客户端工具;
• 测试文件共享,安装Samba命令行客户端工具;
• 测试mail,安装thunderbird,并能正常进行邮件收发;
• 其他设定均采用默认设定。
RSERVER TASK
1.NETWORK
• 请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名等。
2.Squid
• 安装squid服务,开启路由转发,为当前实验环境提供路由功能;
3.Iptables
• 默认阻挡所有流量
• 添加必要的NAT规则和流量放行规则,正常情况下Internet网络不能访问office网络,满足使所有要求中的服务正常提供工作。
4.DHCP
• Client Pool;
• 为客户端分配IP范围是10.10.100.1-10.10.100.50;
• DNS:按照实际需求配置DNS服务器地址选项;
• GATEWAY:按照实际需求配置网关地址选项。
5.SSH
• 安装SSH
• 仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;
• 配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为2222,并且拥有root控制权限。
6.CA
• CA根证书路径/CA/cacert.pem;
• 签发数字证书,颁发者信息:
国家
单位 Inc
组织机构
公用名
7.Shellscript(bash)
• 安装bash服务
• 服务监控脚本:/shells/chkWeb.sh
在Rserver上编写脚本监控公司的网站运行情况;
脚本可以在后台持续运行;
每隔3S检查一次网站的运行状态,如果发现异常尝试3次;
如果确定网站无法访问,则返回用户“网站正在维护中,请您稍后再试”的页面。
SERVER01 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。
2.RAID5
在虚拟机上添加 4 个 1G 的硬盘;
创建 raid5,其中一个作为热备盘, 设备名为
将 md0 设置为 LVM,设备为/dev/vg01/lv01;
· 格式化为 ext4 文件系统;
· 开机自动挂载到/data 目录。
3.NFS
共享/data/share目录;
用于存储server01主机的web数据;
仅允许service网段访问该共享。
4.DNS(bind)
安装DNS服务相关软件包;
建立sdskills.cn域,为所有除Internet区域的主机或服务器建立正\反的域名解析。
当出现无法解析的域名时,向域skills.cn申请更高层次的解析。
5.Webserver(apache)
· 安装web服务相关软件包;
由Server01提供www.sdskills.cn
skills公司的门户网站;
使用apache服务;
网页文件放在/data/share/htdocs/skills;
服务以用户webuser运行;
首页内容为“This is the front page of sdskills's website.”;
/htdocs/skills/staff.html内容为“Staff Information”;
该页面需要员工的账号认证才能访问;
· 员工账号存储在ldap中,账号为zsuser、lsus
网站使用https协议;
SSL使用RServer颁发的证书, 颁发给:
C = CN
ST = China
L = ShangDong
O = skills
OU = Operations Departments
CN = *.skills.cn
Sever01的CA证书路径:/CA/cacert.pem
签发数字证书,颁发者:
C = CN;
O = Inc
OU = www.skills.cn
CN = skill Global Root CA
客户端访问https时应无浏览器(含终端)安全警告信息;
当用户使用http访问时自动跳转到https安全连接;
当用户使用sdskills.cn或any.sdskills.cn(any代表任意网址前缀)访问时,自动跳转到www.sdskills.cn。
6.SSH
安装SSH
仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;
配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为1122,并且拥有root控制权限。
7.Web Proxy
安装Nginx组件;
配置文件名为proxy.conf,放置在/etc/nginx/conf.d/目录下;
为www.chinaskills.cn配置代理前端,通过HTTPS的访问访问后端Web服务器;
后端服务器日志内容需要记录真实客户端的IP地址。
缓存后端Web服务器上的静态页面。
创建服务监控脚本:/shells/chkWeb.sh
编写脚本监控公司的网站运行情况;
脚本可以在后台持续运行;
每隔3S检查一次网站的运行状态,如果发现异常尝试3次;
如果确定网站无法访问,则返回用户“网站正在维护中,请您稍后再试”的页面;
8.Discuz!论坛系统
在该服务器上部署LNMP架构,然后部署Discuz!论坛系统,论坛网站根目录为/data/web_data;
数据库用户名为mysql,管理员信息自定义,实现通过http://www.rj.com/discuz能够登录论坛网站后台查看站点系统信息。
9.Mariadb Backup Script
脚本文件:/shells/mysqlbk.sh;
备份数据到/root/mysqlbackup 目录;
备份脚本每隔30分钟实现自动备份;
导出的文件名为 all-databases-20210213102333, 其中 20210213102333 为运行备份脚本的当前时间, 精确到秒。
SERVER02 TASK
1.NETWORK
· 请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。
2.Ftp(vsftpd)
· 使用ftp服务上传网页代码;
· 使用vsftpd服务;
· ftp的上传文件根目录即为web服务器的网站根目录;
· ftp登录的用户为ftpuser;
· 通过ftp上传的文件用户为webuser, 文件权限为644,目录权限为755。
3.MAIL
· Postfix;
• sdskill.cn 的邮件发送服务器
• 支持smtps(465)协议连接,使用Rserver颁发的证书,证书路径/CA/cacert.pem
• 创建邮箱账户“user1~user99”(共99个用户),密码为Chinaskill20!。
· Dovecot;
• sdskill.cn 的邮件接收服务器;
• 支持imaps(993)协议连接,使用Rserver颁发的证书,证书路径/CA/cacert.pem;
• 请保留至少两个用户已成功登录并能正常收发邮件,以方便测试。
4.SSH
• 安装SSH
• 仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;
• 配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为4444,并且拥有root控制权限。
5.SDN服务
• 安装opendaylight、mininet、Ovs软件平台。。
• 使用Mininet和OpenVswitch构建拓扑,采用采用OVSK交换机格式,端口6653,采用openflow1.3协议,构造如下拓扑:
• 通过OVS在S1下发一条流表实现H1与H2可以互通,H3与H4可以互通,但H1、H2与H3、H4间不可以连通;
• 用iperf工具测试H1和H2的带宽。
SERVER03 TASK
1.NETWORK
• 请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。
2.chrony
• chrony为全网提供时间同步服务器;
• Server01、Server02、Server04、Client和Rserver应定期与其校正时间;
• 每隔1分钟自动校正一次时间。
3.SSH
• 安装SSH;
• 仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;
• 配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为2233,并且拥有root控制权限。
SERVER04 TASK
1.NETWORK
• 请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。
2.DNS(bind)
• 安装DNS服务相关软件包;
• 为域skills.cn提供必要的域名解析;
• 当非skills.cn域的解析时,统一解析到Rserver连接Internet网段的IP地址或Rserver.skills.cn。
3.Webserver(apache2)
提供www.skills.cn
skills公司的门户网站;
l 使用apache服务;
网页文件放在/htdocs/skills;
服务以用户webuser运行;
首页内容为“This is the front page of skills's website.”;
/htdocs/sdskills/staff.html内容为“Staff Information”;
该页面需要员工的账号认证才能访问;
· 员工账号存储在ldap中,账号为zsuser、lsus
网站使用https协议;
SSL使用RServer颁发的证书, 颁发给:
C = CN
ST = China
L = ShangDong
O = skills
OU = Operations Departments
CN = *.skills.cn
Rserver的CA证书路径:/CA/cacert.pem
签发数字证书,颁发者:
C = CN;
O = Inc
OU = www.skills.cn
CN = skill Global Root CA
客户端访问https时应无浏览器(含终端)安全警告信息;
当用户使用http访问时自动跳转到https安全连接;
当用户使用skills.cn或any.skills.cn(any代表任意网址前缀)访问时,自动跳转到www.skills.com。
4.SSH
• 安装SSH;
• 仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;
• 配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为3344,并且拥有root控制权限。
5.LDAP
安装openldap,为apache服务提供账户认证;
创建chinaskills.cn目录服务,并创建用户组ldsgp ,将zsuser、lsusr、wuusr。
(二)
S5(config-if-GigabitEthernet 0/10)#int gi 0/11
S5(config-if-GigabitEthernet 0/11)#switchport protected
S5(config-if-GigabitEthernet 0/11)#int gi 0/12
S5(config-if-GigabitEthernet 0/12)#switchport protected
S5(config-if-GigabitEthernet 0/12)#int gi 0/13
S5(config-if-GigabitEthernet 0/13)#switchport protected
S5(config-if-GigabitEthernet 0/13)#int gi 0/14
S5(config-if-GigabitEthernet 0/14)#switchport protecte
S5(config-if-GigabitEthernet 0/14)#int gi 0/15
S5(config-if-GigabitEthernet 0/15)#switchport protecte
S5(config-if-GigabitEthernet 0/15)#
S6(config)#int gi 0/10
S6(config-if-GigabitEthernet 0/10)#sw
S6(config-if-GigabitEthernet 0/10)#switchport pr
S6(config-if-GigabitEthernet 0/10)#switchport protected
S6(config-if-GigabitEthernet 0/10)#int gi 0/11
S6(config-if-GigabitEthernet 0/11)#switchport protected
S6(config-if-GigabitEthernet 0/11)#int gi 0/12
S6(config-if-GigabitEthernet 0/12)#switchport protected
S6(config-if-GigabitEthernet 0/12)#int gi 0/13
S6(config-if-GigabitEthernet 0/13)#switchport protected
S6(config-if-GigabitEthernet 0/13)#int gi 0/14
S6(config-if-GigabitEthernet 0/14)#switchport protected
S6(config-if-GigabitEthernet 0/14)#int gi 0/15
S6(config-if-GigabitEthernet 0/15)#switchport protected
S6(config-if-GigabitEthernet 0/15)#
S5(config)#spanning-tree
S5(config)#int range gi 0/1-4
S5(config-if-range)#spanning-tree bpduguard enable
S5(config-if-range)#spanning-tree portfast
S6#con
Enter configuration commands, one per line. End with CNTL/Z.
S6(config)#int range gi 0/1-16
S6(config-if-range)#ex
S6(config)#spa
S6(config)#spanning-tree
Enable spanning-tree.
S6(config)#spanning-tree
S6(config)#int range gi 0/1-16
S6(config-if-range)#spanning-tree bpduguard enable
S6(config-if-range)#spanning-tree portfast
S6(config)#rldp enable
S6(config)#int gi 0/13
S6(config-if-GigabitEthernet 0/13)#rldp port loop-detect shutdown-port
S6(config-if-GigabitEthernet 0/13)#exit
S5(config)#errdisable recovery interval 300
S6(config)#errdisable recovery interval 300
S6(config)#ip dhcp snooping
S6(config)#int range gi 0/23-24
S6(config-if-range)#ip dhcp snooping trust
Ruijie(config)#interfac GigabitEthernet 0/3
Ruijie(config-if-GigabitEthernet 0/3)# switchport port-security binding 192.168.1.2 ------>把ip地址是192.168.1.2的终端定在交换机的Gi0/3接口
Ruijie(config-if-GigabitEthernet 0/3)#switchport port-security ------>开启端口安全功能
S3:
spanning-tree
spanning-tree mst configuration
instance 1 vlan 1,10,20,30,40,100
revision 1
name test
instance 0 vlan 2-9, 11-19, 21-29, 31-39, 41-99, 101-4094
instance 1 vlan 1, 10, 20, 30, 40, 100
exit
spanning-tree mst 1 priority 8192
spanning-tree mst 0 priority 4096
S4:
spanning-tree
spanning-tree mst configuration
instance 1 vlan 1,10,20,30,40,100
revision 1
name test
instance 0 vlan 2-9, 11-19, 21-29, 31-39, 41-99, 101-4094
instance 1 vlan 1, 10, 20, 30, 40, 100
exit
spanning-tree mst 0 priority 8192
spanning-tree mst 1 priority 4096
VLAN | VRRP备份组号(VRID) | VRRP 虚拟IP |
VLAN10 | 10 | 193.1.10.254 |
VLAN20 | 20 | 193.1.20.254 |
VLAN30 | 30 | 193.1.30.254 |
VLAN40 | 40 | 193.1.40.254 |
VLAN100(交换机间) | 100 | 193.1.100.254 |
S3:
vlan 10
vlan 20
vlan 30
vlan 100
interface vlan 10
ip address 193.1.10.252 255.255.255.0
vrrp 10 ip 193.1.10.254
vrrp 10 priority 120
interface vlan 20
ip address 193.1.20.252 255.255.255.0
vrrp 20 ip 193.1.20.254
vrrp 20 priority 120
interface vlan 30
ip address 193.1.30.252 255.255.255.0
vrrp 30 ip 193.1.30.254
vrrp 30 priority 120
interface vlan 40
ip address 193.1.40.252 255.255.255.0
vrrp 40 ip 193.1.40.254
vrrp 40 priority 120
interface vlan 100
ip address 193.1.100.252 255.255.255.0
vrrp 100 ip 193.1.100.254
vrrp 100 priority 120
S4:
vlan 10
vlan 20
vlan 30
vlan 100
interface vlan 10
ip address 193.1.10.253 255.255.255.0
vrrp 10 ip 193.1.10.254
vrrp 10 priority 150
interface vlan 20
ip address 193.1.20.253 255.255.255.0
vrrp 20 ip 193.1.20.254
vrrp 20 priority 150
interface vlan 30
ip address 193.1.30.253 255.255.255.0
vrrp 30 ip 193.1.30.254
vrrp 30 priority 150
interface vlan 40
ip address 193.1.40.253 255.255.255.0
vrrp 40 ip 193.1.40.254
vrrp 40 priority 150
interface vlan 100
ip address 193.1.100.253 255.255.255.0
vrrp 100 ip 193.1.100.254
vrrp 100 priority 150
S2
switch virtual domain 1
switch 2 priority 150
switch 2 description S6000-2
exit
vsl-port
port-member interface TenGigabitEthernet 0/51
port-member interface TenGigabitEthernet 0/52
end
switch convert mode virtual
S1
switch virtual domain 1
switch 1 priority 120
switch 1 description S6000-1
exit
vsl-port
port-member interface TenGigabitEthernet 0/51
port-member interface TenGigabitEthernet 0/52
end
switch convert mode virtual
S2:
int gi 1/0/47
no switchport
exit
int gi 2/0/47
no switchport
exit
switch virtual domain 1
dual-active detection bfd
dual-active bfd interface gi1/0/47
dual-active bfd interface gi2/0/47
exit
R1:
router ospf 10
network 10.1.0.8 0.0.0.3 area 0
network 11.1.0.1 0.0.0.0 area 0
network 12.1.0.0 0.0.0.255 area 0
network 13.1.0.0 0.0.0.255 area 0
S2/S1:
rou ospf 10
net 192.1.20.0 0.0.0.255 area 0
net 192.1.30.0 0.0.0.255 area 0
net 192.1.100.0 0.0.0.255 area 0
net 10.1.0.9 0.0.0.3 area 0
net 11.1.0.31 0.0.0.0 area 0
AC1:
router ospf 10
network 11.1.0.21 0.0.0.0 area 0
network 192.1.100.0 0.0.0.255 area 0
AC2:
router ospf 10
network 11.1.0.22 0.0.0.0 area 0
network 192.1.100.0 0.0.0.255 area 0
EG1:
router ospf 10
network 10.1.0.0 0.0.0.255 area 0
network 11.1.0.11 0.0.0.0 area 0
S3:
router ospf 10
network 10.1.0.0 0.0.0.255 area 0
network 193.1.10.0 0.0.0.255 area 0
network 193.1.20.0 0.0.0.255 area 0
network 193.1.30.0 0.0.0.255 area 0
network 193.1.40.0 0.0.0.255 area 0
network 193.1.100.0 0.0.0.255 area 0
S4:
router ospf 10
network 10.1.0.0 0.0.0.255 area 0
network 11.1.0.34 0.0.0.0 area 0
network 193.1.10.0 0.0.0.255 area 0
network 193.1.20.0 0.0.0.255 area 0
network 193.1.30.0 0.0.0.255 area 0
network 193.1.40.0 0.0.0.255 area 0
network 193.1.100.0 0.0.0.255 area 0
EG2:
ip route 0.0.0.0 0.0.0.0 10.1.0.22
ip route 11.1.0.3 255.255.255.255 10.1.0.22
ip route 11.1.0.35 255.255.255.255 10.1.0.13
S5(config)#ip rout 0.0.0.0 0.0.0.0 10.1.0.14
S5(config)#ip rout 11.1.0.3 255.255.255.255 10.1.0.14
S5(config)#ip rout 11.1.0.12 255.255.255.255 10.1.0.14
12
R1(config)#rou ospf 10
R1(config-router)#passive-interface vlan 10
R1(config-router)#passive-interface vlan 20
R1(config-router)#passive-interface vlan 30
S2(config)#rou ospf 10
S2(config-router)#passive-interface vlan 20
S2(config-router)#passive-interface vlan 30
S2(config-router)#passive-interface vlan 100
S2(config-router)#passive-interface gi 2/0/1
AC1(config)#rou ospf 10
AC1(config-router)#passive-interface vlan 100
AC2(config)#rou ospf 10
AC2(config-router)#passive-interface vlan 100
EG1(config)#rou ospf 10
EG1(config-router)#passive-interface gi 0/1
EG1(config-router)#passive-interface gi 0/2
EG1(config-router)#passive-interface gi 0/3
S3(config)#rou ospf 10
S3(config-router)#passive-interface vlan 10
S3(config-router)#passive-interface vlan 20
S3(config-router)#passive-interface vlan 30
S3(config-router)#passive-interface vlan 40
S3(config-router)#passive-interface vlan 100
S3(config-router)#passive-interface gi 0/24
S4(config)#rou ospf 10
S4(config-router)#passive-interface vlan 10
S4(config-router)#passive-interface vlan 20
S4(config-router)#passive-interface vlan 30
S4(config-router)#passive-interface vlan 40
S4(config-router)#passive-interface vlan 100
S4(config-router)#passive-interface gi 0/24
S4(config)#rou ospf 10
S4(config-router)#router-id 11.1.0.34
S4(config-router)#default-information originate
S3(config)#rou ospf 10
S3(config-router)#router-id 11.1.0.33
S3(config-router)#default-information originate
EG1(config)#rou ospf 10
EG1(config-router)#router-id 11.1.0.11
EG1(config-router)#default-information originate
AC2(config)#rou ospf 10
AC2(config-router)#router-id 11.1.0.22
AC2(config-router)#default-information originate
AC1(config)#rou ospf 10
AC1(config-router)#router-id 11.1.0.21
AC1(config-router)#default-information originate
S2(config)#rou ospf 10
S2(config-router)#router-id 11.1.0.31
S2(config-router)#default-information originate
S2(config)#ip rout 0.0.0.0 0.0.0.0 loopback 0
S2(config-router)#rou ospf 10
S2(config-router)#redistribute static metric-type 1 subnets
R1(config-if-Loopback 0)#rou bgp 100
R1(config-router)#neighbor 11.1.0.2 remote-as 100
R1(config-router)#neighbor 11.1.0.2 update-source lo 0
R1(config-router)#redistribute ospf 10
R1(config-router)#neighbor 11.1.0.3 remote-as 100
R1(config-router)#neighbor 11.1.0.3 update-source lo 0
R1(config-router)#redistribute ospf 10
R1(config-router)#redistribute bgp subnets
R1(config-router)#
R2(config)#rou bgp 100
R2(config-router)#neighbor 11.1.0.1 remote-as 100
R2(config-router)#neighbor 11.1.0.1 update-source lo 0
R2(config-router)#neighbor 11.1.0.3 remote-as 100
R2(config-router)#neighbor 11.1.0.3 update-source lo 0
R2(config-router)#redistribute ospf 10
R2(config-router)#rou ospf 10
R2(config-router)#redistribute bgp subnets
R3(config-if-Loopback 0)#rou bgp 100
R3(config-router)#neighbor 11.1.0.1 remote-as 100
R3(config-router)#neighbor 11.1.0.1 update-source lo 0
R3(config-router)#neighbor 11.1.0.2 remote-as 100
R3(config-router)#neighbor 11.1.0.2 update-source lo 0
R3(config-router)#redistribute ospf 10
R3(config-router)#rou ospf 10
R3(config-router)#redistribute bgp subnets
R1(config-router)#rou bgp 100
R1(config-router)#neighbor 11.1.0.2 remote-as 100
R1(config-router)#neighbor 11.1.0.2 update-source loopback 0
R1(config-router)#neighbor 11.1.0.3 remote-as 100
R1(config-router)#neighbor 11.1.0.3 update-source loopback 0
R2(config-router)#rou bgp 100
R2(config-router)#neighbor 11.1.0.1 remote-as 100
R2(config-router)#neighbor 11.1.0.1 update-source loopback 0
R2(config-router)#neighbor 11.1.0.3 remote-as 100
R2(config-router)#neighbor 11.1.0.3 update-source loopback 0
R3(config-router)#rou bgp 100
R3(config-router)#neighbor 11.1.0.1 remote-as 100
R3(config-router)#neighbor 11.1.0.1 update-source loopback 0
R3(config-router)#neighbor 11.1.0.2 remote-as 100
R3(config-router)#neighbor 11.1.0.2 update-source loopback 0
R3(config-router)#redistribute connected
R3(config-router)#network 11.1.0.0 mask 255.255.255.0
R2(config-router)#net 10.1.0.0 mask 255.255.255.0
R2(config-router)#redistribute connected
S4(config)#int rang vLAN 10,20,30,40,100
S4(config-if-range)#ip ospf cost 5
S3(config)#int range vlan 10,20,30,40,100
S3(config-if-range)#ip ospf cost 10
S6(config)#int rang gi 0/5-16
S6(config-if-range)#rate-limit input 10240 1024
R3(config)#int gigabitEthernet 0/0
R3(config-if-GigabitEthernet 0/0)#rate-limit output 10000000 1024 2048 ction transmit exceed-action drop
R3(config-if-GigabitEthernet 0/0)#$0000 1000000 2000000 conform-action transm$
(三)
EG1(config)#service dhcp
EG1(config)#ip dhcp pool yonghu
EG1(dhcp-config)#exit
EG1(config)#ip dhcp pool yonghu
EG1(dhcp-config)#network 193.1.20.0 255.255.255.0
EG1(dhcp-config)#dns-server 8.8.8.8
EG1(dhcp-config)#default-router 193.1.20.254
EG1(dhcp-config)#exit
EG1(config)#ip dhcp pool AP
EG1(dhcp-config)#network 193.1.10.0 255.255.255.0
EG1(dhcp-config)#dns-server 8.8.8.8
EG1(dhcp-config)#default-router 193.1.10.254
S5(config)#service dhcp
S5(config)#ip dhcp pool Yonghu
S5(dhcp-config)#network 194.1.20.0 255.255.255.0
S5(dhcp-config)#default-router 194.1.20.254
S5(dhcp-config)#dns-server 5.5.5.5
S5(dhcp-config)#exit
S5(config)#ip dhcp pool ap
S5(dhcp-config)#network 194.1.10.0 255.255.255.0
S5(dhcp-config)#default-router 194.1.10.254
S5(dhcp-config)#dns-server 5.5.5.5
AC1(config)#vlan 100
AC1(config-vlan)#vlan 10
AC1(config-vlan)#vlan 20
AC1(config-vlan)#int vlan 20
AC1(config-if-VLAN 20)#ip ad 193.1.20.252 255.255.255.0
AC1(config-if-VLAN 20)#vlan 100
AC1(config-vlan)#exit
AC1(config)#wlan-config 1 Test-GZ_66
AC1(config-wlan)#enable-broad-ssid
AC1(config-wlan)#exit
AC1(config)#ap-group GZ
AC1(config-group)#interface-mapping 1 20
AC1(config-group)#exit
AC1(config)#ip rout 0.0.0.0 0.0.0.0 193.1.100.252
AC1(config-if-Loopback 0)#ip ad 11.0.1.22 255.255.255.255
AC1(config-if-Loopback 0)#exit
AC1(config)#vlan 10
AC1(config-vlan)#vlan 20
AC1(config-vlan)#vlan 100
AC1(config-vlan)#int vlan 20
AC1(config-if-VLAN 20)#exit
AC1(config)#show wlan-config summary
Total Wlan Num : 1
Wlan id Profile Name SSID STA NUM
-------- -------------------- -------------------- --------
1 Test-GZ_66 0
AC1(config)#wlan-c
AC1(config)#wlan-config 1 Test-GZ_66
AC1(config-wlan)#enable-broad-ssid
AC1(config-wlan)#exit
AC1(config)#ap-group GZ
AC1(config-group)#int
AC1(config-group)#interface-mapping 1 20
AC1(config-group)#exit
AC1(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.31
AC1(config)#no ip rout 0.0.0.0 0.0.0.0 11.1.0.31
AC1(config)#no ip rout 0.0.0.0 0.0.0.0 193.1.100.252
AC1(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.11
AC1(config)#int vlan 100
AC1(config-if-VLAN 100)#ip ad 192.1.100.2 255.255.255.0
AC1(config-if-VLAN 100)#int lo 0
AC1(config-if-Loopback 0)#ip ad 11.1.0.21 255.255.255.255
AC1(config-if-Loopback 0)#exit
AC1(config)#int gi 0/1
EG1(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.18
EG1(config)#
AC1(config)#wlan-config 2 Test-JL_01
AC1(config-wlan)#enable-broad-ssid
AC1(config-wlan)#exit
AC1(config)#ap-group JL
AC1(config-group)#interface-mapping 2 20
AC1(config-group)#exit
AC1(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.35
ip dhcp pool Yonghu
network 194.1.20.0 255.255.255.0
dns-server 5.5.5.5
default-router 194.1.20.254
ip dhcp pool ap
network 194.1.10.0 255.255.255.0
dns-server 5.5.5.5
default-router 194.1.10.254
S5(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.14
AC2(config)#wlan-config 1 Test-GZ_66
AC2(config-wlan)#exit
AC2(config)#wlan-config 2 Test-JL_01
AC2(config-wlan)#exit
AC2(config)#wlan-config 1 Test-GZ_66
AC2(config-wlan)#enable-broad-ssid
AC2(config-wlan)#exit
AC2(config)#wlan-config 2 Test-JL_01
AC2(config-wlan)#enable-broad-ssid
AC2(config-wlan)#exit
AC2(config)#ap-group GZ
AC2(config-group)#interface-mapping 1 20
AC2(config-group)#interface-mapping 2 20
AC2(config-group)#exit
AC2(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.11
AC2(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.35
S5(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.14
S5(config)#ip rout 11.1.0.22 255.255.255.255 10.1.0.14
3333
S2(config)#service dhcp
S2(config)#ip dhcp pool AP1
S2(dhcp-config)#network 193.1.10.0 255.255.255.0
S2(dhcp-config)#default-router 193.1.10.254
S2(dhcp-config)#option 138 ip 11.1.0.31
S2(dhcp-config)#exit
S2(config)#ip dhcp pool PC1
S2(dhcp-config)#network 193.1.20.0 255.255.255.0
S2(dhcp-config)#default-router 193.1.20.254
S2(dhcp-config)#option 138 ip 11.1.0.31
S2(dhcp-config)#exit
S2(config)#ip rout 11.1.0.21 255.255.255.255 193.1.100.2
S2(config)#ip rout 11.1.0.22 255.255.255.255 193.1.100.3
AC1(config)#wlan-config 1 AP1
AC1(config)#show wlan-config summary
Total Wlan Num : 1
Wlan id Profile Name SSID STA NUM
-------- -------------------- -------------------- --------
1 Test-GZ_66 0
AC1(config)#wlan-config 2 AP1
AC1(config-wlan)#enable-broad-ssid
AC1(config-wlan)#exit
AC1(config)#ap-group AP1
AC1(config-group)#interface-mapping 2 10
AC1(config-group)#show ap-config summary
========= show ap status =========
Radio: Radio ID or Band: 2.4G = 1#, 5G = 2#
E = enabled, D = disabled, N = Not exist, V = Virtual AP
Current Sta number
Channel: * = Global
Power Level = Percent
Online AP number: 0
Offline AP number: 0
AP Name IP Address Mac Address Radio Radio Up/Off time State
---------------------------------------- --------------- -------------- ------------------- ------------------- ------------- -----
AC1(config-group)#exit
AC1(config)#ap-config PC1
AC2(config)#ap-g
AC2(config)#wlan-config 1 AP1
AC2(config-wlan)#enable-broad-ssid
AC2(config-wlan)#exit
AC2(config)#vlan 10
AC2(config-vlan)#vlan 20
AC2(config-vlan)#exit
AC2(config)#ap-group AP1
AC2(config-group)#interface-mapping 1 10
AC2(config-group)#exit
AC2(config)#ap-config AP1
AC2(config-ap)#ap-group AP1
AC2(config-ap)#exit
AC2(config)#show wlan-config summary
AC1(config)#wlan hot-backup 11.1.0.22
AC1(config-hotbackup)#context 10
AC1(config-hotbackup-ctx)#priority level 6
AC1(config-hotbackup-ctx)#ap-group AP1
AC1(config-hotbackup-ctx)#exit
AC1(config-hotbackup)#wlan hot-backup enable
AC1(config-hotbackup)#show wlan hot-backup
AC2(config)#wlan hot-backup 11.1.0.21
AC2(config-hotbackup)#context 10
AC2(config-hotbackup-ctx)#priority level 7
AC2(config-hotbackup-ctx)#ap-group AP1
AC2(config-hotbackup-ctx)#exit
AC2(config-hotbackup)#wlan hot-backup enable
AC2(config-hotbackup)#exit
AC2(config)#end
AC2(config)#wlansec 1
AC2(config-wlansec)#security rsn enable
AC2(config-wlansec)#security rsn ciphers aes enable
AC2(config-wlansec)#security ren ak
AC2(config-wlansec)#security rsn akm psk enable
AC2(config-wlansec)#security rsn akm psk set-key ascii 12345678
AC1(config)#wlansec 1
AC1(config-wlansec)#security rsn enable
AC1(config-wlansec)#security rsn ciphers aes enable
AC1(config-wlansec)#security rsn akm psk enable
AC1(config-wlansec)#security rsn akm psk set-key ascii 12345678
AC1(config)#wlan-config 2
AC1(config-wlan)#wlan-based per-user-limit d
AC1(config-wlan)#wlan-based per-user-limit down-streams a
AC1(config-wlan)#$ average-data-rate 800 burst-data-rate 1600
AC1(config)#schedule session 1
AC1(config)#schedule session 2
AC1(config)#schedule session 1
AC1(config)#schedule session 1 time-range 1 period Mon to Fri t
AC1(config)#$-range 1 period Mon to Fri time 21:00 to 23:30
AC1(config)#wlan-config 1
AC1(config-wlan)#schedule session 1
AC1(config-wlan)#exit
AC1(config)#sntp enable
AC2(config)#schedule session 1
AC2(config)#schedule session 1 time-range 1 period Mon to Fri t
AC2(config)#$-range 1 period Mon to Fri time 21:00 to 23:30
AC2(config)#wlan-config 1
AC2(config-wlan)#schedule session 1
AC2(config-wlan)#exit
AC2(config)#sntp enable
(四)
广州分布
全网可达配置
EG1(config)#ip rout 193.1.0.0 255.255.0.0 10.1.0.1
EG1(config)#ip rout 193.1.0.0 255.255.0.0 10.1.0.2
EG1(config)#ip access-list standard ACL110
EG1(config-std-nacl)#permit 10.1.0.0 0.0.255.255
EG1(config-std-nacl)#permit 11.1.0.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.10.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.20.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.30.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.40.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.100.0 0.0.0.255
配置策略路由
EG1(config)#route-map ACL110 permit
EG1(config-route-map)#match ip address ACL110
EG1(config-route-map)#set ip next-hop 10.1.0.17
EG1(config-route-map)#ex
应用策略路由
EG1(config)#int gi 0/3
EG1(config-if-GigabitEthernet 0/3)#ip policy route-map ACL110
EG1(config-if-GigabitEthernet 0/3)#exit
EG1(config)#ip rout 11.1.0.34 255.255.255.255 10.1.0.5
EG1(config)#ip rout 11.1.0.33 255.255.255.255 10.1.0.1
S3(config)#ip rout 10.1.0.0 255.255.255.0 10.1.0.2
S3(config)#ip rout 11.1.0.11 255.255.255.255 10.1.0.2
S4(config)#ip rout 10.1.0.0 255.255.255.0 10.1.0.6
S4(config)#ip rout 11.1.0.11 255.255.255.255 10.1.0.6
吉林分部:
R1(config)#ip rout 12.1.0.0 255.255.255.0 12.1.0.2
R1(config)#ip rout 13.1.0.0 255.255.255.0 13.1.0.3
R1(config)#ip access-list standard ACL110
R1(config-std-nacl)#permit 10.1.0.0 0.0.0.255
R1(config-std-nacl)#per 12.1.0.0 0.0.0.255
R1(config-std-nacl)#permit 13.1.0.0 0.0.0.255
R1(config-std-nacl)#permit 192.1.20.0 0.0.0.255
R1(config-std-nacl)#permit 192.1.30.0 0.0.0.255
R1(config-std-nacl)#permit 192.1.100.0 0.0.0.255
R1(config-std-nacl)#ex
R1(config)#route-map ACL110 permit
R1(config-route-map)#match ip address ACL110
R1(config-route-map)#set ip next-hop 12.1.0.2
R1(config-route-map)#set ip next-hop 12.1.0.2
R1(config-if-FastEthernet 1/0)#int vlan 20
R1(config-if-VLAN 20)#ip policy route-map ACL110
R1(config-if-VLAN 20)#int vlan 30
R1(config-if-VLAN 30)#ip policy route-map ACL110
R1(config-if-VLAN 30)#ex
R1(config)#ip rout 11.1.0.31 255.255.255.255 10.1.0.9
R1(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.9
R1(config)#ip rout 11.1.0.22 255.255.255.255 10.1.0.9
北京本部
EG2(config)#ip rout 10.1.0.0 255.255.255.0 10.1.0.22
EG2(config)#ip rout 11.1.0.3 255.255.255.255 10.1.0.22
EG2(config)#ip access-list standard ACL110
EG2(config-std-nacl)#permit 10.1.0.0 0.0.0.255
EG2(config-std-nacl)#permit 11.1.0.0 0.0.0.255
EG2(config-std-nacl)#permit 194.1.10.0 0.0.0.255
EG2(config-std-nacl)#permit 194.1.20.0 0.0.0.255
EG2(config-std-nacl)#ex
EG2(config)#route-map ACL110 permit
EG2(config-route-map)#match ip address ACL110
EG2(config-route-map)#set ip next-hop 10.1.0.22
EG2(config-route-map)#int gi 0/3
EG2(config-if-GigabitEthernet 0/3)#ip policy route-map ACL110
EG2(config-if-GigabitEthernet 0/3)#ex
EG2(config)#ip rout 11.1.0.35 255.255.255.255 10.1.0.13
EG2(config)#ip access-list extended 102
10 permit icmp any host 194.1.10.254
20 permit icmp any host 194.1.20.254
30 permit icmp any host 10.1.0.13
40 permit icmp any host 11.1.0.35
50 permit tcp any host 10.1.0.18 eq telnet
60 permit icmp any 10.1.0.0 0.0.0.255
70 permit tcp any host 10.1.0.18
80 permit tcp any 194.1.10.0 0.0.0.255 eq telnet
90 permit tcp any 194.1.20.0 0.0.0.255 eq telnet
100 permit tcp any 10.1.0.0 0.0.0.255 eq telnet
110 permit tcp any 11.1.0.0 0.0.0.255 eq telnet
120 permit ip any host 194.1.10.254
130 permit ip any host 194.1.20.254
140 permit ip any host 10.1.0.13
150 permit ip any host 11.1.0.35
160 permit ip host 14.1.0.3 any
170 permit ip host 13.1.0.3 any
180 permit ip host 10.1.0.22 any
190 permit ip host 11.1.0.3 any
EG2(config)#ip session filter 102
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
保证在分支路由器上能够ping通总部路由器外网口公网IP地址。
2、在总部出口路由器上配置动态态IPSEC VPN隧道
(1)配置isakmp策略
crypto isakmp policy 1 //创建新的isakmp策略
encryption 3des //指定使用3DES进行加密
authentication pre-share //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
(2)配置预共享密钥
crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0 //配置预共享密钥为“ruijie”,IPSEC客户端也必须配置相同的密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端
(3)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(4)配置动态ipsec加密图
crypto dynamic-map dymymap 5 //新建名为“dymymap”的动态ipsec加密图
set transform-set myset //指定加密转换集为“myset”
(5)将动态ipsec加密图映射到静态的ipsec加密图中
crypto map mymap 10 ipsec-isakmp dynamic dymymap //将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中
(6)将加密图应用到接口
interface GigabitEthernet 0/0
crypto map mymap
3、在总部路由器上配置路由,将各分支网段路由指向出口
ip route 192.168.1.0 255.255.255.0 10.0.0.2
ip route 192.168.2.0 255.255.255.0 10.0.0.2
ip route 192.168.3.0 255.255.255.0 10.0.0.2
......
4、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic //配置IPSEC DPD探测功能
crypto isakmp policy 1 //创建新的isakmp策略
authentication pre-share //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
encryption 3des //指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.1 //指定peer 10.0.0.1的预共享密钥为“ruijie”,与总部出口路由器上配置的一致。如使用数字证书/信封认证则无需配置。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.1 //指定peer地址
set transform-set myset //指定加密转换集为“myset”
match address 101 //指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface dialer 0
crypto map mymap
5、在分支路由器上配置路由,将总部网段路由指向出口
ip route 192.168.0.0 255.255.255.0 dialer 0
1、配置路由器R1和R2,使R1和R2能够正常访问互联网,并互相能够ping通。
2、在R1配置静态IPSEC VPN隧道
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 //指定感兴趣流为源地址192.168.0.0/24,目的地址为192.168.1.0/24的网段。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic //配置IPSEC DPD探测功能
crypto isakmp policy 1//创建新的isakmp策略
authentication pre-share //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
group 2 //
encryption 3des//指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.1 //指定peer 10.0.0.1的预共享密钥为“ruijie”,对端也必须配置一致的密钥。如使用数字证书/信封认证则无需配置。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.1//指定peer地址
set transform-set myset//指定加密转换集“myset”
match address 101//指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface F0/0
crypto map mymap
3、在R1配置路由,将局域网2网段路由指向出口
ip route 192.168.1.0 255.255.255.0 10.0.0.2
4、在R2配置静态IPSEC VPN隧道
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。
(2)配置isakmp策略
crypto isakmp policy 1//创建新的isakmp策略
authentication pre-share //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
encryption 3des//指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.2 //指定peer 10.0.0.1的预共享密钥为“ruijie”,对端也必须配置一致的密钥。如使用数字证书/信封认证则无需配置。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.2//指定peer地址
set transform-set myset//指定加密转换集“myset”
match address 101//指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface FastEthernet0/0
crypto map mymap
5、在R2配置路由,将局域网2网段路由指向出口
ip route 192.168.0.0 255.255.255.0 10.0.0.1