【2021_GXSKILLS_C模块】

一、赛题说明

竞赛注意事项

比赛规定开始时间和结束时间，请合理分配您的时间。

1. 请仔细阅读以下要求！

2. 操作过程中，需要及时保存设备配置。

3. 比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和配置为最终结果。

4. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。

5. 根据相关拓扑结构图及设备连接表对网络设备进行物理互联。

6. 在该网络架构中，作为 IT 网络系统管理运维人员，应根据拓扑构建功能完整及内外网区域分明的网络环境，拓扑图中的客户端和服务器为逻辑存在，不需要额外配置和连接。

7. 在每台设备上使用 show running-config 命令，将该命令下显示的结果，分别保存为独立的“*.txt”文件中。其中，文件名要以设备的编号命名。并把所有的“*.txt”文件，集中存放在新建的桌面“设备配置”文件夹下。

二、项目任务描述

某集团公司原在南宁建立了总公司，后在柳州建立了办事处。南宁总公司网络内部采用双核心设备架构提高可靠性；外部则连接着两个网络：互联网和园区网。互联网通过防火墙连接，园区网则通过路由器专线进行连接。柳州办事处网络内部设有无线网络和有线网络，外部通过防火墙连接着互联网。南宁总公司与柳州办事处内部网络之间通过 IPSEC 进行跨互联网通信。请根据以下信息和规划要求来实施网络搭建和功能部署。

1.拓扑结构图

2.网络设备连接表

3. 网络设备 IP 地址分配表

4. 任务需求

注意：若题目中未明确规定，请使用默认配置。

请按照上述表格进行设备互联及 IP 地址配置！

请在防火墙的安全-策略里配置允许 trust 到 untrust 的流量！

主区网络交换网络配置

1）、NN-SW1、NN-SW2 通过 VSF 技术形成一台虚拟的逻辑设备 NN-SW-Core。用户通过对该虚拟设备进行管理，从而实现对虚拟设备中所有物理设备的管理。两台设备VSF 逻辑域为 10；其中 NN-SW1 的成员编号为 1，NN-SW2 的成员编号为 2；正常情况下 NN-SW1 负责管理整个 VSF；NN-SW1 与 NN-SW2 之间建立一个 vsf port-group，其编号为 1，vsf port-group 绑定两个万兆光端口。对逻辑设备NN-SW-Core 启用 VSF 自动合并功能。开启 BFD MAD 分裂检测功能，NN-SW1 BFDMAD 接口 IP 地址为：8.8.8.9/30，NN-SW2 BFD MAD 接口 IP 地址为：8.8.8.10/30。

2）、NN-SW-Core 分别通过 E1/0/21、E2/0/22 与 NN-SW3 的 E1/0/21、E1/0/22接口相互连接，把归属于同一设备的两个接口捆绑成一个逻辑接口，编号设定为 1，NN-SW-Core 为主动端， NN-SW3 为被动端。将聚合后的端口设置成 Trunk 接口，且只允许相关业务 Vlan 及管理 Vlan 通过，VLAN200 的流量通过 trunk 时不封装标签。

3）、根据下述 VLAN 规划信息表的要求，在交换机上创建对应的 VLAN 及命名，并将交换机的相应端口加入对应的 VLAN，端口均为 Access 类型。

4）、NN-SW-Core 和 NN-SW3 上设置 Vlan 200 为管理 Vlan。要求设备启用 SSH服务，远程登录账户仅为“GXSkills”，密码为明文“GXSkills-ssh”，采用 SSH 方式登录设备时需要输入 enable 密码，密码设置为明文“enable”。要求最多允许 9 个用户同时 SSH 登陆设备。

5）、VLAN 10、20、30、40 网段内的用户通过 NN-SW-Core 上的 DHCP 服务获取IP 地址。DHCP 地址池名字分别为 Pool-10、Pool-20、Pool-30、Pool-40，租期为 6天，配置默认网关为该网段最后一个 IP 地址，配置 DNS 地址为 114.114.114.114。每个地址池均排除网关地址，同时为防止 ip 分配冲突，请开启冲突检测。

6）、NN-SW3 为防止终端产生 MAC 地址泛洪攻击，在 E1/0/6-10 设置开启端口安全功能，配置端口允许的最大安全 MAC 数量为 6，发生违规阻止后续违规流量通过，关闭端口，并在 150 秒后恢复端口。

主区网络互联网络配置

1）、公司主区网络内部规划采用 RIPv2 协议作为主要路由协议，请在 NN-FW、NN-Router 和 NN-SW-Core 上配置 RIPv2：NN-FW 上把默认路由重发布到 RIPv2里；NN-Router 上只允许发布互联网段；NN-SW-Core 上不允许把 172.16.0.8/30 网段发布进 RIPv2 里，四个业务 VLAN 不发送协议报文。

2）、公司主区网络内部规划采用静态路由作为备用冗余路由，冗余线路为 NN-FW，NN-Router，NN-SW-Core（NN-SW2 侧）。在 NN-SW-Core 上配置默认路由，路由指向为 NN-Router；在 NN-FW 上配置 172.16.0.0/16 的静态路由，路由指向为NN-Router；在 NN-Router 上配置 172.16.0.0/16 的静态路由，路由指向为NN-SW-Core。所有静态路由的间距设置为 200。

3）、在 NN-FW 上配置默认路由，指向 ISP-Router；当互联网通过 web 访问 132.2.2.2的 80 端口时，把数据转发给 172.16.100.1；业务 VLAN 可以通过 NN-FW 的 E0/1 接口进行网络地址转换访问互联网。

4）、在 NN-Router 上配置动态 NAT，当业务网段访问园区网时，使用 S0/1 接口进行动态 NAT 转换，启用 NAT 超载功能。

5）、在 NN-Router 与 ISP-Router 之间配置 OSPF 作为园区网路由协议，进程号为10，互联网段为 AREA1，园区网段为 AREA0；NN-Router 的 Router-id 为 201.1.0.2，ISP-Router 的 Router-id 为 1.1.1.1；启用区域 MD5 验证，验证密钥为：GXSkills。

分区网络配置

1）、根据下述 VLAN 规划信息表的要求，在 AC 上创建对应的 VLAN 及命名，并将交换机的相应端口加入对应的 VLAN。