- 1基于双重交叉注意的医学图像分割_dual cross-attention for medical image segmentatio
- 2Linux 命令 top 详解
- 3云原生✖️ AI 时代的微服务架构最佳实践—— CloudWeGo 技术沙龙·北京站报名开启_百度云原生微服务架构技术分享大会
- 4文本纠错与BERT的最新结合,Soft-Masked BERT_文本纠错模型 训练
- 5Python+Django+Mysql个性化租房推荐系统 房屋租赁推荐系统 基于深度学习/机器学习/人工智能 基于用户的协同过滤推荐算法 爬虫 可视化数据分析_python房源推荐系统
- 6猴子看了都能在服务器上pytorch代码使用gpu跑神经网络模型
- 7一文全面了解O2OA(翱途)开发平台的技术栈
- 8(含链接)2024年NVIDIA GPU技术大会开发者合集(专为开发者挑选的合集)_nvidia大会
- 9NLP期末总结_自然语言处理学期总结
- 10使用python实现i茅台自动预约_imaotai python教程
2021网络搭建大赛解法(网络部分)_端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保
赞
踩
一、 交换配置与调试(141分) (一) 为了减少广播,需要根据题目要求规划并配置VLAN。要求配置合理,所有链路上 不允许不必要VLAN的数据流通过。根据下述信息及表,在交换机上完成VLAN配置和端口 分配。
设备 VLAN编号 端口 说明 SW-1 VLAN10 E1/0/1-4 营销1段 VLAN20 E1/0/5-7 产品1段 VLAN30 E1/0/8-10 法务1段 VLAN40 E1/0/11-12 财务1段 VLAN50 E1/0/13-14 人力1段 SW-2 VLAN10 E1/0/1-4 营销2段 VLAN20 E1/0/5-7 产品2段 VLAN30 E1/0/8-10 法务2段 VLAN40 E1/0/11-12 财务2段 VLAN50 E1/0/13-14 人力2段 SW-3 VLAN10 E1/0/1-4 营销3段VLAN20 E1/0/5-7 产品3段 VLAN30 E1/0/8-10 法务3段 VLAN50 E1/0/11-12 人力3段
(二) 集团核心交换机SW-1和SW-2针对营销业务网段的每个物理接口限制收、发数据 占用的带宽分别为100Mbps、80Mbps;
解:
1 Switch1(config)#interface ethernet 1/0/1‐4
2 Switch1(Config‐If‐Ethernet1/7)# bandwidth control 80000 both #设置端口收、 发数据占用的带宽
针对产品业务网段的每个物理接口限制报文最大收包速率为1000packets/s,如果超过了设 置交换机端口的报文最大收包速率则关闭此端口,10分钟后再恢复此端口,来保证交换机 对其他业务的正常处理。
解:
1 SW3;
2 int e1/0/5‐6
3 flow control ;打开流控功能
4 Interface Ethernet1/0/8
5 rate‐violation all 2000 ;设置BUM报文速率 2000 最大
6 rate‐violation control shutdown recovery 600 ;控制违规端口关闭,10分钟后自 动
(三) 集团核心交换机SW-1和SW-2之间租用运营商三条裸光缆通道实现两个DC之间互 通,一条裸光缆通道实现三层IP业务承载、一条裸光缆通道实现VPN业务承载、一条裸光缆 通道实现二层业务承载。集团核心交换机SW-1与SW-3之间、集团核心交换机SW-2与SW3之间租用运营商OTN波分链路实现互通。具体要求如下:
1. 为了节约集团成本,设计实现VPN业务承载的裸光缆通道带宽只有10Mbps,后续再根 据业务使用情况考虑是否扩容;使用相关技术分别实现集团财务1段、财务2段业务路由表
与集团其它业务网段路由表隔离,财务业务位于VPN实例名称CW内;
解:VRF隔离路由表
1 SW2‐6200(config)#ip vrf CW
2 SW2‐6200(config‐if‐vlan40)#ip vrf forwarding CW
2. 配置实现三层IP业务承载的裸光缆通道最大传输单元为1600Bytes,满足后续集团双DC VXLAN等新技术应用; MTU 调整
1 mtu 1600
3. 目前设计实现二层业务承载的只有一条裸光缆通道,随着集团1#DC服务器数量快速扩 容,预计未来2-3年集团1#DC与2#DC间服务器大二层流量会呈现爆发式增长,配置相关技 术,方便后续链路扩容与冗余备份;
加入链路聚合组
1 port‐group 1
2 int port‐channel 1
3 switchport mode trunk
4 int e1/0/28
5 port‐group 1 mode on
4. 配置集团核心交换机(SW-1、SW-2、SW-3)采用源、目的IP进行实现流量负载分担。
1 load‐balance dst‐src‐ip
(四) 集团核心交换机(SW-1、SW-2、SW-3)分别配置简单网络管理协议,计划启 用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、 62003;创建认证用户为DCN2021,采用3des算法进行加密,密钥为:Dcn20212021, 哈希算法为SHA,密钥为:DCn20212021;加入组DCN,
1 snmp‐server enable
2 snmp‐server engineid 62001 #设置引擎号
3 snmp‐server user DCN2021 DCN authPriv 3des Dcn20212021 auth sha Dcn202120 21 #设置账号密码认证方式
采用最高安全级别;配置组的读、写视图分别为:Dcn2021_R、DCn2021_W; 当设备有异常时,需要使用本地的环回地址发送Trap消息至集团网管服务器 10.50.50.120、2001:10:50:50::121, 采用最高安全级别;当人力部门对应的用户接口发生UP/DOWN事件时禁止发送trap消息 至上述集团网管服务器。
解:
1 snmp‐server community ro Dcn2021_R #读写团体值
2 snmp‐server community rw Dcn2021_W #读写团体值
1 snmp‐server securityip 10.50.50.120 #指定安全IP,为网管服务器的ip地址
2 snmp‐server securityip 2001:10:50:50::121
3 snmp‐server host 10.50.50.120 v3 authnopriv DCN2021 #发送trap地址
4 snmp‐server host 2001:10:50:50::121 v3 authnopriv DCN2021 #发送trap地址
5 snmp‐server trap‐source 10.50.255.1 #指定trap的源ip地址为环回口
6 snmp‐server enable traps #启用发送trap
1 int e1/0/11‐12
2 no switchport updown notification enable #禁止发送接口up down 发送trap
(五) 要求禁止配置访问控制列表,实现集团核心交换机SW-3法务业务对应的物理端口间 二层流量无法互通;
解:
1 Switch(config)#isolate‐port group test #新增隔离组
2 Switch(config)#isolate‐port group test switchport interface ethernet 1/1;1/10 #将端口加入隔离组
针对集团核心交换机SW-3人力业务配置相关特性,每个端口只允许的最大安全MAC 地址 数为1,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录
解:
1 Switch(config)#interface E1/0/11‐12
2 Switch(config‐if‐ethernet1/1)#switchport port‐security #启用端口安全功能
3 Switch(config‐if‐ ethernet1/1)#switchport port‐security maximum 1 #设置学 习mac数量为1
4 switchport port‐security violation restrict #违背,发送trap,保存日志
,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保 留;
1 switchport port‐security aging type inactivity #保留流量
配置相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截,开启日志记录功 能,采样周期10s一次,恢复周期为1分钟,从而保障CPU稳定运行。
1 cpu‐protect recovery‐time 60 #恢复周期时间
2 cpu‐protect interval 10 #采样率
(六) SW-1、SW-3既作为集团核心交换机,同时又使用相关技术将SW-1、SW-3模拟 为Internet交换机,实现与集团其它业务网段路由表隔离,Internet路由表位于VPN实例名 称Internet内。
1 VRF隔离
2 ip vrf internet
3 int vlan
4 ip vrf for internet
(七) 配置相关功能,使集团核心交换机(SW-1、SW-2、SW-3)设备能够在网络中 相互发现并交互各自的系统及配置信息,以供管理员查询两端接口对应关系及判断链路的通 信状况;配置所有使能此功能的端口发送更新报文的时间间隔为一分钟、更新报文所携带的 老化时间为五分钟,配置租用运营商三条裸光缆通道相关端口使能Trap,Trap报文发送间 隔为1分钟。
1 lldp enable #启用LLDP
2 lldp tx‐interval 60 #设置更新间隔
3 lldp msgTxHold 5 #设置更新老化间隔
4 lldp trap enable #启用lldp trap
5 lldp notification interval 60 #发送trap间隔为1分钟
二、 路由配置与调试(160分)
(一) 规划集团内部、集团与广东办事处之间使用OSPF协议,集团内使用进程号为1, 集团与广东办事处间使用进程号为2,具体要求如下: 1. 集团核心交换机SW-1与集团防火墙之间、集团路由器与集团防火墙之间、集团路由器与 集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-2之间、集团核 心交换机SW-1与集团核心交换机SW-3、集团核心交换机SW-2与集团核心交换机SW-3均 属于骨干区域; 集团路由器与广东办事处防火墙之间属于普通区域,区域号为20; 防火墙起OSPF:
1 interface loopback1 ;
2 zone "untrust" ;配置为不可信任安全域
3 ip address 10.50.254.7 255.255.255.252 ;
4 ip vrouter "trust‐vr" ;进入虚拟路由器,自带Trust‐VR路由器
5 router ospf
6 router‐id 10.50.254.7 ;设置RouterID,否则宣告不了网段
7 network 10.50.254.26/32 area 20 ;宣告网段区域3
防火墙放行,trust,到trust转发
2. 调整接口的网络类型加快邻居关系收敛,--OSPF ptp BMA BMA选举DR--选举DR需要时间, 配置发送Hello包的时间间隔为5秒,如果接口在3倍时间内都没有收到对方的Hello报文, 则认为对端邻居失效;
1 ip ospf netwrok ptop
2 ip ospf hello 5
3 ip ospf dead 15
3. 集团路由器、集团核心交换机(SW-1、SW-2、SW-3)、集团防火墙分别发布自己的环 回地址路由;集团核心交换机SW-1、SW-2、SW-3只允许发布营销网段业务路由;
1 router ospf 1
2 network 10.50.10.254 0.0.0.0 area 0
3 network 10.50.254.2 0.0.0.0 area 0
4 network 10.50.254.14 0.0.0.0 area 0
5 network 10.50.254.21 0.0.0.0 area 0
6 network 10.50.255.1 0.0.0.0 area 0
4. 集团核心交换机(SW-1、SW-2、SW-3)OSPF进程1的路由表中只允许学习到业务网 段路由为集团防火墙通告的TYPE1类型的缺省路由、分公司无线业务网段路由、广东办事处 防火墙环回地址与营销业务网段路由,/与SW1,2,3,RT1,FW1环回口路由;
路由过滤 FW1:
1 default‐information origioate type1 #下发type1的默认路由
SW1/2/3:
1 access‐list 100 permit ip host‐source 0.0.0.0 any‐destination #匹配默认路 由
2 access‐list 100 permit ip 10.50.10.0 0.0.0.255 any‐destination #SW1营销
3 access‐list 100 permit ip 10.50.12.0 0.0.0.255 any‐destination #SW3营销
4 access‐list 100 permit ip 10.50.11.0 0.0.0.255 any‐destination #SW2营销
5 access‐list 100 permit ip host‐source 10.50.255.10 any‐destination #允许FW 2防火墙环回口
6 access‐list 100 permit ip host‐source 10.50.255.1 any‐destination #SW1的环 回口
7 access‐list 100 permit ip host‐source 10.50.255.2 any‐destination #SW2的环 回口
8 access‐list 100 permit ip host‐source 10.50.255.3 any‐destination #SW3的环 回口
9 access‐list 100 permit ip host‐source 10.50.255.7 any‐destination #FW1的环 回口
10 access‐list 100 permit ip host‐source 10.50.255.9 any‐destination #RT1的 环回口
11 12 router ospf 1
13 filter‐policy 100 #过滤列表‐‐100对应ACL编号,ACL中允许那个路由,那么我路由表 中就出现那些路由
由于广东办事处防火墙路由条目支持数量有限,禁止学习到集团、分公司的所有互联地址与 业务路由。
1 access‐list route "acl" deny 10.50.254.0/30 #拒绝一些互联地址路由
2 access‐list route "acl" deny 10.50.254.4/30
3 access‐list route "acl" deny 10.50.254.8/30
4 access‐list route "acl" deny 10.50.254.20/30
5 access‐list route "acl" deny 10.50.254.16/30
6 access‐list route "acl" deny 10.50.254.12/30
7 access‐list route "acl" permit any #允许所有其他的
8 ip vrouter "trust‐vr"
9 router ospf 2
10 distribute‐list acl in #分发列表,拒绝路由
(二) 规划集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1 与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3、集团核心交 换机SW-2与集团路由器之间使用OSPFv3协议,发布相应环回地址,禁止发布业务路由; 集团核心交换机SW-1与集团核心交换机SW-2之间通过两端三层IP业务承载的裸光缆通道 进行互联互通。
SW:
1 router ipv6 ospf
2 router‐id 10.50.255.4
3 interface Loopback2
4 ipv6 address 2001:10:50:255::4/128
5 ipv6 router ospf area 0
6 ip address 10.50.255.4 255.255.255.255
RT:
1 router ospfv3 1
2 router‐id 10.50.255.8
3 ipv6 ospf 1 area 0
三) 为了方便业务灵活调度,同时还规划集团北京两个DC与集团灾备DC之间、集团与 分公司之间使用BGP协议,集团北京两个DC使用的AS号为62021、集团灾备DC使用的AS 号为62022、分公司使用的AS号为62023,具体要求如下:
1. 集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团路由器 之间、集团核心交换机SW-2与集团路由器之间通过环回地址建立IBGP邻居, 集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换 机SW-3之间、集团路由器与分公司路由器之间通过互联地址建立EBGP邻居;
2. 使用BGP协议实现集团DC之间IPV6业务、集团与分公司之间IPV6业务、北京DC之间财 务业务互联互通,满足集团DC之间、集团与分公司之间IPV6及北京DC之间财务业务发展的需要; 其中要求集团核心交换机SW-1、SW-2、SW-3之间实现DC间IPV6业务互联互通需使用环 回地址建立BGP邻居; 集团与分公司之间IPV6业务互联互通要求集团核心交换机SW-1、SW-2与集团路由器使用 环回地址建立BGP邻居、集团路由器与分公司路由器采用互联地址建立BGP邻居;
3. 要求集团北京两个DC与集团灾备DC、分公司路由器禁止发布除产品、法务、财务、人 力、无线业务网段外的其它路由; 集团核心交换机(SW-1、SW-2、SW-3)BGP路由表中只允许学习到集团DC间产品&法 务&人力业务网段、 广东办事处产品业务网段路由、 分公司无线业务业务网段路 由;
4. 利用BGP相关功能特性,减少网络不稳定带来的过多的路由更新,抑制这些不稳定的路 由信息,不允许这类路由参与路由选择。
一条命令(BGP dampening)
(四) 为了合理分配集团内业务流向,保证来回路径一致,业务选路具体要求如下: 1. 集团内部实现核心交换机SW-1与分公司路由器、广东办事处互访流量优先通过SW1_SW-2_RT-1之间链路转发,SW-1_FW-1_RT-1之间链路作为备用链路;. 集团内部实现核心交换机SW-2与分公司路由器、广东办事处互访流量优先通过SW-2 _RT1之间链路转发,SW-2_SW-1_FW-1_RT-1之间链路作为备用链路; (白给)
2. 集团内部实现核心交换机SW-1与Internet互访流量优先通过SW-1 _FW-1之间链路转 发,SW-1_SW-2 _RT-1_FW1之间链路作为备用链路;(白给)
集团内部实现核心交换机SW-2与Internet互访流量优先通过SW-2_SW-1_FW-1之间链路 转发, SW-2_RT-1_FW-1之间链路作为备用链路;
3. 集团内部实现核心交换机SW-3与SW-1、SW-2营销业务互访流量优先通过SW-3_SW-2 之间链路转发,SW-3_SW-1之间链路作为备用链路;
集团内部实现核心交换机SW-3与SW-1、SW-2 DC间IPV6业务互访流量优先通过SW3_SW-1之间链路转发,SW-3_SW-2之间链路作为备用链路。
三、 无线配置(40分) (一) 分公司无线控制器AC与分公司路由器互连,无线业务网关位于分公司路由器上, 配置VLAN100为AP管理VLAN,VLAN101为业务VLAN;AC提供无线管理与业务的DHCP 服务,动态分配IP地址和网关;使用第一个可用地址作为AC管理地址,AP二层自动注册, 启用密码认证,验证密钥为:Dcn_2021。
(二) 配置一个SSID DCNXX:DCNXX中的XX为赛位号,访问Internet业务,采用 WPA-PSK认证方式,加密方式为WPA个人版,配置密钥为Dcn20212021。
AC;
wireless Enable ;开启无线功能
no auto-ip-assign ;关闭自动选举管理地址
static-ip 10.30.254.14 ;手工配置管理地址
network 1 security mode wpa-personal ;设置加密模式为wpa个人版
ssid DCN2019 ;设置ssid也就是wifi的名字
vlan 110 ;设置vlan 220为业务vlan
wpa key DCN20212021 ;设置wifi密码
ap database 00-03-0f-8b-8d-d0 ;把ap的mac地址加入数据库 在sw2的dhcp分配表项里面可以看到
ap profile 1 ;进入profie1也就是配置模板1
hwtype 59 ;ap的硬件类型为59,不同型号的ap可能不一样
radio 1 ;进入radio1 2.4 g
radio 2 #进入5.8g
vap 0 #进入VAP0
enable #启用VAP
(三) 配置所有无线接入用户相互隔离,
1 wireless
2 AC(config‐wireless)#l2tunnel station‐isolation allowed vlan 100 #隔离用户
Network模式下限制SSID DCNXX每天早上0点到4点禁止终端接入,
1 AC #config
2 AC (config)# wireless
3 AC (config‐wireless)# network 2
4 AC (config‐network)# time‐limit from 0:0 to 4:0 weekday all
开启SSID DCNXX ARP抑制功能;
1 AC(config)# wireless
2 AC(config‐wireless)#network 1
3 AC(config‐network)# arp‐suppression
配置当无线终端支持5GHz网络时,优先引导接入5GHz网络,从而获得更大的吞吐 量,提高无线体验。
1 AC (config‐wireless)#ap profile 1 //进入ap profile配置模式
2 AC (config‐ap‐profile)#band‐select enable //开启5G优先
3 AC (config‐ap‐profile)#band‐select download //下发5G配置
四、 安全策略配置(50分)
(一) 根据题目要求配置集团防火墙、广东办事处防火墙相应的业务安全域、业务接 口; 2021年护网行动开展在即,调整全网防火墙安全策略缺省规则为拒绝;限制集团防火墙只允许集团营销业务、分公司无线业务、广东办事处营销业务访问 Internet业务;在广东办事处防火墙上限制广东办事处产品业务网段只可以访问集团产品网 段https、mysql数据库类型业务,集团产品网段可以访问广东办事处产品业务网段任何端口。
(二) 为了避免集团内部业务直接映射至Internet成为攻击“靶心”,不断提升集团网络 安全体系建设, 在集团防火墙配置L2TP VPN,满足远程办公用户通过拨号登陆访问集团营销业务, LNS 地址池为10.50.253.1/24-10.10.253.100/24,网关为最大可用地址,认证账号 dcn2021001,密码dcn2021。
(三) 在集团防火墙配置网络地址转换,公网NAT地址池为:202.50.21.0/28;保证每 一个源IP产生的所有会话将被映射到同一个固定的IP地址,
当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.50.10.120的 UDP 2000端口;
开启相关特性,实现扩展NAT转换后的网络地址端口资源;
(四) 在广东办事处防火墙开启安全网关的TCP SYN包检查功能,只有检查收到的包为 TCP SYN包后,才建立连接;如果第一个数据包为TCP RST包,则防火墙将不创建会话; 配置所有的TCP数据包每次能够传输的最大数据分段为1460、尽力减少网络分片; 配置对TCP三次握手建立的时间进行检查,如果在1分钟内未完成三次握手,则断掉该 连接。
3. 集团内部实现核心交换机SW-3与SW-1、SW-2营销业务互访流量优先通过SW-3_SW-2 之间链路转发,SW-3_SW-1之间链路作为备用链路;
集团内部实现核心交换机SW-3与SW-1、SW-2 DC间IPV6业务互访流量优先通过SW3_SW-1之间链路转发,SW-3_SW-2之间链路作为备用链路。
五、 业务选路与组播配置 (59分) (一) 考虑到从集团北京两个DC与集团灾备DC之间共有两条链路,
集团灾备DC产品业务网段与集团北京两个DC产品业务网段IPV4协议栈互访优先在SW3与SW-1之间链路转发;
集团灾备DC法务&人力网段与集团北京两个DC法务&人力网段IPV4协议栈互访优先在 SW-3与SW-2之间链路转发,主备链路相互备份。根据以上需求,在交换机上进行合理的 业务选路配置。具体要求如下: 1. 使用IP前缀列表匹配上述业务数据流; 2. 使用BGP自治系统路径属性进行业务选路,只允许使用route-map来改变路径属性、路 由控制。
解法: 抓路由修改下一跳 (1)抓取路由 (2)针对邻居调用
(二) 前年集团内部完成视频会议系统组播功能的测试与上线,获得了良好演示效果与 集团高层领导高度认可。 为了更加方便集团与分公司多业务部门横向沟通、交流,提升工作效率, 计划在集团营销与分公司无线业务部门间启用组播协议进行测试,具体要求如下:
1. 在集团核心交换机SW-1与集团核心交换机SW-2之间、集团路由器与集团核心交换机 SW-2之间、集团路由器与分公司路由器之间运行协议独立组播-密集模式协议、IGMPV2 因特网组管理协议第二版本;
SW1:
1 ip pim multicats‐routing
2 int vlan 1000
3 ip pim dense‐mode
RT:
1 ip multicast‐routing
2 int g0/1
3 ip pim‐dm
1 IGMP配置
2 int g0/0.101
3 ip igmp version 2
4 ip igmp enable
2. 集团核心交换机SW-1营销业务部门内部终端启用组播,使用VLC工具串流播放视频文件 1.mpg,组地址228.50.50.50,端口:2021,实现分公司无线业务部门内部终端可以通过 组播查看视频播放。
IGMP
