第46届世界技能大赛网络系统管理项目江苏省选拔赛赛题-模块C样题v1.4——Cisco功能模块配置_江苏省职业院校技能大赛高职组-网络系统管理-样题

模块C、Cisco功能模块配置（满分100分）

1、Cisco功能模块环境说明

内容

ModelC：Cisco网络环境配置

简介

模块C Cisco功能模块配置部分，比赛时间总长为3小时，你作为一个小型互联网企业的网络管理员，在这个模块中，你需要按照要求在企业的网络架构中配置Cisco功能模块。实现企业基础应用的信息系统构建； 

通过配置好的所有的服务器，通过模块C：Cisco 功能模块发布到公网和内部网络环境；配置的服务的时候，你需要考虑企业真实场景的服务器配置和管理方式。

项目和任务描述

此测试项目使用各种网络技术进行设计，这些技术是思科认证当中相当熟悉的。任务分为以下配置：

1. 基础配置
2. 各个模块配置

选手须知

首先阅读整个测试项目非常重要。 您有责任有效地管理您的时间和决定完成任务的顺序。如上所述，如果您遇到一些较难的任务，请不要浪费太多的时间。 您可以使用临时解决方案并继续处理其他任务，如果还 有时间的话，您可以事后返回并修复那些无法正常运行的问题。 另外，我们建议您在完成以下模块时检查您之前的所有工作。

提供参考的架构图是虚拟一个小型的互联网公司的网络架构，公司规模属于中小型网络架构，包含基础网络设施及基础安全配置；由HQ1-OFFICE，HQ2-IDC两个部分；办公网络和IDC生产网络完全分离；通过IPsec VPN进行连通管理；HQ1-OFFICE 内网采用DHCP分配IP地址；服务器和终端的网关均由本地三层交换机VLAN控制转发及网关；Cisco功能模块部分没有任何需要安装的软件；

所需设备、机器、装置和材料

预计所有测试项目都可以由参赛选手利用基础设施列表中指定的设备和材料完成。 注意：请参考最后一页的图表，以便快速获得规格的参考。

如果题目没有提供详细信息，请使用默认配置。

除非另有说明，否则所有机器上的所有用户账户的密码应为Skills46。预先提供给选手登录的虚拟 机也将预先设置该密码。

使用 Cisco VIRL 1.3 的默认账户和密码;在打开虚拟机的时候，你可以看到VIRL系统的访问地址以及系统配置用户名密码；注意，请您在离开比赛现场之前提取 VM Maestro 中的配置；VM Maestro 默认用户名密码：guest/guest；

禁止对VIRL虚拟机底层操作系统的配置信息进行修改；禁止重启VIRL系统，禁止对VIRL平台参数做修改；VM Maestro在操作主机上进行操作；

现场操作主机信息：

2、Cisco功能模块配置说明

2.1、基础网络配置任务：

2.1.1、基础配置信息要求

1. 整个网络架构是模拟一个小型互联网企业的网络架构；整体架构模拟了一个企业应用的场景；办公室和IDC分离，通过VPN进行连接管理；所有的对外服务链路都采用双路备份聚合，确保业务系统的稳定运行；

1. 根据拓扑所示在所有设备上配置主机名；
2. 为拓扑上的所有设备配置域名为 2020.skills 46.com；
3. 在所有设备上设置现在时区为(CST/GMT +8)；
4. SW1，SW2，SW3配置VTP协议，使用“cisco”wei VTP域名，拓扑图中的三台三层交换机的VLAN数据库必须包含一下VLANs:
   1. VLAN 10 名字为“client”
   2. VLAN 20 名字为“DMZ”
   3. VLAN 30 名字为“office”

2.2、ISP部分-R1路由器-外网接入部分

1. 按照拓扑图要求在R1路由器接口上配置IP地址；
2. ISP路由器与HQ1-OFFIC R3和HQ2-IDC R2路由器间配置OSFP路由协议。三台路由器均在Area 0, HQ1和HQ2内网网段不许发布至公网；
3. Remote PC不允许访问到办公室HQ1；HQ1用户需要访问服务器进行管理的，也必须通过堡垒机操作；禁止直接访问服务器群；
4. 配置动态路由RIP V2协议，确保与R2、R3互通。
   1. 申明路由器所在网段，路由器自动学习；
5. 路由器上需要配置loopback接口；
   1. 接口：Lookback 0 ；地址： 192.168.1.0/24

2.3、HQ1-Office网络配置要求

2.3.1、R3路由器

1. 按照拓扑图要求在R3路由器接口上配置IP地址；
2. HQ1访问IDC区域设备和主机需要配置IPSec VPN site-to-site ；访问具体应用走外网流量；内网办公区域主机可以访问HQ2-IDC 服务器上服务；
   1. 在OutSide 端口上配置VPN；
   2. 端口启用：crypto map；

第一阶段：安全参数

1. 1. 认证模式：主模式；
   2. 加密算法 Encryption：128位AES；
   3. 散列算法Hash：SHA-512；
   4. 预存密钥Authentication pre-share key：“Skills46”；
   5. DH组Group： 2；
   6. DPD：不使用；

第二阶段：安全参数

1. 1. 工作模式mode：tunnel；
   2. 封装模式Protocal：ESP；
   3. 机密算法Encryption ：128位AES；
   4. 散列算法Hash：SHA-512
   5. PFS:不使用；

R3# show crypto session    //查看IPSec会话信息；

1. OFFICE 内网可以访问公网，配置静态NAT；定义OutSide和Inside;
2. 配置SNMP V2，只读社团字符串为‘cisco’,主机为Zabbix
3. 配置动态路由RIP V2协议，确保与HQ2互通。
   1. 申明路由器所在网段，路由器自动学习；
4. 需要配置QOS，通过class-map对内网每台主机出公网限速到500Kbps。
5. 设备开启SSH，堡垒机直接纳管。
6. 路由器上需要配置loopback接口； 
   1. 接口：Lookback 0 ；地址： 192.168.3.0/24

2.3.2、SW3交换机

1. 按照拓扑图要求在接口上配置IP地址；允许所有VLAN通过
2. 交换机上适当配置 IEEE 802.1q trunking. vlan allow trunk all
3. SW3，是一台三层交换机，下级联多台二层接入交换机；二层交换机端口不做任何配置；
4. 交换机上适当配置 IEEE 802.1q trunking. vlan allow trunk all；
5. VLAN30为办公区域VLAN，名称office 172.0.30.0/24
   1. VLAN的管理地址：172.0.30.254
6. 交换机配置DHCP，地址池范围：172.0.30.11-254/24，租期24小时。
   1. 排除地址范围172.0.30.1-10；
7. DHCP服务器绑定已经注册的主机地址；
8. 配置SNMP V2，只读社团字符串为‘cisco’,主机为Zabbix
9. 配置动态路由RIP V2协议，通过show ip route 可以看到学习到的路由表； 
   1. 申明路由器所在网段，路由器自动学习；
10. 开启交换机VTP模式，SW3为client模式,。需要有VLAN10,VLAN20的VLANS；
11. 交换机使用ACL策略禁止VLAN 30内主机之间的 139和445端口访问

2.4、HQ2-IDC 网络配置部分

2.4.1、R2出口路由器

1. 按照拓扑图要求在R2路由器接口上配置IP地址；
2. 访问HQ1需要配置IPSec VPN site-to-site ；
   1. 在OutSide 端口上配置VPN；
   2. 端口启用：crypto map

第一阶段：安全参数

1. 1. 认证模式：主模式；
   2. 加密算法 Encryption：128位AES；
   3. 散列算法Hash：SHA-512；
   4. 预存密钥Authentication pre-share key：“Skills46”；
   5. DH组Group： 2；
   6. DPD：不使用；          

第二阶段：安全参数

1. 1. 工作模式mode：tunnel；
   2. 封装模式Protocal：ESP；
   3. 机密算法Encryption ：128位AES；
   4. 散列算法Hash：SHA-512
   5. PFS:不使用；

R2# show crypto session    //查看IPSec会话信息；

1. 配置SNMP V2，只读社团字符串为‘cisco’,主机为Zabbix
2. 配置动态路由RIP V2协议，确保与R1、R3互通。
   1. 申明路由器所在网段，路由器自动学习；
3. 设备开启SSH，堡垒机直接纳管。
4. 路由器直接配置端口映射：开启到测试服务器地址的80、445、25、110、21服务；
   1. S0端口为Outside
   2. G0/0端口定义为Inside;
   3. 堡垒机直接采用静态映射到公网；
5. 路由器上需要配置loopback接口； 
   1. 接口：Lookback 0 ；地址： 192.168.2.0/24

2.4.2、HQ2内网防火墙部分FW1/FW2

1. 按照拓扑图要求在接口上配置IP地址；
2. HQ2-IDC 内网包含防火墙，三层交换机，服务器组成
3. 防火墙HA模式部署，采用透明模式部署；实现双机主备实例。主防火墙失效时，自动failover切换至备防火墙。
   1. FW1为Active；FW2为：Standby；
   2. FW1 G0/0端口定义为Outside;G0/3定义为Inside ；VLAN20 定义为DMZ区域；
   3. 两台防火墙  G0/1 端口为Line Based- Failover
   4. 两台防火墙  G0/2 端口为Stateful-failover
   5. FW1 防火墙与SW1,SW2采用EtherChannel LACP的链路聚合模式；Port-channel 号码为1；
   6. FW2 防火墙与SW1,SW2采用EtherChannel LACP的链路聚合模式；Port-channel 号码为1；
4. 防火墙FW-01\FW-02配置RIPv2，学习HQ2内网网段；
5. 防火墙仅允许开启许可端口：HTTP，HTTPS, SNMP，MAIL , SMTP, POP, FTP， MYSQL，MSSQL；
6. 配置动态路由RIP V2协议，通过show ip route 可以看到学习到的路由表；
   1. 申明路由器所在网段，路由器自动学习；
7. 防火墙默认开启SSH协议，用户名cisco ,密码Skills46 ; 堡垒机直接纳管；

2.4.3、HQ2内网交换机部分,SW1/SW2;

1. 按照拓扑图要求SW1、SW2在接口上配置IP地址；
2. 交换机上适当配置 IEEE 802.1q trunking. vlan allow trunk all
3. SW1\SW2   配置VTP协议，使用 “cisco”为VTP域名。SW1位Server模式，其余为Client模式。所有交换机的数据库上必须包含如下VLANS：
   1. VLAN 20   DMZ区域  172.0.20.0/24    名称：DMZ，    ZABBIX/堡垒机，对外发布服务器使用；
   2. VLAN 20 管理地址：172.0.20.254
   3. VLAN 10   APP Server 172.0.10.0/24    名称：Server      WINDWOS /LINUX SERVER 使用；
   4. VLAN 10 管理地址：172.0.10.254
4. SW1\SW2开启三层路由，配置HSRP。并配置动态路由协议RIPv2,学习HQ2内网网段
5. SW1\SW2之间连接采用EtherChannel LACP的链路聚合，配置接口绑定技术；
   1. Port-channel 号码为1；
   2. 端口状态为active 模式。当SW1离线后，SW2自动上线接管SW1原有功能；
6. SW1、SW2 上对下联服务器采用MAC地址绑定，交换机端口直接接入服务器，服务器IP对地址对应端口绑定。不开启DHCP，每台服务器两个接口做bonding0,分别连接到SW1和SW2；

2.5、DMZ区域

1. DMZ区域用于发布和管理对外直接使用并可以和内网资产进行关联的设备；
2. 堡垒机不用配置，所有配置信息已经配置完毕；
3. ZABBIX 无需配置。开启了SNMP自动添加；交换机、路由器、防火墙开启了SNMP后会自动添加到ZABBIX；用于设备状态监测。

附录：拓扑设备端口及IP地址信息表