2013年全国职业院校技能大赛高职组计算机网络应用竞赛赛题

“2013年全国职业院校技能大赛”高职组“H3C•企想杯”计算机网络应用竞赛赛题A卷第88页共88页“2013年全国职业院校技能大赛”高职组“H3C·企想杯”计算机网络应用竞赛竞赛赛题A卷2013年全国职业院校技能大赛组委会中国·天津2013年6月

赛题说明一、竞赛内容分布“计算机网络应用”竞赛共分为四个部分（每部分均采用百分制）,其中：第一部分：数据中心网络真实网络设备搭建和调试的正确性、规范性和合理性（占60%）；第二部分：数据中心服务器配置及应用项目（占10%）；第三部分：综合布线与传感网（占25%）；第四部分：职业规范、工程文档、团队风貌、分工与协作、着装与环境等（占5%）。二、竞赛时间比赛时间：2013年6月26日8:30-16:30（竞赛时间为8小时）8:20-8:30选手进场，检查设备清单并签字；12:00-12:30在工位用餐；12:30-13:10指导教师进场指导；16:20-16:30提交比赛结果并签字确认；16:30选手离场。三、竞赛注意事项（1）禁止携带和使用移动存储设备、计算器、通信工具及参考资料。（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。（3）本试卷共有四个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。（4）操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，不要拆、动硬件连接。（5）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。（6）所有需要提交的文档均要求按照模板制作，且每份word文档必须相应附带一份pdf文档，文档模板请参考“d:\国赛软件资料\”目录中相关模板文档；禁止在竞赛结果文档有任何与竞赛无关的标记。（7）竞赛结果文件电子版需要按照监考老师的要求，在竞赛结束前复制到监考老师提供的U盘进行保存，并填写提交文件清单（包含文件名和文件大小），参赛选手签字确认。

第一部分网络数据中心的网络设备搭建与管理(600分)一、注意事项1.检查硬件设备、网线头和Console线等的数量是否齐全，电脑设备是否正常。2.操作完成后，需要保存设备配置，不要关闭任何设备，不要拆动硬件的连接，不要对设备随意加密码，试卷留在考场。3.检查竞赛所需的各项设备、软件和竞赛材料等。二、竞赛环境硬件设备清单序号类别设备厂商型号数量1硬件路由器H3CRT-MSR2630-AC32硬件1端口增强型同/异步串口接口模块H3CRT-SIC-1SAE-H363硬件同异步串口(SA)V.35DCE电缆(DB28)H3CCAB-V35DCE(DB28)33硬件同异步串口(SA)V.35DTE电缆(DB28)H3CCAB-V35DTE(DB28)34硬件数据中心交换机H3CLS-5800-32C-H325硬件SFP+电缆0.65mH3CLSWM1STK26硬件三层交换机H3CLS-3600V2-28TP-EI37硬件三、项目描述威高集团是一家从事高科技产品研发、生产和销售的大型企业，总公司和分公司通过网络互连，随着业务的发展，公司原有网络已经不能满足高效企业管理的需要，公司经常遭到来自互联网络的攻击或入侵，网络安全对生产和经营的影响也越来越明显。为了满足业务的需要，公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。四、网络拓扑规划网络拓扑结构规划如图1所示。本次公司的网络构建包括总公司、分公司一和分公司二的三个部分。总公司局域网核心采用双交换机的架构，通过VRRP结合MSTP技术实现负载均衡和链路备份。两台核心交换机分别连接到核心路由器，通过核心路由器连接访问互联网，同时核心路由器通过专线连接到分公司的出口路由器。总公司和分公司之间的办公用户通过VPN建立的隧道互相通信，有效的保证了数据传输的安全性。总公司服务器集中放置在网络数据中心机房，通过数据中心交换机连接到核心交换机，通过IRF虚拟化交换技术增加网络数据中心机房交换网络的可靠性及管理便捷性。五、网络物理拓扑连接1.制作双绞线：按568B的标准，制作适当长度的14根网线，并验证无误。2.物理拓扑链接：根据下表和网络拓扑图，将所有网络设备与主机连接起来。源设备名称设备接口目标设备名称设备接口Core1E1/0/11Core2E1/0/11Core1E1/0/12Core2E1/0/12Core1E1/0/13Core3E1/0/13Core1E1/0/14Core3E1/0/14Core2E1/0/20PC1Core2G1/0/25HQ-adminG0/0Core2E1/0/23Core3E1/0/23Core2E1/0/24Core3E1/0/24Core3G1/0/25HQ-adminG0/1Core3E1/0/1DC-SW1G1/0/1Core3E1/0/2DC-SW2G1/0/1DC-SW1Ten-G1/0/25DC-SW2Ten-G1/0/26DC-SW1Ten-G1/0/26DC-SW2Ten-G1/0/25DC-SW1G1/0/24DC-SW2G1/0/24DC-SW2G1/0/20Server1HQ-adminS2/0Branch1S2/0HQ-adminS3/0Branch2S2/0Branch1S3/0Branch2S3/0Branch1G0/0PC2Branch2G0/0Server2六、网络设备配置1、网络设备基本配置根据下表为网络设备配置主机名：设备名称配置主机名（Sysname名）说明HQ-adminHQ-admin总公司路由器Branch1Branch1分公司一路由器Branch2Branch2分公司二路由器Core1Core1总公司园区网三层交换机Core2Core2总公司园区网三层交换机Core3Core3总公司园区网三层交换机DC-SW1DC-SW2IRF-SW数据中心级交换机2、数据中心虚拟化配置数据中心交换机需要实现虚拟化。交换机是H3C的5800系列交换机，所支持的虚拟化技术为IRF。具体需求如下：（1）在2台数据中心级交换机上启用IRF，要求IRFDomain值为10，并通过将DC-SW1优先级调整为5使DC-SW1成为Master设备。（2）为了防止IRF链路突发故障导致IRF分裂，要求启用MAD检测功能。为了能再最快单位时间内检测出IRF分裂，要求在IRF间采用BFDMAD检测技术。所使用的端口为G1/0/24，检测IP和VLAN可自己规划，不与业务IP和VLAN冲突即可。（3）并且为了增加IRF的可靠性，要求同时在IRF间启用用LACPMAD检测技术（4）在IRF成员设备间转发数据时，要求聚合IRF端口能够实现基于数据源目MAC地址的负载分担功能。（5）要求当Master设备离开IRF时，系统立即会使用新选举的Master设备的桥MAC做IRF桥MAC。（6）由于因为BFDMAD和生成树功能互斥，所以在GigabitEthernet1/0/24和GigabitEthernet2/0/24接口上关闭生成树协议。（7）为了防止IRF系统分裂后IRF设备DC-SW2变为Recovery状态导致其G1/0/20接口下接入的服务器无法访问网络，要求将DC-SW2的G1/0/20接口配置为IRF保留接口，使该接口其当DC-SW2变为的Recovery状态后依然能够保证正常转发数据包，以保证服务器网络的稳定性。3、广域网链路配置路由器间使用广域网串口线连接，使用PPP协议。为了安全起见，需将HQ-admin、Branch1、Branch2之间的链路启用相关安全认证机制，具体需求如下：（1）在HQ-admin与Branch1相连的串口链路上，要求HQ-admin对Branch1使用单向CHAP验证，认证用户名为chapuser1，密码为aabbcc，要求HQ-admin使用chapuser2为用户名向Branch1发起chap单向chap认证挑战报文。（2）在HQ-admin与Branch2相连的串口链路上，要求HQ-admin与Branch2之间使用单向PAP验证(用户名+密码的方式)，用户名为papuser，密码为aabbcc。（3）在Branch1与Branch2相连的串口链路上，要求Branch1对Branch2采用单向pap验证，用户名为papuser2，密码为aabbcc；并要求Branch2同时对Branch1采用单向chap验证，用户名为chapuser3，密码为aabbcc。（4）要求Branch1与Branch2相连的串口IP地址通过ppp协议从Branch2的串口协商获取。（5）要求Branch1与Branch2相连的串口通过ppp协议从Branch2的串口协商获取DNS服务器地址为5。(1).chap单向验证HQ-admin：local-userchapuser1passwordcipheraabbccservice-typepppinterfaceSerial2/0link-protocolppppppauthentication-modechappppchapuserchapuser2ipaddress252Branch1:interfaceSerial2/0link-protocolppppppchapuserchapuser1pppchappasswordcipheraabbccipaddress152(2).pap单向验证HQ-admin：local-userpapuserpasswordcipheraabbccservice-typepppinterfaceSerial1/0link-protocolppppppauthentication-modepapipaddress852Branch2:interfaceSerial2/0link-protocolpppppppaplocal-userpapuserpasswordcipheraabbccipaddress752.pap与chap的单向验证Branch1:local-userchapuser3passwordcipheraabbccservice-typepppinterfaceSerial1/0link-protocolppppppauthentication-modepappppchapuserchapuser3pppchappasswordcipheraabbccBranch2:local-userchapuser3passwordcipheraabbccservice-typepppinterfaceSerial1/0link-protocolppppppauthentication-modechapppppaplocal-userpapuser2passwordcipheraabbcc.串口ppp协商获取ip地址Branch1:interfaceSerial1/0ipaddressppp-negotiateBranch2:interfaceSerial1/0pppipcpdns5remoteaddress6(5).串口ppp协商获取dns地址Branch1:interfaceSerial1/0pppipcpdnsrequestBranch2:interfaceSerial1/0pppipcpdns54、园区交换网链路可靠性配置（1）为了增加园区网核心交换网络的数据转发能力，要求实施相关链路汇聚方案，具体需求如下：eq\o\ac(○,1)CORE1与CORE2之间以及CORE1与CORE3之间要求采用二层链路汇聚，使用静态LACP方式。并且要求按照报文的源MAC地址和目的MAC地址进行汇聚负载分担的方式，来实现数据流量在各成员端口间的负载分担。eq\o\ac(○,2)Core2与Core3之间要求采用三层链路汇聚，使用动态方式。并且要求按照报文的源IP地址和目的IP地址进行汇聚负载分担的方式，来实现数据流量在各成员端口间的分担。eq\o\ac(○,3)为了网络管理员可以及时获悉园区交换网络设备端口变化状态，要求开启CORE2、CORE3之间汇聚接口链路状态变化Trap功能，使汇聚接口在链路状态发生改变时可生成端口Linkup和Linkdown的Trap报文。具体命令（1）eq\o\ac(○,1)CORE1：interfaceBridge-Aggregation1InterfaceE1/0/11portlink-aggregationgroup1InterfaceE1/0/12portlink-aggregationgroup1interfaceBridge-Aggregation1Portlink-typetrunkPorttrunkpermitvlan10110120interfaceBridge-Aggregation2InterfaceE1/0/13portlink-aggregationgroup2InterfaceE1/0/14portlink-aggregationgroup2interfaceBridge-Aggregation2Portlink-typetrunkPorttrunkpermitvlan10110120CORE2：interfaceBridge-Aggregation1InterfaceE1/0/11portlink-aggregationgroup1InterfaceE1/0/12portlink-aggregationgroup1interfaceBridge-Aggregation1Portlink-typetrunkPorttrunkpermitvlan10110120CORE3：interfaceBridge-Aggregation2InterfaceE1/0/13portlink-aggregationgroup2InterfaceE1/0/14portlink-aggregationgroup2interfaceBridge-Aggregation2Portlink-typetrunkPorttrunkpermitvlan10110120eq\o\ac(○,2)[CORE1]link-aggregationload-sharingmodesource-macdestination-mac[CORE2]link-aggregationload-sharingmodesource-macdestination-mac[CORE3]link-aggregationload-sharingmodesource-macdestination-maceq\o\ac(○,1)CORE2：interfaceBridge-Aggregation3Link-aggregationmodedynamicInterfaceE1/0/23portlink-aggregationgroup3InterfaceE1/0/24portlink-aggregationgroup3interfaceBridge-Aggregation3Portlink-typetrunkCORE3：interfaceBridge-Aggregation3Link-aggregationmodedynamicInterfaceE1/0/23portlink-aggregationgroup3InterfaceE1/0/24portlink-aggregationgroup3interfaceBridge-Aggregation3Portlink-typetrunkeq\o\ac(○,2)[CORE1]link-aggregationload-sharingmodesource-ipdestination-ip[CORE2]link-aggregationload-sharingmodesource-ipdestination-ip[CORE3]link-aggregationload-sharingmodesource-ipdestination-ip(3)[CORE2]snmp-agenttrapenablestantardlinkuplinkdown[CORE3]snmp-agenttrapenablestantardlinkuplinkdown（2）为了降低单向链路故障对园区交换网络的影响，要求CORE1与CORE2、CORE3之间的链路配置开启相关DLDP单向链路检测技术。具体需求如下：eq\o\ac(○,1)要求相关网络设备DLDP邻居表项老化时能够主动探测邻居是否存在。eq\o\ac(○,2)要求使DLDP检测到单向链路故障后通知网络管理员，让网络管理员手工关闭故障端口。eq\o\ac(○,3)为防止网络攻击和恶意探测，要求启用明文DLDP报文认证，密码为aabbcc。eq\o\ac(○,4)为避免链路抖动造成DLDP邻居信息翻滚，要求将DelayDown定时器超时时间设定为3秒。具体命令[CORE1]:dldpenableInterfacee1/0/11DldpenableInterfacee1/0/12DldpenabledldpenableInterfacee1/0/13DldpenableInterfacee1/0/14DldpenableQuitDldpunidirectional-shutdownmanualDldpauthentication-modesimpleabbccDldpdelaydown-time3[CORE2]:dldpenableInterfacee1/0/11DldpenableInterfacee1/0/12DldpenableQuitDldpunidirectional-shutdownmanualDldpauthentication-modesimpleabbccDldpdelaydown-time3[CORE3]:dldpenableInterfacee1/0/13DldpenableInterfacee1/0/14DldpenableQuitDldpunidirectional-shutdownmanualDldpauthentication-modesimpleabbccDldpdelaydown-time35、vlan虚拟局域网技术配置为了减小总公司园区交换网络广播域范围以及方便网络管理员的网络管理，要求对总公司园区交换网络进行相关vlan虚拟局域网技术的规划实施工作。具体需求如下：（1）所有交换机间二层链路均采用Trunk链路互连，要求配置合理，不允许不必要的VLAN通过。（2）根据下表，在交换机上完成VLAN配置和端口分配。VLAN编号VLAN名称说明端口映射VLAN10Sale销售部Core1、DC-SW1、DC-SW2上的4~6端口VLAN11Product产品部Core1、DC-SW1、DC-SW2上的7~10端口VLAN12Ministry法务部Core2、DC-SW1、DC-SW2上的15~18端口VLAN110IT信息技术部Core2上的19~22、DC-SW1、DC-SW2上的19、21~23端口VLAN111Server服务器区DC-SW1、DC-SW2上的12~14、20端口VLAN120Manager管理VLAN注意：三层交换机与路由器间、服务器之间不建议采用VLAN-Interface接口互连，直接采用三层模式互连。（3）Core2交换机有些接口是接入总公司会议室内的，专门为公司各部门员工在会议室内开会时的笔记本提供网络接入服务，为了各部门员工的笔记本在接入Core2交换机后依然能够处于各自部门的不同vlan中，这里要求通过相关配置使Core2交换机能够根据E1/0/1~E1/0/5这些接口各自所接入客户机不同的IP网段动态的将这些接口划分到相对应的vlan内。（4）由于工作需要，该公司网络管理员会经常携带笔记本在公司不同部门内进行些日常运维工作，这里要求通过相关配置使网络管理员的笔记本无论接入那个部门的交换下，交换机都将自动根据网络管理员笔记本的MAC地址将其划入VLAN110内。网络管理员的MAC地址为：5d-6c-ce-01-01-00。（5）为了降低总公司园区交换网vlan配置的工作量，要求所有相关vlan信息均直接配置在数据中心交换机上，然后通过配置相应的GVRP及trunk技术使其他交换机可以自动学习到相应的vlan信息。具体命令[IRF-SW]vlan10Vlan11Vlan12Vlan110Vlan120management-vlan120gvrpInterfacee1/0/1Portlink-typetrunkporttrunkpermitvlan110to12110to111Gvrpgvrpregistrationnormal(缺省为normal)(Gvrptimerhold/join/leavehold定时器<=1/2join定时器<1/2leave定时器<leaveall定时器=32765毫秒)QuitMac-vlanmac-address5d6c-ce01-0100vlan110[core3]gvrp#interfaceBridge-Aggregation2portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to11110gvrp#interfaceBridge-Aggregation3portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to12110link-aggregationmodedynamicgvrp#[core1]:gvrp#interfaceBridge-Aggregation1portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to11120#interfaceBridge-Aggregation2portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan10to11110gvrp[core2]:gvrpInterfaceBridge-Aggregation1UndoporttrunkpermitvlanallPorttrunkpermitvlan1112120gvrpInterfaceBridge-Aggregation3UndoporttrunkpermitvlanallPorttrunkpermitvlan10111112120Gvrpvlan10ip-subnet-vlan0ip28#vlan11ip-subnet-vlan0ip2892#vlan12ip-subnet-vlan0ip9224#vlan110ip-subnet-vlan0ip2424#interfaceEthernet1/0/1portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/2portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/3portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/4portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan110#interfaceEthernet1/0/4portlink-modebridgeportlink-typehybridporthybridvlan10to12110taggedporthybridvlan1untaggedporthybridip-subnet-vlanvlan10porthybridip-subnet-vlanvlan11porthybridip-subnet-vlanvlan12porthybridip-subnet-vlanvlan1106、IP地址规划与配置总公司办公区各部门以及分公司信息点分布如下：部门信息点销售部113产品部52法务部21信息技术部23服务器区18分公司一27分公司二25公司网络使用/23地址段。规划的结果如下：区域IP地址段网关销售部/2526产品部28/2690法务部92/2722信息技术部24/2754服务器区/270分公司一2/272分公司二4/274管理VLAN28/2554公司放置和维护4台服务器，其中2台位于公司总部；另外2台位于分公司二。所规划的服务器IP地址如下：设备IP地址网关Server1（Windows1）8/270Server1（Linux1）9/270Server2（Windows2）5/274Server2（Linux2）6/274为了维护管理方便，计划给公司内所有网络设备配置LoopBack地址或管理地址。要求LoopBack地址使用32位掩码，管理地址在28/25内。所规划的LoopBack和管理地址如下所示：设备IP地址/掩码Core1的管理地址01/25Core2的管理地址02/25Core3的管理地址03/25IRF-SW的管理地址04/25HQ-admin的LoopBack0地址/32Branch1的LoopBack0地址/32Branch2的LoopBack0地址/32设备间互连地址使用/26地址段，30位掩码。规划如下：设备IP地址Core2－HQ-admin/30Core3－HQ-admin2/30HQ-admin－Branch6/30HQ-admin－Branch0/30Branch1－Branch4/30Core2－Core38/30为了应对IPv6升级的需要，要求给各公司及部门规划实施相应的IPv6地址网段。规划结果如下：区域IPv6网段网关销售部2011:10::/642011:10::254/64产品部2011:11::/642011:11::254/64法务部2011:12::/642011:12::254/64信息技术部2011:110::/642011:110::254/64服务器区2011:111::/642011:111::254/64分公司一2012:2012::/642012:2012::1:254/64分公司二2013:2013::/642013:2013::1:254/64管理VLAN2011:120::/642011:120::254/64设备间互连IPv6地址表设备IP地址Core2－HQ-admin2011:2011::12:2/120–2011:2011::12:1/120Core3－HQ-admin2011:2011::13:3/120–2011:2011::13:1/120HQ-admin－Branch22011:2013::13:1/126–2011:2013::13:2/126HQ-admin－Branch12011:2012::12:1/126–2011:2012::12:2/126Branch1－Branch22012:2013::23:1/126–2011:2011::23:2/126Core2－Core32011:2011::23:2/120–2011:2011::23:3/120Branch1－PC22012:2012::1:254/64–通过DHCPv6获取Branch2－Windows22013:2013::1:254/64–2013:2013::1:1/64[Core1]#interfaceVlan-interface120ipaddress0128[core2]]interfaceEthernet1/0/5portlink-moderouteipaddress052#interfaceVlan-interface120ipaddress0228[core3]#interfaceVlan-interface120ipaddress0328#interfaceEthernet1/0/5portlink-moderouteipaddress4527、STP及VRRP配置（1）MSTP配置：在交换机上配置MSTP防止二层环路，要求mstp域名统一为jsj，具体需求如下：eq\o\ac(○,1)要求Core3通过作为产品部和法务部所在VLAN的主根，Core2作为其他VLAN的主根，且互为备份。（要求不允许通过手工调整优先级实现）eq\o\ac(○,2)在数据中心交换机的所有连接终端的端口上启用边缘端口特性。[core1]:Stpenable#stpregion-configurationinstance1vlan10110instance2vlan11to12activeregion-configuration[core2]:Stpenable#stpregion-configurationinstance1vlan10110instance2vlan11to12activeregion-configuration#stpinstance1rootprimarystpinstance2rootsecondarystpenable[core3]#stpregion-configurationinstance1vlan10110instance2vlan11to12activeregion-configuration#stpinstance1rootsecondarystpinstance2rootprimarystpenable[IRF-SW]:intG1/0/20Stpedge-portenable（2）基于IPv4的VRRP配置：为了提升总公司园区交换网主机IPv4网关健壮性，在三层交换机Core2和Core3上配置基于IPv4的VRRP技术，实现主机的IPv4网关冗余，具体需求如下：eq\o\ac(○,1)要求在正常情况下，产品部和法务部所在VLAN内主机的数据流经由三层交换机Core3HQ-admin进行转发（不允许经由Core2转发）；当Core3发生故障时，主机的数据流切换到经Core2HQ-admin进行转发；故障恢复后，主机的数据流又能够切换回去。eq\o\ac(○,2)在正常情况下，其它各部门内主机的数据流经由三层交换机Core2HQ-admin转发（不允许经由Core3转发）；当Core2发生故障时，主机的数据流切换到经Core3HQ-admin转发；故障恢复后，主机的数据流又能够切换回去。其中各VRRP组中高优先级设置为150，低优先级设置为110。eq\o\ac(○,3)为了避免备份组内的成员频繁进行主备状态转换，让备网关有足够的时间搜集必要的信息（如路由信息），备网关接收到优先级低于本地优先级的通告报文后，不会立即抢占成为主网关，而是等待5秒钟时间后，才会对外发送VRRP通告报文取代原来的主网关。eq\o\ac(○,4)在正常情况下如果主网关设备的上行链路出现故障，则VRRP是无法检测到的，所以我们要求通过配置VRRP上行链路检测功能为了防止这种情况的发生，当主网关设备上行链路发生故障时，主网关设备能够自动降低自身优先级，使备网关设备能够抢占成为新主网关设备为客户端继续提供数据转发服务。eq\o\ac(○,5)为了方便网络管理员可以及时通过SNMP了解相关VRRP网络设备的VRRP运行状态信息，要求开启VRRP的Trap功能，让网络管理人员可以及时了解新主网关的变更状态信息。eq\o\ac(○,6)为了防止备份组中存在IP地址拥有者，且备份组虚拟IP地址是与虚拟MAC地址相对应时而造成的一个IP地址对应两个MAC地址的地址混对应混乱问题，要求将虚拟IP地址对应的MAC地址的类型配置为接口的实际MAC地址对应类型。[core2]:vrrpmethodreal-mac#interfaceVlan-interface10ipv6address2011:10::252/64ipaddress2428vrrpvrid1virtual-ip26vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50#interfaceVlan-interface12ipv6address2011:12::252/64ipaddress2024vrrpvrid1virtual-ip22vrrpvrid1priority110vrrpvrid1preempt-modetimerdelay5#interfaceVlan-interface110ipv6address2011:110::252/64ipaddress5224vrrpvrid1virtual-ip54vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50[core3]:interfaceVlan-interface10ipv6address2011:10::253/64ipaddress2528vrrpvrid1virtual-ip26vrrpvrid1priority110vrrpvrid1preempt-modetimerdelay5#interfaceVlan-interface11ipv6address2011:11::253/64ipaddress8992vrrpvrid1virtual-ip90vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50#interfaceVlan-interface12ipv6address2011:12::253/64ipaddress2124vrrpvrid1virtual-ip22vrrpvrid1priority150vrrpvrid1trackinterfaceEthernet1/0/5reduced50#interfaceVlan-interface110ipv6address2011:110::253/64ipaddress5324vrrpvrid1virtual-ip54vrrpvrid1priority110vrrpvrid1preempt-modetimerdelay5#snmp-agenttrapenablevrrpnewmaster（3）基于IPv6的VRRP配置：为了提升总公司园区交换网的健壮性，在三层交换机Core2和Core3上配置基于IPv6的VRRP，实现主机的IPv6网关冗余，具体需求如下：eq\o\ac(○,1)要求在正常情况下，三层交换机Core2作为产品部和法务部所在VLAN内主机的IPv6数据流的主网关，而三层交换机Core3则作为产品部和法务部所在VLAN内主机的IPv6数据流的备网关，但是这里要求主网关设备与备网关设备能够都同时为客户端用户提供IPv6数据转发服务，以此提升网络设备的资源利用率。eq\o\ac(○,2)在正常情况下，三层交换机Core3作为其它各部门内主机所在VLAN内主机的IPv6数据流的主网关，而三层交换机Core2则作为其它各部门内主机所在VLAN内主机的IPv6数据流的备网关，但是这里要求主网关设备与备网关设备能够都同时为客户端用户提供IPv6数据转发服务，以此提升网络设备的资源利用率。其中各VRRP组中高优先级设置为130，低优先级设置为110。eq\o\ac(○,3)在正常情况下，主网关出现故障时，备网关若只依赖于VRRP通告报文的超时时间来判断是否应该抢占，切换时间一般在3秒～4秒之间，无法达到秒级以下的切换速度，所以这里要求备网关通过配合BFD技术检测主网关的运行状态，使其能够在毫秒级的时间内发现主网关的故障，立即抢占成为主网关，加快切换速度。检测IP可自己规划，不与业务IP冲突即可。eq\o\ac(○,4)在正常情况下如果主网关设备的上行链路出现故障，则VRRP是无法检测到的，所以我们要求通过配置VRRP上行链路检测功能为了防止这种情况的发生，当主网关设备上行链路发生故障时，主网关设备能够自动降低其虚拟转发器的权重，以便其他设备接管它的转发任务。eq\o\ac(○,5)为了防止非法用户构造报文攻击备份组，通过简单字符认证方法验证VRRPv6各备份组中的VRRP报文，认证密钥为hello。eq\o\ac(○,6)为了方便网络管理员可以及时通过SNMP了解相关VRRP网络设备的VRRP运行状态信息，要求开启VRRP的Trap功能，让网络管理人员可以及时了解VRRP备份组认证失败的状态信息。interfaceVlan-interface10ipv6address2011:10::253/64Vrrpipv6vrid2virtual-ip2011:11::254Vrrpipv6vrid2priotity130bfdecho-source-ipBfdsessioninit-modeactiveInterfacee1/0/5Bfdmin-echo-receive-interval20snmp-agenttrapenablevrrpauthfailure8、路由协议配置（1）要求为总公司Core2、Core3、HQ-admin以及分公司一Branch1配置运行OSPF路由协议，以实现公司网络的正常通信，具体需求如下：eq\o\ac(○,1)总公司配置为OSPF的骨干区域，总公司与分公司一之间的专线为area10区域，要求分公司一Branch1通过重分布直连将其直连网络汇入OSPF路由表中。eq\o\ac(○,2)不允许OSPF将路由发布给PC、服务器等非网络设备。（静默端口）eq\o\ac(○,3)为了配置OSPF参考带宽为100Gbpseq\o\ac(○,4)要求使用精确通配符(wildcardbits)通告eq\o\ac(○,5)为了避免路由信息外泄或者OSPF网络设备受到恶意攻击，要求启用OSPF接口认证，认证方式md5，认证密钥为123456。eq\o\ac(○,6)正常情况下当链路出现故障时OSPF自身往往只能在几秒内发现并实现收敛动作。所以为了加快OSPF对链路故障得感知速度，要求为HQ-admin与Core2、Core3相连的OSPF链路配置BFD检测技术并与OSPF路由协议实现联动，当BFD探测到链路故障时能够立即告知OSPF路由协议，使OSPF路由协议能够在1秒钟以内感知到链路故障然后实现相关的路由收敛动作。eq\o\ac(○,7)为了减少area10区域的OSPFLSA信息泛洪数量，要求将area10区域配置为NSSA区域。eq\o\ac(○,8)由于HQ-admin与Branch1路由器专线之间的线路相对来说属于低速链路，所以要求将HQ-admin与Branch1路由器专线之间的线路的OSPFLSA信息传输延迟时间增加至3秒。eq\o\ac(○,9)为了便于网络管理员查询OSPF相关错误日志信息，要求启用OSPF路由协议的错误信息日志功能eq\o\ac(○,10)为了当路由器接收和处理的报文数量很大时能够保证OSPF路由协议的正常运行以及OSPF邻居关系的稳定性，要求配置相关网络设备OSPF优先接收并处理Hello报文。（2）要求为总公司Core2、Core3、HQ-admin以及分公司二Branch2配置运行OSPFv3路由协议，以实现公司IPv6网络的正常通信，具体需求如下：eq\o\ac(○,1)总公司配置为OSPFv3的骨干区域，总公司与分公司二之间的专线以及分公司二内部网络IPv6网段为area12区域。eq\o\ac(○,2)不允许OSPFv3将路由发布给PC、服务器等非网络设备。eq\o\ac(○,3)为了配置OSPFv3参考带宽为100Gbps。eq\o\ac(○,4)要求将OSPFv3的Hello报文发送间隔配置为8秒。eq\o\ac(○,5)为了避免路由信息外泄或者OSPFv3网络设备受到恶意攻击，要求为Area0配置OSPFv3区域认证，认证方式md5，认证密钥为123456。eq\o\ac(○,6)正常情况下当链路出现故障时OSPFv3自身往往只能在几秒内发现并实现收敛动作。所以为了加快OSPFv3对链路故障得感知速度，要求为HQ-admin与Core2、Core3相连的OSPFv3链路配置BFD检测技术并与OSPFv3路由协议实现联动，当BFD探测到链路故障时能够立即告知OSPFv3路由协议，使OSPFv3路由协议能够在1秒钟以内感知到链路故障然后实现相关的路由收敛动作。eq\o\ac(○,7)为了减少area12区域的OSPFv3LSA信息泛洪数量，要求将area12区域配置为Stub区域。eq\o\ac(○,8)由于OSPFarea12区域被配置为Stub区域后，其OSPFLSA信息数量并不会太多，再这种情况下并没有必要去检查其LSA报文中MTU的大小，所以这里要求为Area12区域配置忽略DD报文中的MTU检查，从而提高Area12区域中相关网络设备的OSPF路由收敛性能。eq\o\ac(○,9)为了便于网络管理员查看OSPFv3路由协议的相关邻居状态信息，要求启用OSPFv3路由协议的邻居状态变化信息输出开关。（3）要求为总公司园区交换网交换设备配置rip路由协议，以实现总公司园区交换网络的正常通信，具体需求如下：eq\o\ac(○,1)要求配置rip路由协议版本统一为版本2。eq\o\ac(○,2)为了避免路由信息外泄或者rip网络设备受到恶意攻击，不允许将rip路由发布给PC、服务器等非网络设备。eq\o\ac(○,3)为了提升交换网络环境的安全性，要求启用rip路由协议的认证功能，认证方式为md5密文认证方式，认证密钥为123456。eq\o\ac(○,4)为了便于网络管理员能够在NMS平台通过SNMP接收到运行rip路由协议的交换机的rip进程信息，要求将在运行了rip路由协议的交换机上将rip进程与SNMP的MIB进行绑定。eq\o\ac(○,5)为了加快rip路由协议的路由收敛速度，要求手工将rip路由协议的Update定时器时间调整为20秒。eq\o\ac(○,6)由于正常情况下rip路由协议对链路故障的响应速度过慢，为了加快rip路由协议对链路故障相应速度，要求配置BFDecho报文单跳检测链路故障检测技术并与rip路由协议联动，使rip路由协议能够在1秒以内感知相应链路故障的发生。eq\o\ac(○,7)由于总公司园区交换网中每台设备的负载均衡链路并不多，所以这里要求将rip路由协议的最大等价路由条数减少为4条。eq\o\ac(○,8)为了防止网络中同时发送大量RIP协议报文有可能会对当前设备和网络带宽带来冲击，要求配置rip路由协议的报文发送速率为每个15毫秒发送一次，每次最多发送2个rip报文。为了实现公司全网数据流量的互通性，要求相关网络设备上将rip路由与ospf路由互相进行路由重分布，其中要求OSPF路由信息被重分布入RIP路由表之后的COST值为2。（5）要求为总公司园区交换网交换设备配置RIPng路由协议，以实现总公司园区交换网络的IPv6数据流量的正常转发，具体需求如下：eq\o\ac(○,1)为了加快RIPng路由协议的路由收敛速度，要求手工将RIPng路由协议的Update定时器时间调整为20秒eq\o\ac(○,2)由于总公司园区交换网中每台设备的负载均衡链路并不多，所以这里要求将RIPng路由协议的最大等价路由条数减少为4条。eq\o\ac(○,3)为了避免路由信息外泄或者RIPng网络设备受到恶意攻击，要求相关运行了RIPng路由协议的交换设备必须配置RIPngIPsec安全策略设备之间的RIPng报文进行有效性检查和验证。（6）为了实现公司全网IPv6数据流量的互通性，要求相关网络设备上将RIPng路由与OSPFv3路由互相进行路由重分布，其中要求OSPFv3路由信息被重分布入RIP路由表之后的COST值为3。OSPFHQ-admin:interfaceinterfaceSerial2/0ipaddress152ospfauthentication-modemd51cipheraabbccospftrans-delay3interfaceEthernet0/0ospfbfdenablebfdmin-transmit-interval100bfdmin-receive-interval100bfddetect-multiplier5interfaceEthernet0/1ospfbfdenableechobfdmin-receive-interval200ospfpacket-processprioritized-treatmentospf1import-routedirectbandwidth-reference100000areanetworknetwork2networkarea0network0nssaBranch1：interfaceSerial2/0ipaddress152ospfauthentication-modemd51cipheraabccospfpacket-processprioritized-treatmentospf1import-routedirectsilent-interfaceEthernet0/0bandwidth-reference100000area0network3network0networknssaCore2:interfaceEthernet1/0/5ospfauthentication-modemd51cipher123456ospfbfdenablebfdmin-transmit-interval100bfdmin-receive-interval100bfddetect-multiplier5ospfpacket-processprioritized-treatmentospf1import-routerip1silent-interfaceEthernet1/0/20bandwidth-reference100000areanetwork02network0Core3:interfaceEthernet1/0/5ospfauthentication-modemd51cipher123456ospfbfdenableechobfdmin-receive-interval200ospfpacket-processprioritized-treatmentospf1import-routerip1bandwidth-reference100000areanetwork03network4OSPFv3HQ-admin:interfaceSerial2/0ospftimerhello8ospfv31area2ospfv3mtu-ignoreOspfv3bfdenableospfv3authentication-modemd5rfc2453123456ospfv31silent-interfaceEthernet0/0bandwidth-reference1000000area2stubCore2:interfaceEthernet1/0/5portlink-moderouteospfv31areaospfv3mtu-ignoreospfv3timerhelloOspfv3bfdenableospfv3authentication-modemd5rfc2453123456ospfv31areasilent-interfaceEthernet1/0/20bandwidth-reference1000000log-peer-changeRIP:Core2:interfaceEthernet1/0/5ripauthentication-modemd5rfc2453cipher123456ripbfdenableripmib-binding1rip1version2networknetworkmaximumload-balancing4timersupdate20output-delay15count2import-routeospf1cost2RIPng:ripng1timersupdate20maximumload-balancing4RIPngIPsecvpn:score2:[score2]ipsecproposalaaa[score2-ipsec-proposal-aaa]encapsulation-modetransport[score2-ipsec-proposal-aaa]transformesp[score2-ipsec-proposal-aaa]espencryption-algorithmdes[score2-ipsec-proposal-aaa]espauthentication-algorithmsha1[score2]ipsecpolicyccc10manual[score2-ipsec-policy-manual-ccc-10]proposalaaa[score2-ipsec-policy-manual-ccc-10]saspioutboundesp12345[score2-ipsec-policy-manual-ccc-10]saspiinboundesp12345[score2-ipsec-policy-manual-ccc-10]sastring-keyoutboundesp789[score2-ipsec-policy-manual-ccc-10]sastring-keyinboundesp789[score2]ripng1[score2-ripng-1]ipsec-policycccscore3:[score3]ipsecproposalaaa[score3-ipsec-proposal-aaa]encapsulation-modetransport[score3-ipsec-proposal-aaa]transformesp[score3-ipsec-proposal-aaa]espencryption-algorithmdes[score3-ipsec-proposal-aaa]espauthentication-algorithmsha1[score3]ipsecpolicyccc10manual[score3-ipsec-policy-manual-ccc-10]proposalaaa[score3-ipsec-policy-manual-ccc-10]saspioutboundesp12345[score3-ipsec-policy-manual-ccc-10]saspiinboundesp12345[score3-ipsec-policy-manual-ccc-10]sastring-keyoutboundespabcdefg[score3-ipsec-policy-manual-ccc-10]sastring-keyinboundespabcdefg[score3]ripng1[score3-ripng-1]ipsec-policyccc（7）要求为分公司二与总公司边界路由器配置BGPv4，以实现分公司二与总公司网络的正常通信，具体需求如下：分配给分公司二的BGPAS号为65004，分配给总公司的BGPAS号为65005，AS65004和AS65005通过设备Branch2和HQ-admin相连。现要求BGP实现分公司二能够访问总公司内部网络的网段，总公