2023年全国职业院校中职组技能大赛网络搭建与应用之网络答案

2023年全国职业院校技能大赛

网络建设与运维赛项

赛题

序言

尊敬的读者：

本篇文章是基于“2023年全国职业院校技能大赛网络建设与运维赛项”之网络答案。

本答案仅作参考，建议您结合自身情况和实际需求进行调整，以获得最适合您的解决方案

此答案并非是绝对的神州数码命令组成的，里面有华为、思科。这份答案的意图是：给每位网搭提供解决问题的思路。

祝您学习愉快！

作者：谁能看清夜（点击访问）

Q群：940032064
欢迎各位！！！

一、线缆制作(50 分)

 (一)、 根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络线缆， 根据题目要求，插入相应设备的相关端口。

 二、交换配置与调试(90 分)

(一)、 公司计划使用 VLSM 技术为公司总部各部门划分相应 IP 地址段；现公司研发部 97 人、营销部 56 人、行政部 16 人、财务部 10 人；请使用 10.30.10.0/24 网段根据研发、营销、 行政、财务每部门人数依次进行子网划分，使 IP 地址浪费最少，使用每个子网最后一个可用 地址作为本子网的网关。

为了满足各部门的需求，我们可以使用VLSM技术来划分子网。首先，我们需要确定每个部门所需的最小IP地址数量。这可以通过计算每个部门的主机数量加上网络地址和广播地址来得出。

1. 研发部：97人，需要至少98个IP地址（97个主机 + 1个网络地址 + 1个广播地址）。

2. 营销部：56人，需要至少57个IP地址。

3. 行政部：16人，需要至少17个IP地址。

4. 财务部：10人，需要至少11个IP地址。

接下来，我们需要找到满足这些需求的最小子网掩码。我们可以通过二进制表示法来计算所需的子网掩码：

1. 研发部：98个IP地址需要2^6 = 64个地址，所以子网掩码为 /26 (11111111.11111111.11100000)

2. 营销部：57个IP地址需要2^6 = 64个地址，所以子网掩码为 /26

3. 行政部：17个IP地址需要2^4 = 16个地址，所以子网掩码为 /28 (11111111.11111111.11110000)

4. 财务部：11个IP地址需要2^4 = 16个地址，所以子网掩码为 /28

现在我们可以开始划分子网了：

1. 研发部：10.30.10.0/26，可用IP范围：10.30.10.1 - 10.30.10.62，网关：10.30.10.62

2. 营销部：10.30.10.64/26，可用IP范围：10.30.10.65 - 10.30.10.126，网关：10.30.10.126

3. 行政部：10.30.10.128/28，可用IP范围：10.30.10.129 - 10.30.10.142，网关：10.30.10.142

4. 财务部：10.30.10.144/28，可用IP范围：10.30.10.145 - 10.30.10.158，网关：10.30.10.158

这样，我们就为每个部门划分了合适的子网，并且尽量减少了IP地址的浪费。每个子网的最后一个可用地址被用作该子网的网关。

(二)、 集团两台核心交换机通过 VSF 物理端口连接起来形成一台虚拟的逻辑设备 SW-Core。 用户对这台虚拟设备进行管理，从而来实现对虚拟设备中所有物理设备的管理。两台设备 VSF 逻辑域为 5；其中 SW-1 的成员编号为 1，SW-2 的成员编号为 2；正常情况下 SW-1 负责管理整 个 VSF。为确保两台核心交换机 VSF 链路冗余，在两台设备之间建立两个 vsf port-group，其 编号分别为 1、2，每个 vsf port-group 各绑定一个万兆光端口。对逻辑设备 SW-Core 启用 VSF 自动合并功能。

分析：

神州数码设备中的VSF（Virtual Switching System, 虚拟交换系统）技术，是一种允许多台网络交换机通过物理或逻辑连接形成一个逻辑上的单一交换机的技术。这样做可以提高网络的可靠性、简化管理、增加网络的伸缩性等。

在上述的场景中，两台核心交换机通过VSF技术连接起来，形成了一个名为SW-Core的虚拟逻辑设备。这个虚拟设备具有统一的管理接口，可以对所有物理设备进行集中管理。

VSF逻辑域是用于区分不同VSF实例的一个标识，逻辑域ID为5意味着这是第五个VSF实例。SW-1和SW-2分别是这个VSF实例中的两个成员，它们分别被分配了成员编号1和2。通常情况下，SW-1作为主设备负责管理整个VSF。

为了保证VSF链路的冗余，上述提到在两台设备之间建立了两个vsf port-group，编号分别为1和2。每个port-group绑定了一个万兆光端口，这样可以在一条链路出现故障时自动切换到另一条链路上，从而确保网络的高可用性。

启用VSF自动合并功能意味着当VSF链路发生故障时，系统会自动尝试重新建立连接，以恢复到正常的VSF配置状态。这通常涉及到检测链路状态、同步配置信息等操作。

操作：

为了实现题目要求的配置，我们需要按照以下步骤操作：

1. 在两台神州数码核心交换机上配置 VSF 逻辑域。

2. 设置 SW-1 和 SW-2 的成员编号。

3. 创建两个 vsf port-group 并绑定万兆光端口。

4. 在逻辑设备 SW-Core 上启用 VSF 自动合并功能。

下面是具体的命令步骤：

在 SW-1 上操作： 进入系统视图：

system-view

创建 VSF 逻辑域 5：

vsf 5

设置 SW-1 的成员编号为 1：

member 1 priority 32

退出 VSF 视图：

quit

在 SW-2 上操作： 进入系统视图：

system-view

创建 VSF 逻辑域 5：

vsf 5

设置 SW-2 的成员编号为 2：

member 2 priority 31

退出 VSF 视图：

quit

在 SW-1 和 SW-2 上共同操作：

1. 创建 vsf port-group 1 并绑定万兆光端口（以端口 GigabitEthernet0/0/1 为例）：

interface GigabitEthernet0/0/1

 port-group vsf 1 mode auto

 quit

2. 创建 vsf port-group 2 并绑定另一个万兆光端口（以端口 GigabitEthernet0/0/2 为例）：

interface GigabitEthernet0/0/2

 port-group vsf 2 mode auto

 quit

3. 在逻辑设备 SW-Core 上启用 VSF 自动合并功能：

vsf 5

 auto-merge enable

 quit

以上命令需要在两台核心交换机上分别执行。请根据实际设备的端口信息替换示例中的端口名称。完成以上步骤后，两台核心交换机将通过 VSF 逻辑域 5 连接形成虚拟设备 SW-Core，并且具备链路冗余和自动合并功能。

(三)、 在集团核心交换机 SW-1 和 SW-2 之间采用 LACP MAD 分裂检测功能，通过集团核心 交换机与集团接入交换机互联接口设置 LACP MAD 功能相关配置来实现监控两台核心设备的 VSF 状态并同时每隔 3s 进行快速检测。

为了实现在神州数码设备上的 LACP MAD 分裂检测功能，你需要在两台集团核心交换机 SW-1 和 SW-2 之间配置 LACP MAD 相关的参数。以下是一个基本的配置步骤，但请注意，具体的命令和步骤可能会因设备型号和软件版本的不同而有所差异。

1. 进入特权模式：

enable

2. 进入全局配置模式：

configure terminal

3. 在两台交换机上配置 LACP 接口。首先，你需要创建一个聚合接口（LACP 组），并将成员接口添加到该聚合接口中。然后，启用 LACP 并设置 MAD 参数。

（1）在 SW-1 上配置：`

interface Ethernet1/1/1

channel-group 1 mode active

（2）在 SW-2 上配置：

interface Ethernet1/1/1

channel-group 1 mode active

4. 配置 LACP MAD 检测参数。这通常涉及到设置 MAD 的间隔时间和检测次数。以下是一个示例配置，每 3 秒进行一次检测：

在 SW-1 和 SW-2 上配置：

lacp mad detection-time 3

lacp mad hold-count 3

5. 保存配置并退出：

write memory

exit

6. 在接入交换机上，你需要配置与核心交换机相连的接口以匹配 LACP 配置。确保接入交换机的接口也加入到相同的 LACP 组中，并设置为合适的模式（active 或 passive）。

请注意，这只是一个基本的配置指南。在实际环境中，你可能需要根据网络的具体需求和设备的具体能力来调整这些设置。

(四)、 为了减少广播，需要根据题目要求规划并配置 Vlan。具体要求如下：

无。

(五)、 SW-Core 分别通过 E1/0/1、E2/0/1 与集团防火墙的 E0/3、E0/4 接口互相连接。把 9 / 20 归属于同一设备的接口捆绑成一个逻辑接口，编号为 6，SW-Core 为主动端，FW-1 为被动端。

根据上面的信息，神州数码设备中的 SW-Core 交换机需要与集团防火墙 FW-1 进行接口连接，并进行链路聚合。以下是配置步骤：

1. 首先，需要登录到 SW-Core 交换机的命令行界面。

2. 接下来，创建一个以太网聚合接口（通常称为 Port-channel 或 EtherChannel），将 E1/0/1 和 E2/0/1 接口捆绑在一起。在神州数码设备上，这通常通过以下命令完成：

   [SW-Core] interface Port-channel 6

   [SW-Core-Port-channel6] mode manual

   [SW-Core-Port-channel6] port link-aggregation 1/0/1 2/0/1

   这里，`Port-channel 6` 是逻辑接口的编号，`mode manual` 表示手动模式，`port link-aggregation 1/0/1 2/0/1` 表示将物理接口 E1/0/1 和 E2/0/1 添加到该聚合接口。

3. 配置 FW-1 防火墙的相应接口 E0/3 和 E0/4，以匹配 SW-Core 上的配置。这通常涉及到设置相同的聚合接口编号和模式。

4. 在 SW-Core 上，配置端口通道的 IP 地址和其他相关参数，以便与 FW-1 建立通信。例如：

   [SW-Core-Port-channel6] ip address 192.168.1.1 255.255.255.0

5. 在 FW-1 防火墙上，也配置相应的 IP 地址和其他相关参数。

6. 最后，确保两台设备上的接口状态为 UP，并且能够互相通信。

请注意，具体的命令和步骤可能会根据神州数码设备的型号和操作系统版本有所不同。

(六)、 已知 SNTP Server 为 202.120.2.101，该服务器时间是国际标准时间，请在所有交 换机上配置该功能，保证交换机的时钟和北京时间一致；

为了在神州数码设备上配置SNTP（Simple Network Time Protocol）服务器以确保交换机的时钟与北京时间一致，你需要执行以下步骤和命令：

1. 进入特权模式：

enable

2. 进入全局配置模式：

config terminal

3. 配置SNTP服务器地址（这里使用你提供的服务器地址202.120.2.101）：

ntp server 202.120.2.101

4. 启用SNTP客户端功能：

ntp enable

5. （可选）如果你想要设置交换机上的时区以匹配北京时间（通常北京时间是UTC+8），你可以添加以下命令：

ntp timezone Beijing 8

6. 保存配置并退出：

write memory

exit

请注意，具体的命令可能会根据神州数码设备的型号和操作系统版本有所不同。

(七)、 为方便用户日志查询管理，现需要把所有交换机的时间在每年 4 月第一个星期日 23:00 到这一年的 10 月最后一个星期日 00:00，实行夏令时，时钟偏移量为 2 小时，命名为 Time。

为了在神州数码CS6200交换机上设置夏令时（Daylight Saving Time, DST），您需要配置NTP（Network Time Protocol）服务以及相关的时钟偏移。以下是实现这一需求的详细步骤和命令：

1. 首先，确保您的交换机已经配置了NTP服务器。如果没有，请先配置NTP服务器：

system-view

ntp server <NTP服务器IP地址>

2. 创建一个时间策略，用于在指定的日期范围内应用时钟偏移量：

clock timezone <时区> <标准时间> <夏令时开始日期和时间> <夏令时结束日期和时间>

例如，对于北京时间（UTC+8），您可以使用以下命令：

clock timezone China Standard Time 04/1 00:00 10/31 00:00

3. 创建一个时钟偏移策略，命名为"Time"，并设置夏令时的时钟偏移量为2小时：

clock timezone offset Time +2

4. 将时钟策略"Time"应用到交换机上：

clock timezone apply Time

5. （可选）如果您希望在夏令时结束后恢复到标准时间，可以创建另一个时钟策略，例如：

clock timezone standard <时区> <标准时间>

然后，在夏令时结束后应用这个标准时间策略。

请注意，上述命令中的`<NTP服务器IP地址>`、`<时区>`、`<标准时间>`等需要您根据实际情况替换为具体的值。此外，确保您的交换机支持这些命令，因为不同型号的设备可能有不同的命令集。

(八)、 防止终端产生 MAC 地址泛洪攻击，在集团核心交换机 SW-Core 的所有业务端口设置 开启端口安全功能，配置端口允许的最大安全 MAC 数量为 20，发生违规阻止后续违规流量通过， 关闭端口。

为了在神州数码CS6200交换机上防止终端产生MAC地址泛洪攻击，您需要在所有业务端口上配置端口安全功能，并设置端口允许的最大安全MAC数量为20。如果超出这个数量，违规的流量将被阻止，并且端口会被关闭。以下是配置命令的步骤：

1. 进入特权模式（如果尚未进入）：

Switch> enable

2. 进入全局配置模式：

Switch# configure terminal

3. 启用MAC地址学习功能（如果尚未启用）：

Switch (config)# mac-address-learning

4. 对于每个业务端口，执行以下命令来配置端口安全：

Switch (config)# interface [interface-type] [interface-number]

Switch (config-if)# switchport port-security

Switch (config-if)# switchport port-security maximum 20

Switch (config-if)# switchport port-security violation shutdown

请将`[interface-type]`和`[interface-number]`替换为实际的接口类型和编号，例如`Ethernet 1/0/1`。

5. 退出配置模式并保存配置：

Switch (config)# exit

Switch# write memory

以上命令将为指定的业务端口设置端口安全功能，限制每个端口允许的最大安全MAC地址数量为20，一旦超过这个数量，端口将关闭以阻止进一步的违规流量。

(九)、 SW-2 既作为集团核心交换机，同时又使用相关技术将 SW-2 模拟为 Internet 交换 机，实现集团与分公司之间 Internet 路由表与集团内部业务路由表隔离，Internet 路由表位 于 VPN 实例名称 Internet 内。

为了实现神州数码CS6200交换机既作为集团核心交换机，同时又模拟为Internet交换机的需求，您需要进行一系列的配置。这通常涉及到VLAN的配置、IP地址的分配、路由隔离以及VPN实例的创建。以下是一些基本的命令和步骤，用于实现这一目标：

1. 创建VLAN和管理VLAN：

vlan database

vlan [vlan-id] name [vlan-name]

exit

config

management vlan [vlan-id]

exit

2. 分配管理VLAN的IP地址：

interface vlan [vlan-id]

ip address [ip-address] [subnet-mask]

no shutdown

exit

3. 创建VPN实例（例如，名称为"Internet"）：

vpn instance [instance-name]

rd [route-distinguisher]

exit

4. 在VPN实例中创建路由目标（Route Target）以实现路由隔离：

route-target export [route-target-value]

route-target import [route-target-value]

5. 配置接口以使用VPN实例，并分配相应的IP地址：

interface [interface-type] [interface-number]

ipv6 address [ipv6-address]/[prefix-length]

vrf forwarding [instance-name]

exit

6. 配置路由协议（如OSPF、BGP等）以在VPN实例内部进行路由信息的传播。

7. 如果需要，配置NAT（网络地址转换）以便在集团内部网络和Internet之间进行IP地址转换。

8. 配置安全策略，确保只有授权的流量可以在不同的VLAN或VPN实例之间流动。

请注意，这些步骤仅提供了一个基本的框架，具体的配置细节可能需要根据您的网络环境和需求进行调整。

三、路由配置与调试(100 分)

(一)、 尽可能加大集团路由器与分公司路由器之间虚拟专线链路带宽，配置 Mutlilink PPP捆绑，编号为10。路由器之间采用Chap认证，集团路由器帐号名为JTrouter，密码为2021dcn。 分公司路由器帐号名为 FBrouter，密码为 2021dcn。

为了配置神州数码设备以实现集团路由器与分公司路由器之间的虚拟专线链路带宽加大，通过配置Multilink PPP捆绑，并设置CHAP认证，您可以按照以下步骤进行：

1. 登录到集团路由器的CLI界面。

   连接到集团路由器的控制台或通过SSH远程登录。

2. 进入特权模式。

   Switch>enable

3. 进入全局配置模式。

   Switch#configure terminal

4. 配置Multilink PPP捆绑接口。

   Switch(config)#interface serial 0/0/0.10

5. 设置Multilink PPP捆绑的编号。

   Switch(config-if)#ppp multilink 10

6. 启用PPP封装。

   Switch(config-if)#encapsulation ppp

7. 配置PPP CHAP认证。

   Switch(config-if)#ppp authentication chap

   Switch(config-if)#username JTrouter password 2021dcn

8. 配置分公司路由器的CHAP认证信息。

   Switch(config-if)#peer default ip address [分公司路由器IP地址]

   Switch(config-if)#peer default username FBrouter password 2021dcn

9. 启用接口并退出。

   Switch(config-if)#no shutdown

   Switch(config-if)#exit

10. 保存配置。

    Switch(config)#write memory

11. 重复上述步骤在分公司路由器上进行配置，确保两个路由器的配置相互匹配。

请注意，这里的`serial 0/0/0.10`和`[分公司路由器IP地址]`需要替换为实际的接口编号和IP地址。

(二)、 规划集团内，集团核心交换机、集团路由器、集团出口防火墙、集团无线集中控制 器之间使用 OSPF 协议组网来实现集团业务互联互通，OSPF 进程号为：10，具体要求如下：

1. 集团核心交换机与集团出口防火墙之间属于骨干区域、集团核心交换机与集团无线集 中控制器之间属于普通区域，区域号为 10，集团核心交换机与集团路由器之间属于普 通区域，区域号为 20，采用各自设备 Loopback 地址作为 Router-id。

 2. 集团核心交换机、集团出口防火墙、集团路由器、集团无线集中控制器分别发布自己 的环回地址方便日常管理。

 3. 为了降低不可信路由器对骨干区域造成的风险，针对骨干区域启用区域 MD5 验证，验 证密钥为：qywdj@dcn，根据实际情况自行调整接口的网络类型尽量加快邻居关系收敛。

 4. 要求集团内的研发、营销、行政、财务等部门的网络内不发送协议报文。

为了完成这个任务，我们需要在神州数码的设备上配置 OSPF 协议。下面是详细的命令步骤：

1. 首先，我们需要为每台设备配置 Loopback 地址，并设置 Router-id。以集团核心交换机为例，命令如下：

<CoreSwitch> system-view

[CoreSwitch] interface Loopback0

[CoreSwitch-Loopback0] ip address 192.168.1.1 255.255.255.255

[CoreSwitch-Loopback0] quit

[CoreSwitch] ospf 10 router-id 192.168.1.1

2. 在集团核心交换机上配置 OSPF 区域，命令如下：

[CoreSwitch] ospf 10

[CoreSwitch-ospf-10] area 10

[CoreSwitch-ospf-10-area-10.0.0.0] network 192.168.1.1 0.0.0.0

[CoreSwitch-ospf-10-area-10.0.0.0] quit

[CoreSwitch-ospf-10] area 20

[CoreSwitch-ospf-10-area-20.0.0.0] network 192.168.1.1 0.0.0.0

[CoreSwitch-ospf-10-area-20.0.0] quit

3. 在集团出口防火墙、集团路由器、集团无线集中控制器上重复步骤1和2，确保它们都配置了正确的 OSPF 区域和网络。

4. 为了启用区域 MD5 验证，我们需要在集团核心交换机上配置接口的安全设置。假设我们使用接口 GigabitEthernet0/0/1 连接到集团出口防火墙，命令如下：

[CoreSwitch] interface GigabitEthernet0/0/1

[CoreSwitch-GigabitEthernet0/0/1] ospf authentication-mode md5

[CoreSwitch-GigabitEthernet0/0/1] ospf authentication-key qywdj@dcn

[CoreSwitch-GigabitEthernet0/0/1] quit

5. 为了确保研发、营销、行政、财务等部门的网络内不发送协议报文，我们需要在这些部门的接入层交换机上配置 ACL（访问控制列表）。以研发部门的接入层交换机为例，命令如下：

```

<R&D-Switch> system-view

[R&D-Switch] acl number 2000

[R&D-Switch-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[R&D-Switch-acl-basic-2000] rule deny source any destination any

[R&D-Switch-acl-basic-2000] quit

[R&D-Switch] interface GigabitEthernet0/0/1

[R&D-Switch-GigabitEthernet0/0/1] port access-group 2000 inbound

[R&D-Switch-GigabitEthernet0/0/1] quit

请注意，上述命令中的 IP 地址和接口名称需要根据实际情况进行调整。同样，ACL 的配置也需要根据各个部门的实际网络需求进行调整。

(三)、 同时还规划集团与分公司之间使用 BGP 协议，进程号分别为：集团是 62021，分公 司是 62022，具体要求如下：

1. 集团路由器与分公司路由器之间通过与 Internet 的接口互联地址建立 GRE 隧道，集团 路由器与分公司路由器之间分别通过 GRE 隧道地址和专线互联地址建立邻居关系，将 分公司无线业务宣告到 BGP 中。 10 / 20

为了实现题目中的要求，我们需要在神州数码的设备上执行一系列的配置命令。以下是详细的命令步骤：

1. 配置集团路由器和分公司路由器的接口 IP 地址。

   - 假设集团路由器的接口 IP 地址为 192.168.1.1，分公司路由器的接口 IP 地址为 192.168.2.1。

2. 配置 GRE 隧道。

   - 在集团路由器上创建 GRE 隧道接口，并配置其 IP 地址。

   interface Tunnel 1

    ip address 10.0.0.1 255.255.255.0

    tunnel source 192.168.1.1

    tunnel destination 192.168.2.1

    tunnel mode gre ip

   - 在分公司路由器上创建对应的 GRE 隧道接口。

   interface Tunnel 1

    ip address 10.0.0.2 255.255.255.0

    tunnel source 192.168.2.1

    tunnel destination 192.168.1.1

    tunnel mode gre ip

3. 配置 BGP 进程。

   - 在集团路由器上创建 BGP 进程，并设置进程号。

   router bgp 62021

    neighbor 10.0.0.2 remote-as 62022

    network 192.168.1.0 mask 255.255.255.0

   - 在分公司路由器上创建对应的 BGP 进程，并设置进程号。

   router bgp 62022

    neighbor 10.0.0.1 remote-as 62021

4. 宣告分公司无线业务路由到 BGP。

   - 假设分公司无线业务的网络为 192.168.3.0/24。

   - 在分公司路由器的 BGP 进程中宣告该网络。

   network 192.168.3.0 mask 255.255.255.0

5. 保存配置。

   - 在集团路由器和分公司路由器上分别保存配置。

   write

以上步骤应该能够帮助你按照要求配置神州数码的设备。请根据实际情况调整 IP 地址和其他参数。

(四)、 分公司路由器与分公司接入交换机之间通过静态路由协议互联，通过相关技术实现 集团只能学习到分公司营销、财务、技术业务和无线 AP 管理业务。

为了实现您所描述的网络架构，我们需要在神州数码的路由器和交换机上进行一系列的配置。以下是详细的配置步骤和命令：

1. 配置路由器的静态路由：

   - 首先，我们需要进入路由器的全局配置模式。

     Router> enable

     Router# configure terminal

   - 接着，配置路由器的IP地址和子网掩码（假设接口为GigabitEthernet0/0）。

     Router(config)# interface GigabitEthernet0/0

     Router(config-if)# ip address 192.168.1.1 255.255.255.0

     Router(config-if)# no shutdown

     Router(config-if)# exit

   - 然后，配置静态路由，使得集团可以学习到分公司的特定业务。

     Router(config)# ip route 192.168.2.0 255.255.255.0 192.168.1.2

     这里的`192.168.2.0 255.255.255.0`是分公司网络的地址范围，`192.168.1.2`是接入交换机的IP地址。

2. 配置接入交换机的VLAN：

   - 进入交换机的全局配置模式。

     Switch> enable

     Switch# configure terminal

   - 创建VLAN并分配接口到相应的VLAN（假设VLAN ID为10，接口为FastEthernet0/1）。

     Switch(config)# vlan 10

     Switch(config-vlan)# name Marketing

     Switch(config-vlan)# exit

     Switch(config)# interface FastEthernet0/1

     Switch(config-if)# switchport mode access

     Switch(config-if)# switchport access vlan 10

     Switch(config-if)# exit

   - 重复上述步骤为财务、技术和无线AP管理业务创建不同的VLAN。

3. 配置交换机的接口IP：

   - 为交换机的每个VLAN接口配置一个IP地址。

     Switch(config)# interface Vlan10

     Switch(config-if)# ip address 192.168.2.1 255.255.255.0

     Switch(config-if)# no shutdown

     Switch(config-if)# exit

     确保为每个VLAN接口分配正确的IP地址和子网掩码。

4. 配置路由器的访问控制列表（ACL）：

   - 在路由器上创建ACL以限制集团可以访问的分公司业务。

     Router(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 any eq www

     Router(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 any eq ftp

     Router(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 any eq smtp

     这里的ACL示例允许集团访问分公司的Web、FTP和邮件服务。

5. 应用ACL到路由器的接口：

   - 将ACL应用到连接分公司的路由器接口上。

     Router(config)# interface GigabitEthernet0/0

     Router(config-if)# ip access-group 100 in

     Router(config-if)# exit

以上步骤是在神州数码设备上配置静态路由和VLAN的基本方法。根据您的具体网络架构和业务需求，可能需要进行一些调整。

四、广域网配置(90 分)

(一)、 在集团防火墙上配置网络地址转换，使集团内所有业务通过集团防火墙访问 Internet。访问公网采用轮询的方式，地址池为：202.11.33.27-29，实现同一源 IP 会话被映 射到同一个公网地址。在分公司路由器上配置网络地址转换，使分公司所有业务通过分公司路 由器访问 Internet。访问公网采用轮询的方式，地址池为：221.11.67.27-29。运营商托管机 房的应用服务都通过转换成为托管机房防火墙外网口地址进行访问 Internet。

为了完成这个任务，我们需要在神州数码的集团防火墙和分公司路由器上配置网络地址转换（NAT）。以下是详细的步骤：

集团防火墙配置步骤：

登录到集团防火墙的管理界面。创建一个新的NAT策略或找到现有的策略进行编辑。配置源NAT转换规则，设置内部网络地址范围（假设为192.168.1.0/24）。设置目标公网IP地址池，范围为202.11.33.27-29。启用会话持久性（Session Persistence），确保同一源IP的会话映射到同一个公网地址。6. 应用并保存配置。

分公司路由器配置步骤：

登录到分公司路由器的管理界面。创建一个新的NAT策略或找到现有的策略进行编辑。配置源NAT转换规则，设置分公司内部网络地址范围（假设为192.168.2.0/24）。设置目标公网IP地址池，范围为221.11.67.27-29。启用轮询方式，以确保IP地址池中的地址被均匀使用。应用并保存配置。

托管机房防火墙配置步骤：

登录到托管机房防火墙的管理界面。创建一个新的NAT策略或找到现有的策略进行编辑。配置源NAT转换规则，设置托管机房内部应用服务的IP地址范围。设置目标公网IP地址为托管机房防火墙的外网口IP地址。应用并保存配置。

请注意，以上步骤是基于一般性的NAT配置流程。神州数码的具体设备可能会有不同的配置界面和选项。

(二)、 为保证只允许集团营销业务与分公司营销业务、技术业务访问托管业务应用的安全 性，通过集团防火墙与运营商托管机房防火墙的 Internet 互联地址建立 IPSEC 隧道，使用 IKE 协商自行设置 IPSec 安全联盟、交换 IPSec 密钥，通过策略实现只允许访问托管在运营商机房 的 10.10.60.12 业务应用和本业务应用的网关地址。

为了实现您的需求，我们需要在神州数码的防火墙上配置IPSEC隧道。以下是详细的命令步骤：

1. 配置IKE策略（Internet Key Exchange）：

登录到神州数码防火墙的管理界面。进入IKE策略配置页面。创建一个新的IKE策略，并设置策略名称（例如：GP_IKE_POLICY）。为IKE策略配置预共享密钥和加密算法（例如：AES256）。保存IKE策略配置。

2. 配置IPSec转换集（IPSec Transform Set）：

在管理界面中找到IPSec转换集配置页面。创建一个新的IPSec转换集，并设置策略名称（例如：GP_IPSEC_TS）。选择适当的加密和认证算法（例如：AES256, SHA1）。保存IPSec转换集配置。

3. 配置安全策略以允许特定的流量通过IPSec隧道：

进入安全策略配置页面。创建一个新的安全策略规则。设置源地址为集团营销业务、分公司营销业务、技术业务的IP地址或地址段。设置目的地址为托管在运营商机房的10.10.60.12业务应用IP地址。设置应用服务类型为相应的业务应用服务（例如：HTTP, HTTPS等）。在“策略动作”中选择“允许”。在“VPN”选项中，选择之前创建的IKE策略和IPSec转换集。保存安全策略配置。

4. 配置网络接口以启用IPSec隧道：

进入网络接口配置页面。找到与运营商托管机房连接的网络接口。在该接口的配置中启用IPSec隧道功能。将之前创建的IKE策略和IPSec转换集应用到该接口。保存网络接口配置。

5. 测试配置：

从集团营销业务、分公司营销业务或技术业务的设备尝试访问托管在运营商机房的10.10.60.12业务应用。验证流量是否成功通过IPSec隧道，并且只有指定的业务应用和网关地址被允许访问。

请注意，这些步骤是基于通用的防火墙配置流程。具体的命令和操作可能会因神州数码防火墙的型号和固件版本而有所不同。

(三)、 为了方便维护人员在外远程维护管理托管在外的业务系统，同运营商协商后，在托 管机房防火墙上配置 SSL VPN，并且通过策略只开放云服务平台的 web 管理服务和托管下所有 业务应用系统远程连接端口指定端口，指定端口如下：Windows 的远程桌面和 CentOs 的 SSH 服务。认证账号为：ywgl，密码：ywgl123。VPN 拨入用户的地址范围:192.168.255.0/24，最 小的可用 IP 作为网关。

为了在神州数码品牌的设备上配置SSL VPN并满足您的要求，请按照以下步骤操作：

1. 登录到防火墙管理界面：

   - 使用管理员账号登录到防火墙的Web管理界面或者通过SSH/CLI工具连接到防火墙。

2. 创建VPN策略：

   - 在防火墙管理界面中找到“VPN”或“安全策略”等相关选项。

   - 创建一个新的VPN策略，选择SSL VPN作为VPN类型。

3. 配置VPN用户认证：

   - 在VPN策略设置中，添加一个新用户，用户名为ywgl。

   - 设置用户的密码为ywgl123。

4. 配置VPN访问权限：

   - 在VPN策略设置中，指定允许的远程访问端口。对于Windows远程桌面，默认端口是3389；对于CentOS的SSH服务，默认端口是22。

   - 确保只开放这两个端口，其他端口保持关闭状态。

5. 配置VPN客户端地址池：

   - 在VPN策略设置中，配置客户端IP地址池。选择192.168.255.0/24网段，并指定最小的可用IP作为网关。例如，如果最小的可用IP是192.168.255.1，则将网关设置为这个地址。

6. 应用并保存配置：

   - 在完成所有设置后，应用并保存配置。这通常会有一个“应用”或“保存”按钮。

7. 测试VPN连接：

   - 使用VPN客户端软件（如OpenVPN或其他支持SSL VPN的客户端）连接到防火墙，使用ywgl账号和密码进行认证。

   - 确认可以成功访问云服务平台的Web管理服务和托管的所有业务应用系统。

请注意，具体的操作步骤可能会因神州数码防火墙的不同型号和固件版本而有所不同。

五、无线配置(80 分)

(一)、 为方便集团无线 AP 统一集中管理，把集团无线集中控制器放置在集团总部。集团 无线集中控制器与集团核心交换机之间通过 E1/0/1、E2/0/1 与 AC 的 E1/0/1、E1/0/2，把归属 于同一设备的接口捆绑成一个逻辑接口，编号为 7，SW-Core 为主动端，AC 为被动端，负载均 衡模式采用源 IP 地址和目的 IP 地址进行负载分担。

为了完成这个任务，我们需要按照以下步骤配置神州数码的设备。请注意，具体的命令可能会因设备型号和软件版本而有所不同，但以下是一般步骤：

1. 登录到集团核心交换机（SW-Core）的命令行界面。

2. 进入系统视图：

   system-view

3. 创建一个以太网接口，用于与无线集中控制器（AC）连接。这里我们假设接口为 E1/0/1 和 E2/0/1：

   interface Ethernet 1/0/1

   description Connection to AC E1/0/1

   ip address [AC-IP-Address] [Subnet-Mask]

   interface Ethernet 2/0/1

   description Connection to AC E2/0/1

   ip address [AC-IP-Address] [Subnet-Mask]

   替换 `[AC-IP-Address]` 和 `[Subnet-Mask]` 为实际的 IP 地址和子网掩码。

4. 将这两个物理接口捆绑成一个逻辑接口（假设编号为 7）：

   interface Vlanif 7

   mode lan

   description Management Interface for Wireless Controller

  

5. 在 Vlanif 7 上启用以太网聚合（如 LAG 或 Port-channel）：

  

   port link-aggregation group 7

  

6. 将 E1/0/1 和 E2/0/1 接口加入到 LAG 组 7 中：

   interface Ethernet 1/0/1

   port link-aggregation group 7

   interface Ethernet 2/0/1

   port link-aggregation group 7

7. 配置 LAG 组 7 的负载均衡模式为源 IP 和目的 IP：

   interface Vlanif 7

   link-aggregation load-balance source-ip destination-ip

8. 保存配置：

   save

9. 登录到无线集中控制器（AC）并配置相应的接口，确保其与 SW-Core 的配置相匹配，包括 IP 地址、子网掩码和接口状态。

10. 确保无线集中控制器（AC）的接口也设置为被动端，以便与 SW-Core 的主动端进行正确的通信。

请根据实际情况调整上述步骤中的命令和参数。

(二)、 集团无线集中控制器使用 Loopback 接口地址作为 AC 管理地址，集团内所有 AP 都 通过手工注册方式实现 AP 上线被管理，AP 的管理地址为 172.16.30.6。

根据您提供的信息，您需要配置神州数码集团无线集中控制器（AC）的Loopback接口地址作为管理地址，并手动注册AP。以下是详细的命令步骤：

1. 登录到神州数码无线集中控制器（AC）的管理界面。

2. 进入系统配置模式：

   [AC] enable

   [AC#] configure terminal

3. 创建Loopback接口并配置管理地址（假设Loopback接口编号为1）：

   [AC-Config] interface Loopback 1

   [AC-Config-Loopback1] ip address 10.81.1.66 255.255.255.255

   [AC-Config-Loopback1] no shutdown

4. 保存配置：

   [AC-Config] write

5. 登录到AP的管理界面。

6. 进入AP的系统配置模式：

   [AP] enable

   [AP#] configure terminal

7. 配置AP的管理地址：

   [AP-Config] ip address 172.16.30.6 255.255.255.0

   [AP-Config] no shutdown

8. 设置AC的Loopback接口地址作为AP的管理服务器地址：

   [AP-Config] tftp-server 10.81.1.66

9. 保存AP的配置：

   [AP-Config] write

10. 在AP上执行注册命令，使AP上线并被AC管理：

    [AP] apdb register 10.81.1.66

以上步骤是根据您提供的信息制定的，实际操作时请根据实际设备的型号和配置界面进行调整。

(三)、 在分公司路由器上开启 DCHP 服务，实现分公司无线业务终端可以通过 DHCP 自动获 取 IP 地址。分公司无线业务分别为：分公司财务 Vlan 11 与分公司技术 Vlan 21，Vlan 网关 都在分公司路由器上。2 个用户网段对应的 DHCP 地址池名字分别为 FB-11、FB-21，租期为 4 小时，DNS 地址均 8.8.8.8。

为了在神州数码的分公司路由器上开启DHCP服务，并为两个VLAN配置相应的DHCP地址池，你需要按照以下步骤操作：

1. 登录到路由器的命令行界面（CLI）。

2. 进入特权模式：

   enable

3. 进入全局配置模式：

   config

4. 创建VLAN 11（如果尚未创建）：

   interface vlan11

   exit

5. 为VLAN 11配置IP地址和子网掩码（假设VLAN 11的IP地址为192.168.11.1，子网掩码为255.255.255.0）：

   interface vlan11

   ip address 192.168.11.1 255.255.255.0

   no shutdown

   exit

6. 创建VLAN 21（如果尚未创建）：

   interface vlan21

   exit

7. 为VLAN 21配置IP地址和子网掩码（假设VLAN 21的IP地址为192.168.21.1，子网掩码为255.255.255.0）：

   interface vlan21

   ip address 192.168.21.1 255.255.255.0

   no shutdown

   exit

8. 开启DHCP服务：

   ip dhcpd enable

9. 为VLAN 11配置DHCP地址池（FB-11）：

   ip pool FB-11

    network 192.168.11.0 255.255.255.0

    default-router 192.168.11.1

    dns-server 8.8.8.8

    lease 4h

    exit

10. 将VLAN 11与DHCP地址池FB-11关联：

    interface vlan11

    ip helper-address 192.168.11.1

    exit

11. 为VLAN 21配置DHCP地址池（FB-21）：

    ip pool FB-21

     network 192.168.21.0 255.255.255.0

    default-router 192.168.21.1

    dns-server 8.8.8.8

    lease 4h

    exit

12. 将VLAN 21与DHCP地址池FB-21关联：

    interface vlan21

    ip helper-address 192.168.21.1

    exit

13. 退出配置模式并保存配置：

    end

    write memory

以上步骤将为分公司的财务和技术人员提供自动获取IP地址的DHCP服务。请根据实际情况调整IP地址、子网掩码和其他参数。

(四)、 配置 2 个 SSID，分别为“DCN-2.4”和“DCN-5.0”。“DCN-2.4”对应业务 Vlan 11， 使用 network 11, 用户接入无线网络时需要采用基于 WPA-personal 加密方式，其口令为 11 / 20 “DCN123456”；“DCN-5.0”对应业务 Vlan 21，使用 network 21，不需要认证但是需要隐藏 SSID。 要求无线 AP 通过相关配置来实现，“DCN-5.0”的 SSID 只使用倒数第一个可用 VAP 发送 5.0G 信号。

为了完成这个配置任务，我们需要按照以下步骤操作。这里假设你已经登录到神州数码的无线AP管理界面。

步骤1：创建VLAN

首先，我们需要创建两个VLAN，分别是Vlan 11和Vlan 21。

登录到无线AP的管理界面。导航到VLAN配置部分。创建Vlan 11，并确保它的网络接口设置为network 11。创建Vlan 21，并确保它的网络接口设置为network 21。

步骤2：配置SSID "DCN-2.4"

接下来，我们需要配置第一个SSID "DCN-2.4"。

在管理界面中找到无线配置或SSID配置部分。添加一个新的SSID。设置SSID名称为"DCN-2.4"。将该SSID分配给Vlan 11。设置安全模式为WPA-personal。输入密码"DCN123456"。保存配置。

步骤3：配置SSID "DCN-5.0"

现在，我们需要配置第二个SSID "DCN-5.0"。

在同一个无线配置或SSID配置部分，添加另一个新的SSID。设置SSID名称为"DCN-5.0"。将该SSID分配给Vlan 21。关闭认证功能，以实现无需认证的接入。设置SSID为隐藏，这样它就不会在客户端设备上显示。确保该SSID仅在最后一个可用的VAP上发送5.0G信号。这可能需要查看你的无线AP的VAP列表，并选择相应的VAP。保存配置。

步骤4：应用和测试

最后，我们需要应用配置并进行测试。应用所有更改并保存配置。重新启动无线AP（如果需要）。使用支持WPA-personal的设备尝试连接到"DCN-2.4" SSID，并确保可以使用密码"DCN123456"成功连接。使用另一台设备尝试搜索无线网络，确认"DCN-5.0" SSID不会显示，但可以通过直接输入SSID和网络信息进行连接。

请注意，具体的命令和步骤可能会根据神州数码无线AP的型号和固件版本有所不同。

(五)、 通过配置防止多 AP 和 AC 相连时过多的安全认证连接而消耗 CPU 资源，检测到 AP 与 AC 在 10 分钟内建立连接 5 次就不在允许继续连接，两小时后恢复正常。

我们需要在神州数码的设备上配置相关的AAA认证策略。以下是基于Cisco设备配置的示例步骤，由于神州数码设备的具体命令可能与Cisco有所不同，但大体思路是相似的。请您根据实际情况调整命令。

1. 进入AAA配置模式：

Router(config)# aaa new-model

2. 创建一个自定义的认证方法列表，用于限制AP与AC的连接次数：

Router(config)# aaa authentication login my-method list 1

Router(config-aaa-authen)# method local

Router(config-aaa-authen)# method radius

3. 在方法列表中设置重试次数和时间限制：

Router(config-aaa-authen)# max-fail-attempts 5

Router(config-aaa-authen)# fail-time 120 // 2小时

4. 为AP和AC之间的PPP连接配置AAA认证：

Router(config)# interface [接口名称]

Router(config-if)# aaa authentication ppp default my-method

5. 应用配置并保存：

Router(config)# end

Router# write memory

请注意，以上步骤中的命令是基于Cisco设备的配置方法。神州数码设备可能需要使用不同的命令或参数。

(六)、 配置所有 Radio 接口：AP 在收到错误帧时，将不再发送 ACK 帧；打开 AP 组播广播 突发限制功能；开启 Radio 的自动信道调整，每天上午 10:00 触发信道调整功能。

为了完成您的要求，我们需要配置神州数码品牌的无线接入点（AP）的特定功能。以下是详细的命令步骤：

1. 登录到AP的管理界面：

   - 使用浏览器输入AP的IP地址（例如：192.168.1.10）。

   - 输入登录用户名和密码（默认为admin/admin）。

2. 进入配置模式：

   - 在管理界面中找到“系统管理”或类似的选项。

   - 选择“命令行管理”或“CLI管理”以进入命令行界面。

3. 配置Radio接口以忽略错误帧并停止发送ACK：

   - 输入以下命令（假设我们配置第一个Radio接口）：

     set radio 0 no-ack

   - 保存配置。

4. 打开AP组播广播限制功能：

   - 输入以下命令：

     set multicast broadcast enable

   - 保存配置。

5. 开启Radio的自动信道调整功能：

   - 输入以下命令：

     set auto-channel enable

   - 保存配置。

6. 设置每天上午10:00触发信道调整：

   - 输入以下命令来设置定时任务（具体命令可能因设备型号而异）：

     set schedule task channel-adjustment start-time 10:00 repeat daily

   - 保存配置。

请注意，以上命令是基于通用的配置流程。具体的命令可能会因神州数码不同型号的AP而有所不同。

六、安全策略配置(60 分)

(一)、 集团防火墙与托管机房防火墙根据题目要求配置相应的安全域。

为了配置神州数码集团防火墙与托管机房防火墙的安全域，我们需要按照以下步骤逐一执行命令。请注意，这些命令是基于通用的网络设备配置逻辑，具体的命令可能会根据神州数码设备的型号和系统版本有所不同。

1. 登录到防火墙的管理界面：

   - 使用CONSOLE线连接到防火墙。

   - 输入用户名和密码登录。

2. 进入特权模式：

   enable

3. 创建安全域（假设我们要创建两个安全域：DMZ和INTERNAL）：

   config

   firewall security-domain create DMZ

   firewall security-domain create INTERNAL

   exit

4. 为每个安全域分配相应的接口（假设接口GigabitEthernet0/0是连接到托管机房的，GigabitEthernet0/1是内部网络）：

   config

   firewall security-domain DMZ interface GigabitEthernet0/0

   firewall security-domain INTERNAL interface GigabitEthernet0/1

   exit

5. 配置安全域间的安全策略（例如，允许从DMZ到INTERNAL的流量）：

   config

   firewall policy 10

    action permit

    source security-domain DMZ

    destination security-domain INTERNAL

    exit

   firewall policy 20

    action permit

    source security-domain INTERNAL

    destination security-domain DMZ

    exit

   firewall policy default-action deny

   exit

6. 保存配置：

   write memory

7. 测试配置是否生效：

   - 从DMZ网络尝试访问INTERNAL网络的资源。

   - 从INTERNAL网络尝试访问DMZ网络的资源。

8. 如果一切正常，退出管理界面：

   exit

请根据实际情况调整上述步骤中的接口名称、安全域名称和策略规则。在实际操作中，可能还需要考虑其他因素，如NAT配置、VPN连接等。

 (二)、 集团防火墙的出口带宽为 800Mbps，为更加合理使用出口资源，要求出口口带宽在 小于 480Mbps 时，集团内营销、研发、行政、财务 4 个业务网段每 IP 上下行最大 5Mbps 带宽。 在出口带宽大于 720Mbps 时，办事处业务网段每 IP 上下行最大 2Mbps 带宽，同时要求在流量 变化期间带宽增长速率为 2 倍，在任何时候都要确保网页访问服务占每 IP 带宽的 40%。

为了实现集团防火墙出口带宽的限制和分配，我们需要配置相应的防火墙规则。以下是详细的命令步骤：

1. 登录到神州数码防火墙的管理界面。

2. 创建业务网段的访问控制列表（ACL）：

   a. 为营销、研发、行政、财务网段创建一个ACL，允许这些网段的IP地址。

   b. 为办事处业务网段创建一个独立的ACL，允许该网段的IP地址。

3. 创建带宽限制策略：

   a. 创建一个策略，当出口带宽小于480Mbps时，为营销、研发、行政、财务网段的每个IP分配最大5Mbps的上行和下行带宽。

   b. 创建另一个策略，当出口带宽大于720Mbps时，为办事处业务网段的每个IP分配最大2Mbps的上行和下行带宽。

4. 配置带宽增长速率：

   a. 在上述策略中，设置带宽增长速率为2倍。

5. 确保网页访问服务带宽：

   a. 为网页访问服务创建一个服务对象，定义其端口范围（例如HTTP的80端口和HTTPS的443端口）。

   b. 在每个策略中，为网页访问服务分配每IP带宽的40%。

6. 应用ACL和策略：

   a. 将创建的ACL应用到防火墙的相应接口上。

   b. 将带宽限制策略应用到相应的业务网段。

7. 保存配置并激活规则。

请注意，具体的命令和操作可能会根据神州数码防火墙的型号和固件版本有所不同。请参考设备的具体文档进行操作。

 (三)、 为防止集团内部收到垃圾邮件，请在防火墙上配置邮箱过滤，过滤含有“商业中心” 字样的邮件。

为了在神州数码防火墙上配置邮箱过滤以防止垃圾邮件，你需要按照以下步骤操作：

1. 登录到神州数码防火墙的管理界面。这通常需要通过SSH或Telnet远程访问，或者直接在控制台上进行。

2. 进入特权模式。在命令行界面输入 `enable`，然后输入特权模式的密码（如果有的话）。

3. 进入全局配置模式。在特权模式下输入 `configure terminal` 或简写 `config`。

4. 找到并进入防火墙的邮件过滤配置部分。神州数码的设备可能没有直接的邮件过滤功能，因为大多数网络设备不处理邮件内容。但如果有这样的功能，你可能需要找到类似 `mail-filtering` 或 `spam-filtering` 的配置命令。

5. 创建或修改过滤规则。如果设备支持邮件过滤，你需要创建一个新的规则来匹配包含“商业中心”字样的邮件。具体的命令可能会类似于 `create mail-filter rule "block_commercial_center" content "商业中心" action block`。这里的 `action block` 表示匹配到的邮件将被阻止。

6. 应用并保存配置。在完成规则设置后，你需要保存配置。在神州数码设备上，这通常通过输入 `write memory` 或 `copy running-config startup-config` 来完成。

7. 测试配置。发送一封包含“商业中心”字样的测试邮件，检查是否被成功过滤。

请注意，上述步骤是基于假设神州数码防火墙具有邮件过滤功能的一般性指导。实际上，大多数网络防火墙设备并不直接处理邮件内容，而是依赖于邮件服务器或邮件网关设备来进行邮件过滤。如果你的神州数码设备确实有邮件过滤功能，请参考设备的官方文档以获取准确的命令和步骤。

 (四)、 为保证集团 Internet 出口线路，在集团防火墙上使用相关技术，通过 ping 监控外 网网关地址，每隔 5S 发送探测报文，连续 10 次收不到监测报文，就认为线路故障，直接关闭 外网接口。

为了实现您所描述的功能，我们需要在神州数码的设备上配置一个周期性的ping任务，以及相应的故障检测和接口关闭逻辑。以下是基于CLI（命令行界面）的配置步骤：

1. 登录到神州数码设备的特权模式：

Switch> enable

Switch#

2. 进入全局配置模式：

Switch# configure terminal

Switch(config)#

3. 创建一个定时任务（假设使用schedule这个词，具体命令可能因设备型号而异）：

Switch(config)# schedule name "PingMonitor" interval 5 repeat 10

4. 在定时任务中添加ping命令以监控外网网关地址（假设外网网关为10.1.128.1）：

Switch(config-schedule)# ping host 10.1.128.1

5. 配置连续失败次数阈值（假设为10次）：

Switch(config-schedule)# failure threshold 10

6. 配置接口关闭逻辑（假设外网接口为Ethernet0/1）：

Switch(config-schedule)# action interface Ethernet0/1 shutdown

7. 退出配置模式并保存配置：

Switch(config)# exit

Switch# write memory

请注意，以上步骤是基于一般性的CLI操作提供的示例。神州数码设备的具体命令可能会有所不同，您需要参考该设备的具体配置手册或者联系神州数码的技术支持以获取确切的命令。此外，自动关闭接口可能会导致网络中断，建议在实施前进行充分的测试。

七、广域网业务选路(30 分)

(一)、 考虑到从集团到分公司共有二条链路，且其带宽不一样，集团营销业务网段与分公 司财务网段互访只允许在集团路由器与分公司路由器之间 S 口专线转发；集团营销业务网段与 分公司营销、技术业务网段互访只允许在集团路由器与分公司路由器以太网专线间转发，同时 以太网专线链路还作为集团营销业务网段与分公司财务业务网段互访备用链路。根据以上需求 在相关路由器上进行合理的业务选路配置。具体要求如下：

 1. 使用 IP 前缀列表匹配上述业务数据流；

 2. 使用 LP 属性进行业务选路，只允许使用 route-map 来改变 LP 属性、实现路由控制， LP 属性可配置的参数数值为：200

要实现这样的网络配置，我们需要在路由器上进行精确的策略控制来满足业务流量的需求。这涉及到使用IP前缀列表、路由图（route-map）以及本地优先级（Local Preference, LP）属性的设置。下面是如何一步一步实现这些配置的详细说明：

第一步：定义IP前缀列表

首先，我们需要定义两个IP前缀列表，一个用于匹配集团营销业务网段，另一个用于匹配分公司的财务、营销和技术业务网段。假设集团营销业务网段为192.168.1.0/24，分公司财务网段为192.168.2.0/24，分公司营销和技术网段为192.168.3.0/24和192.168.4.0/24。

ip prefix-list GroupMarketing seq 10 permit 192.168.1.0/24

ip prefix-list BranchFinance seq 10 permit 192.168.2.0/24

ip prefix-list BranchMarketingTech seq 10 permit 192.168.3.0/24

ip prefix-list BranchMarketingTech seq 20 permit 192.168.4.0/24

第二步：定义路由图（route-map）

接下来，使用路由图（route-map）来指定匹配到的前缀列表应如何改变LP属性。我们需要为集团营销业务网段与分公司财务网段间的互访设置较高的本地优先级（例如，200），以保证这些流量优先通过S口专线转发。

route-map SetLP permit 10

 match ip address prefix-list GroupMarketing

 set local-preference 200

 第三步：应用路由图到BGP配置

最后，需要将这个路由图应用到BGP配置中，以实现路由控制。这里假设集团和分公司之间的路由器都使用BGP协议进行路由信息的交换。将路由图应用到从分公司发往集团的BGP邻居配置中，以确保只有符合条件的路由可以被修改LP属性。

router bgp <AS号>

 neighbor <分公司路由器的IP> route-map SetLP in

这里`<AS号>`需要替换为你的BGP自治系统号，`<分公司路由器的IP>`需要替换为分公司路由器的实际IP地址。

注意事项

- 实际操作中，IP地址和AS号需要根据实际网络环境进行替换。

- 在分公司路由器上也可能需要进行相应的配置，以确保流量的双向控制。

- 需要确保路由器间已经建立了BGP邻居关系，并且可以正常交换路由信息。

以上步骤仅提供一个配置的基本框架，实际应用中可能还需要考虑其他因素，如BGP会话的安全性、路由器的具体型号和支持的特性等。

作者：谁能看清夜（点击访问）

Q群：940032064
欢迎各位！！！