2025年中职学生技能大赛企业网络搭建及应用试题（附答案）

2025年中职学生技能大赛企业网络搭建及应用试题（附答案）一、项目背景某制造企业因业务扩展，需搭建新园区网络。园区包含4个部门：行政部（20人）、财务部（10人）、销售部（30人）、生产部（50人），另设服务器区（含Web服务器、文件服务器、邮件服务器各1台）及无线办公区（覆盖办公大厅，支持50人同时接入）。网络需满足以下需求：1.部门间二层隔离（行政部VLAN10、财务部VLAN20、销售部VLAN30、生产部VLAN40），服务器区VLAN50；2.核心层与接入层采用千兆链路，出口链路为1000Mbps（连接互联网及总部，总部IP：202.100.1.2/30）；3.财务部门仅允许访问服务器区及总部，禁止访问互联网及其他部门；4.无线办公区SSID为“Enterprise-WiFi”，采用WPA2-PSK加密（密码：Ente123!），用户隔离（同一SSID内用户无法互访），并划分至VLAN60；5.服务器区需启用端口安全（单端口仅允许1个MAC地址，违规则shutdown端口）；6.全网通过OSPFv2实现路由互通（区域0为骨干区域，核心设备属区域0，接入设备属区域1）；7.出口设备需实现内网用户访问互联网的NAT转换，并为各部门分配固定网关（行政部网关192.168.1.254/24，财务部192.168.2.254/24，销售部192.168.3.254/24，生产部192.168.4.254/24，服务器区192.168.5.254/24，无线区192.168.6.254/24）；8.所有设备管理IP为192.168.0.0/24网段（设备管理地址：核心交换机S1：192.168.0.1/24，接入交换机S2-S5：192.168.0.2-5/24，出口路由器R1：192.168.0.6/24，无线控制器AC：192.168.0.7/24）。二、设备清单|设备类型|数量|型号（模拟环境）|接口说明||-|||||核心交换机|1|H3CS5130|24个千兆电口，4个SFP光口||接入交换机|4|H3CS5024|24个千兆电口||出口路由器|1|H3CARG3|2个千兆电口（GE0/0/0、GE0/0/1），1个光口（连接总部）||无线控制器|1|H3CWX3024|4个千兆电口，支持管理80个AP||无线AP|3|H3CWA4320|双频（2.4G+5G），支持802.11ac||服务器|3|通用x86服务器|千兆网口|三、操作任务及要求（总分100分）任务1：网络拓扑设计（10分）要求：根据需求绘制物理拓扑图（需标注设备连接关系、链路类型及VLAN规划），并填写IP地址规划表（包含部门/区域、VLAN、IP网段、网关、DHCP地址池范围）。任务2：设备基础配置（15分）要求：完成所有设备的基本配置（设备命名、管理IP、登录密码、时钟同步）。-设备命名规则：核心交换机S1，行政部接入交换机S2，财务部S3，销售部S4，生产部S5，出口路由器R1，无线控制器AC。-登录密码：所有设备Console密码为“Admin123!”，远程管理密码为“Admin456!”。-管理IP：按背景要求配置，网关为192.168.0.254（由R1虚拟接口提供）。任务3：交换网络配置（20分）要求：1.在接入交换机S2-S5上创建对应VLAN（S2：VLAN10，S3：VLAN20，S4：VLAN30，S5：VLAN40），并将部门终端接入端口设置为Access模式，PVID对应VLAN；2.核心交换机S1与接入交换机S2-S5的互联端口设置为Trunk模式，允许所有业务VLAN（10-60）通过；3.服务器区接入端口（S1的G0/0/24）设置为Access模式，PVIDVLAN50；4.启用生成树协议（STP），根桥为S1，优先级4096。任务4：路由与访问控制配置（20分）要求：1.核心交换机S1与出口路由器R1互联（S1的G0/0/23→R1的GE0/0/0），配置三层互联地址（S1：10.0.0.1/30，R1：10.0.0.2/30）；2.全网运行OSPFv2，区域划分：S1、R1属区域0，S2-S5属区域1；3.在R1上配置NAT，将内网各部门（VLAN10-40、60）IP地址转换为出口公网地址（202.100.1.1/30）；4.在R1上配置ACL，禁止财务部（192.168.2.0/24）访问互联网（源地址192.168.2.0/24，目的地址0.0.0.0/0），但允许访问服务器区（192.168.5.0/24）及总部（202.100.1.2/30）。任务5：无线覆盖配置（15分）要求：1.无线控制器AC通过GE0/0/1接入核心交换机S1（IP：192.168.0.7/24）；2.配置AP上线（AC地址：192.168.0.7，AP采用DHCP获取IP并注册到AC）；3.创建SSID“Enterprise-WiFi”，绑定VLAN60，加密方式WPA2-PSK（密码Ente123!），启用用户隔离；4.验证AP信号覆盖（办公大厅测试点RSSI≥-65dBm）。任务6：服务器区安全配置（10分）要求：1.在S1的服务器接入端口（G0/0/24）启用端口安全，最大学习MAC数1，违规动作shutdown；2.配置DHCP服务器（可使用R1或独立服务器），为各部门分配IP（行政部：192.168.1.1-200，财务部：192.168.2.1-50，销售部：192.168.3.1-250，生产部：192.168.4.1-250，无线区：192.168.6.1-250），排除网关地址。任务7：故障排查（10分）模拟以下故障，要求定位并修复：1.财务部终端无法访问服务器区（现象：192.168.2.10ping192.168.5.10不通）；2.无线用户无法获取IP（现象：手机连接“Enterprise-WiFi”后提示“无法获取IP地址”）。试题答案任务1：网络拓扑设计物理拓扑图（文字描述）：核心交换机S1通过千兆电口连接接入交换机S2（行政）、S3（财务）、S4（销售）、S5（生产）及无线控制器AC；S1通过千兆光口连接出口路由器R1（GE0/0/0）；R1的GE0/0/1连接互联网，光口（如SFP0/0/0）连接总部（202.100.1.2/30）。AP通过POE接入S2-S5的空闲端口（如S2的G0/0/23），注册到AC。IP地址规划表：|部门/区域|VLAN|IP网段|网关|DHCP地址池范围||||--|-|--||行政部|10|192.168.1.0/24|192.168.1.254|192.168.1.1-200||财务部|20|192.168.2.0/24|192.168.2.254|192.168.2.1-50||销售部|30|192.168.3.0/24|192.168.3.254|192.168.3.1-250||生产部|40|192.168.4.0/24|192.168.4.254|192.168.4.1-250||服务器区|50|192.168.5.0/24|192.168.5.254|手动分配（固定IP）||无线办公区|60|192.168.6.0/24|192.168.6.254|192.168.6.1-250|任务2：设备基础配置S1配置：```plaintextsystem-viewsysnameS1user-interfaceconsole0authentication-modepasswordsetauthenticationpasswordcipherAdmin123!user-interfacevty04authentication-modepasswordsetauthenticationpasswordcipherAdmin456!interfaceVlanif1ipaddress192.168.0.1255.255.255.0clocktimezoneBeiJingadd08:00:00clockdatetime2024-05-2010:00:00```S2配置（其他接入交换机类似，修改管理IP）：```plaintextsysnameS2user-interfaceconsole0setauthenticationpasswordcipherAdmin123!user-interfacevty04setauthenticationpasswordcipherAdmin456!interfaceVlanif1ipaddress192.168.0.2255.255.255.0```R1配置：```plaintextsysnameR1user-interfaceconsole0setauthenticationpasswordcipherAdmin123!user-interfacevty04setauthenticationpasswordcipherAdmin456!interfaceVlanif1ipaddress192.168.0.6255.255.255.0```任务3：交换网络配置S2（行政部接入）配置：```plaintextvlan10portg0/0/1tog0/0/20accessvlan10前20口接行政终端interfaceg0/0/24portlink-typetrunkporttrunkallow-passvlan102030405060互联核心的Trunk口```S1（核心）配置：```plaintextstpmodestpstppriority4096根桥interfaceg0/0/1连接S2的端口portlink-typetrunkporttrunkallow-passvlan102030405060interfaceg0/0/24服务器区端口portlink-typeaccessportdefaultvlan50port-securityenableport-securitymax-mac-count1port-securityprotect-actionshutdown```任务4：路由与访问控制配置S1与R1互联配置：```plaintextS1interfaceGigabitEthernet0/0/23portlink-typeaccessportdefaultvlan100互联专用VLANinterfaceVlanif100ipaddress10.0.0.1255.255.255.252R1interfaceGigabitEthernet0/0/0portlink-typeaccessportdefaultvlan100interfaceVlanif100ipaddress10.0.0.2255.255.255.252```OSPF配置：```plaintextS1ospf1router-id1.1.1.1area0network10.0.0.00.0.0.3互联地址network192.168.0.00.0.0.255管理网段network192.168.1.00.0.0.255行政部network192.168.2.00.0.0.255财务部（实际由接入交换机宣告，此处为示例）S2（区域1）ospf1router-id2.2.2.2area1network192.168.1.00.0.0.255R1（区域0）ospf1router-id6.6.6.6area0network10.0.0.00.0.0.3network202.100.1.00.0.0.3总部互联地址```NAT配置（R1）：```plaintextaclbasic2000rule5permitsource192.168.1.00.0.0.255行政部rule10permitsource192.168.3.00.0.0.255销售部rule15permitsource192.168.4.00.0.0.255生产部rule20permitsource192.168.6.00.0.0.255无线区interfaceGigabitEthernet0/0/1互联网出口natoutbound2000```ACL配置（禁止财务部访问互联网）：```plaintextacladvanced3000rule5denyipsource192.168.2.00.0.0.255destination0.0.0.00.0.0.0拒绝所有互联网访问rule10permitipsource192.168.2.00.0.0.255destination192.168.5.00.0.0.255允许服务器区rule15permitipsource192.168.2.00.0.0.255destination202.100.1.20.0.0.0允许总部interfaceGigabitEthernet0/0/1traffic-filterinboundacl3000```任务5：无线覆盖配置AC基础配置：```plaintextsysnameACinterfaceVlanif1ipaddress192.168.0.7255.255.255.0wlanenableap-auth-modemac-authMAC认证自动注册```SSID配置：```plaintextwlanservice-template1clearssidEnterprise-WiFivlan60securitywpa-wpa2pskpass-phraseEnte123!cipheraesservice-template1enableuser-isolationenable用户隔离```AP上线验证：```plaintextdisplaywlanapall查看AP状态是否为“Connected”```任务6：服务器区安全与DHCP配置端口安全（S1的G0/0/24）：已在任务3中配置，命令为：```plaintextport-securityenableport-securitymax-mac-count1port-securityprotect-actionshutdown```DHCP配置（R1）：```plaintextdhcpenable行政部地址池dhcpserverip-pooladminnetwork192.168.1.0mask255.255.255.0gateway-list192.168.1.254excluded-i