26年网络建设与运维样题一的网络建设与调试模块完整配置方案（深一职-华为）

Ne0inhk

15 Mar 2026 — 23 min read

模块一：网络建设与调试
任务描述：
某集团公司原在城市A成立了总公司，后在城市B成立了分公司，又在城市 C 建立了办事处。集团设有产品、营销、法务、财务、人力5 个部门，统一进行 IP 及业务资源的规划和分配，全网采用 OSPF、
RIP、ISIS、BGP 路由协议进行互联互通。
随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要素潜能，为社会创造更多价值，集团决定在总公司建立两个数据中心，在某省建立异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构演进，更好的服务于公司客户。
网络拓扑图：

模块一网络建设与调试完整配置方案

本配置方案基于赛题要求，涵盖交换配置、路由调试、策略调试三大核心部分，采用华为设备命令行体系（大赛主流设备体系），按赛题要求完成所有配置项，同时附关键解析说明。

通用前提配置

所有设备先完成基础初始化：

sysname 设备名 // 如CE-1、FW-1、RT-1，严格对应赛题命名 undo info-center enable // 关闭日志刷屏 clock timezone CST add 08:00 // 统一东八区时区

所有接口配置前先执行undo shutdown，IP地址严格按赛题网络设备IP地址分配表配置，二层接口默认port link-type access，互联三层接口默认port link-mode route。

一、交换配置

赛题核心要求：VLAN划分、VPN隔离、STP优化、管理接口、SNMPv3、防DDOS、接口流量监控，涉及设备CE-1、CE-2、CE-3、CE-4。

1. VLAN配置（CE-1/CE-2/CE-3/CE-4）

严格按赛题VLAN-端口映射表配置，二层链路仅允许对应VLAN通过，互联链路做VLAN透传时需配置trunk并放行指定VLAN。

（1）CE-1 VLAN配置

vlan batch 10 20 30 40 50 4092 // 批量创建VLAN，含管理VLAN4092 interface GigabitEthernet 1/0/10 port link-type access port default vlan 10 interface GigabitEthernet 1/0/11 port link-type access port default vlan 20 interface GigabitEthernet 1/0/12 port link-type access port default vlan 30 interface GigabitEthernet 1/0/13 port link-type access port default vlan 40 interface GigabitEthernet 1/0/14 port link-type access port default vlan 50 // CE-1与CE-2/CE-3互联链路按赛题要求配置trunk，放行对应VLAN interface GigabitEthernet 1/0/1 port link-type trunk port trunk allow-pass vlan 10 20 30 40 50 4092 interface GigabitEthernet 1/0/2 port link-type trunk port trunk allow-pass vlan 40 // 仅财务VPN VLAN40

（2）CE-2/CE-3/CE-4 VLAN配置

同CE-1逻辑，严格按赛题表格映射端口与VLAN，互联链路按赛题要求放行对应VLAN，示例（CE-3）：

vlan batch 10 20 30 40 50 4092 interface GigabitEthernet 1/0/0 port link-type access port default vlan 10 interface GigabitEthernet 1/0/1 port link-type access port default vlan 20 interface GigabitEthernet 1/0/2 port link-type access port default vlan 30 interface GigabitEthernet 1/0/3 port link-type access port default vlan 40 interface GigabitEthernet 1/0/4 port link-type access port default vlan 50

解析：二层链路仅允许对应VLAN通过，核心是access口绑定专属VLAN、trunk口仅放行业务VLAN，杜绝无关VLAN流量透传。

2. 裸光缆业务隔离+STP优化（CE-1/CE-2/CE-3）

赛题要求：3条裸光缆分别承载三层IP、VPN（财务Finance）、二层业务；财务路由表隔离，二层业务STP以CE-1为根、CE-2为备份，加快收敛。

（1）财务VPN实例创建（所有CE设备）

ip vpn-instance Finance // 财务VPN实例名称严格为Finance ipv4-family route-distinguisher 65500:100 // 后续MPLS VPN统一RD/RT vpn-target 65500:100 export-extcommunity vpn-target 65500:100 import-extcommunity // 财务VLAN40接口绑定VPN实例 interface Vlanif40 ip binding vpn-instance Finance ip address 赛题指定IP 子网掩码 // 如CE-1 Vlanif40:10.1.40.1/24

（2）三层IP/二层业务链路划分

三层IP链路：接口配置为port link-mode route，配置三层IP，运行OSPF；
VPN链路：接口绑定Finance VPN实例，运行MP-BGP；
二层业务链路：配置为trunk口，放行所有业务VLAN，启用RSTP（加快收敛）。

（3）STP/RSTP优化（二层业务链路）

所有CE设备启用RSTP，设置CE-1为根桥、CE-2为备份根桥，所有VLAN共用一个拓扑：

stp mode rstp // 启用快速生成树，加快故障收敛 stp root primary // CE-1配置为主根桥 stp priority 4096 // 根桥优先级设为4096（最小值） // CE-2配置为备份根桥 stp root secondary stp priority 8192 // CE-3配置默认优先级（32768） stp priority 32768 // 二层业务链路禁用STP边缘端口，开启BPDU保护 interface 二层业务互联接口 stp bpdu-protection enable stp cost 100 // 配置链路开销，优化选路

解析：RSTP相比STP收敛时间从秒级降至毫秒级，满足赛题“故障快速切换”要求；根桥优先级数值越小，优先级越高。

3. CE-3模拟Internet交换机+路由隔离

ip vpn-instance Internet // Internet VPN实例名称严格为Internet ipv4-family route-distinguisher 65500:200 // 独立RD，与Finance隔离 vpn-target 65500:200 export-extcommunity vpn-target 65500:200 import-extcommunity // CE-3与RT-1/RT-2/RT-3/RT-4互联接口绑定Internet VPN实例 interface GigabitEthernet 0/0/12 ip binding vpn-instance Internet ip address 100.1.0.10/30 // 赛题指定IP // CE-3环回口绑定Internet VPN interface LoopBack100 ip binding vpn-instance Internet ip address 2001:DB8:CAFE:FFFF::100/128

解析：通过VPN实例实现Internet路由表与集团业务路由表完全隔离，避免公网路由污染内网。

4. CE设备管理接口配置

所有CE设备配置管理接口IP为10.255.255.254/24，非自协商、速率1000M：

interface Vlanif4092 // 用VLAN4092作为管理接口 ip address 10.255.255.254 255.255.255.0 // 管理物理接口配置非自协商+1000M速率 interface GigabitEthernet 1/0/0 // 指定管理物理口 port link-type access port default vlan 4092 speed 1000 // 速率1000M duplex full // 全双工 negotiation auto undo // 关闭自协商（非自协商模式）

解析：非自协商模式需手动指定速率和双工，避免链路协商失败导致管理不通。

5. CE-1 SNMPv3配置（赛题核心高安全级别）

赛题要求：SNMPv3、密码最小长度6、引擎ID1000、组GdSkills、用户UserSkills、AES/SHA加密、Trap告警（屏蔽法务VLAN接口UP/DOWN）。

// 1. 配置SNMP引擎ID snmp-agent engineid local 1000 // 引擎ID严格为1000 // 2. 配置密码最小长度 snmp-agent password min-length 6 // 3. 创建SNMP视图 snmp-agent mib-view included Skills_R iso // 读视图Skills_R，包含所有MIB snmp-agent mib-view included Skills_W iso // 写视图Skills_W，包含所有MIB // 4. 创建SNMP组GdSkills，最高安全级别（authpriv：认证+加密） snmp-agent group v3 GdSkills authpriv read-view Skills_R write-view Skills_W // 5. 创建SNMPv3用户UserSkills，AES加密、SHA哈希，密钥均为Key-1122 snmp-agent user v3 UserSkills group GdSkills auth sha Key-1122 priv aes256 Key-1122 // 6. 配置Trap告警，发送至网管服务器，最高安全级别 snmp-agent trap enable snmp-agent target-host trap address udp-domain 10.255.255.100 udp-port 162 v3 authpriv user UserSkills snmp-agent target-host trap address ipv6 udp-domain 2001:10:255:255::100 udp-port 162 v3 authpriv user UserSkills // 7. 用Loopback1发送Trap snmp-agent trap source LoopBack1 // 8. 屏蔽法务部门接口（VLAN30）UP/DOWN Trap interface GigabitEthernet 1/0/12 // CE-1法务VLAN30对应端口 snmp-agent trap disable interface updown interface Vlanif30 snmp-agent trap disable interface updown

解析：SNMPv3最高安全级别为authpriv（认证+加密），区别于v2c的明文传输；屏蔽指定接口UP/DOWN Trap需在物理口和三层VLAN口同时配置。

6. 防DDOS（TCP SYN报文限速）

所有CE设备配置TCP SYN报文限速，速率10MB/s，超出丢弃：

// 开启防DDOS模块 ddos defense enable // 配置TCP SYN限速策略，10MB/s traffic-limit template TCP-SYN tcp syn speed 10 unit mbps // 速率10MB/s action discard // 超出丢弃 // 全局应用限速策略 interface all // 所有接口应用 traffic-limit apply TCP-SYN inbound

解析：TCP SYN泛洪是典型DDOS攻击，通过速率限制阻断攻击流量，保护设备CPU和内存。

7. CE-3接口流量监控

赛题要求：监控CE-3与CE-1的端口，编号映射19→10、18→20、17→30；实时采样属主PRODUCT-STAT，历史采样1分钟/次，监控24小时。

// 1. 接口编号映射 interface GigabitEthernet 1/0/19 flow-interval 10 // 映射为10号监控口 interface GigabitEthernet 1/0/18 flow-interval 20 // 映射为20号监控口 interface GigabitEthernet 1/0/17 flow-interval 30 // 映射为30号监控口 // 2. 开启流量监控 netstream enable netstream sampler fix-packet 100 inbound // 采样率1:100 // 3. 实时采样配置，属主PRODUCT-STAT netstream export template timeout 1 netstream export owner PRODUCT-STAT // 4. 历史采样配置，1分钟/次，保存24小时（1440分钟） statistics interval 1 // 采样间隔1分钟 statistics save 24 // 保存24小时 statistics file path flash:/netstream // 采样文件存储路径 // 5. 开启接口流量统计 interface GigabitEthernet 1/0/17 to 1/0/19 netstream inbound netstream outbound ip netstream statistics enable

解析：流量监控核心是采样率+间隔+保存时长，赛题要求1分钟采样一次，24小时共1440个采样点，需确保设备存储足够。

二、路由调试

赛题核心要求：SSH配置、NTP服务、OSPF/RIP/ISIS/BGP路由部署、IPSec VPN、MPLS VPN、eBGP/iBGP，涉及所有CE/RT/FW设备。

1. 所有CE设备SSH服务配置

赛题要求：用户名admin@gdskills，密码Pass-1234，密码过期30天。

// 开启SSH服务 stelnet server enable ssh user admin@gdskills ssh user admin@gdskills authentication-type password ssh user admin@gdskills service-type stelnet // 配置用户密码及过期时间 local-user admin@gdskills password irreversible-cipher Pass-1234 local-user admin@gdskills service-type ssh local-user admin@gdskills password expire 30 // 30天过期 // 开启AAA认证 aaa authentication-scheme default authentication-mode local authorization-scheme default authorization-mode local accounting-scheme default domain default authentication-scheme default authorization-scheme default accounting-scheme default // 控制台配置 user-interface vty 0 15 authentication-mode aaa protocol inbound ssh

解析：SSH服务需开启stelnet，用户名为带域名的格式admin@gdskills，密码采用不可逆加密。

2. CE-1 NTP服务配置（Stratum 2，全网NTP服务器）

// 1. 配置CE-1为NTP Server，Stratum 2 ntp service enable ntp server local stratum 2 // 2. 所有接口侦听NTP请求 ntp listen all-interface // 3. 配置NTP会话最大数30，同步间隔5分钟 ntp max-sessions 30 ntp update-interval 300 // 300秒=5分钟 // 4. 其他总部CE设备（CE-2/CE-3）配置NTP客户端，指向CE-1 LoopBack1 ntp service enable ntp server 10.1.1.101 // CE-1 LoopBack1的IPv4地址

解析：NTP层级（Stratum）越小，时钟精度越高，Stratum 2为二级时钟源；同步间隔5分钟需转换为秒级（300秒）。

3. 集团总部OSPFv2/OSPFv3配置（CE-1/CE-2/CE-3/FW-1）

赛题要求：进程10，骨干区域（0）承载互联链路，区域100承载业务网段，财务段不发布，FW-1发布Type 1默认路由（永久通告）。

（1）FW-1 OSPFv2/OSPFv3配置

// OSPFv2 进程10 ospf 10 router-id 10.1.1.1 // router-id为LoopBack1地址 area 0 network 10.1.64.0 0.0.3.255 // 与RT-1/RT-2/CE-1/CE-2互联网段 area 100 // 不发布财务网段，仅发布业务网段 network 10.1.10.0 0.0.0.255 network 10.1.20.0 0.0.0.255 // 发布Type 1默认路由，永久通告 ospf 10 default-route-advertise always type 1 // OSPFv3 进程10 ospfv3 10 router-id 10.1.1.1 ipv6 enable area 0 interface GigabitEthernet 1/0/0 to 1/0/3 area 100 interface Vlanif10 Vlanif20 Vlanif30 Vlanif50 // OSPFv3发布默认路由 ospfv3 10 default-route-advertise always type 1

（2）CE-1/CE-2/CE-3 OSPFv2/OSPFv3配置

核心：加入OSPF 10，骨干区域互联链路，区域100业务网段，财务VLAN40（Finance VPN）不发布到全局OSPF。

// CE-1 OSPFv2 进程10 ospf 10 router-id 10.1.1.101 area 0 network 10.1.64.0 0.0.3.255 // 与FW-1互联网段 network 10.1.67.0 0.0.3.255 // 与CE-3互联网段 area 100 network 10.1.10.0 0.0.0.255 network 10.1.20.0 0.0.0.255 network 10.1.30.0 0.0.0.255 network 10.1.50.0 0.0.0.255 // OSPFv3配置同OSPFv2，对应IPv6网段 ospfv3 10 router-id 10.1.1.101 ipv6 enable area 0 interface GigabitEthernet 1/0/5 area 100 interface Vlanif10 Vlanif20 Vlanif30 Vlanif50

（3）FW-1与RT-1/RT-2 OSPF配置（进程20，调整COST）

赛题要求：进程20，FW-1→RT-2的COST=1000，优选FW-1→RT-1。

// FW-1 OSPF 20 ospf 20 router-id 10.1.1.1 area 0 network 10.1.64.8 0.0.3.255 // 与RT-2互联网段 network 10.1.64.4 0.0.3.255 // 与RT-1互联网段 // 调整FW-1→RT-2接口COST=1000 interface GigabitEthernet 1/0/1 ospf cost 1000 // RT-1/RT-2 OSPF 20配置，加入区域0 ospf 20 router-id 192.168.100.1 // RT-1 area 0 network 10.1.64.4 0.0.3.255

解析：OSPF选路优先选择COST值小的链路，FW-1→RT-2的COST=1000远大于默认值（1），因此流量优选FW-1→RT-1。

4. 集团分部RIPv2/RIPng配置（RT-3/RT-4/FW-2/CE-4）

赛题要求：运行RIPv2/RIPng，FW-2配置前缀列表+偏移列表，使RT-4→FW-2→CE-4为主用，RT-3→FW-2→CE-4为备用。

（1）基础RIPv2/RIPng配置

// FW-2 RIPv2 rip 1 version 2 network 10.0.0.0 network 10.1.192.0 // RIPng ripng 1 interface GigabitEthernet 1/0/0 to 1/0/3 interface Vlanif10 Vlanif20 Vlanif30 Vlanif40 Vlanif50 // CE-4 RIPv2/RIPng配置，发布业务网段 rip 1 version 2 network 10.1.210.0 network 10.1.220.0

（2）FW-2前缀列表+偏移列表配置（核心）

// 1. 创建前缀列表PL-CE4-SUBNETS，匹配CE-4所有业务VLAN网段 ip prefix-list PL-CE4-SUBNETS permit 10.1.210.0 24 ip prefix-list PL-CE4-SUBNETS permit 10.1.220.0 24 ip prefix-list PL-CE4-SUBNETS permit 10.1.230.0 24 ip prefix-list PL-CE4-SUBNETS permit 10.1.240.0 24 ip prefix-list PL-CE4-SUBNETS permit 10.1.250.0 24 // 2. 创建偏移列表OFFSET-RT-3-BACKUP，增加5跳数 rip 1 offset-list OFFSET-RT-3-BACKUP inbound 5 ip-prefix PL-CE4-SUBNETS interface GigabitEthernet 1/0/1 // 与RT-3互联接口 // 3. RIPng配置相同的前缀列表和偏移列表 ipv6 prefix-list PL-CE4-SUBNETS-V6 permit 2001:DB8:CAFE:20A0::/64 ripng 1 offset-list OFFSET-RT-3-BACKUP inbound 5 ipv6-prefix PL-CE4-SUBNETS-V6 interface GigabitEthernet 1/0/1

解析：RIP通过跳数选路，跳数越小越优；对RT-3方向的路由增加5跳数，使其跳数远大于RT-4方向，成为备用路径。

5. 集团骨干IS-IS配置（所有RT设备+CE-3）

赛题要求：两个IS-IS进程——WAN-ISIS（49.0001，Level-2，骨干流量）、DC-ISIS（49.0002，Level-2，发布环回口）。

（1）WAN-ISIS配置（RT-1↔RT-4、RT-2↔RT-3，进程WAN-ISIS，49.0001）

// RT-1 IS-IS配置 isis WAN-ISIS id 10.255.255.1 // net为49.0001.1025.5255.0001.00 network-entity 49.0001.1025.5255.0001.00 is-level level-2 // 仅Level-2 interface GigabitEthernet 0/0/0 // 与RT-4互联接口 isis enable WAN-ISIS interface GigabitEthernet 0/0/2 // 与CE-3互联接口 isis enable WAN-ISIS // RT-2/RT-3/RT-4配置同RT-1，仅修改net和互联接口

（2）DC-ISIS配置（所有RT+CE-3，进程DC-ISIS，49.0002，发布环回口）

// RT-1 DC-ISIS配置 isis DC-ISIS id 10.255.255.1 network-entity 49.0002.1025.5255.0001.00 is-level level-2 interface LoopBack1 isis enable DC-ISIS isis passive-interface // 环回口设为被动接口，不发送Hello包 interface GigabitEthernet 0/0/0 isis enable DC-ISIS // CE-3 DC-ISIS配置，发布LoopBack100 isis DC-ISIS id 192.168.100.5 network-entity 49.0002.1921.6810.0005.00 is-level level-2 interface LoopBack100 isis enable DC-ISIS isis passive-interface

解析：IS-IS Level-2用于跨区域骨干路由，被动接口可避免环回口发送无用的Hello包，减少网络开销。

6. 总部与分部IPSec VPN配置（FW-1/FW-2，tunnel2）

赛题要求：IKEv2、预共享密钥GDSkills@2026、ESP/AES-256/SHA256、ACL定义保护流量、静态路由+路由重分发。

（1）FW-1 IPSec VPN配置

// 1. 创建ACL-PROTECT-GRE，定义需要保护的数据流（总部与分部CE环回口） acl number 3000 name ACL-PROTECT-GRE rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 // 2. 配置IKEv2策略 ike proposal 20 encryption-algorithm aes-256 authentication-algorithm sha256 dh group14 ike policy 20 proposal 20 pre-shared-key simple GDSkills@2026 // 预共享密钥 ike peer FW-2 v2 pre-shared-key simple GDSkills@2026 remote-address 10.1.255.2 // FW-2 tunnel2地址 // 3. 配置IPSec策略 ipsec proposal ESP-AES256-SHA256 esp encryption-algorithm aes-256 esp authentication-algorithm sha256 ipsec policy IPSEC-VPN 10 isakmp acl 3000 proposal ESP-AES256-SHA256 ike-peer FW-2 // 4. 配置tunnel2接口，绑定IPSec策略 interface Tunnel2 ip address 10.1.255.1 255.255.255.252 // 赛题指定IP tunnel-protocol ipsec gre source 10.1.1.2 // FW-1 LoopBack2 destination 10.1.2.2 // FW-2 LoopBack2 ipsec policy IPSEC-VPN // 5. 配置静态路由，指向分部CE环回口 ip route-static 10.1.2.101 255.255.255.255 Tunnel2 // 6. 路由策略REDIST-LOOPBACK-TO-OSPF，重分发静态路由到OSPF 10，Metric=1000 route-policy REDIST-LOOPBACK-TO-OSPF permit node 10 if-match route-type static ospf 10 import-route static route-policy REDIST-LOOPBACK-TO-OSPF metric 1000

（2）FW-2 IPSec VPN配置

同FW-1逻辑，反向配置ACL、IKE/IPSec策略，静态路由指向总部CE环回口，路由策略REDIST-LOOPBACK-TO-RIP重分发到RIP，Metric=10。

// 路由重分发 route-policy REDIST-LOOPBACK-TO-RIP permit node 10 if-match route-type static rip 1 import-route static route-policy REDIST-LOOPBACK-TO-RIP metric 10

解析：IPSec VPN通过GRE隧道承载数据，ESP协议提供加密和认证，IKEv2实现密钥自动协商，相比IKEv1更安全、收敛更快。

7. MPLS VPN配置（财务专网，所有CE设备，AS 65500）

赛题要求：MP-BGP对等体（LoopBack1，MD5密码BGP-Key@2026）、RD/RT=65500:100、VPNv4/VPNv6互通。

（1）所有CE设备开启MPLS和MP-BGP

// 开启MPLS和MP-BGP mpls lsr-id 设备LoopBack1地址 // 如CE-1：10.1.1.101 mpls enable mpls bgp vpnv4 // 开启VPNv4 mpls bgp vpnv6 // 开启VPNv6 // 配置BGP，AS 65500 bgp 65500 router-id 设备LoopBack1地址 peer CE-2 as-number 65500 peer CE-2 connect-interface LoopBack1 // 用LoopBack1建立邻居 peer CE-2 password simple BGP-Key@2026 // MD5密码 peer CE-3 as-number 65500 peer CE-3 connect-interface LoopBack1 peer CE-3 password simple BGP-Key@2026 peer CE-4 as-number 65500 peer CE-4 connect-interface LoopBack1 peer CE-4 password simple BGP-Key@2026 // 开启VPNv4/VPNv6地址族，与对等体交换路由 ipv4-family vpnv4 peer CE-2 enable peer CE-3 enable peer CE-4 enable ipv6-family vpnv6 peer CE-2 enable peer CE-3 enable peer CE-4 enable // 把Finance VPN的路由注入MP-BGP ipv4-family vpn-instance Finance network 10.1.40.0 24 ipv6-family vpn-instance Finance network 2001:DB8:CAFE:1040::/64

解析：MPLS VPN的核心是RD（路由区分符） 避免不同VPN的路由冲突，RT（路由目标） 实现路由的导入/导出，MP-BGP负责传递VPNv4/VPNv6路由。

8. eBGP配置（CE-3与RT-1/RT-2/RT-3/RT-4）

赛题要求：CE-3 AS 65001，集团RT AS 65000，策略ADVERTISE-INTERNET通告默认路由+CE-3环回口。

（1）CE-3 eBGP配置

bgp 65001 router-id 192.168.100.5 peer RT-1 as-number 65000 peer RT-1 connect-interface GigabitEthernet 0/0/12 peer RT-2 as-number 65000 peer RT-3 as-number 65000 peer RT-4 as-number 65000 // 配置路由策略ADVERTISE-INTERNET，通告0.0.0.0/0和LoopBack100 route-policy ADVERTISE-INTERNET permit node 10 if-match ip-prefix PL-DEFAULT-LOOPBACK // 前缀列表匹配默认路由和环回口 ip prefix-list PL-DEFAULT-LOOPBACK permit 0.0.0.0 0 ip prefix-list PL-DEFAULT-LOOPBACK permit 2001:DB8:CAFE:FFFF::100 128 // 发布路由 ipv4-family unicast peer RT-1 route-policy ADVERTISE-INTERNET export default-route-advertise network 2001:DB8:CAFE:FFFF::100 128 ipv6-family unicast peer RT-1 route-policy ADVERTISE-INTERNET export default-route-advertise

（2）RT设备eBGP配置（以RT-1为例）

bgp 65000 router-id 192.168.100.1 peer CE-3 as-number 65001 peer CE-3 connect-interface GigabitEthernet 0/0/2 // 接收CE-3的默认路由 ipv4-family unicast peer CE-3 enable ipv6-family unicast peer CE-3 enable

9. iBGP配置（RT-1↔RT-2、RT-3↔RT-4，AS 65000）

// RT-1 iBGP配置 bgp 65000 peer RT-2 as-number 65000 peer RT-2 connect-interface LoopBack1 // 用LoopBack1建立邻居 ipv4-family unicast peer RT-2 enable ipv6-family unicast peer RT-2 enable // RT-3与RT-4配置同RT-1/RT-2

解析：eBGP用于不同AS之间的路由传递，iBGP用于同一AS内部的路由传递，用LoopBack1建立iBGP邻居可提高链路可靠性。

三、策略调试

赛题核心要求：路由重分发策略、管理距离调整，实现最优选路，涉及RT-1/RT-2/RT-3/RT-4、CE-1/CE-2、FW-1。

1. RT-1/RT-2：BGP→OSPF 20重分发（策略REDIST-BGP-TO-OSPF）

赛题要求：匹配PL-INTERNET（0.0.0.0/0+8.8.8.8/32）、Type 2、Metric=100。

// 1. 前缀列表PL-INTERNET ip prefix-list PL-INTERNET permit 0.0.0.0 0 ip prefix-list PL-INTERNET permit 8.8.8.8 32 ipv6 prefix-list PL-INTERNET-V6 permit ::/0 // 2. 路由策略REDIST-BGP-TO-OSPF route-policy REDIST-BGP-TO-OSPF permit node 10 if-match ip-prefix PL-INTERNET // 3. 重分发BGP到OSPF 20 ospf 20 import-route bgp route-policy REDIST-BGP-TO-OSPF type 2 metric 100 // IPv6配置相同 ospfv3 20 import-route bgp route-policy REDIST-BGP-TO-OSPF type 2 metric 100

2. RT-3/RT-4：BGP→RIP重分发（策略REDIST-BGP-TO-RIP）

赛题要求：匹配PL-INTERNET、Metric=5。

route-policy REDIST-BGP-TO-RIP permit node 10 if-match ip-prefix PL-INTERNET rip 1 import-route bgp route-policy REDIST-BGP-TO-RIP metric 5 // RIPng配置相同 ripng 1 import-route bgp route-policy REDIST-BGP-TO-RIP metric 5

3. CE-1/CE-2：OSPF 10重分发（策略REDIST-OSPF-TO-OSPF）

赛题要求：匹配PL-BUSINESS（分部业务网段）、Metric=50。

ip prefix-list PL-BUSINESS permit 10.1.210.0 24 ip prefix-list PL-BUSINESS permit 10.1.220.0 24 route-policy REDIST-OSPF-TO-OSPF permit node 10 if-match ip-prefix PL-BUSINESS ospf 10 import-route ospf 10 route-policy REDIST-OSPF-TO-OSPF metric 50

4. 跨协议重分发（IS-IS→OSPF/RIP、OSPF 20→OSPF 10）

（1）RT-1/RT-2：DC-ISIS→OSPF 20，Type 2、Metric=200

route-policy REDIST-ISIS-TO-OSPF permit node 10 if-match isis process DC-ISIS ospf 20 import-route isis route-policy REDIST-ISIS-TO-OSPF type 2 metric 200

（2）RT-3/RT-4：DC-ISIS→RIP，Metric=10

route-policy REDIST-ISIS-TO-RIP permit node 10 if-match isis process DC-ISIS rip 1 import-route isis route-policy REDIST-ISIS-TO-RIP metric 10

（3）FW-1：OSPF 20→OSPF 10重分发

ospf 10 import-route ospf 20 metric 100

5. 管理距离调整（策略PREFER-WAN，优选WAN-ISIS）

赛题要求：WAN-ISIS路由管理距离=10，DC-ISIS保持默认，实现流量优选广域网链路。

// 路由策略PREFER-WAN route-policy PREFER-WAN permit node 10 if-match isis process WAN-ISIS // 配置管理距离，仅对WAN-ISIS路由生效 isis route-policy PREFER-WAN apply cost 10 // 或直接配置IS-IS进程的管理距离 isis WAN-ISIS ipv4-family distance 10 ipv6-family distance 10

解析：华为设备中，IS-IS默认管理距离为15，将WAN-ISIS的管理距离改为10，使其优先级高于DC-ISIS（15），流量会优先选择WAN-ISIS的广域网链路。

关键配置验证命令

所有配置完成后，需通过以下命令验证配置正确性，确保符合赛题要求：

VLAN/接口：display vlan、display ip interface brief、display ipv6 interface brief
STP：display stp brief、display stp root
SNMP：display snmp-agent configuration、display snmp-agent user
路由协议：display ospf routing、display rip routing、display isis routing、display bgp routing-table
IPSec VPN：display ipsec policy、display ike peer、display tunnel interface
MPLS VPN：display mpls lsr-id、display bgp vpnv4 routing-table
流量监控：display netstream statistics、display traffic-limit
NTP/SSH：display ntp status、display ssh user、display local-user

配置核心解析总结

隔离性：通过VPN实例实现财务业务、Internet与集团主业务的路由隔离，通过VLAN实现二层业务隔离；
高可用性：RSTP加快二层故障收敛、IPSec VPN实现总部与分部加密互联、iBGP/OSPF选路优化实现链路冗余；
安全性：SNMPv3（认证+加密）、SSH（替代Telnet）、IPSec VPN（数据加密）、TCP SYN限速（防DDOS）、BGP MD5认证（邻居防伪造）；
路由优化：通过COST值、跳数、管理距离调整路由优先级，实现流量优选广域网链路，备用链路冗余；
规范性：严格按赛题要求命名VPN实例、路由策略、前缀列表、组/用户，IP地址、协议进程号、RD/RT等参数完全匹配赛题表格。

模块一网络建设与调试 完整配置方案