26 年网络建设与运维样题一网络建设与调试模块完整配置方案

（2）CE-2/CE-3/CE-4 VLAN 配置

同 CE-1 逻辑，严格按赛题表格映射端口与 VLAN，互联链路按赛题要求放行对应 VLAN，示例（CE-3）：

vlan batch 10 20 30 40 50 4092
interface GigabitEthernet 1/0/0
 port link-type access
 port default vlan 10
interface GigabitEthernet 1/0/1
 port link-type access
 port default vlan 20
interface GigabitEthernet 1/0/2
 port link-type access
 port default vlan 30
interface GigabitEthernet 1/0/3
 port link-type access
 port default vlan 40
interface GigabitEthernet 1/0/4
 port link-type access
 port default vlan 50

解析：二层链路仅允许对应 VLAN 通过，核心是access 口绑定专属 VLAN、trunk 口仅放行业务 VLAN，杜绝无关 VLAN 流量透传。

2. 裸光缆业务隔离+STP 优化（CE-1/CE-2/CE-3）

赛题要求：3 条裸光缆分别承载三层 IP、VPN（财务 Finance）、二层业务；财务路由表隔离，二层业务 STP 以 CE-1 为根、CE-2 为备份，加快收敛。

（1）财务 VPN 实例创建（所有 CE 设备）

ip vpn-instance Finance // 财务 VPN 实例名称严格为 Finance
ipv4-family
 route-distinguisher 65500:100 // 后续 MPLS VPN 统一 RD/RT
 vpn-target 65500:100 export-extcommunity
 vpn-target 65500:100 import-extcommunity // 财务 VLAN40 接口绑定 VPN 实例
interface Vlanif40
 ip binding vpn-instance Finance
 ip address 赛题指定 IP 子网掩码 // 如 CE-1 Vlanif40:10.1.40.1/24

（2）三层 IP/二层业务链路划分

• 三层 IP 链路：接口配置为 port link-mode route，配置三层 IP，运行 OSPF；
• VPN 链路：接口绑定 Finance VPN 实例，运行 MP-BGP；
• 二层业务链路：配置为 trunk 口，放行所有业务 VLAN，启用RSTP（加快收敛）。

（3）STP/RSTP 优化（二层业务链路）

所有 CE 设备启用 RSTP，设置 CE-1 为根桥、CE-2 为备份根桥，所有 VLAN 共用一个拓扑：

stp mode rstp // 启用快速生成树，加快故障收敛
stp root primary // CE-1 配置为主根桥
stp priority 4096 // 根桥优先级设为 4096（最小值）
// CE-2 配置为备份根桥
stp root secondary
stp priority 8192 // CE-3 配置默认优先级（32768）
stp priority 32768 // 二层业务链路禁用 STP 边缘端口，开启 BPDU 保护
interface 二层业务互联接口
 stp bpdu-protection enable
 stp cost 100 // 配置链路开销，优化选路

解析：RSTP 相比 STP 收敛时间从秒级降至毫秒级，满足赛题'故障快速切换'要求；根桥优先级数值越小，优先级越高。

3. CE-3 模拟 Internet 交换机 + 路由隔离

ip vpn-instance Internet // Internet VPN 实例名称严格为 Internet
ipv4-family
 route-distinguisher 65500:200 // 独立 RD，与 Finance 隔离
 vpn-target 65500:200 export-extcommunity
 vpn-target 65500:200 import-extcommunity // CE-3 与 RT-1/RT-2/RT-3/RT-4 互联接口绑定 Internet VPN 实例
interface GigabitEthernet 0/0/12
 ip binding vpn-instance Internet
 ip address 100.1.0.10/30 // 赛题指定 IP
// CE-3 环回口绑定 Internet VPN
interface LoopBack100
 ip binding vpn-instance Internet
 ip address 2001:DB8:CAFE:FFFF::100/128

解析：通过 VPN 实例实现 Internet 路由表与集团业务路由表完全隔离，避免公网路由污染内网。

4. CE 设备管理接口配置

所有 CE 设备配置管理接口 IP 为 10.255.255.254/24，非自协商、速率 1000M：

interface Vlanif4092 // 用 VLAN4092 作为管理接口
 ip address 10.255.255.254 255.255.255.0 // 管理物理接口配置非自协商 +1000M 速率
interface GigabitEthernet 1/0/0 // 指定管理物理口
 port link-type access
 port default vlan 4092
speed 1000 // 速率 1000M
duplex full // 全双工
negotiation auto undo // 关闭自协商（非自协商模式）

解析：非自协商模式需手动指定速率和双工，避免链路协商失败导致管理不通。

5. CE-1 SNMPv3 配置（赛题核心高安全级别）

赛题要求：SNMPv3、密码最小长度 6、引擎 ID1000、组 GdSkills、用户 UserSkills、AES/SHA 加密、Trap 告警（屏蔽法务 VLAN 接口 UP/DOWN）。

// 1. 配置 SNMP 引擎 ID
snmp-agent engineid local 1000 // 引擎 ID 严格为 1000
// 2. 配置密码最小长度
snmp-agent password min-length 6
// 3. 创建 SNMP 视图
snmp-agent mib-view included Skills_R iso // 读视图 Skills_R，包含所有 MIB
snmp-agent mib-view included Skills_W iso // 写视图 Skills_W，包含所有 MIB
// 4. 创建 SNMP 组 GdSkills，最高安全级别（authpriv：认证 + 加密）
snmp-agent group v3 GdSkills authpriv read-view Skills_R write-view Skills_W
// 5. 创建 SNMPv3 用户 UserSkills，AES 加密、SHA 哈希，密钥均为 Key-1122
snmp-agent user v3 UserSkills group GdSkills auth sha Key-1122 priv aes256 Key-1122
// 6. 配置 Trap 告警，发送至网管服务器，最高安全级别
snmp-agent trap enable
snmp-agent target-host trap address udp-domain 10.255.255.100 udp-port 162 v3 authpriv user UserSkills
snmp-agent target-host trap address ipv6 udp-domain 2001:10:255:255::100 udp-port 162 v3 authpriv user UserSkills
// 7. 用 Loopback1 发送 Trap
snmp-agent trap source LoopBack1
// 8. 屏蔽法务部门接口（VLAN30）UP/DOWN Trap
interface GigabitEthernet 1/0/12 // CE-1 法务 VLAN30 对应端口
 snmp-agent trap disable interface updown
interface Vlanif30
 snmp-agent trap disable interface updown

解析：SNMPv3 最高安全级别为 authpriv（认证 + 加密），区别于 v2c 的明文传输；屏蔽指定接口 UP/DOWN Trap 需在物理口和三层 VLAN 口同时配置。

6. 防 DDoS（TCP SYN 报文限速）

所有 CE 设备配置 TCP SYN 报文限速，速率 10MB/s，超出丢弃：

// 开启防 DDoS 模块
ddos defense enable
// 配置 TCP SYN 限速策略，10MB/s
traffic-limit template TCP-SYN tcp syn speed 10 unit mbps // 速率 10MB/s
action discard // 超出丢弃
// 全局应用限速策略
interface all // 所有接口应用
 traffic-limit apply TCP-SYN inbound

解析：TCP SYN 泛洪是典型 DDoS 攻击，通过速率限制阻断攻击流量，保护设备 CPU 和内存。

7. CE-3 接口流量监控

赛题要求：监控 CE-3 与 CE-1 的端口，编号映射 19→10、18→20、17→30；实时采样属主 PRODUCT-STAT，历史采样 1 分钟/次，监控 24 小时。

// 1. 接口编号映射
interface GigabitEthernet 1/0/19 flow-interval 10 // 映射为 10 号监控口
interface GigabitEthernet 1/0/18 flow-interval 20 // 映射为 20 号监控口
interface GigabitEthernet 1/0/17 flow-interval 30 // 映射为 30 号监控口
// 2. 开启流量监控
netstream enable
netstream sampler fix-packet 100 inbound // 采样率 1:100
// 3. 实时采样配置，属主 PRODUCT-STAT
netstream export template timeout 1
netstream export owner PRODUCT-STAT
// 4. 历史采样配置，1 分钟/次，保存 24 小时（1440 分钟）
statistics interval 1 // 采样间隔 1 分钟
statistics save 24 // 保存 24 小时
statistics file path flash:/netstream // 采样文件存储路径
// 5. 开启接口流量统计
interface GigabitEthernet 1/0/17 to 1/0/19
 netstream inbound
 netstream outbound
 ip netstream statistics enable

解析：流量监控核心是采样率 + 间隔 + 保存时长，赛题要求 1 分钟采样一次，24 小时共 1440 个采样点，需确保设备存储足够。

二、路由调试

赛题核心要求：SSH 配置、NTP 服务、OSPF/RIP/ISIS/BGP 路由部署、IPSec VPN、MPLS VPN、eBGP/iBGP，涉及所有 CE/RT/FW 设备。

1. 所有 CE 设备 SSH 服务配置

赛题要求：用户名 admin@gdskills，密码 Pass-1234，密码过期 30 天。

// 开启 SSH 服务
stelnet server enable
ssh user admin@gdskills ssh user admin@gdskills authentication-type password
ssh user admin@gdskills service-type stelnet
// 配置用户密码及过期时间
local-user admin@gdskills password irreversible-cipher Pass-1234
local-user admin@gdskills service-type ssh
local-user admin@gdskills password expire 30 // 30 天过期
// 开启 AAA 认证
aaa authentication-scheme default authentication-mode local authorization-scheme default authorization-mode local accounting-scheme default domain default authentication-scheme default authorization-scheme default accounting-scheme default
// 控制台配置
user-interface vty 0 15
 authentication-mode aaa
 protocol inbound ssh

解析：SSH 服务需开启 stelnet，用户名为带域名的格式 admin@gdskills，密码采用不可逆加密。

2. CE-1 NTP 服务配置（Stratum 2，全网 NTP 服务器）

// 1. 配置 CE-1 为 NTP Server，Stratum 2
ntp service enable
ntp server local stratum 2
// 2. 所有接口侦听 NTP 请求
ntp listen all-interface
// 3. 配置 NTP 会话最大数 30，同步间隔 5 分钟
ntp max-sessions 30
ntp update-interval 300 // 300 秒=5 分钟
// 4. 其他总部 CE 设备（CE-2/CE-3）配置 NTP 客户端，指向 CE-1 LoopBack1
ntp service enable
ntp server 10.1.1.101 // CE-1 LoopBack1 的 IPv4 地址

解析：NTP 层级（Stratum）越小，时钟精度越高，Stratum 2 为二级时钟源；同步间隔 5 分钟需转换为秒级（300 秒）。

3. 集团总部 OSPFv2/OSPFv3 配置（CE-1/CE-2/CE-3/FW-1）

赛题要求：进程 10，骨干区域（0）承载互联链路，区域 100 承载业务网段，财务段不发布，FW-1 发布 Type 1 默认路由（永久通告）。

（1）FW-1 OSPFv2/OSPFv3 配置

// OSPFv2 进程 10
ospf 10 router-id 10.1.1.1 // router-id 为 LoopBack1 地址
area 0 network 10.1.64.0 0.0.3.255 // 与 RT-1/RT-2/CE-1/CE-2 互联网段
area 100 // 不发布财务网段，仅发布业务网段
network 10.1.10.0 0.0.0.255
network 10.1.20.0 0.0.0.255 // 发布 Type 1 默认路由，永久通告
ospf 10 default-route-advertise always type 1
// OSPFv3 进程 10
ospfv3 10 router-id 10.1.1.1
ipv6 enable
area 0 interface GigabitEthernet 1/0/0 to 1/0/3 area 100 interface Vlanif10 Vlanif20 Vlanif30 Vlanif50 // OSPFv3 发布默认路由
ospfv3 10 default-route-advertise always type 1

（2）CE-1/CE-2/CE-3 OSPFv2/OSPFv3 配置

核心：加入 OSPF 10，骨干区域互联链路，区域 100 业务网段，财务 VLAN40（Finance VPN）不发布到全局 OSPF。

// CE-1 OSPFv2 进程 10
ospf 10 router-id 10.1.1.101
area 0 network 10.1.64.0 0.0.3.255 // 与 FW-1 互联网段
network 10.1.67.0 0.0.3.255 // 与 CE-3 互联网段
area 100
network 10.1.10.0 0.0.0.255
network 10.1.20.0 0.0.0.255
network 10.1.30.0 0.0.0.255
network 10.1.50.0 0.0.0.255 // OSPFv3 配置同 OSPFv2，对应 IPv6 网段
ospfv3 10 router-id 10.1.1.101
ipv6 enable
area 0 interface GigabitEthernet 1/0/5 area 100 interface Vlanif10 Vlanif20 Vlanif30 Vlanif50

（3）FW-1 与 RT-1/RT-2 OSPF 配置（进程 20，调整 COST）

赛题要求：进程 20，FW-1→RT-2 的 COST=1000，优选 FW-1→RT-1。

// FW-1 OSPF 20
ospf 20 router-id 10.1.1.1
area 0 network 10.1.64.8 0.0.3.255 // 与 RT-2 互联网段
network 10.1.64.4 0.0.3.255 // 与 RT-1 互联网段
// 调整 FW-1→RT-2 接口 COST=1000
interface GigabitEthernet 1/0/1 ospf cost 1000
// RT-1/RT-2 OSPF 20 配置，加入区域 0
ospf 20 router-id 192.168.100.1 // RT-1
area 0 network 10.1.64.4 0.0.3.255

解析：OSPF 选路优先选择 COST 值小的链路，FW-1→RT-2 的 COST=1000 远大于默认值（1），因此流量优选 FW-1→RT-1。

4. 集团分部 RIPv2/RIPng 配置（RT-3/RT-4/FW-2/CE-4）

赛题要求：运行 RIPv2/RIPng，FW-2 配置前缀列表 + 偏移列表，使 RT-4→FW-2→CE-4 为主用，RT-3→FW-2→CE-4 为备用。

（1）基础 RIPv2/RIPng 配置

// FW-2 RIPv2
rip 1 version 2
network 10.0.0.0
network 10.1.192.0
// RIPng
ripng 1
interface GigabitEthernet 1/0/0 to 1/0/3
interface Vlanif10 Vlanif20 Vlanif30 Vlanif40 Vlanif50
// CE-4 RIPv2/RIPng 配置，发布业务网段
rip 1 version 2
network 10.1.210.0
network 10.1.220.0

（2）FW-2 前缀列表 + 偏移列表配置（核心）

// 1. 创建前缀列表 PL-CE4-SUBNETS，匹配 CE-4 所有业务 VLAN 网段
ip prefix-list PL-CE4-SUBNETS permit 10.1.210.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.220.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.230.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.240.0 24
ip prefix-list PL-CE4-SUBNETS permit 10.1.250.0 24
// 2. 创建偏移列表 OFFSET-RT-3-BACKUP，增加 5 跳数
rip 1 offset-list OFFSET-RT-3-BACKUP inbound 5 ip-prefix PL-CE4-SUBNETS
interface GigabitEthernet 1/0/1 // 与 RT-3 互联接口
// 3. RIPng 配置相同的前缀列表和偏移列表
ipv6 prefix-list PL-CE4-SUBNETS-V6 permit 2001:DB8:CAFE:20A0::/64
ripng 1 offset-list OFFSET-RT-3-BACKUP inbound 5 ipv6-prefix PL-CE4-SUBNETS-V6
interface GigabitEthernet 1/0/1

解析：RIP 通过跳数选路，跳数越小越优；对 RT-3 方向的路由增加 5 跳数，使其跳数远大于 RT-4 方向，成为备用路径。

5. 集团骨干 IS-IS 配置（所有 RT 设备+CE-3）

赛题要求：两个 IS-IS 进程——WAN-ISIS（49.0001，Level-2，骨干流量）、DC-ISIS（49.0002，Level-2，发布环回口）。

（1）WAN-ISIS 配置（RT-1↔RT-4、RT-2↔RT-3，进程 WAN-ISIS，49.0001）

// RT-1 IS-IS 配置
isis WAN-ISIS id 10.255.255.1 // net 为 49.0001.1025.5255.0001.00
network-entity 49.0001.1025.5255.0001.00
is-level level-2 // 仅 Level-2
interface GigabitEthernet 0/0/0 // 与 RT-4 互联接口
 isis enable WAN-ISIS
interface GigabitEthernet 0/0/2 // 与 CE-3 互联接口
 isis enable WAN-ISIS
// RT-2/RT-3/RT-4 配置同 RT-1，仅修改 net 和互联接口

（2）DC-ISIS 配置（所有 RT+CE-3，进程 DC-ISIS，49.0002，发布环回口）

// RT-1 DC-ISIS 配置
isis DC-ISIS id 10.255.255.1
network-entity 49.0002.1025.5255.0001.00
is-level level-2
interface LoopBack1 isis enable DC-ISIS isis passive-interface // 环回口设为被动接口，不发送 Hello 包
interface GigabitEthernet 0/0/0 isis enable DC-ISIS
// CE-3 DC-ISIS 配置，发布 LoopBack100
isis DC-ISIS id 192.168.100.5
network-entity 49.0002.1921.6810.0005.00
is-level level-2
interface LoopBack100 isis enable DC-ISIS isis passive-interface

解析：IS-IS Level-2 用于跨区域骨干路由，被动接口可避免环回口发送无用的 Hello 包，减少网络开销。

6. 总部与分部 IPSec VPN 配置（FW-1/FW-2，tunnel2）

赛题要求：IKEv2、预共享密钥 GDSkills@2026、ESP/AES-256/SHA256、ACL 定义保护流量、静态路由 + 路由重分发。

（1）FW-1 IPSec VPN 配置

// 1. 创建 ACL-PROTECT-GRE，定义需要保护的数据流（总部与分部 CE 环回口）
acl number 3000 name ACL-PROTECT-GRE rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
// 2. 配置 IKEv2 策略
ike proposal 20 encryption-algorithm aes-256 authentication-algorithm sha256 dh group14
ike policy 20 proposal 20 pre-shared-key simple GDSkills@2026 // 预共享密钥
ike peer FW-2 v2 pre-shared-key simple GDSkills@2026 remote-address 10.1.255.2 // FW-2 tunnel2 地址
// 3. 配置 IPSec 策略
ipsec proposal ESP-AES256-SHA256 esp encryption-algorithm aes-256 esp authentication-algorithm sha256
ipsec policy IPSEC-VPN 10 isakmp acl 3000 proposal ESP-AES256-SHA256 ike-peer FW-2
// 4. 配置 tunnel2 接口，绑定 IPSec 策略
interface Tunnel2
 ip address 10.1.255.1 255.255.255.252 // 赛题指定 IP
tunnel-protocol ipsec gre source 10.1.1.2 // FW-1 LoopBack2 destination 10.1.2.2 // FW-2 LoopBack2
ipsec policy IPSEC-VPN
// 5. 配置静态路由，指向分部 CE 环回口
ip route-static 10.1.2.101 255.255.255.255 Tunnel2
// 6. 路由策略 REDIST-LOOPBACK-TO-OSPF，重分发静态路由到 OSPF 10，Metric=1000
route-policy REDIST-LOOPBACK-TO-OSPF permit node 10 if-match route-type static
ospf 10 import-route static route-policy REDIST-LOOPBACK-TO-OSPF metric 1000

（2）FW-2 IPSec VPN 配置

同 FW-1 逻辑，反向配置 ACL、IKE/IPSec 策略，静态路由指向总部 CE 环回口，路由策略 REDIST-LOOPBACK-TO-RIP 重分发到 RIP，Metric=10。

// 路由重分发
route-policy REDIST-LOOPBACK-TO-RIP permit node 10 if-match route-type static
rip 1 import-route static route-policy REDIST-LOOPBACK-TO-RIP metric 10

解析：IPSec VPN 通过 GRE 隧道承载数据，ESP 协议提供加密和认证，IKEv2 实现密钥自动协商，相比 IKEv1 更安全、收敛更快。

7. MPLS VPN 配置（财务专网，所有 CE 设备，AS 65500）

赛题要求：MP-BGP 对等体（LoopBack1，MD5 密码 BGP-Key@2026）、RD/RT=65500:100、VPNv4/VPNv6 互通。

（1）所有 CE 设备开启 MPLS 和 MP-BGP

// 开启 MPLS 和 MP-BGP
mpls lsr-id 设备 LoopBack1 地址 // 如 CE-1：10.1.1.101
mpls enable
mpls bgp vpnv4 // 开启 VPNv4
mpls bgp vpnv6 // 开启 VPNv6
// 配置 BGP，AS 65500
bgp 65500 router-id 设备 LoopBack1 地址
peer CE-2 as-number 65500
peer CE-2 connect-interface LoopBack1 // 用 LoopBack1 建立邻居
peer CE-2 password simple BGP-Key@2026 // MD5 密码
peer CE-3 as-number 65500
peer CE-3 connect-interface LoopBack1
peer CE-3 password simple BGP-Key@2026
peer CE-4 as-number 65500
peer CE-4 connect-interface LoopBack1
peer CE-4 password simple BGP-Key@2026
// 开启 VPNv4/VPNv6 地址族，与对等体交换路由
ipv4-family vpnv4
 peer CE-2 enable
 peer CE-3 enable
 peer CE-4 enable
ipv6-family vpnv6
 peer CE-2 enable
 peer CE-3 enable
 peer CE-4 enable
// 把 Finance VPN 的路由注入 MP-BGP
ipv4-family vpn-instance Finance
 network 10.1.40.0 24
ipv6-family vpn-instance Finance
 network 2001:DB8:CAFE:1040::/64

解析：MPLS VPN 的核心是RD（路由区分符） 避免不同 VPN 的路由冲突，RT（路由目标） 实现路由的导入/导出，MP-BGP 负责传递 VPNv4/VPNv6 路由。

8. eBGP 配置（CE-3 与 RT-1/RT-2/RT-3/RT-4）

赛题要求：CE-3 AS 65001，集团 RT AS 65000，策略 ADVERTISE-INTERNET 通告默认路由+CE-3 环回口。

（1）CE-3 eBGP 配置

bgp 65001 router-id 192.168.100.5
peer RT-1 as-number 65000
peer RT-1 connect-interface GigabitEthernet 0/0/12
peer RT-2 as-number 65000
peer RT-3 as-number 65000
peer RT-4 as-number 65000
// 配置路由策略 ADVERTISE-INTERNET，通告 0.0.0.0/0 和 LoopBack100
route-policy ADVERTISE-INTERNET permit node 10 if-match ip-prefix PL-DEFAULT-LOOPBACK // 前缀列表匹配默认路由和环回口
ip prefix-list PL-DEFAULT-LOOPBACK permit 0.0.0.0 0
ip prefix-list PL-DEFAULT-LOOPBACK permit 2001:DB8:CAFE:FFFF::100 128
// 发布路由
ipv4-family unicast
 peer RT-1 route-policy ADVERTISE-INTERNET export default-route-advertise
 network 2001:DB8:CAFE:FFFF::100 128
ipv6-family unicast
 peer RT-1 route-policy ADVERTISE-INTERNET export default-route-advertise

（2）RT 设备 eBGP 配置（以 RT-1 为例）

bgp 65000 router-id 192.168.100.1
peer CE-3 as-number 65001
peer CE-3 connect-interface GigabitEthernet 0/0/2 // 接收 CE-3 的默认路由
ipv4-family unicast
 peer CE-3 enable
ipv6-family unicast
 peer CE-3 enable

9. iBGP 配置（RT-1↔RT-2、RT-3↔RT-4，AS 65000）

// RT-1 iBGP 配置
bgp 65000 peer RT-2 as-number 65000
peer RT-2 connect-interface LoopBack1 // 用 LoopBack1 建立邻居
ipv4-family unicast
 peer RT-2 enable
ipv6-family unicast
 peer RT-2 enable
// RT-3 与 RT-4 配置同 RT-1/RT-2

解析：eBGP 用于不同 AS 之间的路由传递，iBGP 用于同一 AS 内部的路由传递，用 LoopBack1 建立 iBGP 邻居可提高链路可靠性。

三、策略调试

赛题核心要求：路由重分发策略、管理距离调整，实现最优选路，涉及RT-1/RT-2/RT-3/RT-4、CE-1/CE-2、FW-1。

1. RT-1/RT-2：BGP→OSPF 20 重分发（策略 REDIST-BGP-TO-OSPF）

赛题要求：匹配 PL-INTERNET（0.0.0.0/0+8.8.8.8/32）、Type 2、Metric=100。

// 1. 前缀列表 PL-INTERNET
ip prefix-list PL-INTERNET permit 0.0.0.0 0
ip prefix-list PL-INTERNET permit 8.8.8.8 32
ipv6 prefix-list PL-INTERNET-V6 permit ::/0
// 2. 路由策略 REDIST-BGP-TO-OSPF
route-policy REDIST-BGP-TO-OSPF permit node 10 if-match ip-prefix PL-INTERNET
// 3. 重分发 BGP 到 OSPF 20
ospf 20 import-route bgp route-policy REDIST-BGP-TO-OSPF type 2 metric 100
// IPv6 配置相同
ospfv3 20 import-route bgp route-policy REDIST-BGP-TO-OSPF type 2 metric 100

2. RT-3/RT-4：BGP→RIP 重分发（策略 REDIST-BGP-TO-RIP）

赛题要求：匹配 PL-INTERNET、Metric=5。

route-policy REDIST-BGP-TO-RIP permit node 10 if-match ip-prefix PL-INTERNET
rip 1 import-route bgp route-policy REDIST-BGP-TO-RIP metric 5
// RIPng 配置相同
ripng 1 import-route bgp route-policy REDIST-BGP-TO-RIP metric 5

3. CE-1/CE-2：OSPF 10 重分发（策略 REDIST-OSPF-TO-OSPF）

赛题要求：匹配 PL-BUSINESS（分部业务网段）、Metric=50。

ip prefix-list PL-BUSINESS permit 10.1.210.0 24
ip prefix-list PL-BUSINESS permit 10.1.220.0 24
route-policy REDIST-OSPF-TO-OSPF permit node 10 if-match ip-prefix PL-BUSINESS
ospf 10 import-route ospf 10 route-policy REDIST-OSPF-TO-OSPF metric 50

4. 跨协议重分发（IS-IS→OSPF/RIP、OSPF 20→OSPF 10）

（1）RT-1/RT-2：DC-ISIS→OSPF 20，Type 2、Metric=200

route-policy REDIST-ISIS-TO-OSPF permit node 10 if-match isis process DC-ISIS
ospf 20 import-route isis route-policy REDIST-ISIS-TO-OSPF type 2 metric 200

（2）RT-3/RT-4：DC-ISIS→RIP，Metric=10

route-policy REDIST-ISIS-TO-RIP permit node 10 if-match isis process DC-ISIS
rip 1 import-route isis route-policy REDIST-ISIS-TO-RIP metric 10

（3）FW-1：OSPF 20→OSPF 10 重分发

ospf 10 import-route ospf 20 metric 100

5. 管理距离调整（策略 PREFER-WAN，优选 WAN-ISIS）

赛题要求：WAN-ISIS 路由管理距离=10，DC-ISIS 保持默认，实现流量优选广域网链路。

// 路由策略 PREFER-WAN
route-policy PREFER-WAN permit node 10 if-match isis process WAN-ISIS
// 配置管理距离，仅对 WAN-ISIS 路由生效
isis route-policy PREFER-WAN apply cost 10
// 或直接配置 IS-IS 进程的管理距离
isis WAN-ISIS ipv4-family distance 10 ipv6-family distance 10

解析：华为设备中，IS-IS 默认管理距离为 15，将 WAN-ISIS 的管理距离改为 10，使其优先级高于 DC-ISIS（15），流量会优先选择 WAN-ISIS 的广域网链路。

关键配置验证命令

所有配置完成后，需通过以下命令验证配置正确性，确保符合赛题要求：

1. VLAN/接口：display vlan、display ip interface brief、display ipv6 interface brief
2. STP：display stp brief、display stp root
3. SNMP：display snmp-agent configuration、display snmp-agent user
4. 路由协议：display ospf routing、display rip routing、display isis routing、display bgp routing-table
5. IPSec VPN：display ipsec policy、display ike peer、display tunnel interface
6. MPLS VPN：display mpls lsr-id、display bgp vpnv4 routing-table
7. 流量监控：display netstream statistics、display traffic-limit
8. NTP/SSH：display ntp status、display ssh user、display local-user

配置核心解析总结

1. 隔离性：通过VPN 实例实现财务业务、Internet 与集团主业务的路由隔离，通过VLAN实现二层业务隔离；
2. 高可用性：RSTP 加快二层故障收敛、IPSec VPN 实现总部与分部加密互联、iBGP/OSPF 选路优化实现链路冗余；
3. 安全性：SNMPv3（认证 + 加密）、SSH（替代 Telnet）、IPSec VPN（数据加密）、TCP SYN 限速（防 DDoS）、BGP MD5 认证（邻居防伪造）；
4. 路由优化：通过COST 值、跳数、管理距离调整路由优先级，实现流量优选广域网链路，备用链路冗余；
5. 规范性：严格按赛题要求命名VPN 实例、路由策略、前缀列表、组/用户，IP 地址、协议进程号、RD/RT 等参数完全匹配赛题表格。

本配置方案完全遵循赛题要求，基于华为设备命令行实现，可直接在大赛指定设备上部署，所有配置项均附解析，便于理解和调试。