上海市星光杯第八届职业院校技能大赛.docx
《上海市星光杯第八届职业院校技能大赛.docx》由会员分享,可在线阅读,更多相关《上海市星光杯第八届职业院校技能大赛.docx(28页珍藏版)》请在冰点文库上搜索。
上海市星光杯第八届职业院校技能大赛
上海市“星光杯”第八届职业院校技能大赛
“网络搭建与应用”赛项竞赛样题
(总分1000分)
赛题说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分二个部分,其中:
第一部分:
网络搭建及安全部署项目
第二部分:
服务器配置及应用项目
二、竞赛注意事项
(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
(3)本试卷共有两个部分。
请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4)操作过程中,需要及时保存设备配置。
比赛结束后,所有设备保持运行状态,评判以最后的硬件连接为最终结果。
(5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
(6)禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。
(7)与比赛相关的工具软件放置在D:
\soft文件夹中。
三、特说说明:
最终正式竞赛试卷内容相比于本试卷内容会有30%的变动。
项目简介:
某集团公司为提高工作效率,对原有网络重新规划部署,统一进行IP及业务资源的规划和分配,网络采用OSPF和RIP等路由协议。
随着公司规模快速发展,业务数据量和公司访问量增长巨大。
为了更好管理数据、提供服务,集团决定构建小型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。
集团公司规划的网络拓扑结构如下图所示。
其中云服务实训平台编号为DCC,用于各类服务架设;一台S4600交换机编号为SW3,用于实现终端高速接入;两台CS6200交换机作为总公司的核心交换机,实现数据高速转发且保证高可靠性;两台DCFW-1800编号分别为FW1、FW2,作为公司的内网防火墙;两台DCR-2600路由器编号为RT1、RT2,作为公司的互通路由器;一台DCWS-6028作为有线无线智能一体化控制器,编号为AC,通过与WL8200-I2高性能企业级AP配合实现公司无线覆盖。
拓扑结构图:
表1:
网络设备连接表:
A设备连接至B设备
设备名称
接口
设备名称
接口
SW3
E1/0/1
SW1
E1/0/1
SW3
E1/0/2
SW2
E1/0/2
SW3
E1/0/3
PC1
NIC
SW1
E1/0/25
SW2
E1/0/25
SW1
E1/0/26
SW2
E1/0/26
SW1
E1/0/2
FW1
E0/2
FW1
E0/3
RT1
G0/3
FW1
E0/5
RT1
G0/5
FW1
E0/7
FW2
E0/7
RT1
G0/4
RT2
G0/4
RT1
G0/6
RT2
G0/6
RT2
G0/3
FW2
E0/3
RT2
G0/5
FW2
E0/5
FW2
E0/2
AC
E1/0/2
AC
E1/0/3
DCC
Eth2
AC
E1/0/4
DCC
Eth1
AC
E1/0/1
AP
LAN1
AP
Wifi-2.4G
PC2
NIC
表2:
网络地址规划表:
设备
设备名称
设备接口
IP地址
备注
路由器
RT1
G0/3
10.11.11.2/24
RT1toFW1-E0/3
G0/4
10.0.0.1/24
RT1toRT2-G0/4
L1
22.22.22.22/32
G0/5
111.111.111.2/24
RT1toFW1-E0/5
G0/6
100.100.100.1/24
RT1toRT2-G0/6
RT2
G0/3
10.22.22.1/24
RT2toFW2-E0/3
G0/4
10.0.0.2/24
RT2toRT1-G0/4
L1
33.33.33.33/32
G0/6
100.100.100.2/24
RT2toRT1-G0/6
G0/5
222.222.222.1/24
RT2toFW2-E0/5
防火墙
FW1
E0/2
172.16.50.2/24
FW1toSW-Core-E1/0/2
E0/3
10.11.11.1/24
FW1toRT1-G0/3
L1
11.11.11.11/32
E0/5
111.111.111.1/24
FW1toRT1-G0/5
E0/7
200.200.200.1/24
FW1toFW2-E0/7
FW2
E0/2
192.168.50.2/24
FW2toAC-E1/0/2
E0/3
10.22.22.2/24
FW2toRT2-G0/3
L1
44.44.44.44/32
E0/5
222.222.222.2/24
FW2toRT2-G0/5
E0/7
200.200.200.2/24
FW2toFW1-E0/7
三层交换机
SW-Core
VLAN1
172.16.1.1/24
VLAN10
172.16.10.254/24
YFB
VLAN20
172.16.20.254/24
RSB
VLAN30
172.16.30.254/24
CWB
VLAN40
172.16.40.254/24
SCB
VLAN50
172.16.50.1/24
二层交换机
SW3
VLAN1
172.16.1.3/24
VLAN10
YFB
VLAN20
RSB
VLAN30
CWB
VLAN40
SCB
无线控制器
AC
VLAN1
192.168.1.1/24
VLAN2
192.168.2.254/24
Wifi-2.4G
VLAN5
192.168.5.254/24
Wifi-5.0G
VLAN10
192.168.10.254/24
CentOS
VLAN20
192.168.20.254/24
Win2012
VLAN30
192.168.30.254/24
CentOS-C1
VLAN40
192.168.40.254/24
Windows2012-D1
VLAN50
192.168.50.1/24
VLAN52
192.168.52.254/24
AP
VLAN100
192.168.100.1/24
DCC
云服务实训平台
DCC
Eth1
192.168.100.100/24
已设置
计算机
PC1
NIC
DHCP
自动获取
PC2
NIC
DHCP
自动获取
表3:
服务器IP地址分配表:
虚拟机名称
域名信息
服务角色
系统及
版本信息
IPv4地址信息(由云平台提供)
云主机1
主域控服务器
域名服务器
win2012
192.168.10.XX
云主机2
子域控制器服务器
CA证书服务器
域名服务器
win2012
192.168.10.XX
云主机3
网站服务器
Win2012
192.168.20.XX
云主机4
文件传输服务器
磁盘阵列
win2008
192.168.20.XX
云主机5
Tomcat服务器
win2012
192.168.20.XX
云主机6
.
辅助DNS服务器
磁盘阵列
DHCP服务器
win2012
192.168.20.XX
云主机7
域名服务器
DHCP服务器
centos6.5-desktop
192.168.10.XX
云主机8
网站服务器
centos6.5-desktop
192.168.10.XX
云主机9
文件传输服务器
centos6.5-mini
192.168.30.XX
云主机10
邮件服务器
SSH服务器
centos6.5-desktop
192.168.30.XX
云主机11
Samba服务器
磁盘阵列
centos6.5-desktop
192.168.30.XX
云主机12
数据库服务器
centos6.5-desktop
192.168.30.XX
网络搭建及安全部署项目
(500分)
【说明】
(1)设备console线有两条。
交换机、AC、防火墙使用同一条console线,路由器使用另外一条console线。
设备命名方式参考网络设备IP地址分配表。
(2)设备配置完毕后,保存最新的设备配置。
裁判以各参赛队提交的竞赛结果文档为主要评分依据,无文档相关环节视为0分。
所有提交的文档必须按照赛题所规定的命名规则命名,否则按无效内容处理;所有需要提交的文档均放置在PC1桌面的“比赛文档_X”(X为工位号)文件夹中。
保存文档方式分为两种:
●交换机、路由器、AC要把showrunning-config的配置保存在PC1桌面的相应文档中,文档命名规则为:
设备名称.docx,例如:
RT1路由器文件命名为:
RT1.docx,然后放入到PC1桌面上“比赛文档_X”文件夹中;
●防火墙设备的截图方式:
把截图放到同一word文档中,文档命名规则为:
设备名称.docx,例如:
防火墙FW1文件命名为:
FW1.docx,保存后放入到PC1桌面上“比赛文档_X”文件夹中。
1
线缆制作与基础配置
1.1根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络线缆,根据题目要求,插入相应设备的相关端口。
1.2根据网络拓扑要求及网络地址规划表,对网络设备进行地址设置。
1.3对每个三层网络设备互联端口进行描述,例如对RT1连接RT2的端口描述为:
“RT1toRT2-端口号”。
2交换机配置
2.1SW1、SW2通过VSF技术形成一台虚拟的逻辑设备SW-Core。
用户通过对该虚拟设备进行管理,从而实现对虚拟设备中所有物理设备的管理。
两台设备VSF逻辑域为5;其中SW1的成员编号为1,SW2的成员编号为2;正常情况下SW1负责管理整个VSF;SW1与SW2之间建立一个vsfport-group,其编号为1,每个vsfport-group绑定两个千兆光端口。
2.2SW-Core分别通过E1/0/1、E2/0/1与SW3的E1/0/1、E1/0/2接口互相连接,把归属于同一设备的两个接口捆绑成一个逻辑接口,编号为1。
SW-Core为主动端,SW3为被动端。
2.3根据“表2.3VLAN信息规划表”要求所示,在交换机上创建对应的Vlan,并将交换机的相应端口加入对应的Vlan,端口均为Access类型。
表2.3VLAN信息规划表
设备
VLAN编号
VLAN名称
端口
说明
IP地址/掩码
SW-Core
VLAN1
管理
172.16.1.1/24
VLAN10
YFB
研发部
172.16.10.254/24
VLAN20
RSB
人事部
172.16.20.254/24
VLAN30
CWB
财务部
172.16.30.254/24
VLAN40
SCB
市场部
172.16.40.254/24
VLAN50
E1/0/2
上联防火墙
172.16.50.1/24
SW3
VLAN1
管理
172.16.1.3/24
VLAN10
YFB
E1/0/3至E1/0/6
研发部
VLAN20
RSB
E1/0/7至E1/0/12
人事部
VLAN30
CWB
E1/0/13至E1/0/18
财务部
VLAN40
SCB
E1/0/19至E1/0/24
市场部
2.4SW-Core和SW3通过Port-Channel1接口相互连接,将该互联接口设置为Trunk接口,且允许除Vlan1以外的所有Vlan通过。
2.5SW-Core和SW3上设置Vlan1为管理Vlan,地址分别为172.16.1.1/24和172.16.1.3/24。
要求设备启用telnet服务,telnet登录账户仅包含“telnet”,密码为明文“telnet”,采用telnet方式登录设备时需要输入enable密码,密码设置为明文“enable”。
2.6SW-Core及SW3的Vlan10、20、30、40网段内用户通过SW-Core上的DHCP服务获取IP地址。
DHCP地址池名字分别为Pool-10、Pool-20、Pool-30、Pool-40,租期为7天,配置默认网关、DNS地址均为该网段最后一个IP地址。
每个地址池均排除网关及DNS地址。
2.7SW3的E1/0/3-6设置开启端口安全功能,配置端口允许的最大安全MAC数量为10。
2.8SW3的E1/0/1-2设置开启端口镜像功能,将与SW-Core互连的全部流量信息映射到E1/0/24端口。
3路由器配置与调试
3.1FW1与SW-Core之间运行RIPv2路由协议。
FW1宣告其与SW-Core的直连网段,SW-Core宣告其所有直连网段。
3.2FW1、RT1、RT2、FW2之间运行OSPFv2路由协议,该路由自治域通过OSPF多区域技术实现互联互通。
若设备支持OSPF多进程,要求采用最小进程号。
FW1、RT1、RT2、FW2的OSPF进程RID分别为1.1.1.1、2.2.2.2、3.3.3.3、4.4.4.4,要求网络设计遵循简洁原则并保持良好的可控性。
其中FW1、RT1直连网段位于OSPF区域11,RT1与RT2直连网段位于OSPF骨干区域,RT2与FW2直连网段位于OSPF区域22。
请对照拓扑图在相应OSPF区域宣告相应网段。
3.3AC配置静态默认路由。
使AC访问非直连网段均采用送出接口E1/0/2,要求采用最少命令实现。
3.4SW-Core配置默认路由。
使得无法匹配精确路由的流量均送往FW1。
3.5FW1作为OSPF路由选择域的ASBR。
要求在其OSPF进程下配置路由重分发,使FW1的全部RIPv2详细路由条目引入OSPFv2,要求RIPv2重引入OSPFv2后的始发度量值均设为10。
3.6FW1的RIP路由选择域需要配置路由重分发。
使OSPF的全部精确路由条目引入RIPv2,要求OSPFv2重引入RIPv2的始发度量值均设为5。
3.7FW2配置静态路由。
该路由使AC直连网段聚合为子网掩码为16的路由条目,使得FW2转发的目的地址为AC直连网段时均选择E0/2作为送出接口。
3.8FW2的OSPFv2进程配置路由重分发使之引入静态路由。
其引入路由度量值设置为20且类型为Type-1,从而使SW-Core可以访问FW2相关直连网段。
3.9FW1、RT1、RT2、FW2之间运行BGP路由协议,以上设备分别新建环回接口Loopback1,其地址分别为11.11.11.11/32、22.22.22.22/32、33.33.33.33/32、44.44.44.44/32。
其BGP进程的RID为其环回接口Loopback1。
FW1位于AS1111,与RT1、FW2分别建立EBGP邻居关系;FW2位于AS2222,与RT2、FW1分别建立EBGP邻居关系;RT1、RT2位于AS1000,其中RT1除与FW1建立EBGP邻居关系外还与RT2建立IBGP邻居关系,而RT2除与FW2建立EBGP邻居关系外还与RT1建立IBGP邻居关系。
要求每一台运行BGP协议的网络设备除宣告其BGP邻居的互联网段外还需要宣告其环回接口Loopback1。
请对照拓扑图在相应网络设备上宣告对应网段。
4广域网配置
4.1FW1上配置源NAT,要求私网属于SW3的Vlan10用户可以通过源地址转换为出接口IP后访问公网;
4.2FW2上配置目的NAT进行IP映射,要求公网用户可以通过目的地址转换后访问内网设备AC、DCC的Web管理界面。
AC的外网访问地址为200.200.200.150/32,DCC的外网访问地址为200.200.200.100/32,请使用合适的描述语言,使配置具有良好的可读性。
5无线配置
5.1根据“表5.1VLAN信息规划表”要求所示,在AC上创建对应的Vlan,并将其相应端口加入对应的Vlan,端口均为Access类型。
表5.1VLAN信息规划表
设备
VLAN编号
VLAN名称
端口
说明
IP地址/掩码
AC
VLAN1
管理
192.168.1.1/24
VLAN2
Wifi-2.4G
无线Wifi-2.4G网段
192.168.2.254/24
VLAN5
Wifi-5.0G
无线Wifi-5.0G网段
192.168.5.254/24
VLAN10
CentOS
192.168.10.254/24
VLAN20
Win2012
192.168.20.254/24
VLAN30
CentOS-C1
192.168.30.254/24
VLAN40
Windows2012-D1
192.168.40.254/24
VLAN50
E1/0/2
上联防火墙
192.168.50.1/24
VLAN52
AP
无线AP网段
192.168.52.254/24
VLAN100
DCC
E1/0/4
云服务平台
192.168.100.1/24
5.2AC和DCC通过接口E1/0/3与接口Eth2相互连接,AC和AP通过接口E1/0/1与接口LAN1互相连接,将互联接口设置为Trunk接口,且允许除Vlan1以外的所有Vlan通过。
5.3AC上设置Vlan1为管理Vlan,地址为192.168.1.1/24。
要求设备启用telnet服务,telnet登录密码为明文telnet,采用telnet方式登录设备时需要输入enable密码,密码为明文enable。
5.4AC的Vlan2、5、52网段内用户通过AC上的DHCP服务获取IP地址。
DHCP地址池名字分别为Wifi-2.4G、Wifi-5.0G、AP,租期为5天,配置默认网关为该网段最后一个IP地址,DNS为8.8.8.8。
每个地址池均排除该网段最后4个IP地址。
5.5AC、AP作为无线交换机和瘦AP来构建无线网络。
AC将Vlan52作为管理Vlan;Vlan2和Vlan5作为业务Vlan。
创建两个SSID分别为“Wifi-2.4G”和“Wifi-5.0G”对应无线network24和network50。
“Wifi-2.4G”对应业务Vlan2,用户接入无线网络时需要采用基于WPA-personal加密方式,其口令为“Wifi-2.4G”;“Wifi-5.0G”对应业务Vlan5,用户接入无线网络时需要采用基于WPA-personal加密方式,其口令为“Wifi-5.0G”。
AC采用profile1为AP下发配置,且命名为Wifi。
服务集标识码“Wifi-2.4G”位于AP的2.4G频段,服务集标识码“Wifi-5.0G”位于AP的5.0G频段。
禁止采用vap0以外的虚接口。
5.6AC设备收到和发出的数据包通过端口镜像功能,将全部流量信息映射到E1/0/24端口。
6安全策略配置
6.1FW1、FW2配置trust,untrust区域和相应安全防护策略:
FW1、FW2的E0/2、E0/3均属于trust区域,在以上接口下配置相关命令使其可以通过ping命令进行测试。
FW1、FW2配置相关策略,使得trust区域内放行所有方向、所有类型的流量。
FW1、FW2的E0/5、E0/7、Lookback1均属于untrust区域,在以上接口下配置相关命令使其可以通过ping命令进行测试。
FW1、FW2配置相关策略,使得untrust区域内放行所有方向、所有类型的流量。
FW1、FW2配置相关策略,使得trust与untrust区域间放行所有方向、所有类型的流量。
6.2配置FW1,FW2的untrust区域攻击防护,其余防护均关闭:
开启以下Flood防护:
ICMP洪水攻击防护,警戒值1000,动作丢弃;
UDP洪水攻击防护,源、目的警戒值均为1000,动作丢弃;
SYN洪水攻击防护,源、目的警戒值基于IP均为1000,动作丢弃;
开启以下DOS防护:
PingofDeath攻击防护;
Teardrop攻击防护;
IP选项,动作丢弃;
ICMP大包攻击防护,警戒值1000,动作丢弃;
6.3FW1、FW2上配置限制内网用户访问,限制内网用户访问URL中带有taobao关键字的所有网站。
6.4FW1、FW2做相关配置要求内网用户不能登录QQ和MSN。
服务器配置及应用项目
(500分)
【说明】
(1)云服务实训平台中提供镜像环境,镜像的默认用户名密码以及其他信息如“表6:
镜像信息表”所示;
表6:
镜像信息表
名称
硬盘
VCPU
用户名
密码
ssh
rdp
win7
30G
1
admin
Qwer1234
否
是
win2008
40G
1
administrator
Qwer1234
否
是
win2012
40G
1
administrator
Qwer1234
否
是
centos6.5-desktop
30G
1
root
dcncloud
是
是
centos6.5-mini
30G
1
root
dcncloud
是
否
Centos7-mini
30G
1
root
000000
是
否
(2)所有windows主机实例在创建之后都直接可以通过远程桌面连接操作,centos6.5可以通过CRT软件连接进行操作,centos6.5-desktop也可以通过远程桌面连接进行操作,所有linux主机都默认开启了ssh功能。
(3)虚拟主机按照“服务器IP地址分配表”的要求分配网络,同时虚拟主机使用云服务实训平台获取的IP地址。
(4)云服务实训平台中生成的Windows系统SID相同,根据实际需求做相应设置,注意重置SID的虚拟主机密码必须改回为“Qwer1234”,若未按照要求设
升级会员 