全国职业院校技能大赛网络搭建与应用竞赛试题第10套Word格式.docx
《全国职业院校技能大赛网络搭建与应用竞赛试题第10套Word格式.docx》由会员分享,可在线阅读,更多相关《全国职业院校技能大赛网络搭建与应用竞赛试题第10套Word格式.docx(22页珍藏版)》请在冰豆网上搜索。
图1网络拓扑结构图
本次公司的网络构建包括总公司和分公司的两个部分。
总公司局域网核心采用双交换机的构架,通过VRRP结合MSTP技术实现负载均衡和链路备份。
两台核心交换机分别连接到核心路由器,核心路由器连接到网络出口防火墙,同时核心路由器通过ISP专线连接到分公司的出口路由器。
总公司的网络出口使用防火墙分别连接到ISP和VPN设备,通过配置防火墙来实现内网用户访问Internet以及保护内网的安全。
总公司和分公司之间的办公用户通过VPN建立的隧道相互通信,有效的保证了数据传输的安全性。
服务器集中放置在网络中心机房,直接连接到核心交换机。
分公司的网络的出口路由器分别连接到ISP和VPN设备,通过部署防火墙来保护内网的安全,内网的用户分别通过专网或VPN建立的安全隧道来访问总公司的资源。
四、工程建设的内容
本工程项目主要建设内容为:
1.总公司与分公司布线系统建设
总公司与分公司内部局域网的布线系统搭建,包括数据及语音的布线系统。
2.总公司局域网建设
总公司网络构建(有线双核心网络)、可用性及安全规则部署。
3.分公司局域网建设
分公司网络构建(无线网络)、可用性及安全规则部署。
4.总公司与分公司广域网互联建设
总公司与分公司之间采用数据专线、VPN方式互联。
5.总公司应用平台建设
在总公司的网络中心机房,部署Windows2003Server、Windows2008Server及LINUX服务器系统,并在此之上架设DNS、WEB、DHCP、、CA认证、Apache、NFS、KVM安装等应用服务。
第一部分网络配置项目(450分)
【注意事项】
1、设备console线有两条。
交换机,AC,防火墙使用同一条console线,路由器使用另外一条console线。
2、设备配置完毕后,保存最新的设备配置。
保存文档方式分为两种:
a)交换机和路由器要把showrunning-config的配置保存在PC1桌面的相应文档中,文档命名规则为:
设备名称.doc,例如:
RT1路由器文件命名为:
RT1.doc,然后放入到PC1桌面上“比赛文档”文件夹中
b)防火墙等截图方式的设备,把截图的图片放到同一word文档中,文档命名规则为:
防火墙FW1文件命名为:
FW1.doc,保存后放入到PC1桌面上“比赛文档”文件夹中。
一、网络设备配置要求
1.设备连接关系:
表1-3网络设备1连接到设备2表
设备一
设备二
设备一端口
设备二端口
线缆类型
RT1
FW1
GE0/5
E0/1
双绞线
RT2
GE0/4
SW1
GE0/2
E1/0/1
SW2
GE0/3
RT3
S0/1
S0/2
V35
E1/0/2
FW2
WS
GE0/4
E1/0/14-15
SW3
E1/0/21
E1/23
SW4
E1/0/23
E1/24
E1/0/24
PC-A
E1/1
NIC
PC-B
E1/2
PC-C
E1/3
PC-D
E1/4
AP
LAN口
2.网络设备IP地址自行分配表。
表1-4网络设备IP地址表
设备
设备名称
设备接口
IP地址/
路由器
GigaEthernet0/2
GigaEthernet0/3
GigaEthernet0/4
GigaEthernet0/5
Serial0/1
Serial0/2
GigaEthernet0/3
三层交换机
VLAN1000(Ethernet1/0/1)
VLAN3000
(Ethernet1/0/14-15)
VLAN10SVI
VLAN20SVI
VLAN30SVI
VLAN40SVI
管理VLAN50SVI
服务器群VLAN100
(Ethernet1/0/10-13)
VLAN2000(Ethernet1/0/1)
二层交换机
防火墙1
Ethernet0/1
Ethernet0/3
139.4.17.1/24
防火墙2
139.4.17.2/24
无线控制器
VLAN600SVI
VLAN700SVI
3.服务器IP地址自行分配表:
表1-5服务器IP地址分配表
宿主机
虚拟
主机名称
域名信息
服务角色
系统及
版本信息
IPv4
地址信息
Win2003-A1
WWW服务器
CA服务器
WindowsServer2003R2
Win2003-A2
Win2008-A1
DC域控制器
WindowsServer2008R2
Win2008-B1
FTP服务器
Win2003-B1
D
DHCP服务器
WindowsXP
工作站
Win2003-C1
DNS服务器
Win2008-C1
只读
域控制器
Centos-C1
Apache
服务器
Centos6.5
Centos-C2
dns.
BIND
域名服务器
NFS共享
Centos-D1
ftp.
Centos-D2
Mail.
MAIL服务器
二、网络搭建部分:
1.物理连接与IP地址划分
(1)按照网络拓扑图制作以太网网线跳线,用于SW1、SW2、RT1、SW3设备的连接,并增加标识。
要求符合T568A和T568B的标准,其线缆长度适中;
(2)根据“拓扑结构图”和“表1-4:
网络设备IP地址分配表”和“表1-5:
服务器IP地址分配表”所示,请对网络中的所有网络设备接口和服务器分别规划部署IP地址。
总公司中整个网络互联地址规划使用172.16.0.0/16地址段,为了节省IP资源,请按下面需求做到合理分配,目前市场部有91名员工、工程部有110名员工、软件部和系统集成部两个部门都有121名员工,服务器的网段为172.16.100.0/24。
上海分公司使用172.16.200.0/23地址段,保证上海分公司行政部至少有100台主机,销售部至少有40台主机。
天津总公司与上海分公司所有设备互联地址使用/30的掩码进行分配。
并把分配后的地址填入上述表1-4及表1-5分配表中的空白处。
注意:
Ø
要求网络地址根据上述题目要求合理规划;
网关地址规划为本网段的最后一个地址。
2.交换机配置
(1)为交换机设备命名,命名规则参考为表1中的“设备名称”,设备名称的命名规则与拓扑图图示名称相符;
(2)在两台三层交换设备上开启telnet管理功能,使用安全IP技术,只允许管理VLAN的主机对三层交换设备进行管理,同时要求每台网络设备只允许6条线路管理网络设备,管理设备使用telnet用户,口令为2015telnet,enable密码为2015network;
(3)依据“拓扑结构图”和1-6表,在交换机上完成VLAN配置和端口分配,不允许不必要的VLAN通过;
表1-6VLAN接口地址表
VLAN名称
VLANID
接口
Link_to_管理vlan
50
Ethernet1/20
Link_to_RT1
1000
Ethernet1/0/1
Link_to_SW2
3000
Ethernet1/0/14-15
2000
Link_to_SW1
任意
Link_to_SW1/SW2
trank
Ethernet1/23-24
SCB(市场部)
10
Ethernet1/0/1-5
GCB(工程部)
20
Ethernet1/0/6-10
RJB(软件部)
30
Ethernet1/0/11-15
XTJCB(系统集成部)
40
Ethernet1/0/16-20
Link_to_PC-A、PC-B、PC-C、PC-D
100
Ethernet1/1-4
Link_to_SW1
trunk
Ethernet1/23
Link_to_SW2
Ethernet1/24
(4)天津总公司两个核心交换机SW1和SW2之间使用双线路连接,分别下联到接入交换机SW3,采用基于VLAN生成树协议,实现网络中的二层的负载均衡和冗余备份。
交换机创建两个实例:
分别为Instance10和Instance20,其中Instance10关联VLAN10和VLAN20,Instance20关联VLAN30和VLAN40。
SW1为缺省Instance0和Instance10的根交换机,为Instance20备份交换机;
SW2为Instance20根交换机,为缺省Instance0和Instance10的备份交换机,按需求设置STP优先级为8192。
同时结合VRRP技术实现VLAN10、VLAN20、VLAN30、VLAN40内的用户网关的冗余备份。
设置SW1为VLAN10、20的Master路由器,设置SW2为VLAN30、40的Master路由器。
要求VRRP组中高优先级设置为120,同时开启抢占特性。
将各VLAN的虚拟IP地址规划填入下表1-7所示:
表1-7VLAN虚拟IP地址表
VLAN-ID
VRRP备份组号(VRID)
VRRP虚拟IP地址
VLAN10
VLAN20
VLAN30
VLAN40
(5)将SW1三层交换机Ethernet1/0/14和Ethernet1/0/15接口与SW2三层交换机Ethernet1/0/14和Ethernet1/0/15接口配置为动态模式的端口聚合;
(6)总部服务器群直接连接在交换机SW4的Ethernet1/1-4端口上,需要在两个端口上限制接入服务器的数量,Ethernet1/3限制为2台,Ethernet1/4限制为4台,超过后将关闭该端口;
(7)在所有交换设备上,使用系统登录标题:
“welcomeloginguoshai2015!
”。
在10分钟内,没有任何输入信息,网络设备连接超时。
3.路由器配置
(1)为路由设备命名,命名规则参考为表1中的“设备名称”,设备名称的命名规则与拓扑图图示名称相符;
(2)在每个路由器设备与其它网络设备连接的接口都要进行描述;
(3)根据网络拓扑图所示,为了保障专用线路的链路安全,需要在ISP(RT2与RT3之间)连接的链路上配置PPP协议,采用双向CHAP的验证方式,速率为1024000bps,用户名分别为RT2和RT3,密码均为7654321;
(4)天津总公司内网采用OSPF动态路由协议,防火墙FW1与路由器RT1之间采用RIP协议,通过专线实现与分公司的互联互通,请自行规划设备RouterID,并填入下表1-8:
表1-8VLAN虚拟IP地址表
RouterID
(5)集团公司网络采用了OSPF和RIP两种动态路由协议,合理规划开销值,实现集团总公司访问外网数据流主走RT1,备走RT2;
到分公司内网数据流主走RT2,备走RT1;
(6)在RT2上使用队列拥塞管理技术,使内网访问分公司的正常数据流优先级最高,Telnet数据流优先级最低;
(7)在RT3上配置上海分公司网段访问集团公司资源的下载速率最大为2Mbps;
并为分公司访问集团公司时设置QOS,分别为VLAN600保留20%的带宽、VLAN700保留10%的带宽。
4.无线配置
(1)上海分公司用户采用无线接入方式,其中VLAN600用户的SSID为SH001,协议为802.11b,信道为1;
无线控制器做为DHCP服务器为VLAN600用户动态分配IP地址,地址租约时长为1天。
用户接入无线网络时采用WEP认证方式,其口令为012345678;
(2)VLAN700用户的SSID为SH002,协议为802.11g,信道为6;
使用无线控制器做为DHCP服务器,为VLAN700用户动态分配IP地址和网关,地址租约时长为3天。
用户接入无线网络时需要采用WPA-personal加密方式,其口令为1234567890;
(3)配置AP下可以连接的无线用户数是20,用户的老化时间为6分钟;
(4)激活无线网络的二层隔离,实现同一个AP下无线局域网内用户不能互相访问,配置该AP下可以连接的无线网络用户数为20;
(5)配置无线局域网用户上行速度为512Kbps,下行速度为2Mbps,突发速度为4Mbps;
(6)将MAC地址为C417.C417.C417的无线客户端加入黑名单;
(7)黑名单过滤策略之前,MAC地址0D03.0D03.0D03的无线客户已经加入无线网,配置AC删除这个非法用户。
新建参赛号+无线.doc文件,将无线配置后的关键步骤界面截图保存,并存放在主机F盘上以自己参赛号命名文件夹中。
---------------------------------------------------------------------------------------------------------------
提交的截图:
●将截图粘贴到“工位号_网络无线配置文档.doc”中,标记为“
(1)网络无线相关配置截图”,并对截图进行必要的说明,保存到指定位置。
三、网络安全部分:
1.防火墙配置
(1)集团公司内网VLAN20、VLAN30用户可以通过防火墙FW-1做NAT访问Internet,并将总公司内网WWW服务器映射到外网接口。
上海分公司所有用户可以通过防火墙FW-2做NAT访问Internet;
(2)集团公司和上海分公司内网的Web服务器分别需要对外提供服务;
(3)为了保障总公司内网的安全性,在FW-1上做以下防护部署:
端口扫描攻击防护功能,在3秒时间内,有5个以上相同IP地址的TCPSYN包请求,则发出警报,但允许数据包通行;
在防火墙的在安全网关上配置在安全网关上配置网页关键字规则,禁止公司工程部网段,访问含“X”和“S”两个词汇的网页,并对试图访问的行为进行记录;
IP地址欺骗攻击防护功能;
配置PingofDeath攻击防护功能;
配置Land攻击防护功能;
配置WinNuke攻击防护功能;
(5)在防火墙上创建允许从管理网段地址到任意地址的ICMP服务的策略规则;
(6)在FW1中禁止UDP的4500端口以及TCP的6300端口的双向数据包通信。
---------------------------------------------------------------------------------------------------------
●防火墙提交的截图:
用户配置防火墙的所有关键配置点信息(包括FW1和FW2)。
●将截图粘贴到“工位号_防火墙配置文档.doc”中,标记为“防火墙配置相关截图”,并对截图进行必要的说明。
----------------------------------------------------------------------------------------------------------
2、VPN配置
(1)为了保障总公司与分公司之间传输业务数据流,当总公司与分公司之间的ISP专线中断后,需要采用互联网链路为备份链路,在天津总公司与上海分公司的两端防火墙上配置VPN,采用置GREoverIPSec功能,采用esp-md5-3des-g2提议部署实现总部与分公司之间信息通过Internet的安全传输;
(2)在天津总公司出口防火墙上配置SSL方式远程接入VPN,允许远程办公用户可以访问服务群资源,其使用的合法用户名为vpn10、vpn11和vpn12,其共同口令为2015SEC,其拨入的计算获取的IP地址段为172.16.150.0/24。
-----------------------------------------------------------------------------------------------------------
●VPN提交截图:
用户配置VPN的所有信息(包括VPN1和VPN2),包含配置过程中出现的每一个界面都需要截图;
●将截图粘贴到“工位号_VPN配置文档.doc”中,标记为“VPN配置相关截图”,并对截图进行必要的说明。
3.网络系统安全配置
(1)所有启用OSPF协议的接口上都使用MD5认证,认证密钥为:
1234567。
为了加快路由协议的收敛时间以及故障恢复时间。
调整RIP时钟的更新时间为15秒,失效时间70秒,刷新时间100秒;
(2)为了规范总公司员工的上网行为,规定总公司办公区员工(vlan12网段)在周一到周五上班时间(8:
30---17:
30),除了和总公司以及分公司的内部网络通信之外,只能使用公网的http、和dns服务,其它时间不进行限制,请在RT1上配置访问控制列表;
(3)分别在RT1上配置访问控制列表,用于禁止外网访问内网的138、139和445端口;
(4)在SW3上设置,配置VLAN20端口安全功能,每个接口的最大连接数为5,如果违规则关闭接口;
(5)请将软件部某开发终端主机IP地址与MAC地址绑定(该终端的MAC地址为:
47-01-39-04-17-ff,IP地址可参考表1-4中软件部的一个可用IP地址);
(6)请配置SW4交换机的Ethernet1/10-20端口为802.1X认证端口,交换机的管理地址、终端的IP地址、认证服务器的地址请根据前面规划进行设置;
(7)对服务器群资源进行震荡波、SQL蠕虫病毒的防护。
【结果文件的提交】
在RT1、RT2、RT3、SW1、SW2、SW3、SW4上运行showrunning-config,将运行结果粘贴到“工位号_网络配置文档.doc”中(如47号工位的文件命