海南省网络搭建及应用省赛模拟题Word文档格式.docx
《海南省网络搭建及应用省赛模拟题Word文档格式.docx》由会员分享,可在线阅读,更多相关《海南省网络搭建及应用省赛模拟题Word文档格式.docx(22页珍藏版)》请在冰豆网上搜索。
机房工程
GreenIT:
从服务器采选与网络节点设计等多方面入手,降低整体功耗;
配置UPS;
配置冷却系统;
消防布局;
IP地址划分实施
VLSM、子网;
交换机配置与调试
VLAN、STP、RSTP、MSTP、MAC、802.1X、端口安全、端口聚合等;
路由器配置与调试
RIP、OSPF、单臂路由、NTP、DHCP、QoS、ACL等配置;
无线设备配置与调试
设置、分配、接入、开通;
局域网的设置
PC局域网:
Windows操作系统IP的配置、打印共享、文件共享等;
7
广域网配置
PPP、Frame-Relay、NAT、NAPT;
8
语音网络配置与调试
能够配置和使用语音技术,实现VoIP技术,实现“三网融合”;
9
服务器配置及应用
安装服务器操作系统(Windows/Linux)
能够熟练安装操作系统,并能对操作系统进行安全配置和应用管理;
10
安装、配置DNS、Web、FTP、E-mail、DHCP服务(Windows/Linux)
能够熟练安装和配置DNS、Web、FTP、E-mail、DHCP等网络服务,能够根据企业的应用需求,进行服务的安全配置和管理;
11
数据库安装、管理与应用
能够熟练安装和配置数据库,能够根据企业的应用需求,进行安全配置和管理数据库服务器系统;
12
服务器虚拟化技术、服务器集群技术
能够熟练掌握虚拟化技术,使用服务器集群技术来实现网络的高可用性和负载均衡;
13
网络安全配置与防护
硬件防火墙配置
能够在企业网络中部署防火墙,使用防火墙规则保护内网服务安全,在防火墙上实现路由、NAT转换、防DDos攻击、实现包过滤、URL过滤、P2P流量控制等;
14
入侵检测技术
能够在企业网中部署入侵检测技术,能够对网络存在的风险进行预警,保障网络安全,实现检测DDOS攻击、病毒攻击、缓冲区溢出攻击、端口攻击等;
15
VPN技术
VPN实现远程安全接入和站点到站点的IPSecVPN;
16
无线网络安全技术
配置无线网络WEP加密、MAC认证接入控制;
17
操作系统安全技术
WindowsServer域控制器技术、权限管理;
配置CA服务实现SSLweb服务;
EFS加密技术;
操作系统病毒防护;
系统防火墙保护桌面系统;
18
制作相关工程文件
基于GB50312/GB21671/GB50174等标准的要求。
11.比赛样题
一、项目背景及网络拓扑
某著名科技集团公司总部设在北京市,由于业务发展的需要,在上海设置分公司,为了实现快捷的信息交流和资源共享,需要构建一个跨越二地的集团网络。
总公司有销售部、营销部、市场部和管理部四个部门,广州分公司设有销售一部。
总公司采用双核心的网络架构,采用双出口的网络接入模式,使用防火墙接入互联网络,互联网采用2M的接入链路,使用路由器接入城域网,城域网为帧中继网络,城域网申请二条1M的专用线路,
为了实现快捷的信息传递和公司业务的需求,允许SOHO办公和出差的员工能够方便、快捷、安全的访问总公司内网服务器群。
总公司的网络都采用OSPF动态路由协议,上海分公司采用的RIPv2动态路由协议,并通过专用线路学习到分公司路由信息,实现网络的畅通。
上海办事处的网络结构采用无线网络架构,采用无线控制器与无线接入点来实现。
具体的拓扑结构如下图所示:
二、地址规划
(一)网络架构
请根据下表和网络拓扑图,将所有连接起来,注意接口按照实际比赛设备接口进行相应调整。
设备
设备名称
设备接口
IP地址
路由器
R-1
RSR20-1
Serial2/0
10.0.0.13/30
FastEthernet0/1
10.0.0.5/30
R-2
RSR20-2
10.0.0.14/30
10.0.0.17/30
FastEthernet0/0
67.8.9.14/28
三层交换机
L3SW-1
RG3760-1
GigabitEthernet0/25
10.0.0.2/30
VLAN1SVI(管理VLAN)
2001:
abcd:
10:
:
1/64
VLAN10SVI(销售部)
10.0.1.1/24
1:
1/64
VLAN20SVI(营销部)
10.0.2.1/24
2:
VLAN30SVI(市场部)
10.0.3.1/24
3:
VLAN40SVI(管理部)
10.0.4.1/24
4:
VLAN50SVI(服务器群)
10.0.5.1/24
5:
L3SW-2
RG3760-2
10.0.0.6/30
abcd0:
2/64
10.0.1.2/24
10.0.2.2/24
10.0.3.2/24
10.0.4.2/24
防火墙
FW
RG-WA
G0/2
10.0.0.1/30
G0/1
67.8.9.1/28
无线控制器
WS
RG-WS
10.0.0.18/30
VLAN70
10.0.7.1/24
AC的环回接口地址
9.9.9.9
为AP分配的地址段为
10.0.11.0/24
(二)应用系统
宿主机
虚拟服务器名称
提供服务
操作系统
第1台计算机
域服务/DNS服务/证书服务
WindowsServer2008R2
10.0.5.8/24
200:
8/64
DHCP服务
WindowsServer2008R2CORE
10.0.5.9/24
9/64
网络策略服务器
10.0.5.17/24
第2台计算机
备份DNS服务/NFS服务
CentOS5.5
10.0.5.11/24
11/64
WEB服务
10.0.5.12/24
12/64
10.0.5.13/24
13/64
第3台计算机
邮件服务
10.0.5.10/24
10/64
S
SAMBA服务器
10.0.5.18/24
18/64
FTP服务
10.0.5.14/24~10.0.5.16/24
14/64~2001:
16/64
第4台计算机
测试
Windows7
DHCP
P
三、竞赛题目
(一)网络搭建
网络需求
根据网络拓扑图所示,对所有网络设备、无线设备和安全设备的各接口、VLAN等接口IP地址进行配置,使其能够正常通讯。
根据网络拓扑图所示,在所有交换机上创建相应的VLAN,将每个VLAN需要使用部门名称的拼音来命名,例如“销售部”为“xiaoshoubu”。
根据拓扑图所示,将所有交换机接口加入到不同的VLAN,
在每个网络设备与其它网络设备连接的接口都要进行描述,例如“RSR-1路由器的FA0/1接口与RS-1连接”其描述为“RSR-1TORS-1interfaceFA0/1”。
总公司内网采用双核心架构,在两个核心之间的链路采用链路聚合技术,实现冗余和增加链路带。
在网络内部采用MSTP和VRRP技术实现二层与三层负载均衡,创建两个生成树实例分别为实例10和实例20,将VLAN10和VLAN20加入到实例10,将VLAN30和VLAN40加入到实例20,将RG3760-1设置为实例10的根据,同时也是实例20的备份根,将RG3760-2设置为实例20的根据,同时也是实例10的备份根;
设置RG3760-1为VLAN10、VLAN20的跃路器,设置RG3760-2为VLAN30、VLAN40的活跃路由器,VLAN10的虚拟IPv4地址为10.0.1.254;
VLAN20的虚拟IPv4地址为10.0.2.254;
VLAN30的虚拟IPv4地址为10.0.3.254;
VLAN40的虚拟IP地址为10.0.4.254;
在总公司的网络中,为了防止网络中的DHCP无赖设备攻击,需要在网络中部署DHCP监听技术,为了保障客户机正常获取IP地址,需要配置DHCP中继技术,其中DHCP服务连接至RG3760-1的FastEthernet0/2接口。
在总公司出口防火墙配置IPSecVPN,总公司与分公司之间使用租用链路传输业务数据(VALN50与VLAN70之间的数据流),为了提高网络的高可用性,当专用链路断掉后,所有的业务数据都由互联网链路传输,但为了保障数据传输的安全,需要使用IPSecVPN技术保障数据的安全性,VPN需要采用隧道模式、预共享密码为123456。
总公司与上海分公司之间的城域网链路,城域网为帧中继网络,所需需要将RSR20-3配置为帧中继交换机,总公司路由器分配的DLCI号为36,上海分公司分配的DLCI号为63,帧中继的网络类型为NBMA,采用静态映射方式。
根据网络拓扑结构所示,在总公司的网络中配置OSPF动态路由协议和静态路由协议,将网络规划到不同的区域中。
需要指定网络设备的RID,其中总公司网络设备指定RSR20-1的RID为1.1.1.1、RSR20-2的RID为2.2.2.2、RG3760-1的RID为4.4.4.4、RG3760-2的RID为5.5.5.5。
在总公司出口防火墙上需要使用路由重分发的技术,将默认路由发布到网络中。
在OSPF动态路由协议的网络中,为保障路由协议安全,需要在路由更新时采用基于接口的MD5验证方式,其口令为ruijie;
在总公司出口防火墙上使用NAT技术,允许内网用户(VLAN10、VLAN20、VLAN30、VLAN40)使用全局地址段67.8.9.2~67.8.9.4,将服务器的WEB服务和服务器的ftp服务发布到互联网,其合法地址为67.8.9.6。
在总公司出口防火墙上配置L2TP远程接入VPN,允许远程办公用户可以访问服务群资源,其使用的合法用户名为vpn1、vpn2、vpn3、vpn4、vpn5,其共同口令为ruijie,其客户端拔入获取的地址段为10.0.6.1010.0.6.15。
在RSR3760-1、RSR3760-2、RSR20-1、RSR20-2设备上开启telnet管理功能,只允许使用10.0.5.11主机对网络进行管理,同时要求每台网络设备只允许2个线路管理网络设备,使用AAA本地验证方式,用户为ruijie1和ruijir2,口令都为ruijie,登录设备的特权口令为ruijie。
上海分公司的内网采用的RIPv2路由协议,为了实现与总公司网络互通,所以需要使用路由重分发技术,其RIP路由发布到OSPF路由协议中的类型为E1,开销为200,OSPF路由发布到RIP中时,其路由的开销为2。
上海分公司租用两条链路,一条为专用链路,用来传输业务数据,另外一条为互联网链路,用来满足用户访问互联网的需求,使用NAT技术将路由器的外部接口地址为全局地址,允许内网用户在上班时间(周一至周五的9:
00~18:
00)访问互联网。
在分公司出口路由器配置IPSecVPN,总公司与分公司之间使用租用链路传输业务数据(VALN50与VLAN70之间的数据流),为了提高网络的高可用性,当专用链路断掉后,所有的业务数据都由互联网链路传输,但为了保障数据传输的安全,需要使用IPSecVPN技术保障数据的安全性,VPN需要采用隧道模式、预共享密码为123456。
设置防火墙安全策略只允许内部用户(VLAN10、VLAN20、VLAN30、VLAN40)每天的9:
00才可以访问互联网。
允许互联网用户访问WEB服务和FTP服务;
允许远程VPN拨入的用户访问内网所有资源;
允许分公司用户访问服务群中的所有服务。
总部服务器开启IPv4/IPv6双协议栈,确保总部用户和分支机构用户能通过IPv6访问服务器发布的WEB相关服务。
在总公司双核心交换机之间采用IPv6静态路由,分支机构用户与RG-S3760-2建立ISATAP隧道访问IPv6WEB。
(二)无线网络配置
广州分公司的内网使用无线网络架构,其使用无线交换机和无线接入点,配置无线设备满足用户访问互联网要求,使用无线交换机为DHCP服务器,为内部用户动态分配IP地址、网关和DNS服务器;
其分配的地址段为10.0.7.10~10.0.7.200。
AC的环回接口地址为9.9.9.9,为AP分配的地址段为10.0.11.0/24。
创建SSID为RUIJIE,用户接入无线网络时需要采用基于WPA2加密方式,其口令为0123456789;
在同一个AP中的用户在某些时候出于安全性的考虑,需要将他们彼此之间进行隔离,实现用户之间彼此不能互相访问,配置同AP下用户间隔离功能。
设置该SSID下的每个用户下载限速为1Mbps
(三)Windows系统服务安装与配置
在服务群中使用3台物理计算机,每台物理计算机使用VirtualBox安装3个虚拟计算机;
在接入层中使用1台物理计算机,使用VirtualBox安装2个虚拟计算机;
具体要求如下所述,注意:
所有服务器设置的口令为ABCabc123#。
1、域控制器
在计算机1上,使用VirtualBox安装WindowsServer2008操作系统,其内存为1G,硬盘40G,其合法域名为,其IPv4地址为10.0.5.8/24,IPv6地址为2001:
8/64。
创建4个组,组名采用需要用部门名称的拼音命名,每个部门都创建5个用户,销售部用户:
user1~user5、营销部用户:
user6~user10、市场部用户:
user11~user15、管理部用户:
user16~user20,用户名采用user+数字,例如“usre1”其用户不能修改用户口令,其用户口令为ABCabc123#,并要求用户只能在上班时间可以登录(每天9:
00)。
并将此服务器配置为主DNS服务器,正确配置域名的正向区域、IPv4反向区域、IPv6反向区域,能够正确解网络中的所有服务器;
创建所有服务器主机记录和邮件服务器的MX记录,需要关闭网络掩码排序功能。
当遇到无法解析的域名时,将其请求转发至201.106.0.20互联网域名服务器,只允许在“名称服务器”选项卡中列出的服务器(10.0.5.11,2001:
11)进行复制;
设置DNS服务正向区域和反向区域与活动目录集成;
要求动态更新设置为非安全;
设置域和林的功能级别为WindwosServer2003。
安装证书服务,设置为企业根,有效期为5年。
2、WEB服务器1
在计算机2上,使用VirtualBox安装WindowsServer2008操作系统,其内存为1G,硬盘40G,其合法域名为,安装两块网卡,一块网卡提供网络服务,其IPv4地址为10.0.5.12/24,IPv6地址为2001:
12/64,另一块网卡为心跳线网卡,其IPv4地址为11.11.11.11,IPv6地址为2001:
11:
11/64,将服务器加入至Windows域中。
在VirtualBox上添加三块虚拟硬盘,其每块硬盘的大小为2G。
将三块硬盘制作成RAID5,磁盘盘符为e:
\。
安装IIS7.0组件,创建站点,在挂载的网络磁盘e:
\下创建名称为www的文件,在www文件中创建名称为abc.html的主页,主页显示内容“热烈庆祝2012年职业技能竞赛开幕”,要求只允许使用域名通过SSL加密访问。
设置网站的最大连接数为1000,网站连接超时为60s,网站的带宽为1000KB/S,使用W3C记录日志;
每天创建一个新的日志文件,使用当地时间作为日志文件名;
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号和方法。
安装NLB负载平衡服务,其群集IPv4地址为10.0.5.200/24,IPv6地址为2001:
200/64,完整的Internet名称为,采用多播方式。
3、WEB服务器2
在计算机2上,使用VirtualBox安装WindowsServer2008操作系统,其内存为1G,硬盘40G,其合法域名为,安装两块网卡,一块网卡提供网络服务,其IPv4地址为10.0.5.13/24,IPv6地址为2001:
13/64另一块网卡为心跳线网卡,其IPv4地址为11.11.11.12,IPv6地址为2001:
12/64,将服务器加入至Windows域中。
4、DHCP服务器
在计算机1上,使用VirtualBox安装WindowsServer2008R2Core操作系统,其内存为1G,硬盘40G,其合法域名为,其网络服务IPv4地址为10.0.5.9/24,IPv6地址为2001:
9/64。
将服务器加入到Windows域环境
安装DHCP服务,为内网VLAN10、VLAN20、VLAN30和VLAN40的用户主机动态分配IPv4地址,建立作用域,作用域的名称为相应VLAN的名称,超级作用域的名称为部门名称的全拼,为用户分配网关、DNS服务器及域名;
VLAN10地址段为10.0.1.10~10.0.1.200,VLAN20地址段为10.0.2.10~10.0.2.200,VLAN30地址段为10.0.3.10~10.0.3.200,VLAN40地址段为10.0.4.10~10.0.4.200;
为内网VLAN10、VLAN20、VLAN30和VLAN40的用户主机动态分配IPv6地址,建立作用域,作用域的名称为相应VLAN的名称,超级作用域的名称为部门名称的全拼,为用户分配网关、DNS服务器及域名;
VLAN10地址段为2001:
/64,其排除地址段为2001:
1~2001:
VLAN20地址段为2001:
VLAN30地址段为2001:
VLAN40地址段为2001:
5、NPS服务器
在计算机1上,使用VirtualBox安装WindowsServer2008R2操作系统,其内存为512M,硬盘40G,其合法域名为n