国赛全国职业院校技能大赛网络搭建与应用竞赛.docx
《国赛全国职业院校技能大赛网络搭建与应用竞赛.docx》由会员分享,可在线阅读,更多相关《国赛全国职业院校技能大赛网络搭建与应用竞赛.docx(27页珍藏版)》请在冰豆网上搜索。
国赛全国职业院校技能大赛网络搭建与应用竞赛
国赛全国职业院校技能大赛网络搭建与应用竞赛
————————————————————————————————作者:
————————————————————————————————日期:
2017年全国职业院校技能大赛
网络搭建与应用竞赛
(总分1000分)
赛题说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分二个部分,其中:
第一部分:
网络搭建及安全部署项目
第二部分:
服务器配置及应用项目
二、竞赛注意事项
(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
(3)本试卷共有两个部分。
请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4)操作过程中,需要及时保存设备配置。
比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
(5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
(6)禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。
(7)与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。
项目简介:
某集团公司原在国内建立了总部,后在俄罗斯地区建立了分部。
总部设有行政、营销、财务与法务、技术等4个部门,统一进行IP及业务资源的规划和分配,网络采用BGP、OSPF和RIP路由协议。
公司规模在2017年快速发展,业务数据量和公司访问量增长巨大。
为了更好管理数据,提供服务,集团决定建立自己的小型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。
集团总部及俄罗斯地区分部的网络拓扑结构如下图所示。
其中一台S4600交换机编号为SW-3,用于实现终端高速接入;两台CS6200交换机VSF虚拟化后编号为SW-Core,作为总部的核心交换机;一台DCFW-1800作为总部的内网防火墙;另一台DCFW-1800作为总部&分部的外网防火墙,存放于ISP机房;一台DCR-2600路由器编号为RT1,作为总部的核心路由器;另一台DCR-2600路由器编号为RT2,作为分部路由器;一台DCWS-6028作为分部机构的有线无线智能一体化控制器,编号为DCWS,通过与WL8200-I2高性能企业级AP配合实现分部无线覆盖。
拓扑结构图
表1网络设备连接表
A设备连接至B设备
设备名称
接口
设备名称
接口
RT1
G0/5
FW-2
E0/1
RT1
S0/2
RT2
S0/1
RT1
S0/1
RT2
S0/2
SW-1
E1/0/28
SW-2
E1/0/28
SW-1
E1/0/27
SW-2
E1/0/27
SW-1
E1/0/24
SW-2
E1/0/24
SW-1
E1/0/23
SW-3
E1/0/23
SW-2
E1/0/23
SW-3
E1/0/24
SW-1
E1/0/22
FW-1
E0/1
SW-2
E1/0/22
FW-1
E0/2
SW-1
E1/0/21
RT1
G0/3
SW-2
E1/0/21
RT1
G0/4
FW-2
E0/3
Internet
RT2
G0/5
FW-2
E0/2
RT2
G0/3
DCWS
E1/0/24
DCWS
E1/0/1
AP
SW-1
E1/0/10
Server1
NIC
SW-1
E1/0/11
Server2
NIC
SW-2
E1/0/10
Server3
NIC
SW-2
E1/0/11
Server4
NIC
表2.网络设备IP地址分配表
设备
设备名称
设备接口
IP地址
路由器
RT1
Loopback1
10.10.254.2/32
G0/3
10.10.255.10/30
G0/4
10.10.255.14/30
G0/5
10.10.255.25/30
S0/1-2
10.10.255.21/30
Tunnel1
10.10.255.17/30
RT2
G0/5
10.10.255.30/30
G0/3.10
172.16.10.254/24
G0/3.20
172.16.20.254/24
G0/3.100
172.16.101.254/23
S0/1-2
10.10.255.22/30
Tunnel1
10.10.255.18/30
三层交换机
SW-Core
Loopback1
10.10.254.1/32
VLAN10SVI
10.10.10.254/24
VLAN20SVI
10.10.20.254/24
VLAN30SVI
10.10.30.254/24
VLAN40SVI
10.10.40.254/24
VLAN100SVI
10.100.100.254/24
VLAN200SVI
10.10.200.254/24
VLAN1000SVI
10.10.255.1/30
VLAN1001SVI
10.10.255.5/30
VLAN1002SVI
10.10.255.9/30
VLAN1003SVI
10.10.255.13/30
防火墙1
FW-1
Eth0/1-2
10.10.255.2/30(trust安全域)
Eth0/1-2
10.10.255.6/30(untrust安全域)
防火墙2
FW-2
Eth0/1
10.10.255.26/30(trust安全域)
Eth0/2
10.10.255.29/30(DMZ安全域)
Eth0/3
202.99.192.1/28(untrust安全域),对端地址:
202.99.192.12/28
二层交换机
SW-3
VLAN200SVI
10.10.200.1/24
表3.服务器IP地址分配表
宿主机
虚拟主机名称
域名信息
服务角色
系统及
版本信息
IPv4
地址信息
Server1
ESXI-A1
ESXI-1
虚拟化
ESXI5.5
10.100.100.223/24
Win2008-A1
DHCP服务器
WDS服务器
DFS服务器
FTP服务器
WindowsServer2008R2
10.100.100.170/24
Centos-A1
MAIL服务器
PXE服务器
Centos6.5
10.100.100.213/24
Server2
ESXI-B1
ESXI-2
虚拟化
ESXI5.5
10.100.100.224/24
Centos-B1
逻辑卷磁盘
NTP服务器
Centos6.5
10.100.100.169/24
Centos-B2
FTP服务器
Samba服务器
Centos6.5
10.100.100.210/24
Server3
(VCENTER服务器)
IP:
10.100.100.244
Win2008-C1
FQDN:
WEB服务器
故障转移集群服务
WindowsServer2008R2
10.100.100.161/24
Openfiler-C1
存储服务器
Openfiler2.99
10.100.100.245/24
Centos-C1
WEB服务器
数据库服务器
Centos6.5
10.100.100.212/24
WIN7-C1
Client模板
Windows7
WIN7-C2
W
Client
Windows7
10.100.100.117/24
Server4
Win2012-D1
域控制器
DNS服务器
CA证书服务器
DFS服务器
WindowsServer2012R2
10.100.100.186/24
Win2008-D1
FQDN:
WEB服务器故障转移集群服务
WindowsServer2008R2
10.100.100.160/24
Win2008-D2
Tomcat服务器
WindowsServer2008R2
10.100.100.196/24
Centos-D1
域名服务器
代理服务器
Centos6.5
10.100.100.211/24
网络搭建及安全部署项目
(500分)
【说明】
(1)设备console线有两条。
交换机,AC,防火墙使用同一条console线,路由器使用另外一条console线。
(2)设备配置完毕后,保存最新的设备配置。
裁判以各参赛队提交的竞赛结果文档为主要评分依据。
所有提交的文档必须按照赛题所规定的命名规则命名,截图有截图的简要说明,否则按无效内容处理;所有需要提交的文档均放置在PC1桌面的“比赛文档_X”(X为组号)文件夹中。
保存文档方式分为两种:
●交换机和路由器要把showrunning-config的配置保存在PC1桌面的相应文档中,文档命名规则为:
设备名称.docx,例如:
RT1路由器文件命名为:
RT1.docx,然后放入到PC1桌面上“比赛文档_X”文件夹中;
●防火墙等截图方式的设备,把截图的图片放到同一word文档中,文档命名规则为:
设备名称.docx,例如:
防火墙FW-1文件命名为:
FW-1.docx,保存后放入到PC1桌面上“比赛文档_X”文件夹中。
一、物理连接
右侧布线面板立面示意图左侧布线面板立面示意图
说明
(1)机柜左侧布线面板,机柜上已经安装好的信息点底盒代表为总部数据中心水平配线区配线点101,面板左侧为1号端口,右侧为2号端口;机柜右侧布线面板,机柜上已经安装好的信息点底盒代表为总部数据中心水平配线区配线点102,面板左侧为1号端口,右侧为2号端口
(2)机柜上配线架代表总部数据中心主配线区配线点。
(3)数据中心主配线区配线点与水平配线区配线点连线对应关系表:
序号
信息点编号
计算机编号
底盒编号
信息点编号
配线架端口编号
1
PC1-101-1-01
PC1
101
1
01
2
PC2-101-2-02
PC2
101
2
02
3
PC3-102-1-03
PC3
102
1
03
4
PC4-102-2-04
PC4
102
2
04
1.铺设线缆并端接
(1)截取4根适当长度的双绞线,两端制作标签,穿过PVC线槽或线管。
一端使用扎带固定在机柜网络配线架上,一端进入底盒。
(2)将4根双绞线的一端,根据“数据中心主配线区配线点与水平配线区配线点连线对应关系表“的要求,端接在配线架的相应端口上。
(3)将4根双绞线的另一端,根据“数据中心主配线区配线点与水平配线区配线点连线对应关系表”的要求,端接上RJ45模块,并且安装上信息点面板,并标注标签。
2.跳线制作与测试
(1)再截取4根当长度的双绞线,两端制作标签,根据“数据中心主配线区配线点与水平配线区配线点连线对应关系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳线,所有网络跳线要求按568B标准制作。
(2)根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线,根据题目要求,插入相应设备的相关端口上。
(3)实现PC、信息点面板、配线架、设备之间的连通。
(提示:
可利用机柜上自带的设备进行通断测试)
二、交换机配置
1、总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,用户对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。
两台设备之间建立一个vsfport-group,vsfport-group编号都为1,每个vsfport-group绑定两个千兆光端口,VSF逻辑域为10,SW-1的成员编号为1,SW-2的成员编号为2,正常情况下SW-2负责管理整个VSF,采用BFDMAD分裂检测,SW-1BFDMADIP地址为:
10.10.255.253/30,SW-2BFDMAD接口IP地址为:
10.10.255.254/30,使能VSF自动合并功能;
2、为了减少广播,需要根据题目要求规划并配置VLAN。
具体要求如下:
1)配置合理,所有链路上不允许不必要VLAN的数据流通过,包括VLAN1;
2)尽可能加大总部接入交换机与核心交换机之间的带宽。
根据下述信息及表,在交换机上完成VLAN配置和端口分配。
设备
VLAN编号
VLAN名称
端口
说明
SW-3
VLAN10
XZ
E1/0/1至E1/0/4
行政
VLAN20
YX
E1/0/5至E1/0/9
营销
VLAN30
CWFW
E1/0/10至E1/0/13
账务与法务
VLAN40
JS
E1/0/14至E1/0/18
技术
VLAN200
GL
管理
SW-Core
VLAN4000
E1/0/24、E2/0/24
BFDMAD
3、总部接入交换机SW-3配置相关协议实现主备链路冗余备份及故障快速迁移,正常情况下营销、财务与法务、行政、技术、管理业务优先通过SW-3—SW-1链路转发,SW-3—SW-2链路备份,控制VLAN为50,开启抢占模式,使得主端口故障时副端口立即进行抢占,同时发送flush报文,更新网络中其他设备的MAC地址表和ARP表;
4、要求尽可能加大总部核心交换机SW-Core与FW-1之间的带宽,模式为动态方式,采用PBR方式实现总部与分部互访业务、总部访问Internet来回数据流都经过FW-1进行安全防护;
5、总部核心交换机SW-Core系统中所有存在的接口启动定时发送免费ARP报文功能;总部核心交换机SW-Core与总部RT1互连接口通过采样、统计等方式将数据发送到分析器10.10.200.50,源地址为:
10.10.200.254,采样速率1000pps,采样的最大时间间隔为60s,由分析器对收到的数据进行用户所要求的分析。
三、路由器配置与调试
1、因历史原因,总部使用RIP、OSPF、BGP多协议组网。
RT1、SW-Core之间规划使用OSPF协议;RT1、FW-2、RT2之间规划使用RIP协议;RT1、RT2之间规划使用BGP协议;
2、总部RT1、SW-Core之间规划使用OSPF协议,进程号为10,Area10,要求业务网段中不出现协议报文;加快邻居关系收敛,打开记录OSPF邻居状态变化日志功能;为了管理方便,需要发布Loopback地址,并尽量在OSPF域中发布;
3、总部RT1、ISP机房FW-2、分部RT2之间规划使用RIP协议,版本号为RIP-2,取消自动聚合,同时在分部RT2上发布相关业务路由;
4、RT1、RT2之间使用与FW-2的接口互联地址建立GRE隧道,Tunnel接口的验证密钥为:
2017;
5、总部RT1、分部RT2之间规划使用BGP协议,通过接口互联地址建立两对E-BGP邻居关系,其中一对邻居关系建立采用GRETunnelIP地址,同时在分部RT2上发布相关业务路由;
6、总部RT1配置路由重分布:
将BGP协议与OSPF协议相互引入;OSPF协议引入至RIP协议,RIP协议禁止引入至OSPF协议。
四、广域网配置
1、总部RT1与分部RT2间、总部RT1、分部RT2与ISP机房FW-2间都属于专线链路,其中总部RT1-分部RT2间所租用链路带宽为4M;总部RT1-ISP机房FW-2间所租用链路速率为100M,分部RT2-ISP机房FW-2间所租用链路速率为10M,请在相关设备上进行配置,以使设备接口能够匹配实际链路速率(波特率);
2、因总部RT1-分部RT2间Serial专线的带宽有限,为了保证关键的应用,需要在设备上配置优先级队列,应用优先级从高到低为:
服务器业务、财务&法务业务、营销业务、技术与行政业务。
五、无线配置
1、无线控制器DCWS二层与分部RT2互通,所有业务网关位于分部RT2上,使用无线控制器提供DHCP服务,动态分配IP地址和网关,DCWS配置VLAN100为AP管理VLAN,VLAN10、20为业务VLAN,需要排除相关地址;DCWS使用第一个地址作为管理地址,AP二层注册,采用序列号认证;
2、设置两个SSIDFenZhiXX-IN、FenZhiXX-Internet,其中FenZhiXX中的XX为组号,具体要求如下:
1)SSIDFenZhiXX-IN1:
主要访问总部业务,VLAN10,采用WPA—企业加密方式,配置密钥为Dcn12345678,信号隐藏;
2)SSIDFenZhiXX-Internet:
主要访问Internet,VLAN20,采用开放接入;
3、配置所有无线接入用户相互隔离,开启自动强制漫游功能、动态黑名单功能。
六、安全策略配置
1、FW-1采用静态路由,配置trunst,untrunst区域和相应安全防护策略;FW-2采用RIP协议,配置trunst,untrunst,DMZ区域和相应安全防护策略;
2、配置FW-1,FW-2untrunst区域攻击防护:
开启以下Flood防护:
ICMP洪水攻击防护,警戒值1000,动作丢弃;
UDP供水攻击防护,警戒值1000,动作丢弃;
SYN洪水攻击防护,警戒值1000,动作丢弃;
开启以下DOS防护:
PingofDeath攻击防护;
Teardrop攻击防护;
IP选项,动作丢弃;
ICMP大包攻击防护,动作丢弃;
3、总部与分部统一通过ISP机房FW-2访问外网,配置PAT,实现总部行政与技术业务、分部SSIDFenZhiXX-Internet业务访问外网,同时外网用户通过202.99.192.4可以访问总部Server10.100.100.161Web服务;
4、FW-2实现公司用户访问Internet控制、审计,要求禁止用户使用MSN、QQ和雅虎通聊天,并记录日志;对HTTP应用的行为进行控制和审计;
5、FW-2配置L2TPVPN,允许远程办公用户通过拨号登陆访问总部服务器区业务,LNS地址池为10.10.220.1-10.10.220.100,网关为最大可用地址,认证账号user01,密码dcn001
七、业务选路配置
1、考虑到从分部到总部有两条广域网链路,且其带宽不一样,所以规划正常情况下总部RT1-ISP机房FW-2-分部RT2间专线为主链路,总部RT1与分部RT2间Serial专线为备链路;分部访问总部除财务与法务、营销业务之外的其他业务优先走主链路;分部访问总部财务与法务、营销业务优先走备链路,主、备链路业务相互备份。
根据以上需求,在总部RT1、分部RT2进行合理的业务选路配置。
具体要求如下:
1)使用IP前缀列表匹配数据流;
2)使用BGPMED属性进行业务选路配置,只允许使用Route-map来改变MED属性,且MED值必须为100或200;
2、总部RT1、SW-Core之间优先通过RT-1-SW-1链路转发业务,RT-1-SW-2链路备份。
服务器配置及应用项目
(500分)
【说明】
(1)题目中所涉及的所有系统的管理员以及其他普通用户密码均为2017Netw@rk(注意区分大小写),若未按照要求设置密码,涉及到该操作的所有分值记为0分。
(2)虚拟主机的IP属性设置请按照网络拓扑结构图以及“表3:
服务器IP地址分配表”的要求设定。
(3)除非作特殊说明,在同一主机下需要安装相同操作系统版本的虚拟机时,可采用VMwareWorkstation软件自带的克隆系统功能实现。
(4)所有系统镜像文件及试题所需的其它软件均存放在每台主机的D:
\soft文件夹中,并将竞赛题目要求的截图内容以.jpg格式存储于各物理机桌面BACKUP_X(X为组号)文件夹中,文件名和存放位置错误,涉及到的所有操作分值记为0分。
(5)题目要求的虚拟机均安装于每台主机的D:
\virtualPC目录,即路径为D:
\virtualPC\虚拟主机名称。
(6)所有服务要求虚拟机系统重新启动后,均能正常启动和使用,否则扣除该服务功能一半分数。
虚拟化和存储部分
一、在Server1上完成如下操作:
(一)完成虚拟化系统ESXIServer的启动
1、将标识为“Server1上”的计算机上已有的虚拟化系统“ESXI-A1”启动,开启ESXI-A1的时间同步和I/O重定向功能,将开启功能截图分别保存为time.jpg和io.jpg;
2、配置两块虚拟网卡均为Bridge桥接模式,并且对第一块网卡配置IP地址为10.100.100.223/24;
3、创建第二个虚拟交换机,绑定第二块物理网卡并在其中配置虚拟机端口组,命名为VMNetwork2,添加一个VMKernel端口,命名为VMkernel2,并设定IP地址为10.100.100.225/24,对两台虚拟交换机截图保存为sv1.jpg;
二、在Server2上完成如下操作:
(一)完成虚拟化系统ESXIServer的创建
1、在VMwareWorkstation上安装名为“ESXI-B1”的虚拟化系统,具体要求内存为4G,硬盘80G;
2、安装VMwarevSphereClient,开启ESXI-B1的shell和ssh功能;
3、配置两块虚拟网卡均为Bridge桥接模式,并且对第一块网卡配置IP地址为10.100.100.224/24;
4、创建第二个虚拟交换机,绑定第二块物理网卡并在其中配置虚拟机端口组,命名为VMNetwork2,添加一个VMKernel端口,命名为VMkernel2,并设定IP地址为10.100.100.226/24,对两台虚拟交换机截图保存为sv2.jpg;
三、在Server3上完成如下操作:
(一)完成存储系统的虚拟机创建
在VMwareWorkstation上安装名为“Openfiler-C1”的存储系统,具体要求为内存为1G,硬盘10G;
(二)完成VMwareVcenterServer和VMwarevSphereClient的安装
将Server3的IP地址配置为10.100.100.244/24,并完成VMwareVcenterServer和VMwarevSphereClient的安装;
(三)完成存储系统中磁盘的配置
1、在Openfiler-C1存储系统上添加两块SATA磁盘,每块磁盘大小为40G;
2、将两块硬盘配置成RAID0格式的卷组,卷组名称为:
iSCSI-VG,将配置结果截图保存为raid0.jpg;
3、将卷组iSCSI-VG配置成iSCSI格式的逻辑卷,逻辑卷名称为:
iSCSI-