中职 网络搭建与应用 赛卷6《技能要求》赛项赛题.docx
《中职 网络搭建与应用 赛卷6《技能要求》赛项赛题.docx》由会员分享,可在线阅读,更多相关《中职 网络搭建与应用 赛卷6《技能要求》赛项赛题.docx(17页珍藏版)》请在冰豆网上搜索。
中职网络搭建与应用赛卷6《技能要求》赛项赛题
2021年全国职业院校技能大赛
网络搭建与应用赛项
公开赛卷
(一)
技能要求
(总分1000分)
网络搭建与应用赛项执委会及专家组
2021年03月21日
竞赛说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分三个部分,其中:
第一部分:
网络搭建及安全部署项目(500分)
第二部分:
服务器配置及应用项目(480分)
第三部分:
职业规范与素养(20分)
二、竞赛注意事项
1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3.请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
4.操作过程中,需要及时保存设备配置。
5.比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
6.比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
7.禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记,如违反规定,可视为0分。
8.与比赛相关的工具软件放置在每台主机的D盘soft文件夹中,三种报告单模板放在PC1电脑D:
\soft文件夹中。
项目简介:
某集团公司原在北京建立了总公司,后在成都建立了分公司,又在广东设立了一个办事处。
集团设有营销、产品、法务、财务、人力5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF和BGP路由协议进行互联互通。
春回大地,万象更新,站在“两个一百年”历史的交汇点,上半年公司规模依然保持快速发展,业务数据量和公司访问量增长巨大,努力开创新局面,以高质量业绩向党献礼。
为了更好管理数据,提供服务,集团决定在北京建立两个数据中心及业务服务平台、在贵州建立异地灾备数据中心,以达到快速、可靠交换数据,以及增强业务部署弹性的目的,初步完成向两地三中心整体战略架构演进,更好的服务于公司客户。
集团、分公司及广东办事处的网络结构详见“网络环境”拓扑图。
两台交换机分别作为集团北京两个DC的核心交换机编号分别为SW-1和SW-2;又新采购一台交换机编号为SW-3,作为集团灾备DC的核心交换机;两台防火墙FW-1和FW-2分别作为集团、广东办事处的防火墙;一台路由器编号为RT-1,作为集团的核心路由器;另一台路由器编号为RT-2,作为分公司的路由器;一台有线无线智能一体化控制器作为分公司的AC,与高性能企业级AP配合实现分公司无线覆盖。
请注意:
在此典型互联网应用网络架构中,作为IT网络系统管理及运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。
请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应应用。
网络搭建及安全部署项目
(500分)
【说明】
1.请将PC1上D盘soft文件夹中的《网络搭建及安全部署竞赛报告单》复制到PC1桌面的“XX_network”(XX为赛位号)文件夹中,并按照截图注意事项的要求填写完整;
2.设备配置完毕后,保存最新的设备配置。
裁判以各参赛队提交的竞赛结果文档为主要评分依据。
所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放置在PC1桌面的“XX_network”(XX为赛位号)文件夹中。
保存文档方式如下:
●交换机、路由器、AC要把showrunning-config的配置、防火墙要把showconfiguration的配置保存在PC1桌面上的“XX_network”文件夹中,文档命名规则为:
设备名称.txt。
例如:
RT-1路由器文件命名为:
RT-1.txt;
●无论通过SSH、telnet、Console登录防火墙进行showconfiguration配置收集,需要先调整CRT软件字符编号为:
UTF-8,否则收集的命令行中文信息会显示乱码。
一、网络布线与基础连接(50分)
右侧布线面板立面示意图左侧布线面板立面示意图
【说明】
1.机柜左侧布线面板编号101;机柜右侧布线面板编号102。
2.面对信息底盒方向左侧为1端口、右侧为2端口。
所有配线架、模块按照568B标准端接。
3.主配线区配线点与工作区配线点连线对应关系如下表所示。
PC1、PC2配线点连线对应关系表
序号
信息点编号
配线架编号
底盒编号
信息点编号
配线架端口编号
1
W1-02-101-1
W1
101
1
02
2
W1-06-102-1
W1
102
1
06
(一)铺设线缆并端接
1.截取2根适当长度的双绞线,两端制作标签,穿过PVC线槽或线管。
双绞线在机柜内部进行合理布线,并且通过扎带合理固定;
2.将2根双绞线的一端,根据“PC1、PC2配线点连线对应关系表“的要求,端接在配线架的相应端口上;
3.将2根双绞线的另一端,根据“PC1、PC2配线点连线对应关系表”的要求,端接上RJ45模块,并且安装上信息点面板,并标注标签。
(二)跳线制作与测试
1.再截取2根当长度的双绞线,两端制作标签,根据“PC1、PC2配线点连线对应关系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳线,所有网络跳线要求按568B标准制作;
2.根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线,根据题目要求,插入相应设备的相关端口上;(包括设备与设备之间、设备与配线架之间);
3.实现PC、信息点面板、配线架、设备之间的连通;(提示:
可利用机柜上自带的设备进行通断测试);
4.PC1连接102底盒1端口、PC2连接101底盒1端口。
二、交换配置与调试(141分)
(一)为了减少广播,需要根据题目要求规划并配置VLAN。
要求配置合理,所有链路上不允许不必要VLAN的数据流通过。
根据下述信息及表,在交换机上完成VLAN配置和端口分配。
设备
VLAN编号
端口
说明
SW-1
VLAN10
E1/0/1-4
营销1段
VLAN20
E1/0/5-7
产品1段
VLAN30
E1/0/8-10
法务1段
VLAN40
E1/0/11-12
财务1段
VLAN50
E1/0/13-14
人力1段
SW-2
VLAN10
E1/0/1-4
营销2段
VLAN20
E1/0/5-7
产品2段
VLAN30
E1/0/8-10
法务2段
VLAN40
E1/0/11-12
财务2段
VLAN50
E1/0/13-14
人力2段
SW-3
VLAN10
E1/0/1-4
营销3段
VLAN20
E1/0/5-7
产品3段
VLAN30
E1/0/8-10
法务3段
VLAN50
E1/0/11-12
人力3段
(二)集团核心交换机SW-1和SW-2针对营销业务网段的每个物理接口限制收、发数据占用的带宽分别为100Mbps、80Mbps;针对产品业务网段的每个物理接口限制报文最大收包速率为100packets/s,如果超过了设置交换机端口的报文最大收包速率则关闭此端口,10分钟后再恢复此端口,来保证交换机对其他业务的正常处理。
(三)集团核心交换机SW-1和SW-2之间租用运营商三条裸光缆通道实现两个DC之间互通,一条裸光缆通道实现三层IP业务承载、一条裸光缆通道实现VPN业务承载、一条裸光缆通道实现二层业务承载。
集团核心交换机SW-1与SW-3之间、集团核心交换机SW-2与SW-3之间租用运营商OTN波分链路实现互通。
具体要求如下:
1.为了节约集团成本,设计实现VPN业务承载的裸光缆通道带宽只有10Mbps,后续再根据业务使用情况考虑是否扩容;使用相关技术分别实现集团财务1段、财务2段业务路由表与集团其它业务网段路由表隔离,财务业务位于VPN实例名称CW内;
2.配置实现三层IP业务承载的裸光缆通道最大传输单元为1600Bytes,满足后续集团双DCVXLAN等新技术应用;
3.目前设计实现二层业务承载的只有一条裸光缆通道,随着集团1#DC服务器数量快速扩容,预计未来2-3年集团1#DC与2#DC间服务器大二层流量会呈现爆发式增长,配置相关技术,方便后续链路扩容与冗余备份;
4.配置集团核心交换机(SW-1、SW-2、SW-3)采用源、目的IP进行实现流量负载分担。
(四)集团核心交换机(SW-1、SW-2、SW-3)分别配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了极大的扩充。
配置引擎号分别为62001、62002、62003;创建认证用户为DCN2021,采用3des算法进行加密,密钥为:
Dcn20212021,哈希算法为SHA,密钥为:
DCn20212021;加入组DCN,采用最高安全级别;配置组的读、写视图分别为:
Dcn2021_R、DCn2021_W;当设备有异常时,需要使用本地的环回地址发送Trap消息至集团网管服务器10.50.50.120、2001:
10:
50:
50:
:
121,采用最高安全级别;当人力部门对应的用户接口发生UP/DOWN事件时禁止发送trap消息至上述集团网管服务器。
(五)要求禁止配置访问控制列表,实现集团核心交换机SW-3法务业务对应的物理端口间二层流量无法互通;针对集团核心交换机SW-3人力业务配置相关特性,每个端口只允许的最大安全MAC地址数为1,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmptrap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留;配置相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截,开启日志记录功能,采样周期10s一次,恢复周期为1分钟,从而保障CPU稳定运行。
(六)SW-1、SW-3既作为集团核心交换机,同时又使用相关技术将SW-1、SW-3模拟为Internet交换机,实现与集团其它业务网段路由表隔离,Internet路由表位于VPN实例名称Internet内。
(七)配置相关功能,使集团核心交换机(SW-1、SW-2、SW-3)设备能够在网络中相互发现并交互各自的系统及配置信息,以供管理员查询两端接口对应关系及判断链路的通信状况;配置所有使能此功能的端口发送更新报文的时间间隔为一分钟、更新报文所携带的老化时间为五分钟,配置租用运营商三条裸光缆通道相关端口使能Trap功能,Trap报文发送间隔为1分钟。
三、路由配置与调试(160分)
(一)规划集团内部、集团与广东办事处之间使用OSPF协议,集团内使用进程号为1,集团与广东办事处间使用进程号为2,具体要求如下:
1.集团核心交换机SW-1与集团防火墙之间、集团路由器与集团防火墙之间、集团路由器与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3、集团核心交换机SW-2与集团核心交换机SW-3均属于骨干区域;集团路由器与广东办事处防火墙之间属于普通区域,区域号为20;
2.调整接口的网络类型加快邻居关系收敛,配置发送Hello包的时间间隔为5秒,如果接口在3倍时间内都没有收到对方的Hello报文,则认为对端邻居失效;
3.集团路由器、集团核心交换机(SW-1、SW-2、SW-3)、集团防火墙分别发布自己的环回地址路由;集团核心交换机SW-1、SW-2、SW-3只允许发布营销网段业务路由;
4.集团核心交换机(SW-1、SW-2、SW-3)OSPF进程1的路由表中只允许学习到业务网段路由为集团防火墙通告的TYPE1类型的缺省路由、分公司无线业务网段路由、广东办事处防火墙环回地址与营销业务网段路由;由于广东办事处防火墙路由条目支持数量有限,禁止学习到集团、分公司的所有互联地址与业务路由。
(二)规划集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3、集团核心交换机SW-2与集团路由器之间使用OSPFv3协议,发布相应环回地址,禁止发布业务路由;集团核心交换机SW-1与集团核心交换机SW-2之间通过两端三层IP业务承载的裸光缆通道进行互联互通。
(三)为了方便业务灵活调度,同时还规划集团北京两个DC与集团灾备DC之间、集团与分公司之间使用BGP协议,集团北京两个DC使用的AS号为62021、集团灾备DC使用的AS号为62022、分公司使用的AS号为62023,具体要求如下:
1.集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团路由器之间、集团核心交换机SW-2与集团路由器之间通过环回地址建立IBGP邻居,集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3之间、集团路由器与分公司路由器之间通过互联地址建立EBGP邻居;
2.使用BGP协议实现集团DC之间IPV6业务、集团与分公司之间IPV6业务、北京DC之间财务业务互联互通,满足集团DC之间、集团与分公司之间IPV6及北京DC之间财务业务发展的需要;其中要求集团核心交换机SW-1、SW-2、SW-3之间实现DC间IPV6业务互联互通需使用环回地址建立BGP邻居;集团与分公司之间IPV6业务互联互通要求集团核心交换机SW-1、SW-2与集团路由器使用环回地址建立BGP邻居、集团路由器与分公司路由器采用互联地址建立BGP邻居;
3.要求集团北京两个DC与集团灾备DC、分公司路由器禁止发布除产品、法务、财务、人力、无线业务网段外的其它路由;集团核心交换机(SW-1、SW-2、SW-3)BGP路由表中只允许学习到集团DC间产品&法务&人力业务网段、广东办事处产品业务网段路由、分公司无线业务业务网段路由;
4.利用BGP相关功能特性,减少网络不稳定带来的过多的路由更新,抑制这些不稳定的路由信息,不允许这类路由参与路由选择。
(四)为了合理分配集团内业务流向,保证来回路径一致,业务选路具体要求如下:
1.集团内部实现核心交换机SW-1与分公司路由器、广东办事处互访流量优先通过SW-1_SW-2_RT-1之间链路转发,SW-1_FW-1_RT-1之间链路作为备用链路;集团内部实现核心交换机SW-2与分公司路由器、广东办事处互访流量优先通过SW-2_RT-1之间链路转发,SW-2_SW-1_FW-1_RT-1之间链路作为备用链路;
2.集团内部实现核心交换机SW-1与Internet互访流量优先通过SW-1_FW-1之间链路转发,SW-1_SW-2_RT-1_FW1之间链路作为备用链路;集团内部实现核心交换机SW-2与Internet互访流量优先通过SW-2_SW-1_FW-1之间链路转发,SW-2_RT-1_FW-1之间链路作为备用链路;
3.集团内部实现核心交换机SW-3与SW-1、SW-2营销业务互访流量优先通过SW-3_SW-2之间链路转发,SW-3_SW-1之间链路作为备用链路;集团内部实现核心交换机SW-3与SW-1、SW-2DC间IPV6业务互访流量优先通过SW-3_SW-1之间链路转发,SW-3_SW-2之间链路作为备用链路。
四、无线配置(40分)
(一)分公司无线控制器AC与分公司路由器互连,无线业务网关位于分公司路由器上,配置VLAN100为AP管理VLAN,VLAN101为业务VLAN;AC提供无线管理与业务的DHCP服务,动态分配IP地址和网关;使用第一个可用地址作为AC管理地址,AP二层自动注册,启用密码认证,验证密钥为:
Dcn_2021。
(二)配置一个SSIDDCNXX:
DCNXX中的XX为赛位号,访问Internet业务,采用WPA-PSK认证方式,加密方式为WPA个人版,配置密钥为Dcn20212021。
(三)配置所有无线接入用户相互隔离,Network模式下限制SSIDDCNXX每天早上0点到4点禁止终端接入,开启SSIDDCNXXARP抑制功能;配置当无线终端支持5GHz网络时,优先引导接入5GHz网络,从而获得更大的吞吐量,提高无线体验。
五、安全策略配置(50分)
(一)根据题目要求配置集团防火墙、广东办事处防火墙相应的业务安全域、业务接口;2021年护网行动开展在即,调整全网防火墙安全策略缺省规则为拒绝;限制集团防火墙只允许集团营销业务、分公司无线业务、广东办事处营销业务访问Internet业务;在广东办事处防火墙上限制广东办事处产品业务网段只可以访问集团产品网段https、mysql数据库类型业务,集团产品网段可以访问广东办事处产品业务网段任何端口。
(二)为了避免集团内部业务直接映射至Internet成为攻击“靶心”,不断提升集团网络安全体系建设,在集团防火墙配置L2TPVPN,满足远程办公用户通过拨号登陆访问集团营销业务,LNS地址池为10.50.253.1/24-10.10.253.100/24,网关为最大可用地址,认证账号dcn2021001,密码dcn2021。
(三)在集团防火墙配置网络地址转换,公网NAT地址池为:
202.50.21.0/28;保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.50.10.120的UDP2000端口;开启相关特性,实现扩展NAT转换后的网络地址端口资源;
(四)在广东办事处防火墙开启安全网关的TCPSYN包检查功能,只有检查收到的包为TCPSYN包后,才建立连接;如果第一个数据包为TCPRST包,则防火墙将不创建会话;配置所有的TCP数据包每次能够传输的最大数据分段为1460、尽力减少网络分片;配置对TCP三次握手建立的时间进行检查,如果在1分钟内未完成三次握手,则断掉该连接。
六、业务选路与组播配置(59分)
(一)考虑到从集团北京两个DC与集团灾备DC之间共有两条链路,集团灾备DC产品业务网段与集团北京两个DC产品业务网段IPV4协议栈互访优先在SW-3与SW-1之间链路转发;集团灾备DC法务&人力网段与集团北京两个DC法务&人力网段IPV4协议栈互访优先在SW-3与SW-2之间链路转发,主备链路相互备份。
根据以上需求,在交换机上进行合理的业务选路配置。
具体要求如下:
1.使用IP前缀列表匹配上述业务数据流;
2.使用BGP自治系统路径属性进行业务选路,只允许使用route-map来改变路径属性、路由控制。
(二)前年集团内部完成视频会议系统组播功能的测试与上线,获得了良好演示效果与集团高层领导高度认可。
为了更加方便集团与分公司多业务部门横向沟通、交流,提升工作效率,计划在集团营销与分公司无线业务部门间启用组播协议进行测试,具体要求如下:
1.在集团核心交换机SW-1与集团核心交换机SW-2之间、集团路由器与集团核心交换机SW-2之间、集团路由器与分公司路由器之间运行协议独立组播-密集模式协议、因特网组管理协议第二版本;
2.集团核心交换机SW-1营销业务部门内部终端启用组播,使用VLC工具串流播放视频文件1.mpg,组地址228.50.50.50,端口:
2021,实现分公司无线业务部门内部终端可以通过组播查看视频播放。
服务器配置及应用项目
(480分)
说明:
1.所有Windows主机实例在创建之后都可以直接通过远程桌面连接操作,Linux主机实例可以通过SecureCRT或Xshell软件连接进行操作,所有Linux主机都默认开启了ssh功能。
2.要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
3.不修改Linux虚拟机的root用户密码,Linux题目中所有未指明的密码均为dcncloud;Windows虚拟机管理员的密码以及Windows题目中所有未指明的密码均为Password-1234,若未按照要求设置,涉及到该操作的所有分值记为0分。
4.虚拟主机的IP地址、主机名称请按照《网络环境》的要求设定,若未按照要求设置,涉及到该操作的所有分值记为0分。
5.赛题所需的其它软件均存放在物理机D:
\soft文件夹中。
6.在PC1桌面上新建“XX_system”(XX为赛位号)文件夹。
根据“D:
\soft\服务器配置及应用报告单.docx”中提供的方法和命令,生成云平台和所有云主机操作结果的文件,并将这些文件存放到PC1桌面上的“XX_system”(XX为赛位号)文件夹。
7.所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一定分数;如文档名称或文档存放位置错误,涉及到的所有操作分值记为0分。
二、云实训平台设置(150分)
1.按照《网络环境》要求新建网络。
2.按照《网络环境》要求新建云主机类型。
3.按照《网络环境》要求新建虚拟主机,主机IP地址与《网络环境》中的一致。
4.按照下述题目相关要求新建硬盘,并连接到虚拟主机。
三、Windows服务配置(165分)
(一)域服务配置
【任务描述】为实现高效管理,请采用域控制器,提升企业网络安全程度,整合局域网内基于网络的资源。
1.设置所有虚拟机的IP为手动,与自动获取的IP地址一致;修改所有主机的名称与《网络环境》中的一致。
2.配置Windows-1为域控制器,域名为;安装DNS服务,为域中服务器提供正向解析,为林中服务器提供反向解析;要求林中的服务器之间都能正反向解析。
3.把其他Windows主机加入到域。
4.新建名称为hr、tech、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建20个用户:
人力部(hr101-hr120)、营销部(sale101-sale120)、技术部(tech101-tech120),所有用户不能修改其口令,必须启用密码复杂度要求、密码长度最小为8位、密码最长期限为10天、允许失败登录尝试的次数为4次、重置失败登录尝试计数(分钟)为5分钟、直至管理员手动解锁帐户,并且只能每天8:
00-18:
00可以登录。
5.所有用户到任何一台域计算机登录,“文档”文件夹重定向到域控制器的C:
\Documents文件夹。
6.所有用户使用漫游用户配置文件,配置文件存储在Windows-1的C:
\Profiles文件夹。
7.设置组策略,让域中主机自动信任Windows-4根证书颁发机构。
8.设置组策略,让域中主机之间通信采用IPSec安全连接,但域控制器和网关除外;采用计算机证书验证,使用组策略将证书分发到客户端计算机。
9.配置Windows-2为林的第二棵域树根,域名为,安装DNS服务,为域中服务器提供正反向解析。
10.配置Windows-3为的子域,子域名称为,安装DNS服务,为域中服务器提供正反向解析。
11.配置Windows-4为证书服务器,为所有Windows主机颁发证书。
设置为企业根,CA证书有效期20年,CA颁发证书有效期10年;证书的通用名称均用主机的完全合格域名,证书的其他信息:
(1)国家=“CN”。
(2)省=“Beijing”。
(3)市/县=“Beijing”。
(4)组织=“skills”。
(5
升级会员 