年全国职业院校技能大赛高职组比赛题bv13.docx

1、年全国职业院校技能大赛高职组比赛题bv132010年全国职业院校技能大赛高职组计算机网络组建与安全维护广东选拔赛试题（B卷）2010年5月第1章. 参赛说明1.1. 注意事项1、检查硬件设备、水晶头、网线、管槽材料和Console线等的数量是否齐全，电脑设备是否正常。2、参赛队伍可自带综合布线工具。禁止携带移动存储设备、运算器、通信工具及参考资料进考场。由组委会统一提供优盘用于提交电子答卷。3、操作完成后，需要保存设备配置，不要关闭任何设备，不要拆动硬件的连接，不要对设备随意修改密码。1.2. 竞赛环境硬件环境设备类型序号设备名称设备型号设备数量网络设备1路由器RG-RSR20-04/RG-R

2、SR20-18/RG-R263242二层交换机RG-S2328G/RG-S2126G23三层交换机RG-S3760-2424防火墙RG-WALL160M/RG-WALL 6025入侵检测系统RG-IDS500S16无线交换机RG-MXR-217无线APRG-MP711综合布线设备1钢结构实训模拟墙VCOM VM-11012多功能综合布线实训台VCOM VS08011342U网络机柜VCOM，600*60014布线工具箱VCOM VG08021服务器及终端设备1小型企业服务器在PC机上用虚拟机实现32台式PC机23笔记本电脑带USB转COM接口14普通电话机普通电话机1软件环境软件名称介质形式软

3、件数量Windows 2003 Server企业版ISO镜像文件1套Red Had Linux AS5（5张CD光盘版本）ISO镜像文件1套Microsoft Word 2003ISO镜像文件1套VMWare Workstation 7.0软件1套IDS LogServer、IDS Event-Collector、IDS Console、IDS Report软件1套1.3. 网络拓扑1.4. 工程需求1.4.1. 工程建设内容某企业集团目前在北京建立了总公司，并在广州建立了分公司机构。为实现网络资源的共享，需要PC机能够访问内部网络中的FTP服务器，以实现文件的上传和下载。PC机需要能够通过园

4、区网络连接到Internet的Web服务器，并能够进行Web网页的浏览。本工程项目主要建设内容为：1、 总公司与分公司布线系统建设总公司与分公司内部局域网的布线系统搭建，包括数据及语音的布线系统；2、 总公司局域网建设总公司网络构建（有线网络与无线网络）、安全规则部署、入侵检测部署；3、 分公司局域网建设分公司网络构建（有线网络）、安全规则部署；4、 总公司与分公司广域网互联建设总公司与分公司之间采用两条互联网链路，一条为财务专线，只传输财务数据，另外一条为OA专线，只传输OA及其他非财务类数据；5、 总公司应用平台建设总公司设有数据及应用中心，部署两套虚拟服务器平台，分别承载LINUX及WI

5、NDOWS系统，并在此之上搭建WWW、FTP、DNS等应用服务。同时部署一套入侵检测管理及应用系统，实时检测公司内部网络安全状态。1.4.2. 综合布线建设详细要求 本赛项总分100分，总分乘以20%即为整个竞赛的单项累积分数，由3名参赛队员自由分工完成。安装环境为竞赛现场的VCOM综合布线实训台与钢结构模拟楼，参考国标GB50311-2007、GB50312-2007相关规范，进行安装施工和验收。在本项目中，综合布线系统涉及总公司及分公司两部分的主干及链路安装，其中总公司的中心设备机柜为综合布线系统的BD1(建筑物配线架)，模拟楼为FD（楼层配线架）；综合布线实训台的机架为分公司的BD2，参

6、考综合布线系统图及墙体立面安装图，结合国家综合布线系统工程设计标准GB50311-2007完成本项目的安装。附图1：1.4.2.1. 干线子系统安装本项目中干线子系统的端接，即CD-BD1语音主干双绞线1条,BD1-BD2数据主干双绞线1条、BD1-FD数据主干双绞线2条及语音主干大对数电缆1条的端接。各主干电缆皆已布放到位。主干大对数电缆端接：在42U机柜BD1与模拟楼FD上安装110语音配线架各1个，将预布好的25对语音大对数电缆端接在两端配线架上，位置为右上排，大对数电缆芯线的颜色排法参考“1.4.2.6竞赛安装质量要求”。配线架在BD1中安装在机柜下方距底部7U处，在FD机柜距底部2/

7、3U处。主干双绞线端接：在42U机柜BD1 110配线架上方间隔1U处、FD110语音配线架上方隔1/3U处、实训台BD2机架距底部5U处，各安装超五类24口数据配线架1个。将CD-BD1预布好的语音建筑群主干双绞线端接在BD1配线架7号端口上；将BD1-FD数据主干双绞线端接在BD1配线架8、9号端口上、FD端端接在数据配线架7、8号端口上；BD1-BD2主干双绞线端接在BD1配线架10号端口上，BD2端端接在配线架7端口上。1.4.2.2. 配线子系统安装附图2：模拟楼墙管槽立面安装展开图本项目主要安装总公司与分公司的水平永久链路，其中总公司FD安装3条，分公司BD2安装2条，分别用于各自

8、的终端设备连接。实训台BD2永久链路安装：由BD2数据配线架8-9号端口向工作区布放水平双绞线2条，端接信息模块并安装至相应的工作区面板。模拟楼FD水平链路线槽安装：在模拟楼FD机柜引出口安装水平线槽1条，延伸至左侧，线槽安装在距地面30厘米左右处，从内侧墙体向外延伸1.2米。线槽允许中间有3个以下接头。在线槽的终端处采用线槽弯角向上延伸10厘米并安装底盒1个，在终端底盒向内40厘米处采用三通头向上延伸10厘米并安装底盒1个；由模拟楼FD配线架向2个底盒各布放双绞线1条并端接，配线架端端接在9-10号端口。模拟楼FD永久链路线管安装：在模拟楼FD机柜引出口向左侧垂直管井安装水平线管1条，并延伸

9、至上层相应位置（参考附图2），在线管终端处安装底盒1个。由FD配线架向上层底盒布放双绞线1条并端接，配线架端端接在11号端口，信息点为无线AP信号接入点。1.4.2.3. 链路跳接与调试在BD1、BD2数据配线架上方间隔1U处、FD数据配线架上方间隔1/3U处，各安装理线架1个。电话语音链路调试：使用现场提供的RJ45-110的跳线，跳接BD1数据配线架7号端口（语音进线）至BD1语音配线架蓝白线对；跳接模拟楼FD语音配线架相应线对至数据配线架9号端口，使模拟楼FD工作区端口之一成为语音信息点（下层），将工作区电话机连接至该端口，从而使电话机到设备间的语音交换机形成语音通路，并用电话机拨打裁判

10、组电话（ 815或816号），向裁判组报告竞赛组号以确定联通结果。数据链路跳接：根据网络设备调试的需要，跳接相关BD1、BD2、FD等数据配线架的跳线，最后形成有源网络链路环境，以供网络调试需要。跳线长度统一为1-1.5米，跳线安装时需经过理线架整理，要求整齐美观。1.4.2.4. 管理与标识根据国际TIA/EIA 606标准要求，在以上各安装项目中的数据配线架端口及工作区信息面板，均需做好编号标识，标识标签书写应清晰、端正；BD1-FD大对数电缆两端、实训台水平线缆两端需扎上标签扎带，并写上编号，端口编号采用纸质标签书写（均现场提供），跳线不需要标识。编号规则：水平数据端口Dxx(xx为01

11、、02、03)，CD语音主干端口为CD-V1;BD1-BD2数据主干编号为BD-D1;BD1-FD数据主干为FD-D1、FD-D2;BD1-FD语音主干为FD-V1。1.4.2.5. 现场操作与环境规范操作规范性：操作过程工具材料运用、摆放。人员协调配合：人员分工、进度安排。现场环境清理：竞赛完成后现场环境清理、工具还原。1.4.2.6. 竞赛安装质量要求端接线序标准：水平双绞线电缆采用T568B线序；语音主干采用国际标准（主色：白、红、黑、黄、紫；副色：蓝、橙、绿、棕、灰），单对顺序主色在前。安装工艺规范： IDC端接点至线对缠绕处距离不能大于5mm，双绞线外皮剥离不能过长；信息模块端接时线

12、缆外皮需压在免打模块顶盖里面。弯曲点角度不要大于90度，线缆扎线整齐美观。位置偏差标准：墙体所有线槽线管安装允许与试题位置偏差不大于10%1.4.3. 网络系统建设详细要求本赛项总分100分，总分乘以60%即为整个竞赛的单项累积分数，由3名参赛队员自由分工完成。1.4.3.1. 1.4.3.2. 网络拓扑连接与IP规划根据网络拓扑进行设备连接。依据已有的VLAN设计情况，根据VLAN中的主机数量需求，进行基于VLSM的IP子网划分，做出合理化的IP地址规划。IP地址规划原则：1. 所有IP子网的网关地址以该IP子网的首个IP地址（如：192.1.0.1/24）；2. 北京总公司的网络设备互连地

13、址采用192.1.0.0/28作为可划分的IP子网网段，采用掩码为“/30”的IP子网作为设备互连的子网。依以下顺序对各设备互连分配IP网段地址： RAFW-1 FW-1SW-1另注：IDS探针设备配置管理地址为192.1.1.126/27；AC配置管理地址为192.1.1.66/27；3. 北京总公司采用192.1.1.0/24作为可划分的IP子网，并依以下顺序对各个VLAN分配IP网段： 财务室1（VLAN510）28台主机 办公室1（VLAN520）24台主机 无线网络（VLAN530）20台主机 服务器区域（VLAN540）25台主机4. 广州分公司的网络设备互连地址采用192.2.0

14、.0/28作为可划分的IP子网网段，采用掩码为“/30”的IP子网作为设备互连的子网。依以下顺序对各设备互连分配IP网段： RDFW-2 FW-2SW-35. 广州分公司采用192.2.1.0/26作为可划分的IP子网，并依以下顺序对各个VLAN分配IP网段： 财务室2（VLAN610）26台主机 办公室2（VLAN620）25台主机6. ISP区域的网络设备采用16.1.1.0/28作为可划分的IP子网，并依以下顺序对各个设备互连分配IP网段： RARC RARB RCRD RBRD1.4.3.3. 总公司网络实施根据网络规划，进行设备配置调试。1.4.3.3.1. 总公司路由器实施调试一、

15、路由功能（1）配置OSPF路由协议，与ISP路由器实现动态路由学习；（2）配置OSPF接口验证，RA-RC之间采用明文验证方式，RA-RB之间采用MD5验证方式，密码统一为GD2010；（3）配置到总公司内部IP网段的静态回指路由，并将静态路由重分布到OSPF路由域当中；（4）配置策略路由，实现财务数据与OA数据分流；财务数据通过以太网链路传输（即下一跳节点为RC），OA数据通过广域网串口链路传输（即下一跳节点为RB）。二、链路功能（1）配置广域网链路PPP协议；（2）与广域网路由器实现CHAP验证，密码为GD2010。三、管理功能（1）配置VTY，Login密码为GD2010，enable密

16、码为GD2010；（2）根据IP地址规划配置相应的IP地址。1.4.3.3.2. 总公司防火墙实施调试一、安全功能（1）配置安全策略（如防SYN FLOOD、UDP/TCP FLOOD攻击等）最大限度的保证内网和服务器群安全；（2）创建时间访问控制列表，只有工作日（周一周五）的工作时间（周一-周四9:0018:00，周五8:0017:00），总公司与分公司内部才能相互访问。二、路由功能（1）配置总公司所有IP网段的回指路由以及到互联网的默认路由。三、管理功能（1）配置管理员ADMIN，密码为GD2010；（2）根据IP地址规划配置相应的IP地址。1.4.3.3.3. 总公司核心交换机实施调试一

17、、路由功能（1）配置到防火墙的静态默认路由。二、优化功能（1）划分VLAN、并根据IP划分情况配置网关地址；（2）开启生成树，设置优先级为4096（3）在端口fa0/6和fa0/7上进行配置，与接入交换机实现链路聚合；（4）配置DHCP服务，实现VLAN510、VLAN520、VLAN530自动获取IP地址，并指定其各自的网关及DNS服务器地址（LINUX DNS服务器）。每个子网前5个可用IP地址为预留地址，不可动态分配；（5）配置端口镜像，实现内网所有数据均通过fa0/24镜像到IDS探针设备进行入侵检测；（6）在端口fa0/11和fa0/12，设置广播风暴控制，允许通过的广播报文最多占带

18、宽的30%。三、管理功能（1）配置VTY，Login密码为GD2010，enable密码为GD2010；（2）根据IP地址规划配置相应的IP地址。1.4.3.3.4. 总公司接入交换机实施调试一、优化功能（1）划分VLAN，配置VLAN接入接口（与PC互联）以及VLAN TRUNK链路（与无线控制器MXR-2、核心交换机互联），开启生成树，除与核心交换机互联接口外，所有用户接入端口开启portfast;（2）与核心交换机实现链路聚合；二、安全功能（1）在Fa0/3上配置端口安全，并进行IP和MAC地址的绑定配置， 把PC的MAC地址绑定在fa0/3接口上；（2）配置端口安全，实现在fa0/3-

19、fa0/4接口上只允许2个主机接入，违规丢弃报文。三、管理功能（1）配置VTY，Login密码为GD2010，enable密码为GD2010；（2）根据IP地址规划配置相应的IP地址。1.4.3.3.5. 总公司入侵检测系统实施调试一、安全功能 派生策略，需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。二、管理功能根据IP地址规划配置相应的管理接口IP地址及管理服务器地址。1.4.3.3.6. 总公司无线控制器实施调试一、无线功能（1）SSID为User-VLAN530注：“User”为参赛者的参赛号（2）用户接入VLAN为VLAN530；（3）采用WEP加密方式，加密口令为123456

20、7890。二、管理功能（1）根据IP地址规划配置相应的管理接口地址；（2）配置Telnet用户名为admin，密码为GD2010，enable密码为GD2010。1.4.3.4. 分公司网络实施1.4.3.4.1. 分公司路由器实施调试一、路由功能（1）配置OSPF路由协议，与ISP路由器实现动态路由学习；（2）配置OSPF接口验证，采用MD5验证方式，密码统一为GD2010；（3）配置到分公司内部IP网段的静态回指路由，并将静态路由重分布到OSPF路由域当中；（4）配置策略路由，实现财务数据与OA数据分流；OA数据通过广域网串口链路传输(下一条为RB)，财务数据通过以太网链路传输(下一条为R

21、C)。二、链路功能（1）配置广域网链路PPP协议；（2）与广域网路由器实现CHAP验证，密码统一为GD2010。三、管理功能（1）配置VTY，Login密码为GD2010，enable密码为GD2010。1.4.3.4.2. 分公司防火墙实施调试一、安全功能（1）配置安全策略（如防SYN FLOOD、UDP/TCP FLOOD攻击等）最大限度的保证内网和服务器群安全；（2）创建时间访问控制列表，只有工作日（周一周五）的工作时间（周一-周四9:0018:00，周五8:0017:00），总公司与分公司内部才能相互访问。二、路由功能（1）配置分公司所有IP网段的回指路由以及到互联网的默认路由。三、管

22、理功能（1）配置管理员ADMIN，密码为GD2010；（2）根据IP地址规划配置相应的IP地址。1.4.3.4.3. 分公司核心交换机实施调试一、路由功能（1）配置到防火墙的静态默认路由。二、优化功能（1）划分VLAN、并根据IP划分情况配置网关地址；（2）配置MSTP，创建实例61和实例62，将VLAN610和VLAN620分别加入到实例61和实例62，实例61优先级为4096，实例62优先级为8192；（3）配置DHCP服务，实现VLAN610和VLAN620自动获取IP地址，并指定其各自的网关及DNS服务器地址（WINDOWS DNS服务器）。每个子网前5个可用IP地址为预留地址，不可动

23、态分配。三、管理功能（1）配置VTY，Login密码为GD2010，enable密码为GD2010。1.4.3.4.4. 分公司接入交换机实施调试一、优化功能（1）配置MSTP，创建实例61和实例62，将两个VLAN分别加入到实例61和实例62；（2）划分VLAN，配置VLAN接入接口（与PC互联）。二、安全功能（1）配置端口安全，实现0/5-0/6接口只允许1个主机访问，违规关闭接口；（2）在所有的接入接口上配置portfast。三、管理功能（1）配置VTY，Login密码为GD2010，enable密码为GD2010。1.4.3.5. 广域网网络实施1.4.3.5.1. 广域网路由器实施调

24、试一、路由功能（1）配置相应接口的IP地址；（2）配置OSPF路由协议；（3）配置OSPF接口验证功能，RA-RC采用明文方式，其余互联路由器接口采用MD5方式，密码统一为GD2010。二、链路功能（1）配置广域网链路PPP协议；（2）广域网路由器与总公司、分公司的路由器实现CHAP验证，密码统一为GD2010；三、管理功能（1）配置VTY，Login密码为GD2010，enable密码为GD2010。1.4.4. 总公司应用服务建设详细要求本赛项总分100分，总分乘以20%即为整个竞赛的单项累积分数，由3名参赛队员自由分工完成。1.4.4.1. 虚拟化服务器平台搭建一、 VMware Wor

25、kstation平台搭建在安装了WinXP系统的服务器上，安装VMware Workstation，搭建虚拟化服务器运行平台。二、 虚拟服务器配置在VMware Workstation平台上，设置两台虚拟服务器，每台服务器配置1G以上内存，30G磁盘空间，并根据1.4.5.2章节的要求进行磁盘规划。1.4.4.2. 虚拟化服务器系统安装一、 Windows Server2003系统安装通过提供ISO镜像文件，进行Windows Server 2003系统安装，本系统分三个分区，全部为主磁盘分区。二、 Red Had Linux AS5系统安装通过提供ISO镜像文件，进行Red Had Linu

26、x AS5系统安装，本系统磁盘规划采用LINUX 卷组（VG）形式建立。1.4.4.3. 基于Windows Sever平台的应用系统配置一、 配置WWW应用服务配置一个用于OA业务系统的站点。站点的根目录下各放置一个first.html的简单主页（自己编写），需要在页面显示“OA业务系统”和“由XXX进行维护”（XXX为“考试批次号-实验台号”）字样即可。要求总公司和分公司所有PC都能通过浏览器访问此站点，但不允许匿名访问，必须通过帐号（账号名称：webtest；密码：webtest）进行验证以后访问。二、 配置FTP应用服务配置一个ftp服务器,域名是。并创建用户user1和user2，用

27、户名和密码相同，要求user1可以下载也能上传，user2只能下载不能上传，但是user1最多只能上传不超过50M的数据，要求总公司和分公司所有PC都能通过浏览器访问此站点。三、 配置DNS应用服务配置DNS应用服务。然后进行相应的设置，要求对本考试机WINDOWS及LINUX下的web/FTP站点使用域名进行访问，其中FTP站点2个，WWW站点2个。在DNS中增加一条邮件交换记录，指向到本机IP。1.4.4.4. 基于Red Had Linux AS5平台的应用系统安装一、 配置WWW应用服务配置一个用于财务专用业务系统的站点。站点的根目录下各放置一个first.html的简单主页（自己编写

28、），需要在页面显示“财务业务系统”和“由XXX进行维护”（XXX为“考试批次号-实验台号”）字样即可，该站点要求使用https协议访问。要求只有总公司和分公司的财务科室PC能通过浏览器访问此站点。二、 配置FTP应用服务配置一个财务专用ftp服务器,域名是 ，要求允许root用户使用ftp功能，并可以上传和下载。三、 配置DNS应用服务配置DNS应用服务。然后进行相应的设置，要求对本考试机WINDOWS及LINUX下的web/FTP站点使用域名进行访问，其中FTP站点2个，WWW站点2个。四、启动本机telnet服务。1.4.4.5. 入侵检测系统搭建搭建与RG-IDS500S/RG-IDS100配套的入侵检测日志服务器、事件收集器、控制台。配置入侵检测策略为For_windows_Networks，并实现入侵攻击安全事件展现。