2019年全国职业院校技能大赛
网络搭建与应用竞赛 正式赛卷 技能要求(总分1000分)
ZZ-2019025网络搭建与应用赛项执委会及专家组 2019年5月30日
竞赛说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分三个部分,其中:
第一部分:网络搭建及安全部署项目 (500分)
第二部分:服务器配置及应用项目 (480分)
第三部分:职业规范与素养 ( 20分)
二、竞赛注意事项
1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3.请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
4.操作过程中,需要及时保存设备配置。
5.比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
6.比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
7.禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记,如违反规定,可视为0分。
8.与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。
项目简介:
某集团公司原在北京建立了总部,后在深圳建立了分部,又在成都、郑州设立了两个办事处。总部设有销售、产品、法务、财务、信息技术 5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF动态路由协议和静态路由协议进行互连互通。
公司规模在2019年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。
集团、分公司及两个办事处的网络结构详见“主要网络环境”拓扑图。
其中一台S4600交换机编号为SW-3,用于实现终端高速接入;两台CS6200交换机作为总部的核心交换机;两台DCFW-1800分别作为成都办事处、郑州办事处的防火墙;一台DCR-2655路由器编号为RT-1,作为集团的核心路由器;另一台DCR-2655路由器编号为RT-2,作为分公司路由器;一台DCWS-6028作为集团的有线无线智能一体化控制器,编号为DCWS,通过与WL8200-I2高性能企业级AP配合实现集团无线覆盖。
请注意:结合网络环境和网络拓扑要求,合理规划网络和IP地址,保证网络搭建及安全部署项目和服务器配置及应用项目顺利实施。
网络搭建及安全部署项目 (500分)
【说明】
1.设备console线有不同两条。交换机、 AC、防火墙使用同一条console线,路由器使用另外一条console线;
2.请将PC1上D盘soft文件夹中的《网络搭建及安全部署竞赛报告单》复制到PC1桌面的选手自建“比赛文档_X”(X为赛位号)文件夹中,并按照截图注意事项的要求填写完整;
3.设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放置在PC1桌面的“比赛文档_X”(X为赛位号)文件夹中;
保存文档方式如下:
交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“比赛文档_X”文件夹中,文档命名规则为:设备名称.txt。例如:RT-1路由器文件命名为:RT-1.txt;
无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集,需要先调整CRT软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码;其他设备CRT软件字符编号建议为:GB2312。CRT软件调整字符编号配置如图
一、网络布线与基础连接(本部分50分)
右侧布线面板立面示意图 左侧布线面板立面示意图
【说明】
1.机柜左侧布线面板编号101;机柜右侧布线面板编号102。
2.面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。
3.主配线区配线点与工作区配线点连线对应关系如下表所示。
PC1、PC2配线点连线对应关系表
| 序号 | 信息点编号 | 配线架编号 | 底盒编号 | 信息点编号 | 配线架端口编号 |
|---|---|---|---|---|---|
| 1 | W1-02-101-1 | W1 | 101 | 1 | 02 |
| 2 | W1-06-102-1 | W1 | 102 | 1 | 06 |
(一)铺设线缆并端接、
1.截取 2 根适当长度的双绞线,两端制作标签,穿过 PVC 线槽或线管。双绞线在机柜内部进行合理布线,并且通过扎带合理固定;
2.将 2 根双绞线的一端,根据“PC1、PC2配线点连线对应关系表“的要求,端接在配线架的相应端口上;
3.将 2 根双绞线的另一端,根据“PC1、PC2配线点连线对应关系表”的要求,端接上 RJ45 模块,并且安装上信息点面板,并标注标签。
(二)跳线制作与测试
1.再截取 2 根当长度的双绞线,两端制作标签,根据“PC1、PC2配线点连线对应关系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳线,所有网络跳线要求按 568B 标准制作;
2.根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线, 根据题目要求,插入相应设备的相关端口上;(包括设备与设备之间、设备与配线架之间);
3.实现 PC、信息点面板、配线架、设备之间的连通;(提示:可利用机柜上自带的设备进行通断测试);
4.PC1连接102底盒1端口、PC2连接101底盒1端口。
二、交换配置与调试(本部分132分)
(一)、为了减少广播,需要根据题目要求规划并配置VLAN。具体要求如下(17分):
1.配置合理,所有链路上不允许不必要VLAN的数据流通过,包括VLAN 1(4分);
2.集团接入交换机与核心交换机之间的互连接口发送AP&交换机管理VLAN的报文时不携带标签,发送其它VLAN的报文时携带标签,要求禁止采用trunk链路类型(4分);
3.当财务业务VLAN物理端口接收到的流量大于端口缓存所能容纳的大小时,端口将通知向其发送流量的设备减慢发送速度,以防止丢包;当法务业务VLAN物理端口收包BUM报文速率超过2000packets/s则关闭端口,10分钟后恢复端口(9分)。
根据下述信息及表,在交换机上完成VLAN配置和端口分配。
| 设备 | VLAN编号 | VLAN名称 | 端口 | 说明 |
|---|---|---|---|---|
| SW-3 | VLAN10 | XS | E1/0/6 | 销售 |
| SW-3 | VLAN20 | CP | E1/0/7 | 产品 |
| SW-3 | VLAN30 | FW | E1/0/8 | 法务 |
| SW-3 | VLAN40 | CW | E1/0/9 | 财务 |
| SW-3 | VLAN50 | XXJS | E1/0/10至E1/0/12 | 信息技术 |
| SW-3 | VLAN200 | GL | E1/0/13 | AP&交换机管理VLAN |
(三)在集团核心交换机SW-1和SW-2、接入交换机SW-3间运行一种协议,具体要求如下(27分):
1.实现销售、产品、信息技术业务优先通过SW-1至SW-3间链路转发(实例10),法务、财务、AP&交换机管理等业务优先通过SW-2至SW-3间链路转发(实例20),从而实现VLAN流量的负载分担与相互备份(12分);
2.设置路径开销值的取值范围为1-65535,BPDU支持在域中传输的最大跳数为7跳;同时不希望每次拓扑改变都清除设备MAC/ARP表,全局限制拓扑改变进行刷新的次数(12分);
3.加速接入交换机所有业务端口收敛,当接口收到BPDU丢弃报文并关闭端口,如果5分钟内没有收到BPDU报文,则恢复该端口(3分)。
(四)、在集团核心交换机SW-1和SW-2运行一种容错协议,为所有业务VLAN实现网关冗余,具体要求如下(26分):
4.1虚地址使用该VLAN中的最后一个可用IP254、SW-1使用该VLAN中的倒数第三可用IP252、SW-2使用该VLAN中的倒数第二可用IP253,SW-1为销售、产品、信息技术业务的Master,SW-2为法务、财务、AP&交换机管理等业务的Master,且互为备份;每隔3s,VRRP备份组中的Master发送VRRP报文来向
4.2监视上行链路状态,当上行链路故障时,Slave设备能够接管Master设备转发数据;而当链路故障恢复后,原Master设备接管 Slave设备转发数(8分)。
(五)、因集团销售人员较多、同时也为了节约成本,在集团接入交换机下挂两个8口HUB交换机实现销售业务接入,集团信息技术部已经为销售业务VLAN分配IP主机位为1-14,在集团接入交换机使用相关特性实现只允许上述IP数据包进行转发,对IP不在上述范围内的用户发来的数据包,交换机不能转发,直接丢弃, 要求禁止采用访问控制列表实现(9分)。
(六)、集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层,当发现单向链路后,要求自动地关闭互连端口;发送握手报文时间间隔为5s, 以便对链路连接错误做出更快的响应,如果某端口被关闭,经过30分钟,该端口自动重启(15分)。
(七)SW-2既作为集团核心交换机,同时又使用相关技术将SW-2模拟为Internet交换机,实现集团内部业务路由表与Internet路由表隔离,Internet路由表位于VPN实例名称Internet内(20分)。
(八)、集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在两台核心交换机E1/0/10-E1/0/11接口测试,VLAN300作为远程端口镜像VLAN,Ethernet1/0/12作为反射端口,将核心交换机与接入交换机、路由器互连流量提供给多个厂商网流分析平台(18分)。
三、路由配置与调试(本部分168分)
(一)、尽可能加大集团路由器与分公司路由器之间专线链路带宽,配置Mutlilink PPP捆绑(10分);
(二)、规划集团与分公司、成都办事处之间使用OSPF协议进行互连互通,进程号为1,具体要求如下(58分):
1.集团路由器与集团核心交换机之间、集团核心交换机与集团核心交换机之间、集团路由器与分公司路由器之间均属于骨干区域,集团业务网段属于Area1,分公司业务网段属于Area2;集团路由器与成都办事处防火墙之间、成都办事处防火墙与分公司路由器之间、成都办事处业务网段属于Area3(20分);
2.针对骨干区域启用区域MD5验证,验证密钥为:DCN2019,调整接口的网络类
3.要求集团业务网段Area、分公司业务网段Area禁止学习LSA3、LSA4、LSA5、LSA7类路由,要求集团业务网段、AP&交换机管理网段中不发送协议报文(24分);
4.集团路由器将访问郑州办事处业务网段的静态路由引入OSPF,要求分公司禁止学习到郑州办事处业务网段路由(6分)。
(三)、实现集团销售&产品&信息技术&无线业务、分公司业务网段、成都办事处业务网段统一通过集团路由器访问Internet,轮询使用NAT地址为:202.99.192.4/30(标准IP访问列表和地址池名称都命名为1),针对上述源地址,限制单个IP地址能建立NAT翻译表项的最大数目为100;配置一对一地址转换,实现通过Internet任意位置访问202.99.192.8/32都可以访问至集团OA平台10.XX.10.1/32(XX与“主要网络环境”地址中相应网段一致)进行数据查询;郑州办事处业务网段通过郑州办事处防火墙访问Internet,NAT地址池为接口公网IP(36分)。
(四) 、集团路由器与郑州办事处防火墙之间使用与Internet的接口互联地址建立GRE隧道,再使用IPSEC技术对GRE隧道进行保护,使用IKE协商IPSec安全联盟、交换IPSec密钥,两端加密访问列表名称都为ipsecacl,这样有了IPSec,郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全上传郑州办事处相关销售业务数据(30分)。
(五)、为了合理分配集团业务流向,保证来回路径一致,业务选路具体要求如下(34分):
1.集团核心交换机与集团无线控制器DCWS之间采用静态路由协议,使用OSPF相关特性实现集团无线业务与Internet互访流量优先通过DCWS_SW-1_RT1间链路转发,DCWS_SW-2_RT1间链路作为备用链路(10分);
2.实现销售、产品、信息技术业务分别与Internet、分公司、办事处互访流量优先通过SW-1_RT1间链路转发,法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过SW-2_RT1间链路转发,从而实现流量的负载分担与相互备份(24分)。
四、无线配置(本部分44分)
(一)、集团无线控制器DCWS与核心交换机互联,无线业务网关位于DCWS上,VLAN220为业务VLAN;核心交换机SW-2配置使用DHCP进行AP管理地址分配,利用DHCP方式让AP发现AC进行三层注册,采用MAC地址认证(20分)。
(二)、配置一个SSID DCNXX:DCNXX中的XX为赛位号,访问集团及Internet业务,采用WPA-PSK认证方式,加密方式为WPA个人版,配置密钥为Dcn12345678(6分)。
(三)、配置所有Radio接口:AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午10:00触发信道调整功能(18分)。
五、安全策略配置(本部分50分)
(一)、根据题目要求配置成都办事处防火墙、郑州办事处防火墙相应的业务安全域、业务接口;限制成都办事处业务网段只可以与集团销售、产品、财务业务网段http&https业务和Internet业务互访;郑州办事处业务网段通过VPN隧道只可以访问集团销售业务网段http&https业务,通过公网接口可以访问Internet业务;集团所有业务网段均可以与成都办事处业务网段、郑州办事处业务网段双向互ping,方便网络连通性测试与排障(26分)。
(二)、集团计划在成都办事处进行https认证试点,对成都办事处业务网段上网的用户进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密码分别为 dcn01或者dcn02才可以访问外部网络,强制用户在线时常超过1天后必须重新登录(12分)。
(三)、郑州办事处只有100M Internet出口,在郑州办事处防火墙上限制该业务网段每个IP上下行最大4Mbps带宽,限制http流量最大上下行带宽为10Mbps,从而实现流量精细化控制,保障办事处其它关键应用和服务的带宽(12分)。
六、IPV6配置(本部分56分)
集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版(IPv6)规模部署行动计划》,加快推进基于互联网协议第六版(IPv6)基础网络设施规模部署和应用系统升级,现准备先在集团公司开始IPv6测试,要求如下:
(一)、在集团核心交换机SW-1配置IPv6地址,使用相关特性实现销售业务的IPv6终端可自动从网关处获得IPv6有状态地址(16分)。
(二)、在集团核心交换机SW-2配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保产品业务的IPv6终端可以获得IPv6无状态地址(12分)。
(三)、在集团两台核心交换机之间通过互联ipv4链路使用相关特性,实现销售业务的IPv6终端与产品业务的IPv6终端可以互访(28分)。
集团测试IPv6业务地址规划如下,其它IPv6地址自行规划:
| 业务 | IPV6地址 |
|---|---|
| 销售 | 2001:XX:10::254/64(XX与“主要网络环境”地址中相应网段一致) |
| 产品 | 2001:XX:20::254/64(XX与“主要网络环境”地址中相应网段一致) |
举例:“主要网络环境”中销售业务IPv4地址为:10.30.10.0/24,对应IPv6地址为:2001:30:10::254/64。\
信息安全管理与评估 网络系统管理 网络搭建与应用
竞赛任务书,赛题,解析,培训服务添加博主
646
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
