2023年全国职业院校技能大赛网络建设与运维赛项
赛题
2023年7月26日
赛题说明
- 竞赛项目简介
“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。
表 1 竞赛时间安排与分值权重
模块 | 比赛时长 | 分值 | 答题方式 | |
模块一 | 网络理论测试 | 0.5 小时 | 10% | 在线测试 |
模块二 | 网络建设与调试 | 6.5 小时 | 40% | 设备实操 |
模块三 | 服务搭建与运维 | 50% | 设备实操 | |
合计 | 7 小时 | 100% |
|
- 竞赛注意事项
- 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
- 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。
- 请参赛选手仔细阅读赛卷,按照要求完成各项操作。
- 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。
- 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将竞赛所用的所有物品(包括试卷等)带离赛场。
- 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为0分。
- 与比赛相关的软件和文档存放在<U盘>/soft文件夹中。
- 请在贴有“pc1-赛位号”U盘(赛位号从001-101变化)根目录新建“xxx”文件夹作为“选手目录”(xxx为赛位号。举例:1号赛位,文件夹名称为“001”),按照U盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。
- server1管理 web网址http://192.168.100.100/dashboard,管理员为admin,密码为admin。server1底层操作系统root用户密码
为Key-1122。Windows虚拟机中Administrator用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的IP地址必须手动设置为该虚拟机自动获取的IP地址。
- server2管理web网址http://192.168.2.10,管理员为Admin,密码为Admin@123。
- 使用完全合格域名访问网络资源。
模块二:网络建设与调试
(共计40分)
任务背景描述:
某集团公司原在城市A建立了总公司,后在城市B建立了分公司,
又在城市C设立了办事处。集团设有产品、营销、法务、财务、人力
5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF、
RIP、ISIS、BGP路由协议进行互联互通。
随着企业数字化转型工作进一步推进,为持续优化运营创新,充分激活数据要素潜能,为社会创造更多价值,集团决定在总公司建立两个数据中心,在某省建立异地灾备数据中心,以达到快速、可靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战略架构演进,更好的服务于公司客户。
集团、分公司及办事处的网络结构详见拓扑图。编号为SW1的设备作为总公司1#DC核心交换机,编号为SW2的设备作为总公司2#DC 核心交换机;编号为SW3的设备作为某省灾备DC核心交换机;编号
FW1的设备作为总公司互联网出口防火墙;编号为FW2的设备作为办事处防火墙;编号为RT1的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为AC1的设备作为分公司的有线无线智能一体化控制器,通过与AP1配合实现所属区域无线覆盖。
注意:在此典型互联网应用网络架构中,作为IT网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。网络拓扑图及IP地址表:
1.网络拓扑图
2.网络设备IP地址分配表
设备名称 | 设备接口 | IP地址 |
SW1 | Loopback1 ospfv2 ospfv3 bgp | 10.4.1.1/32 2001:10:4:1::1/128 |
Loopback2 | 10.4.1.2/32 2001:10:4:1::2/128 | |
Vlan11 | 10.4.11.1/24 2001:10:4:11::1/64 | |
Vlan12 | 10.4.12.1/24 2001:10:4:12::1/64 | |
Vlan13 | 10.4.13.1/24 2001:10:4:13::1/64 | |
Vlan14 | 10.4.14.1/24 2001:10:4:14::1/64 | |
Vlan15 | 10.4.15.1/24 2001:10:4:15::1/64 | |
Vlan1019 | 10.4.255.14/30 | |
Vlan1020 | 10.4.255.5/30 | |
Vlan1023 | 10.4.255.1/30 | |
Vlan1024 vpn | 10.4.255.1/30 | |
SW2 | Loopback1 ospfv2 ospfv3 bgp | 10.4.2.1/32 2001:10:4:2::1/128 |
Loopback2 | 10.4.2.2/32 2001:10:4:2::2/128 | |
Vlan21 | 10.4.21.1/24 2001:10:4:21::1/64 | |
Vlan22 | 10.4.22.1/24 2001:10:4:22::1/64 | |
Vlan23 | 10.4.23.1/24 2001:10:4:23::1/64 | |
Vlan24 | 10.4.24.1/24 2001:10:4:24::1/64 | |
Vlan25 | 10.4.25.1/24 2001:10:4:25::1/64 | |
Vlan1019 | 10.4.255.22/30 | |
Vlan1020 | 10.4.255.9/30 | |
Vlan1023 | 10.4.255.2/30 | |
Vlan1024 vpn | 10.4.255.2/30 |
设备名称 | 设备接口 | IP地址 |
SW3 | Loopback1 ospfv2 ospfv3 bgp | 10.4.3.1/32 2001:10:4:3::1/128 |
Vlan31 | 10.4.31.1/24 2001:10:4:31::1/64 | |
Vlan32 | 10.4.32.1/24 2001:10:4:32::1/64 | |
Vlan33 | 10.4.33.1/24 2001:10:4:33::1/64 | |
Vlan34 | 10.4.34.1/24 2001:10:4:34::1/64 | |
Vlan1019 | 10.4.255.6/30 | |
Vlan1020 | 10.4.255.10/30 | |
SW3模拟办事处 | Loopback2 | 10.4.3.2/32 2001:10:4:3::2/128 |
Vlan110 | 10.4.110.1/24 2001:10:4:110::1/64 | |
Vlan120 | 10.4.120.1/24 2001:10:4:120::1/64 | |
Vlan1015 | 10.4.255.30/30 | |
SW3模拟 Internet | Vlan1017 | 200.200.200.1/30 |
Vlan1018 | 200.200.200.5/30 | |
AC1 | Loopback1 ospfv2 ospfv3 | 10.4.4.1/32 2001:10:4:4::1/128 |
Loopback2 rip ripng | 10.4.4.2/32 2001:10:4:4::2/128 | |
Loopback3 | 10.4.4.3/32 2001:10:4:4::3/128 | |
Vlan1001 | 10.4.255.46/30 | |
Vlan130 无线管理 | 10.4.130.1/24 2001:10:4:130::1/64 | |
Vlan140 无线2.4G 产品 | 10.4.140.1/24 2001:10:4:140::1/64 | |
Vlan150 无线5G 营销 | 10.4.150.1/24 2001:10:4:150::1/64 | |
RT1 | Loopback1 ospfv2 ospfv3 bgp mpls | 10.4.5.1/32 2001:10:4:5::1/128 |
Loopback2 rip ripng | 10.4.5.2/32 2001:10:4:5::2/128 |
设备名称 | 设备接口 | IP地址 |
Loopback3 isis | 10.4.5.3/32 2001:10:4:5::3/128 | |
Loopback4 集团与办事处互联 | 10.4.5.4/32 2001:10:4:5::4/128 | |
Loopback5 vpn财务 | 10.4.5.5/32 2001:10:4:5::5/128 | |
G0/0 | 10.4.255.33/3 0 | |
G0/1 | 10.4.255.18/30 | |
G0/2 | 10.4.255.21/30 | |
G0/3 | 10.4.255.25/30 | |
S1/0 | 10.4.255.37/30 | |
S1/1 | 10.4.255.41/30 | |
RT2 | Loopback1 ospfv2 ospfv3 bgp mpls | 10.4.6.1/32 2001:10:4:6::1/128 |
Loopback2 rip ripng | 10.4.6.2/32 2001:10:4:6::2/128 | |
Loopback3 isis | 10.4.6.3/32 2001:10:4:6::3/128 | |
Loopback4 ipsecvpn | 10.4.6.4/32 2001:10:4:6::4/128 | |
Tunnel4 ipsecvpn | 10.4.255.50/30 | |
Loopback5 vpn财务 | 10.4.6.5/32 2001:10:4:6::5/128 | |
G0/0 | 10.4.255.34/30 | |
G0/1 | 10.4.255.45/30 | |
G0/2 | 200.200.200.6/30 | |
S1/0 | 10.4.255.42/30 | |
S1/1 | 10.4.255.38/30 | |
FW1 | Loopback1 ospfv2 ospfv3 trust | 10.4.7.1/32 2001:10:4:7::1/128 |
Loopback2 rip ripng trust | 10.4.7.2/32 2001:10:4:7::2/128 | |
Loopback3 isis trust | 10.4.7.3/32 2001:10:4:7::3/128 | |
Loopback4 ipsecvpn trust | 10.4.7.4/32 2001:10:4:7::4/128 | |
Tunnel4 ipsecvpn VPNHUB | 10.4.255.49/30 | |
E0/1 trust | 10.4.255.13/30 | |
设备名称 | 设备接口 | IP地址 |
E0/2 trust | 10.4.255.17/30 | |
E0/3 untrust | 200.200.200.2/30 | |
FW2 | Loopback1 ospfv2 ospfv3 trust | 10.4.8.1/32 2001:10:4:8::1/128 |
E0/1 dmz | 10.4.255.26/30 | |
E0/2 trust | 10.4.255.29/30 |
(一)工程统筹(本题共10分)
1.职业素养
整理赛位,工具、设备归位,保持赛后整洁有序。
无因选手原因导致设备损坏。
恢复调试现场,保证网络和系统安全运行。
2.网络布线
机架立面示意图
左侧面板编号101;右侧面板编号102。
面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。
主配线区配线点与工作区配线点连线对应关系如下:
序号 | 信息点编号 | 配线架编号 | 底盒编号 | 信息点编号 | 配线架端口编号 |
1 | W1-02-101-1 | W1 | 101 | 1 | 02 |
2 | W1-06-102-1 | W1 | 102 | 2 | 06 |
铺设线缆并端接。截取2根适当长度的双绞线,两端制作标签,穿过
PVC线槽或线管。双绞线在机柜内部进行合理布线,并且通过扎带合理固定。将2根双绞线的一端,端接在配线架相应端口,另一端端接上RJ45模块,并且安装上信息点面板,并标注标签。
跳线制作与测试。截取2根当长度的双绞线,端接水晶头,所有网络跳线要求按568B标准制作,两端制作标签,连接网络信息点和相应计算机。根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,插入相应设备的相关端口上,实现PC、信息点面板、配线架、设备之间的连通。
(二)交换配置(本题共10分)
1.配置SW1、SW2、SW3的Vlan,二层链路只允许下面Vlan通过,不限制vlan1。
设备 | Vlan编号 | 端口 | 说明 |
SW1 | Vlan11 | E1/0/1 | 产品1段 |
Vlan12 | E1/0/2 | 营销1段 | |
Vlan13 | E1/0/3 | 法务1段 | |
Vlan14 | E1/0/4 | 人力1段 | |
Vlan15 | E1/0/5 | 财务1段 | |
SW2 | Vlan21 | E1/0/1 | 产品2段 |
Vlan22 | E1/0/2 | 营销2段 | |
设备 | Vlan编号 | 端口 | 说明 |
Vlan23 | E1/0/3 | 法务2段 | |
Vlan24 | E1/0/4 | 人力2段 | |
Vlan25 | E1/0/5 | 财务2段 | |
SW3 | Vlan31 | E1/0/1 | 产品3段 |
Vlan32 | E1/0/2 | 营销3段 | |
Vlan33 | E1/0/3 | 法务3段 | |
Vlan34 | E1/0/4 | 人力3段 | |
Vlan110 | E1/0/11 | 办事处产品 | |
Vlan120 | E1/0/12 | 办事处营销 |
SW 1:
Interface Ethernet1/0/19
switchport access vlan 1019
!
Interface Ethernet1/0/20
switchport access vlan 1020
!
Interface Ethernet1/0/1
switchport access vlan 11
!
Interface Ethernet1/0/2
switchport access vlan 12
!
Interface Ethernet1/0/3
switchport access vlan 13
!
Interface Ethernet1/0/4
switchport access vlan 14
!
Interface Ethernet1/0/5
switchport access vlan 15
!
SW 2:
Interface Ethernet1/0/19
switchport access vlan 1019
!
Interface Ethernet1/0/20
switchport access vlan 1020
!
Interface Ethernet1/0/1
switchport access vlan 21
!
Interface Ethernet1/0/2
switchport access vlan 22
!
Interface Ethernet1/0/3
switchport access vlan 23
!
Interface Ethernet1/0/4
switchport access vlan 24
!
Interface Ethernet1/0/5
switchport access vlan 25
!
SW 3:
Interface Ethernet1/0/19
switchport access vlan 1019
!
Interface Ethernet1/0/20
switchport access vlan 1020
!
Interface Ethernet1/0/1
switchport access vlan 31
!
Interface Ethernet1/0/2
switchport access vlan 32
!
Interface Ethernet1/0/3
switchport access vlan 33
!
Interface Ethernet1/0/4
switchport access vlan 34
!
Interface Ethernet1/0/5
switchport access vlan 35
!
Interface Ethernet1/0/11
switchport access vlan 110
!
Interface Ethernet1/0/12
switchport access vlan 120
!
2.SW1和SW2之间利用三条裸光缆实现互通,其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为Finance,RD为1:1。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为passive;采用目的、源IP进行实现流量负载分担。
SW1:
ip vrf Finance
RD:1:1
interface Vlan15
ip vrf forwarding Finance
ipv6 address 2001:10:4:15::1/64
ip address 10.4.15.1 255.255.255.0
!
interface Vlan1024
ip vrf forwarding Finance
ip address 10.4.255.1 255.255.255.252
!
SW2:
ip vrf Finance
RD:1:1
interface Vlan25
ip vrf forwarding Finance
ipv6 address 2001:10:4:25::1/64
ip address 10.4.25.1 255.255.255.0
!
interface Vlan1024
ip vrf forwarding Finance
ip address 10.4.255.2 255.255.255.252
!
SW1:
port-group 1
Interface Ethernet1/0/22
switchport mode trunk
switchport trunk allowed vlan 11-15
port-group 1 mode active
!
load-balance dst-src-ip 采用目的、源IP进行实现流量负载分担
SW2:
port-group 1
Interface Ethernet1/0/22
switchport mode trunk
switchport trunk allowed vlan 21-15
port-group 1 mode passvie
!
load-balance dst-src-ip 采用目的、源IP进行实现流量负载分担
3.为方便后续验证与测试,SW3的E1/0/22连接其他合适设备的一个接口,配置为trunk,允许Vlan31-34、110、120通过。
SW3:
Interface Ethernet1/0/22
switchport mode trunk
switchport trunk allowed vlan 31-34;110;120
4.将SW3模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表VPN实例名称为Office,RD为1:1。将SW3模拟为Internet 交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD为2:2。
SW3:
ip vrf Office
rd 1:1
!
int loopback 2
ip vrf forwarding Office
ip add 10.4.3.2 255.255.255.255
ipv add 2001:10:4:4::2/128
int vlan 110
ip vrf forwarding Office
ip add 10.4.110.1 255.255.255.0
ipv add 2001:10:4:110::1/64
int vlan 120
ip vrf forwarding Office
ip add 10.4.120.1 255.255.255.0
ipv add 2001:10:4:120::1/64
int vlan 1015
ip vrf forwarding Office
ip add 10.4.255.30 255.255.255.252
!
ip vrf Internet
rd 2:2
!
int vlan 1017
ip vrf forwarding Internet
ip add 200.200.200.1 255.255.255.252
int vlan 1018
ip vrf forwarding Internet
ip add 200.200.200.5 255.255.255.252
!
5.SW1配置SNMP,引擎id分别为1000;创建组GroupSkills,采用最高安全级别,配置组的读、写视图分别为:Skills_R、Skills_W;创建认证用户为UserSkills,采用aes算法进行加密,密钥为Key-
1122,哈希算法为sha,密钥为Key-1122;当设备有异常时,需要用本地的环回地址 Loopback1 发送 v3 Trap 消息至集团网管服务器
10.4.15.120、2001:10:4:15::120,采用最高安全级别;当法务部门的用户端口发生 updown 事件时禁止发送 trap 消息至上述集团网管服务器。
SW1:
snmp-server enable
snmp-server enable traps s
snmp-server engineid 1000
snmp-server group GroupSKills authpriv read SKills_R write SKills_w
snmp-server user UserSKills GroupSKills authPriv aes Key-1122 auth sha Key-1122
snmp-server trap-source 10.4.1.1 Trap
snmp-server trap-source 2001:10:4:1::1 Trap
snmp-server securityip 10.4.15.120
snmp-server securityip 2001:10:4:15::120
snmp-server host 2001:10:4:15::120 v3 authpriv UserSKills
snmp-server host 10.4.15.120 v3 authpriv UserSKills
Interface Ethernet1/0/3
no switchport access vlan 13
!
6.对SW1与FW1互连流量镜像到SW1 E1/0/1,会话列表为1。
SW1:
monitor session 1 source interface ethernet 1/0/19 both 源端口
monitor session 1 destination interface ethernet 1/0/1 目的端口
7.SW1和SW2 E1/0/21-28启用单向链路故障检测,当发生该故障时,端口标记为errdisable状态,自动关闭端口,经过1分钟后,端口自动重启;发送Hello报文时间间隔为15s;
SW1:
uldp enable //全局开启uldp后,所有光口自动也开启uldp
uldp aggressive-mode 开启积极模式(将自动将端口标记errdisable)
uldp recovery-time 60 端口关闭1分钟自动启动
uldp hello-interval 15 报文时间间隔15秒
Interface Ethernet1/0/21-28
uldp enable
uldp aggressive-mode
!
SW2:
uldp enable
uldp aggressive-mode
uldp recovery-time 60
uldp hello-interval 15
Interface Ethernet1/0/21-28
uldp enable
uldp aggressive-mode
!
8.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,老化时间乘法器值为5,Trap报文发送间隔为10s,配置三条裸光缆端口使能Trap功能。
SW-1、SW-2:
lldp enable
lldp msgTxHold 5
lldp tx-interval 20 //更新报文发送间隔
lldp notification interval 10 //trap报文发送时间间隔
interface ethernet1/0/22-24
lldp trap enable
(二)路由调试(本题共10分)
需要的私聊,私聊。
(四)无线部署(本题共5分)
1.AC1 与 AP1 相连接口只允许 Vlan140 和 Vlan150 通过。AC1 Loopback1 IPv4和IPv6地址分别作为AC1的IPv4和IPv6管理地址。AP二层自动注册,AP采用MAC地址认证。配置2个ssid,分别
为SKILLS-2.4G和SKILLS-5G。SKILLS-2.4G对应Vlan140,用Network 140和radio1(profile 1, mode n-only-g),用户接入无线网络时需要采用基于WPA-personal加密方式,密码为Key-1122,用第一个可用VAP发送2.4G信号。SKILLS-5G对应Vlan150,用Network 150 和radio2(profile 1, mode n-only-a),不需要认证,隐藏ssid,
SKILLS-5G用倒数第一个可用VAP发送5G信号。
AC1:
wireless
ap authentication mac
discovery vlan-list 130
static-ip 10.4.4.1
static-ipv6 2001:10:4:4::1
network 1
device-finger enable
!
network 140
security mode wpa-personal
ssid SKILLS-2.4G
vlan 140
wpa key Key-1122
!
network 150
hide-ssid
ssid SKILLS-5G
vlan 150
!
radio 1
mode n-only-g
vap 0
enable
network 140
!
radio 2
mode n-only-a
vap 0
!
vap 15
enable
network 150
!
(五)安全维护(本题共5分)说明:按照IP地址从小到大的顺序用“IP/mask”表示,IPv4 Any 地址用0.0.0.0/0,IPv6 Any地址用::/0,禁止使用地址条目。
防火墙都是web界面的图片,不好贴上去。
1.FW1配置IPv4 NAT,id为1,实现集团产品1段IPv4访问Internet IPv4,转换ip/mask为200.200.200.16/28,保证每一个源ip产生
的所有会话将被映射到同一个固定的IP地址。
2.FW1配置NAT64,id为2,实现集团产品1段IPv6访问Internet IPv4,转换为出接口IP,IPv4转IPv6地址前缀为64:ff9b::/96。
3.FW1和FW2策略默认动作为拒绝,FW1允许 集团产品1段IPv4和
IPv6访问Internet任意服务。
4.FW2允许办事处产品IPv4访问集团产品1段https服务,允许集团产品1段和产品2 段访问SW3 模拟办事处Loopback2 IPv4、FW2 Loopback1 IPv4、办事处产品IPv4
5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现 Loopback4 之间的加密访问。RT2 的 ACL 名称为 ACL-VPN,
transform-set 名称为 SET-1,crypto map 名称为 MAP-1。FW1 的 isakmp proposal名称为P-1,isakmp peer名称为PEER-1,ipsec proposal名称为P-2,tunnel ipsec名称为IPSEC-1,tunnel gre名称为GRE-1。