2022年广东省职业院校技能大赛
网络搭建与应用竞赛
赛卷(B)
(总分1000分)
网络搭建与应用赛项专家组
2022 年 1 月
一、竞赛内容分布
“网络搭建与应用”竞赛共分三个部分,其中:
第一部分:网络搭建及安全部署项目 (500分)
第二部分:服务器配置及应用项目 (480分)
第三部分:职业规范与素养 ( 20分)
二、竞赛注意事项
- 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
- 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
- 请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
- 操作过程中,需要及时保存设备配置。
- 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
- 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
- 禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记,如违反规定,可视为0分。
- 与比赛相关的工具软件放置在每台主机的D:\soft文件夹中。
项目简介:
集团设有行政、法务、营销、售后、财务 5个部门,分别分部在集团广东DC1、广东DC2、广东DC3、广西办事处;统一进行IP及业务资源的规划和分配,全网采用OSPF路由协议、BGP路由协议等进行组网,详细网络拓扑结构见“表1拓扑结构图”。
其中三台虚拟化三层交换机编号为SW-1、SW-2和SW-3作为集团的核心交换机;一台防火墙编号为FW-1作为集团广东DC3的出口网关;一台防火墙编号为FW-2作为广西办事处的出口网关;一台路由器编号为RT-1作为集团冗余的核心路由器;一台路由器编号为RT-2作为集团出口路由器;一台无线控制器编号为AC作为集团广东的无线WIFI控制器;一台企业级AP配合实现集团广东DC2的无线覆盖。
结合网络环境和网络拓扑要求,合理规划网络和IP地址,保证网络搭建及安全部署项目和服务器配置及应用项目顺利实施。
请注意:在此典型互联网应用网络架构中,作为IT网络系统管理及运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应
图1:拓扑结构图
表1:网络设备连接表
| A设备连接至B设备 | |||
| 设备名称 | 接口 | 设备名称 | 接口 |
| AC | E1/0/1 | PC1 | NIC |
| AC | E1/0/2 | PC2 | NIC |
| AC | E1/0/21 | 云平台 | ETH1管理口 |
| AC | E1/0/22 | 云平台 | ETH2业务口 |
| AC | E1/0/11 | SW-1 | E1/0/11 |
| AC | E1/0/12 | SW-1 | E1/0/12 |
| SW-1 | E1/0/13 | SW-2 | E1/0/13 |
| SW-1 | E1/0/14 | SW-2 | E1/0/14 |
| SW-1 | E1/0/15 | FW-1 | E0/1 |
| SW-1 | E1/0/16 | FW-1 | E0/2 |
| SW-1 | E1/0/21 | RT-2 | G0/0 |
| SW-1 | E1/0/22 | RT-1 | G0/0 |
| SW-1 | E1/0/27 (实现VPN业务承载) | SW-2 | E1/0/27 (实现VPN业务承载) |
| SW-1 | E1/0/28 (实现二层业务承载) | SW-2 | E1/0/28 (实现二层业务承载) |
| SW-2 | E1/0/1 | AP | |
| SW-2 | E1/0/11 | FW-1 | E0/3 |
| SW-2 | E1/0/12 | FW-1 | E0/4 |
| SW-2 | E1/0/21 | RT-2 | G0/1 |
| SW-2 | E1/0/22 | RT-1 | G0/1 |
| SW-3 | E1/0/15 | FW-1 | E0/5 |
| SW-3 | E1/0/16 | FW-1 | E0/6 |
| SW-3 | E1/0/11 | FW-1 | E0/7 |
| SW-3 | E1/0/12 | FW-1 | E0/8 |
| FW-2 | E0/1 | AC模拟广西内网交换机 | E1/0/5 |
| FW-2 | E0/5 | SW-2模拟Internet交换机 | E1/0/5 |
| RT-1 | G0/3 | SW-2模拟Internet交换机 | E1/0/6 |
| RT-1 | S1/0 | RT-2 | S1/1 |
| RT-1 | S1/1 | RT-2 | S1/0 |
| RT-2 | G0/3 | SW-2模拟Internet交换机 | E1/0/7 |
表2:网络设备IP地址分配表
| 网络设备IP地址分配表 | |||
| 设备 | 设备名称 | 设备接口 | IP地址 |
| 路由器 | RT-1 | Loopback1 | 10.50.255.7/32 |
| G0/0 | 10.50.254.26/30 | ||
| G0/1 | 10.50.254.34/30 | ||
| G0/3 | 202.50.100.5/30 | ||
| Multilink1 | 10.50.254.38/30 | ||
| Tunnel1 | 10.50.254.41/30 | ||
| RT-2 | Loopback1 | 10.50.255.6/32 | |
| G0/0 | 10.50.254.22/30 | ||
| G0/1 | 10.50.254.30/30 | ||
| G0/3 | 202.50.100.1/30 | ||
| Multilink1 | 10.50.254.37/30 | ||
| Tunnel1 | 10.50.254.45/30 | ||
| 三层交换机 | SW-1 | VLAN10 SVI | 192.168.10.254/24 2001:10:50:10::254/64 |
| VLAN20 SVI | 192.168.20.254/24 2001:10:50:20::254/64 | ||
| VLAN30 SVI | 192.168.30.254/24 | ||
| VLAN40 SVI | 192.168.40.254/24 | ||
| VLAN50 SVI | 192.168.50.254/24 | ||
| VLAN60 SVI | 192.168.60.254/24 | ||
| VLAN70 SVI | 192.168.70.254/24 | ||
| VLAN80 SVI | 192.168.80.254/24 | ||
| VLAN90 SVI | 192.168.90.254/24 | ||
| VLAN100 SVI | 192.168.100.1/24 | ||
| VLAN200 SVI | 192.168.200.254/24 | ||
| VLAN1000 SVI | 10.50.254.1/30(port-group 1使用) | ||
| VLAN1004 SVI | 10.50.254.21/30 | ||
| VLAN1005 SVI | 10.50.254.25/30 | ||
| VLAN4093 SVI | 10.50.253.253/30(实现VPN业务承载) | ||
| VLAN4094 SVI | 10.50.254.253/30 2001:10:50:254::21/126 | ||
| Loopback1 | 10.50.255.1/32(ospfv2进程1使用) | ||
| Loopback2 | 20.50.255.1/32(ospfv2进程2使用) | ||
| Loopback3 | 30.50.255.1/32(ospfv3使用) 2001:10:50:255::1/128 | ||
| Tunnel 13 | 2001:10:50:254::1/126 | ||
| SW-2 | VLAN10 SVI | 192.168.11.254/24 2001:10:50:11::254/64 | |
| VLAN20 SVI | 192.168.21.254/24 2001:10:50:21::254/64 | ||
| VLAN30 SVI | 192.168.31.254/24 | ||
| VLAN40 SVI | 192.168.41.254/24 | ||
| VLAN50 SVI | 192.168.51.254/24 | ||
| VLAN201 SVI | 192.168.201.254/24 | ||
| VLAN202 SVI | 192.168.202.254/24 | ||
| VLAN1003 SVI | 10.50.254.18/30(port-group 2使用) | ||
| VLAN1004 SVI | 10.50.254.29/30 | ||
| VLAN1005 SVI | 10.50.254.33/30 | ||
| VLAN4093 SVI | 10.50.253.254/30(实现VPN业务承载) | ||
| VLAN4094 SVI | 10.50.254.254/30 2001:10:50:254::22/126 | ||
| Loopback1 | 10.50.255.2/32(ospfv2进程1使用) | ||
| Loopback2 | 20.50.255.2/32(ospfv2进程2使用) | ||
| Loopback3 | 30.50.255.2/32(ospfv3使用) 2001:10:50:255::2/128 | ||
| Tunnel 23 | 2001:10:50:254::5/126 | ||
| SW-3 | VLAN1001 SVI | 10.50.254.10/30(port-group 3使用) | |
| VLAN1002 SVI | 10.50.254.14/30(port-group 4使用) | ||
| Loopback1 | 10.50.255.3/32 | ||
| Loopback3 | 30.50.255.3/32(ospfv3使用) 2001:10:50:255::3/128 | ||
| Loopback10(行政) | 192.168.12.254/32 2001:10:50:12::254/128 | ||
| Loopback20(法务) | 192.168.22.254/32 2001:10:50:22::254/128 | ||
| Loopback30(营销) | 192.168.32.254/32 | ||
| Loopback40(售后) | 192.168.42.254/32 | ||
| Tunnel 13 | 2001:10:50:254::2/126 | ||
| Tunnel 23 | 2001:10:50:254::6/126 | ||
| SW-2模拟Internet交换机 | VLAN4005 SVI | 202.50.100.2/30 | |
| VLAN4006 SVI | 202.50.100.6/30 | ||
| VLAN4007 SVI | 202.50.100.10/30 | ||
| 防火墙 | FW-1 | Loopback1 | 10.50.255.5/32 (trust安全域) |
| aggregate1 (E0/1-2) | 10.50.254.2/30 (untrust安全域) | ||
| aggregate2 (E0/3-4) | 10.50.254.17/30 (untrust安全域) | ||
| aggregate3 (E0/5-6) | 10.50.254.9/30 (trust安全域) | ||
| aggregate4 (E0/7-8) | 10.50.254.13/30 (trust安全域) | ||
| FW-2 | Eth0/1.10(行政) | 192.168.14.254/24 (trust安全域) | |
| Eth0/1.20(法务) | 192.168.24.254/24 (trust安全域) | ||
| Eth0/1.30(营销) | 192.168.34.254/24 (trust安全域) | ||
| Eth0/1.40(售后) | 192.168.44.254/24 (trust安全域) | ||
| Eth0/5 | 202.50.100.9/30 (untrust安全域) | ||
| Tunnel 1 | 10.50.254.42/30 (BGP安全域) | ||
| Tunnel 2 | 10.50.254.46/30 (BGP安全域) | ||
| 无线控制器 | AC | VLAN50 SVI | 192.168.52.254/24 |
| VLAN200 SVI | 192.168.200.253/24(管理网段) | ||
表3:防火墙配置部署表
| FW-1 | |||||||
| 地址薄名称: 地址范围 | GD:192.168.10.0/24,192.168.11.0/24,192.168.12.0/24, 192.168.20.0/24,192.168.21.0/24,192.168.22.0/24, 192.168.30.0/24,192.168.31.0/24,192.168.32.0/24。 192.168.40.0/24,192.168.41.0/24,192.168.42.0/24。 | ||||||
| GX:192.168.14.0,192.168.24.0/24,192.168.34.0/24,192.168.44.0/24。 | |||||||
| 策略表 | ID | 源安全域 | 目的安全域 | 源地址 | 目的地址 | 服务薄 | 行为 |
| 1 | trust | untrust | Any | Any | Any | 允许 | |
| 2 | untrust | trust | Any | Any | Any | 允许 | |
| FW-2 | |||||||
| 地址薄名称: 地址范围 | GD:192.168.10.0/24,192.168.11.0/24,192.168.12.0/24, 192.168.20.0/24,192.168.21.0/24,192.168.22.0/24, 192.168.30.0/24,192.168.31.0/24,192.168.32.0/24。 192.168.40.0/24,192.168.41.0/24,192.168.42.0/24。 | ||||||
| GX:192.168.14.0,192.168.24.0/24,192.168.34.0/24,192.168.44.0/24。 | |||||||
| NAT表 | 源地址 | 目的地址 | 出流量 | 服务 | 转换为 | ||
| GX | Any | 出接口E0/5 | Any | 指定IP | |||
| 策略表 | ID | 源安全域 | 目的安全域 | 源地址 | 目的地址 | 服务薄 | 行为 |
| 1 | trust | BGP | GX | GD | Any | 允许 | |
| 2 | trust | untrust | GX | Any | Any | 允许 | |
| 3 | BGP | trust | GD | GX | Any | 允许 | |
表4:服务器IP地址分配表
| 网络名称 | Vlan | 子网名称 | 子网地址 | 网关 | 地址范围 |
| Network60 | 60 | Subnet60 | 192.168.60.0/24 | 192.168.60.254 | 192.168.60.10-192.168.60.99 |
| Network70 | 70 | Subnet70 | 192.168.70.0/24 | 192.168.70.254 | 192.168.70.10-192.168.70.99 |
| Network80 | 80 | Subnet80 | 192.168.80.0/24 | none | 192.168.80.10-192.168.80.99 |
| Network90 | 90 | Subnet90 | 192.168.90.0/24 | none | 192.168.90.10-192.168.90.99 |
表5:实例规格信息表
| 实例名称 | 镜像模板 | 名称 | ID | VCPU数 | 内存(MB) | 硬盘(GB) |
| Windows-1至Windows-9 | win2019-gui | Large | 1 | 4 | 4096 | 40 |
| Linux-1至Liunx-7 | CentOS8-cli | Small | 2 | 1 | 2048 | 40 |
表6:卷信息表
| 卷名称 | 配额 | 分配实例 |
| d1至d4 | 5G | Windows-5 |
| d5至d8 | 5G | Liunx-5 |
表7:虚拟主机信息表
| 虚拟机名称 | 域名信息 | 服务角色 | IPv4信息 |
| Windows-1 | ws1.skills.com | 域服务 DNS服务 CA服务 | 192.168.60.11 |
| Windows-2 | ws2.bj.skills.com | 域服务 DNS服务 DFS服务 docker服务 | 192.168.60.12 |
| Windows-3 | ws3.skills.com | DFS服务 NLB服务 WEB服务 | 192.168.60.13 192.168.80.11 |
| Windows-4 | ws4.skills.com | DFS服务 NLB服务 WEB服务 | 192.168.60.14 192.168.80.12 |
| Windows-5 | ws5.skills.com | iSCSI服务 | 192.168.60.15 192.168.80.13 |
| Windows-6 | ws6.skills.com | 故障转移群集 | 192.168.60.16 192.168.80.14 192.168.90.11 |
| Windows-7 | ws7.skills.com | 故障转移群集 | 192.168.60.17 192.168.80.15 192.168.90.12 |
| Windows-8 | ws8.skills.com | DHCP 故障转移 | 192.168.60.18 |
| Windows-9 | ws9.skills.com | DHCP 故障转移 | 192.168.60.19 |
| Linux-1 | cs1.skills.com | DNS服务 CA服务 chrony服务 | 192.168.70.11 |
| Linux-2 | cs2.skills.com | DNS服务 mail服务 docker服务 | 192.168.70.12 |
| Linux-3 | cs3.skills.com | apache2服务 Mariadb服务 PHP服务 rsyslog服务 | 192.168.70.13 |
| Linux-4 | cs4.skills.com | Mariadb客户端 rsyslog客户端 | 192.168.70.14 |
| Linux-5 | cs5.skills.com | iSCSI服务 | 192.168.70.15 192.168.80.16 |
| Linux-6 | cs6.skills.com | keepalive集群 | 192.168.70.16 192.168.80.17 |
| Linux-7 | cs7.skills.com | keepalive集群 | 192.168.70.17 192.168.80.18 |
网络搭建及安全部署项目
(500分)
【说明】
- 请将PC1上的”D:\soft\报告单”文件夹中的《网络搭建及安全部署竞赛报告单》复制到PC1桌面上选手自建的“XX_网络比赛报告”(XX为赛位号)文件夹中,并按照截图注意事项的要求填写完整;
- 设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放置在PC1桌面的“XX_网络比赛报告”(XX为赛位号)文件夹中;
保存文档方式如下:
- 交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“XX_网络比赛报告”文件夹中,文档命名规则为:设备名称.txt。例如:RT-1路由器文件命名为:RT-1.txt;
-
无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集,需要先调整CRT软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。CRT软件调整字符编号配置如图:
- 交换配置与调试(本部分142分)
(一)、为了减少广播,配置集团和广西办事处的业务VLAN。具体要求如下(22分):
1.根据下述信息及表,在交换机上完成VLAN配置(12分)。
|
| VLAN编号 | VLAN名称 | 说明 |
| SW-1、 SW-2、 SW-3; | VLAN10 | XZ | 行政 |
| VLAN20 | FW | 法务 | |
| VLAN30 | XS | 营销 | |
| VLAN40 | SH | 售后 | |
| VLAN50 | CW | 财务 | |
| AC | VLAN50 | Guest | 来宾 |
2.配置合理,承载二层业务的链路均采用trunk链路类型,其中SW-1与SW-2之间的二层业务链路只放行vlan10、20、30、40、50;SW-1与AC之间的链路只放行vlan50、60、70、80、90、100、200;( 10分);
(二)、集团为保证交换机对内部业务流量转发的冗余备份,内部设备互连网段都使用两条线路,均采用了链路聚合组技术,其中集团AC与SW-1之间的组号为12、SW-1与FW-1互连使用的链路组组号为1、SW-2与FW-1互连使用的链路组组号为2、SW-3与FW-1互连使用的链路组号为3和4。(20分)
(三)、集团SW-1和SW-2之间通过一条裸光缆通道实现VPN业务承载、一条裸光缆通道实现二层业务承载,链路聚合组实现三层IP业务承载。具体要求如下:(20分)
1.设计实现VPN业务承载的裸光缆通道带宽只有10Mbps;使用相关技术分别实现集团广东1财务业务、广东2财务业务路由表与集团其它业务网段路由表隔离,财务业务位于VPN实例名称CW内;
2.配置链路聚合组,组ID为11,实现两个DC间的两条线路对三层IP业务的承载起到链路扩容和冗余备份作用。
(四)、SW-2既作为集团广东2的DC交换机,同时又使用相关技术将SW-2模拟为Internet交换机,实现与集团财务业务路由表、其他业务路由表隔离,Internet路由表位于VPN实例名称Internet内。(10分)
(五)、集团核心交换机(SW-1、SW-2、SW-3)分别配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、62003;创建认证用户为DCN2022,采用3des算法进行加密,密钥为:Dcn20222022,哈希算法为SHA,密钥为:DCn20222022;加入组DCN,采用最高安全级别;配置组的读、写视图分别为:Dcn2022_R、DCn2022_W;当设备有异常时,需要使用本地的环回地址发送Trap消息至集团网管服务器192.168.10.120、2001:10:50:10::121,采用最高安全级别。(20分)
(六)、集团广东1内部新增竞赛活动,新设出两个团队,在AC上新增配置VLAN2-4,团队一使用vlan3,团队二使用vlan4,vlan2作为网关vlan,地址为1.1.1.254/24;要求两团队之间二层流量隔离,三层流量能正常转发,团队一使用地址范围为1.1.1.1-10,团队二使用地址范围为1.1.20-30,只有在这个地址范围内的终端的三层流量互通,而其他使用同网段地址的终端的三层流量不被转发(30分)
(七)、为了更好地提高数据转发的性能以及满足后期的升级改造,允许AC、SW-1、SW-2、SW-3交换机优先使用IP路由聚合算法。(20分)
- 路由配置与调试(本部分208分)
(一)、规划集团内部之间使用OSPF协议,集团广东内使用进程号为1,集团广东内交换机与集团路由器使用进程号为2,具体要求如下:(50分)
1.SW-1与SW-2、SW-1与FW-1、SW-2与FW-1、SW-3与FW-1之间均属于进程1的骨干区域,且每台设备以自己的loopback地址为router-id。
2.集团广东1内网、广东2内网,广东3等业务网段均以路由引入方式引入OSPF(要求只通过一条前缀列表和route-map匹配其数据流,其前缀列表名称为jt,序号为5;route-map名称为jt)。
3.SW-1与RT2、SW-1与RT-1、SW-2与RT-2、SW-2与RT-1、RT-2与RT-1之间均属于进程2的骨干区域,且每台设备以自己所属的loopback地址作为router-id。
4.在集团SW-1和SW-2的进程1和进程2实现双点双向路由引入,并防止路由倒灌,其中双点双向路由引入要求标签值使用100,200,300和400。
(二)、规划集团路由器与广西办事处使用BGP协议建立两对E-BGP邻居关系,集团路由器的AS使用65500,广西办事处防火墙的AS使用65501,具体要求如下:(40分)
1.RT-1和RT-2分别与FW-2通过与SW-2模拟Internet交换机互连接口建立的隧道建立E-BGP邻居关系。
2.FW-2通告广西办事处业务网段,并通过RT-2和RT-1学习集团内部业务网段。
(三)、合理分配集团业务与外部流量的互访,以及把冗余路由器利用最大化,实现流量的负载分担与相互备份,并保证来回路径一致;具体要求如下:(50分)
其中BGP路由部分的选路要求使用IP前缀列表来匹配其数据流,使用MED属性进行选路,MED值使用100和200。
1.实现广西办事处行政和法务与集团行政和法务业务优先通过RT-2与FW-2隧道链路转发,RT-1与FW-2隧道链路作为备份。
2.实现广西办事处营销和售后与集团营销和售后业务优先通过RT-1与FW-2隧道链路转发,RT-2与FW-2隧道链路作为备份。
3.实现集团内部业务访问Internet的流量优先通过RT-2路由器出口访问,RT-1作为备份。
(四)、配置总部RT-1使其能从域名服务器上进行域名查询和动态更新,配置组名称为test,域名为test.oray.net,用户密码都为test01,端口号5050,关联出接口为g0/0。(30分)
(五)、规划在RT-2配置流量统计功能,设置可存储IP信息表项的最大值为1024,对G0/1口出方向的包进行统计,对G0/0口收和发出去的包进行统计,并记录源和目的mac地址。(28分)
(六)、对RT-1的控制台进行配置,配置在终端查看配置时每屏输出行数不受限制。(10分)
- 无线配置(本部分44分)
(一)、规划AC通过三层注册管理AP,采用none地址认证;SW-1与AC互连线路采用链路聚合组技术 ,组id为12,放行vlan50、60、70、80、90、100、200;SW-2配置DHCP列表为无线AP管理网段和业务网段提供地址分配。具体配置如下:(24分)
1.创建地址池名称为ap,对AP的管理网段设备进行地址分配,创建地址池名称为ap-ip-mac,对AP进行IP-MAC地址绑定,AP固定地址为192.168.201.100。
2.创建业务网段地址池名为user,并排除地址范围192.168.202.250-192.168.202.254,租期时间为8个小时,dns地址为114.114.114.114,备用dns地址为8.8.8.8。
3.配置network 1的SSID为JTXX-WIFI(其中XX为赛位号),关联业务网段VLAN202,启用用户隔离,采用WPA-PSK认证方式,加密方式为WPA个人版,配置密钥为jtgd1234。
(二)、配置network 2的SSID为GuestXX-WIFI(其中XX为赛位号),关联业务(来宾)网段VLAN50,实现与Internet和集团其他业务网段互访。具体要求如下:(20分)
1.(来宾)无线客户端地址由AC提供分配,租期时间为8个小时,dns地址为114.114.114.114,备用dns地址为8.8.8.8;用户接入无线网络时采用内置portal+本地认证方式;使用用户账号为user01,关联组名称为1,密码为user8888,配置认证协议为http方式;
2.其中地址分配排除客户端地址192.168.52.100,并设置该客户端连接WIFI无需认证直接可以与集团其他业务网段互访。
- 安全策略配置(本部分50分)
(一)、在FW-1和FW-2的untrust区域开启攻击防护功能(10分)
启用以下Flood防护:
ICMP洪水攻击防护,警戒值1000,动作丢弃;
UDP供水攻击防护,警戒值1000,动作丢弃;
SYN洪水攻击防护,警戒值1000,动作丢弃;
开启以下DOS防护:
Ping of Death攻击防护;
Teardrop攻击防护;
IP选项,动作丢弃;
ICMP大包攻击防护,动作丢弃;
(二)、在RT-1和RT-2配置动态NAT,使用出接口地址进行上网,源地址为any,使用标准ACL进行匹配数据流,名称为1;NAT地址池名称也为1。(10分)
(三)、按“表4:防火墙配置部署表”创建地址簿和服务组、NAT表、策略表。(10分)
(四)、在FW-2上对MAC地址为00-1c-f0-96-f1-ea 的主机限制在2021年12月31日早上九点到2022年2月4日早上九点时间范围内不可上网。(10分)
(五)、对FW-2的源NAT进行ping网关有效性检测配置,关联名称设置为to-snat,发送报文间隔时间为5秒,重试次数为5次;产生的日志基于secure-tcp协议发送到网管服务器。(10分)
- IPV6业务配置(本部分56分)
(一)、规划(SW-1、SW-2、SW-3)之间启用OSPFv3协议,区域号为0,使各DC的IPV6业务(行政和法务)互通;具体要求如下:(36分)。
1.其中SW-1和SW-2通过两端三层IP业务承载的裸光缆通道进行互连互通,SW-1和SW-3通过FW-1互连的(group1-group3)接口建立隧道实现互连互通,SW-2和SW-3通过FW-1互连的(group2-group4)接口建立隧道实现互连互通。
2.发布各设备相应的环回地址。
3. 阻止SW-1和SW-2上的行政和法务业务的协议报文发送。
(二)、规划SW-1和SW-2与其他业务路由表隔离的财务业务网段通过OSPF进程3的骨干区域互连互通。(20分)
服务器配置及应用项目
(480分)
【说明】
- 请将PC1上的”D:\soft\报告单”文件夹中的《服务器配置及应用竞赛报告单》和《云实训平台安装与应用报告单》复制到PC1桌面上选手自建的“XX_系统比赛报告”(XX为赛位号)文件夹中,并按照截图注意事项的要求填写完整;
- 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作,linux可以通过CRT软件连接进行操作,所有linux主机都默认开启了ssh功能;
- 要求在云服务平台中保留竞赛生成的所有虚拟主机;
- 虚拟主机的IP地址、主机名称必须与“表7:虚拟主机信息表”的要求一致,且必须手动设置为该虚拟机自动获取的IP地址;
- 云平台访问网址http://192.168.100.100/dashboard,登录管理员用户名为admin,密码为dcncloud。
- 镜像win2019-gui中用户Administrator的密码默认为Qwer1234,镜像centos8-cli中用户root的密码为dcncloud;
- 赛题所需的其它软件均存放在每台主机的D:\soft文件夹中;
- 修改Windows虚拟机管理员Administrator的密码为Password1234#,Windows题目中所有未指明的密码均为管理员Administrator的密码。修改Linux虚拟机管理员root的密码为Password1234#,Linux题目中所有未指明的密码均为管理员root的密码;
- 所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一定分数。
云服务平台安装与运用
(80分)
1、完成云服务平台基础设置
- 按照“表4:服务器IP 地址分配表”要求创建外部网络。
- 按照“表6:卷信息表”要求新建卷,并连接到实例。
注意事项:
- 必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘;不能使用 “管理员”,“系统”栏下的“卷”功能,该功能使用不当会造成云硬盘创建失败,界面卡死。
- 在综合实训平台中可以创建多个云硬盘,所有云硬盘容量的总大小不能超过100G,否则将创建失败。一个实例可以同时连接多个云硬盘,但一个云硬盘同时只能给一个实例作为扩展硬盘使用。
- 在分离卷之前一定要保证使用该卷的 linux 主机中,已经不存在该卷的任何挂载点。如果使用该卷的主机是 windows 实例,必须保证该卷在主机的“磁盘管理”项目中处于脱机状态,否则会造成分离失败,或是一直显示“分离中”状态。
2、创建虚拟主机
- 按照“表5:实例规格信息表”要求新建实例类型(删除云平台中已有实例类型)。
- 按照“表7:主机信息表”要求新建实例,实例IP地址必须与表中的一致。
Windows服务配置
(200分)
一、域控制器(40分)
- 将Windows-1升级为skills.com主域控制器,安装DNS,负责该域的正反向域名解析,要求整个域中的主机都能正反向解析。
- 将Windows-2升级为bj.skills.com子域控制器,安装DNS,负责该域的正反向域名解析。
- 把其余的Windows主机加入到skills.com域中。
- 在Windows-1上安装证书服务器,证书颁发机构有效期为20年,颁发证书有效期10年,证书信息:公用名=skills.com,国家=CN,省=Beijing,城市=Beijing,组织=Skills,组织单位=System。Windows主机使用同一张证书,chrome浏览器访问https网站时,不出现证书警告提示信息。
- 在Windows-1上新建名称为sys和manager的组织单元,每个组织单元内新建与组织单元同名的全局安全组;每个组内新建2个用户:sys1,sys2,manager1,manager2;所有用户不能修改口令,密码永不过期,每天02:00-06:00不可以登录,manager1拥有域管理员权限。
二、组策略(10分)
- 部署软件chrome.msi,让域中主机自动安装chrome。
- 拒绝sys组从网络访问域控制器,允许manager组本地登录域控制器。
- 登录时不显示用户名,不显示上次登录,无须按Ctrl+Alt+Del。
- 审核登录事件,同时审核成功和失败。
- 禁用“关闭事件跟踪程序”。
三、IPSec(10分)
- Windows-3和Windows-4之间通信采用IPSec安全连接,采用计算机证书验证。
四、DFS服务(10分)
- 在Windows-2的C分区划分2GB的空间,创建NTFS分区,驱动器号为D。
- 配置Windows-2为DFS服务器,命名空间为DFSROOT,文件夹为Pictures;实现Windows-3的D:\Pics和Windows-4的D:\Images同步。
五、FTP服务(10分)
- 把windows-3配置为FTP服务器,FTP站点名称为ftp,站点绑定本机IP地址,站点根目录为C:\inetpub\ftproot。
- 站点通过Active Directory隔离用户,使用manager1和manager2测试。
- 设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟。
六、NLB服务(30分)
- 配置Windows-3和Windows-4为NLB服务器,192.168.60.0网络为负载均衡网络,192.168.80.0网络为心跳网络。
- Windows-3群集优先级为3,Windows-4群集优先级为5,群集IPv4地址为192.168.60.60/24,群集名称为www1.skills.com,采用多播方式。
- 配置Windows-3为web服务器,站点名称为www1.skills.com,网站的最大连接数为10000,网站连接超时为60s,网站的带宽为100Mbps。
- 共享网页文件、共享网站配置文件和网站日志文件分别存储到Windows-2的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs,连接用户为域管理员。网站主页index.html内容为"HelloNLB",index.html文件编码为ANSI。
- 使用W3C记录日志,每天创建一个新的日志文件,日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。
- 网站仅绑定https,IP地址为群集地址,仅允许使用域名加密访问。
七、故障转移群集(50分)
- 在Windows-5上添加4块硬盘,每块硬盘大小为5G,初始化为GPT磁盘,配置为Raid0,驱动器号为D盘。
- 在Windows-5上安装iSCSI目标服务器,并新建iSCSI虚拟磁盘,存储位置为D:\;虚拟磁盘名称分别为Quorum和Files,大小分别为512MB和5GB,目标名称为win,访问服务器为Windows-6和Windows-7,实行CHAP双向认证,Target认证用户名和密码分别为IncomingUser和IncomingPass,Initiator认证用户名和密码分别为OutgoingUser和OutgoingPass。
- 在Windows-6和Windows-7上安装多路径I/O,192.168.60.0和192.168.80.0网络为MPIO网络,连接Windows-5的虚拟磁盘Quorum和Files,创建卷,驱动器号分别为M和N。
- 配置Windows-6和Windows-7为故障转移群集;192.168.90.0网络为心跳网络。
- 在Windows-6上创建名称为WinCluster的群集,其IP地址为192.168.60.70.
- 在Windows-7上配置文件服务器角色,名称为WinClusterFiles,其IP地址为192.168.60.80。为WinClusterFiles添加共享文件夹,共享协议采用“SMB”,共享名称为WinClusterShare,存储位置为N:\,NTFS权限为仅域管理员和本地管理员组具有完全控制权限,域其他用户具有修改权限;共享权限为仅域管理员具有完全控制权限,域其他用户具有更改权限。
八、DHCP故障转移(20分)
- 配置 Windows-8 和 Windows-9 为 DHCP 服务器,两台 DHCP 服务器实现故障转移,故障转移关系名称为 ws8-ws9,最长客户端提前期为 2 小时,模式为“负载平衡”,负载平衡比例各为 50%,状态切换间隔 60 分钟,启用消息验证,共享机密为 Admin-12345。
- DHCP IPv4 的 作 用 域 名 称 为 skills , 地 址 范 围 为 192.168.60.101 - 192.168.60.190,网关为 192.168.60.254,DNS 为 192.168.60.11 和 192.168.60.12, DNS 域名为 skills.com,租约期 3 小时,DHCP 服务只绑定 192.168.60.0/24 接口。
九、虚拟化(20分)
- 在windows-2安装docker,导入NanoServer镜像。软件包和镜像存放在物理机D:\soft\DockerWindows。
- 创建名称为web的容器,映射Windows-2的8080端口到容器的80端口,容器启动后运行cmd命令,保持容器处于运行状态。
Liunx服务配置
(200分)
一、DNS服务(35分)
- 设置所有Linux服务器的时区设为“上海”,本地时间调整为实际时间。
- 启动所有Linux服务器的防火墙,并添加相应端口(不允许添加服务)放行相关服务。
- 利用chrony配置Linux-1为其他Linux主机提供时间同步服务。
- 利用bind9软件,配置Linux-1为主DNS服务器,采用rndc技术提供不间断的DNS服务;配置Linux-2为备用DNS服务器,为所有Linux主机提供冗余DNS正反向解析服务。
- 所有Linux主机root用户使用完全合格域名免密码ssh登录到其他Linux主机。
- 配置Linux-1为CA服务器,为所有Linux主机颁发证书,不允许修改/etc/pki/tls/openssl.conf。CA证书有效期20年,CA颁发证书有效期均为10年,证书信息:国家=“CN”,省=“Beijing”,城市=“Beijing”,组织=“skills”,组织单位=“system”。chrome浏览器访问https网站时,不出现证书警告提示信息。
二、mail服务(15分)
- 配置Linux-2为mail服务器,安装postfix和dovecot。
- 仅支持smtps和pop3s连接,证书路径为/etc/ssl/mail.crt,私钥路径为/etc/ssl/mail.key。
- 创建用户mail1和mail2,向all@skills.com发送的邮件,每个用户都会收到。
- root用户使用mail工具向all@skills.com发送一封邮件,邮件主题为“Hello”,内容为“Welcome”。
三、apache2服务(20分)
- 配置Linux-2为httpd服务器,安装apache2,http访问时自动跳转到https安全连接。
- 使用skills.com或any.skills.com(any代表任意网址前缀,用 cs2.skills.com 和 web.skills.com 测试)访问时,自动跳转到www.skills.com。
- 关闭不安全的服务器信息,在任何页面不会出现系统和WEB服务器版本信息。
- 客户端访问时,必须有SSL证书。
四、rsyslog服务(10分)
- 配置Linux-3为远程日志服务器,允许使用 udp 和 tcp,为Linux-4提供日志服务。
- 在 Linux4 上使用命令"logger 'Hello world'",向日志服务器发送日志。
五、Mariadb服务(20分)
- 配置Linux-3为Mariadb服务器,安装Mariadb-server,创建数据库用户jack,密码Password1234#,在任意机器上对所有数据库有完全权限;允许root远程登陆,修改root用户密码为Password1234#,并删除test数据库。
- 配置Linux-4为Mariadb客户端,创建数据库userdb;在库中创建表userinfo,在表中插入2条记录,分别为(1,user1,1995-7-1,男),(2,user2,1995-9-1,女),口令与用户名相同,password字段用password函数加密,表结构如下:
- 修改表userinfo的结构,在name字段后添加新字段height(数据类型为float),更新user1和user2的height字段内容为1.61和1.62。
- 把物理机d:\soft\mysql.txt中的内容导入到userinfo表中,password字段用password函数加密。
- 将表userinfo中的记录导出,并存放到/var/databak/mysql.sql文件中。
| 字段名 | 数据类型 | 主键 | 自增 |
| id | int | 是 | 是 |
| name | varchar(10) | 否 | 否 |
| birthday | datetime | 否 | 否 |
| sex | char(5) | 否 | 否 |
| password | char(200) | 否 | 否 |
六、PHP服务(10分)
- 在Linux-3上安装php,搭建PHP网站,将提供index.php上传至/var/www/html/,并运行。
七、keepalive服务(60分)
- 为Linux-5添加4块硬盘,每块硬盘大小为5G,创建lvm卷,卷组名称为vg1,逻辑卷名称为lv1,容量为全部空间,格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器,监听 192.168.70.0/24 网络,为Linux-6和Linux-7提供iSCSI服务。iSCSI目标端的wwn为iqn.2021-05.com.skills:server,iSCSI发起端的wwn为iqn.2021-05.com.skills:client.
- 配置Linux-6和Linux7为iSCSI客户端。
- 配置Linux-6和Linux-7为集群服务器,安装keepalive,Linux-6为主服务器,Linux-7为备份服务器,虚拟IP地址为192.168.70.90。配置 Linux-6和 Linux-7为 nginx 服务器,安装 nginx,利用 nginx 反向代理,客户端通过 https://tomcat.skills.com 加密访问 Tomcat,实现 Linux-3 和 Linux-4 的两个 Tomcat 负载均衡,证书路径为 /etc/ssl/nginx.crt ,私 钥 路 径 为/etc/ssl/nginx.key。
八、虚拟化(30分)
- 在Linux-4上安装docker-ce,导入Nginx镜像。软件包和镜像存放在物理机D:\soft\DockerLinux。
- 创建名称为skills的容器,映射Linux-4的80端口到容器的80端口,默认网页内容为“Hello Container”,并运行。
职业规范与素养
(20分)
- 整理赛位,工具、设备归位,保持赛后整洁有序;
- 无因选手原因导致设备损坏;
- 恢复调试现场,保证网络和系统安全运行。
1938
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
