目录
2019年江西省职业院校技能大赛中职组“网络搭建与应用”赛项任务书
完成VMware Vcenter Server和VMware-viclient的安装(15分)
完成Vcenter Server数据中心的创建和主机的添加(15分)
完成ESXI Server中使用iSCSI磁盘的配置(15分)
2019年江西省职业院校技能大赛
中职组“网络搭建与应用”赛项任务书
赛题说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分二个部分,其中:
第一部分:网络搭建及安全部署项目
第二部分:服务器配置及应用项目
二、竞赛注意事项
(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
(3)本试卷共有两个部分。请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4)操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接为最终结果。
(5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
(6)禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。
(7)与比赛相关的工具软件放置在D:\soft文件夹中。
项目简介
某著名科技集团公司总部设在北京市,由于业务发展的需要,在上海设置分公司,为了实现快捷的信息交流和资源共享,需要构建一个跨越二地的集团网络。总公司有销售部、营销部、市场部和管理部四个部门。
总公司采用双核心的网络架构,采用双出口的网络接入模式,使用防火墙接入互联网络,互联网采用2M的接入链路,使用路由器接入城域网,城域网为帧中继网络,城域网申请二条1M的专用线路,
为了实现快捷的信息传递和公司业务的需求,允许SOHO办公和出差的员工能够方便、快捷、安全的访问总公司内网服务器群。
总公司的网络都采用OSPF动态路由协议,上海分公司采用的RIPv2动态路由协议,并通过专用线路学习到分公司路由信息,实现网络的畅通。
上海办事处的网络结构采用无线网络架构,采用无线控制器与无线接入点来实现。
拓扑结构图
地址规划
(一)网络架构
请根据下表和网络拓扑图,将所有连接起来,注意接口按照实际比赛设备接口进行相应调整。
设备 | 设备名称 | 设备接口 | IP地址 |
路由器 | R1 | S0/1 | 10.0.0.13/30 |
G0/1 | 10.0.0.5/30 | ||
R2 | S 0/2 | 10.0.0.14/30 | |
G0/1 | 10.1.1.2/30 | ||
三层交换机 | SW3-1 | Vlan 1000 SVI (G1/19) | 10.0.0.2/30 |
VLAN1 SVI(管理VLAN) | 2001:abcd:10::1/64 | ||
VLAN10 SVI(销售部) | 10.0.1.1/24 2001:abcd:1::1/64 | ||
VLAN20 SVI(营销部) | 10.0.2.1/24 2001:abcd:2::1/64 | ||
VLAN30 SVI(市场部) | 10.0.3.1/24 2001:abcd:3::1/64 | ||
VLAN40 SVI(管理部) | 10.0.4.1/24 2001:abcd:4::1/64 | ||
VLAN50 SVI(服务器群) | 10.0.5.1/24 2001:abcd:5::1/64 | ||
SW3-2 | Vlan 2000 SVI(G1/19) ) | 10.0.0.6/30 2001:abcd0::1/64 | |
VLAN1 SVI(管理VLAN) | 2001:abcd:10::2/64 | ||
VLAN10 SVI(销售部) | 10.0.1.2/24 2001:abcd:1::2/64 | ||
VLAN20 SVI(营销部) | 10.0.2.2/24 2001:abcd:2::2/64 | ||
VLAN30 SVI(市场部) | 10.0.3.2/24 2001:abcd:3::2/64 | ||
VLAN40 SVI(管理部) | 10.0.4.2/24 2001:abcd:4::2/64 | ||
防火墙 | FW1 | E0/0 | 10.0.0.1/30 |
E0/1 | 67.8.9.1/28 | ||
FW2 | E0/0 | 10.1.1.1/30 | |
E0/1 | 67.8.9.14/28 | ||
E0/2 | 10.0.0.17/30 | ||
无线控制器 | DCWS | VLAN 60 SVI (G0/1) | 10.0.0.18/30 |
VLAN70 | 10.0.7.1/24 | ||
AC的环回接口地址 | 9.9.9.9 | ||
VLAN 100 AP管理地址 | 10.0.11.1/24 |
(二)服务器IP分配表
宿主机 | 虚拟服务器名称 | 提供服务 | 操作系统 | IP地址 |
第1台计算机 | dc.chinaskills.com | 域服务/DNS服务/证书服务 | Windows Server 2012 R2 | 10.0.5.8/24 200:abcd:5::8/64 |
dhcp.chinaskills.com | DHCP服务 | Windows Server 2012 R2 CORE | 10.0.5.9/24 2001:abcd:5::9/64 | |
第2台计算机 | bdns.chinaskills.com | 备份DNS服务/NFS服务 | CentOS7.0 | 10.0.5.11/24 2001:abcd:5::11/64 |
ww1.chinaskills.com | WEB服务 | Windows Server 2012 R2 | 10.0.5.12/24 2001:abcd:5::12/64 | |
www2.chinaskills.com | WEB服务 | Windows Server 2012 R2 | 10.0.5.13/24 2001:abcd:5::13/64 | |
第3台计算机 | mail.chinaskills.com | 邮件服务 | CentOS7.0 | 10.0.5.10/24 2001:abcd:5::10/64 |
Smb.chinaskils.com | SAMBA服务器 | CentOS7.0 | 10.0.5.18/24 2001:abcd:5::18/64 | |
ftp.chinaskills.com | FTP服务 | CentOS7.0 | 10.0.5.14/24~10.0.5.16/24 2001:abcd:5::14/64~2001:abcd:5::16/64 | |
Vsphere-B1 | Vsphere2 | ESXI5.5 | 10.0..5.102/24 | |
第4台计算机 | Pc.chinaskills.com | 测试 | CentOS7.0 | 10.0.5.22/24 |
Vsphere-A1 | Vsphere1 | ESXI5.5 | 10.0.5.99/24 | |
Openfiler-C1 | 存储服务器 | Openfiler2.99 | 10.0.5.101/24 |
竞赛题目
网络搭建及安全部署项目
(550分)
【说明】
- 设备console线有两条。交换机, AC,防火墙使用同一条console线,路由器使用另外一条console线。
- 设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,截图有截图的简要说明,否则按无效内容处理;所有需要提交的文档均放置在桌面的PC1“设备文档_X”(X为组号)文件夹中。
保存文档方式分为两种:
- 交换机和路由器要把show running-config的配置保存在PC1桌面的相应文档中,文档命名规则为:设备名称.txt,例如:R1路由器文件命名为:R1.txt,然后放入到PC1桌面上“设备文档_X”(X为组号)文件夹中
- 防火墙等截图方式的设备,把截图的图片放到word文档中,文档命名规则为:设备名称.docx,例如:防火墙FW1文件命名为:FW1.docx, 保存后放入到PC1桌面上“设备文档_X”(X为组号)文件夹中。
-
物理连接、IP地址规划及连通性(60分)
- 根据网络拓扑图所示,对所有网络设备、无线设备和安全设备的各接口、VLAN等接口IP地址进行配置,使其能够正常通讯。
- 根据网络拓扑图所示,在所有交换机上创建相应的VLAN,将每个VLAN需要使用部门名称的拼音来命名,例如“销售部”为“xiaoshoubu”。
-
交换机调试与配置(125分)
- 在每个网络设备与其它网络设备连接的接口都要进行描述,例如“R1路由器的G0/1接口与SW3-2连接”其描述为“R1 TO SW32 interface G0/1 ”。
description
- 根据拓扑图所示,将所有交换机接口加入到不同的VLAN,
- 总公司内网采用双核心架构,在两个核心之间的链路采用链路聚合技术,实现冗余和增加链路带。
- 在网络内部采用MSTP和VRRP技术实现二层与三层负载均衡,创建两个生成树实例分别为实例10和实例20,将VLAN10和VLAN20加入到实例10,将VLAN30和VLAN40加入到实例20,将SW3-1设置为实例10的根,同时也是实例20的备份根,将SW3-2设置为实例20的根,同时也是实例10的备份根;设置SW3-1为VLAN10、VLAN20的跃路器,设置SW3-2为VLAN30、VLAN40的活跃路由器,VLAN10的虚拟IPv4地址为10.0.1.254;VLAN20的虚拟IPv4地址为10.0.2.254; VLAN30的虚拟IPv4地址为10.0.3.254;VLAN40的虚拟IP地址为10.0.4.254; MST域名2019DCN
SW3-1(config)#spanning-tree
SW3-1(config)#spanning-tree mode mstp
SW3-1(config)#spanning-tree mst configuration
SW3-1(config-mstp-region)#instance 10 vlan 10,20
SW3-1(config-mstp-region)#instance 20 vlan 30,40
SW3-1(config)#spanning-tree mst 10 priority 0
SW3-1(config)#spanning-tree mst 20 priority 4096
SW3-1(config)#router vrrp 1
SW3-1(config-router)#virtual-ip 10.0.1.254
SW3-1(config-router)#int vlan 10
SW3-1(config-router)#priority 200
SW3-1(config-router)#enable
-
路由器调试与配置(130)
- 根据网络拓扑结构所示,在总公司的网络中配置OSPF动态路由协议和静态路由协议,将网络规划到不同的区域中。需要指定网络设备的RID,其中总公司网络设备指定R1的RID为1.1.1.1、R2的RID为2.2.2.2、SW3-1的RID为4.4.4.4、SW3-2的RID为6.5.6.5,防火墙的RID为3.3.3.3。在总公司出口防火墙上需要使用路由重分发的技术,将默认路由发布到网络中。
- 在OSPF动态路由协议的网络中,为保障路由协议安全,需要在路由更新时采用基于接口的方式,其口令为chinaskills;
- 在SW3-1、SW3-2MD5验证、R1、R2设备上开启SSH管理功能,路由器只允许使用10.0.5.11主机对网络进行管理,同时要求每台交换机设备只允许6个线路管理网络设备,使用AAA本地验证方式,用户为chinaskills,口令都为chinaskills,登录设备的特权口令为chinaskills。
R2_config#username chinaskills password chinaskills
R2_config#ip access-list standard ssh
R2_config_std_nacl#permit 10.0.5.11
R2_config#aaa authentication login ssh local
R2_config#aaa authentication enable default enable
- 上海分公司的内网采用的RIPv2路由协议,为了实现与总公司网络互通,所以需要使用路由重分发技术,其RIP路由发布到OSPF路由协议中的类型为E1,开销为200,OSPF路由发布到RIP中时,其路由的开销为2。
- 上海分公司租用两条链路,一条为专用链路,用来传输业务数据,另外一条为互联网链路,用来满足用户访问互联网的需求,使用NAT技术将路由器的外部接口地址为全局地址,允许内网用户在上班时间(周一至周五的9:00~18:00)访问互联网。
- 为了保障专用线路的链路安全,需要在(R1与R2之间)连接的链路上配置PPP协议,采用双向CHAP的验证方式,速率为64000bps,用户名分别为R1和R2,密码均为7654321;
-
防火墙及安全策略配置(115分)
- 在总公司出口防火墙上配置L2TP远程接入 VPN,允许远程办公用户可以访问服务群资源,其使用的合法用户名为vpn1、vpn2、vpn3、vpn4、vpn5,其共同口令为chinaskills,其客户端拔入获取的地址段为10.0.6.10 10.0.6.15。
- 在总公司出口防火墙配置IPSec VPN,总公司与分公司之间使用租用链路传输业务数据(VALN50与VLAN70之间的数据流),为了提高网络的高可用性,当专用链路断掉后,所有的业务数据都由互联网链路传输,但为了保障数据传输的安全,需要使用IPSec VPN技术保障数据的安全性,VPN需要采用隧道模式、预共享密码为123456。
- 在总公司出口防火墙上使用NAT技术,允许内网用户(VLAN10、VLAN20、VLAN30、VLAN40)使用全局地址段67.8.9.2~ 67.8.9.4,将www.chinaskills.com服务器的WEB服务和ftp.chinaskills.com服务器的ftp服务发布到互联网,其合法地址为67.8.9.6。
- FW1,FW2配置trunst,untrunst,DMZ区域和相应策略
- FW1,FW2攻击防护,启以下Flood防护:ICMP洪水攻击防护,警戒值1000,动作丢弃;UDP供水攻击防护,警戒值1000,动作丢弃;SYN洪水攻击防护,警戒值1000,动作丢弃;
- 开启以下DOS防护:Ping of Death攻击防护;Teardrop攻击防护;IP选项,动作丢弃;ICMP大包攻击防护,动作丢弃;
- FW1为了保证带宽的正常使用,通过流量管理功能将P2P应用的影响降到最低;
- FW1为了防止垃圾邮件,配置邮箱过滤,过滤可能含有“发票”的邮件;
- FW1加强访问Internet安全性,禁止从HTTP打开和下载可执行文件和批处理文件;
-
无线网络配置(120分)
- 上海分公司的内网使用无线网络架构,其使用无线交换机和无线接入点,配置无线设备满足用户访问互联网要求,使用无线交换机为DHCP服务器,为内部用户动态分配IP地址、网关和DNS服务器8.8.8.8;其分配的地址段为10.0.7.10~10.0.7.200。AC的环回接口地址为9.9.9.9,为AP分配的地址为10.0.11.10/24,AC管理地址自动推举采用mac地址认证接入AP。
- 创建SSID为chinaskills,用户接入无线网络时需要采用基于WPA2加密方式,其口令为0123456789;
- 考虑到无线网络会进一步部署,增加更多的AP,设置已有AP信道和发射功率每隔1小时自动调节;
- 配置AP在脱离AC管理时依然可以正常工作
- SSIDchinaskills最多接入10个用户,并对SSID下网络进行流控,每用户上行1M,下行2M;
DCWS-6028(config-network)#max-clients 10
DCWS-6028(config-network)#client-qos bandwidth-limit up 1024
DCWS-6028(config-network)#client-qos bandwidth-limit down 2048
服务器配置及应用项目
(450分)
【说 明】
(1)题目中所涉及的所有系统的管理员以及其他普通用户密码均为2019Netw@rk(注意区分大小写),若未按照要求设置密码,涉及到该操作的所有分值记为0分。
(2)虚拟主机的IP属性设置请按照网络拓扑结构图以及“服务器IP地址分配表”的要求设定。
(3)除非作特殊说明,在同一主机下需要安装相同操作系统版本的虚拟机时,可采用VMware Workstation软件自带的克隆系统功能实现。
(4)所有系统镜像文件及试题所需的其它软件均存放在每台主机的D:\soft文件夹中,并将题目要求的截图内容以.jpg格式存储于各物理机PC1桌面系 “统答案_X” (X为组号)文件夹中,文件名、扩展名和存放位置错误,涉及到的所有操作分值记为0分。
(5)题目要求的虚拟机均安装于每台主机的D:\virtualPC目录,即路径为D:\virtualPC\虚拟主机名称。
(6)所有服务要求虚拟机系统重新启动后,均能正常启动和使用,否则扣除该服务功能一半分数。
Windows(200分) 在服务群中使用3台物理计算机,每台物理计算机使用VM12 安装3个虚拟计算机;在接入层中使用1台物理计算机,使用VM12 安装2个虚拟计算机;具体要求如下所述,注意:所有服务器设置的口令为ABCabc123#。
在VM12上添加三块虚拟硬盘,其每块硬盘的大小为2G。将三块硬盘制作成RAID5,磁盘盘符为e:\。安装IIS7.0组件,创建www.chinaskills.com站点,在挂载的网络磁盘e:\下创建名称为www的文件,在www文件中创建名称为abc.html的主页,主页显示内容“热烈庆祝2019年江西省职业院校技能大赛”,要求只允许使用域名通过SSL加密访问。
VLAN10地址段为2001:abcd:1::/64, 其排除地址段为2001:abcd:1::1~2001:abcd:1::10 VLAN20地址段为2001:abcd:2::/64, 其排除地址段为2001:abcd:2::1~2001:abcd:2::10 VLAN30地址段为2001:abcd:3::/64, 其排除地址段为2001:abcd:3::1~2001:abcd:3::10 VLAN40地址段为2001:abcd:4::/64, 其排除地址段为2001:abcd:4::1~2001:abcd:4::10
Linux(150分) 在服务群中使用3台物理计算机,每台物理计算机使用VM12 安装3个虚拟计算机;在接入层中使用1台物理计算机,使用VM12 安装2个虚拟计算机;具体要求如下所述,注意:所有服务器设置的口令为ABCabc123#。 1、FTP服务器(30分)
2、Mail服务器(30分)
3、备份DNS服务器(30分)
4、SAMBA服务器(30分)
|
虚拟化和存储部分(100)
-
完成虚拟化系统ESXI Server的创建 (15分)
- 在 计算机4的VMware Workstation上安装名为“Vsphere-A1”的虚拟化系统,具体要求内存为4G,硬盘80G;
- 开启Vsphere-A1的shell和ssh功能;
-
完成虚拟化系统ESXI Server的创建(15分)
- 在计算机3的VMware Workstation上安装名为“Vsphere-B1”的虚拟化系统,具体要求内存为4G,硬盘80G;
-
完成存储系统的虚拟机创建 (10分)
- 在计算机4的VMware Workstation上安装名为“Openfiler-B1”的存储系统,具体要求为内存为1G,硬盘10G;
-
完成VMware Vcenter Server和VMware-viclient的安装(15分)
在计算机1 的网络策略服务器(nps.chinaskills.com)中完成VMware Vcenter Server和VMware-vclient的安装;
-
完成存储系统中磁盘的配置(15分)
- 在Openfiler-B1存储系统上添加三块SATA磁盘,每块磁盘大小为30G;
- 将三块硬盘配置成RAIR5格式的卷组,卷组名称为:iSCSI-1;
- 将卷组iSCSI-1配置成iSCSI格式的逻辑卷,逻辑卷名称为:iSCSI-2,大小为全部空间可用,逻辑卷描述为:openfiler-iSCSI;
- 开启iSCSI target server的服务;
- 添加new iSCSI target,并对其iSCSI-2进行映射,读写模式为:write-thru,配置Network ALL允许同网段的计算机可以访问;
-
完成Vcenter Server数据中心的创建和主机的添加(15分)
- 使用VMware-client登录Vcenter Server,并创建数据中心,名称为:DataCenter;
- 在DataCenter中添加虚拟主机Vsphere1和Vsphere2;
-
完成ESXI Server中使用iSCSI磁盘的配置(15分)
- 在Vsphere-A1或Vsphere-B1上,要求通过动态发现的方式,配置iSCSI存储适配器;
- 在Vsphere-A1和Vsphere-B1上,完成主机挂载数据存储,文件系统版本为:VMFS-5,共享存储名称为:iSCSI-disk,容量为:最大可用空间,使服务器进行正常存储;