目录
2021年河南省中等职业教育技能大赛-网络搭建与应用项目比赛试题
2021年河南省中等职业教育技能大赛-网络搭建与应用项目比赛试题
竞赛说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分三个部分,其中:
第一部分:网络搭建及安全部署项目
第二部分:服务器配置及应用项目
第三部分:职业规范与素养
二、竞赛注意事项
(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
(3)本试卷共有两个部分。请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4)操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
(5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
(6)禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。
(7)与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。
项目简介
某集团公司原在郑州建立了总公司,后在洛阳、开封建立了分公司。集团设有研发、行政、营销、财务、法务5个部门,统一进行IP及业务资源的规划和分配,全网采用RIP、OSPF、BGP多种路由协议。
2021年突如其来的洪水灾害、新冠肺炎疫情,给公司上半年业务发展带来巨大影响。在党及集团高层坚强领导下,下半年公司规模依然保持快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团公司决定在郑州建立两个数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的,为后续向三地四中心整体战略架构逐步演进,更好的服务于公司客户。
集团总公司、洛阳分公司、开封分公司的网络结构详见“网络环境”拓扑图。
两台CS6200交换机VSF虚拟化后编号为SW-Core1,作为集团1#DC的核心交换机;一台CS6200交换机编号为SW-Core2,作为集团2#DC的核心交换机;一台DCFW-1800作为集团1#DC的内网防火墙;另一台DCFW-1800作为集团2#DC的内网防火墙;一台DCR-2655路由器编号为RT1,作为洛阳分公司的核心路由器;另一台DCR-2655路由器编号为RT2,作为开封分公司的核心路由器;一台DCWS-6028作为开封分公司的有线无线智能一体化控制器,编号为DCWS,通过与WL8200-I2高性能企业级AP配合实现洛阳分公司无线覆盖。
请注意:在此典型互联网应用网络架构中,作为IT网络系统管理及运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应应用。
网络环境-拓扑结构图
表1-网络设备连接表
A设备连接至B设备 | |||
设备名称 | 接口 | 设备名称 | 接口 |
RT-1 | S0/1-2 | RT-2 | S0/1-2 |
RT-1 | G0/4 | FW-2 | E0/4 |
RT-2 | G0/3 | FW-2 | E0/3 |
RT-2 | G0/4 | DCWS | E1/0/24 |
DCWS | E1/0/1 | AP | ------ |
FW-1 | E0/1 | SW-Core1模拟Internet交换机 | E2/0/22 |
FW-1 | E0/2 | FW-2 | E0/2 |
FW-1 | E0/5 | SW-1 | E1/0/15 |
FW-1 | E0/6 | SW-2 | E1/0/15 |
FW-1 | E0/7 | SW-Core2 | E1/0/15 |
FW-2 | E0/5 | SW-1 | E1/0/16 |
FW-2 | E0/6 | SW-2 | E1/0/16 |
FW-2 | E0/7 | SW-Core2 | E1/0/16 |
SW-1 | E1/0/25 | SW-2 | E1/0/25 |
SW-1 | E1/0/26 | SW-2 | E1/0/26 |
SW-1 | E1/0/22 (实现三层IP业务承载) | SW-Core2 | E1/0/22 (实现三层IP业务承载) |
SW-1 | E1/0/23 (实现二层业务承载) | SW-Core2 | E1/0/21 (实现二层业务承载) |
SW-2 | E1/0/23 (实现二层业务承载) | SW-Core2 | E1/0/23 (实现二层业务承载) |
SW-2 | E1/0/24 (实现VPN业务承载) | SW-Core2 | E1/0/24 (实现VPN业务承载) |
SW-1 | E1/0/20 | 云平台 | 管理口 |
SW-2 | E1/0/20 | 云平台 | 业务口 |
SW-1 | E1/0/21 | PC1 | NIC |
SW-2 | E1/0/21 | PC2 | NIC |
表2-网络设备IP地址分配表
设备 | 设备名称 | 设备接口 | IP地址 |
路由器 | RT-1 | Loopback1 | 10.10.255.5 255.255.255.255 |
S0/1-2 | 10.10.254.29/30 | ||
E0/3.10 | 172.10.13.254/24 营销 | ||
E0/3.20 | 172.10.23.254/24 研发 | ||
G0/4 | 10.10.254.34/30 | ||
RT-2 | Loopback1 | 10.10.255.6 255.255.255.255 | |
Tunnel1 | 10.10.254.46/30 | ||
S0/1-2 | 10.10.254.30/30 | ||
G0/3 | 10.10.254.26/30 | ||
G0/4.20 | 172.10.22.254/24 研发 | ||
G0/4.30 | 172.10.32.254/24 法务 | ||
G0/4.50 | 172.10.52.254/24 行政 | ||
G0/4.100 | 172.10.100.254/24 | ||
G0/4.110 | 172.10.110.254/24 | ||
G0/4.120 | 172.10.120.254/24 | ||
防火墙 | FW-1 | Loopback1 | 10.10.255.3 255.255.255.255 |
E0/1 | 119.10.241.1/28 (untrust安全域) | ||
E0/2 | 10.10.254.1/30 (trust安全域) | ||
E0/5-6(聚合) | 10.10.254.5/30 (trust安全域) | ||
E0/7 | 10.10.254.13/30 (trust安全域) | ||
FW-2 | Loopback1 | 10.10.255.4 255.255.255.255 | |
Tunnel1 | 10.10.254.45/30 (VPNHub安全域) | ||
E0/2 | 10.10.254.2/30 (trust安全域) | ||
E0/3 | 10.10.254.25/30 (trust安全域) | ||
E0/4 | 10.10.254.33/30 (trust安全域) | ||
E0/5-6(聚合) | 10.10.254.9/30 (trust安全域) | ||
E0/7 | 10.10.254.17/30 (trust安全域) | ||
三层交换机 | SW-Core1 | Loopback 1 (ospfv2使用) | 10.10.255.1 255.255.255.255 |
Loopback 2 (ospfv3使用) | 10.10.255.7 255.255.255.255 2001:10:10:255::7/128 | ||
VLAN10 SVI | 10.10.10.254/24 | ||
VLAN20 SVI | 10.10.10.254/24 2001:10:10:20::254/64 | ||
VLAN30 SVI | 10.10.30.254/24 2001:10:10:30::254/64 | ||
VLAN40 SVI | 10.10.40.254/24 | ||
VLAN50 SVI | 10.10.50.254/24 2001:10:10:50::254/64 | ||
VLAN1000 SVI | 10.10.254.6/30 | ||
VLAN1001 SVI | 10.10.254.10/30 | ||
VLAN4093 SVI | 10.10.254.21/30 (实现VPN业务承载) | ||
VLAN4094 SVI | 10.10.254.41/30 2001:10:10:254::41/64 | ||
SW-Core1模拟Internet交换机 | VLAN4000 SVI | 119.10.241.2/28 | |
SW-Core2 | Loopback 1 (ospfv2使用) | 10.10.255.2 255.255.255.255 | |
Loopback 2 (ospfv3使用) | 10.10.255.8 255.255.255.255 2001:10:10:255::8/128 | ||
VLAN10 SVI | 10.10.11.254/24 | ||
VLAN20 SVI | 10.10.21.254/24 2001:10:10:21::254/64 | ||
VLAN30 SVI | 10.10.31.254/24 2001:10:10:31::254/64 | ||
VLAN40 SVI | 10.10.41.254/24 | ||
VLAN50 SVI | 10.10.51.254/24 2001:10:10:51::254/64 | ||
VLAN1000 SVI | 10.10.254.14/30 | ||
VLAN1001 SVI | 10.10.254.18/30 | ||
VLAN4093 SVI | 10.10.254.22/30 (实现VPN业务承载) | ||
VLAN4094 SVI | 10.10.254.42/30 2001:10:10:254::42/64 |
表3-服务器IP地址分配表
虚拟机名称 | 完全合格域名 | 角色 | 系统版本 | IPv4地址 |
Windows-1 | dc1.example.com | 域服务 DNS服务 Bitlocker加密 | Windows Server 2019 | 10.7.70.101/24 |
Windows-2 | dc2.example.com | 辅助域服务 DNS服务 | Windows Server 2019 | 10.7.70.102/24 |
Windows-3 | print.example.com | CA服务器 打印服务 | Windows Server 2019 | 10.7.70.103/24 |
Windows-4 | ftp.example.com | WEB+FTP服务 | Windows Server 2019 | 10.7.70.104/24 |
Windows-5 | www.example.com | iSCSI服务 WEB服务 | Windows Server 2019 | 10.7.70.105/24 10.7.80.101/24 |
Windows-6 | node1.example.com | 故障转移群集 | Windows Server 2019 | 10.7.70.106/24 10.7.80.102/24 10.7.90.101/24 |
Windows-7 | node2.example.com | 故障转移群集 | Windows Server 2019 | 10.7.70.107/24 10.7.80.103/24 10.7.90.102/24 |
Linux-1 | dns.example.com | DNS服务 CA服务 chrony服务 | CentOS 8.3 | 10.7.70.111/24 |
Linux-2 | idm.example.com | KDC服务 NIS服务 mail服务 | CentOS 8.3 | 10.7.70.112/24 |
Linux-3 | app.example.com | Tomcat服务 NIS客户端 NFS服务 | CentOS 8.3 | 10.7.70.113/24 10.7.80.111/24 10.7.80.112/24 |
Linux-4 | lin.example.com | 反向代理 NIS客户端 NFS客户端 | CentOS 8.3 | 10.7.70.114/24 10.7.80.113/24 10.7.80.114/24 |
Linux-5 | str.example.com | 数据库 iSCSI服务 | CentOS 8.3 | 10.7.70.115/24 10.7.80.115/24 |
Linux-6 | node1.example.com | pacemarker集群 | CentOS 8.3 | 10.7.70.116/24 10.7.80.116/24 |
Linux-7 | node2.example.com | pacemarker集群 | CentOS 8.3 | 10.7.70.117/24 10.7.80.117/24 |
表4-云平台网络信息表
网络名称 | Vlan | 子网名称 | 子网地址 | 网关 | 地址范围 |
Vlan70 | 70 | Vlan70-subnet | 10.7.70.0/24 | 10.7.70.254 | 10.7.70.100- 10.7.70.200 |
Vlan80 | 80 | Vlan80-subnet | 10.7.80.0/24 | 10.7.80.100- 10.7.80.200 | |
Vlan90 | 90 | Vlan90-subnet | 10.7.90.0/24 | 10.7.90.100- 10.7.90.200 |
表5-虚拟主机信息表
虚拟机名称 | 镜像模板 | 实例规格 | VCPU数 | 内存、硬盘信息 |
Windows-1 至 Windows-2 | win2019-gui | Large | 2 | 4G,40G |
Windows-3 至 Windows-7 | win2019-gui | Standard | 2 | 2G,40G |
Linux-1 至 Linux-7 | centos8-cli | Small | 1 | 2G,40G |
表6-卷信息表
卷名称 | 大小 | 连接至实例 |
sd1 | 10G | Windows1 |
sd2 | 5G | Windows5 |
sd3 | 5G | |
sd4 | 5G | |
sd5 | 5G | |
sd6 | 5G | Linux-5 |
sd7 | 5G | |
sd8 | 5G |
网络搭建及安全部署项目(500分)
【说明】
- 设备console线有两条。交换机、AC、防火墙使用同一条console线,路由器使用另外一条console线。
- 设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,截图有截图的简要说明,否则按无效内容处理;所有需要提交的文档均放置在PC1桌面的“XX_network”(XX为组号)文件夹中。
- 保存文档方式分为两种:
- 交换机和路由器要把show running-config的配置保存在PC1桌面的相应文档中,文档命名规则为:设备名称.docx,例如:RT-1路由器文件命名为:RT-1.docx,然后放入到PC1桌面上“XX_network”文件夹中;
- 防火墙等截图方式的设备,把截图的图片放到同一word文档中,文档命名规则为:设备名称.docx,例如:防火墙FW-1文件命名为:FW-1.docx, 保存后放入到PC1桌面上“XX_network”文件夹中。
一、网络布线与基础配置(50分)
1、根据网络拓扑要求,自备网线,插入相应设备的相关端口。
2、根据网络拓扑要求及网络地址规划表,对网络设备进行地址设置。
二、交换机配置(100分)
1、集团1#DC两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,用户对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。两台设备之间建立一个vsf port-group,vsf port-group编号都为1,每个vsf port-group绑定两个千兆光端口,SW-1的成员编号为1,SW-2的成员编号为2,正常情况下SW-1负责管理整个VSF,采用LACP MAD分裂检测,配置快速检测模式为short,配置VSF链路down延迟上报时间为2s、VSF分裂后桥MAC地址保留时间为6分钟。
2、为了减少广播,需要根据题目要求规划并配置VLAN。要求配置合理,所有链路上不允许不必要VLAN的数据流通过,包括VLAN 1。根据下述信息及表,在交换机上完成VLAN配置和端口分配。
| VLAN编号 | 端口 | 说明 |
SW-Core1 | VLAN10 | E2/0/1-3 | 营销1段 |
VLAN20 | E2/0/4-7 | 研发1段 | |
VLAN30 | E2/0/8-10 | 法务1段 | |
VLAN40 | E2/0/11-12 | 财务1段 | |
VLAN50 | E2/0/13-14 | 行政1段 | |
SW-Core2 | VLAN10 | E1/0/1-3 | 营销2段 |
VLAN20 | E1/0/4-7 | 研发2段 | |
VLAN30 | E1/0/8-10 | 法务2段 | |
VLAN40 | E1/0/11-12 | 财务2段 | |
VLAN50 | E1/0/13-14 | 行政2段 | |
DCWS | VLAN20 | E1/0/4-7 | 研发3段 |
VLAN30 | E1/0/8-10 | 法务3段 | |
VLAN50 | E1/0/13-14 | 行政3段 |
3、集团1#DC核心交换机SW-Core1和集团2#DC核心交换机SW-Core2间租用运营商四条裸光缆通道实现两个DC之间互通,一条裸光缆通道实现三层IP业务承载、一条裸光缆通道实现VPN业务承载、两条裸光缆通道实现二层业务承载。具体要求如下:
1.为了节约集团公司成本,设计实现VPN业务承载的裸光缆通道带宽只有100Mbps,后续再根据业务使用情况再考虑是否扩容;使用相关技术分别实现集团财务1段、财务2段业务路由表与其它业务网段路由表隔离;
2.目前设计实现二层业务承载的有2条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,解决集团总公司两个DC的服务器数量快速扩容,带来的爆发式增长的大二层流量。
4、为避免线路故障影响业务的正常运转,考虑线路冗余技术,集团1#DC的SW-1、SW-2分别与FW-1、FW-2相连,要求尽可能加大集团1#DC的SW-1、SW-2与FW-1之间的带宽、SW-1、SW-2与FW-2之间的带宽,模式为动态方式。
5、SW-Core1既作为集团1#DC核心交换机,同时又使用相关技术将SW-Core1模拟为Internet交换机,实现与集团财务业务路由表、其它业务网段路由表隔离,Internet路由表位于VPN实例名称Internet内。
6、集团总分司预采购多个厂商网流分析平台对集团总公司整体流量进行监控、审计,分别连接在集团1#DC核心交换机和集团2#DC核心交换机E1/0/17-E1/0/19接口测试,将集团核心交换机与防火墙的互连流量提供给多个厂商网流分析平台。
7、集团总公司核心交换机(SW-Core1、SW-Core2)分别配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号分别为10001、10002;创建认证用户为HNS2021,采用3des算法进行加密,密钥为:Hns2021wldj,哈希算法为SHA,密钥为:HNs2021Wldj;加入组ZZ,采用最高安全级别;配置组的读、写视图分别为:Hns2021_R、HNs2021_W;当设备有异常时,需要使用本地的环回地址发送Trap消息至集团总公司网管服务器10.10.20.200、2001:10:10:20::200,采用最高安全级别;当研发部门对应的用户接口发生UP/DOWN事件时禁止发送trap消息至上述集团总公司网管服务器。
8、要求禁止配置访问控制列表,实现集团总分司1#DC核心交换机法务业务对应的物理端口间二层流量无法互通;针对集团总分司1#DC核心交换机行政业务配置相关特性,每个端口只允许的最大安全MAC地址数为1,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留;配置相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截,开启日志记录功能,采样周期10s一次,恢复周期为1分钟,从而保障CPU稳定运行。
三、路由配置与调试(180分)
1、因为历史原因,集团公司使用RIP、OSPF、BGP多协议组网,规划集团内使用OSPF协议,集团内使用进程号为1,FW-2、RT1、RT2之间规划使用RIP协议;FW-2、RT2之间规划使用BGP协议;具体要求如下:
1.集团防火墙FW-1与集团1#DC和集团2#DC核心交换机、集团防火墙FW-1与集团防火墙FW-2、集团防火墙FW-2与集团1#DC和集团2#DC核心交换机、集团1#DC核心交换机与集团2#DC核心交换机之间均属于骨干区域;
2.为了管理方便,集团防火墙FW-1、集团防火墙FW-2、集团2个DC核心交换机、洛阳分公司RT-1、开封分公司RT-2分别发布自己的Loopback路由;集团2个DC核心交换机只允许发布营销网段业务路由;
3.针对骨干区域启用区域MD5验证,验证密钥为:HNS2021,配置发送Hello包的时间间隔为5秒,如果接口在3倍时间内都没有收到对方的Hello报文,则认为对端邻居失效,打开记录OSPF邻居状态变化日志功能;
4.集团防火墙FW-1和集团1#DC和集团2#DC核心交换机OSPF进程1中只允许学习到洛阳分公司路由器RT-1的环回地址与营销业务网段路由,开封分公司无线业务网段路由;
5.集团防火墙FW-2à洛阳分公司RT-1à开封分公司RT-2之间规划使用RIP协议,版本号为RIP-2,取消自动聚合,在开封分公司RT-2上通告SSID Hns-XX-Internet业务路由;
6.集团防火墙FW-2、开封分公司RT-2之间使用与洛阳分公司RT-1的接口互联地址建立GRE隧道,Tunnel接口的验证密钥为:2021,再使用IPSEC技术对GRE隧道进行保护,使用IKE协商IPSec安全联盟、交换IPSec密钥,两端加密访问列表名称都为ipsecacl,这样有了IPSec,数据通过RT-1网络传输时,就不用担心被监视、篡改和伪造;
7.集团防火墙FW-2、开封分公司RT-2之间规划使用BGP协议,通过接口互联地址建立两对E-BGP邻居关系,其中一对邻居关系建立采用GRE Tunnel IP地址,同时在开封分公司RT-2上通告SSID Hns-XX-IN业务路由;
8.集团防火墙FW-2配置路由重分布、路由控制策略,实现如下要求:
(1)将BGP协议与OSPF协议相互引入;
(2)借助黑洞路由,使RIP学习到集团总公司业务的路由;
(3)要求开封分公司RT-2禁止学习到集团总公司营销的明细路由信息。
2、规划集团1#DC核心交换机SW-Core1和集团2#DC核心交换机SW-Core2之间使用OSPFv3协议,发布相应环回地址,禁止发布业务路由;集团核心交换机之间通过两端三层IP业务承载的裸光缆通道进行互联互通,要求只能发布两端相应环回地址。
3、为了方便业务灵活调度,同时还规划集团又使用BGP协议,进程号为65535,具体要求如下:
1.集团防火墙FW-2与集团2个DC核心交换机之间通过环回地址建立IBGP邻居;
2.集团2个DC核心交换机间使用BGP协议实现DC间IPV6业务、DC间财务业务互联互通,满足集团DC间IPV6及财务业务发展的需要;
3.要求集团1#DC核心交换机SW-Core1和集团2#DC核心交换机SW-Core2、开封分公司路由器RT-2禁止发布除研发、法务、行政业务网段外的其它路由;
4.利用BGP相关功能特性,减少网络不稳定带来的过多的路由更新,抑制这些不稳定的路由信息,不允许这类路由参与路由选择;利用BGP相关功能特性,实现BGP配置的路由策略有变化时、可以自动进行策略刷新,无需手工清除BGP会话。
四、广域网配置(20分)
1、集团防火墙FW-2与洛阳分公司RT-1、集团防火墙FW-2与开封分公司RT-2、洛阳分公司RT-1与开封分公司RT-2间都属于租用运营商专线链路,其中集团防火墙FW-2与洛阳分公司RT-1间所租用链路带宽为100M,集团防火墙FW-2与开封分公司RT-2间所租用链路带宽为10M,洛阳分公司RT-1与开封分公司RT-2间所租用链路带宽为2M,请在相关设备上进行配置,以使设备接口能够匹配实际链路速率(波特率)。
2、洛阳分公司RT-1与开封分公司RT-2间所租用串行链路默认通过S0/1接口转发数据,当S0/1接口的实际流量超过70%,S0/2接口才会进入到工作状态,当S0/1接口的实际流量减小至40%,S0/2接口进入关闭状态,当S0/1接口故障6S后,S0/2接口才会进入到工作状态,避免主接口频繁up/down,造成网络震荡。
3、为了提高带宽利用率,采用MPPC压缩协议对洛阳分公司RT-1与开封分公司RT-2间所租用串行链路数据进行压缩传输。
五、无线配置(50分)
1、无线控制器DCWS二层与分部RT-2互通,所有业务网关位于分部RT-2上,DCWS配置VLAN100为AP管理VLAN,VLAN110、120为业务VLAN,使用第一个地址作为AC管理地址、第二个地址作为AP管理地址,集中转发,AP二层手工注册,启用密码认证,验证密钥为:Hns.2021。
2、设置两个SSID Hns-XX-IN、Hns-XX-Internet,其中Hns-XX中的XX为组号,具体要求如下:
1.SSID Hns-XX-IN:访问集团总公司业务,VLAN110,采用WAPI预共享密钥鉴别方式,配置密钥为Hns12356789,信号隐藏;
2.SSID Hns-XX-Internet:访问Internet,VLAN120,采用开放接入。
3、AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能,设置组播广播限制阈值为25;开启Radio的自动信道调整,每隔8小时触发自动信道调整功能。
4、配置所有无线接入用户相互隔离,开启自动强制漫游功能、动态黑名单功能,Network模式下限制SSID Hns-XX-IN每天早上0点到3点禁止终端接入,开启SSID Hns-XX-IN ARP抑制功能;配置当无线终端支持5GHz网络时,优先引导接入5GHz网络,从而获得更大的吞吐量,提高无线体验。
5、配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为1秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。
六、安全策略配置(50分)
1、根据题目要求配置集团防火墙相应的业务安全域、业务接口;2021年护网行动开展在即,调整全网防火墙安全策略缺省规则为拒绝;限制开封分公司行政业务网段只可以访问Internet业务、研发业务网段只可以与集团研发业务网段http&https业务、mysql数据库业务互访;集团所有业务网段均可以与洛阳分公司业务网段双向互ping,方便网络连通性测试与排障。
2、集团总公司计划进行https认证试点,对集团总公司业务网段上网的用户进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名:Hns2021011、密码:123456,才可以访问外部网络,强制用户在线时常超过1天后必须重新登录。
3、在集团防火墙FW-1配置网络地址转换,公网NAT地址池为:119.10.241.0/28;保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.10.50.120的 UDP 2000端口;开启相关特性,实现扩展NAT转换后的网络地址端口资源。
4、为了避免集团内部业务直接映射至Internet成为攻击“靶心”,不断提升集团网络安全体系建设,在集团防火墙FW-1配置SSL VPN,满足远程办公用户通过scvpn登陆访问集团营销业务,地址池为10.10.0.1/24-10.10.0.100/24,网关为最大可用地址,认证账号:Hns2021012,密码:123456。
5、集团防火墙FW-2实现分公司用户访问Internet控制、审计,要求禁止用户使用MSN、QQ和雅虎通聊天,并记录日志;对HTTP应用的行为进行控制和审计。
6、集团防火墙实现对公司所有用户访问网址中含有“游戏”、“购物”关键字网站的过滤,对试图访问及搜索的行为进行记录;阻止在社区论坛、社会生活类网站发布含有关键字“舆论”的信息,并记录日志。
七、业务选路配置(40分)
1、考虑到从开封分公司到集团总公司有两条广域网链路,且其带宽不一样,所以规划正常情况下:集团防火墙FW-2、洛阳分公司RT-1、开封分公司RT-2间专线为主链路,集团防火墙FW-2与开封分公司RT-2间专线为备链路;开封分公司访问集团总公司研发、行政业务优先走主链路,开封分公司访问集团总公司法务业务优先走备链路,只有开封分公司访问集团总公司研发、行政业务主备链路相互备份、法务业务无备份链路。根据以上需求,在开封分公司RT-2进行合理的业务选路配置。具体要求如下:
1.使用IP前缀列表匹配业务数据流;
2.使用BGP路由权值属性进行业务选路,只允许使用route-map来改变路由权值属性、路由控制,且路由权值必须为100或200。
八、IPV6配置(10分)
1、集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版(IPv6)规模部署行动计划》,加快推进基于互联网协议第六版(IPv6)基础网络设施规模部署和应用系统升级,在集团2个DC上部署获取IPv6业务有状态地址和无状态地址获取,要求如下:
1.在集团1#DC核心交换机SW-Core1配置IPv6地址,使用相关特性实现行政业务的IPv6终端可自动从网关处获得IPv6有状态地址;
2.在集团2#DC核心交换机SW-Core2配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保研发业务的IPv6终端可以获得IPv6无状态地址。
服务器配置及应用项目(480分)
【说明】
- 所有Windows主机实例在创建之后都可以直接通过远程桌面连接操作,Linux主机实例可以通过SecureCRT或Xshell软件连接进行操作,所有Linux主机都默认开启了ssh功能。
- 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
- 不修改Linux虚拟机的root用户密码,Linux题目中所有未指明的密码均为dcncloud;Windows虚拟机管理员的密码以及Windows题目中所有未指明的密码均为Password1234,若未按照要求设置,涉及到该操作的所有分值记为0分。
- 虚拟主机的IP地址、主机名称请按照”表3-服务器IP地址分配表”的要求设定,若未按照要求设置,涉及到该操作的所有分值记为0分。
- 赛题所需的其它软件均存放在物理机D:\soft文件夹中。
- 在PC1桌面上新建“XX_system”(XX为赛位号)文件夹。根据“D:\soft\服务器配置及应用项目-报告单.docx”中提供的方法和命令,生成云平台和所有云主机操作结果的文件,并将这些文件存放到PC1桌面上的“XX_system”(XX为赛位号)文件夹。
- 所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一定分数;如文档名称或文档存放位置错误,涉及到的所有操作分值记为0分。
一、云实训平台设置(150分)
1、按照 “表4-云平台网络信息表”要求,新建网络。
2、按照“表5-虚拟主机信息表”要求,新建云主机类型。
3、按照“表3-服务器IP地址分配表”要求新建虚拟主机,主机IP地址与“表3-服务器IP地址分配表”中的一致。
4、按照“表6-卷信息表”要求,新建硬盘,并连接到虚拟主机。
二、Windows服务配置(165分)
1、域服务配置:
【任务描述】 为实现方便管理,采用域控制器,提升企业网络安全程度,整合局域网内基于网络的资源。
1.设置所有虚拟机的IP为静态,与自动获取的IP地址一致;修改所有主机的名称与“表3-服务器IP地址分配表”中的一致;
2.配置Windows-1为域控制器,域名为example.com;安装DNS服务,为example.com域中服务器提供正反向解析;
3.在Windows-1上添加一块硬盘,大小为10G,初始化为GPT磁盘,盘符为D盘。
4.把其他Windows主机加入到example.com域;
5.设置组策略,让域中主机自动信任Windows-3根证书颁发机构;
6.设置组策略,Windows-3跟Windows-4之间通信采用IPSec安全连接,但域控制器和网关除外;采用计算机证书验证,要求入站和出站都使用计算机验证,使用组策略将证书分发到客户端计算机;
7.配置D盘驱动器加密,使用密码解锁驱动器,密钥保存到Windows-3的“\\print\CertEnroll”文件夹,复制一份到物理机XX_system文件夹,仅加密已使用用磁盘空间,使用新的机密模式加密。
2、辅助域服务器配置:
【任务描述】 为提供域服务的冗余性,在网络中提供第二台域控制器,通过迁移技术改为主域控制器。
1.安装AD域服务、安装DNS服务;
2.配置Windows-2为额外/备份域控制器,域名为example.com;
3.配置example.com域服务迁移到Windows-2;
4.在 Windows-2 上设置组策略,所有域用户到任何一台域计算机登录,“文档”文件夹重定向到 Windows-1的D:\Topology文件夹,在根目录路径下为每一个用户创建一个文件夹;
5.在 Windows-2 上设置组策略,所有域用户使用漫游用户配置文件,配置文件存储在 Windows-1 的D:\Distributed文件夹,为每个用户提供单独的配置文件文件夹;
6.新建名称为Orgd、Lead的2个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建10个用户:人力部(Orgd1-Orgd10)、技术部(Lead1-Lead10),所有用户只能8:00-18:00可以登录,用户不能修改其口令,密码永不过期。为Orgd用户组新建名称为Orgdpolicy的密码策略,优先级为2,密码必须符合复杂度要求、密码长度最小为8位、密码最长期限为20天、允许失败登录尝试的次数为3次、重置失败登录尝试计数(分钟)为3钟、帐户锁定时间为10分钟;
7.在Windows-1的D盘新建Tran文件夹,共享名称为TranDC,在AD DS中发布该共享;复制PC机的D:\soft<需要部署软件>到该文件夹中;
8.使用组策略将软件“FileZilla FTP Client v3.9.0.5.msi”,“Google.Chrome.74.0.3729.157.x64.msi”自动部署到计算机;
9.配置用户Orgd10可远程登录到域控制器。
【任务描述】 为提高域内主机通信的安全性,在网络中安装证书颁发服务器、为域内主机提供证书服务。
1.配置Windows-3为CA服务器,为所有Windows主机颁发证书,设置为企业根,密钥长度1024,CA证书有效期10年,CA颁发证书有效期5年;证书的通用名称均用主机的完全合格域名,开启失败请求跟踪,所有证书文件统一存放在Windows-1的D:IIS\Certsrv;
2.证书的其他信息:
(1)国家=“CN”
(2)省=“HN”
(3)市/县=“LY”
(4)组织=“example”
(5)组织单位=“system”
3.给证书颁发服务器申请证书用于证书服务器和打印机;
4.配置证书服务器可以同时允许“http://print.example.com/CertSrv”、“https://print.example.com/CertSrv”访问,不能使用IP地址访问;
5.客户机通过访问“https://print.example.com/CertSrv”手动申请证书;
6.配置Windows-3为打印服务器;
7.添加一台虚拟打印机,名称“Xerox-print”;
8.使用组策略部署将“Xerox-print”发布到域内所有用户和计算机;
9.客户端访问通过使用“Google浏览器”访问网络打印服务器,能够通过访问“https://print.example.com/Printers”查看打印机。
4、FTP服务配置:
【任务描述】 为公司搭建FTP服务器,实现内部员工文件存储备份,创建安全FTP站点,采用FTP服务器SSL安全访问。
1.在Windows-4创建一个FTP站点,名称File,主目录为Windows-1的D:\File\Configuration,不允许匿名登陆,日志文件记录到Windows-1的D:\File\LogFiles目录下,日志文件要求使用本地时间进行文件命名和滚动更新,FTP SSL设置为“需要SSL连接”;
2.配置 FTP 域用户隔离,实现域中的技术部员工Lead1、Lead2在登录File站点时,只能访问自己的子文件夹,分别在Lead1、Lead2文件夹里创建Lead1.txt、Lead2.txt;
3.目录浏览方式改为“UNIX(U)”,限制网站不能上传“.ppt、.doc”类型的文件夹;
4.使用“FTP Client”软件,连接“ftp://10.7.70.104”测试SSL证书,协议为FTP-文件传输协议,要求显式的FTP over TLS,登陆类型为正常。
5、Web服务配置:
【任务描述】 为客户获取公司产品信息和企业宣传的需要,创建安全动态网站,采用IIS搭建Web服务。
1.把Windows-5配置为Web服务器,Web站点为“www.example.com”,网站最大连接数为10000,网站超时为30s,网站带宽为30Mbps;
2.仅允许使用域名访问,http访问自动跳转到https,证书路径为Windows-1的D:\IIS\Certsrv\www.cer;
3.Web站点同时支持dotnet CLR v2.0和dotnet CLR v4.0;
4.Web站点目录为Windows-1的D:\IIS\Configs,主页文档index.aspx的内容为“当前时间为<%=now()%>”,index.aspx文件编码格式为UTF-8;
5.网站日志目录为Windows-1的D:\IIS\Log,字段选择为“日期、时间、客户端IP、用户名”,编码格式选择“UTF8”,日志事件为“日志文件和ETW事件”,日志文件滚动更新计划每天更新一次;
6.域内所有计算机均为客户端,客户端访问网站,客户端必需有证书。
6、故障转移群集配置:
【任务描述】 为提供一个高可用性应用程序或服务的网络环境,请采用iSCSI SAN文件服务器故障转移群集。
1.在Windows-5上添加4块硬盘,每块硬盘大小为5G,初始化为GPT磁盘,配置为Raid5,盘符为D盘;
2.在Windows-5上安装iSCSI目标服务器和存储多路径,并新建iSCSI虚拟磁盘,存储位置为D:\;虚拟磁盘名称分别为Quorum和Files,大小分别为512MB和5GB,访问服务器为Windows-6和Windows-7,实行CHAP双向认证,Target认证用户名和密码分别为IncomingUser和IncomingPass,Initiator认证用户名和密码分别为OutgoingUser和OutgoingPass,要求开启标题摘要和数据摘要,执行相互身份验证;
3.在Windows-6和Windows-7上连接Windows-5的虚拟磁盘Quorum和Files,创建卷,驱动器号分别为M和N;
4.设置M盘为仲裁磁盘,N盘为数据盘;
5.配置Windows-6和Windows-7为故障转移群集;10.7.70.0和10.7.80.0网络为MPIO网络,10.7.90.0网络为心跳网络;
6.在Windows-6上创建名称为WinCluster的群集,其IP地址为10.7.70.70;
7.在Windows-7上配置文件服务器角色,名称为WinClusterFiles,其IP地址为10.7.70.80;为WinClusterFiles添加共享文件夹,共享协议采用“SMB”,共享名称为WinClusterShare,存储位置为"N:\",NTFS权限采用域管理员具有完全控制权限,域其他用户具有修改权限;共享权限采用管理员具有完全控制权限,域其他用户具有更改权限。
三、Linux服务配置(165分)
1、基础环境配置:
【任务描述】 基础环境配置。
1.设置所有虚拟机的IP为手动,与自动获取的IP地址一致;
2.修改所有主机名称为”表3-服务器IP地址分配表”中的完全合格域名;
3.设置所有Linux服务器的时区设为“上海”;
4.所有Linux的root用户使用完全合格域名免密码ssh登录到其他Linux主机;
5.启动所有Linux服务器的防火墙,并在后续的配置中放行相关服务;
6.上传PC中的D:/soft文件夹下的centos8.3的镜像到Linux-1,挂载到/var/www/html/centos并配置为网络yum源服务器,本机和其他所有Linux提供软件包网络安装,并配置完成yum源后请删除无用的配置文件;
7.利用chrony配置Linux-1为时间服务器,为其他Linux主机提供时间同步服务。
2、DNS服务和CA服务配置:
【任务描述】 创建DNS服务器,实现企业域名访问。
1.利用bind软件,配置Linux-1为DNS服务器,为所有Linux主机提供DNS正反向解析服务;采用rndc技术提供不间断的DNS服务;
2.配置Linux-1为CA服务器,为所有Linux主机颁发证书。证书通用名称均为主机完全合格域名,CA证书通用名称为“Linux-CA”有效期为10年,CA颁发的证书默认有效期为3年,证书其他信息:
(1)国家=“CN”
(2)省=“henan”
(3)市/县=“luoyang”
(4)组织=“example”
(5)组织单位=“com”
3、认证服务和邮件服务配置:
【任务描述】 构建一个企业级身份认证和邮件服务器,请采用postfix和dovecot,实现更快、更容易管理、更安全的邮件服务。
1.配置Linux-2为NIS服务器,ypserv服务监听端口为950;新建nisuser1到nisuser5共5个用户,用户目录分别为/home/nisuser1到/home/nisuser5;
2.为Linux-2的普通用户家目录配置nfs文件共享,方便NIS客户端用户登录时自动挂载家目录;
3.配置Linux-3和Linux-4为NIS客户端,配置登陆时自动挂载Linux-2上的nisuser1和nisuser2用户目录到/home;
4.配置Linux-2为KDC服务器为Linux-3和Linux-4的nfs提供数据安全保障;
5.配置Linux-2为Mail服务器,安装postfix和dovecot;
6.仅支持smtps和pop3s连接,证书路径为/etc/pki/mail.crt,私钥路径为/etc/pki/mail.key;
7.创建用户mail1和mail2,向all@example.com发送邮件,保证每个用户都会收到。
4、NFS服务配置:
【任务描述】 为实现Linux主机之间资源共享,加强企业Linux账户的集中管理,请采用NFS实现该需求。
1.配置Linux-3为NFS服务器,在Linux-3和Linux-4创建用户nfs-user,uid为1200,目录/nfs/ser1的共享要求为:lin.example.com具有读写权限,所有用户映射为nfs-user;kdc加密方式为krb5p。目录/nfs/ser2的共享要求为:所有人都可以读写,都不改变身份;
2.配置Linux-4为NFS客户端,新建/mnt/ser1和/mnt/ser2目录,分别挂载Linux-3上的/srv/ser1和/srv/ser2,并实现自动挂载;
3.为了实现Linux-3和Linux-4的高速传输,利用这两台主机的第二和第三块网卡配置网卡team,链路名称为Team0,模式为轮询(roundrobin)。网络配置设为手动,两个Team0的ip为第一块网卡的IP地址。删除无用的网卡链接(connection)配置。
5、LNMT服务配置:
【任务描述】 根据企业需要搭建Linux动态网站,采用mariadb、tomcat、nginx实现该需求。
1.配置Linux-5为数据库服务器,请安装mariadb数据库,设置数据库root密码为admin。创建数据库用户dbmary,在任意机器上对所有数据库有完全权限;禁止root远程登陆;
2.配置Linux-4为数据库客户端,请自行安装相关客户端工具,之后所有数据库操作都在Linux-4执行,创建数据库userdb,使用utf8字符集编码;在库中创建表user_auth,在表中插入2条记录,分别为(1,db1,1995-7-1,男),(2,db2,1995-9-1,女),口令与用户名相同,password字段用password函数加密,表结构如下:
字段名 | 数据类型 | 主键 | 非空 |
id | int | 是 | 是 |
name | varchar(255) | 否 | 是 |
birthday | datetime | 否 | 否 |
sex | char(5) | 否 | 否 |
password | char(200) | 否 | 否 |
3.修改表userinfo的结构,在name字段后添加新字段height(数据类型为float);
4.更新user1和user2的height字段内容为1.71和1.69;
5.请将表userinfo中的记录导出,并存放到/root/mysql.sql文件中;
6.在Linux-5设置数据库自动备份,每周五凌晨1:00备份库userdb到/root/userdb.sql;
7.配置Linux-3为Tomcat服务器用来运行动态网站,java环境请安装最新版openjdk,tomcat使用PC的soft文件夹中的安装包,安装目录为/usr/local/tomcat,新建/usr/lib/systemd/system/tomcat.service文件注册服务,并加入开机自启动项,网站默认首页内容为“河南网络搭建”,使用默认8443端口加密访问;证书路径为/usr/local/tomcat/conf/tc.pfx,格式为pfx;
8.配置Linux-4为nginx服务器,安装nginx,网站根目录为默认值;仅允许使用域名访问,http访问自动跳转到https,站点配置文件为/etc/nginx/conf.d/proxy-ssl.conf证书路径为/etc/pki/nginx/nginx.crt,私钥路径为/etc/pki/nginx/private/nginx.key,有效期10年;
9.利用nginx配置反向代理,客户端通过https://lin.example.com加密访问Tomcat,实现对Linux-3的Tomcat访问,使用域名加密访问。
6、高可靠性配置:
【任务描述】 为准确地表达的集群资源之间的关系,请采用pacemarker,实现Web服务的高可用。
1.为Linux-5添加3块云硬盘,每块硬盘大小为5G,组成Raid3,设备名称为/dev/md/md3,保证服务器开机,Raid能正常工作。使用Raid全部空间配置为iSCSI目标服务器,为Linux-6和Linux-7提供iSCSI服务。iSCSI目标端的wwn为iqn.2021-10.com.example:server,iSCSI发起端的wwn为iqn.2021-10.com.example:client;
2.配置Linux-6和Linux7为iSCSI客户端,利用多路径实现负载均衡,路径别名为mp。利用mp创建卷组和逻辑卷,名称分别为vgpool和lvmweb,使用ext4进行格式化,同时请配置Linux-5的lvm扫描器禁止Linux-5识别到lvmweb从而避免iscsi服务宕机;
3.配置Linux-6和Linux-7为集群服务器,通过D:\soft\HighAvailability.tar.gz安装pcs,集群名称为my_cluster,集群资源组为apachegroup,Linux-7为备服务器。提供Apache服务,域名为www3.example.com,网站目录/var/www/html,网站主页index.html的内容为“Linux集群网站”。IP资源名称为vip,虚拟IP为10.7.70.90;站点文件系统资源名称为website,使用lvmweb,由集群自动挂载到/var/www;同时监视资源名称为webstatus,配置文件为/etc/httpd/conf/httpd.conf。
7、虚拟化配置:
【任务描述】随着虚拟化技术的发展,诞生了最出名的容器技术docker,企业准备把生产环境迁移到docker请完成以下项目。
1.在Linux-5上使用安装docker,使用PC机soft文件夹的docker-ce.tar.gz并设置开机自启;
2.导入centos镜像,镜像存放在物理机D:\soft\centos8.3.tar;
3.创建名称为Apache的容器,映射Linux-5的80端口到容器的80端口,在容器内安装httpd,网站目录采用默认值,默认网页内容为“欢迎来到容器世界”。