目录
竞赛说明:
1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。
3.请参赛选手仔细阅读赛卷,按照要求完成各项操作。
4.操作过程中,需要及时保存配置。
5.比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。禁止将比赛所用的所有物品(包括赛卷)带离赛场。
6.禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,如违反规定,可视为0分。
7.与比赛相关的软件和文档存放在物理机的D:\soft文件夹中。
8.请在物理机PC1桌面上新建“XXX”文件夹作为“选手目录”(XXX为赛位号。举例:1号赛位,文件夹名称为“001”),按照“网络搭建及安全部署竞赛结果提交指南.txt”保存要求生成的全部结果文档,将生成的文档复制到“选手目录”。
模块一:网络理论测试
一、单选题
1.贵公司正在评估数据中心虚拟化技术,要求您解释第1类和第2类虚拟化管理程序之间的区别。以下哪项是第1类虚拟化管理程序的典型特征? ( )
A. 第1类虚拟化管理程序比第2类虚拟化管理程序的速度慢。
B. 第1类虚拟化管理程序可以取代其他操作系统。
C. 第1类虚拟化管理程序作为应用程序在Windows或Linux中运行。
D. 第1类虚拟化管理程序仅消耗虚拟机使用的资源。
2.以下( )不是RSTP可以提高收敛速度的原因。
A.边缘端口的引入
B.取消了Forward Delay
C.根端口的快速切换
D.P/A机制
3.网络操作系统是一种( )。
A.系统软件 B.系统硬件
C.应用软件 D.支撑软件
4. 网络操作系统为网络用户提供了两种接口,网络编程接口和( )。
A.传输层接口
B.操作命令接口
C.NETBIOS接口
D.SOCKET接口
5.下列哪个不是实现虚拟服务器的3种方法之一( )。
A. 通过NAT实现虚拟服务器
B. 通过IP隧道实现虚拟服务器
C. 通过VPN实现虚拟服务器
D. 通过直接路由实现虚拟服务器
6. 构成网络操作系统通信机制的是( )。
A. 进程 B. 线程
C. 通信原语 D. 对象
7.HAProxy通过什么机制实现会话保持功能( )。
A. connection balance
B. source balance
C. balance connection
D. balance source
8.下面哪个不是HAProxy配置中包含的组件( )。
A. frontend
B. daemon
C. listen
D. global
9.网络操作系统主要解决的问题是( )。
A.网络用户使用界面 B.网络资源共享安全访问限制
C.网络资源共享 D.网络安全防范
10.下面哪个不是F5Big-IP支持的会话保持机制( )。
A. HTTP Header的会话保持机制
B. 简单会话保持
C. 基于I-Rules的会话保持
D. 基于数据库的会话保持
11. 以下属于网络系统的工作模式为( )。
A.TCP/IP B. ISO/OSI参考模型
C. CIENT/SERVER D. 对象实体模式
12.下面哪个是LVS-MASTER的用处( )。
A. 提供负载均衡
B. 提供Web服务
C. 集群的VIP地址
D. 共享存储
13.下面哪个不是通过VS/DR实现虚拟服务器的特点( )。
A. 响应数据可以直接从独立的网络路由返回给客户
B. VS/DR调度器只处理客户到服务器端的连接
C. 极大地提高LVS集群系统的可伸缩性
D. 所有的服务器必须支持IP Tunneling或IP Encapsulation协议
14.您如何说服上司开始实施数据中心虚拟化?( )
A. 您无法直接接触虚拟机
B. 您可以省电
C. 您的用户可以自行调配服务器
D. 服务器将产生更多热量
15.下列关于HDLC数据帧封装中的标记字段的说法正确的是( )。
A.这个字段的功能尚未定义
B.这个字段的取值与数据帧的长度有关
C.这个字段的作用是标识数据帧的开始与结束
D.这个字段分为多个标记位,每一位均与分片有关
16.下面哪个路由协议是外部网关路由协议?( )
A. 直连路由协议
B. 静态路由协议
C. OSPF路由协议
D. BGP协议
17.为了实现域名解析,客户机( )
A. 必须知道根域名服务器的IP地址
B. 必须知道本地域名服务器的IP地址
C. 必须知道本地域名服务器的IP地址和根域名服务器的IP地址
D. 知道互联网上任意一个域名服务器的IP地址既可
18.在计算机病毒的防范中,下列做法中不适合的是:( )
A. 安装防病毒软件
B. 定期进行查毒杀毒
C. 不需要对外来磁盘进行查杀毒
D. 及时升级病毒库
19.在STP协议中,当网桥的优先级一致时,以下( )将被选为根桥
A. 拥有最小MAC地址的网桥
B. 拥有最大MAC地址的网桥
C. 端口优先级数值最高的网桥
D. 端口优先级数值最低的网桥
20.某公司申请到一个C 类IP 地址,但要连接6个子公司,最大的一个子 公司有28台计算机,每个子公司在一个网段中,则子网掩码应设为( )
A. 255.255.255.0
B. 255.255.255.128
C. 255.255.255.192
D. 255.255.255.224
21.以下属于物理层的设备是( )。
A. 中继器
B. 以太网交换机
C. 网桥
D. 网关
22.OSI参考模型中,物理层的功能是( )
A. 建立和释放连接
B. 透明地传输原始比特流
C. 在物理实体间传送数据帧
D. 发送和接受用户数据
23.在OSI七层结构中,网桥处在( )
A. 物理层
B. 数据链路层
C. 网络层
D. 传输层
24.在Internet中的大多数服务(如WWW,FTP)等都采用( )。
A. 主机/终端
B. 客户机/服务器
C. 网状
D. 星型
25.IP地址为191.168.200.2,子网掩码为255.255.255.192,则网络标识为( )
A. 191.0.0.0
B. 191.168.200.192
C. 191.168.200.0
D. 191.168.200.128
26.在AC+Fit AP的组网中,Fit AP不可通过下列哪种方式注册到AC?( )
A. 二层方式AP与无线交换机直连或通过二层网络连接
B. 三层方式AP通过三层网络连接时,通过DHCPoption 43方式取得AC地址
C. 三层方式AP通过三层网络连接时,AP通过DHCP server获取IP地址、DNS server地址、域名
D. 四层方式AP通过三层网络连接时,与AC建立TCP连接,获取注册所需信息
27.在Linux中,下列哪个不是主流的电子邮件服务器软件( )。
A. Sendmail服务器
B. Postfix服务器
C. Qmail服务器
D. Pop3服务器
28.因特网中完成域名地址和IP地址转换的系统是( )。
A. POP B. DNS
C. SLIP D. Usenet
29.下列关于网桥的说法中,不正确的是( )。
A. 网桥工作在数据链路层
B. 网桥可以有效地防止广播风暴
C. 网桥可以连接数据链路层协议不同的局域网
D. 网桥因处理接收到的数据而增加了网络延时
30.使用DHCP服务,需要对外提供特定服务(如web服务)或要保证IP地址在使用时不冲突的主机,需要采用哪种地址分配方式?( )
A. 自动分配 B. 动态分配
C. 手动分配 D. 默认分配
31.一台主机要实现通过局域网与另一个局域网通信,需要做的工作是( )
A. 配置域名服务器
B. 定义一条本机指向所在网络的路由
C. 定义一条本机指向所在网络网关的路由
D. 定义一条本机指向目标网络网关的路由
32.下列描述中,不属于IP层实现的功能是( )
A. 尽力而为 的不可靠传输服务
B. 数据报的路由选择与转发
C. 数据报的分段与重组
D. 确定主机进程间的接口
33.下面的操作系统中,属于网络操作系统的是( )
A. DOS B. Office
C. windows xp D. UNIX
34.目前网络传输介质中传输安全性最高的是?( )
A. 光纤 B. 同轴电缆
C. 电话线 D. 双绞线
35.以下哪点不是SSH的优点( )
A. 安全性高 B. 数据压缩
C. 明文传输 D. 数据加密
36.IP协议利用( )控制数据传输时延?
A. 服务类型 B. 标识
C. 生存时间 D. 目的IP地址
37.下面哪个不是生成树协议?( )
A. STP B. RSTP
C. MSTP D. RIP
38.某文件的组外成员的权限为只读;所有者有全部权限;组内的权限为读与写,则该文件的权限为( )
A. 467 B. 674
C. 476 D. 764
39.三层交换机中OSPF路由协议发现路由的缺省优先级是多少?( )
A. 0 B. 110
C. 1 D. 150
40.下面关于域名的说法正确的是( )
A. 域名专指一个服务器的名字
B. 域名就是网址
C. 域名可以自己任意取
D. 域名系统按地理域或机构域分层采用层次结构
41.通信系统必须具备的三个基本要素是( )
A. 终端、电缆、计算机
B. 信号发生器、通信线路、信号接收设备
C. 信源、通信媒体、信宿
D. 终端、通信设施、接收设备
42.在拓扑结构中,下列关于环型的叙述正确的是( )
A. 环中的数据沿着环的两个方向绕环传输
B. 环型拓扑中各结点首尾相连形成一个永不闭合的环
C. 环型拓扑的抗故障性能好
D. 网络中的任意一个结点或一条传输介质出现故障都不会导致整个网络的故障
43.常用的数据传输速率单位有Kbps、Mbps 、Gbps,lGbps约等于( )
A. 1×10^3bps B. 1×10^6bps
C. l×10^9bps D. 1×2^30bps
44.为实现计算机网络的一个网段的通信电缆长度的延伸,应选择的网络设备是( )
A. 网桥 B. 中继器
C. 网关 D. 路由器
45.使用字符填充的首尾定界符法,为了达到数据的透明性,采用( )
A. 0比特插入法
B. 转义字符填充法
C. 增加冗余位
D. 以上都不是
46.以下动态路由协议中属于链路状态算法的协议的是?( )
A. BGP协议 B. ISIS协议
C. RIP协议 D. EIGRP协议
47.OSI七层参考模型中哪一层负责建立端到端的连接( )
A. 应用层 B. 会话层
C. 传输层 D. 网络层
48.将发送方数据转换成接受方的数据格式是由OSI参考模型的哪层实现( )
A. 应用层 B. 表示层
C. 会话层 D. 传输层
49.以太网交换机一个端口在接收到数据帧时,如果没有在MAC地址表中查找到目的MAC地址,通常如何处理?( )
A. 把以太网帧复制到所有端口
B. 把以太网帧单点传送到特定端口
C. 把以太网帧发送到除本端口以外的所有端口
D. 丢弃该帧
50.因特网标准都具有的一个编号是( )
A. ITU编号 B. EIA编号
C. RFC编号 D. ISO编号
51.linux的系统调用是指( )。
A. 由内核发起的调用
B. glibc函数库里的函数
C. 由系统管理员运行的程序
D. 是用户进程调用内核功能的接口
52.若将总长度为6400字节、首部长度为20字节的IP数据报通过MTU=1500字节的链路传输,则该IP数据报被划分的IP分片数是( )。
A. 3个 B. 4个
C. 5个 D. 6个
53.数据链路层进行的流量控制指的是( )。
A. 源端到目标端
B. 源端到中间节点
C. 目标节点到目的端
D. 相邻节点之间
54.五类UTP双绞线100兆的最大传送距离是( )。
A. 100米 B. 200米
C. 50米 D. 185米
55.下面哪一项正确描述了路由协议( )。
A. 允许数据包在主机间传送的一种协议
B. 定义数据包中域的格式和用法的一种方式
C. 通过执行一个算法来完成路由选择的一种协议
D. 指定MAC地址和IP地址捆绑的方式和时间的一种协议
56.以下关于MANET中的AODV路由协议的描述中,不正确的是( )。
A. 基于距离矢量的路由协议
B. 需要时才由源节点启动路由发现过程
C. 与DSDV相比,路由消息开销较大
D. 对节点移动性的适应较差
57.路由器的主要性能指标不包括( )。
A. 延迟 B. 流通量
C. 帧丢失率 D. 语音数据压缩比
58.当一台路由器由收到一个TTL值为1的数据包,如何处理( )。
A. 丢弃 B. 转发
C. 将数据包返回 D. 不处理
59.下列交换方式中,实时性最好的是( )。
A. 电路交换 B. 虚电路
C. 数据报 D. 报文交换
60.典型IP电信网络的结构不包括的是( )。
A. 骨干网 B. 汇接网
C. 城域网 D. 接入网
61.第一个八位组以二进制1110开头的IP地址是( )地址。
A. A类 B. B类
C. C类 D. D类
62.一台主机向另外一台主机发送的ARP Request的目的MAC地址是( )。
A. 交换机的MAC地址
B. 路由器的MAC地址
C. 主机的MAC地址
D. 广播MAC地址
63.以下说法错误的是( )?
A. SLIP协议是一种没有协商过程的协议
B. SLIP支持同步和异步模式
C. SLIP只支持IP协议
D. 以上说法均不对
64.在OSI七层结构模型中,处于数据链路层与传输层之间的是( )。
A.物理层出 B.网络层
C.会话层 D.表示层
65.以下XDSL技术中,数据传输速率最快的是( )。
A. HDSL B. SDSL
C. VDSL D. ADSL
66. 在TCP/IP协议簇的层次中,解决计算机之间通信问题是在( )。
A.网络接口层 B.网际层
C.传输层出 D.应用层
67. 完成路径选择功能是在OSI模型的( )。
A.物理层 B.数据链路层
C.网络层 D.传输层
68.IP报文中,固定长度部分为多少字节?( )
A. 10 B. 20
C. 30 D. 40
69.用十六进制数表示IPv6协议提供的地址空间需要的位数是( )。
A. 12 B. 32
C. 48 D. 128
70.IPV6是下一代互联网的地址,它的长度为( )bit。
A. 128 B. 32
C. 64 D. 48
71.某公司申请到一个C类IP地址,但要连接6个的子公司,最大的一个子公司有 26台计算机,每个子公司在一个网段中,则子网掩码应设为( )。
A. 255.255.255.0
B. 255.255.255.128
C. 255.255.255.192
D. 255.255.255.224
72.对于28位掩码的网络来说,如果排除该子网的网关路由器使用的IP地址,最多可以容纳( )个主机。
A. 16 B. 8
C. 14 D. 13
73.DHCP客户端是使用地址( )来申请一个新的IP地址的。
A. 0.0.0.0
B. 10.0.0.1
C. 127.0.0.1
D. 255.255.255.255
74.以下属于正确的主机的IP地址的是( )。
A. 224.0.0.5
B. 127.32.5.62
C. 202.112.5.0
D. 162.111.111.111
75.ATM为异步传输模式,但本质仍然是一种( )交换技术。
A. 报文 B. 分组
C. 线路 D. 都不是
76.无线局域网相对于有线网络的主要优点是( )。
A. 可移动性
B. 传输速度快
C. 安全性高
D. 抗干扰性强
77.网络管理希望能够有效利用192.168.176.0/25网段的IP地址现公司市场部门有20个主机,则最好分配下面哪个地址段给市场部( )?
A. 192.168.176.0/25
B. 192.168.176.160/27
C. 192.168.176.48/29
D. 192.168.176.96/27
78.已知某个网络的掩码是255.255.248.0,那么下面属于同一网段的是( )。
A. 10.110.16.1和10.110.25.1
B. 10.76.129.21和10.76.137.1
C. 10.52.57.34和10.52.62.2
D. 10.33.23.2和10.33.31.1
79.网络地址为154.27.0.0的网络,若不作子网划分,能支持( )台主机。
A. 254
B. 1024
C. 65534
D. 16777206
80.192.168.1.127/25代表的是( )地址。
A. 主机 B. 网络
C. 组播 D. 广播
81.路由器所接的网段不稳定,应该配置( )路由来保证网络的健壮性。
A. 负载均衡 B. 默认路由
C. 浮动路由 D. 单臂路由
82.下列哪些属于工作在OSI传输层以上的网络设备( )。
A. 集线器 B. 服务器
C. 交换机 D. 路由器
83.STP交换机缺省的优先级为( )。
A. 0 B. 1
C. 32767 D. 32768
84.在OSI7层模型中,网络层的功能有( )。
A. 确保数据的传送正确无误
B. 确定数据包如何转发与路由
C. 在信道上传送比特流
D. 纠错与流控
85.SNMP依赖于( )工作。
A. IP B. ARP
C. TCP D. UDP
86. ( )下面哪些协议用于用来在因特网上传递电子邮件。
A. SMTP B. MSTP
C. FTP D. TFTP
87.世界上很多国家都相继组建了自己国家的公用数据网,现有的公用数据网大多采用( )。
A. 空分交换 B. 电路交换
C. 分组交换 D. 报文交换
88.两台路由器间通过串口相连接且链路层协议为PPP,如果想在两台路由器上通过配置PPP认证功能来提高安全性,则下列哪种PPP认证更安全( )。
A. CHAP B. PAP
C. MD5 D. SSH
89.一个B类网络,有5位掩码加入缺省掩码用来划分子网,请问每个子网最多可以有多少台主机( )。
A. 510 B. 512
C. 1022 D. 2046
90.BPDU数据帧以下列哪个地址为目标地址在网络中传播( )。
A. 255.255.255.255
B. 01-80-C2-00-00-00
C. 00-D0-F8-00-00-00
D. 该交换机所在VLAN的广播地址
91.OSI参考模型为计算机网络构建了一个易于理解的、清晰的层次模型OSI,参考模型是( )标准组织提出。
A. IS0 B. IEEE
C. ITU D. IETF
92.OSI参考模型中的OSI表示的是( )。
A. Organization Standard Institute
B. Organization Standard Interconnection
C. Open System Intemet
D. Open System Interconnection
93.让一台IP地址是10.0.0.1的主机访问Internet的必要技术是( )。
A. 静态路由 B. 动态路由
C. 路由引入 D. NAT
94.硬件地址是固化在( )中的,比如MAC地址,用于同一链路上设备相互通信。
A. PIC B. NIC
C. POWER D. FAN
95.以太网的核心技术是( )。
A. FIFO B. CSMA/CD
C. TCP/IP D. 802.11
96.HTTP协议是一种( )协议。
A. 文件传输协议
B. 远程登录协议
C. 邮件协议
D. 超文本传输协议
97.DHCP是动态主机配置协议的简称,其作用是可以使网络管理员通过一台服务器来管理一个网络系统,自动地为网络中的主机分配地址( )。
A. 网络 B. MAC
C. TCP D. IP
98.DHCP服务器的作用是( )。
A. 解析计算机的MAC地址
B. 为客户机分配IP地址
C. 将IP翻译为计算机名
D. 将计算机名翻译为IP
99.对于C类IP地址,子网掩码为255.255.255.248,则能提供子网数为( )。
A. 16 B. 32
C. 30 D. 128
100.某银行为用户提供网上服务,允许用户通过浏览器管理自己的银行账户信息。为保障通信的安全,该Web服务器可选的协议是( )。
A. FTP B. SMTP
C. HTTPS D. HTT
模块二:网络建设与调试
项目简介:
某集团公司原在北京建立了总公司,后在成都建立了分公司,又在广东设立了办事处。集团设有产品、营销、法务、财务、人力5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。
2022年在党的坚强领导下,全年公司规模保持快速增长,业务数据量和公司访问量增长巨大,不断开创新局面,向着全面建成社会主义现代化强国的第二个百年奋斗目标迈进。为了更好管理数据,提供服务,集团决定在北京建立两个数据中心,在贵州建立异地灾备数据中心,以达到快速、可靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战略架构演进,更好的服务于公司客户。
集团、分公司及办事处的网络结构详见拓扑图。编号为SW1的设备作为集团北京1#DC核心交换机,编号为SW2的设备作为集团北京2#DC核心交换机;编号为SW3的设备作为贵州DC核心交换机;编号FW1的设备作为集团互联网出口防火墙;编号为FW2的设备作为办事处防火墙;编号为RT1的设备作为集团核心路由器;编号为RT2的设备作为分公司路由器;编号为AC1的设备作为分公司的有线无线智能一体化控制器,通过与AP1配合实现分公司无线覆盖。
注意:在此典型互联网应用网络架构中,作为IT网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。
请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应应用。网络拓扑:
表1-网络设备连接表
| A设备连接至B设备 | |||
| 设备名称 | 接口 | 设备名称 | 接口 |
| SW1 | E1/0/21 | FW1 | E0/1 |
| SW1 | E1/0/22 | SW3 | E1/0/21 |
| SW1 | E1/0/23二层 | SW3 | E1/0/23二层 |
| SW1 | E1/0/26三层 | SW2 | E1/0/26三层 |
| SW1 | E1/0/27 VPN | SW2 | E1/0/27VPN |
| SW1 | E1/0/28二层 | SW2 | E1/0/28二层 |
| SW1 | E1/0/1 | PC1 | NIC |
| SW2 | E1/0/21 | RT1 | G0/1 |
| SW2 | E1/0/22 | SW3 | E1/0/22 |
| SW2 | E1/0/23二层 | SW3 | E1/0/24二层 |
| SW3模拟办事处 | E1/0/11 | 模拟产品PC | |
| SW3模拟办事处 | E1/0/12 | 模拟营销PC | |
| SW3模拟办事处 | E1/0/15 | FW2 | E0/1 |
| SW3模拟Internet | E1/0/17 | FW1 | E0/3 |
| SW3模拟Internet | E1/0/18 | RT2 | G0/3 |
| RT1 | G0/0 | RT2 | G0/0 |
| RT1 | S1/0 | RT2 | S1/1 |
| RT1 | S1/1 | RT2 | S1/0 |
| RT1 | G0/2 | FW1 | E0/2 |
| RT1 | G0/3 | FW2 | E0/2 |
| RT2 | G0/1 | AC1 | E1/0/1 |
| AC1 | E1/0/3 | AP1 | ETH |
| AC1 | E1/0/4 vlan110 | PC2 | NIC |
| SW2 | E1/0/11 | 云平台 | Eth1 |
| SW2 | E1/0/12 | 云平台 | Eth2 |
表2-网络设备IP地址分配表
| 设备名称 | 设备接口 | IP地址 |
| SW1 | loopback1 ospfv2 ospfv3 bgp | 10.10.1.1/32 |
| 2001:10:10:1::1/128 | ||
| loopback2 | 10.10.1.2/32 | |
| 2001:10:10:1::2/128 | ||
| vlan10 | 10.10.11.1/24 | |
| 2001:10:10:11::1/64 | ||
| vlan20 | 10.10.12.1/24 | |
| 2001:10:10:12::1/64 | ||
| vlan30 | 10.10.13.1/24 | |
| 2001:10:10:13::1/64 | ||
| vlan40 | 10.10.14.1/24 | |
| 2001:10:10:14::1/64 | ||
| vlan50 | 10.10.15.1/24 | |
| 2001:10:10:15::1/64 | ||
| vlan60 | 10.10.60.1/24 | |
| 2001:10:10:60::1/64 | ||
| vlan70 | 10.10.70.1/24 | |
| 2001:10:10:70::1/64 | ||
| vlan80 | 10.10.80.1/24 | |
| 2001:10:10:80::1/64 | ||
| vlan90 | 10.10.90.1/24 | |
| 2001:10:10:90::1/64 | ||
| vlan1021 | 10.10.255.14/30 | |
| vlan1022 | 10.10.255.5/30 | |
| vlan1026 | 10.10.255.1/30 | |
| vlan1027 vpn | 10.10.255.1/30 | |
| SW2 | loopback1 ospfv2 ospfv3 bgp | 10.10.2.1/32 |
| 2001:10:10:2::1/128 | ||
| loopback2 | 10.10.2.2/32 | |
| 2001:10:10:2::2/128 | ||
| vlan10 | 10.10.21.1/24 | |
| 2001:10:10:21::1/64 | ||
| vlan20 | 10.10.22.1/24 | |
| 2001:10:10:22::1/64 | ||
| vlan30 | 10.10.23.1/24 | |
| 2001:10:10:23::1/64 | ||
| vlan40 | 10.10.24.1/24 | |
| 2001:10:10:24::1/64 | ||
| vlan50 | 10.10.25.1/24 | |
| 2001:10:10:25::1/64 | ||
| vlan60 | 10.10.60.2/24 | |
| 2001:10:10:60::2/64 | ||
| vlan70 | 10.10.70.2/24 | |
| 2001:10:10:70::2/64 | ||
| vlan80 | 10.10.80.2/24 | |
| 2001:10:10:80::2/64 | ||
| vlan90 | 10.10.90.2/24 | |
| 2001:10:10:90::2/64 | ||
| vlan1021 | 10.10.255.22/30 | |
| vlan1022 | 10.10.255.9/30 | |
| vlan1026 | 10.10.255.2/30 | |
| vlan1027 vpn | 10.10.255.2/30 | |
| SW3 | loopback1 ospfv2 ospfv3 bgp | 10.10.3.1/32 |
| 2001:10:10:3::1/128 | ||
| vlan10 | 10.10.31.1/24 | |
| 2001:10:10:31::1/64 | ||
| vlan20 | 10.10.32.1/24 | |
| 2001:10:10:32::1/64 | ||
| vlan30 | 10.10.33.1/24 | |
| 2001:10:10:33::1/64 | ||
| vlan50 | 10.10.35.1/24 | |
| 2001:10:10:35::1/64 | ||
| vlan60 | 10.10.60.3/24 | |
| 2001:10:10:60::3/64 | ||
| vlan70 | 10.10.70.3/24 | |
| 2001:10:10:70::3/64 | ||
| vlan80 | 10.10.80.3/24 | |
| 2001:10:10:80::3/64 | ||
| vlan90 | 10.10.90.3/24 | |
| 2001:10:10:90::3/64 | ||
| SW3模拟办事处 | loopback2 | 10.10.3.2/32 |
| 2001:10:10:3::2/128 | ||
| vlan110 | 10.16.110.1/24 | |
| 2001:10:16:110::1/64 | ||
| vlan120 | 10.16.120.1/24 | |
| 2001:10:16:120::1/64 | ||
| vlan1015 | 10.10.255.46/30 | |
| SW3模拟Internet | loopback3 | 200.200.3.3/32 |
| 2001:200:200:3::3/128 | ||
| vlan1017 | 200.200.200.1/30 | |
| vlan1018 | 200.200.200.5/30 | |
| RT1 | loopback1 ospfv2 ospfv3 bgp mpls | 10.10.4.1/32 |
| 2001:10:10:4::1/128 | ||
| loopback2 rip ripng | 10.10.4.2/32 | |
| 2001:10:10:4::2/128 | ||
| loopback3 isis | 10.10.4.3/32 | |
| 2001:10:10:4::3/128 | ||
| loopback4 集团与办事处互联 | 10.10.4.4/32 | |
| 2001:10:10:4::4/128 | ||
| loopback5 vpn财务 | 10.10.4.5/32 | |
| 2001:10:10:4::5/128 | ||
| g0/0 | 10.10.255.29/30 | |
| g0/1 | 10.10.255.21/30 | |
| g0/2 | 10.10.255.18/30 | |
| g0/3 | 10.10.255.25/30 | |
| s1/0 | 10.10.255.33/30 | |
| s1/1 | 10.10.255.37/30 | |
| RT2 | loopback1 ospfv2 ospfv3 bgp mpls | 10.10.5.1/32 |
| 2001:10:10:5::1/128 | ||
| loopback2 rip ripng | 10.10.5.2/32 | |
| 2001:10:10:5::2/128 | ||
| loopback3 isis | 10.10.5.3/32 | |
| 2001:10:10:5::3/128 | ||
| loopback4 ipsec vpn | 10.10.5.4/32 | |
| 2001:10:10:5::4/128 | ||
| tunnel4 ipsec vpn | 10.10.255.50/30 | |
| loopback5 vpn财务 | 10.10.5.5/32 | |
| 2001:10:10:5::5/128 | ||
| g0/0 | 10.10.255.30/30 | |
| g0/1 | 10.10.255.41/30 | |
| g0/3 | 200.200.200.6/30 | |
| s1/0 | 10.10.255.38/30 | |
| s1/1 | 10.10.255.34/30 | |
| FW1 | loopback1 ospfv2 ospfv3 trust | 10.10.6.1/32 |
| 2001:10:10:6::1/128 | ||
| loopback2 ripripng trust | 10.10.6.2/32 | |
| 2001:10:10:6::2/128 | ||
| loopback4 ipsecvpn trust | 10.10.6.4/32 | |
| 2001:10:10:6::4/128 | ||
| tunnel4 ipsec vpn VPNHUB | 10.10.255.49/30 | |
| tunnel8 sslvpn VPNHUB | 10.18.0.1/24 | |
| e0/1 trust | 10.10.255.13/30 | |
| e0/2 trust | 10.10.255.17/30 | |
| e0/3 untrust | 200.200.200.2/30 | |
| FW2 | loopback1 ospfv2 ospfv3 trust | 10.10.7.1/32 |
| 2001:10:10:7::1/128 | ||
| e0/1 trust | 10.10.255.45/30 | |
| e0/2 dmz | 10.10.255.26/30 | |
| tunnel9 l2tp vpn VPNHUB | 10.19.0.1/24 | |
| AC1 | loopback1 ospfv2 ospfv3 | 10.10.8.1/32 |
| 2001:10:10:8::1/128 | ||
| loopback2 rip ripng | 10.10.8.2/32 | |
| 2001:10:10:8::2/128 | ||
| loopback3 | 10.10.8.3/32 | |
| 2001:10:10:8::3/128 | ||
| vlan100无线管理 | 10.17.100.1/24 | |
| 2001:10:17:100::1/64 | ||
| vlan110无线2.4G产品 | 10.17.110.1/24 | |
| 2001:10:17:110::1/64 | ||
| vlan120无线5G营销 | 10.17.120.1/24 | |
| 2001:10:17:120::1/64 | ||
| vlan1001 | 10.10.255.42/30 |
1.职业素养
1.整理赛位,工具、设备归位,保持赛后整洁有序。
2.无因选手原因导致设备损坏。
3.恢复调试现场,保证网络和系统安全运行。
2.网络连接
1.根据“图1”的要求,截取适当长度和数量的双绞线,端接水晶头,制作网络线缆,根据 “表1”和 “表2”进行设备之间端口的互连,设备接口地址的配置。
3.交换配置
1.配置vlan,SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。
| 设备 | vlan编号 | 端口 | 说明 |
| SW1 | vlan10 | E1/0/1 | 产品1段 |
| vlan20 | E1/0/2 | 营销1段 | |
| vlan30 | E1/0/3 | 法务1段 | |
| vlan40 | E1/0/4 | 财务1段 | |
| vlan50 | E1/0/5 | 人力1段 | |
| vlan60 | E1/0/6 | 产品管理 | |
| vlan70 | E1/0/7 | 产品研发 | |
| vlan80 | E1/0/8 | 产品生产 | |
| vlan90 | E1/0/9 | 产品支持 | |
| SW2 | vlan10 | E1/0/1 | 产品2段 |
| vlan20 | E1/0/2 | 营销2段 | |
| vlan30 | E1/0/3 | 法务2段 | |
| vlan40 | E1/0/4 | 财务2段 | |
| vlan50 | E1/0/5 | 人力2段 | |
| vlan60 | E1/0/6 | 产品管理 | |
| vlan70 | E1/0/7 | 产品研发 | |
| vlan80 | E1/0/8 | 产品生产 | |
| vlan90 | E1/0/9 | 产品支持 | |
| SW3 | vlan10 | E1/0/1 | 产品3段 |
| vlan20 | E1/0/2 | 营销3段 | |
| vlan30 | E1/0/3 | 法务3段 | |
| vlan50 | E1/0/5 | 人力3段 | |
| vlan60 | E1/0/6 | 产品管理 | |
| vlan70 | E1/0/7 | 产品研发 | |
| vlan80 | E1/0/8 | 产品生产 | |
| vlan90 | E1/0/9 | 产品支持 |
2.SW1、SW2、SW3启用MSTP,实现网络二层负载均衡和冗余备份,创建实例Instance10和Instance20,名称为SKILLS,修订版本为1,其中Instance10关联vlan60和vlan70,Instance20关联vlan80和vlan90。SW1为Instance0和Instance10的根交换机,为Instance20备份根交换机;SW2为Instance20根交换机,为Instance0和Instance10的备份根交换机;根交换机STP优先级为0,备份根交换机STP优先级为4096。关闭交换机之间三层互联接口的STP。
3.SW1和SW2之间利用三条裸光缆实现互通,其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为active;采用源、目的IP进行实现流量负载分担。
4.将SW3模拟为Internet交换机,实现与集团其它业务路由表隔离,
Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表VPN实例名称为Guangdong。
5.SW1法务物理接口限制收发数据占用的带宽均为1500Mbps,限制所有报文最大收包速率为2000packets/s,如果超过了配置交换机端口的报文最大收包速率则关闭此端口,1分钟后恢复此端口;启用端口安全功能,最大安全MAC地址数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。
6.SW1配置SNMP,引擎id分别为1;创建组GROUP2022,采用最高安全级别,配置组的读、写视图分别为:SKILLS_Ro、SKILLS_Rw;创建认证用户为USER2022,采用aes算法进行加密,密钥为Pass-1234,哈希算法为sha,密钥为Pass-1111;当设备有异常时,需要用本地的环回地址loopback1发送v3Trap消息至集团网管服务器10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对应的用户接口发生UPDOWN事件时,禁止发送trap消息至上述集团网管服务器。
4.路由配置
1.配置所有设备接口ipv4地址和ipv6地址,互联接口ipv6地址用本地链路地址。
2.利用vrrpv2和vrrpv3技术实现vlan60、vlan70、vlan80、vlan90网关冗余备份,vrrpid与vlanid相同。vrrpv2vip为10.10.vlanid.9(如vlan60的vrrpv2vip为10.10.60.9),vrrpv3vip为FE80:vlanid::9(如vlan60的vrrpv3vip为FE80:60::9)。配置SW1为vlan60、vlan70的Master,SW2为vlan80、vlan90的Master。要求vrrp组中高优先级为120,低优先级为默认值,抢占模式为默认值,vrrpv2和vrrpv3发送通告报文时间间隔为默认值。当SW1或SW2上联链路发生故障,Master优先级降低50。
3.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行OSPFv2和OSPFv3协议(路由模式发布网络用接口地址,BGP协议除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议,进程1,区域0,分别发布loopback1地址路由和产品路由,FW1通告type2默认路由。
(2)RT2与AC1之间运行OSPFv2协议,进程1,nssano-summary区域1;AC1发布loopback1地址路由、产品和营销路由,用prefix-list重发布loopback3。
(3)RT2与AC1之间运行OSPFv3协议,进程1,stubno-summary区域1;AC1发布loopback1地址路由、产品和营销。
(4)SW3模拟办事处产品和营销接口配置为loopback,模拟接口up。SW3模拟办事处与FW2之间运行OSPFv2协议,进程2,区域2,SW3模拟办事处发布loopback2、产品和营销。SW3模拟办事处配置ipv6默认路由;FW2分别配置到SW3模拟办事处loopback2、产品和营销的ipv6明细静态路由,FW2重发布静态路由到OSPFv3协议。
(5)RT1、FW2之间OSPFv2和OSPFv3协议,进程2,区域2;RT1发布loopback4路由,向该区域通告type1默认路由;FW2发布loopback1路由,FW2禁止学习到集团和分公司的所有路由。RT1用prefix-list匹配FW2loopback1路由、SW3模拟办事处loopback2和产品路由、RT1与FW2直连ipv4路由,将这些路由重发布到区域0。
(6)修改ospfcost为100,实现SW1分别与RT2、FW2之间ipv4和ipv6互访流量优先通过SW1_SW2_RT1链路转发,SW2访问Internetipv4和ipv6流量优先通过SW2_SW1_FW1链路转发。
4.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议,FW1、RT1、RT2的RIP和RIPng发布loopback2地址路由,AC1RIP发布loopback2地址路由,AC1RIPng采用route-map匹配prefix-list重发布loopback2地址路由。RT1配置offset值为4的路由策略,实现RT1-S1/0_RT2-S1/1为主链路,RT1-S1/1_RT2-S1/0为备份链路,ipv4的ACL名称为AclRIP,ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1之间采用chap双向认证,用户名为对端设备名称,密码为Pass-1234。
5.RT1以太链路、RT2以太链路之间运行ISIS协议,进程1,分别实现loopback3之间ipv4互通和ipv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、10.0000.0000.0002.00,路由器类型是Level-2,接口网络类型为点到点。配置域md5认证和接口md5认证,密码均为Pass-1234。
6.RT2配置ipv4nat,实现AC1ipv4产品部门用RT2外网接口ipv4地址访问Internet。RT2配置nat64,实现AC1ipv6产品部门用RT2外网接口ipv4地址访问Internet,ipv4地址转ipv6地址前缀为64:ff9b::/96。
7.SW1、SW2、SW3、RT1、RT2之间运行BGP协议,SW1、SW2、RT1AS号65001、RT2AS号65002、SW3AS号65003。
(1)SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6BGP邻居。SW1和SW2之间财务通过loopback2建立ipv4BGP邻居,SW1和SW2的loopback2互通采用静态路由。
(2)SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6路由;RT1发布办事处营销ipv4和ipv6路由到BGP。
(3)SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转发;SW3法务及人力分别与SW1和SW2法务及人力ipv4和ipv6互访优先在SW3_SW2链路转发,主备链路相互备份;用prefix-list、route-map和BGP路径属性进行选路,新增AS65000。
8.利用BGPMPLSVPN技术,RT1与RT2以太链路间运行多协议标签交换、标签分发协议。RT1与RT2间创建财务VPN实例,名称为CW,RT1的RD值为1:1,exportrt值为1:2,importrt值为2:1;RT2的RD值为2:2。通过两端loopback1建立VPN邻居,分别实现两端loopback5ipv4互通和ipv6互通。
5.无线配置
1.AC1 loopback1 ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。AP二层自动注册,AP采用MAC地址认证。配置2个ssid,分别为SKILLS-2.4G和SKILLS-5G。SKILLS-2.4G对应vlan110,用network110和radio1(模式为n-only-g),用户接入无线网络时需要采用基于WPA-personal加密方式,密码为Pass-1234。SKILLS-5G对应vlan120,用network120和radio2(模式为n-only-a),不需要认证,隐藏ssid,SKILLS-5G用倒数第一个可用VAP发送5G信号。
2.AC1配置dhcpv4和dhcpv6,分别为SW1产品1段vlan10和分公司vlan100、vlan110和vlan120分配地址;ipv4地址池名称分别为POOLv4-10、POOLv4-100、POOLv4-110、POOLv4-120,ipv6地址池名称分别为POOLv6-10、POOLv6-100、POOLv6-110、POOLv6-120;ipv6地址池用网络前缀表示;排除网关;DNS分别为114.114.114.114和2400:3200::1;为PC1保留地址10.10.11.9和2001:10:10:11::9,为AP1保留地址10.17.100.9和2001:10:17:100::9,为PC2保留地址10.17.110.9和2001:10:17:110::9。SW1上中继地址为AC1 loopback1地址。SW1启用dhcpv4和dhcpv6 snooping,如果E1/0/1连接dhcpv4服务器,则关闭该端口,恢复时间为1分钟。
3.当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。
4.MAC认证模式为黑名单,MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证。
5.配置vlan110无线接入用户上班时间(工作日09:00-17:00)访问Internet https上下行CIR为100Mbps,CBS为200Mbps,PBS为300Mbps,exceed-action 和violate-action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为SKILLS。
6.开启AP组播广播突发限制功能;AP收到错误帧时,将不再发送ACK帧; AP发送向无线终端表明AP存在的帧时间间隔为1秒。
7.AP发射功率为80%。
6.安全配置
【说明:ip地址按照题目给定的顺序用“ip/mask”表示,ipv4 any地址用0.0.0.0/0,ipv6 any地址用::/0,禁止用地址条目,否则按零分处理。】
1.FW1配置ipv4nat,实现集团产品1段ipv4访问Internet ipv4,转换ip/mask为200.200.200.160/28,保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址;当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.10.11.99的UDP514端口,记录主机名,用明文轮询方式分发日志;开启相关特性,实现扩展nat转换后的网络地址端口资源。
2.FW1配置nat64,实现集团产品1段ipv6访问Internet ipv4,转换为出接口IP,ipv4转ipv6地址前缀为64:ff9b::/96。
3.FW1和FW2策略默认动作为拒绝,FW1允许集团产品1段ipv4和ipv6访问Internet任意服务。
4.FW2允许办事处产品ipv4访问集团产品1段https服务,允许集团产品 1段和分公司产品访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处 loopback2 ipv4。
5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现 loopback4之间的加密访问。
6.FW1配置SSLVPN,名称为VPNSSL,ssl协议为1.2版本,Internet用户通过端口8888连接,本地认证账号UserSSL,密码Pass-1234,地址池名称为POOLSSL,地址池范围为10.18.0.100/24-10.18.0.199/24。保持PC1位置不变,用PC1测试。
云平台配置
云平台网络连接
任务描述:请使用超五类非屏蔽双绞线连接网络并设置云平台,保证网络10.10.110.0/24,10.10.120.0/24,192.168.100.100能够相互通信。(提示:关闭交换机与云平台业务相连端口的 STP)
1.网络信息表
| 网络名称 | VLAN | 子网名称 | 网关 | ipv4地址池 |
| network110 | 110 | subnet110 | 10.10.110.1/24 | 10.10.110.100-10.10.110.199 |
| network120 | 120 | subnet120 | 10.10.110.1/24 | 10.10.110.100-10.10.110.199 |
2.实例类型信息表
| 名称 | id | vcpu | 内存 | 磁盘 | 实例 | 模板 |
| windows | 1 | 4 | 4G | 40G | windows1-windows7 | windows2022 |
| linux | 2 | 4 | 4G | 40G | linux1-linux7 | rocky8.6 |
| openstack | 3 | 2 | 2G | 40G | openstack | dcnclient-cli |
3.卷信息
| 卷名称 | 大小 | 连接的实例 |
| d1-d4 | 5G | windows3 |
| d5-d8 | 5G | linux3 |
4.实例信息表
| 实例名称 | ipv4地址 | FQDN |
| windows1 | 10.10.110.101 | windows1.skills.com |
| windows2 | 10.10.110.102 | windows2.skills.com |
| windows3 | 10.10.110.103 | windows3.skills.com |
| windows4 | 10.10.110.104 | windows4.skills.com |
| windows5 | 10.10.110.105 | windows5.skills.com |
| windows6 | 10.10.110.106 | windows6.cnskills.com |
| windows7 | 10.10.110.107 | windows7.bj.skills.com |
| linux1 | 10.10.120.101 | linux1.skills.com |
| linux2 | 10.10.120.102 | linux2.skills.com |
| linux3 | 10.10.120.103 | linux3.skills.com |
| linux4 | 10.10.120.104 | linux4.skills.com |
| linux5 | 10.10.120.105 | linux5.skills.com |
| openstack | 10.10.120.111 |
模块三:服务搭建与运维
Windows系统服务配置
- 域服务
任务描述:请采用域环境,管理企业网络资源。
任务要求:
1.配置windows2为skills.com域控制器;安装dns服务,dns正反向区域在activedirectory中存储,负责该域的正反向域名解析。
2.把skills.com域服务迁移到windows1;安装dns服务,dns正反向区域在activedirectory中存储,负责该域的正反向域名解析。
3.配置windows6为skills.com林中的cnskills.com域控制器;安装dns服务,负责该域的正反向域名解析。
4.配置windows7为bj.cnskills.com域控制器;安装dns服务,负责该域的正反向域名解析。
5.把其他windows主机加入到skills.com域。所有windows主机(含域控制器)用skills\Administrator身份登陆。
6.在windows1上安装证书服务,为windows主机颁发证书,证书颁发机构有效期为10年,证书颁发机构的公用名为windows1.skills.com。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供windows服务器使用的证书,证书友好名称为pc,(将证书导入到需要证书的windows服务器),证书信息:证书有效期=5年,公用名=skills.com,国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system,使用者可选名称=*.skills.com和skills.com。浏览器访问https网站时,不出现证书警告信息。
7.在windows2上安装从属证书服务,证书颁发机构的公用名为windows2.skills.com。
8.在windows1上新建名称为manager、dev、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建20个用户:行政部manager00-manager19、开发部dev00-dev19、营销部sale00-sale19,所有用户只能每天8:00-18:00可以登录,不能修改其口令,密码永不过期。manager00拥有域管理员权限。
- 文件共享
任务描述:请采用文件共享,实现共享资源的安全访问。
任务要求:
1.在windows1的C分区划分2GB的空间,创建NTFS主分区,驱动器号为D。创建用户主目录共享文件夹:本地目录为D:\share\home,共享名为home,允许所有域用户完全控制。该文件夹将设置为所有域用户的home目录,skills域用户登录计算机成功后,自动映射挂载到T卷。禁止用户在该共享文件中创建“*.exe”文件,文件组名和模板名为SKILLS。
2.创建目录D:\share\work,共享名为work,仅Administrator组和manager组有完全控制的安全权限和共享权限,其他认证用户有读取执行的安全权限和共享权限。在ADDS中发布该共享。
- 打印服务
任务描述:请采用共享打印服务,实现共享打印的安全性。
任务要求:
1.在 windows4 上安装打印机,驱动程序为“Ms Publisher Color Printer”,名称和共享名称均为“Printers”;在域中发布共享;使用组策略部署在"Default Domain Policy"的计算机。
2.网站名称为 printers,http 和 https 绑定主机 ip 地址,仅允许使用域名访问,启用 hsts,实现 http 访问自动跳转到 https(使用“计算机副本”证书模板)。
3.用浏览器访问打印机虚拟目录 printers 时,启用匿名身份认证,匿名用户为 manager00。
4.新建虚拟目录 dev,对应物理目录 C:\Development,该虚拟目录启用windows 身份验证,默认文档 index.html 内容为"Development"。
- ftp服务
任务描述:请采用ftp服务器,实现文件安全传输。
任务要求:
1.把windows3配置为ftp服务器,ftp站点名称为ftp,站点绑定本机ip地址,站点根目录为C:\ftp。
2.站点通过active directory隔离用户,用户目录为C:\ftp,用户目录名称与用户名相同,使用dev00和dev01测试。
- DHCP服务
任务描述:请采用DHCP服务器,实现ip地址及其他网络参数动态分配。
任务要求:
1.配置windows4和windows5为DHCP服务器,只绑定该主机的ipv4地址,DHCPipv4的作用域名称为SKILLS,地址范围为10.10.110.10-10.10.110.19,租约期3小时,网关为10.10.110.1,dns为10.10.110.101和10.10.110.102,dns域名为skills.com。
2.两台DHCP服务器实现故障转移,故障转移关系名称为skills,最长客户端提前期为2小时,模式为“负载平衡”,负载平衡比例各为50%,状态切换间隔1小时,启用消息验证,共享机密为Pass-1234。
- iscsi服务
任务描述:请采用iscsi,实现集中管理存储。
任务要求:
1.在windows3上添加4块硬盘,初始化为gpt磁盘,配置raid5,创建1个iscsi磁盘,存放在E:\iscsi,磁盘名称和目标名称分别为file,磁盘大小为动态扩展5GB,目标的iqn名称为iqn.2022-05.com.skills:server使用dns名称建立目标。发起程序的iqn名称为iqn.2022-05.com.skills:client。
2.windows4使用FQDN连接windows3的iscsi磁盘,初始化为GPT分区表,创建NTFS分区,驱动器号为E。
7.脚本
任务描述:请采用powershell脚本,实现快速批量的操作。
任务要求:
在windows5上编写C:\createfile.ps1的powershell脚本,创建20个文件C:\file\file00.txt至C:\file\file19.txt,如果文件存在,则删除后再创建;每个文件的内容同主文件名,如file00.txt文件的内容为“file00”。
Linux系统服务配置
- dns服务
任务描述:创建dns服务器,实现企业域名访问。
任务要求:
1.所有linux主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。
2.利用chrony,配置linux1为其他linux主机提供ntp服务。
3.所有linux主机root用户使用完全合格域名免密码ssh登录到其他linux主机。
4.利用bind和bind-utils,配置linux1为主dns服务器,linux2为备用dns服务器。为所有linux主机提供冗余dns正反向解析服务。
5.在linux1上安装ansible,作为ansible的控制节点。linux2-linux7作为ansible的受控节点。在linux1编写/root/skills.yaml剧本,实现在linux1创建文件/root/ansible.txt,并将该文件复制到所有受控节点的/root目录。
6.配置linux1为CA服务器,为linux主机颁发证书。证书颁发机构有效期10年,公用名为linux1.skills.com。申请并颁发一张供linux服务器使用的证书,证书信息:有效期=5年,公用名=skills.com,国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system,使用者可选名称=*.skills.com和skills.com。将证书skills.crt和私钥skills.key复制到需要证书的linux服务器/etc/ssl目录。浏览器访问https网站时,不出现证书警告信息。
- tomcat 服务
任务描述:采用tomcat搭建动态网站。
任务要求:
1.配置linux2为nginx服务器,默认文档index.html的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到https。
2.利用nginx反向代理,实现linux3和linux4的tomcat负载均衡,通过https://tomcat.skills.com 加密访问 tomcat,http访问时永久自动跳转到https。
3.配置linux3和linux4为tomcat服务器,网站默认首页内容分别为“TomcatA”和“TomcatB”,仅使用域名访问http80端口和https443端口;证书路径均为/etc/ssl/skills.jks。
3.ftp 服务
任务描述:请采用 ftp 服务器,实现文件安全传输。
任务要求:
1.配置 linux1 为 ftp 服务器,安装 vsftpd,新建本地用户 jack,本地用户登陆 ftp 后的目录为/var/ftp/pub,可以上传下载。
2.配置 ftp 虚拟用户认证模式,虚拟用户 ftp1 和 ftp2 映射为 ftp,ftp1 登录 ftp 后的目录为/var/ftp/vdir/ftp1,可以上传下载,禁止上传后缀名为.sh 的文件;ftp2 登录 ftp 后的目录为/var/ftp/vdir/ftp2,仅有下载权限。
4.samba服务
任务描述:请采用samba服务,实现资源共享。
任务要求:
1.在linux3上创建user00-user19等20个用户;user00和user01添加到dev组,user02和user03添加到sale组。把用户user00-user03添加到samba用户。
2.配置linux3为samba服务器,建立共享目录/srv/sharesmb,共享名与目录名相同。dev组用户对sharesmb共享有读写权限,sale组对sharesmb共享有只读权限;用户对自己新建的文件有完全权限,对其他用户的文件只有读权限,且不能删除别人的文件。在本机用smbclient命令测试。
3.在linux4修改/etc/fstab,使用用户user00实现自动挂载linux3的sharesmb共享到/sharesmb。
5.wordpress服务
任务描述:请采用wordpress服务,为企业建立博客。
任务要求:
1.安装apache2、mariadb-server、php和wordpress。
2.创建数据库wordpress,供wordpress服务使用。创建用户xiao,对wordpress数据库有完全权限。
3.创建数据库userdb;在数据库中创建数据表userinfo,在表中插入2条记录,分别为(1,user1,2005-8-1,男),(2,user2,2005-8-2,女),口令与用户名相同,password字段用password函数加密,表结构如下:
| 字段名 | 数据类型 | 主键 | 自增 |
| id | int | 是 | 是 |
| name | varchar(10) | 否 | 否 |
| birthday | datetime | 否 | 否 |
| sex | char(8) | 否 | 否 |
| password | char(200) | 否 | 否 |
4.备份数据库userdb到/var/mariadbbak/userdb.sql(含创建数据库命令);将表userinfo中的记录导出,并存放到/var/mariadbbak/userinfo.sql文件中。
5.网站默认文档/var/www/html/index.html的内容为"wordpress"。
6.利用wordpress搭建博客网站,站点标题为"skillsblog"。
6.postgresql 服务
任务描述:请采用 postgresql 服务,实现数据存储。
任务要求:
1.配置 linux5 为 postgresql 服务器,创建数据库 userdb;在库中创建表 userinfo,在表中插入 2 条记录,分别为(1,user1,2005-6-1),(2,user2,2005- 6-2),口令与用户名相同,password 字段用 md5 函数加密,表结构如下:
| 字段名 | 数据类型 | 主键 |
| id | serial | 是 |
| name | varchar (10) | 否 |
| birthday | date | 否 |
| password | varchar (100) | 否 |
2.设置可以直接在 shell 下操作数据库,然后备份数据库 userdb(含创建 数据库命令)到/var/postgresqlbak/userdb.sql;备份 userinfo 表记录到 /var/postgresqlbak/userinfo.sql.
7.mail服务
任务描述:请采用postfix邮件服务器,实现安全的邮件服务。
任务要求:
1.配置linux5为mail服务器,安装postfix和dovecot。
2.仅支持smtps和pop3s连接。
3.创建用户mail1和mail2,向all@skills.com发送的邮件,每个用户都会收到。
4.安装mailx使用本机测试。
8.redis服务
任务描述:请采用redis服务,实现高并发数据和海量数据的读写。
任务要求:
利用linux5搭建rediscluster集群,使用端口8001-8003模拟主节点,8004-8006模拟从节点,让其他主机可以访问redis集群。
9.脚本
任务描述:请采用脚本,实现快速批量的操作。
任务要求:
在linux5上编写/root/createfile.sh的shell脚本,创建20个文件/root /file00至/root/file19,如果文件存在,则删除后再创建;每个文件的内容同文件名,如file00文件的内容为“file00”
10.网络运维
某单位网络拓扑架构如下,交换机连接两台服务器,其中Server1 服务器是数字取证服务器,Server2服务器是应急响应服务器,通过交换设备相连,通过路由设备连接到安全设备防火墙,单位的网络拓扑结构如下图所示。
表 1.网络设备 IP 地址分配表
| 设备 | 设备名称 | 设备接口 | IP 地址 |
| 服务器 | Server1 | Eth0 | 192.168.1.10/24 |
| Server2 | Eth0 | 192.168.2.10/24 | |
| 三层 交换机 | L3_SW1 | e0/0 | 192.168.1.2/24 |
| e0/1 | 192.168.2.2/24 | ||
| e0/2 | 10.1.1.1/24 | ||
| 路由器 | R1 | e0/2 | 10.1.1.2/24 |
| e0/1 | 20.1.1.1/24 | ||
| 防火墙 | Firewall | G1/0/0 | 20.1.1.2/24 |
1.网络排错
网络按照表中要求已经搭建完成,现在有如下故障:
L3_SW1上交换机需要设置三层网络,现在三层直连路由无法ping通,但是查看接口的状态发现,接口物理状态都是up的,请分析原因并且故障排除。
拓扑中R1路由器与交换机所在的服务器网段通信异常,请分析故障排除。
Firewall防火墙日志收到了来自内网的ddos攻击,请分析日志将相关的攻击者/或者网络运维人员误操作引起的攻击流量找出,并设置黑名单策略,请分析日志并进行故障排除。
2.数字取证
Server1服务器上出现了黑链,并且入侵者已经将服务器上的痕迹清除,无法在服务器上进行溯源,恰好在前端的防火墙的开启了数据包分析功能。请你在数据包中进行取证工作,找到入侵者的信息。
(1)通过对数据包的分析找到黑客的攻击机IP,并将他作为Flag提交;(格式:[192.168.1.1])
(2)通过对数据包的分析找到黑客扫描服务器的命令,将服务器开放的端口作为Flag 提交;端口从小到大排序提交(格式:[21,22,23,24])
3.应急响应
防火墙的日志中出现了webshell警告,Server2服务器上出现了webshell连接情况,管理员已经将服务器进行了安全隔离。请登陆到服务器上,对webshell情况进行排查。
(1)在服务器上找到webshell文件,并将webshell的文件名作为flag提交;(格式:[abc.xxx])
(2)在服务器上找到上传webshell的上传方式和时间,将webshell上传的时间作为flag进行提交;(格式:[10/Apr/2020:09:35:41]
468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
