上海市星光杯第八届职业院校技能大赛.docx

1、上海市星光杯第八届职业院校技能大赛上海市“星光杯”第八届职业院校技能大赛“网络搭建与应用”赛项竞赛样题（总分1000分）赛题说明一、竞赛内容分布“网络搭建与应用”竞赛共分二个部分，其中：第一部分：网络搭建及安全部署项目第二部分：服务器配置及应用项目二、竞赛注意事项（1）禁止携带和使用移动存储设备、计算器、通信工具及参考资料。（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。（3）本试卷共有两个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。（4）操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，评判以最后的硬件

2、连接为最终结果。（5）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。（6）禁止在纸质资料上填写与竞赛无关的标记，如违反规定，可视为0分。（7）与比赛相关的工具软件放置在D:soft文件夹中。三、特说说明：最终正式竞赛试卷内容相比于本试卷内容会有30%的变动。项目简介:某集团公司为提高工作效率，对原有网络重新规划部署，统一进行IP及业务资源的规划和分配，网络采用OSPF和RIP等路由协议。随着公司规模快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据、提供服务，集团决定构建小型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强

3、业务部署弹性的目的。集团公司规划的网络拓扑结构如下图所示。其中云服务实训平台编号为DCC，用于各类服务架设；一台S4600交换机编号为SW3，用于实现终端高速接入；两台CS6200交换机作为总公司的核心交换机，实现数据高速转发且保证高可靠性；两台DCFW-1800编号分别为FW1、FW2，作为公司的内网防火墙；两台DCR-2600路由器编号为RT1、RT2，作为公司的互通路由器；一台DCWS-6028作为有线无线智能一体化控制器，编号为AC，通过与WL8200-I2高性能企业级AP配合实现公司无线覆盖。拓扑结构图：表1：网络设备连接表：A设备连接至B设备设备名称接口设备名称接口SW3E1/0/

4、1SW1E1/0/1SW3E1/0/2SW2E1/0/2SW3E1/0/3PC1NICSW1E1/0/25SW2E1/0/25SW1E1/0/26SW2E1/0/26SW1E1/0/2FW1E0/2FW1E0/3RT1G0/3FW1E0/5RT1G0/5FW1E0/7FW2E0/7RT1G0/4RT2G0/4RT1G0/6RT2G0/6RT2G0/3FW2E0/3RT2G0/5FW2E0/5FW2E0/2ACE1/0/2ACE1/0/3DCCEth2ACE1/0/4DCCEth1ACE1/0/1APLAN1APWifi-2.4GPC2NIC表2：网络地址规划表：设备设备名称设备接口IP地址备注

5、路由器RT1G0/310.11.11.2/24RT1 to FW1-E0/3G0/410.0.0.1/24RT1 to RT2-G0/4L122.22.22.22/32G0/5111.111.111.2/24RT1 to FW1-E0/5G0/6100.100.100.1/24RT1 to RT2-G0/6RT2G0/310.22.22.1/24RT2 to FW2-E0/3G0/410.0.0.2/24RT2 to RT1-G0/4L133.33.33.33/32G0/6100.100.100.2/24RT2 to RT1-G0/6G0/5222.222.222.1/24RT2 to FW2

6、-E0/5防火墙FW1E0/2172.16.50.2/24FW1 to SW-Core-E1/0/2E0/310.11.11.1/24FW1 to RT1-G0/3L111.11.11.11/32E0/5111.111.111.1/24FW1 to RT1-G0/5E0/7200.200.200.1/24FW1 to FW2-E0/7FW2E0/2192.168.50.2/24FW2 to AC-E1/0/2E0/310.22.22.2/24FW2 to RT2-G0/3L144.44.44.44/32E0/5222.222.222.2/24FW2 to RT2-G0/5E0/7200.200

7、.200.2/24FW2 to FW1-E0/7三层交换机SW-CoreVLAN1172.16.1.1/24VLAN10172.16.10.254/24YFBVLAN20172.16.20.254/24RSBVLAN30172.16.30.254/24CWBVLAN40172.16.40.254/24SCBVLAN50172.16.50.1/24二层交换机SW3VLAN1172.16.1.3/24VLAN10YFBVLAN20RSBVLAN30CWBVLAN40SCB无线控制器ACVLAN1192.168.1.1/24VLAN2192.168.2.254/24Wifi-2.4GVLAN5192

8、.168.5.254/24Wifi-5.0GVLAN10192.168.10.254/24CentOSVLAN20192.168.20.254/24Win2012VLAN30192.168.30.254/24CentOS-C1VLAN40192.168.40.254/24Windows2012-D1VLAN50192.168.50.1/24VLAN52192.168.52.254/24APVLAN100192.168.100.1/24DCC云服务实训平台DCCEth1192.168.100.100/24已设置计算机PC1NICDHCP自动获取PC2NICDHCP自动获取表3：服务器IP地址分配

9、表：虚拟机名称域名信息服务角色系统及版本信息IPv4地址信息(由云平台提供)云主机1主域控服务器域名服务器win2012192.168.10.XX云主机2子域控制器服务器CA证书服务器域名服务器win2012192.168.10.XX云主机3网站服务器Win2012192.168.20.XX云主机4文件传输服务器磁盘阵列win2008192.168.20.XX云主机5Tomcat服务器win2012192.168.20.XX云主机6.辅助DNS服务器磁盘阵列DHCP服务器win2012192.168.20.XX云主机7域名服务器DHCP服务器centos6.5-desktop192.168.1

10、0.XX云主机8网站服务器centos6.5-desktop192.168.10.XX云主机9文件传输服务器centos6.5-mini192.168.30.XX云主机10邮件服务器SSH服务器centos6.5-desktop192.168.30.XX云主机11Samba服务器磁盘阵列centos6.5-desktop192.168.30.XX云主机12数据库服务器centos6.5-desktop192.168.30.XX网络搭建及安全部署项目（500分）【说明】（1）设备console线有两条。交换机、AC、防火墙使用同一条console线，路由器使用另外一条console线。设备命名方

11、式参考网络设备IP地址分配表。（2）设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据，无文档相关环节视为0分。所有提交的文档必须按照赛题所规定的命名规则命名，否则按无效内容处理；所有需要提交的文档均放置在PC1桌面的“比赛文档_X”（X为工位号）文件夹中。保存文档方式分为两种：交换机、路由器、AC要把show running-config的配置保存在PC1桌面的相应文档中，文档命名规则为：设备名称.docx,例如：RT1路由器文件命名为：RT1.docx，然后放入到PC1桌面上“比赛文档_X”文件夹中；防火墙设备的截图方式：把截图放到同一word文档中，文档命

12、名规则为：设备名称.docx，例如：防火墙FW1文件命名为：FW1.docx,保存后放入到PC1桌面上“比赛文档_X”文件夹中。1线缆制作与基础配置1.1根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络线缆，根据题目要求，插入相应设备的相关端口。1.2根据网络拓扑要求及网络地址规划表，对网络设备进行地址设置。1.3对每个三层网络设备互联端口进行描述，例如对RT1连接RT2的端口描述为：“RT1 to RT2-端口号”。2交换机配置2.1SW1、SW2通过VSF技术形成一台虚拟的逻辑设备SW-Core。用户通过对该虚拟设备进行管理，从而实现对虚拟设备中所有物理设备的管理。两台设

13、备VSF逻辑域为5；其中SW1的成员编号为1，SW2的成员编号为2；正常情况下SW1负责管理整个VSF；SW1与SW2之间建立一个vsf port-group，其编号为1，每个vsf port-group绑定两个千兆光端口。2.2SW-Core分别通过E1/0/1、E2/0/1与SW3的E1/0/1、E1/0/2接口互相连接，把归属于同一设备的两个接口捆绑成一个逻辑接口，编号为1。SW-Core为主动端，SW3为被动端。2.3根据“表2.3 VLAN信息规划表”要求所示，在交换机上创建对应的Vlan，并将交换机的相应端口加入对应的Vlan，端口均为Access类型。表2.3 VLAN信息规划表

14、设备VLAN编号VLAN名称端口说明IP地址/掩码SW-CoreVLAN1管理172.16.1.1/24VLAN10YFB研发部172.16.10.254/24VLAN20RSB人事部172.16.20.254/24VLAN30CWB财务部172.16.30.254/24VLAN40SCB市场部172.16.40.254/24VLAN50E1/0/2上联防火墙172.16.50.1/24SW3VLAN1管理172.16.1.3/24VLAN10YFBE1/0/3至E1/0/6研发部VLAN20RSBE1/0/7至E1/0/12人事部VLAN30CWBE1/0/13至E1/0/18财务部VLAN

15、40SCBE1/0/19至E1/0/24市场部2.4SW-Core和SW3通过Port-Channel1接口相互连接，将该互联接口设置为Trunk接口，且允许除Vlan 1以外的所有Vlan通过。2.5SW-Core和SW3上设置Vlan 1为管理Vlan，地址分别为172.16.1.1/24和172.16.1.3/24。要求设备启用telnet服务，telnet登录账户仅包含“telnet”，密码为明文“telnet”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“enable”。2.6SW-Core及SW3的Vlan 10、20、30、40网段内用户通过SW-Co

16、re上的DHCP服务获取IP地址。DHCP地址池名字分别为Pool-10、Pool-20、Pool-30、Pool-40，租期为7天，配置默认网关、DNS地址均为该网段最后一个IP地址。每个地址池均排除网关及DNS地址。2.7SW3的E1/0/3-6设置开启端口安全功能，配置端口允许的最大安全MAC数量为10。2.8SW3的E1/0/1-2设置开启端口镜像功能，将与SW-Core互连的全部流量信息映射到E1/0/24端口。3路由器配置与调试3.1FW1与SW-Core之间运行RIPv2路由协议。FW1宣告其与SW-Core的直连网段，SW-Core宣告其所有直连网段。3.2FW1、RT1、RT

17、2、FW2之间运行OSPFv2路由协议，该路由自治域通过OSPF多区域技术实现互联互通。若设备支持OSPF多进程，要求采用最小进程号。FW1、RT1、RT2、FW2的OSPF进程RID分别为1.1.1.1、2.2.2.2、3.3.3.3、4.4.4.4，要求网络设计遵循简洁原则并保持良好的可控性。其中FW1、RT1直连网段位于OSPF区域11，RT1与RT2直连网段位于OSPF骨干区域，RT2与FW2直连网段位于OSPF区域22。请对照拓扑图在相应OSPF区域宣告相应网段。3.3AC配置静态默认路由。使AC访问非直连网段均采用送出接口E1/0/2，要求采用最少命令实现。3.4SW-Core配置

18、默认路由。使得无法匹配精确路由的流量均送往FW1。3.5FW1作为OSPF路由选择域的ASBR。要求在其OSPF进程下配置路由重分发，使FW1的全部RIPv2详细路由条目引入OSPFv2，要求RIPv2重引入OSPFv2后的始发度量值均设为10。3.6FW1的RIP路由选择域需要配置路由重分发。使OSPF的全部精确路由条目引入RIPv2，要求OSPFv2重引入RIPv2的始发度量值均设为5。3.7FW2配置静态路由。该路由使AC直连网段聚合为子网掩码为16的路由条目，使得FW2转发的目的地址为AC直连网段时均选择E0/2作为送出接口。3.8FW2的OSPFv2进程配置路由重分发使之引入静态路由

19、。其引入路由度量值设置为20且类型为Type-1，从而使SW-Core可以访问FW2相关直连网段。3.9FW1、RT1、RT2、FW2之间运行BGP路由协议，以上设备分别新建环回接口Loopback1，其地址分别为11.11.11.11/32、22.22.22.22/32、33.33.33.33/32、44.44.44.44/32。其BGP进程的RID为其环回接口Loopback1。FW1位于AS1111，与RT1、FW2分别建立EBGP邻居关系；FW2位于AS2222，与RT2、FW1分别建立EBGP邻居关系；RT1、RT2位于AS1000，其中RT1除与FW1建立EBGP邻居关系外还与RT

20、2建立IBGP邻居关系，而RT2除与FW2建立EBGP邻居关系外还与RT1建立IBGP邻居关系。要求每一台运行BGP协议的网络设备除宣告其BGP邻居的互联网段外还需要宣告其环回接口Loopback1。请对照拓扑图在相应网络设备上宣告对应网段。4广域网配置4.1FW1上配置源NAT，要求私网属于SW3的Vlan10用户可以通过源地址转换为出接口IP后访问公网；4.2FW2上配置目的NAT进行IP映射，要求公网用户可以通过目的地址转换后访问内网设备AC、DCC的Web管理界面。AC的外网访问地址为200.200.200.150/32，DCC的外网访问地址为200.200.200.100/32，请使

21、用合适的描述语言，使配置具有良好的可读性。5无线配置5.1根据“表5.1 VLAN信息规划表”要求所示，在AC上创建对应的Vlan，并将其相应端口加入对应的Vlan，端口均为Access类型。表5.1 VLAN信息规划表设备VLAN编号VLAN名称端口说明IP地址/掩码ACVLAN1管理192.168.1.1/24VLAN2Wifi-2.4G无线Wifi-2.4G网段192.168.2.254/24VLAN5Wifi-5.0G无线Wifi-5.0G网段192.168.5.254/24VLAN10CentOS192.168.10.254/24VLAN20Win2012192.168.20.254

22、/24VLAN30CentOS-C1192.168.30.254/24VLAN40Windows2012-D1192.168.40.254/24VLAN50E1/0/2上联防火墙192.168.50.1/24VLAN52AP无线AP网段192.168.52.254/24VLAN100DCCE1/0/4云服务平台192.168.100.1/245.2AC和DCC通过接口E1/0/3与接口Eth2相互连接，AC和AP通过接口E1/0/1与接口LAN1互相连接，将互联接口设置为Trunk接口，且允许除Vlan 1以外的所有Vlan通过。5.3AC上设置Vlan 1为管理Vlan，地址为192.168

23、.1.1/24。要求设备启用telnet服务，telnet登录密码为明文telnet，采用telnet方式登录设备时需要输入enable密码，密码为明文enable。5.4AC的Vlan 2、5、52网段内用户通过AC上的DHCP服务获取IP地址。DHCP地址池名字分别为Wifi-2.4G、Wifi-5.0G、AP，租期为5天，配置默认网关为该网段最后一个IP地址，DNS为8.8.8.8。每个地址池均排除该网段最后4个IP地址。5.5AC、AP作为无线交换机和瘦AP来构建无线网络。AC将Vlan 52作为管理Vlan；Vlan 2和Vlan 5作为业务Vlan。创建两个SSID分别为“Wifi

24、-2.4G”和“Wifi-5.0G”对应无线network 24和network 50。“Wifi-2.4G”对应业务Vlan 2, 用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“Wifi-2.4G”；“Wifi-5.0G”对应业务Vlan 5，用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“Wifi-5.0G”。AC采用profile 1为AP下发配置，且命名为Wifi。服务集标识码“Wifi-2.4G”位于AP的2.4G频段，服务集标识码“Wifi-5.0G”位于AP的5.0G频段。禁止采用vap 0以外的虚接口。5.6AC设备收到和发

25、出的数据包通过端口镜像功能，将全部流量信息映射到E1/0/24端口。6安全策略配置6.1FW1、FW2配置trust, untrust区域和相应安全防护策略：FW1、FW2的E0/2、E0/3均属于trust区域，在以上接口下配置相关命令使其可以通过ping命令进行测试。FW1、FW2配置相关策略，使得trust区域内放行所有方向、所有类型的流量。FW1、FW2的E0/5、E0/7、Lookback1均属于untrust区域，在以上接口下配置相关命令使其可以通过ping命令进行测试。FW1、FW2配置相关策略，使得untrust区域内放行所有方向、所有类型的流量。FW1、FW2配置相关策略，使

26、得trust与untrust区域间放行所有方向、所有类型的流量。6.2配置FW1，FW2的untrust区域攻击防护，其余防护均关闭: 开启以下Flood防护：ICMP洪水攻击防护，警戒值1000，动作丢弃； UDP洪水攻击防护，源、目的警戒值均为1000，动作丢弃；SYN洪水攻击防护，源、目的警戒值基于IP均为1000，动作丢弃；开启以下DOS防护：Ping of Death攻击防护；Teardrop攻击防护；IP选项，动作丢弃；ICMP大包攻击防护，警戒值1000，动作丢弃；6.3FW1、FW2上配置限制内网用户访问 ，限制内网用户访问URL中带有taobao关键字的所有网站。6.4FW1

27、、FW2做相关配置要求内网用户不能登录QQ和MSN。服务器配置及应用项目（500分）【说 明】（1）云服务实训平台中提供镜像环境，镜像的默认用户名密码以及其他信息如“表6：镜像信息表”所示；表6：镜像信息表名称硬盘VCPU用户名密码sshrdpwin730G1adminQwer1234否是win200840G1administratorQwer1234否是win201240G1administratorQwer1234否是centos6.5-desktop30G1rootdcncloud是是centos6.5-mini30G1rootdcncloud是否Centos7-mini30G1root000000是否（2）所有windows主机实例在创建之后都直接可以通过远程桌面连接操作，centos6.5可以通过CRT软件连接进行操作，centos6.5-desktop也可以通过远程桌面连接进行操作，所有linux主机都默认开启了ssh功能。（3）虚拟主机按照“服务器IP地址分配表”的要求分配网络，同时虚拟主机使用云服务实训平台获取的IP地址。（4）云服务实训平台中生成的Windows系统SID相同，根据实际需求做相应设置，注意重置SID的虚拟主机密码必须改回为“Qwer1234”，若未按照要求设