国赛网络搭建与应用竞赛试题Word文档格式.docx
- 文档编号:5065487
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:29
- 大小:158.04KB
国赛网络搭建与应用竞赛试题Word文档格式.docx
《国赛网络搭建与应用竞赛试题Word文档格式.docx》由会员分享,可在线阅读,更多相关《国赛网络搭建与应用竞赛试题Word文档格式.docx(29页珍藏版)》请在冰点文库上搜索。
2、网络拓扑规划
网络拓扑结构规划如图1所示。
图1网络拓扑结构图
本次公司的网络构建包括总公司和分公司的两个部分。
总公司局域网核心采用双交换机的构架,通过VRRP结合MSTP技术实现负载均衡和链路备份。
两台核心交换机分别连接到核心路由器,核心路由器连接到网络出口防火墙,同时核心路由器通过ISP专线连接到分公司的出口路由器。
总公司的网络出口使用防火墙连接到公网,通过配置防火墙来实现内网用户访问Internet以及保护内网的安全。
总公司和分公司之间的办公用户通过VPN建立的隧道相互通信,有效的保证了数据传输的安全性。
服务器集中放置在网络中心机房,直接连接到核心交换机。
分公司的网络的出口路由器分别连接到ISP和VPN设备,通过部署防火墙来保护内网的安全,内网的用户分别通过专网或VPN建立的安全隧道来访问总公司的资源。
三、工程建设的内容
本工程项目主要建设内容为:
1.总公司与分公司布线系统建设
总公司与分公司内部局域网的布线系统搭建,包括数据及语音的布线系统。
2.总公司局域网建设
总公司网络构建(有线双核心网络)、可用性及安全规则部署。
3.分公司局域网建设
分公司网络构建(无线网络)、可用性及安全规则部署。
4.总公司与分公司广域网互联建设
总公司与分公司之间采用数据专线、VPN方式互联。
5.总公司应用平台建设
在总公司的网络中心机房,部署Windows2003ServerR2、Windows2008ServerR2及LINUX服务器系统,并在此之上架设DNS、WEB、DHCP、FTP、MAIL、KVM安装、Apache、Sendmail、BIND、Samba等应用服务。
第一部分网络搭建及安全部署项目(450分)
【注意事项】
(1)设备配置完毕后,保存最新的设备配置。
路由器和交换机等终端配置设备请按题目要求提交showrunning-config结果,并将网络、无线、防火墙等设备通过web或是客户端配置的设备请按题目要求提交相关截图,并将这些结果写入竞赛结果文档中。
(2)本部分竞赛结果文档文件名称为:
工位号_网络配置文档.doc(如47号工位的文件命名为:
47_网络配置文档.doc),注意对截图进行必要说明。
(3)对竞赛结果文档进行适当的排版,删除不必要的重复行和空行,小标题使用“五号”“加粗”,正文采用“五号”字。
(4)文档保存到本地计算机的桌面,考试结束时将竞赛结果文件全部备份到本机桌面以自己工位号建立的文件夹中。
一、网络设备配置要求
1.设备连接关系:
表1-3网络设备1连接到设备2表
设备一
设备二
设备一端口
设备二端口
线缆类型
RT1
FW1
GE0/5
E0/0
双绞线
RT2
GE0/4
SW1
GE0/3
E1/0/1
E0/1
RT3
S0/1
V35
SW2
WS
FW2
E1/0/13-14
SW3
E1/0/21
E1/23
SW4
E1/0/22
E1/24
AP
E1/0/2
LAN口
PC-A
E1/0/10
NIC
PC-B
E1/0/11
PC-C
E1/0/12
PC-D
2.网络设备IP地址自行分配表。
表1-4网络设备IP地址表
设备
设备名称
设备接口
IP地址/
路由器
GigaEthernet0/3
GigaEthernet0/4
GigaEthernet0/5
Serial0/1
GigaEthernet0/3
三层交换机
VLAN1000(Ethernet1/0/1)
VLAN3000
(Ethernet1/0/13-14)
VLAN10SVI
VLAN20SVI
VLAN30SVI
VLAN40SVI
管理VLAN50SVI
服务器群VLAN100
(Ethernet1/0/10-12)
VLAN2000(Ethernet1/0/1)
二层交换机
防火墙1
Ethernet0/1
Ethernet0/2
Ethernet0/3
200.200.200.1/24
防火墙2
200.200.200.2/24
无线控制器
VLAN300SVI
VLAN400SVI
3.服务器IP地址自行分配表:
表1-5:
服务器IP地址分配表
宿主机
虚拟
主机名称
域名信息
服务角色
系统及版本信息
IPv4
地址信息
Win2003-A1
主DNS、WWW
服务器
WindowsServer2003R2
Win2003-A2
D
备份DNS、认证
Win2008-A1
DC域控制器
WindowsServer2008R2
Win2008-B1
WEB服务器
FTP服务器
Win2003-B1
M
邮件服务器
Windows-XPB1
pc.
工作站
WindowsXP
Win2003-C1
CA证书服务器
Win2008-C1
只读
域控制器
Centos-C1
Mail2.
Sandmail
Centos6.5
Centos-C2
ftp.
FTP
文件服务器
Centos-D1
www.
Apache
Web服务器
Centos-D2
dns.
smb.
BIND
域名服务器
MySQL
数据库服务器
NFS
共享服务器
SAMBA
二、网络搭建部分
1.物理连接与IP地址划分
(1)按照网络拓扑图制作以太网网线跳线,用于SW1、SW2、RT1、SW3设备的连接,并增加标识。
要求符合T568A和T568B的标准,其线缆长度适中;
(2)根据“拓扑结构图”和“表1-4-网络设备IP地址分配表”和“表1-5-服务器IP地址分配表”所示,请对网络中的所有网络设备接口和服务器分别规划部署IP地址;
总公司中整个网络地址规划使用10.0.0.0/16地址段,其中市场部有65名员工、工程部有93名员工、软件部和系统集成部两个部门各有125名员工,服务器的网段地址为10.0.100.0/24。
上海分公司使用10.0.200.0/23地址段,保证上海分公司行政部至少有110台主机,销售部至少有33台主机。
天津总公司与上海分公司所有设备互联地址使用/30的掩码进行分配,并把分配后的地址填入上述表1-4及表1-5分配表中的空白处。
注意:
●要求网络地址根据上述题目要求合理规划;
●网关地址规划为本网段的最后一个地址。
2.交换机配置
(1)为交换机设备命名,命名规则参考为表1中的“设备名称”,设备名称的命名规则与拓扑图图示名称相符;
(2)依据“拓扑结构图”和1-6表,在交换机上完成VLAN配置和端口分配,不允许不必要的VLAN通过;
表1-6VLAN虚拟IP地址表
VLAN名称
VLANID
接口
Link_To_管理vlan
50
Ethernet1/0/20
Link_To_PC-A、PC-B、PC-C
100
Ethernet1/0/10-12
Link_To_RT1
1000
Ethernet1/0/1
Link_To_SW2
3000
Ethernet1/0/13-14
Link_To_RT2
2000
Link_To_SW1
Link_To_SW1/SW2
trunk
Ethernet1/0/23-24
SCB(市场部)
10
Ethernet1/0/1-5
GCB(工程部)
20
Ethernet1/0/6-10
RJB(软件部)
30
XTJCB(系统集成部)
40
(3)天津总公司两个核心交换机SW1和SW2之间使用双线路连接,分别下联到接入交换机SW3和SW4,采用基于VLAN生成树,实现网络中的二层的负载均衡和冗余备份。
交换机创建两个实例:
分别为Instance10和Instance20,其中Instance10关联VLAN10和VLAN30,Instance20关联VLAN20和VLAN40。
SW1为缺省Instance0和Instance10的根交换机,为Instance20备份交换机;
SW2为Instance20根交换机,为缺省Instance0和Instance10的备份交换机,按需求设置STP优先级为4096。
同时结合VRRP技术实现VLAN10、VLAN20、VLAN30、VLAN40内的用户网关的冗余备份。
设置SW1为VLAN10、30的Master,设置SW2为VLAN20、40的Master。
要求VRRP组中高优先级设置为130,低优先级设置为110,开启抢占特性,实现冗余切换。
并将各VLAN的虚拟IP地址规划填入下表1-7所示:
表1-7VLAN虚拟IP地址表
VLAN-ID
VRRP备份组号(VRID)
VRRP虚拟IP地址
VLAN10
VLAN20
VLAN30
VLAN40
(4)将SW1三层交换机Ethernet1/0/13和Ethernet1/0/14接口与SW2三层交换机Ethernet1/0/13和Ethernet1/0/14接口配置为静态模式的端口聚合;
(5)将SW1上总部服务器群中Ethernet1/0/11入方向的数据流镜像至Ethernet1/0/20;
(6)总部服务器群连接在核心交换机SW1的Ethernet1/0/10-12上配置端口安全,最多允许动态学习70个MAC地址,超过70时,来自新主机的数据帧将丢失;
(7)在交换机SW1上使用pim-dm方式开启组播,让所有VLAN都可以传送组播包,并在端口E1/0/21-22开启流控和设置多播风暴控制,允许通过的多播报文为每秒64000个。
3.路由器配置
(1)为路由设备命名,命名规则参考为表1中的“设备名称”,设备名称的命名规则与拓扑图图示名称相符;
(2)在路由器RT2和RT3设备上与其它网络设备连接的接口都要进行描述;
(3)根据网络拓扑图所示,为了保障专用线路的链路安全,需要在ISP(RT2与RT3之间)连接的链路上配置PPP协议,采用双向PAP的验证方式,速率为115200bps,用户名分别为RT2和RT3,密码均为123465789;
(4)天津总公司内网采用OSPF动态路由协议,防火墙FW1与路由器RT1、RT2之间采用RIP协议,通过专线实现与分公司的互联互通,并自行规划设备RouterID,并填入下表1-8:
表1-8设备RouterID地址表
RID
(5)集团公司网络采用了OSPF和RIPv2两种动态路由协议,合理规划开销值,实现集团公司访问外网数据流主走RT1,备走RT2;
(6)请在集团公司配置必要的链路上配置被动接口,以阻止不必要的报文通往非OSPF区域;
(7)在路由器RT3上配置地址转换,使上海分公司内网的主机可以通过地址转换访问Internet,内网全局地址可参考表1-4规划,地址池名称为shpool。
4.无线配置
(1)上海分公司用户采用无线接入方式,其中VLAN300用户的SSID为SH001,协议为802.11g,信道为6;
无线控制器做为DHCP服务器为VLAN300用户动态分配IP地址,地址租约时长为2天。
用户接入无线网络时采用OPEN认证方式;
(2)VLAN400用户的SSID为SH002,协议为802.11b,信道为13;
使用无线控制器做为DHCP服务器,为VLAN400用户动态分配IP地址和网关,地址租约时长为3天。
用户接入无线网络时需要采用WPA-PSK加密方式,其口令为1234567890;
(3)配置每个AP下可以连接的无线用户数为25,用户的老化时间为5分钟;
(4)配置AC上QOS关联分公司AP,AP的profileID为1,为默认配置。
QOS配置在VLAN300网段上即VAP300,并设置其最大带宽为20480000;
(5)配置无线局域网每用户上行速度为2Mbps,下行速度为3Mbps,突发速度为4Mbps;
(6)将MAC地址为C139.C139.C139的无线客户端加入黑名单。
---------------------------------------------------------------------------------------------------------------
●将截图粘贴到“工位号_网络无线配置文档.doc”中,标记为“
(1)无线网络相关配置截图”,并对截图进行必要的说明;
保存到指定位置。
三、网络安全部分:
1.防火墙配置
(1)集团公司内网VLAN10、VLAN30用户可以通过防火墙FW-1做NAT访问Internet,上海分公司所有用户可以通过防火墙FW-2访问Internet;
(2)集团公司和上海分公司内网的Web服务器分别需要对外提供服务;
(3)为了保障公司网络的安全性,在两台FW上做以下防护部署:
Ø
IP地址扫描攻击防护功能,其中在3秒时间内,有10个以上相同IP地址的ICMP包请求,则发出警报,ICMP洪水攻击防护警戒值为70,行为为丢弃,但允许数据包通行;
配置SYNFlood攻击防护功能,警戒值为300,行为为丢弃;
配置ICMPFlood攻击防护功能;
DNSQueryFlood攻击防护功能;
配置smurf和Fraggle攻击防护功能;
配置ARP欺骗防护功能。
(4)为了保障上海分公司外网资源合理使用,在FW-2上配置禁止所有P2P数据通过;
(5)在FW1中禁止UDP的4000端口以及TCP的6000端口的双向数据包通信;
(6)在FW1中配置RIP协议,并引入OSPF区域;
(7)管理网段的用意可以ping通PC-A、PC-B、PC-C。
--------------------------------------------------------------------------------------------------------------
●防火墙提交的截图:
用户配置防火墙的所有关键配置点信息(包括FW1和FW2)。
●将截图粘贴到“工位号_防火墙配置文档.doc”中,标记为“防火墙配置截图”,对截图进行必要的说明,保存到指定位置。
----------------------------------------------------------------------------------------------------------
2.VPN配置
(1)为了保障集团公司与上海分公司之间传输业务的高可用性,当总公司与分公司之间的ISP专线中断后,需要采用互联网链路做为备份链路,在集团公司与上海分公司的两端防火墙上配置IPSECVPN,采用esp-md5-des-g2提议部署;
(2)在集团公司出口防火墙上配置SSL远程接入VPN,允许公网办公用户远程访问邮件、FTP业务,用户名为vpn1、vpn2、vpn3,口令为2015SEC,拨入终端获取的IP地址段为10.0.150.0/24。
-----------------------------------------------------------------------------------------------------------
●VPN提交截图:
用户配置VPN的所有信息(包括VPN1和VPN2),包含配置过程中出现的每一个界面都需要截图。
●将截图粘贴到“工位号_VPN配置文档.doc”中,标记为“VPN配置相关截图”,并对截图进行必要的说明,并保存到指定位置。
3.系统安全配置
(1)总部三层交换机不转发源IP地址等于目的IP地址的数据报,和源端口等于目的端口的数据报,且在网络内只允许使用默认选项的ping命令,即ICMPrequest报文不可分片,且净荷长度一般小于100;
(2)配置访问控制列表,禁止VLAN10的用户访问WindowsFTP服务器,禁止VLAN40的用户访问SAMBA服务器;
(3)分别在集团公司的接入交换机上SW3及SW4上的Ethernet1/1开启端口的保护功能,防止PC机发出网关欺骗报文;
(4)对服务器群资源进行震荡波、SQL蠕虫病毒的防护;
(5)请将软件部某开发终端主机IP地址与MAC地址绑定(该终端的MAC地址为:
47-01-39-04-17-ff,IP地址可参考表1-4中软件部的一个可用IP地址);
(6)请配置SW3交换机的Ethernet1/1-2端口为802.1X认证端口,交换机的管理地址、终端的IP地址、认证服务器的地址请根据前面规划进行设置;
(7)在SW1交换机上配置DHCPServer服务,为VLAN40网络中的PC分配动态IP地址。
其中可分配的网段范围、网关、DNS地址可根据1-4表规划确定。
【结果文件的提交】
在RT1、RT2、RT3、SW1、SW2、SW3、SW4上运行showrunning-config,将运行结果粘贴到“工位号_网络配置文档.doc”中(如47号工位的文件命名为:
47_网络配置文档.doc),此时文档已经包含有:
(1)无线网络相关配置截图,
(2)VPN配置相关截图,
(3)防火墙配置相关截图,
(4)请将路由器和交换机的showrunning-config信息接着写入:
①RT1的showrunning-config信息;
②RT2的s
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 搭建 应用 竞赛 试题