2021年山東省職業(yè)技能大賽中職組“網絡搭建與應用”賽項試題

1/192021年山東省職業(yè)院校技能大賽中職組“網絡搭建與應用”賽項競賽試題2021年12月3日競賽說明一、競賽內容分布“網絡搭建與應用”競賽共分三個部分，其中：第一部分：網絡搭建及安全部署項目（500分）第二部分：服務器配置及應用項目（480分）第三部分：職業(yè)規(guī)范與素養(yǎng)（20分）二、競賽注意事項禁止攜帶和使用移動存儲設備、計算器、通信工具及參考資料。請根據大賽所提供的比賽環(huán)境，檢查所列的硬件設備、軟件及文檔清單、材料清單是否齊全，計算機設備是否能正常使用。請選手仔細閱讀賽卷，按照要求完成各項操作。操作過程中，需要及時保存設備配置。比賽結束后，所有設備保持運行狀態(tài)，評判以最后的硬件連接和提交文檔為最終結果。比賽完成后，禁止將比賽所用的所有物品（包括賽卷）帶離賽場。禁止在紙質資料、比賽設備和電腦桌上作任何與競賽無關的標記，如違反規(guī)定，可視為0分。與比賽相關的軟件和需要完成的報告單在物理機的D:\soft文件夾中。請在物理機PC1桌面上新建“XX”（XX為賽位號）文件夾，作為選手提交競賽結果的目錄，保存選手生成的所有文檔。全部自動生成的結果性文件和項目實施總結報告的保存位置必須正確，否則涉及到的所有操作分值記為0分。網絡搭建及安全部署項目（500分）【說明】請根據物理機“D:\soft\網絡搭建及安全部署競賽報告單.docx”的要求生成文檔，將生成的文檔復制到選手目錄。收集防火墻信息時，需要先調整SecureCRT軟件字符編號為：UTF-8，否則收集的命令行中文信息會顯示亂碼。項目簡介2021年疫情過后，公司計劃繼續(xù)開展之前定下的戰(zhàn)略規(guī)劃。在黨及集團高層領導下，下半年公司規(guī)?；謴涂焖侔l(fā)展，業(yè)務數據量和公司訪問量增長巨大。為了更好管理數據，提供服務，集團決定把公司大部分對外業(yè)務放在運營商托管機房。集團、分公司及運營商托管機房的網絡結構詳見網絡拓撲圖。其中一臺CS6200交換機編號為SW-3，用于實現分公司業(yè)務終端高速接入；兩臺CS6200交換機作為集團的核心交換機；兩臺DCFW-1800分別作為集團、運營商托管機房的防火墻；一臺DCR-2855路由器編號為RT-1，作為集團的核心路由器；另一臺DCR-2855路由器編號為RT-2，作為分公司路由器；一臺DCWS-6028作為全集團內無線AP統(tǒng)一集中控制器，編號為AC，通過與WL8200-I2高性能企業(yè)級AP配合實現分公司無線覆蓋。請注意：在此典型互聯網應用網絡架構中，作為IT網絡系統(tǒng)管理及運維人員，請根據拓撲構建完整的系統(tǒng)環(huán)境，使整體網絡架構具有良好的穩(wěn)定性、安全性、可擴展性。請完成所有服務配置后，從客戶端進行測試，確保能正常訪問到相應應用。拓撲結構圖網絡設備IP地址分配表設備名稱設備接口IP地址SW-CoreLoopback/32Vlan10Vlan20Vlan30Vlan40Vlan1000/30Vlan100/30SW-2模擬Internet交換機Vlan40916/29Vlan409229/30Vlan4093/30Vlan40945/29SW-3Vlan1000/30Vlan10/24Vlan20/24RT-1Loopback/32Tunnle/30G0/00/30G0/1/30S1/0-/30RT-2Loopback/32Tunnle/30G0/06/29G0/1/30G0/2/30G0/2.11Vlan11:/24G0/2.21Vlan21:/24S1/0-/30FW-1Loopback1(Trust)/32E0/1(Untrust)5/29E0/2(Trust)/30E0/3(Trust)/30E0/4(Trust)FW-2Tunnle2(Trust)/24E0/1(Untrust)30/30E0/4(Trust)/24E0/5.6054/24E0/5.7054/24ACLoopback/32Vlan100/30APETH0/30PC-1NIC30/26PC-2NIC30/24線纜制作制作網絡線纜，插入相應設備的相關端口。交換配置與調試公司計劃使用VLSM技術為公司總部各部門劃分相應IP地址段；現公司研發(fā)部97人、營銷部56人、行政部16人、財務部10人；請使用/24網段根據研發(fā)、營銷、行政、財務每部門人數依次進行子網劃分，使IP地址浪費最少，使用每個子網最后一個可用地址作為本子網的網關。SW-1和SW-2通過VSF物理端口連接起來形成一臺虛擬的邏輯設備SW-Core。用戶對這臺虛擬設備進行管理，從而來實現對虛擬設備中所有物理設備的管理。兩臺設備VSF邏輯域為5；其中SW-1的成員編號為1，優(yōu)先級為32，SW-2的成員編號為2，優(yōu)先級為10。為確保兩臺核心交換機VSF鏈路冗余，在兩臺設備之間建立兩個vsfport-group，group1綁定27端口，group2綁定28端口。對邏輯設備SW-Core啟用VSF自動合并功能。在SW-1和SW-2之間采用LACPMAD分裂檢測功能，通過集團核心交換機與集團接入交換機(AC作為接入交換機使用)互聯接口設置LACPMAD功能相關配置來實現監(jiān)控兩臺核心設備的VSF狀態(tài)并同時每隔3s進行快速檢測。為了減少廣播，需要根據題目要求規(guī)劃并配置Vlan。具體要求如下：配置合理，在下表中交換機互聯鏈路上不允許不必要Vlan的數據流通過，包括不允許Vlan1；根據下述表格中心系，在相應交換機上完成Vlan配置和端口分配；設備Vlan編號Vlan名稱端口說明SW-CoreVlan10YXE1/0/3-4營銷部Vlan20YFE1/0/5-6研發(fā)部Vlan30XZE1/0/7-8行政部Vlan40CWE1/0/9-10財務部ACVlan10YXE1/0/3-4營銷部Vlan20YFE1/0/5-6研發(fā)部Vlan30XZE1/0/7-8行政部Vlan40CWE1/0/9-10財務部SW-3Vlan10FB-YXE1/0/3-4營銷部Vlan20FB-YFE1/0/5-6研發(fā)部把SW-Core與FW-1歸屬于同一設備的接口捆綁成一個邏輯接口，編號為1，SW-Core為主動端，FW-1為被動端。SW-3的E1/0/3和E1/0/5配置為Loopback接口。已知SNTPServer為01，該服務器時間是國際標準時間，請在所有交換機上配置該功能，保證交換機的時鐘和北京時間一致。為方便用戶日志查詢管理，現需要把所有交換機的時間在每年4月第一個星期日23:00到這一年的10月最后一個星期日00:00，實行夏令時，時鐘偏移量為2小時，命名為Time。防止終端產生MAC地址泛洪攻擊，在SW-Core的所有業(yè)務端口設置開啟端口安全功能，配置端口允許的最大安全MAC數量為20，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過，關閉端口，恢復時間為3分鐘。使用相關技術將SW-2模擬為Internet交換機，實現集團與分公司之間Internet路由表與集團內部業(yè)務路由表隔離，Internet路由表位于VPN實例名稱Internet內。路由配置與調試盡可能加大RT-1與RT-2之間虛擬專線鏈路帶寬，配置MutlilinkPPP捆綁，編號為10。路由器之間采用chap雙向認證，RT-1帳號名為JTrouter，密碼為2021dcn。RT-2帳號名為FBrouter，密碼為2021dcn。規(guī)劃集團內，SW-Core、RT-1、FW-1、AC之間使用OSPF協議組網來實現集團業(yè)務互聯互通，OSPF進程號為10，具體要求如下：SW-Core與FW-1之間屬于骨干區(qū)域、SW-Core與AC之間屬于普通區(qū)域10，FW-1與RT-1之間屬于普通區(qū)域20，采用各自設備Loopback地址作為Router-id。SW-Core、FW-1、RT-1、AC分別發(fā)布自己的環(huán)回地址方便日常管理。骨干區(qū)域啟用區(qū)域MD5驗證，md5密鑰為：qywdj@dcn，KeyID為1。要求集團內的研發(fā)、營銷、行政、財務等部門的網絡內不發(fā)送協議報文。同時還規(guī)劃集團與分公司之間使用BGP協議，進程號分別為：集團是62021，分公司是62022，具體要求如下：RT-1與RT-2之間通過與Internet的接口互聯地址建立GRE隧道，RT-1與RT-2之間分別通過GRE隧道地址和專線互聯地址建立鄰居關系，在RT-2上宣告分公司營銷、研發(fā)、無線和無線AP管理路由到BGP中，讓RT-1學習到分公司的這些路由。RT-2與SW-3之間通過靜態(tài)路由協議互聯，通過相關技術實現集團除RT-1以外的設備只能學習到分公司營銷、無線和無線AP管理業(yè)務路由。廣域網配置說明：為了統(tǒng)一結果，要求源地址和目的地址均使用“IP/掩碼”表示，禁止使用地址薄或地址條目表示，"any"和題目中說明的除外，否則按零分處理。在FW-1上配置網絡地址轉換，使集團內所有業(yè)務通過FW-1訪問Internet，訪問公網采用輪詢的方式，地址池(名稱為NatAddr)為7-29，實現同一源IP會話被映射到同一個公網地址。在RT-2上配置網絡地址轉換，使分公司所有業(yè)務通過RT-2訪問Internet，訪問公網采用輪詢的方式，地址池(名稱為NatAddr)為7-29。運營商托管機房的應用服務都通過轉換成為托管機房防火墻外網口地址進行訪問Internet，內網地址薄名稱為LAN。為保證只允許集團營銷業(yè)務與分公司營銷業(yè)務、技術業(yè)務訪問托管業(yè)務應用的安全性，通過FW-1與FW-2的Internet互聯地址建立IPSEC隧道，VPN名稱為ipsec，使用IKE協商自行設置IPSec安全聯盟、交換IPSec密鑰，通過策略實現只允許訪問托管在運營商機房的2業(yè)務應用和本業(yè)務應用的網關地址。為了方便維護人員在外遠程維護管理托管在外的業(yè)務系統(tǒng)，同運營商協商后，在托管機房防火墻上配置SSLVPN，并且通過策略只開放云服務平臺的web管理服務和托管下所有業(yè)務應用系統(tǒng)遠程連接端口指定端口，指定端口如下：Windows的遠程桌面和Linux的SSH服務。認證賬號為：ywgl，密碼：ywgl123。VPN撥入用戶的地址范圍:/24，地址池名稱為vpnpool。無線配置把AC與SW-Core歸屬于同一設備的接口捆綁成一個邏輯接口，編號為2，SW-Core為主動端，AC為被動端，采用源IP和目的IP進行負載分擔。AC使用Loopback接口地址作為AC管理地址，集團內所有AP都通過手工注冊方式實現AP上線被管理。在RT-2上開啟DCHP服務，實現分公司無線業(yè)務終端可以通過DHCP自動獲取IP地址。分公司無線業(yè)務分別為：分公司財務Vlan11與分公司技術Vlan21，Vlan網關都在RT-2上。2個用戶網段對應的DHCP地址池名字分別為FB-11、FB-21，租期為4小時，DNS地址均。配置2個SSID，分別為“DCN-2.4”和“DCN-5.0”?！癉CN-2.4”對應業(yè)務Vlan11，使用network11,用戶接入無線網絡時需要采用基于WPA-personal加密方式，其口令為“DCN123456”；“DCN-5.0”對應業(yè)務Vlan21，使用network21，不需要認證但是需要隱藏SSID。要求無線AP通過相關配置來實現，“DCN-5.0”的SSID只使用倒數第一個可用VAP發(fā)送5.0G信號。通過配置防止多AP和AC相連時過多的安全認證連接而消耗CPU資源，檢測到AP與AC在10分鐘內建立連接5次就不再允許繼續(xù)連接，兩小時后恢復正常。配置所有Radio接口：AP在收到錯誤幀時，將不再發(fā)送ACK幀；打開AP組播廣播突發(fā)限制功能；開啟Radio的自動信道調整，每天上午10:00觸發(fā)信道調整功能。安全策略配置FW-1的出口帶寬為800Mbps，為集團內研發(fā)、營銷、行政、財務4個業(yè)務網段更加合理使用出口資源，要求出口口帶寬小于480Mbps時，每IP上下行最大5Mbps帶寬；出口帶寬大于720Mbps時，每IP上下行最大2Mbps帶寬，規(guī)則名稱為JT。同時要求在流量變化期間帶寬增長速率為2倍，在任何時候都要確保網頁訪問服務占每IP帶寬的40%。為防止集團內部收到垃圾郵件，請在防火墻上配置郵箱過濾，規(guī)則名稱和類別名稱均為“商業(yè)中心”，過濾含有“商業(yè)中心”字樣的郵件。為保證集團Internet出口線路，在FW-1上使用相關技術，通過ping監(jiān)控外網網關地址，監(jiān)控對象名稱為Track，每隔5S發(fā)送探測報文，連續(xù)10次收不到監(jiān)測報文，就認為線路故障，直接關閉外網接口。廣域網業(yè)務選路考慮到從集團到分公司共有二條鏈路，集團與分公司無線網段互訪優(yōu)先在RT-1與RT-2之間Serail口專線轉發(fā)；集團與分公司有線業(yè)務網段互訪只允許在RT-1與RT-2以太網專線間轉發(fā)，同時以太網專線鏈路還作為集團與分公司無線網段互訪備用鏈路。根據以上需求在相關路由器上進行合理的業(yè)務選路配置。具體要求如下：使用IP前綴列表匹配上述業(yè)務數據流；使用LP屬性進行業(yè)務選路，只允許使用route-map來改變LP屬性、實現路由控制，LP屬性可配置的參數數值為：200.服務器配置及應用項目（480分）【說明】請根據物理機“D:\soft\服務器配置及應用競賽報告單.docx”的要求生成文檔，將生成的文檔復制到選手目錄。虛擬主機的IP地址、主機名稱必須與《網絡環(huán)境》的要求一致，且必須手動設置為該虛擬機自動獲取的IP地址（提示：先新建固定IP地址的端口，為了輸出結果文檔時測試的需要，一定要關閉端口安全，然后創(chuàng)建實例時，不指定網絡，而指定端口）。云平臺訪問網址00/dashboard，登錄管理員用戶名為admin，密碼為dcncloud。所有Windows虛擬機都啟用了遠程桌面連接，所有Linux虛擬機都啟用了ssh。鏡像win2019-gui中用戶Administrator的密碼默認為Qwer1234，鏡像centos8-cli中用戶root的密碼為dcncloud。修改Windows和Linux虛擬機管理員的密碼為Password1234#，題目中所有未指明的密碼均為管理員的密碼。所有服務器要求虛擬機系統(tǒng)重新啟動后，均能正常啟動和使用。使用主機名訪問網絡資源。云平臺配置網絡信息表網絡名稱VlanID子網名稱網絡地址網關IPv4地址池Network6060Subnet60/24540-9Network7070Subnet70/24540-9Network8080Subnet80/24none0-9Network9090Subnet90/24none0-9實例類型信息表名稱IDVCPU內存(MB)磁盤(GB)實例名稱鏡像模板Large14409640Windows1至Windows7Windows2019Small21204840Linux1至Linux7CentOS8-cli實例信息表實例名稱IPv4地址完全合格域名WWWWWWWLLLLLLL卷信息表卷名稱大小連接實例d1至d45GWindows5d5至d85GLinux5Windows服務配置（240分）域控制器將Windows1升級為主域控制器，安裝DNS，負責該域的正反向域名解析，要求整個域中的主機都能正反向解析。將Windows2升級為子域控制器，安裝DNS，負責該域的正反向域名解析。把其余的Windows主機加入到域中。在Windows1上安裝證書服務器，證書頒發(fā)機構有效期為20年，頒發(fā)證書有效期10年，證書信息：公用名=，國家=CN，省=Beijing，城市=Beijing，組織=Skills，組織單位=System。Windows主機使用同一張證書，chrome瀏覽器訪問https網站時，不出現證書警告提示信息。在Windows1上新建名稱為sys和manager的組織單元，每個組織單元內新建與組織單元同名的全局安全組；每個組內新建2個用戶：sys1，sys2，manager1，manager2；所有用戶不能修改口令，密碼永不過期，每天02:00-06:00不可以登錄，manager1擁有域管理員權限。組策略部署軟件chrome.msi，讓域中主機自動安裝chrome（從物理機復制chrome.msi到Windows1的C:\soft）。拒絕sys組從網絡訪問域控制器，允許manager組本地登錄域控制器。登錄時不顯示用戶名，不顯示上次登錄，無須按Ctrl+Alt+Del。審核登錄事件，同時審核成功和失敗。禁用“關閉事件跟蹤程序”。IPSecWindows3和Windows4之間通信采用IPSec安全連接，采用計算機證書驗證。DFS服務在Windows2的C分區(qū)劃分2GB的空間，創(chuàng)建NTFS分區(qū)，驅動器號為D。配置Windows2為DFS服務器，命名空間為DFSROOT，文件夾為Pictures；實現Windows3的D:\Pics和Windows4的D:\Images同步。FTP服務把Windows3配置為FTP服務器，FTP站點名稱為ftp，站點綁定本機IP地址，站點根目錄為C:\inetpub\ftproot。站點通過ActiveDirectory隔離用戶，使用manager1和manager2測試。設置FTP最大客戶端連接數為100。設置無任何操作的超時時間為5分鐘,設置數據連接的超時時間為1分鐘。NLB服務配置Windows3和Windows4為NLB服務器，網絡為負載均衡網絡，網絡為心跳網絡。Windows3群集優(yōu)先級為3，Windows4群集優(yōu)先級為5，群集IPv4地址為0/24，群集名稱為，采用多播方式。配置Windows3為web服務器，站點名稱為，網站的最大連接數為10000，網站連接超時為60s，網站的帶寬為100Mbps。共享網頁文件、共享網站配置文件和網站日志文件分別存儲到Windows2的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs，連接用戶為域管理員。網站主頁index.html內容為"HelloNLB"，index.html文件編碼為ANSI。使用W3C記錄日志，每天創(chuàng)建一個新的日志文件，日志只允許記錄日期、時間、客戶端IP地址、用戶名、服務器IP地址、服務器端口號。網站僅綁定https，IP地址為群集地址，僅允許使用域名加密訪問。故障轉移群集在Windows5上添加4塊硬盤，每塊硬盤大小為5G，初始化為GPT磁盤，配置為Raid0，驅動器號為D盤。在Windows5上安裝iSCSI目標服務器，并新建iSCSI虛擬磁盤，存儲位置為D:\；虛擬磁盤名稱分別為Quorum和Files，大小分別為512MB和5GB，目標名稱為win，訪問服務器為Windows6和Windows7，實行CHAP雙向認證，Target認證用戶名和密碼分別為IncomingUser和IncomingPass，Initiator認證用戶名和密碼分別為OutgoingUser和OutgoingPass。在Windows6和Windows7上安裝多路徑I/O，和網絡為MPIO網絡，連接Windows5的虛擬磁盤Quorum和Files，創(chuàng)建卷，驅動器號分別為M和N。配置Windows6和Windows7為故障轉移群集；網絡為心跳網絡。在Windows6上創(chuàng)建名稱為WinCluster的群集，其IP地址為0.在Windows7上配置文件服務器角色，名稱為WinClusterFiles，其IP地址為0。為WinClusterFiles添加共享文件夾，共享協議采用“SMB”，共享名稱為WinClusterShare，存儲位置為N:\，NTFS權限為僅域管理員和本地管理員組具有完全控制權限，域其他用戶具有修改權限；共享權限為僅域管理員具有完全控制權限，域其他用戶具有更改權限。虛擬化在Windows2安裝docker，導入NanoServer鏡像。軟件包和鏡像存放在物理機D:\soft\DockerWindows。創(chuàng)建名稱為web的容器，映射Windows2的80端口到容器的80端口，容器啟動后運行cmd命令，保持容器處于運行狀態(tài)。腳本在Windows4上編寫C:\CreateFile.ps1的powershell腳本,創(chuàng)建20個文件C:\test\File00.txt至C:\test\File19.txt，如果文件存在，則首先刪除后，再創(chuàng)建；每個文件的內容同文件名，如File00.txt文件的內容為“File00”。Linux服務配置（240分）DNS服務設置所有Linux服務器的時區(qū)設為“上海”，本地時間調整為實際時間。啟動所有Linux服務器的防火墻，并添加相應端口（不允許添加服務）放行相關服務。利用chrony配置Linux1為其他Linux主機提供時間同步服務。利用bind9軟件，配置Linux1為主DNS服務器，采用rndc技術提供不間斷的DNS服務；配置Linux2為備用DNS服務器，為所有Linux主機提供冗余DNS正反向解析服務。所有Linux主機root用戶使用完全合格域名免密碼ssh登錄到其他Linux主機。配置Linux1為CA服務器,為所有Linux主機頒發(fā)證書，不允許修改/etc/pki/tls/openssl.conf。CA證書有效期20年，CA頒發(fā)證書有效期均為10年，證書信息：國家=“CN”，省=“Beijing”，城市=“Beijing”，組織=“Skills”，組織單位=“System”，公用名=。Linux主機使用同一張證書，證書路徑均為/etc/ssl/skills.crt，私鑰路徑均為/etc/ssl/skills.key，chrome瀏覽器訪問https網站時，不出現證書警告提示信息。mail服務配置Linux2為mail服務器，安裝postfix和dovecot。僅支持smtps和pop3s連接，證書路徑均為/etc/ssl/skills.crt，私鑰路徑均為/etc/ssl/skills.key。創(chuàng)建用戶mail1和mail2，向all@發(fā)送的郵件，每個用戶都會收到。root用戶使用mail工具向all@發(fā)送一封郵件，郵件主題為“Hello”，內容為“Welcome”。apache2服務配置Linux2為httpd服務器，安裝apache2，http訪問時自動跳轉到https安全連接。使用或（any代表任意網址前綴，用和測試）訪問時，自動跳轉到?？蛻舳嗽L問時，必需有SSL證書。關閉不安全的服務器信息，在任何頁面不會出現系統(tǒng)和WEB服務器版本信息。rsyslog服務配置Linux3為遠程日志服務器，允許使用udp和tcp，為Linux4提供日志服務。在Linux4上使用命令"logger'Helloworld'"，向日志服務器發(fā)送日志。Mariadb服務配置Linux3為Mariadb服務器，安裝Mariadb-server，創(chuàng)建數據庫用戶jack，在任意機器上對所有數據庫有完全權限；允許root遠程登陸。配置Linux4為Mariadb客戶端，創(chuàng)建數據庫use