2023年"网络搭建与应用"省赛试题复盘
第一部分:网络搭建及安全部署项目
(500分)
一、竞赛内容分布
"网络搭建与应用"竞赛共分二个部分,其中:
第一部分:网络搭建及安全部署项目
第二部分:服务器配置及应用项目
二、竞赛注意事项
(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
(3)本试卷共有两个部分。请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4)操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
(5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷等)带离赛场。
(6)禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。
(7)与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。
网络设备连接表,详见拓扑图
设备 设备
名称 设备接口 IP地址
路由器 RT1 G 0/0 10.11.11.1/24
G 0/1 10.12.12.1/24
RT2 Loopback1 200.200.200.200/32
G 0/0 10.13.13.1/24
G 0/1 10.14.14.1/24
三层交换机 SW-Core VLAN200 SVI 10.10.200.1/24
2001:10:200:254::253/64
VLAN254 SVI 10.10.254.1/24
2001:10:254::254/64
VLAN1000 SVI 10.10.100.1/30
VLAN1001 SVI 10.10.101.1/30
VLAN60 SVI 10.10.60.1/24
三层交换机 SW-3 VLAN254 SVI 10.10.254.2/24
2001:10:254::253/64
Vlan200 SVI 10.10.200.2/24
2001:10:200:254::254/64
Vlan10 SVI 10.10.10.1/24
Vlan20 SVI 10.10.20.1/24
Vlan30 SVI 10.10.30.1/24
Vlan40 SVI 10.10.40.1/24
Vlan50 SVI 10.10.50.1/24
Vlan70 SVI 10.10.70.1/24
Vlan80 SVI 10.10.80.1/24
Vlan100 SVI 192.168.100.1/24
防火墙 FW1 Eth0/1 10.10.100.2/30
(trust安全域)
Eth0/2 10.10.101.2/30(trust安全域)
Eth0/3 10.11.11.2/24(DMZ安全域)
Eth0/4 10.13.13.2/24(untrust安全域)
tunnel1 (VPNHub安全域)
Tunnel2 (SSLVPN安全域)
防火墙 FW2 Eth0/1 172.30.254.1/24(trust安全域)
Eth0/2 10.12.12.2/24
(DMZ安全域)
Eth0/3 10.14.14.2/24(untrust安全域)
tunnel1 (VPH安全域)
无线控制器 DCWS VLAN254 SVI 172.30.254.2/24
VLAN253 SVI 172.30.253.1/24
Vlan200 SVI 172.30.200.1/24
Vlan201 SVI 172.30.201.1/24
【说明】
(1)设备console线有两条。交换机、 AC、防火墙使用同一条console线,路由器使用另外一条console线。设备命名方式参考网络设备IP地址分配表。
(2)设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据,无文档相关环节视为0分。
(3)网络部分的所有答案需按要求提交到U盘的答题模板中,无提交的或提交错误的视为0分,截图完成后将此word文档另存为PDF文档。
一、交换机配置
- 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,用户对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。两台设备之间建立一个vsf port-group,vsf port-group编号都为1, E1/0/25、E1/0/26绑定一个端口,vsf port-groupVSF逻辑域为10,SW-1的成员编号为1,SW-2的成员编号为2,正常情况下SW-2负责管理整个VSF,采用BFD MAD分裂检测,SW-1 BFD MAD IP地址为:10.40.40.1/30,SW-2 BFD MAD接口IP地址为:10.40.40.2/30,使能VSF自动合并功能; (30分)
- 为了减少广播,需要根据题目要求规划并配置VLAN。具体要求如下:(10分)
- 配置合理,SW-3和SW-Core之间除了互联和ipv6地址通过以外不允许其他vlan通过 (10分)
2.根据下述信息及表,在接入交换机和核心交换机上完成VLAN配置和端口分配。
设备 VLAN编号 VLAN名称 端口 说明
SW-3 VLAN10 XZ E1/0/1至E1/0/4 行政
VLAN20 YX E1/0/5至E1/0/9 营销
VLAN30 JS E1/0/10至E1/0/14 技术
VLAN40 SH E1/0/15至E1/0/17 售后
VLAN100 E1/0/20 云平台管理vlan
SW-Core VLAN4000 E1/0/24、E2/0/24 BFD MAD
-
总部交换机SW-Core和SW-3启用端口汇聚功能带宽,模式为动态放式;
-
在接入交换机上进行端口限速,对端口E 1/0/5下联的PC限速到双向10M,端口E 1/07下联的PC限制到双向5M。
5.网管服务器需要通过抓取镜象报文的方式分析网络中的流量,现在将SW-3的E 1/0/2和E 1/0/3端口的收发报文做为镜象的源,镜象给E 1/0/10端口
6.总部部署了一套网管系统实现对全网所有交换机进行管理,网管系统IP为:1010.200.10,读团体值为:2023Net@gx,读写团体值为:2023Net@gx,版本为V2C
7在SW-3配置DHCP,具体要求如下:为vlan10,20,DHCP服务,的DNS服务器的ip1.1.1.1地址;租约期为8个小时。排除网关,为vlan30、配置中继成功获取到ip
- 在SW-Core配置DHCP,具体要求如下:为vlan30,DHCP服务,的DNS服务器的ip1.1.1.1地址;租约期为8个小时。排除网关
9营销网段访问外网优先走SW-2,其他网段走SW-1
10.在SW-3、SW-Core的管理网段配置ipv6地址,并做静态路由,让PC1和PC3的ipv6地址能互访。
二、路由器配置与调试
- 总部SW-3、SW-Core、FW1之间规划使用OSPF协议,FW1与SW-Core区域为Area 0,SW-3与SW-Core区域为Area1,在SW-Core通告所有网段,要求FW和RT1能学习总部相关网段的路由。
2.总部FW1、分部RT1之间规划使用BGP协议,通过接口互联地址建立两对E-BGP邻居关系,FW1区域号为65002,RT1区域号为65003 - 分部RT1、FW2、DCWS之间规划使用RIP协议,版本号为RIP-2,取消自动聚合,同时在分部DCWS上发布相关业务路由,要求RT1学习到分部所有网段的路由。
- 在FW配置默认路由访问互联网,并通过OSPF下发默认路由,在RT1配置默认路由访问互联网,并通过RIP下发默认路由。
5.在FW1配置OSPF、BGP双向路由重分发,RT1配置BGP、RIP总部和分部都能学到对方的路由;
6.总部为了减少OSPF的LSDB大小,在OSPF 区域1内,禁止学习LSA3,LSA4,LSA5报文。
三、广域网配置
1.总部通过FW1访问互联网,配置源NAT允许总部用户,不可以访问外网通过IP10.10.10.3/29访问外网,分部通过FW2访问互联网,配置源NAT允许分部用户vlan200,vlan201通过公网接口访问外网。 - 在FW1上配置外网通过公网接口的IP可以访问内部的https;
- 总部营销网段和分部无线VLAN 200互访,正常情况下通过FW1-RT1-FW2之间的线路作为主线路进行通信,为了保障业务的可靠性,总部和分部的 FW1和FW2之间通过公网IP建立IPSec VPN隧道链路作为备份线路,当FW-RT1-FW2之间的主线路断开后,总部营销网段和分部无线VLAN 200互访可以通过PSec VPN隧道链路进行访问, IPsec VPN的加密认证算法自选。(没成功)
4.配置 FW1 上的 SSL VPN 功能,允许用户通过 SSLVPN 能访问到内部服务器所有网 段(IP 地址:10.100.100.100/24),SSL VPN 名称:DCNGXSSL;SSLVPN 网段 为 10.200.200.10-20,用户名:VPN,密码:VPN123
四、无线配置
1.无线控制器DCWS为所有无线业务提供DHCP功能,VLAN253 为无线AC和AP管理地址,VLAN200和VLAN201为无线客户端的地址,网关位于DCWS。 - DCWS使用第一个地址作为管理地址,AP使用VLAN253中可用的IP地址,通过DHCP Option下发管理地址方式实现AP注册到DCWS上。
3.设置两个SSID DCN1_XX、DCN2_XX,其中的XX为工位号,具体要求如下:
DCN1_XX,VLAN200,加密模式为wpa-personal,其口令为:12345678,;DCN2_XX,VLAN201,加密模式为wpa-personal,其口令为:12345678只在5G频道看得到信号。(20分)
4.配置DCN1_XX最多接入10个用户,并对DCN1_XX网络进行流控,上行1M,下行2M。
五、安全策略配置
1. FW配置trunst,untrunst,区域及接口IP,并实现相应的规则,要求如下:
- 实现总部内部用户10.10.10.10/32不可以访问互联网、其他网段可以访问互联网;
- 实现总部营销网段和分部VLAN200网段实现互通。
3.为了安全,对分部启用WEB认证,分部VLAN201网段需要通过WEB认证后才可以访问互联网,认证服务器为本地防火墙,用户名和密码分别为 Net2023@gx,强制用户在线时常超过1天后必须重新登录。
- FW1配置防止垃圾邮件,设置箱过滤,过滤可能含有"发票"的邮件。
- FW1配置加强访问Internet安全性,禁止从HTTP打开和下载可执行文件和批处理文件
- FW1配置untrust配置icmp洪水攻击防护,攻击防护为默认值
服务器IP地址分配表
宿主机
虚拟主机名称
域名信息
服务角色 系统及
版本信息
IPv4地址信息
云 实 训 平 台
云主机1
Windows1.jnds.com 域控制器
DNS服务器
CA证书服务器
DHCP服务器
文件服务器
Windows
server 2012
10.10.70.11/24
云主机2
WEB服务器
Windows
server 2012
10.10.70.12/24
云主机3
FTP服务器
Windows
server 2012
10.10.70.13/24
云主机4
DNS服务器
WEB服务器
Centos 7.4
mini
10.10.80.11/24
云主机5
FTP服务器
Samba服务器
NFS服务器
Centos 7.4
mini
10.10.80.12/24
云主机6
Mail服务器
数据库服务器
Centos 7.4
mini
10.10.80.13/24
云平台网络信息表
网络名称 ID 外部网络 子网名称 子网网络地址 网关IP 激活DHCP
Vlan70 70 是 Vlan70-subent 10.10.70.0/24 10.10.70.1 否
Vlan80 80 是 Vlan80-subnet 10.10.80.0/24 10.10.80.1 否
虚拟机信息表
虚拟主机 名称 镜像模板
(源) 云主机类型
(实力规格) VCPU数量 内存、硬盘信息 网络名称 备注
云主机1 WindowsServer2012 Windows1 2 4G、60 Vlan70 连接卷hd3-hd5
云主机2 WindowsServer2012 Windows2 2 4G、60 Vlan70 加入域
连接卷hd2
云主机3 WindowsServer2012 Windows3 2 4G、60 Vlan70 加入域
连接hd1
云主机4 Centos 7.4 mini Linux1 1 1G、40 Vlan80
云主机5 Centos 7.4 mini Linux2 1 1G、40 Vlan80 连接卷hd6-hd7
云主机6 Centos 7.4 mini Linux3 1 1G、40 Vlan80
第二部分:服务器配置及应用管理(500分)
【说明】
(1)云服务实训平台2.0管理ip地址默认为192.168.100.100,访问地址http://192.168.100.100/dcnlcoud,默认账号为admin,密码为dcncloud,ssh默认账号为root,密码为dcncloud,禁止修改云服务实训平台账号密码及管理ip地址,否则服务器配置及应用项目部分计0分;
(2)云服务实训平台中提供镜像环境,镜像的默认用户名密码以及镜像信息,参考《云服务实训平台用户操作手册》;
(3)题目中所有未指明的密码均为2020Netw@dcn,若未按照要求设置密码,涉及到该操作的所有分值记为0分;
(4) 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作,centos服务器可以通过CRT软件连接进行操作,所有linux主机都默认开启ssh功能;
(5)将题目要求的截图内容按照答题卡要求进行截图。截图完成后将此word文档另存为PDF文档。上交word原文档和pdf文档。
一、云平台基础设置
创建7 块云硬盘,卷命名为hd1-hd7,其中hd1-hd5大小为10G,hd6-hd7大小为20G。详细操作过程请参照"云服务实训平台用户操作手册"。
注意:
(1)必须通过"项目"栏中的"计算"子栏中的"卷"功能来创建云硬盘;不能使用"管理员","系统"栏下的"卷"功能,该功能使用不当会造成云硬盘创建失败,界面卡死。
(2)在分离卷之前一定要保证使用该卷的linux主机中,已经不存在该卷的任何挂载点。如果使用该卷的主机是windows实例,必须保证该卷在主机的"磁盘管理"项目中处于脱机状态,否则会造成分离失败,或是一直显示 "分离中"状态。
模块二:windows操作系统
一、在云主机1上完成如下操作
(一)完成域控制器的部署
1、安装域控制器,设置域和林的功能级别为Windows Server 2012,域控制器安装成功后将Windows操作系统的所有虚拟机加入该域;此外,安装证书服务,设置为企业根,有效期为3年,为企业内部自动回复证书申请,续期为20年;为其他windows服务器颁发证书。组织=jnds,组织单位=system,,城市=NanNing,省=GuangXi,国家=CN,web服务器证书从此颁发,访问https时不会显示证书警告。
2、创建3个用户组,组名采用对应部门名称的全拼命名(例如财务部:caiwubu),每个部门都创建2个用户,技术部用户: js1~js2、人事部用户: rs1~rs2、财务部用户: cw1~cw2,所有用户不能修改其用户口令,并要求用户只能在上班时间可以登录(每周工作日 9:00~18:00),创建以三个组全拼命名的组织单元,并将其加入组织单元中。
(二)完成DNS服务器的部署
将此服务器配置为主DNS服务器,正确配置jnds.com域名的正向及反向解析区域,能够正确解析jnds.com域中的所有主机;创建对应服务器主机记录,准确设置DNS服务正向区域和反向区域。
(三)完成DHCP服务器的部署
安装DHCP服务,建立一个DHCP命名的作用域,网关为10.10.70.1,租借时间为8个小时,分配地址池10.10.70.100至10.10.70.200,分配DNS服务器,并排除网关。
(四)完成文件服务资源管理器
在磁盘管理中找到云平台分配的卷hd3-hd5,将三块硬盘配置为Raid5卷,对应磁盘盘符为H:\;
在H盘中创建share文件夹,在\share\jishubu文件中创建以技术部用户名命名的文件夹,权限设置技术部用户可读可写,其他用户不可见的;在\share\public文件中权限设置域管理员可读可写,其他用户可读;为share文件屏蔽用户创建后缀为.bat,.exe,.sh的文件;文件组名和模板名为my;使jd1登录计算机时能自动挂载磁盘H:\。
二、在云主机2上完成如下操作
完成WEB服务器的部署
在磁盘管理中找到云平台分配的卷hd2,配置WEB盘,盘符为E:\;
创建www.2023jnds.com站点,创建名称为2023jnds.html的主页,主页显示内容"热烈庆祝2023技能竞赛开幕",同时只允许使用域名访问。
设置网站最大连接数为1000,网站连接超时为60s,网站的带宽为1000KB/S,使用W3C记录日志和ETW事件,每天日志文件滚动更新,使用本地时间进行文件命名和滚动更新。
三、在云主机3上完成如下操作
在磁盘管理中找到云平台分配的卷hd1,配置FTP盘,盘符为F:\;
在F:\路径下建立ftp站点,所有用户具有读取和写入文件权限,FTP站点欢迎消息为:"欢迎访问网络搭建FTP服务器!",技术部两个用户主目录相互隔离,只允许使用域名访问FTP。
模块三:Linux操作系统
整体要求:所有服务要求开机自启动,使用防火墙技术,只开启必要的服务。
一、在云主机4上完成如下操作
(一) 完成BIND服务器的部署
安装配置bind服务,负责区域"Linux1.skills.net"内所有主机的解析,并做好正反向DNS服务解析, 利用 nslookup 命令完成验证。
(二)完成Apache服务器的部署
1、安装httpd服务,建立站点www.skills.net,其网站主目录为/skills/www/skills.net,首页内容为"您访问的是Apache!";
2、完成Apache服务的访问测试。
二、在云主机5上完成如下操作:
(一)完成磁盘的部署
在磁盘管理中找到云平台分配给的卷h6-h7,将两块硬盘配置为Raid1,查看Raid盘状态并截图,并将Raid盘挂载为/Raid1。
(二)完成FTP服务器的部署
1、配置FTP服务,创设FTP服务站点,域名为ftp.skills.net,站点主目录为 /Raid1/ftpsite,不允许匿名用户访问,开启ftp支持被动数据传输模式;
2、建立虚拟用户ftpuser1及ftpuser2,密码和用户相同,通过配置实现这两个用户限制在各自的主目录下,且均有读写权限;
3、完成FTP服务的上传、下载测试。
(三)完成samba服务器的部署
1.在 linux4上创建user1-user20等20个用户;user1 和
user2添加到manager组,user3 添加到sale组,user4添加到
dev 组。
2.配 置 为 Samba 服 务 器 , 建 立 共 享 目 录 /share/ShareManager,
/share/ShareSale, /share/SharePublic,共享名与目录名相同。
3.manager 组用户对 ShareManager 和 SharePublic 有共享读写权
限,sale 组用户对 ShareSale 和 SharePublic 有共享读写权限,dev 组
对所有共享均有读写权限;用户对自己新建的文件有完全权限,对其
他用户的文件只有读权限,且不能删除别人的文件。
4.把用户 user1-user4 添加到 samba 用户
(四)完成NFS服务的部署
1.配置NFS服务,按下表要求共享目录:
共享目录 共享要求
共享目录 共享要求
/var/test 本部技术部的用户具有读写权限,其它只读
/var/tmp 所有人都可以存取,root写入的文件还具有root的权限
2.创建用户nfsuser,当nfsuser在终端登录时,自动mount 共享的/var/test目录到
云主机6的/home/nfsuser/t,退出时自动umount;
3.在云主机6测试NFS服务器
三、在云主机6上完成如下操作:
(一)完成E-MAIL服务器的部署
1、在此服务器上安装配置postfix邮件服务,创建两个用户mail1,mail2;每个用户的邮箱空间为20MB;
2、为mail1和mail2两员工创建邮箱账户,实现不同用户之间的正常通讯,用户密码为123,邮件服务器要在所有IP地址上进行侦听;
3、在云主机6上安装office outlook 软件发送邮件;mail1用户发给mail2用户,主题为"你好",内容为"欢迎大家"。
(二)完成MySQL数据库服务器的部署
1.将此服务器配置为MySQL服务器,创建数据库为myschool,在库中创建表为mystudent,在表中创建2个用户,分别为(1,myuser1,1996-10-11,male),(2,myuser2,1997-11-10,female),口令与用户名相同,将数据库表展开截图。表结构如下:
字段名 数据类型 主键
ID Int 是
Name varchar(10) 否
Birthday Datetime 否
Sex char(8) 否
Password char(128) 否
2.将myuser1的生日改成1997-12-12。