Network Construction and Application Contest Sample Questions ( 3 )
Skill Requirements
(total score 1000 points)
contest description
1. Competition content distribution
The "Network Construction and Application" competition is divided into three parts, among which:
Part I: Network Construction and Security Deployment Project (500 points)
Part II: Server configuration and application projects (480 points)
Part III: Professional Standards and Accomplishments (20 points)
2. Matters needing attention
- It is forbidden to carry and use mobile storage devices, calculators, communication tools and reference materials.
- According to the competition environment provided by the competition, please check whether the listed hardware equipment, software list, and material list are complete, and whether the computer equipment can be used normally.
- Please read the competition test paper carefully and complete all operations according to the test paper requirements.
- During the operation, the device configuration needs to be saved in time.
- After the competition, all equipment remains in operation, and the final hardware connection and configuration is the final result for judging.
- After the competition, please keep the competition equipment, software and competition questions on the seat, and it is forbidden to take all the items used in the competition (including test papers and straw paper) out of the competition venue.
- It is forbidden to fill in any marks that are not related to the competition on paper materials, competition equipment, and any violation of regulations can be regarded as 0 points.
- The tool software related to the game is placed in the soft folder of the D drive of each host.
Project Description:
A group company originally established its headquarters in Beijing, then established a branch in Shenzhen, and then set up two offices in Chengdu and Zhengzhou. The headquarters has 5 departments of sales, products, legal affairs, finance, and information technology, which plan and allocate IP and business resources in a unified manner. The entire network adopts OSPF dynamic routing protocol and static routing protocol for interconnection.
The scale of the company has grown rapidly in 2019, and the volume of business data and company visits has grown enormously. In order to better manage data and provide services, the group decided to build its own medium-sized data center and business service platform to achieve fast and reliable exchange of data and enhance the flexibility of business deployment.
For the network structure of the group, branches and two offices, please refer to the topology diagram of "Main Network Environment".
One of the S4600 switches is numbered SW-3, which is used to achieve high-speed terminal access; two CS6200 switches are used as the core switches of the headquarters; two DCFW-1800 are used as the firewalls of the Chengdu Office and the Zhengzhou Office; The 2655 router number is RT-1, which is the core router of the group; the other DCR-2655 router is numbered RT-2, which is used as the branch router; a DCWS-6028 is the wired and wireless intelligent integrated controller of the group, and the number is DCWS realizes group wireless coverage by cooperating with WL8200-I2 high-performance enterprise AP.
Please note: Combine the network environment and network topology requirements, plan the network and IP address reasonably, and ensure the smooth implementation of network construction and security deployment projects, server configuration and application projects.
Table 1. Network Device Connection Table
| A-device connects to B-device |
|||
| device name |
interface |
device name |
interface |
| RT-1 |
G0/5 |
FW-1 |
E0/1 |
| RT-1 |
S0/1 |
RT-2 |
S0/2 |
| RT-1 |
S0/2 |
RT-2 |
S0/1 |
| RT-2 |
G0/5 |
FW-1 |
E0/2 |
| SW-1 |
E1/0/23 |
SW-2 |
E1/0/23 |
| SW-1 |
E1/0/24 |
SW-3 |
E1/0/27 |
| SW-2 |
E1/0/24 |
SW-3 |
E1/0/28 |
| SW-1 |
E1/0/22 |
AC |
E1/0/23 |
| SW-2 |
E1/0/22 |
AC |
E1/0/24 |
| SW-1 |
E1/0/21 |
RT-1 |
G0/3 |
| SW-2 |
E1/0/21 |
RT-1 |
G0/4 |
| RT-1 |
G0/6 |
SW-2 Analog Internet Switch |
E1/0/17 |
| FW-2 |
E0/1 |
SW-2 Analog Internet Switch |
E1/0/18 |
| SW-1 |
E1/0/1 |
PC1 |
NIC |
| SW-2 |
E1/0/1 |
cloud platform |
management port |
| SW-2 |
E1/0/2 |
cloud platform |
Business port |
| SW-3 |
E1/0/13 |
AP |
|
| SW-3 |
E1/0/14 |
PC2 |
NIC |
Table 2. Network equipment IP address allocation table
| equipment |
device name |
device interface |
IP address |
| router |
RT-1 |
Loopback1 |
100.30.255.3/32 |
| G 0/3 |
100.30.254.2/30 |
||
| G 0/4 |
100.30.254.6/30 |
||
| G 0/5 |
100.30.254.25/30 |
||
| G 0/6 |
202.99.192.1/30 |
||
| S 0/1-2 |
100.30.254.17/30 |
||
| Tunnel 1 |
100.30.254.33/30 |
||
| RT-2 |
Loopback1 |
100.30.255.4/32 |
|
| G 0/5 |
100.30.254.29/30 |
||
| G 0/4 |
172.30.10.254/24 |
||
| S 0/1-2 |
100.30.254.18/30 |
||
| Layer 3 switch |
SW-1 |
Loopback 1 |
100.30.255.1/32 |
| VLAN10 SVI |
192.168.10.0/24 |
||
| VLAN20 SVI |
192.168.20.0/24 |
||
| VLAN30 SVI |
192.168.30.0/24 |
||
| VLAN40 SVI |
192.168.40.0/24 |
||
| VLAN50 SVI |
192.168.50.0/2 |
||
| VLAN200 SVI |
100.30.200.0/24 |
||
| VLAN1000 SVI |
100.30.254.9/30 |
||
| VLAN1001 SVI |
100.30.254.1/30 |
||
| VLAN4094 SVI |
100.30.254.253/30 |
||
| SW-2 |
Loopback 1 |
100.30.255.2/32 |
|
| VLAN10 SVI |
100.30.10.0/24 |
||
| VLAN20 SVI |
100.30.20.0/24 |
||
| VLAN30 SVI |
100.30.30.0/24 |
||
| VLAN40 SVI |
100.30.40.0/24 |
||
| VLAN50 SVI |
100.30.50.0/24 |
||
| VLAN200 SVI |
100.30.200.0/24 |
||
| VLAN1002 SVI |
100.30.254.13/30 |
||
| SW-2模拟Internet交换机 |
VLAN4000 SVI |
202.99.192.2/30 |
|
| VLAN4001 SVI |
202.99.192.65/30 |
||
| Loopback100 |
202.100.100.100/32 |
||
| 防火墙 |
FW-1 |
Loopback1 |
100.30.255.5/32 |
| Eth0/1 |
100.30.254.26/30 (untrust安全域) |
||
| Eth0/2 |
100.30.254.30/30 (untrust安全域) |
||
| Eth0/3 |
172.30.20.254/24 (trust安全域) |
||
| FW-2 |
Eth0/1 |
202.99.192.66/30(untrust安全域) |
|
| Eth0/2 |
172.30.30.254/24(trust安全域) |
||
| Tunnel 1 |
100.30.254.34/30 (VPNHub安全域) |
||
| 无线控制器 |
DCWS |
VLAN1000 SVI |
100.30.254.10/30 |
| VLAN1002 SVI |
100.30.254.14/30 |
||
| VLAN220 SVI |
100.30.220.254/24 |
||
| 二层交换机 |
SW-3 |
VLAN200 SVI |
100.30.200.250/24 |
表3. 云实训平台网络信息表
| 网络 名称 |
vlan号 |
外部网络 |
子网 名称 |
子网网络地址 |
网关IP |
激活DHCP |
地址池范围 |
| Vlan X |
X |
是 |
Vlan X |
192.168.X.0/24 |
192.168.X.254 |
是 |
192.168.X.100 -192.168.X.200 |
表4.虚拟主机信息表
| 虚拟主机名称 |
镜像模板 |
云主机类型(flavor) |
VCPU |
内存、硬盘信息 |
网络名称 |
备注 |
| 云主机1 |
WindowsServer2019 |
windows-440 |
2 |
4G、40G |
VlanX |
|
| 云主机2 |
WindowsServer2019 |
windows-440 |
2 |
4G、40G |
VlanX |
连接卷hd1、hd2、hd3 |
| 云主机3 |
WindowsServer2019 |
windows-440 |
2 |
4G、40G |
VlanX |
连接hd4、hd5 |
| 云主机4 |
Centos8.3 |
linux-220 |
1 |
2G、25G |
VlanX |
|
| 云主机5 |
Centos8.3 |
linux-220 |
1 |
2G、25G |
VlanX |
|
| 云主机6 |
Centos8.3 |
linux-220 |
1 |
2G、25G |
VlanX |
第一部分 网络搭建
二、交换机设置
(一) 为了减少广播,需要根据题目要求规划并配置VLAN。具体要求如下:
1. 配置合理,所有链路上不允许不必要VLAN的数据流通过,包括VLAN 1;
根据下述信息及表,在交换机上完成VLAN配置和端口分配。
|
|
VLAN编号 |
VLAN名称 |
端口 |
说明 |
| SW-3 |
VLAN10 |
XS |
E1/0/6 |
销售 |
| VLAN20 |
CP |
E1/0/7 |
产品 |
|
| VLAN30 |
FW |
E1/0/8 |
法务 |
|
| VLAN40 |
CW |
E1/0/9 |
财务 |
|
| VLAN50 |
XXJS |
E1/0/10至E1/0/12 |
信息技术 |
|
| VLAN200 |
GL |
E1/0/13 |
AP&交换机管理VLAN |
(二)在集团核心交换机SW-1和SW-2、接入交换机SW-3间运行一种协议,具体要求如下:
1.实现销售、产品、信息技术业务优先通过SW-1至SW-3间链路转发(实例10),2.法务、财务、AP&交换机管理等业务优先通过SW-2至SW-3间链路转发(实例20),从而实现VLAN流量的负载分担与相互备份;
(三)在集团核心交换机SW-1和SW-2运行一种容错协议,为所有业务VLAN实现网关冗余,具体要求如下:
1.虚地址使用该VLAN中的最后一个可用IP、SW-1使用该VLAN中的倒数第三可用IP、SW-2使用该VLAN中的倒数第二可用IP,SW-1为销售、产品、信息技术业务的Master,SW-2为法务、财务、AP&交换机管理等业务的Master,且互为备份;
2.监视上行链路状态,当上行链路故障时,Slave设备能够接管Master设备转发数据;而当链路故障恢复后,原Master设备接管Slave设备转发数据。
(四)在SW1和SW2上配置简单网络管理协议,计划启用V3版本,开启交换机SNMPv3 Trap功能, SW1使用172.17.100.1/24作为接受Trap的管理端, SW2使用172.17.200.1作为接受Trap的管理端。创建认证用户为DCN2020,密钥为:DCn20202020,采用MD5的加密方式;加入组DCN;配置组的读、写视图分别为:Dcn2020_R、DCn2020_W,采用鉴别而不加密的级别。
(五)集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在两台核心交换机E1/0/10-E1/0/11接口测试,VLAN300作为远程端口镜像VLAN,Ethernet1/0/12作为反射端口,将核心交换机与接入交换机、路由器互连流量提供给多个厂商网流分析平台。
二、路由配置与调试
(一)规划集团与分公司、成都办事处之间使用OSPF协议进行互连互通,进程号为1,具体要求如下:
1.集团路由器与集团核心交换机之间、集团核心交换机与集团核心交换机之间、集团路由器与分公司路由器之间均属于骨干区域,集团业务网段属于Area1,分公司业务网段属于Area2;集团路由器与成都办事处防火墙之间、成都办事处防火墙与分公司路由器之间、成都办事处业务网段属于Area3;
2.针对骨干区域启用区域MD5验证,验证密钥为:DCN2019。
(二)为了合理分配集团业务流向,保证来回路径一致,业务选路具体要求如下:
1.实现销售、产品、信息技术业务分别与Internet、分公司、办事处互访流量优先通过SW-1_RT1间链路转发,法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过SW-2_RT1间链路转发,从而实现流量的负载分担与相互备份。
三、无线配置
(一)集团无线控制器DCWS与核心交换机互联,无线业务网关位于DCWS上,VLAN220为业务VLAN;核心交换机SW-2配置使用DHCP进行AP管理地址分配,利用DHCP方式让AP发现AC进行三层注册,采用MAC地址认证。
(二)配置一个SSID DCNXX:DCNXX中的XX为赛位号,访问集团及Internet业务,采用WPA-PSK认证方式,加密方式为WPA个人版,配置密钥为Dcn12345678。
(三)配置所有Radio接口:AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午10:00触发信道调整功能。
(四)配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级。
四、安全策略设置
1. 针对FW的untrust区域开启所有攻击防护,发现攻击时丢弃;
2. FW1要求限制行政&两个个销售业务组仅在工作日(周一到周五,9:00-18:00)允许访问互联网,但禁止使用QQ聊天;
3. 公司为确保上班的工作效率,要求在工作日(周一到周五,9:00-18:00)期间禁止访问财经、社区论坛类的网站,同时为了防止垃圾邮件, 配置邮箱过滤,禁止发送邮件内容含有“发票”字样的邮件并记录相关日志;
4. FW1禁止访问www.taobao.com
5. FW2禁止访问www.jd.com
6. FW2为了保证带宽的正常使用,限制P2P应用的下行带宽最高为10M。
7. FW2对关键字为“暴力”的网页内容进行过滤。
第二部分 信息系统部署与应用
一、云实训平台配置
- 云实训平台相关说明:
- 云实训平台管理ip地址默认为192.168.0.100,访问地址http:// 192.168.0.100,比赛前会发一张表(用户,密码),考生禁止修改云实训平台账号密码及管理ip地址,否则服务器配置及应用项目部分计0分。
- 云实训平台中提供镜像环境,镜像的默认用户名密码以及镜像信息如下表所示。
- 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作,centos8.3可以通过CRT软件连接进行操作,所有linux主机都默认开启了ssh功能,Linux系统软件镜像位于”/opt”目录下。
- 要求在云实训平台中保留竞赛生成的所有虚拟主机。
| 名称 |
用户名 |
密码 |
ssh |
rdp |
| Win2019 |
administrator |
Qwer1234 |
否 |
是 |
| Centos8.3 |
root |
dcncloud |
是 |
否 |
- 云实训平台安装与运用
-
- 云实训平台基础设置
-
- 按照“表3:云实训平台网络信息表”要求创建三个外部网络;
- 设置5块卷,卷命名为hd1~hd5, 大小为1G,选择项目→计算→卷→创建卷。
注意事项:
- 必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘;不能使用 “管理员”,“系统”栏下的“卷”功能,该功能使用不当会造成云硬盘创建失败,界面卡死。
- 在云实训平台中可以创建多个云硬盘,所有云硬盘容量的总大小不能超过 10G,否则将创建失败。一个实例可以同时连接多个云硬盘,但一个云硬盘同时只能给一个实例作为扩展硬盘使用。
- 在分离卷之前一定要保证使用该卷的 linux 主机中,已经不存在该卷的任何挂载点。如果使用该卷的主机是 windows 实例,必须保证该卷在主机的“磁盘管理”项目中处于脱机状态,否则会造成分离失败,或是一直显示“分离中”状态。
-
- 创建虚拟主机
-
- 按照“表4:虚拟主机信息表”所示,按要求生成虚拟主机;
在云主机1上完成如下操作
1. 完成主域控制器服务器的部署
(1)将云主机1的服务器配置成主域控制器,域名为hubeiskills.com域和林的功能级别为Windows Server 2016。其完全限定域名为dc.hubeiskills. com
(2)如表2-3所示,创建域用户和创建域用户组,要求所有用户不能修改其用户口令,口令为hubeiskills.com 并要求用户只能在上班的时间可以登录(周一至周五9:00~18:00)。
表2-3 域用户和域用户组信息表
| 域用户名 |
域用户组 |
组织单元 |
组作用域 |
组类型 |
所属部门 |
| adm1 |
adm |
研发部 |
全局 |
安全组 |
研发部门 |
| adm2 |
adm |
||||
| sale1 |
sale |
业务部 |
全局 |
通讯组 |
业务部门 |
| sale2 |
sale |
||||
| sys1 |
sys |
销售部 |
本地域 |
安全组 |
销售部门 |
| sys2 |
sys |
- 设置组策略的“print spooler”服务改为手动启动;设置组策略对“不显示最后的登录名”选项已启用;更改组策略密码策略为无复杂性要求
- 创建组织单元,名称为研发部,该组织单元包含sys组、adm1用户、PC1和PC2;设置该组织单元组策略,命名为“研发部GPO”,要求关闭windows自动更新,并禁止修改IE浏览器的主页;
2. 完成域名服务器的部署
(1)将此服务器配置为主DNS服务器,按照看下表创建对应服务器主机记录,正确配置skills.com域名的正向及反向解析区域;并关闭网络掩码排序功能。设置DNS服务正向区域和反向区域与活动目录集成,启用Active Directory的回收站功能。使用域名访问到www.hubeiskills.com服务器。
域名对应关系表
| IP地址 |
完全限定域名 |
| 云主机1地址 |
dc.hubeiskills.com |
| 云主机2地址 |
print.hubeiskills.com |
| 云主机3地址 |
www.hubeiskills.com |
| 云主机3地址 |
web.hubeiskills.com |
| 云主机3地址 |
sec.hubeiskills.com |
| 云主机3地址 |
ftp.hubeiskills.com |
3. 完成分布式文件系统服务器部署
(1)配置DFS服务,与print.hubeiskills.com通步,在C盘创建文件夹dfs-root作为复制对象,复制组为dfs-backup,设置复制在周六和周日带宽为完整,周一至周五带宽为64M,拓扑采用交错方式。
在云主机2上完成如下操作
1. 子域控制器服务器的部署
(1)将云主机2升级为hubeiskills.com域的辅助域控制器。其完全限定域名为print.hubeiskills. com
2. 完成CA证书服务器的部署
(1)将云主机2的服务设置为证书颁发机构,安装证书服务,有效期为5年,为企业内部自动回复证书申请。
3.完成网络打印服务的部署
- 添加一台虚拟打印机,名称为“hb-Print”;
- 将“hb-Print”发布到AD域;
4. 完成分布式文件系统服务器部署
(1)配置DFS服务,与dc.hubeiskills.com做文件夹同步,在C盘创建文件夹dfs-root作为复制对象,复制组为dfs-backup,设置复制在周六和周日带宽为完整,周一至周五带宽为64M,拓扑采用交错方式。
5. 完成磁盘阵列部署
(1).利用已添加的三块虚拟硬盘 hd1、hd2、hd3 进行设置,完成磁盘阵列 RAID5 并对应盘符为 F。
在云主机3上完成如下操作
- 完成网站服务器部署
(1)将此服务器加入hubeiskills.com域,其完全先限定域名为www.hubeiskills.com。
(2)创建www.hubeiskills.com站点,主目录为E:\web_root,默认文档:index.html,主页显示内容为“热烈庆祝2022年中等职业学校技能大赛开幕”,同时设置网站的最大连接数为1000,网站连接超时为60s,网站带宽为1000KB/S。
2. 完成文件传输服务器部署
(1)建立ftp站点ftp.hubeiskills.com,站点主目录为E:\ftp_root,不允许匿名登录,所有用户只具有读取和写入文件权限;FTP站点欢迎消息为:“欢迎访问网络搭建FTP服务器!”,并且用命令浏览文件时使用UNIX方式显示;日志文件记录到E:\ftp_root\LogFiles目录下。
(2)为ftp.hubeiskills.com设置域用户隔离,在域控制器中创建域用户ftpuser1和ftpuser2,密码分别为Netskills1.com,Netskills2.com设置两个用户主目录分别为网络文件夹\\ftp_root\ftpuser1、\\ftp_root\ftpuser2;
4.完成磁盘阵列部署
(1) 利用已添加的两块虚拟硬盘 hd4、hd5 进行设置,完成磁盘阵列 RAID1,对应 磁盘盘符为 E。
在云主机4上完成如下操作:
(一)完成域名服务器部署
1.在此服务器中配置yum源,安装相关服务,实现域名服务器部署,设置开机自动加载服务;
2.配置该服务器,解析区域为2022skills.com;按照“域名信息表”完成正反向解析,禁止192.168.10.0/24网段的主机访问此DNS服务器;利用nslookup命令完成验证,
域名信息表
| 虚拟机名称 |
完全限定域名 |
| 云主机4 |
dns.2022skills.com. |
| 云主机5 |
www.2022skills.com |
| 云主机6 |
mail.2022skills.com. |
(二)配置远程登陆服务器
3.在此服务器中安装相关服务,实现远程登陆服务器部署,设置开机自动加载服务,只允许IP地址以10.30开头的主机使用telnet命令远程登录该服务器,
4.在云主机5上使用telnet命令登录本服务器
在云主机5上完成如下操作:
(一)完成网站服务器部属
5.在此服务器中配置yum源,安装相关服务,实现网站服务器部署,设置开机自动加载服务;
6.在此服务器中安装httpd 服务,建立虚拟主机站点 www.2022skills.com,其网站主目录 为/www/2022skills,主页名字 为 index.htm。首页内容为“ Welcome to ‘2022skills’swebsit”
7.使用 openssl 申请证书,创建自签名证书 server.crt 和私钥 server.key,要求通过 SSL 加密访问,重启 http 服务时不需要输入密码,使用物理机测试网站登录情况;
(二)完成samba服务器部署
8.此服务不允许172.16.0.0/16网段的电脑访问,并创建四个用户tom、jerry、jack、man,密码同用户名,其中tom和jerry属于administration组,jerry和jack属于sales组;man用户属于manager组;
9.建立共享目录/var/administration_share和/var/sales_share,administration组的用户对目录administration_share共享有读写权限,sales组的用户对目录administration_share共享有只读权限;sales组的用户对目录sales_share共享有读写权限;manager用户对所有目录均有读写权限;
10、建立共享目录/var/public_share,共享名为share,允许匿名用户访问public_share,具有读取权限。
在云主机6上完成如下操作:
(一)完成文件传输服务器部署
11.在此服务器中配置yum源,安装相关服务,实现文件传输服务器部署,设置开机自动加载服务;
12.创设域名为ftp.2022skills.com的站点,,根目录为/var/ftp,最大上线人数为50人,同一IP来源最大连接数量为5人,不允许匿名用户访问,开启ftp支持被动数据传输模式;
13.建立虚拟用户ftpuser1及ftpuser2,密码同用户名,用户的宿主目录为/home/vsftpd,用户的权限配置文件目录为/etc/vsftpd_user_conf,实现ftpuser1用户具有浏览目录、上传和下载文件、创建和删除目录的权限,ftpuser2用户可以下载,但不能上传文件。
(二)完成数据库服务器部署
14.安装MariaDB服务器,启动并启用MariaDB,将登录的root密码设置为redhat,并仅帧听在本机。
15.配置MariaDB服务器,支持汉字数据处理。
16. 创建数据库为myclass,在库中创建表为mystudent,结构如下表所示,在表中创建2个用户,分别为(1,张三,2001-7-1,女),(2,李四,1998-9-1,男),Password是姓名拼音的首字母。
| 字段名 |
数据类型 |
主键 |
| ID |
Int |
是 |
| Name |
varchar(10) |
否 |
| Birthday |
Datetime |
否 |
| Sex |
char(8) |
否 |
| Password |
char(128) |
否 |
(四)完成计划任务
17.通过crontab设置计划任务,实现每天每小时的30分,将/home目录实施压缩打包,打包的文件名为/home.tar.xz