2017年云南省中等职业学校计算机技能大赛网络搭建与应用竞赛题.doc

资源描述

2017年云南省中等职业学校网络搭建与应用竞赛题 2017年云南省中等职业学校“唯康.神码.京东杯”计算机技能大赛网络搭建与应用竞赛-A卷（总分1000分）赛题说明一、竞赛内容分布 “网络搭建与应用”竞赛共分二个部分，其中：第一部分：网络搭建及安全部署项目，占总分的比例为45%；第二部分：服务器配置及应用项目，占总分的比例为55%；二、竞赛注意事项（1）禁止携带和使用移动存储设备、计算器、通信工具及参考资料。（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。（3）本试卷共有两个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。（4）操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，不要拆、动硬件连接。（5）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。（6）所有需要提交的文档均放置在桌面的PC1“比赛文档”文件夹中，禁止在纸质资料上填写与竞赛无关的标记，如违反规定，可视为0分。（7）裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，文档中有对应题目的小标题，截图有截图的简要说明，否则按无效内容处理。（8）与比赛相关的工具软件放置在D盘的tools文件夹中。第一部分网络搭建（450分）某集团公司经过业务发展，总公司在北京市，在上海设置了分公司，为了实现快捷的信息交流和资源共享，需要构建统一网络，整合公司所有相关业务流程。采用单核心的网络架构的网络接入模式，采用路由器接入城域网专用链路来传输业务数据流。总公司为了安全管理每个部门的用户，使用VLAN技术将每个部门的用户划分到不同的VLAN中。分公司采用路由器接入互联网络和城域网专用网络，总公司部分内网用户采用无线接入方式访问网络资源。为了保障总公司与分公司业务数据流传输的高可用性，使用防火墙进行保证网络安全，采用QOS技术对公司重要的业务数据流进行保障。 2 / 12 拓扑结构图 12 / 12 表1.网络设备IP地址分配表设备设备名称设备接口 IP地址路由器 R-1 G 0/3 111.1.3.1/29 G 0/4 111.1.4.1/29 S 0/1 111.1.1.1/29 R-2 G 0/3 222.1.3.1/29 G 0/4 222.1.4.1/29 S 0/2 111.1.1.2/29 R-3 G 0/3 172.16.100.6/30 G 0/4 111.1.4.2/29 G 0/5 222.1.4.2/29 三层交换机 SW3-1 VLAN1 SVI 192.168.1.1/24 VLAN2 SVI 192.168.2.1/24 VLAN3 SVI 192.168.3.1/24 VLAN4 SVI 192.168.4.1/24 VLAN 100 SVI 192.168.100.1/30 Vlan 101 SVI 192.168.100.5/30 SW3-2 VLAN1 SVI 172.16.1.1/24 VLAN2 SVI 172.16.2.1/24 Vlan100 SVI 172.16.100.1/30 防火墙1 FW-1 Eth0/1 192.168.100.2/30 Eth0/3 111.1.3.2/29 Eth0/4 222.1.3.2/29 防火墙2 FW-2 Eth0/3 172.16.100.5/30 Eth0/1 172.16.100.2/30 无线控制器 DCWS 24 192.168.100.6/30 二层交换机 SW2-1 管理vlan IP 192.168.1.2/24 SW2-2 管理vlan IP 172.16.1.2/24 竞赛题目【注意事项】（1) 设备console线有两条。交换机， AC，防火墙使用同一条console线，路由器使用另外一条console线。（2) 设备配置完毕后，保存最新的设备配置。保存文档方式分为两种：交换机和路由器要把show running-config的配置保存在PC1桌面的相应文档中，文档命名规则为：设备名称.doc,例如：RT1路由器文件命名为：RT1.doc，然后放入到PC1桌面上“比赛文档”文件夹中防火墙等截图方式的设备，把截图的图片放到同一word文档中，防火墙必须使用命令行配置的部分将命令复制到截图的文档最后一部分，文档命名规则为：设备名称.doc,例如：防火墙FW1文件命名为：FW1.doc, 保存后放入到PC1桌面上“比赛文档”文件夹中。 1、物理连接（12分）按照网络拓扑图制作以太网网线，并连接设备。要求符合T568A和T568B的标准，其线缆长度适中。 2、交换机配置（118分）（1) 在两台三层交换设备上开启ssh管理功能，只配置一个本地认证用户，用户名:2017DCN,密码：dcn123,要求使用该账号能够直接进入特权模式。（2) 总部的交换网络中，在三层交换机上完成以下5个VLAN配置及接口IP配置：交换机及AP的管理vlan使用vlan1；财务部使用VLAN2，名字为CW；生产部使用VLAN3，名字为SC；无线终端使用VLAN4，名字为WIFI；和防火墙互连vlan为VLAN100，名字TO-FW；和DCWS互连vlan为VLAN101，名字TO-DCWS。（3) 并完成SW2-1下表中的配置。按下表要求将端口加入VLAN：设备名称 VLAN 端口 SW2-1 2 1 3 2-6 根据题意配置 11-15（连接无线AP端口）根据题意配置 23-24 并配置SW2-1的管理IP，以实现方便远程管理。（4) 总部使用端口汇聚技术，在SW3-1、 SW2-1之间的链路启用端口汇聚，汇聚接口为动态方式；（5) Server 218.28.253.105公网上的是NTP服务器，总部核心交换机向Server学习时钟。（6) 总部网络SW3-1通过ACL实现ping和TCP应用的单向访问，要求其它网段不能访问财务网段，财务段访问其它网段不受限制。（7) 完成分公司三层交换机vlan及接口ip配置、二层交换机配置，网络中有2个VLAN：交换机的管理vlan使用vlan1，用户的vlan使用vlan2,上联防火墙vlan使用vlan 100 设备名称 VLAN 端口 SW2-2 2 3-7 根据题意配置 24 （8) 在SW2-1交换机上启用端口检测功能，检测到环路时处理动作为shutdown，5分钟后恢复正常。 3、路由配置与调试（90分）（1) 总部内网路(DCWS除外)由使用ospf，FW-1配置默认路由访问互联网，并通过ospf传播默认路由；（2) 总部在FW-1和核心交换机间开启OSPF链路MD5认证；（3) SW3-1为SW3-1、FW-1间链路的DR，FW-1不参与DR/BDR选举。（4) 手动指定设备的ROUTER ID 设备名称 ROUTER ID SW3-1 192.168.100.5 FW-1 192.168.100.2 （5) 分支结构内部使用静态路由；（6) R1/R2作为运营商内部的骨干设备，两者间运行RIP 协议，只需运营商设备都能获得对方所有网段路由即可，禁止配置指向分公司或者总公司内网网段的路由。 4、广域网配置（35分）（1) 总部FW-1允许内部所有的网段通过出接口的IP实现SNAT访问外网。（2) R3上配置SNAT，允许内部所有的网段通过出接口的IP实现SNAT访问外网（3) R1与R2间并采用PPP封装，CHAP认证方式，双方使用自己的hostname做用户名，密码自行设置,通过配置后使两者能够通过V35 线缆正常通讯。 5、无线配置（100分）（1) 使用SW3-1提供DHCP服务，为无线终端和AP动态分配IP地址和网关等信息，地址池需要需要排除设备占用的固定IP；无线终端的地址租约为4小时，DNS为8.8.8.8。（2) SW2-1交换机请使用dhcp snooping的相关技术实现防范非法dhcp server及ARP欺骗的目的。（3) AP通过option43方式进行正常注册上线；（4) 设置SSID DCN，加密模式为wpa-personal,其口令为：chinaskill；设置SSID GUEST 不进行认证加密；（5) GUSET最多接入10个用户，用户间相互隔离，并对GUEST网络进行流控，上行1M，下行2M。（6) 通过设置实现在AC断开网络连接时AP还能正常工作。（7) 通过配置避免接入终端较多且有大量弱终端时，避免高速客户端被低速客户端“拖累”，让低速客户端不至于长时间得不到传输。 6、安全部分（95分）（1) FW1配置trunst,untrunst区域和相应策略（2) FW1，FW2攻击防护启以下Flood防护： ICMP洪水攻击防护，警戒值1000，动作丢弃； UDP供水攻击防护，警戒值1000，动作丢弃； SYN洪水攻击防护，警戒值1000，动作丢弃；开启以下DOS防护： Ping of Death攻击防护； Teardrop攻击防护； IP选项，动作丢弃； ICMP大包攻击防护，动作丢弃；（3) FW-2为了保证带宽的正常使用，通过 IP QOS将内网每用户上网带宽上行限制到5M，下行限制到2M；（4) 为了保证下题的IPSEC正常工作，需要在R3上映射IPSEC的UDP 500及4500端口到FW-2。（5) FW-1和FW-2都使用3口配置基于策略的IPSec VPN加密分公司员工访问总部vlan4流量，其它访问Internet流量使用NAT；数据ESP封装，加密算法采用3DES、认证算法采用SHA。第二部分 Linux服务器配置（280分） 1、安装Linux服务器（20分）在PC1上安装Linux，要求如下：（1）创建名称为Server1虚拟机，硬盘空间为30G，分配内存为512M，网卡使用桥接模式。（5分）（2）采用LVM方式分区，分区分区大小为：SWAP分区大小为2048M；/boot分区大小为1024M，文件类型为ext3；/根分区大小为15G，文件类型为ext3；/home分区大小为5G，文件类型为ext2。（7分）（3）安装系统，FQDN设为，配置服务器的IP地址为192.168.2.100，并设置系统启动时运行级别为3、root用户密码为123456。（8分） 2、配置FTP服务（50分）（1）创建FTP虚拟用户对应的系统用户账号virtual，口令为123,用户主目录为/home/myftp，shell为nologin。（10分）（2）设置两个FTP虚拟用户ftp1和ftp2,口令均为ftp123。并为之生成FTP虚拟用户所需的口令数据库文件。（20分）（3）配置vsftpd服务，不允许匿名账号登录；标题的欢迎语为“Welcome to my ftp!”；要求对于每一个联机，以独立的进程来运作；配置虚拟用户ftp1可以上传,可以下载文件,限速200KB；虚拟用户ftp2只可以下载，不可以上传文件,限速100KB；服务器最大并发连接200个，每IP限2个连接。（20分） 3、配置远程控制及NTP服务（50分）（1）在Server1中启用Telnet、VNC两种远程控制方式。设定Telnet服务最大连接数为3，侦听服务端口为2323，只有外网机器可以使用该访问方式，登录用户名及密码为telnet；设定VNC用户名及密码为vnc1，对应桌面1；用户名及密码为vnc2，对应桌面2。将上述两种远程外网机器登录的成功画面截图并保存在PC1桌面上“比赛文档”文件夹中。（30分）（2）在Server1中启用并配置NTP服务，使192.168.2.0/24网络中其它计算机通过它进行网络校时。（20分） 4、安装Linux服务器（20分）在PC2上安装Linux，要求如下：（1）创建名称为Server2虚拟机，硬盘空间为30G，分配内存为512M，网卡使用桥接模式。（5分）（2）采用LVM方式分区，分区分区大小为：SWAP分区大小为2048M；/boot分区大小为1024M，文件类型为ext3；/根分区大小为15G，文件类型为ext3；/home分区大小为5G，文件类型为ext2。（7分）（3）安装系统，FQDN设为，配置服务器的IP地址为192.168.3.100，并设置系统启动时运行级别为3、root用户密码为123456。（8分） 5、配置WEB服务（50分）（1）在Server2中配置Apache，该网站的根目录为: /var/www/tmp,不允许在该目录下使用符号连接；主页面显示内容为“this is a test page.”。（10分）（2）建立一个web虚拟主机，监听端口为8080，目录为/var/www/test ,域名test1. ,建立station.html文件到目录，内容为“station”，设置为首页文件，该web虚拟主机只有192.168.3.0/24网段的用户才能访问。（20分）（3）建立一个web虚拟主机，监听端口80和443，目录/var/www/web ,域名,建立web.html文件到目录，内容为“web”，设置为首页文件，该web虚拟主机同时允许以http和https的方式访问。（20分） 6、配置数据库（40分）（1）在Server2上安装并启用MySQL数据库，设置数据库管理员密码：yn12345。创建一个新用户“db1”，密码也为“db1”，并对该用户授权，使其可以查看本机数据库内容，但不能修改。（10分）（2）新建一个名为xscj的数据库，在该库中创建一个名为student的表，该表包括:no（学号）、name（姓名）、sex（性别）、birthday（出生日期）等字段，其字段的类型分别为VARCHAR（长度10）、VARCHAR（长度20）、CHAR（长度2）、DATE，在该表中插入1条记录：学号：010101，姓名：yndl，性别：男（m），日期：1990年1月1日。（30分） 7、配置邮件服务器（50分）（1）在Server2上再添加三块虚拟硬盘，其每块硬盘的大小为5G。将三块硬盘制作成RAID5，其挂载点为/maildate。（20分）（2）创建用户组mail_g，创建两个用户mail_u1和mail_u2并加入mail_g组，口令均为123,用户主目录分别为/home/ mail_u1和/home/ mail_u2，以上用户不允许在linux登录。安装SendMail软件，为用户组mail_g的用户创建邮箱，邮箱存储在RAID5分区；限制每个用户邮箱的最大存储空间50M，当用户邮箱达到40M提出警告；最大邮件附件为10M。（20分）（3）在服务器使用iptables设置防火墙功能,只允许用户访问这台服务器的mail服务。设置mail服务需要在运行级别3和5级别开机自动启动。（10分）第三部分 Windows服务器配置（270分） 1、安装Windows服务器（20分）在PC3上安装Windows，要求如下：（1）创建名称为Server3虚拟机，硬盘空间为40G，分配内存为1024M，网卡使用桥接模式。（5分）（2）在Server3安装一台Windows Server 2008服务器，将硬盘分为两个分区，C盘为30G，D盘为10G，两个分区文件系统为NTFS。服务器名称为DC，系统管理员密码为123456，配置服务器的IP地址为172.16.1.100。（7分）（3）在Server3上配置一台域控制器，域名为，服务器的FQDN为，域的功能级别为2008模式。（8分） 2、配置域控制器及DNS服务器（70分）（1）将Server3服务器配置为主DNS服务器，正确配置域名的正向区域、IPv4反向区域，能够正确解析网络中的所有Web服务器、FTP服务器及邮件服务器；创建所有服务器主机记录和邮件服务器的MX记录，需要关闭网络掩码排序功能。当遇到无法解析的域名时，将其请求转发至222.172.200.68互联网域名服务器。（30分）（2）为公司的生产部、销售部、行政部创建全局组，组名需要使用g-部门名称的简拼来命名，为每个部门创建3个用户，生产部用户：user1~user3、销售部用户：user4~user6、行政部用户：user7~user9，所有用户口令为abc#123且用户不能修改用户口令，并要求用户只能在上班时间可以登录（周一到周五 9:00~18:00）；为3个部门分别创建OU，OU名称需要使用ou-部门名称的简拼来命名，并将相应用户和组放置到相应的OU中。（20分）（3）在dc. 上，设置生产部用户的组策略为：限制运行记事本软件；设置销售部用户的组策略为：自动创建百度网页快捷方式URL；设置行政部用户的组策略为：控制面板隐藏用户账户。（20分） 3、配置WEB服务（50分）（1）安装IIS7.0组件，创建站点，在磁盘D:\下创建名称为web的文件，在web文件中创建名称为abc.html的主页，主页显示内容“热烈庆祝2017年云南省职业技能竞赛开幕”，要求只允许使用域名通过SSL加密访问。（30分）（2）设置网站的最大连接数为1000，网站连接超时为60s，网站的带宽为1000KB/S，使用W3C记录日志；每天创建一个新的日志文件，使用当地时间作为日志文件名；日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号和方法。（20分） 4、安装Windows服务器（30分）在PC4上安装Windows，要求如下：（1）创建名称为Server4虚拟机，硬盘空间为40G，分配内存为1024M，网卡使用桥接模式。（5分）（2）在Server4安装一台Windows Server 2008服务器，将硬盘分为两个分区，C盘为30G，D盘为10G，两个分区文件系统为NTFS。服务器名称为DC，系统管理员密码为123456，配置服务器的IP地址为172.16.2.100。（7分）（3）在Server4上配置一台域控制器，域名为，服务器的FQDN为，域的功能级别为2008模式，配置为域的子域。（9分）（4）为配置DNS正反向解析。同时为的主DNS服务器提供DNS冗余。（9分） 5、配置网络策略服务器（60分）（1）在上设置DHCP，设置名为NAP-test网段为：172.16.2.0/24的地址池，安装网络策略服务器，配置作为健康策略服务器,配置系统健康验证器强制所有客户端必须启用防火墙才能进行网络连接,通过配置使其可以对DHCP客户端进行网络访问保护(NAP)。（40分）（2）在PC4中安装名为“Winxp_1”操作系统为WindowsXP（打上SP3）的虚拟机，设置为自动获得地址，加入域。在Winxp_1配置网络访问保护强制。然后关闭防火墙，测试是否被隔离。（20分） 6、配置iSCSI及文件服务器（40分）（1）在上安装iSCSI目标服务器，并新建iSCSI虚拟磁盘，存储位置为D:\；虚拟磁盘名称为Files，大小为2G，访问服务器为Server3。（20分）（2）在Server3上使用iSCSI发起程序连接的iSCSI虚拟磁盘Files，对Files进行初始化和创建卷，设置驱动器号分别为M，完成格式化操作。（10分）（3）在Server3上添加文件服务器功能和配置文件服务器角色，名称为：MyFiles，为MyFiles添加文件共享，共享名称为MyShare，存储位置为M:\，权限为生产部组只读，行政部组可以读写但不能删除。（10分）

展开阅读全文