2017年XXX中等职业学生技能大赛――网络搭建及应用竞赛试题

2017年XX市中等职业学生技能大赛网络搭建及应用竞赛（总分100分）赛题说明一、竞赛内容分布“网络搭建及应用”竞赛共分三个部分，其中：第一部分：网络搭建项目40%第二部分：服务器配置及应用项目55%第三部分：职业规范及团队精神5%二、竞赛注意事项（1）禁止携带和使用比赛提供之外的移动存储设备和资料。（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。（3）本试卷共有两个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。（4）操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，不要拆、动硬件连接。（5）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。（6）所有需要提交的文档和配置截图均按照赛题中结果提交要求放置在PC1主机桌面的“工位号+比赛文档”文件夹中，禁止在纸质资料上填写与竞赛无关的标记，如违反规定，可视为0分。2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题2/12（7）裁判以各参赛队提交的竞赛结果文档和配置截图为主要评分依据。网络搭建部分所有提交的结果采用Word文档方式保存，文档均按照设备名称正确命名，防火墙保存配置功能截图并进行功能描述、其它设备保存showrun所有配置命令。网络服务器部分所有提交的结果采用截图方式并按照题目编号保存到Word文档中，该Word文档须按照赛题要求进行命名并放置在相应的文件夹中，未按试题要求进行截图的不得分。项目简介:某集团公司经过业务发展，设立了分公司，为了实现快捷的信息交流和资源共享，需要构建统一网络。公司总部对外采用双出口模式分别连接到电信网络和联通网络，并实现策略路由。内部采用双核心的网络架构，路由器通过专用链路来传输业务数据流。总部为了安全管理每个部门的用户，使用VLAN技术将每个部门的用户划分到不同的VLAN中。分部使用路由器连接专用链路实现与总公司的业务数据往来。2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题3/12拓扑结构图2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题4/12表1:网络设备连接表A设备连接至B设备设备名称接口设备名称接口R1G0/3电信运营商----------R1G0/4联通运营商----------R1G0/5FW1E0/2R2G0/5SW3-2E1/0/24R2S0/1R3S0/2R3S0/2R2S0/1R3G0/5SW2-2E1/20FW1E0/2R1G0/5FW1E0/1SW3-1E1/0/24SW3-1E1/0/24FW1E0/1SW3-1E1/0/19SW3-2E1/0/19SW3-1E1/0/20SW3-2E1/0/20SW3-1E1/0/10SW2-1E1/19SW3-1E1/0/1PC4NICSW3-1E1/0/2PC3NICSW3-1E1/0/3PC2NICSW3-2E1/0/24R2G0/5SW3-2E1/0/19SW3-1E1/0/19SW3-2E1/0/20SW3-1E1/0/20SW3-2E1/0/1SW2-1E1/20SW2-1E1/19SW3-1E1/0/10SW2-1E1/20SW3-2E1/0/1SW2-2E1/20R3G0/5SW2-2E1/1PC1NIC2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题5/12表2:网络设备IP地址与接口分配表设备设备名称设备接口IP地址备注路由器R1G0/3100.1.1.1/24电信运营商G0/4200.1.1.1/24联通运营商G0/510.1.4.1/24R2G0/510.1.6.1/24S0/110.1.7.1/24R3G0/5172.16.1.254/24S0/210.1.7.2/24三层交换机SW3-1VLAN10SVI10.1.1.125/25行政部VLAN20SVI10.1.1.189/26财务部VLAN30SVI10.1.2.253/24生产部VLAN40SVI10.1.3.253/24销售部VLAN50SVI10.1.10.254/24服务器区VLAN1110.1.4.2/24VLAN1210.1.8.1/24Eth1/0/1VLAN50服务器区Eth1/0/2VLAN50服务器区Eth1/0/3VLAN50服务器区SW3-2VLAN10SVI10.1.1.126/25行政部VLAN20SVI10.1.1.190/26财务部VLAN30SVI10.1.2.254/24生产部VLAN40SVI10.1.3.254/24销售部VLAN1210.1.8.2/24VLAN1310.1.6.2/24防火墙FW1Eth0/1----------Eth0/2----------二层交换机SW2-1Eth1/1—Eth1/4VLAN10行政部Eth1/5—Eth1/8VLAN20财务部Eth1/9—Eth1/12VLAN30生产部Eth1/13—Eth1/16VLAN40销售部2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题6/12表3:主机及服务器IP地址分配表宿主机虚拟主机名称域名信息服务角色系统及版本信息IPv4地址信息PC1Windows7IP:172.16.1.1/24PC2Win2008-A1dc.2017snskill.com域控制器DNS服务器WindowsServer2008R2IP:10.1.10.1/24物理机地址：10.1.10.9/24（桥接模式）PC3Win2008-A2物理机地址：10.1.10.10/24（桥接模式）PC4Centos-A1centos.jnjs.netDHCP服务器SAMBA服务器Apache服务器BIND服务器Centos6.5IP:10.1.10.101/24物理机地址：10.1.10.102/24（桥接模式）网络搭建项目（40分）【注意事项】（1)设备console线有两条。交换机一条console线，路由器使用另外一条console线。（2)设备配置完毕后，保存最新的设备配置。保存文档方式分为两种：交换机和路由器要把showrunning-config的配置保存在PC1桌面的相应文档中，文档命名规则为：设备名称.doc,例如：R1路由器文件命名为：R1.doc，然后放入到PC1桌面上“工位号+比赛文档”文件夹中。防火墙设备配置采用截图方式，把截图的图片放到同一Word文档中，文档命名规则为：设备名称.doc,例如：防火墙FW1文件命名为：FW1.doc,保存后放入到PC1桌面上“工位号+比赛文档”文件夹中。2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题7/121.按照网络拓扑图要求，并连接设备，并根据“拓扑结构图”和“表2:网络设备IP地址分配表”所示，给网络中的所有设备配置名称和接口IP地址。（1分）2.在SW3-1上开启SSH远程登录功能,登录用户名：admin,密码:admin,设备管理密码为2017network，要求采用本地验证方式且仅允许IP地址为10.1.10.200/24的网管主机通过telnet登录该交换机，SSH远程连接的最大连接数为6。（2分）3.在总部的交换网络中，有5个用户VLAN；管理部使用VLAN10，财务部使用VLAN20，生产部使用VLAN30，销售部使用VLAN40，服务区使用VLAN50，按照网络设备IP地址与接口分配表中端口信息将相应的端口划分进入各自VLAN。（1分）4.在SW3-1和SW3-2之间使用端口汇聚技术，汇聚接口为静态方式，负载分担方式基于源-目的IP。（2分）5.在总部配置生成树协议，要求启用MSTP协议，域名为2017suining，版本号为1，VLAN10、20隶属于实例10；VLAN30、40隶属于实例20，要求SW3-1为实例10的主根，SW3-2为实例20的主根，并互为备份根；要求在SW3-1和SW3-2上配置根保护，分别针对实例10、20禁止更高优先级交换机接入时不得抢占为各自根桥；在SW2-1上针对行政部用户端口开启环路检测功能，存在环路时120秒发送1次，无环路时2秒发送1次，一旦发现环路则关闭端口，且在300秒后自动恢复端口。（4分）6.在三层交换之间启用VRRP协议，为VLAN、10、20、30、40实现网关备份，vrrp组中的虚拟IP为vlan中第一个有效IP地址,SW3-1为VLAN10、20的master；SW3-2为VLAN30、40的master，且互为备份，开启抢占功能，配置监视接口。（3分）7.为了防止用户私自架设DHCP服务器，要求在SW2-1上开启DHCP监听功能，禁止接收非法的DHCP响应报文。（1分）8.总部内部，R1、R2、SW3-1、SW3-2之间运行OSPF路由协议，其中R2与SW3-2之间为区域10，R1、SW3-1和SW3-2之间为区域0；（4分）9.为了保障OSPF连接安全，要求在R2与SW3-2之间部署基于接口的OSPF安全认证，启用MD5认证，密钥ID为1，密码为dcn。（2分）10.为了减少三层交换机上的路由条目负载，禁止SW3-1和SW3-2通过用户网段来传递路由信息。（1分）11.在R2、R3之间运行RIPv2路由协议，关闭自动汇总。（2分）12.在R2、R3上调整RIP计时器，更新时间为40秒，抑制时间为160秒，路由无效时间为240秒。（1分）2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题8/1213.在R2上部署路由重分布，实现总公司与分公司之间的通信，但禁止将财务部网段发布到分公司。（2分）14.在R1上配置默认路由，且将该路由引入OSPF路由当中（1分）15.在R1上部署策略路由，要求行政部、财务部以及服务器区通过电信运营商接入互联网，生产部和销售部通过联通运营商接入互联网，且当其中某一运营商出现网络故障时所对应内网用户网段通过另一个运营商接入互联网。（3分）16.在R1上配置NAT，要求内网用户通过电信访问互联网采用动态地址段：100.1.1.2—100.1.1.4，通过联通访问互联网采用出口IP地址，且外网用户访问内网网站。（3分）17.在SW3-1上部署ACL，禁止财务部与生产部互访。（1分）18.将FW1部署为透明模式，接口为E0/1和E0/2，透明桥虚拟IP地址为10.1.4.3/24。（1分）19.配置FW1区域攻击防护。（2分）（1）开启以下Flood防护：ICMP洪水攻击防护，警戒值2000，动作丢弃；UDP洪水攻击防护，警戒值2000，动作丢弃；SYN洪水攻击防护，源警戒值2000，基于IP地址的目的警戒值2000，动作丢弃；（2）开启以下DOS防护：PingofDeath攻击防护；Teardrop攻击防护；IP分片防护，动作丢弃；Land攻击防护，动作丢弃；20.部署安全策略，禁止生产部的用户使用qq软件上网。（1分）21.针对财务部每个用户使用迅雷下载时的会话数限制在400条。（1分）22.禁止内网用户访问带有“黄色”、“暴力”、“赌博”字样的网页，并记录到日志中。（1分）服务器架设（55分）拓扑图中共有四台物理计算机，其中PC2、PC3和PC4使用VirtulaBOX安装虚拟计算机，按照地址规划中安装相应服务，具体要求如下所述：2017年XX市中等职业学生技能大赛网络搭建及应用竞赛题9/12Windows操作系统部分（30分）【注意事项】（1）题目中所涉及Windows操作系统的administrator管理员以及其他普通用户密码均为2017SNskill（注意区分大小写），若未按照要求设置密码，涉及到该操作的所有分值记为0分。（2）虚拟主机的IP地址设置请按照网络拓扑结构图以及服务器IP地址分配表的要求设定。（3）所有系统镜像文件及试题所需的其它软件均