TUhjnbcbe - 2023/11/24 8:47:00
年XX市中职职业技能大赛《网络搭建与应用》竞赛样题(一)(总分分)竞赛时间竞赛时间为分钟。注意事项①竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。②请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。③操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,不要拆、动硬件连接。④比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。⑤所有设备需要通过文档的方式保存,把所有网络设备的配置保存为TXT文件,名称与设备名称一致,防火墙中图形界面操作步骤需要截图保存。并将所有文档保存至桌面BACKUP文件夹中,若缺少文件,涉及到该文件对应设备下的所有分值记为0分。⑦竞赛结果文件电子版需要按照监考老师的要求,在竞赛结束前复制到监考老师提供的U盘进行保存。⑧裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,文档中有对应题目的小标题,截图有截图的简要说明,否则按无效内容处理。项目简介某集团公司经过业务发展,总公司在北京市,在上海设置了分公司,为了实现快捷的信息交流和资源共享,需要构建统一网络,整合公司所有相关业务流程。采用单核心的网络架构的网络接入模式,采用路由器接入城域网专用链路来传输业务数据流。总公司为了安全管理每个部门的用户,使用VLAN技术将每个部门的用户划分到不同的VLAN中。分公司采用路由器接入城域网专用网络,总公司的内网用户采用无线接入方式访问网络资源。为了保障总公司与分公司业务数据流传输的高可用性,使用防火墙进行保证网络安全,采用QOS技术对公司重要的业务数据流进行保障。网络采用OSPF动态路由协议和RIP动态路由协议。拓扑结构图表1网络设备连接表表2.网络设备IP地址分配表表3.服务器IP地址分配表竞赛题目网络搭建部分(分)1.物理连接、连通性(分)北京使用.16.0.0/16的地址段,上海使用..0.0/16的地址段,为了节省IP资源,做到合理分配,设备间互联地址使用30位掩码。北京区域服务器区(VLAN)使用.16.1.1/24位地址段,上海区域服务器区(VLAN)使用..1.1/24位地址段。1)按照网络拓扑图制作以太网网线,并连接设备。要求符合TA和TB的标准,其线缆长度适中。(20分)2)根据”拓扑结构图”和”网络设备IP地址分配表”所示,对网络中所有设备接口配置IP地址。(20分)3)PC1ping通FW-1的Eth4接口地址(20分);PC3ping通FW-2的Eth4接口地址(20分);R-1ping通FW-2的Eth3接口地址(20分)注意:网关地址为网段最后一个可用地址。2.交换机调试与配置(95分)1)为交换机设备命名,命名规则参考为表1中的设备名称。(10分)2)依据拓扑结构图和下表,把相应端口加入到Vlan中;(20分)3)为了统一管理,所有交换机开启SNMP管理功能,配置只读字符串为public,读写字符串为private,网管主机的地址为.16.1.10。(20分)4)使用端口汇聚技术,将SW3-2的E1/0/21-22和二层交换机SW-2的E1/23-24配置为端口汇聚,汇聚接口为静态方式。SW3-2上实现负载分担方式基于源-目地IP(20分)5)在SW3-1连接R-3的端口进行端口限速,将SW3-1的E1/0/23端口双向限速为16M。(15分)6)上海办公区为了加强内网防护等级,计划后续增加流量分析服务器,本次首先将PC3、PC4连端口的双向流量镜象到端口E1/20,以便后续增加的流量分析服务器分析内网服务器的流量。(10分)3.路由器调试与配置(分)1)为路由设备命名,命名规则参考为表1中的“设备名称”。(10分)2)FW-1到R-1和FW-2到R-2之间运行RIPv2路由协议;R-1与R-2之间运行OSPF路由协议,区域为Area0。R-2到R-3之间运行OSPF路由协议,区域为Area1。R3到SW3-1之间运行OSPF协议,区域为Area1,SW3-1到R-1之间运行OSPF协议,区域为Area1。(25分)3)根据下表,配置设备的RouterID,要求不能增加接口的相关信息。(20分)4)在R-1/R-2上将RIP学习到的路由引入到OSPF进程中。(20分)5)SW3-1不参与R-1/SW3-1/R-2之间OSPF的DR、BDR选举;(30分)6)在R-2上使用QoS进行流量整形,使R-2到FW-2间的流量限制CIR为00,BurstSize为,超额流量不需要处理。(30分)7)R-1配置策略路由,限制北京区域访问上海区域时,通过R-1与SW3-1之间的链路转发。(40分)8)总公司和分工司内部配置静态路由(10分)4.广域网配置(55分)1)R-1与R-2之间的串口配置为PPP链路,路由器间使用双向Chap认证,PPPCHAP通过本地数据库验证用户。(25分)2)北京、上海内部用户在互相访问时,通过防火墙FW-1及FW-2设备做NAT转换,转换方式为端口NAT;(30分)5.无线网调试与配置(65分)1)为无线控制器进行设备命名,命名规则参考表1中的“设备名称”。(5分)2)无线控制器建立2个SSID,分别为Beijing1和Beijing2。Beijing2的SSID设置为隐藏,工作信道为6;Beijing1工作信道为自动。Biejing1对应vlan50,beijing2对应vlan60,在无线控制器上建立vlan50/60的DHCPsever服务,,AP动态获取vlan60的IP地址作为管理地址。DNS地址为8.8.8.8,租期3天。(40分)3)限制无线发射功率为75%。(20分)安全策略部分(分)1.路由器、交换机和AP上部署安全策略(分)1)北京办公区的SW-1限制端口E1/3的端口MAC地址学习规则,指定E1/3端口最多可以学习5个MAC地址,对于学习到更多的MAC地址时直接丢弃。E1/4端口绑定MAC地址为00-22-22-22-22-22,其他MAC地址不再学习。(20分)2)北京区域限制每周的工作日9:00-18:00的办公时间以外不允许访问外网,此功能在FW1上实现(20分)3)FW1上限制北京办公区接入带宽为10M;FW2上限制上海办公区接入带宽为15M;(20分)4)激活无线网络的二层隔离,实现同一个AP下无线局域网内的用户不能互相访问(10分)5)阻止MAC地址为F0-11-22-33-44-55的主机连接无线网络(10分)6)限制通过无线方式接入的用户上行速度为2Mbps,下行速度为1Mbps。(10分)7)用户接入无线网络时需要输入密码,加密方式为WPA-Personal,口令为“chinaskill”(10分)8)在SW3-2上开启端口保护功能,防止PC机发出网关欺骗报文。(10分)9)在SW-1的E1/2接口上,限制源MAC为00-11-22-33-44-55的主机不允许访问MAC地址为00-55-44-33-22-11的主机。其余主机可以正常访问。(20分)2.防火墙安全策略(70分)1)为防火墙设备命名,命名规则参考表1中的”设备名称“(10分)2)上海办公区出口防火墙上配置SSL方式远程接入VPN,允许远程办公的用户可以访问内部服务器资源,SSL方式允许用户名为vpn1、vpn2、vpn3、vpn4,密码与用户名相同,拔入的计算机获取的IP地址段为.16.0.0/24(40分)3)北京办公区的FW-1禁止访问