版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
2023年全國職業(yè)院校技能大賽
網(wǎng)絡(luò)搭建與應(yīng)用賽項
公開賽卷
(二)
第一部分網(wǎng)絡(luò)搭建及安全部署
2023年(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項專家組
2023年3月8日
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
競賽說明
一、競賽內(nèi)容分布
本賽卷共分七項,其中:
第一項:職業(yè)規(guī)范與素養(yǎng)(50分)
第二項:網(wǎng)絡(luò)布線與基礎(chǔ)連接(50分)
————以下為(400分)————
第三項:交換配置與調(diào)試
第四項:路由配置與調(diào)試
第五項:無線網(wǎng)絡(luò)配置
第六項:安全策略配置
第七項:業(yè)務(wù)選路與組播配置
2/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
二、競賽注意事項
1.禁止攜帶和使用移動存儲設(shè)備、計算器、通信工具及參考
資料。
2.請根據(jù)大賽所提供的比賽環(huán)境,檢查所列的硬件設(shè)備、軟
件及文檔清單、材料清單是否齊全,計算機設(shè)備是否能正常使用。
3.請參賽選手仔細(xì)閱讀賽卷,按照要求完成各項操作。
4.操作過程中,需要及時保存配置命令。
5.比賽結(jié)束后,所有設(shè)備保持運行狀態(tài),評判以最后的硬件
連接和提交文檔為最終結(jié)果。
6.比賽完成后,禁止將比賽所用的所有物品(包括賽卷)帶
離賽場。
7.禁止在紙質(zhì)資料、比賽設(shè)備和電腦桌上作任何與競賽無關(guān)
的標(biāo)記,如違反規(guī)定,可視為0分。
8.與比賽相關(guān)的軟件和《網(wǎng)絡(luò)搭建及安全部署競賽結(jié)果提交
指南》存放在物理機的D:\soft文件夾中。
9.請在物理機PC1桌面上新建“XXX”文件夾作為“選手目
錄”,用以保存按照《網(wǎng)絡(luò)搭建及安全部署競賽結(jié)果提交指南》要
求自動生成的全部結(jié)果文檔。(XXX為賽位號。舉例:1號賽位,
文件夾名稱為“001”)重要提示:選手目錄如缺少文檔,相應(yīng)分
值計為0分。
三、競賽說明
1.請根據(jù)物理機“D:\soft\網(wǎng)絡(luò)搭建及安全部署競賽結(jié)果提交指
南.docx”的要求生成文檔,將生成的文檔復(fù)制到選手目錄。
3/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
2.收集防火墻信息時,需要先調(diào)整SecureCRT軟件字符編號為:
UTF-8(提示:默認(rèn)是UTF-8),否則收集的命令行中文信息會顯
示亂碼。
競賽題目
項目簡介:
某集團公司原在北京建立了總公司,后在成都建立了分公司,又
在廣東設(shè)立了一個辦事處。集團設(shè)有營銷、產(chǎn)品、法務(wù)、財務(wù)、人力
5個部門,統(tǒng)一進(jìn)行IP及業(yè)務(wù)資源的規(guī)劃和分配,全網(wǎng)采用RIP、ISIS、
OSPF和BGP路由協(xié)議進(jìn)行互聯(lián)互通。
2023年在黨的堅強領(lǐng)導(dǎo)下,全年公司規(guī)模保持快速增長,業(yè)務(wù)數(shù)
據(jù)量和公司訪問量增長巨大,不斷開創(chuàng)新局面,向著全面建成社會主
義現(xiàn)代化強國的第二個百年奮斗目標(biāo)邁進(jìn)。為了更好管理數(shù)據(jù),提
供服務(wù),集團決定在北京建立兩個數(shù)據(jù)中心,在貴州建立異地災(zāi)備數(shù)
據(jù)中心,以達(dá)到快速、可靠交換數(shù)據(jù),增強業(yè)務(wù)部署彈性的目的,完
成向兩地三中心整體戰(zhàn)略架構(gòu)演進(jìn),更好的服務(wù)于公司客戶。
集團、成都分公司及廣東辦事處的網(wǎng)絡(luò)結(jié)構(gòu)詳見拓?fù)鋱D。編號為
SW-1和SW-2分別作為集團北京兩個DC的核心交換機;編號為SW-3
作為災(zāi)備DC的核心交換機;兩臺防火墻編號FW-1和FW-2分別作為
集團互聯(lián)網(wǎng)出口、廣東辦事處的防火墻;編號為RT-1作為集團的核
心路由器;編號為RT-2作為分公司的路由器;一臺AC設(shè)備作為分公
司的有線無線智能一體化控制器,通過與高性能企業(yè)級AP配合實現(xiàn)
分公司無線覆蓋。
請注意:在此典型互聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)架構(gòu)中,作為IT網(wǎng)絡(luò)運維人
員,請根據(jù)拓?fù)錁?gòu)建完整的系統(tǒng)環(huán)境,使整體網(wǎng)絡(luò)架構(gòu)具有良好的穩(wěn)
4/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
定性、安全性、可擴展性。請完成所有服務(wù)配置后,從客戶端進(jìn)行測
試,確保能正常訪問到相應(yīng)應(yīng)用。
網(wǎng)絡(luò)拓?fù)?
表1-網(wǎng)絡(luò)設(shè)備連接表
A設(shè)備連接至B設(shè)備
設(shè)備
接口設(shè)備名稱接口
名稱
RT-1G0/0RT-2G0/0
RT-1G0/1FW-2E0/1
RT-1G0/2FW-1E0/1
RT-1G0/3SW-2E0/23
RT-1S1/0RT-2S1/1
RT-1S1/1RT-2S1/0
5/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
A設(shè)備連接至B設(shè)備
設(shè)備
接口設(shè)備名稱接口
名稱
RT-2G0/2ACE1/0/24
SW-3模擬
RT-2G0/3Internet交換E1/0/18
機
SW-3模擬
FW-1E0/2Internet交換E1/0/19
機
FW-1E0/3SW-1E1/0/22
SW-1E1/0/21SW-3E1/0/21
E1/0/26(實現(xiàn)三層E1/0/26(實現(xiàn)三層
SW-1SW-2
IP業(yè)務(wù)承載)IP業(yè)務(wù)承載)
E1/0/27(實現(xiàn)VPNE1/0/27(實現(xiàn)VPN業(yè)
SW-1SW-2
業(yè)務(wù)承載)務(wù)承載)
E1/0/28(實現(xiàn)二層E1/0/28(實現(xiàn)二層
SW-1SW-2
業(yè)務(wù)承載)業(yè)務(wù)承載)
SW-2E1/0/22SW-3E1/0/22
SW-1E1/0/15PC1NIC
6/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
A設(shè)備連接至B設(shè)備
設(shè)備
接口設(shè)備名稱接口
名稱
SW-2E1/0/15PC2NIC
ACE1/0/10AP
表2-網(wǎng)絡(luò)設(shè)備IP地址分配表
設(shè)備名稱設(shè)備接口IP地址
Loopback1/32
(ospfv2、ospfv3、bgp2001:10:60:255::6/128
使用)(集團內(nèi)使用)
Loopback2/32
(集團與廣東辦事處互聯(lián)使用)
Loopback31/32
2001:10:60:254::11/128
(集團與分公司互聯(lián)使用)
Loopback10/32
(模擬集團財務(wù)業(yè)務(wù)使用)
RT-1
G0/08/30
2001:10:60:254::18/120
1/30
G0/1
2001:10:60:254::6/127
5/30
G0/2
2001:10:60:254::25/120
S1/09/30
2001:10:60:254::8/127
S1/13/30
2001:10:60:254::A/127
RT-2Loopback32/32
7/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
設(shè)備名稱設(shè)備接口IP地址
2001:10:60:254::12/128
(分公司與集團互聯(lián)使用)
Loopback10/32
(模擬分公司財務(wù)業(yè)務(wù)使用)
G0/09/30
2001:10:60:254::19/120
G0/1.10054/24
G0/1.20054/24
2001:172:16:200::254/64
G0/36/30
2001:10:40:254::26/120
S1/10/30
2001:10:60:254::9/127
S1/04/30
2001:10:60:254::B/127
Loopback1
/32
(ospfv2、bgp使用)
Loopback2/32
(ospfv3使用)2001:10:60:255::2/128
VLAN10SVI54/24
54/24
VLAN20SVI
2001:10:60:12::254/64
54/24
VLAN30SVI
2001:10:60:13::254/64
SW-1VLAN40SVI54/24
54/24
VLAN50SVI
2001:10:60:15::254/64
VLAN1000SVI4/30
/30
VLAN1001SVI
2001:10:60:254::3/127
/30
VLAN4093SVI
(實現(xiàn)VPN業(yè)務(wù)承載)
/30
VLAN4094SVI
2001:10:60:254::/127
SW-3VLAN4000SVI/30
8/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
設(shè)備名稱設(shè)備接口IP地址
VLAN4001SVI/30
Loopback1
/32
(ospfv2、bgp使用)
Loopback2/32
(ospfv3使用)2001:10:60:255::4/128
VLAN10SVI54/24
54/24
VLAN20SVI
2001:10:60:22::254/64
54/24
VLAN30SVI
2001:10:60:23::254/64
VLAN40SVI54/24
SW-2
54/24
VLAN50SVI
2001:10:60:25::254/64
0/30
VLAN1000SVI
2001:10:60:254::5/127
2/30
VLAN1001SVI
2001:10:60:254::7/127
/30
VLAN4093SVI
(實現(xiàn)VPN業(yè)務(wù)承載)
/30
VLAN4094SVI
2001:10:60:254::1/127
Loopback1
/32
(ospfv2、bgp使用)
Loopback2/32
(ospfv3使用)2001:10:60:255::9/128
VLAN10SVI54/24
54/24
VLAN20SVI
2001:10:60:32::254/64
SW-354/24
VLAN30SVI
2001:10:60:33::254/64
54/24
VLAN50SVI
2001:10:60:35::254/64
/30
VLAN1000SVI
2001:10:60:254::2/127
/30
VLAN1001SVI
2001:10:60:254::4/127
9/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
設(shè)備名稱設(shè)備接口IP地址
SW-3模擬VLAN4000SVI/30
Internet00/32
Loopback100
交換機2001:202:50:100::100/128
/32
Loopback1
(trust安全域)
3/30
E0/1(trust安全域)
2001:10:60:254::13/120
FW-1
7/30
E0/2(trust安全域)
2001:10:60:254::17/120
/30
E0/3
(untrust安全域)
0/32
Loopback1
(trust安全域)
6/30
E0/1
(dmz安全域)
FW-2
E0/2.1054/24
(營銷網(wǎng)段業(yè)務(wù))(trust安全域)
E0/2.2054/24
(產(chǎn)品網(wǎng)段業(yè)務(wù))(trust安全域)
10/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
一、職業(yè)規(guī)范與素養(yǎng)(50分)
1.整理賽位,工具、設(shè)備歸位,保持賽后整潔有序。
2.無因選手原因?qū)е略O(shè)備損壞。
3.恢復(fù)調(diào)試現(xiàn)場,保證網(wǎng)絡(luò)和系統(tǒng)安全運行。
二、網(wǎng)絡(luò)布線與基礎(chǔ)連接(50分)
右側(cè)布線面板立面示意圖左側(cè)布線面板立面示意圖
【說明】
1.機柜左側(cè)布線面板編號101;機柜右側(cè)布線面板編號102。
2.面對信息底盒方向左側(cè)為1端口、右側(cè)為2端口。所有配
線架、模塊按照568B標(biāo)準(zhǔn)端接。
3.主配線區(qū)配線點與工作區(qū)配線點連線對應(yīng)關(guān)系如下表所示。
PC1、PC2配線點連線對應(yīng)關(guān)系表
序號信息點編號配線架編號底盒編號信息點編號配線架端口編號
1W1-02-101-1W1101102
2W1-04-102-1W1102104
11/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(一)鋪設(shè)線纜并端接
1.截取2根適當(dāng)長度的雙絞線,兩端制作標(biāo)簽,穿過PVC
線槽或線管。雙絞線在機柜內(nèi)部進(jìn)行合理布線,并且通過扎帶合
理固定。
2.將2根雙絞線的一端,根據(jù)“PC1、PC2配線點連線對應(yīng)關(guān)
系表“的要求,端接在配線架的相應(yīng)端口上。
3.將2根雙絞線的另一端,根據(jù)“PC1、PC2配線點連線對應(yīng)
關(guān)系表”的要求,端接上RJ45模塊,并且安裝上信息點面板,并
標(biāo)注標(biāo)簽。
(二)跳線制作與測試
1.再截取2根當(dāng)長度的雙絞線,兩端制作標(biāo)簽,根據(jù)“PC1、
PC2配線點連線對應(yīng)關(guān)系表”的要求,鏈接網(wǎng)絡(luò)信息點和相應(yīng)計算
機,端接水晶頭,制作網(wǎng)絡(luò)跳線,所有網(wǎng)絡(luò)跳線要求按568B標(biāo)
準(zhǔn)制作。
2.根據(jù)網(wǎng)絡(luò)拓?fù)湟?,截取適當(dāng)長度和數(shù)量的雙絞線,端接
水晶頭,制作網(wǎng)絡(luò)跳線,根據(jù)題目要求,插入相應(yīng)設(shè)備的相關(guān)端
口上;(包括設(shè)備與設(shè)備之間、設(shè)備與配線架之間);
3.實現(xiàn)PC、信息點面板、配線架、設(shè)備之間的連通;(提示:
可利用機柜上自帶的設(shè)備進(jìn)行通斷測試)。
4.按照“PC1、PC2配線點連線對應(yīng)關(guān)系表”連接機柜兩側(cè)底盒
端口。
12/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
三、交換配置與調(diào)試
(一)為了減少廣播,需要根據(jù)題目要求規(guī)劃并配置VLAN。
要求配置合理,所有鏈路上不允許不必要VLAN的數(shù)據(jù)流通過,
包含VLAN1。核心交換機SW-1和核心交換機SW-2之間實現(xiàn)二
層業(yè)務(wù)承載的裸光纜通道目前暫時只允許VLAN10、VLAN20、
VLAN30、VLAN40、VLAN50通過,禁止配置VLAN及接口的
描述信息。根據(jù)下述信息及表,在交換機上完成VLAN配置和
端口分配。
設(shè)備VLAN編號端口說明(非VLAN描述信息)
VLAN10E1/0/1營銷1段
VLAN20E1/0/2產(chǎn)品1段
SW-1VLAN30E1/0/3法務(wù)1段
VLAN40E1/0/4財務(wù)1段
VLAN50E1/0/5人力1段
VLAN10E1/0/1營銷2段
VLAN20E1/0/2產(chǎn)品2段
SW-2VLAN30E1/0/3法務(wù)2段
VLAN40E1/0/4財務(wù)2段
VLAN50E1/0/5人力2段
VLAN10E1/0/1營銷3段
VLAN20E1/0/2產(chǎn)品3段
SW-3
VLAN30E1/0/3法務(wù)3段
VLAN50E1/0/5人力3段
13/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(二)核心交換機SW-1和核心交換機SW-2之間線路租用運
營商三條裸光纜通道實現(xiàn)兩個DC之間互通,一條裸光纜通道實
現(xiàn)三層IP業(yè)務(wù)承載、一條裸光纜通道實現(xiàn)VPN業(yè)務(wù)承載、一條
裸光纜通道實現(xiàn)二層業(yè)務(wù)承載。核心交換機SW-1與核心交換機
SW-3之間、核心交換機SW-2與核心交換機SW-3之間租用運營
商OTN波分鏈路實現(xiàn)互通。具體要求如下:
1.為了節(jié)約集團成本,設(shè)計實現(xiàn)VPN業(yè)務(wù)承載的裸光纜通道
帶寬只有10Mbps,后續(xù)再根據(jù)業(yè)務(wù)使用情況考慮是否擴容;使用
相關(guān)技術(shù)分別實現(xiàn)集團財務(wù)1段、財務(wù)2段業(yè)務(wù)路由表與集團其
它業(yè)務(wù)網(wǎng)段路由表隔離,財務(wù)業(yè)務(wù)位于VPN實例名稱CW內(nèi)。
2.配置實現(xiàn)三層IP業(yè)務(wù)承載的裸光纜通道最大傳輸單元為
1700Bytes,滿足后續(xù)集團雙DCVXLAN、EVPN等新技術(shù)應(yīng)用。
3.目前設(shè)計實現(xiàn)二層業(yè)務(wù)承載的只有一條裸光纜通道,隨著
集團1#DC服務(wù)器數(shù)量快速擴容,預(yù)計未來2-3年集團1#DC與
2#DC間服務(wù)器大二層流量會呈現(xiàn)爆發(fā)式增長,配置相關(guān)技術(shù),方
便后續(xù)鏈路擴容與冗余備份,編號為1。
4.配置核心交換機SW-1、SW-2、SW-3采用源、目的IP進(jìn)
行實現(xiàn)流量負(fù)載分擔(dān)。
5.核心交換機SW-3針對每個業(yè)務(wù)VLAN的第一個接口配置
Loopback命令,模擬接口UP,方便后續(xù)業(yè)務(wù)驗證與測試。
14/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(三)核心交換機SW-1和核心交換機SW-2針對營銷業(yè)務(wù)網(wǎng)
段的每個物理接口限制收、發(fā)數(shù)據(jù)占用的帶寬分別為100Mbps、
90Mbps;針對產(chǎn)品業(yè)務(wù)網(wǎng)段的每個物理接口限制所有報文最大收
包速率為100packets/s,如果超過了設(shè)置交換機端口的報文最大收
包速率則關(guān)閉此端口,10分鐘后再恢復(fù)此端口,來保證交換機對
其他業(yè)務(wù)的正常處理。
(四)要求禁止配置訪問控制列表,實現(xiàn)核心交換機SW-3法
務(wù)業(yè)務(wù)對應(yīng)的物理端口間二層流量無法互通;針對SW-3人力業(yè)
務(wù)配置相關(guān)特性,每個端口只允許的最大安全MAC地址數(shù)為1,
當(dāng)超過設(shè)定MAC地址數(shù)量的最大值,不學(xué)習(xí)新的MAC、丟棄數(shù)
據(jù)包、發(fā)snmptrap、同時在syslog日志中記錄,端口的老化定時
器到期后,在老化周期中沒有流量的部分表項老化,有流量的部
分依舊保留;配置相關(guān)特性實現(xiàn)報文上送設(shè)備CPU的前端整體上
對攻擊報文進(jìn)行攔截,開啟日志記錄功能,采樣周期10s一次,
恢復(fù)周期為2分鐘,從而保障CPU穩(wěn)定運行。
15/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(五)核心交換機SW-1、SW-2、SW-3分別配置簡單網(wǎng)絡(luò)管
理協(xié)議,計劃啟用V3版本,V3版本在安全性方面做了極大的擴
充。配置引擎號分別為62001、62002、62003;創(chuàng)建認(rèn)證用戶為
2023,采用3des算法進(jìn)行加密,密鑰為:20232023,哈希算法為
SHA,密鑰為:20232023;加入組,采用最高安全級別;配置組
的讀、寫視圖分別為:2023_R、2023_W;當(dāng)設(shè)備有異常時,需要
使用本地的環(huán)回地址Loopback2發(fā)送Trap消息至集團網(wǎng)管服務(wù)器
20、2001:10:60:15::120,采用最高安全級別;當(dāng)人力部
門對應(yīng)的用戶接口發(fā)生UP/DOWN事件時禁止發(fā)送trap消息至上
述集團網(wǎng)管服務(wù)器。
(六)使用相關(guān)技術(shù)將核心交換機SW-3模擬為Internet交換
機,實現(xiàn)與集團其它業(yè)務(wù)網(wǎng)段路由表隔離,Internet路由表位于
VPN實例名稱Internet內(nèi)。
(七)配置相關(guān)功能,使核心交換機SW-1、核心交換機SW-2、
核心交換機SW-3設(shè)備能夠在網(wǎng)絡(luò)中相互發(fā)現(xiàn)并交互各自的系統(tǒng)
及配置信息,以供管理員查詢兩端接口對應(yīng)關(guān)系及判斷鏈路的通
信狀況;配置所有使能此功能的端口發(fā)送更新報文的時間間隔為
1分鐘、更新報文所攜帶的老化時間為5分鐘,配置租用運營商
三條裸光纜通道相關(guān)端口使能Trap功能,Trap報文發(fā)送間隔為1
分鐘。
(八)配置相關(guān)功能,使集團核心交換機SW-1和SW-2設(shè)備
能夠在網(wǎng)絡(luò)中相互發(fā)現(xiàn)并交互各自的系統(tǒng)及配置信息,以供管理
員查詢兩端接口對應(yīng)關(guān)系及判斷鏈路的通信狀況。
16/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(九)防止終端產(chǎn)生MAC地址泛洪攻擊,在SW-1,SW-2的
所有業(yè)務(wù)端口設(shè)置開啟端口安全功能,配置端口允許的最大安全
MAC數(shù)量為20,發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過,關(guān)閉端口,
恢復(fù)時間為3分鐘。
(十)因集團營銷人員較多、同時也為了節(jié)約成本,在集團接
入交換機下掛兩個8口HUB交換機實現(xiàn)營銷部接入,已經(jīng)為營銷
業(yè)務(wù)VLAN分配IP主機位為1-14,在集團接入交換機使用相關(guān)
特性實現(xiàn)只允許上述IP數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),對IP不在上述范圍內(nèi)
的用戶發(fā)來的數(shù)據(jù)包,交換機不能轉(zhuǎn)發(fā),直接丟棄,要求禁止采
用訪問控制列表實現(xiàn)。
四、路由配置與調(diào)試
(一)規(guī)劃集團內(nèi)部、集團與廣東辦事處之間使用OSPF協(xié)議,
集團內(nèi)使用進(jìn)程號為1,集團與廣東辦事處間使用進(jìn)程號為2,具
體要求如下:
1.核心交換機SW-1與FW-1之間、核心路由器RT-1與FW-1
之間、核心路由器RT-1與SW-2之間、SW-1與SW-2之間、SW-1
與SW-3、SW-2與SW-3均屬于骨干區(qū)域;RT-1與FW-2之間屬
于普通區(qū)域,區(qū)域號為20。
2.調(diào)整OSPF進(jìn)程號1所有接口發(fā)送Hello包的時間間隔為5
秒,如果接口在3倍時間內(nèi)都沒有收到對方的Hello報文,則認(rèn)
為對端鄰居失效。
3.RT-1、SW-1、SW-2、SW-3、FW-1、FW-2分別發(fā)布自己的
環(huán)回地址路由;SW-1、SW-2、SW-3只允許發(fā)布營銷網(wǎng)段業(yè)務(wù)路
由;FW-2分別發(fā)布自身營銷、產(chǎn)品網(wǎng)段業(yè)務(wù)路由。
17/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
4.核心交換機SW-1、SW-2、SW-3OSPF進(jìn)程1的路由表中
業(yè)務(wù)網(wǎng)段路由只允許學(xué)習(xí)到FW-1通告的TYPE1類型的缺省路由、
集團營銷業(yè)務(wù)網(wǎng)段路由、FW-2環(huán)回地址與營銷業(yè)務(wù)網(wǎng)段路由;由
于FW-2路由條目支持?jǐn)?shù)量有限,禁止學(xué)習(xí)到集團、分公司的所
有互聯(lián)地址與業(yè)務(wù)路由。
(二)規(guī)劃核心交換機SW-1與SW-2之間、SW-1與SW-3之
間、SW-2與SW-3、SW-2與RT-1之間使用OSPFv3協(xié)議,均屬
于骨干區(qū)域,發(fā)布相應(yīng)環(huán)回地址,禁止發(fā)布業(yè)務(wù)路由;SW-1與
SW-2之間通過兩端三層IP業(yè)務(wù)承載的裸光纜通道進(jìn)行互聯(lián)互通。
(三)規(guī)劃集團核心路由器RT-1與分公司路由器RT-2之間運
行ISIS協(xié)議,實現(xiàn)兩端環(huán)回地址3之間的互通。使用進(jìn)程號為10,
設(shè)置路由器類型是Level-2,接口網(wǎng)絡(luò)類型為點到點鏈路,通過配
置相關(guān)驗證功能,驗證密碼為:Skills2023,驗證密碼將會按照設(shè)
定的方式封裝到Level-2報文中,并對收到的Level-2報文進(jìn)行驗
證密碼的檢查,防止將不可信的路由信息注入當(dāng)前路由域。
(四)為了方便業(yè)務(wù)靈活調(diào)度,同時還規(guī)劃集團北京兩個DC
與集團災(zāi)備DC之間、集團與分公司之間使用BGP協(xié)議,集團北
京兩個DC使用的AS號為62021、集團災(zāi)備DC使用的AS號為
62023、分公司使用的AS號為62023,具體要求如下:
1.核心交換機SW-1與SW-2之間、SW-1與RT-1之間、SW-2
與RT-1之間通過OSPFv2環(huán)回地址建立IBGP鄰居,SW-1與SW-3
之間、SW-2與SW-3之間、核心路由器RT-1與分公司路由器RT-2
之間通過互聯(lián)地址建立EBGP鄰居。
2.使用BGP協(xié)議實現(xiàn)集團DC之間IPV6業(yè)務(wù)、集團與分公
司之間IPV6業(yè)務(wù)、北京DC之間財務(wù)業(yè)務(wù)互聯(lián)互通,滿足集團
18/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
DC之間、集團與分公司之間IPV6及北京DC之間財務(wù)業(yè)務(wù)發(fā)展
的需要;其中要求SW-1、SW-2、SW-3之間實現(xiàn)DC間IPV6業(yè)
務(wù)互聯(lián)互通需使用環(huán)回地址建立BGP鄰居;集團與分公司之間
IPV6業(yè)務(wù)互聯(lián)互通要求SW-1、SW-2與RT-1使用環(huán)回地址建立
BGP鄰居、核心路由器RT-1與分公司路由器RT-2采用互聯(lián)地址
建立BGP鄰居。
3.要求北京兩個DC與貴州DC、分公司路由器RT-2禁止發(fā)
布除產(chǎn)品、法務(wù)、財務(wù)、人力、無線業(yè)務(wù)網(wǎng)段外的其它路由;SW-1、
SW-2、SW-3BGP公網(wǎng)路由表中只允許學(xué)習(xí)到集團DC間產(chǎn)品&
法務(wù)&人力業(yè)務(wù)網(wǎng)段、廣東辦事處產(chǎn)品業(yè)務(wù)網(wǎng)段路由、分公司無
線業(yè)務(wù)業(yè)務(wù)網(wǎng)段路由。
4.利用BGP相關(guān)功能特性,減少網(wǎng)絡(luò)不穩(wěn)定帶來的過多的路
由更新,抑制這些不穩(wěn)定的路由信息,不允許這類路由參與路由
選擇。
(五)為了合理分配集團內(nèi)業(yè)務(wù)流向,保證來回路徑一致,業(yè)
務(wù)選路具體要求如下:
1.實現(xiàn)核心交換機SW-1與分公司路由器RT-2、廣東辦事處
IPV4互訪流量優(yōu)先通過SW-1_SW-2_RT-1之間鏈路轉(zhuǎn)發(fā),
SW-1_FW-1_RT-1之間鏈路作為備用鏈路;實現(xiàn)核心交換機SW-2
與分公司路由器RT-2、廣東辦事處IPV4互訪流量優(yōu)先通過
SW-2_RT-1之間鏈路轉(zhuǎn)發(fā),SW-2_SW-1_FW-1_RT-1之間鏈路作為
備用鏈路。
2.實現(xiàn)核心交換機SW-1與Internet互訪流量優(yōu)先通過
SW-1_FW-1之間鏈路轉(zhuǎn)發(fā),SW-1_SW-2_RT-1_FW-1之間鏈路作
為備用鏈路;實現(xiàn)核心交換機SW-2與Internet互訪流量優(yōu)先通過
19/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
SW-2_SW-1_FW-1之間鏈路轉(zhuǎn)發(fā),SW-2_RT-1_FW-1之間鏈路作
為備用鏈路。
3.核心交換機SW-3與SW-1、SW-2IPv4營銷業(yè)務(wù)互訪流量
優(yōu)先通過SW-3_SW-2之間鏈路轉(zhuǎn)發(fā),SW-3_SW-1之間鏈路作為
備用鏈路;實現(xiàn)SW-3與SW-1、SW-2DC間IPV6業(yè)務(wù)互訪流量
優(yōu)先通過SW-3_SW-1之間鏈路轉(zhuǎn)發(fā),SW-3_SW-2之間鏈路作為
備用鏈路。
(六)FW-1集團RT-1_RT-2之間配置RIPng,無線IPv6用戶
優(yōu)先通過RT-2訪問INTERNET,RT-2-FW1為備份線路,如備份線
路啟用則優(yōu)先使用專線傳送數(shù)據(jù);
(七)北京1#DC和分公司之間用相關(guān)特性,實現(xiàn)無線的IPv6
終端與產(chǎn)品業(yè)務(wù)的IPv6終端可以通過RIPng互訪。
五、無線網(wǎng)絡(luò)配置
(一)分公司無線控制器AC與RT-2互連,無線業(yè)務(wù)網(wǎng)關(guān)位
于RT-2上,配置VLAN100為AP管理VLAN,VLAN200,201
為業(yè)務(wù)VLAN;AC提供無線管理與業(yè)務(wù)的DHCP服務(wù),動態(tài)分
配IP地址和網(wǎng)關(guān);分別使用第一個可用地址作為AC管理地址和
無線業(yè)務(wù)管理地址;AP二層自動注冊,AP采用MAC地址認(rèn)證。
(二)配置一個SSID2023,訪問Internet業(yè)務(wù),采用WPA-PSK
認(rèn)證方式,加密方式為WPA個人版,配置密鑰為20232023
20/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(三)配置所有無線接入用戶相互隔離,Network模式下限制
SSID2023每天早上0點到4點禁止終端接入,開啟SSID2023
ARP抑制功能;配置當(dāng)無線終端支持5GHz網(wǎng)絡(luò)時,優(yōu)先引導(dǎo)接
入5GHz網(wǎng)絡(luò),從而獲得更大的吞吐量,提高無線體驗。
(四)配置一個SSIDXXX_IPv6,屬于VLAN201,訪問
Internet業(yè)務(wù),用戶接入無線網(wǎng)絡(luò)時需要采用基于WPA-personal
加密方式,其口令為“12345678”,該網(wǎng)絡(luò)中的用戶從RT-2DHCP
獲取IPv6地址,地址范圍為:2001:172.40.201::254/64。
(五)配置2個SSID,分別為“skills-2.4”和“skills-5.0”。
“skills-2.4”對應(yīng)業(yè)務(wù)Vlan200,使用network200,用戶接入無線
網(wǎng)絡(luò)時需要采用基于WPA-personal加密方式,其口令為“123456”;
“skills-5.0”對應(yīng)業(yè)務(wù)Vlan201,使用network201,不需要認(rèn)證,
隱藏SSID,“skills-5.0”的SSID只使用倒數(shù)第一個可用VAP發(fā)送
5.0G信號。
(六)配置所有Radio接口:AP在收到錯誤幀時,將不再發(fā)
送ACK幀;打開AP組播廣播突發(fā)限制功能;開啟Radio的自動
信道調(diào)整,每天上午10:00觸發(fā)信道調(diào)整功能。
(七)保障無線信息的覆蓋性,無線AP的發(fā)射功率設(shè)置為
90%。禁止MAC地址為80-45-DD-77-CC-48的無線終端連接。針
對skills-5.0開啟內(nèi)置portal+本地認(rèn)證的認(rèn)證方式,賬號為密碼為
12345678,組編號為1。
六、安全策略配置
說明:為了統(tǒng)一結(jié)果,要求源地址和目的地址均使用“IP/掩碼”
21/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
表示,禁止使用地址薄或地址條目表示,否則按零分處理。舉例截圖
如下:
22/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(一)根據(jù)題目要求配置FW-1、FW-2相應(yīng)的業(yè)務(wù)安全域、業(yè)
務(wù)接口;2023年護(hù)網(wǎng)行動開展在即,調(diào)整全網(wǎng)防火墻安全策略缺
省規(guī)則為拒絕;限制FW-1只允許集團營銷業(yè)務(wù)、分公司無線IPV4
業(yè)務(wù)、廣東辦事處營銷業(yè)務(wù)訪問Internet業(yè)務(wù);在FW-2上限制廣
東辦事處產(chǎn)品業(yè)務(wù)網(wǎng)段只可以訪問集團產(chǎn)品網(wǎng)段https、mysql數(shù)
據(jù)庫類型業(yè)務(wù),集團營銷網(wǎng)段可以訪問廣東辦事處營銷業(yè)務(wù)網(wǎng)段
任何端口。
(二)為了避免集團內(nèi)部業(yè)務(wù)直接映射至Internet成為攻擊
“靶心”,不斷提升集團網(wǎng)絡(luò)安全體系建設(shè),在FW-1配置L2TP
VPN,名稱為VPN,滿足遠(yuǎn)程辦公用戶通過撥號登陸訪問集團營
銷業(yè)務(wù),創(chuàng)建隧道接口為tunnel1、并加入untrust安全域,地址
池名稱為AddressPool,LNS地址池為
/24-00/24,網(wǎng)關(guān)為最大可用地址,認(rèn)證賬號
2023001,密碼2023。
(三)在FW-1配置網(wǎng)絡(luò)地址轉(zhuǎn)換,NAT地址轉(zhuǎn)換條件中源、
目的IP均為any,公網(wǎng)NAT地址池為:/28;保證每一
個源IP產(chǎn)生的所有會話將被映射到同一個固定的IP地址,當(dāng)有
流量匹配本地址轉(zhuǎn)換規(guī)則時產(chǎn)生日志信息,將匹配的日志發(fā)送至
20的UDP514端口;開啟相關(guān)特性,實現(xiàn)擴展NAT轉(zhuǎn)
換后的網(wǎng)絡(luò)地址端口資源。
23/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(四)在FW-2開啟安全網(wǎng)關(guān)的TCPSYN包檢查功能,只有
檢查收到的包為TCPSYN包后,才建立連接;配置所有的TCP
數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段為1460,盡力減少網(wǎng)絡(luò)分片;
配置對TCP三次握手建立的時間進(jìn)行檢查,如果在1分鐘內(nèi)未完
成三次握手,則斷掉該連接。
(五)FW-1的出口帶寬為800Mbps,為集團內(nèi)研發(fā)、營銷、
行政、財務(wù)4個業(yè)務(wù)網(wǎng)段更加合理使用出口資源,要求出口口帶
寬小于480Mbps時,每IP上下行最大5Mbps帶寬;出口帶寬大
于720Mbps時,每IP上下行最大2Mbps帶寬,規(guī)則名稱為JT。
同時要求在流量變化期間帶寬增長速率為2倍,在任何時候都要
確保網(wǎng)頁訪問服務(wù)占每IP帶寬的40%。
(六)為防止集團內(nèi)部收到垃圾郵件,請在防火墻上配置郵箱
過濾,規(guī)則名稱和類別名稱均為“商業(yè)中心”,過濾含有“商業(yè)中
心”字樣的郵件。
(七)正常情況下集團FW1與分公司RT-2使用BGP連接,
當(dāng)連接斷開時,集團FW1與分公司RT-2使用公網(wǎng)VPN作為備份
鏈路,VPN要求如下:集團FW1與分公司RT-2使用與Internet
的接口互聯(lián)地址建立GRE隧道,再使用IPSEC技術(shù)對GRE隧道
進(jìn)行保護(hù),使用IKE協(xié)商IPSec安全聯(lián)盟、交換IPSec密鑰,兩
端加密訪問列表名稱都為ipsecacl,這樣有了IPSec,集團與分公
司在通過運營商網(wǎng)絡(luò)傳輸時,就不用擔(dān)心被監(jiān)視、篡改和偽造。
24/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
(八)為確保北京與廣東之間業(yè)務(wù)數(shù)據(jù)的安全可靠性,兩地防
火墻之間使用Internet之間建立GRE隧道,使用IPSec技術(shù)對GRE
隧道進(jìn)行保護(hù),使用IKE協(xié)商自行設(shè)置IPSec安全聯(lián)盟、交換IPSec
密鑰。
七、業(yè)務(wù)選路與組播配置
(一)考慮到從北京兩個DC與貴州DC之間共有兩條鏈路,
貴州DC產(chǎn)品業(yè)務(wù)網(wǎng)段與北京兩個DC產(chǎn)品業(yè)務(wù)網(wǎng)段IPV4協(xié)議棧
互訪優(yōu)先在SW-3與SW-1之間鏈路轉(zhuǎn)發(fā);貴州DC法務(wù)&人力網(wǎng)
段與北京兩個DC法務(wù)&人力網(wǎng)段IPV4協(xié)議?;ピL優(yōu)先在SW-3
與SW-2之間鏈路轉(zhuǎn)發(fā),主備鏈路相互備份。根據(jù)以上需求,在
交換機上進(jìn)行合理的業(yè)務(wù)選路配置。具體要求如下:
1.使用IP前綴列表匹配上述業(yè)務(wù)數(shù)據(jù)流。
2.使用BGP自治系統(tǒng)路徑屬性進(jìn)行業(yè)務(wù)選路,允許新增的變
量為AS62000,只允許使用route-map來改變路徑屬性、路由控
制。
(二)計劃在集團北京與分公司之間上線視頻會議系統(tǒng),實現(xiàn)
多業(yè)務(wù)部門橫向溝通、交流,提升工作效率,初步先在產(chǎn)品部啟
用組播協(xié)議進(jìn)行測試,具體要求如下:
1.在集團北京SW-1,SW-2,集團RT-1,分公司RT-2路由器
運行協(xié)議獨立組播-稀疏模式協(xié)議,集團RT-1路由器為RD,因
特網(wǎng)組管理協(xié)議第二版本;
2.SW-1產(chǎn)品部門內(nèi)部終端啟用組播,此終端IP地址為:
34/24,使用VLC工具串流播放視頻文件“大賽宣傳
片.mp4”,模擬組播源,設(shè)置此視頻循環(huán)播放,組地址0,
25/26
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷
端口:2022,實現(xiàn)分公司無線業(yè)務(wù)部門內(nèi)部終端可以通過組播查
看視頻播放。
26/26
2023年全國職業(yè)院校技能大賽
網(wǎng)絡(luò)搭建與應(yīng)用賽項
公開賽卷(二)
第二部分服務(wù)器配置及應(yīng)用
2023年(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項專家組
2023年3月8日
2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項
第三部分服務(wù)器配置及應(yīng)用公開賽卷
競賽說明
競賽內(nèi)容分布
本賽卷共分三項,其中:
第一項:云平臺網(wǎng)絡(luò)連接(100分)
第二項:Linux服務(wù)配置(200分)
第三項:Windows服務(wù)配置(200分)
一、競賽注意事項
1.禁止攜帶和使用移動存儲設(shè)備、計算器、通信工具及參考資料。
2.請根據(jù)大賽所提供的比賽環(huán)境,檢查所列的硬件設(shè)備、軟件及
文檔清單、材料清單是否齊全,計算機設(shè)備是否能正常使用。
3.請參賽選手仔細(xì)閱讀賽卷,按照要求完成各項操作。
4.操作過程中,需要及時保存配置命令。
5.比賽結(jié)束后,所有設(shè)備保持運行狀態(tài),評判以最后的硬件連接
和提交文檔為最終結(jié)果。
6.比賽完成后,禁止將比賽所用的所有物品(包括賽卷)帶離賽
場。
7.禁止在紙質(zhì)資料、比賽設(shè)備和電腦桌上作任何與競賽無關(guān)的標(biāo)
記,如違反規(guī)定,可視為0分。
8.與比賽相關(guān)的軟件和《服務(wù)器配置及應(yīng)用競賽結(jié)果提交指南》
存放在物理機的D:\soft文件夾中。
9.請在物理機PC1桌面上新建“XXX”文件夾作為“選手目錄”,
用以保存按照《服務(wù)器配置及應(yīng)用競賽結(jié)果提交指南》要求自動生成
的全部結(jié)果文檔。(XXX為賽位號。舉例:1
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 抖音短視頻內(nèi)容提升思路
- 高級中學(xué)線上教研互聯(lián)網(wǎng)數(shù)字化教學(xué)設(shè)備采購項目招標(biāo)文件
- 首飾原料采購合同模板
- 個人簡易合同模板
- 中國銀行信托合同模板
- 采購耗材合同模板
- 礦山剝巖合同模板
- 月租住房合同模板
- 酒吧承包團建合同模板
- 店面施工合同模板
- 《電子測量技術(shù)基礎(chǔ)》第8章阻抗測量課件
- 背越式跳高----過桿技術(shù) 教案
- 《動畫分鏡設(shè)計》課程標(biāo)準(zhǔn)
- 東方財富通指標(biāo)說明書
- 探究電流與電壓電阻的關(guān)系11
- 寵物食品項目商業(yè)計劃書(模板范文)
- T梁濕接縫方案
- USB1Type-C數(shù)據(jù)線設(shè)計規(guī)范
- 地鐵工程部管理崗位職責(zé)
- 湖南省城鎮(zhèn)職工基本醫(yī)療保險參保單位申請登記表
- CRRT治療醫(yī)囑單
評論
0/150
提交評論