2023年全國職業(yè)技能大賽中職組網(wǎng)絡(luò)搭建與應(yīng)用賽項-樣題A_第1頁
2023年全國職業(yè)技能大賽中職組網(wǎng)絡(luò)搭建與應(yīng)用賽項-樣題A_第2頁
2023年全國職業(yè)技能大賽中職組網(wǎng)絡(luò)搭建與應(yīng)用賽項-樣題A_第3頁
2023年全國職業(yè)技能大賽中職組網(wǎng)絡(luò)搭建與應(yīng)用賽項-樣題A_第4頁
2023年全國職業(yè)技能大賽中職組網(wǎng)絡(luò)搭建與應(yīng)用賽項-樣題A_第5頁
已閱讀5頁,還剩38頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

2023年全國職業(yè)院校技能大賽

網(wǎng)絡(luò)搭建與應(yīng)用賽項

公開賽卷

(二)

第一部分網(wǎng)絡(luò)搭建及安全部署

2023年(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項專家組

2023年3月8日

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

競賽說明

一、競賽內(nèi)容分布

本賽卷共分七項,其中:

第一項:職業(yè)規(guī)范與素養(yǎng)(50分)

第二項:網(wǎng)絡(luò)布線與基礎(chǔ)連接(50分)

————以下為(400分)————

第三項:交換配置與調(diào)試

第四項:路由配置與調(diào)試

第五項:無線網(wǎng)絡(luò)配置

第六項:安全策略配置

第七項:業(yè)務(wù)選路與組播配置

2/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

二、競賽注意事項

1.禁止攜帶和使用移動存儲設(shè)備、計算器、通信工具及參考

資料。

2.請根據(jù)大賽所提供的比賽環(huán)境,檢查所列的硬件設(shè)備、軟

件及文檔清單、材料清單是否齊全,計算機設(shè)備是否能正常使用。

3.請參賽選手仔細(xì)閱讀賽卷,按照要求完成各項操作。

4.操作過程中,需要及時保存配置命令。

5.比賽結(jié)束后,所有設(shè)備保持運行狀態(tài),評判以最后的硬件

連接和提交文檔為最終結(jié)果。

6.比賽完成后,禁止將比賽所用的所有物品(包括賽卷)帶

離賽場。

7.禁止在紙質(zhì)資料、比賽設(shè)備和電腦桌上作任何與競賽無關(guān)

的標(biāo)記,如違反規(guī)定,可視為0分。

8.與比賽相關(guān)的軟件和《網(wǎng)絡(luò)搭建及安全部署競賽結(jié)果提交

指南》存放在物理機的D:\soft文件夾中。

9.請在物理機PC1桌面上新建“XXX”文件夾作為“選手目

錄”,用以保存按照《網(wǎng)絡(luò)搭建及安全部署競賽結(jié)果提交指南》要

求自動生成的全部結(jié)果文檔。(XXX為賽位號。舉例:1號賽位,

文件夾名稱為“001”)重要提示:選手目錄如缺少文檔,相應(yīng)分

值計為0分。

三、競賽說明

1.請根據(jù)物理機“D:\soft\網(wǎng)絡(luò)搭建及安全部署競賽結(jié)果提交指

南.docx”的要求生成文檔,將生成的文檔復(fù)制到選手目錄。

3/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

2.收集防火墻信息時,需要先調(diào)整SecureCRT軟件字符編號為:

UTF-8(提示:默認(rèn)是UTF-8),否則收集的命令行中文信息會顯

示亂碼。

競賽題目

項目簡介:

某集團公司原在北京建立了總公司,后在成都建立了分公司,又

在廣東設(shè)立了一個辦事處。集團設(shè)有營銷、產(chǎn)品、法務(wù)、財務(wù)、人力

5個部門,統(tǒng)一進(jìn)行IP及業(yè)務(wù)資源的規(guī)劃和分配,全網(wǎng)采用RIP、ISIS、

OSPF和BGP路由協(xié)議進(jìn)行互聯(lián)互通。

2023年在黨的堅強領(lǐng)導(dǎo)下,全年公司規(guī)模保持快速增長,業(yè)務(wù)數(shù)

據(jù)量和公司訪問量增長巨大,不斷開創(chuàng)新局面,向著全面建成社會主

義現(xiàn)代化強國的第二個百年奮斗目標(biāo)邁進(jìn)。為了更好管理數(shù)據(jù),提

供服務(wù),集團決定在北京建立兩個數(shù)據(jù)中心,在貴州建立異地災(zāi)備數(shù)

據(jù)中心,以達(dá)到快速、可靠交換數(shù)據(jù),增強業(yè)務(wù)部署彈性的目的,完

成向兩地三中心整體戰(zhàn)略架構(gòu)演進(jìn),更好的服務(wù)于公司客戶。

集團、成都分公司及廣東辦事處的網(wǎng)絡(luò)結(jié)構(gòu)詳見拓?fù)鋱D。編號為

SW-1和SW-2分別作為集團北京兩個DC的核心交換機;編號為SW-3

作為災(zāi)備DC的核心交換機;兩臺防火墻編號FW-1和FW-2分別作為

集團互聯(lián)網(wǎng)出口、廣東辦事處的防火墻;編號為RT-1作為集團的核

心路由器;編號為RT-2作為分公司的路由器;一臺AC設(shè)備作為分公

司的有線無線智能一體化控制器,通過與高性能企業(yè)級AP配合實現(xiàn)

分公司無線覆蓋。

請注意:在此典型互聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)架構(gòu)中,作為IT網(wǎng)絡(luò)運維人

員,請根據(jù)拓?fù)錁?gòu)建完整的系統(tǒng)環(huán)境,使整體網(wǎng)絡(luò)架構(gòu)具有良好的穩(wěn)

4/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

定性、安全性、可擴展性。請完成所有服務(wù)配置后,從客戶端進(jìn)行測

試,確保能正常訪問到相應(yīng)應(yīng)用。

網(wǎng)絡(luò)拓?fù)?

表1-網(wǎng)絡(luò)設(shè)備連接表

A設(shè)備連接至B設(shè)備

設(shè)備

接口設(shè)備名稱接口

名稱

RT-1G0/0RT-2G0/0

RT-1G0/1FW-2E0/1

RT-1G0/2FW-1E0/1

RT-1G0/3SW-2E0/23

RT-1S1/0RT-2S1/1

RT-1S1/1RT-2S1/0

5/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

A設(shè)備連接至B設(shè)備

設(shè)備

接口設(shè)備名稱接口

名稱

RT-2G0/2ACE1/0/24

SW-3模擬

RT-2G0/3Internet交換E1/0/18

SW-3模擬

FW-1E0/2Internet交換E1/0/19

FW-1E0/3SW-1E1/0/22

SW-1E1/0/21SW-3E1/0/21

E1/0/26(實現(xiàn)三層E1/0/26(實現(xiàn)三層

SW-1SW-2

IP業(yè)務(wù)承載)IP業(yè)務(wù)承載)

E1/0/27(實現(xiàn)VPNE1/0/27(實現(xiàn)VPN業(yè)

SW-1SW-2

業(yè)務(wù)承載)務(wù)承載)

E1/0/28(實現(xiàn)二層E1/0/28(實現(xiàn)二層

SW-1SW-2

業(yè)務(wù)承載)業(yè)務(wù)承載)

SW-2E1/0/22SW-3E1/0/22

SW-1E1/0/15PC1NIC

6/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

A設(shè)備連接至B設(shè)備

設(shè)備

接口設(shè)備名稱接口

名稱

SW-2E1/0/15PC2NIC

ACE1/0/10AP

表2-網(wǎng)絡(luò)設(shè)備IP地址分配表

設(shè)備名稱設(shè)備接口IP地址

Loopback1/32

(ospfv2、ospfv3、bgp2001:10:60:255::6/128

使用)(集團內(nèi)使用)

Loopback2/32

(集團與廣東辦事處互聯(lián)使用)

Loopback31/32

2001:10:60:254::11/128

(集團與分公司互聯(lián)使用)

Loopback10/32

(模擬集團財務(wù)業(yè)務(wù)使用)

RT-1

G0/08/30

2001:10:60:254::18/120

1/30

G0/1

2001:10:60:254::6/127

5/30

G0/2

2001:10:60:254::25/120

S1/09/30

2001:10:60:254::8/127

S1/13/30

2001:10:60:254::A/127

RT-2Loopback32/32

7/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

設(shè)備名稱設(shè)備接口IP地址

2001:10:60:254::12/128

(分公司與集團互聯(lián)使用)

Loopback10/32

(模擬分公司財務(wù)業(yè)務(wù)使用)

G0/09/30

2001:10:60:254::19/120

G0/1.10054/24

G0/1.20054/24

2001:172:16:200::254/64

G0/36/30

2001:10:40:254::26/120

S1/10/30

2001:10:60:254::9/127

S1/04/30

2001:10:60:254::B/127

Loopback1

/32

(ospfv2、bgp使用)

Loopback2/32

(ospfv3使用)2001:10:60:255::2/128

VLAN10SVI54/24

54/24

VLAN20SVI

2001:10:60:12::254/64

54/24

VLAN30SVI

2001:10:60:13::254/64

SW-1VLAN40SVI54/24

54/24

VLAN50SVI

2001:10:60:15::254/64

VLAN1000SVI4/30

/30

VLAN1001SVI

2001:10:60:254::3/127

/30

VLAN4093SVI

(實現(xiàn)VPN業(yè)務(wù)承載)

/30

VLAN4094SVI

2001:10:60:254::/127

SW-3VLAN4000SVI/30

8/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

設(shè)備名稱設(shè)備接口IP地址

VLAN4001SVI/30

Loopback1

/32

(ospfv2、bgp使用)

Loopback2/32

(ospfv3使用)2001:10:60:255::4/128

VLAN10SVI54/24

54/24

VLAN20SVI

2001:10:60:22::254/64

54/24

VLAN30SVI

2001:10:60:23::254/64

VLAN40SVI54/24

SW-2

54/24

VLAN50SVI

2001:10:60:25::254/64

0/30

VLAN1000SVI

2001:10:60:254::5/127

2/30

VLAN1001SVI

2001:10:60:254::7/127

/30

VLAN4093SVI

(實現(xiàn)VPN業(yè)務(wù)承載)

/30

VLAN4094SVI

2001:10:60:254::1/127

Loopback1

/32

(ospfv2、bgp使用)

Loopback2/32

(ospfv3使用)2001:10:60:255::9/128

VLAN10SVI54/24

54/24

VLAN20SVI

2001:10:60:32::254/64

SW-354/24

VLAN30SVI

2001:10:60:33::254/64

54/24

VLAN50SVI

2001:10:60:35::254/64

/30

VLAN1000SVI

2001:10:60:254::2/127

/30

VLAN1001SVI

2001:10:60:254::4/127

9/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

設(shè)備名稱設(shè)備接口IP地址

SW-3模擬VLAN4000SVI/30

Internet00/32

Loopback100

交換機2001:202:50:100::100/128

/32

Loopback1

(trust安全域)

3/30

E0/1(trust安全域)

2001:10:60:254::13/120

FW-1

7/30

E0/2(trust安全域)

2001:10:60:254::17/120

/30

E0/3

(untrust安全域)

0/32

Loopback1

(trust安全域)

6/30

E0/1

(dmz安全域)

FW-2

E0/2.1054/24

(營銷網(wǎng)段業(yè)務(wù))(trust安全域)

E0/2.2054/24

(產(chǎn)品網(wǎng)段業(yè)務(wù))(trust安全域)

10/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

一、職業(yè)規(guī)范與素養(yǎng)(50分)

1.整理賽位,工具、設(shè)備歸位,保持賽后整潔有序。

2.無因選手原因?qū)е略O(shè)備損壞。

3.恢復(fù)調(diào)試現(xiàn)場,保證網(wǎng)絡(luò)和系統(tǒng)安全運行。

二、網(wǎng)絡(luò)布線與基礎(chǔ)連接(50分)

右側(cè)布線面板立面示意圖左側(cè)布線面板立面示意圖

【說明】

1.機柜左側(cè)布線面板編號101;機柜右側(cè)布線面板編號102。

2.面對信息底盒方向左側(cè)為1端口、右側(cè)為2端口。所有配

線架、模塊按照568B標(biāo)準(zhǔn)端接。

3.主配線區(qū)配線點與工作區(qū)配線點連線對應(yīng)關(guān)系如下表所示。

PC1、PC2配線點連線對應(yīng)關(guān)系表

序號信息點編號配線架編號底盒編號信息點編號配線架端口編號

1W1-02-101-1W1101102

2W1-04-102-1W1102104

11/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(一)鋪設(shè)線纜并端接

1.截取2根適當(dāng)長度的雙絞線,兩端制作標(biāo)簽,穿過PVC

線槽或線管。雙絞線在機柜內(nèi)部進(jìn)行合理布線,并且通過扎帶合

理固定。

2.將2根雙絞線的一端,根據(jù)“PC1、PC2配線點連線對應(yīng)關(guān)

系表“的要求,端接在配線架的相應(yīng)端口上。

3.將2根雙絞線的另一端,根據(jù)“PC1、PC2配線點連線對應(yīng)

關(guān)系表”的要求,端接上RJ45模塊,并且安裝上信息點面板,并

標(biāo)注標(biāo)簽。

(二)跳線制作與測試

1.再截取2根當(dāng)長度的雙絞線,兩端制作標(biāo)簽,根據(jù)“PC1、

PC2配線點連線對應(yīng)關(guān)系表”的要求,鏈接網(wǎng)絡(luò)信息點和相應(yīng)計算

機,端接水晶頭,制作網(wǎng)絡(luò)跳線,所有網(wǎng)絡(luò)跳線要求按568B標(biāo)

準(zhǔn)制作。

2.根據(jù)網(wǎng)絡(luò)拓?fù)湟?,截取適當(dāng)長度和數(shù)量的雙絞線,端接

水晶頭,制作網(wǎng)絡(luò)跳線,根據(jù)題目要求,插入相應(yīng)設(shè)備的相關(guān)端

口上;(包括設(shè)備與設(shè)備之間、設(shè)備與配線架之間);

3.實現(xiàn)PC、信息點面板、配線架、設(shè)備之間的連通;(提示:

可利用機柜上自帶的設(shè)備進(jìn)行通斷測試)。

4.按照“PC1、PC2配線點連線對應(yīng)關(guān)系表”連接機柜兩側(cè)底盒

端口。

12/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

三、交換配置與調(diào)試

(一)為了減少廣播,需要根據(jù)題目要求規(guī)劃并配置VLAN。

要求配置合理,所有鏈路上不允許不必要VLAN的數(shù)據(jù)流通過,

包含VLAN1。核心交換機SW-1和核心交換機SW-2之間實現(xiàn)二

層業(yè)務(wù)承載的裸光纜通道目前暫時只允許VLAN10、VLAN20、

VLAN30、VLAN40、VLAN50通過,禁止配置VLAN及接口的

描述信息。根據(jù)下述信息及表,在交換機上完成VLAN配置和

端口分配。

設(shè)備VLAN編號端口說明(非VLAN描述信息)

VLAN10E1/0/1營銷1段

VLAN20E1/0/2產(chǎn)品1段

SW-1VLAN30E1/0/3法務(wù)1段

VLAN40E1/0/4財務(wù)1段

VLAN50E1/0/5人力1段

VLAN10E1/0/1營銷2段

VLAN20E1/0/2產(chǎn)品2段

SW-2VLAN30E1/0/3法務(wù)2段

VLAN40E1/0/4財務(wù)2段

VLAN50E1/0/5人力2段

VLAN10E1/0/1營銷3段

VLAN20E1/0/2產(chǎn)品3段

SW-3

VLAN30E1/0/3法務(wù)3段

VLAN50E1/0/5人力3段

13/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(二)核心交換機SW-1和核心交換機SW-2之間線路租用運

營商三條裸光纜通道實現(xiàn)兩個DC之間互通,一條裸光纜通道實

現(xiàn)三層IP業(yè)務(wù)承載、一條裸光纜通道實現(xiàn)VPN業(yè)務(wù)承載、一條

裸光纜通道實現(xiàn)二層業(yè)務(wù)承載。核心交換機SW-1與核心交換機

SW-3之間、核心交換機SW-2與核心交換機SW-3之間租用運營

商OTN波分鏈路實現(xiàn)互通。具體要求如下:

1.為了節(jié)約集團成本,設(shè)計實現(xiàn)VPN業(yè)務(wù)承載的裸光纜通道

帶寬只有10Mbps,后續(xù)再根據(jù)業(yè)務(wù)使用情況考慮是否擴容;使用

相關(guān)技術(shù)分別實現(xiàn)集團財務(wù)1段、財務(wù)2段業(yè)務(wù)路由表與集團其

它業(yè)務(wù)網(wǎng)段路由表隔離,財務(wù)業(yè)務(wù)位于VPN實例名稱CW內(nèi)。

2.配置實現(xiàn)三層IP業(yè)務(wù)承載的裸光纜通道最大傳輸單元為

1700Bytes,滿足后續(xù)集團雙DCVXLAN、EVPN等新技術(shù)應(yīng)用。

3.目前設(shè)計實現(xiàn)二層業(yè)務(wù)承載的只有一條裸光纜通道,隨著

集團1#DC服務(wù)器數(shù)量快速擴容,預(yù)計未來2-3年集團1#DC與

2#DC間服務(wù)器大二層流量會呈現(xiàn)爆發(fā)式增長,配置相關(guān)技術(shù),方

便后續(xù)鏈路擴容與冗余備份,編號為1。

4.配置核心交換機SW-1、SW-2、SW-3采用源、目的IP進(jìn)

行實現(xiàn)流量負(fù)載分擔(dān)。

5.核心交換機SW-3針對每個業(yè)務(wù)VLAN的第一個接口配置

Loopback命令,模擬接口UP,方便后續(xù)業(yè)務(wù)驗證與測試。

14/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(三)核心交換機SW-1和核心交換機SW-2針對營銷業(yè)務(wù)網(wǎng)

段的每個物理接口限制收、發(fā)數(shù)據(jù)占用的帶寬分別為100Mbps、

90Mbps;針對產(chǎn)品業(yè)務(wù)網(wǎng)段的每個物理接口限制所有報文最大收

包速率為100packets/s,如果超過了設(shè)置交換機端口的報文最大收

包速率則關(guān)閉此端口,10分鐘后再恢復(fù)此端口,來保證交換機對

其他業(yè)務(wù)的正常處理。

(四)要求禁止配置訪問控制列表,實現(xiàn)核心交換機SW-3法

務(wù)業(yè)務(wù)對應(yīng)的物理端口間二層流量無法互通;針對SW-3人力業(yè)

務(wù)配置相關(guān)特性,每個端口只允許的最大安全MAC地址數(shù)為1,

當(dāng)超過設(shè)定MAC地址數(shù)量的最大值,不學(xué)習(xí)新的MAC、丟棄數(shù)

據(jù)包、發(fā)snmptrap、同時在syslog日志中記錄,端口的老化定時

器到期后,在老化周期中沒有流量的部分表項老化,有流量的部

分依舊保留;配置相關(guān)特性實現(xiàn)報文上送設(shè)備CPU的前端整體上

對攻擊報文進(jìn)行攔截,開啟日志記錄功能,采樣周期10s一次,

恢復(fù)周期為2分鐘,從而保障CPU穩(wěn)定運行。

15/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(五)核心交換機SW-1、SW-2、SW-3分別配置簡單網(wǎng)絡(luò)管

理協(xié)議,計劃啟用V3版本,V3版本在安全性方面做了極大的擴

充。配置引擎號分別為62001、62002、62003;創(chuàng)建認(rèn)證用戶為

2023,采用3des算法進(jìn)行加密,密鑰為:20232023,哈希算法為

SHA,密鑰為:20232023;加入組,采用最高安全級別;配置組

的讀、寫視圖分別為:2023_R、2023_W;當(dāng)設(shè)備有異常時,需要

使用本地的環(huán)回地址Loopback2發(fā)送Trap消息至集團網(wǎng)管服務(wù)器

20、2001:10:60:15::120,采用最高安全級別;當(dāng)人力部

門對應(yīng)的用戶接口發(fā)生UP/DOWN事件時禁止發(fā)送trap消息至上

述集團網(wǎng)管服務(wù)器。

(六)使用相關(guān)技術(shù)將核心交換機SW-3模擬為Internet交換

機,實現(xiàn)與集團其它業(yè)務(wù)網(wǎng)段路由表隔離,Internet路由表位于

VPN實例名稱Internet內(nèi)。

(七)配置相關(guān)功能,使核心交換機SW-1、核心交換機SW-2、

核心交換機SW-3設(shè)備能夠在網(wǎng)絡(luò)中相互發(fā)現(xiàn)并交互各自的系統(tǒng)

及配置信息,以供管理員查詢兩端接口對應(yīng)關(guān)系及判斷鏈路的通

信狀況;配置所有使能此功能的端口發(fā)送更新報文的時間間隔為

1分鐘、更新報文所攜帶的老化時間為5分鐘,配置租用運營商

三條裸光纜通道相關(guān)端口使能Trap功能,Trap報文發(fā)送間隔為1

分鐘。

(八)配置相關(guān)功能,使集團核心交換機SW-1和SW-2設(shè)備

能夠在網(wǎng)絡(luò)中相互發(fā)現(xiàn)并交互各自的系統(tǒng)及配置信息,以供管理

員查詢兩端接口對應(yīng)關(guān)系及判斷鏈路的通信狀況。

16/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(九)防止終端產(chǎn)生MAC地址泛洪攻擊,在SW-1,SW-2的

所有業(yè)務(wù)端口設(shè)置開啟端口安全功能,配置端口允許的最大安全

MAC數(shù)量為20,發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過,關(guān)閉端口,

恢復(fù)時間為3分鐘。

(十)因集團營銷人員較多、同時也為了節(jié)約成本,在集團接

入交換機下掛兩個8口HUB交換機實現(xiàn)營銷部接入,已經(jīng)為營銷

業(yè)務(wù)VLAN分配IP主機位為1-14,在集團接入交換機使用相關(guān)

特性實現(xiàn)只允許上述IP數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),對IP不在上述范圍內(nèi)

的用戶發(fā)來的數(shù)據(jù)包,交換機不能轉(zhuǎn)發(fā),直接丟棄,要求禁止采

用訪問控制列表實現(xiàn)。

四、路由配置與調(diào)試

(一)規(guī)劃集團內(nèi)部、集團與廣東辦事處之間使用OSPF協(xié)議,

集團內(nèi)使用進(jìn)程號為1,集團與廣東辦事處間使用進(jìn)程號為2,具

體要求如下:

1.核心交換機SW-1與FW-1之間、核心路由器RT-1與FW-1

之間、核心路由器RT-1與SW-2之間、SW-1與SW-2之間、SW-1

與SW-3、SW-2與SW-3均屬于骨干區(qū)域;RT-1與FW-2之間屬

于普通區(qū)域,區(qū)域號為20。

2.調(diào)整OSPF進(jìn)程號1所有接口發(fā)送Hello包的時間間隔為5

秒,如果接口在3倍時間內(nèi)都沒有收到對方的Hello報文,則認(rèn)

為對端鄰居失效。

3.RT-1、SW-1、SW-2、SW-3、FW-1、FW-2分別發(fā)布自己的

環(huán)回地址路由;SW-1、SW-2、SW-3只允許發(fā)布營銷網(wǎng)段業(yè)務(wù)路

由;FW-2分別發(fā)布自身營銷、產(chǎn)品網(wǎng)段業(yè)務(wù)路由。

17/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

4.核心交換機SW-1、SW-2、SW-3OSPF進(jìn)程1的路由表中

業(yè)務(wù)網(wǎng)段路由只允許學(xué)習(xí)到FW-1通告的TYPE1類型的缺省路由、

集團營銷業(yè)務(wù)網(wǎng)段路由、FW-2環(huán)回地址與營銷業(yè)務(wù)網(wǎng)段路由;由

于FW-2路由條目支持?jǐn)?shù)量有限,禁止學(xué)習(xí)到集團、分公司的所

有互聯(lián)地址與業(yè)務(wù)路由。

(二)規(guī)劃核心交換機SW-1與SW-2之間、SW-1與SW-3之

間、SW-2與SW-3、SW-2與RT-1之間使用OSPFv3協(xié)議,均屬

于骨干區(qū)域,發(fā)布相應(yīng)環(huán)回地址,禁止發(fā)布業(yè)務(wù)路由;SW-1與

SW-2之間通過兩端三層IP業(yè)務(wù)承載的裸光纜通道進(jìn)行互聯(lián)互通。

(三)規(guī)劃集團核心路由器RT-1與分公司路由器RT-2之間運

行ISIS協(xié)議,實現(xiàn)兩端環(huán)回地址3之間的互通。使用進(jìn)程號為10,

設(shè)置路由器類型是Level-2,接口網(wǎng)絡(luò)類型為點到點鏈路,通過配

置相關(guān)驗證功能,驗證密碼為:Skills2023,驗證密碼將會按照設(shè)

定的方式封裝到Level-2報文中,并對收到的Level-2報文進(jìn)行驗

證密碼的檢查,防止將不可信的路由信息注入當(dāng)前路由域。

(四)為了方便業(yè)務(wù)靈活調(diào)度,同時還規(guī)劃集團北京兩個DC

與集團災(zāi)備DC之間、集團與分公司之間使用BGP協(xié)議,集團北

京兩個DC使用的AS號為62021、集團災(zāi)備DC使用的AS號為

62023、分公司使用的AS號為62023,具體要求如下:

1.核心交換機SW-1與SW-2之間、SW-1與RT-1之間、SW-2

與RT-1之間通過OSPFv2環(huán)回地址建立IBGP鄰居,SW-1與SW-3

之間、SW-2與SW-3之間、核心路由器RT-1與分公司路由器RT-2

之間通過互聯(lián)地址建立EBGP鄰居。

2.使用BGP協(xié)議實現(xiàn)集團DC之間IPV6業(yè)務(wù)、集團與分公

司之間IPV6業(yè)務(wù)、北京DC之間財務(wù)業(yè)務(wù)互聯(lián)互通,滿足集團

18/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

DC之間、集團與分公司之間IPV6及北京DC之間財務(wù)業(yè)務(wù)發(fā)展

的需要;其中要求SW-1、SW-2、SW-3之間實現(xiàn)DC間IPV6業(yè)

務(wù)互聯(lián)互通需使用環(huán)回地址建立BGP鄰居;集團與分公司之間

IPV6業(yè)務(wù)互聯(lián)互通要求SW-1、SW-2與RT-1使用環(huán)回地址建立

BGP鄰居、核心路由器RT-1與分公司路由器RT-2采用互聯(lián)地址

建立BGP鄰居。

3.要求北京兩個DC與貴州DC、分公司路由器RT-2禁止發(fā)

布除產(chǎn)品、法務(wù)、財務(wù)、人力、無線業(yè)務(wù)網(wǎng)段外的其它路由;SW-1、

SW-2、SW-3BGP公網(wǎng)路由表中只允許學(xué)習(xí)到集團DC間產(chǎn)品&

法務(wù)&人力業(yè)務(wù)網(wǎng)段、廣東辦事處產(chǎn)品業(yè)務(wù)網(wǎng)段路由、分公司無

線業(yè)務(wù)業(yè)務(wù)網(wǎng)段路由。

4.利用BGP相關(guān)功能特性,減少網(wǎng)絡(luò)不穩(wěn)定帶來的過多的路

由更新,抑制這些不穩(wěn)定的路由信息,不允許這類路由參與路由

選擇。

(五)為了合理分配集團內(nèi)業(yè)務(wù)流向,保證來回路徑一致,業(yè)

務(wù)選路具體要求如下:

1.實現(xiàn)核心交換機SW-1與分公司路由器RT-2、廣東辦事處

IPV4互訪流量優(yōu)先通過SW-1_SW-2_RT-1之間鏈路轉(zhuǎn)發(fā),

SW-1_FW-1_RT-1之間鏈路作為備用鏈路;實現(xiàn)核心交換機SW-2

與分公司路由器RT-2、廣東辦事處IPV4互訪流量優(yōu)先通過

SW-2_RT-1之間鏈路轉(zhuǎn)發(fā),SW-2_SW-1_FW-1_RT-1之間鏈路作為

備用鏈路。

2.實現(xiàn)核心交換機SW-1與Internet互訪流量優(yōu)先通過

SW-1_FW-1之間鏈路轉(zhuǎn)發(fā),SW-1_SW-2_RT-1_FW-1之間鏈路作

為備用鏈路;實現(xiàn)核心交換機SW-2與Internet互訪流量優(yōu)先通過

19/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

SW-2_SW-1_FW-1之間鏈路轉(zhuǎn)發(fā),SW-2_RT-1_FW-1之間鏈路作

為備用鏈路。

3.核心交換機SW-3與SW-1、SW-2IPv4營銷業(yè)務(wù)互訪流量

優(yōu)先通過SW-3_SW-2之間鏈路轉(zhuǎn)發(fā),SW-3_SW-1之間鏈路作為

備用鏈路;實現(xiàn)SW-3與SW-1、SW-2DC間IPV6業(yè)務(wù)互訪流量

優(yōu)先通過SW-3_SW-1之間鏈路轉(zhuǎn)發(fā),SW-3_SW-2之間鏈路作為

備用鏈路。

(六)FW-1集團RT-1_RT-2之間配置RIPng,無線IPv6用戶

優(yōu)先通過RT-2訪問INTERNET,RT-2-FW1為備份線路,如備份線

路啟用則優(yōu)先使用專線傳送數(shù)據(jù);

(七)北京1#DC和分公司之間用相關(guān)特性,實現(xiàn)無線的IPv6

終端與產(chǎn)品業(yè)務(wù)的IPv6終端可以通過RIPng互訪。

五、無線網(wǎng)絡(luò)配置

(一)分公司無線控制器AC與RT-2互連,無線業(yè)務(wù)網(wǎng)關(guān)位

于RT-2上,配置VLAN100為AP管理VLAN,VLAN200,201

為業(yè)務(wù)VLAN;AC提供無線管理與業(yè)務(wù)的DHCP服務(wù),動態(tài)分

配IP地址和網(wǎng)關(guān);分別使用第一個可用地址作為AC管理地址和

無線業(yè)務(wù)管理地址;AP二層自動注冊,AP采用MAC地址認(rèn)證。

(二)配置一個SSID2023,訪問Internet業(yè)務(wù),采用WPA-PSK

認(rèn)證方式,加密方式為WPA個人版,配置密鑰為20232023

20/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(三)配置所有無線接入用戶相互隔離,Network模式下限制

SSID2023每天早上0點到4點禁止終端接入,開啟SSID2023

ARP抑制功能;配置當(dāng)無線終端支持5GHz網(wǎng)絡(luò)時,優(yōu)先引導(dǎo)接

入5GHz網(wǎng)絡(luò),從而獲得更大的吞吐量,提高無線體驗。

(四)配置一個SSIDXXX_IPv6,屬于VLAN201,訪問

Internet業(yè)務(wù),用戶接入無線網(wǎng)絡(luò)時需要采用基于WPA-personal

加密方式,其口令為“12345678”,該網(wǎng)絡(luò)中的用戶從RT-2DHCP

獲取IPv6地址,地址范圍為:2001:172.40.201::254/64。

(五)配置2個SSID,分別為“skills-2.4”和“skills-5.0”。

“skills-2.4”對應(yīng)業(yè)務(wù)Vlan200,使用network200,用戶接入無線

網(wǎng)絡(luò)時需要采用基于WPA-personal加密方式,其口令為“123456”;

“skills-5.0”對應(yīng)業(yè)務(wù)Vlan201,使用network201,不需要認(rèn)證,

隱藏SSID,“skills-5.0”的SSID只使用倒數(shù)第一個可用VAP發(fā)送

5.0G信號。

(六)配置所有Radio接口:AP在收到錯誤幀時,將不再發(fā)

送ACK幀;打開AP組播廣播突發(fā)限制功能;開啟Radio的自動

信道調(diào)整,每天上午10:00觸發(fā)信道調(diào)整功能。

(七)保障無線信息的覆蓋性,無線AP的發(fā)射功率設(shè)置為

90%。禁止MAC地址為80-45-DD-77-CC-48的無線終端連接。針

對skills-5.0開啟內(nèi)置portal+本地認(rèn)證的認(rèn)證方式,賬號為密碼為

12345678,組編號為1。

六、安全策略配置

說明:為了統(tǒng)一結(jié)果,要求源地址和目的地址均使用“IP/掩碼”

21/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

表示,禁止使用地址薄或地址條目表示,否則按零分處理。舉例截圖

如下:

22/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(一)根據(jù)題目要求配置FW-1、FW-2相應(yīng)的業(yè)務(wù)安全域、業(yè)

務(wù)接口;2023年護(hù)網(wǎng)行動開展在即,調(diào)整全網(wǎng)防火墻安全策略缺

省規(guī)則為拒絕;限制FW-1只允許集團營銷業(yè)務(wù)、分公司無線IPV4

業(yè)務(wù)、廣東辦事處營銷業(yè)務(wù)訪問Internet業(yè)務(wù);在FW-2上限制廣

東辦事處產(chǎn)品業(yè)務(wù)網(wǎng)段只可以訪問集團產(chǎn)品網(wǎng)段https、mysql數(shù)

據(jù)庫類型業(yè)務(wù),集團營銷網(wǎng)段可以訪問廣東辦事處營銷業(yè)務(wù)網(wǎng)段

任何端口。

(二)為了避免集團內(nèi)部業(yè)務(wù)直接映射至Internet成為攻擊

“靶心”,不斷提升集團網(wǎng)絡(luò)安全體系建設(shè),在FW-1配置L2TP

VPN,名稱為VPN,滿足遠(yuǎn)程辦公用戶通過撥號登陸訪問集團營

銷業(yè)務(wù),創(chuàng)建隧道接口為tunnel1、并加入untrust安全域,地址

池名稱為AddressPool,LNS地址池為

/24-00/24,網(wǎng)關(guān)為最大可用地址,認(rèn)證賬號

2023001,密碼2023。

(三)在FW-1配置網(wǎng)絡(luò)地址轉(zhuǎn)換,NAT地址轉(zhuǎn)換條件中源、

目的IP均為any,公網(wǎng)NAT地址池為:/28;保證每一

個源IP產(chǎn)生的所有會話將被映射到同一個固定的IP地址,當(dāng)有

流量匹配本地址轉(zhuǎn)換規(guī)則時產(chǎn)生日志信息,將匹配的日志發(fā)送至

20的UDP514端口;開啟相關(guān)特性,實現(xiàn)擴展NAT轉(zhuǎn)

換后的網(wǎng)絡(luò)地址端口資源。

23/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(四)在FW-2開啟安全網(wǎng)關(guān)的TCPSYN包檢查功能,只有

檢查收到的包為TCPSYN包后,才建立連接;配置所有的TCP

數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段為1460,盡力減少網(wǎng)絡(luò)分片;

配置對TCP三次握手建立的時間進(jìn)行檢查,如果在1分鐘內(nèi)未完

成三次握手,則斷掉該連接。

(五)FW-1的出口帶寬為800Mbps,為集團內(nèi)研發(fā)、營銷、

行政、財務(wù)4個業(yè)務(wù)網(wǎng)段更加合理使用出口資源,要求出口口帶

寬小于480Mbps時,每IP上下行最大5Mbps帶寬;出口帶寬大

于720Mbps時,每IP上下行最大2Mbps帶寬,規(guī)則名稱為JT。

同時要求在流量變化期間帶寬增長速率為2倍,在任何時候都要

確保網(wǎng)頁訪問服務(wù)占每IP帶寬的40%。

(六)為防止集團內(nèi)部收到垃圾郵件,請在防火墻上配置郵箱

過濾,規(guī)則名稱和類別名稱均為“商業(yè)中心”,過濾含有“商業(yè)中

心”字樣的郵件。

(七)正常情況下集團FW1與分公司RT-2使用BGP連接,

當(dāng)連接斷開時,集團FW1與分公司RT-2使用公網(wǎng)VPN作為備份

鏈路,VPN要求如下:集團FW1與分公司RT-2使用與Internet

的接口互聯(lián)地址建立GRE隧道,再使用IPSEC技術(shù)對GRE隧道

進(jìn)行保護(hù),使用IKE協(xié)商IPSec安全聯(lián)盟、交換IPSec密鑰,兩

端加密訪問列表名稱都為ipsecacl,這樣有了IPSec,集團與分公

司在通過運營商網(wǎng)絡(luò)傳輸時,就不用擔(dān)心被監(jiān)視、篡改和偽造。

24/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

(八)為確保北京與廣東之間業(yè)務(wù)數(shù)據(jù)的安全可靠性,兩地防

火墻之間使用Internet之間建立GRE隧道,使用IPSec技術(shù)對GRE

隧道進(jìn)行保護(hù),使用IKE協(xié)商自行設(shè)置IPSec安全聯(lián)盟、交換IPSec

密鑰。

七、業(yè)務(wù)選路與組播配置

(一)考慮到從北京兩個DC與貴州DC之間共有兩條鏈路,

貴州DC產(chǎn)品業(yè)務(wù)網(wǎng)段與北京兩個DC產(chǎn)品業(yè)務(wù)網(wǎng)段IPV4協(xié)議棧

互訪優(yōu)先在SW-3與SW-1之間鏈路轉(zhuǎn)發(fā);貴州DC法務(wù)&人力網(wǎng)

段與北京兩個DC法務(wù)&人力網(wǎng)段IPV4協(xié)議?;ピL優(yōu)先在SW-3

與SW-2之間鏈路轉(zhuǎn)發(fā),主備鏈路相互備份。根據(jù)以上需求,在

交換機上進(jìn)行合理的業(yè)務(wù)選路配置。具體要求如下:

1.使用IP前綴列表匹配上述業(yè)務(wù)數(shù)據(jù)流。

2.使用BGP自治系統(tǒng)路徑屬性進(jìn)行業(yè)務(wù)選路,允許新增的變

量為AS62000,只允許使用route-map來改變路徑屬性、路由控

制。

(二)計劃在集團北京與分公司之間上線視頻會議系統(tǒng),實現(xiàn)

多業(yè)務(wù)部門橫向溝通、交流,提升工作效率,初步先在產(chǎn)品部啟

用組播協(xié)議進(jìn)行測試,具體要求如下:

1.在集團北京SW-1,SW-2,集團RT-1,分公司RT-2路由器

運行協(xié)議獨立組播-稀疏模式協(xié)議,集團RT-1路由器為RD,因

特網(wǎng)組管理協(xié)議第二版本;

2.SW-1產(chǎn)品部門內(nèi)部終端啟用組播,此終端IP地址為:

34/24,使用VLC工具串流播放視頻文件“大賽宣傳

片.mp4”,模擬組播源,設(shè)置此視頻循環(huán)播放,組地址0,

25/26

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第一部分網(wǎng)絡(luò)搭建及安全部署公開賽卷

端口:2022,實現(xiàn)分公司無線業(yè)務(wù)部門內(nèi)部終端可以通過組播查

看視頻播放。

26/26

2023年全國職業(yè)院校技能大賽

網(wǎng)絡(luò)搭建與應(yīng)用賽項

公開賽卷(二)

第二部分服務(wù)器配置及應(yīng)用

2023年(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項專家組

2023年3月8日

2023年全國職業(yè)院校技能大賽(中職組)網(wǎng)絡(luò)搭建與應(yīng)用賽項

第三部分服務(wù)器配置及應(yīng)用公開賽卷

競賽說明

競賽內(nèi)容分布

本賽卷共分三項,其中:

第一項:云平臺網(wǎng)絡(luò)連接(100分)

第二項:Linux服務(wù)配置(200分)

第三項:Windows服務(wù)配置(200分)

一、競賽注意事項

1.禁止攜帶和使用移動存儲設(shè)備、計算器、通信工具及參考資料。

2.請根據(jù)大賽所提供的比賽環(huán)境,檢查所列的硬件設(shè)備、軟件及

文檔清單、材料清單是否齊全,計算機設(shè)備是否能正常使用。

3.請參賽選手仔細(xì)閱讀賽卷,按照要求完成各項操作。

4.操作過程中,需要及時保存配置命令。

5.比賽結(jié)束后,所有設(shè)備保持運行狀態(tài),評判以最后的硬件連接

和提交文檔為最終結(jié)果。

6.比賽完成后,禁止將比賽所用的所有物品(包括賽卷)帶離賽

場。

7.禁止在紙質(zhì)資料、比賽設(shè)備和電腦桌上作任何與競賽無關(guān)的標(biāo)

記,如違反規(guī)定,可視為0分。

8.與比賽相關(guān)的軟件和《服務(wù)器配置及應(yīng)用競賽結(jié)果提交指南》

存放在物理機的D:\soft文件夾中。

9.請在物理機PC1桌面上新建“XXX”文件夾作為“選手目錄”,

用以保存按照《服務(wù)器配置及應(yīng)用競賽結(jié)果提交指南》要求自動生成

的全部結(jié)果文檔。(XXX為賽位號。舉例:1

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論