【题目】【网络系统管理】2022年江苏省职业院校技能大赛 高职竞赛样题

本文主要是介绍【题目】【网络系统管理】2022年江苏省职业院校技能大赛 高职竞赛样题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

2022 年江苏省职业院校技能大赛”高职组

网络系统管理竞赛 样题

赛题说明

一、竞赛内容分布

第一部分:Linux 网络服务(30%)
第二部分:Windows 网络服务(30%)
第三部分:网络构建(40%)

二、竞赛时间

竞赛时间为 4 个小时。

三、竞赛注意事项

1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。 四、竞赛结果文件的提交按照题目要求,提交符合模板的 WORD 文件以及对应的 PDF 文件(利用 Office Word 另存为 pdf 文件方式生成 pdf 文件),所有截图建议除了配置文件截图外,还需要截功能测试的图,能在终端上测试的就一定要在终端上测试并截图,否则功能测试部分不得分。

第一部分:Linux网络服务

一、竞赛简介

1.请认真阅读以下指引!
2.当比赛结束时,离开时请不要关机您的虚拟机。
3.如果没有明确要求,请使用“Chinaskill21”作为默认密码。
4.本模块所有的系统为已经安装的最基本的系统状态,客户端带桌面。

二、初始化环境

1.默认账号及默认密码

Username: root
Password: ChinaSkill21!
Username: skills
Password: Chinaskill21!
注:若非特别指定,所有账号的密码均为 Chinaskill21!

2.操作系统配置

所处区域:CST + 8
系统环境语言:English US (UTF-8)
键盘:English US
注意:当任务是配置 TLS,请把根证书或者自签名证书添加到受信任区。 控制台登陆后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示

*********************************

ChinaSkills 2021 – Jiangsu

Module A Linux

lnxserver1

选手姓名拼音全拼

>>hostname<<

>>Debian Version<<

>> TIME <<

*********************************

三、项目任务描述

你作为一个 Linux 的技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于 Linux操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:

1.拓扑图
在这里插入图片描述

2.网络地址规划

服务器和客户端基本配置如下表:

ISPSRV
完全限定域名:ispsrv
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:81.6.63.100/24/无

AppSrv
完全限定域名:appsrv.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:192.168.100.100/24/192.168.100.254

STORAGESRV
完全限定域名:storagesrv.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:192.168.100.200/24/192.168.100.254

ROUTERSRV
完全限定域名:routersrv.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关: 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无

INSIDECLI
完全限定域名:insidecli.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:DHCP From AppSrv

OUTSIDECLI
完全限定域名:outsidecli.chinaskills.cn
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:DHCP From IspSrv

四、项目任务清单

服务器IspSrv工作任务

1. DHCP

为 OutsideCli 客户端网络分配地址,地址池范围:81.6.63.110-81.6.63.190/24;
域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
网关:按照实际需求配置网关地址选项;

2. DNS

安装 BIND9;
配置为 DNS 根域服务器;
其他未知域名解析,统一解析为该本机 IP;
创建正向区域“chinaskills.cn”。
类型为 Slave;
主服务器为“AppSrv”。

3. CHRONY

安装 chrony,提供时间同步。
在 AppSrv 和 StorageSrv 创建 CRON 计划任务,每隔五分钟进行一次时间同步。

4. RAID5 & 磁盘加密

在虚拟机上,新建四块大小为 10GB 的虚拟硬盘,挂载到系统上;
创建 raid 5 md0 组,模式为三个磁盘,一个为热备;
挂载 md0 到系统中创建的/backup 文件夹下;
系统启动自动挂载 md0 RAID 磁盘;
创建一块新的磁盘,对该卷进行磁盘加密,解锁密码为“CSK2021!”,映射到/dev/mapper/crypt 分区上;格式化成 ext4 分区;挂载到/mut/crypt 目录;配置开机自动挂载;

5. WEB 服务
安装 nginx 软件包;
配置文件名为 ispweb.conf,放置在/etc/nginx/conf.d/目录下;
网站根目录为/mut/crypt(目录不存在需创建);
启用 FastCGI 功能,让 nginx 能够解析 php 请求;
index.php 内容使用 Welcome to 2020 Computer Network Application contest!

服务器RouterSrv上的工作任务

1. DHCP RELAY
安装 DHCP 中继;
允许客户端通过中继服务获取网络地址;

2. ROUTING
开启路由转发,为当前实验环境提供路由功能。
根据题目要求,配置单臂路由实现内部客户端和服务器之间的通信。

3. SSH
工作端口为 2021;
只允许用户 user01,密码 ChinaSkill21 登录到 router。其他用户(包括root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从 ssh 远程登录。
通过 ssh 登录尝试登录到 RouterSrv,一分钟内最多尝试登录的次数为 3 次,超过后禁止该客户端网络地址访问 ssh 服务。
记录用户登录的日志到/var/log/ssh.log,日志内容要包含:源地址,目标地址,协议,源端口,目标端口。

4. OPENVPN
VPN 客户端只能与 InsideCli 客户端网段通信,以及允许访问 StorageSrv 主机上的 SAMBA 服务;
VPN 客户端可使用的地址范围是 172.16.0.100-172.16.0.120/24。
允许在 OutsideCli 客户端上使用 systemctl start openvpn@csk 进行连接。

5. IPTABLES
添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的 DNS、MAIL、WEB 和 FTP 服务。
INPUT、OUTPUT 和 FOREARD 链默认拒绝(DROP)所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。

服务器AppSrv上的工作任务

1. SSH
安装 SSH,工作端口监听在 192101。
仅允许 InsideCli 客户端进行 ssh 访问,其余所有主机的请求都应该拒绝。
在 cskadmin 用户环境下可以免秘钥登录,并且拥有 root 控制权限。

2. DHCP
为 InsideCli 客户端网络分配地址,地址池范围:192.168.0.110-192.168.0.190/24;
域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
网关:按照实际需求配置网关地址选项;
为 InsideCli 分配固定地址为 192.168.0.190/24。

3. DNS(BIND)
为 chinaskills.cn 域提供域名解析。
为 www.chinaskills.cn、download.chinaskills.cn 和 mail.chinaskills.cn 提供解析。
添加邮件 MX 记录用于邮件服务器;配置 DNS 组件;
启用内外网解析功能,当内网客户端请求解析的时候,解析到对应的内部服务器地址,当外部客户端请求解析的时候,请把解析结果解析到提供服务的公有地址。
请将 IspSrv 作为上游 DNS 服务器,所有未知查询都由该服务器处理。

4. APACHE2
安装 apache 服务;

服务以用户 webuser 系统用户运行;

限制 web 服务只能使用系统 500M 物理内存;

全站点启用 TLS访问,使用本机上的“CSK Global Root CA”颁发机构颁发,网站证书信息如下:

C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.chinaskills.com

客户端访问 https 时应无浏览器(含终端)安全警告信息; 当用户使用 http 访问时自动跳转到 https 安全连接;

搭建 www.chinaskills.cn 站点;

网页文件放在 StorgeSrv 服务器上;

在 StorageSrv 上安装 MriaDB,在本机上安装 PHP,发布 WordPress 网站;

MariaDB 数据库管理员信息:User: root/ Password: Chinaskill21!。

创建网站 download.chinaskills.cn 站点;

仅允许 ldsgp 用户组访问;

网页文件存放在 StorageSrv 服务器上;

在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”,其中 test.mp4 文件的大小为100M,页面访问成功后能够列出目录所有文件。

作安全加固,在任何页面不会出现系统和 WEB 服务器版本信息。

5. MAIL(POSTFIX-SMTPS & DOVECOT-IMAPS)
安装配置 postfix 和 dovecot,启用 imaps 和 smtps,并创建测试用户mailuser1 和 mailuser2。

使用 mailuser1@chinaskills.cn 的邮箱向 mailuser2@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。

使用 mailuser2@chinaskills.cn 的邮箱向 mailuser1@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。

添加广播邮箱地址 all@chinaskills.cn,当该邮箱收到邮件时,所有用户都能在自己的邮箱中查看。
使用 https://mail.chinaskills.cn 网站测试邮件发送与接收。

6. CA(证书颁发机构)

CA 根证书路径/csk-rootca/csk-ca.pem;
签发数字证书,颁发者信息:(仅包含如下信息)

C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA

服务器StorageSrv上的工作任务

1. SSH
安装 openssh 组件;
创建的 user01 、 user02 用户允许访问 ssh 服务;
服务器本地 root 用户不允许访问;
修改 SSH 服务默认端口,启用新端口 3358;
添加用户 user01 user02 到 sudo 组;用于远程接入,提权操作。

2. DISK
添加大小均为 10G 的虚拟磁盘,配置 raid-5 磁盘。
创建 LVM 命名为/dev/vg01/lv01,大小为 100G,格式化为 ext4,挂在到本地目录/webdata,在分区内建立测试空文件 disk.txt。

3. NFS
共享/webdata/目录;
用于存储 AppSrv 主机的 WEB 数据;
仅允许 AppSrv 主机访问该共享。

4. VSFTPD
禁止使用不安全的 FTP,请使用“CSK Global Root CA”证书颁发机构,颁发的证书,启用 FTPS 服务;
用户 webadmin,登录 ftp 服务器,根目录为/webdata/;
登录后限制在自己的根目录;
允许 WEB 管理员上传和下载文件,但是禁止上传后缀名为.doc .docx .xlsx 的文件;
上传的文件所有者均设置为 ftpusr。

5. AIDE
配置 aide 安全监控策略;
监控/webdata 目录,当目录中文件发生变化时进行检查可以看到相关提示信息 ;

6. SAMBA
安装 Samba 组件
创建 Samba 共享目录为/var/skills,共享名为 csk-share;user01,user02,用户都能访问共享文件夹;
user01 能够查看和删除所有人的文件;user02 能够查看所有人的文件,但不能删除别人的文件;
通过物理机访问共享目录,根据配置上传,下载文件进行测试操作;

7. ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh 目录;
当有新员工入职时,管理员运行脚本为其创建公司账号;
自动分配客户端账号、公司邮箱、samba 目录及权限、网站账号等;
以 userAdd lifei 的方式运行脚本,lifei 为举例的员工姓名。

客户端OutsideCli和InsideCli工作任务

1. OutsideCli
作为 DNS 服务器域名解析测试的客户端,安装 nslookup、dig 命令行工具;
作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工具;
作为 SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
作为 SAMBA 测试的客户端,使用图形界面文件浏览器测试, 并安装 smbclient 工具;
作为 FTP 测试的客户端,安装 lftp 命令行工具;
作为防火墙规则效果测试客户端,安装 ping 命令行工具。
截图的时候请使用上述提到的工具进行功能测试。

2. InsideCli
作为 DNS 服务器域名解析测试的客户端,安装 nslookup、dig 命令行工具;
作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工具;
作为 SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
作为 SAMBA 测试的客户端,使用图形界面文件浏览器测试, 并安装 smbclient 工具;
作为 FTP 测试的客户端,安装 lftp 命令行工具;
作为防火墙规则效果测试客户端,安装 ping 命令行工具。
截图的时候请使用上述提到的工具进行功能测试。

第二部分:Windows 网络服务

一、竞赛简介

1.请认真阅读以下指引!
2.当比赛结束时,离开时请不要关机您的虚拟机。
3.如果没有明确要求,请使用“Chinaskill21”作为默认密码。

二、初始化环境

1.默认账号及默认密码

Username: Administrator
Password: ChinaSkill21!
Username: demo
Password: ChinaSkill21!
注:若非特别指定,所有账号的密码均为 ChinaSkill21!

2.操作系统配置

Region: China
Locale: English US (UTF-8)
Key Map: English US
注意:当任务是配置 TLS,请把根证书或者自签名证书添加到受信任区。

三、项目任务描述

你作为一个微软高级认证的技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于Windows 操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:

1.拓扑图

在这里插入图片描述

2.网络地址规划

服务器和客户端基本配置如下表:

表 1 服务器和客户端基本配置表

DC1chinaskills.com192.168.100.100/24127.0.0.1192.168.100.254
DC2chinaskills.com192.168.100.200/24127.0.0.1192.168.100.254
AppSrvchinaskills.com192.168.200.100/24192.168.100.100 192.168.100.200192.168.200.254
RouterSrv1chinaskills.com192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24192.168.100.100100.100.100.254
IspSrv保持工作组状态100.100.100.100/24127.0.0.1
InsideClichinaskills.com192.168.0.0/24(dhcp)192.168.100.100 192.168.100.200192.168.0.254
OutsideCli保持工作组状态100.100.100.10/24100.100.100.100100.100.100.254

四、项目任务清单

服务器IspSrv上的工作任务

1. 互联网访问检测服务器

为了模拟 Internet 访问测试,请搭建网卡互联网检测服务。

2. Web Print

添加一台虚拟打印机,名称为“CS-Print”,发布到 AD 域。

客户端们都能够通过访问“https://print.worldskills2018.cn/”查看打印机,证书由 WORLDSKILLS2018-ROOTCA 进行签署颁发。

服务器RouterSrv1上的工作任务

1. 路由功能

安装 Remote Access 服务开启路由转发,为当前实验环境提供路由功能。

启用网络地址转换功能,实现内部客户端访问互联网资源。

配置网络地址转换,允许互联网区域客户端访问 AppSrv 上的 HTTP 资源。

2. 动态地址分配中继服务

安装和配置 dhcp relay 服务,为办公区域网络提供地址上网。

DHCP 服务器位于 AppSrv 服务器上。

3. 虚拟专用网络

设置 L2TP/IPSec,IKE 通道采用证书进行验证。

L2TP 通道使用 chinaskills.com 域内用户进行身份验证,仅允许 manager组内用户通过身份证验证。

对于 vpn 客户端,请使用范围 192.168.1.200-192.168.1.220/24。

服务器AppSrv上的工作任务

1. 万维网服务

在 RouterSrv1 上搭建网站服务器。

将访问 http://www.chinaskills.com 的 http 的请求重定向到https://www.chinaskills.com 站点。

网站内容设置为“该页面为 www.chinaskills.com 测试页!”。

将当前 web 根目录的设置为 d:\wwwroot 目录。

启用 windows 身份验证,只有通过身份验证的用户才能访问到该站点,

manager 用户组成员使用 IE 浏览器打开不提示认证,直接访问。

设置“http://www.chinaskills.com/”网站的最大连接数为 1000,网站连接超时为 60sl;

使用 W3C 记录日志;每天创建一个新的日志文件,文件名格式:

日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端口号;

日志文件存储到“C:\WWWLogFile”目录中; IIS(FTP): 匿名用户上传的文件都将映射为 ftp2 用户

ftp 在登录前显示 Banner 消息:

“Hello, unauthorized login is prohibited!”

2. 动态地址分配服务

安装和配置 dhcp 服务,为办公区域网络提供地址上网。

地址池范围:192.168.0.100-192.168.0.200。

3. DFS

在 ppSrv 上安装及配置 DFS 服务。

目录设置在 F:\DFSsharedir。

配置 DFS 复制,使用 Server03 作为次要服务器,复制方式配置为交错拓扑。

在 F:\DFSsharedir 文件夹内新建所有部门的文件夹。

所有部门的用户之可以访问部门内的文件,不可以跨部门访问别的部门文件夹内容。

Management 用户组用户可以访问全局的文件夹。

4. 磁盘管理

安装及配置软 RAID5。 | 在安装好的 AppSrv 虚拟机中添加三块 10G 虚拟磁盘。 组成 RAID5,磁盘分区命名为卷标 F 盘:Raid5。 手动测试破坏一块磁盘,做 RAID 磁盘修复;确认 RAID5 配置完毕。

5. DNS

安装 DNS 服务器,根据题目创建必要的 DNS 解析。

把当前机器作为互联网根域服务器。

服务器DC1&DC2上的工作任务

1. 活动目录域服务

在 DC1 和 DC2 服务器上安装活动目录域服务,DC1 作为主域控,DC2作为备份域控,活动目录域名为:chinaskills.com。

域用户能够使用[username]@csk.cn 进行登录。

创建一个名为“CSK”的 OU,并新建以下域用户和组:

sa01-sa20,请将该用户添加到 sales 用户组。

it01-it20,请将该用户添加到 IT 用户组。

ma01-ma10,请将该用户添加到 manager 用户组。

许除 manager 组和 IT 组,所有用户隐藏 C 盘。

除 manager 组和 IT 组,所有普通给用户禁止使用 cmd。

禁止客户端电脑显示用户首次登录动画。

所有用户的 IE 浏览器首页设置为“https://www.chinaskills.com”。 所有用户都应该收到登录提示信息:标题“登录安全提示:”,内容“禁止非法用户登录使用本计算机。”。

设置所有主机的登录 Banner:标题为“CHINASKILLS-DOMAIN”;

内容为“Hello, unauthorized login is prohibited!”。

域内的所有计算机(除 dc 外),当 dc 服务器不可用时,禁止使用缓存登录。

启用 AD 回收站功能。

2. NPS(网络策略服务)

在 DC1 上安装网络策略服务作为 VPN 用户登录验证。 仅允许 L2TP/IPSEC VPN 进行 VPN 连接访问验证。 认证、授权日志将存储到 DC1 上的“C:\NPS\”目录下。

3. DNS(域名解析服务)

拓扑中所有主机的 DNS 查询请求都应由 IspSrv 进行解析。

4. 证书颁发机构

在 DC1 服务器上安装证书办法机构。
定义名称:CSK2021-ROOTCA。
证书颁发机构有效期:3 years。
为 chinaskills.com 域内的 web 站点颁发 web 证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。

5. 文件共享

创建用户主目录共享文件夹:
本地目录为 F:\share\users\,允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹,该文件夹将设置为所有域用户的 home 目录,用户登录计算机成功后,自动映射挂载到 H 卷。

禁止用户在该共享文件中创建“*.exe, *.bat, *.sh”文件。

创建 manager 组共享文件夹:

本地目录为 F:\ share\managers,仅允许 manager 用户组成员拥有写入权限,该共享文件对其他组成员不可见。

创建 public-share 公共共享文件夹:
本地目录为 F:\ share\public-share,仅允许 manager 用户组成员拥有写 入权限,其他认证用户只读权限。

客户端InsideCli上的工作任务

按照要求将该主机加入到对应区域的域。 | 设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
该客户端用于测试用户登录,Profiles,文件共享,安全策略和 RDS 等功能。

客户端OutsideCli上的工作任务

该主机不允许加入域。 添加一个名为 Connect-CSK 的 VPN 拨号器,用于连接到 chinaskills.com域网络,不记录用户名称密码信息。
设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
该客户端用于测试用户登录,Profiles,文件共享,安全策略和 RDS 等功能。

第三部分:网络构建

一、考试说明

请仔细阅读以下要求。

1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 操作过程中,需要及时保存配置。比赛结束后,所有设备、计算机保持运行状态,不要拆动硬件连接。
3. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
4.严格按照“网络构建答题卡.docx”文档格式要求,制作输出竞赛结果文件。同时,另存一份“PDF 格式文档”。
5.在每台设备上使用 show running-config 命令,将该命令下显示的结果,分别保存为独立的“*.txt”文件中。其中,文件名要以设备的编号命名。并把所有的“*.txt”文件,集中存放在新建的“设备配置”文件夹下。
6.考生所提交的文件是竞赛结果的唯一依据,请考生一定确保文件确实有效,能够正常读取。如有疑问,可咨询现场工作人员。

二、任务描述

随着业务的发展,现在要对海琼银行进行全网改造,为其它区域的网络提供高效的保障服务。同时,海琼银行还针对各个分支行、网点的网络进行升级、改造和优化。你做为火星公司网络工程师前往并完成网络规划与建设任务。

三、任务清单

(一)基础配置
1.根据附录 1 拓扑图及附录 2 地址规划表,配置设备接口信息。
2.需要在所有的网络设备上,都需要开启 SSH 服务,以保障网络设备的安全。其中,用户名密码分别为 admin、admin1234。特权密码为 admin1234。
3.网络管理员计划增设网管平台,网管平台的 IP 规划为 192.2.90.25/24。配置所有网络设备的 SNMP 消息报告机制。其中,向主机 192.2.90.25/24 发送Trap 消息版本采用 V2C。读写的 Community 为“admin”。只读的 Community 为“public”。开启 Trap 消息通告。

(二)有线网络配置
1.在全网 Trunk 链路上做 VLAN 修剪。
2.在 S5、S6 的 Gi0/10-Gi0/15 端口上启用端口保护。
3.在搭建完成的虚拟交换机 S5-S6 的 Gi1/0/10-Gi1/0/15 端口上启用端口保护。
4.在连接 PC 机端口上开启 Portfast 和 BPDUguard 防护功能。
5.端口被检测异常进入 Err-Disabled 状态,再过 240 秒后会自动恢复(基于接口部署策略),重新检测是否有环路。交换机端口检测到环路,处理的方试为 shutdown-Port。
6.省行 DHCP 服务器安装在 S2 交换机上,分配以下 3 个网段地址:省行办公有线用户(192.3.10.0/24)、省行办公区 AP(192.3.50.0/24)、省行办公区无线(192.3.60.0/24)。交换机 S5-S6 上,部署 DHCP 安全防护功能,使用“Snooping +IP Source Guard+ARP-CHECK”技术。按照要求为无线用户和 AP 分配地址和管理地址,其中无线 AP 租约为永久,无线用户租约设为 0.5 天。
7.梅钱金融公司 DHCP 服务器搭建于 AP3 上,按照地址规划表规划地址。
8.在交换机 S3、S4、AC1、AC2 上配置 MSTP。要求来自 VLAN90 中的数据流经过 S3 交换机转发,一旦 S3 交换机失效时经过 S4 交换机转发。要求来自 VLAN60和 VLAN 100 数据流经过 S4 交换机转发,S4 失效时经过 S3 交换机转发。配置MSTP 参数要求:region-name 为 test。revision 版本为 1。实例 1 包含VLAN90。实例 2 包含 VLAN60,VLAN100。

9.配置 S3 交换机作为实例 1 的主根、实例 2 的从根。配置 S4 交换机作为实例 2 的主根、实例 1 的从根。其中,主根交换机的优先级为 4096。从根交换机的优先级为 8192。
10.在交换机 S3、S4 连接连接 AC1 和 AC2 的接口上,启用“TC-IGNORE”功能。
11.在交换机 S3 和 S4 上配置 VRRP,实现网络中的主机的网关冗余,所配置的参数要求如表 4 所示。其中,在交换机 S3、S4 上设置各 VRRP 组中的高优先级设置为 150,低优先级设置为 120。
表 2 S3 和 S4 的 VRRP 参数表

VLANVRRP 备份组号(VRID)VRRP 虚拟 IP
VLAN6060192.3.60.254
VLAN9090192.2.90.254
VLAN100100192.2.100.254

12.在交换机 S3 与 S4 之间部署 2 条互联链路(Gi0/21、Gi0/22),采取 LACP动态聚合模式配置二层链路聚合。
13.部署交换机 S5 和 S6 之间的 Te0/27-28 端口作为 VSL 链路,使用网络虚拟化技术,实现核心网络的虚拟化。其中:设置 S5 交换机为主交换机。设置 S6交换机为备用交换机。规划交换机 S5 和 S6 之间的 Gi0/22 端口,作为双主机检测链路,配置基于 BFD 的双主机检测。

需要配置主交换机参数信息为:Domain id:1。Switch id:1;priority 150; description:Access-Switch-Virtual-Switch1
需要配置备交换机设备参数信息为:Domain id:1。Switch id:2。priority 120。description:Access-Switch-Virtual-Switch2。

14.省行核心区与服务器区(S1、S2、S3、S4)部署 OSPF 100,使用单区域(区域 0)部署,省行核心区与外联区(S1、S2、EG1)部署 OSPF 100,规划区域为 10,重发布路由进 OSPF 中使用类型 1。

15.核心区(S1、S2)使用自治域号为 64520,互联区及超辰支行(R1、R2、R3)自治域号为 64521,省行核心区与互联区(S1、S2、R1、R2)使用互联接口地址部署 EBGP,省行及各支行/网点(R1、R2、R3)使用 LOOPBACK 0 地址部署IBGP,其底层 IGP 协议使用静态路由协议。

16.省行核心区与办公区(S1、S2)部署静态路由协议,省行服务器区中无6线控制器 AC1 和 AC2 设备,与两台交换机 S3 和 S4 之间部署静态路由协议,Internet 区域(EG1、EG2、R3)均使用静态路由协议。

17.使得生产性业务的传输主路径为 R3-R1-S1-S3。办公性业务的传输主路径为 R3-R2-S2-S4, 并且要求来回路径保持一致,主链路或主设备故障时,可无缝切换到备用链路或设备上,在使用 BGP 路由通告网络中,交换机 S1、S2 和路由器 R3 通过 Network 引入明细路由。禁止将 IGP 路由以重发布形式导入 BGP 自制系统中。

18.使用 BGP 选路策略中,要求只能在省行核心区 S1、S2 交换机上部署。其中,凡涉及 MED 值调整,要求其值必须是 10、15、20。凡涉及 LP 值调整,要求值必须是 200、300。此外,省行生产流量定义为 ACL1。省行办公流量定义为ACL2。支行生产流量定义为 ACL11。支行办公流量定义为 ACL12,在部署 OSPF 各路由图以及各接口中,凡涉及 COST 值的调整,要求其值必须为 5 或 10。

(三)无线网络配置

现在对海琼银行进行无线网络优化项目拟投入 18 万元(网络设备采购部分)平面布局如图 1 所示。

在这里插入图片描述
图 1 平面布局图

1.绘制 AP 点位图(包括:AP 型号、编号、信道等信息,其中信道采用 2.4G的 1、6、11 三个信道进行规划,洗手间、茶水间无须覆盖)。
2.使用无线地勘软件,输出 AP 点位图的 2.4G 频道的信号仿真热图(仿真信号强度要求大于-65db)。
3.输出该无线网络工程项目设备的预算表,网络设备型号和价格依据表 2。

表 3 无线产品价格表

产品型号产品特征传输速率 (2.4G/最大)推荐/最大 带点数功率价格 (元)
AP1双频双流300M/1.167G32/256100mw6000
AP2双频双流300M/600M32/256100mw11000
AP3单频单流150M12/3260mw2500
线缆 110 米馈线N/AN/AN/A1600
线缆 215 米馈线N/AN/AN/A2400
天线双频单流/单频单 流N/AN/AN/A500
Switch24 口 POE 交换机N/AN/A240w15000
AC无线控制器6*1000M32/20040w50000

4.在省行办公区的无线部署中,无线 AP 采用 FIT AP 架构,所有 AP(AP1)关联到省行服务器区 AC,在省行办公区无线部署中,使用 S2 交换机作为无线用户(VLAN 60)和无线 FIT AP(VLAN 50)的 DHCP 服务器,在省行的业务区部署无线网络,创建省行业务区中内网的 SSID 为:Admin_SHBGQ_XX(XX 现场提供)。WLANID 为 1。AP-GROUP 为 Admin_SHBGQ。其中,内网无线用户关联 SSID 后,可自动获取 VLAN60 地址,在省行办公区无线部署中,配置省行办公区 AP 采用集中式转发。

5.超辰支行无线网络架构采用 FIT AP+AC 的方案,区域内所有 AP(AP2)都关联到 VAC 进行管理,超辰支行使用 R3 路由器作为无线生产用户(VLAN 10)、办公用户(VLAN 60)和无线 FIT AP(VLAN 50)的 DHCP 服务器,超辰支行无线网络部署中,创建生产用户 SSID 为:Admin_CCZH_SS_XX(XX 现场提供)。WLANID为 2。AP-GROUP 为 Admin_CCZH。生产用户关联 SSID 后,可自动获取 VLAN10 地址。创建超辰支行办公用户 SSID 为:Admin_CCZH_BG_XX(XX 现场提供)。WLANID为 3。AP-GROUP 为 Admin_CCZH。生产用户关联 SSID 后可自动获取 VLAN60 地址,超辰支行无线网络部署中,超辰支行 AP 采用本地转发。

6.在无线网络中部署 AC 冗余,实现备份。两台 AC 采用主备形式。其中,AC1 为省行办公区 AP 主设备。AC2 为超辰支行 AP 主设备,两 AC 互为备份。

7.在梅钱金融公司部署胖 AP 设备,用户网关及 DHCP 服务器均部署在 AP3上。AP3 与 EG2 之间使用静态路由协议实现连通,配置 AP3 设备,在 AP3 上配置SSID(WLAN-ID 4)为 Admin-Fat_XX(XX 现场提供),内网无线用户关联 SSID 后,可自动获取 195.1.60.0/24 网段地址。
8.
5.8G 频段的 Coverage-area-control 功率调整为 17db。2.4G 频段的Coverage-area-control 功率调整为 10db,关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)应用接入,调整 2.4G 频段射频卡 powerlocal 功率数值为 20。调整5.8G 频段射频卡 powerlocal 功率数值为 100,调整 5.8G 频段的射频卡无线频率带宽至 40MHz。

9.限制 3 台 AP 的每个射频卡最大带点人数为 15 人,通过 Fit AP 方式接入无线网络时,采用 WPA2 加密方式,加密密码为 XX(现场提供),通过 Fat AP 方式接入无线网络时,采用 WEB 认证方式,认证用户名、密码为 XX(现场提供)。

(四)出口网络配置

1.省行的外联区出口网关 EG1 上进行 NAT 配置,实现省行业务区办公网络(VLAN 60、VLAN 110)通过 NAPT 方式,将内网 IP 地址转换到互联网接口上。其中,NAT 地址池的地址为 201.1.1.3/29-201.1.1.5/29。生产网络及其他地址均不允许访问互联网,转换 ACL 定义为 ACL 120。

2.省行外联区出口网关 EG1 上配置,使省行的核心交换机 S1 的 HTTP 服务器(IP 为 11.1.0.1)的 HTTP 服务(TCP 80)将其地址映射至运营商线路上,映射地址为 201.1.1.6,映射端口 58888。

3.超辰支行部署了一条 Internet 出口,实现支行办公用户访问 Internet。正常情况下,生产用户不允许访问 Internet,ALC 编号为 101。其中:超辰支行出口路由器 R3 上 NAT 地址池的地址为 202.1.1.3/29-201.1.1.4/29。

4.梅钱金融公司出口网关 EG2 上进行 NAT 配置,实现其无线用户能访问Internet,NAT 地址池与 EG2 的 Gi0/4 接口 IP 相同。

5.在网关 EG1 上启用 Web Portal 认证服务。创建两个认证用户,其用户名/密码分别为:user1/user1、user2/user2,在省行的无线办公用户(VLAN 60)上,需进行 WEB 认证方式访问互联网,在省行有线办公用户(VLAN 110),不需在 EG 上进行 WEB 认证,即可访问互联网,在出口网关 EG2 上,实施基于网站访问、邮件收发、IM 聊天、论坛发帖、搜索引擎等多应用,启用审计功能,配置EG2 设备安全防护,要求从周一到周六的工作时间 09:00—17:00(命名为work)内,阻断并审计 P2P 应用软件使用,审计策略名称定义为 P2P。

6.在网络安全出口设备 EG2 与 R3 出口网关之间,启用 IPSec VPNOver GRE.

配置 IPSec 使用静态点对点模式,esp 隧道模式封装协议,isakmp 策略定义加密算法采用 3des,散列算法采用 md5,预共享密码为 admin,DH 使用组 2。转换集myset 定义加密验证方式为 esp-3des esp-md5-hmac,感兴趣流 ACL 编号为 103,加密图定义为 mymap。

附录 1:拓扑图

在这里插入图片描述

附录 2:地址规划表

设备接口或 VLANVLAN 名称二层或三层规划说明
S1Gi0/1\10.1.1.1/30互联地址
Gi0/2\10.1.2.1/30互联地址
Gi0/3\10.1.2.5/30互联地址
Gi0/4\10.1.3.1/30互联地址
Gi0/5\10.1.4.1/30互联地址
Gi0/6\10.1.4.5/30互联地址
Loopback 0\11.1.0.1/32——
S2Gi0/1\10.1.1.5/30互联地址
Gi0/2\10.1.2.9/30互联地址
Gi0/3\10.1.2.13/30互联地址
Gi0/4\10.1.3.5/30互联地址
Gi0/5\10.1.4.9/30互联地址
Gi0/6\10.1.4.13/30互联地址
Loopback 0\11.1.0.2/32——
EG1Gi0/1\10.1.1.2/30互联地址
Gi0/2\10.1.1.6/30互联地址
Gi0/4\201.1.1.2/29ISP 地址
Loopback 0\11.1.0.10/32——
----------------------------------------------------------------------------------------------------------------------------
S3VLAN 90Server192.2.90.252/24生产服务器地址 Gi0/5- 15
VLAN 60Wireless192.3.60.252/24办公区无线用户地址
VLAN 100Manage192.2.100.252/24设备管理地址
Gi0/23\10.1.2.2/30互联地址
Gi0/24\10.1.2.10/30互联地址
Loopback 0\11.1.0.3/32——
S4VLAN 90Server192.2.90.253/24生产服务器地址 Gi0/5- 15
VLAN 60Wireless192.3.60.253/24办公区无线用户地址
VLAN 100Manage192.2.100.253/24设备管理地址
Gi0/23\10.1.2.6/30互联地址
Gi0/24\10.1.2.14/30互联地址
Loopback 0\11.1.0.4/32——
AC1VLAN 100Manage192.2.100.1/24设备管理地址
Loopback 0\11.1.0.5/32——
AC2VLAN 100Manage192.2.100.2/24设备管理地址
Loopback 0\11.1.0.6/32——
S5-S6 (VSU)VLAN 110Office-Wire192.3.10.254/24办公/有线用户地址 Gi1/0/6 至 Gi1/0/20, Gi2/0/6 至 Gi2/0/20
VLAN 150APManage_BGQ192.3.50.254/24业务区 AP 管理地址 Gi1/0/1 至 Gi1/0/5, Gi2/0/1 至 Gi2/0/5
VLAN 1301Connect-S110.1.3.2/30互联地址 Gi1/0/24
VLAN 1302Connect-S210.1.3.6/30互联地址 Gi2/0/24
R1Gi0/0\10.1.4.2/30互联地址
Gi0/1\10.1.4.10/30互联地址
VLAN101\10.2.1.1/30Fa1/0 成员口
Loopback 0\11.1.0.7/32——
R2Gi0/0\10.1.4.6/30互联地址
Gi0/1\10.1.4.14/30互联地址
VLAN201\10.2.1.5/30Fa1/0 成员口
Loopback 0\11.1.0.8/32——
R3VLAN101\10.2.1.2/30Gi1/0 成员口
VLAN201\10.2.1.6/30Gi1/1 成员口
Gi0/0.10Production194.2.10.254/24超辰支行生产用户
Gi0/0APManage_CCZH194.3.50.254/24超辰支行 AP 管理
Gi0/0.60Office194.3.60.254/24超辰支行办公用户
Gi0/1\202.1.1.2/29ISP 地址
Loopback 0\11.1.0.9/32——
EG2G0/1\10.6.1.1/30互联
Gi0/4\203.1.1.2/29互联地址
Loopback 0\11.1.0.11/32——
AP3VLAN60\195.1.60.254/24用户地址
Gi0/1\10.6.1.2/30互联
S7Gi0/1\201.1.1.1/29ISP 地址
Gi0/2\202.1.1.1/29ISP 地址
Gi0/3\203.1.1.1/29ISP 地址

这篇关于【题目】【网络系统管理】2022年江苏省职业院校技能大赛 高职竞赛样题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/818937

相关文章

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

题目1254:N皇后问题

题目1254:N皇后问题 时间限制:1 秒 内存限制:128 兆 特殊判题:否 题目描述: N皇后问题,即在N*N的方格棋盘内放置了N个皇后,使得它们不相互攻击(即任意2个皇后不允许处在同一排,同一列,也不允许处在同一斜线上。因为皇后可以直走,横走和斜走如下图)。 你的任务是,对于给定的N,求出有多少种合法的放置方法。输出N皇后问题所有不同的摆放情况个数。 输入

题目1380:lucky number

题目1380:lucky number 时间限制:3 秒 内存限制:3 兆 特殊判题:否 提交:2839 解决:300 题目描述: 每个人有自己的lucky number,小A也一样。不过他的lucky number定义不一样。他认为一个序列中某些数出现的次数为n的话,都是他的lucky number。但是,现在这个序列很大,他无法快速找到所有lucky number。既然

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动

每日一题|牛客竞赛|四舍五入|字符串+贪心+模拟

每日一题|四舍五入 四舍五入 心有猛虎,细嗅蔷薇。你好朋友,这里是锅巴的C\C++学习笔记,常言道,不积跬步无以至千里,希望有朝一日我们积累的滴水可以击穿顽石。 四舍五入 题目: 牛牛发明了一种新的四舍五入应用于整数,对个位四舍五入,规则如下 12345->12350 12399->12400 输入描述: 输入一个整数n(0<=n<=109 ) 输出描述: 输出一个整数

Sentinel 高可用流量管理框架

Sentinel 是面向分布式服务架构的高可用流量防护组件,主要以流量为切入点,从限流、流量整形、熔断降级、系统负载保护、热点防护等多个维度来帮助开发者保障微服务的稳定性。 Sentinel 具有以下特性: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应

生信代码入门:从零开始掌握生物信息学编程技能

少走弯路,高效分析;了解生信云,访问 【生信圆桌x生信专用云服务器】 : www.tebteb.cc 介绍 生物信息学是一个高度跨学科的领域,结合了生物学、计算机科学和统计学。随着高通量测序技术的发展,海量的生物数据需要通过编程来进行处理和分析。因此,掌握生信编程技能,成为每一个生物信息学研究者的必备能力。 生信代码入门,旨在帮助初学者从零开始学习生物信息学中的编程基础。通过学习常用

NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别是只有少量活跃连接,NGINX有比较好的CPU和RAM利用率,如今是多终端保持在线的时代,更能让NGINX发挥这个优点。本文做一个简单测试,NGINX在一个普通PC虚拟机上维护100k的HTTP