质量是安全基础 安全为生产前提

2014年云南省中等职业学校“唯康.华三杯”计算机技能大赛“企业网络搭建及应用”竞赛试卷(学生组) 一、： （1）请按照以下比赛环境，检查比赛中使用硬件设备、网线和Console线等设备、材料和软件是否齐全，计算机设备是否能正常使用。 （2）禁止携带和使用移动存储设备、运算器、通信工具及参考资料。 （3）操作过程中，需要及时保存设备配置。比赛过程中，不要关闭任何设备，不要拆、动硬件连接，不要对任何设备添加密码。 （4）比赛完成后，比赛设备、比赛软件和比赛试卷请保留在座位上，禁止带出考场外。 （5）仔细阅读比赛试卷，分析网络需求，按照试卷要求，进行设备配置和调试。 （6）比赛时间为180分钟。 二、竞赛环境： （1）硬件环境 设备类型 设备型号 设备数量（台） 路由器 H3C RT-MSR2020-AC 4 路由器串口接口模块 RT-SIC-1SAE 6 三层交换机 H3C LS-3600V2-28TP-EI 2 二层交换机 LS-E126B 2 无线交换机 EWP-WX3008-POEP-H3 1 无线AP EWP-WA2210-AG 1 台式计算机 安装好Win7 64位操作系统 4 笔记本电脑 安装好Win7 64位操作系统 1       （2）软件环境 软件名称 介质形式 数量 Windows 7 64位with SP1 已安装好 1 CentOS 5.5 D:\soft\centOS.iso 1 Windows XP Pro SP2 D:\soft\winxp.iso 1 Windows Server 2008 企业版sp2 D:\soft\win2008.iso 1 Microsoft Office 2007(中文版) 已安装 1 VirtualBox 4.0(汉化版) 已安装 1 WinRAR (中文版) 已安装 1       （3）材料清单 材料名称 状态 数量 2米网线 未制作 16 RJ45水晶头 未制作 35 配置线 Console线 2 PoE适配器 EWPAM2NPOE 1 DCE串口线缆 V35MT转DB28线 4 DTE串口线缆 V35MT转DB28线 4       三、网络功能描述： 某职业院校有两个校区，南校区和北校区。其中南校区是主校区,内部使用私有地址,通过NAT直接访问互连网。北校区是分校区,通过专用链路与南校区连接进行业务数据的传输。北校区自身没有Internet出口,必须通过主校区的Internet出口访问互连网。主校区内部使用OSPF动态路由，分校区内部则使用RIP V2动态路由协议；分校区部署的是无线网络，用户通过无线网络访问主校区的服务器资源和Internet。 主校区内部使用两台三层交换机LS-3600V2-28TP（分别标识为SW1和SW2）作为网络核心，网络服务器群（分别标识为Server1到Server4）连接在核心交换机SW2上，提供全网网络管理和资源共享服务。二台核心交换机之间通过聚合链路实现网络可靠性，主校区内的所有计算机通过若干台二层交换机LS-E126B（分别标识为SW3和SW4）接入。为提高网络的可用性，在二层交换机和三层交换机之间提供冗余线路并使用STP解决环路问题；为减少网间广播，通过VLAN技术把部门间计算机进行隔离。为降低管理成本，主校区所有客户计算机上网所需的IP信息、域名信息等都通过内部的DHCP服务器自动获取。为提高网络的可用性和实现访问服务器的负载分担，二台核心交换机需要使用VRRP技术。另外，主校区内部分别使用不同的路由器R1和R2来连接Internet和分校区。 分校区内部使用无线交换机（标识为SW5）来实现两个子网的通信及管理无线AP，分校区所有客户计算机联网所需的IP信息、域名信息等也通过无线交换机充当DHCP服务器来自动获取。另外，分校区使用PPP专用链路来和主校区进行连接。所有设备之间连接拓扑如图1所示，各设备连接接口及接口地址规划如表1所示。 设备名称 设备接口 IP地址 备注 SW1 Eth 1/0/1 172.16.60.2/30 连接到R1 Eth 1/0/2 172.16.60.10/30 连接到R2 Eth 1/0/23-24   连接到SW2 Eth 1/0/21   连接到SW3 Eth 1/0/22   连接到SW4 SW2 Eth 1/0/1 172.16.60.6/30 连接到R1 Eth 1/0/2 172.16.60.14/30 连接到R2 Eth 1/0/23-24   连接到SW1 Eth 1/0/21   连接到SW3 Eth 1/0/22   连接到SW4 Eth 1/0/19-20   连接到服务器 R1 Eth 0/0 172.16.60.1/30 连接到SW1 Eth 0/1 172.16.60.5/30 连接到SW2 S 1/0 119.1.1.1/29 连接到R3 R2 Eth 0/0 172.16.60.9/30 连接到SW1 Eth 0/1 172.16.60.13/30 连接到SW2 S 1/0 10.0.0.9/30 连接到R4 R3 S 1/0 119.1.1.2/29 连接到R1 R4 S 1/0 10.0.0.10/30 连接到R2 Eth 0/1 10.0.0.13/29 连接到SW5 SW5 Gi1/0/1(VLAN60) 10.0.0.14/29 连接到R4 GI1/0/2   连接到无线AP SW3 Eth 1/0/21   连接到SW1 Eth 1/0/22   连接到SW2 Eth 1/0/1-10   任选一个连接到PC1 SW4 Eth 1/0/21   连接到SW1 Eth 1/0/22   连接到SW2 Eth 1/0/1-10   任选一个连接到PC2 PC1 NIC 自动获取 连接到SW3 PC2 NIC 自动获取 连接到SW4 PC5 NIC 自动获取 通过WLAN连接到无线AP 服务器区域 Server1（Win2008） 172.16.100.101/24 DC、DNS及CA服务器 Server2（Win2008） 172.16.100.102/24 Web服务器及群集节点B Server3（Win2008） 172.16.100.103/24 群集节点A Server4（CentOS） 172.16.100.107/24 DHCP、ISCSI、Web及FTP服务器         四、试题内容： 第一部分  网络系统构建（40分） 1. 交换网功能配置 （10分） （1）制作网线：制作15根网线，其中9根要求为直连线，7根要求为交叉线。 （2分） （2）在SW3和SW4上按图创建虚拟局域网VLAN10、VLAN20、VLAN30、VLAN40，其中SW3交换机1—5接口分配给教务处、6—10接口分配给学生处， SW4交换机1—5接口分配给后勤处、6—10接口分配给办公室。 （1分） （3）配置SW3、SW4和2台核心交换机SW1、SW2的连接，实现不同VLAN用户之间的通信。 （2分） （4）在SW1、SW2、SW3、SW4上配置MSTP，使VLAN10、VLAN30用户以SW1为根网桥来进行数据转发，VLAN20、VLAN40用户以SW2为根网桥来进行数据转发（2分） （5）SW1和SW2作为网络核心交换机，通过23、24端口进行冗余连接，实现链路聚合。（1分） （6）在SW2上创建虚拟局域网VLAN100,接口19、20与服务器相连并加入VLAN100。（1分） （7）在SW1和SW2核心交换机上配置DHCP中继功能，使主校区的客户端电脑能从DHCP服务器上获取IP和DNS信息。（1分） 2. 路由网功能配置 （17分） （1）分别配置SW1、SW2、SW5、R1、R2、R3、R4各连接接口的地址，使之能正常通讯 （1分） （2）在两台核心交换机SW1和SW2上配置VRRP协议，使VLAN10、VLAN30用户以SW1为主路由，VLAN20、VLAN40用户以SW2为主路由。 （1分） （3）在主校区内部配置OSPF动态路由，按图示划分area区域并指定各路由设备的RID，使主校区内部全网互通，各主机之间能相互访问。 （2分） （4）配置R2为OSPF区域边界路由器（ABR）并进行区域间路由汇总，要求为分校区汇总生成一条172.16.70.0/24的路由通告信息，为主校区汇总生成一条172.16.60.0/28的路由通告信息。（2分） （5）配置R4为OSPF ASBR路由器并进行路由再发布，实现OSPF和RIP路由协议的互通 （2分） （6）在分校区内部按图配置RIP区域内动态路由，要求RIP版本为V2，并且关闭自动汇总功能。（2分） （7）在分校区边界使用操纵路由更新的，禁止分校区学习到主校区内部的VLAN10、VLAN20、VLAN30、VLAN40路由条目，但能学习到VLAN100和其它路由条目。 （2分） （8）根据网络拓扑所示为主校区和分校区配置默认路由、NAT及默认路由发布，使主校区的VLAN10、VLAN20、VLAN30、VLAN40、VLAN100和分校区的两个无线子网都可以访问互联网，同时将主校区的Linux Web和FTP服务器发布到互联网，其全局地址为119.1.1.3。将主校区的Windows Web服务器发布到互联网，其全局地址为119.1.1.4。 （3分） （9）为保障专用链路间的数据安全，在R2和R4之间开启PPP认证，认证协议为CHAP，认证密码为yn321，使用双向认证。 （2分） 3. 无线网功能配置 （7分） （1） 保证无线AP工作在Fit模式,在无线AC上配置2个接入网段分别为172.16.70.0/25和172.16.70.128/25,动态获取IP信息,广播出来的SSID分别为ynv70和ynv80。无线网采用WEP加密方式，口令为ynjnds1234567，不允许SSID广播。 （3分） （2）配置SW5为两个无线网的DHCP服务器，指定两个无线网的Pool名字分别为vlan70和vlan80，租期为7天，DNS地址为主校区的DNS服务器地址。vlan70 Pool的默认网关为172.16.70.1，排除172.16.70.100这个地址；vlan80 Pool的默认网关为172.16.70.129，排除172.16.70.200这个地址。 （2分） （3）配置无线AP和无线交换机SW5实现两个无线网VLAN70和VLAN80的相互通信，并使两个无线网能访问Internet和主校区的服务器资源。 （2分） 4. 网络安全配置 （6分） （1）在R1上配置访问控制列表，允许内部的人员可以使用ping工具测试外网、以域名方式访问外部WEB网站和带SSL的链接的 Web服务。 （2分） （2）将二层交换机SW3的Eth1/0/1端口配置为速端口，并配置广播风暴抑制，该端口允许通过的最大广播包数为256/秒。 （1分） （3）在二层交换机SW4的Eth1/0/1端口上配置端口安全，端口安全地址个数为2，安全违例将临时关闭端口3分钟。 （1分） （4）在主校区服务器群中，部署了DHCP服务器为用户动态分配IP信息。但网络中可能存在假冒的DHCP服务器和ARP攻击，为了保障DHCP的正常工作，需要在SW3和SW4上配置DHCP Snooping和DAI功能，只允许合法的DHCP服务器分配IP信息,并限制不信任端口的ARP速率阀值为10pps（选择Eth1/0/1端口实现即可）。（2分） 第二部分　Windows服务器配置（30分） 1、安装第一台Windows Server 2008服务器 （2分） 在PC3上安装第一台Windows Server 2008服务器，作为域管理服务器（Server1）。 （1）创建名称为Server1的虚拟机，硬盘空间为40G，分配内存为1024M，网卡使用桥接模式。（1分） （2）将硬盘分为两个分区，C盘为30G，D盘为10G，两个分区文件系统为NTFS。服务器名称为DC，系统管理员密码为admin，根据要求配置服务器的IP地址等相关信息。 （1分） 2、搭建Windows域环境 （13分） （1）在Server1上配置一台域控制器，域名为ynsc.com，服务器的FQDN为dc.ynsc.com，域的功能级别为2008模式。同时，该服务器为DNS服务器，负责解析ynsc.com域名。 （2分） （2）按下表创建域用户、全局组和OU，用户的初始密码为“123456”。 （2分）