请用微信扫码

扫二维码

关闭

【GZ-2021035】2021年全国职业院校技能大赛高职组网络系统管理赛项正式赛卷(PDF版)

资源下载
资源下载
  1. 二一教育资源

【GZ-2021035】2021年全国职业院校技能大赛高职组网络系统管理赛项正式赛卷(PDF版)

2022-04-28 14:42 高职组竞赛 6.64M [试卷]

资源简介

网络系统管理(B-1)- 评分标准
模块 B:Windows 环境(300 分)
要求:使用下面指令查看其运行状态,并使用 FSCapture 截图软件进行截图,将输入结果的截图插入到文档中。
注:
在测试报告中,如果整个大题没有截图则整个大题不得分,未使用抓图工具截图的或截图不完整不清晰,则不给分。
基础配置分(10 分)
分 评
评分要点
值 分
1、截图文档整洁规范,根据题目要求进行截图。 10
文档简洁,截图清晰有序即可得满分。
网络地址规划(35 分)
分 评
评分要点
值 分
1、DC1:(1)完全限定域名(在 DC1 上打开“This PC”属性页面进行截图);【1 分】(2)网络地址/掩码/网关/DNS(在 DC1 上打开 cmd
5
并执行指令:ipconfig /all)。【4 分】
(1)完全限定域名:(评分要点:主机名和域名不需要区分大小写,完成主机名为“DC1.”。)
1 / 62
(1)网络地址/掩码/网关/DNS:(评分要点:IP 地址为 192.168.100.100,掩码为 255.255.255.0,网关地址为 192.168.100.254,DNS 设
置为 127.0.0.1。)
2 / 62
2、DC2:(1)完全限定域名(在 DC2 上打开“This PC”属性页面进行截图);【1 分】(2)网络地址/掩码/网关/DNS(在 DC2 上打开 cmd
5
并执行指令:ipconfig /all)。【4 分】
(1)完全限定域名:(评分要点:主机名和域名不需要区分大小写,完成主机名为“DC2.”。)
3 / 62
(2)网络地址/掩码/网关/DNS:(评分要点:IP 地址为 192.168.100.200,掩码为 255.255.255.0,网关地址为 192.168.100.254,DNS 设
置为 127.0.0.1。)
4 / 62
3、APPSRV:(1)完全限定域名(在 appsrv 上打开“This PC”属性页面进行截图);【1 分】(2)网络地址/掩码/网关/DNS(在 appsrv
5
上打开 cmd 并执行指令:ipconfig /all)。【4分】
(1)完全限定域名:(评分要点:主机名和域名不需要区分大小写,完成主机名为“AppSrv.”。)
5 / 62
(2)网络地址/掩码/网关/DNS:(评分要点:IP 地址为 192.168.200.100,掩码为 255.255.255.0,网关地址为 192.168.200.254,DNS 设
置为 192.168.100.100 和 192.168.100.200。)
6 / 62
4、ROUTERSRV:(1)完全限定域名(在 routersrv 上打开“This PC”属性页面进行截图);【1 分】(2)网络地址/掩码/网关/DNS(在
5
routersrv 上打开 cmd 并执行指令:ipconfig /all)。【4 分】
(1)完全限定域名:(评分要点:主机名和域名不需要区分大小写,完成主机名为“RouterSrv.”。)
7 / 62
(2)网络地址/掩码/网关/DNS:(评分要点:IP 地址为 192.168.100.254、192.168.200.254、192.168.0.254、100.100.100.251,掩码
为 255.255.255.0,网关地址为 100.100.100.254,DNS 设置为 192.168.100.100 和 192.168.100.200。)
8 / 62
9 / 62
10 / 62
5、ISPSRV:(1)完全限定域名(在 ispsrv 上打开“This PC”属性页面进行截图);【1 分】(2)网络地址/掩码/网关/DNS(在 ispsrv
5
上打开 cmd 并执行指令:ipconfig /all)。【4分】
(1)完全限定域名:(评分要点:主机名和域名不需要区分大小写,完成主机名为“IspSrv”。)
(2)网络地址/掩码/网关/DNS:(评分要点:IP 地址为 100.100.100.100,掩码为 255.255.255.0,不配置网关地址,DNS 设置为 127.0.0.1。)
11 / 62
6、OUTSIDECLI:(1)完全限定域名(在 outsidecli 上打开“This PC”属性页面进行截图);【1 分】(2)网络地址/掩码/网关/DNS(在
5
outsidecli 上打开 cmd 并执行指令:ipconfig /all)。【4 分】
(1)完全限定域名:(评分要点:主机名和域名不需要区分大小写,完成主机名为“OutsideCli”。)
12 / 62
(2)网络地址/掩码/网关/DNS:(评分要点:IP 地址为 100.100.100.49(并且通过 dhcp 获取的),掩码为 255.255.255.0,网关地址为
100.100.100.254,DNS 设置为 100.100.100.100。)
13 / 62
7、INSIDECLI:(1)完全限定域名(在 insidecli 上打开“This PC”属性页面进行截图);【1 分】(2)网络地址/掩码/网关/DNS(在
5
insidecli 上打开 cmd 并执行指令:ipconfig /all)。【4 分】
(1)完全限定域名:(评分要点:主机名和域名不需要区分大小写,完成主机名为“InsideCli”。)
14 / 62
(2)网络地址/掩码/网关/DNS:(评分要点:IP 地址为 192.168.0.X(X 为任意数字),掩码为 255.255.255.0,网关地址为 192.168.0.254,
DNS 设置为 192.168.100.100 和 192.168.100.200。)
15 / 62
ISPSRV 工作任务(38 分)
分 评
评分要点
值 分
1、DNS:(1)创建必要的正向和反向区域,并添加对应的 A记录和 PRT 记录;(在 ispsrv 上使用 nslookup 测试必要的 a 记录和 prt 记录)【10
20
分】(2)创建 test1.com~ 的域名解析。(在 ispsrv 上打开 powershell 并执行执行:get-dnsserverzone | findstr.exe test | measure,
16 / 62
执行成功再执行:nslookup )【10 分】
(1)创建必要的正向和反向区域,并添加对应的 A 记录和 PRT 记录:(评分要点:至少能够解析 sstp.chinaskills.global->100.100.100.251;
131.107.255.25->dns.; www.->100.100.100.100; 100.100.100.100.251->sstp.chinaskills.global。)
(2)创建 test1.com~ 的域名解析:(评分要点:通过筛选,Count 的数量不能少于 101;nslookup 需要解析到
100.100.100.100 这个地址。)
17 / 62
2、DHCP:(1)DHCP 地址池信息;(查看配置)【2 分】(2)DHCP 网关和 DNS 选项;(查看配置)【2 分】(3)分配固定地址;(查看
12
配置)【2分】(4)仅允许 OutsideCli 获取地址;(查看配置)【3 分】(5)dhcp 备份。(查看配置)【3 分】
(1)DHCP 地址池信息:(评分要点:地址池范围在 100.100.100.10-100.100.100.50。)
(2)DHCP 网关和 DNS 选项:(评分要点:网关地址设置为 100.100.100.254,dns 设置为 100.100.100.100。)
(3)分配固定地址:(评分要点:固定分配地址为 100.100.100.49。)
18 / 62
(4)仅允许 OutsideCli 获取地址:(评分要点:存在 MAC 筛选规则。)
(5)dhcp 备份:(评分要点:DHCP 备份目录设置为 c:\dhcpbck。)
19 / 62
3、互联网检测服务:(1)在 OutsideCli 和 InsideCli 上功能性测试;(查看功能展示图)【6 分】 6
(1)在 OutsideCli 和 InsideCli 上功能性测试:(评分要点:在 OutsideCli 和 Insidecli 上的任务栏中显示 Internet Access 图标。)
20 / 62
21 / 62
ROUTERSRV 工作任务(35 分)
分 评
评分要点
值 分
1、路由功能:(1)开启路由转发;(在 InsideCli 上使用 ping 测试 dc1 和 appsrv 的连通性。)【2 分】(2)配置网络地址转换;(在
5
insidecli 上使用 ping 测试 ispsrv 的连通性,然后再 routersrv 上查看 nat 转换信息。)【3 分】
(1)开启路由转发:(评分要点:在 Insidecli 上 ping 192.168.100.100 和 192.168.200.100 均成功。)
22 / 62
(2)配置网络地址转换:(评分要点:在 Insidecli 上 ping 100.100.100.100 成功,然后查看 nat 转换状态,存在内部和外部的转换信
息。)
23 / 62
2、DHCP 中继:(1)启用 DHCP 中继,客户端成功获取地址。(在 insidecli 上执行指令 ipconfig /all)【3 分】 3
(1)启用 DHCP 中继,客户端成功获取地址:(评分要点:Insidecli 客户端能通过 192.168.200.100 的 dhcp 服务器获取地址。)
24 / 62
3、虚拟专用网络:(1)启用 SSTPVPN,并检查证书来源;(查看 SSTPVPN 证书调用,查看证书颁发者信息。)【3 分】;(2)配置 NPS
7
认证;(查看 SSTPVPN 调用 NPS 认证。)【2 分】;(3)查看 VPN 客户端地址池。(查看配置)【2 分】
(1)启用 SSTPVPN,并检查证书来源:(评分要点:SSTPVPN 的证书由 CSK2021-ROOTCA 颁发。)
25 / 62
26 / 62
(2)配置 NPS 认证:(评分要点:Authentication 和 Accounting 均交给 RADIUS 进行管理。)
(3)查看 VPN 客户端地址池:(评分要点:VPN 地址池范围为 192.168.1.200-192.168.1.220)
27 / 62
4、RDS:(1)RdWeb 服务器;【2 分】(在 RouterSrv 上打开 Server Manager 面板,找到 Deployment Servers)(2)RDS 资源服务器;
(在 RouterSrv 上打开 Server Manager 面板,找到 Deployment Servers)【2 分】(3)浏览器访问 RDS;(在 Insidecli 上使用浏览器访
20
问 RDS 站点,并成功登录。)【5 分】;(4)成功运行 RemoteApp;(运行成功后,截图需要记录 notepad 截面+任务栏图标)【5 分】(5)
开始菜单访问 RemoteApp。(在开始菜单中找到对应的 RemoteApp 程序)【6 分】
(1)RdWeb 服务器:(评分要点:RouterSrv 为 RD Web Access 服务器。)
(2)RDS 资源服务器:(评分要点:APPSRV 为 RD Connection Broker 和 RD Session Host 服务器。)
(3)浏览器访问 RDS:(评分要点:在 RDS 页面能够看到存在 notepad 和 WordPad 程序。)
28 / 62
(4)成功运行 RemoteApp:(评分要点:能够成功打开 RemoteApp 程序。)
29 / 62
(5)开始菜单访问 RemoteApp:(评分要点:在开始菜单的 Work Resources(RADC)中能够找到 notepad 和 wordpad 程序。)
30 / 62
APPSRV 工作任务(78 分)
分 评
评分要点
值 分
1、万维网服务:(1)启用 HTTPS 站点(在 Insidecli 上只用浏览器访问 https://www./);【2 分】(2)网站最大连接数+超时
时间;(查看配置)【5 分】(3)日志管理;(查看配置)【5分】(4)仅允许一个会话访问 ftp 服务;(在 insidecli 上打开两个 cmd 界面,
启用个界面成功登录到 ftp,然后再用另一个 cmd 访问 ftp。)【5分】(5)ftp chroot 功能;(在 insidecli 上使用 cmd 访问 ftp,登录成功后 32
执行 pwd。)【3分】(6)FTP 登录 banner。(在 insidecli 上使用 cmd 访问 ftp,登录成功后执行 pwd。)【2 分】(7)Plus+测试页面;(在
Insidecli 上只用浏览器访问 https://www./wwwplus+.html)【10 分】
(1)启用 HTTPS 站点:(评分要点:站点证书不存在不信任等问题,页面内容正确。)
31 / 62
(2)网站最大连接数+超时时间:(评分要点:Maximum Concurrent 设置为 1000,Connection Time-out 设置为 60。)
(3)日志管理:(评分要点:网站日志目录设置为 d:\wwwlog,日志文件切割设置为 Weekly。)
32 / 62
(4)仅允许一个会话访问 ftp 服务:(评分要点:打开 ftp 会话,其中一个正常登陆显示“230 User logged in.”,另个会话则提示 421。)
(5)ftp chroot 功能:(评分要点:执行 pwd 后提示“257“/”is current directory.”)
33 / 62
(6)FTP 登录 banner:(评分要点:在登录提示信息中能够找到“220 Hello, unauthorized login is prohibited!”语句。)
(7)Plus+测试页面:(评分要点:要求网站路径必须包含 wwwplus+.html 信息;要求页面内容保持一致。)
2、动态地址分配服务:(1)配置地址池;(查看配置)【2分】(2)网关和 dns 选项。(查看配置)【3分】 5
(1)配置地址池:(评分要点:地址池范围为 192.168.0.100-192.168.0.200)
34 / 62
(2)网关和 dns 选项:(评分要点:网关设置为 192.168.0.254,dns 设置为 192.168.100.100 和 192.168.100.200。)
3、Local File Share:(1)本地文件共享;(打开服务器管理器->文件和存储服务->共享。)【3 分】(2)配置权限;(打开 sales 文
8
件共享的 ntfs 权限页面)【5分】
(1)本地文件共享:(评分要点:存在 it$、manager$、sales$文件共享,并且要求目录一致。)
35 / 62
(2)配置权限:(评分要点:NTFS 权限仅对 Administrators 和 SALES 进行授权(SYSTEM 忽略),且权限设置为 Full control。)
36 / 62
4、DFS:(1)DFS命名空间;(在appsrv上打开powershell执行执行:get-dfsnroottarget -path \\\cskshare,然后再执
行:get-smbshare -name cskshare)【3分】(2)部门共享文件;(在appsrv上打开dfs管理器页面,列出所有dfs共享文件夹。)【2分】 10
(3)启用共享枚举。(在insidecli上使用IT组成员访问\\\cskshare)【5分】
(1)DFS 命名空间:(评分要点:存在\\\CSKshare 的 DFS 共享,并且 CSKSHARE 共享的物理路径为 D:\DFSSHAREDIR。)
(2)部门共享:(评分要点:在 DFS 控制台中能够找到 it,manage,sales 文件夹。)
37 / 62
(3)启用共享枚举:(评分要点:客户端访问\\、cskshare 只能看到 it 部门共享,看不到 sales 和 manager 部门共享。
如果第二点没有完成第三点不做评分。)
5、磁盘管理:(1)500TB 磁盘;(在 Appsrv 上打开 powershell 执行指令:get-disk)【5 分】(2)挂载到 D 卷。(在 Appsrv 上打开 powershell
8
执行指令:get-volume -driveletter D)【3 分】
(1)500TB 磁盘:(评分要点:能够在输出结果中找到一个 500TB 的虚拟硬盘。)
(2)挂载到 D 卷:(评分要点:挂载到 D 卷并且 FileSystemLabe 设置为 iSCSI。)
38 / 62
6、iSCSI:(1)创建 iSCSI 磁盘;(在 appsrv 上打开 server manager->file and storage services->iscsi 查看配置结果)【2 分】(2)
DC1 挂载使用;(在 dc1 上打开 server manager->file and storage services->volumes->disks 查看配置结果)【2分】(3)启用 CHAP 7
认证。(在 DC1 上打开 powershell 执行指令:get-iscsisession)【3 分】
(1)创建 iSCSI 磁盘:(评分要点:存在 iscsi 磁盘,其他不做评判标准,只要磁盘在 d:\iscsidata 目录即可。)
(2)DC1 挂载使用:(评分要点:在 DC1 上连接 iSCSI 磁盘,并挂载到 D 卷。)
39 / 62
(3)启用 CHAP 认证:(评分要点:会话中存在 CHAP 认证即可。)
40 / 62
7、Web Print:(1)创建域共享打印机;(在 DC1 上打开 dsa.msc 然后搜索 CSK-Print 打印机。)【3 分】(2)通过网页查看 CSK-Print
8
打印机。(在 insidecli 上使用浏览器打开 https://print./)【5 分】
(1)创建域共享打印机:(评分要点:在活动目录中能够搜索出 CSK-Print 打印机。)
(2)通过网页查看 CSK-Print 打印机:(评分要点:网页路径需要 https://print./没有其他后缀,能够在页面中查看到
CSK-Print 打印机。)
41 / 62
DC1&DC2 工作任务(75 分)
分 评
评分要点
值 分
1、活动目录域服务:(1)AD 域搭建;(在 dc1 和 dc2 上执行 systeminfo 指令。)【2分】(2)用户和组管理;(在 dc1 上使用 net group
指令检查 IT、SALES、MANAGER 用户和组的创建情况。)【3分】(3)自定义 UPN;(查看配置)【2分】(4)限制访问 C 盘;(在 insidecli
上使用 SALES 组的用户登录后查看效果。)【2 分】(5)禁止运行 run.exe 程序;(在 insidecli 上使用 SALES 组的用户登录后查看效果。)
【2 分】(6)移除关机和重启按钮;(在 insidecli 上使用 SALES 组的用户登录后查看效果。)【2 分】(7)移除桌面垃圾桶;(在 insidecli
36
上使用 SALES 组的用户登录后查看效果。)【2分】(8)禁止使用 cmd 和 bat;(在 insidecli 上使用 SALES 组的用户登录后查看效果。)
【2 分】(9)不显示登录记录;(在 insidecli 上查看效果。)【2 分】(10)自定义 IE 首页。(在 insidecli 上使用 SALES 组的用户登
录后查看效果。)【2 分】(11)创建域备份;(通过 cmd 命令行列出所有域备份。)【5 分】(12)修改活动目录与备份路径;(通过 cmd
命令行列出域备份路径信息。)【5 分】(13)修改活动目录 PDC 主机。(查看配置)【5 分】
(1)AD 域搭建:(评分要点:DC1 为 Primary Domain controller,DC2 为 Backup Domain Controller。)
42 / 62
(2)用户和组管理:(评分要点:用户和组的数量要求一致。)
43 / 62
44 / 62
(3)自定义 UPN:(评分要点:能够找到 的 UPN Suffixes。)
(4)限制访问 C 盘:(评分要点:双击 C 盘目录,提示 Restrictions。)
(5)禁止运行 run.exe 程序:(评分要点:运行 run.exe 程序是提示,Restrictions。)
45 / 62
(6)移除关机和重启按钮:(评分要点:点击 shutdown or sign out 按钮,无法找到 shutdown 和 restart 按钮。)
(7)移除桌面垃圾桶:(评分要点:桌面找不到垃圾桶图标。)
46 / 62
(8)禁止使用 cmd 和 bat:(评分要点:运行 cmd 提示禁止使用。)
47 / 62
(9)不显示登录记录:(评分要点:登录界面直接显示 Other user)
48 / 62
(10)自定义 IE 首页:(评分要点:打开 IE 浏览器的主页设置,可以看到主页不允许修改。并且主页设置为 https://www.。)
(11)创建域备份:(评分要点:除了 C 盘的备份,还有其他新建的备份序号。)
(12)修改活动目录与备份路径:(评分要点:域备份目录设置为 C:\ad-backup)
49 / 62
(13)修改活动目录 PDC 主机:(评分要点:Operations master 为 DC2.。)
2、NPS:(1)仅允许 SSTP/VPN 拨号访问;(查看配置)【3 分】(2)仅允许 MANAGER 进行身份验证;(查看配置)【3 分】(3)日志管
11
理。(查看配置)【5 分】
(1)仅允许 SSTP/VPN 拨号访问:(评分要点:Tunnel-Type 设置为 SSTP。)
50 / 62
(2)仅允许 MANAGER 进行身份验证:(评分要点:用户和组中仅设置 MANAGER 组)
(3)日志管理:(评分要点:日志目录设置为 c:\NPS,并且设置每当日志文教大于 10MB 时自动创建新的日志文件。)
51 / 62
3、DNS:(1)非对称校验;(在dc1上打开dns管理器查看加密后的dns记录)【5分】(2)未知域名转发。(在insidecli上进入nslookup
8
模式后输入域名进行解析。)【3分】
(1)非对称校验:(评分要点: 存在 RRSIG 和 DNSKEY 的记录。)
52 / 62
(2)未知域名转发:(评分要点:解析 成功,并且提示 Non-authoritative answer。)
53 / 62
4、证书颁发机构:(1)证书名称;(查看效果)【2分】(2)证书有效期。(查看效果)【4】 6
(1)证书名称:(评分要点:根证书名称为 CSK2021-ROOTCA)
(2)证书有效期:(评分要点:根证书有效期为 10 年,WWW 站点的 WEB 证书有效期为 3年。)
54 / 62
55 / 62
5、文件共享:(1)隐藏共享;(在 DC1 上执行指令:net share)【2 分】(2)自动挂载用户主目录共享;(在 insidecli 上功能性测试。)
【2 分】(3)用户主目录容量;(在 insidecli 上功能性测试。)【2 分】(4)禁止特定文件在用户主目录中存储;(在 insidecli 上功 14
能性测试。)【5 分】(5)用户配置文件。(在 insidecli 上使用管理员运行 sysdm.cpl,然后打开“user profiles”。)【3 分】
(1)隐藏共享:(评分要点:存在 users$和 profiles$的隐藏共享,并且目录要求一致。)
56 / 62
(2)自动挂载用户主目录共享:(评分要求:存在 H 卷,路径要求一致,用户名不作为评判标准。)
(3)用户主目录容量:(评分要点:磁盘代销为 500MB。)
57 / 62
(4)禁止特定文件在用户主目录中存储:(评分要点:需要所有后缀文件都要测试一遍。)
58 / 62
(5)用户配置文件:(评分要点:普通用户的用 profiles 文件的类型为 Roaming)
59 / 62
INSIDECLI 和 OUTSIDECLI 工作任务(29 分)
分 评
评分要点
值 分
1、INSIDECLI:(1)加入 域;(在 insidecli 上执行指令 sysdm.cpl)【2 分】 2
(1)加入 域:(评分要点:加入 域。)
60 / 62
2、OUTSIDECLI:(1)不加入域,保留工作组;(在 insidecli 上执行指令 sysdm.cpl)【2分】(2)离线加域;(在 dc1 上配置,并保留
成功凭据。)【10 分】(3)VPN 测试(在 outsidecli 上使用 ma01 用户成功连接 VPN 后打开网络管理中心查看网卡状态;查看连接器不记 27
录 vpn 用户名和密码信息的配置。)。【15 分】
(1)不加入域,保留工作组:(评分要点:保留在 WORKGROUP 工作组。)
(2)离线加域:(评分要点:主机名和文件路径不能错。)
61 / 62
(3)VPN 测试:(评分要点:存在 Connect-CSK 拨号器;客户端成功连接 VPN,并且显示 VPN 协议为 SSTP,不记录用户名和密码,需要取
消勾选“Remember my credentials”。)
62 / 622021 年全国职业院校技能大赛
网络系统管理(A-1)
模块 A:Linux 环境
全国职业院校技能大赛执委会.技术专家组
2021 年 06 月
目录
一、 竞赛简介...................................................................................................................- 3 -
二、 竞赛注意事项...........................................................................................................- 3 -
三、 竞赛结果文件的提交...............................................................................................- 3 -
四、 初始化环境...............................................................................................................- 3 -
1.默认账号及默认密码.............................................................................................- 3 -
2.操作系统配置.........................................................................................................- 4 -
五、 项目任务描述...........................................................................................................- 4 -
1.拓扑图.....................................................................................................................- 5 -
2.网络地址规划.........................................................................................................- 5 -
ISPSRV.........................................................................................................................- 5 -
AppSrv.........................................................................................................................- 5 -
STORAGESRV.................................................................................................................- 5 -
ROUTERSRV...................................................................................................................- 6 -
INSIDECLI...................................................................................................................- 6 -
OUTSIDECLI.................................................................................................................- 6 -
六、 项目任务清单...........................................................................................................- 6 -
服务器 IspSrv 工作任务...........................................................................................- 6 -
1. IPTABLES.......................................................................................................- 6 -
2. DHCP...............................................................................................................- 6 -
3. DNS.................................................................................................................- 7 -
4. NTP.................................................................................................................- 7 -
5. WEB 服务........................................................................................................- 7 -
服务器 RouterSrv 上的工作任务.............................................................................- 7 -
1. DHCP RELAY...................................................................................................- 7 -
2. ROUTING.........................................................................................................- 7 -
3. SSH.................................................................................................................- 7 -
4. OPENVPN.........................................................................................................- 8 -
- 1 -
5. IPTABLES.......................................................................................................- 8 -
服务器 AppSrv 上的工作任务...................................................................................- 8 -
1. IPTABLES.......................................................................................................- 8 -
2. SSH.................................................................................................................- 8 -
3. DHCP...............................................................................................................- 8 -
4. DNS(BIND).................................................................................................- 9 -
5. APACHE2.........................................................................................................- 9 -
6. Cacti...........................................................................................................- 10 -
7. MAIL(POSTFIX-SMTPS & DOVECOT-IMAPS)...........................................- 10 -
8. CA(证书颁发机构).................................................................................- 10 -
服务器 StorageSrv 上的工作任务.........................................................................- 10 -
1. IPTABLES.....................................................................................................- 10 -
2. DISK(RAID & LVM).................................................................................- 10 -
3. Crypt-disk.................................................................................................- 11 -
4. PURE-FTPD...................................................................................................- 11 -
5. LDAP.............................................................................................................- 11 -
6. SAMBA...........................................................................................................- 11 -
客户端 OutsideCli 和 InsideCli 工作任务.........................................................- 11 -
1. OutsideCli.................................................................................................- 11 -
2. InsideCli...................................................................................................- 12 -
- 2 -
一、 竞赛简介
1. 请认真阅读以下指引!
2. 比赛共 4个小时,你必须自行决定如何分配你的时间。
3. 当比赛结束时,离开时请不要关机您的虚拟机。
4. 如果没有明确要求,请使用“Chinaskill21”作为默认密码。
5. 本模块所有的系统为已经安装的最基本的系统状态,客户端带桌面。
二、 竞赛注意事项
1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任
何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单
是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,
不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所
有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须
按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等
信息。
三、 竞赛结果文件的提交
按照题目要求,提交符合模板的WORD文件以及对应的PDF文件(利用 Office
Word 另存为 pdf 文件方式生成 pdf 文件),所有截图建议除了配置文件截图外,
还需要截功能测试的图,能在终端上测试的就一定要在终端上测试并截图,否则
功能测试部分不得分。
四、 初始化环境
1.默认账号及默认密码
Username: root
Password: ChinaSkill21
Username: skills
- 3 -
Password: ChinaSkill21
注:若非特别指定,所有账号的密码均为 ChinaSkill21
2.操作系统配置
所处区域:CST + 8
系统环境语言:English US (UTF-8)
键盘:English US
注意:当任务是配置 TLS,请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示
*********************************
ChinaSkills 2021 – CSK
Module A Linux
>>hostname<<
>>Debian Version<<
>> TIME <<
*********************************
五、 项目任务描述
你作为一个 Linux 的技术工程师,被指派去构建一个公司的内部网络,要为
员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,
并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于 Linux 操作
系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网
络拓扑图和基本配置信息如下:
- 4 -
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表:
ISPSRV
全限定域名:ispsrv
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:81.6.63.100/24/无
AppSrv
全限定域名:appsrv.
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:192.168.100.100/24/192.168.100.254
STORAGESRV
全限定域名:storagesrv.
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:192.168.100.200/24/192.168.100.254
- 5 -
ROUTERSRV
全限定域名:routersrv.
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关: 192.168.100.254/24/无、192.168.0.254/24/无、
81.6.63.254/24/无
INSIDECLI
全限定域名:insidecli.
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:DHCP From AppSrv
OUTSIDECLI
全限定域名:outsidecli.
普通用户/登录密码:skills/ChinaSkill21
超级管理员/登录密码:root/ChinaSkill21
网络地址/掩码/网关:DHCP From IspSrv
六、 项目任务清单
服务器 IspSrv 工作任务
1. IPTABLES
修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全
的前提下,最小限度放行流量通信;
放行 ICMP 流量。
2. DHCP
安装 isc-dhcp-server;
为 OutsideCli 客户端网络分配地址,地址池范围:
81.6.63.110-81.6.63.190/24;
域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
网关:按照实际需求配置网关地址选项。
- 6 -
3. DNS
安装 bind9;
启用 chroot 功能,限制 bind9 在/var/named 下运行(没有运行在/var/named
目录下,本题全部不得分。);
配置为 DNS 根域服务器;
其他未知域名解析,统一解析为本机 IP;
创建正向区域“”;
类型为 Slave;
主服务器为“AppSrv”。
4. NTP
安装 ntp(使用其他 ntp 软件,以下功能均不得分);
在 AppSrv 和 StorageSrv 上创建 CRON 计划任务;
使用 ntpdate 指令,每隔五分钟进行一次时间同步。
5. WEB 服务
安装 lighttpd(使用其他 web 平台,以下功能均不得分);
启用 fastcgi-php 模块;
index.php 网页内容显示当前服务器的日期和时间(刷新页面时间自动更新)。
服务器 RouterSrv 上的工作任务
1. DHCP RELAY
安装 isc-dhcp-server;
允许客户端通过中继服务获取网络地址。
2. ROUTING
开启路由转发,为当前实验环境提供路由功能;
3. SSH
安装 ssh,监听端口设置为 2021;
只允许用户 user01,密码 ChinaSkill21 登录到 RouterSrv。其他用户(包括
root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从 ssh 远
程登录;
- 7 -
通过 ssh 登录尝试登录到 RouterSrv,一分钟内最多尝试登录的次数为 3 次,
超过后禁止该客户端网络地址访问 ssh 服务;
记录用户登录的日志到/var/log/ssh.log,日志内容要包含:源地址,目标地
址,协议,源端口,目标端口。
4. OPENVPN
VPN 客户端只能与 InsideCli 客户端网段通信,允许访问 StorageSrv 主机上的
SAMBA 服务,允许访问 AppSrv 上的 dns 服务;
VPN 客户端可使用的地址范围是 :172.16.0.100-172.16.0.120/24;
在 OutsideCli 上创建连接服务“openvpn@csk.services”。
5. IPTABLES
添加必要的网络地址转换规则,使内部客户端能够访问外部网络;
添加必要的网络地址转换规则,使内部 DNS、MAIL、WEB、FTP 能对外提供服务;
修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全
的前提下,最小限度放行流量通信。
服务器 AppSrv 上的工作任务
1. IPTABLES
修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全
的前提下,最小限度放行流量通信;
放行 ICMP 流量。
2. SSH
安装 SSH,工作端口监听在 19210;
仅允许 InsideCli 客户端进行 ssh 访问,其余所有主机的请求都应该拒绝;
在 cskadmin 用户环境(InsideCli)下可以使用秘钥免密码登录,并且拥有超级
管理员权限。
3. DHCP
为 InsideCli 客户端网络分配地址,地址池范围:
192.168.0.110-192.168.0.190/24;
域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
- 8 -
网关:按照实际需求配置网关地址选项;
为 InsideCli 分配固定地址为 192.168.0.190/24。
4. DNS(BIND)
为 域提供域名解析。
为 www.、download. 和 mail.
提供解析;
添加邮件 MX 记录;
启用内外网解析功能,当内网客户端请求解析的时候,解析到对应的内部服务
器地址,当外部客户端请求解析的时候,请把解析结果解析到提供服务的公有
地址;
请将 IspSrv 作为上游 DNS 服务器,所有未知查询都由该服务器处理。
5. APACHE2
安装 apache2 服务;
服务以 webuser 系统用户运行;
限制单个 IP 地址最大连接数为 50;
全站点启用 TLS 访问,网站证书信息如下:
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问 https 时应无浏览器(含终端)安全警告信息;
当用户使用 http 访问时自动跳转到 https 安全连接。
搭建 www. 站点;
使用/var/www/csk/wwwroot 作为网站根目录;
安装 MriaDB 和 PHP,发布 WordPress 网站;
创建网站 download. 站点;
使用/var/www/csk/download 作为网站根目录;
- 9 -
仅允许 ldsgp 用户组访问;
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”,
其中 test.mp4 文件的大小为 100M,页面访问成功后能够列出目录所有文
件。
作安全加固,在任何页面不会出现系统和 WEB 服务器版本信息。
6. Cacti
安装 cacti;
在 storagesrv 上配置 snmp,用于监控服务器接口流量情况;
7. MAIL(POSTFIX-SMTPS & DOVECOT-IMAPS)
安装配置 postfix 和 dovecot,启用 imaps 和 smtps;
创建 unix 用户 mail1~mail100,用户邮件均存储到用户家目录下的 Maildir
中;
禁止使用不安全的 smtp 和 imap 发送和接收邮件。
8. CA(证书颁发机构)
CA 根证书路径/csk-rootca/csk-ca.pem;
签发数字证书,颁发者信息:(仅包含如下信息)
C = CN
ST = China
O = skills
OU = Operations Departments
CN = CSK Global Root CA
服务器 StorageSrv 上的工作任务
1. IPTABLES
修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全
的前提下,最小限度放行流量通信;
放行 ICMP 流量。
2. DISK(RAID & LVM)
- 10 -
添加四张虚拟磁盘,大小均为 10G 的虚拟磁盘,配置 raid-5 磁盘,其中一张
磁盘为热备磁盘;
创建 LVM 磁盘,路径为/dev/iscsivg/iscsistore。
3. Crypt-disk
创建一块新的磁盘,启用磁盘加密,解锁密码为“CSK2021!”;
映射到/dev/mapper/crypt 分区,并挂载到/mut/crypt 目录。
4. PURE-FTPD
安装 pure-ftpd(使用其他 ftp 软件,以下功能均不得分);
仅允许使用 FTPES 协议访问,安全证书来自“CSK Global Root CA”颁发机构;
用户 ftpuser,登录 ftp 服务器,根目录为/mut/crypt/ftproot;
登录后限制在自己的根目录;
允许 ftpuser 上传和下载文件,但是不允许用户修改文件名称;
ftpuser 用户仅允许登录一个会话窗口;
上传的文件所有者均设置为 ftpadmin。
5. LDAP
安装 slapd;
创建 目录服务,并创建用户组 ldsgp ,用户 zsuser、lsusr、
wuusr。
6. SAMBA
创建 samba 共享目录为/var/skills,共享名为 csk-share;
仅允许 ldsgp 组用户访问共享(使用 ldap 进行身份验证);
用户登录后,能够上传和下载文件。
客户端 OutsideCli 和 InsideCli 工作任务
1. OutsideCli
作为 DNS 服务器域名解析测试的客户端,安装 nslookup、dig 命令行工具;
作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工具;
作为 SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
- 11 -
作为 SAMBA 测试的客户端,使用图形界面文件浏览器测试, 并安装 smbclient
工具;
作为 FTP 测试的客户端,安装 lftp 命令行工具;
作为防火墙规则效果测试客户端,安装 ping 和 nmap 命令行工具;
截图的时候请使用上述提到的工具进行功能测试。
2. InsideCli
作为 DNS 服务器域名解析测试的客户端,安装 nslookup、dig 命令行工具;
作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工具;
作为 SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
作为 SAMBA 测试的客户端,使用图形界面文件浏览器测试, 并安装 smbclient
工具;
作为 FTP 测试的客户端,安装 lftp 命令行工具;
作为防火墙规则效果测试客户端,安装 ping 和 nmap 命令行工具;
截图的时候请使用上述提到的工具进行功能测试。
- 12 -2021 年全国职业院校技能大赛
网络系统管理(B-1)
模块 B:Windows 环境
全国职业院校技能大赛执委会.技术专家组
2021 年 06 月
目录
一、 竞赛简介...................................................................................................................... - 3 -
二、 竞赛注意事项.............................................................................................................. - 3 -
三、 竞赛结果文件的提交.................................................................................................. - 3 -
四、 初始化环境.................................................................................................................. - 3 -
1.默认账号及默认密码................................................................................................ - 3 -
2.操作系统配置............................................................................................................ - 4 -
五、 项目任务描述.............................................................................................................. - 4 -
1.拓扑图........................................................................................................................ - 4 -
2.网络地址规划............................................................................................................ - 4 -
六、 项目任务清单.............................................................................................................. - 5 -
服务器 IspSrv 上的工作任务...................................................................................... - 5 -
1. DNS.................................................................................................................... - 5 -
2. Dhcp.................................................................................................................. - 5 -
3. 互联网访问检测服务器.................................................................................. - 5 -
服务器 RouterSrv1 上的工作任务.............................................................................. - 6 -
1. 路由功能.......................................................................................................... - 6 -
2. 动态地址分配中继服务.................................................................................. - 6 -
3. 虚拟专用网络.................................................................................................. - 6 -
4. RDS.................................................................................................................... - 6 -
- 1 -
服务器 AppSrv 上的工作任务...................................................................................... - 6 -
服务器 DC1&DC2 上的工作任务.................................................................................... - 8 -
1. 活动目录域服务.............................................................................................. - 8 -
2. NPS(网络策略服务).................................................................................... - 9 -
3. DNS(域名解析服务).................................................................................... - 9 -
4. 证书颁发机构.................................................................................................. - 9 -
5. 文件共享.......................................................................................................... - 9 -
客户端 InsideCli 和 OutsideCli 上的工作任务.................................................... - 10 -
1. InsideCli...................................................................................................... - 10 -
2. OutsideCli.................................................................................................... - 10 -
- 2 -
一、 竞赛简介
1. 请认真阅读以下指引!
2. 比赛共 4个小时,你必须自行决定如何分配你的时间。
3. 当比赛结束时,离开时请不要关机您的虚拟机。
4. 如果没有明确要求,请使用“Chinaskill21”作为默认密码。
二、 竞赛注意事项
1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任
何软件、移动存储、辅助工具、移动通信等进入赛场。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单
是否齐全,计算机设备是否能正常使用。
3. 操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,
不要拆动硬件连接。
4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所
有物品(包括试卷和草纸)带离赛场。
5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须
按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等
信息。
三、 竞赛结果文件的提交
按照题目要求,提交符合模板的 WORD 文件以及对应的 PDF 文件(利用 Offi
ce Word 另存为 pdf 文件方式生成 pdf 文件),所有截图建议除了配置文件截图
外,还需要截功能测试的图,能在终端上测试的就一定要在终端上测试并截图,
否则功能测试部分不得分。
四、 初始化环境
1.默认账号及默认密码
Username: Administrator
Password: ChinaSkill21
Username: demo
Password: ChinaSkill21
- 3 -
注:若非特别指定,所有账号的密码均为 ChinaSkill21
2.操作系统配置
Region: China
Locale: English US (UTF-8)
Key Map: English US
注意:当任务是配置 TLS,请把根证书或者自签名证书添加到受信任区。
五、 项目任务描述
你作为一个微软高级认证的技术工程师,被指派去构建一个公司的内部网络,
要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的
任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于 Win
dows 操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装
与测试,网络拓扑图和基本配置信息如下:
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表:
DC1 192.168.100.100/24 127.0.0.1 192.168.100.254
DC2 192.168.100.200/24 127.0.0.1 192.168.100.254
- 4 -
192.168.100.100
AppSrv 192.168.200.100/24 192.168.200.254
192.168.100.200
192.168.100.254/24
192.168.0.254/24 192.168.100.100
RouterSrv1 100.100.100.254
192.168.200.254/24 192.168.100.200
100.100.100.251/24
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
192.168.100.100
InsideCli 192.168.0.0/24(dhcp) 192.168.0.254
192.168.100.200
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
六、 项目任务清单
服务器 IspSrv 上的工作任务
1. DNS
安装 DNS 服务;
按照题目要求创建正区域和反向区域,并创建必要的 DNS 解析;
创建 test1.com~,并在所有正向区域中创建一条 A记录,解
析到本机地址。
2. Dhcp
安装 dhcp 服务;
创建一个名为 internet_pool 的地址池;
范围为 100.100.100.10-100.100.100.50;
目前仅允许 Outsidecli 获取地址(通过物理地址进行筛选);
Outsidecli 获取的地址为 100.100.100.49,dns 地址设为为 ispsrv,根
据题目要求设置网关地址;
dhcp 配置完毕后,需要将 dhcp 的配置备份到 c:\dhcpbck 目录。
3. 互联网访问检测服务器
为了模拟 Internet 访问测试,请搭建网卡互联网检测服务。
- 5 -
服务器 RouterSrv1 上的工作任务
1. 路由功能
安装 Remote Access 服务开启路由转发,为当前实验环境提供路由功能;
启用网络地址转换功能,实现内部客户端访问互联网资源。
2. 动态地址分配中继服务
配置 dhcp relay 服务;
DHCP 服务器位于 AppSrv 服务器上。
3. 虚拟专用网络
配置 SSTP/VPN,证书由 CSK2021-ROOTCA 进行签署颁发;
vpn 连接地址为 sstp.;
使用后端 NPS 进行身份验证,仅允许 manager 组内用户通过身份证验证;
对于 vpn 客户端,请使用范围 192.168.1.200-192.168.1.220/24。
4. RDS
在 RouterSrv 和 AppSrv 上搭建 RDS 服务;
RDWeb 服务器设定为 RouterSrv;
资源服务器设定为 AppSrv;
用户登录成功后可以通过 RDS 运行以下应用:Notepad、Wordpad;
内部用户通过“https://app./rdweb/”进行访问,页面无
证书警告;
在InsideCli客户端登录的用户可以直接在开始菜单中找到RemoteApp程
序。
服务器 AppSrv 上的工作任务
1. 万维网服务
IIS(WEB):
启用 HTTPS 站点,配置 https://www. 站点;
网站内容设置为“www. test page!”;
- 6 -
将web根目录的设置为d:\wwwroot目录,并且目录下创建一个新页面,
文件名为“wwwplus+.html”,页面内容为“Plus+ Test Page!!!”。
w
设置网站的最大连接数为 1000,网站连接超时为 60s;
使用 W3C 记录日志;每周创建一个新的日志文件;
日志内容只需要记录:日期、时间、客户端 IP 地址、用户名、服务器
IP 地址、服务器端口号;
日志文件存储到“d:\wwwlog”目录中。
IIS(FTP):
仅允许 IT 用户组登录,每次仅允许一个会话访问;
FTP 根目录设置为 d:\ftproot,启用 chroot 功能;
登录前显示 Banner 消息:“Hello, unauthorized login is prohib
ited!”。
2. 动态地址分配服务
安装和配置 dhcp 服务,为办公区域网络提供地址上网;
创建地址池名为 inside_pool,地址池范围:192.168.0.100-192.168.0.
200;
根据题目要求正确配置网关和 dns 信息。
3. Local File Share
在 D:\LocalShare 中创建所有部门的共享文件夹(SALES、IT、MANAGER);
配置 NTFS 和共享权限,共享文件夹仅允许部门用户和域管理员访问;
配置为隐藏共享。
4. DFS
安装和配置 DFS 服务;
创建命名空间 CSKSHARE,目录设置在 D:\DFSsharedir;
启用权限枚举,部门之间无法查看和打开其他部门的共享文件夹,仅 MAN
AGER 用户组可以访问全部共享文件;
共享路径为\\\cskshare\it;
- 7 -
共享路径为\\\cskshare\sales;
共享路径为\\\cskshare\manager。
5. 磁盘管理
添加相应的磁盘,创建一个 500TB 的虚拟磁盘;
格式化相应的空间用作 iSCSI 存储盘,卷标 D,命名为 iSCSI。
6. iSCSI
磁盘存储在 D:\ISCSIDATA 中;
iSCSI 磁盘提供给 DC1 使用,磁盘容量 500 G,启用 chap 验证;
DC1 上连接成功后,把磁盘格式化为 NTFS 格式并挂载到卷标 D盘。
7. Web Print
添加一台虚拟打印机,名称为“CSK-Print”,发布到 AD 域;
客户端们都能够通过访问“https://print./”查看打印
机。
服务器 DC1&DC2 上的工作任务
1. 活动目录域服务
在 DC1 和 DC2 服务器上安装活动目录域服务;
DC1 作为主域控,DC2 作为备份域控;
活动目录域名为:;
域用户能够使用[username]@ 进行登录;
sa01-sa20,请将该用户添加到 SALES 用户组;
it01-it20,请将该用户添加到 IT 用户组;
ma01-ma20,请将该用户添加到 MANAGER 用户组。
配置活动目录安全策略:
除 manager 组和 IT 组,所有用户限制访问 C盘;
除 manager 组和 IT 组,所有用户禁止运行 run.exe;
除 manager 组和 IT 组,移除关机和重启按钮;
除 manager 组和 IT 组,移除桌面垃圾桶按钮;
- 8 -
除 manager 组和 IT 组,禁止使用 cmd 和 bat 脚本;
启用安全登录功能,用户注销后不在登录界面显示登录记录;
所有用户的 IE 浏览器首页设置为“https://www.”;
在测试结束前,创建域备份,并将备份活动目录到 C:\DC-BACKUP;
设置 PDC 主机为 DC2。
2. NPS(网络策略服务)
在 DC1 上安装网络策略服务作为 VPN 用户登录验证;
仅允许为 SSTP/VPN 授权 VPN 连接访问验证;
认证、授权日志将存储到 DC1 上的“C:\NPS\”目录下,并且当日志文件
大于 10M 时自动切割。
3. DNS(域名解析服务)
配置 正向区域启用非对称校验;
将所有未知的域名解析交给 IspSrv 进行解析。
4. 证书颁发机构
在 DC1 服务器上安装证书颁发机构;
定义名称:CSK2021-ROOTCA;
证书颁发机构有效期 10 年,颁发的 web 站点证书有效期 3年。
5. 文件共享
在 DC1 上创建用户主目录:
共享路径为\\\cskshare\users\%username%;
本地目录为 D:\share\users\,配置为隐藏共享;
在本目录下为所有用户添加一个以用户名命名的文件夹,该文件夹将
设置为所有域用户的 home 目录,用户登录计算机成功后,自动映射
挂载到 H卷,且大小限制在 500MB;
禁止用户在该共享文件中存储“*.exe, *.bat, *.cmd”文件。
在 DC1 上创建用户配置文件夹:
共享路径为\\\cskshare\profiles\%username%;
本地目录为 D:\share\profiles\,配置为隐藏共享。
- 9 -
客户端 InsideCli 和 OutsideCli 上的工作任务
1. InsideCli
该主机加入到 域;
客户端通过 dhcp 获取网络地址;
配置为 GPO、RDS、WEB、FILESHARE 等测试客户端。
2. OutsideCli
该主机暂时先不允许加入 域;
在 DC1 上创建离线加入文件,存储到 C:\OutsideCli.join;
添加一个名为 Connect-CSK 的 VPN 拨号器,用于连接到
域网络,不记录用户名称密码信息。
- 10 -网络系统管理(A-1)- 评分标准
模块 A: Linux 环境(300 分)
要求: 使用下面指令查看其运行状态,并使用截图软件进行截图,将输入结果的截图插入到文档中。
注:
在测试报告中,如果整个大题没有截图则整个大题不得分,未使用抓图工具截图的或截图不完整不清晰,则不给分;
答题卡中部分功能点没有详细的操作指令,请根据描述要求和题目要求把相应的功能要点包含在截图中。
基础配置(25 分)
分 评
评分要点
值 分
1、截图文档整洁规范,根据题目要求进行截图【10 分】。 10
截图清晰,文档整洁,即可拿满分!
2、操作系统配置: (1)时区(执行指令: timedatectl | grep 'Time zone' )【5 分】;(2)本地登录提示信息(在任意设备上进行本
15
地登录。)【5分】;(3)远程登录提示信息(在 routersrv 本地上执行指令: ssh user01@localhost -p 2021)【5 分】。
(1)时区:(评分要点:要求时区设置 Asia/Shanghai,在任何主机上截图都可以。)
第 1 页 共 46 页
(2)本地登录提示信息:(评分要点:在不同的机器上截图,登录提示信息中会显示对应的主机。截图中的“zhangsan”已经删除,不作为
评判标准,提示信息存在版本信息,存在日期和时间信息。特别注意,该信息是在登录成功过后弹出!)
(3)远程登录提示信息:(评分要点:在不同的机器上截图,登录提示信息中会显示对应的主机。截图中的“zhangsan”已经删除,不作为
评判标准,提示信息存在版本信息,存在日期和时间信息。特别注意,该信息是在 SSH 登录成功过后弹出!)
第 2 页 共 46 页
网络地址规划(30 分)
分 评
评分要点
值 分
1、ISPSRV: (1)全限定域名(执行指令: hostname -f )【2 分】;(2)网络地址/掩码/网关(执行指令: ip addr show | grep inet
5
&& ip route )【各 1 分,共 3 分。】。
(1)全限定域名:(评分要点:主机名等信息,大小写严格要求。)
第 3 页 共 46 页
(2)网络地址/掩码/网关:(评分要点:检查是否存在 81.6.63.100/24 的地址信息,不存在默认路由。)
2、APPSRV: (1)全限定域名(执行指令: hostname -f )【2分】;(2)网络地址/掩码/网关(执行指令: ip addr show | grep inet &&
5
ip route )【各 1 分,共 3 分。】。
(1)全限定域名:(评分要点:主机名等信息,大小写严格要求。)
(2)网络地址/掩码/网关:(评分要点:检查是否存在 192.168.100.100/24 的地址信息,存在默认路由,网关为 192.168.100.254。)
第 4 页 共 46 页
3、STORAGESRV: (1)全限定域名(执行指令: hostname -f )【2分】;(2)网络地址/掩码/网关(执行指令: ip addr show | grep inet
5
&& ip route )【各 1 分,共 3 分。】。
(1)全限定域名:(评分要点:主机名等信息,大小写严格要求。)
(2)网络地址/掩码/网关:(评分要点:检查是否存在 192.168.100.200/24 的地址信息,存在默认路由,网关为 192.168.100.254。)
4、ROUTERSRV: (1)全限定域名(执行指令: hostname -f )【2 分】;(2)网络地址/掩码/网关(执行指令: ip addr show | grep inet
5
&& ip route )【各 1 分,共 3 分。】。
(1)全限定域名:(评分要点:主机名等信息,大小写严格要求。)
第 5 页 共 46 页
(2)网络地址/掩码/网关:(评分要点:检查是否存在 81.6.63.254/24, 192.168.100.254/24, 192.168.0.254/24 的地址信息,不存在默认路由。)
5、INSIDECLI: (1)全限定域名(执行指令: hostname -f )【2 分】;(2)网络地址/掩码/网关(执行指令: ip addr show | grep inet
5
&& ip route )【各 1 分,共 3 分。】。
(1)全限定域名:(评分要点:主机名等信息,大小写严格要求。)
第 6 页 共 46 页
(2)网络地址/掩码/网关:(评分要点:检查是否存在 192.168.0.190/24 的地址信息,并且地址通过动态 dynamic 获取,存在默认路由,网关为
192.168.0.254。)
6、OUTSIDECLI: (1)全限定域名(执行指令: hostname -f )【2分】;(2)网络地址/掩码/网关(执行指令: ip addr show | grep inet
5
&& ip route )【各 1 分,共 3 分。】。
(1)全限定域名:(评分要点:主机名等信息,大小写严格要求。)
(2)网络地址/掩码/网关:(评分要点:检查是否存在 81.6.63.X/24 的地址信息,并且地址通过动态 dynamic 获取,存在默认路由,但网关地址
不做要求。
第 7 页 共 46 页
ISPSRV 工作任务(36 分)
分 评
评分要点
值 分
1、IPTABLES: (1)默认规则修改为 DROP(在 ispsrv 上执行指令:iptables -nL | grep DROP )【3分】;(2)放行必要流量(在 ispsrv 上执
6
行指令:iptables -nL INPUT )【3分】。
(1)默认规则修改为 DROP:(评分要点:要求 INPUT 和 FORWARD 的规则为 DROP)
第 8 页 共 46 页
(2)放行必要流量:(评分要点:要求放行规则中至少放行 icmp、tcp80、udp53、udp67、udp123 的流量。)
2、DHCP: (1)地址池范围(查看配置文件)【2 分】;(2)DNS/网关地址(查看配置文件)【4分】。 6
(1)地址池范围:(评分要点:地址范围为 81.6.63.110-81.6.63.190)
(2)DNS/网关选项:(评分要点:dns 设置为 81.6.63.100,网关选项设置不做要求,但必须存在。)
第 9 页 共 46 页
3、DNS: (1)启用 chroot 功能(在 ispsrv 上执行指令:systemctl status bind9 )【5分】;(2)根域服务器(在 ispsrv 上执行指令:
10
named-checkconf -z)【2 分】;(3)辅助正向区域“”(查看配置文档)【3 分】。
(1)启用 chroot 功能:(评分要点:bind9 服务征程运行“active(running)”,并且在启动进程中设置“-t /var/named”指定 chroot
目录。)
第 10 页 共 46 页
(2)根域服务器:(评分要点:存在“zone ./IN loaded serial 2”)
第 11 页 共 46 页
(3)辅助正向区域“”:(评分要点:type 类型为 slave,masters 设置为 81.6.63.254)
4、NTP: (1)成功运行 ntp(运行其他 ntp 服务器,NTP 功能点全部不得分。)(等待 ntp 服务运行正常后在 ispsrv 上执行指令:ntpq -p)
【3 分】;(2)CRON 计划任务(先执行:ntpdate 81.6.63.100 进行时间同步,通过成功过后查看 crontab 中的定时同步。在 appsrv 和 storagesrv 9
上操作)。【6分】
(1)成功运行 ntp(运行其他 ntp 服务器,NTP 功能点全部不得分。):(评分要点:LOCAL 前面需要有个*号,另外 st 下的值不能大于等
于 16。)
(2)CRON 计划任务:(评分要点:时间需要同步成功;crontab 中设置的定时为“*/5 * * * *,ntp 的服务器为 81.6.63.100,其他参数不
做评判标准。”,要求在 appsrv 和 storagesrv 上操作。)
第 12 页 共 46 页
5、WEB 服务: (1)成功运行 lighttpd(运行其他 web 服务器本 web 服务器功能均不得分)(在 ispsrv 上执行指令:ss -nltp | grep 80)
5
【2 分】;(2)网站主页面显示当前服务器日期和时间(在 ispsrv 上执行指令:curl -i http://81.6.63.100 连续执行两次)【3 分】。
(1)成功运行 lighttpd(运行其他 web 服务器本 web 服务器功能均不得分):(评分要点:web 服务器通过 Lighttpd 启动)
(2)网站主页面显示当前服务器日期和时间:(评分要点:连续执行两次,截图不能分开截图,网站的时间会刷新,并且“Server:”选项
中值为“lighttpd”。)
第 13 页 共 46 页
第 14 页 共 46 页
ROUTERSRV 工作任务(50 分)
分 评
评分要点
值 分
1、DHCP RELAY: (1)成功运行 DHCP 中继(在 routersrv 上执行指令:systemctl status isc-dhcp-reay.service)【3分】。 3
(1)成功运行 DHCP 中继:(评分要点:服务器运行正常,并且设置 dhcp 服务器为 192.168.100.100。)
2、ROUTING: (1)开启路由转发(在 routersrv 上执行指令:cat /proc/sys/net/ipv4/ip_forward)【3分】。 3
(1)开启路由转发:(评分要点:查看 ip_forward 返回值为“1”。)
第 15 页 共 46 页
3、SSH: (1)监听端口(上 routersrv 执行指令:ss -nltp | grep 2021)【3 分】;(2)ssh 仅允许 user01 用户登录(查看配置文件)
【3 分】;(3)限制登录次数(在 insidecli 上连续登陆四次,用户密码输入 123,然后截图。)【5 分】;(4)ssh 日志管理(在 routersrv 14
执行指令:grep user01 /var/log/ssh.log | tail -n 10)【3 分】。
(1)监听端口:(评分要点:sshd 监听 tcp2021 端口。)
(2)ssh 仅允许 user01 用户登录:(评分要点:AllowUsers 中仅设置 user01。)
(3)限制登录次数:(评分要点:连续三次后,第四次拒绝登陆,提示 Connection timed out)
(4)ssh 日志管理:(评分要点:能够在 ssh.log 文件中过滤出相应的日志。)
第 16 页 共 46 页
4、OPENVPN: (1)openvpn 正常运行,客户端 openvpn@csk.service 成功连接 VPN(在 outsidecli 上执行指令:systemctl status
openvpn@csk.services)【5分】;(2)客户端获取地址(在 outsidecli 上执行指令:ip addr show | grep 172)【5 分】;(3)客户端
15
仅允许访问 InsideCli 客户端所在网段以及 StorageSrv 上的 SAMBA 服务(在 outside 上执行执行:traceroute 192.168.0.190,执行成功后
执行:ping 192.168.100.200,等待三秒左右再次执行:smbclient -L //192.168.100.200)【5分】。
(1)openvpn 正常运行,客户端 openvpn@csk.service 成功连接 VPN:(评分要点:服务运行正常,并且显示“Initialization Sequence
Complieted”。)
第 17 页 共 46 页
(2)客户端获取地址:(评分要点:能够查看到存在对应的 172.16.0.X/24 的地址,并且接口为 tunX。其中 X 为任意数字不做为标准评判。)
(3)客户端仅允许访问 InsideCli 客户端所在网段以及 StorageSrv 上的 SAMBA 服务:(评分要点:如果第 2 点不得分,该功能不用评分。
traceroute 的跳数必须为两跳,并且不能使用 81.6.63.254 作为其中一跳。使用 ping 测试 192.168.100.200 没有结果返回,但是 smbclient
访问 192.168.100.200 时可以返回密码输入框。)
5、IPTABLES: (1)SNAT 规则(在 routersrv 上执行指令:iptables -t nat -nvL POSTROUTING)【3 分】;(2)DNAT 规则(在 routersrv 上执
行指令:iptables -t nat -nvL PREROUTING)【5分】;(3)默认规则修改为 DROP(在 routersrv 上执行指令:iptables -nL | grep Chain)【3 15
分】;(4)放行必要流量(在 routersrv 上执行:iptables -nL)【4分】。
(1)SNAT 规则:(评分要点:存在源为 192.168.0.0/24 和 192.168.100.0/24 的 MASQUERADE 规则,其他参数不做评判标准。)
第 18 页 共 46 页
(2)DNAT 规则:(评分要点:存在目的地为 81.6.63.254 的 DNAT 规则,规则中至少需要存在 udp53,tcp53、tcp80、tcp443、tcp465、tcp993、
tcp21。)
(3)默认规则修改为 DROP:(评分要点:INPUT 和 FORWARD 链的默认规则为 DROP)
(4)放行必要流量:(评分要点:INPUT 链至少需要放行 tcp2021,udp67,udp1194 流量。FORWARD 链至少需要放行 udp53,tcp21,tcp53,tcp80,
tcp443,tcp465,tcp993 流量。)
第 19 页 共 46 页
APPSRV 工作任务(85 分)
分 评
评分要点
值 分
1、IPTABLES: (1)默认规则修改为 DROP(在 appsrv 上执行指令:iptables -nL | grep Chain)【3 分】;(2)放行必要流量(在 appsrv 上执
6
行指令:iptables -nL INPUT)【3分】。
(1)默认规则修改为 DROP:(评分要点:INPUT 和 FORWARD 链默认规则为 DROP)
第 20 页 共 46 页
(2)放行必要流量:(评分要点:INPUT 链至少需要放行 udp67,udp53,tcp19210,tcp53,tcp80,tcp443,tcp465,tcp993 流量。)
2、SSH:(1)监听端口(在 appsrv 上执行:ss -nltp | grep ssh)【2 分】;(2)仅允许 InsideCli 访问,且在 InsideCli 上免密登录(在
6
appsrv 上执行指令:ssh root@localhost -p 19210,然后再去 insidecli 上执行指令:ssh root@192.168.100.100 -p 19210)【4 分】。
(1)监听端口:(评分要点:sshd 程序监听 tcp19210 端口。)
第 21 页 共 46 页
(2)仅允许 InsideCli 访问:(评分要点:在 appsrv 上返回结果为 Connection reset by peer,在 insidecli 上访问,能够免密码登录,
并且登录成功后会显示登录 banner 信息。)
3、DHCP: (1)地址池范围(查看配置)【2 分】;(2)DNS/网关选项(查看配置)【2分】;(3)分配固定地址(在 insidecli 上执行指
6
令:ip addr show | grep inet)【2分】。
第 22 页 共 46 页
(1)地址池范围:(评分要点:范围在 192.168.0.110-192.168.0.190)
(2)DNS/网关选项:(评分要点:dns 和网关设置为:192.168.100.100/192.168.0.254)
(3)分配固定地址:(评分要点:动态获取的地址为 192.168.0.190,关键字 dynamic)
4、DNS: (1)正向区域 (在 appsrv 上执行指令:named-checkconf -z | grep china)【1 分】;(2)A记录【3分】(在 13
第 23 页 共 46 页
appsrv 上执行指令:host www. localhost && host download. localhost && host mail.
localhost);(3)MX 记录(在 appsrv 上执行指令:host -t MX localhost)【2分】;(4)内外网解析(在 outsidecli
上执行:host www. 81.6.63.254)【5分】;(5)上游 DNS 设置(在 appsrv 上执行:host test1.com localhost && host
test2.net localhost && host test3.me)【2分】。
(1)正向区域 :(评分要点:存在两个 zone 。)
(2)A 记录:(评分要点:www、download、mail 主机均解析到 192.168.100.100。)
第 24 页 共 46 页
第 25 页 共 46 页
(3)MX 记录:(评分要点: 的 MX 解析解析到 mail. 主机。)
(4)内外网解析:(评分要点:通过 81.6.63.254 能够解析到 www. 域名,且结果为 81.6.63.254。)
(5)上游 DNS 设置:(评分要点:随机解析的三个域名,均显示 Non-authoritative answer。)
第 26 页 共 46 页
5、APACHE2: (1)使用 webuser 运行服务(在 appsrv 上执行:id webuser && ps aux | grep webuser)【2分】;(2)单个地址最大连接
数(查看配置)【2 分】;(3)证书颁发(在 insidecli 上使用浏览器访问 www. 站点后,打开证书,查看证书使用者信息。)
【1 分】;(4)客户端证书警告(在 insidecli 客户端上执行:curl -I https://www.)【2 分】;(5)HTTP 重定向(在
insidecli 客户端上执行:curl -I http://www.)【2 分】;(6)WWW 站点(在 insidecli 上使用浏览器访问 www.
21
站点。)【3 分】;(7)DOWNLOAD 站点(在 insidecli 上使用浏览器访问 download. 站点。)【2 分】;(8)用户认证(在
insidecli 上执行:curl -I https://download. && curl -I https://download. -u wuusr:ChinaSkill21)
【3 分】;(9)测试文件访问(在 insidecli 上使用浏览器访问 download. 站点。)【2分】;(10)安全加固(在 insidecli
上使用浏览器访问 download. 站点。)【2 分】。
(1)使用 webuser 运行服务:(评分要点:webuser 的 uid 需要小于 1000,大于 1000 不得分。显示 apache2 的进程由 webuser 运行。)
第 27 页 共 46 页
(2)单个地址最大连接数:(评分要点:参数值设置为 50。)
(3)证书颁发:(评分要点:证书使用者信息需要严格匹配)
第 28 页 共 46 页
第 29 页 共 46 页
(4)客户端证书警告:(评分要点:curl 指令不允许使用-k 参数,访问 https 站点不提示任何的证书提示信息。)
(5)HTTP 重定向:(评分要点:访问 http 站点是,提示 HTTP/1.1 301 Moved Permanently,Location 显示已跳转至 https://www.
站点。)
(6)WWW 站点:(评分要点:成功显示 wordpress 站点页面。)
第 30 页 共 46 页
(7)DOWNLOAD 站点:(评分要点:download 站点页面列出目录文件。)
第 31 页 共 46 页
(8)用户认证:(评分要点:使用 curl 第一次访问页面提示 HTTP/1.1 401 Unauthorized 拒绝访问,再次使用 curl 指令添加用户名和密码
访问后,站点提示 HTTP/1.1 200 OK。)
第 32 页 共 46 页
(10)测试文件访问:(评分要点:download 站点文件存在 test.mp3\test.mp4\test.pdf 文件,且 test.mp4 文件大小为 100M。)
第 33 页 共 46 页
(11)安全加固:(评分要点:download 页面不存在任何的系统版本以及 web 服务器的版本信息。)
第 34 页 共 46 页
6、Cacti:(1)安装和配置 Cacti(在 Insidecli 上访问 https://www./cacti)【5 分】;(2)运行 snmpd(在 storagesrv
上执行指令:ss -nlup | grep 161)【2 分】;(3)监控 StorageSrv 接口流量(在 Insidecli 上访问 https://www./cacti, 12
然后在图标栏中打开 StorageSrv 接口流量的图标信息。)【5分】。
(1)成功安装 Cacti,并运行成功:(评分要点:能够正常访问到 cacti 界面。)
第 35 页 共 46 页
(2)运行 snmpd:(评分要点:监听 tcp161 端口,不能为 127.0.0.1)
(3)监控 StorageSrv 接口流量:(评分要点:能够在 Cacti 页面中查看到 StorageSrv(192.168.100.200)服务接口的流量信息图标。)
第 36 页 共 46 页
7、MAIL: (1)启用 IMAPS\SMTPS,禁止非安全 IMAP\SMTP(在 appsrv 上执行指令:ss -nltp | grep -E 'master|dovecot ')【5 分】;
(2)创建邮件用户(在 appsrv 上执行指令:cat /etc/passwd | grep mail | wc -l)【3 分】;(3)用户邮件目录(查看配置)【3分】; 16
(4)正常收发邮件(在 insidecli 和 outsidecli 上配置邮件客户端,并相互发送邮件。)【5 分】
第 37 页 共 46 页
(1)启用 IMAPS\SMTPS,禁止非安全 IMAP\SMTP:(评分要点:监听端口在仅允许 465 和 993,不能存在 tcp25 和 143)
(2)创建邮件用户:(评分要点:用户计数需要大于 100 即可,小于 100 不得分。)
(3)用户邮件目录:(评分要点:配置符合要求。)
(4)正常收发邮件:(评分要点:在 insidecli 和 outsidecli 上配置邮件客户端,并相互发送邮件。)
8、CA: (1)根证书路径和根证书信息(在 appsrv 上执行指令:openssl x509 -test -in /csk-rootca/csk-ca.pem -noout | grep Subject)
5
【5 分】。
(1)根证书路径和跟证书信息:(评分要点:证书路径严格匹配,证书使用者信息严格匹配。)
第 38 页 共 46 页
STORAGESRV 工作任务(64)
分 评
评分要点
值 分
1、IPTABLES: (1)默认规则修改为 DROP(在 storagesrv 上执行指令:iptables -nL | grep Chain)【3分】;(2)放行必要流量(在 storagesrv
6
上执行指令:iptables -nL INPUT)【3 分】。
(1)默认规则修改为 DROP:(评分要点:INPUT 和 FORWARD 链的默认规则为 DROP。)
(2)放行必要流量:(评分要点:INPUT 链至少需要放行 icmp 流量,tcp137、138、139、445、389 流量。)
第 39 页 共 46 页
2、DISK: (1)RAID5(在 storagesrv 上执行指令:mdadm -D /dev/md0)【3 分】;(2)LVM(在 storagesrv 上执行指令:lvdisplay)【3
6
分】。
(1)RAID5:(评分要点:Raid Level 为 raid5;active devices 为 3;spare devices 为 1,其他参数不作为评判标准。)
(2)LVM:(评分要点:LV Path 为/dev/iscsivg/iscsistore)
第 40 页 共 46 页
3、Crypto-DISK: (1)加密磁盘(在storagesrv上启用加密磁盘,启用成功后使用ls指令查看被mapper后的磁盘。)【3分】;(2)挂载与
8
使用(在storagesrv上执行指令:df -h | grep crypt)【5分】。
(1)加密磁盘:(评分要点:存在/dev/mapper/crypt 设备。)
(2)挂载与使用:(评分要点:/dev/mapper/crypt 挂载到/mut/crypt 目录。)
4、PURE-FTPD:(1)成功运行 pure-ftpd(运行其他 ftp 服务器本考点均不得分)(在 storagesrv 上执行指令:ss -nltp | grep pure-ftpd)
【3 分】;(2)启用 FTPES(在 storagesrv 上使用 openssl 指令列出 ftpes 的证书信息)【5 分】;(3)用户登录囚禁在用户主目录(在
storagesrv 上使用 lftp 工具查看 ftp 目录是是否为囚禁目录。)【3 分】;(4)允许上传文件但不允许修改文件名(在 storagesrv 上使用 22
lftp 工具上传文件,并尝试修改文件。)【3 分】;(5)上传后自动修改文件所有者(在 storagesrv 上使用 lftp 工具查看刚刚上传的文件
是否更改为 ftpadmin 所有。)【3 分】;(6)相同用户仅允许登录一个会话(在 storagesrv 上的其他 tty 上使用 lftp 工具再次访问 ftp
第 41 页 共 46 页
服务。)【5 分】。
(1)成功运行 pure-ftpd(运行其他 ftp 服务器本考点均不得分):(评分要点:pure-ftpd 服务监听 tcp21 号端口。)
(2)启用 FTPES:(评分要点:此处输入的证书信息需要严格匹配。)
(3)用户登录囚禁在用户主目录:(评分要点:列出当前目录为“/”。)
(4)允许用户上传文件,但是不允许用户修改已上传文件的文件名:(评分要点:上传文件成功,但修改文件名失败。)
(5)上传后自动修改文件所有者:(评分要点:使用 ftpuser 用户登录后上传的文件均修改为 ftpadmin 所有。)
第 42 页 共 46 页
(6)相同用户仅允许登录一个会话:(评分要点:使用多个终端重复访问时会提示 421 拒绝,拒绝的理由是 1 connections as the same user)
5、LDAP:(1)创建 目录服务(在 storagesrv 上执行指令:ldapsearch -x -LLL | grep 'dn: dc ')【6 分】;(2)导入
12
ldsgp 组和用户(在 storagesrv 上执行指令:ldapsearch -x -LLL | grep 'dn: uid')【6 分】。
(1)创建 目录服务:(评分要点:存在 dn: dc=chinaskills,dc=cn)
(2)导入 ldsgp 组和用户:(评分要点:存在用户 zsuser, lsusr, wuusr)
第 43 页 共 46 页
6、SAMBA: (1)创建 csk-share 文件共享(在 storagesrv 上执行指令:testpartm)【3 分】;(2)仅允许 ldap 用户组登录(在 insidecli
10
上使用 smbclient 访问 csk-share 共享,认证用户使用 ldap 用户 wuusr 进行认证,登录成功后,上传文件。)【7 分】。
(1)创建 csk-share 文件共享:(评分要点:存在 csk-share 共享文件。)
(2)上传文件:(评分要点:使用 wuusr 成功登录后能够正常上传文件。)
第 44 页 共 46 页
OUTSIDECLI & INSIDECLI 工作任务 (10 分)
分 评
评分要点
值 分
1、基本配置: (1)安装测试工具(在 outsidecli 和 insidecli 上执行指令:whereis nslookup dig firefox curl ssh smbclient lftp ping)
10
【10 分】。
(1)安装测试工具:(评分要点:所有指令均存在对应的路径信息。)
第 45 页 共 46 页
第 46 页 共 46 页模块 C:网络构建答题卡(C-2)
VSU 设备收集信息(40 分)
VSU#show switch virtual 6 分
VSU#show switch virtual 标黄处每处 1分。
Switch_id Domain_id Priority Position Status Role Description
----------------------------------------------------------------------------------------------------------------
1(1) 1(1) 150(150) LOCAL OK ACTIVES1
2(2) 1(1) 120(120) REMOTE OK STANDBYS2
VSU#show switch virtual dual-active bfd 4 分
VSU#show switch virtual dual-active bfd Yes 得 2 分
BFD dual-active detection enabled: Yes 端口正确,全 up 得 2
BFD dual-active interface configured: 分
GigabitEthernet 1/0/48: UP
GigabitEthernet 2/0/48: UP
VSU#show ip ospf neighbor 5 分
VSU#show ip ospf neighbor 每行标黄处完全匹配
OSPF process 10, 2 Neighbors, 2 is Full: 得 2.5 分
Neighbor ID Pri State BFD State Dead Time Address Interface
10.1.0.10 1 Full/ - - 00:00:35 10.1.0.10 VLAN 200
172.16.100.2 1 Full/ - - 00:00:32 172.16.100.2 VLAN 100
1
VSU#show aggregatePort summary 6 分
VSU#show aggregatePort summary 每行标黄处完全匹配
AggregatePort MaxPorts SwitchPort Mode Load balance Ports 得 2 分
------------- -------- ---------- ------ ---------------------------- -----------------------------------
Ag1 8 Enabled TRUNK src-dst-mac Gi1/0/1 ,Gi2/0/1
Ag2 8 Enabled TRUNK src-dst-mac Gi1/0/2 ,Gi2/0/2
Ag3 8 Enabled TRUNK src-dst-mac Gi1/0/4 ,Gi2/0/3
VSU#show interface status | include up 30(注意 up 与 30 有空格,可直接复制粘帖到设备中收集信息) 10 分
VSU#show interface status | include up 30 每行标黄处完全匹配
Interface Status Vlan Duplex Speed Type 得 5 分
---------------------------------------- -------- ---- ------- --------- ------
GigabitEthernet 1/0/3 up 30 Full 1000M copper
GigabitEthernet 2/0/4 up 30 Full 1000M copper
VSU#show ip interface brief 4 分
VSU#show ip interface brief 每行标黄处完全匹配
Interface IP-Address(Pri) IP-Address(Sec) Status Protocol 得 1 分
Loopback 0 10.0.0.12/32 no address up up
VLAN 10 172.16.10.254/24 no address up up
VLAN 100 172.16.100.254/24 no address up up
VLAN 200 10.1.0.9/30 no address up up
......
VSU#show ip route | include 172.17.20.0 5 分
2
VSU#show ip route | include 172.17.20.0 标黄处完全匹配得5分
Running this command may take some time, please wait or press "Ctrl+C" to break.
O IA172.17.20.0/24 [110/4] via 10.1.0.10, 09:26:00, VLAN 200
S3设备收集信息(30 分)
S3#show vrrp brief 10 分
S3#show vrrp brief 每行标黄处完全匹配
Interface Grp Pri timer Own Pre State Master addr Group addr 得 2 分
VLAN 10 10 120 3.53 - P Backup 172.17.10.253 172.17.10.254
VLAN 20 20 120 3.53 - P Backup 172.17.20.253 172.17.20.254
VLAN 30 30 120 3.53 - P Backup 172.17.30.253 172.17.30.254
VLAN 40 40 120 3.53 - P Backup 172.17.40.253 172.17.40.254
VLAN 100 100 120 3.53 - P Backup 172.17.100.253 172.17.100.254
S3#show ipv6 vrrp brief 20 分
S3#show ipv6 vrrp brief 每行标黄处完全匹配
Interface Grp Pri timer Own Pre State Master addr Group addr 得 5 分
VLAN 10 10 120 3.53 - P Backup FE80::320D:9EFF:FE50:C03C FE80::4
VLAN 20 20 120 3.53 - P Backup FE80::320D:9EFF:FE50:C03C FE80::4
VLAN 30 30 120 3.53 - P Backup FE80::320D:9EFF:FE50:C03C FE80::4
VLAN 40 40 120 3.53 - P Backup FE80::320D:9EFF:FE50:C03C FE80::4
3
S4设备收集信息(20 分)
S4#show ip ospf neighbor 4 分
S4#show ip ospf neighbor 标黄处完全匹配得 4
OSPF process 30, 1 Neighbors, 1 is Full: 分
Neighbor ID Pri State Dead Time Address Interface
10.0.0.1 1 Full/ - 00:00:33 10.1.0.6 GigabitEthernet 0/24
S4#show ip ospf interface vlan 10 | include Hellos 5 分
S4#show ip ospf interface vlan 10 | include Hellos 标黄处完全匹配得 5
No Hellos (Passive interface) 分
S4#show interface switchport | include TRUNK 6
S4#show interface switchport | include TRUNK 每行标黄处完全匹配
GigabitEthernet 0/1 enabled TRUNK 1 1 Disabled 10,20,30,40,100 得 3 分
AggregatePort 1 enabled TRUNK 1 1 Disabled 10,20,30,40,100
S4#show ip route | include 172.18.20.0 5 分
S4#show ip route | include 172.18.20.0 标黄处完全匹配得 5
Running this command may take some time, please wait or press "Ctrl+C" to break. 分
O IA172.18.20.0/24 [110/5] via 10.1.0.6, 09:52:03, GigabitEthernet 0/24
4
S5设备收集信息(15 分)
S5#show interface gigabitEthernet 0/1 | be Bridge attributes 9 分
S5#show interface gigabitEthernet 0/1 | be Bridge attributes 标黄处每处 3 分。
Bridge attributes:
Port-type: trunk
Native vlan: 10
Allowed vlan lists: 10,20
Active vlan lists: 10,20
......
S5#show ip ospf neighbor 6 分
S5#show ip ospf neighbor 标黄处完全匹配得 6
OSPF process 40, 1 Neighbors, 1 is Full: 分
Neighbor ID Pri State Dead Time Address Interface
10.0.0.2 1 Full/ - 00:00:37 10.1.0.14 GigabitEthernet 0/24
5
S6设备收集信息(40 分)
S6#show run interface gigabitEthernet 0/13 12 分
S6#show run interface gigabitEthernet 0/13 每行标黄处完全匹配
Building configuration... 得 2 分
Current configuration: 214 bytes
interface GigabitEthernet 0/13
errdisable recovery interval 300
switchport protected
switchport access vlan 40
spanning-tree bpduguard enable
spanning-tree portfast
rldp port loop-detect shutdown-port
S6#show spanning-tree mst configuration 8 分
S6#show spanning-tree mst configuration 每行标黄处完全匹配
Multi spanning tree protocol : Enable 得 4 分
Name : ruijie
Revision : 1
Instance Vlans Mapped
-------- --------------------------------------------
0 : ALL
-----------------------------------------------------
6
S6#show spanning-tree summary | include Gi0/23 10 分
S6#show spanning-tree summary | include Gi0/23 标黄处完全匹配得 10
Gi0/23 Altn BLK 20000 128 False P2p 分
S6#show ip dhcp snooping binding (PC 连接交换机 13 端口自动获取地址后收集信息) 6分
S6#show ip dhcp snooping binding 每行标黄处完全匹配
Total number of bindings: 1 6 分
NO. MACADDRESS IPADDRESS LEASE(SEC) TYPE VLAN INTERFACE
----- ------------------ --------------- ------------ ------------- ----- --------------------
1 f875.a43a.32ae 172.17.40.1 86384 DHCP-Snooping 40 GigabitEthernet 0/13
ping 2001:193:20::254(PC 连接交换机 13 端口自动获取地址后收集信息) 4分
正在 Ping 2001:193:20::254 具有 32 字节的数据: 可 Ping 通得 4分
来自 2001:193:20::254 的回复: 时间=2ms
来自 2001:193:20::254 的回复: 时间=2ms
来自 2001:193:20::254 的回复: 时间=2ms
来自 2001:193:20::254 的回复: 时间=2ms
2001:193:20::254 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 2ms,最长 = 2ms,平均 = 2ms
7
S7设备收集信息(15 分)
S7#show interface gigabitEthernet 0/1 switchport 5 分
S7#show interface gigabitEthernet 0/1 switchport 标黄处完全匹配得 5
Interface Switchport Mode Access Native Protected VLAN lists 分
-------------------------------- ---------- --------- ------ ------ --------- ----------------------
GigabitEthernet 0/1 enabled TRUNK 1 10 Disabled 10,20
S7#show run | include snmp 5 分
S7#show run | include snmp 每行完全匹配得 1 分
snmp-server host 172.16.0.254 traps version 2c Test
snmp-server host 172.16.0.254 traps version 2c public
snmp-server enable traps
snmp-server community Test rw
snmp-server community public ro
S7#show run | include password 5 分
S7#sh run | include password 密码为加密方式得 5
username admin password 7 1014162a0c1c 分
service password-encryption
enable password 7 073f07221c1c
password 7 073f07221c1c
8
R1设备收集信息(50 分)
R1#show mpls ldp neighbor all | include Peer LDP Ident 10 分
R1#show mpls ldp neighbor all | include Peer LDP Ident 每行标黄处完全匹配
Peer LDP Ident: 11.1.0.3:0; Local LDP Ident: 11.1.0.1:0 得 5 分
Peer LDP Ident: 11.1.0.2:0; Local LDP Ident: 11.1.0.1:0
R1#show bgp vpnv4 unicast all summary 10 分
R1#show bgp vpnv4 unicast all summary 每行标黄处完全匹配
BGP router identifier 11.1.0.1, local AS number 100 得 5 分
BGP VRF (Global VRF) Route Distinguisher: (none)
BGP table version is 4
1 BGP AS-PATH entries
0 BGP Community entries
17 BGP Prefix entries (Maximum-prefix:4294967295)
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
11.1.0.2 4 100 202 208 4 0 0 02:53:33 11
11.1.0.3 4 100 202 209 4 0 0 02:53:35 6
Total number of neighbors 2
R1#show ip vrf detail 10 分
R1#show ip vrf detail 每处标黄处完全匹配
VRF VPNA (VRF ID = 1); default RD 100:1 得 2.5 分
Interfaces:
9
VLAN 200
VRF Table ID = 1
Export VPN route-target communities
RT: 1:1
Import VPN route-target communities
RT: 1:1
R1#show ip route vrf VPNA ospf | include 172.16.100.0/24 5 分
R1#show ip route vrf VPNA ospf | include 172.16.100.0/24 标黄处完全匹配得 5
O 172.16.100.0/24 [110/2] via 10.1.0.9, 04:43:23, VLAN 200 分
R1#show ip route vrf VPNA bgp | include 172.17.20.0/24 5 分
R1#show ip route vrf VPNA bgp | include 172.17.20.0/24 标黄处完全匹配得 5
B 172.17.20.0/24 [200/3] via 11.1.0.2, 04:42:29 分
R1#show ip route vrf VPNA bgp | include 172.18.20.0/24 5 分
R1#show ip route vrf VPNA bgp | include 172.18.20.0/24 标黄处完全匹配得 5
B 172.18.20.0/24 [200/3] via 11.1.0.3, 04:42:38 分
R1#show mpls forwarding-table | include PP 5 分
R1#show mpls forwarding-table | include PP 每行标黄处完全匹配
PP--POP label 得 2.5 分
1536 imp-null PP 11.1.0.2/32 Gi0/0 12.1.1.2
1537 imp-null PP 11.1.0.3/32 Gi0/1 13.1.1.2
10
R2设备收集信息(20 分)
R2#show mpls forwarding-table detail | begin 172.18.20.0/24 5 分
R2#show mpls forwarding-table detail | begin 172.18.20.0/24 标黄处为双标签得 5
-- 1024 PH 172.18.20.0/24(V) Gi0/1 12.1.1.1 分(数值不限制)
Added by Route(vrf VPNA), Tag Stack: { 1024 1537 }
......
R2#show ip ospf neighbor 15 分
R2#show ip ospf neighbor 标黄处完全匹配
OSPF process 20, 1 Neighbors, 1 is Full:---5 分
Neighbor ID Pri State BFD State Dead Time Address Interface
11.1.0.1 1 Full/ - - 00:00:37 12.1.1.1 GigabitEthernet 0/1-----2 分
OSPF process 30, 1 Neighbors, 1 is Full:-----5 分
Neighbor ID Pri State BFD State Dead Time Address Interface
10.0.0.1 1 Full/ - - 00:00:34 10.1.0.17 GigabitEthernet 0/0----3 分
11
R3设备收集信息(20 分)
R3#show mpls forwarding-table | include PI 5 分
R3#show mpls forwarding-table | include PI 标黄处完全匹配得 5
PI--POP label and do ip lookup forward 分
1024 -- PI VRF(VPNA) -- 0.0.0.0
R3#show ip ref route vrf VPNA 172.18.20.0 255.255.255.0 5 分
R3#show ip ref route vrf VPNA 172.18.20.0 255.255.255.0 标黄处完全匹配得 5
Codes: * - default route 分
# - zero route
R - recursive route
ip mask weight path-id next-hop(R) interface
172.18.20.0 255.255.255.0 1 11 10.1.0.21 GigabitEthernet 0/0
R3#traceroute mpls ipv4 11.1.0.2/32 10 分
R3#traceroute mpls ipv4 11.1.0.2/32 标黄处完全匹配得10
Tracing MPLS Label Switched Path to 11.1.0.2/32, timeout is 2 seconds 分
Codes: '!' - success, 'Q' - request not sent, '.' - timeout,
'L' - labeled output interface, 'B' - unlabeled output interface,
'D' - DS Map mismatch, 'F' - no FEC mapping, 'f' - FEC mismatch,
'M' - malformed request, 'm' - unsupported tlvs, 'N' - no label entry,
'P' - no rx intf label prot, 'p' - premature termination of LSP,
'R' - transit router, 'I' - unknown upstream index,
12
'X' - unknown return code, 'x' - return code 0
Press Ctrl+C to break.
0 13.1.1.2 MRU 1530 [Labels: 1536 Exp: 0]
L 1 13.1.1.1 MRU 1530 [Labels: implicit-null Exp: 0] 10 ms
! 2 12.1.1.2<1 ms
13
VAC 设备收集信息(50 分)
VAC#show virtual-ac 10 分
VAC#show virtual-ac 每行标黄处完全匹配
Device_id Domain_id Priority Position Status Role Conn_swid Description 得 5 分
-------------------------------------------------------------------------------------------------------
1(1) 1(1) 150(150) LOCAL OK ACTIVE 1(1) AC1
2(2) 1(1) 120(120) REMOTE OK STANDBY 1(1) AC2
VAC#show cap stat 5 分
VAC#show cap stat 标黄处完全匹配
CAPWAP tunnel state, 3 peers, 3 is run:
Index Peer IP Port State Mac Address
1 172.17.10.1 10000 Run 300d.9e86.74ca (2 分)
2 172.18.10.1 10000 Run 8005.88da.ad61 (2 分)
3 172.16.10.1 10000 Run 8005.88da.abc5 (1 分)
VAC#show wlan-config cb 1 5 分
VAC#show wlan-config cb 1 每处标黄点完全匹配
WLAN ID.................................. 1 得 2.5 分
SSID..................................... Test-GZ_XX
Profile..................................
MAC Mode................................. Local
Tunnel Mode.............................. Local Bridging
14
VAC#show wlan security 1 | include WPA version 5 分
VAC#show wlan security 1 | include WPA version 标黄处完全匹配得 5
WPA version : RSN(WPA2) 分
VAC#show run | include wlan-based 5 分
VAC#show run | include wlan-based 标黄处完全匹配得 5
wlan-based per-user-limit down-streams average-data-rate 800 burst-data-rate 1600 分
VAC#show run | include disabled 5 分
VAC#sh run | include disabled 每行标黄处完全匹配
802.11g network rate 1 disabled 得 1 分
802.11g network rate 2 disabled
802.11g network rate 5 disabled
802.11b network rate 1 disabled
802.11b network rate 2 disabled
802.11b network rate 5 disabled
802.11a network rate 6 disabled
802.11a network rate 9 disabled
tracert 172.16.20.254(无线用户关联 Test-GZ_XX 成功后,在 PC 端收集) 5分
C:\Users\Lenovo>tracert 172.16.20.254 下一跳 IP 地址完全
通过最多 30 个跃点跟踪到 172.16.20.254 的路由 匹配得 5 分
1 3 ms 3 ms 5 ms 172.17.20.253
2 10 ms 2 ms 2 ms 10.1.0.6
3 3 ms 3 ms 3 ms 10.1.0.18
4 6 ms 5 ms 5 ms 10.1.0.10
5 4 ms 4 ms 9 ms 10.1.0.9
15
6 6 ms 4 ms 3 ms 172.16.20.254
跟踪完成。
tracert 172.17.20.254(无线用户关联 Test-JL_XX 成功后,在 PC 端收集) 5分
C:\Users\Lenovo>tracert 172.17.20.254 下一跳 IP 地址完全
通过最多 30 个跃点跟踪到 172.17.20.254 的路由 匹配得 5 分
1 4 ms 4 ms 5 ms 172.18.20.254
2 4 ms 3 ms 3 ms 10.1.0.14
3 3 ms 4 ms 4 ms 10.1.0.22
4 5 ms 5 ms 8 ms 13.1.1.1
5 6 ms 5 ms 3 ms 10.1.0.18
6 3 ms 2 ms 3 ms 10.1.0.17
7 8 ms 6 ms 8 ms 172.17.20.254
跟踪完成。
tracert 172.18.20.254(无线用户关联 Test-BJ_XX 成功后,在 PC 端收集) 5分
C:\Users\Lenovo>tracert 172.18.20.254 下一跳 IP 地址完全
通过最多 30 个跃点跟踪到 172.18.20.254 的路由 匹配得 5 分
1 6 ms 5 ms 18 ms 172.16.20.254
2 6 ms 4 ms 5 ms 172.16.100.254
3 31 ms 19 ms 177 ms 10.1.0.10
4 3 ms 2 ms 2 ms 10.1.0.22
5 4 ms 6 ms 4 ms 10.1.0.21
6 11 ms 12 ms 7 ms 172.18.20.254
跟踪完成。
16
EG1 设备收集信息(10 分)
EG1#show ip route | include 172.16.100.0 5 分
EG1#show ip route | include 172.16.100.0 标黄处完全匹配得 5
Running this command may take some time, please wait or press "Ctrl+C" to break. 分
O IA 172.16.100.0/24 [110/3] via 10.1.0.18, 04:52:38, GigabitEthernet 0/3
EG1#show ip route | include 172.18.20.0 5 分
EG1#show ip route | include 172.18.20.0 标黄处完全匹配得 5
Running this command may take some time, please wait or press "Ctrl+C" to break. 分
O IA 172.18.20.0/24 [110/4] via 10.1.0.18, 04:52:52, GigabitEthernet 0/3
EG2 设备收集信息(40 分)
EG2#show run | include channel-group telnet 20 分
EG2#show run | include channel-group telnet 每行标黄处完全匹配
channel-group telnet parent root cir 10000 pir 10000 pri 4 per-net per-pir 500 limit 1000 得 10 分
channel-group telnet parent root cir 10000 pir 10000 pri 4 per-net per-pir 500 limit 1000
EG2#show url-class user-cfg 10 分
EG2#show url-class user-cfg 标黄处完全匹配得10
url-class:un_audit_class 分
comment:unaudit
url-class:forbidClass
url: 172.16.100.1
17
EG2#show content-policy 10 分
EG2#show content-policy 标黄处完全匹配,每
content-policy _TOP_PRIORITY 处 1 分
(active)url-rule 997 url-object un_audit_object time-range any action permit comment 不审计的网址
content-policy P2P
(active)app-rule 1 time-range Work app-group P2P 应用软件 action deny audit comment P2P-app-1558515178424
content-policy _AUDIT_DEFAULT
(active)url-rule audit-default-enable
(active)web-search-rule audit-default-enable
(active)web-bbs-rule audit-default-enable
(active)web-mail-rule audit-default-enable
(active)im-rule audit-default-enable
(active)mail-rule audit-default-enable
18
无线地勘设备收集信息(50 分)
AP 点位规划设计 15 分
1. AP 部署位置合理
(5 分)
2. AP 编号正确(型
号+位置+编号)
(5 分)
3.AP 信道规划正确
(5 分)
19
无线热图 15 分
1. 型号覆盖无死角
(楼道、洗手间、
杂物房等无需覆
盖)(15 分)
2.覆盖区域有紫色
或白色部分扣 5分
20
无线设备清单和价格 20 分
网络设备型号 单价 数量 总价 分值
AP330-I 6000 5 30000 4 分
AP110W 2500 7 17500 4 分
S2928G-24P 15000 1 15000 4 分
WS6008 50000 1 50000 4 分
总价 112500 4 分
2130m
7m
6m


0
1
办公室102
办公室103
3m
60

技术部107
办公室106。
小会议室108

办公室
办公室
会议厅
104
105
101
C
协公室
110


洗手间
大厅
运营部109
备注:
1.墙高:300cm、梁高:50cm
C
办公室
2
2.门宽度:90cm、高度:200cm
111
洗手间

3.窗户:90*150cm
比例:1:100
回图例:
cat6网络信息点
cat3电话信息点2021 年全国职业院校技能大赛高职组
网络系统管理赛项
模块 C 竞赛试题(C-2)
目录
考试说明........................................................................................................................... 1
任务描述........................................................................................................................... 1
任务清单........................................................................................................................... 2
(一)基础配置............................................................................................................... 2
(二)有线网络配置....................................................................................................... 2
(三)无线网络配置....................................................................................................... 4
(四)出口安全配置....................................................................................................... 6
附录 1:拓扑图................................................................................................................ 8
附录 2:地址规划表........................................................................................................ 9
考试说明
本模块比赛时间为 4小时。请合理分配竞赛时间,并仔细阅读以下要求。
1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何
软件、移动存储、辅助工具、移动通信等进入赛场。
2. 操作过程中,需要及时保存配置。比赛结束后,所有设备、计算机保持运行状
态,不要拆动硬件连接。
3. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的任何
物品(包括试卷和草纸)带离赛场。
4.严格按照“网络构建答题卡.docx”文档格式要求,制作输出竞赛结果文件。同
时,另存一份“PDF 格式文档”。
5.在每台设备上使用“show running-config”命令,将该命令下显示的结果,分
别保存为独立的“*.txt”文件中。其中,文件名要以设备的编号命名。并把所有
的“*.txt”文件,集中存放在新建的“设备配置”文件夹下。
6.考生所提交的结果文件是评判竞赛结果的唯一依据,请考生一定确保 Show 文件
信息中保存的内容确实有效,能够正常读取。如有疑问,可咨询现场工作人员。
任务描述
星锐集团公司是一家数据通信产品设备以及解决方案的供应商,其生产的数据通
信通信产品远销国内外。作为一家民族 IT 企业,星锐集团一直秉持着以优质的民
族之产品报效祖国,以感恩大时代发展之心回报社会,并一直通过各种各样的方
式回馈社会。2020 年新冠疫情期间,星锐人都一路奔波在北京小汤山、黄冈“小
汤山”……在苏州、温州等地为全国 200 余家医疗单位,提供快速的数据业务支
持,实现高效的数据通信支持。为更好地响应和支持全国各地的疫情防控服务,
星锐集团公司决定对公司北京本部、广州分部、吉林分部的网络业务进行扩容。
假设你作为此次网络扩容的工程师之一,前往上述三地实施网络规划与建设任务。
1
任务清单
(一)基础配置
1.根据附录 1中的拓扑图,组建集团公司分布三地的网络部署。注意:设备的连
接接口信息,详细信息见附录 1中的拓扑图。
2.根据附录 2中规划的全网 IP 地址规划表,配置全部网络设备的接口信息。
3.为了实现设备的管理,需要给所有的交换机、路由器设备采用 telnet 本地认证,
设定用户名和密码为 admin,特权密码为 admin,密码呈现需加密。
4.在交换机 S7 设备上配置 SNMP 功能,向主机 172.16.0.254 发送 Trap 消息版本
采用 V2C,读写的 Community 为“Test”,只读的 Community 为“public”,开启
Trap 消息。
(二)有线网络配置
1.为优化骨干链路上的流量,需要在全网 Trunk 链路上做 VLAN 修剪。
2.在交换机 S6 的 Gi0/5-Gi0/16 端口上,启用端口保护安全。
3.在 S6 连接 PC 机的端口上,开启 Portfast 和 BPDUguard 安全防护功能。
4.在 S6 交换机连接 PC 的端口上开启 BPDU 防环功能,检测到环路后处理方式为
Shutdown-Port,并设置接口为边缘端口。
5.如果 S6 连接 PC 端口被实施 BPDU Guard 检测功能,进入 Err-Disabled 状态,
再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路。
6.在 S6 交换机上部署 DHCP Snooping,保护 DHCP 服务器安全。
7.在 S3、S4、S6 上配置 MSTP 防止二层环路。此外,要求所有数据流经过 S4 转发,
S4 失效时经过 S3 转发。其中,region-name 为 ruijie。revision 版本为 1。S3
作为实例中的从根,S4作为实例中的主根。主根优先级为4096,从根优先级为8192。
2
8.在 S3 和 S4 上配置 VRRP,实现主机的网关冗余,所配置的参数要求如表 1所示。
其中,S3、S4 上配置各 VRRP 组中的高优先级设置为 150,低优先级设置为 120。
表 1 S3 和 S4 的 VRRP 参数表
VLAN VRRP 备份组号(VRID) VRRP 虚拟 IP
VLAN10 10 172.17.10.254
VLAN20 20 172.17.20.254
VLAN30 30 172.17.30.254
VLAN40 40 172.17.40.254
VLAN100(交换机间) 100 172.17.100.254
9.在 S1 和 S2 设置为虚拟化,S1 和 S2 间的 Te0/51-52 端口作为 VSL 链路。其中,
设置 S1 为主,S2 为备。规划 S1 和 S2 间的 Gi0/48 端口作为双主机检测链路。主
设备:Domain id:1;switch id:1;,priority 150; description: S1。备设
备:Domain id:1,switch id:2,priority 120, description: S2。
10.在 R1、S1、S2、AC1、AC2 之间运行 OSPF,归属区域 0,进程号 10。R2、EG1、
S3、S4 间运行 OSPF,归属区域 0,进程号 30。R3、EG2、S5 间运行 OSPF,归属区
域 0,进程号 40。
11.要求业务网段中,不出现 OSPF 协议报文。所有路由协议都发布具体网段。需
要发布 Loopback 地址。优化 OSPF 相关配置,以尽量加快 OSPF 收敛。重发布路由
进 OSPF 中使用类型 1。
12.北京总部、广州分部、吉林分部三个企业内部的局域网之间,通过 MPLS VPN
技术实现安全访问。其中,R1、R2、R3 开启 MPLS 报文转发及 LDP 标签转发协议。
VRF 名称为 VPNA,RD 值分别 100:1、100:2、100:3,RT 值均为 1:1。
13.在 R1、R2、R3 间部署 IBGP,AS 号为 100。IGP 协议使用 OSPF,归属区域 0,进
程号 20。定义 R1 为路由反射器 RR,使用 Loopback 接口建立 BGP 邻居关系。
14.在总部与分公司的三个企业内部的局域网之间,互访路径要求如下,且来回路
径一致:S6-S4-EG1-R2-R1-VSU(广州分部与北京总部间路径);S5-EG2-R3-R1-VSU
(吉林分部与北京总部间路径);S6-S4-EG1-R2-R1-R3-EG2-S5(广州分部与吉林
分部间路径)。若修改路由协议 Cost 值达到分流的目的,且其值必须为 5或 10。
3
15.在广州分公司的颞部部署 IPV6 网络,实现内网 IPV6 终端通过无状态自动从网
关处获取地址。在 S3 和 S4 上配置 VRRP for IPv6,实现主机的 IPv6 网关冗余。
VRRP 的主备状态与 IPV4 网络一致。IPV6 地址规划如表 2所示。
表 2 IPV6 地址规划表
设 VRRP 虚拟链路本
接口 IPV6 地址 虚拟 IP
备 组号 地地址
VLAN10 2001:193:10::252/64 10 2001:193:10::254/64 FE80::4/64
VLAN20 2001:193:20::252/64 20 2001:193:20::254/64 FE80::4/64
S3
VLAN30 2001:193:30::252/64 30 2001:193:30::254/64 FE80::4/64
VLAN40 2001:193:40::252/64 40 2001:193:40::254/64 FE80::4/64
VLAN10 2001:193:10::253/64 10 2001:193:10::254/64 FE80::4/64
VLAN20 2001:193:20::253/64 20 2001:193:20::254/64 FE80::4/64
S4
VLAN30 2001:193:30::253/64 30 2001:193:30::254/64 FE80::4/64
VLAN40 2001:193:40::253/64 40 2001:193:40::254/64 FE80::4/64
(三)无线网络配置
疫情期间,集团公司下的吉林分公司在疫情期间需要租用场地,搭建临时防疫指
挥部,临时指挥部工作需要部署 Wi-Fi 无线网络,购置的网络设备的预算拟投入
11.5 万元(网络设备采购部分)。项目要求临时指挥部的办公区域实现无线全覆盖
(备注:不要求覆盖洗手间)。其中,部分办公室之前已部署了有线网络,原有有
线网络全部采用暗埋施工,允许本次项目实施可利旧,如果要新安装线槽/线管,
则要求项目实施不能破坏原有室内装饰。此外,弱电间位置位于107房间外侧处(走
廊),安装位置为 107 房间左上角外侧(走廊),安装方式为壁挂式。平面布局如
图 1所示。
1.绘制临时防疫指挥中部署的 AP 点位图(包括:AP 型号、编号、信道等信息。其
中信道采用 2.4G 的 1、6、11 三个信道进行规划。此外,洗手间、楼梯区域无须
覆盖)。
4
2.使用无线地勘软件,输出所有的 AP 点位图中的 2.4G 频道的信号仿真热图(备
注:仿真信号强度要求大于-65db)。
图 1 平面布局图
3.输出该无线网络工程项目设备的预算表,网络设备型号和价格依据表 3所示。
表 3 无线产品价格表
传输速率 推荐/最大 价格
产品型号 产品特征 功率
(2.4G/最大) 带点数 (元)
AP330-I 双频双流 300M/1.167G 32/256 100mw 6000
AP220-E(M)-V3.0 双频双流 300M/600M 32/256 100mw 11000
AP110-w 单频单流 150M 12/32 60mw 2500
RG-Cab-SMA-10m 10 米馈线 N/A N/A N/A 1600
RG-Cab-SMA-15m 15 米馈线 N/A N/A N/A 2400
RG-IOA-2505-S1 双频单流/单频单流 N/A N/A N/A 500
5
S2928G-24P 24 口 POE 交换机 N/A N/A 240w 15000
WS6008 无线控制器 6*1000M 32/200 40w 50000
4.定义 VSU、EG1、S5 三台设备,分别为北京总部、广州分部与吉林分部内网中的
终端用户和无线 AP 的 DHCP 服务器。
5.在广州分公司的内网创建无线的 SSID 为 Test-GZ_XX(XX 现场提供),WLAN ID
为 1,AP-Group 为 GZ。在吉林分公司的内网中创建无线 SSID 为 Test-JL_XX(XX
现场提供),WLAN ID 为 2,AP-Group 为 JL。在北京总部内网 中创建无线的 SSID
为 Test-BJ_XX(XX 现场提供),WLAN ID 为 3,AP-Group 为 BJ。
6.在 AC1 和 AC2 完成虚拟化设置,AC1 和 AC2 的 Gi0/1 端口链接 VSL 链路。其中:
AC1为主,AC2为备。主设备:Domain id:1,device id:1,priority 150, description:
AC1。备设备:Domain id:1,device id:2,priority 120, description: AC2。
7.要求完成三地的无线网络中转发模式配置,均启用本地转发模式。
8.要求三地的无线网络中的用户接入网络时,需要采用 WPA2 加密方式,加密密码
为 XXX(备注:XXX 信息现场提供)。
9.为了优化网络传输,配置吉林分部无线网中的每台无线终端设备的下行平均速
率为 800KB/s ,突发速率为 1600KB/s。设置广州分部无线网中用户的最小接入信
号强度为-65dBm。
10. 为了优化网络传输,关闭三地的无线网络中的低速率(11b/g 1M、2M、5M,
11a 6M、9M)应用接入。
(四)出口安全配置
1.EG1、EG2 作为 CE 设备,需要完成路由协议配置。其中,MPLS 专网不启用 NAT。
2.在 EG2 设备上,针对访问总部 Telnet 流量限速每 IP 500Kbps,内网中 Telnet
总流量,不超过 10Mbps(备注:通道名称为 telnet)。
6
3.在 EG2 设备上,配置基于网站访问、邮件收发、IM 聊天、论坛发帖、搜索引擎
等多应用,启用审计功能。
4. 在 EG2 设备上,设置 EG2 设备在周一到周五的工作时间的 09:00-17:00(备注:
命名为 work),阻断并审计 P2P 应用软件使用。
5. 在EG2设备上,禁止局域网内部的用户,通过浏览器访问http://172.16.100.1。
7
附录 1:拓扑图
8
附录 2:地址规划表
设备 接口或 VLAN VLAN 名称 二层或三层规划 说明
VLAN10 APManage Gi0/1 至 Gi0/4 AP 管理
S7 Vlan100 Manage 172.16.100.1/24 设备管理 VLAN
AG2 NA Gi0/23、Gi0/24
AG3 NA Gi1/0/2、Gi2/0/2
VLAN20 Office 172.16.20.254/24 无线办公
AC1/AC2
VLAN30 VACProbe Gi1/0/1、Gi2/0/1 VAC vsl 链路
VLAN100 Manage 172.16.100.2/24 管理与互联 VLAN
VLAN10 APManage 172.16.10.254/24 AP 管理
VLAN30 VACProbe Gi1/0/3、Gi2/0/4 VAC vsl 链路
Vlan100 Manage 172.16.100.254/24 管理与互联 VLAN
VLAN200 10.1.0.9/30 AG1
S1/S2
AG1 NA Gi1/0/1、Gi2/0/1
AG2 NA Gi1/0/2、Gi2/0/2
AG3 NA Gi1/0/4、Gi2/0/3
LoopBack 0 10.0.0.12/32
VLAN200 NA 10.1.0.10/30 AG1
AG1 NA Gi1/0、Gi1/1
R1 Gi0/0 NA 12.1.1.1/30
Gi0/1 NA 13.1.1.1/30
LoopBack 0 11.1.0.1/32
Gi0/1 12.1.1.2/30
R2 Gi0/0 10.1.0.18/30
LoopBack 0 11.1.0.2/32
Gi0/1 13.1.1.2/30
R3 Gi0/0 10.1.0.22/30
LoopBack 0 11.1.0.3/32
9
Gi0/1 10.1.0.2/30
Gi0/2 10.1.0.6/30
EG1
Gi0/3 10.1.0.17/30
LoopBack 0 10.0.0.1/32
Gi0/1 10.1.0.14/30
EG2 Gi0/3 10.1.0.21/30
LoopBack 0 10.0.0.2/32
VLAN10 APManage 172.17.10.252/24 AP 管理
VLAN20 Xiaoshou 172.17.20.252/24 销售部无线用户
VLAN30 Caiwu 172.17.30.252/24 财务部
VLAN40 Shichang 172.17.40.252/24 市场部
S3
VLAN100 Manage 172.17.100.252/24 设备管理 VLAN
AG1 NA Gi0/13、Gi0/14
Gi0/24 10.1.0.1/30
LoopBack 0 10.0.0.3/32
VLAN10 APManage 172.17.10.253/24 AP 管理
VLAN20 Xiaoshou 172.17.20.253/24 销售部无线用户
VLAN30 Caiwu 172.17.30.253/24 财务部
VLAN40 Shichang 172.17.40.253/24 市场部
S4
VLAN100 Manage 172.17.100.253/24 设备管理 VLAN
AG1 NA Gi0/13、Gi0/14
Gi0/24 10.1.0.5/30
LoopBack 0 10.0.0.4/32
VLAN10 APManage Gi0/1 至 Gi0/4 AP 管理
VLAN20 Wireless 销售部(无线接入)
S6 VLAN30 Caiwu Gi0/9 至 Gi0/12 财务部
VLAN40 Shichang Gi0/13 至 Gi0/16 市场部
VLAN100 Manage 172.17.100.1/24 设备管理 VLAN
10
VLAN10 APManage 172.18.10.254/24 Gi0/1-4
VLAN20 Wireless 172.18.20.254/24 无线用户
S5
Gi0/24 10.1.0.13/30
LoopBack 0 10.0.0.5/32
11

展开更多......

收起↑

资源列表

缩略图、资源来源于二一教育资源库