【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套A模块

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 【题目】2023年全国职业院校技能大赛 GZ073 网络系统管理赛项赛题第3套A模块

2023年全国职业院校技能大赛

GZ073网络系统管理赛项

赛题第3套

模块A:网络构建

fd0d65abea49f12c4baedaa1fdc699e3_80fc1a533a9044a584e927405c3d35d8.png

任务清单

(一)基础配置

1.根据附录1、附录2,配置设备接口信息。


2.所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin。


3.交换机配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“Test”,只读的Community为“public”,开启Trap消息。


(二)有线网络配置

1.在全网Trunk链路上做VLAN修剪。


2.为了规避网络末端接入设备上出现环路影响全网,要求在分校接入设备S6,S7进行防环处理。具体要求如下:接口开启BPDU防护不能接收bpduguard报文;接口下开启rldp防止环路,检测到环路后处理方式为shutdown-port;连接终端的所有端口配置为边缘端口;如果端口被BPDU

Guard检测进入err-disabled状态,再过300秒后会自动恢复,重新检测是否有环路。


3.为了保证接入区DHCP服务安全及伪IP源地址攻击,具体要求如下:DHCP服务器搭建于S3上对VLAN10以内的用户进行地址分配;


4.在本部交换机S3、S4上配置MSTP防止二层环路;要求VLAN10、VLAN20、VLAN30数据流经过S3转发,VLAN40、VLAN50、VLAN100数据流经过S4转发,S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下:region-name为test;revision版本为1;实例1,包含VLAN10,VLAN20,VLAN30;实例2,包含VLAN40,VLAN50,VLAN100;S3作为实例0、1中的主根,S4作为实例0、1的从根;S4作为实例2中的主根,S3作为实例2的从根;主根优先级为4096,从根优先级为8192;在S3和S4上配置VRRP,实现主机的网关冗余。所配置的参数要求如表1;S3、S4各VRRP组中高优先级设置为150,低优先级设置为120。


表1 S3和S4的VRRP参数表

image.png

5.本部内网使用静态路由、OSPF多协议组网。其中S3、S4、S5、EG1、EG2、R1使用OSPF协议,本部其余三层设备间使用静态路由协议。本部与分校广域网间使用静态路由协议(R1除外),各分校局域网环境使用静态路由协议。要求网络具有安全性、稳定性。具体要求如下:本部OSPF进程号为10,规划多区域;区域0(S3、S4),区域1(S3,S4,S5),区域2(S3,S4,EG1,EG2),区域3(S4、R1);区域1为完全NSSA区域;AP使用静态路由协议;本部与分校通过重分发引入彼此路由;要求本部业务网段中不出现协议报文;不允许重发布直连路由,Network方式发布本地明细路由;为了管理方便,需要发布Loopback地址;优化OSPF相关配置,以尽量加快OSPF收敛;重发布路由进OSPF中使用类型1。


4.不允许在R1设备使用IPv4静态路由。


5.本部路由器R1与广州校区路由器R3

使用两根链路保证可靠性,使用三层链路聚合协议进行聚合端口。Vlan100作为三层互联vlan。


6.考虑到广域网线路安全性较差,所以需要使用IPSec对各分校到总校的业务数据进行加密。要求使用动态隧道主模式,安全协议采用esp协议,加密算法采用3des,认证算法采用md5,以IKE方式建立IPsec

SA。


7.在R1上所配置的参数要求如下:ipsec加密转换集名称为myset;动态ipsec加密图名称为dymymap;预共享密钥为明文123456;静态的ipsec加密图mymap。


8.在R2和R3上所配置的参数要求如下:ACL编号为101;静态的ipsec加密图mymap;


预共享密钥为明文123456。


9.考虑到数据分流及负载均衡的目的,针对本部与各分校数据流走向要求如下:通过修改OSPF接口COST达到分流的目的,且其值必须为5或10;OSPF通过路由引入时改变引入路由的COST值,且其值必须为5或10;本部VLAN10,VLAN20,VLAN30用户与互联网互通主路径规划为:S3-EG1;本部VLAN40用户与互联网互通主路径规划为:S4-EG2;各分校用户与互联网互通主路径规划为:S4-EG2;云平台服务器与互联网互通主路径规划为S3-EG1;主链路故障可无缝切换到备用链路上。


(三)无线网络配置

CII集团公司拟投入13.5万元(网络设备采购部分),项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。

83a0c2d42e345805c4d019edf721a28e_bb51a764f6b64c8fa228257e6f3cea48.png

图1 平面布局图


1.绘制AP点位图(包括:AP型号、编号、信道等信息,其中信道采用2.4G的1、6、11三个信道进行规划)。


2.使用无线地勘软件,输出AP点位图的2.4G频道的信号仿真热图(仿真信号强度要求大于-65db)。


3.根据表2无线产品价格表,制定该无线网络工程项目设备的预算表。


表2 无线产品价格表


| 产品型号 | 产品特征 | 传输速率 | 推荐/最大带点数 | 功率 | 价格(元) |

image.png

使用AC为本部无线用户DHCP服务器,使用S3、S4为本部AP的DHCP服务器,S3分配AP地址范围为其网段的1至100,S4分配AP地址范围为其网段的101至200。


创建本部SSID(WLAN-ID

1)为test-ZX_XX(XX现场提供),AP-Group为ZX,本部无线用户关联SSID后可自动获取地址,启用802.1X认证方式。


认证服务器(IP:194.1.100.100)建立总部认证用户user1,user2,分部认证用户user3,user4分别对应WEB、DOT1X认证;


AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去连接时能无缝切换至AC2并提供服务。


为了保证合法用户连接入本部内网,本部无线用户使用MAC校验方式。在本部的AC设备上配置白名单只允许PC1(无线网卡ipconfig确定MAC地址)接入无线网络中,并设置AC白名单数量最多为10。


在同一个AP中的用户在某些时候出于安全性的考虑,需要将他们彼此之间进行隔离,实现用户之间彼此不能互相访问,配置AP1实现同AP下用户间隔离功能。


要求本部无线用户启用集中转发模式。


限制AP1关联用户数最高为16。


本部关闭低速率(1M,6M)应用接入。


北京校区与广州校区使用无线AP胖模式进行部署。


AP2以透明模式进行部署,S6部署DHCP为无线终端和AP分配地址。


AP2创建SSID(WLAN-ID

1)为test-BJ_XX(XX现场提供),采用WEB进行认证,认证用户名为user1,密码为XX(现场提供)。


AP3以路由模式进行部署,本地部署DHCP为无线终端分配地址。


AP3创建SSID(WLAN-ID

1)为test-GZ_XX(XX现场提供),启用白名单校验,放通PC3无线网卡。


(四)出口网络配置

1.本部出口网关上配置访问控制列表,允许本部、分部有线无线业务网段(ACL编号110)通过NAPT访问联通、教育网资源。


2.在本部EG1上配置,使本部核心交换S4(11.1.0.4)设备的Telnet服务可以通过互联网被访问,将其地址映射至联通线路上,映射地址为196.1.0.10。


3.需确保NAT映射数据流来回一致,启用EG源进源出功能保证任何外网用户(联通、电信、移动、教育……)均可访问映射地址196.1.0.10。


4.在本部网关上启用Web Portal认证服务,并创建user1、user2,密码均为123456;


有线用户需进行WEB认证访问互联网。


5.无线用户不需在EG上进行WEB认证即可访问互联网。


6.本部针对访问外网WEB流量限速每IP

1000Kbps,内网WEB总流量不超过100M(策略及通道名称均为:WEB)。


7.工作日(周一到周五:上午9点到下午5点)阻断并审计P2P应用软件使用(策略名称:P2P)。


8.对创建的用户user1用户上网活动不进行监控审计。


9.本部与分校用户数据流匹配EG内置联通与教育地址库,实现访问联通资源走联通线路,访问教育资源走教育线路;除联通、教育资源之外默认所有数据流在联通与教育线路间进行负载转发。


(五)网络运维配置

1.完成整网连通后,进入网络监控运维阶段,运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100),通过运维平台监控本部校区内所有设备(具体设备:S1-S5、EG1、EG2)。


2.通过运维平台将本部校区的被监控设备纳入监控范围;通过拓扑配置功能,将本部校区的网络拓扑配置到平台中;


3.将本部校区S3和EG1、EG2的两条链路作为重点监测链路,纳入链路监控;


4.自定义监控大屏(名称:Chinaskills_network),将网络拓扑、设备运行状态(CPU使用率)、链路运行状态实时显示在大屏中。


(六)SDN网络配置

1.SDN控制器登录地址:192.168.1.2/24,默认用户密码为admin/test@123。


2.使用S1/S2/S4构建SDN网络,S1/S2连接SDN控制器的6653端口。S1/S2所有业务流转发需经SDN控制器统一控制管理。


3.通过SDN控制器手工给S2下发一条流表项名称为drop的流表,执行动作为丢弃,并在交换机上查看流表,测试普通PC禁止ping通高性能PC。


4.通过SDN控制器流表管理实现PC1/PC2与本部业务网段互联互通。


附录1:拓扑图

659b0b95bfd57d143766b5d03c9ddcb6_78132176100547b08a939e4c15d95030.png


附录2:地址规划表

image.png

image.png

image.png

相关文章
|
2月前
|
消息中间件 监控 网络协议
Python中的Socket魔法:如何利用socket模块构建强大的网络通信
本文介绍了Python的`socket`模块,讲解了其基本概念、语法和使用方法。通过简单的TCP服务器和客户端示例,展示了如何创建、绑定、监听、接受连接及发送/接收数据。进一步探讨了多用户聊天室的实现,并介绍了非阻塞IO和多路复用技术以提高并发处理能力。最后,讨论了`socket`模块在现代网络编程中的应用及其与其他通信方式的关系。
245 3
|
3月前
|
数据采集 Web App开发 开发工具
|
3月前
|
数据安全/隐私保护
|
2月前
|
JSON API 开发者
深入解析Python网络编程与Web开发:urllib、requests和http模块的功能、用法及在构建现代网络应用中的关键作用
深入解析Python网络编程与Web开发:urllib、requests和http模块的功能、用法及在构建现代网络应用中的关键作用
22 0
|
4月前
|
JSON API 数据格式
Python网络编程:HTTP请求(requests模块)
在现代编程中,HTTP请求几乎无处不在。无论是数据抓取、API调用还是与远程服务器进行交互,HTTP请求都是不可或缺的一部分。在Python中,requests模块被广泛认为是发送HTTP请求的最简便和强大的工具之一。本文将详细介绍requests模块的功能,并通过一个综合示例展示其应用。
101 11
|
6月前
|
数据采集 JSON 数据格式
三:《智慧的网络爬虫》— 网络请求模块(下)
本篇文章讲解了网络请求模块中Requests模块的get请求和post请求,并用十几张图示详细介绍了爬虫工具库与开发者工具的操作与使用;同时本篇文章也列举了多个代码示例如:对搜狗网页的爬取;爬取360翻译(中英文互译程序)并以此介绍了重放请求(通过重放请求来确定反爬参数)以及Cookie与Session实战案例 -- 爬取12306查票
75 9
三:《智慧的网络爬虫》—  网络请求模块(下)
|
5月前
|
网络协议 Python
在Python中,我们使用`socket`模块来进行网络通信。首先,我们需要导入这个模块。
在Python中,我们使用`socket`模块来进行网络通信。首先,我们需要导入这个模块。
|
6天前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
43 17
|
17天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
18天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
40 10