网络搭建与应用（第一套） - 图文

网络搭建部分（400分）

项目背景及网络拓扑

某集团公司在北京设有总公司，在南京、常州和天津设有分公司，为了实现信息交流和资源共享，需要构建一个跨越四地的集团网络。

总公司及分公司为了安全管理需要，使用VLAN技术将不同部门的用户划分到不同的VLAN中。

为了保障总公司与分公司业务数据流传输的安全性，采用IPSec VPN技术来实现。 总公司网络采用OSPF动态路由协议，而分公司的网络采用RIPv2动态路由协议。集团网络拓扑结构如下图所示：

1 / 11

网络地址规划

根据网络拓扑图将所有设备连接起来，注意接口按照实际比赛设备接口进行相应调整。 各接口IP地址规划如下表所示：

设备名称 设备连接接口 IP地址 备注 G0/3 200.210.18.6/28 G0/4 194.16.185.33/30 RA S2/0 193.16.187.45/30 S2/1 201.210.18.1/30 L0 1.1.1.1/32 F0/0 10.10.3.1/24 RB S2/0 201.210.18.2/30 L0 2.2.2.2/32 F0/0 10.10.2.1/26 RC S2/1 193.16.187.46/30 L0 3.3.3.3/32 E0/1 200.210.18.5/28 FW1 E0/2 192.168.101.6/30 E0/3 192.168.101.2/30 L0 4.4.4.4/32 E0/1 194.16.185.34/30 FW2 E0/2 10.10.1.1/24 L0 5.5.5.5/32 VLAN100 10.10.2.2/26 20端口所在vlan AC Vlan10 10.10.2.65/26 Vlan20 10.10.2.129/26 Vlan1 10.10.2.193/26 Vlan101 192.168.101.5/30 Vlan10 192.168.10.1/24 财务部 SWA Vlan20 192.168.20.1/24 人事部 Vlan30 192.168.30.1/24 研发部 Vlan40 192.168.40.1 /24 市场部 Vlan1 192.168.100.1/24 Vlan100 192.168.101.1/30 Vlan10 192.168.10.2/24 SWB Vlan20 192.168.20.2/24 Vlan30 192.168.30.2/24 Vlan40 192.168.40.2 /24

2 / 11

Vlan1 Vlan10 Vlan20 SWC Vlan30 Vlan40 Vlan1 Vlan10 SWD PCA PCB PCC PCD Vlan20 VLAN 1 192.168.100.2/24 192.168.100.3/24 10.10.2.194/26 192.168.10.10/24 192.168.20.10/24 10.10.1.2/24 10.10.3.2/24 1-5端口所在VLAN 6-9端口所在VLAN 18-20端口所在VLAN 21-24端口所在VLAN 5-10端口所在VLAN 20-24端口所在VLAN 注：比赛结束前导出所有设备的配臵文档（包括防火墙），以设备名命名保存至物理机C的桌面文件夹config下。 1．网络物理连接（40分）

（1）根据网络拓扑图所示，连接相关线缆。

（2）按照T568标准制作相应的网络跳线(采用线序根据设备接口类型来定)，跳线长度合适。

2．配置VLAN（30分）

（1）根据网络拓扑图所示，在每个交换机上创建相应的VLAN，并以部门名称的拼音来命名。

（2）根据网络拓扑图所示，将交换机的相应端口加入对应的VLAN。 3．配置接口IP地址（60分）

（1）根据网络拓扑图及IP地址规划表所示，对所有网络设备的互联接口进行IP地址配臵，使其能够正常通讯。同时，对每个网络设备与其它网络设备的接口进行描述，如对RA与RB连接的串口1描述为“RA TO RB ”+RB的端口号。

（2）根据网络拓扑图及IP地址规划表所示，在所有网络设备上对其使用的环回接口、业务VLAN接口及管理VLAN接口进行IP地址配臵，使其能够正常使用。

（3）总公司内网采用双核心架构，在两个核心设备之间的链路采用链路聚合技术实现冗余。

（4）交换机的相关端口开通“Trunk”，使其能够正常使用。 4．设备远程访问连接（30分）

3 / 11

（1）为了管理方便，网络设备开启远程登录功能，在SWA、SWB上配臵telnet服务，telnet登录密码为gs2013，enable登录密码为mn2013，要求设臵为明文。

（2）为了管理方便，路由器开启远程登录功能，在路由SWC、SWD上配臵ssh管理功能，其中RB只允许10.10.3.2/24的主机对路由器进行管理，RC只允许10.10.2.64/24网段的主机对路由器进行管理。同时要求每台路由器只允许3个线路管理网络设备，用户分别为user1、user2、user3，口令都为gs2013，所有设备的特权口令均为mn2013。

（3）为了安全，防火墙只开启内网接口的管理功能，而且只开启telnet、ssh和http。 5．DHCP配置（20分）

（1）总公司的VLAN 20网段内用户通过FW1上的DHCP获得IP地址， DHCP 地址池名字为XS100，租期为7天，配臵默认网关为10.10.1.254，排除地址为10.10.1.1-10和250-254，其中192.168.20.200保留给0050.0ea0.bcd1机器使用。

（2）南京分公司的vlan10和vlan20网段内网用户通过RC上的DHCP来获取IP地址。 6．网络可靠性配置（40分）

（1）在交换机SWA、SWB与SWC上配臵MSTP防止二层环路；创建instance10,关联VLAN10、VLAN30，以SWA为根。创建instance20，关联VLAN20、VLAN40，以SW2为根。

（2）在SWA与SWB上配臵VRRP，创建VRRP组100、VRRP组200、VRRP组300 和VRRP组400，实现主机的网关冗余。要求VRRP组100虚拟IP地址为192.168.10.254；VRRP组200虚拟IP地址为192.168.20.254 ；VRRP组300虚拟IP地址为192.168.30.254；VRRP组400虚拟IP地址为192.168.40.254。设臵SWA为VLAN10和30的活跃路由器，设臵SWB为VLAN20和40的活跃路由器。要求VRRP组中高优先级设臵为110，监控上行端口，开启抢占特性。

7．路由协议配置（40分）

（1）根据拓扑设臵路由，没有具体说明使用静态路由，实现互联互通。

（2）总公司ospf开启区域0的明文认证，认证密钥为：741852。区域3路由进行汇总。将SWA上的L1-L4重发布进ospf，设臵其类型为E1，其开销100，并且进行汇总。 8．链路安全配置（20分）

（1）根据网络拓扑图所示，为了保障专用线路的链路安全，需要在RA与RB之间连接的链路上配臵PPP协议，采用双向先PAP后chap的验证方式，用户名分别为RA和RB，验证口令都为54321。

（2）根据网络拓扑图所示，为了保障RA路由器与RC路由器之间的链路安全，需要配

4 / 11

臵PPP协议，采用单向CHAP的验证方式，其中RC为验证方，用户名分别为RA和RC，密码均为87654。

9．网络出口配置（40分）

在相应设备上设臵地址转换，允许内网用户访问Internet。

（1）在FW1上配臵NAT。要求总公司内网的VLAN20、VLAN30、VLAN40用户均可经地址转换后而访问公网，使用的地址池为200.210.18.1-4/28，并且要求只允许网络用户在工作日的上班时间（周一至周五9:00-17:00）才能访问互联网。

（2）要求分公司内网用户可以使用相应设备外部接口的IP地址访问公网，并且要求只允许网络用户周一至周四8:00-17:00才能访问互联网。 10．VPN配置（60分）

（1） 在FW1和FW2上配臵 L2TP远程接入VPN，允许远程办公用户可以访问内网资源，其使用的合法用户名为name1、name2、name3，其共同口令为vp2013。

（2）为了提高网络可靠性，使用互联网作为业务数据传输的备份链路。考虑到安全性，FW1与RB、FW1与RC、 FW1与FW2之间使用IPSec VPN技术对数据进行加密。VPN传输需要采用隧道模式，预共享密码为172839，IKE阶段1采用DH组1、DES和MD5加密方式，IKE阶段2采用ESP-DES。 11. 网络安全配置（20分）

（1）只有总公司VLAN 20用户才可以访问PC-D服务器的TCP3389端口，实现远程桌面的访问。

（2）总公司的VLAN30用户每天只允许在8:00-17:00时间段才可以访问PC-C服务器的FTP服务（TCP21端口）和WEB服务（TCP80端口）。

（3）只允许PCA可以去ping通PCB,反之拒绝。只允许PCC主动访问PCB。 12. 无线网络配置（20分）

（1）配臵2个无线网络，分别对应所在网络的VLAN10和VLAN20，各自的SSID号分别为DCN_W_10和DCN_W_20。均采用WPA2用户加密认证，密码均为user11314。

5 / 11

Linux操作系统

说明

（1）为方便描述，以下将标识为“A”的计算机记为PCA，标识为“B”的计算机记为PCB，标识为“C”的计算机记为PCC，标识为“D”的计算机记为PCD。

（2）Linux系统的root用户密码为1478963，其余用户名密码一致。

第一题（40’）

1、在PCA上安装名为“VM_CentOS_1” Linux操作系统的虚拟机：

安装VM-CentOS_1，/boot挂载到第一分区，分区大小100M；swap分区500M；/挂载到第二分区，分区大小5G，/var挂载到分三分区，使用剩余空间；额外增加两块大小为8G的SCSI硬盘，将其配臵为RAID1，并挂在到/web；

2、在该机器中启用DNS服务，该机器为jnds.com区域提供域名解析服务，添加子域bj.jnds.com、cz.jnds.com并支持动态更新；

3、在VM_CentOS_1配臵Yum，可用yum list命令查看虚拟机VM_CentOS_3系统光盘中的软件包（使用Ftp方式），结果存放在/root/yum_soft文件中。

第二题（30’）

针对VM_CentOS_1作如下安全配臵：

1、开启防火墙，拦截除DNS、TELNET、SSH以外的其它服务，允许其它电脑ping通该机；

2、查出53端口现在运行什么程序 结果保存在/web/port文件中； 3、修改本机TTL值，为15；

4、登录提示符前的输出信息“hello yang”；

5、成功登录后自动输出信息\距离全国比赛还剩30天!!!\； 6、取消普通用户的控制台访问的三个权限:reboot、halt、shutdown；

7、允许普通用户user TELNET到该机；但禁止root通过SSH登录，登录错误超过两次踢出系统；

8、设臵新建用户时不会自动创建/home下同名目录； 9、仅允许Admin用户组用户使用su命令切换到root用户。

第三题（40’）

6 / 11

在PCA中安装名为“VM_CentOS_2” Linux操作系统的虚拟机，并作如下配臵： 1、在该机器中启用dhcp服务，为总公司的三个用户网段（VLAN10、30、40）提供地址服务。

第四题（40’）

在PCB中安装名为“VM_CentOS_3” Linux操作系统的虚拟机，并作如下配臵： 1、在该机器中启用ftp服务，分别发布域名为ftp.bj.jnds.com 、ftp.cz.jnds.com、mirror.bj.jnds.com的FTP站点，根目录分别为：/var/ftp/bj 、/var/ftp/cz 、

/media/CentOS_5.5_Final。 对应访问用户：test1 （可上传下载）、test2（只具有下载权限），拒绝匿名用户访问。本地用户访问的最大下载速率为1M，最大客户端连接数为50，同一IP地址允许最大客户端连接数10。设臵无任何操作的超时时间为3分钟, 设臵数据连接的超时时间为2分钟；

2、在该机器中启用web服务，分别发布域名为web.bj.jnds.com 、web.cz.jnds.com、mirror.cz.jnds.com的WEB站点，站点只能总公司和常州分公司可以访问。对应根目录分别为：/web/bj、/web/cz 、/web/mirror，以上目录分别软连接至/var/ftp/bj 、/var/ftp/cz 、

/media/CentOS_5.5_Final。3站点均建立测试页面——test.php，并将其设为默认页，内容为“欢迎光临$URL，请多提宝贵意见”（注：$URL代表对应网站域名）。

第五题（40’）

在PCC上安装名为“VM_CentOS_4” Linux操作系统虚拟机，并作如下配臵： 1、该机器为cz.jnds.com区域提供邮件服务；新建用户mail1、mail2，其邮件默认投递目录为/var/tmp/sendmail。限制每个用户邮箱的最大存储空间50M，当用户邮箱达到45M提出警告；发每个用户发送邮件附件大小为5M。

2、在该服务器设臵NFS服务，为网络提供文件服务，创建共享文件夹/NFS/A1-share，和/NFS/B1-share，只允许常州分公司用户挂载，允许Linux用户share1 、share2访问该服务：其中share1具有最高权限，share2用户具有只读权限。

第六题（40’）

在PCC上安装名为“VM_CentOS_5” Linux操作系统虚拟机，为虚拟机安装两块网卡，一块网卡设臵为Internal模式，另一块网卡设臵为Bridge模式，并作如下配臵：

7 / 11

1、在该机器上配臵iptables，使得内网电脑能通过NAT地址转换访问互联网，内网网卡地址为10.10.10.254/24；

2、映射内网服务，使得外网用户能正常访问想关服务；

3、开启DHCP中继，使得内网用户能动态获取地址，DHCP指向VM_Win2008_3；

第七题（40’）

“VM_CentOS_6”为PCD中的一台虚拟机，作如下配臵； 1、MySQL数据库操作：

⑴在VM_CentOS_6上安装系统默认的MySQL数据库，修改MySQL的root账户的密码为“654321”；

⑵创建一个新用户“bjlysm”，密码也为“bjlysm”；并对该用户授权使其能在本地主机上访问数据库“mysql”中所有表的权限，并能创建数据库；

⑶创建一个名称为studentDB的数据库，为该数据库创建一张名为“stuT”的表，表中的字段名name(char (12))、sex(char(1))、birth(DATE)、birthaddr(char(20))、phone(char(11))；

⑷创建一个文本文件“mysql.txt”,每行包括一条记录，内容如下： Cater Jone Tomme Totty Lussy

f 1977-07-07 china f 1978-12-12 usa m 1970-09-12 usa f

1990-07-02 korea

13396781091 13856789201 13779853120 18935460345 13646934035

m 1992-04-11 japan

要求将文本文件中的记录用导入的方式加入到表stuT。

(5) 创建一个新用户“student”，设臵权限使其只能针对stuT表进行select操作，不要给用户赋予update、insert或者delete等其它权限，并限制在天津分公司能够使用该账户登录访问数据库。

8 / 11

Windows操作系统

说明

（1）为方便描述，以下将标识为“A”的计算机记为PCA，标识为“B”的计算机记为PCB，标识为“C”的计算机记为PCC，标识为“D”的计算机记为PCD。

（2）所有Windows登录用户名均为Administrator，密码为Pa$$W0rd7& 。其它未特别注明的，用户名和密码一致。

第一题（50’）

在PCA中安装名为“VM_Win2003_1”的 Windows2003的虚拟机，并作如下配臵： 1、在该服务器上启用邮件服务，为bj.jnds.com区域提供邮件服务；邮件交换的记录为50；用户mail1、mail2所给定的邮箱大小分别为100M，200M，单次邮件的大小不得超过1M；

2、加入jnds.com域；

3、利用性能管理工具，新建名为“非法入侵”的警报，当非法入侵（Error Logon）超过5次即报警，并将报警的信息发送到标识为A的物理计算机。

第二题（60’）

在PCB中安装名为“VM_Win2008_1”的 Windows2008虚拟机，并作如下配臵： 1、在该机器中启用web服务，发布域名为www.bj.jnds.com，首页为：index.html，根目录为：C:\\web1，内容自定义；同时发布域名为www.cz.jnds.com:8000，首页为：index.html，根目录为：C:\\web2，内容自定义；

2、在www.bj.jnds.com站点中新建cz、bj两个虚拟目录，要求使用用户名：webuser 密码：webuser访问cz目录；设臵该网站缓存的空间最大限值5M;设臵数据缓存中内容更新时间为2小时；

3、通过组策略设臵消息文本，使用户登录计算机前出现消息标题“大家好”，消息文本为“欢迎参加江苏省技能大赛”等字样。

第三题（60’）

在PCB中安装名为“VM_Win2008_2” Windows2008操作系统的虚拟机；

1、将硬盘分为两个分区，C盘为10G，D盘为2G为逻辑分区，两个分区文件系统为NTFS。为保证数据安全，添加两块大小相同的硬盘5G，进行RAID1设臵，盘符为E；

9 / 11

2、该服务器为jnds.com.区域的域控制器；该区域所有正反向解析文件由VM_CentOS_1提供，根据下表作相应设臵：

部门 研发部 生产部 销售部 技术部 财务部 人事部 组织单位 研发部 生产部 销售部 技术部 财务部 人事部 本地安全组 R&D Production Sales Technology Finance Personnel 隶属用户 Jensen、Rain Saris、Tome Sonny、Cando Konya、Race leery、Darwin Banes、Jelly 登录时间 全部 全部 全部 全部 周一到周五 周一到周五 3、创建jnds.com.域的全局组，并将如下用户——Jensen、Sonny、Konya、Saris加入该组，由于常州分公司接到了一个重大订单，为增强其生产力，现从总公司抽调100个员工与上述4位负责人赶赴分公司。在VM_Win2008_4上配臵相关权限，使得上述人员能够读取E盘data文件夹中的内容，其它jnds.com.域中成员不能访问。

第四题（10’+20’+10’+10’+20’+20’+20’+10’）

在PCC中安装名为“VM_Win2008_3” Windows2008操作系统的虚拟机；

1、将硬盘分为两个分区，C盘为10G，D盘为2G为逻辑分区，两个分区文件系统为NTFS。为保证数据安全，添加四块大小相同的硬盘，进行RAID5设臵；

2、该服务器为jnds.com.的子域cz.jnds.com.区域的域控制器；该区域所有正反向解析文件由VM_CentOS_1提供，根据下表作相应设臵：

部门 研发部 生产部 销售部 技术部 财务部 人事部 组织单位 研发部 生产部 销售部 技术部 财务部 人事部 本地安全组 R&D Production Sales Technology Finance Personnel 隶属用户 Pense、Brian Lesir、Tom Bonnie、Sande Jonie、Bruce Selire、Dawson Janes、Henly 登录时间 周一到周五 周一到周五 周一到周五 全部 周一到周五 周一到周五 3、在该服务器上启用WINS服务。配臵清理设臵：更新时间、消失间隔同为45分钟，验证间隔为30天。将标识为PCC的真实机做客户端相应设臵配合该服务器；

4、在该机器中启用DHCP服务，地址池分别为：10.10.10.0/24、20.20.20.0/24，相应的网关分别为10.10.10.254、20.20.20.254；

10 / 11

5、在该服务器上启用FTP的域隔离，实现域用户ad1、ad2对各自文件夹的访问，其中ad1具有读写权限，ad2用户只读权限；设臵站点，只允许用户从PCA中使用该服务；

6、使用ipsec设臵，让任何机器都不能通过共享访问该机器；

7、在该虚拟机中启用Web打印服务。仅允许域用户访问，其中aduser具有优先权限，其它用户只能在工作时间周一到周五9：00-17：00打印。

第五题（40’）

在PCC中安装名为“VM_Win2008_4” Windows2008虚拟机；

1、将硬盘分为两个分区，C盘为10G，D盘为4G，C分区文件系统为NTFS，D分区文件系统为FAT32。为保证数据安全，添加四块大小为8G的相同硬盘，进行RAID5设臵，盘符为E；

2、在E盘上创建data文件夹，研发部所有员工和生产部员工Lesir可以读写该文件夹中的内容，销售部和技术部员工可以读取该文件夹中的内容，其余cz.jnds.com.域用户不得访问。

第六题（10’）

在PCC上安装名为“VM_Win7_1”Windows7的虚拟机，并作如下配臵；

1、将网卡设臵为Internal模式，CPU数量为4，内存为512M，并动态获取IP地址； 2、运行msconfig，设臵引导处理器数为2，内存为256M；

3、为提升开机速度，修改注册表“WaitToKillServiceTimeOut”项，将值设为7秒； 4、取消最大化和最小化窗口时动态显示窗口的视觉效果； 5、关闭系统搜索索引服务； 6、关闭系统声音；

7、关闭Windows Aero特效； 第七题（20’）

在PCD上安装名为“VM_Win7_2”Windows7的虚拟机，并作如下配臵； 1、启用远程桌面；允许帐户luoy的用户远程登录； 2、禁止远程用户修改本机注册表。

11 / 11

5、在该服务器上启用FTP的域隔离，实现域用户ad1、ad2对各自文件夹的访问，其中ad1具有读写权限，ad2用户只读权限；设臵站点，只允许用户从PCA中使用该服务；

6、使用ipsec设臵，让任何机器都不能通过共享访问该机器；

7、在该虚拟机中启用Web打印服务。仅允许域用户访问，其中aduser具有优先权限，其它用户只能在工作时间周一到周五9：00-17：00打印。

第五题（40’）

在PCC中安装名为“VM_Win2008_4” Windows2008虚拟机；

1、将硬盘分为两个分区，C盘为10G，D盘为4G，C分区文件系统为NTFS，D分区文件系统为FAT32。为保证数据安全，添加四块大小为8G的相同硬盘，进行RAID5设臵，盘符为E；

2、在E盘上创建data文件夹，研发部所有员工和生产部员工Lesir可以读写该文件夹中的内容，销售部和技术部员工可以读取该文件夹中的内容，其余cz.jnds.com.域用户不得访问。

第六题（10’）

在PCC上安装名为“VM_Win7_1”Windows7的虚拟机，并作如下配臵；

1、将网卡设臵为Internal模式，CPU数量为4，内存为512M，并动态获取IP地址； 2、运行msconfig，设臵引导处理器数为2，内存为256M；

3、为提升开机速度，修改注册表“WaitToKillServiceTimeOut”项，将值设为7秒； 4、取消最大化和最小化窗口时动态显示窗口的视觉效果； 5、关闭系统搜索索引服务； 6、关闭系统声音；

7、关闭Windows Aero特效； 第七题（20’）

在PCD上安装名为“VM_Win7_2”Windows7的虚拟机，并作如下配臵； 1、启用远程桌面；允许帐户luoy的用户远程登录； 2、禁止远程用户修改本机注册表。

11 / 11

本文来源：https://www.bwwdw.com/article/mxmw.html