计算机应用技能大赛试卷企业网络搭建及应用一、注意事项1、检查硬件设备、网线头和Console线等的数量是否齐全，电脑设备是否正常。

2、自带双绞线制作和验证测试工具。

禁止携带和使用移动存储设备、运算器、通信工具及参考资料。

3、操作完成后，需要保存设备配置，不要关闭任何设备，不要拆动硬件的连接，不要对设备随意加、密码，试卷留在考场。

4、赛场准备的比赛所需要竞赛设备、竞赛软件和竞赛材料等。

二、竞赛环境三、网络拓扑某科技公司是一股份制公司，总公司设在北京，在天津新收购了一家新公司，设为天津分公司。

总公司使用专用链路与分公司相连组成城域网，主来用来传输公司业务数据。

当专用链路中断后，公司业务数据通过互联网采用VPN加密的方式，安全传输业务数据。

在总公的骨干网、城域网及天津分公司使用动态路由OSPF路由协议。

在总公司的无线办公网采用RIPv2路由协议，如果您是这个网络项目的网络工程师，可根据下面的需求构建一个安全、稳定的网络如下图所示：三、IP规划四．试题内容（一）网络系统构建1．总公司网络（1）网络底层配置✧根据网络拓扑图所示，对网络设备（路由设备、交换设备、无线设备）的各接口、VLAN等相关信息进行配置，使其能够正常通讯。

（2）路由协议配置✧根据网络拓扑图所示，在网络中配置OSPF动态路由协议、RIPv2路由协议、静态路由，并需要指定OSPF路由器的RID；为保障网络畅通需要配置路由重分布，实现全网互通。

（3）网络出口配置✧根据网络拓扑图所示，使用网络地址转换（NAT）技术，实现内部用户可以访问互联网资源，要求内部VLAN10、VLAN20用户使用外部接口的IP地址做为全局地址访问互联网资源；内部VLAN30、VLAN40用户使用169.1.1.7~169.1.1.8地址段做为全局地址访问互联资源。

✧根据网络拓扑图所示，将总部的服务器FTP发布到互联网，其合法的全局地址为169.1.1.2；服务器群中有两台WEB服务器组成WEB服务组，为了提高服务器的高可用性，要求使用TCP负载分担功能来实现，并使用全局地址169.1.1.3发布给互联网用户。

（4）数据链路配置✧根据网络拓扑图所示，由于总公司与分公司（VLAN60和VLAN70）之间需要传输服务器群中的业务数据（VLAN80），为了保障业务数据的安全，总公司与分公司之间使用专用线路来传输业务数据；✧为了实现业务数据传输的高可用性，需要使用互联网做为业务数据传输的备份链路，为了保障业务数据在互联网传输的安全性，使用IPSec VPN技术对数据进行加密，当分公司VLAN60和VLAN70的用户访问总公司的VLAN80服务器群的业务时，专用链路宕掉之后，VPN链路启动，并加密传输业务数据。

✧当专用链路宕掉后，VPN链路启用后，OSPF路由也需要通过互联网进行传输，所以需要使用GRE隧道传递OSPF路由协议更新，将GRE隧道的接口也划入到骨干区域0中。

✧为了保障总公司骨干网与总公司无线办公链路安全，需要在总公司与无线办公网连接的链路上配置PPP协议，并采先CHAP后PAP的验证方式，并将总公司路由器设置为验证方，其口令为ruijie。

✧为了增加两台核心交换机的传输速率，需要使用链路聚合技术增加带宽，并需要基于源IP地进行负载均衡。

（5）路由协议安全✧为保障网络路由协议更新数据的安全，需要在RIP动态路由协议中配置MD5方式的安全验证，其口令为ruijie。

在OSPF动态路由协议中使用MD5方式并基于接口的安全验证。

（6）网络安全配置✧为保障网络资源合理利用，需要内网用户只能在工作日的上班时间才能访问互联网，（周一至周五，9:00~18:00）✧为了网络安全的需求，禁止VLAN10的用户与VLAN40的用户进行互相访问。

✧在服务器群中，部署了DHCP服务器，为内网用户动态分配IP地址，网络中会存在无赖设备和DOS攻击，为了保障DHCP服务器的正常工作，需要配置DHCP监听功能和DHCP中继功能，并要求每隔5秒钟自动写入绑定信息。

✧在网络经常会有ARP攻击，所以需要使用动态ARP检测来防止网络中的ARP攻击，并限制Untrust端口的ARP速率阈值为10pps。

✧根据网络拓扑图所示，对所有的接入接口配置端口安全，如果有违规者，是关闭接口，并要求接口配置为速端口。

（7）无线网络配置✧根据网络拓扑图所示，无线网络中有30条RIP路由条目，只允许学习到VLAN50的路由条目，其它路由不允许学习。

2．天津分公司（1）网络底层配置✧根据网络拓扑图所示，对网络设备的各接口、VLAN等相关信息进行配置，使其能够正常通讯。

（2）路由协议配置✧根据网络拓扑图所示，配置动态路由协议OSPF ，并需要指定RID。

由于区域20并非与骨干区域直接连接，所以需要使用虚链路技术与区域0连接。

（3）网络出口配置✧根据网络拓扑图所示，使用网络地址转换（NAT）技术，实现内部VLAN60、VLAN70用户使用外部接口的IP地址访问互联资源。

（4）备份链路✧为了实现业务数据传输的高可用性，需要使用互联网做为业务数据传输的备份链路，为了保障业务数据在互联网传输的安全性，使用IPSec VPN技术对数据进行加密，当分公司VLAN60和VLAN70的用户访问总公司的VLAN80服务器群的业务时，专用链路宕掉之后，VPN链路启动，并加密传输业务数据。

✧当专用链路宕掉后，VPN链路启用后，OSPF路由也需要通过互联网进行传输，所以需要使用GRE隧道传递OSPF路由协议更新，将GRE隧道的接口也划入到骨干区域0中。

（5）路由操纵✧为了隐藏总公司网络的路由信息，使用分发列表技术，只允许分公司路由器学习总公司服务器群的路由条目。

（6）DHCP服务✧在路由器配置DHCP服务，为内部用户动态分配IP地址，地址池10.0.6.10-10.0.6.200，dns为10.0.8.11、10.0.8.16，网关为10.0.6.1。

地址池10.0.7.10-10.0.7.200，dns为10.0.8.11、10.0.8.16，网关为10.0.7.1。

（二）应用系统部署（1）DC Server服务器需求✧安装Windows Server 2008操作系统✧配置为域控制器服务器，其域名为，此服务器的FQDN为dc. ，域的功能级别为2003模式。

✧创建4个OU，创建4 个全局组，创建12个用户，具体内容见下表✧配置域安全策略，域用户在首次登录时需要修改口令，密码长度最小为9位，密码最长存留其为一周，帐户锁定阈值为5次，如果到过阈值需要锁定30分钟。

✧活动目录备份，制作备份计划，每天的午夜0点进行备份活动目录。

✧配置组策略，要求所有域内计算机“关闭自动播放”，所有用户不能使用media player软件，而部门经理和总经理除外。

✧在此域控制器上安装证书CA服务，并要求能够通过WEB申请证书。

✧打开远程桌面功能，允许使用administrator登录✧配置此服务器为DNS服务器，要求能够正常解析主机记录、名称记录、邮件交换记录，此DNS服务器为主服务器。

（2）WEB服务器一需求✧安装Windows Server 2008操作系统✧服务器配置为web服务器，此服务器的FQDN为。

✧使用IIS6.0来建立web站点：，在站点上建立两个虚拟目录en和cn，并建立相应的主页，主页内容为“”；/en主页内容为“”；/cn主页内容为“”申请证书，访问时，不需要SSL加密；访问/cn时必须使用SSL加密；访问/en时，可以使用SSL也可不使用SSL加密。

✧配置主机头，只有使用域才能访问，不允许使用IP访问✧配置应用程序池，创建应用程序池netpool1和netpool2，将站点加入到netpool1池中，将站点加入到netpool2池中。

✧启用防火功能，只允许用户访问WEB服务。

（3）WEB服务器二需求✧安装Windows Server 2008操作系统✧此服务配置为web服务器，此服务器的FQDN为。

✧使用IIS6.0来建立web站点：，在站点上建立两个虚拟目录en和cn，并建立相应的主页，主页内容为“”；/en主页内容为“”；/cn主页内容为“”申请证书，访问时，不需要SSL加密；访问/cn时必须使用SSL加密；访问/en时，可以使用SSL也可不使用SSL加密。

✧配置主机头，只有使用域才能访问，不允许使用IP访问✧配置应用程序池，创建应用程序池netpool1和netpool2，将站点加入到netpool1池中，将站点加入到netpool2池中。

✧启用防火功能，只允许用户访问WEB服务。

✧配置NLB网卡负载平衡，实现两台服务器负载均衡。

（4）SAMBA服务器需求✧安装Linux操作系统, FQDN：；✧创建四个用户：user1 user2 user3 user4，创建组：test，将用户user4加入到test组中。

在根下创建两个目录/share和/share1，启动Samba服务，安全级别为user，只允许10.0.1.0,10.0.3.0,10.0.2.0,10.0.4.0,10.0.6.0的网段访问服务器。

✧创建共享目录[myshare]和[myshare1]，[myshare]目录路径为/share，是公共目录，并且允许进行写的操作。

[myshare1]目录路径为/share1，不是公共目录，只有用户组test 中的用户才可以访问，并且有写的权限，拒绝10.0.1.0网段访问，允许10.0.2.0网段访问。

✧启用防火功能，只允许用户访问SAMBA服务，要求服务器不能主动发起连接。

（5）FTP服务器需求✧安装Windows Server 2003操作系统✧使用IIS6.0来建立ftp站点：，在D分区中建立FTP主目录。

✧允许匿名登录，可以下载文件。

并且要使用ftp命令登录时，会提示欢迎信息：“欢迎登录2011年计算机技术竞赛”并且用命令浏览文件时使用UNIX方式显示。

✧不允许IP地址为10.0.1.0网段访问FTP网站✧根据部门的不同，在D分区中建立四个共享文件夹，下表列出了访问权限及磁盘限制。

✧启用防火功能，只允许用户访问FTP服务。

（6）BDNS服务器需求✧安装Linux操作系统,FQDN：；✧配置此服务器为DNS服务，此服务器为备份DNS服务，需要从主DNS服务进行区域复制。

✧为防止DNS服务器被攻击，需要使用chroot功能配置DNS服务器。

✧启用防火功能，只允许用户访问DNS服务，要求服务器不能主动发起连接。

（7）MAIL服务器需求✧安装Windows Server 2003操作系统, FQDN：；✧使用SMTP与POP3功能，为内网用户配置邮件服务器，用户能够正常使用OE客户端发送和接收邮件。