NSC2022_TP39_Round_1
第 52 屆全國技能競賽
分區技能競賽 資訊與網路技術
正式賽 競賽試題
選手姓名 崗位編號
開始比賽前請勿翻閱試題。
請先在試題封面及評分表寫上姓名及崗位編號。
本試題不含封面共 15 頁。
比賽後請將本試題及評分表留在崗位上,不得攜出賽場。
1
第 52 屆全國技能競賽 分區賽試題 – 資訊與網路技術
第一項
⚫ 本競賽為固定式起訖時間,請選手自行掌握工作流程,並依據試題敘述完成要求。
⚫ 如在比賽過程中有任何疑問,或題意描述不清楚,請立即向裁判反應。
⚫ 評分時,將盡可能採用功能測試,項目之區隔以評分表所列為主,個別項目完全符合試題之敘述 即得分,無部份給分。
⚫ 工作項目中須設定密碼之處,若試題未明確指定,則一律使用 Skills39。
⚫ 除了必須以檢視設定值的方式進行評分的項目外,所有面向用戶的服務一律由用戶端系統進行功 能測試,否則該項目不予計分。
⚫ 試題內所用到的作業系統皆為虛擬機,請勿將服務設定於 Host 作業系統上
2 Topology
3 Scenario
你是某公司的小小 IT,因 Google 雲端空間政策改變,公司在雲上租了一台 VPS 虛擬機,請滿足老闆的一些 需求:
⚫ 將該 VPS 虛擬機用來備份公司內部系統資料,並提供公司備援用首頁
⚫ 公司本來只有一個公司內網,但貴賓造訪時,常常抱怨沒有 Wi-Fi 可以上網,請你新增一個只能用來 上網的 Wi-Fi 給客戶使用
※ 為正確模擬該情境,請幫忙設定 isp 虛擬機。
※ 以下公司內網即表示 192.168.1.0/24 網段,客戶網段即表示 192.168.99.0/24 網段
General Setting
⚫ 依據附錄 A 在 PC1 與 PC2 上安裝虛擬機,並設定主機名稱、網卡名稱、IP 位址與預設閘道
⚫ 為使評分方便,請於所有主機允許網際網路控制訊息協定
⚫ 瀏覽 HTTPS 網頁時,不可出現憑證錯誤訊息
⚫ 評分時將會檢查崗位整潔度與線材製作品質
Isp
⚫ 模擬網際網路,將此虛擬機視為網際網路用戶端及網路路由器,請勿設定預設閘道!
⚫ 設定網域名稱解析服務,提供 worldskills.tw 網域名稱解析,並依試題需求建立相關正解紀錄
⚫ 設定憑證服務,為 https://www.worldskills.tw 站台提供憑證
⚫ 設定網頁服務,可透過 https://www.worldskills.tw 瀏覽該網站,並在首頁顯示:
worldskills TW No.1
gw
⚫ 啟用 IP 封包轉送服務,並提供公司內網及客戶網段可以上網
⚫ 設定動態主機設定協定服務,提供 Wi-Fi 接入使用
⚫ 設定 Secure Shell 服務,公司使用者 user88 在 clt 上連線時,不須輸入密碼即可連線
⚫ 新增兩個 20GB 硬碟,一個掛載至/disk1 並提供給 srv 使用,另一個掛載至/disk2
⚫ 設定 Samba 檔案共享服務,僅供公司內網存取
◼ 分享 /disk2/share 目錄,啟用使用者驗證,僅允許使用者 user01-90 存取
4
⚫ 設定 iptables,請依試題需求設定網路位址轉譯,供客戶上網與外部存取公司服務
◼ 客戶網段僅能用來上網,不可存取公司內網
◼ 禁止跨越介面存取 gw 上的任何服務 (e.g. 在 clt 上 SSH 連線至 52.52.52.52)
srv
⚫ 架設網域控制站,網域名稱為 lemon.com,並依據附錄 B 建立 100 個使用者帳號
⚫ Windows 的功能更新將在評估過後再統一開放升級,請讓網域內的 PC 維持於本次競賽所使用的 Windows 10 主版本下
⚫ 設定網域名稱解析服務,提供 lemon.com 網域名稱解析,請依據題目需求建立相關正解紀錄
◼ 將 DNS Server 指向 srv 的用戶,也應可順利解析 worldskills.tw 域名下的記錄
⚫ 設定憑證服務,為 lemon.com 網域提供憑證服務
⚫ 設定動態主機設定協定服務,提供公司內網接入使用
⚫ 設定網頁服務,提供 https://www.lemon.com 作為公司首頁
◼ 使用 gw 提供的 20GB 硬碟,作為網頁根目錄
◼ 若使用明文協定連線,請自動導向加密協定連線
◼ 網際網路上的使用者應能正常存取公司首頁
5
第二項
vps
⚫ 新增 60GB 硬碟,掛載至 /backups 作為公司內部備援用的硬碟空間
◼ /backups/disk1、/backups/disk2 將分別用來存放 gw 上 /disk1、/disk2 的資料
⚫ 設定網頁服務,提供 https://www.lemon.com 作為公司備援用首頁
◼ 使用 /backups/disk1 作為網頁根目錄
◼ 若使用明文協定連線,請自動導向加密協定連線
◼ 以 IP 連線網頁服務時,須顯示網頁服務預設頁面
⚫ 設定 Secure Shell 服務,允許 root 使用密碼登入
⚫ 提供一腳本或自動化服務,執行後,自動將 gw 的/disk1、/disk2 資料同步至 vps 的/backups,並 寫入系統日誌,日誌內容至少須包含:”Sync file: <file name>“
⚫ 設定 iptables,僅允許從公司內部對其進行遠端管理
clt
⚫ 加入網域 lemon.com
⚫ 禁止網域名稱快取
⚫ 使用者 user88 桌面上請提供快速切換網站的腳本,瀏覽 https://www.lemon.com 時,將顯示 vps 上的網頁,以利測試備援站台是否正常
⚫ 安裝無線網卡
◼ 將於評分最後模擬公司客戶,連接無線網路,可連線 https://www.worldskills.tw
ap
⚫ 設定無線路由器,SSID 為 NSCXX(XX 為崗位編號,若崗位編號 01 則 SSID 將使用 NSC01,以此 類推),驗證方式為 WPA2-PSK,並使用 AES 做加密機制。
⚫ 無線網路登入密碼請使用 10 個英文字母,包含大小寫,並將你要使用的密碼寫於下方,評分時將會 根據下方密碼進行登入評分。
_____________________________
6 Flow Diagram
7 Appendix A - IP Address Assignment
VM
Hostname OS Host
PC Interface IP Address Default Gateway
isp Windows
Server 2022 PC1
Ethernet0 52.52.52.254/24
N/A*
Ethernet1 46.46.46.254/24
vps Debian 11 eth0 46.46.46.46/24 46.46.46.254
gw Debian 11
PC2
eth0 52.52.52.52/24
52.52.52.254 eth1 192.168.1.254/24
eth2 192.168.99.254/24
srv Windows
Server 2022 Ethernet 192.168.1.10/24 192.168.1.254
clt Windows 10
Ethernet DHCP
Wi-Fi DHCP
ap LAN 192.168.99.253/24
* 若預設閘道為 N/A,則請勿做任何設定,否則該台 VM 不予評分!
Appendix B - Domain Users
Username Group user01 ~ user90 Lemon Users apple01 ~ apple10 Apple Users
8
第三項
Packet Tracer
⚫ 本競賽為固定式起訖時間(時間 1.5 小時,確切時間由分區裁判長當場公佈),請選手自行掌握工作 流程,並依照試題敘述完成要求。
⚫ 題目的敘述順序不一定是解題的最佳順序,選手可自由決定先後順序。
⚫ 如在比賽過程中有任何疑問,或題意描述不清楚,請立即向裁判反應。但裁判將不會為個別選手解釋 非題目錯誤的疑問。
⚫ 評分時,將以 Cisco Packet Tracer 內建的評分引擎比對選手操作結果及預建的標準答案,因此選手 要依題目指示做答,不是功能對了就會得分。
⚫ 工作項目中須設定密碼或金鑰之處,若試題未明確指定,則一律使用 Skills39。
⚫ Packet Tracer 的 PKA 檔案在崗位隨身碟內,請先更改檔名為 NSC3922-崗位號.pka (例如 5 號崗位 選手就改為 NSC3922-05.pka)。完成更改檔名請直接在隨身碟的 PKA 檔案點兩下開啟做答。(不可 把 PKA 檔案複製至崗位電腦)
⚫ 建議適時存檔,以免萬一應用程式異常中止,導致選手做答遺失。比賽中因此狀況造成的時間浪費將 不給予增加比賽時間。如因賽場設備問題需要處理,裁判長將就處理設備問題時間,給予增加比賽時 間。
⚫ 比賽結束前,請記得存檔,並確定崗位隨身碟裡只有一個合乎正確檔名的最終做答 PKA 檔案,否則導 致無法評分,將無法補救。
⚫ 比賽結束後,要繳回崗位隨身碟及本
試題
題本後離場!裁判會集中隨身碟進行評分作業。9 Topology
10
位址表
裝置 介面 IP 位址/前置碼長度 預設閘道 DNS
Internet F0/1 209.165.200.254/27 N/A N/A www.isp.tw Fa0 1.1.1.1/24 1.1.1.254 1.1.1.1 Edge G0/0/0 209.165.200.225/27 209.165.200.254 N/A
R1
G0/0/1 192.168.254.1/30 N/A N/A
G0/0/2
G0/0/2 192.168.254.5/30 N/A N/A
DLS1
R2 R2
G1/0/22 192.168.254.2/30 N/A N/A
VLAN 10 第一個主機位址 N/A N/A
VLAN 20 第一個主機位址 N/A N/A
VLAN 30 第一個主機位址 N/A N/A
VLAN 40 第一個主機位址 N/A N/A
VLAN 239 第一個主機位址 N/A N/A
DLS2
G1/0/22 192.168.254.6/30 N/A N/A
VLAN 10 第二個主機位址 N/A N/A
VLAN 20 第二個主機位址 N/A N/A
VLAN 30 第二個主機位址 N/A N/A
VLAN 40 第二個主機位址 N/A N/A
VLAN 239 第二個主機位址 N/A N/A
ALS1 VLAN 239 第三個主機位址 最後一個主機位址 N/A
ALS2 VLAN 239 第四個主機位址 最後一個主機位址 N/A
Server
(www.nsc52.tw) Fa0 192.168.239.5/28 最後一個主機位址 192.168.239.5 Admin Fa0 192.168.239.11/28 最後一個主機位址 192.168.239.5 PC1 (VLAN10) Fa0 DHCP 最後一個主機位址 192.168.239.5 PC2 (VLAN20) Fa0 DHCP 最後一個主機位址 192.168.239.5 NB1 (VLAN30) G0 DHCP 最後一個主機位址 192.168.239.5 NB2 (VLAN40) G0 DHCP 最後一個主機位址 192.168.239.5
11
VLAN 表
VLAN 名稱 IP 位址 預設閘道 註解
VLAN 10 HR 192.168.10.0/24 最後一個主機位址 VLAN 20 Finance 192.168.20.0/24 最後一個主機位址 VLAN 30 Guest 192.168.30.0/24 最後一個主機位址 VLAN 40 Staff 192.168.40.0/24 最後一個主機位址
VLAN 239 Management 192.168.239.0/24 最後一個主機位址 原生 VLAN
VLAN 1999 Parking N/A 所有未使用連接埠
OSPF 路由器 ID
裝置 路由器 ID
Edge 1.1.1.1 DLS1 2.2.2.2 DLS2 3.3.3.3
12
第四項
Part 1: 裝置設定
● 為 Edge, DLS1, DLS2, ALS1, ALS2 設定主機名稱。
● 為 Edge, DLS1, DLS2, ALS1, ALS2 設定雜湊加密的啟用密碼。
● 為 Edge, DLS1, DLS2, ALS1, ALS2 設定加密的主控台密碼。
● 為 DLS1, DLS2, ALS1, ALS2 設定加密的 VTY 密碼。
● 在 Edge 建立使用者 admin 並設定雜湊加密密碼。
● 在 Edge 為 VTY 啟用 SSHv2 連線並設定成唯一接受的連線協定
■ 網域名稱 : nsc52.tw
■ RSA 金鑰模數 : 2048 位元
■ 建立本機帳號 admin,及雜湊加密密碼
● 為 Edge, DLS1, DLS2, ALS1, ALS2 設定在執行模式輸入不存在的命令時,不會被當成主機名稱進行 IP 解 析。
● 為 Edge, DLS1, DLS2, ALS1, ALS2 設定主控台和 VTY 在輸入命令或設定時,不被輸出的日誌訊息截斷輸入 內容。
Part 2: VLAN
● 為交換器 DLS1, DLS2, ALS1, ALS2 依 VLAN 表設定 VLAN。
● 設定主幹
■ 設定交換器間的連接埠為主幹
■ 使用靜態主幹模式並停用 DTP 協商
■ 依 VLAN 表設定原生 VLAN
● 依表格資訊設定靜態存取埠並指派 VLAN。
● 設定交換器 DLS1, DLS2, ALS1, ALS2 連接 PC 或伺服器的連接埠啟用,防止 CAM Table 泛洪攻擊的安全機 制,要自動保留合法 MAC 位址於執行設定檔,在偵測到違規使用時,確保合法的流量不受影響,但要留下日 誌供事件調查用。
● 停用 Parking VLAN 的連接埠。
Part 3: IP 設定
● 為 Edge, DLS1, DLS2, ALS1, ALS2 設定 IP 位址。
● 為 Server, Admin 設定 IP 位址。
13
Part 4: 擴充樹協定
● 設定交換器 DLS1, DLS2, ALS1, ALS2 使用 Cisco 專屬版本的快速生成樹協定。
● 設定交換器 DLS1, DLS2, ALS1, ALS2 連接 PC 或伺服器的連接埠為 Edge Port,並啟用防誤接其它交換器的 保護機制。
● 設定交換器 DLS1, DLS2 的擴充樹協定進行分流,盡最大可能讓 VLAN 10 和 VLAN 20 以 DLS1 為根交換器,
VLAN 30, VLAN 40 和 VLAN 239 的以 DLS2 為根交換器,同時讓 DLS1, DLS2 互相備援。
Part 5: 鏈路聚合
● 將交換器 DLS1, DLS2 間互連的多條實體鏈路聚合成一條邏輯鏈路以提昇頻寬。
■ 聚合成的邏輯鏈路介面編號為 1
■ 使用 IEEE 802.3ad 做為鏈路聚合協定,並設定為主動模式
■ 以封包的來源及目的 IP 做負載平衡
Part 6: 閘道備援
● 在交換器 DLS1, DLS2 為 VLAN 10, VLAN 20, VLAN 30, VLAN 40 及 VLAN 239 設定 Cisco 專屬的不具負載 平衡功能的閘道備援協定。
■ 使用的閘道備援協定版本,未來要能部署 IPv6
■ 各 VLAN 使用的群組編號為其 VLAN ID
■ 各 VLAN 的閘道都使用最後一個主機位址
■ VLAN 10 及 VLAN 20 以 DLS1 為主要閘道(優先權+10)
■ VLAN 30, VLAN 40 及 VLAN 239 以 DLS2 為主要閘道(優先權+10)
■ 在主要閘道恢復正常時,要立即進行角色移轉以保持負載均衡
14
第五項
Part 1: 路由
● 為 Edge, DLS, DLS2 以程序 ID:100 啟用 OSPFv2
■ 依 OSPF 路由器 ID 表設定路由器 ID
■ 使用 network 敘述,依各子網路位址設定單區域 OSPF
■ 使用介面最高頻寬設定 OSPF 自動成本計算的參考頻寬
■ 停用不需要介面上的 hello 封包發送
■ 為點對點鏈路停用 DR 選舉
■ 把鄰居訊息發送頻率提升為每分鐘 20 次以加快收斂
■ 把鄰居訊息逾時閥值依與發送頻率的預設比例調整
● 設定預設路由
■ 在 Edge 設定指向 ISP 的靜態預設路由
■ 藉由 OSPF 散佈預設路由
Part 2: DHCP
● 在 Edge 設定 VLAN 30 及 VLAN 40 的 DHCP 位址集區:
集區名稱 第一個 IP 最後一個 IP 遮罩,閘道,DNS
VLAN30 第三個主機位址 倒數第三個主機位址 依位址表
VLAN40 第三個主機位址 倒數第三個主機位址 依位址表
● 在 DLS1 及 DLS2 設定將 VLAN 10 及 VLAN 20 的 DHCP 請求轉送至 Server (DHCP 集區已設定) 。
● 在 DLS1 及 DLS2 設定將 VLAN 30 及 VLAN 40 的 DHCP 請求轉送至 Edge。
Part 3: NAT
● 在 Edge 設定 NAT
■ 設定名稱為 NAT_POOL 的 NAT 集區,使用 Edge 連接 ISP 介面 IP 位址的下兩個 IP
■ 設定名稱為 NAT_ACL 的 IP 延伸命名 ACL 來納入所有使用中的內部網段 (不要做網路摘要)
■ 為內部來源設定動態 PAT,讓 NAT_ACL 允許的位址使用 NAT_POOL 的公用位址上 Internet
■ 為 Server 設定靜態 NAT,使用 NAT_POOL 的下一個公用位址
15
Part 4: 存取控制
● 為 Edge, DLS1, DLS2, ALS1, ALS2 設定及套用編號 10 ACL 以允許只有 VLAN 239 及 Edge 的內部 IP 位址 網路可以存取 VTY(ACL 10 必須只用兩行敘述完成)。