2014年高职技能大赛
“云安全技术应用”赛项样题
第一部分:赛题基础信息
1.拓扑图
2.IP地址规划表
设备名称 | 接口 | IP地址 | 说明(设备上对应端口号) |
云服务器1 | Vlan 20 | 172.16.10.30/24 | Eth0 SW-PORT7 |
Vlan 30 | 10.0.1.30/24 | Eth1 SW-PORT15 | |
云服务器2 | Vlan 20 | 172.16.10.50/24 | Eth0 SW-PORT8 |
Vlan 30 | 10.0.1.50/24 | Eth1 SW-PORT13 | |
PC-1 | Vlan 20 | 172.16.10.10/24 | SW-PORT5 |
PC-2 | Vlan 40 | 172.16.20.20/24 | 免费个人云服务器SW-PORT19 |
PC-3 | 主机 | 202.100.1.2/24 | FW-WAN |
中心防火墙 | 主机 | 202.100.1.1/24 | WAN |
VLAN10 | 10.0.0.1/24 | LAN SW-PORT1 | |
核心交换 | VLAN10 | 10.0.0.2/24 | SW-PORT1---- SW-PORT4 |
Vlan 20 | 172.16.10.1/24 | SW-PORT5---- SW-PORT10 | |
VLAN30 | 10.0.1.1/24 | SW-PORT13--- SW-PORT18 | |
Vlan 40 | 172.16.20.1/24 | SW-PORT19--- SW-PORT22 | |
注意:
1)按照赛题要求,将每道题答案以文字说明加配置截图方式填写到答题文件中。DCRS需提交整机配置文件至答题文件夹。
2)保存位置:建立以“参赛工位号”为名称的答题文件夹,将答题文件保存至此文件夹中。
3)需要自己决定的配置信息,请预先规划并说明。例如“your password”需要自己设置密码。
第二部分:比赛试题(95分)
某公司建设私有云企业应用服务,搭建安全的云计算平台是首要任务,通过云安全平台实现计算资源的池化弹性管理,实现企业应用的集中管理、统一安全认证、授权管理等业务。作为系统管理和应用维护人员,需要进行云计算架构的设计、部署和管理。
云安全平台包括IaaS系统和PaaS系统,由2台物理机部署IaaS系统,其中一台物理机器部署IaaS 控制节点(Controller),另一台物理机器安装计算节点(Compute Node)。再通过I
aaS部署2台VM,一个VM部署PaaS平台,PaaS平台采用控制(Broker)和容器节点(Node) All-In-One的部署方案。
任务一:安全网络组建(10分)
1.根据拓扑图正确连接设备(此项不用截图)。
2.根据大赛规划设置IP地址与VLAN等基本信息(包括vlan路由RIP、默认路由、回指路由)。
3.为进一步保证内网安全,进行端口隔离,创建端口隔离组T1,并进行配置确保sw-port19,sw-port20不能互访。
4.为防止内网地址欺骗,在交换机上开启防地址欺骗功能,trust 端口:SW-PORT1、SW-PORT7、SW-PORT8,SW-PORT13、SW-PORT15,trust ip10.0.0.2/24,172.16.10.10/24,自动恢复时间3600。
5.在交换机上做ACL(110)控制,保证vlan40网段和vlan20网段不能互访,应用接口SW-PORT19,方向in。
6.为加强内部管控,在交换机中将pc2进行IP+MAC+端口绑定。
7.在防火墙中创建V2TW策略,实现内网VLAN20(防火墙规则中的地址组名称)网络访问外部internet中的主机,其他址段不能对外访问,要求PC1能ping通PC3,PC2不能ping通PC3。
8.内部WEB主机INWEB(防火墙规则中的内部WEB主机名称,地址10.0.1.30/24.),可以被Internet用户安全访问, 外部访问地址202.100.1.1,端口8080,防火墙规则名称WEBS, 测试页面202.100.1.1:8080/dashboard。
9.置防火墙规则denyim,控制内部主机在周一至周五早9点到18点(防火墙时间名称workt)不允许使用QQ等聊天工具(应用程序分类instant messenger)。
10.设置防火墙规则denyt,控制内部主机在周一至周五早9点到18点(防火墙时间名称workt)不允许访问非法网站tao(防火墙URL名称),URL内容:www.taobao,m.taobao。
任务二、IaaS基础系统准备(5分)
1.操作系统安装(此项不用截图)
根据云安全架构图,分别安装以下操作系统:
物理机1# 安装centos6.5x64操作系统,安装系统采用最小安装;
物理机2# 安装centos6.5x64操作系统,安装系统采用最小安装加桌面,创建第三分区并分配50G空间。
2.主机名检查
主机Hostname设置为:
物理机1# 主机名设为controller;
物理机2# 主机名设为compute。
3.按照IP规划表配置好网络,检查网络是否可以ping。
任务三、IaaS系统组建(25分)
1.服务器controller配置
1)配置相关参数(此项不用截图)
首先对服务器控制节点的配置信息文件进行自定义修改,规划IaaS控制节点的IP、待安装服务或中间件账号、密码。配置信息文件复制到答题目录下保存。参考如下:
注意:密码必须8位以上,包括字符、数字、字母组成。
Keystone管理员用户名称 | admin |
Keystone管理员密码 | your password |
租户用户名 | admin |
访问keystone服务的url地址 | controller:35357/v2.0 |
主机ip地址(内网) | 10.0.1.30/24 eth0 |
主机ip地址(外网) | 172.16.10.30/24 eth1 |
虚拟机的ip范围 | 172.16.10.129/25 |
Glance镜像的路径 | /var/lib/glance/images/ |
Glance镜像的ftp地址 | ftp://10.0.0.110/images |
Glance镜像文件名 | your image |
用户给镜像起的标签名 | "CentOS-6.5-x86_64" |
镜像文件格式名 | qcow2 |
身份服务数据库密码 | your password |
Mysql数据库root用户密码 | your password |
Keystone管理员的密码 | your password |
Glance数据库密码 | your password |
Glance用户的密码 | your password |
Nova数据库密码 | your password |
Nova用户的密码 | your password |
Dashboard的数据库密码 | your password |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论