资源简介 2024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:1.1.1.1/30,SW-2 BFD MAD接口IP地址为:1.1.1.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为 admin;配置所有设备 ssh 连接超时为 9分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 1分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 8.8.8.8 和114.114.114.144。AP 保留地址 10.10.130.9( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品3段自动分配IP地址,DNS 为 8.8.8.8 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为OSPF2023@。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路11 / 23S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为Skills123。配置 2 个ssid,分别为 SKILLS-2.4G 和 SKILLS-5G。SKILLS-2.4G 对应 Vlan140,用Network 140 和radio1(profile 1, mode n-only-g),用户接入无12 / 23线网络时需要采用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为80%。SKILLS-5G 对应 Vlan150,用 Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为Key-12345, SKILLS-5G 用倒数第一个可用VAP 发送 5G 信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnelipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。13 / 23模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。(三)Windows 云服务配置(本题共 200 分)14 / 231.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘Skills 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 Skills 10.10.10.101 windows1windows2 windows2022 Skills 10.10.10.102 windows2windows3 windows2022 Skills 10.10.10.103 windows310.10.20.101windows4 windows2022 Skills windows410.10.50.10110.10.20.102windows5 windows2022 Skills 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用skills\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期为 20 年,证书颁发机构的公用名为windows1.。复制“计算机”证书模板,名称为“计算机副15 / 23本”,申请并颁发一张供windows 服务器使用的证书,证书友好名称为pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=skills,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录下或该软件更改名称,也不能使用。16 / 234.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为100,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 60s,网站的带宽为 100Mbps。(2)在windows1 的C 分区划分 2GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。17 / 23(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装18 / 23(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。19 / 23(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端不活跃超时设置为30秒,Shell超过3分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.skills , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=skills,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL20 / 23命令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。21 / 23(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块20G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制600MB、硬限制1000MB。22 / 23(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:1.1.1.1/30,SW-2 BFD MAD接口IP地址为:1.1.1.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为 admin;配置所有设备 ssh 连接超时为 9分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 202.99.160.68 和 114.114.114.144 。 AP 保 留 地 址10.10.130.9 ( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品 3段自动分配 IP地址, DNS 为 202.99.160.68 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为OSPF2023@。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、11 / 23RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为Hbds123。配置 2 个ssid,分别为 HBDS-2.4G 和 HBDS-5G。HBDS-2.4G 对应 Vlan140,用 Network 140 和12 / 23radio1(profile 1, mode n-only-g),用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为80%。HBDS-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为Key-12345, HBDS-5G 用倒数第一个可用VAP 发送 5G 信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnel13 / 23ipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。14 / 23(三)Windows 云服务配置(本题共 200 分)1.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘Hbds 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 Hbds 10.10.10.101 windows1windows2 windows2022 Hbds 10.10.10.102 windows2windows3 windows2022 Hbds 10.10.10.103 windows310.10.20.101windows4 windows2022 Hbds windows410.10.50.10110.10.20.102windows5 windows2022 Hbds 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书15 / 23颁发机构有效期为 20 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录16 / 23下或该软件更改名称,也不能使用。4.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为100,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 60s,网站的带宽为 100Mbps。(2)在windows1 的C 分区划分 2GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。17 / 23(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装18 / 23(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。19 / 23(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端不活跃超时设置为30秒,Shell超过3分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命20 / 23令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。21 / 23(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块20G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制600MB、硬限制1000MB。22 / 23(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:2.2.2.1/30,SW-2 BFD MAD接口IP地址为:2.2.2.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为 admin;配置所有设备 ssh 连接超时为 9分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 202.99.160.68 和 114.114.114.144 。 AP 保 留 地 址10.10.130.9 ( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品 3段自动分配 IP地址, DNS 为 202.99.160.68 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为abc@123456。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、11 / 23RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为Hbds123。配置 2 个ssid,分别为 HBDS-2.4G 和 HBDS-5G。HBDS-2.4G 对应 Vlan140,用 Network 140 和12 / 23radio1(profile 1, mode n-only-g),用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为70%。HBDS-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-12345678, HBDS-5G 用倒数第一个可用VAP 发送 5G信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnel13 / 23ipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。14 / 23(三)Windows 云服务配置(本题共 200 分)1.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘Hbds 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 Hbds 10.10.10.101 windows1windows2 windows2022 Hbds 10.10.10.102 windows2windows3 windows2022 Hbds 10.10.10.103 windows310.10.20.101windows4 windows2022 Hbds windows410.10.50.10110.10.20.102windows5 windows2022 Hbds 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书15 / 23颁发机构有效期为 20 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录16 / 23下或该软件更改名称,也不能使用。4.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为200,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 20000,网站连接超时为 60s,网站的带宽为 200Mbps。(2)在windows1 的C 分区划分5GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。17 / 23(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装18 / 23(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。19 / 23(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端不活跃超时设置为30秒,Shell超过3分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命20 / 23令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。21 / 23(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块20G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制600MB、硬限制1000MB。22 / 23(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:3.3.3.1/30,SW-2 BFD MAD接口IP地址为:3.3.3.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为dcnadmin@999;配置所有设备 ssh 连接超时为 5分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 202.99.160.68 和 114.114.114.144 。 AP 保 留 地 址10.10.130.9 ( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品 3段自动分配 IP地址, DNS 为 202.99.160.68 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为dcnadmin@999。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、11 / 23RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为Hbds123。配置 2 个ssid,分别为 HBDS-2.4G 和 HBDS-5G。HBDS-2.4G 对应 Vlan140,用 Network 140 和12 / 23radio1(profile 1, mode n-only-g),用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为70%。HBDS-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-12345678, HBDS-5G 用倒数第一个可用VAP 发送 5G信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnel13 / 23ipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。14 / 23(三)Windows 云服务配置(本题共 200 分)1.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘Hbds 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 Hbds 10.10.10.101 windows1windows2 windows2022 Hbds 10.10.10.102 windows2windows3 windows2022 Hbds 10.10.10.103 windows310.10.20.101windows4 windows2022 Hbds windows410.10.50.10110.10.20.102windows5 windows2022 Hbds 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书15 / 23颁发机构有效期为 20 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录16 / 23下或该软件更改名称,也不能使用。4.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为200,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 20000,网站连接超时为 60s,网站的带宽为 200Mbps。(2)在windows1 的C 分区划分5GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。17 / 23(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装18 / 23(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。19 / 23(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命20 / 23令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。21 / 23(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块20G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制600MB、硬限制2000MB。22 / 23(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:5.5.5.1/30,SW-2 BFD MAD接口IP地址为:5.5.5.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为hbds@9999;配置所有设备 ssh 连接超时为 5分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 7.7.7.7 和114.114.114.144。AP 保留地址 10.10.130.9( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品3段自动分配IP地址,DNS 为7.7.7.7 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为dcnadmin@999。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路11 / 23S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为Hbds123。配置 2 个ssid,分别为 DS-2.4G 和 DS-5G。DS-2.4G 对应 Vlan140,用 Network 140 和radio1(profile 1, mode n-only-g),用户接入无线网络时需要采用基于12 / 23WPA-personal 加密方式,密码为 Key-1122,用第一个可用 VAP 发送2.4G 信号,设定AP的使用功率为70%。DS-5G 对应 Vlan150,用Network150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-12345678, HBDS-5G 用倒数第一个可用VAP 发送 5G 信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnelipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。13 / 23模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。(三)Windows 云服务配置(本题共 200 分)14 / 231.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘dssl 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 dssl 10.10.10.101 windows1windows2 windows2022 dssl 10.10.10.102 windows2windows3 windows2022 dssl 10.10.10.103 windows310.10.20.101windows4 windows2022 dssl windows410.10.50.10110.10.20.102windows5 windows2022 dssl 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期为 20 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供15 / 23windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录下或该软件更改名称,也不能使用。16 / 234.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为200,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 20000,网站连接超时为 60s,网站的带宽为 200Mbps。(2)在windows1 的C 分区划分5GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http17 / 23协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。18 / 23(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端19 / 23不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下20 / 23载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-21 / 23user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块20G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制500MB、硬限制1000MB。(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。22 / 23(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:6.6.6.1/30,SW-2 BFD MAD接口IP地址为:6.6.6.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为hbds@0000;配置所有设备 ssh 连接超时为 10分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 7.7.7.7 和114.114.114.144。AP 保留地址 10.10.130.9( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品3段自动分配IP地址,DNS 为7.7.7.7 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为dcnadmin@999。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路11 / 23S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为Hbds1234。配置 2 个ssid,分别为 DS-2.4G 和 DS-5G。DS-2.4G 对应 Vlan140,用 Network 140 和radio1(profile 1, mode n-only-g),用户接入无线网络时需要采12 / 23用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为60%。DS-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-12345678, HBDS-5G 用倒数第一个可用VAP 发送 5G信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnelipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。13 / 23模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。(三)Windows 云服务配置(本题共 200 分)14 / 231.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘dssl 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 dssl 10.10.10.101 windows1windows2 windows2022 dssl 10.10.10.102 windows2windows3 windows2022 dssl 10.10.10.103 windows310.10.20.101windows4 windows2022 dssl windows410.10.50.10110.10.20.102windows5 windows2022 dssl 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期为 20 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供15 / 23windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录下或该软件更改名称,也不能使用。16 / 234.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为200,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 30s,网站的带宽为 100Mbps。(2)在windows1 的C 分区划分3GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http17 / 23协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。18 / 23(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端19 / 23不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下20 / 23载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-21 / 23user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块40G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制20G,qu01、qu02都配置软限制500MB、硬限制1000MB。(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。22 / 23(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:7.7.7.1/30,SW-2 BFD MAD接口IP地址为:7.7.7.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为dcn123@dcn123;配置所有设备 ssh 连接超时为 1分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 7.7.7.7 和114.114.114.144。AP 保留地址 10.10.130.9( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品3段自动分配IP地址,DNS 为7.7.7.7 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为jnds@9950。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路11 / 23S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为11111111。配置 2 个ssid,分别为 jnds-2.4G 和 jnds-5G。DS-2.4G 对应 Vlan140,用 Network 140 和radio1(profile 1, mode n-only-g),用户接入无线网络时需要采12 / 23用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为90%。jnds-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-12345678,jnds-5G 用倒数第一个可用VAP 发送 5G信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnelipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。13 / 23模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。(三)Windows 云服务配置(本题共 200 分)14 / 231.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘dssl 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 dssl 10.10.10.101 windows1windows2 windows2022 dssl 10.10.10.102 windows2windows3 windows2022 dssl 10.10.10.103 windows310.10.20.101windows4 windows2022 dssl windows410.10.50.10110.10.20.102windows5 windows2022 dssl 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期为 20 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供15 / 23windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录下或该软件更改名称,也不能使用。16 / 234.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为200,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 30s,网站的带宽为 100Mbps。(2)在windows1 的C 分区划分3GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http17 / 23协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。18 / 23(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端19 / 23不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下20 / 23载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-21 / 23user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块40G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制20G,qu01、qu02都配置软限制500MB、硬限制1000MB。(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。22 / 23(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:7.7.7.1/30,SW-2 BFD MAD接口IP地址为:7.7.7.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为dcn123@dcn123;配置所有设备 ssh 连接超时为 1分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 7.7.7.7 和114.114.114.144。AP 保留地址 10.10.130.9( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品3段自动分配IP地址,DNS 为7.7.7.7 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为jnds@9950。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路11 / 23S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为11111111。配置 2 个ssid,分别为 jnds-2.4G 和 jnds-5G。DS-2.4G 对应 Vlan140,用 Network 140 和radio1(profile 1, mode n-only-g),用户接入无线网络时需要采12 / 23用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为90%。jnds-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-12345678,jnds-5G 用倒数第一个可用VAP 发送 5G信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnelipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。13 / 23模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。(三)Windows 云服务配置(本题共 200 分)14 / 231.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘dssl 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 dssl 10.10.10.101 windows1windows2 windows2022 dssl 10.10.10.102 windows2windows3 windows2022 dssl 10.10.10.103 windows310.10.20.101windows4 windows2022 dssl windows410.10.50.10110.10.20.102windows5 windows2022 dssl 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期为 10 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供15 / 23windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期10 年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录下或该软件更改名称,也不能使用。16 / 234.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为200,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 30s,网站的带宽为 100Mbps。(2)在windows1 的C 分区划分3GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http17 / 23协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。18 / 23(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端19 / 23不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下20 / 23载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-21 / 23user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块15G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制300MB、硬限制2000MB。(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。22 / 23(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:9.9.9.1/30,SW-2 BFD MAD接口IP地址为:9.9.9.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为dcn123@dcn123;配置所有设备 ssh 连接超时为 1分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 7.7.7.7 和114.114.114.144。AP 保留地址 10.10.130.9( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品3段自动分配IP地址,DNS 为7.7.7.7 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为jnds@9950。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路11 / 23S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为11111111。配置 2 个ssid,分别为 jnds-2.4G 和 jnds-5G。DS-2.4G 对应 Vlan140,用 Network 140 和radio1(profile 1, mode n-only-g),用户接入无线网络时需要采12 / 23用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为90%。jnds-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-12345678,jnds-5G 用倒数第一个可用VAP 发送 5G信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnelipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。13 / 23模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。(三)Windows 云服务配置(本题共 200 分)14 / 231.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘hbjnds 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 hbjnds 10.10.10.101 windows1windows2 windows2022 hbjnds 10.10.10.102 windows2windows3 windows2022 hbjnds 10.10.10.103 windows310.10.20.101windows4 windows2022 hbjnds windows410.10.50.10110.10.20.102windows5 windows2022 hbjnds 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期为 5 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供15 / 23windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期5年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录下或该软件更改名称,也不能使用。16 / 234.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为300,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 1分钟,网站的带宽为 100Mbps。(2)在windows1 的C 分区划分1GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http17 / 23协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。18 / 23(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端19 / 23不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下20 / 23载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-21 / 23user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块15G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制300MB、硬限制2000MB。(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。22 / 23(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 10MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 232024 年河北省职业院校技能大赛网络建设与运维赛项赛题赛题说明一、竞赛项目简介“网络建设与运维”竞赛共分为模块一:网络理论测试;模块二:网络建设与调试;模块三:服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。表 1 竞赛时间安排与分值权重模块 比赛时长 分值 答题方式模块一 网络理论测试 0.5 小时 10% 在线测试模块二 网络建设与调试 40% 设备实操3.5 小时模块三 服务搭建与运维 50% 设备实操合计 4 小时 100%二、竞赛注意事项1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。3. 请参赛选手仔细阅读赛卷,按照要求完成各项操作。4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。5. 竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将2 / 23竞赛所用的所有物品(包括试卷等)带离赛场。6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。7. 与比赛相关的软件和文档存放在/soft 文件夹中。8. 请在贴有“pc1-赛位号”U 盘(赛位号从 01-99 变化)根目录新建“xx”文件夹作为“选手目录”(xx 为赛位号。举例:1 号赛位,文件夹名称为“01”),按照 U 盘中“答案提交指南.txt”要求生成答案文档,将答案文档复制到选手目录。9. server1 管理 web 网址http://192.168.100.100/dashboard,管理员为admin,密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122,题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。10. server2 管理web 网址http://192.168.2.10,管理员为Admin,密码为Admin@123。11. 使用完全合格域名访问网络资源。3 / 23模块二:网络建设与调试(共计 400 分)任务背景描述:某集团公司原在A市建立了总公司,后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机,编号为 SW2 的设备作为总公司 2#DC 核心交换机;编号为 SW3 的设备作为某市灾备 DC 核心交换机;编号FW1 的设备作为总公司互联网出口防火墙;编号为FW2 的设备作为分公司防火墙;编号为 RT1 的设备作为总公司核心路由器;编号为RT2 的设备作为分公司路由器;编号为 AC1 的设备作为分公司的有线无线智能一体化控制器,通过与AP1 配合实现所属区域无线覆盖。注意:在此典型互联网应用网络架构中,作为 IT 网络运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有配置后,需从客户端进行测试,确保能正常访问到相应应用。4 / 23网络拓扑图及IP 地址表:1. 网络拓扑图2. 网络设备 IP 地址分配表设备名称 设备接口 IP 地址10.10.1.1/32Loopback1 ospfv2 ospfv3 bgp 2002:10:10:1::1/128Vlan1 192.168.1.2/24Vlan2 192.168.2.1/2410.10.10.1/24Vlan10 2002:10:10:10::1/6410.10.20.1/24Vlan20 2002:10:10:20::1/6410.10.30.1/24SW-Core Vlan30 2002:10:10:30::1/6410.10.40.1/24Vlan40 2002:10:10:40::1/6410.10.50.1/24Vlan50 2002:10:10:50::1/64Vlan100 192.168.100.1/24Vlan1000 10.10.255.1/3010.10.255.5/30Vlan10012001:10:10:255::5/127Vlan1002 10.10.255.9/30SW3 Vlan1 192.168.1.1/24SW3 模拟 Vlan1004 200.200.200.1/30Internet Vlan1003 200.200.200.5/30Loopback1 rip 10.10.4.1/32AC1Vlan1001 10.10.255.14/3010.10.5.1/32Loopback1 ospfv2 ospfv3 bgp mpls2001:10:10:5::1/12810.10.5.3/32Loopback3 vpn 财务2002:10:10:5::3/128G0/0 10.10.255.21/3010.10.255.6/30RT1 G0/22001:10:10:255::4/127G0/3 10.10.255.10/3010.10.255.25/30S1/02001:10:10:255::/12710.10.255.29/30S1/12001:10:10:255::A/12710.10.6.1/32Loopback1 ospfv2 ospfv3 bgp mplsRT2 2002:10:10:6::1/128Loopback2 isis 10.10.6.2/326 / 23设备名称 设备接口 IP 地址2002:10:10:6::2/12810.10.6.3/32Loopback3 vpn 财务2002:10:10:6::3/128G0/0 10.10.255.22/30G0/2 10.10.255.18/3010.10.31.1/24G0/3.1312002:10:10:31::1/6410.10.32.1/24G0/3.1322002:10:10:32::1/6410.10.33.1/24G0/3.1332002:10:10:33::1/6410.10.34.1/24G0/3.1342002:10:10:34::1/6410.10.35.1/24G0/3.1352002:10:10:35::1/6410.10.255.30/30S1/02001:10:10:255::B/12710.10.255.26/30S1/12001:10:10:255::1/12710.10.7.1/32Loopback1 ospfv2 ospfv3 trust2002:10:10:7::1/128Loopback2 rip trust 10.10.7.2/32Loopback4 trust 10.10.7.4/32Tunnel1 ipsecvpn untrust 1.1.1.1/30FW1Tunnel4 VPNHUB 10.10.255.49/30E0/1 dmz 10.10.255.13/30E0/2 trust 10.10.255.2/30E0/3 trust 10.10.255.2/30E0/4 untrust 200.200.200.2/30Tunnel1 ipsecvpn untrust 1.1.1.2/30Tunnel4 VPNHUB 10.10.255.50/3010.10.8.2/32Loopback2 trust2002:10:10:8::2/128Loopback4 trust 10.10.8.4/32E0/2 trust 10.10.255.17/30FW2 E0/3 untrust 200.200.200.6/3010.10.130.1/24Vlan130 无线管理2002:10:10:130::1/6410.10.140.1/24Vlan140 无线 2.4G 产品2002:10:10:140::1/6410.10.150.1/24Vlan150 无线 5G 营销2002:10:10:150::1/647 / 23(一)工程统筹(本题共 15 分)1. 职业素养(1)整理赛位,工具、设备归位,保持赛后整洁序。(2)无因选手原因导致设备损坏。(3)恢复调试现场,保证网络和系统安全运行。2. 网络布线(1)跳线制作与测试。根据网络拓扑要求,截取适当长度和数量的双绞线,所有网络跳线要求按 T568B 标准制作端接水晶头,插入相应设备的相关端口上,实现 PC、设备之间的连通。(二)交换配置(本题共 120 分)1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备,网管人员可对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。(1)两台设备之间建立一个vsf port-group,vsf port-group编号都为2,每个vsf port-group绑定两个千兆光端口。(2)SW-1:成员编号为1,域编号为32,优先级为32;SW-2:成员编号为16,域编号为32,优先级为1;正常情况下SW-1负责管理整个VSF。(3)使用VLAN 4090 进行BFD MAD分裂检测,SW-1 BFD MAD IP地址为:9.9.9.1/30,SW-2 BFD MAD接口IP地址为:9.9.9.2/30,配置VSF链路down延迟上报时间为0.5s。8 / 232. 配置SW-Core的二层链路只允许下面Vlan 通过,不限制vlan1。设备 Vlan 编号 端口 说明Vlan10 E1/0/11;E16/0/11 产品 1 段Vlan20 E1/0/12;E16/0/12 营销 1 段E1/0/13;E16/0/13SW-Core Vlan30 法务 1 段Vlan40 E1/0/14;E16/0/14 人力 1 段Vlan50 E1/0/15;E16/0/15 财务 1 段Vlan10 E1/0/1 产品 1 段SW3Vlan20 E1/0/2 营销 1 段Vlan30 E1/0/3 法务 1 段Vlan40 E1/0/4 人力 1 段Vlan50 E1/0/5 人力 1 段3. 配置相关技术,方便后续链路扩容与冗余备份,编号为 10,用 LACP协议,SW1 为active,FW1 为active;采用目的、源 IP 进行实现流量负载分担。4. 为方便后续验证与测试,将 SW3 模拟分公司交换机,实现与集团其它业务路由表隔离,分公司路由表VPN 实例名称为Subcom,RD 为 1:1。业务网段按下表要求分配接口。设备 Vlan 编号 端口 说明Vlan31 E1/0/11 产品 3 段Vlan32 E1/0/12 营销 3 段SW3 Vlan33 E1/0/13 法务 3 段Vlan34 E1/0/14 人力 3 段Vlan35 E1/0/15 财务 3 段5. 将 SW3 模拟为 Internet交换机,实现与集团其它业务路由表隔离,Internet 路由表 VPN 实例名称为Internet,RD 为 2:2。6. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW3交换机E1/0/16-E1/0/17接口测试,将核心交换9 / 23机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。配置使用远程交换Vlan为2023,SW1核心交换机端口20做流量反射。7. 配置相关技术,避免SW-Core和SW3之间形成环路:产品和营销1段业务网段划分到1组,法务、人力和财务1段业务网段划分到2组;组1优先选择SW3的E1/0/10作为转发业务主端口,选择SW3的E1/0/20作为转发业务副端口;组2优先选择SW3的E1/0/20作为转发业务主端口,选择SW3的E1/0/10作为转发业务副端口;均开启抢占模式,并使用VLAN2000做为控制VLAN;网络设备开启MAC地址更新和ARP删除的flush报文的发送、接收功能。8. 避免SW1和SW2出现故障后,SW3无法感知上联设备的故障,造成数据流量的丢失。配置相关技术,根据上联设备故障情况自动切换数据传输线路。(三)路由调试(本题共 125 分)1. 配置所有设备主机名,名称见“网络拓扑”。启用所有设备的 ssh 服务,用户名和明文密码均为dcn123@dcn123;配置所有设备 ssh 连接超时为 1分钟,console 连接不做登录超时限制。2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间,SW1配置为 ntp server,其他设备为ntp client,请求报文时间间隔 2分钟,用SW1 Loopback1 IPv4 地址作为 ntp server 地址。3. 配置接口 IPv4 地址和 IPv6 地址,互联接口 IPv6 地址用本地链路10 / 23地址。4. AC配置DHCPv4功能,分别为分公司无线Vlan130、Vlan140、Vlan150分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 , 排除网关,DNS 为 222.222.222.222 和 114.114.114.144 。 AP 保 留 地址10.10.130.9 ( DHCPv4 地址池名称为 AP)。RT2配置DHCPv4功能,为分公司产品3段自动分配IP地址,DNS 为 222.222.222.222 和114.114.114.144。5. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和OSPFv3 协议(路由模式发布网络用网络地址)。(1) RT1和RT2之间OSPFv2 和OSPFv3 协议,process 1,area 0,分别发布 Loopback1 地址路由和产品路由。(2) SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议,process 1,area 1,分别发布Loopback1 地址路由和产品路由。;(3) SW-Core和FW1 之间OSPFv2 和OSPFv3 协议,OSPFv2:process1,area 2,OSPFv3:process 1,area 1,发布 Loopback1 地址路由, FW1 在OSPFv2中通告默认路由。(4) 为增加IPv4网络数据传输中的安全性,需在骨干区域配置基于区域,非骨干区域配置基于端口的md5安全认证,认证密钥均为jnds@9950。6. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、11 / 23RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议;RT1 串行链路S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议;SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议;IPv4与IPv6协议均发布人力、财务路由,并使得总部与分部的人力、财务互通。7. FW2和RT2之间运行ISIS 协议,实现Loopback2 之间 IPv4 互通和IPv6 互通。 FW2和 RT2 的 NET 分别为 10.0000.0000.0001.00 、10.0000.0000.0002.00 、路由器类型是Level-2。8. SW-Core、RT1、RT2之间运行BGP 协议,SW-Core、RT1的AS号为65001、RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6BGP邻居, RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW-Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。9. 利用BGP MPLS VPN 技术,RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例,名称为Finance, RT1 的RD 值为 1:1,export rt 值为 1:2,import rt值为 2:1;RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居,分别实现两端Loopback3 IPv4 互通和IPv6 互通。(四)无线部署(本题共 60 分)1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册,AP 采用密码认证,密码为11111111。配置 2 个ssid,分别为 jnds-2.4G 和 jnds-5G。DS-2.4G 对应 Vlan140,用 Network 140 和12 / 23radio1(profile 1, mode n-only-g),用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为 Key-1122,用第一个可用VAP 发送 2.4G 信号,设定AP的使用功率为90%。jnds-5G 对应 Vlan150,用Network 150 和 radio2(profile 1, mode n-only-a),开启WAPI认证,密码为dcn-11111111,jnds-5G 用倒数第一个可用VAP 发送 5G信号,设置每分钟跨信道扫描无线信号。(五)安全维护(本题共 80 分)说明:按照 IP 地址从小到大的顺序用“IP/mask”表示,IPv4 Any地址用 0.0.0.0/0,IPv6 Any 地址用::/0,禁止使用地址条目。1.FW1 配置IPv4 NAT,id 为 1,实现集团产品 1 段 IPv4 访问 InternetIPv4,保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。2. FW1 配置 NAT64,id 为 2,实现集团产品 1 段 IPv6 访问 InternetIPv4,转换为出接口 IP,IPv4 转IPv6 地址前缀为 64:ff9b::/96。3.FW1 和 FW2 策略默认动作为拒绝,并根据题意设置FW1和FW2的策略条目,dmz区域要求使用明细地址条目。4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN, 实现Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1,isakmp peer 名称为 PEER,ipsec proposal 名称为P2,tunnel13 / 23ipsec 名称为IPSEC,使用tunnel1 做隧道传输接口。模块三:服务搭建与运维(共计 500 分)任务背景描述:随着信息技术更迭,集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。(一)X86 架构计算机安装与管理(本题共 50 分)1. PC1 系统为 ubuntu-desktop-amd64 系统,登录用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装remmina,用该软件连接server1 上的虚拟机,并配置虚拟机上的相应服务。3. 安装qemu、libvirt和virt-install。(二)ARM64 架构计算机操作系统安装与管理(本题共 50 分)1. 从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装时创建用户为 xiao,密码为 Key-1122。在对系统配置之前请进行提权,设置根用户密码为Key-1122。2. 安装配置minicom,用该软件连接网络设备。14 / 23(三)Windows 云服务配置(本题共 200 分)1.创建实例网络信息表网络名称 Vlan 子网名称 网关 IPv4 地址池Net10 10 Sub10 10.10.10.1/24 10.10.10.100-10.10.10.199Net20 20 Sub20 10.10.20.1/24 10.10.20.100-10.10.20.199Net50 50 Sub50 10.10.50.1/24 10.10.50.100-10.10.50.199实例类型信息表(提示:删除所有已有实例类型)名称 id vcpu 内存 磁盘hbjnds 1 4 4096MB 100GB实例信息表实例名称 镜像 实例类型 IPv4 地址 主机名称windows1 windows2022 hbjnds 10.10.10.101 windows1windows2 windows2022 hbjnds 10.10.10.102 windows2windows3 windows2022 hbjnds 10.10.10.103 windows310.10.20.101windows4 windows2022 hbjnds windows410.10.50.10110.10.20.102windows5 windows2022 hbjnds 10.10.50.102 windows52.域服务任务描述:请采用域环境,管理企业网络资源。(1)配置windows1 为 域控制器安装 dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。配置windows2 为 辅助域控制器;安装dns 服务,dns 正反向区域在active directory 中存储,负责该域的正反向域名解析。把其他windows 主机加入到 域。所有 windows 主机(含域控制器)用hbds\Administrator 身份登陆。(2)在 windows1 上安装证书服务,为 windows 主机颁发证书,证书15 / 23颁发机构有效期为 5 年,证书颁发机构的公用名为 windows1.。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供windows 服务器使用的证书,证书友好名称为 pc,证书信息:证书有效期=10年,公用名=,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和 。浏览器访问https 网站时,不出现证书警告信息。(3)在 windows2 上安装从属证书服务, 证书颁发机构的公用名为windows2.。(4)在windows1 上行政部、人事部、技术部3个组织单元,其名称分别为 ADMIN、HR、IT 的 3 个组织单元;每个组织单元内新建与组织单元同名的安全组:全局安全组ADMIN、本地安全组HR、本地安全组IT;在组内新建 30 个用户:行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30,设置用户密码与用户名相同,并将用户移动到各自对应的组织单元内,不能修改其口令,密码永不过期。ADMIN10 拥有域管理员权限。3.组策略任务描述:请采用组策略,实现软件、计算机和用户的策略设置。(1)配置相关策略,实现所有域用户登录服务器时不自动显示服务器管理器。(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书,该模板可用作“服务器身份验证”,有效期5年。(3)允许ADMIN 组本地登录域控制器,允许 ADMIN10 用户远程登录到域控制器;拒绝HR组从网络访问域控制器。(4)禁用软件 calc.exe,即使该软件不在 C:\Windows\System32\目录16 / 23下或该软件更改名称,也不能使用。4.远程桌面任务描述:请采用RDS,实现远程桌面web方式访问。安装和配置 RDS 服务,用户可通过https://windows3./rdweb访问windows3主机远程桌面, 远程桌面证书由从属证书服务器颁发,友好名称为 Y3-CRT。配置RDP会话集合,并保证能够在远程访问时可以看到会话名称,只允许技术组用户使用此功能。配置负载平衡会话限制为300,客户端可以使用服务器的驱动器、打印机,共享剪贴板。将所有用户配置和数据存储到c:\RDP目录下,并设置用户仅获取 msedge程序应用权限。5.NLB 服务任务描述:请采用NLB,实现负载平衡。 配置windows4和 windows5为NLB 服务器。(1)Windows4群集优先级为 4,windows5群集优先级为 5,群集 IPv4地址为 10.10.20.103/24,群集名称为 www.。配置 windows4为 web 服务器,站点名称为 www,网站的最大连接数为 10000,网站连接超时为 1分钟,网站的带宽为 100Mbps。(2)在windows1 的C 分区划分1GB 的空间,创建 NTFS 主分区,驱动器号为 T;(3)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”,内容为“当前时间为:系统时间”,系统时间格式为yyyy/mm/dd hh:mm:ss,且时间实时更新。17 / 23(4)使用W3C 记录日志,每小时创建一个新的日志文件,日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http协议访问网站时,自动跳转至https域名加密访问访问(使用“计算机副本”证书模板,友好名称为Y4-CRT)。(5)配置 windows5 为 web 服务器,要求采用共享 windows4 配置的方式, 使用“计算机副本”证书,友好名称为Y5-CRT。(6)通过windows3主机进行测试。客户端访问时,必需有 ssl 证书(浏览器证书模板为“管理员”)。6.创建Windows Server 2022虚拟机,虚拟机信息如下:虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名Windows6 2 4096MB 40GB 10.10.30.101/24 Windows6.Windows7 2 4096MB 40GB 10.10.30.102/24 Windows7.(1)安装windows6,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。关闭防火墙,安装并启动DNS服务。(2)安装windows7,系统为Windows Server 2022 Datacenter(Core版),网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动,并加入到Windows AD中。在windows7中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5,驱动器盘符为T,卷标为RAID5。关闭防火墙,安装启动DCHP服务,并将DHCP服务器在Windows AD中授权。(四)Linux 云服务配置(本题共 200 分)1.系统安装18 / 23(1)PC1 浏览器连接server2,给server2 安装 rocky-arm64 CLI 系统(语言为英文)。(2)配置Server2 的IPv4 地址为 10.10.40.100/24。(3)安装qemu、libvirt 和virt-install。(4)创建rocky-arm64 虚拟机,虚拟机磁盘文件保存在根用户家目录,名称为linuxN.qcow2(N 表示虚拟机编号 0-6,如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下:虚拟机名称 vcpu 内存 磁盘 IPv4 地址 主机名称linux0 2 4096MB 80GB nonelinux1 2 4096MB 80GB 10.10.40.101/24 linux1linux2 2 4096MB 80GB 10.10.40.102/24 linux2linux3 2 4096MB 80GB 10.10.40.103/24 linux3linux4 2 4096MB 80GB 10.10.40.104/24 linux4linux5 2 4096MB 80GB 10.10.40.105/24 linux5linux6 2 4096MB 80GB 10.10.40.106/24 linux6(5)安装linux0,系统为 rocky9 CLI,网络模式为桥接模式,用户root密码为 Key-1122。(6)关闭linux0,给linux0 创建快照,快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。2.dns 服务任务描述:创建DNS 服务器,实现企业域名访问。配置linux 主机的 IP地址和主机名称。(1)所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。19 / 23(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证,禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为/var/named/named.40。所有linux主机对应的域名格式为:主机名.。3.Openssl证书服务任务描述:创建证书服务器,实现安全通讯访问。(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为linux 主机颁发证书。(2)证书颁发机构有效期 10 年,公用名为 linux1.。私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem;CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5年,公用名= China-,国家=CN,省=XX,城市=XX,组织=hbds,组织单位=system,使用者可选名称=*. 和。要求浏览器访问https 网站时,不出现证书警告信息。(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为index.html,目录为/var/www/CA/,域名为ca.。为确保证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命20 / 23令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下载证书!”。4.ansible 服务任务描述:请采用ansible,实现自动化运维。(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为:hostname”,hostname为各对应主机的FQDN全名。5.nginx 和tomcat 服务任务描述:利用系统自带tomcat,搭建 Tomcat网站。(1)配置 linux2 为 nginx 服务器,网站目录为/www/nginx,默认文档 index.html 的内容为“HelloNginx”;仅允许使用域名访问,http访问自动跳转到 https。(2)配置 linux3 和 linux4 为 tomcat 服务器,网站目录均为/www/tomcat,网站默认首页内容分别为“tomcatA”和“tomcatB”,使用http默认80端口。(3)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡, 通过 https://tomcat. 加密访问 Tomcat服务器,http 访问通过301 自动跳转到https。6.samba 服务任务描述:请采用samba 服务,实现资源共享。(1)配置 linux3 为 samba 服务器,建立共享目录/sharesmb,共享名与目录名相同。21 / 23(2)新建用户user00-user03, 用户名和密码相同。user00 和user01添加到 admin 组,user02 和 user03 添加到 hr 组。把用户 user00-user03 添加到samba 用户。(3)admin 组用户对sharesmb共享有读写权限,hr 组对 sharesmb 共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。(4)在本机用smbclient 命令测试。(5)在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb,同时防止运行恶意脚本运,禁止运行.sh文件,禁止在挂载命令中显示明文密码。7.脚本编写任务描述:编写脚本,实现快速批量操作。(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户,每个用户名用 “test00” 至“test99”,密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年12月31日。8.磁盘配额限制服务任务描述:请采用配额功能,管理用户存储使用。(1)在Linux6主机上添加1块15G硬盘,硬盘文件为linux6_1.qcow2,保存在根用户家目录,并格式化为ext4文件系统,并开机自动挂载到/data/quota目录下。(2)在linux6 上创建 qu01-qu03 等3个用户,用户密码与用户名相同。(3)在/data/quota的存储配额:root用户硬限制10G,qu01、qu02都配置软限制300MB、硬限制2000MB。22 / 23(4)当用户qu01在linux6登录时,系统自动显示当前用户磁盘配额使用情况。(5)实现自动化的配额管理,每天0点0分自动用户qu03的配额限制设置为软限制300M、硬限制1200M。9.邮件服务任务描述:请采用postfix,搭建邮件服务器。(1)在“云主机6”中使用postfix安装配置邮件服务器:邮箱容量限制为 15MB,超过限制的邮件将会被拒绝;配置“云主机1”的域名服务器负责完成域的邮件域名解析;建立两个邮件账号:mail1、mail2;实现区域内的邮件收发。启用SSL/TLS,仅支持SMTPS和IMAPS;使用windows1证书服务器签名的证书;(2)在/share/postfix/创建内容为“测试附件”的文件TEST.txt,发送一封测试邮件:mail1发给mail2,邮件主题为“网络建设运维赛项已开赛!”,邮件内容为“ 你好,祝你们取得好成绩!” 邮件附件为:TEST.txt。(3)启用邮件群发服务,群发一封测试邮件:mail2发给dcn,邮件主题为“技术和研发通知”,邮件内容为“ 网络建设运维赛项已开赛,请做好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。23 / 23 展开更多...... 收起↑ 资源列表 2024年河北省中职组网络建设与运维赛项试卷-1.pdf 2024年河北省中职组网络建设与运维赛项试卷-10.pdf 2024年河北省中职组网络建设与运维赛项试卷-2.pdf 2024年河北省中职组网络建设与运维赛项试卷-3.pdf 2024年河北省中职组网络建设与运维赛项试卷-4.pdf 2024年河北省中职组网络建设与运维赛项试卷-5.pdf 2024年河北省中职组网络建设与运维赛项试卷-6.pdf 2024年河北省中职组网络建设与运维赛项试卷-7.pdf 2024年河北省中职组网络建设与运维赛项试卷-8.pdf 2024年河北省中职组网络建设与运维赛项试卷-9.pdf
资源列表