提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
前言一、网络环境二、技能要求总结前言
提示:敲代码前一定要审题并思路明确
例如:集团接入交换机与核心交换机之间的互连接口发送 AP&交换机管理
VLAN的报文时不携带标签,发送其它 VLAN的报文时携带标签,要求禁止采
用 trunk 链路类型
这里就要审题清楚,禁止采用trunk链路类型。
需要设备解析的可以私我
一、网络环境:
二、技能要求
年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
竞赛说明
1. 竞赛内容分布
“网络搭建与应用”竞赛共分五个部分,其中:
第一部分:网络组建与配置(350分)
第二部分:云平台配置(80分)
第三部分:Windows系统配置(200分)
第四部分:Linux系统配置(200分)
第五部分:职业规范与素养(20分)
2. 竞赛注意事项
(1) 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(2) 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清
单是否齐全,计算机设备是否能正常使用。
(3) 请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4) 操作过程中,需要及时保存设备配置。
(5) 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最
终结果。
(6) 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的
所有物品(包括试卷和草纸)带离赛场。
(7) 禁止在纸质资料、比赛设备上填写任何与竞赛无关的标记,如违反规定,
可视为 0分。
(8) 与比赛相关的工具软件放置在每台主机的 D盘 soft文件夹中。
(9) 进入竞赛施工现场,施工人员需佩戴安全帽(项目设计阶段除外)。
(10) 竞赛所用器材、耗材,在竞赛开始前已全部发放到各个竞赛工位,保证
充分满足竞赛需求。竞赛开始前,请仔细核对材料确认单,并签字确认(未签字
确认前禁止开始比赛)。竞赛过程中,不再另行发放器材、耗材。
(11) 竞赛过程中,参赛队要做到工作井然有序、不跨区操作、不喧哗,竞赛
施工材料、加工废料、施工模块等分区有序存放。
3. 项目简介
某集团公司原在北京建立了总部,在郑州设立了办事处。总部设有销售、产
品、法务、财务、信息技术 5个部门,统一进行 IP及业务资源的规划和分配,全
网采用 OSPF动态路由协议和静态路由协议进行互连互通。
公司规模在 快速发展,业务数据量和公司访问量增长巨大。为了更好
管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达
到快速、可靠交换数据,以及增强业务部署弹性的目的。
集团、办事处的网络结构详见“主要网络环境”拓扑图。
其中一台 CS6200 交换机编号为 SW-3,用于实现终端高速接入;两台 CS6200
交换机作为总部的核心交换机;两台 DCFW-1800 分别作为集团、郑州办事处的防
火墙;一台 DCWS-6028 作为集团的有线无线智能一体化控制器,编号为 DCWS,通
过与 WL8200-I2高性能企业级 AP配合实现集团无线覆盖。
第一部分:网络组建与配置(350分)
【说明】
1. 交换机、 DCWS、防火墙使用同一条 console线;
2. 设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要
评分依据。所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放
置在 PC1桌面的“比赛文档_X”(X为赛位号)文件夹中;
3. 保存文档方式如下:
交换机、DCWS 要把 show running-config 的配置、防火墙要把 show configuration
的配置保存在 PC1 桌面上的“比赛文档_X”文件夹中,文档命名规则为:设备名称.txt。例
如:SW-1交换机文件命名为:SW-1.txt;
无论通过 SSH、telnet、Console登录防火墙进行 show configuration配置收集,需
要先调整 CRT软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。CRT软件调
整字符编号配置如图:
一、 网络布线与基础连接
右侧布线面板立面示意图 左侧布线面板立面示意图
说明
1. 机柜左侧布线面板编号 101;机柜右侧布线面板编号 102。
2. 面对信息底盒方向左侧为 1端口、右侧为 2端口。所有配线架、模块按照 568B标
准端接。
3. 主配线区配线点与工作区配线点连线对应关系如下表所示。
PC1、PC2配线点连线对应关系表
序
号
信息点编号 配线架编
号
底盒编
号
信息点编
号
配线架端口编
号
1 W1-02-101-1 W1 101 1 02
2 W1-06-102-1 W1 102 1 06
(一) 、铺设线缆并端接
1. 截取 2 根适当长度的双绞线,两端制作标签,穿过 PVC 线槽或线管。双绞线在
机柜内部进行合理布线,并且通过扎带合理固定;
2. 将 2 根双绞线的一端,根据“PC1、PC2配线点连线对应关系表“的要求,端接在
配线架的相应端口上;
3. 将 2 根双绞线的另一端,根据“PC1、PC2配线点连线对应关系表”的要求,端接
上 RJ45 模块,并且安装上信息点面板,并标注标签。
(二) 、跳线制作与测试
1. 再截取 2 根当长度的双绞线,两端制作标签,根据“PC1、PC2配线点连线对应关
系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳线,所
有网络跳线要求按 568B 标准制作;
2. 根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线,
根据题目要求,插入相应设备的相关端口上;(包括设备与设备之间、设备与配线
架之间);
3. 实现 PC、信息点面板、配线架、设备之间的连通;(提示:可利用机柜上自带的
设备进行通断测试);
4. PC1连接 102底盒 1端口、PC2连接 101底盒 1端口。
二、 交换配置与调试
(一) 为了减少广播,需要根据题目要求规划并配置 VLAN。具体要求如下:
1. 配置合理,所有链路上不允许不必要 VLAN的数据流通过,包括 VLAN 1;
2. 集团接入交换机与核心交换机之间的互连接口发送 AP&交换机管理 VLAN 的报文时不
携带标签,发送其它 VLAN的报文时携带标签,要求禁止采用 trunk链路类型;
3. 当财务业务 VLAN 物理端口接收到的流量大于端口缓存所能容纳的大小时,端口将通
知向其发送流量的设备减慢发送速度,以防止丢包;当法务业务 VLAN物理端口收包 BUM报文
速率超过 2000packets/s则关闭端口,10分钟后恢复端口。
4. 根据下述信息及表,在交换机上完成 VLAN配置和端口分配。
设备 VLAN编号 VLAN 名称 端口 说明
SW-3 VLAN10 XS E1/0/6 销售
VLAN20 CP E1/0/7 产品
VLAN30 FW E1/0/8 法务
VLAN40 CW E1/0/9 财务
VLAN50 XXJS E1/0/10 至
E1/0/12
信息技术
VLAN200 GL E1/0/13 AP&交换机管理
VLAN
(二) 在集团核心交换机 SW-1和 SW-2、接入交换机 SW-3间运行一种协议,具体要求如
年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
6/25
下:
1. 实现销售、产品、信息技术业务优先通过 SW-1至 SW-3间链路转发,法务、财务、AP&
交换机管理等业务优先通过 SW-2至 SW-3间链路转发,从而实现 VLAN流量的负载分担与相互
备份;
2. 设置路径开销值的取值范围为 1-65535,BPDU支持在域中传输的最大跳数为 7跳;同
时不希望每次拓扑改变都清除设备 MAC/ARP表,全局限制拓扑改变进行刷新的次数;
3. 加速接入交换机所有业务端口收敛,当接口收到 BPDU 丢弃报文并关闭端口,如果 5
分钟内没有收到 BPDU报文,则恢复该端口。
(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议,为所有业务 VLAN 实现网关
冗余,具体要求如下:
1. 虚地址使用该 VLAN中的最后一个可用 IP、SW-1使用该 VLAN中的倒数第三可用 IP、
SW-2使用该 VLAN中的倒数第二可用 IP,SW-1为销售、产品、信息技术业务的 Master,SW-2
为法务、财务、AP&交换机管理等业务的 Master,且互为备份;每隔 3s,VRRP备份组中的 Master
发送 VRRP报文来向组内的三层交换机通知自己工作状态;
2. 监视上行链路状态,当上行链路故障时,Slave设备能够接管 Master设备转发数据;
而当链路故障恢复后,原 Master设备接管 Slave设备转发数据。
(四) 因集团销售人员较多、同时也为了节约成本,在集团接入交换机下挂两个 8口 HUB
交换机实现销售业务接入,集团信息技术部已经为销售业务 VLAN分配 IP主机位为 1-14,在
集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发,对 IP 不在上述范围内的
用户发来的数据包,交换机不能转发,直接丢弃, 要求禁止采用访问控制列表实现。
(五) 集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层,当发现单向链
路后,要求自动地关闭互连端口;发送握手报文时间间隔为 5s, 以便对链路连接错误做出更
快的响应,如果某端口被关闭,经过 30分钟,该端口自动重启。
(六) SW-2既作为集团核心交换机,同时又使用相关技术将 SW-2模拟为 Internet交换
机,实现集团内部业务路由表与 Internet路由表隔离。
(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在
SW-1核心交换机 E1/0/10-E1/0/11接口测试,将核心交换机与接入交换机、防火墙互连流量
提供给多个厂商网流分析平台。
三、 路由配置与调试
(一) 尽可能加大集团防火墙与核心交换机之间链路带宽;
(二) 规划集团使用 OSPF协议进行互连互通,进程号为 1,具体要求如下:
1. 集团防火墙与集团核心交换机之间、集团核心交换机与集团核心交换机之间均属于骨
干区域;
2. 借助 OSPF相关特性,尽可能保证骨干区域完整性;
3. 针对骨干区域启用区域 MD5 验证,验证密钥为:DCN,调整接口的网络类型加快
邻居关系收敛;
4. 集团防火墙将访问郑州办事处业务网段的静态路由引入 OSPF。
(三) 实现集团销售&产品&信息技术&无线业务、统一通过集团防火墙访问 Internet,
轮询使用 NAT 地址为:202.99.192.4/30,针对上述源地址,限制单个 IP 地址能建立 NAT 翻
译表项的最大数目为 100;配置一对一地址转换,实现通过 Internet 任意位置访问
202.99.192.8/32都可以访问至集团 OA平台 10.XX.10.1/32(XX与“主要网络环境”地址中
相应网段一致)进行数据查询;郑州办事处业务网段通过郑州办事处防火墙访问 Internet,
NAT地址池为接口公网 IP。
(四) 集团防火墙与郑州办事处防火墙之间使用与 Internet 的接口互联地址建立
GRE隧道,再使用 IPSEC技术对 GRE隧道进行保护,使用 IKE协商 IPSec安全联盟、交换 IPSec
密钥,两端加密访问列表名称都为 ipsecacl,这样有了 IPSec,郑州办事处通过静态路由协
议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全
上传郑州办事处相关销售业务数据。
(五) 为了合理分配集团业务流向,保证来回路径一致,业务选路具体要求如下:
1. 集团核心交换机与集团无线控制器 DCWS之间采用静态路由协议,使用 OSPF相关特性
实现集团无线业务与 Internet 互访流量优先通过 DCWS_SW-1_FW-1 间链路转发,
DCWS_SW-2_FW-1间链路作为备用链路;
2. 实现销售、产品、信息技术业务分别与 Internet、办事处互访流量优先通过 SW-1_ FW-1
间链路转发,法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过
SW-2_ FW-1间链路转发,从而实现流量的负载分担与相互备份。
四、 无线配置
(一) 集团无线控制器 DCWS 与核心交换机互联,无线业务网关位于 DCWS 上,VLAN220
为业务 VLAN;核心交换机侧配置使用 DHCP进行 AP管理地址分配,利用 DHCP方式让 AP发现
DCWS进行三层注册,采用 MAC地址认证。
(二) 配置一个 SSID DCNXX:DCNXX中的 XX为赛位号,访问集团及 Internet业务,采
用 WPA-PSK认证方式,加密方式为 WPA个人版,配置密钥为 Dcn12345678。
(三) AP 在收到错误帧时,将不再发送 ACK 帧;打开 AP 组播广播突发限制功能;开启
Radio的自动信道调整,每天上午 7:00触发信道调整功能。
五、 安全策略配置
(一) 根据题目要求配置郑州办事处防火墙相应的业务安全域、业务接口;郑州办事处
业务网段通过 VPN 隧道只可以访问集团销售业务网段 http&https 业务,通过公网接口可以访
问 Internet 业务;集团所有业务网段均可以与郑州办事处业务网段双向互 ping,方便网络
连通性测试与排障。
(二) 集团计划在郑州办事处进行 https认证试点,对郑州办事处业务网段上网的用户
进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密码分别为 dcn01 或者
dcn02才可以访问外部网络,强制用户在线时常超过 1天后必须重新登录。
(三) 郑州办事处只有 100M Internet出口,在郑州办事处防火墙上限制该业务网段每
个 IP上下行最多 4M带宽;对 Internet出口 http流量整形到 10Mbps,从而实现流量精细化
控制,保障办事处其它关键应用和服务的带宽。
六、 IPV6 配置
集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版
(IPv6)规模部署行动计划》,加快推进基于互联网协议第六版(IPv6)基础网络设施规模部
署和应用系统升级,现准备先在集团公司开始 IPv6测试,要求如下:
(一) 在集团核心交换机 SW-1 配置 IPv6 地址,使用相关特性实现销售业务的 IPv6 终
端可自动从网关处获得 IPv6有状态地址。
(二) 在集团核心交换机 SW-2配置 IPv6地址,开启路由公告功能,路由公告的生存期
为 2小时,确保产品业务的 IPv6终端可以获得 IPv6无状态地址。
(三) 在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性,实现销售业务的
IPv6终端与产品业务的 IPv6终端可以互访。
集团测试 IPv6业务地址规划如下,其它 IPv6地址自行规划:
业务 IPV6 地址
销售
2001:XX:10::254/64
(XX与“主要网络环境”地址中相应网段一致)
产品
2001:XX:20::254/64
(XX与“主要网络环境”地址中相应网段一致)
举例:“主要网络环境”中销售业务 IPv4 地址为:10.30.10.0/24,对应 IPv6 地址为:
2001:30:10::254/64。
第二部分:云平台配置(80分)
【竞赛技术平台说明】
1.云服务实训平台相关说明:
(1) 云 服 务 实 训 平 台 管 理 ip 地 址 默 认 为 192.168.100.100 , 访 问 地 址
http://192.168.100.100/dashboard默认账号密码为 admin/dcncloud,ssh默认账号密码为
root/dcncloud,考生禁止修改云服务实训平台账号密码及管理 ip 地址,否则服务器配置及
应用项目部分计 0分;
(2) 云服务实训平台中提供镜像环境,镜像的默认用户名密码以及镜像信息,参考《云
服务实训平台用户操作手册(江苏省赛版)》;
名称 用户名 密码 ssh rdp
Win10 admin Qwer1234 否 是
Win administrator Qwer1234 否 是
Win administrator Qwer1234 否 是
Centos8 root dcncloud 是 否
(3) 所有 windows 主机实例在创建之后都直接可以通过远程桌面连接操作,centos7
可以通过 CRT 软件连接进行操作,所有 linux 主机都默认开启了 ssh 功能,Linux 系统软件
镜像位于”/opt”目录下;
(4) 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
2.云服务实训平台和服务器 PC1和 PC2相关服务说明:
(1) 题目中所有未指明的密码均参见“表 6.云主机和服务器密码表”,若未按照要求
设置密码,涉及到该操作的所有分值记为 0分;
(2) 虚拟主机的 IP属性设置请按照“拓扑结构图”以及“表 3.服务器 IP地址分配表”
的要求设定;
(3) 除非作特殊说明,在 PC1和 PC2上需要安装相同操作系统版本的虚拟机时,可采
用 VMware Workstation软件自带的克隆系统功能实现。
(4) PC1 和 PC2 上所有系统镜像文件及赛题所需的其它软件均存放在每台主机的
年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
11/25
D:\soft文件夹中;
(5) PC1 和 PC2 要求的虚拟机均安装于每台在 D 盘根目录下自建的名为 VirtualPC 文
件夹中,即路径为 D:\VirtualPC\虚拟主机名称。
(6) 请在 PC2 桌面上,选手自己建立 BACKUP_X(X 为赛位号)文件夹,并将 PC2上
D盘 soft文件夹中的《云实训平台安装与应用报告单》、《Windows操作系统-云平台部分竞赛
报告单》和《Linux 操作系统竞赛报告单》复制到 PC2 桌面的“BACKUP_X”(X 为赛位号)文
件夹中、将 PC1上 D盘 soft文件夹中的《Windows操作系统-虚拟机部分竞赛报告单》 复制
到 PC1桌面的“BACKUP_X”(X为赛位号)文件夹中,并按照截图注意事项的要求填写完整;
如报告单、截图等存放位置错误,涉及到的所有操作分值记为 0 分;
(7) 所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服
务功能一定分数。
【云实训平台安装与运用】
一、云平台基础设置
1.按照“表 4:云平台网络信息表”要求创建五个外部网络,这些外部网络所使用的 VLAN
均为总部业务 VLAN,详细操作过程请参照“云服务实训平台用户操作手册(江苏省赛版)”;
2.创建 5块云硬盘,卷命名为 hd1-hd5,其中 hd1-hd2 大小为 10G,h3-h5大小自定。
注意事项:
(1)必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘;不能使用 “管
理员”,“系统”栏下的“卷”功能,该功能使用不当会造成云硬盘创建失败,界面卡死。
(2)在云平台中可以创建多个云硬盘,所有云硬盘容量的总大小不能超过 100G,否则
将创建失败。一个实例可以同时连接多个云硬盘,但一个云硬盘同时只能给一个实例作为扩
展硬盘使用。
(3)在分离卷之前一定要保证使用该卷的 Linux 主机中,已经不存在该卷的任何挂载
点。如果使用该卷的主机是 Windows 实例,必须保证该卷在主机的“磁盘管理”项目中处
于脱机状态,否则会造成分离失败,或是一直显示“分离中”状态。
二、创建虚拟主机 1.按照“表 5:虚拟主机信息表”所示,按要求生成虚拟主机,详细操作过程请参照“云
服务实训平台用户操作手册(江苏省赛版)”;
2.云平台中所有虚拟机的 IP 地址,要求手动设置为该虚拟机 DHCP 获取的地址。 第三部分:Windows 系统配置(200 分)
一、在云实训平台上完成如下操作
(一)完成虚拟主机的创建
将按照“表 5:虚拟主机信息表”生成的虚拟主机加入到 域环境。
(二)完成链路聚合的部署
1. 在云主机 1中添加一块网卡,第一块网卡和第二块网卡为提供链路聚合网卡,完成链
路聚合操作,组名为“AggNic1”,成组模式为“静态成组”,负载均衡模式为“地址哈希”,
为主域和辅助域之间的传输提升速度;
2. 在云主机 2中添加一块网卡,第一块网卡和第二块网卡为提供链路聚合网卡,完成链
路聚合操作,组名为“AggNic2”,成组模式为“静态成组”,负载均衡模式为“地址哈希”,
为主域和辅助域之间的传输提升速度。
(三)在云主机 1 中完成域用户管理及 CA服务器的部署
1. 创建 3个用户组,组名采用对应部门名称的中文全拼命名,每个部门都创建 2个用户,
行政部用户:adm1~ adm2、销售部用户:sale1~sale2、技术部用户:sys1~sys2,所有用户
不能修改其用户口令,并要求用户只能在上班时间可以登录(每周一至周五 9:00~18:00)。
2. CA服务器配置:
(1)安装证书服务,为企业内部自动回复证书申请;
(2)颁发的证书有效期年份为 3years。
(四)在云主机 1 中完成组策略部署
1. 配置实现域中技术部的所有员工必须启用密码复杂度要求,密码长度最小为 10 位,
密码最长存留 60天,允许失败登录尝试的次数、重置失败登录尝试计数都为 6次,账户将
被锁定的时间为 0分钟,直至管理员手动解锁账户;
2. 配置实现所有销售部的计算机开机后自动弹出“温馨提示”的对话框,显示的内容为
“请注意销售数据的安全!”;
3. 配置实现域内所有计算机“关闭自动播放”;
4. 配置实现行政部所有计算机隐藏桌面网络图标,“开始”菜单中不保留最近打开文档
的历史;
5. 设置组策略,让域中主机之间通信采用 IPSec安全连接,但域控制器和网关除外;采
用计算机证书验证,使用组策略将证书分发到客户端计算机。
(五)在云主机 1 中完成 DNS 服务器的部署
1. 将此服务器配置为主 DNS服务器,具体要求:
(1)正确配置 域名的正向及反向解析区域;
(2)创建对应所有服务器主机记录,正确解析 域中的所有服务器;
(3)关闭网络掩码排序功能;
(4)设置 DNS服务正向区域和反向区域与活动目录集成;
(5) 启用 Active Directory的回收站功能。
2. 为了防止域控制器的 DNS域名解析服务造成大量不必要的数据流,公司技术人员决定
禁用 DNS递归功能,请您使用 PowerShell禁用 DNS递归功能;
3. 新建一条主机记录,主机名称为 dnss、IP地址为 10.10.10.10;
4. 对云主机 1 的 区域中的 dnss 主机记录提供完整性验证,保证数据在传
输的过程中不被篡改;
5. 建立如下表解析记录
域名 Ipv6 地址 备注
2001:10:50:254::4/128
2001:10:50:254::5/128
2001:10:50:254::6/128
2001:10:50:254::7/128
6. 建立如下表站点及子网信息
站点名称 子网
销售 1部 10.1.1.0/24、10.1.2.0/24、10.1.3.0/24
销售 2部 10.2.1.0/24、10.2.2.0/24、10.2.3.0/24
销售 3部 10.3.1.0/24、10.3.2.0/24、10.3.3.0/24
7. 创建如下表站点链接信息
名称 类型 链接站点 开销 复制间隔 复制时间
销售 1-销售 2 站点链接 技术 1部、技术 2部 80 60
星期一至星期五 8
点至 17点
销售 1-销售 3 站点链接 技术 1部、技术 3部 90 75
星期六、星期日 0
点至 6点
销售 2-销售 3 站点链接 技术 2部、技术 3部 100 90 星期五 2点至 7点
(六)在云主机 2 中完成辅助域控、从属证书及磁盘阵列的部署
1. 将云主机 2的服务器升级成 域的辅助域控制器;
2. 将云主机 2的服务器设置为证书颁发机构:
(1)安装证书服务,为企业内部自动回复证书申请;
(2)设置为企业从属 CA,负责整个 域的证书发放工作;
3. 添加三块 SCSI虚拟硬盘,其每块硬盘的大小为 10G,并创建 RAID5卷,盘符为 E盘。
(七)在云主机 2 中完成 AD RMS 的部署
安装 AD RMS权限管理服务:
(1)要求安装“AD权限管理服务器”和“联合身份验证支持”角色服务;
(2)使用 Windows的内部数据库;
(3)指定群集地址为:;
(4)配置联合身份验证支持的服务器名称为:。
(八)在云主机 3 中完成文件服务器的部署
1. 通过压缩卷新建 E盘,大小自定;
2. 在 E 盘上新建文件夹 FilesWeb,并将其设置为共享文件夹,共享名为 FilesWeb,开
放共享文件夹的读取/写入权限给 everyone用户;
3. 在 FilesWeb文件夹内建立两个子文件夹:
(1)子文件夹为“FilesConfigs”,用来存储共享设置;
(2)子文件夹为“FilesConts”,用来存储共享网页。
(九)在云主机 3 中完成 DHCP 及 WDS服务的部署
1. 安装 DHCP服务,为服务器网段部分主机动态分配 IPv4地址,建立作用域,作用域的
名称为 dhcpser,地址池为 220-225;
2. 安装 WDS 服务,目的是通过网络引导的方式来安装 Windows Server CORE 操作
系统,运用适当技术手段,让此 WDS 的客户端,只获取到对应 WDS 服务器端 DHCP 下发的
IP地址。
年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
16/25
(十)在云主机 3 中完成 DNS转发服务器和 DNSSEC签名的部署
3. 安装 DNS 服务器角色,设置转发器为“云主机 1”的服务器,负责转发“云主机 6”
的域名解析的查询请求;
4. 在云主机 3 上导入 区域的 DNSKEY 签名,来保证数据来自正确的名称服
务器。
(十一)在云主机 4中完成 WEB 服务器 1的部署
1. 安装 IIS组件,创建 站点:
(1)将该站点主目录指定到\\WDF\FilesWeb\FilesConts共享文件夹;
(2)将 PC1 中“D:\Soft\IIS”目录下的主页文件拷贝到文件服务器中的共享文件夹
\\WDF\FilesWeb\FilesConts内;
(3)启动 站点的共享配置功能,通过输入物理路径、用户名、密码、
确认密码和加密秘钥,将该站点的设置导出、存储到\\WDF\FilesWeb\FilesConfigs内;
2. 设置网站的最大连接数为 1000,网站连接超时为 60s,网站的带宽为 1000KB/S;
3. 使用 W3C记录日志,每天创建一个新的日志文件,文件名格式:
(1)日志只允许记录日期、时间、客户端 IP地址、用户名、服务器 IP地址、服务器端
口号;
(2)日志文件存储到“C:\WWWLogFile”目录中;
4. 创建证书申请时,证书必需信息为:
(1)通用名称=“”;
(2)组织=“JsSkill”;
(3)组织单位=“sales”;
(4)城市/地点 =“NanJing”;
(5)省/市/自治区=“JiangSu”;
(6)国家/地区=“CN”。
(十二)在云主机 4与主云主机 5 之间实现 DFS服务部署
1. 在两台服务器 D盘建立 DFSFile文件夹,作为 DFS同步目录;
2. 实现 DFS同步功能,空间名称为 DFSROOT,文件夹为 DFSFile,复制组为 ftp-backup,
拓朴采用交错方式,设置复制在周六和周日带宽为完整,周一至周五带宽为 64M,同时实现
云主机 4向云主机 5的单向复制。
(十三)在云主机 5中完成 WEB 服务器 2的部署
1. 安装 IIS组件,实现 站点的共享配置,启动 站点
的共享配置功能,通过输入物理路径、用户名、密码、确认密码和加密密钥密码,使得让该
站点可以使用位于\\WDF\FilesWeb\FilesConfigs内的共享配置;
2. 设置网站的最大连接数为 1000,网站连接超时为 60s,网站的带宽为 1000KB/S;
3. 使用 W3C记录日志,每天创建一个新的日志文件,文件名格式:
(1)日志只允许记录日期、时间、客户端 IP地址、用户名、服务器 IP地址、服务器端
口号;
(2)日志文件存储到“C:\WWWLogFile”目录中;
4. 创建证书申请时,证书必需信息为:
(1)通用名称=“”;
(2)组织=“JsSkill”;
(3)组织单位=“sales”;
(4)城市/地点 =“NanJing”;
(5)省/市/自治区=“JiangSu”;
(6)国家/地区=“CN”。
二、在 PC1上完成如下操作
(一)完成虚拟主机的创建
1. 安装虚拟机“服务器 1”, 其内存为 768MB,硬盘 40G;
2. 安装虚拟机“服务器 2”, 其内存为 768MB,硬盘 40G;
3. 安装虚拟机“服务器 3”, 其内存为 768MB,硬盘 40G,通过“云主机 3”的 WDS服务
进行网络引导和安装,安装完成后停止“云主机 3”中 DHCP中服务器网段的作用域。
(二)在主机“服务器 2”中完成域及安全部署
1. 将“服务器 2”的服务器,升级为子域 ;
2. 配置“连接安全规则”,保证和“云主机 6”之间的通信安全,要求入站和出站都要
求身份验证,完整性算法采用 SHA-1,加密算法采用 AES-CBC 128,预共享的密钥为
JiangSuskills。
(三)在主机“服务器 1”中完成域控制器的部署
1. 将“服务器 1”服务器升级为域服务器,域名为 ;
2. 在 “服务器 1”中添加二块 SCSI虚拟硬盘,其每块硬盘的大小为 4G。将二块硬盘配
置为 RAID0,对应磁盘盘符为 E;
3. 实现 E盘启用卷影副本功能,设置每周六的晚上 20:30创建卷影副本,将副本存储于
C盘根目录。
(四)在主机“服务器 1”中完成域控制器信任的部署
1. 在 E盘下新建文件夹 share,并将其文件夹进行共享,权限为任何人完全控制,共享
名为 share;
2. 通过使用单向信任关系,实现 域的技术部的员工可以访问
域的共享资源 share文件夹,反之不可以。
(五)在主机“服务器 3”中完成 Core 服务器的部署
1. 使用命令修改“服务器 3”服务器的主机名为 wscore,修改“服务器 3”服务器的 IP
地址为表 3中要求的地址,并按照题目要求设置默认网关;
2. 将其“服务器 3”服务器加入 AD DS域 中;
3. 关闭“服务器 3”服务器的防火墙;
4. 在“服务器 3”服务器上安装 DHCP服务;
5. 启动“服务器 3”服务器的 DHCP服务。
第四部分:Linux系统配置(200分)
(一)Linux XFS 文件系统之“增量备份”
【任务描述】
随之企业的不断扩大,随着大数据时代的到来,数据不但越来越大,亦越来越重要,
CENTOS8 采用 XFS 文件系统(支持 18EB 容量,1EB=1024PB),数据健壮性亦大大加强,当意
想不到的宕机发生后,你磁盘上的文件不再会意外宕机而遭到破坏。
系统数据被黑及故障在所难免,数据备份必不可少,公司决定使用 Linux自建数据备份,
可以实现增量备份及差异备份。为模拟相关功能,请使用 Linux-1、Linux-2模拟完成相关功
能配置及实际测试。
1. 修改所有 Linux-1~Linux-7 主机的主机名为“服务器 IP 地址分配表”中标注的合格
域名。
2. 在 Linux-1 上为简单起见,我们创建并使用文件形式的存储空间,在/opt 目录下使
用dd创建一个文件形式存储空间skilldisk.img文件,大小为50M(具体参数:块大小=1024k ,
50个块)
3. 在 Linux-1 上将/opt/skilldisk.img 文件关联到/dev/loop1,将/dev/loop1 创建为
XFS文件系统,挂载到/mnt/loop1。
4. 在 Linux-2中安装配置 NFS服务及启用 RPC;
5. 在 Linux-2中将云平台上的 HD4虚拟盘加载到本机,将所有容量创建 XFS文件系统并
挂载到/mnt/upload。
6. 在 Linux-2上分别建立 NFS共享/mnt/upload 做为本服务器网段这个网域的数据上传
目录,不论登入 NFS 的使用者身份为何, 他的身份都会被压缩成为匿名用户(nfs-upload),
其中,这个/mnt/upload 的使用者及所属群组都为 nfs-upload 这个名字,他的 UID 与 GID
均为 210;(all_squash,anonuid,anongid)
7. 完成上述相关目录授权,创建相关组及用户。
8. 在 Linux-1中挂载 Linux-2的/mnt/upload到本机的/mnt/backup-Linux-1。
9. 在 Linux-1上将资源文件“skills--dump-FULL”、“skills--dump-01”中的
数据恢复到本机的/mnt/loop1
10. 在 Linux-1 上将/dev/loop1 做一次全备份到本机的/mnt/backup-Linux-1,文件名
称为 skills-dump-Linux-1-FULL,参数 session label为"skills-Loop1-full-backup",参
数 media label为 "skills-loop1"。
11. 在 Linux-1 在/mnt/loop1 下创建目录 Skills,在 Skills 下创建空文件
skills-1、skills-2、skills-3。
12. 在 Linux-1 将/dev/loop1 做一次增量备份到本机的/mnt/backup-Linux-1,文件名
称为 skills-dump-Linux-1-01,参数 session label 为"skills-Loop1-L1-backup",参数
media label为 "skills-loop1"。
(二) Linux CA 服务配置
【任务描述】为保障企业提供的网络服务具有加密功能,提供证书服务,配置 CA服务器,
为模拟相关功能,请使用 Linux-1、Linux-2模拟完成相关功能配置及实际测试。。
13. 把 Linux-1配置为 CA服务器,CA的私钥 cakey.pem使用 2048位,私钥文件存放于
/etc/pki/CA/private 目录,只有拥有者可读写, CA 证书使用系统默认文件名:
/etc/pki/CA/cacert.pem, 可以签发“省、市/县”名称不同的主机、web服务等证书,有效
期 ,CA颁发证书有效期 ,证书其他信息:
(1) 国家=“CN”。
(2) 省=“Beijing”。
(3) 市/县=“Beijing”。
(4) 组织=“skills”。
(5) 组织单位=“system”。
14. 为 Linux-2签发 http01.crt证书,证书存放于 Linux-2主机的/etc/pki/httpd/ssl
目录。
(1) 国家=“CN”。
(2) 省=“Jiangsu”。
(3) 市/县=“CZ”。
(4) 组织=“skills”。
(5) 组织单位=“NIC”。
(6) 服务器主机名=“”
(7) 邮件名=nic@
15. 为 Linux-3签发 http02.crt证书,证书存放于 Linux-2主机的/etc/pki/httpd/ssl
目录。
(1) 国家=“CN”。
(2) 省=“Jiangsu”。
(3) 市/县=“NJ”。
(4) 组织=“skills”。
(5) 组织单位=“NIC”。
(6) 服务器主机名=“”
(7) 邮件名=nic@
(三) Linux 智能 DNS 服务配置
【任务描述】随之企业服务对象的不断扩大,在网络边界实现了多运营商接入的情况下,
为保障企业提供的网络服务外网的高速访问,同时为了实现区域服务优化,对企业的 DNS 服
务实现升级,为模拟相关功能,请使用 Linux-1、Linux-2、Linux-3、Linux-4、Linux-5 模
拟完成相关功能配置及实际测试。
16. 在 Linux-1上安装配置 DNS主服务器。
17. 实现【服务器 IP地址分配表】中 Linux-1~linux-5的域名的解析。
18. 在 Linux-2上安装配置对应备份服务器。
19. 添加【服务器 IP地址分配表】中 Linux-6~linux-7的域名的解析。
20. 修改上述 Linux-1、Linux-2 的 DNS 相关配置,实现 Linux-3(Jiangsu)、Linux-4
(Beijing)、Linux-5(Shanghai)不同地区主机解析 返回不同 IP地址。【使
用 hosts文件不得分!】
21. 配置服务后,相关服务开机自启动。
(四) FTP 服务配置
【任务描述】为实现文件的安全访问,采用传统的 FTP,实现企业内部资源管理,在
Linux-4服务器上安装配置 VSFTP服务,具体要求为:
22. (1)安装配置 vsftp及 ftp客户端软件,开机启动 FTP服务,系统启用 SELinux和
防火墙,请正确配置相关参数,保证网络正常访问。
23. (2)为了服务器安全及加强使用规范,为网络部、技术部、市场部、行政部分别创
建访客账号,分别为 netftp,techftp,markftp,admftp,用户密码为本竞赛统一要求的密
码,指定默认访问路径分别为:/opt/ftp/账号名,不允许本地登录;各部门员工可以在各自
部门的相关目录下实现资源的上传与下载
24. (3)匿名用户不允许访问此 FTP服务器,用户 nic不允许登录此 FTP服务器,最大
连接数上限 50,空闲超时 60s后自动断线。
25. (4)配置完成重启相关服务,并验证检查相关状态,设置相关服务开机自启。
(五) Mariadb服务配置
【任务描述】为按数据结构来存储和管理数据,请采用 Mariadb,实现方便、严密、有
效的数据组织、数据维护、数据控制和数据运用。
26. 配置 Linux-3为 Mariadb服务器,创建数据库用户 Jack,只能在 Linux-4主机上对
所有数据库有完全权限。
27. 配置 Linux-4为 Mariadb客户端,创建数据库 userdb;在库中创建表 userinfo,在
表中插入 2 条记录,分别为(1,user01,1995-7-1,男),(2,user02,1995-9-1,女),口令
与用户名相同, password字段用 password函数加密,表结构如下;
字段名 数据类型 主键 自增
Id int 是 是
name varchar(10) 否 否
birthday datetime 否 否
sex char(5) 否 否
password char(200) 否 否
28. 修改表 userinfo 的结构,在 name 字段后添加新字段 height(数据类型为 float),
更新 user1和 user2的 height字段内容为 1.61和 1.62。
29. 把物理机 d:\soft\mysql.txt 中的内容导入到 userinfo 表中,password 字段用
password函数加密。
30. 将表 userinfo中的记录导出,并存放到/var/databak/mysql.sql文件中。
31. 每周五凌晨 1:00备份数据库 userdb到/var/databak/userdb.sql。
(六) 基于 Nginx 的反向代理和负载均衡
【任务描述】随着企业规模的不断扩大,为了进一步提高企业 WEB 服务的可靠性、提升
WEB 服务的效能,同时有效保护前期 IT 投资, 请采用 Nginx、Apache 配置 Web 服务,实现
基于 Nginx 的反向代理和初步的简单负载均衡,有效整合资源,实现对企业网站的高效、安
全、有效的访问。
32. 在 Linux-5 上安装 Nginx,配置启用网站 https,默认文档 index.html 的内容为
“Nginx加密访问!”;证书由 Linux-1颁发,证书路径为/etc/pki/nginx-1.crt,私钥路径为
/etc/pki/nginx-1.key。
33. 使用 Nginx 的 proxy_pass 配置 HTTP 反向代理,使用 upstream 配置负载均衡实现
Linux-5主机 WEB为前端,Linux-2主机(权重为 1,max_fails为 3,超时为 30秒)和 Linux-3
主机(权重为 2,max_fails为 3,超时为 20秒)的相关 web服务为后端。
34. 配置 Linux-2为 web服务器,网站根目录为/https,默认文档 index.html的内容为
“Apache01 加密访问!”;仅允许使用域名访问,证书由 Linux-1 颁发,证书路径为
/etc/pki/httpd/ssl/http01.crt,私钥路径为/etc/pki/httpd/ssl/http01.key,网站虚拟
主机配置文件路径为/etc/httpd/conf.d/vhost.conf。
35. 配置 Linux-3 为 Apache web 服务器,网站根目录为/https,默认文档 index.html
的内容为“Apache02 加密访问!”;仅允许使用域名访问,证书由 Linux-1 颁发,证书路径为
/etc/pki/httpd/ssl/http02.crt,私钥路径为/etc/pki/httpd/ssl/http02.key,网站虚拟
主机配置文件路径为/etc/httpd/conf.d/vhost.conf。在主机 PC2上测试。
(七) Linux Rsyslog 服务配置
【任务描述】
随之企业的不断扩大,安全变得越来越重要,为了有效防范骇客,加强监控系统级安全,
决定将主机登录、su等相关日志统一保存,相关服务主机不再保存相关安全日志,将安全日
志数据与服务主机系统分离,决定使用 Linux 的 RSYSLOG 服务实现相关功能,为模拟相关功
能,请使用 Linux-5、Linux-6、Linux-7模拟完成相关功能配置及实际测试。
36. 在Linux-7上配置rsyslog服务,作为统一安全事件日志服务器,将网络内相关Linux
主机的登录、su命令等产生的相关安全日志存储到/var/log/skills文件。
37. 在 Linux-5上配置 rsyslog服务,将本主机的登录、su命令等产生的相关安全日志
使用 UDP转发到 Linux-7上的 rsyslog服务,本机不再保存相关日志。
38. 在 Linux-6上配置 rsyslog服务,将本主机的登录、su命令等产生的相关安全日志
使用 TCP转发到 Linux-7上的 rsyslog服务,本机不再保存相关日志。
39. 禁止 Linux-5的 SSH的 root远程登录,将密码重试次数设为 3,在本主机添加账号
nic,密码为竞赛系统规定的统一密码。
40. 在 Linux-6 配置 sudo,在本主机添加账号 hic,密码为竞赛系统规定的统一密码,
添加 accounts组,使得 hic能通过任何主机以系统中任何其它类型的用户身份运行任何命令,
accounts组中的任何成员都能通过任何主机以root身份运行/usr/bin下的useradd、userdel
和 usermod命令;
41. 在 PC2 上使用相关用户名及密码分别 ssh 连接 Linux-5、Linux-6 主机,并使用 su
等命令。
(八) Docker 虚拟化服务配置
【任务描述】随着虚拟化技术的发展,企业把测试环境迁移到 docker容器中,考虑到一
些安全方面的问题,公司决定启用 podman兼容 Docker。
42. 在 Linux-6上安装 podman。
43. 导入 hello 镜像,镜像存放在物理机 D:\soft\skills\hello.tar,仓库名为
hello-skills,TAG标签为 1.0。
44. 测试运行 hello-skills。
第五部分:职业规范与素养(20 分)
总结
提示:还是那句话,做题一定要审题 审题 再审题!!!
本人第一次发布文章,有哪里做的不好的地方请各位请教请教
