湖南省職業院校技能競賽樣題
賽題說明
一、競賽內容
“網絡建設與運維”競賽共分三個部分,其中:
第一部分:職業規范與素養 ( 5 分)
第二部分:網絡搭建及安全部署項目 ( 50 分)
第三部分:服務器配置及應用項目 ( 45 分)
二、競賽注意事項
1 .競賽期間禁止攜帶和使用移動存儲設備、計算器、通信工具及
參考資料。
2 .請根據大賽所提供的競賽環境,檢查所列的硬件設備、軟件清
單、材料清單是否齊全,計算機設備是否能正常使用。
3 .在進行任何操作之前,請閱讀每個部分的所有任務。各任務之
間可能存在一定關聯。
4 .操作過程中需要及時按照答題要求保存相關結果。競賽結束后,
所有設備保持運行狀態,評判以最后提交的成果為最終依據。
5 .競賽完成后,競賽設備、軟件和賽題請保留在座位上,禁止將
競賽所用的所有物品(包括試卷等)帶離賽場。
6 .禁止在提交資料上填寫與競賽無關的標記,如違反規定,可視
為 0 分。 網絡建設與調試
任務描述:
某大型企業總部在長沙,各地市設有分公司。公司數據中心服務器位于總部,
分公司與總部通過專線互聯,采用 BGP 路由協議實現網絡通信。長沙設有辦事處,
辦事處包含有線、無線網絡,長沙辦事處與總部利用 VPN 技術實現數據通信;出
差人員通過 SSL VPN 接入公司網絡。
網絡拓撲圖及 IP 地址表:
1. 網絡拓撲圖
2. 網絡設備 IP 地址分配表
一、職業規范與素養
1. 整理賽位,工具、設備歸位,保持賽后整潔有序。
2. 無因選手原因導致設備損壞。
3. 恢復調試現場,保證網絡和系統安全運行。
二、交換配置
1.配置 vlan,SW1、SW2、SW3、AC1 的二層鏈路只允許相應 vlan 通過。
2.SW1 和 SW2 之間利用三條裸光纜實現互通,其中一條裸光纜承載三層 IP 業
務、一條裸光纜承載 VPN 業務、一條裸光纜承載二層業務。用相關技術分別實現
財務 1 段、財務 2 段業務路由表與其它業務路由表隔離,財務業務 VPN 實例名稱
為 Finance。承載二層業務的只有一條裸光纜通道,配置相關技術,方便后續鏈路
擴容與冗余備份,編號為 1,用 LACP 協議,SW1 為 active,SW2 為 passive;采用
源、目的 IP 進行實現流量負載分擔。
3.SW3 針對每個業務 VLAN 的第一個接口配置 Loopback 命令,模擬接口 UP,
方便后續業務驗證與測試。
4.將 SW3 模擬為 Internet 交換機,實現與集團其它業務路由表隔離,Internet
路由表 VPN 實例名稱為 Internet。將 SW3 模擬辦事處交換機,實現與集團其它業 務路由表隔離,辦事處路由表 VPN 實例名稱為 Office。
5.SW1 法務物理接口限制收、發數據占用的帶寬分別為 100Mbps、90Mbps,
禁止采用訪問控制列表,只允許 IP 主機位為 20-30 的數據包進行轉發;禁止配置
訪問控制列表,實現端口間二層流量無法互通,組名稱 FW。
6.配置 SW1 相關特性實現報文上送設備 CPU 的前端整體上對攻擊報文進行攔
截,開啟日志記錄功能,采樣周期 10s 一次,恢復周期為 120s,從而保障 CPU 穩
定運行。
7.對 SW1 與 FW1 互連流量鏡像到 SW1 E1/0/1,會話列表為 1。
三、路由調試
1.配置接口 ipv4 地址和 ipv6 地址,互聯接口 ipv6 地址用本地鏈路地址。
2.SW2 配置 DHCPv4 和 DHCPv6,分別為總公司產品 1 段、總公司產品 2 段、 分公司 Vlan130、分公司 Vlan140 和分公司 Vlan150 分配地址。IPv4 地址池名稱 分別為 Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan130、Poolv4-Vlan140、 Poolv4-Vlan150,排除網關,DNS 為 10.13.210.101 和 10.13.220.101。IPv6 地址 池名稱分別為 Poolv6-Vlan11、Poolv6-Vlan21、Poolv6-Vlan130、Poolv6-Vlan140、 Poolv6-Vlan150,IPv6 地址池用網絡前綴表示,排除網關,DNS 為 2400:3200::1。 PC1 保留地址 10.13.11.9 和 2001:10:13:11::9,PC2 保留地址10.13.21.9 和 2001:10:13:21::9,AP1 保留地址 10.13.130.9 和 2001:10:13:130::9。SW1、AC1 中繼地址為 SW2 Loopback1 地址,SW1 啟用 DHCPv4 和 DHCPv6 snooping,如果 E1/0/1 連接 dhcpv4 服務器,則關閉該端口,恢復時間為 10 分鐘。
3.SW1、SW2、SW3、RT1 以太鏈路、RT2 以太鏈路、FW1、FW2、AC1 之間運行
OSPFv2 和 OSPFv3 協議(路由模式發布網絡用接口地址,BGP 協議除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1 之間 OSPFv2 和 OSPFv3 協議,進程 1,區 域 0,分別發布 loopback1 地址路由和產品路由,FW1 通告 type1 默認路由。
(2)RT2 與 AC1 之間運行 OSPFv2 協議,進程 1,nssa no-summary 區域 1;AC1 發布 loopback1 地址路由、產品和營銷路由,用 prefix-list 重發布 loopback3。
(3)RT2 與 AC1 之間運行 OSPFv3 協議,進程 1,stub no-summary 區域 1;AC1 發布 loopback1 地址路由、產品和營銷。
(4)SW3 模擬辦事處產品和營銷接口配置為 loopback,模擬接口 up。SW3 模擬 辦事處與 FW2 之間運行 OSPFv2 協議,進程 2,區域 2,SW3 模擬辦事處發布 loopback2、產品和營銷。SW3 模擬辦事處配置 ipv6 默認路由;FW2 分別配置到 SW3 模擬辦事 處 loopback2、產品和營銷的 ipv6 明細靜態路由,FW2 重發布靜態路由到 OSPFv3 協議。
(5)RT1、FW2 之間 OSPFv2 和 OSPFv3 協議,進程 2,區域 2;RT1 發布 loopback4 路由,向該區域通告 type1 默認路由;FW2 發布 loopback1 路由,FW2 禁止學習到 集團和分公司的所有路由。RT1 用 prefix-list 匹配 FW2 loopback1 路由、SW3 模 擬辦事處 loopback2 和產品路由、RT1 與 FW2 直連 ipv4 路由,將這些路由重發布 到區域 0。
(6)修改 ospf cost 為 100,實現 SW1 分別與 RT2、FW2 之間 ipv4 和 ipv6 互訪 流量優先通過 SW1_SW2_RT1 鏈路轉發,SW2 訪問 Internet ipv4 和 ipv6 流量優先 通過 SW2_SW1_FW1 鏈路轉發。
4.RT1 串行鏈路、RT2 串行鏈路、FW1、AC1 之間分別運行 RIP 和 RIPng 協議,
FW1、RT1、RT2 的 RIP 和 RIPng 發布 loopback2 地址路由,AC1 RIP 發布 loopback2
地址路由,AC1 RIPng 采用 route-map 匹配 prefix-list 重發布 loopback2 地址路
由。RT1 配置 offset 值為 3 的路由策略,實現 RT1-S1/0_RT2-S1/1 為主鏈路,
RT1-S1/1_RT2-S1/0 為備份鏈路,ipv4 的 ACL 名稱為 AclRIP,ipv6 的 ACL 名稱為
AclRIPng。RT1 的 S1/0 與 RT2 的 S1/1 之間采用 chap 雙向認證,用戶名為對端設
備名稱,密碼為 Key-1122。
5.RT1以太鏈路、RT2以太鏈路之間運行ISIS協議,進程1,分別實現loopback3
之間 ipv4 互通和 ipv6 互通。RT1、RT2 的 NET 分別為 10.0000.0000.0001.00、
10.0000.0000.0002.00,路由器類型是 Level-2,接口網絡類型為點到點。配置域
md5 認證和接口 md5 認證,密碼均為 Key-1122。
6.RT2 配置 ipv4 nat,實現 AC1 ipv4 產品用 RT2 外網接口 ipv4 地址訪問
Internet。RT2 配置 nat64,實現 AC1 ipv6 產品用 RT2 外網接口 ipv4 地址訪問
Internet,ipv4 地址轉 ipv6 地址前綴為 64:ff9b::/96。
7.SW1、SW2、SW3、RT1、RT2 之間運行 BGP 協議,SW1、SW2、RT1 AS 號 65001、
RT2 AS 號 65002、SW3 AS 號 65003。
(1)SW1、SW2、SW3、RT1、RT2 之間通過 loopback1 建立 ipv4 和 ipv6 BGP 鄰 居。SW1和SW2之間財務通過loopback2建立ipv4 BGP鄰居,SW1和SW2的loopback2 互通采用靜態路由。(2)SW1、SW2、SW3、RT2 分別只發布營銷、法務、財務、人力等 ipv4 和 ipv6 路由;RT1 發布辦事處營銷 ipv4 和 ipv6 路由到 BGP。
(3)SW3 營銷分別與 SW1 和 SW2 營銷 ipv4 和 ipv6 互訪優先在 SW3_SW1 鏈路轉 發;SW3 法務及人力分別與 SW1 和 SW2 法務及人力 ipv4 和 ipv6 互訪優先在 SW3_SW2 鏈路轉發,主備鏈路相互備份;用 prefix-list、route-map 和 BGP 路徑屬性進行 選路,新增 AS 65000。
8.利用 BGP MPLS VPN 技術,RT1 與 RT2 以太鏈路間運行多協議標簽交換、標 簽分發協議。RT1 與 RT2 間創建財務 VPN 實例,名稱為 Finance,RT1 的 RD 值為 1:1,export rt 值為 1:2,import rt 值為 2:1;RT2 的 RD 值為 2:2。通過兩端 loopback1 建立 VPN 鄰居,分別實現兩端 loopback5 ipv4 互通和 ipv6 互通。
四、無線部署
1.AC1 loopback1 ipv4 和 ipv6 地址分別作為 AC1 的 ipv4 和 ipv6 管理地址。
AP 二層自動注冊,AP 采用 MAC 地址認證。配置 2 個 ssid,分別為 skills-2.4G 和
skills-5G。skills-2.4G 對應 vlan140,用 network 140 和 radio1(模式為
n-only-g),用戶接入無線網絡時需要采用基于 WPA-personal 加密方式,密碼為
Key-1122。skills-5G 對應 vlan150,用 network 150 和 radio2(模式為 n-only-a),
不需要認證,隱藏 ssid,skills-5G 用倒數第一個可用 VAP 發送 5G 信號。
2.當 AP 上線,如果 AC 中儲存的 Image 版本和 AP 的 Image 版本號不同時,
會觸發 AP 自動升級。AP 失敗狀態超時時間及探測到的客戶端狀態超時時間都為 2
小時。
3.MAC 認證模式為黑名單,MAC 地址為 80-45-DD-77-CC-48 的無線終端采用
全局配置 MAC 認證。
4.防止多 AP 和 AC 相連時過多的安全認證連接而消耗 CPU 資源,檢測到 AP
與 AC 10 分鐘內建立連接 5 次就不再允許繼續連接,2 小時后恢復正常。
5.配置 vlan110 無線接入用戶相互隔離,開啟 ARP 抑制功能,限制每天早上
0 點到 4 點禁止終端接入。
6.配置 vlan110 無線接入用戶上下行最大帶寬為 800Mbps,arp 上下行最大
速率為 6packets/s。
7.配置 vlan110 無線接入用戶上班時間(工作日 09:00-17:00)訪問 Internet
https 上下行 CIR 為 1Mbps,CBS 為 20Mbps,PBS 為 30Mbps,exceed-action 和 violate-action 均為 drop。時間范圍名稱、控制列表名稱、分類名稱、策略名稱
均為 Skills。
8.AP 發射功率為 90%。
五、安全維護
說明:ip 地址按照題目給定的順序用“ip/mask”表示,ipv4 any 地址用
0.0.0.0/0,ipv6 any 地址用::/0,禁止用地址條目,否則按零分處理。
1.FW1 配置 ipv4 nat,實現集團產品 1 段 ipv4 訪問 Internet ipv4,轉換
ip/mask 為 200.200.200.16/28,保證每一個源 ip 產生的所有會話將被映射到同
一個固定的 IP 地址;當有流量匹配本地址轉換規則時產生日志信息,將匹配的日
志發送至 10.13.11.120 的 UDP 514 端口,記錄主機名,用明文輪詢方式分發日志;
開啟相關特性,實現擴展 nat 轉換后的網絡地址端口資源。
2.FW1 配置 nat64,實現集團產品 1 段 ipv6 訪問 Internet ipv4,轉換為出
接口 IP,ipv4 轉 ipv6 地址前綴為 64:ff9b::/96。
3.FW1 和 FW2 策略默認動作為拒絕,FW1 允許集團產品 1 段 ipv4 和 ipv6 訪
問 Internet 任意服務。
4.FW2 允許辦事處產品 ipv4 訪問集團產品 1 段 https 服務,允許集團產品 1
段訪問辦事處產品 ipv4、FW2 loopback1 ipv4、SW3 模擬辦事處 loopback2 ipv4。
5.FW1 與 RT2 之間用 Internet 互聯地址建立 GRE Over IPSec VPN,實現
loopback4 之間的加密訪問。
6.FW1 要求內網每個 IP 限制會話數量為 300。
7.FW1 開啟安全網關的 TCP SYN 包檢查功能,只有檢查收到的包為 TCP SYN
包后,才建立連接,否則丟棄包;配置對 TCP 三次握手建立的時間進行檢查,如
果 1 分鐘內未完成三次握手,則斷掉該連接;配置所有的 TCP 數據包和 TCP VPN
數據包每次能夠傳輸的最大數據分段為 1460,盡力減少網絡分片。
服務搭建與運維
任務描述:
隨著信息技術的快速發展,集團計劃把部分業務由原有的 X86 服務器上遷移
到 ARM 架構服務器上,同時根據目前的部分業務需求進行了部分調整和優化。
一、X86 架構計算機操作系統安裝與管理
1.PC1 系統為 ubuntu-desktop-amd64 系統(已安裝,語言為英文),登錄用
戶為 xiao,密碼為 Key-1122。啟用 root 用戶,密碼為 Key-1122。
2.安裝 remmina,用該軟件連接 Server1 上的虛擬機,并配置虛擬機上的相
應服務。
3.安裝 qemu 和 virtinst。
4.創建 Windows Server 2022 虛擬機,虛擬機信息如下:
5.安裝 windows8,系統為 Windows Server 2022 Datacenter Desktop,網
絡模式為橋接模式,網卡、硬盤、顯示驅動均為 virtio,安裝網卡、硬盤、顯示
驅動并加入到 Windows AD 中。
二、ARM 架構計算機操作系統安裝與管理
1.從 U 盤啟動 PC2,安裝 kylin-desktop-arm64(安裝語言為英文),安裝
時創建用戶為 xiao,密碼為 Key-1122。啟用 root 用戶,密碼為 Key-1122。
2.配置 minicom,用該軟件連接網絡設備,并對網絡設備進行配置。
三、Windows 云服務配置
1.創建實例
(1)網絡消息表
(2)實例類型信息表
(3)實例信息表
2.域服務
任務描述:請采用域環境,管理企業網絡資源。
(1)配置 windows2 為 skills.lan 域控制器;安裝 dns 服務,dns 正反向區域
在 active directory 中存儲,負責該域的正反向域名解析。
(2)把 skills.lan 域服務遷移到 windows1;安裝 dns 服務,dns 正反向區域
在 active directory 中存儲,負責該域的正反向域名解析。
(3)把其他 windows 主機加入到 skills.lan 域。所有 windows 主機(含域控
制器)用 skills\Administrator 身份登陸。
(6)啟用所有 windows 服務器的防火墻。
(7)在 windows1 上新建名稱為 manager、dev、sale 的 3 個組織單元;每個組
織單元內新建與組織單元同名的全局安全組;每個組內新建 20 個用戶:行政部
manager00-manager19、開發部 dev00-dev19、營銷部 sale00-sale19,不能修改
其口令,密碼永不過期。manager00 擁有域管理員權限。
3.組策略
(1)添加防火墻入站規則,名稱為 icmpv4,啟用任意 IP 地址的 icmpv4 回顯請 求。
(4)允許 manager 組本地登錄域控制器,允許 manager00 用戶遠程登錄到域控
制器;拒絕 dev 組從網絡訪問域控制器。
(5)登錄時不顯示上次登錄,不顯示用戶名,無須按 ctrl+alt+del。
(6)登錄計算機時,在桌面新建名稱為 chinaskills 的快捷方式,目標為
http://www.chinaskills-jsw.org,快捷鍵為 ctrl+shift+f6。
4.文件共享
任務描述:請采用文件共享,實現共享資源的安全訪問。
(1)在 windows1 的 C 分區劃分 2GB 空間,創建 NTFS 分區,驅動器號為 d;創
建用戶主目錄共享文件夾:本地目錄為 D:\share\home,共享名為 home,允許所
有域用戶完全控制。在本目錄下為所有用戶添加一個以用戶名命名的文件夾,該
文件夾將設置為所有域用戶的 home 目錄,用戶登錄計算機成功后,自動映射掛載
到 h 卷。禁止用戶在該共享文件中創建“*.exe”文件,文件組名和模板名為 my。
(2)創建目錄 D:\share\work,共享名為 work,僅 manager 組和 Administrator
組有完全控制的安全權限和共享權限,其他認證用戶有讀取執行的安全權限和共
享權限。在 AD DS 中發布該共享。
5.ASP 服務
任務描述:請采用 IIS 搭建 web 服務,創建安全動態網站,。
(1)把 windows3 配置為 ASP 網站,網站僅支持 dotnet clr v4.0,站點名稱為
asp。
(2)http 綁定本機與外部通信的 IP 地址,僅允許使用域名訪問。
(3)網站目錄為 C:\iis\contents,默認文檔 index.aspx 內容為"Helloaspx"。
(4)使用 windows5 測試。
6.powershell 腳本
任務描述:請采用 powershell 腳本,實現快速批量的操作。
(1)在 windows7 上編寫 C:\createfile.ps1 的 powershell 腳本,創建 20 個文
件 C:\file\file00.txt 至 C:\file\file19.txt,如果文件存在,則刪除后,再創
建;每個文件的內容同主文件名,如 file00.txt 文件的內容為“file00”。
四、Linux 云服務配置
1.系統安裝
(1)通過 PC1 web 連接 Server2,給 Server2 安裝 rocky-arm64 CLI 系統(語
言為英文)。
(2)配置 Server2 的 IPv4 地址為 10.13.220.100/24。
(3)安裝 qemu 和 virt-install。
(4)創建 rocky-arm64 虛擬機,虛擬機硬盤文件保存在默認目錄,名稱為
linuxN.qcow2(N 表 示 虛 擬 機 編 號 1-9 , 如 虛 擬 機 linux1 的 硬 盤 文 件 為
linux1.qcow2,虛擬機 linux2 的硬盤文件為 linux2.qcow2),虛擬機信息如下:
(5)安裝 linux1,系統為 rocky-arm64 CLI,網卡、硬盤、顯示驅動均為 virtio,
網絡模式為橋接模式。
(6)關閉 linux1,給 linux1 創建快照,快照名稱為 linux-snapshot。
(7)根據 linux1 克隆虛擬機 linux2-linux9。
2.dns 服務
任務描述:創建 DNS 服務器,實現企業域名訪問。
(1)所有 linux 主機啟用防火墻,防火墻區域為 public,在防火墻中放行對應
服務端口。
(2)利用 chrony,配置 linux1 為其他 linux 主機提供 NTP 服務。
(3)所有 linux 主機之間(包含本主機)root 用戶實現密鑰 ssh 認證,禁用密
碼認證。
(4)利用 bind,配置 linux1 為主 DNS 服務器,linux2 為備用 DNS 服務器。為 所有 linux 主機提供冗余 DNS 正反向解析服務。
3.apache2 服務
任務描述:請采用 Apache 搭建企業網站。
配置 linux1 為 Apache2 服務器,使用 skills.lan 或 any.skills.lan(any
代表任意網址前綴,用 linux1.skills.lan 和 web.skills.lan 測試)訪問時,自
動 跳 轉 到 www.skills.lan 。 禁 止 使 用 IP 地 址 訪 問 , 默 認 首 頁 文 檔
/var/www/html/index.html 的內容為"apache"。
4.tomcat 服務
任務描述:采用 Tomcat 搭建動態網站。
(1)配置linux2為nginx服務器,默認文檔index.html的內容為“hellonginx”;
僅允許使用域名訪問,http 訪問自動跳轉到 https。
(2)利用 nginx 反向代理,實現 linux3 和 linux4 的 tomcat 負載均衡,通過
https//tomcat.skills.lan 加密訪問 Tomcat。
(3)配置 linux3 和 linux4 為 tomcat 服務器,網站默認首頁內容分別為
“tomcatA”和“tomcatB”,僅使用域名訪問 80 端口 http。
5.samba 服務
任務描述:請采用 samba 服務,實現資源共享。
(1)在 linux3 上創建 user00-user19 等 20 個用戶;user00 和 user01 添加到
manager 組,user02 和 user03 添加到 dev 組。把用戶 user00-user03 添加到 samba
用戶。
(2)配置 linux3 為 samba 服務器,建立共享目錄/srv/sharesmb,共享名與目
錄名相同。manager 組用戶對 sharesmb 共享有讀寫權限,dev 組對 sharesmb 共享
有只讀權限;用戶對自己新建的文件有完全權限,對其他用戶的文件只有讀權限,
且不能刪除別人的文件。在本機用 smbclient 命令測試。
(3)在 linux4 修改/etc/fstab,使用用戶 user00 實現自動掛載 linux3 的
sharesmb 共享到/sharesmb。
6.kubernetes 服務
任務描述:請采用 kubernetes 和 containerd,管理容器。
(1)在 linux5-linux7 上安裝 containerd 和 kubernetes,linux6 作為 master
node , linux6 和 linux7 作 為 work node ; 使 用 containerd.sock 作 為 容 器 runtime-endpoint。導入 nginx 鏡像,主頁內容為“HelloKubernetes”。
(2)master 節點配置 calico,作為網絡組件。
(3)創建一個 deployment,名稱為 web,副本數為 2;創建一個服務,類型為
nodeport,名稱為 web,映射本機 80 端口和 443 端口分別到容器的 80 端口和 443
端口。
7.mysql 服務
任務描述:請安裝 mysql 服務,建立數據表。
(1)配置 linux2 為 mysql 服務器,創建數據庫用戶 xiao,在任意機器上對所
有數據庫有完全權限。
(2)創建數據庫 userdb;在庫中創建表 userinfo,表結構如下:
(3)在表中插入 2 條記錄,分別為(1,user1,1999-07-01,男),(2,user2,
1999-07-02,女),password 與 name 相同,password 字段用 password 函數加密。
(4)修改表 userinfo 的結構,在 name 字段后添加新字段 height(數據類型為
float),更新 user1 和 user2 的 height 字段內容為 1.61 和 1.62。
(5) 每 周 五 凌 晨 1:00 以 root 用 戶 身 份 備 份 數 據 庫 userdb 到
/var/databak/userdb.sql(含創建數據庫命令)。
8.shell 腳本
任務描述:請采用 shell 腳本,實現快速批量的操作。
在 linux4 上 編 寫/root/createfile.sh 的 shell 腳 本 ,創 建 20 個 文 件
/root/shell/file00 至/root/shell/file19,如果文件存在,則刪除再創建;每
個 文 件 的 內 容 同 文 件 名 , 如 file00 文 件 的 內 容 為 “ file00 ” 。 用
/root/createfile.sh 命令測試。
)
函數解析)
.冶煉金屬)
)
