2022年度安徽省职业院校技能大赛中职组“网络搭建与应用”赛项竞赛试题

2022年度安徽省职业院校技能大赛

中职组“网络搭建与应用”

赛项竞赛

（总分1000分）

竞赛说明

一、竞赛内容分布

“网络搭建与应用”竞赛共分三个部分，其中：

第一部分：网络搭建及安全部署项目（500分）

第二部分：服务器配置及应用项目（480分）

第三部分：职业规范与素养（ 20分）

二、竞赛注意事项

禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。
请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。
操作过程中，需要及时保存设备配置。
比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和配置为最终结果。
比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。
禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记，如违反规定，可视为0分。
与比赛相关的工具软件放置在每台主机的D盘soft文件夹中，三种报告单模板放在PC1电脑D:\soft文件夹中。

项目简介:

某集团公司原在北京建立了总公司，后在成都建立了分公司，又在广东设立了一个办事处。集团设有营销、产品、法务、财务、人力 5个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF和BGP路由协议进行互联互通。

春回大地，万象更新，站在“两个一百年”历史的交汇点，上半年公司规模依然保持快速发展，业务数据量和公司访问量增长巨大，努力开创新局面，以高质量业绩向党献礼。为了更好管理数据，提供服务，集团决定在北京建立两个数据中心及业务服务平台、在贵州建立异地灾备数据中心，以达到快速、可靠交换数据，以及增强业务部署弹性的目的，初步完成向两地三中心整体战略架构演进，更好的服务于公司客户。

集团、分公司及广东办事处的网络结构详见“网络环境”拓扑图。

两台交换机分别作为集团北京两个DC的核心交换机编号分别为SW-1和SW-2；又新采购一台交换机编号为SW-3，作为集团灾备DC的核心交换机；两台防火墙FW-1和FW-2分别作为集团、广东办事处的防火墙；一台路由器编号为RT-1，作为集团的核心路由器；另一台路由器编号为RT-2，作为分公司的路由器；一台有线无线智能一体化控制器作为分公司的AC，与高性能企业级AP配合实现分公司无线覆盖。

请注意：在此典型互联网应用网络架构中，作为IT网络系统管理及运维人员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后，从客户端进行测试，确保能正常访问到相应应用。

拓扑结构图

表1-网络设备连接表

A设备连接至B设备
设备名称	接口	设备名称	接口
RT-1	G0/0	FW-1	E0/3
RT-1	G0/1	SW-2	E1/0/23
RT-1	G0/2	FW-2	E0/1
RT-1	S0/1	RT-2	S0/2
RT-1	S0/2	RT-2	S0/1
RT-2	G0/0	AC	E1/0/24
FW-1	E0/1	SW-1模拟Internet交换机	E1/0/18
SW-1模拟Internet交换机	E1/0/19	SW-3	E1/0/19
FW-1	E0/2	SW-1	E1/0/23
SW-1	E1/0/22	SW-3	E1/0/23
SW-1	E1/0/24(实现三层IP业务承载)	SW-2	E1/0/24（实现三层IP业务承载）
SW-1	E1/0/27(实现VPN业务承载)	SW-2	E1/0/27(实现VPN业务承载)
SW-1	E1/0/28(实现二层业务承载)	SW-2	E1/0/28(实现二层业务承载)
SW-2	E1/0/22	SW-3	E1/0/24
SW-2	E1/0/20	云平台	管理口
SW-2	E1/0/21	云平台	业务口
SW-1	E1/0/20	PC1	NIC
SW-1	E1/0/21	PC2	NIC
AC	E1/0/10	AP
AC	E1/0/1	PC2 (临时组播测试)	NIC

表2-网络设备IP地址分配表

设备	设备名称	设备接口	IP地址
路由器	RT-1	Loopback1	10.50.255.8/32 (集团内使用)
		Loopback2	10.50.255.9/32 (集团与广东办事处互联使用)
		G0/0	10.50.254.6/30
		G0/1	10.50.254.9/30 2001:10:50:254::9/127
		G0/2	10.50.254.25/30
		S0/1	10.50.254.29/30 2001:10:50:254::29/127
		S0/2	10.50.254.33/30 2001:10:50:254::33/127
	RT-2	G0/0.100	172.50.100.254/24
		G0/0.101	172.50.101.254/24 2001:172:50:101::254/64
		S0/2	10.50.254.30/30 2001:10:50:254::30/127
		S0/1	10.50.254.34/30 2001:10:50:254::34/127
三层交换机	SW-1	Loopback 1 (ospfv2使用)	10.50.255.1/32
		Loopback 2 (ospfv3使用)	10.50.255.4/32 2001:10:50:255::4/128
		VLAN10 SVI	10.50.10.254/24
		VLAN20 SVI	10.50.20.254/24 2001:10:50:20::254/64
		VLAN30 SVI	10.50.30.254/24 2001:10:50:30::254/64
		VLAN40 SVI	10.50.40.254/24
		VLAN50 SVI	10.50.50.254/24 2001:10:50:50::254/64
		VLAN1000 SVI	10.50.254.2/30
		VLAN1001 SVI	10.50.254.14/30 2001:10:50:254::14/127
		VLAN4093 SVI	10.50.254.21/30 （实现VPN业务承载）
		VLAN4094 SVI	10.50.254.21/30 2001:10:50:254::21/127
	SW-1模拟 Internet 交换机	VLAN4000 SVI	202.50.100.2/30
	SW-1模拟 Internet 交换机	VLAN4001 SVI	202.50.100.5/30
	SW-2	Loopback 1 (ospfv2使用)	10.50.255.2/32
		Loopback 2 (ospfv3使用)	10.50.255.5/32 2001:10:50:255::5/128
		VLAN10 SVI	10.50.11.254/24
		VLAN20 SVI	10.50.21.254/24 2001:10:50:21::254/64
		VLAN30 SVI	10.50.31.254/24 2001:10:50:31::254/64
		VLAN40 SVI	10.50.41.254/24
		VLAN50 SVI	10.50.51.254/24 2001:10:50:51::254/64
		VLAN1000 SVI	10.50.254.10/30 2001:10:50:254::10/127
		VLAN1001 SVI	10.50.254.18/30 2001:10:50:254::18/127
		VLAN4093 SVI	10.50.254.22/30 （实现VPN业务承载）
		VLAN4094 SVI	10.50.254.22/30 2001:10:50:254::22/127
	SW-3	Loopback 1 (ospfv2使用)	10.50.255.3/32
		Loopback 2 (ospfv3使用)	10.50.255.6/32 2001:10:50:255::6/128
		VLAN10 SVI	10.50.12.254/24
		VLAN20 SVI	10.50.22.254/24 2001:10:50:22::254/64
		VLAN30 SVI	10.50.32.254/24 2001:10:50:32::254/64
		VLAN50 SVI	10.50.52.254/24 2001:10:50:52::254/64
		VLAN1000 SVI	10.50.254.13/30 2001:10:50:254::13/127
		VLAN1001 SVI	10.50.254.17/30 2001:10:50:254::17/127
		VLAN4094 SVI	10.50.254.22/30 2001:10:50:254::22/127
	SW-3模拟 Internet 交换机	VLAN4000 SVI	202.50.100.6/30
	SW-3模拟 Internet 交换机	Loopback100	202.50.100.100/32
防火墙	FW-1	Loopback1	10.50.255.7/32
		E0/2	10.50.254.1/30 （trust安全域）
		E0/3	10.50.254.5/30 （trust安全域）
		E0/1	202.50.100.1/30 （untrust安全域）
	FW-2	Loopback1	10.50.255.10/32
		E0/1	10.50.254.26/30 （dmz安全域）
		E0/2.10 （营销网段业务）	172.50.11.254/24 （trust安全域）
		E0/2.20 （产品网段业务）	172.50.21.254/24 （trust安全域）

表3-服务器IP地址分配表

虚拟机名称	完全合格域名	角色	系统版本	IPv4地址
Windows-1	dc1.skills.com	域服务 DNS服务	WindowsServer2019	10.10.70.101/24
Windows-2	dc2.netskills.com	域服务 DNS服务 docker服务	WindowsServer2019	10.10.70.102/24
Windows-3	dc3.bj.netskills.com	域服务 DNS服务	WindowsServer2019	10.10.70.103/24
Windows-4	dc.skills.com	CA服务 DFS服务	WindowsServer2019	10.10.70.104/24
Windows-5	www1.skills.com	NLB服务 WEB服务 DFS服务 DHCP故障转移 WDS服务	WindowsServer2019	10.10.70.105/24 10.10.80.101/24 10.10.80.102/24
Windows-6	www2.skills.com	NLB服务 WEB服务 DFS服务 DHCP故障转移	WindowsServer2019	10.10.70.106/24 10.10.80.103/24 10.10.80.104/24
Windows-7	wintgt.skills.com	iSCSI服务 WEB服务	WindowsServer2019	10.10.70.107/24
Windows-8	winnode1.skills.com	故障转移群集	WindowsServer2019	10.10.70.108/24 10.10.80.105/24 10.10.90.101/24
Windows-9	winnode2.skills.com	故障转移群集	WindowsServer2019	10.10.70.109/24 10.10.80.106/24 10.10.90.102/24
Linux-1	dns.skills.com	DNS服务 CA服务 chrony服务 KDC服务	CentOS 8.3	10.10.70.110/24
Linux-2	smb.skills.com	DNS服务 PXE服务 mail服务	CentOS 8.3	10.10.70.111/24
Linux-3	tomcat1.skills.com	Tomcat服务 NIS服务 NFS服务	CentOS 8.3	10.10.70.112/24 10.10.80.107/24 10.10.80.108/24
Linux-4	tomcat2.skills.com	Tomcat服务 NIS客户端 NFS客户端	CentOS 8.3	10.10.70.113/24 10.10.80.109/24 10.10.80.110/24
Linux-5	lintgt.skills.com	iSCSI服务	CentOS 8.3	10.10.70.114/24 10.10.80.111/24
Linux-6	linnode1.skills.com	pacemarker集群	CentOS 8.3	10.10.70.115/24 10.10.80.112/24
Linux-7	linnode2.skills.com	pacemarker集群	CentOS 8.3	10.10.70.116/24 10.10.80.113/24
Linux-8	lnmt.skills.com	Mariadb服务 nginx服务	CentOS 8.3	10.10.70.117/24
Linux-9	docker.skills.com	docker服务 Mariadb客户端	CentOS 8.3	10.10.70.118/24

表4-云平台网络信息表

网络名称	Vlan	子网名称	子网地址	网关	地址范围
Vlan70	70	Vlan70-subnet	10.10.70.0/24	10.10.70.254	10.10.70.100- 10.10.70.200
Vlan80	80	Vlan80-subnet	10.10.80.0/24		10.10.80.100- 10.10.80.200
Vlan90	90	Vlan90-subnet	10.10.90.0/24		10.10.90.100- 10.10.90.200

表5-虚拟主机信息表

虚拟机名称

镜像模板

实例规格

VCPU数

内存、硬盘信息

Windows-1

至

Windows-9

WindowsServer2019

Large

4G，40G

Linux-1

至

Linux-9

CentOS8.3

Small

2G，40G

网络搭建及安全部署项目
（500分）

【说明】

请将PC1上D盘soft文件夹中的《网络搭建及安全部署竞赛报告单》复制到PC1桌面的“XX_network”（XX为赛位号）文件夹中，并按照截图注意事项的要求填写完整；
设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在PC1桌面的“XX_network”（XX为赛位号）文件夹中。

保存文档方式如下：

交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“XX_network”文件夹中，文档命名规则为：设备名称.txt。例如：RT-1路由器文件命名为：RT-1.txt；

无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集，需要先调整CRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。

交换配置与调试(191分)

截取 2 根当长度的双绞线，根据“PC1、PC2配线点连线对应关系表”的要求，链接网络信息点和相应计算机，端接水晶头，制作网络跳线，所有网络跳线要求按 568B 标准制作；
根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络跳线，根据题目要求，插入相应设备的相关端口上；
实现 PC、设备之间的连通；

为了减少广播，需要根据题目要求规划并配置VLAN。要求配置合理，所有链路上不允许不必要VLAN的数据流通过。根据下述信息及表，在交换机上完成VLAN配置和端口分配。
集团核心交换机SW-1和SW-2针对营销业务网段的每个物理接口限制收、发数据占用的带宽分别为100Mbps、80Mbps；针对产品业务网段的每个物理接口限制报文最大收包速率为100packets/s，如果超过了设置交换机端口的报文最大收包速率则关闭此端口，10分钟后再恢复此端口，来保证交换机对其他业务的正常处理。
集团核心交换机SW-1和SW-2之间租用运营商三条裸光缆通道实现两个DC之间互通，一条裸光缆通道实现三层IP业务承载、一条裸光缆通道实现VPN业务承载、一条裸光缆通道实现二层业务承载。集团核心交换机SW-1与SW-3之间、集团核心交换机SW-2与SW-3之间租用运营商OTN波分链路实现互通。具体要求如下：

设备	VLAN编号	端口	说明
SW-1	VLAN10	E1/0/1-4	营销1段
	VLAN20	E1/0/5-7	产品1段
	VLAN30	E1/0/8-10	法务1段
	VLAN40	E1/0/11-12	财务1段
	VLAN50	E1/0/13-14	人力1段
SW-2	VLAN10	E1/0/1-4	营销2段
	VLAN20	E1/0/5-7	产品2段
	VLAN30	E1/0/8-10	法务2段
	VLAN40	E1/0/11-12	财务2段
	VLAN50	E1/0/13-14	人力2段
SW-3	VLAN10	E1/0/1-4	营销3段
	VLAN20	E1/0/5-7	产品3段
	VLAN30	E1/0/8-10	法务3段
	VLAN50	E1/0/11-12	人力3段

为了节约集团成本，设计实现VPN业务承载的裸光缆通道带宽只有10Mbps，后续再根据业务使用情况考虑是否扩容；使用相关技术分别实现集团财务1段、财务2段业务路由表与集团其它业务网段路由表隔离，财务业务位于VPN实例名称CW内；
配置实现三层IP业务承载的裸光缆通道最大传输单元为1600Bytes，满足后续集团双DC VXLAN等新技术应用；
目前设计实现二层业务承载的只有一条裸光缆通道，随着集团1#DC服务器数量快速扩容，预计未来2-3年集团1#DC与2#DC间服务器大二层流量会呈现爆发式增长，配置相关技术，方便后续链路扩容与冗余备份；
配置集团核心交换机（SW-1、SW-2、SW-3）采用源、目的IP进行实现流量负载分担。

集团核心交换机（SW-1、SW-2、SW-3）分别配置简单网络管理协议，计划启用V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、62003；创建认证用户为DCN2021，采用3des算法进行加密，密钥为：Dcn20212021，哈希算法为SHA，密钥为：DCn20212021；加入组DCN，采用最高安全级别；配置组的读、写视图分别为：Dcn2021_R、DCn2021_W；当设备有异常时，需要使用本地的环回地址发送Trap消息至集团网管服务器10.50.50.120、2001:10:50:50::121，采用最高安全级别；当人力部门对应的用户接口发生UP/DOWN事件时禁止发送trap消息至上述集团网管服务器。
要求禁止配置访问控制列表，实现集团核心交换机SW-3法务业务对应的物理端口间二层流量无法互通；针对集团核心交换机SW-3人力业务配置相关特性，每个端口只允许的最大安全MAC 地址数为1，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留；配置相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截，开启日志记录功能，采样周期10s一次，恢复周期为1分钟，从而保障CPU稳定运行。
SW-1、SW-3既作为集团核心交换机，同时又使用相关技术将SW-1、SW-3模拟为Internet交换机，实现与集团其它业务网段路由表隔离，Internet路由表位于VPN实例名称Internet内。
配置相关功能，使集团核心交换机（SW-1、SW-2、SW-3）设备能够在网络中相互发现并交互各自的系统及配置信息，以供管理员查询两端接口对应关系及判断链路的通信状况；配置所有使能此功能的端口发送更新报文的时间间隔为一分钟、更新报文所携带的老化时间为五分钟，配置租用运营商三条裸光缆通道相关端口使能Trap功能，Trap报文发送间隔为1分钟。

路由配置与调试(160分)

规划集团内部、集团与广东办事处之间使用OSPF协议，集团内使用进程号为1，集团与广东办事处间使用进程号为2，具体要求如下：

集团核心交换机SW-1与集团防火墙之间、集团路由器与集团防火墙之间、集团路由器与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3、集团核心交换机SW-2与集团核心交换机SW-3均属于骨干区域；集团路由器与广东办事处防火墙之间属于普通区域，区域号为20；
调整接口的网络类型加快邻居关系收敛，配置发送Hello包的时间间隔为5秒，如果接口在3倍时间内都没有收到对方的Hello报文，则认为对端邻居失效；
集团路由器、集团核心交换机（SW-1、SW-2、SW-3）、集团防火墙分别发布自己的环回地址路由；集团核心交换机SW-1、SW-2、SW-3只允许发布营销网段业务路由；
集团核心交换机（SW-1、SW-2、SW-3）OSPF进程1的路由表中只允许学习到业务网段路由为集团防火墙通告的TYPE1类型的缺省路由、分公司无线业务网段路由、广东办事处防火墙环回地址与营销业务网段路由；由于广东办事处防火墙路由条目支持数量有限，禁止学习到集团、分公司的所有互联地址与业务路由。

规划集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3、集团核心交换机SW-2与集团路由器之间使用OSPFv3协议，发布相应环回地址，禁止发布业务路由；集团核心交换机SW-1与集团核心交换机SW-2之间通过两端三层IP业务承载的裸光缆通道进行互联互通。
为了方便业务灵活调度，同时还规划集团北京两个DC与集团灾备DC之间、集团与分公司之间使用BGP协议，集团北京两个DC使用的AS号为62021、集团灾备DC使用的AS号为62022、分公司使用的AS号为62023，具体要求如下：

集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团路由器之间、集团核心交换机SW-2与集团路由器之间通过环回地址建立IBGP邻居，集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3之间、集团路由器与分公司路由器之间通过互联地址建立EBGP邻居；
使用BGP协议实现集团DC之间IPV6业务、集团与分公司之间IPV6业务、北京DC之间财务业务互联互通，满足集团DC之间、集团与分公司之间IPV6及北京DC之间财务业务发展的需要；其中要求集团核心交换机SW-1、SW-2、SW-3之间实现DC间IPV6业务互联互通需使用环回地址建立BGP邻居；集团与分公司之间IPV6业务互联互通要求集团核心交换机SW-1、SW-2与集团路由器使用环回地址建立BGP邻居、集团路由器与分公司路由器采用互联地址建立BGP邻居；
要求集团北京两个DC与集团灾备DC、分公司路由器禁止发布除产品、法务、财务、人力、无线业务网段外的其它路由；集团核心交换机（SW-1、SW-2、SW-3）BGP路由表中只允许学习到集团DC间产品&法务&人力业务网段、广东办事处产品业务网段路由、分公司无线业务业务网段路由；
利用BGP相关功能特性，减少网络不稳定带来的过多的路由更新，抑制这些不稳定的路由信息，不允许这类路由参与路由选择。

为了合理分配集团内业务流向，保证来回路径一致，业务选路具体要求如下：

集团内部实现核心交换机SW-1与分公司路由器、广东办事处互访流量优先通过SW-1_SW-2_RT-1之间链路转发，SW-1_FW-1_RT-1之间链路作为备用链路；集团内部实现核心交换机SW-2与分公司路由器、广东办事处互访流量优先通过SW-2 _RT-1之间链路转发，SW-2_SW-1_FW-1_RT-1之间链路作为备用链路；
集团内部实现核心交换机SW-1与Internet互访流量优先通过SW-1 _FW-1之间链路转发，SW-1_SW-2 _RT-1_FW1之间链路作为备用链路；集团内部实现核心交换机SW-2与Internet互访流量优先通过SW-2_SW-1_FW-1之间链路转发， SW-2_RT-1_FW-1之间链路作为备用链路；
集团内部实现核心交换机SW-3与SW-1、SW-2营销业务互访流量优先通过SW-3_SW-2之间链路转发，SW-3_SW-1之间链路作为备用链路；集团内部实现核心交换机SW-3与SW-1、SW-2 DC间IPV6业务互访流量优先通过SW-3_SW-1之间链路转发，SW-3_SW-2之间链路作为备用链路。

无线配置(40分)

分公司无线控制器AC与分公司路由器互连，无线业务网关位于分公司路由器上，配置VLAN100为AP管理VLAN，VLAN101为业务VLAN；AC提供无线管理与业务的DHCP服务，动态分配IP地址和网关；使用第一个可用地址作为AC管理地址，AP二层自动注册，启用密码认证，验证密钥为：Dcn_2021。
配置一个SSID DCNXX：DCNXX中的XX为赛位号，访问Internet业务，采用WPA-PSK认证方式，加密方式为WPA个人版，配置密钥为Dcn20212021。
配置所有无线接入用户相互隔离，Network模式下限制SSID DCNXX每天早上0点到4点禁止终端接入，开启SSID DCNXX ARP抑制功能；配置当无线终端支持5GHz网络时，优先引导接入5GHz网络，从而获得更大的吞吐量，提高无线体验。

安全策略配置(50分)

根据题目要求配置集团防火墙、广东办事处防火墙相应的业务安全域、业务接口；2021年护网行动开展在即，调整全网防火墙安全策略缺省规则为拒绝；限制集团防火墙只允许集团营销业务、分公司无线业务、广东办事处营销业务访问Internet业务；在广东办事处防火墙上限制广东办事处产品业务网段只可以访问集团产品网段https、mysql数据库类型业务，集团产品网段可以访问广东办事处产品业务网段任何端口。
为了避免集团内部业务直接映射至Internet成为攻击“靶心”，不断提升集团网络安全体系建设，在集团防火墙配置L2TP VPN，满足远程办公用户通过拨号登陆访问集团营销业务，LNS 地址池为10.50.253.1/24-10.10.253.100/24，网关为最大可用地址，认证账号dcn2021001,密码dcn2021。
在集团防火墙配置网络地址转换，公网NAT地址池为：202.50.21.0/28；保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.50.10.120的 UDP 2000端口；开启相关特性，实现扩展NAT转换后的网络地址端口资源；
在广东办事处防火墙开启安全网关的TCP SYN包检查功能，只有检查收到的包为TCP SYN包后，才建立连接；如果第一个数据包为TCP RST包，则防火墙将不创建会话；配置所有的TCP数据包每次能够传输的最大数据分段为1460、尽力减少网络分片；配置对TCP三次握手建立的时间进行检查，如果在1分钟内未完成三次握手，则断掉该连接。

业务选路与组播配置 (59分)

考虑到从集团北京两个DC与集团灾备DC之间共有两条链路，集团灾备DC产品业务网段与集团北京两个DC产品业务网段IPV4协议栈互访优先在SW-3与SW-1之间链路转发；集团灾备DC法务&人力网段与集团北京两个DC法务&人力网段IPV4协议栈互访优先在SW-3与SW-2之间链路转发，主备链路相互备份。根据以上需求，在交换机上进行合理的业务选路配置。具体要求如下：

使用IP前缀列表匹配上述业务数据流；
使用BGP自治系统路径属性进行业务选路，只允许使用route-map来改变路径属性、路由控制。

前年集团内部完成视频会议系统组播功能的测试与上线，获得了良好演示效果与集团高层领导高度认可。为了更加方便集团与分公司多业务部门横向沟通、交流，提升工作效率，计划在集团营销与分公司无线业务部门间启用组播协议进行测试，具体要求如下：

在集团核心交换机SW-1与集团核心交换机SW-2之间、集团路由器与集团核心交换机SW-2之间、集团路由器与分公司路由器之间运行协议独立组播－密集模式协议、因特网组管理协议第二版本；
集团核心交换机SW-1营销业务部门内部终端启用组播，使用VLC工具串流播放视频文件1.mpg，组地址228.50.50.50，端口：2021，实现分公司无线业务部门内部终端可以通过组播查看视频播放。

服务器配置及应用项目
（480分）

说明：

1. 1. 所有Windows主机实例在创建之后都可以直接通过远程桌面连接操作，Linux主机实例可以通过SecureCRT或Xshell软件连接进行操作，所有Linux主机都默认开启了ssh功能。
  2. 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
  3. 不修改Linux虚拟机的root用户密码，Linux题目中所有未指明的密码均为dcncloud；Windows虚拟机管理员的密码以及Windows题目中所有未指明的密码均为Password-1234，若未按照要求设置，涉及到该操作的所有分值记为0分。
  4. 虚拟主机的IP地址、主机名称请按照《网络环境》的要求设定，若未按照要求设置，涉及到该操作的所有分值记为0分。
  5. 赛题所需的其它软件均存放在物理机D:\soft文件夹中。
  6. 在PC1桌面上新建“XX_system”（XX为赛位号）文件夹。根据“D:\soft\服务器配置及应用报告单.docx”中提供的方法和命令，生成云平台和所有云主机操作结果的文件，并将这些文件存放到PC1桌面上的“XX_system”（XX为赛位号）文件夹。
  7. 所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会扣除该服务功能一定分数；如文档名称或文档存放位置错误，涉及到的所有操作分值记为0分。
云实训平台设置（150分）
1. 1. 按照《网络环境》要求新建网络。
  2. 按照《网络环境》要求新建云主机类型。
  3. 按照《网络环境》要求新建虚拟主机，主机IP地址与《网络环境》中的一致。
  4. 按照下述题目相关要求新建硬盘，并连接到虚拟主机。

Windows服务配置（165分）
- 域服务配置

【任务描述】为实现高效管理，请采用域控制器，提升企业网络安全程度，整合局域网内基于网络的资源。

1. 1. 设置所有虚拟机的IP为手动，与自动获取的IP地址一致；修改所有主机的名称与《网络环境》中的一致。
  2. 配置Windows-1为域控制器，域名为skills.com；安装DNS服务，为skills.com域中服务器提供正向解析，为skills.com林中服务器提供反向解析；要求skills.com林中的服务器之间都能正反向解析。
  3. 把其他Windows主机加入到skills.com域。
  4. 新建名称为hr、tech、sale的3个组织单元；每个组织单元内新建与组织单元同名的全局安全组；每个组内新建20个用户：人力部（hr101-hr120）、营销部（sale101-sale120）、技术部（tech101-tech120），所有用户不能修改其口令，必须启用密码复杂度要求、密码长度最小为8位、密码最长期限为10天、允许失败登录尝试的次数为4次、重置失败登录尝试计数（分钟）为5分钟、直至管理员手动解锁帐户，并且只能每天8:00-18:00可以登录。
  5. 所有用户到任何一台域计算机登录，“文档”文件夹重定向到域控制器的C:\Documents文件夹。
  6. 所有用户使用漫游用户配置文件，配置文件存储在Windows-1的C:\Profiles文件夹。
  7. 设置组策略，让域中主机自动信任Windows-4根证书颁发机构。
  8. 设置组策略，让域中主机之间通信采用IPSec安全连接，但域控制器和网关除外；采用计算机证书验证，使用组策略将证书分发到客户端计算机。
  9. 配置Windows-2为skills.com林的第二棵域树根，域名为netskills.com，安装DNS服务，为netskills.com域中服务器提供正反向解析。
  10. 配置Windows-3为netskills.com的子域，子域名称为bj.netskills.com，安装DNS服务，为bj.netskills.com域中服务器提供正反向解析。
  11. 配置Windows-4为证书服务器，为所有Windows主机颁发证书。设置为企业根，CA证书有效期20年，CA颁发证书有效期10年；证书的通用名称均用主机的完全合格域名，证书的其他信息：
    1. 国家=“CN”。
    2. 省=“Beijing”。
    3. 市/县=“Beijing”。
    4. 组织=“skills”。
    5. 组织单位=“system”。

- Web服务配置

【任务描述】 为客户获取公司产品信息和企业宣传的需要，创建安全动态网站，采用IIS搭建Web服务。

1. 1. 把Windows-7配置为Web站点，仅允许使用域名访问，http访问自动跳转到https，证书路径为C:\IIS\Configs\iis.crt。
  2. Web站点同时支持dotnet CLR v2.0和dotnet CLR v4.0。
  3. Web站点目录为C:\IIS\Contents，主页文档index.aspx的内容为<%=now()%>.
  4. 客户端访问网站，客户端必需有证书。

- DFS服务配置

【任务描述】为建立一个高效率的存储架构，请采用DFS，实现集中管理共享文件。

1. 1. 在Windows-4的C分区划分2GB的空间，创建NTFS分区，驱动器号为D。
  2. 配置Windows-4为DFS服务器，命名空间为DFSROOT，文件夹为Pictures；实现Windows-5的D:\Pics和Windows-6的D:\Images同步。
  3. 配置Windows-5的DFS IPv4使用34567端口；限制所有服务的IPv4动态RPC端口从8000开始，共1000个端口号。

- WDS服务配置

【任务描述】由于企业新购一批服务器，需要安装Windows Server 2019操作系统，请采用WDS服务实现需求。

1. 配置Windows-5和Windows-6为DHCP服务器，两台DHCP服务器实现故障转移，故障转移模式为“负载平衡”，负载平衡比例各为50%。
2. DHCP IPv4的作用域名称为skills，地址范围为10.10.70.10-10.10.70.19，网关为10.10.70.254，DNS为Windows-1。
3. 在Windows-5上安装WDS，部署安装Windows Server 2019 Datacenter。

- NLB服务配置

【任务描述】为提升网络并发数据处理能力、优化网络性能，请采用NLB，以保证网络服务的灵活性和可用性。

1. 1. 配置Windows-5和Windows-6为NLB服务器，10.10.70.0网络为负载均衡网络，10.10.80.0网络为心跳网络。
  2. 群集IPv4地址为10.10.70.60/24，Windows-5群集优先级为1，Windows-6群集优先级为2，群集名称为www.skills.com，采用多播方式。
  3. 配置Windows-5为Web服务器，站点名称为www.skills.com，网站的最大连接数为1000，网站连接超时为60s，网站的带宽为2Mbps。
  4. 共享网页文件、共享网站配置文件和网站日志文件分别存储到Windows-1的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs。
  5. 使用W3C记录日志，每天创建一个新的日志文件，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。
  6. 网站只允许使用域名SSL加密访问，证书通用名称为www.skills.com，证书路径为Windows-1的D:\FilesWeb\Configs\www.cer。
  7. 配置Windows-6为Web服务器，要求采用共享windows-5配置的方式；导入Windows-5证书，证书路径为Windows-1的D:\FilesWeb\Configs\www.pfx。

- 故障转移群集配置

【任务描述】为提供一个高可用性应用程序或服务的网络环境，请采用iSCSI SAN文件服务器故障转移群集。

1. 1. 在Windows-7上添加4块硬盘，每块硬盘大小为5G，初始化为GPT磁盘，配置为Raid5，驱动器号为D盘。
  2. 在Windows-7上安装iSCSI目标服务器和存储多路径，并新建iSCSI虚拟磁盘，存储位置为D:\；虚拟磁盘名称分别为Quorum和Files，大小分别为512MB和5GB，访问服务器为Windows-8和Windows-9，实行CHAP双向认证，Target认证用户名和密码分别为IncomingUser和IncomingPass，Initiator认证用户名和密码分别为OutgoingUser和OutgoingPass。
  3. 在Windows-8和Windows-9上连接Windows-7的虚拟磁盘Quorum和Files，创建卷，驱动器号分别为M和N。
  4. 配置Windows-8和Windows-9为故障转移群集；10.10.70.0和10.10.80.0网络为MPIO网络，10.10.90.0网络为心跳网络。
  5. 在Windows-8上创建名称为WinCluster的群集，其IP地址为10.10.70.70.
  6. 在Windows-9上配置文件服务器角色，名称为WinClusterFiles，其IP地址为10.10.70.80；为WinClusterFiles添加共享文件夹，共享协议采用“SMB”，共享名称为WinClusterShare，存储位置为N:\，NTFS权限采用域管理员具有完全控制权限，域其他用户具有修改权限；共享权限采用管理员具有完全控制权限，域其他用户具有更改权限。

- 虚拟化配置

【任务描述】随着虚拟化技术的发展，企业把测试环境迁移到docker容器中。

1. 在windows-2安装docker，软件包存放在物理机D:\soft\WindowsDocker。
2. 导入NanoServer镜像。
3. 创建名称为Web的容器，映射Windows-2的80端口到容器的80端口，容器启动后运行cmd命令。

Linux服务配置（165分）
- DNS服务和CA服务配置

【任务描述】创建DNS服务器，实现企业域名访问。

1. 1. 设置所有虚拟机的IP为手动，与自动获取的IP地址一致。
  2. 修改所有主机名称为《网络环境》中的完全合格域名。
  3. 设置所有Linux服务器的时区设为“上海”。
  4. 启动所有Linux服务器的防火墙，并放行相关服务。
  5. 利用chrony配置Linux-1为其他Linux主机提供时间同步服务。
  6. 利用bind9软件，配置Linux-1为主DNS服务器，配置Linux-2为备用DNS服务器，为所有Linux主机提供DNS正反向解析服务；采用rndc技术提供不间断的DNS服务。
  7. 所有Linux的root用户使用完全合格域名免密码ssh登录到其他Linux主机。
  8. 配置Linux-1为CA服务器，为所有Linux主机颁发证书。证书通用名称均为主机完全合格域名，CA证书有效期20年，CA颁发证书有效期10年，证书其他信息：
    1. 国家=“CN”。
    2. 省=“Beijing”。
    3. 市/县=“Beijing”。
    4. 组织=“skills”。
    5. 组织单位=“system”。

- Mail服务配置

【任务描述】为构建一个企业级邮件服务器，请采用postfix和dovecot，实现更快、更容易管理、更安全的邮件服务。

1. 1. 配置Linux-2为Mail服务器，安装postfix和dovecot。
  2. 仅支持smtps和pop3s连接，证书路径为/etc/pki/www.crt，私钥路径为/etc/pki/www.key。
  3. 创建用户mail1和mail2，向all@skills.com发送的邮件，每个用户都会收到。

- PXE服务配置

【任务描述】由于企业新购一批服务器，需要安装CentOS 8.3 操作系统，请采用PXE+DHCP+TFTP+httpd+Kickstart服务实现需求。

1. 1. 配置Linux-2为DHCP服务器，为PXE客户端提供IP，地址范围为10.10.70.20-10.10.70.29，网关为10.10.70.254，DNS为Linux-1。
  2. 配置Linux-2为TFTP服务器，为PXE客户端提供启动服务，TFTP目录为默认值。
  3. 配置Linux-2为Apache服务器为PXE客户端提供软件包；复制CentOS8.3光盘内文件到/var/www/html/centos；复制物理机D:\soft\kickstart.cfg到/var/www/html，实现完全自动化部署。

- NIS服务配置

【任务描述】为实现Linux主机之间资源共享，加强企业Linux账户的集中管理，请采用NIS实现该需求。

1. 1. 配置Linux-1为KDC服务器，负责Linux-3和Linux-4的验证。
  2. 在Linux-3上，创建用户，用户名为tom，uid=222，gid=222，家目录为/home/tomdir。
  3. 配置Linux-3为NFS服务器，目录/srv/share的共享要求为：10.10.70.0/24网络用户具有读写权限，所有用户映射为tom；kdc加密方式为krb5p。目录/srv/tmp的共享要求为：所有人都可以读写，都不改变身份，但不可删除别人的文件；kdc加密方式为krb5p。
  4. 在Linux-4上，设置用户的密码长度最少为6位，普通用户的最小id为2000。
  5. 配置Linux-4为NFS客户端，新建/mnt/share和/mnt/tmp目录，分别挂载Linux-3上的/srv/share和/srv/tmp。
  6. 配置Linux-3为NIS服务器，ypserv服务监听端口为1020；新建user1和user2用户，用户目录分别为/home/user1和/home/user2。
  7. 配置Linux-4为NIS客户端，按需自动挂载Linux-3上的user1和user2用户目录到/home。

- 高可靠性配置

【任务描述】为准确地表达的集群资源之间的关系，请采用pacemarker+CoroSync，实现Web服务的高可用。

为Linux-5添加4块硬盘，每块硬盘大小为5G，组成Raid10，设备名称为/dev/md10，保证服务器开机，Raid能正常工作。使用iscsi全部空间创建lvm卷，卷组名称为vg1，逻辑卷名称为lv1，格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器，为Linux-6和Linux-7提供iSCSI服务。iSCSI目标端的wwn为iqn.2021-05.com.skills:server, iSCSI发起端的wwn为iqn.2021-05.com.skills:client.
配置Linux-6和Linux7为iSCSI客户端，实现discovery chap和session chap双向认证，Target认证用户名为IncomingUser，密码为IncomingPass；Initiator认证用户名为OutgoingUser，密码为OutgoingPass。利用多路径实现负载均衡，路径别名为mp。
配置Linux-6和Linux-7为集群服务器，通过D:\soft\HighAvailability.tar.gz安装pcs，集群名称为lincluster，Linux-6为主服务器，Linux-7为备份服务器。提供Apache服务，域名为www3.skills.com，网站目录/var/www/html，网站主页index.html的内容为“Linux集群网站”。IP资源名称为vip，虚拟IP为10.10.70.90；站点文件系统资源名称为website，物理目录为lv1；监视资源名称为webstatus，配置文件为/etc/httpd/conf/httpd.conf。仅允许使用域名访问，http访问自动跳转到https，证书路径为/etc/pki/www.crt，私钥路径为/etc/pki/www.key，网站虚拟主机配置文件路径为/etc/httpd/conf.d/vhost.conf。

- LNMT服务配置

【任务描述】根据企业需要搭建Linux动态网站，采用LNMT实现该需求。

配置Linux-8为Mariadb服务器，安装Mariadb-server，创建数据库用户jack，在任意机器上对所有数据库有完全权限；允许root远程登陆。
配置Linux-9为Mariadb客户端，创建数据库userdb；在库中创建表userinfo，在表中插入2条记录，分别为(1,user1，1995-7-1，男)，(2,user2，1995-9-1，女)，口令与用户名相同，password字段用password函数加密，表结构如下：
修改表userinfo的结构，在name字段后添加新字段height(数据类型为float)，更新user1和user2的height字段内容为1.61和1.62。
把物理机d:\soft\mysql.txt中的内容导入到userinfo表中，password字段用password函数加密。
将表userinfo中的记录导出，并存放到/var/databak/mysql.sql文件中。
每周五凌晨1:00备份数据库userdb到/var/databak/userdb.sql。
配置Linux-3为Tomcat服务器，安装目录为/usr/local/tomcat，网站默认首页内容为“111”，使用443端口加密访问；证书路径为/usr/local/tomcat/conf/tomcat1.pfx，格式为pfx，有效期10年。
配置Linux-4为Tomcat服务器，安装目录为/usr/local/tomcat，网站默认首页内容为“222”，使用443端口加密访问；证书路径为/usr/local/tomcat/conf/tomcat2.pfx，格式为pfx，有效期10年。
配置Linux-8为nginx服务器，安装nginx，网站根目录为默认值，默认文档index.html的内容为“Nginx加密访问”；仅允许使用域名访问，http访问自动跳转到https，证书路径为/etc/nginx/nginx.crt，私钥路径为/etc/nginx/nginx.key，有效期10年。
利用nginx反向代理，客户端通过https://tomcat.skills.com加密访问Tomcat，实现Linux-3和Linux-4的两个Tomcat负载均衡，仅允许使用域名加密访问。

字段名	数据类型	主键	自增
id	int	是	是
name	varchar(10)	否	否
birthday	datetime	否	否
sex	char(5)	否	否
password	char(200)	否	否

- 虚拟化配置

【任务描述】随着虚拟化技术的发展，企业把测试环境迁移到docker容器中，并且把Linux加入到Windows域环境中。

1. 在Linux-9上安装docker，软件包存放在物理机D:\soft\LinuxDocker。
2. 导入centos镜像，镜像存放在物理机D:\soft\centos.tar.xz。
3. 创建名称为Apache的容器，映射Linux-9的80端口到容器的80端口，在容器内安装Apache2，网站目录采用默认值，默认网页内容为“欢迎来到容器世界”。