2024年青海省职业院校技能大赛网络建设与运维赛项

2024年青海省职业院校技能大赛

网络建设与运维赛项

网络建设与运维赛项执委会及专家组

2024年1月10日

竞赛说明

1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件及文档清单、材料清单是否齐全，计算机设备是否能正常使用。
3. 请参赛选手仔细阅读赛卷，按照要求完成各项操作。
4. 操作过程中，需要及时保存配置。
5. 比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和提交文档为最终结果。禁止将比赛所用的所有物品（包括赛卷）带离赛场。
6. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记，如违反规定，可视为0分。
7. 与比赛相关的软件和文档存放在<U盘>/soft文件夹中。
8. 请在PC1的U盘根目录新建“xxx”文件夹作为“选手目录”（xxx为赛位号。举例：1号赛位，文件夹名称为“001”），按照“答案提交指南.txt”要求生成答案文档，将答案文档复制到选手目录。
9. server1 web网址http://192.168.100.100/dcncloud，管理员为admin，密码为dcncloud。Windows虚拟机中Administrator用户密码为Key-1122，题目中所有未指定的密码均用该密码。虚拟主机的IP地址必须手动设置为该虚拟机自动获取的IP地址。
10. server2 web网址http://192.168.2.10，管理员为Admin，密码为Admin@123。
11. 使用完全合格域名访问网络资源。

• 网络配置

项目简介:

某集团公司原在北京建立了总公司，后在上海建立了分公司，又在长沙建立了办事处。集团全网采用路由协议进行互联互通。

总公司、分公司、办事处、Internet的网络结构详见拓扑图。编号为SW1、SW2、SW3的设备作为总公司核心交换机；编号FW1的设备作为总公司互联网出口防火墙；编号为FW2的设备作为分公司互联网出口防火墙；编号为RT1的设备作为互联网出口路由器；编号为RT2的设备作为办事处路由器；编号为AC1的设备作为无线控制器，通过与办事处AP1配合实现所属区域无线覆盖。

网络拓扑:

网络设备IP地址分配表

设备名称	设备接口	IP地址
SW1	Loopback1	10.0.1.1/32
	Vlan11	10.0.11.1/24
	Vlan12	10.0.12.1/24
	Vlan13	10.0.13.1/24
	Vlan14	10.0.14.1/24
	Vlan1019	10.0.255.2/30
	Vlan1020	10.0.255.9/30
	Vlan1022	10.0.255.17/30
SW1-BR	Loopback2	10.0.1.2/32
	Vlan2017	10.0.254.2/30
	Vlan2018	10.0.254.9/30
SW1-IN	Loopback3	20.0.1.3/32
	Vlan3013	20.0.255.1/30
	Vlan3014	20.0.255.13/30
	Vlan3015	20.0.255.21/30
SW2	Loopback1	10.0.2.1/32
	Vlan21	10.0.21.1/24
	Vlan22	10.0.22.1/24
	Vlan23	10.0.23.1/24
	Vlan24	10.0.24.1/24
	Vlan1019	10.0.255.6/30
	Vlan1020	10.0.255.13/30
	Vlan1022	10.0.255.18/30
SW2-BR	Loopback2	10.0.2.2/32
	Vlan2017	10.0.254.6/30
	Vlan2018	10.0.254.13/30
SW2-IN	Loopback3	20.0.2.3/32
	Vlan3013	20.0.255.14/30
	Vlan3014	20.0.255.17/30
	Vlan3015	20.0.255.25/30
SW3	Loopback1	10.0.3.1/32
	Vlan31	10.0.31.1/24
	Vlan32	10.0.32.1/24
	Vlan33	10.0.33.1/24
	Vlan34	10.0.34.1/24
	Vlan1019	10.0.255.10/30
	Vlan1020	10.0.255.14/30
SW3-BR	Loopback2	10.0.3.2/32
	Vlan2017	10.0.254.10/30
	Vlan2018	10.0.254.14/30
SW3-IN	Loopback3	20.0.3.3/32
	Vlan3013	20.0.255.10/30
	Vlan3014	20.0.255.18/30
	Vlan3015	20.0.255.29/30
AC1	Loopback1	10.0.4.1/32
	Vlan50	10.0.50.1/24
	Vlan60	10.0.60.1/24
	Vlan1001	10.0.253.6/30
RT1	Loopback1	10.0.5.1/32
	G0/0	20.0.255.30/30
	G0/1	10.0.253.1/30
	Tunnel1	10.0.252.6/30
RT1-IN	Loopback2	20.0.5.2/32
	Loopback3	20.0.5.3/32
	G0/2	20.0.255.2/30
	G0/3	20.0.255.5/30
RT2	Loopback1	10.0.6.1/32
	G0/0	10.0.253.2/30
	G0/1	10.0.253.5/30
RT2-IN	Loopback2	20.0.6.2/32
	Loopback3	20.0.6.3/32
	G0/2	20.0.255.6/30
	G0/3	20.0.255.9/30
FW1	Loopack1(trust) RIP	10.0.7.1/32
	Loopback2(trust) OSPF	10.0.7.2/32
	Loopback3(trust) ISIS	10.0.7.3/32
	E0/1(untrust)	20.0.255.22/30
	E0/2(trust)	10.0.255.1/30
	E0/3(trust)	10.0.255.5/30
	Tunnel1(trust)	10.0.252.1/30
	Tunnel2(trust)	10.0.252.5/30
FW2	Loopback1(trust)	10.0.8.1/32
	E0/1(untrust)	20.0.255.26/30
	E0/2(trust)	10.0.254.1/30
	E0/3(trust)	10.0.254.5/30
	Tunnel1(trust)	10.0.252.2/30
PC1	Eth0	10.0.31.10/24
PC2	Eth0	10.0.32.10/24

• • 工程统筹

职业素养

1. 整理赛位，工具、设备归位，保持赛后整洁有序。
   1. 无因选手原因导致设备损坏。
   2. 恢复调试现场，保证网络和系统安全运行。

网络布线

1. 跳线制作与连接。截取适当长度的双绞线，端接水晶头，连接相应设备，所有网络跳线要求按568B标准制作。
   1. 交换配置

配置SW1、SW2、SW3的Vlan，二层链路只允许相关Vlan通过，不限制vlan1。

设备	Vlan编号	端口	说明
SW1	Vlan11	E1/0/1	产品1段
	Vlan12	E1/0/2	营销1段
	Vlan13	E1/0/3	财务1段
	Vlan14	E1/0/4	行政1段
SW2	Vlan21	E1/0/1	产品2段
	Vlan22	E1/0/2	营销2段
	Vlan23	E1/0/3	财务2段
	Vlan24	E1/0/4	行政2段
SW3	Vlan31	E1/0/1	产品3段
	Vlan32	E1/0/2	营销3段
	Vlan33	E1/0/3	财务3段
	Vlan34	E1/0/4	行政3段

SW1和SW2之间利用连接在E1/0/23和E1/0/24端口的两条光缆实现链路聚合，编号为1，用LACP协议，SW1为active，SW2为active。

SW1、SW2、SW3模拟分公司交换机，VPN实例名称为Branch，RD为1:1。SW1、SW2、SW3、RT1、RT2模拟Internet交换机，VPN实例名称为Internet，RD为2:2。

• • 路由配置

配置所有设备主机名，名称见“网络拓扑”。启用所有设备的ssh服务，用户名和明文密码均为admin；配置所有设备console连接超时为30分；ssh连接超时为9分钟，交换机和无线控制器的最大连接数为6，路由器和防火墙的最大连接数为1。

配置接口地址，FW1和FW2接口仅启用ping功能以及Loopback1的ssh功能。

SW1、SW2、SW3之间运行OSPF协议，process 1，area 0，发布Loopback地址路由、产品、营销、财务、管理业务路由。

SW1、SW2、FW1之间运行RIPv2协议，FW1发布Loopback地址路由，FW1通告默认路由。在SW1和SW2实现双点双向重分发，解决次优路径。（OSPF路由模式发布网络用接口地址，其他路由协议用网络地址，按照IP地址从小到大的顺序发布。）

SW1-BR、SW2-BR、SW3-BR、FW2、FW1的Tunnel1之间运行OSPF协议，process 2，area 0,发布Loopback地址路由，FW2发布Tunnel1地址路由，FW2通告默认路由。

RT1、RT2、AC1、FW1的Tunnel2之间运行RIPv2协议，RT1通告默认路由，发布Loopback地址路由和Tunnel1地址路由，AC1的业务vlan接口不发送协议数据包。

SW1-IN、SW2-IN、SW3-IN、RT1-IN、RT2-IN之间运行BGP协议。SW1-IN的AS号为100；SW2-IN的AS号为200；SW3-IN的AS号为300；EBGP通过互联接口建立邻居，发布Loopback地址路由，通过prefix-list和route-map分别重发布与总公司、分公司、办事处直连路由。

RT1-IN、RT2-IN AS号400，IBGP内部运行ISIS，NET分别为10.0000.0000.0005.00、10.0000.0000.0006.00，路由器类型是Level-2，通过Loopback2与相邻设备建立邻居，

发布Loopback3地址路由,RT1-IN为路由反射器，RT2-IN为路由反射器客户端。

在AC1上配置DHCP服务，为AP1的管理和业务网络分配IP地址，AP1分配主机地址为10。

FW1、FW2、RT1配置NAT，实现总公司、分公司、办事处用外网接口地址访问Internet。

• • 无线配置

AC1 Loopback1 IPv4地址作为AC1的管理地址，配置1个ssid，名称为SKILLS-5G,用户接入无线网络时需要采用基于WPA-personal加密方式，密码为Key-1122。用Network 60和radio1（profile 1, mode n-only-g），倒数第一个可用VAP发送信号。

• • 安全配置

说明：按照IP地址从小到大的顺序用“IP/mask”表示，IPv4 Any地址用0.0.0.0/0，IPv6 Any地址用::/0，禁止使用地址条目，否则按零分处理。

FW1和FW2策略默认动作为拒绝，FW1允许总公司任意网络访问Internet任意服务，FW2允许分公司任意网络访问Internet任意服务。

FW1与FW2之间用Internet互联地址建立GRE Over IPSec VPN，实现总公司与分公司之间的加密访问。

FW1与RT1之间用Internet互联地址建立GRE Over IPSec VPN，实现总公司与办事处之间的加密访问。

• • 网络运维

拓扑图

网络设备IP地址分配表

用eve-ng镜像创建虚拟机，虚拟机名称为eve-ng，实例类型为F-4-4G-100G，IP地址为10.0.210.110/24。

通过浏览器登录虚拟机，用户名为admin，密码为eve，打开Exam-1.unl，启动所有网络设备。

根据要求完成配置。

1. NS1、NS2、NS3运行MSTP协议，创建实例Instance10和Instance20，名称为SKILLS，修订版本为1，其中Instance10关联vlan10和vlan20，Instance20关联vlan30和vlan40。NS2为Instance0和Instance10的根交换机，为Instance20备份根交换机；NS3为Instance20根交换机，为Instance0和Instance10的备份根交换机；根交换机STP优先级为0，备份根交换机STP优先级为4096。
2. 利用vrrp实现vlan10、vlan20、vlan30、vlan40网关冗余备份，vrrp id与vlan id一只，vrrp vip分别为10.0.10.254、10.0.20.254、10.0.30.254、10.0.40.254。配置NS2为vlan10、vlan20的Master，NS3为vlan30、vlan40的Master。要求vrrp组中高优先级为120，低优先级为默认值，抢占模式为默认值。当NS2或NS3上联链路发生故障，Master优先级降低50。

完成配置后，导出每台设备的配置，保存到选手目录中以设备名称命名的txt文件中（如XXX设备的文件为XXX.txt）。

• 服务配置
  • X86电脑配置

PC1系统为ubuntu-desktop-amd64系统（已安装，语言为英文），登录用户为xiao，密码为Key-1122，配置该用户免密码执行sudo命令。

安装remmina，用该软件连接server1上的虚拟机。

• • ARM电脑安装

从U盘启动PC2，安装kylin-desktop-arm64（安装语言为英文），安装时创建用户为xiao，密码为Key-1122，配置该用户免密码执行sudo命令。

配置minicom，用该软件连接网络设备。

• • Windows云服务配置

创建实例

1. 网络信息表

网络名称	Vlan	子网名称	网关	IPv4地址池
Network210	210	Subnet210	10.0.210.1/24	10.0.210.100-10.0.210.199
Network211	211	Subnet211	none	10.0.211.100-10.0.211.199

1. 实例类型信息表（提示：删除所有已有实例类型）

名称	id	vcpu	内存	磁盘
F-4-4G-100G	1	4	4096MB	100GB

1. 实例信息表

实例名称	镜像	实例类型	IPv4地址	主机名称
windows1	windows2022	F-4-4G-100G	10.0.210.101	windows1
windows2	windows2022	F-4-4G-100G	10.0.210.102	windows2
windows3	windows2022	F-4-4G-100G	10.0.210.103	windows3
windows4	windows2022	F-4-4G-100G	10.0.210.104	windows4
windows5	windows2022	F-4-4G-100G	10.0.210.105	windows5
windows6	windows2022	F-4-4G-100G	10.0.210.106	windows6
windows7	windows2022	F-4-4G-100G	10.0.210.107	windows7
windows8	windows2022	F-4-4G-100G	10.0.210.108 10.0.211.108	windows8
windows9	windows2022	F-4-4G-100G	10.0.210.109 10.0.211.109	windows9

域服务

1. 配置所有windows主机IP地址和主机名称。
2. 配置windows1为skills.lan域控制器；安装dns服务，dns正反向区域在active directory中存储，负责该域的正反向域名解析。
3. 配置windows2为skills.lan辅助域控制器；安装dns服务，dns正反向区域在active directory中存储，负责该域的正反向域名解析。
4. 把其他windows主机加入到skills.lan域。所有windows主机（含域控制器）用skills\Administrator身份登陆。
5. 在windows1上安装证书服务，为windows主机颁发证书，证书颁发机构有效期=10年，证书颁发机构的公用名=windows1.skills.lan。复制“计算机”证书模板，名称为“计算机副本”，申请并颁发一张证书，证书友好名称为windowspc，（将证书导入到需要证书的windows服务器），证书信息：证书有效期=10年，公用名=skills.lan，国家=CN，省=Beijing，城市=Beijing，组织=skills，组织单位=system，使用者可选名称=*.skills.lan和skills.lan。浏览器访问https网站时，不出现证书警告信息。
6. 在windows2上安装从属证书服务，证书颁发机构的公用名=windows2.skills.lan。
7. 在windows1上新建名称为manager、dev、sale的3个组织单元；每个组织单元内新建与组织单元同名的全局安全组；每个组内新建20个用户：行政部manager00-manager19、开发部dev00-dev19、营销部sale00-sale19，不能修改其口令，密码永不过期。manager00拥有域管理员权限。

文件共享

1. 在windows1的C分区划分2GB的空间，创建NTFS主分区，驱动器号为D。创建共享目录D:\share\home，共享名为home，允许所有域用户完全控制。
2. 创建目录D:\share\work，共享名为work，仅manager组和Administrator组有完全控制的安全权限和共享权限，其他认证用户有读取执行的安全权限和共享权限。在AD DS中发布该共享。

组策略

1. 设置用户home目录为windows1 D:\share\home，本目录下为所有用户添加一个以用户名命名的文件夹，用户登录计算机成功后，自动映射挂载到H卷。
2. 复制PowerShell-7.3.9-win-x64.msi到windows1的D:\share\home。域中主机自动安装powershell-7（提示：如果部署不成功，则需要手动安装，软件包在U盘soft目录。）
3. 域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书，该模板可用作“服务器身份验证”，有效期5年。
4. 允许manager组本地登录域控制器，允许manager00用户远程登录到域控制器；拒绝dev组从网络访问域控制器。
5. 登录时不显示上次登录，不显示用户名，无须按ctrl+alt+del。
6. 为正在登录此计算机的所有用户设置漫游配置文件路径为windows1的C:\profiles，每个用户提供单独的配置文件文件夹。
7. 每个用户的“文档”文件夹重定向到windows1的C:\documents，为每一用户创建一个文件夹。
8. 拒绝所有可移动存储类的所有权限。

DFS服务

1. 在windows3-windows5的C分区分别划分2GB的空间，创建NTFS主分区，驱动器号为D。
2. 配置windows3为DFS服务器，命名空间为dfsroot，文件夹为pictures，存储在D:\dfs，所有用户都具有读写权限；实现windows4的D:\pics和windows5的D:\images同步。

打印服务

1. 在windows7上安装打印机，驱动程序为“Ms Publisher Color Printer”，名称和共享名称均为“printer”；在域中发布共享；使用组策略部署在"Default Domain Policy"的计算机。
2. 网站名称为printer，http和https绑定主机IP地址，仅允许使用域名访问，启用hsts，实现http访问自动跳转到https（使用“计算机副本”证书模板）。
3. 用浏览器访问打印机虚拟目录printers时，启用匿名身份认证，匿名用户为manager00。
4. 新建虚拟目录dev，对应物理目录C:\development，该虚拟目录启用windows身份验证，默认文档index.html内容为"development"。

NLB服务

1. 配置windows8和windows9为NLB服务器。
2. windows8群集优先级为8，windows9群集优先级为9，群集IPv4地址为10.0.210.60/24，群集名称为www.skills.lan，采用多播方式。
3. 配置windows8为web服务器，站点名称为www，网站的最大连接数为10000，网站连接超时为60s，网站的带宽为100Mbps。
4. 共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs。网站主页index.html内容为"HelloNLB"。
5. 使用W3C记录日志，每天创建一个新的日志文件，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。
6. 网站仅绑定https，IP地址为群集地址，仅允许使用域名加密访问，使用“计算机副本”证书。
7. 配置windows9为web服务器，要求采用共享windows8配置的方式，使用“计算机副本”证书。
   1. Linux云服务配置

系统安装

1. PC1 web连接server2，给server2安装rocky-arm64 CLI系统（语言为英文）。
2. 配置server2的IPv4地址为10.0.220.100/24。
3. 安装qemu-kvm、libvirt和virt-install。
4. 创建rocky-arm64虚拟机，虚拟机磁盘文件保存在默认目录，名称为linuxN.qcow2(N表示虚拟机编号0-9，如虚拟机linux1的磁盘文件为linux1.qcow2),虚拟机信息如下：
5. 安装linux0，系统为rocky9 CLI，网络模式为桥接模式，用户root密码为Key-1122。
6. 关闭linux0，给linux0创建快照，快照名称为linux-snapshot。
7. 根据linux0克隆虚拟机linux1-linux9。
8. 配置linux主机的IP地址和主机名称。
9. 所有linux主机启用防火墙，防火墙区域为public，在防火墙中放行对应服务端口。

虚拟机名称	vcpu	内存	磁盘	IPv4地址	主机名称
linux0	2	4096MB	40GB	none
linux1	2	4096MB	40GB	10.0.220.101/24	linux1
linux2	2	4096MB	40GB	10.0.220.102/24	linux2
linux3	2	4096MB	40GB	10.0.220.103/24	linux3
linux4	2	4096MB	40GB	10.0.220.104/24	linux4
linux5	2	4096MB	40GB	10.0.220.105/24	linux5
linux6	2	4096MB	40GB	10.0.220.106/24	linux6
linux7	2	4096MB	40GB	10.0.220.107/24	linux7
linux8	2	4096MB	40GB	10.0.220.108/24	linux8
linux9	2	4096MB	40GB	10.0.220.109/24	linux9

dns服务

1. 利用bind，配置linux1为主DNS服务器，linux2为备用DNS服务器，为所有linux主机提供冗余DNS正反向解析服务。正向区域文件均为/var/named/named.skills，反向区域文件均为/var/named/named.10。

ntp服务

1. 利用chrony，配置linux1为其他linux主机提供NTP服务。

ansible服务

1. 所有linux主机之间（包含本主机）root用户实现密钥ssh认证。
2. 在linux1上安装系统自带的ansible-core，作为ansible控制节点。linux2-linux9作为ansible的受控节点。

CA服务

1. 配置linux1为CA服务器,为linux主机颁发证书。证书颁发机构有效期=10年，公用名=linux1.skills.lan。申请并颁发一张证书，证书信息：有效期=10年，公用名=skills.lan，国家=CN，省=Beijing，城市=Beijing，组织=skills，组织单位=system，使用者可选名称=*.skills.lan和skills.lan。将证书skills.crt和私钥skills.key复制到需要证书的linux服务器/etc/pki/tls目录。浏览器访问https网站时，不出现证书警告信息。

apache2服务

1. 配置linux1为Apache2服务器，使用skills.lan或any.skills.lan（any代表任意网址前缀，用linux1.skills.lan和web.skills.lan测试）访问时，自动跳转到www.skills.lan。禁止使用IP地址访问，默认首页文档/var/www/html/index.html的内容为"HelloApache"。
2. 把/etc/pki/tls/skills.crt证书文件和/etc/pki/tls/skills.key私钥文件转换成含有证书和私钥的/etc/pki/tls/skills.pfx文件；然后把/etc/pki/tls/skills.pfx转换为含有证书和私钥的/etc/pki/tls/skills.pem文件，再从/etc/pki/tls/skills.pem文件中提取证书和私钥分别到/etc/pki/tls/apache.crt和/etc/pki/tls/apache.key。
3. 客户端访问Apache服务时，必需有ssl证书。

nginx服务

1. 配置linux2为nginx服务器，默认文档index.html的内容为“HelloNginx”；仅允许使用域名访问，http访问自动跳转到https。

tomcat服务

1. 配置linux3为tomcat服务器，网站默认首页内容分别为“HelloTomcat”，采用端口转发形式，仅使用域名访问80端口http和443端口https。http访问自动跳转到https。

mariadb服务

1. 配置linux6为mariadb服务器，创建数据库用户xiao，在任意机器上对所有数据库有完全权限。
2. 创建数据库userdb；在库中创建表userinfo，表结构如下：
3. 在表中插入2条记录，分别为(1,user1,1.61,2000-07-01，M)，(2,user2，1.62,2000-07-02，F)，password字段与name字段相同，password字段用md5函数加密。
4. 新建/var/mariadb/userinfo.txt文件，文件内容如下，然后将文件内容导入到userinfo表中，password字段用md5函数加密。

字段名	数据类型	主键	自增
id	int	是	是
name	varchar(10)	否	否
height	float	否	否
birthday	datetime	否	否
sex	varchar(5)	否	否
password	varchar(200)	否	否

3,user3,1.63,2000-07-03,F,user3

4,user4,1.64,2000-07-04,M,user4

5,user5,1.65,2000-07-05,M,user5

6,user6,1.66,2000-07-06,F,user6

7,user7,1.67,2000-07-07,F,user7

8,user8,1.68,2000-07-08,M,user8

9,user9,1.69,2000-07-09,F,user9

1. 将表userinfo中的记录导出，并存放到/var/mariadb/userinfo.sql，字段之间用','分隔。
2. 为root用户创建计划任务（day用数字表示），每周五凌晨1:00备份数据库userdb(含创建数据库命令)到/var/mariadb/userdb.sql。（便于测试，手动备份一次。）

docker服务

任务描述：请采用docker，实现容器虚拟化技术。

1. 在linux8上安装docker-ce，导入rockylinux-9.tar镜像。
2. 创建名称为skills的容器，映射本机的8000端口到容器的80端口，在容器内安装httpd，默认网页内容为“HelloDocker”。
3. 配置https访问的私有仓库，登录用户和密码均为admin。导入registry.tar镜像，创建名称为registry的容器。
4. 修改rockylinux镜像的tag为linux8.skills.lan:5000/rockylinux:9，上传该镜像到私有仓库。