【正式赛题】【网络建设与运维】2023年阜阳市“阜创汇”职业院校技能大赛中职组“网络建设与运维”赛项正式赛题

在此之前，欢迎关注波比网络
 
波比网络 官方公众号：blbinet
波比网络工作室 官方公众号：blbistudio

获取技术支持访问：https://www.blbi.cn/form/1/select

技能大赛各赛项交流群：https://www.blbi.cn/threads/40/
更多正式赛题源文件访问：https://www.blbi.cn

NISP、CIPS、PTE证书可咨询各大群群主

2023年阜阳市职业院校技能大赛

“网络搭建与应用”赛项

竞赛试题

2023年03月

竞赛说明

一、竞赛内容分布

“网络搭建与应用”竞赛共分三个部分，其中：

第一部分：网络搭建及安全部署项目（500分）

第二部分：服务器配置及应用项目（480分）

第三部分：职业规范与素养（20分）

二、竞赛注意事项

1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件及文档清单、材料清单是否齐全，计算机设备是否能正常使用。
3. 请选手仔细阅读赛卷，按照要求完成各项操作。
4. 操作过程中，需要及时保存设备配置。
5. 比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和提交文档为最终结果。
6. 比赛完成后，禁止将比赛所用的所有物品（包括赛卷）带离赛场。
7. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记，如违反规定，可视为0分。
8. 与比赛相关的软件和需要完成的报告单在物理机的D:\soft文件夹中。
9. 请在物理机PC1桌面上新建“XX”（XX为赛位号）文件夹，作为选手提交竞赛结果的目录，保存选手生成的所有文档。全部自动生成的结果性文件和项目实施总结报告的保存位置必须正确，否则涉及到的所有操作分值记为0分。

网络搭建及安全部署项目（500分）

【说明】

1. 请根据物理机“D:\soft\网络搭建及安全部署竞赛报告单.docx”的要求生成文档，将生成的文档复制到选手目录。
2. 收集防火墙信息时，需要先调整SecureCRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。

项目简介

2023年疫情过后，公司计划继续开展之前定下的战略规划。在党及集团高层领导下，公司规模恢复快速发展，业务数据量和公司访问量增长巨大。

集团、分公司的网络结构详见网络拓扑图。

其中一台CS6200交换机编号为SW-3，用于实现分公司业务终端高速接入；两台CS6200交换机作为集团的核心交换机；两台DCFW-1800分别作为集团、分公司的防火墙；一台DCR-2855路由器编号为RT-1，作为集团的核心路由器；另一台DCR-2855路由器编号为RT-2，作为分公司路由器；一台DCWS-6028作为全集团内无线AP统一集中控制器，编号为AC，通过与WL8200-I2高性能企业级AP配合实现分公司无线覆盖。

请注意：在此典型互联网应用网络架构中，作为IT网络系统管理及运维人员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后，从客户端进行测试，确保能正常访问到相应应用。

拓扑结构图

网络设备IP地址分配表

设备名称	设备接口	IP地址
SW-Core	Loopback1	1.1.1.1/32
	Vlan11
	Vlan12
	Vlan13
	Vlan14
	Vlan60	10.10.60.254/24
	Vlan70	10.10.70.254/24
	Vlan100	192.168.100.1/24
	Vlan1000	10.0.0.1/30
SW-2模拟 Internet交换机	Vlan1001	10.0.0.5/30
	Vlan4091	202.11.33.26/29
SW-3	Vlan4092	113.137.56.230/30
	Loopback1	5.5.5.5/32
	Vlan1000	10.0.0.9/30
	Vlan200	172.16.200.1/24
RT-1	Vlan201	172.16.201.1/24
	Loopback1	4.4.4.4/32
	G0/0	10.10.1.1/30
	S1/0	10.100.100.1/30
RT-2	S1/1	10.100.100.5/30
	Loopback1	7.7.7.7/32
	G0/0	10.10.1.5/30
	S1/0	10.100.100.6/30
FW-1	S1/1	10.100.100.2/30
	Loopback1(Trust)	2.2.2.2/32
	Tunnel(vpnhub)	192.168.255.1/24
	E0/8(untrust)	202.11.33.25/29
	E0/7(Trust)	10.10.1.2/30 10.0.0.2/30
	E0/1(Trust)
FW-2	E0/2(Trust)	6.6.6.6/32
	Loopback1	6.6.6.6/32
	E0/8(untrust)	113.137.56.229/30
	E0/7(trust)	10.10.1.6/30
AC	E0/1(Trust)	10.0.0.10/30
	Loopback1	3.3.3.3/32
AP	Vlan1001	10.0.0.6/30
	ETH0

1. 线缆制作（50分）
2. 制作网络线缆，插入相应设备的相关端口。
3. 交换配置与调试（80分）
4. SW-1和SW-2通过VSF物理端口连接起来形成一台虚拟的逻辑设备SW-Core。用户对这台虚拟设备进行管理，从而来实现对虚拟设备中所有物理设备的管理。两台设备VSF逻辑域为10；其中SW-1的成员编号为1，优先级为32，SW-2的成员编号为2，优先级为10。为确保两台核心交换机VSF链路冗余，在两台设备之间建立两个vsf port-group，group1绑定27端口，group2绑定28端口。对逻辑设备SW-Core启用VSF自动合并功能。
5. 公司计划使用VLSM技术为公司总部各部门划分相应IP地址段；现公司研发部80人、营销部56人、行政部12人、财务部5人；请使用192.168.10.0/24网段根据研发、营销、行政、财务每部门人数依次进行子网划分，使IP地址浪费最少，使用每个子网最后一个可用地址作为本子网的网关。
6. 为了减少广播，需要根据题目要求规划并配置Vlan。具体要求如下：
7. 配置合理，在下表中交换机互联链路上不允许不必要Vlan的数据流通过，包括不允许Vlan 1；
8. 根据下述表格中心系，在相应交换机上完成Vlan配置和端口分配；

设备	Vlan编号	Vlan名称	端口	说明
SW-Core	Vlan11	YX	E1/0/3-4	营销部
	Vlan12	YF	E1/0/5-6	研发部
	Vlan13	XZ	E1/0/7-8	行政部
	Vlan14	CW	E1/0/9-10	财务部
	Vlan100	Server	E1/0/11-12	服务器
AC	Vlan11	YX	E1/0/3-4	营销部
	Vlan12	YF	E1/0/5-6	研发部
	Vlan13	XZ	E1/0/7-8	行政部
	Vlan14	CW	E1/0/9-10	财务部
SW-3	Vlan200	FB-CON	E1/0/3-10	有线
	Vlan201	FB-WIFI		无线

1. 把SW-Core与FW-1归属于同一设备的接口捆绑成一个逻辑接口，编号为1，SW-Core为主动端，FW-1为被动端。把AC与SW-Core归属于同一设备的接口捆绑成一个逻辑接口，编号为2，SW-Core为主动端，AC为被动端，采用源IP和目的IP进行负载分担。SW-3的E1/0/5配置为Loopback接口。
2. 防止终端产生MAC地址泛洪攻击，在SW-Core的所有业务端口设置开启端口安全功能，配置端口允许的最大安全MAC数量为20，发生违规阻止后续违规流量通过，关闭端口，恢复时间为3分钟。
3. 使用相关技术将SW-2模拟为Internet交换机，实现集团与分公司之间Internet路由表与集团内部业务路由表隔离，Internet路由表位于VPN实例名称Internet内。
4. 路由配置与调试（70分）
5. 规划集团，分公司内使用OSPF，具体要求如下：
6. SW-Core、AC、FW-1、RT-1之间使用OSPF协议组网来实现集团业务互联互通，OSPF进程号为10.
7. SW-Core与FW-1之间属于骨干区域、SW-Core与AC之间属于普通区域10，FW-1与RT-1之间属于普通区域20，采用各自设备Loopback地址作为Router-id。
8. SW-Core、FW-1、RT-1、AC分别发布自己的环回地址方便日常管理。要求集团内的研发、营销、行政、财务等部门的网络内不发送协议报文。
9. RT-2、FW-2、SW-3之间使用OSPF协议组网来实现集团业务互联互通，OSPF进程号为20，属于骨干区域.
10. 在防火墙上配置默认路由，并将默认路由信息发布到其它使用 OSPF 协议癿路由器。
11. 同时还规划集团RT-2与分公司RT-2之间使用BGP协议，进程号集团是100，分公司是200，RT-1与RT-2之间通过两条专线互联地址建立邻居关系。
12. 通过在RT-1与RT-2上配置路由重发布实现集团与分公司全网互通。
13. 广域网配置（80分）
14. 在FW-1上配置网络地址转换，使集团内所有业务通过FW-1访问Internet，访问公网采用轮询的方式，地址池(名称为NatAddr)为202.11.33.27-29，实现同一源IP会话被映射到同一个公网地址。
15. 分公司防火墙上配置业务网络通过转换成防火墙外网口地址进行访问Internet，业务地址薄名称为FB-LAN。
16. 为了方便维护人员在外远程维护管理业务系统，在集团防火墙上配置SSL VPN，并且通过策略只开放云平台及云平台上所有业务应用系统。认证账号为：ywgl，密码：ywgl123。VPN拨入用户的地址范围:192.168.255.0/24，地址池名称为vpnpool。
17. 为保证集团与分公司之间业务互访的安全性，并保证集团与分公司之间链路冗余，通过FW-1与FW-2的Internet互联地址建立IPSEC VPN，VPN名称为ipsec，使用IKE协商自行设置IPSec安全联盟、交换IPSec密钥,这样有了IPSEC，就不用担心数据被监视、篡改和伪造。通过策略实现只允许分布有线业务和总部服务器业务互相访问.
18. 无线配置（60分）
19. AC使用Loopback接口地址作为AC管理地址，集团内所有AP都通过自动注册方式实现AP上线被管理。
20. 在SW-3上开启DCHP服务，实现分公司无线管理及无线业务终端可以通过DHCP自动获取IP地址。分公司无线管理为：Vlan 200，分公司无线业务为Vlan 201，Vlan网关都在SW-3上。2个用户网段对应的DHCP地址池名字分别为FB-200、FB-201，租期为8小时，DNS地址均8.8.8.8。
21. 配置1个SSID，名字为“DCN“。“DCN”对应业务Vlan 201，使用network 21,用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“dcn123456”；要求通过相关配置实现，“DCN”的SSID只使用倒数第一个可用VAP发送信号。
22. 通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常。
23. 安全策略配置（80分）
24. 在所有防火墙上配置，Trust接口开启PING、HTTP、HTTPS、SSH、TELNET功能，Untrust接口开启PING、HTTPS、SSH功能。Vpnhub区域开启PING、HTTPS功能。
25. 要求在集团防火墙、广州办事处防火墙上配置安全策略访问互联网，集团防火墙内只允许集团内业务访问互联网，分公司防火墙上只允许分公司业务访问互联网。禁止使用any到any策略。
26. 为保证集团Internet出口线路，在FW-1上使用相关技术，通过ping监控外网网关地址，监控对象名称为Track，每隔5S发送探测报文，连续10次收不到监测报文，就认为线路故障，直接关闭外网接口。
27. 通过FW-2禁止分公司下载BT、电驴文件，以及阻止在搜索引擎及门户网站、论坛和新闻组发布有关键字“暴力”的信息；且关键字类别的名称为“暴力”。
28. IPV6配置（80分）

集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版（IPv6）规模部署行动计划》，加快推进基于互联网协议第六版（IPv6）基础网络设施规模部署和应用系统升级，现准备先在集团公司开始IPv6测试，要求如下：

1. 在集团核心交换机SW-Core配置IPv6地址，使用相关特性实现营销业务的IPv6终端可自动从网关处获得IPv6有状态地址。
2. 在集团核心交换机SW-Core配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保研发业务的IPv6终端可以获得IPv6无状态地址
3. 集团测试IPv6业务地址规划如下，其它IPv6地址自行规划：

业务	IPV6地址
营销	2023:192:10::254/64
研发	2023:192:20::254/64

服务器配置及应用项目（480分）

【说明】

1. 请根据物理机“D:\soft\服务器配置及应用竞赛报告单.docx”的要求生成文档，将生成的文档复制到选手目录。
2. 虚拟主机的IP地址必须手动设置为该虚拟机自动获取的IP地址（提示：先新建固定IP地址的端口，为了输出结果文档时测试的需要，一定要关闭端口安全，然后创建实例时，不指定网络，而指定端口）。
3. 云平台访问网址http://192.168.100.100/dcncloud，登录管理员用户名为admin，密码为dcncloud。
4. 所有Windows虚拟机都启用了远程桌面连接，所有Linux虚拟机都启用了ssh。
5. 镜像win2019-gui中用户Administrator的密码默认为Qwer1234，镜像centos8-cli中用户root的密码为dcncloud。
6. 修改Windows和Linux虚拟机管理员的密码为Password1234#，题目中所有未指明的密码均为管理员的密码。
7. 所有服务器要求虚拟机系统重新启动后，均能正常启动和使用。
8. 使用主机名访问网络资源。
9. 云平台配置（80分）

网络信息表

网络名称	VlanID	子网名称	网络地址	网关	IPv4地址池
Network60	60	Subnet60	10.10.60.0/24	10.10.60.254	10.10.60.10- 10.10.60.99
Network70	70	Subnet70	10.10.70.0/24	10.10.70.254	10.10.70.10- 10.10.70.99
Network80	80	Subnet80	10.10.80.0/24	none	10.10.80.10- 10.10.80.99
Network90	90	Subnet90	10.10.90.0/24	none	10.10.90.10- 10.10.90.99

实例类型信息表

名称	ID	VCPU	内存(MB)	磁盘(GB)	实例名称	镜像模板
Large	1	4	4096	40	Windows1至Windows5	Windows2019
Small	2	1	2048	40	Linux1至Linux3	CentOS8-cli

实例信息表

实例名称	IPv4地址	完全合格域名
Windows1	10.10.60.11	ws1.skills.com
Windows2	10.10.60.12	ws2.bj.skills.com
Windows3	10.10.60.14 10.10.80.12	ws3.skills.com
Windows4	10.10.60.15 10.10.80.13	ws4.skills.com
Linux1	10.10.70.12	cs1.skills.com
Linux2	10.10.70.13	cs2.skills.com
Linux3	10.10.70.14	cs3.skills.com
Linux4	10.10.70.15 10.10.80.16	cs4.skills.com

卷信息表

卷名称	大小	连接实例
d5至d8	5G	Linux4

1. Windows服务配置（200分）
   1. 域控制器(40分)
2. 将Windows1升级为skills.com主域控制器，安装DNS，负责该域的正反向域名解析，要求整个域中的主机都能正反向解析。
3. 将Windows2升级为bj.skills.com子域控制器，安装DNS，负责该域的正反向域名解析。
4. 把其余的Windows主机加入到skills.com域中。
5. 在Windows1上安装证书服务器，证书颁发机构有效期为20年，颁发证书有效期10年，证书信息：公用名=skills.com，国家=CN，省=Beijing，城市=Beijing，组织=Skills，组织单位=System。Windows主机使用同一张证书，chrome浏览器访问https网站时，不出现证书警告提示信息。
6. 在Windows1上新建名称为sys和manager的组织单元，每个组织单元内新建与组织单元同名的全局安全组；每个组内新建2个用户：sys1，sys2，manager1，manager2；所有用户不能修改口令，密码永不过期，每天02:00-06:00不可以登录，manager1拥有域管理员权限。
7. 组策略（40分）
8. 部署软件chrome.msi，让域中主机自动安装chrome（从物理机复制chrome.msi到Windows1的C:\soft）。
9. 拒绝sys组从网络访问域控制器，允许manager组本地登录域控制器。
10. 登录时不显示用户名，不显示上次登录，无须按Ctrl+Alt+Del。
11. 审核登录事件，同时审核成功和失败。
12. 禁用“关闭事件跟踪程序”。
13. DFS服务（40分）
14. 在Windows2的C分区划分2GB的空间，创建NTFS分区，驱动器号为D。
15. 配置Windows2为DFS服务器，命名空间为DFSROOT，文件夹为Pictures；实现Windows3的D:\Pics和Windows4的D:\Images同步。
16. FTP服务（40分）
17. 把Windows3配置为FTP服务器，FTP站点名称为ftp，站点绑定本机IP地址，站点根目录为C:\inetpub\ftproot。
18. 站点通过Active Directory隔离用户，使用manager1和manager2测试。
19. 设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟。
20. NLB服务（40分）

1**.** 配置Windows3和Windows4为NLB服务器，10.10.60.0网络为负载均衡网络，10.10.80.0网络为心跳网络。

2. Windows3群集优先级为3，Windows4群集优先级为5，群集IPv4地址为10.10.60.60/24，群集名称为www1.skills.com，采用多播方式。

3. 配置Windows3为web服务器，站点名称为www1.skills.com，网站的最大连接数为10000，网站连接超时为60s，网站的带宽为100Mbps。

4. 共享网页文件、共享网站配置文件和网站日志文件分别存储到Windows2的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs，连接用户为域管理员。网站主页index.html内容为"HelloNLB"，index.html文件编码为ANSI。

5. 使用W3C记录日志，每天创建一个新的日志文件，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。

6. 网站仅绑定https，IP地址为群集地址，仅允许使用域名加密访问。

1. Linux服务配置（200分）
2. mail服务（50分）
3. 配置Linux2为mail服务器，安装postfix和dovecot。
4. 仅支持smtps和pop3s连接，证书路径均为/etc/ssl/skills.crt，私钥路径均为/etc/ssl/skills.key。
5. 创建用户mail1和mail2，向all@skills.com发送的邮件，每个用户都会收到。
6. root用户使用mail工具向all@skills.com发送一封邮件，邮件主题为“Hello”，内容为“Welcome”。
7. apache2服务（50分）
8. 配置Linux2为httpd服务器，安装apache2，http访问时自动跳转到https安全连接。
9. 使用skills.com或any.skills.com（any代表任意网址前缀，用cs2.skills.com和web.skills.com测试）访问时，自动跳转到www.skills.com。
10. 客户端访问时，必需有SSL证书。
11. 关闭不安全的服务器信息，在任何页面不会出现系统和WEB服务器版本信息。
12. rsyslog服务（50分）
13. 配置Linux3为远程日志服务器，允许使用udp和tcp，为Linux4提供日志服务。
14. 在Linux4上使用命令"logger ‘Hello world’"，向日志服务器发送日志。
15. Mariadb服务（50分）
16. 配置Linux3为Mariadb服务器，安装Mariadb-server，创建数据库用户jack，在任意机器上对所有数据库有完全权限；允许root远程登陆。
17. 配置Linux4为Mariadb客户端，创建数据库userdb；在库中创建表userinfo，在表中插入2条记录，分别为(1,user1，1995-7-1，男)，(2,user2，1995-9-1，女)，口令与用户名相同，password字段用password函数加密，表结构如下：

字段名	数据类型	主键	自增
id	int	是	是
name	varchar(10)	否	否
birthday	datetime	否	否
sex	char(5)	否	否
password	char(200)	否	否

1. 修改表userinfo的结构，在name字段后添加新字段height(数据类型为float)，更新user1和user2的height字段内容为1.61和1.62。
2. 将表userinfo中的记录导出，并存放到/var/databak/mysql.sql文件中。
3. 为Linux4添加4块硬盘，每块硬盘大小为5G，创建lvm卷，卷组名称为vg1，逻辑卷名称为lv1，容量为全部空间，格式化为ext4格式。

职业规范与素养（20分）

1. 整理赛位，工具、设备归位，保持赛后整洁有序。
2. 无因选手原因导致设备损坏。
3. 恢复调试现场，保证网络和系统安全运行。
   段height(数据类型为float)，更新user1和user2的height字段内容为1.61和1.62。
4. 将表userinfo中的记录导出，并存放到/var/databak/mysql.sql文件中。
5. 为Linux4添加4块硬盘，每块硬盘大小为5G，创建lvm卷，卷组名称为vg1，逻辑卷名称为lv1，容量为全部空间，格式化为ext4格式。

职业规范与素养（20分）

1. 整理赛位，工具、设备归位，保持赛后整洁有序。
2. 无因选手原因导致设备损坏。
3. 恢复调试现场，保证网络和系统安全运行。