【正式赛题】【网络建设与运维】2020年山东省职业院校技能大赛中职组“网络建设与运维”赛项正式赛题

 

 

2020年山东省职业院校技能大赛

（中职组）网络搭建与应用竞赛

 

正式赛卷（A卷）技能要求

 

（总分1000分）

  

  

 

                                                                                2020年11月12日            

1 / 27

2020年山东省职业院校技能大赛“网络搭建与应用”试题

2020年山东省职业院校技能大赛网络搭建与应用赛项试题

（总分1000分）

 

赛题说明

一、竞赛内容分布

“网络搭建与应用”竞赛共分二个部分，其中：

第一部分：网络搭建及安全部署项目 （500分）第二部分：服务器配置及应用项目 （500分）二、竞赛注意事项

1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。
3. 本试卷共有两个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。
4. 操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，并按题目要求进行截图保存到U盘上交，评判以最后的硬件连接和U盘中的截图文档为最终结果。
5. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。
6. 禁止在纸质资料上填写与竞赛无关的标记，如违反规定，可视为0分。
7. 与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。

三、项目简介

某集团公司原在北京建立了总部，由于业务的良好发展，后在上海、深圳地区建立了分支机构。总部所有办公部门，统一进行IP及业务资源的规划和分配，

1. / 27

 

2020年山东省职业院校技能大赛“网络搭建与应用”试题

总部和上海分部之间使用OSPF协议进行互联，总部与深圳分部间网络采用BGP 路由协议。

公司规模在2020年快速发展，业务数据量和公司访问量增长巨大。为了更好管理公司的业务数据，为公司员工提供优质的IT服务，公司决定建立自己的小型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。公司总部及分部的网络拓扑结构简化如下图所示。

 

1. / 27

 

拓扑结构图

4 / 27

2020年山东省职业院校技能大赛“网络搭建与应用”试题

表1 网络设备连接表

	A设备连接至B设备
设备名称	接口	设备名称	接口
RT-1	S0/1	RT-2	S0/2
RT-1	S0/2	RT-2	S0/1
RT-1	G0/3	FW-1	E0/3
RT-1	G0/4	SW-1模拟Internet交换机	E1/0/10
RT-1	G0/5	FW-2	E0/5
RT-1	G0/6	FW-1	E0/6
RT-2	G0/4	SW-1模拟Internet交换机	E1/0/11
RT-2	G0/3	AP
FW-1	E0/1	SW-1	E1/0/1
FW-1	E0/2	SW-2	E1/0/2
FW-2	E0/3	DCWS	E1/0/3
FW-2	E0/1	云平台	管理接口
FW-2	E0/2	云平台	业务接口
SW-3	E1/0/1	PC1	NIC
SW-3	E1/0/2	PC2	NIC
SW-1	E1/0/21	SW-2	E1/0/21
SW-1	E1/0/22	SW-2	E1/0/22
SW-1	E1/0/23	SW-3	E1/0/23
SW-2	E1/0/24	SW-3	E1/0/24

5 / 27

 

表2 网络设备IP地址分配表

	设备		设备名称		设备接口		IP地址
	路由器		RT-1		G 0/3		10.10.1.10/30
					G 0/6		10.10.1.14/30
					G 0/4		202.10.1.1/30
					S0/1		172.16.10.1/30
					S0/2		172.16.10.5/30
					G0/5		172.16.20.1/30
					Tunnel 1		172.16.10.9/30
					Loopback1		2.2.2.2/32
			RT-2		G 0/4		202.10.1.5/30
					S0/1		172.16.10.6/30
					S0/2		172.16.10.2/30
					Tunnel 1		172.16.10.10/30
					G0/3		无线业务网络 VLAN 10：10.1.1.1/24 VLAN 20：10.1.2.1/24 无线管理地址：10.1.3.1/24
	三层交换机		SW-1		VLAN4
					VLAN5
					VLAN6
					VLAN7
					VLAN40
					VLAN50
					VLAN60
					VLAN70
					VLAN8		10.10.1.17/30
					Vlan2		10.10.1.1/30
			SW-1 模拟 Internet 交换机		VLAN1000		202.10.1.2/30
					VLAN1001		202.10.1.6/30
			SW-2		VLAN 4
					VLAN 5
						VLAN 6
						VLAN 7
						VLAN40
						VLAN50
						VLAN60
						VLAN70
						VLAN8		10.10.1.18/30
						Vlan 3		10.10.1.6/30
		防火墙		FW-1		Eth0/1		10.10.1.2/30（trust安全域）
						Eth0/2		10.10.1.5/30（trust安全域）
						Eth0/3		10.10.1.9/30（untrust安全域）
						Eth0/6		10.10.1.13/30（untrust安全域）
						Loopback1		1.1.1.1/32（trust安全域）
				FW-2		Eth0/1		192.168.100.1/24（trust安全域）
						Eth0/2		10.30.10.254/24（trust安全域） 10.30.20.254/24（trust安全域） 10.30.30.254/24（trust安全域）
						Eth0/3		172.16.30.1/30（trust安全域）
						Eth0/5		172.16.20.2/30（untrust安全域）
						Loopback1		3.3.3.3/32（trust安全域）
		无线控制器		DCWS		VLAN9		172.16.30.2/30

 

         

表3 云服务实训平台网络信息表

网络名称	vlan 号	外部网 络	子网名称	子网网络地址	网关IP	激活 DHCP	地址池范围
vlan100	100	是	vlan100- subnet	10.30.10.0 /24	10.30.10.254	是	10.30.10.100 -200
vlan200	200	是	vlan200- subnet	10.30.20.0 /24	10.30.20.254	是	10.30.20.100 -200
vlan300	300	是	vlan300- subnet	10.30.30.0 /24	10.30.30.254	是	10.30.30.100 -200

 

         

表4 虚拟主机信息表

虚拟主机名称	镜像模板 (源)	云主机类型 (flavor)	VCPU 数量	内存、硬盘信息	网络名称	备注
云主机1	Windows2016	window-490	2	4G、90G	Vlan100	加入域
云主机2	Windows2016	window-485	2	4G、85G	Vlan100	加入域
云主机3	Windows2016	window-480	2	4G、80G	Vlan200	挂载hd1~hd3 挂载hd4~hd6
云主机4	Windows2016	window-465	2	4G、65G	Vlan200	加入域
云主机5	Windows2016	window-460	2	4G、60G	Vlan200	加入域
云主机6	Windows2016	window-450	2	4G、50G	Vlan200
云主机7	Windows2016	window-460	2	4G、60G	Vlan300
云主机8	Windows2016	window-460	2	4G、60G	Vlan300
云主机9	Centos7-mini-V2	linux-140	1	1G、40G	Vlan200
云主机10	Centos7-mini-V2	linux-150	1	1G、50G	Vlan200
云主机11	Centos7-mini-V2	linux-170	1	1G、70G	Vlan300
云主机12	Centos7-mini-V2	linux-120	1	1G、20G	Vlan300
云主机13	Centos7-mini-V2	linux-130	1	1G、30G	Vlan300
云主机14	Centos7-mini-V2	linux-160	1	1G、60G	Vlan300

 

         

网络搭建及安全部署项目（500分）

【说明】

1. 设备console线有不同两条。交换机、 AC、防火墙使用同一条console线，路由器使用另外一条console线；
2. 请将U盘中“比赛文档_X”（X为赛位号）文件夹下的“网络搭建及安全部署项目报告单”放到PC桌面上，并按照截图注意事项的要求填写完整；
3. 设备配置完毕后，保存最新的设备配置。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在PC桌面的“比赛文档_X”（X为赛位号）文件夹下。比赛结束将结果拷贝到U盘“比赛文档_X”（X为赛位号）文件夹中上交，作为最终评分依据。

保存文档方式如下：

• 交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“比赛文档_X”文件夹下“网络部分文件夹”中，文档命名规则为：设备名称.txt。例如：RT-1路由器文件命名为：RT-

1.txt；

• 无论通过 SSH、telnet、Console 哪种方式登录防火墙进行 show configuration配置收集，需要先调整CRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。CRT软件调整字符编号配置如图：

 

 

• 网络布线与基础连接（50分）

右侧布线面板立面示意图        左侧布线面板立面示意图

 

【说明】

1. 1. 1. 1. 机柜左侧布线面板编号101；机柜右侧布线面板编号102。
         2. 面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。
         3. 主配线区配线点与工作区配线点连线对应关系如下表所示。

表5 PC1、PC2配线点连线对应关系表

序号	信息点编号	配线架编号	底盒编号	信息点编号	配线架端口编号
1	W1-02-101-1	W1	101	1	02
2	W1-06-102-1	W1	102	1	06

 

(一) 铺设线缆并端接

1. 1. 1. 1. 截取2根适当长度的双绞线，两端制作标签，穿过PVC线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定；
         2. 将2根双绞线的一端，根据“PC1、PC2配线点连线对应关系表”的要求，端接在配线架的相应端口上；
         3. 将2根双绞线的另一端，根据“PC1、PC2配线点连线对应关系表”的要求，端接上RJ45模块，并且安装上信息点面板，并标注标签。

(二) 跳线制作与测试

1. 1. 1. 1. 再截取2根当长度的双绞线，两端制作标签，根据“PC1、PC2配线点连线对应关系表”的要求，链接网络信息点和相应计算机，端接水晶头，制作网络跳线，所有网络跳线要求按568B标准制作；
         2. 根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作

网络跳线，根据题目要求，插入相应设备的相关端口上；（包括设备与设备之间、设备与配线架之间）；  

• 1. 1. 1. 实现 PC、信息点面板、配线架、设备之间的连通；（提示：可利用机柜上自带的设备进行通断测试）；
        2. PC1连接102底盒1端口、PC2连接101底盒1端口。
• 交换机配置及地址划分（112分）

1、 公司计划使用VLSM技术为公司总部各部门划分相应IP地址段；现公司研发部40人、行政部29人、销售部28人、财务部10人；请使用

10.1.10.0/24网段根据研发、行政、销售、财务每部门人数进行子网划分，使

IP地址浪费最少。现公司产品部110人，信息部52人，法务部17人，综合部6 人，请使用10.1.20.0/24网段根据产品、信息、法务、综合每部门人数进行子网划分，使IP地址浪费最少。

1. 1. 1. 为防止SW-1、SW-2与SW-3之间产生环路，通过一种协议来实现研发

部、行政部、销售部、财务部业务优先通过SW-1与SW-3数据转发（实例10），通过在SW-3上修改参数使得在此实例中需要阻塞SW-2的e1/0/24接口；产品部、信息部、法务部、综合部业务优先通过SW-2与SW-3数据转发（实例20），通过在SW-3上修改参数使得在此实例中需要阻塞SW-1的e1/0/23接口，并且实现数据流量的负载分担与相互备份。

1. 1. 1. SW-1、SW-2通过VRRP容错技术，为所有业务VLAN实现网关冗余。所

有业务VLAN使用本VLAN最后一个可用IP作为虚拟地址、SW-1使用该VLAN中的第一个可用IP、SW-2使用该VLAN中的第二个可用IP，SW-1为研发部、行政部、销售部、财务部的Master，SW-2为产品部、信息部、法务部、综合部的

Master，且互为备份；每隔5s，VRRP组中的Master向组内发送VRRP报文来通告自身的工作状态。

1. 1. 1. 核心交换机之间使用双链路，使用端口聚合技术，SW-1与SW-2之间使

用port-group 1进行聚合，模式使用强制聚合模式。

1. 1. 1. 根据“表6 VLAN信息规划表”要求所示，在交换机上创建对应的

VLAN，并将交换机的相应端口加入对应的VLAN，本表所涉及端口均为Access类型。

表6 VLAN信息规划表

设备	VLAN编号	VLAN名称	端口	说明
SW-1	VLAN4	YFB		研发部
	VLAN5	XZB		行政部
	VLAN6	XSB		销售部
	VLAN7	CWB		财务部
	VLAN40	CPB		产品部
	VLAN50	XXB		信息部
	VLAN60	FWB		法务部
	VLAN70	ZHB		综合部
	VLAN2	TOFW-1	E1/0/1
	VLAN8	TOSW-2
SW-1模拟 Internet交换机	VLAN1000		E1/0/10
	VLAN1001		E1/0/11
SW-2	VLAN4	YFB		研发部
	VLAN5	XZB		行政部
	VLAN6	XSB		销售部
	VLAN7	CWB		财务部
	VLAN 40	CPB		产品部
	VLAN 50	XXB		信息部
	VLAN 60	FWB		法务部
	VLAN 70	ZHB		综合部
	VLAN3	TOFW-1	E1/0/2
	VLAN8	TOSW-1
SW3	VLAN4	YFB	E1/0/1-5	研发部
	VLAN5	XZB	E1/0/6-7	行政部
	VLAN6	XSB	E1/0/8-10	销售部
	VLAN7	CWB	E1/0/11-13	财务部

		VLAN40	CPB	E1/0/14-16	产品部
		VLAN50	XXB	E1/0/17	信息部
		VLAN60	FWB	E1/0/18	法务部
		VLAN70	ZHB	E1/0/19-20	综合部

1. 1. 1. SW-3为防止终端产生MAC地址泛洪攻击，在E1/0/15-17设置开启端口安全功能，配置端口允许的最大安全MAC数量为10，发生违规阻止后续违规流量通过，关闭端口，并在180秒后恢复端口。
      2. 为防止网络内用ARP攻击，要求在SW-3的所有业务接口上开防ARP扫描功能，并且针对每个IP的检测为10个每秒，针对每个端口检测为120个每秒，超过检测数值的IP或者端口进行阻断及关闭端口，并且在180秒后恢复。
      3. SW-1既作为北京总部核心交换机，同时又使用相关技术将SW-1模拟为

Internet交换机，实现Internet路由表与北京总部业务路由表隔离，Internet 路由表位于VPN实例名称Internet内。

• 路由配置（139分）

（一）规划北京总公司与上海分公司之间使用OSPF协议进行互连互通，进程号为20，具体要求如下：

1. 1. 1. 北京总部交换机与北京总部防火墙之间属于非骨干区域20，北京总部防

火墙的E0/3接口与北京总部路由器G0/3口之间属于骨干区域，北京总部防火墙的E0/6接口与北京总部路由器G0/6接口属于骨干区域，北京总部路由器与上海分部防火墙、上海分部防火墙与上海分部无线控制器之间属于非骨干区域30，根据拓扑图将相应的业务网络宣告到各自区域。

1. 1. 1. 骨干区域有两条线，要求业务访问时数据优先流经FW-1的E0/3口和RT-

1的G0/3口。

1. 1. 1. 为了降低不可信路由器对骨干区域造成的风险，请在该区域开启区域MD5 认证，密码为：DCN@OSPF。
      2. 在非骨干区域20中，使用相关技术使SW-1与SW-2之间邻居关系一直处于2-WAY状态。
      3. 为了实现路由来回路径一致，要求北京总部防火墙访问北京总部研发部、行政部、销售部、财务部的数据优先流经SW-1，北京总部防火墙访问北京总部产品部、信息部、法务部、综合部的数据优先流经SW-2，要求在SW-1与SW-2 上使用最少命令实现此功能。
      4. 要求北京总部非骨干区域20内，为了减少LSDB大小，禁止学习LSA3、

LSA4、LSA5，并且要求北京总部的研发、行政、销售、财务、产品、信息、法务、综合等部门的网络内不发送协议报文。

1. 1. 1. 通过在RT-1上使用路由引入技术，使得深圳分公司可以获取到北京总部及上海分部的路由。

（二）北京总部路由器与深圳分公司路由器之间使用 BGP 协议进行通信，具体要求如下：

1. 1. 1. 北京总部路由器与深圳分部路由器之间使用Internet的接口地址建立

GRE隧道，再使用IPSEC技术对GRE隧道进行保护，使用IKE协商IPSEC安全联盟、交换IPSEC密钥，两端加密访问控制列表名称都为IPSECACL，这样有了

IPSEC，深圳分公司的无线管理网络与北京总部、上海分部业务传输时，就不用担心数据被监视、篡改和伪造。

• 1. 1. 北京总部路由器属于AS200，深圳分公司路由器属于AS100，之间使用专线建立EBGP邻居关系，并且两端的隧道地址也建立EBGP邻居关系，将无线业务网络与管理网路宣告到BGP中。
• 广域网配置（45分）

1、 实现北京总部所有业务网络及上海分部网络通过北京总部路由器访问

Internet，轮询使用NAT地址为：202.102.99.1/30，深圳分公司业务网络通过深圳分公司路由器访问Internet，轮询使用NAT地址为202.102.100.1/30，禁

止在SW-1模拟Internet交换机上配置去往总部及分公司内部私有网络的路由。

• 无线局域网配置（74分）

1、 无线控制器部署在上海分部，无线AP部署在深圳路由器上，无线业务网络为VLAN10与VLAN20，网关设置在深圳路由器上，无线的管理地址为

10.1.3.1/24，AP手动设置管理地址为10.1.3.2/24，无线网络业务VLAN的DHCP SERVER设置在北京总部路由器上，通过北京路由器为终端下发IP地址，VLAN10 的DHCP地址池名称为POOL10，租期为5天8小时，配置默认网关为该网段的第一个可用ip地址，DNS为114.114.114.114；VLAN20的DHCP地址池名称为

POOL20，租期为5天8小时，配置默认网关为该网段的第一个可用ip地址，DNS 为114.114.114.114。

1. 1. 1. 无线network10，创建SSID为 “DCN2.4G”，对应业务VLAN10，用户接入无线网络时采用WPA-personal加密方式，其密码为“SSID2.4G”。
      2. 无线network20，创建SSID为“DCN5.0G”，对应业务VLAN20，用户接入无线网络时采用WPA-personal加密方式，其密码为“SSID5.0G”，并使其隐藏该SSID。
      3. 无线控制器采用profile1为AP下发配置，且命名为WIFI，服务集标识

“DCN2.4G”位于AP的2.4G频段，服务集标识“DCN5.0G”位于AP的5.0G频段，要求由小到大使用vap虚接口。

• 1. 1. 要求SSID为“DCN5.0G”最多接入20用户，用户间相互隔离，并对网络进行流控，上行速率为1Mbps，下行速率为2Mbps。
     2. 通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不在允许继续连接，两小时后恢复正常。
• 安全策略（45分）
  1. 1. 根据题目要求配置北京总部防火墙与上海分部防火墙相应的业务安全域

及业务接口；北京总部防火墙使用明细的访问控制策略，要求北京总部研发、销售、财务、行政部门业务网络只可访问Internet网络与上海分部的服务器。

1. 1. 1. 在上海分公司防火墙的Untrust区域开启所有攻击防护，发现攻击时丢弃。
      2. 为防止上海分公司收到垃圾邮件，请在防火墙上配置邮箱过滤，过滤含

有“奖品”字样的邮件。

• 广域网业务选路（35分）

考虑到北京总公司与深圳分公司之间有三条链路，访问深圳分公司无线管理业务网络时数据流量优先选择隧道，访问深圳分公司业务VLAN10业务网络时数据流量只可通过RT-2的S0/2接口，访问深圳分公司业务VLAN20业务网络时数据流量只可通过RT-2的S0/1接口 ，同时作为备份，当隧道接口出现故障时，RT-2的 S0/1接口与S0/2接口可成为管理网络的备份链路；根据以上要求，在北京总部路由器上进行合理的业务选路配置，具体要求如下：

1. 1. 1. 使用IP前缀列表匹配上述业务数据流；
      2. 使用本地优先级属性进行业务选路，只允许使用route-map来改变本地

优先级属性、实现路由控制，本地优先级属性可配置的参数数值为200。

服务器配置及应用项目（480分）

【说 明】

1.云服务实训平台相关说明

1. 云服务实训平台管理地址默认为192.168.100.100，访问地址为

http://192.168.100.100/dashboard，默认域为:default，默认账号密码为

admin/dcncloud，禁止修改云服务实训平台账号、密码及IP地址，否则服务器配置及应用项目部分计0分。

1. 云服务实训平台中提供镜像环境，镜像的默认用户名密码如下表所示。

名称	用户名	密码	ssh	rdp
Win2016	administrator	Qwer1234	否	是
Centos7-mini-V2	root	dcncloud	是	否

1. 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作，

所有centos主机实例在创建之后可以通过CRT软件连接进行操作，所有centos 主机都默认开启了ssh功能。

1. 要求在综合实训平台中保留竞赛生成的所有虚拟主机。
2. 云服务实训平台中生成的centos系统提供镜像文件，可用来配置yum 源，镜像文件存储于/opt目录下。
3. 请选手将U盘上的“比赛文档_X”（X为赛位号）文件夹中服务器配置及

应用报告单拷贝到PC机，并按照截图注意事项的要求填写完整；如报告单、截图等存放位置错误，涉及到的所有操作分值记为0分；比赛结束将结果拷贝到U 盘“比赛文档_X”（X为赛位号）文件夹中上交，作为最终评分依据。

1. 所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会

扣除该服务功能一定分数。

云实训平台安装与运用（80分）

• 完成云平台基础设置
  1. 按照“表3 云服务实训平台网络信息表”要求创建三个外部网络。
  2. 设置8块云硬盘，卷命名为hd1~hd8，其中hd1~hd8大小为10G。

注意事项：

• 1. 必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘；不能使用 “管理员”，“系统”栏下的“卷”功能，该功能使用不当会造成云硬盘创建失败，界面卡死。 
  2. 在综合实训平台中可以创建多个云硬盘，所有云硬盘容量的总大小不能超过 100G，否则将创建失败。一个实例可以同时连接多个云硬盘，但一个云硬盘同时只能给一个实例作为扩展硬盘使用。 
  3. 在分离卷之前一定要保证使用该卷的 linux 主机中，已经不存在该卷的任何挂载点。如果使用该卷的主机是 windows 实例，必须保证该卷在主机的 “磁盘管理”项目中处于脱机状态，否则会造成分离失败，或是一直显示“分离中”状态。
• 创建虚拟主机
  1. 按照“表4 虚拟主机信息表”所示，按要求创建实例规格。
  2. 按照“表4 虚拟主机信息表”所示，按要求生成虚拟主机。

Windows操作系统（200分）

• 虚拟主机操作
  1. 将云主机1升级为2021network.edu的域控制器，其合法域名为

Dc.2021network.edu。

1. 1. 将云主机 2 升级为 2021network.edu 的辅助域控制器，其合法域名为

SubDc.2021network.edu。

1. 1. 将云主机3加入2021network.edu域，其合法域名为

Client.2021network.edu。

• 1. 将 云 主 机 4 升 级 为 财 务 子 域 控 制 器 ， 其 合 法 域 名 为 dc1.cw.2021network.edu。
  2. 将云主机5加入财务子域，其合法域名为Clients.cw.2021network.edu。
• DHCP故障转移
  1. 在云主机1安装DHCP服务，同时建立作用域：名称：TestScope，IP地

址范围：172.16.10.3~172.16.10.127，租用期限10天，DNS服务器：172.16.10.2，域后缀：2021network.edu，网关172.16.10.1，冲突检测次数：2次。

1. 1. 配置作用域 TestScope 的故障转移功能，故障转移服务器云主机 2，关系名称：DC-SubDC，最大客户端提前期：1小时，模式：负载平衡（负载平衡百

分比：本地服务器：50%，伙伴服务器50%）；启用消息验证，共享机密：123456。

注：必须设置云主机1与云主机2相同时间。

• CA及用户管理
  1. 在云主机4上安装证书服务，设置为企业根，有效期为7年，为企业内部自动回复证书申请。
  2. 按下表所示，在云主机4上建立组及用户列表信息。

域用户名	密码	登陆时间	域用户组	组作用域	组类型
adm1	2021networkskills.com	周一至周五8点至17点	adm	全局	安全组
adm2	2021networkskills.com	周一至周五8点至17点
sale1	2021networkskills.com	周一至周五8点至17点	sale	全局	通讯组
sale2	2021networkskills.com	周一至周五8点至17点
sys1	2021networkskills.com	周一至周六8点至20点	sys	本地域	安全组
sys2	2021networkskills.com	周一至周六8点至20点

• 磁盘及WEB服务
  1. 为云主机3添加3块虚拟硬盘hd1~hd3，将3块硬盘配置为RAID5，对应磁盘盘符为E，同时启用卷影副本功能，设置每周工作日（周一至周五）的下午 19:30创建卷影副本，将副本存储于C:\；再添加3块虚拟硬盘hd4~hd6，将3块硬盘配置为带区卷，对应磁盘盘符为F。
  2. 在云主机3上安装IIS组件，创建https://www.network.com站点，主目录为E:\web文件夹，首页文件为network.asp，内容为“2020年XXX省职业院校选拔赛项目时间为：<%=now()%>”，同时只允许使用域名通过SSL加密访问， CA从云主机4服务器申请；再创建http://www.network.edu.cn站点，主目录为F:\web文件夹，首页为network.htm，内容为“2020年XXX省职业院校选拔赛静态页面”。
  3. 设置SSL访问网站最大连接数为1000，网站连接超时为60s，网站的带宽为1000KB/S；使用W3C记录日志，每天创建一个新的日志文件，使用当地时间作为日志文件名；日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号和方法。
• RODC部署
  1. 安装云主机7，将其升级为cw.2021network.edu的辅助域控，合法域名为SubDcs.cw.2021network.edu。
  2. 安装云主机8，将其升级为cw.2021network.edu的只读域控，合法域名为RODC.cw.2021network.edu。
• DNS管理
  1. 按下表所示，在云主机4上新建对应资源记录，实现正反向解析功能。

同时为所有区域设置老化/清理时间：无刷新间隔：5天，刷新间隔：5天。

	名称	类型	数据	域名
	www	A	172.19.10.2	baidu.com
	ftp	A	172.19.11.2	baidu.com
	www	AAAA	2001:db8:0:1::1	baidu.com
	web	CNAME	www	baidu.com
	Subwww	A	192.168.10.2	sub.baidu.com
	Subftp	A	182.168.10.3	sub.baidu.com
	Subwww	AAAA	2001:db8:0:1::2	sub.baidu.com
	Subweb	CNAME	Subwww	sub.baidu.com

1. 1. 按下表所示，在云主机4委派sub.baidu.com至服务器云主机5，同时创建对应资源记录完成正反向解析。

名称	类型	数据	域名
www	A	172.19.10.2	baidu.com
ftp	A	172.19.11.2	baidu.com
www	AAAA	2001:db8:0:1::1	baidu.com
web	CNAME	www	baidu.com
Subwww	A	192.168.10.2	sub.baidu.com
Subftp	A	182.168.10.3	sub.baidu.com
Subwww	AAAA	2001:db8:0:1::2	sub.baidu.com
Subweb	CNAME	Subwww	sub.baidu.com

• RODC缓存用户管理
  1. 在云主机8将域控制器中技术部（adm1.adm2）的员工增加至缓存组，允许该账户的密码复制至本服务器中。

注：截图中需要体现域控用户信息与缓存用户详情。

• FTP服务管理
  1. 在云主机8发布具有读写权限的FTP网站，通过FTP://主机IP访问，设置本地用户登录至隔离同名目录，匿名用户访问指定目录，域用户（user1~user10）登录至隔离同名目录。不允许192.168.58.0网段访问FTP服务。
• 测试服务
  1. 在云主机6上实现网站https://www.network.com、

http://www.network.edu.cn的访问。

1. 1. 在云主机 6上实现访问 FTP://云主机8 主机 IP，采用不同角色登录 FTP站点。

Linux系统配置（200分）

• 在“云主机9”中完成域名服务器部署
  1. 在“云主机9”中安装配置域名服务器，设置3个域：2021networkjnds.com、

2021networkjnds.net、2021networkjnds.cn，分别添加dns1、dns2、mail、ftp、

smb、base等6个主机记录和1个www别名记录， dns1指向“云主机9”的地址，dns2指向“云主机10”的地址，mail指向“云主机11”的地址，ftp指向 “云主机12”的地址，smb指向“云主机13”的地址，base指向“云主机14” 的地址，www指向base相关记录，域的NS指向dns1和dns2相关记录。每个域均需要完成正、反向解析。

1. 1. 设置开机自动加载firewall和域名服务器，配置firewall开启DNS相

关服务或端口。

• 在“云主机10”中完成备份域名服务器的部署
  1. 在“云主机10”中安装配置域名服务器，配置此服务器为备份域名服务器，将“云主机9”中主域名服务器的所有区域都复制到备份域名服务器上。
  2. 配置“云主机10”的域名服务器，只允许“云主机11”所在网段、“云

主机9”、“云主机10”和localhost查询。三、 在“云主机11”中完成邮件服务器配置

1. 1. 在“云主机 11”中使用 sendmail 安装配置邮件服务器，配置“云主机

9”的域名服务器负责完成 2021networkjnds.com、2021networkjnds.net、 2021networkjnds.cn三个域的邮件域名解析；建立三个邮件账号：jnds1、jnds2、

jnds3，密码和用户名相同；实现区域间和区域内的邮件收发。

1. 1. 发送两封测试邮件，邮件内容为：发信地址->收信地址，具体分别如下：

jnds1@2021networkjnds.com->jnds2@2021networkjnds.net jnds2@2021networkjnds.net->jnds3@2021networkjnds.cn

保留发送和接收记录。

• 在“云主机12”中完成FTP服务器的部署
  1. 在“云主机12”中使用vsftpd安装配置FTP 服务器。设置监听TCP端口2121，设置会话超时为3分钟，启用被动传输模式，客户端端口范围为31000 到32000，不允许匿名访问；建立2个用户：jnds4、jnds5，密码与用户名相同，根目录分别是/home/jnds4和/home/jnds5，只允许用户访问自己的根目录；设置开机自动加载firewall和FTP服务器，配置firewall允许外网访问FTP服务器。
• 在“云主机13”中完成Samba服务器的部署
  1. 在“云主机13”中安装配置Samba服务器；用户身份验证模式为user，采用tdbsam验证机制；建立3个用户：jnds6、jnds7、jnds8，密码与用户名相同；建立两个组：jndsgrp1 和 jndsgrp2；jnds6 和 jnds8 加入 jndsgrp1 组，

jnds7和jnds8加入jndsgrp2组。

• 1. 只允许jnds6和jnds8读/smb1目录，但是不能写；只允许jnds7和jnds8 读写/smb2目录。自行建立/smb1和/smb2目录。
• 在“云主机14”中完成数据库服务器的部署
  1. 在“云主机14”中安装配置MySQL数据库；修改MySQL的root账号密

码为jnds2021network；添加MySQL用户jnds，密码与用户名相同。

1. 1. 创建数据库jnds，授权用户jnds具有数据库jnds的查询权限；在数据库jnds中创建表jndstest，自行定义表结构，要求包含至少4种不同数据类型

的字段；第一个字段作为主键，具有自增属性；建立包含的两个字段（主键字段

除外）的唯一索引；在 jndstest表中自行添加5条记录，满足字段要求即可。

• 1. 备份数据库jnds，保存为/tmp/jnds.sql文件。
• 在“云主机14”中继续进行Web服务器的部署
  1. 在“云主机14”中安装Apache HTTPD，配置WEB服务器，支持

PHP；创建3个虚拟主机，都只允许通过域名访问，域名、监听端口和根目录分

别为：www.2021networkjnds.com、80端口、/var/www/html/com； www.2021networkjnds.net、81端口、/var/www/html/net； www.2021networkjnds.cn、82端口、/var/www/html/cn。为3个虚拟主机创建首页文件index.php，标题和内容均为域名:端口，对应信息分别为：

www.2021networkjnds.com:80、www.2021networkjnds.net:81、

www.2021networkjnds.cn:82。

1. 1. 开启SELinux，配置HTTP相关安全策略。
   2. 测试访问http://www.2021networkjnds.cn:82/，实现 http://www.2021networkjnds.cn:82/的访问。

     

职业规范与素养

（本部分 20 分）

 

一、 整理赛位，工具、设备归位，保持赛后整洁有序；二、 无因选手原因导致设备损坏。