2024年江苏省职业院校技能大赛 网络建设与运维赛项样题

2024 年江苏省职业院校技能大赛 网络建设与运维 中职组 赛题

2024 年江苏省职业院校技能大赛网络建设与运维赛项

中职组赛题（一）

竞赛说明

1. 竞赛内容分布

“ 网络建设与运维 ” 竞赛共分七个部分，其中：

第一部分：网络组建与配置（ 35 分）

第二部分： X86 架构计算机操作系统安装与管理（ 5 分）

第三部分： ARM 架构计算机操作系统安装与管理（ 5 分）

第四部分：云平台与 Windows 系统配置（ 20 分）

第五部分： Linux 系统配置（ 20 分）

第六部分：网络运维（ 10 分）

第七部分：职业素养（ 5 分）

2. 项目简介

某集团公司原在北京建立了总部，后在深圳建立了分部，又在成都、郑州设

立了两个办事处。总部设有销售、产品、法务、财务、信息技术 5 个部门，统一

进行 IP 及业务资源的规划和分配，全网采用 OSPF 动态路由协议和静态路由协议

进行互连互通。

公司规模在 2024 年快速发展，业务数据量和公司访问量增长巨大。为了更好

管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到

快速、可靠交换数据，以及增强业务部署弹性的目的。

集团、分公司及两个办事处的网络结构详见“主要网络环境”拓扑图。

其中一台交换机编号为 SW-3，用于实现终端高速接入；另外两台交换机作为

总部的核心交换机（SW-1、SW-2）；两台防火墙分别作为成都办事处、郑州办事处

的防火墙；一台路由器编号为 RT-1，作为集团的核心路由器；另一台路由器编号

为 RT-2，作为分公司路由器；一台无线交换机作为集团的有线无线智能一体化控

制器，编号为 AC，通过与高性能企业级 AP 配合实现集团无线覆盖。

3. 网络拓朴图、网络设备连接表及 IP 地址表

网络拓朴图

图 1 网络拓朴图

网络设备连接表

表 1 网络设备连接表

IP 地址表

   

第一部分：网络组建与配置（ 35 分）

【说明】

1. 设备 console 线有两条。交换机、 DCWS 、防火墙使用同一条 console 线，路由器

使用另外一条 console 线；

2. 设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为

主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文

档均放置在 PC2 桌面的“比赛文档 _X ”（ X 为赛位号）文件夹中；

3. 保存文档方式如下：

 交换机、路由器、 DCWS 要把 show running-config 的配置、防火墙要把 show

configuration 的配置保存在 PC2 桌面上的“比赛文档 _X ”文件夹中，文档命名规则为：

设备名称 .txt 。例如： RT-1 路由器文件命名为： RT-1.txt ；

 无论通过 SSH 、 telnet 、 Console 登录防火墙进行 show configuration 配置收集，

需要先调整 CRT 软件字符编号为： UTF-8 ，否则收集的命令行中文信息会显示乱码。 CRT

软件调整字符编号配置如图：

SSH 配置图

一、 网络布线与基础连接

说 明

1. 机柜左侧布线面板编号 101 ；机柜右侧布线面板编号 102 。

2. 面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B 标准

端接。

3. 主配线区配线点与工作区配线点连线对应关系如下表所示。

PC1、PC2 配线点连线对应关系表

( 一 ) 铺设线缆并端接

1. 截取 2 根适当长度的双绞线，两端制作标签，穿过 PVC 线槽或线管。双绞线在机柜

内部进行合理布线，并且通过扎带合理固定；

2. 将 2 根双绞线的一端，根据 “PC1 、 PC2 配线点连线对应关系表 “ 的要求，端接在配

线架的相应端口上；

3. 将 2 根双绞线的另一端，根据 “PC1 、 PC2 配线点连线对应关系表 ” 的要求，端接上

RJ45 模块，并且安装上信息点面板，并标注标签。

( 二 ) 跳线制作与测试

1. 再截取 2 根当长度的双绞线，两端制作标签，根据 “PC1 、 PC2 配线点连线对应关系

表 ” 的要求，链接网络信息点和相应计算机，端接水晶头，制作网络跳线，所有网络跳线要

求按 568B 标准制作； 2024 年江苏省职业院校技能大赛 网络建设与运维 中职组 赛题（一）

2. 根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络跳线， 根

据题目要求，插入相应设备的相关端口上（包括设备与设备之间、设备与配线架之间）；

3. 实现 PC 、信息点面板、配线架、设备之间的连通（ 提示： 可利用机柜上自带的设备

进行通断测试）；

4. PC1 连接 102 底盒 1 端口、 PC2 连接 101 底盒 1 端口。

二、 交换配置与调试

(一) 为了减少广播，需要根据题目要求规划并配置 VLAN。具体要求如下：

1.配置合理，所有链路上不允许不必要 VLAN 的数据流通过，包括 VLAN 1；

2.集团接入交换机与核心交换机之间的互连接口发送 AP&交换机管理 VLAN 的报文时不

携带标签，发送其它 VLAN 的报文时携带标签，要求禁止采用 trunk 链路类型；

3.当财务业务 VLAN 物理端口接收到的流量大于端口缓存所能容纳的大小时，端口将通

知向其发送流量的设备减慢发送速度，以防止丢包；当法务业务 VLAN 物理端口收包 BUM 报文

速率超过 2000packets/s 则关闭端口，10 分钟后恢复端口。

4.根据下述信息及表，在交换机上完成 VLAN 配置和端口分配。

SW-3 VLAN 配置信息表

(二) 在集团核心交换机 SW-1 和 SW-2、接入交换机 SW-3 间运行一种协议，具体要求如

下：

1. 实现销售、产品、信息技术业务优先通过 SW-1 至 SW-3 间链路转发，法务、财务、AP&

交换机管理等业务优先通过 SW-2 至 SW-3 间链路转发，从而实现 VLAN 流量的负载分担与相互

备份；

2. 设置路径开销值的取值范围为 1-65535，BPDU 支持在域中传输的最大跳数为 7 跳；同

时不希望每次拓扑改变都清除设备 MAC/ARP 表，全局限制拓扑改变进行刷新的次数；

3. 加速接入交换机所有业务端口收敛，当接口收到 BPDU 丢弃报文并关闭端口，如果 5

分钟内没有收到 BPDU 报文，则恢复该端口。

(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议，为所有业务 VLAN 实现网关

冗余，具体要求如下：

1.虚地址使用该 VLAN 中的最后一个可用 IP、SW-1 使用该 VLAN 中的倒数第三可用 IP、

SW-2 使用该 VLAN 中的倒数第二可用 IP，SW-1 为销售、产品、信息技术业务的 Master，SW-

2 为法务、财务、AP&交换机管理等业务的 Master，且互为备份；每隔 3s，VRRP 备份组中的

Master 发送 VRRP 报文来向组内的三层交换机通知自己工作状态；

2.监视上行链路状态，当上行链路故障时，Slave 设备能够接管 Master 设备转发数据；

而当链路故障恢复后，原 Master 设备接管 Slave 设备转发数据。

(四) 因集团销售人员较多、同时也为了节约成本，在集团接入交换机下挂两个 8 口 HUB

交换机实现销售业务接入，集团信息技术部已经为销售业务 VLAN 分配 IP 主机位为 1-14，在

集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发，对 IP 不在上述范围内的

用户发来的数据包，交换机不能转发，直接丢弃, 要求禁止采用访问控制列表实现。

(五) 集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层，当发现单向链

路后，要求自动地关闭互连端口；发送握手报文时间间隔为 5s, 以便对链路连接错误做出更

快的响应，如果某端口被关闭，经过 30 分钟，该端口自动重启。

(六) SW-2 既作为集团核心交换机，同时又使用相关技术将 SW-2 模拟为 Internet 交换

机，实现集团内部业务路由表与 Internet 路由表隔离。

(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计，分别连接在

SW-1 核心交换机 E1/0/10-E1/0/11 接口测试，将核心交换机与接入交换机、路由器互连流量

提供给多个厂商网流分析平台。

三、 路由配置与调试

(一) 尽可能加大集团路由器与分公司路由器之间专线链路带宽，配置 Mutlilink PPP 捆

绑；

(二) 规划集团与分公司、成都办事处之间使用 OSPF 协议进行互连互通，进程号为 1，具

体要求如下：

1.集团路由器与集团核心交换机之间、集团核心交换机与集团核心交换机之间、集团路

由器与分公司路由器之间均属于骨干区域，集团业务网段属于 Area1，分公司业务网段属于

Area2；集团路由器与成都办事处防火墙之间、成都办事处防火墙与分公司路由器之间、成都

办事处业务网段属于 Area3；

2.借助 OSPF 相关特性，尽可能保证骨干区域完整性；

3.针对骨干区域启用区域 MD5 验证，验证密钥为：DCN2019，调整接口的网络类型加快

邻居关系收敛；

4.要求集团业务网段 Area、分公司业务网段 Area 禁止学习 LSA3、LSA4、LSA5、LSA7 类

路由，要求集团业务网段中不发送协议报文；

5.集团路由器将访问郑州办事处业务网段的静态路由引入 OSPF，要求分公司禁止学习

到郑州办事处业务网段路由。

(三) 实现集团销售&产品&信息技术&无线业务、分公司业务网段、成都办事处业务网段统

一通过集团路由器访问 Internet，轮询使用 NAT 地址为：202.99.192.4/30，针对上述源地

址，限制单个 IP 地址能建立 NAT 翻译表项的最大数目为 100；配置一对一地址转换，实现通

过 Internet 任意位置访问 202.99.192.8/32 都可以访问至集团 OA 平台 10.XX.10.1/32（XX

与“主要网络环境”地址中相应网段一致）进行数据查询；郑州办事处业务网段通过郑州办

事处防火墙访问 Internet，NAT 地址池为接口公网 IP。

(四) 集团路由器与郑州办事处防火墙之间使用与 Internet 的接口互联地址建立 GRE

隧道，再使用 IPSEC 技术对 GRE 隧道进行保护，使用 IKE 协商 IPSec 安全联盟、交换 IPSec

密钥，两端加密访问列表名称都为 ipsecacl，这样有了 IPSec，郑州办事处通过静态路由协

议访问集团销售网段在通过运营商网络传输时，就不用担心被监视、篡改和伪造，可以安全

上传郑州办事处相关销售业务数据。

(五) 为了合理分配集团业务流向，保证来回路径一致，业务选路具体要求如下：

1. 集团核心交换机与集团无线控制器 DCWS 之间采用静态路由协议，使用 OSPF 相关特性

实现集团无线业务与Internet互访流量优先通过DCWS_SW-1_RT1间链路转发，DCWS_SW-2_RT1

间链路作为备用链路；

2. 实现销售、产品、信息技术业务分别与 Internet、分公司、办事处互访流量优先通过

SW-1_RT1 间链路转发，法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优

先通过 SW-2_RT1 间链路转发，从而实现流量的负载分担与相互备份。

四、 无线配置

(一) 集团无线控制器 DCWS 与核心交换机互联，无线业务网关位于 DCWS 上，VLAN220

为业务 VLAN；核心交换机侧配置使用 DHCP 进行 AP 管理地址分配，利用 DHCP 方式让 AP 发现

DCWS 进行三层注册，采用 MAC 地址认证。

(二) 配置一个 SSID DCNXX：DCNXX 中的 XX 为赛位号，访问集团及 Internet 业务，采

用 WPA-PSK 认证方式，加密方式为 WPA 个人版，配置密钥为 Dcn12345678。

(三) AP 在收到错误帧时，将不再发送 ACK 帧；打开 AP 组播广播突发限制功能；开启

Radio 的自动信道调整，每天上午 7:00 触发信道调整功能。

五、 安全策略配置

(一) 根据题目要求配置成都办事处防火墙、郑州办事处防火墙相应的业务安全域、业

务接口；限制成都办事处业务网段只可以与集团销售、产品、财务业务网段 http&https 业务

和 Internet 业务互访；郑州办事处业务网段通过 VPN 隧道只可以访问集团销售业务网段

http&https 业务,通过公网接口可以访问 Internet 业务；集团所有业务网段均可以与成都办

事处业务网段、郑州办事处业务网段双向互 ping，方便网络连通性测试与排障。

(二) 集团计划在成都办事处进行 https 认证试点，对成都办事处业务网段上网的用户

进行控制，认证服务器为本地防火墙，只有在认证页面输入用户名和密码分别为 dcn01 或者

dcn02 才可以访问外部网络，强制用户在线时常超过 1 天后必须重新登录。

(三) 郑州办事处只有 100M Internet 出口，在郑州办事处防火墙上限制该业务网段每

个 IP 上下行最多 4M 带宽；对 Internet 出口 http 流量整形到 10Mbps，从而实现流量精细化

控制，保障办事处其它关键应用和服务的带宽。

六、 IPV6 配置

集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版

（IPv6）规模部署行动计划》，加快推进基于互联网协议第六版（IPv6）基础网络设施规模部

署和应用系统升级，现准备先在集团公司开始 IPv6 测试，要求如下：

(一) 在集团核心交换机 SW-1 配置 IPv6 地址，使用相关特性实现销售业务的 IPv6 终

端可自动从网关处获得 IPv6 有状态地址。

(二) 在集团核心交换机 SW-2 配置 IPv6 地址，开启路由公告功能，路由器公告的生存

期为 2 小时，确保产品业务的 IPv6 终端可以获得 IPv6 无状态地址。

(三) 在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性，实现销售业务的

IPv6 终端与产品业务的 IPv6 终端可以互访。

集团测试 IPv6 业务地址规划如下，其它 IPv6 地址自行规划：

 IPv6 地址表

举例：“主要网络环境”中销售业务 IPv4 地址为：10.30.10.0/24，对应 IPv6 地址为：

2001:30:10::254/64

第二部分： X86 架构计算机操作系统安装与管理（ 5 分）

1. PC1 系统为 ubuntu-desktop-amd64 系统（已安装，语言为英文），登录用户为 xiao，

密码为 Key-1122。启用 root 用户，密码为 Key-1122。

2. 安装 remmina，用该软件连接 Server1 上的虚拟机，并配置虚拟机上的相应服务。

3. 安装 qemu 和 virtinst。

第三部分： ARM 架构计算机操作系统安装与管理（ 5 分）

1. 从 U 盘启动 PC2，安装 kylin-desktop-arm64（安装语言为英文），安装时创建用户

xiao，密码为 Key-1122。启用 root 用户，密码为 Key-1122。

2. 配置 minicom，用该软件连接网络设备，并对网络设备进行配置。

第四部分：云平台与 Windows 系统配置（ 20 分）

【竞赛技术平台说明】

1 ．云服务实训平台相关说明：

（ 1 ） 云服务实训平台管理 ip 地址默认为 192.168.100.100 ，访问地址

http://192.168.100.100/dashboard 默认账号密码为 admin/dcncloud ， ssh 默认账号密码为

root/dcncloud ，考生禁止修改云服务实训平台账号密码及管理 ip 地址，否则服务器配置及应

用项目部分计 0 分；

（ 2 ） 云服务实训平台中提供镜像环境，镜像的默认用户名密码以及镜像信息，参考《云

服务实训平台用户操作手册》；

云平台镜像信息表

（ 3 ） 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。

2 ．云服务实训平台相关服务说明：

（ 1 ） 虚拟主机的 IP 属性设置请按照 “ 拓扑结构图 ” 以及 “ 表 9 Windows 实例信息表 ” 的

要求设定；

（ 2 ） 所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会扣除该服

务功能一定分数。

（ 3 ） 所有 Windows 服务器密码设置为 Netw@rkCZ!@# （注意区分大小写）。

15 / 29

一、云实训平台安装与运用（ 2 分）

（一）创建实例

（ 1 ） 网络信息表

网络信息表

（ 2 ） 实例类型信息表

实例类型信息表

（ 3 ） Windows 实例信息表

 Windows 实例信息表

二、 Windows 系统配置（ 18 分）

（一）完成虚拟主机的创建

将按照 “ 表 9 Windows 实例信息表 ” 生成的虚拟主机加入到 skills.lan 域环境；

（二）在 Windows1 中完成链路聚合的部署

添加安装一块网卡，第一块网卡和第二块网卡为提供链路聚合网卡，完成链路聚合操作，

组名为 “AggNic1” ，成组模式为 “ 静态成组 ” ，负载均衡模式为 “ 地址哈希 ” ，为主域和辅助域之

间的传输提升速度。

（三）在 Windows1 中完成 DNS 服务器的部署

1. 将此服务器配置为主 DNS 服务器，具体要求：

（ 1 ）正确配置 skills.lan 域名的正向及反向解析区域；

（ 2 ）创建对应服务器主机记录，正确解析 skills.lan 域中的所有服务器；

（ 3 ）关闭网络掩码排序功能；

（ 4 ）设置 DNS 服务正向区域和反向区域与活动目录集成；

（ 5 ）启用 Active Directory 的回收站功能；

2. 为了防止域控制器的 DNS 域名解析服务造成大量不必要的数据流，公司技术人员决

定禁用 DNS 递归功能，请您使用 PowerShell 禁用 DNS 递归功能。

（四）在 Windows1 中完成域控制器及 CA 服务器的部署

1. 将 Windows1 的服务器配置成 CA 服务器：

（ 1 ）安装证书服务，为企业内部自动回复证书申请；

（ 2 ）设置为企业根，有效期为 6years ；

（ 3 ）颁发的证书有效期年份为 3years ；

2. 创建 3 个用户组，组名采用对应部门名称的中文全拼命名，每个部门都创建 2 个用

户，行政部用户： adm1~ adm2 、销售部用户： sale1~sale2 、技术部用户： sys1~sys2 （如有需要

可将技术部员工加入管理员组），所有用户不能修改其用户口令，并要求用户只能在上班时间

可以登录（每周一至周五 9:00~18:00 ）；

3. 配置域中技术部的所有员工必须启用密码复杂度要求，密码长度最小为 9 位，密码最

长存留 30 天，允许失败登录尝试的次数、重置失败登录尝试计数都为 5 次，帐户将被锁定

的时间为 5 分钟，直至管理员手动解锁账户；

4. 配置相关策略，防止用户随意退出域，实现所有行政部的用户登录域后自动去除 “ 计

算机 ” 的上下文菜单中的 “ 属性 ” ；

5. 配置相关策略，实现所有销售部的计算机开机后自动弹出 “ 温馨提示 ” 的对话框，显示

的内容为 “ 请注意销售数据的安全！ ” 。

（五）在 Windows1 中完成 DNS 安全防护的部署

1. 新建一条主机记录，主机名称为 dnss 、 IP 地址为 10.30.30.140 ；

2. 对 Windows1 的 skills.lan 区域中的 dnss 主机记录提供完整性验证，来保证数据在传

输的过程中不被篡改。

（六）在 windows2 中完成链路聚合的部署

1. 添加安装一块网卡，第一块网卡和第二块网卡为提供链路聚合网卡，完成链路聚合操

作，组名为 “AggNic2” ，成组模式为 “ 静态成组 ” ，负载均衡模式为 “ 地址哈希 ” ，为主域和辅助

域之间的传输提升速度。

（七）在 windows2 中完成从属证书及磁盘阵列的部署

1. 将 windows2 的服务器升级成 skills.lan 域的的辅助域控制器；

2. 将 windows2 的服务器设置为证书颁发机构：

（ 1 ）安装证书服务，为企业内部自动回复证书申请；

（ 2 ）设置为企业从属 CA ，负责整个 skills.lan 域的证书发放工作；

（八）在 windows2 中完成 AD RMS 及网络打印服务的部署

1. 安装 AD RMS 权限管理服务：

（ 1 ）要求安装 “AD 权限管理服务器 ” 和 “ 联合身份验证支持 ” 角色服务；

（ 2 ）使用 Windows 的内部数据库；

（ 3 ）指定群集地址为： https://adrms.skills.lan ；

（ 4 ）配置联合身份验证支持的服务器名称为： https://adrms.skills.lan 。

2. 将 windows2 的服务器配置成打印服务器：

（ 1 ）添加一台虚拟打印机，名称为 “HP-Print” ；

（ 2 ）将 “HP-Print” 发布到 AD 域；

（ 3 ）客户端访问网络打印服务器，能够通过访问 “https://Print.skills.lan” 查看打印机，证

书由本机进行签署颁发。

（九）在 windows3 中完成文件服务器的部署

1. 添加三块 SCSI 虚拟硬盘，其每块硬盘的大小为 10G ，并创建 RAID5 卷，盘符为 E

盘；

2. 在 E 盘上新建文件夹 FilesWeb ，并将其设置为共享文件夹，共享名为 FilesWeb ，开放

共享文件夹的读取 / 写入权限给 everyone 用户；

3. 在 FilesWeb 文件夹内建立两个子文件夹：

（ 1 ）子文件夹为 “FilesConfigs” ，用来存储共享设置；

（ 2 ）子文件夹为 “FilesConts” ，用来存储共享网页。

（十）在 windows3 中完成 DNS 转发服务器和 DNSSEC 签名的部署

1. 安装 DNS 服务器角色，设置转发器为 “Windows1” 的服务器，负责转发 “windows6” 的

域名解析的查询请求；

2. 在 windows3 上导入 skills.lan 区域的 DNSKEY 签名，来保证数据来自正确的名称服

务器。

（十一）在 windows4 中完成 WEB 服务器 1 的部署

1. 添加安装二块网卡，第一块网卡为提供负载均衡网卡，完成网络负载均衡操作；第二

块网卡为心跳线网卡；

2. 安装 IIS 组件，创建 www.skills.lan 站点：

（ 1 ） 将该站点主目录指定到 \\WDF\FilesWeb\FilesConts 共享文件夹；

（ 2 ） 将 PC1 中 “D:\Soft\IIS” 目录下的主页文件拷贝到文件服务器中的共享文件夹

\\WDF\FilesWeb\FilesConts 内；

（ 3 ） 启动 www.skills.lan 站点的共享配置功能，通过输入物理路径、用户名、密码、确

认密码和加密秘钥，将该站点的设置导出、存储到 \\WDF\FilesWeb\FilesConfigs 内；

3. 设置网站的最大连接数为 1000 ，网站连接超时为 60s ，网站的带宽为 1000KB/S ；

4. 使用 W3C 记录日志，每天创建一个新的日志文件，文件名格式：

（ 1 ） 日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器

端口号；

（ 2 ） 日志文件存储到 “C:\WWWLogFile” 目录中；

5. 创建证书申请时，证书必需信息为：

（ 1 ） 通用名称 =“www.skills.lan” ；

（ 2 ） 组织 =“skills” ；

（ 3 ） 组织单位 =“sales” ；

（ 4 ） 城市 / 地点 =“NanJing” ；

（ 5 ） 省 / 市 / 自治区 =“JiangSu” ；

（ 6 ） 国家 / 地区 =“CN” 。

（十二）在 windows4 中完成 NLB 群集服务器的部署

1. 安装 NLB 负载平衡服务，其群集 IPv4 地址自行设定，新建群集优先级为 6 ，群集名

称为 www.skills.lan ，采用多播方式；

2. 客户端在访问 www.skills.lan 站点时，要求只允许使用域名通过 SSL 加密访问。

（十三）在 windows5 中完成 WEB 服务器 2 的部署

1. 添加安装二块网卡，第一块网卡为提供负载均衡网卡，完成网络负载均衡操作；第二

块网卡为心跳线网卡；

2. 安装 IIS 组件，实现 www.skills.lan 站点的共享配置，启动 www.skills.lan 站点的共享

配置功能，通过输入物理路径、用户名、密码、确认密码和加密密钥密码，使得让该站点可

以使用位于 \\WDF\FilesWeb\FilesConfigs 内的共享配置；

3. 设置网站的最大连接数为 1000 ，网站连接超时为 60s ，网站的带宽为 1000KB/S ；

4. 使用 W3C 记录日志，每天创建一个新的日志文件，文件名格式：

（ 1 ） 日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器

端口号；

（ 2 ） 日志文件存储到 “C:\WWWLogFile” 目录中；

5. 创建证书申请时，证书必需信息为：

（ 1 ） 通用名称 =“www.skills.lan” ；

（ 2 ） 组织 =“skillsJiangSu” ；

（ 3 ） 组织单位 =“sales” ；

（ 4 ） 城市 / 地点 =“NanJing” ；

（ 5 ） 省 / 市 / 自治区 =“JiangSu” ；

（ 6 ） 国家 / 地区 =“CN” 。

（十四）在 windows5 中完成 NLB 群集服务器的部署

1. 安装 NLB 负载平衡服务，其群集 IPv4 地址自行设定，完整的 Internet 名称为

www.chinaskills.lan ，优先级为 11 ，采用多播方式；

2. 客户端在访问 www.skills.lan 站点时，要求只允许使用域名通过 SSL 加密访问。

（十五）在 windows6 中完成相关功能

1. 配置 “ 连接安全规则 ” ，保证和 “windows7” 之间的通信安全，要求入站和出站都要求身

份验证，完整性算法采用 SHA-1 ，加密算法采用 AES-CBC 128 ，预共享的密钥为 Skills 。

2. PowerShell 脚本

任务描述：请采用 PowerShell 脚本，实现快速批量操作。

在 windows6 上编写 C:\createfile.ps1 的 PowerShell 脚本，创建 30 个文件 C:\file\file00.txt

至 C:\file\file29.txt ，如果文件存在，则删除后，再创建；每个文件的内容同主文件名，如 file00.txt

文件的内容为 “file00” 。

（十六）在 windows8 中完成 DHCP 及 WDS 服务的部署

1. 安装 DHCP 服务，为服务器网段部分主机动态分配 IPv4 地址，建立作用域，作用域

的名称为 dhcpser ，地址池为 220-225 ，仅允许 “ 服务器 3” 的服务器获取 DHCP 服务器的最后

一个地址；

2. 安装 WDS 服务，目的是通过网络引导的方式来安装 Windows server 2022 R2 CORE

操作系统，运用适当技术手段，让此 WDS 的客户端，只获取到对应 WDS 服务器端 DHCP 下

发的 IP 地址。

第五部分： Linux 系统配置（ 20 分）

（一）系统安装

【任务描述】 系统安装

（1）所有 Linux 服务器登录密码设置为 Netw@rkCZ!@#（注意区分大小写）

（2）PC1 web 连接 Server2，给 Server2 安装 rocky-arm64 CLI 系统(语言为英文)。

（3）配置 server2 的 IPv4 地址为 10.60.40.100/24。

（4）安装 qemu-kvm、libvirt 和 virt-install。

（5）创建rocky-arm64虚拟机，虚拟机磁盘文件保存在默认目录，名称为linuxN.qcow2(N

表示虚拟机编号 0-9，如虚拟机 linux1 的磁盘文件为 linux1.qcow2)，虚拟机信息如下：

Linux 实例信息表

（6）安装 linux0，系统为 rocky9 CLI，网络模式为桥接模式，用户 root 密码为 Key-

1122。

（7）关闭 linux0，给 linux0 创建快照，快照名称为 linux-snapshot。根据 linux0 克

隆虚拟机 linux1-linux9。

（二） dns 服务

【任务描述】 创建 DNS 服务器，实现企业域名访问。

（1）配置 linux 主机的 IP 地址和主机名称。

（2）所有 linux 主机启用防火墙(kubernetes 服务主机除外)，防火墙区域为 public，

在防火墙中放行对应服务端口。

（3）所有 linux 主机之间(包含本主机)root 用户实现密钥 ssh 认证，禁用密码认证。

（4）利用 chrony，配置 linux1 为其他 linux 主机提供 NTP 服务。

（5）利用 bind，配置 linux1 为主 DNS 服务器，linux2 为备用 DNS 服务器，为所有 linux

主机提供冗余 DNS 正反向解析服务。正向区域文件均为/var/named/named.skills，反向区域

文件均为/var/named/named.10。

（6）配置 linux1 为 CA 服务器,为 linux 主机颁发证书。证书颁发机构有效期 10 年，公

用名为 linux1.skills.lan。申请并颁发一张供 linux 服务器使用的证书，证书信息：有效期

=5 年，公用名=skills.lan，国家=CN，省=Beijing，城市=Beijing，组织=skills，组织单位

=system，使用者可选名称=*.skills.lan 和 skills.lan。将证书 skills.crt 和私钥

skills.key 复制到需要证书的 linux 服务器/etc/pki/tls 目录。浏览器访问 https 网站时，

不出现证书警告信息。

（三） ansible 服务

【任务描述】 请采用 ansible，实现自动化运维。

在 linux1 上安装系统自带的 ansible-core，作为 ansible 控制节点。linux2-linux9 作

为 ansible 的受控节点。

（四） apache2 服务

【任务描述】 请采用 Apache 搭建企业网站。

（1）配置 linux1 为 Apache2 服务器，使用 skills.lan 或 any.skills.lan (any代表任

意网址前缀，用 linux1.skills.lan 和 web.skills.lan 测试)访问时，自动跳转到

www.skills.lan。禁止使用 IP 地址访问，默认首页文档/var/www/html/index.html 的内容

为"HelloApache"。把/etc/pki/tls/skills.crt 证书文件和/etc/pki/tls/skills.key 私钥

文件转换成含有证书和私钥的 /etc/pki/tls/skills.pfx 文件；然后把

/etc/pki/tls/skills.pfx 转换为含有证书和私钥的/etc/pki/tls/skills.pem 文件，再从

/etc/pki/tls/skills.pem 文件中提取证书和私钥分别到/etc/pki/tls/apache.crt 和

/etc/pki/tls/apache.key。

（2）客户端访问 Apache 服务时，必需有 ssl 证书。

（五） nginx 和 tomcat 服务

【任务描述】 配置 nginx 和 tomcat 服务

（1）利用系统自带 openjdk 和 tomcat，搭建 Tomcat 动态网站。配置 linux2 为 nginx 服

务器，默认文档 index.html 的内容为“HelloNginx”；仅允许使用域名访问，http 访问自动

跳转到 https。利用 nginx 反向代理，实现 linux3 和 linux4 的 tomcat 负载均衡，通过

https://tomcat.skills.lan 加密访问 Tomcat，http 访问通过 301 自动跳转到 https。

（2）配置 linux3 和 linux4 为 tomcat 服务器，网站默认首页内容分别为“tomcatA”和

“tomcatB”，采用修改配置文件端口形式，仅使用域名访问 80 端口 http 和 443 端口 https。

（六） samba 服务

【任务描述】 请采用 samba 服务，实现资源共享。

（1）在 linux3 上创建 user00-user19 等 20 个用户；user00 和 user01 添加到 manager

组，user02 和 user03 添加到 dev 组。把用户 user00-user03 添加到 samba 用户。

（2）配置linux3为samba服务器,建立共享目录/srv/sharesmb，共享名与目录名相同。

manager 组用户对 sharesmb 共享有读写权限，dev 组对 sharesmb 共享有只读权限；用户对自

己新建的文件有完全权限，对其他用户的文件只有读权限，且不能删除别人的文件。在本机

用 smbclient 命令测试。

（3）在 linux4 修改/etc/fstab,使用用户 user00 实现自动挂载 linux3 的 sharesmb 共

享到/sharesmb。

（七） nfs 服务

【任务描述】 请采用 nfs，实现共享资源的安全访问。

（1）配置 linux2 为 kdc 服务器，负责 linux3 和 linux4 的验证。

（2）在 linux3 上，创建用户，用户名为 xiao，uid=2222，gid=2222，家目录为

/home/xiaodir。

（3）配置 linux3 为 nfs 服务器，目录/srv/sharenfs 的共享要求为：linux 服务器所在

网络用户有读写权限，所有用户映射为 xiao，kdc 加密方式为 krb5p。

（4）配置 linux4 为 nfs 客户端，利用 autofs 按需挂载 linux3 上的/srv/sharenfs 到

/sharenfs 目录，挂载成功后在该目录创建 test 目录。

（八） kubernetes 服务

【任务描述】 请采用 kubernetes 和 containerd，管理容器。

（1）在 linux5-linux7 上安装 containerd 和 kubernetes，linux5 作为 masternode，

linux6 和 linux7 作为 worknode；使用 containerd.sock 作为容器 runtime-endpoint。master

节点配置 calico 作为网络组件。

（2）导入 nginx.tar 镜像，主页内容为“HelloKubernetes”。用该镜像创建一个名称

为 web 的 deployment，副本数为 2；为该 deployment 创建一个类型为 nodeport 的 service，

port 为 80，targetPort 为 80，nodePort 为 30000。

（九） iscsi 服务

【任务描述】 请采用 iscsi，搭建存储服务。

为 linux8 添加 4 块磁盘，每块磁盘大小为 5G，创建 lvm 卷，卷组名称为 vg1，逻辑卷名

称为 lv1，容量为全部空间，格式化为 ext4 格式。使用/dev/vg1/lv1 配置为 iSCSI 目标服务

器，为 linux9 提供 iSCSI 服务。iSCSI 目标端的 wwn 为 iqn.2008-01.lan.skills:server，

iSCSI 发起端的 wwn 为 iqn.2008-01.lan.skills:client1.配置 linux9 为 iSCSI 客户端，实

现 discoverychap 和 sessionchap 双向认证，Target 认证用户名为 IncomingUser，密码为

IncomingPass；Initiator 认证用户名为 OutgoingUser，密码为 OutgoingPass。修改

/etc/rc.d/rc.local 文件开机自动挂载 iscsi 磁盘到/iscsi 目录。

（十） mariadb 服务

【任务描述】 请安装 mariadb 服务，建立数据表。

（1）配置 linux3 为 mariadb 服务器，创建数据库用户 xiao，在任意机器上对所有数据

库有完全权限。创建数据库 userdb；在库中创建表 userinfo，表结构如下：

数据库信息表

（2）在表中插入 2 条记录，分别为(1,user1,1.61,2000-07-01，M)，(2,user2，

1.62,2000-07-02，F)，password 字段与 name 字段相同，password 字段用 md5 函数加密。

（3）新建/var/mariadb/userinfo.txt 文件，文件内容如下，然后将文件内容导入到

userinfo 表中，password 字段用 md5 函数加密。

3,user3,1.63,2000-07-03,F,user3

4,user4,1.64,2000-07-04,M,user4

5,user5,1.65,2000-07-05,M,user5

6,user6,1.66,2000-07-06,F,user6

7,user7,1.67,2000-07-07,F,user7

8,user8,1.68,2000-07-08,M,user8

9,user9,1.69,2000-07-09,F,user9

（4）将表 userinfo 中的记录导出，并存放到/var/mariadb/userinfo.sql，字段之间用

','分隔。

（5）为 root 用户创建计划任务（day 用数字表示），每周五凌晨 1:00 备份数据库 userdb

（含创建数据库命令）到/var/mariadb/userdb.sql。（为便于测试，手动备份一次。）

（十一） podman 服务

【任务描述】 请采用 podman，实现容器虚拟化技术。

（1）在 linux3 上安装 podman，导入 rockylinux-9.tar 镜像。

（2）创建名称为 skills 的容器，映射本机的 8000 端口到容器的 80 端口，在容器内安

装 httpd，默认网页内容为“HelloDocker”。

（3）导入 registry.tar 镜像，创建名称为 registry 的容器。修 rockylinux 镜像的 tag

为 linux3.skills.lan:5000/rockylinux:9，上传该镜像到私有仓库。

【任务描述】 搭建开发环境。

（1）在 linux4 上搭建开发环境。

（2）利用系统 iso 文件，搭建 c 语言、c++。

第六部分：网络运维（ 10 分）

某单位网络拓扑架构如下，交换机连接两台服务器，其中Server1服务器是数据取证服务

器，Server2服务器是应急响应服务器，通过交换设备相连，通过路由设备连接到安全设备防

火墙，单位的网络拓扑结构如下图所示。

 网络运维网络拓朴结构图

网络设备IP地址分配表

1．网络排错

网络按照表中要求已经搭建完成，现在有如下故障：

L3_SW1上交换机需要设置三层网络，现在三层直连路由无法ping通，但是查看接口的状

态发现，接口物理状态都是up的，请分析原因并且故障排除。

拓扑中R1路由器与交换机所在的服务器网段通信异常，请分析故障排除。

Firewall防火墙日志收到了来自内网的ddos攻击，请分析日志将相关的攻击者/或者网络

运维人员误操作引起的攻击流量找出，并设置黑名单策略，请分析日志并进行故障排除。

2．数字取证

Server1服务器上出现了黑链，并且入侵者已经将服务器上的痕迹清除，无法在服务器上

进行溯源，恰好在前端的防火墙的开启了数据包分析功能。请你在数据包中进行取证工作，

找到入侵者的信息。

（1）通过对数据包的分析找到黑客的攻击机IP，并将他作为Flag提交；（格式：

[192.168.1.1]）

（2）通过对数据包的分析找到黑客扫描服务器的命令，将服务器开放的端口作为Flag提

交；端口从小到大排序提交（格式：[21,22,23,24]）

3．应急响应

防火墙的日志中出现了webshell警告，Server2服务器上出现了webshell连接情况，管理

员已经将服务器进行了安全隔离。请登陆到服务器上，对webshell情况进行排查。

（1）在服务器上找到webshell文件，并将webshell的文件名作为flag提交；（格式：

[abc.xxx]）

（2）在服务器上找到上传webshell的上传方式和时间，将webshell上传的时间作为flag

进行提交；（格式：[10/Apr/2020:09:35:41]）

第七部分：职业素养（ 5 分）

1. 团队合作默契，做好个人防护；

2. 科学专业施工，耗材做到最简；

3. 整理赛位，工具、设备归位，保持赛后整洁有序；

4. 无因参赛选手的原因导致设备损坏等。