山西省职业院校技能大赛 赛项规程(学生组)
赛项名称: 网络系统管理 英文名称: Network Systems Administration 赛项组别: 高等职业教育 赛项编号: GZ073
一、赛项信息
赛项组别
□ 中等职业教育 ☑高等职业教育
☑学生赛 ( □ 个人/☑团体) □ 教师赛(试点) □ 师生同赛(试点)
涉及专业大类、专业类、专业及核心课程
专业大类 专业类 专业名称 核心课程
(对应每个专业,明确涉及的专业核心课程)
51 电子与 信息大类
5102 计算机 类 510201 计算机 应用技术 路由交换技术、局域网组网技术、网络 安全技术
510202 计算机 网络技术 路由交换技术、网络运行与管理、网络 系统集成、网络安全设备配置与管理、 Linux 操作系统管理、SDN 技术
510206 云计算 技术应用 虚拟化技术与应用、云网络技术与应用、 云计算开发服务平台技术与应用、云计 算网络技术与应用
510207 信息安 全技术应用 操作系统安全、网络安全设备配置、交 换路由组网技术
5103 通信类 510307 智能互 联网络技术 智能互联网设计与规划、网络设备配置 与管理
510308 网络规 划与优化技术 网络设计与规划、网络运行与管理、网 络优化技术
对接产业行业、对应岗位(群)及核心能力
产业行业 岗位(群) 核心能力
(对应每个岗位(群),明确核心能力要求)
新一代信息 技术
网络技术支持 网络系统集成 网络系统运维 1.掌握中小型网络和无线局域网的规划设计、设 备选型,以及网络设备的安装、配置、调试和排 错等技术技能以及技术文档撰写能力;
2.掌握服务器、云平台、虚拟化的部署、配置、 调试和管理等技术技能;
3.掌握网络安全软硬件的安装配置和调试、检测 与防护、网络攻击防御、网站管理维护、数据库 管理、备份与恢复等技术技能;
4.掌握无线局域网规划和设计知识,会进行无线 局域网的勘测与设计、无线局域网的部署;会进 行无线局域网的管理与优化
网络应用开发 网络自动化运维 1.掌握网络自动化运维环境配置;
2. 了解网络自动化运维工具的使用方法;
3.掌握自动化运维软件的开发,掌握 Python 编 程、网络自动化运维等技术技能,具有初步的网 络自动化运维能力
智能互联网络设备装调 与维护
智能系统部署与运维 1.对拟建设的智能互联网工程项目进行可行性 分析,并编制完成对应的项目可行性研究报告; 2.根据项目建设内容,进行勘察准备,并完成实 地勘察,选择合适的需求调研方法,对项目建设 需求进行调研与分析;
3.根据项目前期资料,按照项目建设内容编制设 计方案、绘制施工图、编制预算清单等;
4.完成项目总结文档与汇报
培训、环境、资料、考证
公众号:Geek极安云科
世界职业院校技能大赛交流群:868026997
网络安全-信安评估群:624032112
网络系统管理群:223627079
网络建设与运维群①:870959784
网络建设与运维群②:668078897
短视频制作:253603046
软件测试:779898545
大数据与应用:765856016
水利工程制图:498521685
云计算:530577245
移动应用设计与开发:531112687
极安云科专注于技能提升,赋能
2024年世界职业院校技能大赛争夺赛一等奖2所、二等奖3所、三等奖4所院校获奖!
2024年广东省高校的技能提升,受赋能的客户院校均获奖!
2024年江苏省赛一二等奖前13名中,我们赋能客户占五支队伍!
2024年湖南省赛赋能三所院校均获奖!
2024年山东省赛赋能两所院校均获奖!
2024年湖北省赛赋能参赛院校九支队伍,共计斩获一等奖2项、三等奖7项!
网络安全运维
网络设备配置与安全 1. 能够使用主流 Windows 和 Linux 操作系统,按 企业业务的安全需求,进行安全加固;
2.具有选择和安装网络操作系统能力,能实施用 户管理、资源配置与管理、电子邮箱配置与维护 等各类应用服务器部署能力;
3.具备网络安全规划、网络安全设备安装、安全 策略配置、设备管理维护等网络安全防护综合能 力;
4. 能够按照操作系统的安全基线要求,对操作系 统的配置进行安全检查,发现存在的安全问题,
并提出相应的解决方案;
- 能够根据客户需求制定安全产品的实施方案, 并根据实施方案对信息安全产品进行安装调试
云计算平台部署与运维 云计算应用开发
云计算技术支持服务 1. 能独立实施云平台网络规划,按照用户需求搭 建和实施云计算平台组网;
2. 能独立实施云平台网络虚拟化构建,完成云平 台的服务运维搭建;
3.掌握软件定义网络部署与运维服务知识,实施 网络自动化运维和应用;
4.掌握自动化运维的脚本编写语言 Python;能实 现自动化运维的服务功能开发;
5.掌握网络自动化运维维护方案,掌握 Shell 脚 本、lib 库、Ansible 自动化运维程序开发等,实 施运维软件开发与部署,实现程序维护
二、竞赛目标
1.推进“网络大国”向“网络强国”迈进的战略
自党的十八届五中全会通过“十三五”规划建议,首次明确提出实 施网络强国战略以来,我国网络基础设施建设突飞猛进,已达到世界 一流水平,成为名副其实的网络大国。党的二十大报告对加快建设网 络强国、数字中国作出了重要部署。建设网络强国不仅需要实现网络 科技创新的帅才、将才,更需要成千上万懂技术、精技能、善运维的 能工巧匠。故面向计算机网络技术及相关专业,开设此赛项。
2.对接产业,引入新技术,服务于数字中国的战略发展
本赛项立足于新一代信息技术领域的信息化网络工作场景,围绕 网络构建、服务部署等网络技术,考察参赛选手核心专业能力,培养
具备行业特质、工匠精神的高素质技术技能人才和能工巧匠,提升职 业院校师生技术技能水平,更好地服务于数字中国的战略发展。
3.深化产教融合,引领网络技术专业群的高水平发展
积极发挥大赛的示范和引领作用,通过大赛对接相应 1+X 职业 技能等级证书,对接最新的专业教学标准,推进“ 岗课赛证” 综合育人; 通过大赛引导更多的行业、企业参与校企合作,深化产教融合,引领 计算机网络技术及相关专业高质量改革与高水平发展。
三、竞赛内容
本赛项基于企业真实项目和工作任务,结合企业岗位对学生职业 技能的最新需求,要求选手在规定时间内完成项目需求分析与网络设 计规划、网络设备配置、企业网络服务与应用部署、网络运维管理等 典型工作任务,考察选手在信息化网络领域的职业素养、专业技能、 创新意识等能力。
本竞赛只考核技能,不涉及理论,考核点如下表所示。本竞赛总 计 1000 分,最终核算为 100 分。
考核模 块 考核任务 分值 技能描述
网络 构建 基础网络 配置
25 1.根据要求完成网络设备名称、接 口、远程登录等配置; 2.完成网络测试和验证
有线网络 配置
250 1.按照需求配置 VLAN 、生成树、端口安全等;
2.按照需求配置 DHCP 服务、DHCP 中继与 DHCP 防御等; 3.按照网络规划配置静态、RIP 、OSPF 、BGP 等路由技术; 4.按照需求配置 IPv6 地址、IPv6 路由及各种隧道;
5.按照需求配置链路聚合、DLDP、设备虚拟化、MSTP+VRRP
等;
6.按照需求配置 L2 MPLS ,L3 MPLS 等 VPN 技术; 7.按照数据分流需求配置策略路由、路由策略等
无线网络 配置
100 1.完成无线网络规划、设计 AP 点位图、输出热图; 2.按照需求配置 SSID 、转发模式、冗余模式等;
3.按照需求配置 AP 隔离、流量限制、身份认证等
出 口 网络 配置
80 1.按照需求配置网络地址转换;
2.按照需求配置出口认证、流量控制;
3.按照需求配置 L2TP 、GRE 、IPsec 等技术
SDN 网络 配置
80 1.配置网络设备相关技术对接 SDN 控制器;
2. 管理设备流表制定、下发、维护、调用 API 等
网络运维 配置
40 1.配置网络设备相关技术对接运维管理平台;
2.使用运维管理平台监控和维护网络设备运行状态
职业规范
25 1.遵循企业生产“6S ”管理规范(整理、整顿、清扫、清洁、 素养和安全);
2.遵守赛场纪律,提交规范文档
服务 部署 Windows 基 础配置
40 按照需求完成操作系统主机名称、IP 地址、用户登录密码等基 础配置
Windows 服 务部署
70 按照需求完成 AD、DNS、Web、DFS、VPN、虚拟化、PowerShe11 脚本、Python 脚本等配置
Windows 运 维管理
40 1.配置系统网管参数对接网络运维管理平台;
2.使用网络自动化运维软件监控与维护 Windows 系统
Linux 基础 配置
50 按照需求完成操作系统主机名称、IP 地址、用户登录密码等基 础配置
Linux 服务 部署
135 1.按照需求完成 E-MAIL 、RAID 、防火墙、MariaDB 、iSCSI、 虚拟化、Shell 脚本、Python 脚本等配置;
2.使用服务器群集技术来实现网络的负载均衡、故障转移、群 集管理等
Linux 运维 管理 40 1.配置系统网管参数对接网络运维管理平台;
2.使用网络自动化运维软件监控与维护 Linux 系统
职业规范
25 1.遵循企业生产“6S” 管理规范; 2.遵守赛场纪律,提交规范文档
网络系统管理赛项基于企业真实项目,结合工作岗位技能需求, 在累计 6 小时内,完成指定的网络构建和服务部署。
模块 主要内容 比赛时长 分值
模块 A
网络构建 网络设备基础、有线网络构建、无 线网络构建、出 口网络配置、SDN 网络配置、网络运维管理
3小时
60%
模块 B 服务部署 Windows 及 Linux 操作系统典型应 用安装、配置、测试及运维管理
3小时
40%
四、竞赛方式
本赛项竞赛形式为线下比赛。组队方式为团队赛,每支参赛队由 2 名选手组成。参赛选手须为我省/市高职院校全日制在籍注册学生、 本科院校高职类全日制(一至三年级)在籍注册学生、五年制高职(四、 五年级)在籍注册学生。同一学校参赛队不超过 2 队,不得跨校组队。
在第十六、十七届职业院校技能大赛中获得本赛项一等奖的选 手,不能报名参赛。
指导教师须为本校专兼职教师,每支参赛队限报 2 名指导老师。
五、竞赛流程
比赛赛程 1 天,采用轮换场次方案进行,即 A、B 两个模块同时 进行比赛,由选手在赛前进行抽签决定模块顺序。
1.竞赛流程图
竞赛流程如图 1 所示。
图 1 竞赛流程图
2.竞赛时间表
竞赛时间安排如下表。
日期 时间 事项 参加人员
比赛 前一天 14:40 各参赛队报到 领队、指导老师、选手
15:00-16:00 开幕仪式 领队、指导老师、选手裁判 长、裁判员
16:00-16:30 领队会议
抽取竞赛场次和检录号 领队
16:30-17:00 裁判员会议 裁判长、裁判员
参赛队熟悉比赛场地 领队、指导老师、选手
比赛 当天 8:00-8:30 第一段:入场检录、赛 位抽签、竞赛环境确认 学生组参赛选手
8:30-11:30 正式比赛 学生组参赛选手
11:30-12:00 监考裁判收集资料 学生组参赛选手
12:00-13:30 午餐、休息 全体人员
13:30-14:00 第二段:入场检录、赛 位抽签、竞赛环境确认 学生组参赛选手
14:00-17:00 正式比赛 学生组参赛选手
17:00-17:30 监考裁判收集资料 学生组参赛选手
六、竞赛规则
1.参赛选手须为高职院校全日制在籍注册学生、本科院校高职类 全日制(一至三年级)在籍注册学生、五年制高职(四、五年级)在 籍注册学生。在第十六、十七届职业院校技能大赛中获得本赛项一等 奖的选手,不能报名参赛。
2. 比赛工位通过抽签决定,比赛期间参赛选手原则上不得离开比 赛场地。
3.竞赛所需的硬件、软件和辅助工具统一提供,参赛队不得使用 自带的任何具有存储和通讯功能的设备,如硬盘、光盘、U 盘、手
机、随身听、智能手表、PDA 等。
4.参赛选手在赛前 20 分钟,领取比赛任务,并进入比赛工位。 比赛正式开始后方可进行相关操作。
5.在比赛过程中,参赛选手如有疑问,应举手示意,现场裁判应 按要求及时予以答疑。如遇设备或软件等故障,参赛选手应举手示意, 现场裁判、技术人员等应及时予以解决。确因计算机软件或硬件故障, 致使操作无法继续,经裁判长确认,予以启用备用设备。
6. 比赛时间结束,选手应全体起立,结束操作。经工作人员查收 清点所有文档后方可离开赛场,离开赛场时不得带走任何资料。
7.赛项裁判应严格遵守赛项各项规章制度,比赛当天应上交所有 通信设备,由赛项执委会统一保管,直至赛项成绩评定结束。
8. 比赛结束,经加密裁判对各参赛选手提交的竞赛结果进行第三 次加密后,评分裁判方可入场进行成绩评判。最终竞赛成绩经复核无 误,由裁判长、监督长签字确认后,将纸质打印成绩单报送大赛组委 会,并以纸质形式向全体参赛队进行公布。
9.本赛项各参赛队最终成绩,由本赛项信息员录入赛务管理系统 并将录入的成绩导出打印,经赛项裁判长审核无误后,签字确认,同 时报送大赛执委会并将电子版上传赛务管理系统。
10.赛项结束后,专家工作组根据判分情况,分析参赛选手对各 知识点、技术的掌握程度,并将分析报告报备大赛执委会,执委会根 据实际情况适时公布。
11.赛项中裁判判分的原始材料和最终成绩等结果性材料,经监
督仲裁组人员和裁判长签字后,装袋密封留档;并由赛项承办院校封 存,委派专人妥善保管。
七、技术规范
竞赛项目的命题依据企业职业岗位对人才培养需求,并参照下表 中相关国家职业技术标准和规范制定。具体规范如下表所示。
序号 标准号 中文标准名称
1 GB/T 18018-2019 信息安全技术 路由器安全技术要求
2 GB 50174-2017 电子信息系统机房设计规范
3 YD/T 1764-2008 IP 网络管理层功能要求
4 GB/T 21050-2007 信息安全技术 网络交换机安全技术要求
5 GB 21671-2018 基于以太网技术的局域网系统验收测评规范
6 GB 50348-2018 安全防范工程技术标准
7 GB/T 18729-2011 基于网络的企业信息集成规范
8 GB/T 22239-2018 信息系统安全等级保护基本要求
9 GB 50174-2017 数据中心设计规范
10 GB/T 36463.1-2018 信息技术服务 咨询设计第 1 部分:通用要求
11 GB/T 36463.2-2019 信息技术服务 咨询设计第 2 部分:规划设计指南
12 GB/T 28827.1-2012 信息技术服务 运行维护第 1 部分:通用要求
13 GB/T 28827.2-2012 信息技术服务 运行维护第 2 部分:交付规范
14 GB/T 28827.3-2012 信息技术服务 运行维护第 3 部分:应急响应规范
15 GB/T 28827.4-2019 信息技术服务 运行维护第 4 部分:数据中心服务要求
16 GB/T 28827.6-2019 信息技术服务 运行维护第 6 部分:应用系统服务要求
17 GB/T 29264-2012 信息技术服务 分类与代码
18 GB/T 20272-2019 信息安全技术 操作系统安全技术要求
19 YD/T 1170-2001 IP 网络技术要求 网络总体
20 YD/T 1381-2005 IP 网络技术要求 网络性能测量方法
八、技术环境
(一)赛场环境
竞赛现场设置包括参赛选手竞赛区、技术支持工作间、备件耗材 间、现场裁判工作间等。现场保证良好的采光、照明和通风,提供稳 定的水、电和供电应急设备,同时提供指导教师休息场所。
1.竞赛区
每个工位面积在 5 ㎡ 左右,确保参赛队之间互不干扰。每个工 位配备耗材箱 1 个(内附相关耗材)、桌子 1 张(600*1800cm)、 椅子 2 把。赛场要求竞赛过程全程无死角视频监控。环境标准要求 保证赛场采光(大于 500lux)、照明和通风良好,温度适宜;提供稳 定的电,并提供应急的备用电源。
2.技术支持工作间
为技术支持人员提供一间工作间,为参赛选手竞赛提供技术支 持,分析测试比赛中的问题,需要配备电脑(2 台),打印机(1 台) 及相关纸张。
3.备件耗材间
提供 40 ㎡ 左右房间一间、要求通风、干燥、靠近赛场。
4.现场裁判工作间
为现场裁判提供一间工作间,打印现场裁判表单,需要配备电脑 (2 台),打印机(1 台)及相关纸张。
(二)技术平台环境 1.PC
(1)PC(用于 A 模块-网络构建)
序号 设备名称 说明 单位 数量
1
高性能PC CPU: Intel i7 及以上
内存:64G 及以上
硬盘:512G 的 SSD 固态硬盘及以上
网卡:千兆网卡(1 块)、无线网络适配器 (1 块)、 自带串口用于连接调试线缆
台
2
2 显示器 19 英寸及以上 台 2
(2)PC(用于 B 模块-服务部署)
序号 设备名称 说明 单位 数量
1
高性能PC CPU: Intel i5 及以上
内存:32G 及以上
硬盘:512G 的 SSD 固态硬盘及以上
网卡:千兆网卡(1 块)
台
2
2 显示器 19 英寸及以上 台 2
2. 硬件设备
序号 设备 型号 单位 数量
1 路由器 WAN口不少于4个千兆电 口、LAN口不少于
24 个千兆电 口,含电源模块 台 3
2 数据中心交换机 千兆电口不少于24个,万兆光口不少于4 个,含光纤及万兆光模块,含电源模块 台 2
3 三层可控交换机 千兆电口不少于24个,万兆光口不少于4 个, 含电源模块 台 3
4 二层可控交换机 千兆电口不少于24个,万兆光口不少于4 个,含电源模块 台 2
5 网关 千兆电口不少8个,含电源模块 台 2
6 无线控制器 千兆电口不少8个,光口不少于2个,可管 理 AP License不少于32个,含电源模块 台 2
7 无线接入设备 胖、瘦一体AP,含POE电源模块 台 3
3.软件环境
序号 软件名称 版本 单位 数量
1 Windows Server Windows Server 2022 Data Center 中文版 套 1
2 Windows Windows 10 Enterprise 中文版 套 1
3 CentOS Linux Version 7 及以上 套 1
4 国产操作系统 UOS Union techos-server-20 套 1
5 SDN 控制器 SDN 控制器软件(支持不少于 10 个节点网络) 套 1
6 网络运维平台 网络运维平台(支持不少于 20 个节点网络) 套 1
7 虚拟化云平台 VMware Workstation Pro 17 及以上 套 1
8 VPNClient OPENVPN 2.4 及以上 套 1
9 Zabbix-Agent Zabbix-Agent 3.4 及以上 套 1
10 Office WPS Office Version 2022 及以上 套 1
11 Putty Version 0.7 及以上 套 1
12 Folder2iso Version 3.1 及以上 套 1
13 Tftpd Version 4.6 及以上 套 1
14 无线地勘系统 无线地勘系统(支持输出无线热图) 套 1
15 身份认证系统 身份认证系统(支持不少于 5 个终端接入) 套 1
16 解压缩软件 RAR4.0 及以上 套 1
17 PDF 阅读器 Adobe Reader X11 及以上 套 1
18 网络调试工具 SecureCRT8.1 及以上 套 1
19 截图工具 FScapture6.5 以上 套 1
20 FTP 客户端 FlashFXP5.4 以上 套 1
21 浏览器 Firefox 85 以上 套 1
22 Remote Viewer Remote Viewer 0.2 以上 套 1
23 virt-viewer virt-viewer 9.0 以上 套 1
24 绘图工具 Visio 2013 以上 套 1
九、竞赛样题
见附件。
十、赛项安全
1.赛项组织安全
成立由赛项执委会主任为组长的赛项安全保障小组,成员包括承 办院校主抓安全的校领导、学生工作处、后勤处、保卫处、合作企业 技术工程师等相关人员。与地方行政、交通、司法、安全、消防、卫 生、食品、质检等相关部门建立协调机制,制定应急预案,及时处置 突发事件,保证比赛安全进行。
2.赛项管理安全
(1)赛项合作企业提供的器材、设备应符合国家有关安全规定,
并在比赛现场安排技术支持人员,保障赛项设备安全稳定。
(2)在竞赛赛位张贴安全操作说明,并由裁判长在比赛开始前
10 分钟宣读安全操作说明。
(3)赛题在具有相关印刷资质的印刷企业进行印刷,并第一时 间由安保人员送往承办校具有双锁保密室的保密铁柜内,由赛项执委 会指定专人和保密室负责人共同负责保管。
(4)赛题领取人必须由专人在赛项监督人员的监督下于考前 30 分钟内到保密室领取试卷,并核对好数量,查验试卷的密封是否完整, 做好移交工作。
(5)竞赛用的所有赛题、成绩评定过程材料等都要回收,并妥 善保存在赛项承办院校。
(6)赛项所有裁判与参赛队住宿须在不同酒店。在竞赛一次加 密前30 分钟,由竞赛执委会工作人员收缴裁判所有通信设备,直至 竞赛成绩发布后再归还裁判。
(7)竞赛期间,除现场裁判外,其余裁判由竞赛执委会统一安 排休息场所。在此期间,裁判人员不得随意出入,避免与参赛队代表 取得联系。
3.赛项环境安全
(1)保证各通道口畅通,并配备专门人员看守,控制无关人员 进入场地,控制人员流量和赛场观众饱和度,张贴安全警示标识。
(2)赛场周围设立警戒线,防止无关人员进入,发生意外事件。 所有参赛人员必须凭赛项执委会印发的有效证件进入场地。
(3)对社会观众,安全保障小组适当进行合法、合理的询问检 查,对携带可疑物品包裹,又拒绝询问检查的观众,安全保障小组将 禁止其入内。
(4)安全保障小组随时对赛场进行巡查、监督,确保安全。
(5)配备必要的医护人员和医疗药品,有应急抢救预案。
(6)未经赛项执委会允许批准,严禁任何人在比赛场地私拉各 种电源线。
(7)设置突发事件应急疏散示意图。如遇特殊情况,则服从大 赛统一指挥。
十一、成绩评定
(一)评分原则
1.客观性结果评分原则
采用与行业真实项目相对接,不仅检查命令和过程配置,还需要 检测功能点是否实现。客观性结果评分依据目标功能实现的配置状 态、 Web 截图状态、功能性状态测试等进行。通过对结果进行客观 性评分,深入考查学生对重要功能的理解是否深入,规避死记硬背, 以此更能突显赛项过程与真实工作接轨的目的。
2.三次加密原则
比赛过程采取三次加密,通过抽取参赛编号、工位号和竞赛成果 号,屏蔽参赛队信息,每个环节设置一名独立裁判,每个环节结束后, 数据立即封存于裁判长处,加密裁判直接隔离,确保成绩评定公平、 公正。
3.独立评分原则
根据裁判分工,负责相同模块评分工作的不同裁判,采取随机抽 签独立评分,确保成绩评定严谨、客观、准确。裁判进行随机抽签分 组,杜绝主观意愿组队,各自完全独立评分,裁判员间互不干涉,比 赛监督人员可随机监督。
4.错误不传递原则
各环节分别计算得分,错误不传递,按规定比例计入选手总分。
5.抽查复核原则
(1)为保障成绩评判的准确性,监督仲裁组对赛项总成绩排名 前 30%的所有参赛队伍(选手)的成绩进行复核;对其余成绩进行抽 检复核,抽检覆盖率不得低于 15%。
(2)监督仲裁组将复检中发现错误,以书面方式及时告知裁判 长,由裁判长更正成绩,签字确认。
(3)复核、抽检错误率超过 5%的,则认定为非小概率事件, 裁判组需对所有成绩进行复核。
(二)评分方法
1.竞赛满分为 1000 分,最终成绩换算为百分制进行排名。 2.评分成绩=A 模块得分+ B 模块得分。
3. 竞赛采取三次加密。第一次加密裁判组织参赛选手第一次抽 签, 抽取参赛编号,替代选手参赛证等个人信息;第二次加密裁判 组织参赛选手进行第二次抽签,确定赛位号,替换选手参赛编号;第 三次加密裁判对各参赛队竞赛结果进行加密,替换赛位号。三次加密
信息由不同加密裁判密封后保管,在评分结束后进行解密并统计成 绩。
4.竞赛对参赛选手提交的结果采取客观性结果评分。采取分步得 分、累计总分的计分方式。各环节分别计算得分,错误不传递,按规 定得分计入总分。根据赛题情况划分模块,每二名裁判负责一个子模 块进行独立评分。裁判长参考我省大赛制度相关要求,在竞赛结束规 定的时间内提交评分结果,经复核无误,由裁判长、监督仲裁组签字 确认后公布。
5.裁判长正式提交评分结果并复核无误后,加密裁判在监督人员 监督下进行三层解密:竞赛结果编号到赛位号解密;赛位号到参赛编 号解密;参赛编号到参赛选手名解密。
6. 为保障成绩评判的准确性,监督仲裁组对赛项总成绩排名前 30%的所有参赛队伍的成绩进行复核;其余成绩进行抽检复核,抽检 覆盖率不低于 15%。
7. 监督仲裁组在复检中发现错误,需以书面形式及时告知裁判 长, 由裁判长更正成绩并签字确认。如复核、抽检错误率超过 5%, 裁判组需对所有成绩进行复核。
8.在竞赛过程中,参赛选手如有不服从裁判裁决、扰乱赛场秩序、 舞弊等行为的,由裁判长按照规定扣减相应分数,情节严重的将取消 比赛资格,比赛成绩计 0 分。
十二、奖项设置
以赛项实际参赛队总数为基数,设立一、二、三等奖,获奖比例
分别为 10% 、20% 、30%(小数点后四舍五入)。
如出现参赛队总分相同情况,按照 A 模块得分高低排序。
十三、赛项预案
(一)应急预案
比赛期间发生意外事故,应第一时间报告赛项执委会,同时采取 措施避免事态扩大。赛项执委会应立即启动预案予以解决并报告赛区 执委会。赛项出现重大安全问题由赛区执委会决定是否停赛,并由赛 区执委会向大赛执委会报告。
相关应急预案如下表。
突发事件 预防措施 事件发生后应对措施
参赛选手发病 或受伤
在各工位张贴安全操作说明 现场医务人员应采取紧急救护措
施,如病情 或伤势严重,应及时
送往最近医院进行救治
人员发生食物 中毒
比赛期间指定的住宿/餐饮场
地符合国家相关资质要求。并
配有专门的医疗救援团队 现场医护人员立即组织对中毒人
员进行救治,必要时送往最近医院
进行检查治疗。 时对可疑的食品
、饮水及其有关原料、工具设备和
场所以及可能受污染的区域采取
保留、控制措施,组织开展现场调
查,并及时向大赛执委会报告
赛场停电 提前准备紧急供电车 如发生赛场停电,立刻切换到紧急 供电车
(二)处罚措施
- 因参赛队伍原因造成重大安全事故的,取消其获奖资格。
2.参赛队伍有发生重大安全事故隐患,经赛场工作人员提示、警 告无效的,可取消其继续比赛的资格。
3.赛事工作人员违规的,按照相应的制度追究责任。情节恶劣并
造成重大安全事故的,由司法机关追究相应法律责任。
十四、竞赛须知
(一)参赛队须知
1.参赛队名称。统一使用学校队名称;同一学校报名参赛队不超 过 2 支。
2.参赛选手及指导教师在报名获得确认后,原则上不再更换。如 在筹备过程中,参赛选手因故不能参赛,须由所在省级教育主管部门 于赛项开赛 10 个工作日之前出具书面说明,经大赛执委员会办公室核 实后予以更换。竞赛开始后,参赛队不得更换参赛选手,允许参赛选 手缺席比赛。不允许更换新的指导教师,允许指导教师缺席。
3.各学校组织代表队时,须安排为参赛选手购买大赛期间的人身 意外伤害保险。
(二)指导教师须知
1.指导教师应该根据专业教学计划和赛项规程合理制定训练方 案,认真指导选手训练,培养选手的综合职业能力和良好的职业素养, 避免为赛而学、以赛代学的功利化思想。
2.指导老师应及时查看大赛专用网页有关赛项的通知和内容,认 真研究和掌握本赛项竞赛的规程、技术规范和赛场要求,指导选手做 好赛前的一切技术准备和竞赛准备。
3.指导教师应该根据赛项规程要求做好参赛选手保险办理工作, 并积极做好选手的安全教育。
4.指导教师参加赛项观摩等活动,不得违反赛项规定进入赛场,
干扰比赛正常进行。
(三)参赛选手须知
1.竞赛选手严格遵守赛场规章、操作规程和工艺准则,保证人身 及设备安全,接受裁判员的监督和警示,文明竞赛。
2.参赛选手在检录时需将身份证、学生证、参赛证等身份证件交 由检录人员统一保管,不得带入场内。
3.参赛选手进入赛场,不允许携带任何书籍和其他纸质资料(相 关技术资料的电子文档由组委会提供),不允许携带通信工具和存储 设备(如 U 盘)。竞赛统一提供计算机以及应用软件。
4.各参赛队应在竞赛开始前一天规定的时间段,进入赛场熟悉环 境,但不得触碰任何比赛设备及材料。
5.竞赛时,在收到开赛信号前不得启动操作,各参赛选手自行决 定工作程序和时间安排,在指定赛位上完成竞赛项目,严禁作弊行为。
6.竞赛过程中,因严重操作失误或安全事故不能进行比赛的,现 场裁判员有权中止该队比赛。
7.在一天的比赛期间,食品、饮水等由赛场统一提供。选手休息、 饮食或如厕时间均计算在比赛时间内。
8.凡在竞赛期间提前离开的选手,当天不得返回赛场。
9. 为培养技能型人才的工作风格,在参赛期间,选手应当注意保 持工作环境及设备摆放符合企业生产“6S”(即整理、整顿、清扫、清 洁、素养和安全)的原则,如果过于脏乱,裁判员有权酌情扣分。在 比赛中如遇非人为因素造成的设备故障,经裁判确认后,可向裁判长
申请补足排除故障的时间。
10.参赛队欲提前结束比赛,应向现场裁判员举手示意,记录比 赛终止时间。比赛终止后,不得再进行任何与比赛有关的操作。
11.各竞赛队按照大赛要求和赛题要求提交竞赛成果,禁止在竞 赛成果上做任何与竞赛无关的记号。
12. 竞赛操作结束后,参赛队要确认成功提交竞赛要求的文件, 裁判员在比赛结果的规定位置做标记,并与参赛队一起签字确认。
(四)工作人员须知
1.熟悉竞赛规则,服从管理,严格按照工作程序和有关规定办事。 2.树立服务观念,本着一切为参赛选手着想的原则,以高度负责
的精神、严肃认真的态度和严谨细致的作风,积极完成大赛工作任务。
3.按规定统一着装、佩戴胸卡,文明礼貌,保持良好形象。
4.坚守工作岗位,不迟到,不早退,不无故离岗,特殊情况向组 长请假。
5.遇安全突发事件,按照工作预案及时组织疏散,确保人员安全。 6.未经同意不得擅自发布关于比赛的言论,不得私自接受采访。
十五、申诉与仲裁
1.各参赛队对不符合大赛和赛项规程规定的仪器、设备、工装、 材料、物件、计算机软硬件、竞赛使用工具、用品,竞赛执裁、赛场 管理以及工作人员的不规范行为等,可向赛项监督仲裁组提出申诉。
2. 申诉主体为参赛队领队,参赛队领队可在该赛项竞赛结束后 (选手赛场比赛内容全部完成)2 小时之内,向监督仲裁组提出书面
申诉。
3. 书面申诉应对申诉事件的现象、发生时间、涉及人员、申诉依 据等进行充分、实事求是地叙述,并由领队亲笔签名。非书面申诉不 予受理。
4.赛项监督仲裁组在接到申诉报告后的 2 小时内组织复议,并 及时将复议结果以书面形式告知申诉方。 申诉方对复议结果仍有异 议,可由领队向赛区仲裁委员会提出申诉。赛区仲裁委员会的仲裁结 果为最终结果。
5.仲裁结果由申诉人签收,不能代收,如在约定时间和地点申诉 人离开,视为自行放弃申诉。
6. 申诉方可随时提出放弃申诉,不得以任何理由采取过激行为扰 乱赛场秩序。
附件:样题
模块 A:网络构建
【任务清单】
(一)基础配置
1.根据附录 1、附录 2,配置设备接口信息。
2.所有交换机和无线控制器开启 SSH 服务 ,用户名密码分别为 admin、 admin1234;密码为明文类型,特权密码为 admin。
3.交换机配置SNMP 功能,向主机 172.16.0.254 发送Trap 消息版本采用V2C, 读写的 Community 为“Test ”,只读的 Community 为“public ”,开启 Trap 消息。
(二)有线网络配置
1.在全网 Trunk 链路上做 VLAN 修剪。
2.为隔离部分终端用户间的二层互访,在交换机 S1 的 Gi0/1-Gi0/10 端口启 用端口保护。
3.为规避网络末端接入设备上出现环路影响全网,要求在总部接入设备 S1 进行防环处理。具体要求如下:终端接口开启 BPDU 防护不能接收 BPDU 报文;终 端接口下开启环路检测功能,检测到环路后处理方式为关闭端 口;连接 PC 终端 的所有端口配置为边缘端 口;如果端口被 BPDU 防护检测进入禁用状态,再过 300 秒后会自动恢复,重新检测是否有环路。
4.在交换机 S3、S4 上配置 DHCP 中继,对 VLAN10 内的用户进行中继,使得 总部 PC1 用户使用 DHCP Relay 方式获取 IP 地址。
5.DHCP 服务器搭建于 EG1 上,地址池命名为 Pool_VLAN10,DHCP 对外服务 使用 loopback 0 地址。
6.为 了 防御动态环境局域网伪 DHCP 服务欺骗 ,在 S1 交换机部署 DHCP Snooping 功能。
7.在总部交换机 S1、S3、S4 上配置 MSTP 防止二层环路;要求 VLAN10、VLAN20、 VLAN50、VLAN60、VLAN100 数据流经过 S3 转发,S3 失效时经过 S4 转发;VLAN30、 VLAN40 数据流经过 S4 转发,S4 失效时经过 S3 转发。所配置的参数要求如下: region-name 为 test;revision 版本为 1;S3 作为实例 1 的主根、实例 2 的从 根,S4 作为实例 2 的主根、实例 2 的从根;生成树优先级可设置为 4096、8192
或保持默认值;在 S3 和 S4 上配置 VRRP,实现主机的网关冗余,所配置的参数 要求如下表;S3、S4 各 VRRP 组中高优先级设置为 150,低优先级设置为 120。
表 1 S3 和 S4 的 VRRP 参数表
VLAN VRRP 备份组号(VRID) VRRP 虚拟 IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN30 30 192.1.30.254
VLAN40 40 192.1.40.254
VLAN50 50 192.1.50.254
VLAN60 60 192.1.60.254
VLAN100(交换机间) 100 192.1.100.254
9.总部与分部内网均使用OSPF 协议组网,总部、分部与互联网间使用静态 路由协议。具体要求如下:总部 S3、S4、EG1 间运行 OSPF,进程号为 10,规划 单区域 0;分部 S7、EG2 间运行 OSPF,进程号为 20,规划单区域 0;服务器区使 用静态路由组网;重发布路由进 OSPF 中使用类型 1。
10.总部与分部部署 IPv6 网络实现总分机构内网 IPv6 终端可通过无状态自 动从网关处获取地址。IPv6 地址规划如下:
表 2 IPv6 地址规划表
设备 接口 IPv6 地址 VRRP 组号 虚拟 IP
S3 VLAN10 2001:192:10::252/64 10 2001:192:10::254/64
VLAN20 2001:192:20::252/64 20 2001:192:20::254/64
VLAN30 2001:192:30::252/64 30 2001:192:30::254/64
VLAN40 2001:192:40::252/64 40 2001:192:40::254/64
VLAN60 2001:192:60::252/64 60 2001:192:60::254/64
VLAN100 2001:192💯:252/64 100 2001:192💯:254/64
S4 VLAN10 2001:192:10::253/64 10 2001:192:10::254/64
VLAN20 2001:192:20::253/64 20 2001:192:20::254/64
VLAN30 2001:192:30::253/64 30 2001:192:30::254/64
VLAN40 2001:192:40::253/64 40 2001:192:40::254/64
VLAN60 2001:192:60::253/64 60 2001:192:60::254/64
VLAN100 2001:192💯:253/64 100 2001:192💯:254/64
S7 VLAN10 2001:193:10::254/64
VLAN20 2001:193:20::254/64
VLAN60 2001:193:60::254/64
11.在 S3 和 S4 上配置 VRRP for IPv6,实现主机的 IPv6 网关冗余;在 S3 和 S4 上 VRRP 与 MSTP 的主备状态与 IPV4 网络一致。
12.R1、R2、R3 部署 IGP 中 OSPF 动态路由实现直连网段互联互通。
13.R1、R2、R3 间部署 IBGP,AS 号为 100,使用 Loopback 接口建立 Peer。
14.运营商通告 EG1、EG2 专线至服务器区,R1、R2 均以汇总 B 段静态路由 的方式进行发布。服务器区通过 R3 将 AC1、AC2 通告到 BGP 中。
15.可通过修改 OSPF 路由 COST 达到分流的目的,且其值必须为 5 或 10。 16.总部财务、销售 IPv4 用户与互联网互通主路径规划为:S3-EG1。
17.总部研发、市场 IPv4 用户与互联网互通主路径规划为:S4-EG1。 18.主链路故障可无缝切换到多条备用链路上。
(三)无线网络配置
CII 集团公司拟投入 13 万元(网络设备采购部分),项目要求重点覆盖楼层、 走廊和办公室。平面布局如图 1 所示。
图 1 平面布局图
1.绘制 AP 点位图(包括:AP 型号、编号、信道等信息,其中信道采用 2.4G 的 1、6、11 三个信道进行规划)。
2.使用无线地勘软件,输出 AP 点位图的 2.4G 频道的信号仿真热图(仿真信 号强度要求大于-65db)。
3.根据表 3 无线产品价格表,制定该无线网络工程项目设备的预算表。 表 3 无线产品价格表
产品型号 产品特征 传输速率 (2.4G/最大) 推荐/最大 带点数 功率 价格 (元)
AP1 双频双流 300M/1. 167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆 1 10 米馈线 N/A N/A N/A 1600
线缆 2 15 米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24 口 POE 交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
4.使用 S3、S4 作为总部无线用户和无线 AP 的 DHCP 服务器,使用 S6/S7 作 为分部无线用户和无线 AP 的 DHCP 服务器。
5.创建总部内 网 SSID 为 test-ZB_XX(XX 现场提供),WLAN ID 为 1 , AP-Group 为 ZB,总部内网无线用户关联 SSID 后可自动获取地址,启用 WEB 认证。
6.创建分部内 网 SSID 为 test-FB_XX(XX 现场提供),WLAN ID 为 2 , AP-Group 为 FB,总部内网无线用户关联 SSID 后可自动获取地址,启用 802.1X 认证方式。
7.认证服务器(IP:194.1.100.100)建立总部认证用户 user1,user2,分 部认证用户 user3,user4 分别对应 WEB、DOT1X 认证;
8.AC1 为主用,AC2 为备用。AP 与 AC1、AC2 均建立隧道,当 AP 与 AC1 失去 连接时能无缝切换至 AC2 并提供服务。
9.要求总部分部内网无线网络启用本地转发模式。
10.为了保障每个用户的无线体验,针对 WLAN ID2 下的每个用户的下行平均 速率为 800KB/s ,突发速率为 1600KB/s。
11.总部每 AP 最大带点人数为 30 人。
12.分部通过时间调度,要求每周一至周五的 21:00 至 23:30 期间关闭无线 服务。
13.总部设置 AP 信号发送强度为 30。
14.总部关闭低速率(11b/g 1M、2M、5M,11a 6M、9M)应用接入。
(四)出 口网络配置
1.出 口网关上进行 NAT 配置实现总部与分部的所有用户(ACL 110)均可访 问互联网,通过 NAPT 方式将内网用户 IP 地址转换到互联网接口上。
2.在总部 EG1 上配置,使总部核心交换 S4(11.1.0.34)设备的 SSH 服务可 以通过互联网被访问,将其地址映射至联通线路上,映射地址为 20.1.0.1。
3.在总部网关上启用 Web Portal 认证服务,并创建 Caiwu1、Xiaoshou2, 密码均为 XX(现场提供)。
4.总部有线用户需进行 WEB 认证访问互联网。
5.分部 EG2 针对访问外网WEB 流量限速每 IP 1000Kbps,内网 WEB 总流量不 超过 50Mbps。
6.分部 EG2 基于网站访问、邮件收发、IM 聊天、论坛发帖、搜索引擎多应 用启用审计功能。
7.对创建的用户user1 用户上网活动不进行监控审计。
8.要求使用 ipsec 隧道主模式,安全协议采用 esp 协议,加密算法采用 3des, 认证算法采用md5,以 IKE 方式建立 ipsec SA。在 EG1 和 EG2 上所配置的参数要 求如下:ipsec 加密转换集名称为my set;预共享密钥为明文 123456;静态的 ipsec 加密图 mymap。ACL 编号为 101。
(五)网络运维配置
1.完成整网连通后,进入网络监控运维阶段,运维软件已安装在 PC1 的虚拟 机 OPMSrv 中(访问运维平台的 URL 为 http://192.1.100.100),通过运维平台 监控广州总部内所有设备(具体设备:S1、S3、S4、EG1)。
2.通过运维平台将广州总部的被监控设备纳入监控范围;通过拓扑配置功 能,将广州总部的网络拓扑配置到平台中;
3.将广州总部 S3、S4 和 EG1 的两条链路作为重点监测链路,纳入链路监控;
4. 自定义监控大屏(名称:Chinaskills_network),将网络拓扑、设备运行 状态(CPU 使用率)、链路运行状态实时显示在大屏中。
(六)SDN 网络配置
1.SDN 控制器登录地址:192.168.1.2/24,默认用户密码为 admin/test@123。 2.使用 S7/S8/S9 构建 SDN 网络,S8/S9 连接 SDN 控制器的 6653 端 口。
3.通过SDN 控制器手工给 S8 下发一条流表项名称为drop 的流表,执行动作 为丢弃,并在交换机上查看流表,测试普通 PC 禁止 ping 通高性能 PC。
4.通过SDN 控制器流表管理实现PC1/PC2 与分部各核心网段互联互通。
附录 1 :拓扑图
附录 2 :地址规划表
设备 接口或 VLAN VLAN 名称 二层或三层规划 说明
S1 VLAN10 CAIWU Gi0/1 至 Gi0/4 财务部
VLAN20 XIAOSHOU Gi0/5 至 Gi0/8 销售部
VLAN30 YANFA Gi0/9 至 Gi0/12 研发部
VLAN40 SHICHANG Gi0/13 至 Gi0/16 市场部
VLAN50 AP Gi0/20 至 Gi0/21 无线 AP 管理
VLAN100 Manage 192.1.100.1/24 设备管理 VLAN
S3 VLAN10 CAIWU 192.1.10.252/24 财务部
VLAN20 XIAOSHOU 192.1.20.252/24 销售部
VLAN30 YANFA 192.1.30.252/24 研发部
VLAN40 SHICHANG 192.1.40.252/24 市场部
VLAN50 AP 192.1.50.252/24 AP
VLAN60 Wireless 192.1.60.252/24 无线用户
VLAN100 Manage 192.1.100.252/24 设备管理 VLAN
Gi0/24 10.1.0.1/30
LoopBack 0 11.1.0.33/32
S4 VLAN10 CAIWU 192.1.10.253/24 财务部
VLAN20 XIAOSHOU 192.1.20.253/24 销售部
VLAN30 YANFA 192.1.30.253/24 研发部
VLAN40 SHICHANG 192.1.40.253/24 市场部
VLAN50 AP 192.1.50.253/24 AP
VLAN60 Wireless 192.1.60.253/24 无线用户
VLAN100 Manage 192.1.100.253/24 设备管理 VLAN
Gi0/24 10.1.0.5/30
LoopBack 0 11.1.0.34/32
AC1 LoopBack 0 11.1.0.204/32
Vlan100 Manage 194.1.100.2/24 管理与互联 VLAN
AC2 LoopBack 0 11.1.0.205/32
Vlan100 Manage 194.1.100.3/24 管理与互联 VLAN
S5 Gi0/24 40.1.0.1/30
VLAN100 Manage 194.1.100.254/24 管理与互联 VLAN
LoopBack 0 11.1.0.5/32
EG1 GI0/0 10.1.0.2/30
GI0/1 10.1.0.6/30
GI0/4 20.1.0.1/30
LoopBack 0 11.1.0.11/32
EG2 GI0/0 10.1.0.14/30
GI0/1 10.1.0.18/30
设备 接口或 VLAN VLAN 名称 二层或三层规划 说明
GI0/4 30.1.0.1/30
LoopBack 0 11.1.0.12/32
R1 Gi0/0 20.1.0.2/30
Gi0/1 12.1.0.1/28
Gi0/2 13.1.0.1/28
LoopBack 0 11.1.0.1/32
R2 Gi0/0 30.1.0.2/30
Gi0/1 12.1.0.2/28
Gi0/2 23.1.0.2/28
LoopBack 0 11.1.0.2/32
R3 Gi0/0 40.1.0.2/30
Gi0/1 13.1.0.3/28
Gi0/2 23.1.0.3/28
LoopBack 0 11.1.0.3/32
S2 VLAN10 CAIWU 财务部
VLAN20 XIAOSHOU 销售部
VLAN50 AP Gi0/1 至 Gi0/20 无线 AP 管理
VLAN100 Manage 193.1.100.2/24 设备管理 VLAN
S7 VLAN10 CAIWU 193.1.10.254/24 财务部
VLAN20 XIAOSHOU 193.1.20.254/24 销售部
VLAN50 AP 193.1.50.254/24 无线 AP 管理
VLAN60 Wireless 193.1.60.254/24 无线用户
VLAN100 Manage 193.1.100.254/24 设备管理 VLAN
Gi0/24 10.1.0.17/30
LoopBack 0 11.1.0.67/32
S8 VLAN10 CAIWU Gi0/1 至 Gi0/4 财务部
VLAN20 XIAOSHOU Gi0/5 至 Gi0/8 销售部
Gi0/23 SDN-Manage 192.168.1.3 SDN 管理网段
S9 VLAN10 CAIWU Gi0/1 至 Gi0/4 财务部
VLAN20 XIAOSHOU Gi0/5 至 Gi0/8 销售部
Gi0/23 SDN-Manage 192.168.1.4 SDN 管理网段
模板 B:服务部署
【Windows 初始化环境】
默认账号及默认密码
Username: Administrator Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注:若非特别指定,所有账号的密码均为 ChinaSkill23!
【Windows 项目任务描述】
你作为一个技术工程师,被指派去构建一个公司的内部网络,要为员工提供 便捷、安全稳定的内外网络服务。你必须在规定的时间内完成要求的任务,并进 行充分的测试,确保设备和应用正常运行。任务所有规划都基于Windows 操作系 统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络 拓扑图和基本配置信息如下:
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表,各虚拟机已预装系统。
DCServer chinaskills.com 192.168.100.100/24 127.0.0.1 192.168.100.254
SDCSserver chinaskills.com 192.168.100.200/24 127.0.0.1 192.168.100.254
AppSrv chinaskills.com 192.168.200.100/24 192.168.100.100 192.168.100.200 192.168.200.254
IOMSrv chinaskills.com 192.168.200.200/24 192.168.100.100 192.168.100.200 192.168.200.254
RouterSrv1
chinaskills.com 192.168.100.254/24
192.168.0.254/24
192.168.200.254/24
100.100.100.251/24
192.168.100.100
100.100.100.254
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli chinaskills.com 192.168.0.0/24(dhcp) 192.168.100.100 192.168.100.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
【Windows 项目任务清单】
(一)服务器 IspSrv 上的工作任务
1.互联网访问检测服务器
· 为了模拟 Internet 访问测试,请搭建网卡互联网检测服务。 2.iSCSI
·创建 100G 的 ISCSI 磁盘,存储到 F 盘目录下的 iSCSI 文件夹。 · 启用 Mutual CHAP 认证。
·DCSERVER 为 iSCSI 客户端,连接成功后,格式化挂载到 F 盘。 3.DNS(域名解析服务)
·拓扑中所有主机的 DNS 查询请求都应由 IspSrv 进行解析。
·把当前机器作为互联网根域服务器,创建 test1.com~test100.com,并在 所有正向区域中创建一条 A 记录,解析到本机地址。
(二)服务器 RouterSrv1 上的工作任务
1.路由功能
· 安装Remote Access 服务开启路由转发,为当前实验环境提供路由功能。 · 启用网络地址转换功能,实现内部客户端访问互联网资源。
· 配置网络地址转换,允许互联网区域客户端访问AppSrv 上的 HTTP 资源。 2.动态地址分配中继服务
· 安装和配置 dhcp relay 服务,为办公区域网络提供地址上网。 ·DHCP 服务器位于 AppSrv 服务器上。
3.虚拟专用网络
·设置 L2TP/IPSec,IKE 通道采用证书进行验证。
·L2TP 通道使用 chinaskills.com 域内用户进行身份验证,仅允许 manager 组内用户通过身份证验证。
·对于 vpn 客户端,请使用范围 192.168.1.200-192.168.1.220/24。 4.RDS
·在 RouterSrv1 安装和配置 RDS 服务,用户通过 “https://app.chinaskills.com/rdweb”进行访问。
·该页面无证书警告。
·用户可以获取以下应用:Notepad
(三)服务器 AppSrv 上的工作任务
1.万维网服务
·在 RouterSrv1 上搭建网站服务器。
· 将 访 问 http://www.chinaskills.com 的 http 的 请 求 重 定 向 到 https://www.chinaskills.com 站点。
· 网站内容设置为“该页面为 www.chinaskills.com 测试页!”。 ·将当前web 根目录的设置为 d:\wwwroot 目录。
· 启用windows 身份验证,只有通过身份验证的用户才能访问到该站点, manager 用户组成员使用 IE 浏览器打开不提示认证,直接访问。
·设置“http://www.chinaskills.com/ ”网站的最大连接数为 1000,网站 连接超时为 60s;
·使用W3C 记录日志;每天创建一个新的日志文件,文件名格式:
· 日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、
服务器端口号;
· 日志文件存储到“C:\WWWLogFile ” 目录中; · 配置 IIS 配套 FTP 服务:
· 匿名用户上传的文件都将映射为ftp2 用户
· ftp 在 登 录 前 显 示 Banner 消 息 :“Hello, unauthorized login is prohibited! ”
2.动态地址分配服务
· 安装和配置 dhcp 服务,为办公区域网络提供地址上网。 ·地址池范围:192.168.0.100-192.168.0.200。
3.DFS
·在 ppSrv 上安装及配置 DFS 服务。 · 目录设置在 F:\DFSsharedir。
· 配置 DFS 复制,使用 DC1 作为次要服务器,复制方式配置为交错拓扑。 ·在 F:\DFSsharedir 文件夹内新建所有部门的文件夹。
·所有部门的用户只可以访问部门内的文件,不可以跨部门访问别的部门文 件夹内容。
·Management 用户组用户可以访问全局的文件夹。 4.磁盘管理
· 安装及配置软 RAID5。
·在安装好的AppSrv 虚拟机中添加三块 10 G 虚拟磁盘。 ·组成 RAID5,磁盘分区命名为卷标 F 盘:Raid5。
· 手动测试破坏一块磁盘,做 RAID 磁盘修复;确认RAID5 配置完毕。 5.DNS
· 安装 DNS 服务器,根据题目创建必要的 DNS 解析。 ·把当前机器作为互联网根域服务器。
(四)服务器 DCSERVER&SDCSERVER 上的工作任务
1.活动目录域服务
·在 DCSERVER 和 SDCSERVER 服务器上安装活动目录域服务,DCSERVER 作为 主域控,SDCSERVER 作为备份域控,活动目录域名为:chinaskills.com。
·域用户能够使用[username]@csk.cn 进行登录。
·创建一个名为“CSK ”的 OU,并新建以下域用户和组: · sa01-sa20,请将该用户添加到 sales 用户组。
· it01-it20,请将该用户添加到 IT 用户组。
·ma01-ma10,请将该用户添加到 manager 用户组。 · 除 manager 组和 IT 组,所有用户隐藏 C 盘。
· 除 manager 组和 IT 组,所有普通用户禁止使用 cmd。 · 禁止客户端电脑显示用户首次登录动画。
·所有用户的 IE 浏览器首页设置为“https://www.chinaskills.com ”。
·所有用户都应该收到登录提示信息:标题“登录安全提示:”,内容“禁止 非法用户登录使用本计算机。”。
·设置所有主机的登录Banner:
·标题为“CHINASKILLS-DOMAIN ”;
· 内容为“Hello, unauthorized login is prohibited! ”。
·域内的所有计算机(除 dc 外),当 dc 服务器不可用时,禁止使用缓存登 录。
· 启用 AD 回收站功能。 2.NPS(网络策略服务)
·在 DCSERVER 上安装网络策略服务作为VPN 用户登录验证。 ·仅允许 L2TP/IPSEC VPN 进行 VPN 连接访问验证。
·认证、授权日志将存储到 DCSERVER 上的“C:\NPS\ ” 目录下。 3.证书颁发机构
·在 DCSERVER 服务器上安装证书颁发机构。 · 定义名称:CSK2022-ROOTCA。
·证书颁发机构有效期:3 years。
· 为 chinaskills.com 域内的 web 站点颁发 web 证书。 · 当前拓扑内所有机器必须信任该证书颁发机构。
·所域内所有计算机自动颁发一张计算机证书。
(五)服务器 IOMSrv 上的工作任务
· 图形界面登录 IOMSrv 运维平台,登录地址 http://192.168.200.200;
· 通过 Windows 代理模板,添加 DCServer、SDCSserver、AppSrv 操作系统
监控对象,查看运行状态。
· 通过中间件 IIS 模板,添加 IIS 监控对象,查看运行状态。
· 通过新增 WEB 探测对象,监控门户网站 http://www.chinaskills.com, 查看运行状态。
·基于AppSrv 上的门户网站业务,完成业务拓扑绘制,并在业务大屏上呈 现。
(六)客户端 InsideCli 上的工作任务
·按照要求将该主机加入对应区域的域。
·设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
·该客户端用于测试用户登录,Profiles,文件共享,安全策略和 RDS 等功 能。
(七)客户端 OutsideCli 上的工作任务
·该主机不允许加入域。
·添加一个名为 Connect-CSK 的 VPN 拨号器,用于连接到 chinaskills.com 域网络,不记录用户名称密码信息。
·设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
·该客户端用于测试用户登录,Profiles,文件共享,安全策略和 RDS 等功 能。
【Linux 初始化环境】
1.默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注:若非特别指定,所有账号的密码均为 ChinaSkill23!
2.操作系统配置
所处区域:CST + 8
系统环境语言:English US (UTF-8)
键盘:English US
注意:当任务是配置 TLS,请把根证书或者自签名证书添加到受信任区。
控制台登录后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示。
********************************* ChinaSkills 2022 –CSK
Module C Linux
hostname<<
System Version<<
TIME <<
【Linux 项目任务描述】
你作为一个Linux 的技术工程师,被指派去构建一个公司的内部网络,要为 员工提供便捷、安全稳定的内外网络服务。你必须在规定的时间内完成要求的任 务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于Linux 操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试, 网络拓扑图和基本配置信息如下:
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表,各虚拟机已预装系统。 ISPSRV(UOS)
· 完全限定域名:ispsrv
· 普通用户/登录密码:skills/ChinaSkill23
·超级管理员/登录密码:root/ChinaSkill23 · 网络地址/掩码/网关:81.6.63.100/24/无 AppSrv(Centos)
· 完全限定域名:appsrv.chinaskills.cn
· 普通用户/登录密码:skills/ChinaSkill23 ·超级管理员/登录密码:root/ChinaSkill23
· 网络地址/掩码/网关:192.168.100.100/24/192.168.100.254 · IOMSrv(Centos)
· 网络地址/掩码/网关:192.168.100.150/24/192.168.100.254 STORAGESRV(Centos)
· 完全限定域名:storagesrv.chinaskills.cn · 普通用户/登录密码:skills/ChinaSkill23 ·超级管理员/登录密码:root/ChinaSkill23
· 网络地址/掩码/网关:192.168.100.200/24/192.168.100.254 ROUTERSRV(Centos)
· 完全限定域名:routersrv.chinaskills.cn · 普通用户/登录密码:skills/ChinaSkill23 ·超级管理员/登录密码:root/ChinaSkill23
·网络地址/掩码/网关: 192.168.100.254/24/无、192.168.0.254/24/无、
81.6.63.254/24/无
INSIDECLI(Centos)
· 完全限定域名:insidecli.chinaskills.cn · 普通用户/登录密码:skills/ChinaSkill23 ·超级管理员/登录密码:root/ChinaSkill23 · 网络地址/掩码/网关:DHCP From AppSrv
OUTSIDECLI(UOS)
· 完全限定域名:outsidecli.chinaskills.cn · 普通用户/登录密码:skills/ChinaSkill23 ·超级管理员/登录密码:root/ChinaSkill23 · 网络地址/掩码/网关:DHCP From IspSrv
【Linux 项目任务清单】
(一)服务器 IspSrv 工作任务
1.DHCP
· 为 OutsideCli 客 户 端 网 络 分 配 地 址 , 地 址 池 范 围 : 81.6.63.110-81.6.63.190/24;
·域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
· 网关:按照实际需求配置网关地址选项;
2.DNS
· 配置为 DNS 根域服务器;
·其他未知域名解析,统一解析为该本机 IP;
·创建正向区域“chinaskills.cn ”; · 类型为 Slave;
· 主服务器为“AppSrv ”; 3.WEB 服务
· 安装 nginx 软件包;
· 配置文件名为 ispweb.conf,放置在/etc/nginx/conf.d/目录下; · 网站根目录为/mut/crypt( 目录不存在需创建);
· 启用 FastCGI 功能,让 nginx 能够解析 php 请求;
· index.php 内容使用 Welcome to 2022 Computer Network Application contest!
(二)服务器 RouterSrv 上的工作任务
1.DHCP RELAY
· 安装 DHCP 中继;
· 允许客户端通过中继服务获取网络地址; 2.ROUTING
·开启路由转发,为当前实验环境提供路由功能。
·根据题目要求,配置单臂路由实现内部客户端和服务器之间的通信。 3.SSH
· 工作端口为 2021;
·只允许用户 user01,密码 ChinaSkill21 登录到 router。其他用户(包括 root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从 ssh 远程 登录。
· 通过 ssh 登录尝试登录到RouterSrv,一分钟内最多尝试登录的次数为 3 次,超过后禁止该客户端网络地址访问 ssh 服务。
·记录用户登录的日志到/var/log/ssh.log, 日志内容需要包含:源地址, 目标地址,协议,源端 口, 目标端 口。
4.IPTABLES
·添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的 dns、mail、web 和 ftp 服务。
· INPUT、OUTPUT 和 FOREARD 链默认拒绝(DROP)所有流量通行。 · 配置源地址转换允许内部客户端能够访问互联网区域。
5.Web Proxy
· 安装 Nginx 组件;
· 配置文件名为 proxy.conf,放置在/etc/nginx/conf.d/目录下;
· 为 www.chinaskills.cn 配置代理前端,通过 HTTPS 的访问后端 Web 服务 器;
·后端服务器日志内容需要记录真实客户端的 IP 地址。 · 缓存后端Web 服务器上的静态页面。
·创建服务监控脚本:/shells/chkWeb.sh ·编写脚本监控公司的网站运行情况;
·脚本可以在后台持续运行;
· 每隔 3S 检查一次网站的运行状态,如果发现异常尝试 3 次;
·如果确定网站无法访问,则返回用户“ 网站正在维护中,请您稍后再试 ” 的页面。
(三)服务器 AppSrv 上的工作任务
1.SSH
· 安装 SSH,工作端口监听在 2101。
·仅允许 InsideCli 客户端进行 ssh 访问,其余所有主机的请求都应该拒绝。 ·在 cskadmin 用户环境下可以免密钥登录,并且拥有root 控制权限。
2.DHCP
· 为 InsideCli 客 户 端 网 络 分 配 地 址 , 地 址 池 范 围 : 192.168.0.110-192.168.0.190/24;
·域名解析服务器:按照实际需求配置 DNS 服务器地址选项;
· 网关:按照实际需求配置网关地址选项;
· 为 InsideCli 分配固定地址为 192.168.0.190/24。 3.DNS
· 为 chinaskills.cn 域提供域名解析。
· 为 www.chinaskills.cn 、 download.chinaskills.cn 和
mail.chinaskills.cn 提供解析。
·启用内外网解析功能,当内网客户端请求解析的时候,解析到对应的内部 服务器地址,当外部客户端请求解析的时候,请把解析结果解析到提供服务的公 有地址。
·请将 IspSrv 作为上游 DNS 服务器,所有未知查询都由该服务器处理。 4.web 服务
· 安装web 服务;
·服务以用户webuser 系统用户运行;
· 限制web 服务只能使用系统 500M 物理内存;
· 全站点启用 TLS 访问,使用本机上的“CSK Global Root CA ”颁发机构颁 发,网站证书信息如下:
C = CN
ST = China L = BeiJing O = skills
OU = Operations Departments CN = *.chinaskills.com
· 客户端访问https 时应无浏览器(含终端)安全警告信息; · 当用户使用http 访问时自动跳转到https 安全连接;
·搭建 www.chinaskills.cn 站点;
· 网页文件放在 StorgeSrv 服务器上;
·在 StorageSrv 上安装 MriaDB,在本机上安装 PHP,发布 WordPress 网站; ·MariaDB 数据库管理员信息:User: root/ Password: Chinaskill21!。 ·创建网站 download.chinaskills.cn 站点;
·仅允许 ldsgp 用户组访问;
· 网页文件存放在 StorageSrv 服务器上;
·在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf ”, 其中 test.mp4 文件的大小为 100M,页面访问成功后能够列出目录所有文件。
· 安全加固,在任何页面不会出现系统和 WEB 服务器版本信息。 5.Mariadb Backup Script
·脚本文件:/shells/mysqlbk.sh;
·备份数据到/root/mysqlbackup 目录; ·备份脚本每隔 30 分钟实现自动备份;
· 导出的文件名为 all-databases-20210213102333, 其中 20210213102333 为运行备份脚本的当前时间,精确到秒。
6.MAIL
· 安装配置 postfix 和 dovecot,启用 imaps 和 smtp s,并创建测试用户 mailuser1 和 mailuser2。
· 使用 mailuser1@chinaskills.cn 的邮箱 向 mailuser2@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为“just test mail from mailuser1 ”,邮 件内容为“hello , mailuser2 ”。
· 使用 mailuser2@chinaskills.cn 的邮箱 向 mailuser1@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为“just test mail from mailuser2 ”,邮 件内容为“hello, mailuser1 ”。
·添加广播邮箱地址 all@chinaskills.cn,当该邮箱收到邮件时,所有用 户都能在自己的邮箱中查看。
·使用 https://mail.chinaskills.cn 网站测试邮件发送与接收。 7.CA(证书颁发机构)
·CA 根证书路径/csk-rootca/csk-ca.pem;
· 签发数字证书,颁发者信息:(仅包含如下信息) C = CN
ST = China L = BeiJing O = skills
OU = Operations Departments CN = CSK Global Root CA
(四)服务器 StorageSrv 上的工作任务
1.SSH
· 安装 openssh 组件;
·创建的 user01、user02 用户允许访问 ssh 服务; ·服务器本地root 用户不允许访问;
·修改 SSH 服务默认端 口,启用新端 口 3358;
·添加用户 user01,user02 到 sudo 组;用于远程接入,提权操作。
2.DISK
·添加大小均为 10G 的虚拟磁盘,配置raid-5 磁盘。
·创建 LVM 命名为/dev/vg01/lv01,大小为 100G,格式化为 ext4,挂载到 本地目录/webdata,在分区内建立测试空文件 disk.txt。
3.NFS
· 共享/webdata/目录;
·用于存储 AppSrv 主机的 WEB 数据;
·仅允许AppSrv 主机访问该共享。
3.SAMBA
·创建 samba 共享,本地目录为/data/share1,要求:
· 共享名为 share1。
·仅允许 zsuser 用户能上传文件。
·创建 samba 共享,本地目录为/data/public,要求:
· 共享名为 public。
· 允许匿名访问。
·所有用户都能上传文件。
4.LDAP
· 安装 openldap,为 samba 服务提供账户认证;
·创建 chinaskills.cn 目录服务,并创建用户组 ldsgp,将 zsuser、lsusr、 wuusr。
6.ShellScript
·编写添加用户的脚本,存储在/shells/userAdd.sh 目录; · 当有新员工入职时,管理员运行脚本为其创建公司账号;
· 自动分配客户端账号、公司邮箱、samba 目录及权限、网站账号等; · 以 userAdd lifei 的方式运行脚本,lifei 为举例的员工姓名。
(五)服务器 IOMSrv 工作任务
· 图形界面登录 IOMSrv 运维平台,登录地址 http://172.16.100.150;
· 通过 Linux 代理模板,添加 StorageSrv、AppSrv 操作系统监控对象,查 看运行状态;
· 通过中间件 Nginx 模板,添加 Nginx 监控对象,查看运行状态;
·通过中间件 MySQL 数据库 Agent 模板,添加Mariadb 监控对象,查看运行 状态;
· 通过新增 WEB 探测对象,监控门户网站 www.chinaskills.cn,查看运行 状态;
·基于AppSrv 上的门户网站业务,完成业务拓扑绘制,并在业务大屏上呈 现。
(六)客户端 OutsideCli 和 InsideCli 工作任务
1.OutsideCli
·作为 DNS 服务器域名解析测试的客户端,安装nslookup、dig 命令行工具;
·作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工 具;
· 作为SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
· 作为 SAMBA 测试的客户端 ,使用图形界面文件浏览器测试 , 并安装 smbclient 工具;
· 作为FTP 测试的客户端,安装 lftp 命令行工具;
· 作为防火墙规则效果测试客户端,安装 ping 命令行工具。 ·截图的时候请使用上述提到的工具进行功能测试。
2.InsideCli
·作为 DNS 服务器域名解析测试的客户端,安装nslookup、dig 命令行工具;
·作为网站访问测试的客户端,安装 firefox 浏览器, curl 命令行测试工 具;
· 作为SSH 远程登录测试客户端,安装 ssh 命令行测试工具;
· 作为 SAMBA 测试的客户端 ,使用图形界面文件浏览器测试 , 并安装 smbclient 工具;
· 作为FTP 测试的客户端,安装 lftp 命令行工具;
· 作为防火墙规则效果测试客户端,安装 ping 命令行工具。 ·截图的时候请使用上述提到的工具进行功能测试。
扫一扫
3331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
