2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
1 / 25
2022 年江苏省职业院校技能大赛(中职)
网络搭建与应用赛项公开赛卷——技能要求
竞赛说明
1. 竞赛内容分布
“网络搭建与应用”竞赛共分五个部分,其中:
第一部分:网络组建与配置(
350 分)
第二部分:云平台配置(
80 分)
第三部分:Windows 系统配置(200 分)
第四部分:Linux 系统配置(200 分)
第五部分:职业规范与素养(20 分)
2. 竞赛注意事项
(
1) 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(
2) 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清
单是否齐全,计算机设备是否能正常使用。
(
3) 请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(
4) 操作过程中,需要及时保存设备配置。
(
5) 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最
终结果。
(
6) 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的
所有物品(包括试卷和草纸)带离赛场。
(
7) 禁止在纸质资料、比赛设备上填写任何与竞赛无关的标记,如违反规定,
可视为 0 分。
(
8) 与比赛相关的工具软件放置在每台主机的 D 盘 soft 文件夹中。
(
9) 进入竞赛施工现场,施工人员需佩戴安全帽(项目设计阶段除外)。
(10) 竞赛所用器材、耗材,在竞赛开始前已全部发放到各个竞赛工位,保证2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
充分满足竞赛需求。竞赛开始前,请仔细核对材料确认单,并签字确认(未签字
确认前禁止开始比赛)。竞赛过程中,不再另行发放器材、耗材。
(11) 竞赛过程中,参赛队要做到工作井然有序、不跨区操作、不喧哗,竞赛
施工材料、加工废料、施工模块等分区有序存放。
3. 项目简介
某集团公司原在北京建立了总部,在郑州设立了办事处。总部设有销售、产
品、法务、财务、信息技术 5 个部门,统一进行 IP 及业务资源的规划和分配,全
网采用 OSPF 动态路由协议和静态路由协议进行互连互通。
公司规模在 2020 年快速发展,业务数据量和公司访问量增长巨大。为了更好
管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达
到快速、可靠交换数据,以及增强业务部署弹性的目的。
集团、办事处的网络结构详见“主要网络环境”拓扑图。
其中一台 CS6200 交换机编号为 SW-3,用于实现终端高速接入;两台 CS6200
交换机作为总部的核心交换机;两台 DCFW-1800 分别作为集团、郑州办事处的防
火墙;一台 DCWS-6028 作为集团的有线无线智能一体化控制器,编号为 DCWS,通
过与 WL8200-I2 高性能企业级 AP 配合实现集团无线覆盖。
2 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
3 / 25
第一部分:网络组建与配置(
350 分)
【说明】
1. 交换机、 DCWS、防火墙使用同一条 console 线;
2. 设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要
评分依据。所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放
置在 PC1 桌面的“比赛文档_X”(
X 为赛位号)文件夹中;
3. 保存文档方式如下:
交换机、DCWS 要把 show running-config 的配置、防火墙要把 show configuration
的配置保存在 PC1 桌面上的“比赛文档_X”文件夹中,文档命名规则为:设备名称.txt。例
如:SW-1 交换机文件命名为:SW-1.txt;
无论通过 SSH、telnet、Console 登录防火墙进行 show configuration 配置收集,需
要先调整 CRT 软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。CRT 软件调
整字符编号配置如图:2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
4 / 25
一、 网络布线与基础连接
右侧布线面板立面示意图 左侧布线面板立面示意图
说明
1. 机柜左侧布线面板编号 101;机柜右侧布线面板编号 102。
2. 面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B 标
准端接。
3. 主配线区配线点与工作区配线点连线对应关系如下表所示。
PC1、PC2 配线点连线对应关系表
序
号
信息点编号
配线架编
号
底盒编
号
信息点编
号
配线架端口编
号
1
W1-02-101-1
W1
101
1
02
2
W1-06-102-1
W1
102
1
06
(一) 、铺设线缆并端接
1. 截取 2 根适当长度的双绞线,两端制作标签,穿过 PVC 线槽或线管。双绞线在
机柜内部进行合理布线,并且通过扎带合理固定;
2. 将 2 根双绞线的一端,根据“PC1、PC2 配线点连线对应关系表“的要求,端接在
配线架的相应端口上;
3. 将 2 根双绞线的另一端,根据“PC1、PC2 配线点连线对应关系表”的要求,端接
上 RJ45 模块,并且安装上信息点面板,并标注标签。
(二) 、跳线制作与测试
1. 再截取 2 根当长度的双绞线,两端制作标签,根据“PC1、PC2 配线点连线对应关2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
5 / 25
系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳线,所
有网络跳线要求按 568B 标准制作;
2. 根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线,
根据题目要求,插入相应设备的相关端口上;(包括设备与设备之间、设备与配线
架之间);
3. 实现 PC、信息点面板、配线架、设备之间的连通;(提示:可利用机柜上自带的
设备进行通断测试);
4. PC1 连接 102 底盒 1 端口、PC2 连接 101 底盒 1 端口。
二、 交换配置与调试
(一) 为了减少广播,需要根据题目要求规划并配置 VLAN。具体要求如下:
1.配置合理,所有链路上不允许不必要 VLAN 的数据流通过,包括 VLAN 1;
2.集团接入交换机与核心交换机之间的互连接口发送 AP&交换机管理 VLAN 的报文时不
携带标签,发送其它 VLAN 的报文时携带标签,要求禁止采用 trunk 链路类型;
3.当财务业务 VLAN 物理端口接收到的流量大于端口缓存所能容纳的大小时,端口将通
知向其发送流量的设备减慢发送速度,以防止丢包;当法务业务 VLAN 物理端口收包 BUM 报文
速率超过 2000packets/s 则关闭端口,10 分钟后恢复端口。
4.根据下述信息及表,在交换机上完成 VLAN 配置和端口分配。
设备
VLAN 编号
VLAN 名称
端口
说明
SW-3
VLAN10
XS
E1/0/6
销售
VLAN20
CP
E1/0/7
产品
VLAN30
FW
E1/0/8
法务
VLAN40
CW
E1/0/9
财务
VLAN50
XXJS
E1/0/10
至
E1/0/12
信息技术
VLAN200
GL
E1/0/13
AP&交换机管理
VLAN
(二) 在集团核心交换机 SW-1 和 SW-2、接入交换机 SW-3 间运行一种协议,具体要求如2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
下:
1. 实现销售、产品、信息技术业务优先通过 SW-1 至 SW-3 间链路转发,法务、财务、AP&
交换机管理等业务优先通过 SW-2 至 SW-3 间链路转发,从而实现 VLAN 流量的负载分担与相互
备份;
2. 设置路径开销值的取值范围为 1-65535,BPDU 支持在域中传输的最大跳数为 7 跳;同
时不希望每次拓扑改变都清除设备 MAC/ARP 表,全局限制拓扑改变进行刷新的次数;
3. 加速接入交换机所有业务端口收敛,当接口收到 BPDU 丢弃报文并关闭端口,如果 5
分钟内没有收到 BPDU 报文,则恢复该端口。
(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议,为所有业务 VLAN 实现网关
冗余,具体要求如下:
1.虚地址使用该 VLAN 中的最后一个可用 IP、SW-1 使用该 VLAN 中的倒数第三可用 IP、
SW-2 使用该 VLAN 中的倒数第二可用 IP,SW-1 为销售、产品、信息技术业务的 Master,SW-2
为法务、财务、AP&交换机管理等业务的 Master,且互为备份;每隔 3s,VRRP 备份组中的 Master
发送 VRRP 报文来向组内的三层交换机通知自己工作状态;
2.监视上行链路状态,当上行链路故障时,Slave 设备能够接管 Master 设备转发数据;
而当链路故障恢复后,原 Master 设备接管 Slave 设备转发数据。
(四) 因集团销售人员较多、同时也为了节约成本,在集团接入交换机下挂两个 8 口 HUB
交换机实现销售业务接入,集团信息技术部已经为销售业务 VLAN 分配 IP 主机位为 1-14,在
集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发,对 IP 不在上述范围内的
用户发来的数据包,交换机不能转发,直接丢弃, 要求禁止采用访问控制列表实现。
(五) 集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层,当发现单向链
路后,要求自动地关闭互连端口;发送握手报文时间间隔为 5s, 以便对链路连接错误做出更
快的响应,如果某端口被关闭,经过 30 分钟,该端口自动重启。
(六) SW-2 既作为集团核心交换机,同时又使用相关技术将 SW-2 模拟为 Internet 交换
机,实现集团内部业务路由表与 Internet 路由表隔离。
(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在
SW-1 核心交换机 E1/0/10-E1/0/11 接口测试,将核心交换机与接入交换机、防火墙互连流量
6 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
提供给多个厂商网流分析平台。
三、 路由配置与调试
(一) 尽可能加大集团防火墙与核心交换机之间链路带宽;
(二) 规划集团使用 OSPF 协议进行互连互通,进程号为 1,具体要求如下:
1.集团防火墙与集团核心交换机之间、集团核心交换机与集团核心交换机之间均属于骨
干区域;
2.借助 OSPF 相关特性,尽可能保证骨干区域完整性;
3.针对骨干区域启用区域 MD5 验证,验证密钥为:DCN2019,调整接口的网络类型加快
邻居关系收敛;
4.集团防火墙将访问郑州办事处业务网段的静态路由引入 OSPF。
(三) 实现集团销售&产品&信息技术&无线业务、统一通过集团防火墙访问 Internet,
轮询使用 NAT 地址为:202.99.192.4/30,针对上述源地址,限制单个 IP 地址能建立 NAT 翻
译表项的最大数目为 100;配置一对一地址转换,实现通过 Internet 任意位置访问
202.99.192.8/32 都可以访问至集团 OA 平台 10.XX.10.1/32(XX 与“主要网络环境”地址中
相应网段一致)进行数据查询;郑州办事处业务网段通过郑州办事处防火墙访问 Internet,
NAT 地址池为接口公网 IP。
(四) 集团防火墙与郑州办事处防火墙之间使用与 Internet 的接口互联地址建立
GRE 隧道,再使用 IPSEC 技术对 GRE 隧道进行保护,使用 IKE 协商 IPSec 安全联盟、交换 IPSec
密钥,两端加密访问列表名称都为 ipsecacl,这样有了 IPSec,郑州办事处通过静态路由协
议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全
上传郑州办事处相关销售业务数据。
(五) 为了合理分配集团业务流向,保证来回路径一致,业务选路具体要求如下:
1. 集团核心交换机与集团无线控制器 DCWS 之间采用静态路由协议,使用 OSPF 相关特性
实现集团无线业务与 Internet 互访流量优先通过 DCWS_SW-1_FW-1 间链路转发,
DCWS_SW-2_FW-1 间链路作为备用链路;
2. 实现销售、产品、信息技术业务分别与 Internet、办事处互访流量优先通过 SW-1_ FW-1
间链路转发,法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过
7 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
SW-2_ FW-1 间链路转发,从而实现流量的负载分担与相互备份。
四、 无线配置
(一) 集团无线控制器 DCWS 与核心交换机互联,无线业务网关位于 DCWS 上,VLAN220
为业务 VLAN;核心交换机侧配置使用 DHCP 进行 AP 管理地址分配,利用 DHCP 方式让 AP 发现
DCWS 进行三层注册,采用 MAC 地址认证。
(二) 配置一个 SSID DCNXX:DCNXX 中的 XX 为赛位号,访问集团及 Internet 业务,采
用 WPA-PSK 认证方式,加密方式为 WPA 个人版,配置密钥为 Dcn12345678。
(三) AP 在收到错误帧时,将不再发送 ACK 帧;打开 AP 组播广播突发限制功能;开启
Radio 的自动信道调整,每天上午 7:00 触发信道调整功能。
五、 安全策略配置
(一) 根据题目要求配置郑州办事处防火墙相应的业务安全域、业务接口;郑州办事处
业务网段通过 VPN 隧道只可以访问集团销售业务网段 http&https 业务,通过公网接口可以访
问 Internet 业务;集团所有业务网段均可以与郑州办事处业务网段双向互 ping,方便网络
连通性测试与排障。
(二) 集团计划在郑州办事处进行 https 认证试点,对郑州办事处业务网段上网的用户
进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密码分别为 dcn01 或者
dcn02 才可以访问外部网络,强制用户在线时常超过 1 天后必须重新登录。
(三) 郑州办事处只有 100M Internet 出口,在郑州办事处防火墙上限制该业务网段每
个 IP 上下行最多 4M 带宽;对 Internet 出口 http 流量整形到 10Mbps,从而实现流量精细化
控制,保障办事处其它关键应用和服务的带宽。
六、 IPV6 配置
集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版
(IPv6)规模部署行动计划》,加快推进基于互联网协议第六版(IPv6)基础网络设施规模部
署和应用系统升级,现准备先在集团公司开始 IPv6 测试,要求如下:
(一) 在集团核心交换机 SW-1 配置 IPv6 地址,使用相关特性实现销售业务的 IPv6 终
端可自动从网关处获得 IPv6 有状态地址。
(二) 在集团核心交换机 SW-2 配置 IPv6 地址,开启路由公告功能,路由公告的生存期
8 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
9 / 25
为 2 小时,确保产品业务的 IPv6 终端可以获得 IPv6 无状态地址。
(三) 在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性,实现销售业务的
IPv6 终端与产品业务的 IPv6 终端可以互访。
集团测试 IPv6 业务地址规划如下,其它 IPv6 地址自行规划:
业务
IPV6 地址
销售
2001:XX:10::254/64
(XX 与“主要网络环境”地址中相应网段一致)
产品
2001:XX:20::254/64
(XX 与“主要网络环境”地址中相应网段一致)
举例:“主要网络环境”中销售业务 IPv4 地址为:10.30.10.0/24,对应 IPv6 地址为:
2001:30:10::254/64。2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
10 / 25
第二部分:云平台配置(
80 分)
【竞赛技术平台说明】
1.云服务实训平台相关说明:
(
1) 云服务实训平台管理 ip 地址默认为 192.168.100.100 ,访问地址
http://192.168.100.100/dashboard 默认账号密码为 admin/dcncloud,ssh 默认账号密码为
root/dcncloud,考生禁止修改云服务实训平台账号密码及管理 ip 地址,否则服务器配置及
应用项目部分计 0 分;
(
2) 云服务实训平台中提供镜像环境,镜像的默认用户名密码以及镜像信息,参考《云
服务实训平台用户操作手册(江苏省赛版)》;
名称
用户名
密码
ssh
rdp
Win10
admin
Qwer1234
否
是
Win2008
administrator
Qwer1234
否
是
Win2019
administrator
Qwer1234
否
是
Centos8
root
dcncloud
是
否
(
3) 所有 windows 主机实例在创建之后都直接可以通过远程桌面连接操作,centos7
可以通过 CRT 软件连接进行操作,所有 linux 主机都默认开启了 ssh 功能,Linux 系统软件
镜像位于”/opt”目录下;
(
4) 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
2.云服务实训平台和服务器 PC1 和 PC2 相关服务说明:
(
1) 题目中所有未指明的密码均参见“表 6.云主机和服务器密码表”,若未按照要求
设置密码,涉及到该操作的所有分值记为 0 分;
(
2) 虚拟主机的 IP 属性设置请按照“拓扑结构图”以及“表 3.服务器 IP 地址分配表”
的要求设定;
(
3) 除非作特殊说明,在 PC1 和 PC2 上需要安装相同操作系统版本的虚拟机时,可采
用 VMware Workstation 软件自带的克隆系统功能实现。
(
4) PC1 和 PC2 上所有系统镜像文件及赛题所需的其它软件均存放在每台主机的2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
11 / 25
D:\soft 文件夹中;
(
5) PC1 和 PC2 要求的虚拟机均安装于每台在 D 盘根目录下自建的名为 VirtualPC 文
件夹中,即路径为 D:\VirtualPC\虚拟主机名称。
(
6) 请在 PC2 桌面上,选手自己建立 BACKUP_X(X 为赛位号)文件夹,并将 PC2 上
D 盘 soft 文件夹中的《云实训平台安装与应用报告单》、《Windows 操作系统-云平台部分竞赛
报告单》和《Linux 操作系统竞赛报告单》复制到 PC2 桌面的“BACKUP_X”(
X 为赛位号)文
件夹中、将 PC1 上 D 盘 soft 文件夹中的《Windows 操作系统-虚拟机部分竞赛报告单》 复制
到 PC1 桌面的“BACKUP_X”(
X 为赛位号)文件夹中,并按照截图注意事项的要求填写完整;
如报告单、截图等存放位置错误,涉及到的所有操作分值记为 0 分;
(
7) 所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服
务功能一定分数。
【云实训平台安装与运用】
一、云平台基础设置
1.按照“表 4:云平台网络信息表”要求创建五个外部网络,这些外部网络所使用的 VLAN
均为总部业务 VLAN,详细操作过程请参照“云服务实训平台用户操作手册(江苏省赛版)”;
2.创建 5 块云硬盘,卷命名为 hd1-hd5,其中 hd1-hd2 大小为 10G,h3-h5 大小自定。
注意事项:
(
1)必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘;不能使用 “管
理员”,“系统”栏下的“卷”功能,该功能使用不当会造成云硬盘创建失败,界面卡死。
(
2)在云平台中可以创建多个云硬盘,所有云硬盘容量的总大小不能超过 100G,否则
将创建失败。一个实例可以同时连接多个云硬盘,但一个云硬盘同时只能给一个实例作为扩
展硬盘使用。
(
3)在分离卷之前一定要保证使用该卷的 Linux 主机中,已经不存在该卷的任何挂载
点。如果使用该卷的主机是 Windows 实例,必须保证该卷在主机的“磁盘管理”项目中处
于脱机状态,否则会造成分离失败,或是一直显示“分离中”状态。
二、创建虚拟主机 2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
1.按照“表 5:虚拟主机信息表”所示,按要求生成虚拟主机,详细操作过程请参照“云
服务实训平台用户操作手册(江苏省赛版)”;
2.云平台中所有虚拟机的 IP 地址,要求手动设置为该虚拟机 DHCP 获取的地址。
12 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
13 / 25
第三部分:Windows 系统配置(200 分)
一、在云实训平台上完成如下操作
(一)完成虚拟主机的创建
将按照“表 5:虚拟主机信息表”生成的虚拟主机加入到 JsSkill.com 域环境。
(二)完成链路聚合的部署
1. 在云主机 1 中添加一块网卡,第一块网卡和第二块网卡为提供链路聚合网卡,完成链
路聚合操作,组名为“AggNic1”,成组模式为“静态成组”,负载均衡模式为“地址哈希”,
为主域和辅助域之间的传输提升速度;
2. 在云主机 2 中添加一块网卡,第一块网卡和第二块网卡为提供链路聚合网卡,完成链
路聚合操作,组名为“AggNic2”,成组模式为“静态成组”,负载均衡模式为“地址哈希”,
为主域和辅助域之间的传输提升速度。
(三)在云主机 1 中完成域用户管理及 CA 服务器的部署
1. 创建 3 个用户组,组名采用对应部门名称的中文全拼命名,每个部门都创建 2 个用户,
行政部用户:adm1~ adm2、销售部用户:sale1~sale2、技术部用户:sys1~sys2,所有用户
不能修改其用户口令,并要求用户只能在上班时间可以登录(每周一至周五 9:00~18:00)。
2. CA 服务器配置:
(
1)安装证书服务,为企业内部自动回复证书申请;
(
2)颁发的证书有效期年份为 3years。
(四)在云主机 1 中完成组策略部署
1. 配置实现域中技术部的所有员工必须启用密码复杂度要求,密码长度最小为 10 位,
密码最长存留 60 天,允许失败登录尝试的次数、重置失败登录尝试计数都为 6 次,账户将
被锁定的时间为 0 分钟,直至管理员手动解锁账户;
2. 配置实现所有销售部的计算机开机后自动弹出“温馨提示”的对话框,显示的内容为
“请注意销售数据的安全!”;
3. 配置实现域内所有计算机“关闭自动播放”;
4. 配置实现行政部所有计算机隐藏桌面网络图标,“开始”菜单中不保留最近打开文档
的历史;2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
14 / 25
5. 设置组策略,让域中主机之间通信采用 IPSec 安全连接,但域控制器和网关除外;采
用计算机证书验证,使用组策略将证书分发到客户端计算机。
(五)在云主机 1 中完成 DNS 服务器的部署
1. 将此服务器配置为主 DNS 服务器,具体要求:
(
1)正确配置 JsSkill.com 域名的正向及反向解析区域;
(
2)创建对应所有服务器主机记录,正确解析 JsSkill.com 域中的所有服务器;
(
3)关闭网络掩码排序功能;
(
4)设置 DNS 服务正向区域和反向区域与活动目录集成;
(
5) 启用 Active Directory 的回收站功能。
2. 为了防止域控制器的 DNS 域名解析服务造成大量不必要的数据流,公司技术人员决定
禁用 DNS 递归功能,请您使用 PowerShell 禁用 DNS 递归功能;
3. 新建一条主机记录,主机名称为 dnss、IP 地址为 10.10.10.10;
4. 对云主机 1 的 JsSkill.com 区域中的 dnss 主机记录提供完整性验证,保证数据在传
输的过程中不被篡改;
5. 建立如下表解析记录
域名
Ipv6 地址
备注
2001:10:50:254::4/128
2001:10:50:254::5/128
2001:10:50:254::6/128
2001:10:50:254::7/128
6. 建立如下表站点及子网信息
站点名称
子网
销售 1 部
10.1.1.0/24、10.1.2.0/24、10.1.3.0/24
销售 2 部
10.2.1.0/24、10.2.2.0/24、10.2.3.0/24
销售 3 部
10.3.1.0/24、10.3.2.0/24、10.3.3.0/24
7. 创建如下表站点链接信息
名称
类型
链接站点
开销
复制间隔
复制时间
销售 1-销售 2 站点链接
技术 1 部、技术 2 部
80
60
星期一至星期五 8
点至 17 点2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
15 / 25
销售 1-销售 3 站点链接
技术 1 部、技术 3 部
90
75
星期六、星期日 0
点至 6 点
销售 2-销售 3 站点链接
技术 2 部、技术 3 部
100
90
星期五 2 点至 7 点
(六)在云主机 2 中完成辅助域控、从属证书及磁盘阵列的部署
1. 将云主机 2 的服务器升级成 JsSkill.com 域的辅助域控制器;
2. 将云主机 2 的服务器设置为证书颁发机构:
(
1)安装证书服务,为企业内部自动回复证书申请;
(
2)设置为企业从属 CA,负责整个 JsSkill.com 域的证书发放工作;
3. 添加三块 SCSI 虚拟硬盘,其每块硬盘的大小为 10G,并创建 RAID5 卷,盘符为 E 盘。
(七)在云主机 2 中完成 AD RMS 的部署
安装 AD RMS 权限管理服务:
(
1)要求安装“AD 权限管理服务器”和“联合身份验证支持”角色服务;
(
2)使用 Windows 的内部数据库;
(
3)指定群集地址为:https://adrms.JsSkill.com;
(
4)配置联合身份验证支持的服务器名称为:https://adrms.JsSkill.com。
(八)在云主机 3 中完成文件服务器的部署
1. 通过压缩卷新建 E 盘,大小自定;
2. 在 E 盘上新建文件夹 FilesWeb,并将其设置为共享文件夹,共享名为 FilesWeb,开
放共享文件夹的读取/写入权限给 everyone 用户;
3. 在 FilesWeb 文件夹内建立两个子文件夹:
(
1)子文件夹为“FilesConfigs”,用来存储共享设置;
(
2)子文件夹为“FilesConts”,用来存储共享网页。
(九)在云主机 3 中完成 DHCP 及 WDS 服务的部署
1. 安装 DHCP 服务,为服务器网段部分主机动态分配 IPv4 地址,建立作用域,作用域的
名称为 dhcpser,地址池为 220-225;
2. 安装 WDS 服务,目的是通过网络引导的方式来安装 Windows Server 2019 CORE 操作
系统,运用适当技术手段,让此 WDS 的客户端,只获取到对应 WDS 服务器端 DHCP 下发的
IP 地址。2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
16 / 25
(十)在云主机 3 中完成 DNS 转发服务器和 DNSSEC 签名的部署
3. 安装 DNS 服务器角色,设置转发器为“云主机 1”的服务器,负责转发“云主机 6”
的域名解析的查询请求;
4. 在云主机 3 上导入 JsSkill.com 区域的 DNSKEY 签名,来保证数据来自正确的名称服
务器。
(十一)在云主机 4 中完成 WEB 服务器 1 的部署
1. 安装 IIS 组件,创建 www.JsSkill.com 站点:
(
1)将该站点主目录指定到\\WDF\FilesWeb\FilesConts 共享文件夹;
(
2)将 PC1 中“D:\Soft\IIS”目录下的主页文件拷贝到文件服务器中的共享文件夹
\\WDF\FilesWeb\FilesConts 内;
(
3)启动 www.JsSkill.com 站点的共享配置功能,通过输入物理路径、用户名、密码、
确认密码和加密秘钥,将该站点的设置导出、存储到\\WDF\FilesWeb\FilesConfigs 内;
2. 设置网站的最大连接数为 1000,网站连接超时为 60s,网站的带宽为 1000KB/S;
3. 使用 W3C 记录日志,每天创建一个新的日志文件,文件名格式:
(
1)日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端
口号;
(
2)日志文件存储到“C:\WWWLogFile”目录中;
4. 创建证书申请时,证书必需信息为:
(
1)通用名称=“www.JsSkill.com”;
(
2)组织=“JsSkill”;
(
3)组织单位=“sales”;
(
4)城市/地点 =“NanJing”;
(
5)省/市/自治区=“JiangSu”;
(
6)国家/地区=“CN”。
(十二)在云主机 4 与主云主机 5 之间实现 DFS 服务部署
1. 在两台服务器 D 盘建立 DFSFile 文件夹,作为 DFS 同步目录;
2. 实现 DFS 同步功能,空间名称为 DFSROOT,文件夹为 DFSFile,复制组为 ftp-backup,2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
17 / 25
拓朴采用交错方式,设置复制在周六和周日带宽为完整,周一至周五带宽为 64M,同时实现
云主机 4 向云主机 5 的单向复制。
(十三)在云主机 5 中完成 WEB 服务器 2 的部署
1. 安装 IIS 组件,实现 www.JsSkill.com 站点的共享配置,启动 www.JsSkill.com 站点
的共享配置功能,通过输入物理路径、用户名、密码、确认密码和加密密钥密码,使得让该
站点可以使用位于\\WDF\FilesWeb\FilesConfigs 内的共享配置;
2. 设置网站的最大连接数为 1000,网站连接超时为 60s,网站的带宽为 1000KB/S;
3. 使用 W3C 记录日志,每天创建一个新的日志文件,文件名格式:
(
1)日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端
口号;
(
2)日志文件存储到“C:\WWWLogFile”目录中;
4. 创建证书申请时,证书必需信息为:
(
1)通用名称=“www.JsSkill.com”;
(
2)组织=“JsSkill”;
(
3)组织单位=“sales”;
(
4)城市/地点 =“NanJing”;
(
5)省/市/自治区=“JiangSu”;
(
6)国家/地区=“CN”。
二、在 PC1 上完成如下操作
(一)完成虚拟主机的创建
1. 安装虚拟机“服务器 1”, 其内存为 768MB,硬盘 40G;
2. 安装虚拟机“服务器 2”, 其内存为 768MB,硬盘 40G;
3. 安装虚拟机“服务器 3”, 其内存为 768MB,硬盘 40G,通过“云主机 3”的 WDS 服务
进行网络引导和安装,安装完成后停止“云主机 3”中 DHCP 中服务器网段的作用域。
(二)在主机“服务器 2”中完成域及安全部署
1. 将“服务器 2”的服务器,升级为子域 cz.JsSkill.com;
2. 配置“连接安全规则”,保证和“云主机 6”之间的通信安全,要求入站和出站都要2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
求身份验证,完整性算法采用 SHA-1,加密算法采用 AES-CBC 128,预共享的密钥为
JiangSuskills。
(三)在主机“服务器 1”中完成域控制器的部署
1. 将“服务器 1”服务器升级为域服务器,域名为 JiangSuskills.com;
2. 在 “服务器 1”中添加二块 SCSI 虚拟硬盘,其每块硬盘的大小为 4G。将二块硬盘配
置为 RAID0,对应磁盘盘符为 E;
3. 实现 E 盘启用卷影副本功能,设置每周六的晚上 20:30 创建卷影副本,将副本存储于
C 盘根目录。
(四)在主机“服务器 1”中完成域控制器信任的部署
1. 在 E 盘下新建文件夹 share,并将其文件夹进行共享,权限为任何人完全控制,共享
名为 share;
2. 通过使用 单向信任关系 ,实现 JsSkill.com 域 的 技术部 的员工可以访问
JiangSuskills.com 域的共享资源 share 文件夹,反之不可以。
(五)在主机“服务器 3”中完成 Core 服务器的部署
1. 使用命令修改“服务器 3”服务器的主机名为 wscore,修改“服务器 3”服务器的 IP
地址为表 3 中要求的地址,并按照题目要求设置默认网关;
2. 将其“服务器 3”服务器加入 AD DS 域 JiangSuskills.com 中;
3. 关闭“服务器 3”服务器的防火墙;
4. 在“服务器 3”服务器上安装 DHCP 服务;
5. 启动“服务器 3”服务器的 DHCP 服务。
18 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
第四部分:Linux 系统配置(200 分)
(一)Linux XFS 文件系统之“增量备份”
【任务描述】
随之企业的不断扩大,随着大数据时代的到来,数据不但越来越大,亦越来越重要,
CENTOS8 采用 XFS 文件系统(支持 18EB 容量,1EB=1024PB),数据健壮性亦大大加强,当意
想不到的宕机发生后,你磁盘上的文件不再会意外宕机而遭到破坏。
系统数据被黑及故障在所难免,数据备份必不可少,公司决定使用 Linux 自建数据备份,
可以实现增量备份及差异备份。为模拟相关功能,请使用 Linux-1、Linux-2 模拟完成相关功
能配置及实际测试。
1. 修改所有 Linux-1~Linux-7 主机的主机名为“服务器 IP 地址分配表”中标注的合格
域名。
2. 在 Linux-1 上为简单起见,我们创建并使用文件形式的存储空间,在/opt 目录下使
用dd创建一个文件形式存储空间skilldisk.img文件,大小为50M(具体参数:块大小=1024k ,
50 个块)
3. 在 Linux-1 上将/opt/skilldisk.img 文件关联到/dev/loop1,将/dev/loop1 创建为
XFS 文件系统,挂载到/mnt/loop1。
4. 在 Linux-2 中安装配置 NFS 服务及启用 RPC;
5. 在 Linux-2 中将云平台上的 HD4 虚拟盘加载到本机,将所有容量创建 XFS 文件系统并
挂载到/mnt/upload。
6. 在Linux-2上分别建立NFS共享/mnt/upload 做为本服务器网段这个网域的数据上传
目录,不论登入 NFS 的使用者身份为何, 他的身份都会被压缩成为匿名用户(nfs-upload),
其中,这个/mnt/upload 的使用者及所属群组都为 nfs-upload 这个名字,他的 UID 与 GID
均为 210;(all_squash,anonuid,anongid)
7. 完成上述相关目录授权,创建相关组及用户。
8. 在 Linux-1 中挂载 Linux-2 的/mnt/upload 到本机的/mnt/backup-Linux-1。
9. 在 Linux-1 上将资源文件“skills-2022-dump-FULL”、“skills-2022-dump-01”中的
数据恢复到本机的/mnt/loop1
19 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
10. 在 Linux-1 上将/dev/loop1 做一次全备份到本机的/mnt/backup-Linux-1,文件名
称为 skills-dump-Linux-1-FULL,参数 session label 为"skills-Loop1-full-backup",参
数 media label 为 "skills-loop1"。
11. 在 Linux-1 在/mnt/loop1 下创建目录 Skills2022,在 Skills2022 下创建空文件
skills-1、skills-2、skills-3。
12. 在 Linux-1 将/dev/loop1 做一次增量备份到本机的/mnt/backup-Linux-1,文件名
称为 skills-dump-Linux-1-01,参数 session label 为"skills-Loop1-L1-backup",参数
media label 为 "skills-loop1"。
(二) Linux CA 服务配置
【任务描述】为保障企业提供的网络服务具有加密功能,提供证书服务,配置 CA 服务器,
为模拟相关功能,请使用 Linux-1、Linux-2 模拟完成相关功能配置及实际测试。。
13. 把 Linux-1 配置为 CA 服务器,CA 的私钥 cakey.pem 使用 2048 位,私钥文件存放于
/etc/pki/CA/private 目录,只有拥有者可读写, CA 证书使用系 统默认文件名:
/etc/pki/CA/cacert.pem, 可以签发“省、市/县”名称不同的主机、web 服务等证书,有效
期 20 年,CA 颁发证书有效期 10 年,证书其他信息:
(1) 国家=“CN”。
(2) 省=“Beijing”。
(3) 市/县=“Beijing”。
(4) 组织=“skills”。
(5) 组织单位=“system”。
14. 为 Linux-2 签发 http01.crt 证书,证书存放于 Linux-2 主机的/etc/pki/httpd/ssl
目录。
(1) 国家=“CN”。
(2) 省=“Jiangsu”。
(3) 市/县=“CZ”。
(4) 组织=“skills”。
(5) 组织单位=“NIC”。
20 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
(6) 服务器主机名=“web01.skills.com”
(7) 邮件名=nic@skills.com
15. 为 Linux-3 签发 http02.crt 证书,证书存放于 Linux-2 主机的/etc/pki/httpd/ssl
目录。
(1) 国家=“CN”。
(2) 省=“Jiangsu”。
(3) 市/县=“NJ”。
(4) 组织=“skills”。
(5) 组织单位=“NIC”。
(6) 服务器主机名=“web02.skills.com”
(7) 邮件名=nic@skills.com
(三) Linux 智能 DNS 服务配置
【任务描述】随之企业服务对象的不断扩大,在网络边界实现了多运营商接入的情况下,
为保障企业提供的网络服务外网的高速访问,同时为了实现区域服务优化,对企业的 DNS 服
务实现升级,为模拟相关功能,请使用 Linux-1、Linux-2、Linux-3、Linux-4、Linux-5 模
拟完成相关功能配置及实际测试。
16. 在 Linux-1 上安装配置 DNS 主服务器。
17. 实现【服务器 IP 地址分配表】中 Linux-1~linux-5 的域名的解析。
18. 在 Linux-2 上安装配置对应备份服务器。
19. 添加【服务器 IP 地址分配表】中 Linux-6~linux-7 的域名的解析。
20. 修改上述 Linux-1、Linux-2 的 DNS 相关配置,实现 Linux-3(Jiangsu)、Linux-4
(Beijing)、Linux-5(Shanghai)不同地区主机解析 web.skills.com 返回不同 IP 地址。【使
用 hosts 文件不得分!】
21. 配置服务后,相关服务开机自启动。
(四) FTP 服务配置
【任务描述】为实现文件的安全访问,采用传统的 FTP,实现企业内部资源管理,在
Linux-4 服务器上安装配置 VSFTP 服务,具体要求为:
21 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
22 / 25
22. (
1)安装配置 vsftp 及 ftp 客户端软件,开机启动 FTP 服务,系统启用 SELinux 和
防火墙,请正确配置相关参数,保证网络正常访问。
23. (
2)为了服务器安全及加强使用规范,为网络部、技术部、市场部、行政部分别创
建访客账号,分别为 netftp,techftp,markftp,admftp,用户密码为本竞赛统一要求的密
码,指定默认访问路径分别为:/opt/ftp/账号名,不允许本地登录;各部门员工可以在各自
部门的相关目录下实现资源的上传与下载
24. (
3)匿名用户不允许访问此 FTP 服务器,用户 nic 不允许登录此 FTP 服务器,最大
连接数上限 50,空闲超时 60s 后自动断线。
25. (
4)配置完成重启相关服务,并验证检查相关状态,设置相关服务开机自启。
(五) Mariadb 服务配置
【任务描述】为按数据结构来存储和管理数据,请采用 Mariadb,实现方便、严密、有
效的数据组织、数据维护、数据控制和数据运用。
26. 配置 Linux-3 为 Mariadb 服务器,创建数据库用户 Jack,只能在 Linux-4 主机上对
所有数据库有完全权限。
27. 配置 Linux-4 为 Mariadb 客户端,创建数据库 userdb;在库中创建表 userinfo,在
表中插入 2 条记录,分别为(1,user01,1995-7-1,男),(2,user02,1995-9-1,女),口令
与用户名相同, password 字段用 password 函数加密,表结构如下;
字段名
数据类型
主键
自增
Id
int
是
是
name
varchar(10)
否
否
birthday
datetime
否
否
sex
char(5)
否
否
password
char(200)
否
否
28. 修改表 userinfo 的结构,在 name 字段后添加新字段 height(数据类型为 float),
更新 user1 和 user2 的 height 字段内容为 1.61 和 1.62。
29. 把物理机 d:\soft\mysql.txt 中的内容导入到 userinfo 表中,password 字段用
password 函数加密。
30. 将表 userinfo 中的记录导出,并存放到/var/databak/mysql.sql 文件中。2022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
31. 每周五凌晨 1:00 备份数据库 userdb 到/var/databak/userdb.sql。
(六) 基于 Nginx 的反向代理和负载均衡
【任务描述】随着企业规模的不断扩大,为了进一步提高企业 WEB 服务的可靠性、提升
WEB 服务的效能,同时有效保护前期 IT 投资, 请采用 Nginx、Apache 配置 Web 服务,实现
基于 Nginx 的反向代理和初步的简单负载均衡,有效整合资源,实现对企业网站的高效、安
全、有效的访问。
32. 在 Linux-5 上安装 Nginx,配置启用网站 https,默认文档 index.html 的内容为
“Nginx 加密访问!”;证书由 Linux-1 颁发,证书路径为/etc/pki/nginx-1.crt,私钥路径为
/etc/pki/nginx-1.key。
33. 使用 Nginx 的 proxy_pass 配置 HTTP 反向代理,使用 upstream 配置负载均衡实现
Linux-5 主机 WEB 为前端,Linux-2 主机(权重为 1,max_fails 为 3,超时为 30 秒)和 Linux-3
主机(权重为 2,max_fails 为 3,超时为 20 秒)的相关 web 服务为后端。
34. 配置 Linux-2 为 web 服务器,网站根目录为/https,默认文档 index.html 的内容为
“Apache01 加密访问!”;仅允许使用域名访问,证书由 Linux-1 颁发,证书路径为
/etc/pki/httpd/ssl/http01.crt,私钥路径为/etc/pki/httpd/ssl/http01.key,网站虚拟
主机配置文件路径为/etc/httpd/conf.d/vhost.conf。
35. 配置 Linux-3 为 Apache web 服务器,网站根目录为/https,默认文档 index.html
的内容为“Apache02 加密访问!”;仅允许使用域名访问,证书由 Linux-1 颁发,证书路径为
/etc/pki/httpd/ssl/http02.crt,私钥路径为/etc/pki/httpd/ssl/http02.key,网站虚拟
主机配置文件路径为/etc/httpd/conf.d/vhost.conf。在主机 PC2 上测试。
(七) Linux Rsyslog 服务配置
【任务描述】
随之企业的不断扩大,安全变得越来越重要,为了有效防范骇客,加强监控系统级安全,
决定将主机登录、su 等相关日志统一保存,相关服务主机不再保存相关安全日志,将安全日
志数据与服务主机系统分离,决定使用 Linux 的 RSYSLOG 服务实现相关功能,为模拟相关功
能,请使用 Linux-5、Linux-6、Linux-7 模拟完成相关功能配置及实际测试。
36. 在Linux-7上配置rsyslog服务,作为统一安全事件日志服务器,将网络内相关Linux
23 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
主机的登录、su 命令等产生的相关安全日志存储到/var/log/skills 文件。
37. 在 Linux-5 上配置 rsyslog 服务,将本主机的登录、su 命令等产生的相关安全日志
使用 UDP 转发到 Linux-7 上的 rsyslog 服务,本机不再保存相关日志。
38. 在 Linux-6 上配置 rsyslog 服务,将本主机的登录、su 命令等产生的相关安全日志
使用 TCP 转发到 Linux-7 上的 rsyslog 服务,本机不再保存相关日志。
39. 禁止 Linux-5 的 SSH 的 root 远程登录,将密码重试次数设为 3,在本主机添加账号
nic,密码为竞赛系统规定的统一密码。
40. 在 Linux-6 配置 sudo,在本主机添加账号 hic,密码为竞赛系统规定的统一密码,
添加accounts组,使得 hic能通过任何主机以系统中任何其它类型的用户身份运行任何命令,
accounts组中的任何成员都能通过任何主机以root身份运行/usr/bin下的useradd、userdel
和 usermod 命令;
41. 在 PC2 上使用相关用户名及密码分别 ssh 连接 Linux-5、Linux-6 主机,并使用 su
等命令。
(八) Docker 虚拟化服务配置
【任务描述】随着虚拟化技术的发展,企业把测试环境迁移到 docker 容器中,考虑到一
些安全方面的问题,公司决定启用 podman 兼容 Docker。
42. 在 Linux-6 上安装 podman。
43. 导入 hello 镜像,镜像存放在物理机 D:\soft\skills\hello.tar,仓库名为
hello-skills,TAG 标签为 1.0。
44. 测试运行 hello-skills。
24 / 252022 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷——技能要求
第五部分:职业规范与素养(20 分)
25 / 25
1223
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
