2022年广东省职业院校技能大赛_配置合理,承载二层业务的链路均采用trunk链路类型,其中sw1、sw2与ac之间的二层链-CSDN博客

本文链接：https://blog.csdn.net/qq_45871601/article/details/134495500

2022年广东省职业院校技能大赛

网络搭建与应用竞赛

赛卷（B）

（总分1000分）

网络搭建与应用赛项专家组

2022 年 1 月

一、竞赛内容分布

“网络搭建与应用”竞赛共分三个部分，其中：

第一部分：网络搭建及安全部署项目（500分）

第二部分：服务器配置及应用项目（480分）

第三部分：职业规范与素养（ 20分）

二、竞赛注意事项

禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。
请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。
操作过程中，需要及时保存设备配置。
比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和配置为最终结果。
比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。
禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记，如违反规定，可视为0分。
与比赛相关的工具软件放置在每台主机的D:\soft文件夹中。

项目简介:

集团设有行政、法务、营销、售后、财务 5个部门，分别分部在集团广东DC1、广东DC2、广东DC3、广西办事处；统一进行IP及业务资源的规划和分配，全网采用OSPF路由协议、BGP路由协议等进行组网，详细网络拓扑结构见“表1拓扑结构图”。

其中三台虚拟化三层交换机编号为SW-1、SW-2和SW-3作为集团的核心交换机；一台防火墙编号为FW-1作为集团广东DC3的出口网关；一台防火墙编号为FW-2作为广西办事处的出口网关；一台路由器编号为RT-1作为集团冗余的核心路由器；一台路由器编号为RT-2作为集团出口路由器；一台无线控制器编号为AC作为集团广东的无线WIFI控制器；一台企业级AP配合实现集团广东DC2的无线覆盖。

结合网络环境和网络拓扑要求，合理规划网络和IP地址，保证网络搭建及安全部署项目和服务器配置及应用项目顺利实施。

请注意：在此典型互联网应用网络架构中，作为IT网络系统管理及运维人员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后，从客户端进行测试，确保能正常访问到相应

图1：拓扑结构图

表1：网络设备连接表

A设备连接至B设备
设备名称	接口	设备名称	接口
AC	E1/0/1	PC1	NIC
AC	E1/0/2	PC2	NIC
AC	E1/0/21	云平台	ETH1管理口
AC	E1/0/22	云平台	ETH2业务口
AC	E1/0/11	SW-1	E1/0/11
AC	E1/0/12	SW-1	E1/0/12
SW-1	E1/0/13	SW-2	E1/0/13
SW-1	E1/0/14	SW-2	E1/0/14
SW-1	E1/0/15	FW-1	E0/1
SW-1	E1/0/16	FW-1	E0/2
SW-1	E1/0/21	RT-2	G0/0
SW-1	E1/0/22	RT-1	G0/0
SW-1	E1/0/27 (实现VPN业务承载)	SW-2	E1/0/27 (实现VPN业务承载)
SW-1	E1/0/28 (实现二层业务承载)	SW-2	E1/0/28 (实现二层业务承载)
SW-2	E1/0/1	AP
SW-2	E1/0/11	FW-1	E0/3
SW-2	E1/0/12	FW-1	E0/4
SW-2	E1/0/21	RT-2	G0/1
SW-2	E1/0/22	RT-1	G0/1
SW-3	E1/0/15	FW-1	E0/5
SW-3	E1/0/16	FW-1	E0/6
SW-3	E1/0/11	FW-1	E0/7
SW-3	E1/0/12	FW-1	E0/8
FW-2	E0/1	AC模拟广西内网交换机	E1/0/5
FW-2	E0/5	SW-2模拟Internet交换机	E1/0/5
RT-1	G0/3	SW-2模拟Internet交换机	E1/0/6
RT-1	S1/0	RT-2	S1/1
RT-1	S1/1	RT-2	S1/0
RT-2	G0/3	SW-2模拟Internet交换机	E1/0/7

表2：网络设备IP地址分配表

网络设备IP地址分配表
设备	设备名称	设备接口	IP地址
路由器	RT-1	Loopback1	10.50.255.7/32
		G0/0	10.50.254.26/30
		G0/1	10.50.254.34/30
		G0/3	202.50.100.5/30
		Multilink1	10.50.254.38/30
		Tunnel1	10.50.254.41/30
	RT-2	Loopback1	10.50.255.6/32
		G0/0	10.50.254.22/30
		G0/1	10.50.254.30/30
		G0/3	202.50.100.1/30
		Multilink1	10.50.254.37/30
		Tunnel1	10.50.254.45/30
三层交换机	SW-1	VLAN10 SVI	192.168.10.254/24 2001:10:50:10::254/64
		VLAN20 SVI	192.168.20.254/24 2001:10:50:20::254/64
		VLAN30 SVI	192.168.30.254/24
		VLAN40 SVI	192.168.40.254/24
		VLAN50 SVI	192.168.50.254/24
		VLAN60 SVI	192.168.60.254/24
		VLAN70 SVI	192.168.70.254/24
		VLAN80 SVI	192.168.80.254/24
		VLAN90 SVI	192.168.90.254/24
		VLAN100 SVI	192.168.100.1/24
		VLAN200 SVI	192.168.200.254/24
		VLAN1000 SVI	10.50.254.1/30（port-group 1使用）
		VLAN1004 SVI	10.50.254.21/30
		VLAN1005 SVI	10.50.254.25/30
		VLAN4093 SVI	10.50.253.253/30（实现VPN业务承载）
		VLAN4094 SVI	10.50.254.253/30 2001:10:50:254::21/126
		Loopback1	10.50.255.1/32（ospfv2进程1使用）
		Loopback2	20.50.255.1/32（ospfv2进程2使用）
		Loopback3	30.50.255.1/32（ospfv3使用） 2001:10:50:255::1/128
		Tunnel 13	2001:10:50:254::1/126
	SW-2	VLAN10 SVI	192.168.11.254/24 2001:10:50:11::254/64
		VLAN20 SVI	192.168.21.254/24 2001:10:50:21::254/64
		VLAN30 SVI	192.168.31.254/24
		VLAN40 SVI	192.168.41.254/24
		VLAN50 SVI	192.168.51.254/24
		VLAN201 SVI	192.168.201.254/24
		VLAN202 SVI	192.168.202.254/24
		VLAN1003 SVI	10.50.254.18/30（port-group 2使用）
		VLAN1004 SVI	10.50.254.29/30
		VLAN1005 SVI	10.50.254.33/30
		VLAN4093 SVI	10.50.253.254/30（实现VPN业务承载）
		VLAN4094 SVI	10.50.254.254/30 2001:10:50:254::22/126
		Loopback1	10.50.255.2/32（ospfv2进程1使用）
		Loopback2	20.50.255.2/32（ospfv2进程2使用）
		Loopback3	30.50.255.2/32（ospfv3使用） 2001:10:50:255::2/128
		Tunnel 23	2001:10:50:254::5/126
	SW-3	VLAN1001 SVI	10.50.254.10/30（port-group 3使用）
		VLAN1002 SVI	10.50.254.14/30（port-group 4使用）
		Loopback1	10.50.255.3/32
		Loopback3	30.50.255.3/32（ospfv3使用） 2001:10:50:255::3/128
		Loopback10（行政）	192.168.12.254/32 2001:10:50:12::254/128
		Loopback20（法务）	192.168.22.254/32 2001:10:50:22::254/128
		Loopback30（营销）	192.168.32.254/32
		Loopback40（售后）	192.168.42.254/32
		Tunnel 13	2001:10:50:254::2/126
		Tunnel 23	2001:10:50:254::6/126
	SW-2模拟Internet交换机	VLAN4005 SVI	202.50.100.2/30
		VLAN4006 SVI	202.50.100.6/30
		VLAN4007 SVI	202.50.100.10/30
防火墙	FW-1	Loopback1	10.50.255.5/32 （trust安全域）
		aggregate1 (E0/1-2)	10.50.254.2/30 （untrust安全域）
		aggregate2 (E0/3-4)	10.50.254.17/30 （untrust安全域）
		aggregate3 (E0/5-6)	10.50.254.9/30 （trust安全域）
		aggregate4 (E0/7-8)	10.50.254.13/30 （trust安全域）
	FW-2	Eth0/1.10（行政）	192.168.14.254/24 （trust安全域）
		Eth0/1.20（法务）	192.168.24.254/24 （trust安全域）
		Eth0/1.30（营销）	192.168.34.254/24 （trust安全域）
		Eth0/1.40（售后）	192.168.44.254/24 （trust安全域）
		Eth0/5	202.50.100.9/30 （untrust安全域）
		Tunnel 1	10.50.254.42/30 （BGP安全域）
		Tunnel 2	10.50.254.46/30 （BGP安全域）
无线控制器	AC	VLAN50 SVI	192.168.52.254/24
无线控制器	AC	VLAN200 SVI	192.168.200.253/24(管理网段)

表3：防火墙配置部署表

FW-1
地址薄名称：地址范围	GD：192.168.10.0/24，192.168.11.0/24，192.168.12.0/24， 192.168.20.0/24，192.168.21.0/24，192.168.22.0/24， 192.168.30.0/24，192.168.31.0/24，192.168.32.0/24。 192.168.40.0/24，192.168.41.0/24，192.168.42.0/24。
地址薄名称：地址范围	GX：192.168.14.0，192.168.24.0/24，192.168.34.0/24，192.168.44.0/24。
策略表	ID	源安全域	目的安全域	源地址	目的地址	服务薄	行为
	1	trust	untrust	Any	Any	Any	允许
	2	untrust	trust	Any	Any	Any	允许
FW-2
地址薄名称：地址范围	GD：192.168.10.0/24，192.168.11.0/24，192.168.12.0/24， 192.168.20.0/24，192.168.21.0/24，192.168.22.0/24， 192.168.30.0/24，192.168.31.0/24，192.168.32.0/24。 192.168.40.0/24，192.168.41.0/24，192.168.42.0/24。
地址薄名称：地址范围	GX：192.168.14.0，192.168.24.0/24，192.168.34.0/24，192.168.44.0/24。
NAT表	源地址		目的地址	出流量		服务	转换为
NAT表	GX		Any	出接口E0/5		Any	指定IP
策略表	ID	源安全域	目的安全域	源地址	目的地址	服务薄	行为
	1	trust	BGP	GX	GD	Any	允许
	2	trust	untrust	GX	Any	Any	允许
	3	BGP	trust	GD	GX	Any	允许

表4：服务器IP地址分配表

网络名称	Vlan	子网名称	子网地址	网关	地址范围
Network60	60	Subnet60	192.168.60.0/24	192.168.60.254	192.168.60.10-192.168.60.99
Network70	70	Subnet70	192.168.70.0/24	192.168.70.254	192.168.70.10-192.168.70.99
Network80	80	Subnet80	192.168.80.0/24	none	192.168.80.10-192.168.80.99
Network90	90	Subnet90	192.168.90.0/24	none	192.168.90.10-192.168.90.99

表5：实例规格信息表

实例名称	镜像模板	名称	ID	VCPU数	内存(MB)	硬盘(GB)
Windows-1至Windows-9	win2019-gui	Large	1	4	4096	40
Linux-1至Liunx-7	CentOS8-cli	Small	2	1	2048	40

表6：卷信息表

卷名称	配额	分配实例
d1至d4	5G	Windows-5
d5至d8	5G	Liunx-5

表7：虚拟主机信息表

虚拟机名称	域名信息	服务角色	IPv4信息
Windows-1	ws1.skills.com	域服务 DNS服务 CA服务	192.168.60.11
Windows-2	ws2.bj.skills.com	域服务 DNS服务 DFS服务 docker服务	192.168.60.12
Windows-3	ws3.skills.com	DFS服务 NLB服务 WEB服务	192.168.60.13 192.168.80.11
Windows-4	ws4.skills.com	DFS服务 NLB服务 WEB服务	192.168.60.14 192.168.80.12
Windows-5	ws5.skills.com	iSCSI服务	192.168.60.15 192.168.80.13
Windows-6	ws6.skills.com	故障转移群集	192.168.60.16 192.168.80.14 192.168.90.11
Windows-7	ws7.skills.com	故障转移群集	192.168.60.17 192.168.80.15 192.168.90.12
Windows-8	ws8.skills.com	DHCP 故障转移	192.168.60.18
Windows-9	ws9.skills.com	DHCP 故障转移	192.168.60.19
Linux-1	cs1.skills.com	DNS服务 CA服务 chrony服务	192.168.70.11
Linux-2	cs2.skills.com	DNS服务 mail服务 docker服务	192.168.70.12
Linux-3	cs3.skills.com	apache2服务 Mariadb服务 PHP服务 rsyslog服务	192.168.70.13
Linux-4	cs4.skills.com	Mariadb客户端 rsyslog客户端	192.168.70.14
Linux-5	cs5.skills.com	iSCSI服务	192.168.70.15 192.168.80.16
Linux-6	cs6.skills.com	keepalive集群	192.168.70.16 192.168.80.17
Linux-7	cs7.skills.com	keepalive集群	192.168.70.17 192.168.80.18

网络搭建及安全部署项目

（500分）

【说明】

请将PC1上的”D:\soft\报告单”文件夹中的《网络搭建及安全部署竞赛报告单》复制到PC1桌面上选手自建的“XX_网络比赛报告”（XX为赛位号）文件夹中，并按照截图注意事项的要求填写完整；
设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在PC1桌面的“XX_网络比赛报告”（XX为赛位号）文件夹中；

保存文档方式如下：

交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“XX_网络比赛报告”文件夹中，文档命名规则为：设备名称.txt。例如：RT-1路由器文件命名为：RT-1.txt；
无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集，需要先调整CRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。CRT软件调整字符编号配置如图：

交换配置与调试（本部分142分）

（一）、为了减少广播，配置集团和广西办事处的业务VLAN。具体要求如下(22分)：

1．根据下述信息及表，在交换机上完成VLAN配置(12分)。

设备	VLAN编号	VLAN名称	说明
SW-1、 SW-2、 SW-3；	VLAN10	XZ	行政
	VLAN20	FW	法务
	VLAN30	XS	营销
	VLAN40	SH	售后
	VLAN50	CW	财务
AC	VLAN50	Guest	来宾

2．配置合理，承载二层业务的链路均采用trunk链路类型，其中SW-1与SW-2之间的二层业务链路只放行vlan10、20、30、40、50；SW-1与AC之间的链路只放行vlan50、60、70、80、90、100、200；( 10分)；

（二）、集团为保证交换机对内部业务流量转发的冗余备份，内部设备互连网段都使用两条线路，均采用了链路聚合组技术，其中集团AC与SW-1之间的组号为12、SW-1与FW-1互连使用的链路组组号为1、SW-2与FW-1互连使用的链路组组号为2、SW-3与FW-1互连使用的链路组号为3和4。（20分）

（三）、集团SW-1和SW-2之间通过一条裸光缆通道实现VPN业务承载、一条裸光缆通道实现二层业务承载，链路聚合组实现三层IP业务承载。具体要求如下：（20分）

1．设计实现VPN业务承载的裸光缆通道带宽只有10Mbps；使用相关技术分别实现集团广东1财务业务、广东2财务业务路由表与集团其它业务网段路由表隔离，财务业务位于VPN实例名称CW内；

2．配置链路聚合组，组ID为11，实现两个DC间的两条线路对三层IP业务的承载起到链路扩容和冗余备份作用。

（四）、SW-2既作为集团广东2的DC交换机，同时又使用相关技术将SW-2模拟为Internet交换机，实现与集团财务业务路由表、其他业务路由表隔离，Internet路由表位于VPN实例名称Internet内。（10分）

（五）、集团核心交换机（SW-1、SW-2、SW-3）分别配置简单网络管理协议，计划启用V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、62003；创建认证用户为DCN2022，采用3des算法进行加密，密钥为：Dcn20222022，哈希算法为SHA，密钥为：DCn20222022；加入组DCN，采用最高安全级别；配置组的读、写视图分别为：Dcn2022_R、DCn2022_W；当设备有异常时，需要使用本地的环回地址发送Trap消息至集团网管服务器192.168.10.120、2001:10:50:10::121，采用最高安全级别。（20分）

（六）、集团广东1内部新增竞赛活动，新设出两个团队，在AC上新增配置VLAN2-4，团队一使用vlan3，团队二使用vlan4，vlan2作为网关vlan，地址为1.1.1.254/24;要求两团队之间二层流量隔离，三层流量能正常转发，团队一使用地址范围为1.1.1.1-10，团队二使用地址范围为1.1.20-30，只有在这个地址范围内的终端的三层流量互通，而其他使用同网段地址的终端的三层流量不被转发（30分）

（七）、为了更好地提高数据转发的性能以及满足后期的升级改造，允许AC、SW-1、SW-2、SW-3交换机优先使用IP路由聚合算法。（20分）

路由配置与调试（本部分208分）

（一）、规划集团内部之间使用OSPF协议，集团广东内使用进程号为1，集团广东内交换机与集团路由器使用进程号为2，具体要求如下：（50分）

1．SW-1与SW-2、SW-1与FW-1、SW-2与FW-1、SW-3与FW-1之间均属于进程1的骨干区域，且每台设备以自己的loopback地址为router-id。

2．集团广东1内网、广东2内网，广东3等业务网段均以路由引入方式引入OSPF（要求只通过一条前缀列表和route-map匹配其数据流，其前缀列表名称为jt，序号为5；route-map名称为jt）。

3．SW-1与RT2、SW-1与RT-1、SW-2与RT-2、SW-2与RT-1、RT-2与RT-1之间均属于进程2的骨干区域，且每台设备以自己所属的loopback地址作为router-id。

4．在集团SW-1和SW-2的进程1和进程2实现双点双向路由引入，并防止路由倒灌，其中双点双向路由引入要求标签值使用100，200,300和400。

（二）、规划集团路由器与广西办事处使用BGP协议建立两对E-BGP邻居关系，集团路由器的AS使用65500，广西办事处防火墙的AS使用65501，具体要求如下：（40分）

1．RT-1和RT-2分别与FW-2通过与SW-2模拟Internet交换机互连接口建立的隧道建立E-BGP邻居关系。

2．FW-2通告广西办事处业务网段，并通过RT-2和RT-1学习集团内部业务网段。

（三）、合理分配集团业务与外部流量的互访，以及把冗余路由器利用最大化，实现流量的负载分担与相互备份，并保证来回路径一致;具体要求如下：（50分）

其中BGP路由部分的选路要求使用IP前缀列表来匹配其数据流，使用MED属性进行选路，MED值使用100和200。

1．实现广西办事处行政和法务与集团行政和法务业务优先通过RT-2与FW-2隧道链路转发，RT-1与FW-2隧道链路作为备份。

2．实现广西办事处营销和售后与集团营销和售后业务优先通过RT-1与FW-2隧道链路转发，RT-2与FW-2隧道链路作为备份。

3．实现集团内部业务访问Internet的流量优先通过RT-2路由器出口访问，RT-1作为备份。

（四）、配置总部RT-1使其能从域名服务器上进行域名查询和动态更新，配置组名称为test,域名为test.oray.net，用户密码都为test01，端口号5050，关联出接口为g0/0。（30分）

（五）、规划在RT-2配置流量统计功能，设置可存储IP信息表项的最大值为1024，对G0/1口出方向的包进行统计，对G0/0口收和发出去的包进行统计，并记录源和目的mac地址。（28分）

（六）、对RT-1的控制台进行配置，配置在终端查看配置时每屏输出行数不受限制。（10分）

无线配置（本部分44分）

（一）、规划AC通过三层注册管理AP，采用none地址认证；SW-1与AC互连线路采用链路聚合组技术，组id为12，放行vlan50、60、70、80、90、100、200；SW-2配置DHCP列表为无线AP管理网段和业务网段提供地址分配。具体配置如下：(24分)

1．创建地址池名称为ap，对AP的管理网段设备进行地址分配，创建地址池名称为ap-ip-mac，对AP进行IP-MAC地址绑定，AP固定地址为192.168.201.100。

2．创建业务网段地址池名为user，并排除地址范围192.168.202.250-192.168.202.254，租期时间为8个小时，dns地址为114.114.114.114，备用dns地址为8.8.8.8。

3．配置network 1的SSID为JTXX-WIFI（其中XX为赛位号），关联业务网段VLAN202，启用用户隔离，采用WPA-PSK认证方式，加密方式为WPA个人版，配置密钥为jtgd1234。

（二）、配置network 2的SSID为GuestXX-WIFI（其中XX为赛位号），关联业务（来宾）网段VLAN50，实现与Internet和集团其他业务网段互访。具体要求如下：(20分)

1．（来宾）无线客户端地址由AC提供分配，租期时间为8个小时，dns地址为114.114.114.114，备用dns地址为8.8.8.8；用户接入无线网络时采用内置portal+本地认证方式；使用用户账号为user01，关联组名称为1，密码为user8888，配置认证协议为http方式；

2．其中地址分配排除客户端地址192.168.52.100，并设置该客户端连接WIFI无需认证直接可以与集团其他业务网段互访。

安全策略配置（本部分50分）

（一）、在FW-1和FW-2的untrust区域开启攻击防护功能（10分）

启用以下Flood防护：

ICMP洪水攻击防护，警戒值1000，动作丢弃；

UDP供水攻击防护，警戒值1000，动作丢弃；

SYN洪水攻击防护，警戒值1000，动作丢弃；

开启以下DOS防护：

Ping of Death攻击防护；

Teardrop攻击防护；

IP选项，动作丢弃；

ICMP大包攻击防护，动作丢弃；

（二）、在RT-1和RT-2配置动态NAT，使用出接口地址进行上网，源地址为any，使用标准ACL进行匹配数据流，名称为1；NAT地址池名称也为1。（10分）

（三）、按“表4：防火墙配置部署表”创建地址簿和服务组、NAT表、策略表。（10分）

（四）、在FW-2上对MAC地址为00-1c-f0-96-f1-ea 的主机限制在2021年12月31日早上九点到2022年2月4日早上九点时间范围内不可上网。（10分）

（五）、对FW-2的源NAT进行ping网关有效性检测配置，关联名称设置为to-snat，发送报文间隔时间为5秒，重试次数为5次；产生的日志基于secure-tcp协议发送到网管服务器。（10分）

IPV6业务配置（本部分56分）

（一）、规划（SW-1、SW-2、SW-3）之间启用OSPFv3协议，区域号为0，使各DC的IPV6业务（行政和法务）互通；具体要求如下：(36分)。

1．其中SW-1和SW-2通过两端三层IP业务承载的裸光缆通道进行互连互通，SW-1和SW-3通过FW-1互连的（group1-group3）接口建立隧道实现互连互通，SW-2和SW-3通过FW-1互连的（group2-group4）接口建立隧道实现互连互通。

2．发布各设备相应的环回地址。

3. 阻止SW-1和SW-2上的行政和法务业务的协议报文发送。

（二）、规划SW-1和SW-2与其他业务路由表隔离的财务业务网段通过OSPF进程3的骨干区域互连互通。(20分)

服务器配置及应用项目

（480分）

【说明】

请将PC1上的”D:\soft\报告单”文件夹中的《服务器配置及应用竞赛报告单》和《云实训平台安装与应用报告单》复制到PC1桌面上选手自建的“XX_系统比赛报告”（XX为赛位号）文件夹中，并按照截图注意事项的要求填写完整；
所有windows主机实例在创建之后都直接可以通过远程桌面连接操作，linux可以通过CRT软件连接进行操作，所有linux主机都默认开启了ssh功能；
要求在云服务平台中保留竞赛生成的所有虚拟主机；
虚拟主机的IP地址、主机名称必须与“表7：虚拟主机信息表”的要求一致，且必须手动设置为该虚拟机自动获取的IP地址；
云平台访问网址http://192.168.100.100/dashboard，登录管理员用户名为admin，密码为dcncloud。
镜像win2019-gui中用户Administrator的密码默认为Qwer1234，镜像centos8-cli中用户root的密码为dcncloud；
赛题所需的其它软件均存放在每台主机的D:\soft文件夹中；
修改Windows虚拟机管理员Administrator的密码为Password1234#，Windows题目中所有未指明的密码均为管理员Administrator的密码。修改Linux虚拟机管理员root的密码为Password1234#，Linux题目中所有未指明的密码均为管理员root的密码；
所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会扣除该服务功能一定分数。

云服务平台安装与运用

(80分)

1、完成云服务平台基础设置

按照“表4：服务器IP 地址分配表”要求创建外部网络。
按照“表6：卷信息表”要求新建卷，并连接到实例。

注意事项：

必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘；不能使用 “管理员”，“系统”栏下的“卷”功能，该功能使用不当会造成云硬盘创建失败，界面卡死。
在综合实训平台中可以创建多个云硬盘，所有云硬盘容量的总大小不能超过100G，否则将创建失败。一个实例可以同时连接多个云硬盘，但一个云硬盘同时只能给一个实例作为扩展硬盘使用。
在分离卷之前一定要保证使用该卷的 linux 主机中，已经不存在该卷的任何挂载点。如果使用该卷的主机是 windows 实例，必须保证该卷在主机的“磁盘管理”项目中处于脱机状态，否则会造成分离失败，或是一直显示“分离中”状态。

2、创建虚拟主机

按照“表5：实例规格信息表”要求新建实例类型（删除云平台中已有实例类型）。
按照“表7：主机信息表”要求新建实例，实例IP地址必须与表中的一致。

Windows服务配置

（200分）

一、域控制器(40分)

将Windows-1升级为skills.com主域控制器，安装DNS，负责该域的正反向域名解析，要求整个域中的主机都能正反向解析。
将Windows-2升级为bj.skills.com子域控制器，安装DNS，负责该域的正反向域名解析。
把其余的Windows主机加入到skills.com域中。
在Windows-1上安装证书服务器，证书颁发机构有效期为20年，颁发证书有效期10年，证书信息：公用名=skills.com，国家=CN，省=Beijing，城市=Beijing，组织=Skills，组织单位=System。Windows主机使用同一张证书，chrome浏览器访问https网站时，不出现证书警告提示信息。
在Windows-1上新建名称为sys和manager的组织单元，每个组织单元内新建与组织单元同名的全局安全组；每个组内新建2个用户：sys1，sys2，manager1，manager2；所有用户不能修改口令，密码永不过期，每天02:00-06:00不可以登录，manager1拥有域管理员权限。

二、组策略(10分)

部署软件chrome.msi，让域中主机自动安装chrome。
拒绝sys组从网络访问域控制器，允许manager组本地登录域控制器。
登录时不显示用户名，不显示上次登录，无须按Ctrl+Alt+Del。
审核登录事件，同时审核成功和失败。
禁用“关闭事件跟踪程序”。

三、IPSec(10分)

Windows-3和Windows-4之间通信采用IPSec安全连接，采用计算机证书验证。

四、DFS服务(10分)

在Windows-2的C分区划分2GB的空间，创建NTFS分区，驱动器号为D。
配置Windows-2为DFS服务器，命名空间为DFSROOT，文件夹为Pictures；实现Windows-3的D:\Pics和Windows-4的D:\Images同步。

五、FTP服务(10分)

把windows-3配置为FTP服务器，FTP站点名称为ftp，站点绑定本机IP地址，站点根目录为C:\inetpub\ftproot。
站点通过Active Directory隔离用户，使用manager1和manager2测试。
设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟。

六、NLB服务(30分)

配置Windows-3和Windows-4为NLB服务器，192.168.60.0网络为负载均衡网络，192.168.80.0网络为心跳网络。
Windows-3群集优先级为3，Windows-4群集优先级为5，群集IPv4地址为192.168.60.60/24，群集名称为www1.skills.com，采用多播方式。
配置Windows-3为web服务器，站点名称为www1.skills.com，网站的最大连接数为10000，网站连接超时为60s，网站的带宽为100Mbps。
共享网页文件、共享网站配置文件和网站日志文件分别存储到Windows-2的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs，连接用户为域管理员。网站主页index.html内容为"HelloNLB"，index.html文件编码为ANSI。
使用W3C记录日志，每天创建一个新的日志文件，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。
网站仅绑定https，IP地址为群集地址，仅允许使用域名加密访问。

七、故障转移群集(50分)

在Windows-5上添加4块硬盘，每块硬盘大小为5G，初始化为GPT磁盘，配置为Raid0，驱动器号为D盘。
在Windows-5上安装iSCSI目标服务器，并新建iSCSI虚拟磁盘，存储位置为D:\；虚拟磁盘名称分别为Quorum和Files，大小分别为512MB和5GB，目标名称为win，访问服务器为Windows-6和Windows-7，实行CHAP双向认证，Target认证用户名和密码分别为IncomingUser和IncomingPass，Initiator认证用户名和密码分别为OutgoingUser和OutgoingPass。
在Windows-6和Windows-7上安装多路径I/O，192.168.60.0和192.168.80.0网络为MPIO网络，连接Windows-5的虚拟磁盘Quorum和Files，创建卷，驱动器号分别为M和N。
配置Windows-6和Windows-7为故障转移群集；192.168.90.0网络为心跳网络。
在Windows-6上创建名称为WinCluster的群集，其IP地址为192.168.60.70.
在Windows-7上配置文件服务器角色，名称为WinClusterFiles，其IP地址为192.168.60.80。为WinClusterFiles添加共享文件夹，共享协议采用“SMB”，共享名称为WinClusterShare，存储位置为N:\，NTFS权限为仅域管理员和本地管理员组具有完全控制权限，域其他用户具有修改权限；共享权限为仅域管理员具有完全控制权限，域其他用户具有更改权限。

八、DHCP故障转移（20分）

配置 Windows-8 和 Windows-9 为 DHCP 服务器，两台 DHCP 服务器实现故障转移，故障转移关系名称为 ws8-ws9，最长客户端提前期为 2 小时，模式为“负载平衡”，负载平衡比例各为 50%，状态切换间隔 60 分钟，启用消息验证，共享机密为 Admin-12345。
DHCP IPv4 的作用域名称为 skills ，地址范围为 192.168.60.101 - 192.168.60.190，网关为 192.168.60.254，DNS 为 192.168.60.11 和 192.168.60.12， DNS 域名为 skills.com，租约期 3 小时，DHCP 服务只绑定 192.168.60.0/24 接口。

九、虚拟化(20分)

在windows-2安装docker，导入NanoServer镜像。软件包和镜像存放在物理机D:\soft\DockerWindows。
创建名称为web的容器，映射Windows-2的8080端口到容器的80端口，容器启动后运行cmd命令，保持容器处于运行状态。

Liunx服务配置

（200分）

一、DNS服务(35分)

设置所有Linux服务器的时区设为“上海”，本地时间调整为实际时间。
启动所有Linux服务器的防火墙，并添加相应端口（不允许添加服务）放行相关服务。
利用chrony配置Linux-1为其他Linux主机提供时间同步服务。
利用bind9软件，配置Linux-1为主DNS服务器，采用rndc技术提供不间断的DNS服务；配置Linux-2为备用DNS服务器，为所有Linux主机提供冗余DNS正反向解析服务。
所有Linux主机root用户使用完全合格域名免密码ssh登录到其他Linux主机。
配置Linux-1为CA服务器,为所有Linux主机颁发证书，不允许修改/etc/pki/tls/openssl.conf。CA证书有效期20年，CA颁发证书有效期均为10年，证书信息：国家=“CN”，省=“Beijing”，城市=“Beijing”，组织=“skills”，组织单位=“system”。chrome浏览器访问https网站时，不出现证书警告提示信息。

二、mail服务(15分)

配置Linux-2为mail服务器，安装postfix和dovecot。
仅支持smtps和pop3s连接，证书路径为/etc/ssl/mail.crt，私钥路径为/etc/ssl/mail.key。
创建用户mail1和mail2，向all@skills.com发送的邮件，每个用户都会收到。
root用户使用mail工具向all@skills.com发送一封邮件，邮件主题为“Hello”，内容为“Welcome”。

三、apache2服务(20分)

配置Linux-2为httpd服务器，安装apache2，http访问时自动跳转到https安全连接。
使用skills.com或any.skills.com（any代表任意网址前缀，用 cs2.skills.com 和 web.skills.com 测试）访问时，自动跳转到www.skills.com。
关闭不安全的服务器信息，在任何页面不会出现系统和WEB服务器版本信息。
客户端访问时，必须有SSL证书。

四、rsyslog服务(10分)

配置Linux-3为远程日志服务器，允许使用 udp 和 tcp，为Linux-4提供日志服务。
在 Linux4 上使用命令"logger 'Hello world'"，向日志服务器发送日志。

五、Mariadb服务(20分)

配置Linux-3为Mariadb服务器，安装Mariadb-server，创建数据库用户jack，密码Password1234#，在任意机器上对所有数据库有完全权限；允许root远程登陆，修改root用户密码为Password1234#，并删除test数据库。
配置Linux-4为Mariadb客户端，创建数据库userdb；在库中创建表userinfo，在表中插入2条记录，分别为(1,user1，1995-7-1，男)，(2,user2，1995-9-1，女)，口令与用户名相同，password字段用password函数加密，表结构如下：
修改表userinfo的结构，在name字段后添加新字段height(数据类型为float)，更新user1和user2的height字段内容为1.61和1.62。
把物理机d:\soft\mysql.txt中的内容导入到userinfo表中，password字段用password函数加密。
将表userinfo中的记录导出，并存放到/var/databak/mysql.sql文件中。

字段名	数据类型	主键	自增
id	int	是	是
name	varchar(10)	否	否
birthday	datetime	否	否
sex	char(5)	否	否
password	char(200)	否	否

六、PHP服务(10分)

在Linux-3上安装php，搭建PHP网站，将提供index.php上传至/var/www/html/,并运行。

七、keepalive服务(60分)

为Linux-5添加4块硬盘，每块硬盘大小为5G，创建lvm卷，卷组名称为vg1，逻辑卷名称为lv1，容量为全部空间，格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器，监听 192.168.70.0/24 网络，为Linux-6和Linux-7提供iSCSI服务。iSCSI目标端的wwn为iqn.2021-05.com.skills:server,iSCSI发起端的wwn为iqn.2021-05.com.skills:client.
配置Linux-6和Linux7为iSCSI客户端。
配置Linux-6和Linux-7为集群服务器，安装keepalive，Linux-6为主服务器，Linux-7为备份服务器，虚拟IP地址为192.168.70.90。配置 Linux-6和 Linux-7为 nginx 服务器，安装 nginx，利用 nginx 反向代理，客户端通过 https://tomcat.skills.com 加密访问 Tomcat，实现 Linux-3 和 Linux-4 的两个 Tomcat 负载均衡，证书路径为 /etc/ssl/nginx.crt ，私钥路径为/etc/ssl/nginx.key。