2022年江苏省职业院校技能大赛网络搭建与应用赛项中职样卷
技能要求
竞赛说明
- 竞赛内容分布
“网络搭建与应用”竞赛共分五个部分,其中:
第一部分:网络组建与配置(350分)
第二部分:云平台配置(80分)
第三部分:Windows系统配置(200分)
第四部分:Linux系统配置(200分)
第五部分:职业规范与素养(20分)
- 竞赛注意事项
- 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
- 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
- 请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
- 操作过程中,需要及时保存设备配置。
- 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
- 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
- 禁止在纸质资料、比赛设备上填写任何与竞赛无关的标记,如违反规定,可视为0分。
- 与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。
- 进入竞赛施工现场,施工人员需佩戴安全帽(项目设计阶段除外)。
- 竞赛所用器材、耗材,在竞赛开始前已全部发放到各个竞赛工位,保证充分满足竞赛需求。竞赛开始前,请仔细核对材料确认单,并签字确认(未签字确认前禁止开始比赛)。竞赛过程中,不再另行发放器材、耗材。
- 竞赛过程中,参赛队要做到工作井然有序、不跨区操作、不喧哗,竞赛施工材料、加工废料、施工模块等分区有序存放。
- 项目简介
某集团公司原在北京建立了总部,在郑州设立了办事处。总部设有销售、产品、法务、财务、信息技术 5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF动态路由协议和静态路由协议进行互连互通。
公司规模在2020年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。
集团、办事处的网络结构详见“主要网络环境”拓扑图。
其中一台CS6200交换机编号为SW-3,用于实现终端高速接入;两台CS6200交换机作为总部的核心交换机;两台DCFW-1800分别作为集团、郑州办事处的防火墙;一台DCWS-6028作为集团的有线无线智能一体化控制器,编号为DCWS,通过与WL8200-I2高性能企业级AP配合实现集团无线覆盖。
第一部分:网络组建与配置(350分)
【说明】
- 交换机、 DCWS、防火墙使用同一条console线;
- 设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放置在PC1桌面的“比赛文档_X”(X为赛位号)文件夹中;
- 保存文档方式如下:
- 交换机、DCWS要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“比赛文档_X”文件夹中,文档命名规则为:设备名称.txt。例如:SW-1交换机文件命名为:SW-1.txt;
- 无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集,需要先调整CRT软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。CRT软件调整字符编号配置如图:
- 网络布线与基础连接
右侧布线面板立面示意图 左侧布线面板立面示意图
说明
- 机柜左侧布线面板编号101;机柜右侧布线面板编号102。
- 面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。
- 主配线区配线点与工作区配线点连线对应关系如下表所示。
PC1、PC2配线点连线对应关系表
| 信息点编号 |
配线架编号 |
底盒编号 |
信息点编号 |
配线架端口编号 |
|
| 1 |
W1-02-101-1 |
W1 |
101 |
1 |
02 |
| 2 |
W1-06-102-1 |
W1 |
102 |
1 |
06 |
- 铺设线缆并端接
- 截取 2 根适当长度的双绞线,两端制作标签,穿过 PVC 线槽或线管。双绞线在机柜内部进行合理布线,并且通过扎带合理固定;
- 将 2 根双绞线的一端,根据“PC1、PC2配线点连线对应关系表“的要求,端接在配线架的相应端口上;
- 将 2 根双绞线的另一端,根据“PC1、PC2配线点连线对应关系表”的要求,端接上 RJ45 模块,并且安装上信息点面板,并标注标签。
- 跳线制作与测试
- 再截取 2 根当长度的双绞线,两端制作标签,根据“PC1、PC2配线点连线对应关系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳线,所有网络跳线要求按 568A标准制作;
- 根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线,根据题目要求,插入相应设备的相关端口上(包括设备与设备之间、设备与配线架之间);
- 实现 PC、信息点面板、配线架、设备之间的连通(提示:可利用机柜上自带的设备进行通断测试);
- PC1连接102底盒1端口、PC2连接101底盒1端口。
- 交换配置与调试
- 为了减少广播,需要根据题目要求规划并配置VLAN。具体要求如下:
- 配置合理,所有链路上不允许不必要VLAN的数据流通过,包括VLAN 1;
- 集团接入交换机与核心交换机之间的互连接口发送AP&交换机管理VLAN的报文时不携带标签,发送其它VLAN的报文时携带标签,要求禁止采用trunk链路类型;
- 当财务业务VLAN物理端口接收到的流量大于端口缓存所能容纳的大小时,端口将通知向其发送流量的设备减慢发送速度,以防止丢包;当法务业务VLAN物理端口收包BUM报文速率超过2000packets/s则关闭端口,10分钟后恢复端口。
- 根据下述信息及表,在交换机上完成VLAN配置和端口分配。
| 设备 |
VLAN编号 |
VLAN名称 |
端口 |
说明 |
| SW-3 |
VLAN10 |
XS |
E1/0/6 |
销售 |
| VLAN20 |
CP |
E1/0/7 |
产品 |
|
| VLAN30 |
FW |
E1/0/8 |
法务 |
|
| VLAN40 |
CW |
E1/0/9 |
财务 |
|
| VLAN50 |
XXJS |
E1/0/10至E1/0/12 |
信息技术 |
|
| VLAN200 |
GL |
E1/0/13 |
AP&交换机管理VLAN |
- 在集团核心交换机SW-1和SW-2、接入交换机SW-3间运行一种协议,具体要求如下:
- 实现销售、产品、信息技术业务优先通过SW-1至SW-3间链路转发,法务、财务、AP&交换机管理等业务优先通过SW-2至SW-3间链路转发,从而实现VLAN流量的负载分担与相互备份;
- 设置路径开销值的取值范围为1-65535,BPDU支持在域中传输的最大跳数为7跳;同时不希望每次拓扑改变都清除设备MAC/ARP表,全局限制拓扑改变进行刷新的次数;
- 加速接入交换机所有业务端口收敛,当接口收到BPDU丢弃报文并关闭端口,如果5分钟内没有收到BPDU报文,则恢复该端口。
- 在集团核心交换机SW-1和SW-2运行一种容错协议,为所有业务VLAN实现网关冗余,具体要求如下:
- 虚地址使用该VLAN中的最后一个可用IP、SW-1使用该VLAN中的倒数第三可用IP、SW-2使用该VLAN中的倒数第二可用IP,SW-1为销售、产品、信息技术业务的Master,SW-2为法务、财务、AP&交换机管理等业务的Master,且互为备份;每隔3s,VRRP备份组中的Master发送VRRP报文来向组内的三层交换机通知自己工作状态;
- 监视上行链路状态,当上行链路故障时,Slave设备能够接管Master设备转发数据;而当链路故障恢复后,原Master设备接管Slave设备转发数据。
- 因集团销售人员较多、同时也为了节约成本,在集团接入交换机下挂两个8口HUB交换机实现销售业务接入,集团信息技术部已经为销售业务VLAN分配IP主机位为1-14,在集团接入交换机使用相关特性实现只允许上述IP数据包进行转发,对IP不在上述范围内的用户发来的数据包,交换机不能转发,直接丢弃, 要求禁止采用访问控制列表实现。
- 集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层,当发现单向链路后,要求自动地关闭互连端口;发送握手报文时间间隔为5s, 以便对链路连接错误做出更快的响应,如果某端口被关闭,经过30分钟,该端口自动重启。
- SW-2既作为集团核心交换机,同时又使用相关技术将SW-2模拟为Internet交换机,实现集团内部业务路由表与Internet路由表隔离。
- 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接在SW-1核心交换机E1/0/10-E1/0/11接口测试,将核心交换机与接入交换机、防火墙互连流量提供给多个厂商网流分析平台。
- 路由配置与调试
- 尽可能加大集团防火墙与核心交换机之间链路带宽;
- 规划集团使用OSPF协议进行互连互通,进程号为1,具体要求如下:
- 集团防火墙与集团核心交换机之间、集团核心交换机与集团核心交换机之间均属于骨干区域;
- 借助OSPF相关特性,尽可能保证骨干区域完整性;
- 针对骨干区域启用区域MD5验证,验证密钥为:DCN2019,调整接口的网络类型加快邻居关系收敛;
- 集团防火墙将访问郑州办事处业务网段的静态路由引入OSPF。
- 实现集团销售&产品&信息技术&无线业务、统一通过集团防火墙访问Internet,轮询使用NAT地址为:202.99.192.4/30,针对上述源地址,限制单个IP地址能建立NAT翻译表项的最大数目为100;配置一对一地址转换,实现通过Internet任意位置访问202.99.192.8/32都可以访问至集团OA平台10.XX.10.1/32(XX与“主要网络环境”地址中相应网段一致)进行数据查询;郑州办事处业务网段通过郑州办事处防火墙访问Internet,NAT地址池为接口公网IP。
- 集团防火墙与郑州办事处防火墙之间使用与Internet的接口互联地址建立GRE隧道,再使用IPSEC技术对GRE隧道进行保护,使用IKE协商IPSec安全联盟、交换IPSec密钥,两端加密访问列表名称都为ipsecacl,这样有了IPSec,郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全上传郑州办事处相关销售业务数据。
- 为了合理分配集团业务流向,保证来回路径一致,业务选路具体要求如下:
- 集团核心交换机与集团无线控制器DCWS之间采用静态路由协议,使用OSPF相关特性实现集团无线业务与Internet互访流量优先通过DCWS_SW-1_FW-1间链路转发,DCWS_SW-2_FW-1间链路作为备用链路;
- 实现销售、产品、信息技术业务分别与Internet、办事处互访流量优先通过SW-1_ FW-1间链路转发,法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过SW-2_ FW-1间链路转发,从而实现流量的负载分担与相互备份。
- 无线配置
- 集团无线控制器DCWS与核心交换机互联,无线业务网关位于DCWS上,VLAN220为业务VLAN;核心交换机侧配置使用DHCP进行AP管理地址分配,利用DHCP方式让AP发现DCWS进行三层注册,采用MAC地址认证。
- 配置一个SSID DCNXX:DCNXX中的XX为赛位号,访问集团及Internet业务,采用WPA-PSK认证方式,加密方式为WPA个人版,配置密钥为Dcn12345678。
- AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午7:00触发信道调整功能。
- 安全策略配置
- 根据题目要求配置郑州办事处防火墙相应的业务安全域、业务接口;郑州办事处业务网段通过VPN隧道只可以访问集团销售业务网段http&https业务,通过公网接口可以访问Internet业务;集团所有业务网段均可以与郑州办事处业务网段双向互ping,方便网络连通性测试与排障。
- 集团计划在郑州办事处进行https认证试点,对郑州办事处业务网段上网的用户进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密码分别为 dcn01或者dcn02才可以访问外部网络,强制用户在线时常超过1天后必须重新登录。
- 郑州办事处只有100M Internet出口,在郑州办事处防火墙上限制该业务网段每个IP上下行最多4M带宽;对Internet出口http流量整形到10Mbps,从而实现流量精细化控制,保障办事处其它关键应用和服务的带宽。
- IPV6配置
集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版(IPv6)规模部署行动计划》,加快推进基于互联网协议第六版(IPv6)基础网络设施规模部署和应用系统升级,现准备先在集团公司开始IPv6测试,要求如下:
- 在集团核心交换机SW-1配置IPv6地址,使用相关特性实现销售业务的IPv6终端可自动从网关处获得IPv6有状态地址。
- 在集团核心交换机SW-2配置IPv6地址,开启路由公告功能,路由公告的生存期为2小时,确保产品业务的IPv6终端可以获得IPv6无状态地址。
- 在集团两台核心交换机之间通过互联ipv4链路使用相关特性,实现销售业务的IPv6终端与产品业务的IPv6终端可以互访。
集团测试IPv6业务地址规划如下,其它IPv6地址自行规划:
| 业务 |
IPV6地址 |
| 销售 |
2001:XX:10::254/64 (XX与“主要网络环境”地址中相应网段一致) |
| 产品 |
2001:XX:20::254/64 (XX与“主要网络环境”地址中相应网段一致) |
举例:“主要网络环境”中销售业务IPv4地址为:10.30.10.0/24,对应IPv6地址为:2001:30:10::254/64。
第二部分:云平台配置(80分)
【竞赛技术平台说明】
1.云服务实训平台相关说明:
- 云服务实训平台管理ip地址默认为192.168.100.100,访问地址http://192.168.100.100/dashboard默认账号密码为admin/dcncloud,ssh默认账号密码为root/dcncloud,考生禁止修改云服务实训平台账号密码及管理ip地址,否则服务器配置及应用项目部分计0分;
- 云服务实训平台中提供镜像环境,镜像的默认用户名密码以及镜像信息,参考《云服务实训平台用户操作手册(江苏省赛版)》;
| 名称 |
用户名 |
密码 |
ssh |
rdp |
| Win10 |
admin |
Qwer1234 |
否 |
是 |
| Win2008 |
administrator |
Qwer1234 |
否 |
是 |
| Win2019 |
administrator |
Qwer1234 |
否 |
是 |
| Centos8 |
root |
dcncloud |
是 |
否 |
- 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作,centos8可以通过CRT软件连接进行操作,所有linux主机都默认开启了ssh功能,Linux系统软件镜像位于”/opt”目录下;
- 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
2.云服务实训平台和服务器PC1和PC2相关服务说明:
- 题目中所有未指明的密码均参见“表6.云主机和服务器密码表”,若未按照要求设置密码,涉及到该操作的所有分值记为0分;
- 虚拟主机的IP属性设置请按照“拓扑结构图”以及“表3.服务器IP地址分配表”的要求设定;
- 除非作特殊说明,在PC1和PC2上需要安装相同操作系统版本的虚拟机时,可采用VMwareWorkstation软件自带的克隆系统功能实现。
- PC1和PC2上所有系统镜像文件及赛题所需的其它软件均存放在每台主机的D:\soft文件夹中;
- PC1和PC2要求的虚拟机均安装于每台在D盘根目录下自建的名为virtualPC文件夹中,即路径为D:\virtualPC\虚拟主机名称。
- 请在 PC2 桌面上,选手自己建立 BACKUP_X(X 为赛位号)文件夹,并将PC2上D盘soft文件夹中的《云实训平台安装与应用报告单》、《Windows操作系统-云平台部分竞赛报告单》和《Linux操作系统竞赛报告单》复制到PC2桌面的“BACKUP_X”(X为赛位号)文件夹中、将PC1上D盘soft文件夹中的《Windows操作系统-虚拟机部分竞赛报告单》复制到PC1桌面的“BACKUP_X”(X为赛位号)文件夹中,并按照截图注意事项的要求填写完整;如报告单、截图等存放位置错误,涉及到的所有操作分值记为 0 分;
- 所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一定分数。
【云实训平台安装与运用】
(一)按照《主要网络环境》要求新建网络。
(二)按照《主要网络环境》要求新建云主机类型。
(三)按照《主要网络环境》要求新建虚拟主机;
所有虚拟主机IP地址与《主要网络环境》中的一致,且手动设置为该虚拟机自动获取的IP地址。
(四)按照下述题目相关要求新建硬盘,并连接到虚拟主机。
第三部分:Windows系统配置(200分)
一、在云实训平台上完成如下操作
(一)完成虚拟主机的创建
将按照“表5:虚拟主机信息表”生成的虚拟主机加入到skillsJiangSu.com域环境;
(二)在云主机1中完成链路聚合的部署
添加安装一块网卡,第一块网卡和第二块网卡为提供链路聚合网卡,完成链路聚合操作,组名为“AggNic1”,成组模式为“静态成组”,负载均衡模式为“地址哈希”,为主域和辅助域之间的传输提升速度。
(三)在云主机1中完成DNS服务器的部署
-
-
-
- 将此服务器配置为主DNS服务器,具体要求:
-
-
(1)正确配置skillsJiangSu.com域名的正向及反向解析区域;
(2)创建对应服务器主机记录,正确解析skillsJiangSu.com域中的所有服务器;
(3)关闭网络掩码排序功能;
(4)设置DNS服务正向区域和反向区域与活动目录集成;
(5)启用Active Directory的回收站功能;
-
-
-
- 为了防止域控制器的DNS域名解析服务造成大量不必要的数据流,公司技术人员决定禁用DNS递归功能,请您使用PowerShell禁用DNS递归功能。
-
-
(四)在云主机1中完成域控制器及CA服务器的部署
-
-
-
-
-
-
- 将云主机1的服务器配置成CA服务器:
-
-
-
-
-
(1)安装证书服务,为企业内部自动回复证书申请;
(2)设置为企业根,有效期为6years;
(3)颁发的证书有效期年份为3years;
-
-
-
-
-
-
- 创建3个用户组,组名采用对应部门名称的中文全拼命名,每个部门都创建2个用户,行政部用户:adm1~ adm2、销售部用户:sale1~sale2、技术部用户:sys1~sys2(如有需要可将技术部员工加入管理员组),所有用户不能修改其用户口令,并要求用户只能在上班时间可以登录(每周一至周五9:00~18:00);
- 配置域中技术部的所有员工必须启用密码复杂度要求,密码长度最小为9位,密码最长存留 30 天,允许失败登录尝试的次数、重置失败登录尝试计数都为5次,帐户将被锁定的时间为 5 分钟,直至管理员手动解锁账户;
- 配置相关策略,防止用户随意退出域,实现所有行政部的用户登录域后自动去除“计算机”的上下文菜单中的“属性”;
- 配置相关策略,实现所有销售部的计算机开机后自动弹出“温馨提示”的对话框,显示的内容为“请注意销售数据的安全!”。
-
-
-
-
-
(五)在云主机1中完成DNS安全防护的部署
1.新建一条主机记录,主机名称为dnss、IP地址为10.30.30.140;
2.对云主机1的skillsJiangSu.com区域中的dnss主机记录提供完整性验证,来保证数据在传输的过程中不被篡改。
(六)在云主机2中完成链路聚合的部署
1.添加安装一块网卡,第一块网卡和第二块网卡为提供链路聚合网卡,完成链路聚合操作,组名为“AggNic2”,成组模式为“静态成组”,负载均衡模式为“地址哈希”,为主域和辅助域之间的传输提升速度。
(七)在云主机2中完成从属证书及磁盘阵列的部署
1.将云主机2的服务器升级成skillsJiangSu.com域的的辅助域控制器;
2.将云主机2的服务器设置为证书颁发机构:
(1)安装证书服务,为企业内部自动回复证书申请;
(2)设置为企业从属CA,负责整个skillsJiangSu.com域的证书发放工作;
(八)在云主机2中完成AD RMS及网络打印服务的部署
1.安装AD RMS权限管理服务:
(1)要求安装“AD权限管理服务器”和“联合身份验证支持”角色服务;
(2)使用Windows的内部数据库;
(3)指定群集地址为:https://adrms.skillsJiangSu.com;
(4)配置联合身份验证支持的服务器名称为:https://adrms.skillsJiangSu.com。
2.将云主机2的服务器配置成打印服务器:
(1)添加一台虚拟打印机,名称为“HP-Print”;
(2)将“HP-Print”发布到AD域;
(3)客户端访问网络打印服务器,能够通过访问“https://Print.skillsJiangSu.com”查看打印机,证书由本机进行签署颁发。
(九)在云主机3中完成文件服务器的部署
1.添加三块SCSI虚拟硬盘,其每块硬盘的大小为10G,并创建RAID5卷,盘符为E盘;
2.在E盘上新建文件夹FilesWeb,并将其设置为共享文件夹,共享名为FilesWeb,开放共享文件夹的读取/写入权限给everyone用户;
3.在FilesWeb文件夹内建立两个子文件夹:
(1)子文件夹为“FilesConfigs”,用来存储共享设置;
(2)子文件夹为“FilesConts”,用来存储共享网页。
(十)在云主机3中完成DHCP及WDS服务的部署
1.安装DHCP服务,为服务器网段部分主机动态分配IPv4地址,建立作用域,作用域的名称为dhcpser,地址池为220-225,仅允许“服务器3”的服务器获取DHCP服务器的最后一个地址;
2.安装WDS服务,目的是通过网络引导的方式来安装Windows server 2008 R2 CORE操作系统,运用适当技术手段,让此WDS的客户端,只获取到对应WDS服务器端DHCP下发的IP地址。
(十一)在云主机3中完成DNS转发服务器和DNSSEC签名的部署
1.安装DNS服务器角色,设置转发器为“云主机1”的服务器,负责转发“云主机6”的域名解析的查询请求;
2.在云主机3上导入skillsJiangSu.com区域的DNSKEY签名,来保证数据来自正确的名称服务器。
(十二)在云主机4中完成WEB服务器1的部署
1.添加安装二块网卡,第一块网卡为提供负载均衡网卡,完成网络负载均衡操作;第二块网卡为心跳线网卡;
2.安装IIS组件,创建www.skillsJiangSu.com站点:
(1)将该站点主目录指定到\\WDF\FilesWeb\FilesConts共享文件夹;
(2)将PC1中“D:\Soft\IIS”目录下的主页文件拷贝到文件服务器中的共享文件夹\\WDF\FilesWeb\FilesConts内;
(3)启动www.skillsJiangSu.com站点的共享配置功能,通过输入物理路径、用户名、密码、确认密码和加密秘钥,将该站点的设置导出、存储到\\WDF\FilesWeb\FilesConfigs内;
3.设置网站的最大连接数为1000,网站连接超时为60s,网站的带宽为1000KB/S;
4.使用W3C记录日志,每天创建一个新的日志文件,文件名格式:
(1)日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号;
(2)日志文件存储到“C:\WWWLogFile”目录中;
5.创建证书申请时,证书必需信息为:
(1)通用名称=“www.skillsJiangSu.com”;
(2)组织=“skillsJiangSu”;
(3)组织单位=“sales”;
(4)城市/地点 =“NanJing”;
(5)省/市/自治区=“JiangSu”;
(6)国家/地区=“CN”。
(十三)在云主机4中完成NLB群集服务器的部署
1.安装NLB负载平衡服务,其群集IPv4地址自行设定,新建群集优先级为6,群集名称为www.skillsJiangSu.com,采用多播方式;
2.客户端在访问www.skillsJiangSu.com站点时,要求只允许使用域名通过SSL加密访问。
(十四)在云主机5中完成WEB服务器2的部署
1.添加安装二块网卡,第一块网卡为提供负载均衡网卡,完成网络负载均衡操作;第二块网卡为心跳线网卡;
2.安装IIS组件,实现www.skillsJiangSu.com站点的共享配置,启动www.skillsJiangSu.com站点的共享配置功能,通过输入物理路径、用户名、密码、确认密码和加密密钥密码,使得让该站点可以使用位于\\WDF\FilesWeb\FilesConfigs内的共享配置;
3.设置网站的最大连接数为1000,网站连接超时为60s,网站的带宽为1000KB/S;
4.使用W3C记录日志,每天创建一个新的日志文件,文件名格式:
(1)日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号;
(2)日志文件存储到“C:\WWWLogFile”目录中;
5.创建证书申请时,证书必需信息为:
(1)通用名称=“www.skillsJiangSu.com”;
(2)组织=“skillsJiangSu”;
(3)组织单位=“sales”;
(4)城市/地点 =“NanJing”;
(5)省/市/自治区=“JiangSu”;
(6)国家/地区=“CN”。
(十五)在云主机5中完成NLB群集服务器的部署
1.安装NLB负载平衡服务,其群集IPv4地址自行设定,完整的Internet名称为www.chinaskills.com,优先级为11,采用多播方式;
2.客户端在访问www.skillsJiangSu.com站点时,要求只允许使用域名通过SSL加密访问。
(十六)在云主机6中完成相关功能
配置“连接安全规则”,保证和“服务器2”之间的通信安全,要求入站和出站都要求身份验证,完整性算法采用SHA-1,加密算法采用AES-CBC 128,预共享的密钥为JiangSuskills。
二、在PC1上完成如下操作
(一)完成虚拟主机的创建
1.安装虚拟机“服务器1”, 其内存为768MB,硬盘40G;
2.安装虚拟机“服务器2”, 其内存为768MB,硬盘40G;
3.安装虚拟机“服务器3”, 其内存为768MB,硬盘40G,通过“云主机3”的WDS服务进行网络引导和安装,安装完成后停止“云主机3”中DHCP中服务器网段的作用域。
(二)在主机“服务器2”中完成域及安全部署
1.将“服务器2”的服务器,升级为子域cz.skillsJiangSu.com域控;
2.配置“连接安全规则”,保证和“云主机6”之间的通信安全,要求入站和出站都要求身份验证,完整性算法采用SHA-1,加密算法采用AES-CBC 128,预共享的密钥为JiangSuskills。
(三)在主机“服务器1”中完成域控制器的部署
1.将“服务器1”服务器升级为域服务器,域名为JiangSuskills.com;
2.在“服务器1”中添加二块SCSI虚拟硬盘,其每块硬盘的大小为4G。将二块硬盘配置为RAID0,对应磁盘盘符为e:\;同时需要在e:\启用卷影副本功能,设置每周工作六的晚上20:30创建卷影副本,将副本存储于c:\。
(四)在主机“服务器1”中完成域控制器信任的部署
1.在E盘下新建文件夹share,并将其文件夹进行共享,权限为任何人完全控制,共享名为share;
2.通过使用单向信任关系,实现skillsJiangSu.com域的技术部的员工可以访问JiangSuskills.com域的共享资源share文件夹,反之不可以。
(五)在主机“服务器3”中完成Core服务器的部署
1.使用命令修改“服务器3”服务器的主机名为wscore,修改“服务器3”服务器的IP地址为表3中要求的地址,并按照题目要求设置默认网关;
2.将其“服务器3”服务器加入AD DS域JiangSuskills.com中;
3.关闭“服务器3”服务器的防火墙;
4.在“服务器3”服务器上安装并启动DHCP服务。
第四部分:Linux系统配置(200分)
- Linux CA服务及chrony时间同步配置配置
【任务描述】为保障企业提供的网络服务具有加密功能,提供证书服务,配置CA服务器。
-
-
- 启用所有Linux服务器的防火墙。
- 配置服务后,该服务开机自启动。
- 所有Linux服务器的时区设为“上海”。
- Linux-1安装chrony,为所有Linux服务器提供时间同步,Linux-2 ~Linux-7与Linux-1的时间同步。
- 把Linux-1配置为CA服务器,证书通用名称均为主机的完全合格域名,CA证书有效期20年,CA颁发证书有效期10年,证书其他信息:
- 国家=“CN”。
- 省=“Beijing”。
- 市/县=“Beijing”。
- 组织=“skills”。
- 组织单位=“system”。
-
- Linux 智能DNS服务配置
【任务描述】随之企业服务对象的不断扩大,在网络边界实现了多运营商接入的情况下,为保障企业提供的网络服务外网的高速访问,同时为了实现区域服务优化,对企业的DNS服务实现升级,为模拟相关功能,请使用Linux-1、Linux-2、Linux-3、Linux-4、Linux-5模拟完成相关功能配置及实际测试。
-
-
- 在Linux-1上安装配置DNS主服务器。
- 实现【服务器IP地址分配表】中Linux-1~linux-5的域名的解析。
- 在Linux-2上安装配置对应备份服务器。
- 添加【服务器IP地址分配表】中Linux-6~linux-7的域名的解析。
- 修改上述Linux-1、Linux-2的DNS相关配置,实现Linux-3(Jiangsu)、Linux-4(Beijing)、Linux-5(Shanghai)不同地区主机解析tomcat.skills.com返回不同IP地址。【使用hosts文件不得分!】
- 配置服务后,相关服务开机自启动。
-
- FTP服务配置
【任务描述】为实现文件的安全访问,采用传统的FTP,实现企业内部资源管理,在Linux-3服务器上安装配置VSFTP服务,具体要求为:
(1)安装配置vsftp及ftp客户端软件,开机启动FTP服务,系统启用SELinux和防火墙,请正确配置相关参数,保证网络正常访问。
(2)为了服务器安全及加强使用规范,为网络部、技术部、市场部、行政部分别创建访客账号,分别为netftp,techftp,markftp,admftp,用户密码为本竞赛统一要求的密码,指定默认访问路径分别为:/opt/ftp/账号名,不允许本地登录;各部门员工可以在各自部门的相关目录下实现资源的上传与下载
(3)匿名用户不允许访问此FTP服务器,用户nic不允许登录此FTP服务器,最大连接数上限50,空闲超时60s后自动断线。
(4)配置完成重启相关服务,并验证检查相关状态,设置相关服务开机自启。
- samba服务配置
【任务描述】为在Linux和Windows之间实现共享文件和打印机的安全访问,请采用samba,实现Windows操作系统和Linux操作系统的资源共享。
-
-
- 在Linux-4上创建user101~user120等20个用户;user101和user102属于hr组,user103属于sale组,user104属于fin组;
- 配置Linux-4为Samba服务器,建立共享目录/share/hr_share, /share/sale_share, /share/public_share,共享名与目录名相同;
- hr组用户对hr_share和public_share有共享读写权限,sale组用户对sale_share和public_share有共享读写权限,fin组对所有共享均有读写权限;用户对自己新建的文件有完全权限,对其他用户的文件只有读权限,且不能删除别人的文件。
-
- Mariadb服务配置
【任务描述】为按数据结构来存储和管理数据,请采用Mariadb,实现方便、严密、有效的数据组织、数据维护、数据控制和数据运用。
-
-
- 配置Linux-3为Mariadb服务器,创建数据库用户Jack,只能在Linux-4主机上对所有数据库有完全权限。
- 配置Linux-4为Mariadb客户端,创建数据库userdb;在库中创建表userinfo,在表中插入2条记录,分别为(1,user01,1995-7-1,男),(2,user02,1995-9-1,女),口令与用户名相同, password字段用password函数加密,表结构如下;
-
| 字段名 |
数据类型 |
主键 |
自增 |
| Id |
int |
是 |
是 |
| name |
varchar(10) |
否 |
否 |
| birthday |
datetime |
否 |
否 |
| sex |
char(5) |
否 |
否 |
| password |
char(200) |
否 |
否 |
-
-
- 修改表userinfo的结构,在name字段后添加新字段height(数据类型为float),更新user1和user2的height字段内容为1.61和1.62。
- 把物理机d:\soft\mysql.txt中的内容导入到userinfo表中,password字段用password函数加密。
- 将表userinfo中的记录导出,并存放到/var/databak/mysql.sql文件中。
- 每周五凌晨1:00备份数据库userdb到/var/databak/userdb.sql。
-
- 基于Nginx的反向代理和负载均衡
【任务描述】随着企业规模的不断扩大,为了进一步提高企业WEB服务的可靠性、提升WEB服务的效能,同时有效保护前期IT投资, 请采用Nginx、Tomcat、Apache配置Web服务,实现基于Nginx的反向代理和初步的简单负载均衡,有效整合资源,实现对企业网站的高效、安全、有效的访问。
-
-
- 安装Nginx1.18.0到Linux-5的/usr/local/nginx,配置启用网站https,默认文档index.html的内容为“Nginx加密访问!”;证书由Linux-1颁发,证书路径为/etc/pki/nginx-1.crt,私钥路径为/etc/pki/nginx-1.key,网站虚拟主机配置文件路径为/usr/local/nginx/conf/nginx.conf。
- 使用Nginx的proxy_pass配置HTTP反向代理,使用upstream配置负载均衡实现Linux-5主机WEB为前端,Linux-2主机(权重为1,max_fails为3,超时为30秒)和Linux-3主机(权重为2,max_fails为3,超时为20秒)的相关web服务为后端。
- 配置Linux-2为web服务器,网站根目录为/https,默认文档index.html的内容为“Apache加密访问!”;仅允许使用域名访问,证书由Linux-1颁发,证书路径为/etc/pki/www.crt,私钥路径为/etc/pki/www.key,网站虚拟主机配置文件路径为/etc/httpd/conf.d/vhost.conf。
- 配置Linux-3为Tomcat服务器,tomcat安装目录为/usr/local/tomcat。将D:\soft\jndsjs中全部微网站应用程序,复制到tomcat的相关目录,仅允许使用域名正常访问且页面信息正确无误,通过修改配置文件的方法,使用443端口;证书由Linux-1颁发,证书路径为<安装目录>/conf/tomcat.pfx,证书格式为pfx。
- 利用systemd实现tomcat开机自启动,服务名称为tomcat.service。
-
- Docker虚拟化服务配置
【任务描述】随着虚拟化技术的发展,企业把测试环境迁移到docker容器中,考虑到一些安全方面的问题,公司决定启用podman兼容Docker。
-
-
- 在Linux-6上安装 podman。
- 导入hello镜像,镜像存放在物理机D:\soft\skills\hello.tar,仓库名为hello-skills,TAG标签为1.0。
- 测试运行hello-skills。
- 导入nginx镜像,镜像存放在物理机D:\soft\skills\nginx.tar,仓库名为nginx-skills,TAG标签为1.0。
- 创建docker自定义网络,名称:skillsnet01,IP:172.16.77.0/24,网关:172.16.77.254。
- 使用nginx-skills镜像创建后台运行容器,名称nginx01,网络使用skillsnet01,将容器nginx01的80口映射到主机80口,挂载nginx01容器的/usr/share/nginx到Linux-6的/usr/share/nginx01文件夹。
- 修改容器nginx01默认网页内容为“欢迎来到容器世界!!”。
-
第五部分:职业规范与素养(20分)
一、整理赛位,工具、设备归位,保持赛后整洁有序。
二、无因选手原因导致设备损坏。
2022年江苏省职业院校技能大赛网络搭建与应用赛项中职样卷——网络环境要求
图1网络拓扑图
表1.网络设备连接表
| A设备连接至B设备 |
|||
| 设备名称 |
接口 |
设备名称 |
接口 |
| SW-1 |
E1/0/23 |
SW-2 |
E1/0/23 |
| SW-1 |
E1/0/24 |
SW-3 |
E1/0/27 |
| SW-2 |
E1/0/24 |
SW-3 |
E1/0/28 |
| SW-1 |
E1/0/22 |
DCWS |
E1/0/23 |
| SW-2 |
E1/0/22 |
DCWS |
E1/0/24 |
| SW-1 |
E1/0/21 |
FW-1 |
G0/3 |
| SW-2 |
E1/0/21 |
FW-1 |
G0/4 |
| FW-1 |
E0/1 |
SW-2模拟Internet交换机 |
E1/0/17 |
| FW-2 |
E0/1 |
SW-2模拟Internet交换机 |
E1/0/18 |
| SW-1 |
E1/0/1 |
PC1 |
NIC |
| SW-2 |
E1/0/1 |
云平台 |
管理口 |
| SW-2 |
E1/0/2 |
云平台 |
业务口 |
| SW-3 |
E1/0/13 |
AP |
|
| SW-3 |
E1/0/14 |
PC2 |
NIC |
| 设备 |
设备名称 |
设备接口 |
IP地址 |
| 三层交换机 |
SW-1 |
Loopback 1 |
10.60.255.1/32 |
| VLAN10 SVI |
10.60.10.0/24 |
||
| VLAN20 SVI |
10.60.20.0/24 |
||
| VLAN30 SVI |
10.60.30.0/24 |
||
| VLAN40 SVI |
10.60.40.0/24 |
||
| VLAN50 SVI |
10.60.50.0/24 |
||
| VLAN200 SVI |
10.60.200.0/24 |
||
| VLAN1000 SVI |
10.60.254.9/30 |
||
| VLAN1001 SVI |
10.60.254.1/30 |
||
| VLAN4094 SVI |
10.60.254.253/30 |
||
| SW-2 |
Loopback 1 |
10.60.255.2/32 |
|
| VLAN10 SVI |
10.60.10.0/24 |
||
| VLAN20 SVI |
10.60.20.0/24 |
||
| VLAN30 SVI |
10.60.30.0/24 |
||
| VLAN40 SVI |
10.60.40.0/24 |
||
| VLAN50 SVI |
10.60.50.0/24 |
||
| VLAN200 SVI |
10.60.200.0/24 |
||
| VLAN1002 SVI |
10.60.254.13/30 |
||
| VLAN1001 SVI |
10.60.254.5/30 |
||
| VLAN4094 SVI |
10.60.254.254/30 |
||
| SW-2模拟Internet交换机 |
VLAN4000 SVI |
202.99.192.2/30 |
|
| VLAN4001 SVI |
202.99.192.65/30 |
||
| Loopback100 |
202.100.100.100/32 |
||
| SW-3 |
VLAN200 SVI |
10.60.200.250/24 |
|
| 防火墙 |
FW-1 |
Loopback1 |
10.60.255.5/32 |
| Eth0/1 |
202.99.192.1/30 (untrust安全域) |
||
| Eth0/3 |
10.60.254.2/30 (trust安全域) |
||
| Eth0/4 |
10.60.254.6/30 (trust安全域) |
||
| Tunnel 1 |
10.60.254.33/30 (VPNHub安全域) |
||
| FW-2 |
Eth0/1 |
202.99.192.66/30 (untrust安全域) |
|
| Eth0/2 |
172.30.30.254/24 (trust安全域) |
||
| Tunnel 1 |
10.60.254.34/30 (VPNHub安全域) |
||
| 无线控制器 |
DCWS |
VLAN1000 SVI |
10.60.254.10/30 |
| VLAN1002 SVI |
10.60.254.14/30 |
||
| VLAN220 SVI |
10.60.220.254/24 |
表3.服务器IP地址分配表
表4.云平台网络信息表
| 网络名称 |
Vlan号 |
外部网络 |
子网名称 |
子网网络地址 |
网关IP |
激活DHCP |
地址池范围 |
| Vlan10 |
10 |
是 |
Vlan10-subnet |
10.60.10.0/24 |
10.60.10.254 |
是 |
10.60.10.100~200 |
| Vlan20 |
20 |
是 |
Vlan20-subnet |
10.60.20.0/24 |
10.60.20.254 |
是 |
10.60.20.100~200 |
| Vlan30 |
30 |
是 |
Vlan30-subnet |
10.60.30.0/24 |
10.60.30.254 |
是 |
10.60.30.100~200 |
表5.虚拟主机信息表
| 虚拟主机名称 |
镜像模板 (源) |
云主机类型(flavor) |
VCPU |
内存、硬盘信息 |
网络名称 |
备注 |
| Windows-1 |
WindowsServer2019 |
Large |
2 |
4G,40G |
||
| Windows-2 |
WindowsServer2019 |
Large |
2 |
4G,40G |
HD1~HD3 |
|
| Windows-3 |
WindowsServer2019 |
Large |
2 |
4G,40G |
||
| Windows-4 |
WindowsServer2019 |
Large |
2 |
4G,40G |
||
| Windows-5 |
WindowsServer2019 |
Large |
2 |
4G,40G |
||
| Windows-6 |
WindowsServer2019 |
Large |
2 |
4G,40G |
||
| Linux-1至 Linux-7 |
CentOS8.3 |
Small |
1 |
2G,40G |
表6.云主机和服务器密码表
| 云主机和服务器密码 |
Netw@rkCZ!@#(注意区分大小写) |
注:需把云主机的默认密码改为表6.云主机和服务器密码表要求的密码