湖南省职业院校技能竞赛样题
赛题说明
一、竞赛内容
“网络建设与运维”竞赛共分三个部分,其中:
第一部分:职业规范与素养 ( 5 分)
第二部分:网络搭建及安全部署项目 ( 50 分)
第三部分:服务器配置及应用项目 ( 45 分)
二、竞赛注意事项
1 .竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及
参考资料。
2 .请根据大赛所提供的竞赛环境,检查所列的硬件设备、软件清
单、材料清单是否齐全,计算机设备是否能正常使用。
3 .在进行任何操作之前,请阅读每个部分的所有任务。各任务之
间可能存在一定关联。
4 .操作过程中需要及时按照答题要求保存相关结果。竞赛结束后,
所有设备保持运行状态,评判以最后提交的成果为最终依据。
5 .竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将
竞赛所用的所有物品(包括试卷等)带离赛场。
6 .禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视
为 0 分。 网络建设与调试
任务描述:
某大型企业总部在长沙,各地市设有分公司。公司数据中心服务器位于总部,
分公司与总部通过专线互联,采用 BGP 路由协议实现网络通信。长沙设有办事处,
办事处包含有线、无线网络,长沙办事处与总部利用 VPN 技术实现数据通信;出
差人员通过 SSL VPN 接入公司网络。
网络拓扑图及 IP 地址表:
1. 网络拓扑图
2. 网络设备 IP 地址分配表
一、职业规范与素养
1. 整理赛位,工具、设备归位,保持赛后整洁有序。
2. 无因选手原因导致设备损坏。
3. 恢复调试现场,保证网络和系统安全运行。
二、交换配置
1.配置 vlan,SW1、SW2、SW3、AC1 的二层链路只允许相应 vlan 通过。
2.SW1 和 SW2 之间利用三条裸光缆实现互通,其中一条裸光缆承载三层 IP 业
务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实现
财务 1 段、财务 2 段业务路由表与其它业务路由表隔离,财务业务 VPN 实例名称
为 Finance。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路
扩容与冗余备份,编号为 1,用 LACP 协议,SW1 为 active,SW2 为 passive;采用
源、目的 IP 进行实现流量负载分担。
3.SW3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令,模拟接口 UP,
方便后续业务验证与测试。
4.将 SW3 模拟为 Internet 交换机,实现与集团其它业务路由表隔离,Internet
路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机,实现与集团其它业 务路由表隔离,办事处路由表 VPN 实例名称为 Office。
5.SW1 法务物理接口限制收、发数据占用的带宽分别为 100Mbps、90Mbps,
禁止采用访问控制列表,只允许 IP 主机位为 20-30 的数据包进行转发;禁止配置
访问控制列表,实现端口间二层流量无法互通,组名称 FW。
6.配置 SW1 相关特性实现报文上送设备 CPU 的前端整体上对攻击报文进行拦
截,开启日志记录功能,采样周期 10s 一次,恢复周期为 120s,从而保障 CPU 稳
定运行。
7.对 SW1 与 FW1 互连流量镜像到 SW1 E1/0/1,会话列表为 1。
三、路由调试
1.配置接口 ipv4 地址和 ipv6 地址,互联接口 ipv6 地址用本地链路地址。
2.SW2 配置 DHCPv4 和 DHCPv6,分别为总公司产品 1 段、总公司产品 2 段、 分公司 Vlan130、分公司 Vlan140 和分公司 Vlan150 分配地址。IPv4 地址池名称 分别为 Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan130、Poolv4-Vlan140、 Poolv4-Vlan150,排除网关,DNS 为 10.13.210.101 和 10.13.220.101。IPv6 地址 池名称分别为 Poolv6-Vlan11、Poolv6-Vlan21、Poolv6-Vlan130、Poolv6-Vlan140、 Poolv6-Vlan150,IPv6 地址池用网络前缀表示,排除网关,DNS 为 2400:3200::1。 PC1 保留地址 10.13.11.9 和 2001:10:13:11::9,PC2 保留地址10.13.21.9 和 2001:10:13:21::9,AP1 保留地址 10.13.130.9 和 2001:10:13:130::9。SW1、AC1 中继地址为 SW2 Loopback1 地址,SW1 启用 DHCPv4 和 DHCPv6 snooping,如果 E1/0/1 连接 dhcpv4 服务器,则关闭该端口,恢复时间为 10 分钟。
3.SW1、SW2、SW3、RT1 以太链路、RT2 以太链路、FW1、FW2、AC1 之间运行
OSPFv2 和 OSPFv3 协议(路由模式发布网络用接口地址,BGP 协议除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1 之间 OSPFv2 和 OSPFv3 协议,进程 1,区 域 0,分别发布 loopback1 地址路由和产品路由,FW1 通告 type1 默认路由。
(2)RT2 与 AC1 之间运行 OSPFv2 协议,进程 1,nssa no-summary 区域 1;AC1 发布 loopback1 地址路由、产品和营销路由,用 prefix-list 重发布 loopback3。
(3)RT2 与 AC1 之间运行 OSPFv3 协议,进程 1,stub no-summary 区域 1;AC1 发布 loopback1 地址路由、产品和营销。
(4)SW3 模拟办事处产品和营销接口配置为 loopback,模拟接口 up。SW3 模拟 办事处与 FW2 之间运行 OSPFv2 协议,进程 2,区域 2,SW3 模拟办事处发布 loopback2、产品和营销。SW3 模拟办事处配置 ipv6 默认路由;FW2 分别配置到 SW3 模拟办事 处 loopback2、产品和营销的 ipv6 明细静态路由,FW2 重发布静态路由到 OSPFv3 协议。
(5)RT1、FW2 之间 OSPFv2 和 OSPFv3 协议,进程 2,区域 2;RT1 发布 loopback4 路由,向该区域通告 type1 默认路由;FW2 发布 loopback1 路由,FW2 禁止学习到 集团和分公司的所有路由。RT1 用 prefix-list 匹配 FW2 loopback1 路由、SW3 模 拟办事处 loopback2 和产品路由、RT1 与 FW2 直连 ipv4 路由,将这些路由重发布 到区域 0。
(6)修改 ospf cost 为 100,实现 SW1 分别与 RT2、FW2 之间 ipv4 和 ipv6 互访 流量优先通过 SW1_SW2_RT1 链路转发,SW2 访问 Internet ipv4 和 ipv6 流量优先 通过 SW2_SW1_FW1 链路转发。
4.RT1 串行链路、RT2 串行链路、FW1、AC1 之间分别运行 RIP 和 RIPng 协议,
FW1、RT1、RT2 的 RIP 和 RIPng 发布 loopback2 地址路由,AC1 RIP 发布 loopback2
地址路由,AC1 RIPng 采用 route-map 匹配 prefix-list 重发布 loopback2 地址路
由。RT1 配置 offset 值为 3 的路由策略,实现 RT1-S1/0_RT2-S1/1 为主链路,
RT1-S1/1_RT2-S1/0 为备份链路,ipv4 的 ACL 名称为 AclRIP,ipv6 的 ACL 名称为
AclRIPng。RT1 的 S1/0 与 RT2 的 S1/1 之间采用 chap 双向认证,用户名为对端设
备名称,密码为 Key-1122。
5.RT1以太链路、RT2以太链路之间运行ISIS协议,进程1,分别实现loopback3
之间 ipv4 互通和 ipv6 互通。RT1、RT2 的 NET 分别为 10.0000.0000.0001.00、
10.0000.0000.0002.00,路由器类型是 Level-2,接口网络类型为点到点。配置域
md5 认证和接口 md5 认证,密码均为 Key-1122。
6.RT2 配置 ipv4 nat,实现 AC1 ipv4 产品用 RT2 外网接口 ipv4 地址访问
Internet。RT2 配置 nat64,实现 AC1 ipv6 产品用 RT2 外网接口 ipv4 地址访问
Internet,ipv4 地址转 ipv6 地址前缀为 64:ff9b::/96。
7.SW1、SW2、SW3、RT1、RT2 之间运行 BGP 协议,SW1、SW2、RT1 AS 号 65001、
RT2 AS 号 65002、SW3 AS 号 65003。
(1)SW1、SW2、SW3、RT1、RT2 之间通过 loopback1 建立 ipv4 和 ipv6 BGP 邻 居。SW1和SW2之间财务通过loopback2建立ipv4 BGP邻居,SW1和SW2的loopback2 互通采用静态路由。(2)SW1、SW2、SW3、RT2 分别只发布营销、法务、财务、人力等 ipv4 和 ipv6 路由;RT1 发布办事处营销 ipv4 和 ipv6 路由到 BGP。
(3)SW3 营销分别与 SW1 和 SW2 营销 ipv4 和 ipv6 互访优先在 SW3_SW1 链路转 发;SW3 法务及人力分别与 SW1 和 SW2 法务及人力 ipv4 和 ipv6 互访优先在 SW3_SW2 链路转发,主备链路相互备份;用 prefix-list、route-map 和 BGP 路径属性进行 选路,新增 AS 65000。
8.利用 BGP MPLS VPN 技术,RT1 与 RT2 以太链路间运行多协议标签交换、标 签分发协议。RT1 与 RT2 间创建财务 VPN 实例,名称为 Finance,RT1 的 RD 值为 1:1,export rt 值为 1:2,import rt 值为 2:1;RT2 的 RD 值为 2:2。通过两端 loopback1 建立 VPN 邻居,分别实现两端 loopback5 ipv4 互通和 ipv6 互通。
四、无线部署
1.AC1 loopback1 ipv4 和 ipv6 地址分别作为 AC1 的 ipv4 和 ipv6 管理地址。
AP 二层自动注册,AP 采用 MAC 地址认证。配置 2 个 ssid,分别为 skills-2.4G 和
skills-5G。skills-2.4G 对应 vlan140,用 network 140 和 radio1(模式为
n-only-g),用户接入无线网络时需要采用基于 WPA-personal 加密方式,密码为
Key-1122。skills-5G 对应 vlan150,用 network 150 和 radio2(模式为 n-only-a),
不需要认证,隐藏 ssid,skills-5G 用倒数第一个可用 VAP 发送 5G 信号。
2.当 AP 上线,如果 AC 中储存的 Image 版本和 AP 的 Image 版本号不同时,
会触发 AP 自动升级。AP 失败状态超时时间及探测到的客户端状态超时时间都为 2
小时。
3.MAC 认证模式为黑名单,MAC 地址为 80-45-DD-77-CC-48 的无线终端采用
全局配置 MAC 认证。
4.防止多 AP 和 AC 相连时过多的安全认证连接而消耗 CPU 资源,检测到 AP
与 AC 10 分钟内建立连接 5 次就不再允许继续连接,2 小时后恢复正常。
5.配置 vlan110 无线接入用户相互隔离,开启 ARP 抑制功能,限制每天早上
0 点到 4 点禁止终端接入。
6.配置 vlan110 无线接入用户上下行最大带宽为 800Mbps,arp 上下行最大
速率为 6packets/s。
7.配置 vlan110 无线接入用户上班时间(工作日 09:00-17:00)访问 Internet
https 上下行 CIR 为 1Mbps,CBS 为 20Mbps,PBS 为 30Mbps,exceed-action 和 violate-action 均为 drop。时间范围名称、控制列表名称、分类名称、策略名称
均为 Skills。
8.AP 发射功率为 90%。
五、安全维护
说明:ip 地址按照题目给定的顺序用“ip/mask”表示,ipv4 any 地址用
0.0.0.0/0,ipv6 any 地址用::/0,禁止用地址条目,否则按零分处理。
1.FW1 配置 ipv4 nat,实现集团产品 1 段 ipv4 访问 Internet ipv4,转换
ip/mask 为 200.200.200.16/28,保证每一个源 ip 产生的所有会话将被映射到同
一个固定的 IP 地址;当有流量匹配本地址转换规则时产生日志信息,将匹配的日
志发送至 10.13.11.120 的 UDP 514 端口,记录主机名,用明文轮询方式分发日志;
开启相关特性,实现扩展 nat 转换后的网络地址端口资源。
2.FW1 配置 nat64,实现集团产品 1 段 ipv6 访问 Internet ipv4,转换为出
接口 IP,ipv4 转 ipv6 地址前缀为 64:ff9b::/96。
3.FW1 和 FW2 策略默认动作为拒绝,FW1 允许集团产品 1 段 ipv4 和 ipv6 访
问 Internet 任意服务。
4.FW2 允许办事处产品 ipv4 访问集团产品 1 段 https 服务,允许集团产品 1
段访问办事处产品 ipv4、FW2 loopback1 ipv4、SW3 模拟办事处 loopback2 ipv4。
5.FW1 与 RT2 之间用 Internet 互联地址建立 GRE Over IPSec VPN,实现
loopback4 之间的加密访问。
6.FW1 要求内网每个 IP 限制会话数量为 300。
7.FW1 开启安全网关的 TCP SYN 包检查功能,只有检查收到的包为 TCP SYN
包后,才建立连接,否则丢弃包;配置对 TCP 三次握手建立的时间进行检查,如
果 1 分钟内未完成三次握手,则断掉该连接;配置所有的 TCP 数据包和 TCP VPN
数据包每次能够传输的最大数据分段为 1460,尽力减少网络分片。
服务搭建与运维
任务描述:
随着信息技术的快速发展,集团计划把部分业务由原有的 X86 服务器上迁移
到 ARM 架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。
一、X86 架构计算机操作系统安装与管理
1.PC1 系统为 ubuntu-desktop-amd64 系统(已安装,语言为英文),登录用
户为 xiao,密码为 Key-1122。启用 root 用户,密码为 Key-1122。
2.安装 remmina,用该软件连接 Server1 上的虚拟机,并配置虚拟机上的相
应服务。
3.安装 qemu 和 virtinst。
4.创建 Windows Server 2022 虚拟机,虚拟机信息如下:
5.安装 windows8,系统为 Windows Server 2022 Datacenter Desktop,网
络模式为桥接模式,网卡、硬盘、显示驱动均为 virtio,安装网卡、硬盘、显示
驱动并加入到 Windows AD 中。
二、ARM 架构计算机操作系统安装与管理
1.从 U 盘启动 PC2,安装 kylin-desktop-arm64(安装语言为英文),安装
时创建用户为 xiao,密码为 Key-1122。启用 root 用户,密码为 Key-1122。
2.配置 minicom,用该软件连接网络设备,并对网络设备进行配置。
三、Windows 云服务配置
1.创建实例
(1)网络消息表
(2)实例类型信息表
(3)实例信息表
2.域服务
任务描述:请采用域环境,管理企业网络资源。
(1)配置 windows2 为 skills.lan 域控制器;安装 dns 服务,dns 正反向区域
在 active directory 中存储,负责该域的正反向域名解析。
(2)把 skills.lan 域服务迁移到 windows1;安装 dns 服务,dns 正反向区域
在 active directory 中存储,负责该域的正反向域名解析。
(3)把其他 windows 主机加入到 skills.lan 域。所有 windows 主机(含域控
制器)用 skills\Administrator 身份登陆。
(6)启用所有 windows 服务器的防火墙。
(7)在 windows1 上新建名称为 manager、dev、sale 的 3 个组织单元;每个组
织单元内新建与组织单元同名的全局安全组;每个组内新建 20 个用户:行政部
manager00-manager19、开发部 dev00-dev19、营销部 sale00-sale19,不能修改
其口令,密码永不过期。manager00 拥有域管理员权限。
3.组策略
(1)添加防火墙入站规则,名称为 icmpv4,启用任意 IP 地址的 icmpv4 回显请 求。
(4)允许 manager 组本地登录域控制器,允许 manager00 用户远程登录到域控
制器;拒绝 dev 组从网络访问域控制器。
(5)登录时不显示上次登录,不显示用户名,无须按 ctrl+alt+del。
(6)登录计算机时,在桌面新建名称为 chinaskills 的快捷方式,目标为
http://www.chinaskills-jsw.org,快捷键为 ctrl+shift+f6。
4.文件共享
任务描述:请采用文件共享,实现共享资源的安全访问。
(1)在 windows1 的 C 分区划分 2GB 空间,创建 NTFS 分区,驱动器号为 d;创
建用户主目录共享文件夹:本地目录为 D:\share\home,共享名为 home,允许所
有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹,该
文件夹将设置为所有域用户的 home 目录,用户登录计算机成功后,自动映射挂载
到 h 卷。禁止用户在该共享文件中创建“*.exe”文件,文件组名和模板名为 my。
(2)创建目录 D:\share\work,共享名为 work,仅 manager 组和 Administrator
组有完全控制的安全权限和共享权限,其他认证用户有读取执行的安全权限和共
享权限。在 AD DS 中发布该共享。
5.ASP 服务
任务描述:请采用 IIS 搭建 web 服务,创建安全动态网站,。
(1)把 windows3 配置为 ASP 网站,网站仅支持 dotnet clr v4.0,站点名称为
asp。
(2)http 绑定本机与外部通信的 IP 地址,仅允许使用域名访问。
(3)网站目录为 C:\iis\contents,默认文档 index.aspx 内容为"Helloaspx"。
(4)使用 windows5 测试。
6.powershell 脚本
任务描述:请采用 powershell 脚本,实现快速批量的操作。
(1)在 windows7 上编写 C:\createfile.ps1 的 powershell 脚本,创建 20 个文
件 C:\file\file00.txt 至 C:\file\file19.txt,如果文件存在,则删除后,再创
建;每个文件的内容同主文件名,如 file00.txt 文件的内容为“file00”。
四、Linux 云服务配置
1.系统安装
(1)通过 PC1 web 连接 Server2,给 Server2 安装 rocky-arm64 CLI 系统(语
言为英文)。
(2)配置 Server2 的 IPv4 地址为 10.13.220.100/24。
(3)安装 qemu 和 virt-install。
(4)创建 rocky-arm64 虚拟机,虚拟机硬盘文件保存在默认目录,名称为
linuxN.qcow2(N 表 示 虚 拟 机 编 号 1-9 , 如 虚 拟 机 linux1 的 硬 盘 文 件 为
linux1.qcow2,虚拟机 linux2 的硬盘文件为 linux2.qcow2),虚拟机信息如下:
(5)安装 linux1,系统为 rocky-arm64 CLI,网卡、硬盘、显示驱动均为 virtio,
网络模式为桥接模式。
(6)关闭 linux1,给 linux1 创建快照,快照名称为 linux-snapshot。
(7)根据 linux1 克隆虚拟机 linux2-linux9。
2.dns 服务
任务描述:创建 DNS 服务器,实现企业域名访问。
(1)所有 linux 主机启用防火墙,防火墙区域为 public,在防火墙中放行对应
服务端口。
(2)利用 chrony,配置 linux1 为其他 linux 主机提供 NTP 服务。
(3)所有 linux 主机之间(包含本主机)root 用户实现密钥 ssh 认证,禁用密
码认证。
(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS 服务器。为 所有 linux 主机提供冗余 DNS 正反向解析服务。
3.apache2 服务
任务描述:请采用 Apache 搭建企业网站。
配置 linux1 为 Apache2 服务器,使用 skills.lan 或 any.skills.lan(any
代表任意网址前缀,用 linux1.skills.lan 和 web.skills.lan 测试)访问时,自
动 跳 转 到 www.skills.lan 。 禁 止 使 用 IP 地 址 访 问 , 默 认 首 页 文 档
/var/www/html/index.html 的内容为"apache"。
4.tomcat 服务
任务描述:采用 Tomcat 搭建动态网站。
(1)配置linux2为nginx服务器,默认文档index.html的内容为“hellonginx”;
仅允许使用域名访问,http 访问自动跳转到 https。
(2)利用 nginx 反向代理,实现 linux3 和 linux4 的 tomcat 负载均衡,通过
https//tomcat.skills.lan 加密访问 Tomcat。
(3)配置 linux3 和 linux4 为 tomcat 服务器,网站默认首页内容分别为
“tomcatA”和“tomcatB”,仅使用域名访问 80 端口 http。
5.samba 服务
任务描述:请采用 samba 服务,实现资源共享。
(1)在 linux3 上创建 user00-user19 等 20 个用户;user00 和 user01 添加到
manager 组,user02 和 user03 添加到 dev 组。把用户 user00-user03 添加到 samba
用户。
(2)配置 linux3 为 samba 服务器,建立共享目录/srv/sharesmb,共享名与目
录名相同。manager 组用户对 sharesmb 共享有读写权限,dev 组对 sharesmb 共享
有只读权限;用户对自己新建的文件有完全权限,对其他用户的文件只有读权限,
且不能删除别人的文件。在本机用 smbclient 命令测试。
(3)在 linux4 修改/etc/fstab,使用用户 user00 实现自动挂载 linux3 的
sharesmb 共享到/sharesmb。
6.kubernetes 服务
任务描述:请采用 kubernetes 和 containerd,管理容器。
(1)在 linux5-linux7 上安装 containerd 和 kubernetes,linux6 作为 master
node , linux6 和 linux7 作 为 work node ; 使 用 containerd.sock 作 为 容 器 runtime-endpoint。导入 nginx 镜像,主页内容为“HelloKubernetes”。
(2)master 节点配置 calico,作为网络组件。
(3)创建一个 deployment,名称为 web,副本数为 2;创建一个服务,类型为
nodeport,名称为 web,映射本机 80 端口和 443 端口分别到容器的 80 端口和 443
端口。
7.mysql 服务
任务描述:请安装 mysql 服务,建立数据表。
(1)配置 linux2 为 mysql 服务器,创建数据库用户 xiao,在任意机器上对所
有数据库有完全权限。
(2)创建数据库 userdb;在库中创建表 userinfo,表结构如下:
(3)在表中插入 2 条记录,分别为(1,user1,1999-07-01,男),(2,user2,
1999-07-02,女),password 与 name 相同,password 字段用 password 函数加密。
(4)修改表 userinfo 的结构,在 name 字段后添加新字段 height(数据类型为
float),更新 user1 和 user2 的 height 字段内容为 1.61 和 1.62。
(5) 每 周 五 凌 晨 1:00 以 root 用 户 身 份 备 份 数 据 库 userdb 到
/var/databak/userdb.sql(含创建数据库命令)。
8.shell 脚本
任务描述:请采用 shell 脚本,实现快速批量的操作。
在 linux4 上 编 写/root/createfile.sh 的 shell 脚 本 ,创 建 20 个 文 件
/root/shell/file00 至/root/shell/file19,如果文件存在,则删除再创建;每
个 文 件 的 内 容 同 文 件 名 , 如 file00 文 件 的 内 容 为 “ file00 ” 。 用
/root/createfile.sh 命令测试。
)
函数解析)
.冶炼金属)
)
