2023年成都市中等职业学校学生技能大赛“网络搭建及应用”赛项竞赛样卷

网络建设与调试项目
（500分）

【说明】

1. 请将PC1上D盘soft文件夹中的《网络建设与调试竞赛报告单》复制到PC1桌面的“XX_ network”（XX为赛位号）文件夹中，并按照截图注意事项的要求填写完整；
2. 设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在PC1桌面的“XX_ network”（XX为赛位号）文件夹中。

保存文档方式如下：

1. 交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“XX_network”文件夹中，文档命名规则为：设备名称.txt。例如：RT-1路由器文件命名为：RT-1.txt；
2. 无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集，需要先调整CRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。

一、网络布线与IP规划

（一）网络布线

根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络跳线， 根据题目要求，插入相应设备的相关端口上； 

（二）IP规划

为了不断壮大集团业务经营范围，集团计划在上海成立办事处。通过调研，计划在上海办事处设立与Internet连接的4个业务部门，每个业务部门的最大所需主机数如下表所示，要求从10.10.10.100/19主机地址所在网络第一个网段开始进行IP地址规划，IP地址按照下表依次往后顺延规划，网关地址取每个网段最后一个可用地址，请完成下表IP地址规划。

部门名称	最大主机数	网络地址 （表示形式X.X.X.X/N）	网关地址 （表示形式X.X.X.X）
营销	110
产品	600
法务	126
财务	14

二、交换配置与调试

•  为了减少广播，需要根据题目要求规划并配置VLAN。要求配置合理，所有链路上不允许不必要VLAN的数据流通过。根据下述信息及表，在交换机上完成VLAN配置和端口分配。
•  集团核心交换机SW-1和SW-2之间租用运营商两条裸光缆通道实现两个DC之间互通，一条裸光缆通道实现三层IP业务承载、一条裸光缆通道实现二层业务承载。集团核心交换机SW-1与SW-3之间、集团核心交换机SW-2与SW-3之间租用运营商OTN波分链路实现互通。具体要求如下：

设备	VLAN编号	端口	说明
SW-1	VLAN10	E1/0/1-4	营销1段
	VLAN20	E1/0/5-7	产品1段
	VLAN30	E1/0/8-10	法务1段
	VLAN40	E1/0/11-12	财务1段
	VLAN50	E1/0/13-14	人力1段
SW-2	VLAN10	E1/0/1-4	营销2段
	VLAN20	E1/0/5-7	产品2段
	VLAN30	E1/0/8-10	法务2段
	VLAN40	E1/0/11-12	财务2段
	VLAN50	E1/0/13-14	人力2段
SW-3	VLAN10	E1/0/1-4	营销3段
	VLAN20	E1/0/5-7	产品3段
	VLAN30	E1/0/8-10	法务3段
	VLAN50	E1/0/11-12	人力3段

1. 目前设计实现二层业务承载的只有一条裸光缆通道，随着集团1#DC服务器数量快速扩容，预计未来2-3年集团1#DC与2#DC间服务器大二层流量会呈现爆发式增长，配置相关技术，方便后续链路扩容与冗余备份；
2. 配置集团核心交换机（SW-1、SW-2、SW-3）采用源、目的IP进行实现流量负载分担。

•  集团核心交换机（SW-1、SW-2、SW-3）分别配置简单网络管理协议，计划启用V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、62003；创建认证用户为DCN2021，采用3des算法进行加密，密钥为：Dcn20212021，哈希算法为SHA，密钥为：DCn20212021；加入组DCN，采用最高安全级别；配置组的读、写视图分别为：Dcn2021_R、DCn2021_W；当设备有异常时，需要使用本地的环回地址发送Trap消息至集团网管服务器10.50.50.120、2001:10:50:50::121，采用最高安全级别；当人力部门对应的用户接口发生UP/DOWN事件时禁止发送trap消息至上述集团网管服务器。
•  要求禁止配置访问控制列表，实现集团核心交换机SW-3法务业务对应的物理端口间二层流量无法互通；针对集团核心交换机SW-3人力业务配置相关特性，每个端口只允许的最大安全MAC 地址数为1，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留； 
•  SW-1作为集团核心交换机，同时又使用相关技术将SW-1模拟为Internet交换机，实现与集团其它业务网段路由表隔离，Internet路由表位于VPN实例名称Internet内。
•  配置相关功能，使集团核心交换机（SW-1、SW-2、SW-3）设备能够在网络中相互发现并交互各自的系统及配置信息，以供管理员查询两端接口对应关系及判断链路的通信状况；配置所有使能此功能的端口发送更新报文的时间间隔为一分钟、更新报文所携带的老化时间为五分钟，配置租用运营商三条裸光缆通道相关端口使能Trap功能，Trap报文发送间隔为1分钟。

三、路由配置与调试

•  规划集团内部、集团与广东办事处之间使用OSPF协议，集团内使用进程号为1，集团与广东办事处间使用进程号为2，具体要求如下：

1. 集团核心交换机SW-1与集团防火墙之间、集团路由器与集团防火墙之间、集团路由器与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3、集团核心交换机SW-2与集团核心交换机SW-3均属于骨干区域；集团路由器与广东办事处防火墙之间属于普通区域，区域号为20；
2. 集团路由器、集团核心交换机（SW-1、SW-2、SW-3）、集团防火墙分别发布自己的环回地址路由；集团核心交换机SW-1、SW-2、SW-3只允许发布营销网段业务路由；
3. 集团核心交换机（SW-1、SW-2、SW-3）OSPF进程1的路由表中只允许学习到业务网段路由为集团防火墙通告的TYPE1类型的缺省路由、分公司无线业务网段路由、广东办事处防火墙环回地址与营销业务网段路由；由于广东办事处防火墙路由条目支持数量有限，禁止学习到集团、分公司的所有互联地址与业务路由。

•  规划集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3、集团核心交换机SW-2与集团路由器之间使用OSPFv3协议，发布相应环回地址，禁止发布业务路由；集团核心交换机SW-1与集团核心交换机SW-2之间通过两端三层IP业务承载的裸光缆通道进行互联互通。
•  为了方便业务灵活调度，同时还规划集团北京两个DC与集团灾备DC之间、集团与分公司之间使用BGP协议，集团北京两个DC使用的AS号为62021、集团灾备DC使用的AS号为62022、分公司使用的AS号为62023，具体要求如下：

1. 集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团路由器之间、集团核心交换机SW-2与集团路由器之间通过环回地址建立IBGP邻居，集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3之间、集团路由器与分公司路由器之间通过互联地址建立EBGP邻居；
2. 要求集团北京两个DC与集团灾备DC、分公司路由器禁止发布除产品、法务、财务、人力、无线业务网段外的其它路由；

• 为了合理分配集团内业务流向，保证来回路径一致，业务选路具体要求如下：

1. 集团内部实现核心交换机SW-1与Internet互访流量优先通过SW-1 _FW-1之间链路转发，SW-1_SW-2 _RT-1_FW1之间链路作为备用链路；集团内部实现核心交换机SW-2与Internet互访流量优先通过SW-2_SW-1_FW-1之间链路转发， SW-2_RT-1_FW-1之间链路作为备用链路；
2. 集团内部实现核心交换机SW-3与SW-1、SW-2营销业务互访流量优先通过SW-3_SW-2之间链路转发，SW-3_SW-1之间链路作为备用链路；集团内部实现核心交换机SW-3与SW-1、SW-2 DC间IPV6业务互访流量优先通过SW-3_SW-1之间链路转发，SW-3_SW-2之间链路作为备用链路。
3. 根据以上需求，在交换机上进行合理的业务选路配置。具体要求如下：

（1）使用IP前缀列表匹配上述业务数据流；

（2）使用BGP自治系统路径属性进行业务选路，只允许使用route-map来改变路径属性、路由控制。

四、无线配置

•  分公司无线控制器AC与分公司路由器互连，无线业务网关位于分公司路由器上，配置VLAN100为AP管理VLAN，VLAN101为业务VLAN；AC提供无线管理与业务的DHCP服务，动态分配IP地址和网关；使用第一个可用地址作为AC管理地址，AP二层自动注册，启用密码认证，验证密钥为：Dcn_2021。
•  配置一个SSID DCNXX：DCNXX中的XX为赛位号，访问Internet业务，采用WPA-PSK认证方式，加密方式为WPA个人版，配置密钥为Dcn20212021。
•  配置所有无线接入用户相互隔离，Network模式下限制SSID DCNXX每天早上0点到4点禁止终端接入，开启SSID DCNXX ARP抑制功能；配置当无线终端支持5GHz网络时，优先引导接入5GHz网络，从而获得更大的吞吐量，提高无线体验。

五、安全策略配置

•  根据题目要求配置集团防火墙、广东办事处防火墙相应的业务安全域、业务接口；2021年护网行动开展在即，调整全网防火墙安全策略缺省规则为拒绝；限制集团防火墙只允许集团营销业务、分公司无线业务、广东办事处营销业务访问Internet业务；在广东办事处防火墙上限制广东办事处产品业务网段只可以访问集团产品网段https、mysql数据库类型业务，集团产品网段可以访问广东办事处产品业务网段任何端口。
•  为了避免集团内部业务直接映射至Internet成为攻击“靶心”，不断提升集团网络安全体系建设，在集团防火墙配置L2TP VPN，满足远程办公用户通过拨号登陆访问集团营销业务，LNS 地址池为10.50.253.1/24-10.10.253.100/24，网关为最大可用地址，认证账号dcn2021001,密码dcn2021。
•  在集团防火墙配置网络地址转换，公网NAT地址池为：202.50.21.0/28；保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.50.10.120的 UDP 2000端口；开启相关特性，实现扩展NAT转换后的网络地址端口资源；
•  在广东办事处防火墙开启安全网关的TCP SYN包检查功能，只有检查收到的包为TCP SYN包后，才建立连接；如果第一个数据包为TCP RST包，则防火墙将不创建会话；配置所有的TCP数据包每次能够传输的最大数据分段为1460、尽力减少网络分片；配置对TCP三次握手建立的时间进行检查，如果在1分钟内未完成三次握手，则断掉该连接。

六、网络运维

某单位网络拓扑架构如下，交换机连接两台客户机，通过交换设备相连，通过路由设备连接到外网，单位的网络拓扑结构如下图所示。

网络设备IP地址分配表

设备	设备名称	设备接口	IP地址
客户机	PC1	Fa0	192.168.1.10/24
	PC2	Fa0	192.168.2.10/24
三层 交换机	SW1	F0/1	192.168.1.2/24
		F0/2	192.168.2.2/24
		F0/24	10.1.1.1/24
路由器	R1	F0/0	10.1.1.2/24
		F0/1	20.1.1.1/24
互联网	Internet	F0/0	20.1.1.2/24

1.网络排错

网络按照表中要求已经搭建完成，现在有如下故障：

（1）SW1是内网交换机，且SW1配置动态路由协议，不能配置静态路由， SW1上需要有默认上网路由，此时在SW1上并没有默认上网路由，请分析原因并且故障排除。

（2）PC1与PC2之间三层通信异常，请分析原因并且故障排除。

（3）R1路由器与SW1之间配置了ospf动态路由协议，但是R1与SW1之间的ospf邻居关系异常请分析原因并且故障排除。 

服务器搭建与运维项目
（450分）

说明：

所有Windows主机实例在创建之后都可以直接通过远程桌面连接操作，Linux主机实例可以通过SecureCRT或Xshell软件连接进行操作，所有Linux主机都默认开启了ssh功能。

要求在云服务实训平台中保留竞赛生成的所有虚拟主机。

不修改Linux虚拟机的root用户密码，Linux题目中所有未指明的密码均为dcncloud；Windows虚拟机管理员的密码以及Windows题目中所有未指明的密码均为Password-1234，若未按照要求设置，涉及到该操作的所有分值记为0分。

虚拟主机的IP地址、主机名称请按照地址规划表的要求设定，若未按照要求设置，涉及到该操作的所有分值记为0分。

赛题所需的其它软件均存放在物理机D:\soft文件夹中。

在PC1桌面上新建“XX_system”（XX为赛位号）文件夹。根据“D:\soft\服务器搭建与运维报告单.docx”中提供的方法和命令，生成云平台和所有云主机操作结果的文件，并将这些文件存放到PC1桌面上的“XX_system”（XX为赛位号）文件夹。

所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会扣除该服务功能一定分数；如文档名称或文档存放位置错误，涉及到的所有操作分值记为0分。

云实训平台设置

按照云平台网络信息表要求新建网络。

按照虚拟主机信息表要求新建云主机类型。

按照服务器IP地址分配表要求新建虚拟主机，主机IP地址与云平台网络信息表中的一致。

按照下述题目相关要求新建硬盘，并连接到虚拟主机。

Windows服务配置

域服务配置

【任务描述】 为实现高效管理，请采用域控制器，提升企业网络安全程度，整合局域网内基于网络的资源。

设置所有虚拟机的IP为手动，与自动获取的IP地址一致；修改所有主机的名称与服务器IP地址分配表中的一致。

配置Windows-1为域控制器，域名为skills.com；安装DNS服务，为skills.com域中服务器提供正向解析，为skills.com林中服务器提供反向解析；要求skills.com林中的服务器之间都能正反向解析。

把其他Windows主机加入到skills.com域。

新建名称为hr、tech、sale的3个组织单元；每个组织单元内新建与组织单元同名的全局安全组；每个组内新建20个用户：人力部（hr101-hr120）、营销部（sale101-sale120）、技术部（tech101-tech120），所有用户不能修改其口令，必须启用密码复杂度要求、密码长度最小为8位、密码最长期限为10天、允许失败登录尝试的次数为4次、重置失败登录尝试计数（分钟）为5分钟、直至管理员手动解锁帐户，并且只能每天8:00-18:00可以登录。

所有用户到任何一台域计算机登录，“文档”文件夹重定向到域控制器的C:\Documents文件夹。

所有用户使用漫游用户配置文件，配置文件存储在Windows-1的C:\Profiles文件夹。

设置组策略，让域中主机之间通信采用IPSec安全连接，但域控制器和网关除外；采用计算机证书验证，使用组策略将证书分发到客户端计算机。

配置Windows-2为skills.com的子域，子域名称为bj. skills.com，安装DNS服务，为bj.skills.com域中服务器提供正反向解析。

配置Windows-1为证书服务器，为所有Windows主机颁发证书。设置为企业根，CA证书有效期20年，CA颁发证书有效期10年；证书的通用名称均用主机的完全合格域名，证书的其他信息：

（1）国家=“CN”。

（2）省=“Beijing”。

（3）市/县=“Beijing”。

（4）组织=“skills”。

（5）组织单位=“system”。

Windows链路聚合配置

【任务描述】 采用链路聚合，提供链路的冗余性。

分别利用Windows-3和Windows-4的10.10.80.0/24网络的两张网卡创建聚合端口组，组名为“AggGroup1”，成组模式为“静态成组”，负载均衡模式为“地址哈希”，IP地址为聚合组中第一张网卡的IP地址。

Web服务配置

【任务描述】 为客户获取公司产品信息和企业宣传的需要，创建安全动态网站，采用IIS搭建Web服务。

把Windows-5配置为Web站点，仅允许使用域名访问，http访问自动跳转到https，证书路径为C:\IIS\Configs\iis.crt。

Web站点同时支持dotnet CLR v2.0和dotnet CLR v4.0。

Web站点目录为C:\IIS\Contents，主页文档index.aspx的内容为<%=now()%>.

客户端访问网站，客户端必需有证书。

NLB服务配置

【任务描述】 为提升网络并发数据处理能力、优化网络性能，请采用NLB，以保证网络服务的灵活性和可用性。

配置Windows-3和Windows-4为NLB服务器，10.10.70.0网络为负载均衡网络，10.10.80.0网络为心跳网络。

群集IPv4地址为10.10.70.60/24，Windows-3群集优先级为1，Windows-4群集优先级为2，群集名称为www.skills.com，采用多播方式。

配置Windows-3为Web服务器，站点名称为www.skills.com，网站的最大连接数为1000，网站连接超时为60s，网站的带宽为2Mbps。

共享网页文件、共享网站配置文件和网站日志文件分别存储到Windows-1的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs。

使用W3C记录日志，每天创建一个新的日志文件，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。

网站只允许使用域名SSL加密访问，证书通用名称为www.skills.com，证书路径为Windows-1的D:\FilesWeb\Configs\www.cer。

配置Windows-4为Web服务器，要求采用共享windows-3配置的方式；导入Windows-3证书，证书路径为Windows-1的D:\FilesWeb\Configs\www.pfx。

Linux服务配置

DNS服务和CA服务配置

【任务描述】 创建DNS服务器，实现企业域名访问。

设置所有虚拟机的IP为手动，与自动获取的IP地址一致。

修改所有主机名称为服务器IP地址分配表中的完全合格域名。

设置所有Linux服务器的时区设为“上海”。

启动所有Linux服务器的防火墙，并放行相关服务。

利用chrony配置Linux-1为其他Linux主机提供时间同步服务。

利用bind9软件，配置Linux-1为主DNS服务器，配置Linux-2为备用DNS服务器，为所有Linux主机提供DNS正反向解析服务；采用rndc技术提供不间断的DNS服务。

所有Linux的root用户使用完全合格域名免密码ssh登录到其他Linux主机。

配置Linux-1为CA服务器，为所有Linux主机颁发证书。证书通用名称均为主机完全合格域名，CA证书有效期20年，CA颁发证书有效期10年，证书其他信息：

（1）国家=“CN”。

（2）省=“Beijing”。

（3）市/县=“Beijing”。

（4）组织=“skills”。

（5）组织单位=“system”。

Mail服务配置

【任务描述】 为构建一个企业级邮件服务器，请采用postfix和dovecot，实现更快、更容易管理、更安全的邮件服务。

配置Linux-2为Mail服务器，安装postfix和dovecot。

仅支持smtps和pop3s连接，证书路径为/etc/pki/www.crt，私钥路径为/etc/pki/www.key。

创建用户mail1和mail2，向all@skills.com发送的邮件，每个用户都会收到。

NIS服务配置

【任务描述】 为实现Linux主机之间资源共享，加强企业Linux账户的集中管理，请采用NIS实现该需求。

配置Linux-1为KDC服务器，负责Linux-3和Linux-4的验证。

在Linux-3上，创建用户，用户名为tom，uid=222，gid=222，家目录为/home/tomdir。

配置Linux-3为NFS服务器，目录/srv/share的共享要求为：10.10.70.0/24网络用户具有读写权限，所有用户映射为tom；kdc加密方式为krb5p。目录/srv/tmp的共享要求为：所有人都可以读写，都不改变身份，但不可删除别人的文件；kdc加密方式为krb5p。

在Linux-4上，设置用户的密码长度最少为6位，普通用户的最小id为2000。

配置Linux-4为NFS客户端，新建/mnt/share和/mnt/tmp目录，分别挂载Linux-3上的/srv/share和/srv/tmp。

高可靠性配置

【任务描述】 为准确地表达的集群资源之间的关系，请采用pacemarker+CoroSync，实现Web服务的高可用。

1.为Linux-5添加4块硬盘，每块硬盘大小为5G，组成Raid10，设备名称为/dev/md10，保证服务器开机，Raid能正常工作。使用iscsi全部空间创建lvm卷，卷组名称为vg1，逻辑卷名称为lv1，格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器，为Linux-3和Linux-4提供iSCSI服务。iSCSI目标端的wwn为iqn.2021-05.com.skills:server, iSCSI发起端的wwn为iqn.2021-05.com.skills:client.

2.配置Linux-3和Linux4为iSCSI客户端，实现discovery chap和session chap双向认证，Target认证用户名为IncomingUser，密码为IncomingPass；Initiator认证用户名为OutgoingUser，密码为OutgoingPass。利用多路径实现负载均衡，路径别名为mp。

3.配置Linux-3和Linux-4为集群服务器，通过D:\soft\HighAvailability.tar.gz安装pcs，集群名称为lincluster，Linux-3为主服务器，Linux-4为备份服务器。提供Apache服务，域名为www3.skills.com，网站目录/var/www/html，网站主页index.html的内容为“Linux集群网站”。IP资源名称为vip，虚拟IP为10.10.70.90；站点文件系统资源名称为website，物理目录为lv1；监视资源名称为webstatus，配置文件为/etc/httpd/conf/httpd.conf。仅允许使用域名访问，http访问自动跳转到https，证书路径为/etc/pki/www.crt，私钥路径为/etc/pki/www.key，网站虚拟主机配置文件路径为/etc/httpd/conf.d/vhost.conf。

LNMT服务配置

【任务描述】 根据企业需要搭建Linux动态网站，采用LNMT实现该需求。

1.配置Linux-6为Mariadb服务器，安装Mariadb-server，创建数据库用户jack，在任意机器上对所有数据库有完全权限；允许root远程登陆。

2.创建数据库userdb；在库中创建表userinfo，在表中插入2条记录，分别为(1,user1，1995-7-1，男)，(2,user2，1995-9-1，女)，口令与用户名相同，password字段用password函数加密，表结构如下：

字段名	数据类型	主键	自增
id	int	是	是
name	varchar(10)	否	否
birthday	datetime	否	否
sex	char(5)	否	否
password	char(200)	否	否

3.修改表userinfo的结构，在name字段后添加新字段height(数据类型为float)，更新user1和user2的height字段内容为1.61和1.62。

4.每周五凌晨1:00备份数据库userdb到/var/databak/userdb.sql。

5.配置Linux-6为nginx服务器，安装nginx，网站根目录为默认值，默认文档index.html的内容为“Nginx加密访问”；仅允许使用域名访问，http访问自动跳转到https，证书路径为/etc/nginx/nginx.crt，私钥路径为/etc/nginx/nginx.key，有效期10年。