网络搭建与应用竞赛样题（三）

技能要求

（总分1000分）

 

竞赛说明

一、竞赛内容分布

“网络搭建与应用”竞赛共分三个部分，其中：

第一部分：网络搭建及安全部署项目（500分）

第二部分：服务器配置及应用项目（480分）

第三部分：职业规范与素养（20分）

二、竞赛注意事项

1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。
3. 请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。
4. 操作过程中，需要及时保存设备配置。
5. 比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和配置为最终结果。
6. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。
7. 禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记，如违反规定，可视为0分。
8. 与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。

项目简介:

某集团公司原在北京建立了总部，后在深圳建立了分部，又在成都、郑州设立了两个办事处。总部设有销售、产品、法务、财务、信息技术 5个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。

公司规模在2019年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。

集团、分公司及两个办事处的网络结构详见“主要网络环境”拓扑图。

其中一台S4600交换机编号为SW-3，用于实现终端高速接入；两台CS6200交换机作为总部的核心交换机；两台DCFW-1800分别作为成都办事处、郑州办事处的防火墙；一台DCR-2655路由器编号为RT-1，作为集团的核心路由器；另一台DCR-2655路由器编号为RT-2，作为分公司路由器；一台DCWS-6028作为集团的有线无线智能一体化控制器，编号为DCWS，通过与WL8200-I2高性能企业级AP配合实现集团无线覆盖。

请注意：结合网络环境和网络拓扑要求，合理规划网络和IP地址，保证网络搭建及安全部署项目和服务器配置及应用项目顺利实施。

表1.网络设备连接表

A设备连接至B设备
设备名称	接口	设备名称	接口
RT-1	G0/5	FW-1	E0/1
RT-1	S0/1	RT-2	S0/2
RT-1	S0/2	RT-2	S0/1
RT-2	G0/5	FW-1	E0/2
SW-1	E1/0/23	SW-2	E1/0/23
SW-1	E1/0/24	SW-3	E1/0/27
SW-2	E1/0/24	SW-3	E1/0/28
SW-1	E1/0/22	AC	E1/0/23
SW-2	E1/0/22	AC	E1/0/24
SW-1	E1/0/21	RT-1	G0/3
SW-2	E1/0/21	RT-1	G0/4
RT-1	G0/6	SW-2模拟Internet交换机	E1/0/17
FW-2	E0/1	SW-2模拟Internet交换机	E1/0/18
SW-1	E1/0/1	PC1	NIC
SW-2	E1/0/1	云平台	管理口
SW-2	E1/0/2	云平台	业务口
SW-3	E1/0/13	AP
SW-3	E1/0/14	PC2	NIC

表2.网络设备IP地址分配表

设备	设备名称	设备接口	IP地址
路由器	RT-1	Loopback1	100.30.255.3/32
		G 0/3	100.30.254.2/30
		G 0/4	100.30.254.6/30
		G 0/5	100.30.254.25/30
		G 0/6	202.99.192.1/30
		S 0/1-2	100.30.254.17/30
		Tunnel 1	100.30.254.33/30
	RT-2	Loopback1	100.30.255.4/32
		G 0/5	100.30.254.29/30
		G 0/4	172.30.10.254/24
		S 0/1-2	100.30.254.18/30
三层交换机	SW-1	Loopback 1	100.30.255.1/32
		VLAN10 SVI	192.168.10.0/24
		VLAN20 SVI	192.168.20.0/24
		VLAN30 SVI	192.168.30.0/24
		VLAN40 SVI	192.168.40.0/24
		VLAN50 SVI	192.168.50.0/2
		VLAN200 SVI	100.30.200.0/24
		VLAN1000 SVI	100.30.254.9/30
		VLAN1001 SVI	100.30.254.1/30
		VLAN4094 SVI	100.30.254.253/30
	SW-2	Loopback 1	100.30.255.2/32
		VLAN10 SVI	100.30.10.0/24
		VLAN20 SVI	100.30.20.0/24
		VLAN30 SVI	100.30.30.0/24
		VLAN40 SVI	100.30.40.0/24
		VLAN50 SVI	100.30.50.0/24
		VLAN200 SVI	100.30.200.0/24
		VLAN1002 SVI	100.30.254.13/30
	SW-2模拟Internet交换机	VLAN4000 SVI	202.99.192.2/30
		VLAN4001 SVI	202.99.192.65/30
		Loopback100	202.100.100.100/32
防火墙	FW-1	Loopback1	100.30.255.5/32
		Eth0/1	100.30.254.26/30 （untrust安全域）
		Eth0/2	100.30.254.30/30 （untrust安全域）
		Eth0/3	172.30.20.254/24 （trust安全域）
	FW-2	Eth0/1	202.99.192.66/30（untrust安全域）
		Eth0/2	172.30.30.254/24（trust安全域）
		Tunnel 1	100.30.254.34/30 （VPNHub安全域）
无线控制器	DCWS	VLAN1000 SVI	100.30.254.10/30
		VLAN1002 SVI	100.30.254.14/30
		VLAN220 SVI	100.30.220.254/24
二层交换机	SW-3	VLAN200 SVI	100.30.200.250/24

表3. 云实训平台网络信息表

网络 名称	vlan号	外部网络	子网 名称	子网网络地址	网关IP	激活DHCP	地址池范围
Vlan X	X	是	Vlan X	192.168.X.0/24	192.168.X.254	是	192.168.X.100  -192.168.X.200

表4.虚拟主机信息表

虚拟主机名称	镜像模板 (源)	云主机类型(flavor)	VCPU 数量	内存、硬盘信息	网络名称	备注
云主机1	WindowsServer2019	windows-440	2	4G、40G	VlanX
云主机2	WindowsServer2019	windows-440	2	4G、40G	VlanX	连接卷hd1、hd2、hd3
云主机3	WindowsServer2019	windows-440	2	4G、40G	VlanX	连接hd4、hd5
云主机4	Centos8.3	linux-220	1	2G、25G	VlanX
云主机5	Centos8.3	linux-220	1	2G、25G	VlanX
云主机6	Centos8.3	linux-220	1	2G、25G	VlanX

第一部分   网络搭建

二、交换机设置

(一) 为了减少广播，需要根据题目要求规划并配置VLAN。具体要求如下：

1. 配置合理，所有链路上不允许不必要VLAN的数据流通过，包括VLAN 1；

根据下述信息及表，在交换机上完成VLAN配置和端口分配。

设备	VLAN编号	VLAN名称	端口	说明
SW-3	VLAN10	XS	E1/0/6	销售
	VLAN20	CP	E1/0/7	产品
	VLAN30	FW	E1/0/8	法务
	VLAN40	CW	E1/0/9	财务
	VLAN50	XXJS	E1/0/10至E1/0/12	信息技术
	VLAN200	GL	E1/0/13	AP&交换机管理VLAN

（二）在集团核心交换机SW-1和SW-2、接入交换机SW-3间运行一种协议，具体要求如下：

1.实现销售、产品、信息技术业务优先通过SW-1至SW-3间链路转发(实例10)，2.法务、财务、AP&交换机管理等业务优先通过SW-2至SW-3间链路转发(实例20)，从而实现VLAN流量的负载分担与相互备份；

（三）在集团核心交换机SW-1和SW-2运行一种容错协议，为所有业务VLAN实现网关冗余，具体要求如下：

1.虚地址使用该VLAN中的最后一个可用IP、SW-1使用该VLAN中的倒数第三可用IP、SW-2使用该VLAN中的倒数第二可用IP，SW-1为销售、产品、信息技术业务的Master，SW-2为法务、财务、AP&交换机管理等业务的Master，且互为备份；

2.监视上行链路状态，当上行链路故障时，Slave设备能够接管Master设备转发数据；而当链路故障恢复后，原Master设备接管Slave设备转发数据。

（四）在SW1和SW2上配置简单网络管理协议，计划启用V3版本，开启交换机SNMPv3 Trap功能， SW1使用172.17.100.1/24作为接受Trap的管理端, SW2使用172.17.200.1作为接受Trap的管理端。创建认证用户为DCN2020，密钥为：DCn20202020，采用MD5的加密方式；加入组DCN；配置组的读、写视图分别为：Dcn2020_R、DCn2020_W，采用鉴别而不加密的级别。

（五）集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计，分别连接在两台核心交换机E1/0/10-E1/0/11接口测试，VLAN300作为远程端口镜像VLAN，Ethernet1/0/12作为反射端口，将核心交换机与接入交换机、路由器互连流量提供给多个厂商网流分析平台。

二、路由配置与调试

（一）规划集团与分公司、成都办事处之间使用OSPF协议进行互连互通，进程号为1，具体要求如下：

1.集团路由器与集团核心交换机之间、集团核心交换机与集团核心交换机之间、集团路由器与分公司路由器之间均属于骨干区域，集团业务网段属于Area1，分公司业务网段属于Area2；集团路由器与成都办事处防火墙之间、成都办事处防火墙与分公司路由器之间、成都办事处业务网段属于Area3；

2.针对骨干区域启用区域MD5验证，验证密钥为：DCN2019。 

（二）为了合理分配集团业务流向，保证来回路径一致，业务选路具体要求如下：

1.实现销售、产品、信息技术业务分别与Internet、分公司、办事处互访流量优先通过SW-1_RT1间链路转发，法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过SW-2_RT1间链路转发，从而实现流量的负载分担与相互备份。

三、无线配置

（一）集团无线控制器DCWS与核心交换机互联，无线业务网关位于DCWS上，VLAN220为业务VLAN；核心交换机SW-2配置使用DHCP进行AP管理地址分配，利用DHCP方式让AP发现AC进行三层注册，采用MAC地址认证。

（二）配置一个SSID DCNXX：DCNXX中的XX为赛位号，访问集团及Internet业务，采用WPA-PSK认证方式，加密方式为WPA个人版，配置密钥为Dcn12345678。

（三）配置所有Radio接口：AP在收到错误帧时，将不再发送ACK帧；打开AP组播广播突发限制功能；开启Radio的自动信道调整，每天上午10:00触发信道调整功能。

（四）配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级。

四、安全策略设置  

1. 针对FW的untrust区域开启所有攻击防护，发现攻击时丢弃；

2. FW1要求限制行政&两个个销售业务组仅在工作日（周一到周五，9：00-18：00）允许访问互联网，但禁止使用QQ聊天；

3. 公司为确保上班的工作效率，要求在工作日(周一到周五，9：00-18：00)期间禁止访问财经、社区论坛类的网站，同时为了防止垃圾邮件， 配置邮箱过滤，禁止发送邮件内容含有“发票”字样的邮件并记录相关日志；

4. FW1禁止访问www.taobao.com

5. FW2禁止访问www.jd.com

6. FW2为了保证带宽的正常使用，限制P2P应用的下行带宽最高为10M。

7. FW2对关键字为“暴力”的网页内容进行过滤。

第二部分   信息系统部署与应用

一、云实训平台配置

• 云实训平台相关说明：

1. 云实训平台管理ip地址默认为192.168.0.100，访问地址http:// 192.168.0.100，比赛前会发一张表（用户，密码），考生禁止修改云实训平台账号密码及管理ip地址，否则服务器配置及应用项目部分计0分。
2. 云实训平台中提供镜像环境，镜像的默认用户名密码以及镜像信息如下表所示。
3. 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作，centos8.3可以通过CRT软件连接进行操作，所有linux主机都默认开启了ssh功能，Linux系统软件镜像位于”/opt”目录下。
4. 要求在云实训平台中保留竞赛生成的所有虚拟主机。

名称	用户名	密码	ssh	rdp
Win2019	administrator	Qwer1234	否	是
Centos8.3	root	dcncloud	是	否

• 云实训平台安装与运用
  1. 1. 云实训平台基础设置

1. 按照“表3：云实训平台网络信息表”要求创建三个外部网络；
2. 设置5块卷，卷命名为hd1~hd5， 大小为1G，选择项目→计算→卷→创建卷。

注意事项：

1. 必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘；不能使用 “管理员”，“系统”栏下的“卷”功能，该功能使用不当会造成云硬盘创建失败，界面卡死。
2. 在云实训平台中可以创建多个云硬盘，所有云硬盘容量的总大小不能超过 10G，否则将创建失败。一个实例可以同时连接多个云硬盘，但一个云硬盘同时只能给一个实例作为扩展硬盘使用。
3. 在分离卷之前一定要保证使用该卷的 linux 主机中，已经不存在该卷的任何挂载点。如果使用该卷的主机是 windows 实例，必须保证该卷在主机的“磁盘管理”项目中处于脱机状态，否则会造成分离失败，或是一直显示“分离中”状态。
   1. 1. 创建虚拟主机

1. 按照“表4：虚拟主机信息表”所示，按要求生成虚拟主机；

在云主机1上完成如下操作

1. 完成主域控制器服务器的部署

（1）将云主机1的服务器配置成主域控制器，域名为hubeiskills.com域和林的功能级别为Windows Server 2016。其完全限定域名为dc.hubeiskills. com

（2）如表2-3所示，创建域用户和创建域用户组，要求所有用户不能修改其用户口令，口令为hubeiskills.com 并要求用户只能在上班的时间可以登录（周一至周五9:00~18:00）。

表2-3 域用户和域用户组信息表

域用户名	域用户组	组织单元	组作用域	组类型	所属部门
adm1	adm	研发部	全局	安全组	研发部门
adm2	adm
sale1	sale	业务部	全局	通讯组	业务部门
sale2	sale
sys1	sys	销售部	本地域	安全组	销售部门
sys2	sys

1. 设置组策略的“print spooler”服务改为手动启动；设置组策略对“不显示最后的登录名”选项已启用；更改组策略密码策略为无复杂性要求
2. 创建组织单元，名称为研发部，该组织单元包含sys组、adm1用户、PC1和PC2；设置该组织单元组策略,命名为“研发部GPO”，要求关闭windows自动更新，并禁止修改IE浏览器的主页； 

2. 完成域名服务器的部署

（1）将此服务器配置为主DNS服务器，按照看下表创建对应服务器主机记录，正确配置skills.com域名的正向及反向解析区域；并关闭网络掩码排序功能。设置DNS服务正向区域和反向区域与活动目录集成，启用Active Directory的回收站功能。使用域名访问到www.hubeiskills.com服务器。

域名对应关系表

IP地址	完全限定域名
云主机1地址	dc.hubeiskills.com
云主机2地址	print.hubeiskills.com
云主机3地址	www.hubeiskills.com
云主机3地址	web.hubeiskills.com
云主机3地址	sec.hubeiskills.com
云主机3地址	ftp.hubeiskills.com

3. 完成分布式文件系统服务器部署

（1）配置DFS服务，与print.hubeiskills.com通步，在C盘创建文件夹dfs-root作为复制对象，复制组为dfs-backup，设置复制在周六和周日带宽为完整，周一至周五带宽为64M，拓扑采用交错方式。

在云主机2上完成如下操作

1. 子域控制器服务器的部署

（1）将云主机2升级为hubeiskills.com域的辅助域控制器。其完全限定域名为print.hubeiskills. com

2. 完成CA证书服务器的部署

（1）将云主机2的服务设置为证书颁发机构，安装证书服务，有效期为5年，为企业内部自动回复证书申请。

3.完成网络打印服务的部署

1. 添加一台虚拟打印机，名称为“hb-Print”；
2. 将“hb-Print”发布到AD域；

4. 完成分布式文件系统服务器部署

（1）配置DFS服务，与dc.hubeiskills.com做文件夹同步，在C盘创建文件夹dfs-root作为复制对象，复制组为dfs-backup，设置复制在周六和周日带宽为完整，周一至周五带宽为64M，拓扑采用交错方式。

5． 完成磁盘阵列部署

（1）.利用已添加的三块虚拟硬盘 hd1、hd2、hd3 进行设置，完成磁盘阵列 RAID5 并对应盘符为 F。

在云主机3上完成如下操作

1. 完成网站服务器部署

（1）将此服务器加入hubeiskills.com域,其完全先限定域名为www.hubeiskills.com。

（2）创建www.hubeiskills.com站点，主目录为E:\web_root，默认文档：index.html，主页显示内容为“热烈庆祝2022年中等职业学校技能大赛开幕”，同时设置网站的最大连接数为1000，网站连接超时为60s，网站带宽为1000KB/S。

2. 完成文件传输服务器部署

（1）建立ftp站点ftp.hubeiskills.com，站点主目录为E:\ftp_root，不允许匿名登录，所有用户只具有读取和写入文件权限；FTP站点欢迎消息为：“欢迎访问网络搭建FTP服务器！”，并且用命令浏览文件时使用UNIX方式显示；日志文件记录到E:\ftp_root\LogFiles目录下。

(2）为ftp.hubeiskills.com设置域用户隔离，在域控制器中创建域用户ftpuser1和ftpuser2，密码分别为Netskills1.com，Netskills2.com设置两个用户主目录分别为网络文件夹\\ftp_root\ftpuser1、\\ftp_root\ftpuser2； 

4.完成磁盘阵列部署

(1) 利用已添加的两块虚拟硬盘 hd4、hd5 进行设置，完成磁盘阵列 RAID1，对应 磁盘盘符为 E。

在云主机4上完成如下操作:

（一）完成域名服务器部署

1．在此服务器中配置yum源，安装相关服务，实现域名服务器部署，设置开机自动加载服务；

2.配置该服务器，解析区域为2022skills.com；按照“域名信息表”完成正反向解析，禁止192.168.10.0/24网段的主机访问此DNS服务器；利用nslookup命令完成验证，

域名信息表

虚拟机名称	完全限定域名
云主机4	dns.2022skills.com.
云主机5	www.2022skills.com
云主机6	mail.2022skills.com.

（二）配置远程登陆服务器

3.在此服务器中安装相关服务，实现远程登陆服务器部署，设置开机自动加载服务，只允许IP地址以10.30开头的主机使用telnet命令远程登录该服务器， 

4.在云主机5上使用telnet命令登录本服务器

在云主机5上完成如下操作:

（一）完成网站服务器部属

5.在此服务器中配置yum源，安装相关服务，实现网站服务器部署，设置开机自动加载服务；

6.在此服务器中安装httpd 服务，建立虚拟主机站点 www.2022skills.com，其网站主目录 为/www/2022skills，主页名字 为 index.htm。首页内容为“ Welcome to ‘2022skills’swebsit”

7.使用 openssl 申请证书，创建自签名证书 server.crt 和私钥 server.key，要求通过 SSL 加密访问，重启 http 服务时不需要输入密码，使用物理机测试网站登录情况； 

（二）完成samba服务器部署

8.此服务不允许172.16.0.0/16网段的电脑访问，并创建四个用户tom、jerry、jack、man，密码同用户名，其中tom和jerry属于administration组，jerry和jack属于sales组；man用户属于manager组；

9.建立共享目录/var/administration_share和/var/sales_share，administration组的用户对目录administration_share共享有读写权限，sales组的用户对目录administration_share共享有只读权限；sales组的用户对目录sales_share共享有读写权限；manager用户对所有目录均有读写权限；

10、建立共享目录/var/public_share，共享名为share，允许匿名用户访问public_share，具有读取权限。

在云主机6上完成如下操作:

（一）完成文件传输服务器部署

11.在此服务器中配置yum源，安装相关服务，实现文件传输服务器部署，设置开机自动加载服务；

12.创设域名为ftp.2022skills.com的站点，，根目录为/var/ftp，最大上线人数为50人，同一IP来源最大连接数量为5人，不允许匿名用户访问，开启ftp支持被动数据传输模式；

13.建立虚拟用户ftpuser1及ftpuser2，密码同用户名，用户的宿主目录为/home/vsftpd，用户的权限配置文件目录为/etc/vsftpd_user_conf，实现ftpuser1用户具有浏览目录、上传和下载文件、创建和删除目录的权限，ftpuser2用户可以下载，但不能上传文件。

（二）完成数据库服务器部署

14．安装MariaDB服务器，启动并启用MariaDB，将登录的root密码设置为redhat，并仅帧听在本机。

15．配置MariaDB服务器，支持汉字数据处理。

16. 创建数据库为myclass，在库中创建表为mystudent，结构如下表所示，在表中创建2个用户，分别为（1，张三，2001-7-1，女），（2，李四，1998-9-1，男），Password是姓名拼音的首字母。

字段名	数据类型	主键
ID	Int	是
Name	varchar(10)	否
Birthday	Datetime	否
Sex	char(8)	否
Password	char（128）	否

（四）完成计划任务

17.通过crontab设置计划任务，实现每天每小时的30分，将/home目录实施压缩打包，打包的文件名为/home.tar.xz