比赛群号：836638946

A 设备连接至 B 设备
设备名称 接口 设备名称 接口
SW-1 E1/0/23 SW-2 E1/0/23
SW-1 E1/0/24 SW-3 E1/0/27
SW-2 E1/0/24 SW-3 E1/0/28
SW-1 E1/0/22 DCWS E1/0/23
SW-2 E1/0/22 DCWS E1/0/24
SW-1 E1/0/21 FW-1 G0/3
SW-2 E1/0/21 FW-1 G0/4

FW-1
E0/1 SW-2 模拟 Internet
交换机 E1/0/17

FW-2
E0/1 SW-2 模拟 Internet
交换机 E1/0/18
SW-1 E1/0/1 PC1 NIC
SW-2 E1/0/1 云平台 管理口
SW-2 E1/0/2 云平台 业务口
SW-3 E1/0/13 AP
SW-3 E1/0/14 PC2 NIC

表 2.网络设备 IP 地址分配表

设备 设备名
称 设备接口 IP 地址

三层交换机

SW-1 Loopback 1 10.10.255.1/32
VLAN10 SVI 10.10.10.0/24
VLAN20 SVI 10.10.20.0/24
VLAN30 SVI 10.10.30.0/24
VLAN40 SVI 10.10.40.0/24
VLAN50 SVI 10.10.50.0/24
VLAN200 SVI 10.10.200.0/24
VLAN1000 SVI 10.10.254.9/30
VLAN1001 SVI 10.10.254.1/30
VLAN4094 SVI 10.10.254.253/30

SW-2 Loopback 1 10.10.255.2/32
VLAN10 SVI 10.10.10.0/24
VLAN20 SVI 10.10.20.0/24
VLAN30 SVI 10.10.30.0/24
VLAN40 SVI 10.10.40.0/24
VLAN50 SVI 10.10.50.0/24
VLAN200 SVI 10.10.200.0/24
VLAN1002 SVI 10.10.254.13/30
VLAN1001 SVI 10.10.254.5/30
VLAN4094 SVI 10.10.254.254/30
SW-2
模拟
Internet
交换机 VLAN4000 SVI 202.99.192.2/30
VLAN4001 SVI 202.99.192.65/30
Loopback100 202.100.100.100/32
SW-3 VLAN200 SVI 10.10.200.250/24
防火墙 FW-1 Loopback1 10.10.255.5/32

Eth0/1 202.99.192.1/30
（untrust 安全域）

Eth0/3 10.10.254.2/30
（trust 安全域）
Eth0/4 10.10.254.6/30
（trust 安全域）
Tunnel 1 10.10.254.33/30
（VPNHub 安全域）

FW-2
Eth0/1 202.99.192.66/30
（untrust 安全域）

Eth0/2 172.30.30.254/24
（trust 安全域）
Tunnel 1 10.10.254.34/30
（VPNHub 安全域）

无线控制器
DCWS VLAN1000 SVI 10.10.254.10/30
VLAN1002 SVI 10.10.254.14/30
VLAN220 SVI 10.10.220.254/24

表 3.服务器 IP 地址分配表

宿主
机 虚拟主机
名称 域名信息 服务角色 系统及
版本信息 IPv4 地址信息

云主机 1
dc. JsSkill.com 域控制器DNS 服务器
CA 证书服务器 Windows Server 2019 10.10.30.xx/24
10.10.30.xx/24

云主机 2
subca.JsSkill.com 从属 CA 服务器辅助域控制器 磁盘管理
AD RMS
Windows Server 2019
10.10.30.xx/24
10.10.30.xx/24

云主机 3
Wds.JsSkill.com WDS 服务器DHCP 服务器文件服务器
DNS 服务器（转发器）
Windows Server 2019
10.10.30.xx/24
云

实

训

平

台
云主机 4
www1.JsSkill.com WEB 服务器DFS 服务 Windows Server 2019
10.10.30.xx/24

云主机 5
www2.JsSkill.com WEB 服务器DFS 服务 Windows Server 2019
10.10.30.xx/24
云主机 6 w10.JsSkill.com Client Windows 10 10.10.30.xx/24
Linux-1 ca.skills.com DNS、CA 服务 CentOS 8.3 10.10.20.xx/24
xfs 备份

Linux-2
Web01.skills.com 辅助 DNS 服务Apache 服务
CentOS 8.3
10.10.20.xx/24
NFS 服务
Linux-3 Web02.skills.com Apache 服务 CentOS 8.3 10.10.20.xx/24
Mariadb 服务
Linux-4 ftp.skills.com ftp 服务 CentOS 8.3 10.10.20.xx/24

Linux-5
www.skills.com nginx 服务Proxy 服务
CentOS 8.3
10.10.20.xx/24
rsyslog 服务

PC1
服务器 1 dc. JiangSuskills.com 域控制器
卷影副本 Windows Server
2019 10.10.30.30/24
服务器 2 dc2.cz.JsSkill.com 子域控制器
服务器安全配置 Windows Server
2019 10.10.30.29/24
服务器 3 wscore.JiangSuskills.c om CORE 系统
DHCP 服务器 Windows Server
Core 2019 10.10.30.28/24

PC2

Linux-6
docker.skills.com docker 服务rsyslog 服务
CentOS 8.3
10.10.20.xx/24

Linux-7
log.skills.com
rsyslog 服务
CentOS 8.3
10.10.20.xx/24

表 4.云平台网络信息表

网络名称 Vlan 号 外部网络 子网名称 子网网络地址 网关 IP 激活 DHCP 地址池范围
Vlan10 10 是 Vlan10-subnet 10.10.10.0/24 10.10.10.254 是 10.10.10.100~200
Vlan20 20 是 Vlan20-subnet 10.10.20.0/24 10.10.20.254 是 10.10.20.100~200
Vlan30 30 是 Vlan30-subnet 10.10.30.0/24 10.10.30.254 是 10.10.30.100~200
Vlan40 40 是 Vlan40-subnet 10.10.40.0/24 10.10.40.254 是 10.10.40.100~200
Vlan50 50 是 Vlan50-subnet 10.10.50.0/24 10.10.50.254 是 10.10.50.100~200

虚拟主机
名称 镜像模板(源) 云主机类型
(flavor) VCPU
数量 内存、硬
盘信息 网络名称 备注
云主机 1 windows2019 window-490 2 4G、90G Vlan30 加入域
云主机 2 windows2019 window-485 2 4G、85G Vlan30 加入域
连接卷 hd1-hd3
云主机 3 windows2019 window-480 2 4G、80G Vlan30 加入域
云主机 4 windows2019 window-465 2 4G、65G Vlan30 加入域
云主机 5 windows2019 window-460 2 4G、60G Vlan30 加入域
云主机 6 Windows10 window10-260 2 2G、60G Vlan30 加入域
Linux-1~ Linux-7
CentOS8.3
Small
1
2G，40G
Vlan20

云主机和服务器密码 Netw@rkCZ!@#（注意区分大小写）
注：需把云主机的默认密码改为表 6.云主机和服务器密码表要求的密码

2022 年江苏省职业院校技能大赛（中职）
网络搭建与应用赛项公开赛卷——技能要求竞赛说明
1.竞赛内容分布
“网络搭建与应用”竞赛共分五个部分，其中：
第一部分：网络组建与配置（350 分） 第二部分：云平台配置（80 分）
第三部分：Windows 系统配置（200 分） 第四部分：Linux 系统配置（200 分） 第五部分：职业规范与素养（20 分）
2.竞赛注意事项
（1）禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。
（3）请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。
（4）操作过程中，需要及时保存设备配置。
（5）比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和配置为最终结果。
（6）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。
（7）禁止在纸质资料、比赛设备上填写任何与竞赛无关的标记，如违反规定， 可视为 0 分。
（8）与比赛相关的工具软件放置在每台主机的 D 盘 soft 文件夹中。
（9）进入竞赛施工现场，施工人员需佩戴安全帽（项目设计阶段除外）。
（10）竞赛所用器材、耗材，在竞赛开始前已全部发放到各个竞赛工位，保证

充分满足竞赛需求。竞赛开始前，请仔细核对材料确认单，并签字确认（未签字确认前禁止开始比赛）。竞赛过程中，不再另行发放器材、耗材。
（11）竞赛过程中，参赛队要做到工作井然有序、不跨区操作、不喧哗，竞赛施工材料、加工废料、施工模块等分区有序存放。
3.项目简介
某集团公司原在北京建立了总部，在郑州设立了办事处。总部设有销售、产品、法务、财务、信息技术 5 个部门，统一进行 IP 及业务资源的规划和分配，全网采用 OSPF 动态路由协议和静态路由协议进行互连互通。
公司规模在 2020 年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。
集团、办事处的网络结构详见“主要网络环境”拓扑图。
其中一台 CS6200 交换机编号为 SW-3，用于实现终端高速接入；两台 CS6200 交换机作为总部的核心交换机；两台 DCFW-1800 分别作为集团、郑州办事处的防火墙；一台 DCWS-6028 作为集团的有线无线智能一体化控制器，编号为 DCWS，通过与 WL8200-I2 高性能企业级 AP 配合实现集团无线覆盖。

第一部分：网络组建与配置（350 分）
【说明】
1.交换机、 DCWS、防火墙使用同一条 console 线；
2.设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在 PC1 桌面的“比赛文档_X”（X 为赛位号）文件夹中；
3.保存文档方式如下：
交换机、DCWS 要把 show running-config 的配置、防火墙要把 show configuration 的配置保存在 PC1 桌面上的“比赛文档_X”文件夹中，文档命名规则为：设备名称.txt。例如：SW-1 交换机文件命名为：SW-1.txt；
无论通过 SSH、telnet、Console 登录防火墙进行 show configuration 配置收集，需要先调整 CRT 软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码。CRT 软件调整字符编号配置如图：

一、 网络布线与基础连接

右侧布线面板立面示意图 左侧布线面板立面示意图

说明

1.机柜左侧布线面板编号 101；机柜右侧布线面板编号 102。

2.面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B 标准端接。
3.主配线区配线点与工作区配线点连线对应关系如下表所示。

PC1、PC2 配线点连线对应关系表
序
号 信息点编号 配线架编
号 底盒编
号 信息点编
号 配线架端口编
号
1 W1-02-101-1 W1 101 1 02
2 W1-06-102-1 W1 102 1 06
(一) 、铺设线缆并端接
1.截取 2 根适当长度的双绞线，两端制作标签，穿过 PVC 线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定；
2.将 2 根双绞线的一端，根据“PC1、PC2 配线点连线对应关系表“的要求，端接在配线架的相应端口上；
3.将 2 根双绞线的另一端，根据“PC1、PC2 配线点连线对应关系表”的要求，端接上 RJ45 模块，并且安装上信息点面板，并标注标签。
(二) 、跳线制作与测试
1.再截取 2 根当长度的双绞线，两端制作标签，根据“PC1、PC2 配线点连线对应关

系表”的要求，链接网络信息点和相应计算机，端接水晶头，制作网络跳线，所有网络跳线要求按 568B 标准制作；
2.根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络跳线， 根据题目要求，插入相应设备的相关端❑上；（包括设备与设备之间、设备与配线架之间）；
3.实现 PC、信息点面板、配线架、设备之间的连通；（提示：可利用机柜上自带的设备进行通断测试）；
4.PC1 连接 102 底盒 1 端❑、PC2 连接 101 底盒 1 端❑。
二、 交换配置与调试
(一) 为了减少广播，需要根据题目要求规划并配置 VLAN。具体要求如下：
1.配置合理，所有链路上不允许不必要 VLAN 的数据流通过，包括 VLAN 1；
2.集团接入交换机与核心交换机之间的互连接❑发送 AP&交换机管理 VLAN 的报文时不携带标签，发送其它 VLAN 的报文时携带标签，要求禁止采用 trunk 链路类型；
3.当财务业务 VLAN 物理端❑接收到的流量大于端❑缓存所能容纳的大小时，端❑将通知向其发送流量的设备减慢发送速度，以防止丢包；当法务业务 VLAN 物理端❑收包 BUM 报文速率超过 2000packets/s 则关闭端❑，10 分钟后恢复端❑。
4.根据下述信息及表，在交换机上完成 VLAN 配置和端❑分配。
设备 VLAN 编号 VLAN 名称 端❑ 说明
SW-3 VLAN10 XS E1/0/6 销售
VLAN20 CP E1/0/7 产品
VLAN30 FW E1/0/8 法务
VLAN40 CW E1/0/9 财务
VLAN50 XXJS E1/0/10 至
E1/0/12 信息技术
VLAN200 GL E1/0/13 AP&交换机管理
VLAN
(二) 在集团核心交换机 SW-1 和 SW-2、接入交换机 SW-3 间运行一种协议，具体要求如

下：
1.实现销售、产品、信息技术业务优先通过 SW-1 至 SW-3 间链路转发，法务、财务、AP& 交换机管理等业务优先通过 SW-2 至 SW-3 间链路转发，从而实现 VLAN 流量的负载分担与相互备份；
2.设置路径开销值的取值范围为 1-65535，BPDU 支持在域中传输的最大跳数为 7 跳；同时不希望每次拓扑改变都清除设备 MAC/ARP 表，全局限制拓扑改变进行刷新的次数；
3.加速接入交换机所有业务端❑收敛，当接❑收到 BPDU 丢弃报文并关闭端❑，如果 5
分钟内没有收到 BPDU 报文，则恢复该端❑。
(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议，为所有业务 VLAN 实现网关冗余，具体要求如下：
1.虚地址使用该 VLAN 中的最后一个可用 IP、SW-1 使用该 VLAN 中的倒数第三可用 IP、SW-2 使用该 VLAN 中的倒数第二可用 IP，SW-1 为销售、产品、信息技术业务的 Master，SW-2 为法务、财务、AP&交换机管理等业务的 Master，且互为备份；每隔 3s，VRRP 备份组中的 Master发送 VRRP 报文来向组内的三层交换机通知自己工作状态；
2.监视上行链路状态，当上行链路故障时，Slave 设备能够接管 Master 设备转发数据； 而当链路故障恢复后，原 Master 设备接管 Slave 设备转发数据。
(四) 因集团销售人员较多、同时也为了节约成本，在集团接入交换机下挂两个 8 ❑ HUB 交换机实现销售业务接入，集团信息技术部已经为销售业务 VLAN 分配 IP 主机位为 1-14，在集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发，对 IP 不在上述范围内的用户发来的数据包，交换机不能转发，直接丢弃, 要求禁止采用访问控制列表实现。
(五) 集团接入交换机与核心交换机之间的互连采用光纤接❑且跨楼层，当发现单向链路后，要求自动地关闭互连端❑；发送握手报文时间间隔为 5s, 以便对链路连接错误做出更快的响应，如果某端❑被关闭，经过 30 分钟，该端❑自动重启。
(六) SW-2 既作为集团核心交换机，同时又使用相关技术将 SW-2 模拟为 Internet 交换机，实现集团内部业务路由表与 Internet 路由表隔离。
(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计，分别连接在
SW-1 核心交换机 E1/0/10-E1/0/11 接❑测试，将核心交换机与接入交换机、防火墙互连流量

提供给多个厂商网流分析平台。
三、 路由配置与调试
(一) 尽可能加大集团防火墙与核心交换机之间链路带宽；
(二) 规划集团使用 OSPF 协议进行互连互通，进程号为 1，具体要求如下：
1.集团防火墙与集团核心交换机之间、集团核心交换机与集团核心交换机之间均属于骨干区域；
2.借助 OSPF 相关特性，尽可能保证骨干区域完整性；
3.针对骨干区域启用区域 MD5 验证，验证密钥为：DCN2019，调整接❑的网络类型加快邻居关系收敛；
4.集团防火墙将访问郑州办事处业务网段的静态路由引入 OSPF。
(三) 实现集团销售&产品&信息技术&无线业务、统一通过集团防火墙访问 Internet， 轮询使用 NAT 地址为：202.99.192.4/30，针对上述源地址，限制单个 IP 地址能建立 NAT 翻译表项的最大数目为 100 ；配置一对一地址转换，实现通过 Internet 任意位置访问202.99.192.8/32 都可以访问至集团 OA 平台 10.XX.10.1/32（XX 与“主要网络环境”地址中相应网段一致）进行数据查询；郑州办事处业务网段通过郑州办事处防火墙访问 Internet， NAT 地址池为接❑公网 IP。
(四) 集团防火墙与郑州办事处防火墙之间使用与 Internet 的接❑互联地址建立GRE 隧道，再使用 IPSEC 技术对 GRE 隧道进行保护，使用 IKE 协商 IPSec 安全联盟、交换 IPSec 密钥，两端加密访问列表名称都为 ipsecacl，这样有了 IPSec，郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时，就不用担心被监视、篡改和伪造，可以安全上传郑州办事处相关销售业务数据。
(五) 为了合理分配集团业务流向，保证来回路径一致，业务选路具体要求如下：
1.集团核心交换机与集团无线控制器 DCWS 之间采用静态路由协议，使用 OSPF 相关特性实现集团无线业务与 Internet 互访流量优先通过 DCWS_SW-1_FW-1 间链路转发， DCWS_SW-2_FW-1 间链路作为备用链路；
2.实现销售、产品、信息技术业务分别与 Internet、办事处互访流量优先通过 SW-1_ FW-1
间链路转发，法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过

SW-2_ FW-1 间链路转发，从而实现流量的负载分担与相互备份。
四、 无线配置
(一) 集团无线控制器 DCWS 与核心交换机互联，无线业务网关位于 DCWS 上，VLAN220 为业务 VLAN；核心交换机侧配置使用 DHCP 进行 AP 管理地址分配，利用 DHCP 方式让 AP 发现DCWS 进行三层注册，采用 MAC 地址认证。
(二) 配置一个 SSID DCNXX：DCNXX 中的 XX 为赛位号，访问集团及 Internet 业务，采用 WPA-PSK 认证方式，加密方式为 WPA 个人版，配置密钥为 Dcn12345678。
(三) AP 在收到错误帧时，将不再发送 ACK 帧；打开 AP 组播广播突发限制功能；开启
Radio 的自动信道调整，每天上午 7:00 触发信道调整功能。
五、 安全策略配置
(一) 根据题目要求配置郑州办事处防火墙相应的业务安全域、业务接❑；郑州办事处业务网段通过 VPN 隧道只可以访问集团销售业务网段 http&https 业务,通过公网接❑可以访问 Internet 业务；集团所有业务网段均可以与郑州办事处业务网段双向互 ping，方便网络连通性测试与排障。
(二) 集团计划在郑州办事处进行 https 认证试点，对郑州办事处业务网段上网的用户进行控制，认证服务器为本地防火墙，只有在认证页面输入用户名和密码分别为 dcn01 或者dcn02 才可以访问外部网络，强制用户在线时常超过 1 天后必须重新登录。
(三) 郑州办事处只有 100M Internet 出❑，在郑州办事处防火墙上限制该业务网段每个 IP 上下行最多 4M 带宽；对 Internet 出❑ http 流量整形到 10Mbps，从而实现流量精细化控制，保障办事处其它关键应用和服务的带宽。
六、 IPV6 配置
集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版
（IPv6）规模部署行动计划》，加快推进基于互联网协议第六版（IPv6）基础网络设施规模部署和应用系统升级，现准备先在集团公司开始 IPv6 测试，要求如下：
(一) 在集团核心交换机 SW-1 配置 IPv6 地址，使用相关特性实现销售业务的 IPv6 终端可自动从网关处获得 IPv6 有状态地址。
(二) 在集团核心交换机 SW-2 配置 IPv6 地址，开启路由公告功能，路由公告的生存期

为 2 小时，确保产品业务的 IPv6 终端可以获得 IPv6 无状态地址。
(三) 在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性，实现销售业务的
IPv6 终端与产品业务的 IPv6 终端可以互访。
集团测试 IPv6 业务地址规划如下，其它 IPv6 地址自行规划：
业务 IPV6 地址

销售 2001:XX:10::254/64
（XX 与“主要网络环境”地址中相应网段一致）

产品 2001:XX:20::254/64
（XX 与“主要网络环境”地址中相应网段一致）
举例：“主要网络环境”中销售业务 IPv4 地址为：10.30.10.0/24，对应 IPv6 地址为：
2001:30:10::254/64。

第二部分：云平台配置（80 分）
【竞赛技术平台说明】
1．云服务实训平台相关说明：
（1）云服务 实训 平台 管理 ip 地 址默 认为 192.168.100.100 ，访问 地址http://192.168.100.100/dashboard 默认账号密码为 admin/dcncloud，ssh 默认账号密码为root/dcncloud，考生禁止修改云服务实训平台账号密码及管理 ip 地址，否则服务器配置及应用项目部分计 0 分；
（2）云服务实训平台中提供镜像环境，镜像的默认用户名密码以及镜像信息，参考《云服务实训平台用户操作手册（江苏省赛版）》；

（3）所有 windows 主机实例在创建之后都直接可以通过远程桌面连接操作，centos7 可以通过 CRT 软件连接进行操作，所有 linux 主机都默认开启了 ssh 功能，Linux 系统软件镜像位于”/opt”目录下；
（4）要求在云服务实训平台中保留竞赛生成的所有虚拟主机。2．云服务实训平台和服务器 PC1 和 PC2 相关服务说明：
（1）题目中所有未指明的密码均参见“表 6.云主机和服务器密码表”，若未按照要求设置密码，涉及到该操作的所有分值记为 0 分；
（2）虚拟主机的 IP 属性设置请按照“拓扑结构图”以及“表 3.服务器 IP 地址分配表” 的要求设定；
（3）除非作特殊说明，在 PC1 和 PC2 上需要安装相同操作系统版本的虚拟机时，可采用 VMware Workstation 软件自带的克隆系统功能实现。
（4）PC1 和 PC2 上所有系统镜像文件及赛题所需的其它软件均存放在每台主机的

D:\soft 文件夹中；
（5）PC1 和 PC2 要求的虚拟机均安装于每台在 D 盘根目录下自建的名为 VirtualPC 文件夹中，即路径为 D:\VirtualPC\虚拟主机名称。
（6）请在 PC2 桌面上，选手自己建立 BACKUP_X（X 为赛位号）文件夹，并将 PC2 上D 盘 soft 文件夹中的《云实训平台安装与应用报告单》、《Windows 操作系统-云平台部分竞赛报告单》和《Linux 操作系统竞赛报告单》复制到 PC2 桌面的“BACKUP_X”（X 为赛位号）文件夹中、将 PC1 上 D 盘 soft 文件夹中的《Windows 操作系统-虚拟机部分竞赛报告单》 复制到 PC1 桌面的“BACKUP_X”（X 为赛位号）文件夹中，并按照截图注意事项的要求填写完整；如报告单、截图等存放位置错误，涉及到的所有操作分值记为 0 分；
（7）所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会扣除该服务功能一定分数。

【云实训平台安装与运用】
一、云平台基础设置
1.按照“表 4：云平台网络信息表”要求创建五个外部网络，这些外部网络所使用的 VLAN
均为总部业务 VLAN，详细操作过程请参照“云服务实训平台用户操作手册（江苏省赛版）”；

2.创建 5 块云硬盘，卷命名为 hd1-hd5，其中 hd1-hd2 大小为 10G，h3-h5 大小自定。注意事项：
（1）必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘；不能使用 “ 管理员”，“系统”栏下的“卷”功能，该功能使用不当会造成云硬盘创建失败，界面卡死。
（2）在云平台中可以创建多个云硬盘，所有云硬盘容量的总大小不能超过 100G，否则将创建失败。一个实例可以同时连接多个云硬盘，但一个云硬盘同时只能给一个实例作为扩展硬盘使用。
（3）在分离卷之前一定要保证使用该卷的 Linux 主机中，已经不存在该卷的任何挂载点。如果使用该卷的主机是 Windows 实例，必须保证该卷在主机的“磁盘管理”项目中处于脱机状态，否则会造成分离失败，或是一直显示“分离中”状态。
二、创建虚拟主机

1.按照“表 5：虚拟主机信息表”所示，按要求生成虚拟主机，详细操作过程请参照“云服务实训平台用户操作手册（江苏省赛版）”；
2.云平台中所有虚拟机的 IP 地址，要求手动设置为该虚拟机 DHCP 获取的地址。

第三部分：Windows 系统配置（200 分）
一、在云实训平台上完成如下操作
（一）完成虚拟主机的创建
将按照“表 5：虚拟主机信息表”生成的虚拟主机加入到 JsSkill.com 域环境。
（二）完成链路聚合的部署
1.在云主机 1 中添加一块网卡，第一块网卡和第二块网卡为提供链路聚合网卡，完成链路聚合操作，组名为“AggNic1”，成组模式为“静态成组”，负载均衡模式为“地址哈希”，为主域和辅助域之间的传输提升速度；
2.在云主机 2 中添加一块网卡，第一块网卡和第二块网卡为提供链路聚合网卡，完成链路聚合操作，组名为“AggNic2”，成组模式为“静态成组”，负载均衡模式为“地址哈希”，为主域和辅助域之间的传输提升速度。
（三）在云主机 1 中完成域用户管理及 CA 服务器的部署
1.创建 3 个用户组，组名采用对应部门名称的中文全拼命名，每个部门都创建 2 个用户， 行政部用户：adm1~ adm2、销售部用户：sale1_{sale2、技术部用户：sys1}sys2，所有用户不能修改其用户❑令，并要求用户只能在上班时间可以登录（每周一至周五 9:00~18:00）。
2.CA 服务器配置：
（1）安装证书服务，为企业内部自动回复证书申请；
（2）颁发的证书有效期年份为 3years。
（四）在云主机 1 中完成组策略部署
1.配置实现域中技术部的所有员工必须启用密码复杂度要求，密码长度最小为 10 位， 密码最长存留 60 天，允许失败登录尝试的次数、重置失败登录尝试计数都为 6 次，账户将被锁定的时间为 0 分钟，直至管理员手动解锁账户；
2.配置实现所有销售部的计算机开机后自动弹出“温馨提示”的对话框，显示的内容为“请注意销售数据的安全！”；
3.配置实现域内所有计算机“关闭自动播放”；
4.配置实现行政部所有计算机隐藏桌面网络图标，“开始”菜单中不保留最近打开文档的历史；

5.设置组策略，让域中主机之间通信采用 IPSec 安全连接，但域控制器和网关除外；采用计算机证书验证，使用组策略将证书分发到客户端计算机。
（五）在云主机 1 中完成 DNS 服务器的部署
1.将此服务器配置为主 DNS 服务器，具体要求：
（1）正确配置 JsSkill.com 域名的正向及反向解析区域；
（2）创建对应所有服务器主机记录，正确解析 JsSkill.com 域中的所有服务器；
（3）关闭网络掩码排序功能；
（4）设置 DNS 服务正向区域和反向区域与活动目录集成；
（5）启用 Active Directory 的回收站功能。
2.为了防止域控制器的 DNS 域名解析服务造成大量不必要的数据流，公司技术人员决定禁用 DNS 递归功能，请您使用 PowerShell 禁用 DNS 递归功能；
3.新建一条主机记录，主机名称为 dnss、IP 地址为 10.10.10.10；
4.对云主机 1 的 JsSkill.com 区域中的 dnss 主机记录提供完整性验证，保证数据在传输的过程中不被篡改；
5.建立如下表解析记录
域名 Ipv6 地址 备注
cav6.JsSkill.com 2001:10:50:254::4/128
Mailv6.JsSkill.com 2001:10:50:254::5/128
Wwwv6.JsSkill.com 2001:10:50:254::6/128
Dnsv6.JsSkill.com 2001:10:50:254::7/128
6.建立如下表站点及子网信息
站点名称 子网
销售 1 部 10.1.1.0/24、10.1.2.0/24、10.1.3.0/24
销售 2 部 10.2.1.0/24、10.2.2.0/24、10.2.3.0/24
销售 3 部 10.3.1.0/24、10.3.2.0/24、10.3.3.0/24
7.创建如下表站点链接信息
名称 类型 链接站点 开销 复制间隔 复制时间
销售 1-销售 2 站点链接 技术 1 部、技术 2 部 80 60 星期一至星期五 8
点至 17 点

销售 1-销售 3 	站点链接 	技术 1 部、技术 3 部 	90 	75 	星期六、星期日 0 点至 6 点 	
销售 2-销售 3 	站点链接 	技术 2 部、技术 3 部 	100 	90 	星期五 2 点至 7 点 	

（六）在云主机 2 中完成辅助域控、从属证书及磁盘阵列的部署
1.将云主机 2 的服务器升级成 JsSkill.com 域的辅助域控制器；
2.将云主机 2 的服务器设置为证书颁发机构：
（1）安装证书服务，为企业内部自动回复证书申请；
（2）设置为企业从属 CA，负责整个 JsSkill.com 域的证书发放工作；
3.添加三块 SCSI 虚拟硬盘，其每块硬盘的大小为 10G，并创建 RAID5 卷，盘符为 E 盘。
（七）在云主机 2 中完成 AD RMS 的部署安装 AD RMS 权限管理服务：
（1）要求安装“AD 权限管理服务器”和“联合身份验证支持”角色服务；
（2）使用 Windows 的内部数据库；
（3）指定群集地址为：https://adrms.JsSkill.com；
（4）配置联合身份验证支持的服务器名称为：https://adrms.JsSkill.com。
（八）在云主机 3 中完成文件服务器的部署
1.通过压缩卷新建 E 盘，大小自定；
2.在 E 盘上新建文件夹 FilesWeb，并将其设置为共享文件夹，共享名为 FilesWeb，开放共享文件夹的读取/写入权限给 everyone 用户；
3.在 FilesWeb 文件夹内建立两个子文件夹：
（1）子文件夹为“FilesConfigs”，用来存储共享设置；
（2）子文件夹为“FilesConts”，用来存储共享网页。
（九）在云主机 3 中完成 DHCP 及 WDS 服务的部署
1.安装 DHCP 服务，为服务器网段部分主机动态分配 IPv4 地址，建立作用域，作用域的名称为 dhcpser，地址池为 220-225；
2.安装 WDS 服务，目的是通过网络引导的方式来安装 Windows Server 2019 CORE 操作系统，运用适当技术手段，让此 WDS 的客户端，只获取到对应 WDS 服务器端 DHCP 下发的IP 地址。

（十）在云主机 3 中完成 DNS 转发服务器和 DNSSEC 签名的部署
3.安装 DNS 服务器角色，设置转发器为“云主机 1”的服务器，负责转发“云主机 6”
的域名解析的查询请求；
4.在云主机 3 上导入 JsSkill.com 区域的 DNSKEY 签名，来保证数据来自正确的名称服务器。
（十一）在云主机 4 中完成 WEB 服务器 1 的部署
1.安装 IIS 组件，创建 www.JsSkill.com 站点：
（1）将该站点主目录指定到\WDF\FilesWeb\FilesConts 共享文件夹；
（2）将 PC1 中“D:\Soft\IIS”目录下的主页文件拷贝到文件服务器中的共享文件夹
\WDF\FilesWeb\FilesConts 内；
（3）启动 www.JsSkill.com 站点的共享配置功能，通过输入物理路径、用户名、密码、确认密码和加密秘钥，将该站点的设置导出、存储到\WDF\FilesWeb\FilesConfigs 内；
2.设置网站的最大连接数为 1000，网站连接超时为 60s，网站的带宽为 1000KB/S；
3.使用 W3C 记录日志，每天创建一个新的日志文件，文件名格式：
（1）日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端
❑号；
（2）日志文件存储到“C:\WWWLogFile”目录中；
4.创建证书申请时，证书必需信息为：
（1）通用名称=“www.JsSkill.com”；
（2）组织=“JsSkill”；
（3）组织单位=“sales”；
（4）城市/地点 =“NanJing”；
（5）省/市/自治区=“JiangSu”；
（6）国家/地区=“CN”。
（十二）在云主机 4 与主云主机 5 之间实现 DFS 服务部署
1.在两台服务器 D 盘建立 DFSFile 文件夹，作为 DFS 同步目录；
2.实现 DFS 同步功能，空间名称为 DFSROOT，文件夹为 DFSFile，复制组为 ftp-backup，

拓朴采用交错方式，设置复制在周六和周日带宽为完整，周一至周五带宽为 64M，同时实现云主机 4 向云主机 5 的单向复制。
（十三）在云主机 5 中完成 WEB 服务器 2 的部署
1.安装 IIS 组件，实现 www.JsSkill.com 站点的共享配置，启动 www.JsSkill.com 站点的共享配置功能，通过输入物理路径、用户名、密码、确认密码和加密密钥密码，使得让该站点可以使用位于\WDF\FilesWeb\FilesConfigs 内的共享配置；
2.设置网站的最大连接数为 1000，网站连接超时为 60s，网站的带宽为 1000KB/S；
3.使用 W3C 记录日志，每天创建一个新的日志文件，文件名格式：
（1）日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端
❑号；
（2）日志文件存储到“C:\WWWLogFile”目录中；
4.创建证书申请时，证书必需信息为：
（1）通用名称=“www.JsSkill.com”；
（2）组织=“JsSkill”；
（3）组织单位=“sales”；
（4）城市/地点 =“NanJing”；
（5）省/市/自治区=“JiangSu”；
（6）国家/地区=“CN”。
二、在PC1 上完成如下操作
（一）完成虚拟主机的创建
1.安装虚拟机“服务器 1”, 其内存为 768MB，硬盘 40G；
2.安装虚拟机“服务器 2”, 其内存为 768MB，硬盘 40G；
3.安装虚拟机“服务器 3”, 其内存为 768MB，硬盘 40G，通过“云主机 3”的 WDS 服务进行网络引导和安装，安装完成后停止“云主机 3”中 DHCP 中服务器网段的作用域。
（二）在主机“服务器 2”中完成域及安全部署
1.将“服务器 2”的服务器，升级为子域 cz.JsSkill.com；
2.配置“连接安全规则”，保证和“云主机 6”之间的通信安全，要求入站和出站都要

求身份验证，完整性算法采用 SHA-1 ，加密算法采用 AES-CBC 128 ， 预共享的密钥为
JiangSuskills。
（三）在主机“服务器 1”中完成域控制器的部署
1.将“服务器 1”服务器升级为域服务器，域名为 JiangSuskills.com；
2.在 “服务器 1”中添加二块 SCSI 虚拟硬盘，其每块硬盘的大小为 4G。将二块硬盘配置为 RAID0，对应磁盘盘符为 E；
3.实现 E 盘启用卷影副本功能，设置每周六的晚上 20:30 创建卷影副本，将副本存储于
C 盘根目录。
（四）在主机“服务器 1”中完成域控制器信任的部署
1.在 E 盘下新建文件夹 share，并将其文件夹进行共享，权限为任何人完全控制，共享名为 share；
2.通过使用单向信任关系， 实现 JsSkill.com 域的技术部的员工可以访问
JiangSuskills.com 域的共享资源 share 文件夹，反之不可以。
（五）在主机“服务器 3”中完成 Core 服务器的部署
1.使用命令修改“服务器 3”服务器的主机名为 wscore，修改“服务器 3”服务器的 IP
地址为表 3 中要求的地址，并按照题目要求设置默认网关；
2.将其“服务器 3”服务器加入 AD DS 域 JiangSuskills.com 中；
3.关闭“服务器 3”服务器的防火墙；
4.在“服务器 3”服务器上安装 DHCP 服务；
5.启动“服务器 3”服务器的 DHCP 服务。

第四部分：Linux 系统配置（200 分）
（一）Linux XFS 文件系统之“增量备份”
【任务描述】
随之企业的不断扩大，随着大数据时代的到来，数据不但越来越大，亦越来越重要， CENTOS8 采用 XFS 文件系统（支持 18EB 容量，1EB=1024PB），数据健壮性亦大大加强，当意想不到的宕机发生后，你磁盘上的文件不再会意外宕机而遭到破坏。
系统数据被黑及故障在所难免，数据备份必不可少，公司决定使用 Linux 自建数据备份， 可以实现增量备份及差异备份。为模拟相关功能，请使用 Linux-1、Linux-2 模拟完成相关功能配置及实际测试。
1.修改所有 Linux-1~Linux-7 主机的主机名为“服务器 IP 地址分配表”中标注的合格域名。
2.在 Linux-1 上为简单起见，我们创建并使用文件形式的存储空间，在/opt 目录下使用dd 创建一个文件形式存储空间skilldisk.img 文件，大小为50M（具体参数：块大小=1024k ， 50 个块）
3.在 Linux-1 上将/opt/skilldisk.img 文件关联到/dev/loop1，将/dev/loop1 创建为
XFS 文件系统，挂载到/mnt/loop1。
4.在 Linux-2 中安装配置 NFS 服务及启用 RPC；
5.在 Linux-2 中将云平台上的 HD4 虚拟盘加载到本机，将所有容量创建 XFS 文件系统并挂载到/mnt/upload。
6.在Linux-2 上分别建立NFS 共享/mnt/upload 做为本服务器网段这个网域的数据上传目录，不论登入 NFS 的使用者身份为何， 他的身份都会被压缩成为匿名用户（nfs-upload），其中，这个/mnt/upload 的使用者及所属群组都为 nfs-upload 这个名字，他的 UID 与 GID 均为 210；（all_squash，anonuid，anongid）
7.完成上述相关目录授权，创建相关组及用户。
8.在 Linux-1 中挂载 Linux-2 的/mnt/upload 到本机的/mnt/backup-Linux-1。
9.在 Linux-1 上将资源文件“skills-2022-dump-FULL”、“skills-2022-dump-01”中的数据恢复到本机的/mnt/loop1

10.在 Linux-1 上将/dev/loop1 做一次全备份到本机的/mnt/backup-Linux-1，文件名称为 skills-dump-Linux-1-FULL，参数 session label 为"skills-Loop1-full-backup"，参数 media label 为 “skills-loop1”。
11.在 Linux-1 在/mnt/loop1 下创建目录 Skills2022，在 Skills2022 下创建空文件
skills-1、skills-2、skills-3。
12.在 Linux-1 将/dev/loop1 做一次增量备份到本机的/mnt/backup-Linux-1，文件名称为 skills-dump-Linux-1-01，参数 session label 为"skills-Loop1-L1-backup"，参数media label 为 “skills-loop1”。
（二） Linux CA 服务配置
【任务描述】为保障企业提供的网络服务具有加密功能，提供证书服务，配置 CA 服务器, 为模拟相关功能，请使用 Linux-1、Linux-2 模拟完成相关功能配置及实际测试。。
13.把 Linux-1 配置为 CA 服务器，CA 的私钥 cakey.pem 使用 2048 位，私钥文件存放于
/etc/pki/CA/private 目录，只有拥有者可读写， CA 证书使用系统默认文件名：
/etc/pki/CA/cacert.pem, 可以签发“省、市/县”名称不同的主机、web 服务等证书，有效期 20 年，CA 颁发证书有效期 10 年，证书其他信息：
(1)国家=“CN”。
(2)省=“Beijing”。
(3)市/县=“Beijing”。
(4)组织=“skills”。
(5)组织单位=“system”。
14.为 Linux-2 签发 http01.crt 证书，证书存放于 Linux-2 主机的/etc/pki/httpd/ssl 目录。
(1)国家=“CN”。
(2)省=“Jiangsu”。
(3)市/县=“CZ”。
(4)组织=“skills”。
(5)组织单位=“NIC”。

(6)服务器主机名=“web01.skills.com”
(7)邮件名=nic@skills.com
15.为 Linux-3 签发 http02.crt 证书，证书存放于 Linux-2 主机的/etc/pki/httpd/ssl 目录。
(1)国家=“CN”。
(2)省=“Jiangsu”。
(3)市/县=“NJ”。
(4)组织=“skills”。
(5)组织单位=“NIC”。
(6)服务器主机名=“web02.skills.com”
(7)邮件名=nic@skills.com
（三） Linux 智能 DNS 服务配置
【任务描述】随之企业服务对象的不断扩大，在网络边界实现了多运营商接入的情况下， 为保障企业提供的网络服务外网的高速访问，同时为了实现区域服务优化，对企业的 DNS 服务实现升级，为模拟相关功能，请使用 Linux-1、Linux-2、Linux-3、Linux-4、Linux-5 模拟完成相关功能配置及实际测试。
16.在 Linux-1 上安装配置 DNS 主服务器。
17.实现【服务器 IP 地址分配表】中 Linux-1~linux-5 的域名的解析。
18.在 Linux-2 上安装配置对应备份服务器。
19.添加【服务器 IP 地址分配表】中 Linux-6~linux-7 的域名的解析。
20.修改上述 Linux-1、Linux-2 的 DNS 相关配置，实现 Linux-3（Jiangsu）、Linux-4
（Beijing）、Linux-5（Shanghai）不同地区主机解析 web.skills.com 返回不同 IP 地址。【使用 hosts 文件不得分！】
21.配置服务后，相关服务开机自启动。
（四） FTP 服务配置
【任务描述】为实现文件的安全访问，采用传统的 FTP，实现企业内部资源管理，在Linux-4 服务器上安装配置 VSFTP 服务，具体要求为：

22.（1）安装配置 vsftp 及 ftp 客户端软件，开机启动 FTP 服务，系统启用 SELinux 和防火墙，请正确配置相关参数，保证网络正常访问。
23.（2）为了服务器安全及加强使用规范，为网络部、技术部、市场部、行政部分别创建访客账号，分别为 netftp，techftp，markftp，admftp，用户密码为本竞赛统一要求的密码，指定默认访问路径分别为：/opt/ftp/账号名，不允许本地登录；各部门员工可以在各自部门的相关目录下实现资源的上传与下载
24.（3）匿名用户不允许访问此 FTP 服务器，用户 nic 不允许登录此 FTP 服务器，最大连接数上限 50，空闲超时 60s 后自动断线。
25.（4）配置完成重启相关服务，并验证检查相关状态，设置相关服务开机自启。
（五） Mariadb 服务配置
【任务描述】为按数据结构来存储和管理数据，请采用 Mariadb，实现方便、严密、有效的数据组织、数据维护、数据控制和数据运用。
26.配置 Linux-3 为 Mariadb 服务器，创建数据库用户 Jack，只能在 Linux-4 主机上对所有数据库有完全权限。
27.配置 Linux-4 为 Mariadb 客户端，创建数据库 userdb；在库中创建表 userinfo，在表中插入 2 条记录，分别为(1,user01，1995-7-1，男)，(2,user02，1995-9-1，女)，❑令与用户名相同， password 字段用 password 函数加密，表结构如下；

28.修改表 userinfo 的结构，在 name 字段后添加新字段 height(数据类型为 float)， 更新 user1 和 user2 的 height 字段内容为 1.61 和 1.62。
29.把物理机 d:\soft\mysql.txt 中的内容导入到 userinfo 表中，password 字段用
password 函数加密。
30.将表 userinfo 中的记录导出，并存放到/var/databak/mysql.sql 文件中。

31.每周五凌晨 1:00 备份数据库 userdb 到/var/databak/userdb.sql。
（六） 基于 Nginx 的反向代理和负载均衡
【任务描述】随着企业规模的不断扩大，为了进一步提高企业 WEB 服务的可靠性、提升WEB 服务的效能，同时有效保护前期 IT 投资， 请采用 Nginx、Apache 配置 Web 服务，实现基于 Nginx 的反向代理和初步的简单负载均衡，有效整合资源，实现对企业网站的高效、安全、有效的访问。
32.在 Linux-5 上安装 Nginx，配置启用网站 https，默认文档 index.html 的内容为
“Nginx 加密访问！”；证书由 Linux-1 颁发,证书路径为/etc/pki/nginx-1.crt，私钥路径为
/etc/pki/nginx-1.key。
33.使用 Nginx 的 proxy_pass 配置 HTTP 反向代理，使用 upstream 配置负载均衡实现Linux-5 主机 WEB 为前端，Linux-2 主机（权重为 1，max_fails 为 3，超时为 30 秒）和 Linux-3 主机（权重为 2，max_fails 为 3，超时为 20 秒）的相关 web 服务为后端。
34.配置 Linux-2 为 web 服务器，网站根目录为/https，默认文档 index.html 的内容为
“ Apache01 加密访问！”；仅允许使用域名访问，证书由 Linux-1 颁发, 证书路径为
/etc/pki/httpd/ssl/http01.crt，私钥路径为/etc/pki/httpd/ssl/http01.key，网站虚拟主机配置文件路径为/etc/httpd/conf.d/vhost.conf。
35.配置 Linux-3 为 Apache web 服务器，网站根目录为/https，默认文档 index.html
的内容为“Apache02 加密访问！”；仅允许使用域名访问，证书由 Linux-1 颁发,证书路径为
/etc/pki/httpd/ssl/http02.crt，私钥路径为/etc/pki/httpd/ssl/http02.key，网站虚拟主机配置文件路径为/etc/httpd/conf.d/vhost.conf。在主机 PC2 上测试。
（七） Linux Rsyslog 服务配置
【任务描述】
随之企业的不断扩大，安全变得越来越重要，为了有效防范骇客，加强监控系统级安全， 决定将主机登录、su 等相关日志统一保存，相关服务主机不再保存相关安全日志，将安全日志数据与服务主机系统分离，决定使用 Linux 的 RSYSLOG 服务实现相关功能，为模拟相关功能，请使用 Linux-5、Linux-6、Linux-7 模拟完成相关功能配置及实际测试。
36.在Linux-7 上配置rsyslog 服务，作为统一安全事件日志服务器，将网络内相关Linux

主机的登录、su 命令等产生的相关安全日志存储到/var/log/skills 文件。
37.在 Linux-5 上配置 rsyslog 服务，将本主机的登录、su 命令等产生的相关安全日志使用 UDP 转发到 Linux-7 上的 rsyslog 服务，本机不再保存相关日志。
38.在 Linux-6 上配置 rsyslog 服务，将本主机的登录、su 命令等产生的相关安全日志使用 TCP 转发到 Linux-7 上的 rsyslog 服务，本机不再保存相关日志。
39.禁止 Linux-5 的 SSH 的 root 远程登录，将密码重试次数设为 3，在本主机添加账号nic，密码为竞赛系统规定的统一密码。
40.在 Linux-6 配置 sudo，在本主机添加账号 hic，密码为竞赛系统规定的统一密码， 添加accounts 组，使得hic 能通过任何主机以系统中任何其它类型的用户身份运行任何命令， accounts 组中的任何成员都能通过任何主机以root 身份运行/usr/bin 下的useradd、userdel 和 usermod 命令；
41.在 PC2 上使用相关用户名及密码分别 ssh 连接 Linux-5、Linux-6 主机，并使用 su
等命令。
（八） Docker 虚拟化服务配置
【任务描述】随着虚拟化技术的发展，企业把测试环境迁移到 docker 容器中，考虑到一些安全方面的问题，公司决定启用 podman 兼容 Docker。
42.在 Linux-6 上安装 podman。
43.导入 hello 镜像，镜像存放在物理机 D:\soft\skills\hello.tar ，仓库名为
hello-skills，TAG 标签为 1.0。
44.测试运行 hello-skills。

第五部分：职业规范与素养（20 分）