2024年宜春市中职“网络建设与运维”竞赛说明竞赛试题

2024 年宜春市中职"网络建设与运维"

|------|
| 竞赛说明 |

竞赛试题

（总分1000分）

一、竞赛内容分布

计算机网络技能公开赛共分三个部分，其中：

第一部分：网络搭建及安全部署项目

第二部分：服务器配置及应用项目

第三部分：职业规范与素养

二、竞赛注意事项

（1）禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

（3）本试卷共有两个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。

（4）操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和配置为最终结果。

（5）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。

（6）禁止在纸质资料上填写与竞赛无关的标记，如违反规定，可视为0分。

培训、环境、资料、考证
公众号：Geek极安云科
网络安全群：624032112
网络系统管理群：223627079 
网络建设与运维群：870959784 
移动应用开发群：548238632
短视频制作群：744125867
大数据应用开发群：962141356 
物联网应用与服务群：967579409
物联网应用开发群：884879404

极安云科校企合作经理VX liuliu5488233

极安云科专注于技能提升，赋能
2024年广东省高校的技能提升，受赋能的客户院校均获奖！
2024年江苏省赛一二等奖前13名中，我们赋能客户占五支队伍！
2024年湖南省赛赋能三所院校均获奖！
2024年山东省赛赋能两所院校均获奖！
2024年湖北省赛赋能参赛院校九支队伍，共计斩获一等奖2项、三等奖7项!

项目简介:

某公司原在南昌建立了总部，2024年在武汉建立了研发中心，设有研发、行政、销售、财务、运维 5个部门。总部原使用无线网络办公，根据要求总部与分部之间网络采用RIP、OSPF等多种路由协议。为了更好管理数据提供服务，集团决定借助运营商机房搭建总部与分部的网络环境，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。

其中武汉分部CS6200交换机用于实现分部终端高速接入；南昌总部两台CS6200交换机VSF虚拟化后编号为SW-Core作为总部的核心交换机；一台DCFW-1800作为总部的内网防火墙；一台DCR-2855路由器作为总部出口网关设备；一台DCFW-1800作为武汉分部的内网防火墙；一台DCR-2855路由器作为武汉分部出口网关设备； DCWS-6028作为公司总部的有线无线智能一体化控制器存放于公司总部，通过与WL8200-I2高性能企业级AP配合实现总部无线覆盖。

【竞赛技术平台说明】

1. 设备console线有两条。交换机、 AC、防火墙使用同一条console线，路由器使用另外一条console线。
2. 云服务实训平台相关说明：

1. 云服务实训平台管理ip地址默认为192.168.100.100，访问地址http://192.168.100.100/dcncloud默认账号密码为admin/dcncloud，ssh默认账号密码为root/dcncloud，考生禁止修改云服务实训平台账号密码及管理ip地址，否则服务器配置及应用项目部分计0分；
2. 云服务实训平台中提供镜像环境，镜像的默认用户名密码以及镜像信息，参考《云服务实训平台用户操作手册（国赛版）》；

名称 用户名 密码 ssh rdp

Win10 admin Qwer1234 否 是

win2008 administrator Qwer1234 否 否

win2012 administrator Qwer1234 否 否

centos7 root dcncloud 是 否

1. 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作，centos7可以通过CRT软件连接进行操作，所有linux主机都默认开启了ssh功能，Linux系统软件镜像位于"/opt"目录下；
2. 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。

1. 云服务实训平台和服务器PC1和PC2相关服务说明：

1. 题目中所有未指明的密码均为"参见表6.云主机和服务器密码表"，若未按照要求设置密码，涉及到该操作的所有分值记为0分；
2. 虚拟主机的IP属性设置请按照"拓扑结构图"以及"表3.服务器IP地址分配表"的要求设定；
3. 所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会扣除该服务功能一定分数。

1. 设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，所有需要提交的文档均放置在PC1桌面上的"比赛文档_X"（X为组号）相应文件夹中。

保存文档方式如下：

1. 设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在PC1桌面的"比赛文档_X"（X为赛位号）文件夹下的"网络部分文件夹"中；

保存文档方式如下：

交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的"比赛文档_X"文件夹下"网络部分文件夹"中，文档命名规则为：设备名称.txt。例如：RT-1路由器文件命名为：RT-1.txt；

1. 网络及服务器部分答案根据题目要求进行截图并粘贴到对应的报告单中，《网络配置报告单》、《云实训平台安装与应用报告单》、《Windows操作系统-云平台部分竞赛报告单》和《Linux操作系统竞赛报告单》、将报告单存放于PC1桌面上的"比赛文档_X"文件夹下"报告单文件夹"中。

表1网络设备连接表

|----------|------------|----------|------------|
| A 设备连接至B设备 ||||
| 设备名称 | 接口 | 设备名称 | 接口 |
| SW3 | E1/0/1 | FW2 | E0/1 |
| SW3 | E1/0/4 | PC1 | 网卡 |
| SW3 | E1/0/8 | PC2 | 网卡 |
| FW2 | E0/3 | AR2 | G0/3 |
| AR2 | G0/4 | AR1 | G0/4 |
| AR1 | G0/3 | FW1 | E0/3 |
| FW1 | E0/1 | SW1 | E1/0/1 |
| FW1 | E0/2 | SW2 | E1/0/1 |
| SW1 | E1/0/27-28 | SW1-2 | E1/0/27-28 |
| SW1 | E1/0/2 | SW2 | E1/0/2 |
| SW1 | E1/0/24 | DCWS | E1/0/1 |
| SW1 | E1/0/10 | 云平台 | 管理口 |
| SW1 | E1/0/11 | 云平台 | 业务口 |
| SW2 | E1/0/24 | DCWS | E1/0/2 |
| DCWS | E1/0/3 | DCWL | NIC |

表2.网络设备IP地址分配表

|-------|---------|--------------|--------------------------------|
| 设备 | 设备名称 | 设备接口 | IP地址 |
| 路由器 | AR1 | G0/3 | 172.17.1.9/30 |
| 路由器 | AR1 | G0/4 | 172.17.1.6/30 |
| 路由器 | AR1 | Tunnel 1 | 10.0.0.253/30 |
| 路由器 | AR1 | Loopback0 | 1.1.1.1/32 |
| 路由器 | AR1 | Loopback100 | 100.1.1.1/32 |
| 路由器 | AR2 | G0/3 | 172.17.1.2/30 |
| 路由器 | AR2 | G0/4 | 172.17.1.5/30 |
| 路由器 | AR2 | Tunnel 1 | 10.0.0.254/30 |
| 路由器 | AR2 | Loopback0 | 2.2.2.2/32 |
| 路由器 | AR2 | Loopback100 | 100.1.2.1/32 |
| 核心交换机 | SW-Core | VLAN 3 SVI | 20.30.30.254/24 |
| 核心交换机 | SW-Core | VLAN 4 SVI | 20.30.40.254/24 |
| 核心交换机 | SW-Core | VLAN 5 SVI | 20.30.50.254/24 |
| 核心交换机 | SW-Core | VLAN 100 SVI | 192.168.100.1/24 |
| 核心交换机 | SW-Core | VLAN11 SVI | 172.17.1.14/30 |
| 核心交换机 | SW-Core | VLAN12 SVI | 172.17.1.17/30 |
| 核心交换机 | SW-Core | VLAN13 SVI | SW1:172.17.2.1/30(BFD MAD) |
| 核心交换机 | SW-Core | VLAN13 SVI | SW2:172.17.2.2/30(BFD MAD) |
| 核心交换机 | SW-Core | Loopback1 | 3.3.3.3/32 |
| 防火墙1 | FW1 | Eth0/1-2 | 172.17.1.13/30（trust） |
| 防火墙1 | FW1 | Eth0/3 | 172.17.1.10/30（untrust） |
| 防火墙1 | FW1 | Loopback1 | 4.4.4.4/32（trust） |
| 防火墙2 | FW2 | Eth0/1 | 192.168.10.1/24（trust）(tag 10) |
| 防火墙2 | FW2 | Eth0/1 | 192.168.20.1/24（trust）(tag 20) |
| 防火墙2 | FW2 | Eth0/1 | 192.168.30.1/24（trust）(tag 30) |
| 防火墙2 | FW2 | Eth0/1 | 192.168.40.1/24（trust）(tag 40) |
| 防火墙2 | FW2 | Eth0/1 | 192.168.50.1/24（trust）(tag 50) |
| 防火墙2 | FW2 | Eth0/3 | 172.17.1.1/30（untrust） |
| 防火墙2 | FW2 | Loopback1 | 5.5.5.5/32（trust） |
| 无线控制器 | AC | VLAN12 | 172.17.1.18/30 |
| 无线控制器 | AC | Vlan8 | 192.168.8.0/24 |
| 无线控制器 | AC | VLAN110 | 192.168.110.0/24 |
| 无线控制器 | AC | VLAN120 | 192.168.120.0/24 |
| 无线控制器 | AC | VLAN130 | 192.168.130.0/24 |
| 无线控制器 | AC | Loopback1 | 6.6.6.6/32 |
| 接入交换机 | SW3 | VLAN 60 | 192.168.60.1/24 |

表3.服务器IP地址分配表

|-------------------------------|------------|------------------------|-----------------|------------------------|-------------------------------|
| 宿主机 | 虚拟主机名称 | 域名信息 | 服务角色 | 系统及 版本信息 | IPv4 地址信息 |
| 云 实 训 平 台 | 云主机1 | DC.construction.net | 域控制器 CA证书服务器 | Windows Server 2012 R2 | 20.30.30.xx/24 |
| 云 实 训 平 台 | 云主机2 | CA.construction.net | 从属CA服务器 辅助域控制器 | Windows Server 2012 R2 | 20.30.30.xx/24 |
| 云 实 训 平 台 | 云主机3 | www1.construction.net | WEB服务器 负载均衡集群服务 | Windows Server 2012 R2 | 20.30.30.xx/24 20.30.50.xx/24 |
| 云 实 训 平 台 | 云主机4 | www2.construction.net | WEB服务器 负载均衡集群服务 | Windows Server 2012 R2 | 20.30.30.xx/24 20.30.50.xx/24 |
| 云 实 训 平 台 | 云主机5 | iscsi.construction.net | ISCSI服务器 | Windows Server 2012 R2 | 20.30.30.xx/24 |
| 云 实 训 平 台 | 云主机6 | w10.construction.net | Client | Windows 10 | 20.30.30.xx/24 |
| 云 实 训 平 台 | 云主机7 | dns.network.com | 域名服务器 时钟服务器 | Centos 7.4 | 20.30.40.xx/24 |
| 云 实 训 平 台 | 云主机8 | www1.network.com | WEB服务器 | Centos 7.4 | 20.30.40.xx/24 |
| 云 实 训 平 台 | 云主机9 | www2.network.com | WEB服务器 数据库服务器 | Centos 7.4 | 20.30.40.xx/24 |
| 云 实 训 平 台 | 云主机10 | Ha.network.com | HA服务器 | Centos 7.4 | 20.30.40.xx/24 |

表4.云平台网络信息表

|-------|-------|-------|--------------|---------------|--------------|--------|---------------------------|
| 网络 名称 | Vlan号 | 外部 网络 | 子网 名称 | 子网网络地址 | 网关IP | 激活DHCP | 地址池范围 |
| Vlan3 | 3 | 是 | Vlan3-subnet | 20.30.30.0/24 | 20.30.30.254 | 是 | 20.30.30.100,20.30.30.200 |
| Vlan4 | 4 | 是 | Vlan4-subnet | 20.30.40.0/24 | 20.30.40.254 | 是 | 20.30.40.100,20.30.40.200 |
| Vlan5 | 5 | 是 | Vlan5-subnet | 20.30.50.0/24 | 20.30.50.254 | 是 | 20.30.50.100,20.30.50.200 |

表5.虚拟主机信息表

|--------|-----------------|---------------|---------|---------|-------------|
| 虚拟主机名称 | 镜像模板 (源) | 云主机类型(flavor) | VCPU 数量 | 内存、硬盘信息 | 网络名称 |
| 云主机1 | windows2012 | window-490 | 2 | 4G、90G | Vlan3 |
| 云主机2 | windows2012 | window-485 | 2 | 4G、85G | Vlan3 |
| 云主机3 | windows2012 | window-480 | 2 | 4G、80G | Vlan3 Vlan5 |
| 云主机4 | windows2012 | window-465 | 2 | 4G、65G | Vlan3 Vlan5 |
| 云主机5 | windows2012 | window-460 | 2 | 4G、60G | Vlan3 |
| 云主机6 | Windows10 | Window10-260 | 2 | 2G、60G | Vlan3 |
| 云主机7 | Centos7-mini-V2 | linux-140 | 1 | 1G、40G | Vlan4 |
| 云主机8 | Centos7-mini-V2 | linux-150 | 1 | 1G、50G | Vlan4 |
| 云主机9 | Centos7-mini-V2 | linux-170 | 1 | 1G、70G | Vlan4 |
| 云主机10 | Centos7-mini-V2 | linux-130 | 1 | 1G、30G | Vlan4 |

表6.云主机和服务器密码表

|-----------|----------------------|
| 云主机和服务器密码 | 2021Netw@rk（注意区分大小写） |

注：需把云主机的默认密码改为表6.云主机和服务器密码表要求的密码

网络搭建及安全部署项目

（500分）

一、 物理连接及IP地址划分

1. 根据网路拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络线缆，根据题目要求，插入相应设备的相关端口。
2. 根据网络拓扑要求及网络地址规划表，对网络设备进行地址设置。

二、交换配置与调试

1、总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备SW-Core，用户对这台虚拟设备进行管理，来实现对虚拟设备中所有物理设备的管理。每个vsf 端口绑定2个vsf 物理端口，vsf逻辑域取最大值，SW1的成员编号为最小值，SW2的成员编号为最大值，正常情况下SW1负责管理整个VSF，对逻辑设备SW-Core启用VSF自动合并功能。开启BFD MAD分裂检测，SW1 BFD MAD接口ip地址为：172.17.2.1/30，SW2 BFD MAD接口ip地址为：172.17.2.2/30；

2、为了减少广播，需要根据题目要求规划并配置VLAN。具体要求如下：

1. 配置合理，分部交换链路上不允许不必要VLAN的数据流通过，包括VLAN 1；
2. 根据下述信息及表，在交换机上完成VLAN配置和端口分配；

|--------|-----------------|-----------------|-----------------|--------|
| 设备 | VLAN 编号 | VLAN 名称 | 端口 | 说明 |
| SW3 | VLAN10 | YF | E1/0/4至E1/0/8 | 研发部 |
| SW3 | VLAN20 | XZ | E1/0/9至E1/0/10 | 行政部 |
| SW3 | VLAN30 | XS | E1/0/11至E1/0/12 | 销售部 |
| SW3 | Vlan40 | CW | E1/0/13至E1/0/17 | 财务部 |
| SW3 | Vlan50 | YW | E1/0/18至E1/0/19 | 运维部 |
| SW3 | VLAN60 | GL | E1/0/20 | 管理VLAN |

3、分部SW3为接入交换机，为防止终端产生MAC地址泛洪攻击，请配置端口安全，在已划分的VLAN10的端口上开启动态MAC地址数量限制功能，设置端口下允许学习最大动态MAC地址数为10个，当端口下学习MAC地址超过10个MAC地址时，则端口将被关闭，且自动恢复时间为60s，自动回复时间超过60s后则打开该端口；

4、为了尽可能加大总公司核心交换机SW-Core与FW1之间的带宽，在FW1上使用聚集接口提高单个IP地址的可用带宽，SW-Core使用聚合组2连接FW1的聚集接口2，核心交换机与防火墙启用强制聚合模式；核心交换机SW-Core与AC控制器之间使用端口聚合技术，采用主动模式，使用聚合组4；

5、为了保证分部交换机SW3的安全，设置只有VLAN60的地址可以通过Telnet登录交换机，并且设置设备上只有一个本地认证用户，用户名：test，优先级设置为 15，密码：admin@test123；

6、分部网络终端网关都设置在FW2上，通过在FW2上设置子接口，使得终端可以通过防火墙去访问外网。

7、分部网关设备上开启DHCP服务，行政部门和销售部门使用DHCP获取IP地址，行政部门与销售部门的DHCP地址池名称分别为POOL20和POOL30，租期均为10小时，配置默认网关为该网段第一个 IP 地址、DNS 为该网段最后一个 IP 地址，每个地址池可分配地址为2-100。

三、路由配置与调试

根据规划总部与分部间使用RIP、OSPF多协议组网，总部SW-Core、AC、FW1、AR1与AR2之间使用ospf协议；分部FW2、AR2之间规划使用RIP协议；

1. 分部AR2和FW2之间规划使用RIP协议，版本使用Version 2，并在相关设备上宣告相关业务网段及直连网段，并将FW2的loopback接口宣告到rip中，要求在设备上显示明细路由；
2. 总部SW-Core、FW1、AR1之间规划使用ospf协议，设置进程号为100， SW-Core、FW1、AR1之间属于area 0，Router ID使用环回接口地址，并在相关设备上宣告互联网段，将SW-Core的VLAN3、VLAN4、VLAN5及VLAN100的网络宣告到area 0，为了管理方便，需要在OSPF域中发布SW-Core、FW1、AR1的loopback0口ip地址；
3. 总部AC和SW-Core之间规划使用ospf协议，设置进程号为100， Router ID使用环回接口地址，启用区域MD5认证，验证密钥为：OSPF2020，请通过调整OSPF报文交互时间调到最小值来加快邻居收敛速度；在相关设备上宣告直连网段到Area 1中，并将AC的Loopback1接口地址宣告到Area 1中；
4. 分部AR2和总部AR1之间规划使用ospf协议，设置进程号为100，Router ID使用环回接口地址，启用接口MD5认证，验证密钥为：OSPF2020；在相关设备上宣告互连网段到Area 2中，并将AR2的Loopback0接口地址宣告到Area 2中；
5. 为了实现总部与分部的相互通信，在分部路由器上将RIP路由协议引入到OSPF中，同时也将ospf协议引入到rip中，总部AC上将无线直连网络引入到OSPF中。
6. 通过设置特殊区域，将area 1中的4类、5类LSA过滤掉，这样既能减少AC上链路状态数据库的数量，同时还能与分部互通；

四、广域网

1、总公司与分公司之间使用串口互联地址建立 GRE隧道，再使用 IPsec 技术对 GRE 隧道进行保护，IPsec 技术使用 IKE 协商 IPsec 安全联盟、交换 IPsec 密钥，两端加密访问控制列表名称都为 IPSEC，总公司和分公司路由器上分别创建 loopback100 来模拟业务网络，通过 vpn技术就不担心数据被监视篡改和伪造。

五、无线配置

1. 总部只用AC 和瘦 AP 来构建网络无线，管理VLAN及业务VLAN网关均位于AC控制器上， 配置VLAN 8为AP管理VLAN，VLAN110、120、130为业务VLAN。AP/AC通过option43方式注册，采用序列号认证方式 ，AC 手动指定 ip 为 6.6.6.6 让 AP 发现 AC；
2. 使用 AC 为终端用户提供 DHCP 服务，动态分配IP 地址和网关,AC上VLAN 8、VLAN 110、VLAN 120、VLAN 130地址池名称分别为AP、110、120、130，租期为1天，默认使用第一个IP地址作为网关，DNS为8.8.8.8，每个地址池均排除该网段的后十个ip地址。
3. 无线network 20，创建SSID为：[email protected]，对应业务VLAN 110，用户接入无线时采用 WPA-personal 加密方式，其密钥为：SSID2.4G。
4. 无线network 21 ，创建SSID为：[email protected]，对应业务VLAN 120，用户接入无线时采用 WPA-personal 加密方式，其密钥为：SSID5.0G。
5. 无线network 22 ，创建SSID为：WXJM，对应业务VLAN 130，用户接入无线时采用不认证方式，并隐藏该SSID，此SSID下最多可接入10个用户，用户上行流量2M，下行流量4M。
6. AC 采用 profile 1 为 AP 下发配置，服务集标识码为[email protected]位于 AP 的 2.4G 频段，服务集标识码为 [email protected]与WXJM 位于 AP 的 5.0G 频段，要求从小到大使用 VAP 虚接口。
7. 为防止非法AP假冒合法SSID，开启AP威胁检测功能；

六、安全策略配置

1. FW-1、FW-2根据题目要求配置相应的安全域, 在以上接口下配置相关命令使其可以通过ping命令进行测试，并且可以通过HTTP、HTTPS方式进行管理。
2. 分部FW2出口带宽为50Mbps，外网口为eth0/3口，内网连接的192.168.10.0/24网段需限制其下载带宽为500K/IP，并开启QOS功能。
3. 总部FW1出口带宽为100Mbps，外网接口为eth0/3，内网网络再使用P2P应用时需限制下行带宽为10M，上传最大5M，HTTP和SMTP应用下载保障20M，上传保障10M；
4. FW-1禁止访问www.baidu.com，并记录日志；并限制内网用户访问URL中带有baidu关键字的所有网站，并记录日志；
5. 分部FW2上设置防火墙web外发信息控制策略，禁止内网192.168.20.0/24到所有网站的web外发信息控制；内网192.168.30.0/24到外网网站web外发信息控制，禁止外发关键字"测试"并记录相关日志；
6. 总部FW1上要求针对内网每个IP限制会话数量为300条；

服务器配置及应用项目

（480分）

云实训平台安装与运用

一、在云实训平台上完成如下操作

• 、云平台基础设置

1.按照"表 4：云平台网络信息表"要求创建四个外部网络，这些外部网络所使用的 VLAN 均为总部业务 VLAN，详细操作过程请参照"云服务实训平台用户操作手册"；

2.创建 5块云硬盘，卷命名为 hd1-hd5，其中 hd1-hd3 大小为 10G，h4-hd5大小自定；

注意：必须通过"项目"栏中的"计算"子栏中的"卷"功能来创建云硬盘；不能使用 "管理员"，"系统"栏下的"卷"功能，该功能使用不当会造成云硬盘创建失败，界面卡死。

3.在云平台中可以创建多个云硬盘，所有云硬盘容量的总大小不能超过 100G，否则将创建失败。一个实例可以同时连接多个云硬盘，但一个云硬盘同时只能给一个实例作为扩展硬盘使用。

4.在分离卷之前一定要保证使用该卷的 linux 主机中，已经不存在该卷的任何挂载点。如果使用该卷的主机是 windows 实例，必须保证该卷在主机的"磁盘管理"项目中处于脱机状态，否则会造成分离失败，或是一直显示 "分离中"状态。

• 、创建虚拟主机

1.按照"表 5：虚拟主机信息表"所示，按要求生成虚拟主机，详细操作过程请参照"云服务实训平台用户操作手册"；

2.云平台中所有虚拟机的 IP 地址，要求手动设置为该虚拟机 DHCP 获取的地址 ；

Windows 操作系统

一、在云实训平台上完成如下操作

（一）、完成虚拟主机的创建

1.将按照"表5：虚拟主机信息表"生成的虚拟主机加入到construction.net域环境；

（二）在云主机1中完成域控制器及DNS服务器的部署

1.将云主机1的服务器配置成域控制器，域名为construction.net，设置域和林的功能级别为Windows Server 2012；

2.将此服务器配置为主DNS服务器，要求正确配置construction.net域名的正向及反向解析区域，创建对应服务器主机记录，正确解析construction.net域中的所有服务器；

3.创建3个组织单位、采用对应部门名称的中文全拼命名，每个部门创建2个用户，行政部用户：XZ1~ XZ2、营销部用户：YX1~YX2、技术部用户：JS1~JS2，所有用户不能修改其用户口令，并要求用户只能在上班时间可以登录（每周一至周日9:00~18:00）；

4.配置域中技术部的所有员工必须启用密码复杂度要求、密码长度最小为10 位、密码最长存留34 天、允许失败登录尝试的次数为4次、重置失败登录尝试计数（分钟）为5分钟、直至管理员手动解锁帐户；

5.配置相关策略，防止用户随意退出域，实现所有行政部的用户登录域后自动去除"计算机"的上下文菜单中的"属性"；

6.配置相关策略，实现所有营销部的计算机开机后自动弹出"温馨提示"的对话框，显示的内容为"请注意销售数据的安全！"；

7.为了减轻管理负担，委派用户user1对组织单位"营销部"有新建删除用户和组的权限。

（三）在云主机1中完成CA服务器的部署

1.将云主机1的服务器配置成CA服务器，安装证书服务，设置为企业根，颁发机构有效期为7years；

（四）在云主机2中完成从属证书服务的部署

1.将云主机2的服务器升级成construction.net域的的辅助域控制器。

2.将云主机2的服务器设置为证书颁发机构，安装证书服务，设置为企业从属CA，负责整个construction.net域的证书发放工作。

（五）在云主机2中完成DHCP服务的部署

1.安装DHCP服务，为服务器网段部分主机动态分配IPv4地址，建立作用域，作用域的名称为dhcpserv，地址池为210-215，仅允许"服务器2"的服务器获取DHCP服务器的最后一个地址；

（六）在云主机2中完成辅助DNS服务的部署

1.安装 DNS 服务，将云主机2配置成云主机1的辅助 DNS服务器。

2.当遇到无法解析的域名时，将其请求转发至 8.8.8.8 互联网域名服务器

3.启用AD域回收站功能。

4.关闭网络掩码排序功能。

5. 为了防止域控制器的DNS域名解析服务造成大量不必要的数据流，公司技术人员决定禁用DNS递归功能，请您使用PowerShell禁用DNS递归功能。

（七）在云主机3中完成WEB服务的部署

1.添加一块网卡，第一块网卡为提供负载均衡网卡，完成网络负载均衡操作；第二块网卡为心跳线网卡；

2.安装IIS组件，创建www.construction.net站点：

(1)将该站点主目录指定到\\iscsi\FilesWeb\FilesConts共享文件夹；

(2)在共享文件夹\\iscsi\FilesWeb\FilesConts内新建主页文件 index.html，内容为"this is web1"；

(3)启动www.construction.net站点的共享配置功能，通过输入物理路径、用户名、密码、确认密码和加密秘钥，将该站点的设置导出、存储到\\iscsi\FilesWeb\FilesConfigs内；

3.设置网站的最大连接数为1000，网站连接超时为60s，网站的带宽为1000KB/S；

4.使用W3C记录日志，每天创建一个新的日志文件，日志文件存储到"\\iscsi\FilesWeb\WWWLogFile"目录中，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；

5.为web服务器申请证书，创建证书申请时，证书必需信息为：

（1）通用名称="www.construction.net"；

（2）组织="construction"；

（3）组织单位="sales"；

（4）城市/地点 ="Shenzhen"；

（5）省/市/自治区="Shenzhen"；

（6）国家/地区="CN"；

（八）在云主机3中完成NLB服务的部署

1.安装NLB负载平衡服务，其群集IPv4地址为20.30.30.150/24，新建群集优先级为6，群集名称为www.construction.net，采用多播方式；

（九）在云主机4中完成WEB服务器1的部署

1.添加一块网卡，第一块网卡为提供负载均衡网卡，完成网络负载均衡操作；第二块网卡为心跳线网卡；

2.安装IIS组件，实现www.construction.net站点的共享配置，启动www.construction.net站点的共享配置功能，通过输入物理路径、用户名、密码、确认密码和加密密钥密码，使得让该站点可以使用位于\\iscsi\FilesWeb\FilesConfigs内的共享配置；

3.证书采用证书导入的方式，将云主机3为www.1construction.net站点申请的证书进行导入，并保证能在本服务器上正常使用；

（十）在云主机4中完成NLB群集服务器的部署

1.安装NLB负载平衡服务，添加到"云主机3"新建的群集中，优先级为11，采用多播方式；

（十一）在云主机5中完成ISCSI服务器2的部署

1.添加三块SCSI虚拟硬盘，其每块硬盘的大小为10G；并创建RAID5卷，盘符为E盘；

2.安装iSCSI目标服务器，并新建iSCSI虚拟磁盘，存储位置为E:\；虚拟磁盘名称分别为Quorum和Files，大小分别为512M和5G，访问服务器为w10

3.在E盘上新建文件夹FilesWeb，并将其设置为共享文件夹，共享名为FilesWeb，开放共享文件夹的读取、更改权限给everyone用户；

4.在FilesWeb文件夹内建立三个子文件夹：

（1）子文件夹为"FilesConfigs"，用来存储共享设置；

（2）子文件夹为"FilesConts"，用来存储共享网页；

（3）子文件夹为"WWWLogFile"，用来存储日志文件；

（十二）在云主机6中完成相关功能

1.使用iSCSI发起程序连接iscsi的iSCSI虚拟磁盘Quorum和Files，对Quorum和Files进行初始化和创建卷，设置驱动器号分别为M和N，完成格式化操作。

Linux 操作系统部分

一、在云实训平台上完成如下操作

（一）、在云主机7中完成域名服务器的部署

1.在此服务器中安装配置bind服务，负责区域"network.com"内主机解析， dns.network.com、www1.network.com、www2.network.com、ha.network.com（对应漂移IP地址），做好正反向DNS服务解析；

（二）、在云主机7中完成chrony时间服务器的部署

1.在此服务器上实现网络时间服务的配置，使得20.30.40.0/24网络中的其它计算机通过此服务器进行网络校时；

（三）、在云主机7中完成远程连接服务器的部署

1、为了远程连接安全传输，使用更加安全的ssh服务进行远程连接。运行ssh服务，不允许root用户远程登录.

2、为了优化与安全设置ssh服务最大终端数为20，密码尝试次数为3次，端口号设置为88。

（四）、在云主机8中完成Apache服务器的部署

1.在此服务器中安装Apache服务，建立虚拟主机站点www1.network.com：

（1）其网站主目录为/www1，主页内容为 "welcome to my web1"

（2）网站域名端口号为 www1.network.com:6666;

（3）配置访问日志路径和名称为为/var/log/httpd/www1.network.com-access_log，日志记录格式为普通型；

（五）、在云主机8中完成JSP+Tomcat运行环境的部署

1.安装jdk和jre，安装完成后，配置JAVA环境变量；

2.安装tomcat服务并启动，保证用户可使用浏览器浏览tomcat默认主页；

（六）、在云主机8中完成FTP服务器的部署

1、配置 FTP 服务，创设 FTP 服务站点，设置登陆欢迎信息"Welcome to information station."允许匿名用户登陆，匿名用户登陆后所在目录为/var/public

2、建立虚拟用户 ftp1 及 ftp2，密码均为123456；映射实体用户为ftpuser，用户的权限配置文件目录为/etc/vsftpd_user_conf；实现 ftp1 用户具有浏览目录、上传、创建删除目录，重命名文件名功能。

（七）、在云主机9中完成Apache服务器的部署

1.在此服务器中安装Apache服务，建立虚拟主机站点www2.network.com：

（1）网站主目录为/www2，主页内容为 "welcome to my web2"；

（2）网站域名端口号为 www2.network.com:8888;

（3）配置访问日志路径和名称为/var/log/httpd/www2.network.com-access_log，日志记录格式为复合型；

（八）、在云主机9中完成数据库服务器的部署

1.将此服务器配置为数据库服务器，创建数据库为School，在库中创建表为Score，在表中创建2个用户，分别为（1，suser1，1999-6-1，female），（2，msser2，2000-9-1，male），口令与用户名相同，表结构如下；

|----------|-------------|----|
| 字段名 | 数据类型 | 主键 |
| ID | Int | 是 |
| Name | varchar(20) | 否 |
| Birthday | Datetime | 否 |
| Sex | char(10) | 否 |
| Password | char（64） | 否 |

2.开启数据库的查询日志，路径为/var/log/mariadb/mariadb.log;

（九）、在云主机9中完成Samba服务器的部署

1.此服务器中安装配置Samba服务，创建三个用户user1,user2，user3；

2.建立共享目录/opt/finance_share，要求共享名为archives，user1和user2用户可以通过虚拟用户admin1和admin2（用户名和密码相同）输入用户名和密码登录并上传文件；

3.限制user3用户在共享目录中最多创建3个文件；

（十）、在云主机10中完成NFS服务的部署

1..配置NFS服务，按下表要求共享目录：

|----------|-----------------------------------------------------|
| 共享目录 | 共享要求 |
| / home | 10.10.100.0/24这个网段的用户具有读写权限，其它只读。 |
| /var/tmp | 设置fenbu.com域内的客户端的用户以读写权限来挂载/var目录且不共享/var/tmp下的子目录 |

（十一）、在云主机10中完成代理服务器的部署

1.在此服务器上安装HAproxy服务，配置Haproxy使用listen实现http代理，开启日志功能；

2.配置HAproxy的名称为http_ha,侦听端口为80

4.配置HAproxy的backend的名称为server_web、模式为http、负载均衡算法为roundrobin、后端server为www1和www2、权重值为2、引入健康检查、连续5次检测结果失败标记为服务器不可用；

（十二）、在云主机10中使用系统存储管理器完成磁盘管理的部署

1.添加两块20G的物理磁盘，分别为vdb和vdc，分区的大小和多少个分区，根据后面任务的需求自己确定；

2.使用物理磁盘vdb来扩展存储池centos的容量，增加容量大小为18G；

3.将系统设备卷/dev/centos/root增加15G的容量，来达到扩展系统根分区容量的目的；

4.用物理磁盘vdc创建一个名为vg1的存储池，并在该存储池上创建一个名为lv1的LVM卷，该卷的大小为500M，使用xfs文件系统格式化卷，并将它挂载到/soft目录下；

5.发现lv1逻辑卷500M的容量不够，现需要将其再扩容10G；

职业规范与素养

（20分）

• 整理赛位，工具、设备归位，保持赛后整洁有序；
• 无因选手原因导致设备损坏。