2023年“网络建设与运维”广西省赛试题复盘

2023年"网络搭建与应用"省赛试题复盘

第一部分：网络搭建及安全部署项目

（500分）

一、竞赛内容分布

"网络搭建与应用"竞赛共分二个部分，其中：

第一部分：网络搭建及安全部署项目

第二部分：服务器配置及应用项目

二、竞赛注意事项

（1）禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

（3）本试卷共有两个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。

（4）操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和配置为最终结果。

（5）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷等）带离赛场。

（6）禁止在纸质资料上填写与竞赛无关的标记，如违反规定，可视为0分。

（7）与比赛相关的工具软件放置在每台主机的D盘soft文件夹中。

网络设备连接表，详见拓扑图

设备设备

名称设备接口 IP地址

路由器 RT1 G 0/0 10.11.11.1/24

G 0/1 10.12.12.1/24

RT2 Loopback1 200.200.200.200/32

G 0/0 10.13.13.1/24

G 0/1 10.14.14.1/24

三层交换机 SW-Core VLAN200 SVI 10.10.200.1/24

2001:10:200:254::253/64

VLAN254 SVI 10.10.254.1/24

2001:10:254::254/64

VLAN1000 SVI 10.10.100.1/30

VLAN1001 SVI 10.10.101.1/30

VLAN60 SVI 10.10.60.1/24

三层交换机 SW-3 VLAN254 SVI 10.10.254.2/24

2001:10:254::253/64

Vlan200 SVI 10.10.200.2/24

2001:10:200:254::254/64

Vlan10 SVI 10.10.10.1/24

Vlan20 SVI 10.10.20.1/24

Vlan30 SVI 10.10.30.1/24

Vlan40 SVI 10.10.40.1/24

Vlan50 SVI 10.10.50.1/24

Vlan70 SVI 10.10.70.1/24

Vlan80 SVI 10.10.80.1/24

Vlan100 SVI 192.168.100.1/24

防火墙 FW1 Eth0/1 10.10.100.2/30

（trust安全域）

Eth0/2 10.10.101.2/30（trust安全域）

Eth0/3 10.11.11.2/24（DMZ安全域）

Eth0/4 10.13.13.2/24（untrust安全域）

tunnel1 （VPNHub安全域）

Tunnel2 （SSLVPN安全域）

防火墙 FW2 Eth0/1 172.30.254.1/24（trust安全域）

Eth0/2 10.12.12.2/24

（DMZ安全域）

Eth0/3 10.14.14.2/24（untrust安全域）

tunnel1 （VPH安全域）

无线控制器 DCWS VLAN254 SVI 172.30.254.2/24

VLAN253 SVI 172.30.253.1/24

Vlan200 SVI 172.30.200.1/24

Vlan201 SVI 172.30.201.1/24

【说明】

（1）设备console线有两条。交换机、 AC、防火墙使用同一条console线，路由器使用另外一条console线。设备命名方式参考网络设备IP地址分配表。

（2）设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据，无文档相关环节视为0分。

（3）网络部分的所有答案需按要求提交到U盘的答题模板中，无提交的或提交错误的视为0分，截图完成后将此word文档另存为PDF文档。

一、交换机配置

总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备，用户对这台虚拟设备进行管理，来实现对虚拟设备中所有物理设备的管理。两台设备之间建立一个vsf port-group，vsf port-group编号都为1， E1/0/25、E1/0/26绑定一个端口，vsf port-groupVSF逻辑域为10，SW-1的成员编号为1，SW-2的成员编号为2，正常情况下SW-2负责管理整个VSF，采用BFD MAD分裂检测，SW-1 BFD MAD IP地址为：10.40.40.1/30，SW-2 BFD MAD接口IP地址为：10.40.40.2/30，使能VSF自动合并功能；（30分）

为了减少广播，需要根据题目要求规划并配置VLAN。具体要求如下：（10分）
配置合理，SW-3和SW-Core之间除了互联和ipv6地址通过以外不允许其他vlan通过（10分）

2.根据下述信息及表，在接入交换机和核心交换机上完成VLAN配置和端口分配。

设备 VLAN编号 VLAN名称端口说明

SW-3 VLAN10 XZ E1/0/1至E1/0/4 行政

VLAN20 YX E1/0/5至E1/0/9 营销

VLAN30 JS E1/0/10至E1/0/14 技术

VLAN40 SH E1/0/15至E1/0/17 售后

VLAN100 E1/0/20 云平台管理vlan

SW-Core VLAN4000 E1/0/24、E2/0/24 BFD MAD

总部交换机SW-Core和SW-3启用端口汇聚功能带宽，模式为动态放式；
在接入交换机上进行端口限速，对端口E 1/0/5下联的PC限速到双向10M，端口E 1/07下联的PC限制到双向5M。

5.网管服务器需要通过抓取镜象报文的方式分析网络中的流量，现在将SW-3的E 1/0/2和E 1/0/3端口的收发报文做为镜象的源，镜象给E 1/0/10端口

6.总部部署了一套网管系统实现对全网所有交换机进行管理，网管系统IP为：1010.200.10，读团体值为：2023Net@gx，读写团体值为：2023Net@gx,版本为V2C

7在SW-3配置DHCP，具体要求如下:为vlan10，20，DHCP服务，的DNS服务器的ip1.1.1.1地址;租约期为8个小时。排除网关,为vlan30、配置中继成功获取到ip

在SW-Core配置DHCP，具体要求如下:为vlan30，DHCP服务，的DNS服务器的ip1.1.1.1地址;租约期为8个小时。排除网关

9营销网段访问外网优先走SW-2,其他网段走SW-1

10.在SW-3、SW-Core的管理网段配置ipv6地址，并做静态路由，让PC1和PC3的ipv6地址能互访。

二、路由器配置与调试

总部SW-3、SW-Core、FW1之间规划使用OSPF协议，FW1与SW-Core区域为Area 0，SW-3与SW-Core区域为Area1，在SW-Core通告所有网段，要求FW和RT1能学习总部相关网段的路由。
2.总部FW1、分部RT1之间规划使用BGP协议，通过接口互联地址建立两对E-BGP邻居关系，FW1区域号为65002，RT1区域号为65003
分部RT1、FW2、DCWS之间规划使用RIP协议，版本号为RIP-2，取消自动聚合，同时在分部DCWS上发布相关业务路由，要求RT1学习到分部所有网段的路由。
在FW配置默认路由访问互联网，并通过OSPF下发默认路由，在RT1配置默认路由访问互联网，并通过RIP下发默认路由。
5.在FW1配置OSPF、BGP双向路由重分发，RT1配置BGP、RIP总部和分部都能学到对方的路由；
6.总部为了减少OSPF的LSDB大小，在OSPF 区域1内，禁止学习LSA3，LSA4，LSA5报文。
三、广域网配置
1.总部通过FW1访问互联网，配置源NAT允许总部用户,不可以访问外网通过IP10.10.10.3/29访问外网，分部通过FW2访问互联网，配置源NAT允许分部用户vlan200，vlan201通过公网接口访问外网。
在FW1上配置外网通过公网接口的IP可以访问内部的https；
总部营销网段和分部无线VLAN 200互访，正常情况下通过FW1-RT1-FW2之间的线路作为主线路进行通信，为了保障业务的可靠性，总部和分部的 FW1和FW2之间通过公网IP建立IPSec VPN隧道链路作为备份线路，当FW-RT1-FW2之间的主线路断开后，总部营销网段和分部无线VLAN 200互访可以通过PSec VPN隧道链路进行访问， IPsec VPN的加密认证算法自选。（没成功）
4.配置 FW1 上的 SSL VPN 功能，允许用户通过 SSLVPN 能访问到内部服务器所有网段（IP 地址：10.100.100.100/24），SSL VPN 名称：DCNGXSSL；SSLVPN 网段为 10.200.200.10-20，用户名：VPN，密码：VPN123
四、无线配置
1.无线控制器DCWS为所有无线业务提供DHCP功能，VLAN253 为无线AC和AP管理地址，VLAN200和VLAN201为无线客户端的地址，网关位于DCWS。
DCWS使用第一个地址作为管理地址，AP使用VLAN253中可用的IP地址，通过DHCP Option下发管理地址方式实现AP注册到DCWS上。
3.设置两个SSID DCN1_XX、DCN2_XX，其中的XX为工位号，具体要求如下：
DCN1_XX，VLAN200，加密模式为wpa-personal,其口令为：12345678，；DCN2_XX，VLAN201，加密模式为wpa-personal,其口令为：12345678只在5G频道看得到信号。（20分）
4.配置DCN1_XX最多接入10个用户，并对DCN1_XX网络进行流控，上行1M，下行2M。
五、安全策略配置
1． FW配置trunst，untrunst，区域及接口IP，并实现相应的规则，要求如下：

实现总部内部用户10.10.10.10/32不可以访问互联网、其他网段可以访问互联网；
实现总部营销网段和分部VLAN200网段实现互通。
3.为了安全，对分部启用WEB认证，分部VLAN201网段需要通过WEB认证后才可以访问互联网，认证服务器为本地防火墙，用户名和密码分别为 Net2023@gx，强制用户在线时常超过1天后必须重新登录。

FW1配置防止垃圾邮件，设置箱过滤，过滤可能含有"发票"的邮件。
FW1配置加强访问Internet安全性，禁止从HTTP打开和下载可执行文件和批处理文件
FW1配置untrust配置icmp洪水攻击防护，攻击防护为默认值

服务器IP地址分配表

宿主机

虚拟主机名称

域名信息

服务角色系统及

版本信息

IPv4地址信息

云实训平台

云主机1

Windows1.jnds.com 域控制器

DNS服务器

CA证书服务器

DHCP服务器

文件服务器

Windows

server 2012

10.10.70.11/24

云主机2

Windows2.jnds.com

WEB服务器

Windows

server 2012

10.10.70.12/24

云主机3

Windows3.jnds.com

FTP服务器

Windows

server 2012

10.10.70.13/24

云主机4

Linux1.skiils.net

DNS服务器

WEB服务器

Centos 7.4

mini

10.10.80.11/24

云主机5

Linux2.skills.net

FTP服务器

Samba服务器

NFS服务器

Centos 7.4

mini

10.10.80.12/24

云主机6

Linux3.skills.net

Mail服务器

数据库服务器

Centos 7.4

mini

10.10.80.13/24

云平台网络信息表

网络名称 ID 外部网络子网名称子网网络地址网关IP 激活DHCP

Vlan70 70 是 Vlan70-subent 10.10.70.0/24 10.10.70.1 否

Vlan80 80 是 Vlan80-subnet 10.10.80.0/24 10.10.80.1 否

虚拟机信息表

虚拟主机名称镜像模板

（源）云主机类型

（实力规格） VCPU数量内存、硬盘信息网络名称备注

云主机1 WindowsServer2012 Windows1 2 4G、60 Vlan70 连接卷hd3-hd5

云主机2 WindowsServer2012 Windows2 2 4G、60 Vlan70 加入域

连接卷hd2

云主机3 WindowsServer2012 Windows3 2 4G、60 Vlan70 加入域

连接hd1

云主机4 Centos 7.4 mini Linux1 1 1G、40 Vlan80

云主机5 Centos 7.4 mini Linux2 1 1G、40 Vlan80 连接卷hd6-hd7

云主机6 Centos 7.4 mini Linux3 1 1G、40 Vlan80

第二部分：服务器配置及应用管理（500分）

【说明】

（1）云服务实训平台2.0管理ip地址默认为192.168.100.100，访问地址http://192.168.100.100/dcnlcoud，默认账号为admin，密码为dcncloud，ssh默认账号为root，密码为dcncloud，禁止修改云服务实训平台账号密码及管理ip地址，否则服务器配置及应用项目部分计0分；

（2）云服务实训平台中提供镜像环境，镜像的默认用户名密码以及镜像信息，参考《云服务实训平台用户操作手册》；

（3）题目中所有未指明的密码均为2020Netw@dcn，若未按照要求设置密码，涉及到该操作的所有分值记为0分；

（4）所有windows主机实例在创建之后都直接可以通过远程桌面连接操作,centos服务器可以通过CRT软件连接进行操作，所有linux主机都默认开启ssh功能；

（5）将题目要求的截图内容按照答题卡要求进行截图。截图完成后将此word文档另存为PDF文档。上交word原文档和pdf文档。

一、云平台基础设置

创建7 块云硬盘，卷命名为hd1-hd7，其中hd1-hd5大小为10G，hd6-hd7大小为20G。详细操作过程请参照"云服务实训平台用户操作手册"。

注意：

（1）必须通过"项目"栏中的"计算"子栏中的"卷"功能来创建云硬盘；不能使用"管理员"，"系统"栏下的"卷"功能，该功能使用不当会造成云硬盘创建失败，界面卡死。

（2）在分离卷之前一定要保证使用该卷的linux主机中，已经不存在该卷的任何挂载点。如果使用该卷的主机是windows实例，必须保证该卷在主机的"磁盘管理"项目中处于脱机状态，否则会造成分离失败，或是一直显示 "分离中"状态。

模块二：windows操作系统

一、在云主机1上完成如下操作

（一）完成域控制器的部署

1、安装域控制器，设置域和林的功能级别为Windows Server 2012，域控制器安装成功后将Windows操作系统的所有虚拟机加入该域；此外，安装证书服务，设置为企业根，有效期为3年，为企业内部自动回复证书申请，续期为20年；为其他windows服务器颁发证书。组织=jnds,组织单位=system,，城市=NanNing，省=GuangXi，国家=CN，web服务器证书从此颁发，访问https时不会显示证书警告。

2、创建3个用户组，组名采用对应部门名称的全拼命名（例如财务部：caiwubu），每个部门都创建2个用户，技术部用户： js1~js2、人事部用户： rs1~rs2、财务部用户： cw1~cw2，所有用户不能修改其用户口令，并要求用户只能在上班时间可以登录（每周工作日 9:00~18:00）,创建以三个组全拼命名的组织单元，并将其加入组织单元中。

（二）完成DNS服务器的部署

将此服务器配置为主DNS服务器，正确配置jnds.com域名的正向及反向解析区域，能够正确解析jnds.com域中的所有主机；创建对应服务器主机记录，准确设置DNS服务正向区域和反向区域。

（三）完成DHCP服务器的部署

安装DHCP服务，建立一个DHCP命名的作用域，网关为10.10.70.1，租借时间为8个小时，分配地址池10.10.70.100至10.10.70.200，分配DNS服务器，并排除网关。

（四）完成文件服务资源管理器

在磁盘管理中找到云平台分配的卷hd3-hd5，将三块硬盘配置为Raid5卷，对应磁盘盘符为H:\；

在H盘中创建share文件夹，在\share\jishubu文件中创建以技术部用户名命名的文件夹，权限设置技术部用户可读可写，其他用户不可见的；在\share\public文件中权限设置域管理员可读可写，其他用户可读；为share文件屏蔽用户创建后缀为.bat，.exe，.sh的文件；文件组名和模板名为my；使jd1登录计算机时能自动挂载磁盘H:\。

二、在云主机2上完成如下操作

完成WEB服务器的部署

在磁盘管理中找到云平台分配的卷hd2，配置WEB盘，盘符为E:\；

创建www.2023jnds.com站点，创建名称为2023jnds.html的主页，主页显示内容"热烈庆祝2023技能竞赛开幕"，同时只允许使用域名访问。

设置网站最大连接数为1000，网站连接超时为60s，网站的带宽为1000KB/S，使用W3C记录日志和ETW事件，每天日志文件滚动更新，使用本地时间进行文件命名和滚动更新。

三、在云主机3上完成如下操作

在磁盘管理中找到云平台分配的卷hd1，配置FTP盘，盘符为F:\；

在F:\路径下建立ftp站点，所有用户具有读取和写入文件权限，FTP站点欢迎消息为："欢迎访问网络搭建FTP服务器！"，技术部两个用户主目录相互隔离，只允许使用域名访问FTP。

模块三：Linux操作系统

整体要求：所有服务要求开机自启动，使用防火墙技术，只开启必要的服务。

一、在云主机4上完成如下操作

(一) 完成BIND服务器的部署

安装配置bind服务，负责区域"Linux1.skills.net"内所有主机的解析，并做好正反向DNS服务解析, 利用 nslookup 命令完成验证。

（二）完成Apache服务器的部署

1、安装httpd服务，建立站点www.skills.net，其网站主目录为/skills/www/skills.net，首页内容为"您访问的是Apache！"；

2、完成Apache服务的访问测试。

二、在云主机5上完成如下操作:

（一）完成磁盘的部署

在磁盘管理中找到云平台分配给的卷h6-h7，将两块硬盘配置为Raid1，查看Raid盘状态并截图，并将Raid盘挂载为/Raid1。

（二）完成FTP服务器的部署

1、配置FTP服务，创设FTP服务站点，域名为ftp.skills.net，站点主目录为 /Raid1/ftpsite，不允许匿名用户访问，开启ftp支持被动数据传输模式；

2、建立虚拟用户ftpuser1及ftpuser2，密码和用户相同，通过配置实现这两个用户限制在各自的主目录下，且均有读写权限；

3、完成FTP服务的上传、下载测试。

（三）完成samba服务器的部署

1.在 linux4上创建user1-user20等20个用户;user1 和

user2添加到manager组，user3 添加到sale组，user4添加到

dev 组。

2.配置为 Samba 服务器 , 建立共享目录 /share/ShareManager,

/share/ShareSale, /share/SharePublic，共享名与目录名相同。

3.manager 组用户对 ShareManager 和 SharePublic 有共享读写权

限，sale 组用户对 ShareSale 和 SharePublic 有共享读写权限，dev 组

对所有共享均有读写权限；用户对自己新建的文件有完全权限，对其

他用户的文件只有读权限，且不能删除别人的文件。

4.把用户 user1-user4 添加到 samba 用户

（四）完成NFS服务的部署

1．配置NFS服务，按下表要求共享目录：

共享目录共享要求

/var/test 本部技术部的用户具有读写权限，其它只读

/var/tmp 所有人都可以存取，root写入的文件还具有root的权限

2．创建用户nfsuser，当nfsuser在终端登录时，自动mount 共享的/var/test目录到

云主机6的/home/nfsuser/t，退出时自动umount；

3.在云主机6测试NFS服务器

三、在云主机6上完成如下操作：

（一）完成E-MAIL服务器的部署

1、在此服务器上安装配置postfix邮件服务，创建两个用户mail1,mail2；每个用户的邮箱空间为20MB；

2、为mail1和mail2两员工创建邮箱账户，实现不同用户之间的正常通讯，用户密码为123，邮件服务器要在所有IP地址上进行侦听；

3、在云主机6上安装office outlook 软件发送邮件；mail1用户发给mail2用户，主题为"你好"，内容为"欢迎大家"。

(二）完成MySQL数据库服务器的部署

1.将此服务器配置为MySQL服务器，创建数据库为myschool，在库中创建表为mystudent，在表中创建2个用户，分别为（1，myuser1，1996-10-11，male），（2，myuser2，1997-11-10，female），口令与用户名相同，将数据库表展开截图。表结构如下：

字段名数据类型主键

ID Int 是

Name varchar(10) 否

Birthday Datetime 否

Sex char(8) 否

Password char（128）否

2.将myuser1的生日改成1997-12-12。