2024 年河北省职业院校技能大赛网络建设与运维赛项样题四

2024 年河北省职业院校技能大 赛网络建设与运维赛项

赛题

赛题说明

一、竞赛项目简介

"网络建设与运维"竞赛共分为模块一：网络理论测试；模块二：网络建设与调试；模块三：服务搭建与运维等三个模块。竞赛安排和分值权重见表 1。

表 1 竞赛时间安排与分值权重

|-----|---------|----------|--------|----------|
| 模块 || 比赛时长 | 分值 | 答题方式 |
| 模块一 | 网络理论测试 | 0.5 小时 | 10% | 在线测试 |
| 模块二 | 网络建设与调试 | 3.5 小时 | 40% | 设备实操 |
| 模块三 | 服务搭建与运维 | 3.5 小时 | 50% | 设备实操 |
| 合计 || 4 小时 | 100% | |

二、竞赛注意事项

1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件及文档清单、材料清单是否齐全，计算机设备是否能正常使用。
3. 请参赛选手仔细阅读赛卷，按照要求完成各项操作。
4. 操作过程中需要及时按照答题要求保存相关结果。比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和提交文档为最终结果。
5. 竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将

竞赛所用的所有物品（包括试卷等）带离赛场。

1. 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记，

禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为 0 分。

1. 与比赛相关的软件和文档存放在<U 盘>/soft 文件夹中。
2. 请在贴有"pc1-赛位号"U 盘（赛位号从 01-99 变化）根目录新建 "xx"文件夹作为"选手目录"（xx 为赛位号。举例：1 号赛位，文件夹名称为"01"），按照 U 盘中"答案提交指南.txt"要求生成答案文档，将答案文档复制到选手目录。
3. server1 管理 web 网址http://192.168.100.100/dashboard，管理员为admin，密码为 admin。server1 底层操作系统root 用户密码为Key-1122。Windows 虚拟机中Administrator 用户密码为Key-1122，题目中所有未指定的密码均用该密码。虚拟主机的 IP 地址必须手动设置为该虚拟机自动获取的IP 地址。
4. server2 管理web 网址http://192.168.2.10，管理员为Admin，密码为Admin@123。
5. 使用完全合格域名访问网络资源。

模块二：网络建设与调试

（共计 400 分 ）

任务背景描述:

某集团公司原在A市建立了总公司，后在城市 B 建立了分公司。集团设有产品、营销、法务、财务、人力5 个部门，统一进行 IP 及业务资源的规划和分配，全网采用 OSPF、RIP、ISIS、BGP 路由协议进行互联互通。

集团、分公司的网络结构详见拓扑图。编号为SW1 的设备作为总公司 1#DC 核心交换机，编号为 SW2 的设备作为总公司 2#DC 核心交换机；编号为 SW3 的设备作为某市灾备 DC 核心交换机；编号FW1 的设备作为总公司互联网出口防火墙；编号为FW2 的设备作为分公司防火墙；编号为 RT1 的设备作为总公司核心路由器；编号为RT2 的设备作为分公司路由器；编号为 AC1 的设备作为分公司的有线无线智能一体化控制器，通过与AP1 配合实现所属区域无线覆盖。

注意：在此典型互联网应用网络架构中，作为 IT 网络运维人员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定

性、安全性、可扩展性。请完成所有配置后，需从客户端进行测试，确保能正常访问到相应应用。

网络拓扑图及IP 地址表：

1. 1. 网络拓扑图

|---|---|
| |
| | |

1. 1. 网络设备 IP 地址分配表

|-----------------|----------------------------------|---------------------------------------|
| 设备名称 | 设备接口 | IP 地址 |
| SW-Core | Loopback1 ospfv2 ospfv3 bgp | 10.10.1.1/32 2002:10:10:1::1/128 |
| SW-Core | Vlan1 | 192.168.1.2/24 |
| SW-Core | Vlan2 | 192.168.2.1/24 |
| SW-Core | Vlan10 | 10.10.10.1/24 2002:10:10:10::1/64 |
| SW-Core | Vlan20 | 10.10.20.1/24 2002:10:10:20::1/64 |
| SW-Core | Vlan30 | 10.10.30.1/24 2002:10:10:30::1/64 |
| SW-Core | Vlan40 | 10.10.40.1/24 2002:10:10:40::1/64 |
| SW-Core | Vlan50 | 10.10.50.1/24 2002:10:10:50::1/64 |
| SW-Core | Vlan100 | 192.168.100.1/24 |
| SW-Core | Vlan1000 | 10.10.255.1/30 |
| SW-Core | Vlan1001 | 10.10.255.5/30 2001:10:10:255::5/127 |
| SW-Core | Vlan1002 | 10.10.255.9/30 |
| SW3 | Vlan1 | 192.168.1.1/24 |
| SW3 模拟 Internet | Vlan1004 | 200.200.200.1/30 |
| SW3 模拟 Internet | Vlan1003 | 200.200.200.5/30 |
| AC1 | Loopback1 rip | 10.10.4.1/32 |
| AC1 | Vlan1001 | 10.10.255.14/30 |
| RT1 | Loopback1 ospfv2 ospfv3 bgp mpls | 10.10.5.1/32 2001:10:10:5::1/128 |
| RT1 | Loopback3 vpn 财务 | 10.10.5.3/32 2002:10:10:5::3/128 |
| RT1 | G0/0 | 10.10.255.21/30 |
| RT1 | G0/2 | 10.10.255.6/30 2001:10:10:255::4/127 |
| RT1 | G0/3 | 10.10.255.10/30 |
| RT1 | S1/0 | 10.10.255.25/30 2001:10:10:255::/127 |
| RT1 | S1/1 | 10.10.255.29/30 2001:10:10:255::A/127 |
| RT2 | Loopback1 ospfv2 ospfv3 bgp mpls | 10.10.6.1/32 2002:10:10:6::1/128 |
| RT2 | Loopback2 isis | 10.10.6.2/32 |

|----------|-------------------------------|---------------------------------------|
| 设备名称 | 设备接口 | IP 地址 |
| | | 2002:10:10:6::2/128 |
| | Loopback3 vpn 财务 | 10.10.6.3/32 2002:10:10:6::3/128 |
| | G0/0 | 10.10.255.22/30 |
| | G0/2 | 10.10.255.18/30 |
| | G0/3.131 | 10.10.31.1/24 2002:10:10:31::1/64 |
| | G0/3.132 | 10.10.32.1/24 2002:10:10:32::1/64 |
| | G0/3.133 | 10.10.33.1/24 2002:10:10:33::1/64 |
| | G0/3.134 | 10.10.34.1/24 2002:10:10:34::1/64 |
| | G0/3.135 | 10.10.35.1/24 2002:10:10:35::1/64 |
| | S1/0 | 10.10.255.30/30 2001:10:10:255::B/127 |
| | S1/1 | 10.10.255.26/30 2001:10:10:255::1/127 |
| FW1 | Loopback1 ospfv2 ospfv3 trust | 10.10.7.1/32 2002:10:10:7::1/128 |
| FW1 | Loopback2 rip trust | 10.10.7.2/32 |
| FW1 | Loopback4 trust | 10.10.7.4/32 |
| FW1 | Tunnel1 ipsecvpn untrust | 1.1.1.1/30 |
| FW1 | Tunnel4 VPNHUB | 10.10.255.49/30 |
| FW1 | E0/1 dmz | 10.10.255.13/30 |
| FW1 | E0/2 trust | 10.10.255.2/30 |
| FW1 | E0/3 trust | 10.10.255.2/30 |
| FW1 | E0/4 untrust | 200.200.200.2/30 |
| FW2 | Tunnel1 ipsecvpn untrust | 1.1.1.2/30 |
| FW2 | Tunnel4 VPNHUB | 10.10.255.50/30 |
| FW2 | Loopback2 trust | 10.10.8.2/32 2002:10:10:8::2/128 |
| FW2 | Loopback4 trust | 10.10.8.4/32 |
| FW2 | E0/2 trust | 10.10.255.17/30 |
| FW2 | E0/3 untrust | 200.200.200.6/30 |
| FW2 | Vlan130 无线管理 | 10.10.130.1/24 2002:10:10:130::1/64 |
| FW2 | Vlan140 无线 2.4G 产品 | 10.10.140.1/24 2002:10:10:140::1/64 |
| FW2 | Vlan150 无线 5G 营销 | 10.10.150.1/24 2002:10:10:150::1/64 |

(一)工程统筹（ 本题共 15 分 ）

1. 职业素养

1. 整理赛位，工具、设备归位，保持赛后整洁序。
2. 无因选手原因导致设备损坏。
3. 恢复调试现场，保证网络和系统安全运行。

1. 网络布线

（1）跳线制作与测试。根据网络拓扑要求，截取适当长度和数量的双绞线，所有网络跳线要求按 T568B 标准制作端接水晶头，插入相应设备的相关端口上，实现 PC、设备之间的连通。

(二)交换配置（本题共 120 分 ）

1. 总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备，网管人员可对这台虚拟设备进行管理，来实现对虚拟设备中所有物理设备的管理。

1. 两台设备之间建立一个vsf port-group，vsf port-group编号都为 2，每个vsf port-group绑定两个千兆光端口。
2. SW-1：成员编号为1，域编号为32，优先级为32；SW-2：成员编号为16，域编号为32，优先级为1；正常情况下SW-1负责管理整个VSF。
3. 使用VLAN 4090 进行BFD MAD分裂检测，SW-1 BFD MAD IP地址为： 3.3.3.1/30，SW-2 BFD MAD接口IP地址为：3.3.3.2/30，配置VSF链路

down延迟上报时间为0.5s。

1. 配置SW-Core的二层链路只允许下面Vlan 通过，不限制vlan1。

|---------|-----------------|------------------|--------|
| 设备 | Vlan 编号 | 端口 | 说明 |
| SW-Core | Vlan10 | E1/0/11；E16/0/11 | 产品 1 段 |
| SW-Core | Vlan20 | E1/0/12；E16/0/12 | 营销 1 段 |
| SW-Core | Vlan30 | E1/0/13；E16/0/13 | 法务 1 段 |
| SW-Core | Vlan40 | E1/0/14；E16/0/14 | 人力 1 段 |
| SW-Core | Vlan50 | E1/0/15；E16/0/15 | 财务 1 段 |
| SW3 | Vlan10 | E1/0/1 | 产品 1 段 |
| SW3 | Vlan20 | E1/0/2 | 营销 1 段 |
| SW3 | Vlan30 | E1/0/3 | 法务 1 段 |
| SW3 | Vlan40 | E1/0/4 | 人力 1 段 |
| SW3 | Vlan50 | E1/0/5 | 人力 1 段 |

1. 配置相关技术，方便后续链路扩容与冗余备份，编号为 10，用 LACP协议，SW1 为active，FW1 为active；采用目的、源 IP 进行实现流量负载分担。
2. 为方便后续验证与测试，将 SW3 模拟分公司交换机，实现与集团其 它业务路由表隔离，分公司路由表VPN 实例名称为Subcom，RD 为 1:1。业务网段按下表要求分配接口。

|--------|-----------------|---------|--------|
| 设备 | Vlan 编号 | 端口 | 说明 |
| SW3 | Vlan31 | E1/0/11 | 产品 3 段 |
| SW3 | Vlan32 | E1/0/12 | 营销 3 段 |
| SW3 | Vlan33 | E1/0/13 | 法务 3 段 |
| SW3 | Vlan34 | E1/0/14 | 人力 3 段 |
| SW3 | Vlan35 | E1/0/15 | 财务 3 段 |

1. 将SW3 模拟为 Internet交换机，实现与集团其它业务路由表隔离， Internet 路由表 VPN 实例名称为Internet，RD 为2:2。
2. 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审

计，分别连接在SW3交换机E1/0/16-E1/0/17接口测试，将核心交换

机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。

配置使用远程交换Vlan为2023，SW1核心交换机端口20做流量反射。

1. 配置相关技术，避免SW-Core和SW3之间形成环路：产品和营销1段 业务网段划分到1组，法务、人力和财务1段业务网段划分到2组；组 1优先选择SW3的E1/0/10作为转发业务主端口，选择SW3的E1/0/20作 为转发业务副端口；组2优先选择SW3的E1/0/20作为转发业务主端口，选择SW3的E1/0/10作为转发业务副端口；均开启抢占模式，并使用 VLAN2000做为控制VLAN；网络设备开启MAC地址更新和ARP删除的 flush报文的发送、接收功能。
2. 避免SW1和SW2出现故障后，SW3无法感知上联设备的故障，造成数据流量的丢失。配置相关技术，根据上联设备故障情况自动切换数据传输线路。

(三)路由调试（本题共 125 分 ）

1. 配置所有设备主机名，名称见"网络拓扑"。启用所有设备的 ssh 服务，用户名和明文密码均为dcnadmin@999；配置所有设备 ssh 连接超时为 5分钟，console 连接不做登录超时限制。
2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间，SW1配置为 ntp server，其他设备为ntp client，请求报文时间间隔 2分钟，用SW1 Loopback1 IPv4 地址作为 ntp server 地址。
3. 配置接口 IPv4 地址和 IPv6 地址，互联接口 IPv6 地址用本地链路

地址。

1. AC配置DHCPv4功能，分别为分公司无线Vlan130、Vlan140、Vlan150 分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 ， 排除网关， DNS 为 202.99.160.68 和 114.114.114.144 。 AP 保留地址

10.10.130.9 （ DHCPv4 地址池名称为 AP）。RT2配置DHCPv4功能，为分公司产品 3 段自动分配 IP 地址， DNS 为 202.99.160.68 和 114.114.114.144。

1. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和

OSPFv3 协议（路由模式发布网络用网络地址）。

1. RT1和RT2之间OSPFv2 和OSPFv3 协议，process 1，area 0，分别发布Loopback1 地址路由和产品路由。
2. SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议，process 1， area 1，分别发布Loopback1 地址路由和产品路由。；
3. SW-Core和FW1 之间OSPFv2 和OSPFv3 协议，OSPFv2：process 1，area 2，OSPFv3：process 1，area 1，发布 Loopback1 地址路由， FW1 在OSPFv2中通告默认路由。
4. 为增加IPv4网络数据传输中的安全性，需在骨干区域配置基于区域，非骨干区域配置基于端口的md5安全认证，认证密钥均为dcnadmin@999。

1. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、

RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议；RT1 串行链路

S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议；SW-Core与RT1以太链路G0/2之间采用IPv6静态路由协议；IPv4与IPv6协议均发布人力、财务路由，并使得总部与分部的人力、财务互通。

1. FW2和RT2之间运行ISIS 协议，实现Loopback2 之间 IPv4 互通和

IPv6 互通。 FW2 和 RT2 的 NET 分别为 10.0000.0000.0001.00 、

10.0000.0000.0002.00 、路由器类型是Level-2。

1. SW-Core、RT1、RT2之间运行BGP 协议，SW-Core、RT1的AS号为65001、 RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6 BGP邻居， RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SW- Core、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。
2. 利用BGP MPLS VPN 技术，RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例，名称为 Finance， RT1 的RD 值为 1:1，export rt 值为 1:2，import rt值为 2:1；RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居，分别实现两端Loopback3 IPv4 互通和IPv6 互通。

(四)无线部署（ 本题共 60 分 ）

1 **.**AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册，AP 采用密码认证，密码为Hbds123。配置 2 个ssid，分别

为HBDS-2.4G 和HBDS-5G。HBDS-2.4G 对应 Vlan140，用Network 140 和

radio1（profile 1, mode n-only-g）,用户接入无线网络时需要采

用基于 WPA-personal 加密方式，密码为 Key-1122，用第一个可用 VAP 发送 2.4G 信号，设定AP的使用功率为70%。HBDS-5G 对应 Vlan150，用Network 150 和 radio2（profile 1, mode n-only-a），开启WAPI 认证，密码为dcn-12345678， HBDS-5G 用倒数第一个可用VAP 发送 5G信号，设置每分钟跨信道扫描无线信号。

(五)安全维护（ 本题共 80 分 ）

说明：按照 IP 地址从小到大的顺序用" IP/mask"表示，IPv4 Any

地址用 0.0.0.0/0，IPv6 Any 地址用 ::/0 ，禁止使用地址条目。

1. FW1 配置IPv4 NAT，id 为 1，实现集团产品 1 段 IPv4 访问 Internet IPv4，保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任意服务。
2. FW1 配置 NAT64，id 为 2，实现集团产品 1 段 IPv6 访问 Internet IPv4，转换为出接口 IP，IPv4 转IPv6 地址前缀为 64:ff9b::/96。
3. FW1 和 FW2 策略默认动作为拒绝，并根据题意设置FW1和FW2的策略条目，dmz区域要求使用明细地址条目。
4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN ， 实现 Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1， isakmp peer 名称为 PEER ， ipsec proposal 名称为P2 ， tunnel

ipsec 名称为IPSEC，使用tunnel1 做隧道传输接口。

模块三：服务搭建与运维

（共计 500 分 ）

任务背景描述：

随着信息技术更迭，集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上，同时根据目前的部分业务需求进行了部分调整和优化。

(一) X86 架构计算机安装与管理（本题共 50 分 ）

1. PC1 系统为 ubuntu-desktop-amd64 系统，登录用户为 xiao，密码为 Key-1122。在对系统配置之前请进行提权，设置根用户密码为 Key-1122。
2. 安装remmina，用该软件连接server1 上的虚拟机，并配置虚拟机上的相应服务。
3. 安装qemu 、libvirt和virt - install。

(二)ARM64 架构计算机操作系统安装与管理（ 本题共 50 分 ）

1. 从 U 盘启动 PC2，安装 kylin-desktop-arm64（安装语言为英文），安装时创建用户为 xiao，密码为 Key-1122。在对系统配置之前请进行提权，设置根用户密码为Key-1122。
2. 安装配置minicom，用该软件连接网络设备。

(三)Windows 云服务配置（本题共 200 分 ）

|----------|----------|----------|---------------|---------------------------|
| 网络名称 | Vlan | 子网名称 | 网关 | IPv4 地址池 |
| Net10 | 10 | Sub10 | 10.10.10.1/24 | 10.10.10.100-10.10.10.199 |
| Net20 | 20 | Sub20 | 10.10.20.1/24 | 10.10.20.100-10.10.20.199 |
| Net50 | 50 | Sub50 | 10.10.50.1/24 | 10.10.50.100-10.10.50.199 |

1. 创建实例网络信息表

|--------|--------|----------|--------|--------|
| 名称 | id | vcpu | 内存 | 磁盘 |
| Hbds | 1 | 4 | 4096MB | 100GB |

|----------|-------------|----------|---------------------------|----------|
| 实例名称 | 镜像 | 实例类型 | IPv4 地址 | 主机名称 |
| windows1 | windows2022 | Hbds | 10.10.10.101 | windows1 |
| windows2 | windows2022 | Hbds | 10.10.10.102 | windows2 |
| windows3 | windows2022 | Hbds | 10.10.10.103 | windows3 |
| windows4 | windows2022 | Hbds | 10.10.20.101 10.10.50.101 | windows4 |
| windows5 | windows2022 | Hbds | 10.10.20.102 10.10.50.102 | windows5 |

1. 域服务

任务描述：请采用域环境，管理企业网络资源。

1. 配置windows1 为 hbds.cn 域控制器安装 dns 服务，dns 正反向区域在active directory 中存储，负责该域的正反向域名解析。配置 windows2 为 hbds.cn 辅助域控制器；安装dns 服务，dns 正反向区域在active directory 中存储，负责该域的正反向域名解析。把其他 windows 主机加入到 hbds.cn 域。所有 windows 主机（含域控制器）用hbds\Administrator 身份登陆。
2. 在 windows1 上安装证书服务，为 windows 主机颁发证书，证书

颁发机构有效期为 20 年，证书颁发机构的公用名为 windows1.hbds.cn。

复制"计算机"证书模板，名称为"计算机副本"，申请并颁发一张供 windows 服务器使用的证书，证书友好名称为 pc，证书信息：证书有效期=10年，公用名=hbds.cn，国家=CN，省=XX，城市=XX，组织=hbds，组织单位=system，使用者可选名称=*.hbds.cn 和 hbds.cn。浏览器访问 https 网站时，不出现证书警告信息。

1. 在 windows2 上安装从属证书服务， 证书颁发机构的公用名为

windows2.hbds.cn。

1. 在windows1 上行政部、人事部、技术部3个组织单元，其名称分别为 ADMIN、HR、IT 的 3 个组织单元；每个组织单元内新建与组织单元同名的安全组：全局安全组ADMIN、本地安全组HR、本地安全组IT；在组内新建 30 个用户：行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30，设置用户密码与用户名相同，并将用户移动到各自对应的组织单元内，不能修改其口令，密码永不过期。ADMIN10 拥有域管理员权限。

1. 组策略

任务描述：请采用组策略，实现软件、计算机和用户的策略设置。

1. 配置相关策略，实现所有域用户登录服务器时不自动显示服务器管理器。
2. 域中主机自动申请"ipsec"模板证书。自动注册"工作站身份验证" 模板证书，该模板可用作"服务器身份验证"，有效期10 年。
3. 允许ADMIN 组本地登录域控制器，允许 ADMIN10 用户远程登录到域控制器；拒绝HR组从网络访问域控制器。
4. 禁用软件 calc.exe，即使该软件不在 C:\Windows\System32\目录

下或该软件更改名称，也不能使用。

1. 远程桌面

任务描述：请采用RDS，实现远程桌面web方式访问。

安装和配置 RDS 服务，用户可通过https://windows3.hbds.cn/rdweb访问windows3主机远程桌面， 远程桌面证书由从属证书服务器颁发，友好名称为 Y3-CRT。配置RDP会话集合，并保证能够在远程访问时可以看到

会话名称，只允许技术组用户使用此功能。配置负载平衡会话限制为200，客户端可以使用服务器的驱动器、打印机，共享剪贴板。将所有用户配

置和数据存储到c:\RDP目录下，并设置用户仅获取 msedge程序应用权限。

1. NLB 服务

任务描述：请采用NLB，实现负载平衡。 配置windows4和 windows5为 NLB 服务器。

1. Windows4群集优先级为 4，windows5群集优先级为 5，群集 IPv4地址为 10.10.20.103/24，群集名称为 www.hbds.cn。配置 windows4 为 web 服务器，站点名称为 www，网站的最大连接数为 20000，网站连接超时为 60s，网站的带宽为 200Mbps。

2. 在windows1 的C 分区划分5GB 的空间，创建 NTFS 主分区，驱动器号为 T；

3. 共享网页文件、共享网站配置文件和网站日志文件分别存储到 windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和 T:\WebShare\Logs。网站主页index.asp标题为"NLB负载平衡测试中..."，内容为"当前时间为：系统时间"，系统时间格式为 yyyy/mm/dd hh:mm:ss,且时间实时更新。

4. 使用W3C 记录日志，每小时创建一个新的日志文件，日志只允许记

录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http协议访问网站时，自动跳转至https域名加密访问访问（使用"计算机副本"证书模板，友好名称为Y4-CRT）。

1. 配置 windows5 为 web 服务器，要求采用共享 windows4 配置的方式， 使用"计算机副本"证书，友好名称为Y5-CRT。
2. 通过windows3主机进行测试。客户端访问时，必需有 ssl 证书

（浏览器证书模板为"管理员"）。

1. 创建Windows Server 2022虚拟机，虚拟机信息如下：

|----------|------|--------|------|-----------------|------------------|
| 虚拟机名称 | vcpu | 内存 | 硬盘 | IPv4 地址 | 完全合格域名 |
| Windows6 | 2 | 4096MB | 40GB | 10.10.30.101/24 | Windows6.hbds.cn |
| Windows7 | 2 | 4096MB | 40GB | 10.10.30.102/24 | Windows7.hbds.cn |

1. 安装windows6，系统为Windows Server 2022 Datacenter（Core版），网络模式为桥接模式，网卡、硬盘、显示驱动均为virtio，安装网卡、硬盘、显示驱动，并加入到Windows AD中。关闭防火墙，安装并启动DNS服务。
2. 安装windows7，系统为Windows Server 2022 Datacenter（Core 版），网络模式为桥接模式，网卡、硬盘、显示驱动均为virtio，安装网卡、硬盘、显示驱动，并加入到Windows AD中。在windows7中添加3块 5GB的硬盘（硬盘驱动为virtio），初始化为GPT，配置为raid5，驱动器盘符为T，卷标为RAID5。关闭防火墙，安装启动DCHP服务，并将DHCP服务器在Windows AD中授权。

(四)Linux 云服务配置（本题共 200 分 ）

1. 系统安装

2. PC1 浏览器连接server2，给server2 安装 rocky-arm64 CLI 系统

（语言为英文）。

1. 配置Server2 的IPv4 地址为 10.10.40.100/24。
2. 安装qemu、libvirt 和virt-install。
3. 创建rocky-arm64 虚拟机，虚拟机磁盘文件保存在根用户家目录，名称为linuxN.qcow2(N 表示虚拟机编号 0-6，如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下：

|--------|------|--------|------|-----------------|--------|
| 虚拟机名称 | vcpu | 内存 | 磁盘 | IPv4 地址 | 主机名称 |
| linux0 | 2 | 4096MB | 80GB | none | |
| linux1 | 2 | 4096MB | 80GB | 10.10.40.101/24 | linux1 |
| linux2 | 2 | 4096MB | 80GB | 10.10.40.102/24 | linux2 |
| linux3 | 2 | 4096MB | 80GB | 10.10.40.103/24 | linux3 |
| linux4 | 2 | 4096MB | 80GB | 10.10.40.104/24 | linux4 |
| linux5 | 2 | 4096MB | 80GB | 10.10.40.105/24 | linux5 |
| linux6 | 2 | 4096MB | 80GB | 10.10.40.106/24 | linux6 |

1. 安装linux0，系统为 rocky9 CLI，网络模式为桥接模式，用户 root密码为 Key-1122。
2. 关闭linux0，给linux0 创建快照，快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。

1. dns 服务

任务描述：创建DNS 服务器，实现企业域名访问。配置linux 主机的 IP

地址和主机名称。

1. 所有linux 主机启用防火墙，防火墙区域为public，在防火墙中放行对应服务端口。

2. 所有linux 主机之间（包含本主机）root 用户实现密钥ssh 认证，

禁用密码认证，登录时禁用连接提示，关闭TCPKeepAlive功能，客户端不活跃超时设置为60秒，Shell超过10分钟不响应则断开连接。

1. 利用chrony，配置linux1 为其他linux 主机提供NTP 服务。
2. 利用 bind，配置 linux1 为主 DNS 服务器，linux2 为备用 DNS服务器，为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均 为 /var/named/named.hbds ， 反 向 区 域 文 件 均 为

/var/named/named.40。所有linux主机对应的域名格式为:主机名.China_hbds.cn。

1. Openssl证书服务

任务描述：创建证书服务器，实现安全通讯访问。

1. 配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法，为

linux 主机颁发证书。

1. 证书颁发机构有效期 10 年，公用名为 linux1.China_hbds.cn。

私钥文件存放于/etc/pki/CA/private目录，CA私钥文件名为Ca_key.pem；

CA根证书使用系统默认路径及文件名：/etc/pki/CA/Ca_crt.pem。

1. 申请并颁发一张供 linux服务器使用的证书为2023China.crt，私钥为2023China.key，存放在/etc/pki/tls 目录，证书信息：有效期=5年，公用名= China-hbds.cn，国家=CN，省=XX，城市=XX，组织=hbds，组织单位=system，使用者可选名称=*.China_hbds.cn 和 China_hbds.cn。要求浏览器访问https 网站时，不出现证书警告信息。
2. 在linux1中安装配置Apache服务，搭建Web网站，首页文档为 index.html，目录为/var/www/CA/，域名为ca.China_hbds.cn。为确保证书安全传输，CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命

令工具安全下载，存放在需要证书的云主机的/etc/ssl目录下,HTTP和

HTTPS站点均指向同一主页index.html,内容为"欢迎使用证书服务器下载证书!"。

1. ansible 服务

任务描述：请采用ansible，实现自动化运维。

1. 在linux1 上安装系统自带的ansible-core，作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。
2. 编写/root/host.yml 剧本，实现在所有linux主机的/root 目录下 创建一个host.txt 文件，文件内容为："ansible脚本测试，主机名为： hostname"，hostname为各对应主机的FQDN全名。

1. nginx 和tomcat 服务

任务描述：利用系统自带tomcat，搭建 Tomcat网站。

（1）配置 linux2 为 nginx 服务器，网站目录为/www/nginx，默认文档 index.html 的内容为"HelloNginx"；仅允许使用域名访问，http访问自动跳转到 https。（2）配置 linux3 和 linux4 为 tomcat 服务器，网站目录均为/www/tomcat，网站默认首页内容分别为"tomcatA"和"tomcatB"，使用http默认80端口。

1. 利用 nginx 反向代理，实现 linux3 和 linux4 的 tomcat 负载

均衡， 通过 https://tomcat.China_hbds.cn 加密访问 Tomcat服务器， http 访问通过301 自动跳转到https。

1. samba 服务

任务描述：请采用samba 服务，实现资源共享。

1. 配置 linux3 为 samba 服务器,建立共享目录/sharesmb，共享名与目录名相同。

2. 新建用户user00-user03, 用户名和密码相同。user00 和user01

添加到 admin 组，user02 和 user03 添加到 hr 组。把用户 user00- user03 添加到samba 用户。

1. admin 组用户对sharesmb共享有读写权限，hr 组对 sharesmb 共享有只读权限；用户对自己新建的文件有完全权限， 对其他用户的文件只有读权限，且不能删除别人的文件。
2. 在本机用smbclient 命令测试。
3. 在linux4上使用用户user00实现无需手动输入密码自动挂载linux3的sharesmb 共享到/sharesmb，同时防止运行恶意脚本运，禁止运行.sh文件，禁止在挂载命令中显示明文密码。

1. 脚本编写

任务描述：编写脚本，实现快速批量操作。

(1)请在"云主机5"中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户，每个用户名用 "test00" 至"test99"，密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年 12月31日。

1. 磁盘配额限制服务

任务描述：请采用配额功能，管理用户存储使用。

1. 在Linux6主机上添加1块20G硬盘，硬盘文件为linux6_1.qcow2，保存在根用户家目录，并格式化为ext4文件系统，并开机自动挂载到

/data/quota目录下。

1. 在linux6 上创建 qu01-qu03 等3个用户，用户密码与用户名相同。

2. 在/data/quota的存储配额：root用户硬限制10G，qu01、qu02都配置软限制600MB、硬限制2000MB。

3. 当用户qu01在linux6登录时，系统自动显示当前用户磁盘配额使用

情况。

1. 实现自动化的配额管理，每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。

1. 邮件服务

任务描述：请采用postfix，搭建邮件服务器。

1. 在"云主机6"中使用postfix安装配置邮件服务器：邮箱容量限制为 10MB，超过限制的邮件将会被拒绝；配置"云主机1"的域名服务器负责完成域的邮件域名解析；建立两个邮件账号：mail1、mail2；实现区域内的邮件收发。启用SSL/TLS，仅支持SMTPS和IMAPS；使用windows1证书服务器签名的证书；
2. 在/share/postfix/创建内容为"测试附件"的文件TEST.txt，发送一封测试邮件：mail1发给mail2，邮件主题为"网络建设运维赛项已开赛！"，邮件内容为" 你好，祝你们取得好成绩！" 邮件附件为： TEST.txt。
3. 启用邮件群发服务，群发一封测试邮件：mail2发给dcn，邮件主题 为"技术和研发通知"，邮件内容为" 网络建设运维赛项已开赛，请做好保障服务"。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。