2020年厦门市技能大赛-网络搭建与应用竞赛-正式赛卷（一）技能要求（附脚本配置）_circuit-failover

目录

竞赛说明

一、竞赛内容分布

二、竞赛注意事项

项目简介

网络搭建及安全部署项目

服务器配置及应用项目

云实训平台安装与运用（150分）

Windows操作系统（165分）

Linux操作系统部分（165分）

职业规范与素养

---

网络搭建及安全部署项目

（500分）

【说明】

1. 设备console线有不同两条。交换机、 AC、防火墙使用同一条console线，路由器使用另外一条console线；
2. 请将PC1上D盘soft文件夹中的《网络搭建及安全部署竞赛报告单》复制到PC1桌面的选手自建“比赛文档_X”（X为赛位号）文件夹中，并按照截图注意事项的要求填写完整；
3. 设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名；所有需要提交的文档均放置在PC1桌面的“比赛文档_X”（X为赛位号）文件夹中；

保存文档方式如下：

1. 交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“比赛文档_X”文件夹中，文档命名规则为：设备名称.txt。例如：RT-1路由器文件命名为：RT-1.txt；
2. 无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集，需要先调整CRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示乱码；其他设备CRT软件字符编号建议为:GB2312。CRT软件调整字符编号配置如图：

一、网络布线与基础连接（本部分50分）

右侧布线面板立面示意图        左侧布线面板立面示意图

【说明】

1. 机柜左侧布线面板编号101；机柜右侧布线面板编号102。
2. 面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。
3. 主配线区配线点与工作区配线点连线对应关系如下表所示。

PC1、PC2配线点连线对应关系表

• 铺设线缆并端接

1. 截取 2 根适当长度的双绞线，两端制作标签，穿过 PVC 线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定；
2. 将 2 根双绞线的一端，根据“PC1、PC2配线点连线对应关系表“的要求，端接在配线架的相应端口上；
3. 将 2 根双绞线的另一端，根据“PC1、PC2配线点连线对应关系表”的要求，端接上 RJ45 模块，并且安装上信息点面板，并标注标签。

• 跳线制作与测试

1. 再截取 2 根当长度的双绞线，两端制作标签，根据“PC1、PC2配线点连线对应关系表”的要求，链接网络信息点和相应计算机，端接水晶头，制作网络跳线，所有网络跳线要求按 568B 标准制作；
2. 根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网络跳线， 根据题目要求，插入相应设备的相关端口上；（包括设备与设备之间、设备与配线架之间）；  
3. 实现 PC、信息点面板、配线架、设备之间的连通；（提示：可利用机柜上自带的设备进行通断测试）；
4. PC1连接102底盒1端口、PC2连接101底盒1端口。

二、交换配置与调试（本部分132分）

• 、为了减少广播，需要根据题目要求规划并配置VLAN。具体要求如下(17分)：

1. 配置合理，所有链路上不允许不必要VLAN的数据流通过，包括VLAN 1(4分)；
2. 集团接入交换机与核心交换机之间的互连接口发送AP&交换机管理VLAN的报文时不携带标签，发送其它VLAN的报文时携带标签，要求禁止采用trunk链路类型(4分)；----hybrid 混杂端口

Tagged 打标签的vlan

Untagge 不打标签的vlan

trunk和hybrid，access接口区别：

access接口只允许传递一个vlan

trunk接口允许传递多个vlan,但是只能一个vlan不携带标签，其他vlan都必须携带vlan标签

hybrid接口允许传递多个vlan，并且允许多个vlan不携带标签，多个vlan携带标签

SW3:

vlan 1;100（不懂vlan100是干什么）;220(无线控制器)

Interface Ethernet1/0/27

 switchport mode hybrid

 switchport hybrid allowed vlan 10;20;30;40;50;100;220 tag

 switchport hybrid allowed vlan 200 untag（出去的时候VLAN 200是不打标签）

 switchport hybrid native vlan 200（收到一个没打标签的数据帧认为是vlan 200）

!

Interface Ethernet1/0/28

 switchport mode hybrid

 switchport hybrid allowed vlan 10;20;30;40;50;100;220 tag

 switchport hybrid allowed vlan 200 untag

 switchport hybrid native vlan 200

SW1:

vlan 1;10;20;30;40;50;100;200;220;300;1000-1001

vlan 4094

Interface Ethernet1/0/23

 switchport mode trunk

 switchport trunk allowed vlan 10;20;30;40;50;100;200;220;4094

 switchport trunk native vlan 4094

!

Interface Ethernet1/0/24

 switchport mode hybrid

 switchport hybrid allowed vlan 10;20;30;40;50;100;220 tag

 switchport hybrid allowed vlan 200 untag

 switchport hybrid native vlan 200

SW2:

vlan 1;10;20;30;40;50;100;200;1001-1002

vlan 4000-4001;4094

Interface Ethernet1/0/23

 switchport mode trunk

 switchport trunk allowed vlan 10;20;30;40;50;100;200;220;4094

 switchport trunk native vlan 4094

Interface Ethernet1/0/24

 switchport mode hybrid

 switchport hybrid allowed vlan 10;20;30;40;50;100;220 tag

 switchport hybrid allowed vlan 200 untag

 switchport hybrid native vlan 200

1. 当财务业务VLAN物理端口接收到的流量大于端口缓存所能容纳的大小时，端口将通知向其发送流量的设备减慢发送速度，以防止丢包；当法务业务VLAN物理端口收包BUM报文速率超过2000packets/s则关闭端口，10分钟后恢复端口(9分)。-----减慢速率叫做流量控制

       ------BUM=broadcast  unicast(未知单播帧) multicast（组播帧）

       当交换机收到BUM中任何一个数据帧都会被泛洪，除了进接口

根据下述信息及表，在交换机上完成VLAN配置和端口分配。

解法：

SW3:

vlan 1;100;220

vlan 10

 name XS

vlan 20

 name CP

vlan 30

 name FW

vlan 40   

 name cW

vlan 50

 name XXJS

vlan 200

 name GL

Interface Ethernet1/0/6

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 10

 am port

 am ip-pool 10.30.10.1 14     

Interface Ethernet1/0/7

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 20

Interface Ethernet1/0/8

 rate-violation all 2000--超过接口2000 pps（per packet second）

 rate-violation control shutdown recovery 600----如果后续没有出现违规，600s(10分钟端口自动恢复正常，如果后续有违规就停留shutdown状态)

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 30

Interface Ethernet1/0/9

 flow control 开启接口流量控制

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 40

Interface Ethernet1/0/10

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 50

Interface Ethernet1/0/11

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 50

!

Interface Ethernet1/0/12

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 50

!

Interface Ethernet1/0/13

 spanning-tree portfast bpduguard recovery 300

 switchport access vlan 200

• 、在集团核心交换机SW-1和SW-2、接入交换机SW-3间运行一种协议，具体要求如下(27分)：

1. 实现销售、产品、信息技术业务优先通过SW-1至SW-3间链路转发(实例10)，法务、财务、AP&交换机管理等业务优先通过SW-2至SW-3间链路转发(实例20)，从而实现VLAN流量的负载分担与相互备份(12分)；

-----stp  所有vlan一个根

----mstp 一个实例一个根，多个实例多个根，一个实例可以包含多个vlan，从而实现流量分担

SW3：

spanning-tree mst configuration

 instance 0 vlan 1-9;11-19;21-29;31-39;41-49;51-199;201-4094

----默认所有vlan都在实例0

 instance 1 vlan 10;20;50

 instance 2 vlan 30;40;200

spanning-tree 启用生成树

spanning-tree mst 1 priority 8192（可选，默认32768）

spanning-tree mst 2 priority 8192（可选，默认32768）

SW1:

spanning-tree mst configuration

 instance 0 vlan 1-9;11-19;21-29;31-39;41-49;51-199;201-4094

 instance 1 vlan 10;20;50

 instance 2 vlan 30;40;200

spanning-tree

spanning-tree mst 1 priority 4096(应该设置为0更合适)

spanning-tree mst 2 priority 8192（应该设置为4096更合适）

SW2:

spanning-tree mst configuration

 instance 0 vlan 1-9;11-19;21-29;31-39;41-49;51-199;201-4094

 instance 1 vlan 10;20;50

 instance 2 vlan 30;40;200

 exit

spanning-tree

 spanning-tree mst 1 priority 8192(应该设置为4096更合适)

 spanning-tree mst 2 priority 4096（应该设置为0更合适）

1. 设置路径开销值的取值范围为1-65535，BPDU支持在域中传输的最大跳数为7跳；同时不希望每次拓扑改变都清除设备MAC/ARP表，全局限制拓扑改变进行刷新的次数(12分)；

SW1/SW2/SW3:

 spanning-tree max-hop 7

 spanning-tree tcflush protect

spanning-tree cost-format dot1d

1. 加速接入交换机所有业务端口收敛，当接口收到BPDU丢弃报文并关闭端口，如果5分钟内没有收到BPDU报文，则恢复该端口(3分)。

运行生成树的交换机都会产生自己的BPDU和转发其他交换机的BPDU，BDPU(bridge protocol data unit 桥协议数据单元)

Bpduguard：一旦收到BPDU之后，端口立即shutdown

Bpdufilter：一旦收到BPDU之后，交换机会忽略BPDU报文，也就是丢弃

Root guard：允许收到BPDU，但是不能比自己更优的优先级，否者端口会进入到root-inconsistent ，相当是shutdown

Portfast：端口无需经历listening--learning---forwarding状态，立即转发，省了30s

Interface Ethernet1/0/6

 spanning-tree portfast bpduguard recovery 300---上面都已经做过了   

Interface Ethernet1/0/7

 spanning-tree portfast bpduguard recovery 300

Interface Ethernet1/0/8

 spanning-tree portfast bpduguard recovery 300

Interface Ethernet1/0/9

 spanning-tree portfast bpduguard recovery 300

Interface Ethernet1/0/10

 spanning-tree portfast bpduguard recovery 300

Interface Ethernet1/0/11

 spanning-tree portfast bpduguard recovery 300

Interface Ethernet1/0/12

 spanning-tree portfast bpduguard recovery 300

Interface Ethernet1/0/13

 spanning-tree portfast bpduguard recovery 300

• 、在集团核心交换机SW-1和SW-2运行一种容错协议，为所有业务VLAN实现网关冗余，具体要求如下(26分)：

1. 虚地址使用该VLAN中的最后一个可用IP、SW-1使用该VLAN中的倒数第三可用IP、SW-2使用该VLAN中的倒数第二可用IP，SW-1为销售、产品、信息技术业务的Master，SW-2为法务、财务、AP&交换机管理等业务的Master，且互为备份；每隔3s，VRRP备份组中的Master发送VRRP报文来向组内的三层交换机通知自己工作状态(18分)；

Vrrp:virtual router redundancy protocol 虚拟路由器冗余协议

Vrrp是用于做网关冗余的协议

SW1:

router vrrp 10

 virtual-ip 10.30.10.254

 interface Vlan10

 circuit-failover Vlan1001 10----监控vlan1001，并且优先级降10

preempt-mode true 抢占模式开启，默认已经开了

 priority 109------默认是100

 advertisement-interval 3

 enable

!

router vrrp 20

 virtual-ip 10.30.20.254

 interface Vlan20

 circuit-failover Vlan1001 10

 priority 150

 advertisement-interval 3

 enable

!

router vrrp 30

 virtual-ip 10.30.30.254

 interface Vlan30

 circuit-failover Vlan1001 10

 advertisement-interval 3

!

router vrrp 40

 virtual-ip 10.30.40.254

 interface Vlan40

 circuit-failover Vlan1001 10

 advertisement-interval 3

!

router vrrp 50

 virtual-ip 10.30.50.254

 interface Vlan50

 circuit-failover Vlan1001 10

 priority 150

 advertisement-interval 3

 enable

!

router vrrp 200

 virtual-ip 10.30.200.254

 interface Vlan200

 circuit-failover Vlan1001 10

 advertisement-interval 3

sw2:

router vrrp 10

 virtual-ip 10.30.10.254

 interface Vlan10

 circuit-failover Vlan1001 10

 advertisement-interval 3

!

router vrrp 20

 virtual-ip 10.30.20.254

 interface Vlan20

 circuit-failover Vlan1001 10

 advertisement-interval 3

!

router vrrp 30

 virtual-ip 10.30.30.254

 interface Vlan30

 circuit-failover Vlan1001 10

 priority 150

 advertisement-interval 3

 enable

!

router vrrp 40

 virtual-ip 10.30.40.254

 interface Vlan40

 circuit-failover Vlan1001 10

 priority 150

 advertisement-interval 3

 enable

!

router vrrp 50

 virtual-ip 10.30.50.254

 interface Vlan50

 circuit-failover Vlan1001 10

 advertisement-interval 3

!

router vrrp 200

 virtual-ip 10.30.200.254

 interface Vlan200

 circuit-failover Vlan1001 10

 priority 150

 advertisement-interval 3

 enable

1. 监视上行链路状态，当上行链路故障时，Slave设备能够接管Master设备转发数据；而当链路故障恢复后，原Master设备接管Slave设备转发数据(8分)。

 优先级是越大越优先，默认文档没写，标准厂商都是100

• 、因集团销售人员较多、同时也为了节约成本，在集团接入交换机下挂两个8口HUB交换机实现销售业务接入，集团信息技术部已经为销售业务VLAN分配IP主机位为1-14，在集团接入交换机使用相关特性实现只允许上述IP数据包进行转发，对IP不在上述范围内的用户发来的数据包，交换机不能转发，直接丢弃, 要求禁止采用访问控制列表实现(9分)。

am enable 全局启用

Interface Ethernet1/0/6

 am port

 am ip-pool 10.30.10.1 14

• 、集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层，当发现单向链路后，要求自动地关闭互连端口；发送握手报文时间间隔为5s, 以便对链路连接错误做出更快的响应，如果某端口被关闭，经过30分钟，该端口自动重启(15分)。

Sw3:

uldp enable----全局启用ULDP(单向链路发现协议)

uldp recovery-time 1800

uldp hello-interval 5

Interface Ethernet1/0/27

 switchport mode hybrid

 switchport hybrid allowed vlan 10;20;30;40;50;100;220 tag

 switchport hybrid allowed vlan 200 untag

 switchport hybrid native vlan 200

 uldp enable----接口启用：

Interface Ethernet1/0/28

 switchport mode hybrid

 switchport hybrid allowed vlan 10;20;30;40;50;100;220 tag

 switchport hybrid allowed vlan 200 untag

 switchport hybrid native vlan 200

 uldp enable

SW1/SW2:

uldp enable

uldp recovery-time 1800

uldp hello-interval 5

Interface Ethernet1/0/23

 switchport mode trunk

 switchport trunk allowed vlan 10;20;30;40;50;100;200;220;4094

 switchport trunk native vlan 4094

 uldp enable

!

Interface Ethernet1/0/24

 switchport mode hybrid

 switchport hybrid allowed vlan 10;20;30;40;50;100;220 tag

 switchport hybrid allowed vlan 200 untag

 switchport hybrid native vlan 200

 uldp enable

Vlan  1001

Interface Ethernet1/0/21

 switchport access vlan 1001---这个你要看地址规划

 uldp enable-------题目没要求，应该是不需要做

!

Interface Ethernet1/0/22

 uldp enable-------题目没要求，应该是不需要做

• 、SW-2既作为集团核心交换机，同时又使用相关技术将SW-2模拟为Internet交换机，实现集团内部业务路由表与Internet路由表隔离，Internet路由表位于VPN实例名称Internet内(20分)。

Vrf vpn routing forwarding instance vpn路由转发实例，是虚拟化中的一虚多中的一种，用于把一台设备虚拟出多台设备

ip vrf va(名字应该为Internet)

interface Vlan4000

 ip vrf forwarding va(名字应该为Internet)

interface Vlan4001

 ip vrf forwarding va(名字应该为Internet)

• 、集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计，分别连接在两台核心交换机E1/0/10-E1/0/11接口测试，VLAN300作为远程端口镜像VLAN，Ethernet1/0/12作为反射端口，将核心交换机与接入交换机、路由器互连流量提供给多个厂商网流分析平台(18分)。

SPAN 本地交换端口分析

RSPAN远程交换端口分析

SW1/SW2:

Vlan 300

Interface Ethernet1/0/10

 switchport access vlan 300

Interface Ethernet1/0/11

 switchport access vlan 300

Interface Ethernet1/0/12

 switchport access vlan 300

monitor session 1 source interface Ethernet1/0/21;1/0/24 tx

monitor session 1 source interface Ethernet1/0/21;1/0/24 rx

monitor session 1 reflector-port interface Ethernet1/0/12

monitor session 1 remote vlan 300

三、路由配置与调试（本部分168分）

• 、尽可能加大集团路由器与分公司路由器之间专线链路带宽，配置Mutlilink PPP捆绑(10分)；
• 、规划集团与分公司、成都办事处之间使用OSPF协议进行互连互通，进程号为1，具体要求如下(58分)：

1. 集团路由器与集团核心交换机之间、集团核心交换机与集团核心交换机之间、集团路由器与分公司路由器之间均属于骨干区域，集团业务网段属于Area1，分公司业务网段属于Area2；集团路由器与成都办事处防火墙之间、成都办事处防火墙与分公司路由器之间、成都办事处业务网段属于Area3(20分)；
2. 针对骨干区域启用区域MD5验证，验证密钥为：DCN2019，调整接口的网络类型加快邻居关系收敛(8分)；
3. 要求集团业务网段Area、分公司业务网段Area禁止学习LSA3、LSA4、LSA5、LSA7类路由，要求集团业务网段、AP&交换机管理网段中不发送协议报文(24分)；
4. 集团路由器将访问郑州办事处业务网段的静态路由引入OSPF，要求分公司禁止学习到郑州办事处业务网段路由(6分)。

• 、实现集团销售&产品&信息技术&无线业务、分公司业务网段、成都办事处业务网段统一通过集团路由器访问Internet，轮询使用NAT地址为：202.99.192.4/30(标准IP访问列表和地址池名称都命名为1)，针对上述源地址，限制单个IP地址能建立NAT翻译表项的最大数目为100；配置一对一地址转换，实现通过Internet任意位置访问202.99.192.8/32都可以访问至集团OA平台10.XX.10.1/32（XX与“主要网络环境”地址中相应网段一致）进行数据查询；郑州办事处业务网段通过郑州办事处防火墙访问Internet，NAT地址池为接口公网IP(36分)。
• 、集团路由器与郑州办事处防火墙之间使用与Internet的接口互联地址建立GRE隧道，再使用IPSEC技术对GRE隧道进行保护，使用IKE协商IPSec安全联盟、交换IPSec密钥，两端加密访问列表名称都为ipsecacl，这样有了IPSec，郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时，就不用担心被监视、篡改和伪造，可以安全上传郑州办事处相关销售业务数据(30分)。
• 、为了合理分配集团业务流向，保证来回路径一致，业务选路具体要求如下(34分)：

1. 集团核心交换机与集团无线控制器DCWS之间采用静态路由协议，使用OSPF相关特性实现集团无线业务与Internet互访流量优先通过DCWS_SW-1_RT1间链路转发，DCWS_SW-2_RT1间链路作为备用链路(10分)；
2. 实现销售、产品、信息技术业务分别与Internet、分公司、办事处互访流量优先通过SW-1_RT1间链路转发，法务、财务、AP&交换机管理等业务分别与分公司、办事处互访流量优先通过SW-2_RT1间链路转发，从而实现流量的负载分担与相互备份(24分)。

四、无线配置（本部分44分）

• 、集团无线控制器DCWS与核心交换机互联，无线业务网关位于DCWS上，VLAN220为业务VLAN；核心交换机SW-2配置使用DHCP进行AP管理地址分配，利用DHCP方式让AP发现AC进行三层注册，采用MAC地址认证(20分)。
• 、配置一个SSID DCNXX：DCNXX中的XX为赛位号，访问集团及Internet业务，采用WPA-PSK认证方式，加密方式为WPA个人版，配置密钥为Dcn12345678(6分)。
• 、配置所有Radio接口：AP在收到错误帧时，将不再发送ACK帧；打开AP组播广播突发限制功能；开启Radio的自动信道调整，每天上午10:00触发信道调整功能(18分)。

五、安全策略配置（本部分50分）

• 、根据题目要求配置成都办事处防火墙、郑州办事处防火墙相应的业务安全域、业务接口；限制成都办事处业务网段只可以与集团销售、产品、财务业务网段http&https业务和Internet业务互访；郑州办事处业务网段通过VPN隧道只可以访问集团销售业务网段http&https业务,通过公网接口可以访问Internet业务；集团所有业务网段均可以与成都办事处业务网段、郑州办事处业务网段双向互ping，方便网络连通性测试与排障(26分)。
• 、集团计划在成都办事处进行https认证试点，对成都办事处业务网段上网的用户进行控制，认证服务器为本地防火墙，只有在认证页面输入用户名和密码分别为 dcn01或者dcn02才可以访问外部网络，强制用户在线时常超过1天后必须重新登录(12分)。
• 、郑州办事处只有100M Internet出口，在郑州办事处防火墙上限制该业务网段每个IP上下行最大4Mbps带宽，限制http流量最大上下行带宽为10Mbps，从而实现流量精细化控制，保障办事处其它关键应用和服务的带宽(12分)。

六、IPV6配置（本部分56分）

集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版（IPv6）规模部署行动计划》，加快推进基于互联网协议第六版（IPv6）基础网络设施规模部署和应用系统升级，现准备先在集团公司开始IPv6测试，要求如下：

• 、在集团核心交换机SW-1配置IPv6地址，使用相关特性实现销售业务的IPv6终端可自动从网关处获得IPv6有状态地址(16分)。
• 、在集团核心交换机SW-2配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保产品业务的IPv6终端可以获得IPv6无状态地址(12分)。
• 、在集团两台核心交换机之间通过互联ipv4链路使用相关特性，实现销售业务的IPv6终端与产品业务的IPv6终端可以互访(28分)。

集团测试IPv6业务地址规划如下，其它IPv6地址自行规划：

举例：“主要网络环境”中销售业务IPv4地址为：10.30.10.0/24，对应IPv6地址为：2001:30:10::254/64。

服务器配置及应用项目

（480分）

【竞赛技术平台说明】

1.云服务实训平台相关说明：

（1）云服务实训平台管理IP地址默认为192.168.100.100，访问地址http://192.168.100.100/dashboard默认账号密码为admin/dcncloud，ssh默认账号密码为root/dcncloud，考生禁止修改云服务实训平台账号密码及管理ip地址，否则服务器配置及应用项目部分计0分；

（2） 云服务实训平台中提供镜像环境，镜像的默认用户名密码以及镜像信息，参考《云服务实训平台用户操作手册v1.2》；

（3） 所有windows主机实例在创建之后都直接可以通过远程桌面连接操作，centos主机实例可以通过CRT软件连接进行操作，所有linux主机都默认开启了ssh功能，Linux系统软件镜像位于”/opt”目录下；

（4）要求在云服务实训平台中保留竞赛生成的所有虚拟主机。

2.云服务实训平台和服务器PC1和PC2相关服务说明：

（1）题目中所有未指明的密码均为“参见表6.云主机和服务器密码表”，若未按照要求设置密码，涉及到该操作的所有分值记为0分；

（2）虚拟主机的IP属性设置请按照“拓扑结构图”以及“表3.服务器IP地址分配表”的要求设定；

（3）除非作特殊说明，在PC1和PC2上需要安装相同操作系统版本的虚拟机时，可采用VMwareWorkstation软件自带的克隆系统功能实现。

（4）PC1和PC2上所有系统镜像文件及赛题所需的其它软件均存放在每台主机的D:\soft文件夹中；

（5）PC1和PC2要求的虚拟机均安装于每台在D盘根目录下自建的名为virtualPC文件夹中，即路径为D:\virtualPC\虚拟主机名称。

（6）请在PC2 桌面上，选手自己建立BACKUP_X（X 为赛位号）文件夹，并将PC2上D盘soft文件夹中的《云实训平台安装与应用报告单》、《Windows操作系统-云平台部分竞赛报告单》和《Linux操作系统竞赛报告单》复制到PC2桌面的“BACKUP_X”（X为赛位号）文件夹中、将PC1上D盘soft文件夹中的《Windows操作系统-虚拟机部分竞赛报告单》 复制到PC1桌面上选手自建的“BACKUP_X”（X为赛位号）文件夹中，并按照截图注意事项的要求填写完整；如报告单、截图等存放位置错误，涉及到的所有操作分值记为0分；

（7）所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会扣除该服务功能一定分数。

云实训平台安装与运用（150分）

一、在云实训平台上完成如下操作（150分）

（一）云平台基础设置（50分）

1.按照“表 4：云平台网络信息表”要求创建三个外部网络，这些外部网络所使用的 VLAN均为总部业务VLAN，详细操作过程请参照“云服务实训平台用户操作手册”（30分）；  

2.创建5 块云硬盘，卷命名为hd1-hd5，其中hd1-hd3 大小为10G，h4-h5大小自定（20分）；

注意：必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘；不能使用“管理员”，“系统”栏下的“卷”功能，该功能使用不当会造成云硬盘创建失败，界面卡死。

在云平台中可以创建多个云硬盘，所有云硬盘容量的总大小不能超过 100G，否则将创建失败。一个实例可以同时连接多个云硬盘，但一个云硬盘同时只能给一个实例作为扩展硬盘使用。

在分离卷之前一定要保证使用该卷的linux 主机中，已经不存在该卷的任何挂载点。如果使用该卷的主机是windows 实例，必须保证该卷在主机的“磁盘管理”项目中处于脱机状态，否则会造成分离失败，或是一直显示“分离中”状态。

（二）创建虚拟主机（100分）

1.按照“表 5：虚拟主机信息表”所示，按要求生成虚拟主机，详细操作过程请参照“云服务实训平台用户操作手册”（80分）；

2.云平台中所有虚拟机的IP地址，要求手动设置为该虚拟机 DHCP 获取的地址（20分）；

Windows操作系统（165分）

一、在云实训平台上完成如下操作（125分）

（一）完成虚拟主机加入域（12分）

1.将按照“表5：虚拟主机信息表”生成的虚拟主机加入到netskills.net域环境（12分）；

（二）在云主机1中完成域控制器及DNS服务器的部署（34分）

1.将云主机1的服务器配置成域控制器，域名为netskills.net，设置域和林的功能级别为Windows Server 2012（7分）；

2.将此服务器配置为主DNS服务器，要求正确配置netskills.net域名的正向及反向解析区域，创建对应服务器主机记录，正确解析netskills.net域中的所有服务器（12分）；

3.创建3个组织单位、采用对应部门名称的中文全拼命名，每个部门创建2个用户，行政部用户：adm1~ adm2、营销部用户：sale1~sale2、技术部用户：sys1~sys2，所有用户不能修改其用户口令，并要求用户只能在上班时间可以登录（每周一至周五9:00~18:00）（9分）；

4.配置域中技术部的所有员工必须启用密码复杂度要求、密码长度最小为10 位、密码最长存留34 天、允许失败登录尝试的次数为4次、重置失败登录尝试计数（分钟）为5分钟、直至管理员手动解锁帐户（2分）；

5.配置相关策略，防止用户随意退出域，实现所有行政部的用户登录域后自动去除“计算机”的上下文菜单中的“属性”（2分）；

6.配置相关策略，实现所有营销部的计算机开机后自动弹出“温馨提示”的对话框，显示的内容为“请注意销售数据的安全！”（2分）；

（三）在云主机1中完成CA服务器的部署（5分）

1.将云主机1的服务器配置成CA服务器，安装证书服务，设置为企业根，颁发机构有效期为7years，通过相应配置使从属证书颁发机构颁发的证书有效期为4年（5分）；

（四）在云主机2中完成从属证书及网络打印服务的部署（15分）

1.将云主机2的服务器升级成netskills.net域的的辅助域控制器（5分）；

2.将云主机2的服务器设置为证书颁发机构，安装证书服务，设置为企业从属CA，负责整个netskills.net域的证书发放工作，颁发的证书有效期年份为4years（5分）；

3.将云主机2的服务器配置成打印服务器（5分）：

（1）添加一台虚拟打印机，名称为“HB-Print”（1分）；

（2）将“HB-Print”发布到AD域（2分）；

（3）客户端访问网络打印服务器，能够通过访问“https://print.netskills.net”查看打印机，证书由本机进行签署颁发（2分）；

（五）在云主机3中完成DHCP及WDS服务的部署（10分）

1.安装DHCP服务，为服务器网段部分主机动态分配IPv4地址，建立作用域，作用域的名称为dhcpserv，地址池为210-215，仅允许“服务器2”的服务器获取DHCP服务器的最后一个地址（5分）；

2.安装WDS服务，目的是通过网络引导的方式来安装Windows server 2012 R2操作系统，运用适当技术手段，让此WDS的客户端，只获取到对应WDS服务器端DHCP下发的IP地址（5分）；

（六）在云主机3中完成磁盘管理及文件服务器的部署（10分）

1.添加三块SCSI虚拟硬盘，其每块硬盘的大小为10G；并创建RAID5卷，盘符为E盘（4分）；

2.在E盘上新建文件夹FilesWeb，并将其设置为共享文件夹，共享名为FilesWeb，开放共享文件夹的读取、更改权限给everyone用户（3分）；

3.在FilesWeb文件夹内建立三个子文件夹（3分）：

（1）子文件夹为“FilesConfigs”，用来存储共享设置（1分）；

（2）子文件夹为“FilesConts”，用来存储共享网页（1分）；

（3）子文件夹为“WWWLogFile”，用来存储日志文件（1分）；

（七）在云主机4中完成WEB服务器1的部署（15分）

1.添加一块网卡，第一块网卡为提供负载均衡网卡，完成网络负载均衡操作；第二块网卡为心跳线网卡（2分）；

2.安装IIS组件，创建www.netskills.net站点（5分）：

(1)将该站点主目录指定到\\WDF\FilesWeb\FilesConts共享文件夹（2分）；

(2)将PC1中“D:\Soft\IIS”目录下的主页文件拷贝到文件服务器中的共享文件夹\\WDF \FilesWeb\FilesConts内（1分）；

(3)启动www.netskills.net站点的共享配置功能，通过输入物理路径、用户名、密码、确认密码和加密秘钥，将该站点的设置导出、存储到\\WDF\FilesWeb\FilesConfigs内（2分）；

3.设置网站的最大连接数为1000，网站连接超时为60s，网站的带宽为1000KB/S（2分）；

4.使用W3C记录日志，每天创建一个新的日志文件，日志文件存储到“\\WDF\FilesWeb\WWWLogFile”目录中，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号（2分）；

5.创建证书申请时，证书必需信息为（4分）：

（1）通用名称=“www.netskills.net”；

（2）组织=“netskills”；

（3）组织单位=“sales”；

（4）城市/地点 =“Shenzhen”；

（5）省/市/自治区=“Shenzhen”；

（6）国家/地区=“CN”；

（八）在云主机4中完成NLB群集服务器的部署（6分）

1.安装NLB负载平衡服务，其群集IPv4地址为10.30.30.150/24，新建群集优先级为6，群集名称为www.netskills.net，采用多播方式（4分）；

2.在访问www.netskills.net站点时，要求只允许使用域名通过SSL加密访问（2分）；

（九）在云主机5中完成WEB服务器2的部署（10分）

1.添加一块网卡，第一块网卡为提供负载均衡网卡，完成网络负载均衡操作；第二块网卡为心跳线网卡（2分）；

2.安装IIS组件，实现www.netskills.net站点的共享配置，启动www.netskills.net站点的共享配置功能，通过输入物理路径、用户名、密码、确认密码和加密密钥密码，使得让该站点可以使用位于\\WDF\FilesWeb\FilesConfigs内的共享配置（5分）；

3.证书采用证书导入的方式，将云主机4为www.netskills.net站点申请的证书进行导入，并保证能在本服务器上正常使用（3分）；

（十）在云主机5中完成NLB群集服务器的部署（6分）

1.安装NLB负载平衡服务，添加到“云主机4”新建的群集中，优先级为11，采用多播方式（4分）；

2.在访问www.netskills.net站点时，要求只允许使用域名通过SSL加密访问（2分）；

（十一）在云主机6中完成相关功能（2分）

1.配置“连接安全规则”，保证和“服务器2”之间的通信安全，要求入站和出站都要求身份验证，完整性算法采用SHA-256，加密算法采用AES-CBC 192，预共享的密钥为skills2019（2分）；

二、在PC1上完成如下操作（40分）

（一）完成虚拟主机的创建（22分）

1.安装虚拟机“服务器1”, 其内存为1.5G，硬盘50G（10分）；

2.安装虚拟机“服务器2”, 其内存为2G，硬盘60G，通过“云主机3”的WDS服务进行网络引导和安装，安装完成后停止“云主机3”中DHCP中服务器网段的作用域（12分）；

（二）在主机“服务器1”中完域控制器及域信任的部署（11分）

1.将“服务器1”服务器升级为域服务器，域名为netjnds.com（5分）;

2.通过使用单向信任关系，实现netskills.net域的员工（不包括域管理员账户）可以访问netjnds.com域的共享资源，反之不可以（6分）；

（三）在主机“服务器2”中完成子域控制器的部署（7分）

1. 将“服务器2”的服务器，升级为子域hm.netskills.net（5分）；

2.配置“连接安全规则”，保证和“云主机6”之间的通信安全，要求入站和出站都要求身份验证，完整性算法采用SHA-256，加密算法采用AES-CBC 192，预共享的密钥为skills2019（2分）；

Linux操作系统部分（165分）

一、在云实训平台上完成如下操作（95分）

（一）在云主机7中完成域名服务器及证书服务器的部署（20分）

1.在此服务器中安装配置DNS服务，负责区域“xmskills.net”内主机解析，七台主机分别为dns.xmskills.net、mail.xmskills.net 、www1.xmskills.net、www2.xmskills.net、ssm.xmskills.net 、www3. xmskills.net 、www.xmskills.net，做好正反向DNS服务解析（14分）；

2.将此服务器配置成CA证书服务器（CA认证中心），负责HAProxy、Mail服务器和Squid服务器的证书发放工作，HAProxy、Mail和Squid服务器的证书通用名称均为msh.xmskills.net（6分）；

（1）CA证书路径为/etc/pki/CA/cacert.pem；

（2）签发数字证书，颁发者主要信息如下：

①Country Name=CN；

②State or Province Name =Shenzhen；

③Organization Name=DCN；

④Organizational Unit Name= xmskills；

⑤Common Name=xmskills.net；

（二）在云主机8中完成Apache服务器的部署（5分）

1.在此服务器中安装Apache服务，建立虚拟主机站点www1.xmskills.net（5分）：

（1）配置网站主目录为/www/netdj，将D:\Soft\Apache中的主页存放该主目录中（3分）；

（2）配置访问日志路径和名称为/var/log/httpd/www1.xmskills.net-access_log，日志记录格式为普通型（2分）；

（三）在云主机8中完成E-MAIL服务器的部署（15分）

1.在此服务器上安装配置Postfix邮件服务，具体要求为（15分）：

（1）创建二个邮箱用户mail1和mail2，用户密码为321，不允许本地登录（4分）；

（2）邮件服务器的域名后缀为xmskills.net（3分）；

（3）邮件服务器要在所有IP地址上进行侦听（3分）；

（4）设置邮件服务器仅支持smtps和pop3s协议连接（5分）；

（四）在云主机9中完成Apache服务器的部署（5分）

1.在此服务器中安装Apache服务，建立虚拟主机站点www2.xmskills.net：

（1）配置网站主目录为/www/netdj，将D:\Soft\Apache中的主页存放该主目录中（3分）；

（2）配置访问日志路径和名称为/var/log/httpd/www2.xmskills.net-access_log，日志记录格式为复合型（2分）；

（五）在云主机9中完成数据库服务器的部署（15分）

1.将此服务器配置为数据库服务器，创建数据库为School，在库中创建表为Score，在表中创建2个用户，分别为（1，suser1，1999-6-1，female），（2，suser2，2000-9-1，male），口令与用户名相同，表结构如下（12分）；

2.开启数据库的查询日志，路径为/var/log/mariadb/mariadb.log（3分）;

（六）在云主机10中完成JSP+Tomcat运行环境的部署（15分）

1.安装jdk和jre（软件包在D:\Soft下），安装完成后，配置JAVA环境变量（5分）；

2.安装tomcat（软件包在D:\Soft下）服务并启动，保证用户可使用浏览器浏览tomcat默认主页（5分）；

3.将D:\soft\jndsjs中全部微网站应用程序，复制到tomcat的相关目录下，通过适当配置，让用户可以通过https的访问方式，正确显示指定的网页内容（5分）；

（七）在云主机10中使用系统存储管理器完成磁盘管理的部署（20分）

1.添加两块20G的物理磁盘，分别为vdb和vdc，分区的大小和多少个分区，根据后面任务的需求自己确定（4分）；

2.使用物理磁盘vdb来扩展存储池centos的容量，增加容量大小为18G（4分）；

3.将系统设备卷/dev/centos/root增加15G的容量，来达到扩展系统根分区容量的目的（4分）；

4.用物理磁盘vdc创建一个名为vg1的存储池，并在该存储池上创建一个名为lv1的LVM卷，该卷的大小为500M，使用xfs文件系统格式化卷，并将它挂载到/soft目录下（4分）；

5.发现lv1逻辑卷500M的容量不够，现需要将其再扩容10G（4分）；

二、在PC2上完成如下操作（70分）

（一）完成虚拟主机的创建（35分）

1.安装虚拟机“服务器3”,要求为内存1G，硬盘30GB，引导分区和根分区的文件系统采用btrfs格式（15分）；

2.安装虚拟机“服务器4”,要求为内存1G，硬盘35GB（10分）；

3.安装虚拟机“服务器5”,要求为内存1G，硬盘25GB（10分）；

（二）在主机“服务器3”中完成Apache服务自签名证书的部署（5分）

1.安装和配置Apache服务，其网站主目录为/skills/www，主页内容为“This is a reverse proxy！”，通过自签名证书完成该网站的SSL访问（5分）；

（三）在主机“服务器3”中完成磁盘管理的部署（5分）

1.添加四个10G磁盘，使用btrfs将四个磁盘创建一个RAID6，并将它挂载到/share/raid6目录下（3分）；

2.使用btrfs快照功能，对/share/raid6创建快照，快照名称为“kuaizhao”（2分）；

（四）在主机“服务器3”中完成firewall服务器的部署（5分）

1.配置系统防火墙firewall，关闭除提供系统服务（22、80、443、25、110、53）以外的端口（5分）；

（五）在主机“服务器4”中完成反向代理服务器的部署（10分）

“服务器3”为内网中的一台WEB服务器，现想让此WEB服务器作为公司的一台外网WEB服务器提供门户网站的作用，请您添加一块网卡连接内网的WEB服务器，通过“服务器4”的反向代理功能将其实现。

1.安装squid代理服务器，允许所有人访问，外网监听端口为443（2分）；

2.设置squid代理服务器采用ufs缓存机制，缓存目录设置为/cache,目录容量为5GB，L1及L2级目录数量分别为16及256，定义高速缓存值为512MB（2分）；

3.指定目标服务器地址为“服务器3”的IP地址，后端端口为443，别名为nets，允许最大连接数为35、权值为5（3分）；

4.当用户请求https://xmskills.net或https://www3.xmskills.net时，转发到别名为nets的真实服务器上（3分）；

（六）在主机“服务器5”中完成HAProxy服务器的部署（10分）

1.在此服务器上安装HAProxy服务，配置HAProxy使用frontend、backend实现https代理，开启日志功能（2分）；

2.配置HAProxy的frontend的名称为https_hap、监听端口为80和443、模式为http、默认后端为server_http（2分）；

3.配置HAProxy的backend的名称为server_http、模式为http、负载均衡算法为roundrobin、后端server为www1和www2、权重值为3、引入健康检查、连续6次检测结果失败标记为服务器不可用（4分）；

4.配置客户端在使用http访问时自动跳转到https（2分）；

职业规范与素养

（本部分20分）

整理赛位，工具、设备归位，保持赛后整洁有序；

无因选手原因导致设备损坏。