【网络建设与运维】2024年河北省职业院校技能大赛中职组“网络建设与运维”赛项例题（三）_域中主机自动申请“ipsec”模板证书。自动注册“工 作站身份验证”模板证书,该模

机与防火墙FW1、路由器RT1互连流量提供给多个厂商网流分析平台。

配置使用远程交换Vlan为2023，SW1核心交换机端口20做流量反射。

1. 配置相关技术，避免SW-Core和SW3之间形成环路：产品和营销1段业务网段划分到1组，法务、人力和财务1段业务网段划分到2组；组

1优先选择SW3的E1/0/10作为转发业务主端口，选择SW3的E1/0/20作为转发业务副端口；组2优先选择SW3的E1/0/20作为转发业务主端口，选择SW3的E1/0/10作为转发业务副端口；均开启抢占模式，并使用

VLAN2000做为控制VLAN；网络设备开启MAC地址更新和ARP删除的 flush报文的发送、接收功能。

1. 避免SW1和SW2出现故障后，SW3无法感知上联设备的故障，造成数据流量的丢失。配置相关技术，根据上联设备故障情况自动切换数据传输线路。

(三)路由调试（本题共 125 分）

 

1. 配置所有设备主机名，名称见“网络拓扑”。启用所有设备的 ssh 服务，用户名和明文密码均为 admin；配置所有设备 ssh 连接超时为 9 分钟，console 连接不做登录超时限制。
2. 配置所有设备的时区为GMT+08:00。调整 SW1 时间为实际时间，SW1 配置为 ntp server，其他设备为ntp client，请求报文时间间隔 2 分钟，用SW1 Loopback1 IPv4 地址作为 ntp server 地址。
3. 配置接口 IPv4 地址和 IPv6 地址，互联接口 IPv6 地址用本地链路地址。
4. AC配置DHCPv4功能，分别为分公司无线Vlan130、Vlan140、Vlan150 分配地址。DHCPv4 地址池名称分别为V130、V140 、V150 ， 排除网关， DNS 为 202.99.160.68 和 114.114.114.144 。 AP 保留地址 10.10.130.9 （ DHCPv4 地址池名称为 AP）。RT2配置DHCPv4功能，为分公司产品3段自动分配IP地址，DNS 为202.99.160.68 和

114.114.114.144。

1. SW-Core、RT1 以太链路、RT2 以太链路、FW1之间运行OSPFv2 和 OSPFv3 协议（路由模式发布网络用网络地址）。

1. RT1和RT2之间OSPFv2 和OSPFv3 协议，process 1，area 0，分别发布 Loopback1 地址路由和产品路由。
2. SW2 与 RT1 之间运行 OSPFv2 和OSPFv3 协议，process 1， area 1，分别发布Loopback1 地址路由和产品路由。；
3. SW-Core和FW1 之间OSPFv2 和OSPFv3 协议，OSPFv2：process

1，area 2，OSPFv3：process 1，area 1，发布 Loopback1 地址

路由， FW1 在OSPFv2中通告默认路由。

1. 为增加IPv4网络数据传输中的安全性，需在骨干区域配置基于区域，非骨干区域配置基于端口的md5安全认证，认证密钥均

为abc@123456。

1. SW-Core与RT1以太链路G0/2、RT1 串行链路S1/0与RT2 串行链路S1/1、 RT2与FW2、FW1与FW2隧道、FW1与AC1之间运行 RIP协议；RT1 串行链路 S1/0与RT2 串行链路S1/1、RT2与FW2之间运行RIPng 协议；SW-Core与RT1

以太链路G0/2之间采用IPv6静态路由协议；IPv4与IPv6协议均发布人力、财务路由，并使得总部与分部的人力、财务互通。

1. FW2和RT2之间运行ISIS 协议，实现Loopback2 之间 IPv4 互通和

IPv6 互通。FW2和RT2 的 NET 分别为 10.0000.0000.0001.00 、

10.0000.0000.0002.00 、路由器类型是Level-2。

1. SW-Core、RT1、RT2之间运行BGP 协议，SW-Core、RT1的AS号为65001、

RT2的AS为号65002。SW-Core、RT1之间通过Loopback1 建立IPv4和IPv6

BGP邻居， RT1、RT2之间通过串行链路建立IPv4和IPv6 BGP邻居。SWCore、RT2分别只发布营销、法务等 IPv4 和 IPv6路由。

1. 利用BGP MPLS VPN 技术，RT1 与RT2 以太链路间运行多协议标签交换、标签分发协议。RT1 与RT2 间创建财务 VPN 实例，名称为

Finance， RT1 的RD 值为 1:1，export rt 值为 1:2，import rt 值为 2:1；RT2 的 RD 值为 2:2。通过两端 Loopback1 建立 VPN 邻居，分别实现两端Loopback3 IPv4 互通和IPv6 互通。

(四)无线部署（本题共 60 分）

 

1. AC使用 Loopback1 IPv4地址分别作为 AC1 的 IPv4管理地址。AP 三层自动注册，AP 采用密码认证，密码为Hbds123。配置 2 个ssid，分别

为HBDS-2.4G 和HBDS-5G。HBDS-2.4G 对应 Vlan140，用 Network 140 和 radio1（profile 1, mode n-only-g）,用户接入无线网络时需要采用基于 WPA-personal 加密方式，密码为 Key-1122，用第一个可用

VAP 发送 2.4G 信号，设定AP的使用功率为70%。HBDS-5G 对应 Vlan150，用Network 150 和radio2（profile 1, mode n-only-a），开启WAPI 认证，密码为dcn-12345678， HBDS-5G 用倒数第一个可用VAP 发送 5G

信号，设置每分钟跨信道扫描无线信号。

(五)安全维护（本题共 80 分）

 

说明：按照 IP 地址从小到大的顺序用“IP/mask”表示，IPv4 Any 地址用 0.0.0.0/0，IPv6 Any 地址用::/0，禁止使用地址条目。

1.FW1 配置IPv4 NAT，id 为 1，实现集团产品 1 段 IPv4 访问 Internet

IPv4，保证每一个源 ip 产生的所有会话将被映射到同一个固定的 IP 地址。FW2配置IPv4 NAT允许分公司人力和财务 IPv4 访问Internet 任

意服务。

2. FW1 配置 NAT64，id 为 2，实现集团产品 1 段 IPv6 访问 Internet IPv4，转换为出接口 IP，IPv4 转IPv6 地址前缀为 64:ff9b::/96。 3.FW1 和 FW2 策略默认动作为拒绝，并根据题意设置FW1和FW2的策略条目，dmz区域要求使用明细地址条目。

4. FW1 与FW1 之间用 Internet 互联地址建立IPSec VPN， 实现 Loopback4 之间的加密访问。防火墙的isakmp proposal 名称为 P1， isakmp peer 名称为 PEER，ipsec proposal 名称为P2，tunnel ipsec 名称为IPSEC，使用tunnel1 做隧道传输接口。

模块三：服务搭建与运维

 

（共计 500 分）

 

任务背景描述：

 

随着信息技术更迭，集团计划 2023 年把部分业务由原有的 X86 架构服务器上迁移到 ARM 架构服务器上，同时根据目前的部分业务需求进行了部分调整和优化。

(一)X86 架构计算机安装与管理（本题共 50 分）

1. PC1 系统为 ubuntu-desktop-amd64 系统，登录用户为 xiao，密码为Key-1122。在对系统配置之前请进行提权，设置根用户密码为

Key-1122。

1. 安装remmina，用该软件连接server1 上的虚拟机，并配置虚拟机上的相应服务。
2. 安装qemu、libvirt和virt-install。

(二)ARM64 架构计算机操作系统安装与管理（本题共 50 分）

 

1. 从 U 盘启动 PC2，安装 kylin-desktop-arm64（安装语言为英文），安装时创建用户为 xiao，密码为 Key-1122。在对系统配置之前请进行提权，设置根用户密码为Key-1122。
2. 安装配置minicom，用该软件连接网络设备。

 

(三)Windows 云服务配置（本题共 200 分） 

 

1.创建实例

网络信息表

 

实例类型信息表（提示：删除所有已有实例类型）

 

实例信息表

2.域服务

任务描述：请采用域环境，管理企业网络资源。

1. 配置windows1 为 hbds.cn 域控制器安装 dns 服务，dns 正反向区域在active directory 中存储，负责该域的正反向域名解析。配置 windows2 为 hbds.cn 辅助域控制器；安装dns 服务，dns 正反向区域在active directory 中存储，负责该域的正反向域名解析。把其他

windows 主机加入到 hbds.cn 域。所有 windows 主机（含域控制器）用hbds\Administrator 身份登陆。

1. 在 windows1 上安装证书服务，为 windows 主机颁发证书，证书颁发机构有效期为 20 年，证书颁发机构的公用名为 windows1.hbds.cn。

复制“计算机”证书模板，名称为“计算机副本”，申请并颁发一张供 windows 服务器使用的证书，证书友好名称为 pc，证书信息：证书有效期=10年，公用名=hbds.cn，国家=CN，省=XX，城市=XX，组织=hbds，组织单位=system，使用者可选名称=*.hbds.cn 和 hbds.cn。浏览器访问 https 网站时，不出现证书警告信息。

1. 在 windows2 上安装从属证书服务， 证书颁发机构的公用名为 windows2.hbds.cn。
2. 在windows1 上行政部、人事部、技术部3个组织单元，其名称分别为 ADMIN、HR、IT 的 3 个组织单元；每个组织单元内新建与组织单元同名的安全组：全局安全组ADMIN、本地安全组HR、本地安全组IT；在组内新建 30 个用户：行政部 ADMIN1-ADMIN30、人事部 HR1-HR30、技术部 IT1-IT30，设置用户密码与用户名相同，并将用户移动到各自对应的组织单元内，不能修改其口令，密码永不过期。ADMIN10 拥有域管理员权限。

3.组策略

任务描述：请采用组策略，实现软件、计算机和用户的策略设置。

1. 配置相关策略，实现所有域用户登录服务器时不自动显示服务器管理器。
2. 域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证” 模板证书，该模板可用作“服务器身份验证”，有效期10 年。
3. 允许ADMIN 组本地登录域控制器，允许 ADMIN10 用户远程登录到域控制器；拒绝HR组从网络访问域控制器。
4. 禁用软件 calc.exe，即使该软件不在 C:\Windows\System32\目录下或该软件更改名称，也不能使用。 

 

4.远程桌面

任务描述：请采用RDS，实现远程桌面web方式访问。

安装和配置 RDS 服务，用户可通过https://windows3.hbds.cn/rdweb访问windows3主机远程桌面， 远程桌面证书由从属证书服务器颁发，友好名称为 Y3-CRT。配置RDP会话集合，并保证能够在远程访问时可以看到

会话名称，只允许技术组用户使用此功能。配置负载平衡会话限制为200，

客户端可以使用服务器的驱动器、打印机，共享剪贴板。将所有用户配

置和数据存储到c:\RDP目录下，并设置用户仅获取 msedge程序应用权限。

5.NLB 服务

任务描述：请采用NLB，实现负载平衡。 配置windows4和 windows5为

NLB 服务器。

1. Windows4群集优先级为 4，windows5群集优先级为 5，群集 IPv4

地址为 10.10.20.103/24，群集名称为 www.hbds.cn。配置 windows4 为 web 服务器，站点名称为 www，网站的最大连接数为 20000，网站连接超时为 60s，网站的带宽为 200Mbps。

1. 在windows1 的C 分区划分5GB 的空间，创建 NTFS 主分区，驱动器号为 T；
2. 共享网页文件、共享网站配置文件和网站日志文件分别存储到 windows1 的 T:\WebShare\WWW 、 T:\WebShare\Configs 和

T:\WebShare\Logs。网站主页index.asp标题为“NLB负载平衡测试中…”，内容为“当前时间为：系统时间”，系统时间格式为 yyyy/mm/dd hh:mm:ss,且时间实时更新。

1. 使用W3C 记录日志，每小时创建一个新的日志文件，日志只允许记录日期、时间、客户端 IP 地址、用户名、客户端端口号。当使用http 协议访问网站时，自动跳转至https域名加密访问访问（使用“计算机副本”证书模板，友好名称为Y4-CRT）。
2. 配置 windows5 为 web 服务器，要求采用共享 windows4 配置的方式， 使用“计算机副本”证书，友好名称为Y5-CRT。
3. 通过windows3主机进行测试。客户端访问时，必需有 ssl 证书

（浏览器证书模板为“管理员”）。

6.创建Windows Server 2022虚拟机，虚拟机信息如下：

1. 安装windows6，系统为Windows Server 2022 Datacenter（Core 版），网络模式为桥接模式，网卡、硬盘、显示驱动均为virtio，安装网卡、硬盘、显示驱动，并加入到Windows AD中。关闭防火墙，安装并启动DNS服务。
2. 安装windows7，系统为Windows Server 2022 Datacenter（Core 版），网络模式为桥接模式，网卡、硬盘、显示驱动均为virtio，安装网卡、硬盘、显示驱动，并加入到Windows AD中。在windows7中添加3块 5GB的硬盘（硬盘驱动为virtio），初始化为GPT，配置为raid5，驱动器盘符为T，卷标为RAID5。关闭防火墙，安装启动DCHP服务，并将DHCP服务器在Windows AD中授权。

(四)Linux 云服务配置（本题共 200 分）

1．系统安装

1. PC1 浏览器连接server2，给server2 安装 rocky-arm64 CLI 系统

（语言为英文）。

1. 配置Server2 的IPv4 地址为 10.10.40.100/24。
2. 安装qemu、libvirt 和virt-install。
3. 创建rocky-arm64 虚拟机，虚拟机磁盘文件保存在根用户家目录，

名称为linuxN.qcow2(N 表示虚拟机编号 0-6，如虚拟机linux1 的磁盘文件为linux1.qcow2),虚拟机信息如下：

1. 安装linux0，系统为 rocky9 CLI，网络模式为桥接模式，用户

root密码为 Key-1122。

1. 关闭linux0，给linux0 创建快照，快照名称为linux-snapshot。根据linux0克隆虚拟机 linux1-linux6。

2.dns 服务

任务描述：创建DNS 服务器，实现企业域名访问。配置linux 主机的 IP

地址和主机名称。

1. 所有linux 主机启用防火墙，防火墙区域为public，在防火墙中放

行对应服务端口。

1. 所有linux 主机之间（包含本主机）root 用户实现密钥ssh 认证，禁用密码认证，登录时禁用连接提示，关闭TCPKeepAlive功能，客户端不活跃超时设置为30秒，Shell超过3分钟不响应则断开连接。
2. 利用chrony，配置linux1 为其他linux 主机提供NTP 服务。
3. 利用 bind，配置 linux1 为主 DNS 服务器，linux2 为备用 DNS

服务器，为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域

文件均 为 /var/named/named.hbds ， 反 向 区 域 文 件 均 为 /var/named/named.40。所有linux主机对应的域名格式为:主机

名.China_hbds.cn。

3.Openssl证书服务

任务描述：创建证书服务器，实现安全通讯访问。

1. 配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法，为 linux 主机颁发证书。
2. 证书颁发机构有效期 10 年，公用名为 linux1.China_hbds.cn。私钥文件存放于/etc/pki/CA/private目录，CA私钥文件名为Ca_key.pem； CA根证书使用系统默认路径及文件名：/etc/pki/CA/Ca_crt.pem。
3. 申请并颁发一张供 linux服务器使用的证书为2023China.crt，私钥为2023China.key，存放在/etc/pki/tls 目录，证书信息：有效期=5 年，公用名= China-hbds.cn，国家=CN，省=XX，城市=XX，组织=hbds，组织单位=system，使用者可选名称=*.China_hbds.cn 和

China_hbds.cn。要求浏览器访问https 网站时，不出现证书警告信息。

1. 在linux1中安装配置Apache服务，搭建Web网站，首页文档为

index.html，目录为/var/www/CA/，域名为ca.China_hbds.cn。为确保

证书安全传输，CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命令工具安全下载，存放在需要证书的云主机的/etc/ssl目录下,HTTP和 HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下载证书!”。

4.ansible 服务

任务描述：请采用ansible，实现自动化运维。

1. 在linux1 上安装系统自带的ansible-core，作为ansible 控制节点。linux2-linux6 作为 ansible 的受控节点。
2. 编写/root/host.yml 剧本，实现在所有linux主机的/root 目录下

创建一个host.txt 文件，文件内容为：“ansible脚本测试，主机名为：

hostname”，hostname为各对应主机的FQDN全名。

5.nginx 和tomcat 服务

任务描述：利用系统自带tomcat，搭建 Tomcat网站。

（1）配置 linux2 为 nginx 服务器，网站目录为/www/nginx，默认文档 index.html 的内容为“HelloNginx”；仅允许使用域名访问，http 访问自动跳转到 https。（2）配置 linux3 和 linux4 为 tomcat 服务

器，网站目录均为/www/tomcat，网站默认首页内容分别为“tomcatA” 和“tomcatB”，使用http默认80端口。

（3）利用 nginx 反向代理，实现 linux3 和 linux4 的 tomcat 负载均衡， 通过 https://tomcat.China_hbds.cn 加密访问 Tomcat服务器， http 访问通过301 自动跳转到https。

6.samba 服务

任务描述：请采用samba 服务，实现资源共享。

1. 配置 linux3 为 samba 服务器,建立共享目录/sharesmb，共享名

与目录名相同。

1. 新建用户user00-user03, 用户名和密码相同。user00 和user01 添加到 admin 组，user02 和 user03 添加到 hr 组。把用户 user00- user03 添加到samba 用户。
2. admin 组用户对sharesmb共享有读写权限，hr 组对 sharesmb 共享有只读权限；用户对自己新建的文件有完全权限， 对其他用户的文件只有读权限，且不能删除别人的文件。
3. 在本机用smbclient 命令测试。
4. 在linux4上使用用户user00实现无需手动输入密码自动挂载linux3 的sharesmb 共享到/sharesmb，同时防止运行恶意脚本运，禁止运行.sh 文件，禁止在挂载命令中显示明文密码。

7.脚本编写

任务描述：编写脚本，实现快速批量操作。

(1)请在“云主机5”中编写/root/createuser.py 的 python3 脚本。要求创建100 个用户，每个用户名用 “test00” 至“test99”，密码设置同用户名,并加入到test组获得sudo权限。设置账户过期时间为2025年

12月31日。

8.磁盘配额限制服务

任务描述：请采用配额功能，管理用户存储使用。

1. 在Linux6主机上添加1块20G硬盘，硬盘文件为linux6_1.qcow2，保存在根用户家目录，并格式化为ext4文件系统，并开机自动挂载到

/data/quota目录下。

1. 在linux6 上创建 qu01-qu03 等3个用户，用户密码与用户名相同。
2. 在/data/quota的存储配额：root用户硬限制10G，qu01、qu02都配置软限制600MB、硬限制1000MB。（4）当用户qu01在linux6登录时，系统自动显示当前用户磁盘配额使用情况。

（5）实现自动化的配额管理，每天0点0分自动用户qu03的配额限制设置为软限制600M、硬限制1000M。

9.邮件服务任务描述：请采用postfix，搭建邮件服务器。

1. 在“云主机6”中使用postfix安装配置邮件服务器：邮箱容量限制为 10MB，超过限制的邮件将会被拒绝；配置“云主机1”的域名服务器负责完成域的邮件域名解析；建立两个邮件账号：mail1、mail2；实现

区域内的邮件收发。启用SSL/TLS，仅支持SMTPS和IMAPS；使用windows1 证书服务器签名的证书；

1. 在/share/postfix/创建内容为“测试附件”的文件TEST.txt，发送一封测试邮件：mail1发给mail2，邮件主题为“网络建设运维赛项已开赛！”，邮件内容为“ 你好，祝你们取得好成绩！” 邮件附件为：

TEST.txt。

1. 启用邮件群发服务，群发一封测试邮件：mail2发给dcn，邮件主题为“技术和研发通知”，邮件内容为“ 网络建设运维赛项已开赛，请做

好保障服务”。验证yf和js用户邮箱内所接收mail2用户群发的邮件内容。