2023年河南省中等职业教育技能大赛网络建设与运维项目比赛试题（一）

2023年河南省中等职业教育技能大赛

网络建设与运维项目比赛试题（一）（总分1000分）

竞赛说明

一、竞赛项目简介

"网络建设与运维"竞赛共分A.网络理论测试（从公布赛题模块一中随机抽取100道）；B.网络建设与调试；C.服务搭建与运维等三个模块。竞赛时间安排和分值权重见表1

GeekSec专注技能竞赛，包含网络建设与运维和信息安全管理与评估两大赛项，及各大CTF，基于两大赛项提供全面的系统性培X，拥有完整的培X体系。团队拥有国赛选手、大厂在职专家等专业人才担任讲师，培X效果显著，通过培X帮助各大院校备赛学生取得各省 国家级奖项，获各大院校一致好评。
1

表1竞赛时间安排与分值权

二、竞赛注意事项

1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2.请根据大赛所提供的竞赛环境，检查所列的硬件设备、软件清单、材料清单

第1页 共33页

是否齐全，计算机设备是否能正常使用。

3.在进行任何操作之前，请阅读每个部分的所有任务。各任务之间可能存在一

定关联。

4.操作过程中需要及时按照答题要求保存相关结果。竞赛结束后，所有设备保

持运行状态，评判以最后提交的成果为最终依据。

5.竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将竞赛所用的所

有物品（包括试卷等）带离赛场。

6.禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为0分。

第2页 共33页

项目简介

某集团公司原在城市A成立了总公司，后在城市B成立了分公司，又在城市C

建立了办事处。集团设有产品、营销、法务、财务、人力5个部门，统一进行IP

及业务资源的规划和分配，全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。

随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要

素潜能，为社会创造更多价值，集团决定在总公司建立两个数据中心，在某省建立

异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成

向两地三中心整体战略架构演进，更好的服务于公司客户。

第3页 共33页

拓扑结构图

第4页 共33页

表 1-** 网络设备 **** IP **** 地址分配表**

表 2-** 服务器 **** IP **** 地址分配表**

表 3-** 云平台网络信息表**

表 4-** 虚拟主机信息表**

表 5-** 卷信息表**

模块二：网络建设与调试（** 450 **** 分）**

【说明】

1.设备console线有不同两条。交换机、AC、防火墙使用同一条console线，

路由器使用另外一条console线。

2.请在物理机PC1桌面上新建"XX_Network"文件夹作为"选手目录"（XX为

赛 位号。举例：1号赛位，文件夹名称为"01_Network"）。

3.设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文

档为主要评分依据。保存文档方式如下：

在XX（XX表示网络设备名称，如DCWS、FW-1、FW-2、RT-1、RT-2、SW-1、

SW-2、SW-3等，以下相同）特权模式下，执行SecureCRT “Script"菜单下的"run…”

命令，浏览到D:\soft\ScriptsNet\XX.py，单击"Open"按钮。 脚本执行后，将生

成的D:\Log\XX.txt文件复制到选手目录。

无论通过SSH、telnet、Console登录防火墙进行show configuration配置

收集，需要先调整CRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示

乱码。CRT软件调整字符编号配置如图：

一、工程统筹

1.职业素养

（1）整理赛位，工具、设备归位，保持赛后整洁有序。

（2）无因选手原因导致设备损坏。

（3）恢复调试现场，保证网络和系统安全运行。

2.网络布线

根据网络拓扑要求，自备网线，插入相应设备的相关端口。

3.IP规划

为了不断壮大集团业务经营范围，集团计划在上海成立办事处。通过调研，计

划在上海办事处设立与Internet连接的4个业务部门，每个业务部门的最大所需主

机数如下表所示，要求从10.1.10.100/19主机地址所在网络第一个网段开始进行

IP地址规划，IP地址按照下表依次往后顺延规划，网关地址取每个网段最后一个可

用地址，请完成下表IP地址规划。

二、交换配置

1.配置vlan，SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。

2.SW1和SW2之间利用三条双绞线实现互通，其中一条双绞线承载三层IP业务、

一条双绞线承载VPN业务、一条双绞线承载二层业务。用相关技术分别实现财务1

段、财务2段业务路由表与其它业务路由表隔离，财务业务VPN实例名称为Finance。

承载二层业务的只有一条双绞线通道，配置相关技术，方便后续链路扩容与冗余备

份，编号为1，用LACP协议，SW1为active，SW2为passive；采用源、目的IP进

行实现流量负载分担。

3.SW3针对每个业务VLAN的第一个接口配置Loopback命令，模拟接口UP，方

便后续业务验证与测试。

4.将SW3模拟为Internet交换机，实现与集团其它业务路由表隔离，Internet

路由表VPN实例名称为Internet。将SW3模拟办事处交换机，实现与集团其它业务

路由表隔离，办事处路由表VPN实例名称为Office。

5.勒索蠕虫病毒席卷全球，爆发了堪称史上最大规模的网络攻击，

通过对总部核心交换机SW1和SW2所有业务VLAN下配置访问控制策略实现双向

安全防护。

第18页 共33页

6.总部预采购多个厂商网流分析平台对集团整体流量进行监控、审计，连接在

SW1的E1/0/10-E1/0/13接 口 测 试 ，VLAN3000作 为 远 程 端 口 镜 像VLAN，

Ethernet10/14作为反射端口，将核心交换机与灾备交换机、路由器互连流量提供

给多个厂商网流分析平台。

7.营销1段的组长因业务需求，其笔记本电脑的mac地址为01-01-01-01

-01-01经常在办公室移动有线办公，为解决营销组的移动有线办公问题，现要求经

过设置，当该设备接入到SW2的E1/0/17-18时，会自动收到来自营销1段的数据

包。

8.SW1和SW2所有端口启用链路层发现协议，更新报文发送时间间隔为20s，老

化时间乘法器值为5，Trap报文发送间隔为10s，配置三条双绞线端口使能Trap功

能。

9.对SW1上VLAN40开启以下安全机制：业务内部终端相互二层隔离，启用

环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30

分钟；配置防止ARP欺骗攻击。

10.集团SW1使用相关技术配置产品业务VLAN每个物理端口最多允许每秒钟通

过640kbit的广播数据包；营销业务VLAN每个物理端口最多允许每秒钟通过

1280kbit的单播数据包。

三、路由调试

1.在路由器R1上通过SSH服务管理设备，，仅允许账号为skills01密码

为skills01；密码全部设置为明文，允许用户最多6次验证，最多同时运行2台

设备登录，验证超时为120秒，RT2配置使用telnet方式登录终端界面前显示如

下授权信息："WARNING!!! Authorised access only, all of your donewill be

recorded! Disconnected IMMEDIATELY if you arenot an authorised user!

Otherwise, we retain the rightto pursue the legal responsibility"。

2.在SW1配置法务1段报文带宽限制为10M比特/秒，突发值设为4M字节，超

过带宽的该网段内的报文一律丢弃。

3.配置接口ipv4地址和ipv6地址，互联接口ipv6地址用本地链路地址。

第19页 共33页

4.SW2配置DHCPv4和DHCPv6，分别为总公司产品1段、总公司产品2段、分公

司Vlan130、分公司Vlan140和分公司Vlan150分配地址。IPv4地址池名称分别为

Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan130、Poolv4-Vlan140、

Poolv4-Vlan150，排除网关，DNS为10.1.210.101和10.1.220.101。IPv6地址池

名称分别为Poolv6-Vlan11、Poolv6-Vlan21、Poolv6-Vlan130、Poolv6-Vlan140、

Poolv6-Vlan150，IPv6地址池用网络前缀表示,排除网关，DNS为2400:3200::1。

PC1保 留 地 址10.1.21.9和2001:10:1:21::9，PC2保 留 地 址10.1.31.9和

2001:10:1:31::9，AP1保留地址10.1.130.9和2001:10:1:130::9。开启路由公告

功能，路由器公告的生存期为

2小时，确保IPv6终端可以获得IPv6无状态地址;SW1、AC1中继地址为SW2

Loopback1地址，SW1启用DHCPv4和DHCPv6 snooping，如果E1/0/1连接dhcpv4

服务器，则关闭该端口，恢复时间为10分钟。

5.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行OSPFv2

和OSPFv3协议（路由模式发布网络用接口地址，BGP协议除外）。

（1）SW1、SW2、SW3、FW1之间OSPFv2进程1，区域0，RT1和RT2之间OSPFv2

进程1，区域1，SW1、SW2、SW3、RT1、RT2、FW 1之间OSPFv3协议，进程1，区域

0； 分别发布loopback1地址路由和产品路由，FW1通告type1默认路由。

（2）RT2与AC1之间运行OSPFv2协议，进程1，区域2；AC1发布loopback1

地址路由、产品和营销路由。

（3）RT2与AC1之间运行OSPFv3协议，进程1，stub no-summary区域1；AC1

发布loopback1地址路由、产品和营销。

（4）SW3模拟办事处产品和营销接口配置为loopback，模拟接口up。SW3模拟

办事处与FW2之间运行OSPFv2协议，进程2，区域2，SW3模拟办事处发布loopback2、

产品和营销。SW3模拟办事处配置ipv6默认路由；FW2分别配置到SW3模拟办事处

loopback2、产品和营销的ipv6明细静态路由，FW2重发布静态路由到OSPFv3协议。

（5）RT1、FW2之间OSPFv2协议，进程2，区域2；RT1发布loopback4路由，

向该区域通告type1默认路由；FW2发布loopback1路由，FW2禁止学习到集团和分

公司的所有路由。RT1用prefix-list匹配FW2 loopback1路由、SW3模拟办事处

第20页 共33页

loopback2和产品路由、RT1与FW2直连ipv4路由，将这些路由重发布到区域0。

（6）修改ospf cost为100，实现SW1分别与RT2、FW2之间ipv4互访流量优

先通过SW1_SW2_RT1链路转发，SW2访问Internet ipv4流量优先通过SW2_SW1_FW1

链路转发。

6.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng、OSPFv2

和OSPFv3协议，FW1、RT1、RT2的RIP和RIPng、OSPFv2和OSPFv3发布loopback2

地址路由，保证loopback2数据优先走RIP和RIPng。RT1配置offset值为3的路

由策略，实现RT1-S1/0_RT2-S1/1为主链路，RT1-S1/1_RT2-S1/0为备份链路，ipv4

的ACL名称为AclRIP，ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1

之间采用chap双向认证，用户名为对端设备名称，密码为skills01。

7.RT1以太链路、RT2以太链路之间运行ISIS协议，进程1，分别实现loopback3

之间ipv4互通和ipv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、

10.0000.0000.0002.00，路由器类型是Level-2，接口网络类型为点到点。配置域

md5认证和接口md5认证，密码均为skills01。

8.RT2配置ipv4 nat，实现AC1 ipv4产品用RT2外网接口ipv4地址访问

Internet。RT2配置nat64，实现AC1 ipv6产品用RT2外网接口ipv4地址访问

Internet，ipv4地址转ipv6地址前缀为64:ff9b::/96。

9.SW1、SW2、SW3、RT1、RT2之间运行BGP协议，SW1、SW2、RT1 AS号65001、

RT2 AS号65002、SW3 AS号65003。

（1）SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6 BGP邻

居。SW1和SW2之间财务通过loopback2建立ipv4 BGP邻居，SW1和SW2的loopback2

互通采用静态路由。

（2）SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6

路由；RT1发布办事处营销ipv4和ipv6路由到BGP。

（3）SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转

发；SW3法务及人力分别与SW1和SW2法务及人力ipv4和ipv6互访优先在SW3_SW2

链路转发，主备链路相互备份；用prefix-list、route-map和BGP路径属性进行选

路，新增AS 65000。

第21页 共33页

10.利用BGP MPLS VPN技术，RT1与RT2以太链路间运行多协议标签交换、标

签分发协议。RT1与RT2间创建财务VPN实例，名称为Finance，RT1的RD值为1:1，

export rt值为1:2，import rt值为2:1；RT2的RD值为2:2。通过两端loopback1

建立VPN邻居，分别实现两端loopback5 ipv4互通和ipv6互通。

四、无线部署

1.AC1 loopback1 ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。

AP二层自动注册，AP采用序列号认证。配置2个ssid，分别为skills-2.4G和

skills-5G。skills-2.4G对应vlan140，用network 140和radio1（模式为n-only-g）,

用户接入无线网络时需要采用基于WPA-personal加密方式，密码为skills2023。

skills-5G对应vlan150，用network 150和radio2（模式为n-only-a），不需要

认证，隐藏ssid，skills-5G用倒数第一个可用VAP发送5G信号。

2.当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触

发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。

3.MAC认证模式为黑名单，MAC地址为80-45-DD-77-CC-48的无线终端采用全局

配置MAC认证。

4.网络管理员的专属IP地址为10.10.10.10，为了保障网络管理的安全性，

若发现的设备接入无线路由器并使用SSH功能时，在不对其信号强度进行过滤的前

提下，在全频道内每隔15秒进行一次定位。

5.配置vlan140无线接入用户最大可连接人数为100人， 周一至周三17点

至19点禁止用户连接。

6.开启Radio的自动信道调整，每天上午10:00触发信道调整功能。

7.开启AP组播广播突发限制功能；AP收到错误帧时，将不再发送ACK帧；AP

发送向无线终端表明AP存在的帧时间间隔为1秒。

8.该公司AC1想按照法国2.4GHz频段信道标准进行设置，做一个信道测试

对比，需要根据国外情况进行修正。

第22页 共33页

五、安全维护

说明：ip地址按照题目给定的顺序用"ip/mask"表示，ipv4 any地址用

0.0.0.0/0，ipv6 any地址用::/0，禁止用地址条目，否则按零分处理。

1.FW1配置ipv4 nat，实现集团产品1段ipv4访问Internet ipv4，转换ip/mask

为200.200.200.16/28，保证每一个源ip产生的所有会话将被映射到同一个固定的

IP地址；当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至

10.1.11.120的UDP 514端口，记录主机名，用明文轮询方式分发日志；开启相关

特性，实现扩展nat转换后的网络地址端口资源。

2.FW1配置L2TP VPN，名称为VPN，满足远程办公用户通过拨号登陆访问内网，

创建隧道接口为tunnel 1、并加入vpnhub安全域，地址池名称为AddressPool,

地址池为172.30.253.1/24-10

172.30.253.100/24，网关为最大可用地址，认证账号skills01,密码skills01。

3.FW1和FW2策略默认动作为拒绝，FW1允许集团产品1段ipv4和ipv6访问

Internet任意服务。

4.FW2允许办事处产品ipv4访问集团产品1段https服务，允许集团产品1段

访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处loopback2 ipv4。

5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN，实现

loopback4之间的加密访问。

6.FW1配置邮件内容过滤，规则名称和类别名称均为"赌博"，过滤含有"游

戏"字样的邮件。

7.FW1通过ping监控外网网关地址，监控对象名称为Track1，每隔5S发送探

测报文，连续10次收不到监测报文，就认为线路故障，关闭外网接口。

8.FW1利用iQoS，实现集团产品1段访问Internet https服务时，上下行管道

带宽为800Mbps，限制每IP上下行最小带宽2Mbps、最大带宽4Mbps、优先级为3，

管道名称为Skills，模式为管制。

第23页 共33页

模块三：服务器配置及应用项目（** 450 **** 分）**

【说明】

（1）云平台1.0登录方式http://192.168.100.100/dashboard/；账户：admin

域：default密码：dcncloud。

（2）云平台2.0登录方式http://192.168.100.100/dcncloud/；账户：admin，

使用管理员登录，密码：dcncloud。

（3）云平台镜像Linux系统，默认账户：root默认密码：Pass-1234；Windows

系统,默认账户：administrator默认密码：Pass-1234。

（4）所有Windows主机实例在创建之后都可以直接通过远程桌面连接操作，

Linux主机实例可以通过SecureCRT，所有Linux主机都默认开启了ssh功能。

（5）要求在云服务实训平台中保留竞赛生成的所有虚拟主机。

（6）不修改Linux虚拟机的root用户密码，Linux题目中所有未指明的密码

均为example2022；Windows虚拟机管理员的密码以及Windows题目中所有未指明的

密码均为example2022，若未按照要求设置，涉及到该操作的所有分值记为0分。

（7）虚拟主机的IP地址、主机名称请按照"表3-服务器IP地址分配表"的

要求设定，若未按照要求设置，涉及到该操作的所有分值记为0分。

（8）赛题所需的其它软件均存放在PC1的D:\soft文件夹中。

（9） 在PC1桌 面 上 新 建"XX_system "（XX为赛位号）文件夹。根据

“D:\soft\Windows脚本.rar”“D:\soft\Linux脚本.zip”"D:\soft\云平台脚

本.zip"中提供的脚本文件，生成云平台和所有云主机操作结果的文件，并将这些

文件存放到PC1桌面上的"XX_system"（XX为赛位号）文件夹。

(10)Windows使用根域管理员Administrator身份登陆Windows虚拟机系

统， 复制物理机D:\soft\ScriptsWindows\WindowsN.ps1(N表示虚拟机 编号，如

虚拟机Windows3对应的脚本文件为Windows3.ps1，以下相同)文件到虚拟机

Windows3的C盘，在虚拟机使用(PowerShell)提示符下执行该脚本，然后将

C:\WindowsN文件夹复制到选手目录。

第24页 共33页

D:\soft\ScriptsLinux\linuxN.sh(N表示虚拟机编号，如虚拟机linux3对应的脚

本文件为linux3.sh，以下相同)文件到虚拟机linuxN的/root目录，在虚拟机

Shell提示符下执行该脚本，然后将/root目录中生成的linuxN.txt文件复制到

选手目录。

（12）使用dcnclient镜像，创建云平台管理实例，用于获取openstack配置

参 数 ；1.0云 平 台 ， 使 用 "Openstack_1.0.sh " 脚 本 ；2.0云 平 台 ， 使 用

"Openstack_2.0.sh"脚本。复制对应的脚本到/root目录，在虚拟机Shell提示

符下执行该脚本，然后将/root目录中生成的Openstack.txt文件复制到选手目

录。

（13）所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会

扣除该服务功能一定分数；如文档名称或文档存放位置错误，涉及到的所有操作分

值记为0分。

第25页 共33页

一、云实训平台设置

1.按照"表3-云平台网络信息表"要求，新建网络。

2.按照"表4-虚拟主机信息表"要求，新建云主机类型。

3.按照"表2-服务器IP地址分配表"要求新建虚拟主机，主机IP地址与"表

2-服务器IP地址分配表"中的一致。

二、Windows 服务配置

1、域服务

【任务描述】 为实现方便管理，采用域控制器，提升企业网络安全程度，整

合局域网内基于网络的资源。

1.设置所有虚拟机的IP为静态，与自动获取的IP地址一致；修改所有主机的

名称与"表3-服务器IP地址分配表"中的一致。

2.配置Windows1为域控制器，域名为example.com；安装DNS服务，DNS正反

向 区 域 在ActiveDirectory中存储，为example.com域中提供正向解析， 为

example.com林中主机提供反向解析。

3.将Windows2升级为example.com林中的cnexample.com辅助域控制器，安

装DNS，负责该域的正反向域名解析。升级域控制器后，用example\administrator

身份登陆。

4.把其他Windows主机加入到example.com域。

5.Windows1上新建名称为Data_Admin、Security_Admin、Audit_Admin的组织

单元；每个组织单元内新建与组织单元同名的安全组；Data_Admin组内新建5个用

户，数据管理员Data01-Data05；Security_Admin组内新建5个用户，安全管理员

Security06-Security10；Audit_Admin组 内 新 建5个 用 户 ， 审 计 管 理 员

Audit11-Audit15,所有用户只能工作日8:00-18:00登录，用户不能修改其口令，密

码永不过期密码。

第26页 共33页

2、证书服务

【任务描述】为提高域内主机通信的安全性，在网络中安装证书颁发服务器、

为域内主机提供证书服务。

1.在Windows1上安装证书服务，设置为企业根CA，密钥长度为2048，证书颁

发机构有效期为18年，颁发证书有效期为10年。

2.证书的通用名称均用主机的完全合格域名。

3.证书信息：国家=CN，省=HN,城市=ZZS，组织=example,组织单位=com。

4.在Windows2上安装丛属证书服务，丛书颁发机构颁发证书7年。

3、组策略

【任务描述】为了帮助系统管理员对计算机或对不能用户进行管理，现采用组

策略，实现对软件、计算机和用户的管理。

1.部署软件OpenSSH-Win64-v8.X.msi,让域中主机自动安装powershell(从物

理机复制OpenSSH-Win64-v8.X.msi,到Windows1的C:\soft)。

2.域中主机（含域控制器）Windows3-Windows4之间通信采用连接安全规则，

要修出站和入站都要求身份验证，完成整性算法采用SHA-256,加密算法采用

AES-CNC192，预共享的密钥为example2023。

3.每个用户的"文档"文件夹重定向到Windows1的C:\Document,为每一用户

创建一个文件夹。

4.禁用Windows Server 2022服务器的"关闭事件追踪程序"。

5.用户登录后不显示C盘，盘符。

6.禁止访问控制面板和PC设置。

7.禁用注册表编辑器，禁用无提示运行；禁用DOS窗口，禁用脚本处理。

8.拒绝所有可移动存储类的所有权限。

9.审核登录事件，同时审核成功和失败。

10.配置系统用户登录时使用统一桌面背景，图片存放在C:\Pic文件夹，启用

阻止更改桌面背景。

第27页 共33页

4、Bitlocker服务

【任务描述】为了更好的保护计算机中的数据，请采用Bitlocker，加密Windows

操作系统卷上存储的数据。

1、将Windows3的D盘启用Bitlocker，使用密码解锁驱动器，仅加密已用空

间，使用XTS-AES加密模式加密。

2、加密密钥文件，存放到物理机PC1的答案提交文件夹内。

5、web服务

【任务描述】请采用IIS搭建web服务，创建安全动态网站。

1.把Windows4配置为asp网站，网站仅支持dotnet CLR v4.0，站点名称为

asp。

2.http和https绑定本机与外部通信的ip地址，仅允许使用域名访问（使

用"计算机副本"证书模板）。客户端访问时，必需有SSL证书（浏览器证书模板

为"管理员"）。

3.网站目录为Windows3的D:\IIS\contents，默认文档index.aspx内容为

“HelloAspx”。

4.使用Windows5测试。

6、DFS服务

【任务描述】为了建立一个高效率的存储架构，请采用DFS,实现集中管理共享

文件。

1.在Windows2-Windows4的C分区划分出2GB的空间，创建NTFS分区，驱动器

号为D。

2.配置Windows2为DFS服务器，命名空间为DFSROOT，文件夹为Pictures；实

现Windows2的D:\host、Windows3的D:\Pics和Windows4的D:\Images同步,主要

成员为Windows2,复制拓扑为集散。

3.配置Windows3的DFS IPv4使用12345端口号；限制所有服务的IPv4动态

RPC端口从6000开始，共1000个端口号。

第28页 共33页

7、ISCSI服务

【任务描述】：请采用iscsi，实现集中管理存储。

1．在Windows2上添加4块硬盘，每块大小为5G，初始化为gpt磁盘，配置

raid5，配置盘符为E盘。

2．在Windows2上安装iSCSI目标服务器，并新建iSCSI虚拟磁盘，存储位

置为E:\iscsi；虚拟磁盘名称分别为Quorum和Files，磁盘大小为动态扩展，分

别为1GB和5GB，目标名称为Win，访问服务器为Windows5和Windows6，实行

OutgoingPass。目标iqn名称为iqn.2008-01.lan.skills:server，使用IP地址

iqn.2008-01.lan.skills:client2。

172.16.102.0网络为MPIO网络，连接Windows2的虚拟磁盘Quorum和Files，

初始化为GPT分区表，创建NTFS主分区，驱动器号分别为M和N。配置Windows5

和Windows6为故障转移群集；172.16.103.0网络为心跳网络。

4．在Windows5上创建名称为cluster的群集，其IP地址为172.16.101.70。

5．在Windows6上配置文件服务器角色，名称为clusterfiles，其IP地址为

172.16.101.80。为clusterFiles添加共享文件夹，共享协议采用"SMB"，共享

名称为clustershare，存储位置为N:\share，NTFS权限为仅域管理员和本地管理

员组具有完全控制权限，域其他用户具有修改权限；共享权限为仅域管理员具有完

全控制权限，域其他用户具有更改权限。

8、脚本

【任务描述】 为了减少重复性任务的工作量，节省人力和时间，请采用脚本,

实现快速批量的操作。

1.在Windows6上编写C:\CreateFile.ps1的powershell脚本,创建20个

第29页 共33页

文件C:\test\File00.txt至C:\test\File19.txt，如果文件存在，则首先删除后，

再创建；每个文件的内容同主文件名，如File00.txt文件的内容为"File00"。

三、Linux 服务配置

1、DNS服务和CA服务配置

【任务描述】 配置基础环境，创建DNS服务器，实现企业域名访问

1.所有linux主机启用防火墙，防火墙区域为public，在防火墙中放行对应服

务端口。

2.修改所有主机IP地址为手动。

3.设置所有linux服务器的时区为"上海"，本地时间调整为实际时间

4.利用chrony，配置linux1为其他linux主机提供NTP服务。

5.修改所有主机名称为"表3-服务器IP地址分配表"中的完全合格域名。

6.所有linux主机（包含本主机）root用户使用完全合格域名免密码ssh登录

到其他linux主机。

7.利用bind，配置linux1为主DNS服务器，linux2为备用DNS服务器。为所

有linux主机提供冗余DNS正反向解析服务。

8.配置linux1为CA服务器,为所有linux主机颁发证书，不允许修改

/etc/pki/tls/openssl.conf，证书通用名称均为主机完全合格域名，CA证书通用

名称为"Example"有效期为10年，CA颁发的证书默认有效期为5年，证书其他信

息：（1）国家=“CN”（2）省=“HN”（3）市/县=“ZZS”（4）组织=“example”

（5）组织单位=“com”。

9.证书路径均为/etc/ssl/example.crt，私钥路径均为/etc/ssl/example.key。

2、Ansible服务

【任务描述】 请采用ansible，实现自动化运维。

1.在linux1上安装ansible，作为ansible的控制节点。linux1-linux6作为

ansible的受控节点。

第30页 共33页

2.在linux1编写/root/diff.yml剧本，仅在linux1节点运行，实现如下功能：

（1）使用lookup读取"/etc/passwd"和"/etc/shadow"文件，计算文件的

SHA-1哈希值。

（2）比较两个文件的SHA-1哈希值是否相等。如果相等则调用debug模块输出

Checksum PASS内容，否则输出Checksum FAIL内容。

（3）当比较SHA-1哈希值不一样时剧本运行会告错，请忽略错误，保证剧本程

序正常运行。

3、Tomcat Web服务

【任务描述】根据企业需要搭建动态网站，采用tomcat实现该需求。

1.配置linux2为nginx服务器，默认文档index.html的内容为"河南省网络

搭建"；仅允许使用域名访问，http访问自动跳转到https。

2.利 用nginx反 向 代 理 ， 实 现linux3的tomcat负 载 均 衡 ， 通 过

https://tomcat.example.com加密访问tomcat，http访问时永久自动跳转到https。

3.配置linux3为tomcat服务器，请使用提供的RPM包进行安装。网站默认首

页内容分别为"linux3.example.com"，使用80端口访问http和443端口访问https；

证书路径均为/etc/ssl/example.jks，证书密码Example2023，格式为jks。

4、samba服务

【任务描述】请采用samba服务，实现资源共享。

1.在linux3上创建user00-user19等20个用户；user00和user01添加到

manager组，user02和user03添加到dev组。把用户user00-user03添加到samba

用户。

2.配置linux3为samba服务器,建立共享目录/srv/sharesmb，共享名与目录名

相同。manager组用户对sharesmb共享有读写权限，dev组对sharesmb共享有只读

权限；用户对自己新建的文件有完全权限，对其他用户的文件只有读权限，且不能

删除别人的文件。在本机用smbclient命令测试。

3.在linux4修 改/etc/fstab,使 用 用 户user00实 现 自 动 挂 载linux3的

第31页 共33页

sharesmb共享到/sharesmb。

5、mysql服务

【任务描述】请安装mysql服务，建立数据表。

1.配置linux4为mysql服务器，创建数据库用户xiao，在任意机器上对所有

数据库有完全权限。

2.创建数据库userdb；在库中创建表userinfo，表结构如下：

3.在表中插入2条记录，分别为(1,user1，1999-07-01，男)，(2,user2，

1999-07-02，女)，password与name相同，password字段用password函数加密。

4.修改表userinfo的结构，在name字段后添加新字段height(数据类型为

float)，更新user1和user2的height字段内容为1.61和1.62。

5.新建/var/mysqlbak/userinfo.txt文件，文件内容如下，然后将文件内容导

入到userinfo表中，password字段用password函数加密。

3,user3,1.63,1999-07-03,女,user3

4,user4,1.64,1999-07-04,男,user4

5,user5,1.65,1999-07-05,男,user5

6,user6,1.66,1999-07-06,女,user6

7,user7,1.67,1999-07-07,女,user7

8,user8,1.68,1999-07-08,男,user8

9,user9,1.69,1999-07-09,女,user9

6.将表userinfo的记录导出，存放到/var/databak/mysql.sql，字段之间用’,’

第32页 共33页

分隔。

7.每 周 五 凌 晨1:00以root用 户 身 份 备 份 数 据 库userdb到

/var/databak/userdb.sql(含创建数据库命令)。

6、Kubernetes服务

【任务描述】为了对容器进行更高级更灵活的管理，请采用Kubernetes服务，

管理和控制容器。

1.在linux5-linux6上安装containerd和kubernetes，linux5作为master

node，linux6作为work node；使用containerd.sock作为容器runtime-endpoint。

2.master节点配置calico，作为网络组件。

3.优化linux6节点kubectl组件心跳上报频率为60s每次。

4.优化kube-scheduler组件与kube-apiserver组件通信时每秒请求（QPS）为

60、突发峰值请求个数上限为80。

7、redis服务

【任务描述】请采用redis服务，实现高并发数据和海量数据的读写。

1.利用linux2搭建redis cluster集群，使用端口7001-7003模拟主节点，

7004-7006模拟从节点，让其他主机可以访问redis集群。

8、shell脚本

【任务描述】请采用shell脚本,实现快速批量的操作。

（1）在linux6上编写/root/createfile.sh的shell脚本，创建20个文件

/root/shell/file00至/root/shell/file19，如果文件存在，则删除再创建；每个

文件的内容同文件名，如file00文件的内容为"file00"。用/root/createfile.sh

命令测试。

第33页 共33页