2023 年江苏省职业院校技能大赛（中职） 网络搭建与应用赛项公开赛卷——技能要求

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

竞赛说明

1. 竞赛内容分布

“网络搭建与应用”竞赛共分五个部分其中

第一部分网络组建与配置 350 分

第二部分云平台配置 50 分

第三部分 Windows 系统配置200 分

第四部分 Linux 系统配置200 分

第五部分职业规范与素养 50 分

2. 竞赛注意事项

1 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2 请根据大赛所提供的比赛环境检查所列的硬件设备、软件清单、材

料清单是否齐全计算机设备是否能正常使用。

3 请选手仔细阅读比赛试卷按照试卷要求完成各项操作。

4 操作过程中需要及时保存设备配置。

5 比赛结束后所有设备保持运行状态评判以最后的硬件连接和配置

为最终结果。

6 比赛完成后比赛设备、软件和赛题请保留在座位上禁止将比赛所

用的所有物品包括试卷和草纸带离赛场。

7 禁止在纸质资料、比赛设备上填写任何与竞赛无关的标记如违反规

定可视为 0 分。

8 与比赛相关的工具软件放置在每台主机的 D 盘 soft 文件夹中。

9 进入竞赛施工现场施工人员需佩戴安全帽项目设计阶段除外。

10 竞赛所用器材、耗材在竞赛开始前已全部发放到各个竞赛工位保

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

2 / 27

证充分满足竞赛需求。竞赛开始前请仔细核对材料确认单并签字确认未

签字确认前禁止开始比赛。竞赛过程中不再另行发放器材、耗材。

11 竞赛过程中参赛队要做到工作井然有序、不跨区操作、不喧哗竞

赛施工材料、加工废料、施工模块等分区有序存放。

3. 项目简介

某集团公司原在北京建立了总部在郑州设立了办事处。总部设有销售、产

品、法务、财务、信息技术 5 个部门统一进行 IP 及业务资源的规划和分配

全网采用 OSPF 动态路由协议和静态路由协议进行互连互通。

公司规模在 2023 年快速发展业务数据量和公司访问量增长巨大。为了更

好管理数据提供服务集团决定建立自己的中型数据中心及业务服务平台以

达到快速、可靠交换数据以及增强业务部署弹性的目的。

集团、办事处的网络结构详见“主要网络环境”拓扑图。

其中一台 CS6200 交换机编号为 SW-3用于实现终端高速接入两台 CS6200

交换机作为总部的核心交换机两台 DCFW-1800 分别作为集团、郑州办事处的防

火墙一台 DCWS-6028 作为集团的有线无线智能一体化控制器编号为 DCWS

通过与 WL8200-I2 高性能企业级 AP 配合实现集团无线覆盖。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

3 / 27

第一部分网络组建与配置350 分

【说明】

1. 交换机、 DCWS、防火墙使用同一条 console 线

2. 设备配置完毕后保存最新的设备配置。裁判以各参赛队提交的竞赛结果

文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命

名所有需要提交的文档均放置在 PC1 桌面的“比赛文档_X” X 为赛位号

文件夹中

3. 保存文档方式如下

⚫ 交换机、 DCWS 要把 show running-config 的配置、防火墙要把 show

configuration 的配置保存在 PC1 桌面上的“比赛文档_X”文件夹中文档命

名规则为设备名称.txt。例如 SW-1 交换机文件命名为 SW-1.txt

⚫ 无论通过 SSH、 telnet、 Console 登录防火墙进行 show configuration

配置收集需要先调整 CRT 软件字符编号为 UTF-8否则收集的命令行中文

信息会显示乱码。 CRT 软件调整字符编号配置如图

4 / 27

一、 网络布线与基础连接

右侧布线面板立面示意图 左侧布线面板立面示意图

说 明

1. 机柜左侧布线面板编号 101机柜右侧布线面板编号 102。

2. 面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B

标准端接。

3. 主配线区配线点与工作区配线点连线对应关系如下表所示。

PC1、 PC2 配线点连线对应关系表

一 铺设线缆并端接

1. 截取 2 根适当长度的双绞线两端制作标签穿过 PVC 线槽或线管。双绞

线在机柜内部进行合理布线并且通过扎带合理固定

2. 将 2 根双绞线的一端根据“PC1、 PC2 配线点连线对应关系表“的要求端

接在配线架的相应端口上

3. 将 2 根双绞线的另一端根据“PC1、 PC2 配线点连线对应关系表”的要求

端接上 RJ45 模块并且安装上信息点面板并标注标签。

二 跳线制作与测试

1. 再截取 2 根当长度的双绞线两端制作标签根据“PC1、 PC2 配线点连线

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

5 / 27

对应关系表”的要求链接网络信息点和相应计算机端接水晶头制作网络跳

线所有网络跳线要求按 568B 标准制作

2. 根据网络拓扑要求截取适当长度和数量的双绞线端接水晶头制作网络

跳线 根据题目要求插入相应设备的相关端口上包括设备与设备之间、设

备与配线架之间

3. 实现 PC、信息点面板、配线架、设备之间的连通提示可利用机柜上自

带的设备进行通断测试

4. PC1 连接 102 底盒 1 端口、 PC2 连接 101 底盒 1 端口。

二、 交换配置与调试

(一) 为了减少广播需要根据题目要求规划并配置 VLAN。具体要求如下

1. 配置合理所有链路上不允许不必要 VLAN 的数据流通过包括 VLAN 1

2. 集团接入交换机与核心交换机之间的互连接口发送 AP&交换机管理 VLAN 的

报文时不携带标签发送其它 VLAN 的报文时携带标签要求禁止采用 trunk 链

路类型

3. 当财务业务 VLAN 物理端口接收到的流量大于端口缓存所能容纳的大小时

端口将通知向其发送流量的设备减慢发送速度以防止丢包当法务业务 VLAN

物理端口收包 BUM 报文速率超过 2000packets/s 则关闭端口 10 分钟后恢复端

口。

4. 根据下述信息及表在交换机上完成 VLAN 配置和端口分配。

(二) 在集团核心交换机 SW-1 和 SW-2、接入交换机 SW-3 间运行一种协议具

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

6 / 27

体要求如下

1. 实现销售、产品、信息技术业务优先通过 SW-1 至 SW-3 间链路转发法务、

财务、 AP&交换机管理等业务优先通过 SW-2 至 SW-3 间链路转发从而实现 VLAN

流量的负载分担与相互备份

2. 设置路径开销值的取值范围为 1-65535 BPDU 支持在域中传输的最大跳数为

7 跳同时不希望每次拓扑改变都清除设备 MAC/ARP 表全局限制拓扑改变进行

刷新的次数

3. 加速接入交换机所有业务端口收敛当接口收到 BPDU 丢弃报文并关闭端口

如果 5 分钟内没有收到 BPDU 报文则恢复该端口。

(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议为所有业务 VLAN 实

现网关冗余具体要求如下

1. 虚地址使用该 VLAN 中的最后一个可用 IP、 SW-1 使用该 VLAN 中的倒数第三

可用 IP、 SW-2 使用该 VLAN 中的倒数第二可用 IP SW-1 为销售、产品、信息技

术业务的 Master SW-2 为法务、财务、 AP&交换机管理等业务的 Master且互为

备份每隔 3s VRRP 备份组中的 Master 发送 VRRP 报文来向组内的三层交换机

通知自己工作状态

2. 监视上行链路状态当上行链路故障时 Slave 设备能够接管 Master 设备转

发数据而当链路故障恢复后原 Master 设备接管 Slave 设备转发数据。

(四) 因集团销售人员较多、同时也为了节约成本在集团接入交换机下挂两

个 8 口 HUB 交换机实现销售业务接入集团信息技术部已经为销售业务 VLAN 分

配 IP 主机位为 1-14在集团接入交换机使用相关特性实现只允许上述 IP 数据

包进行转发对 IP 不在上述范围内的用户发来的数据包交换机不能转发直

接丢弃, 要求禁止采用访问控制列表实现。

(五) 集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层当发

现单向链路后要求自动地关闭互连端口发送握手报文时间间隔为 5s, 以便

对链路连接错误做出更快的响应如果某端口被关闭经过 30 分钟该端口自

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

7 / 27

动重启。

(六) SW-2 既作为集团核心交换机同时又使用相关技术将 SW-2 模拟为

Internet 交换机实现集团内部业务路由表与 Internet 路由表隔离。

(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计分

别连接在 SW-1 核心交换机 E1/0/10-E1/0/11 接口测试将核心交换机与接入交

换机、 防火墙互连流量提供给多个厂商网流分析平台。

三、 路由配置与调试

(一) 尽可能加大集团防火墙与核心交换机之间链路带宽

(二) 规划集团使用 OSPF 协议进行互连互通进程号为 1具体要求如下

1. 集团防火墙与集团核心交换机之间、集团核心交换机与集团核心交换机之间

均属于骨干区域

2. 借助 OSPF 相关特性尽可能保证骨干区域完整性

3. 针对骨干区域启用区域 MD5 验证验证密钥为 DCN2023调整接口的网络类

型加快邻居关系收敛

4. 集团防火墙将访问郑州办事处业务网段的静态路由引入 OSPF。

5. 实现集团销售&产品&信息技术&无线业务、统一通过集团防火墙访问

Internet轮询使用 NAT 地址为 202.99.192.4/30针对上述源地址限制单

个 IP 地址能建立 NAT 翻译表项的最大数目为 100配置一对一地址转换实现

通过 Internet 任意位置访问 202.99.192.8/32 都可以访问至集团 OA 平台

10.XX.10.1/32XX 与“主要网络环境”地址中相应网段一致进行数据查询

郑州办事处业务网段通过郑州办事处防火墙访问 Internet NAT 地址池为接口公

网 IP。

(三) 集团防火墙与郑州办事处防火墙之间使用与 Internet 的接口互联地址

建立 GRE 隧道再使用 IPSEC 技术对 GRE 隧道进行保护使用 IKE 协商 IPSec 安

全联盟、交换IPSec密钥两端加密访问列表名称都为ipsecacl这样有了IPSec

郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时就不

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

8 / 27

用担心被监视、篡改和伪造可以安全上传郑州办事处相关销售业务数据。

(四) 为了合理分配集团业务流向保证来回路径一致业务选路具体要求如

下

1. 集团核心交换机与集团无线控制器 DCWS 之间采用静态路由协议使用 OSPF

相关特性实现集团无线业务与 Internet 互访流量优先通过 DCWS_SW-1_FW-1 间

链路转发 DCWS_SW-2_FW-1 间链路作为备用链路

2. 实现销售、产品、信息技术业务分别与 Internet、办事处互访流量优先通过

SW-1_ FW-1 间链路转发法务、财务、 AP&交换机管理等业务分别与分公司、办

事处互访流量优先通过 SW-2_ FW-1 间链路转发从而实现流量的负载分担与相

互备份。

四、 无线配置

(一) 集团无线控制器 DCWS 与核心交换机互联无线业务网关位于 DCWS 上

VLAN220 为业务 VLAN核心交换机侧配置使用 DHCP 进行 AP 管理地址分配利用

DHCP 方式让 AP 发现 DCWS 进行三层注册采用 MAC 地址认证。

(二) 配置一个 SSID DCNXX DCNXX 中的 XX 为赛位号访问集团及 Internet

业务采用 WPA-PSK 认证方式加密方式为 WPA 个人版配置密钥为 Dcn12345678。

(三) AP 在收到错误帧时将不再发送 ACK 帧打开 AP 组播广播突发限制功

能开启 Radio 的自动信道调整每天上午 7:00 触发信道调整功能。

五、 安全策略配置

(一) 根据题目要求配置郑州办事处防火墙相应的业务安全域、业务接口郑

州办事处业务网段通过VPN隧道只可以访问集团销售业务网段http&https业务,

通过公网接口可以访问 Internet 业务集团所有业务网段均可以与郑州办事处

业务网段双向互 ping方便网络连通性测试与排障。

(二) 集团计划在郑州办事处进行 https 认证试点对郑州办事处业务网段上

网的用户进行控制认证服务器为本地防火墙只有在认证页面输入用户名和密

码分别为 dcn01 或者 dcn02 才可以访问外部网络强制用户在线时常超过 1 天后

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

9 / 27

必须重新登录。

(三) 郑州办事处只有 100M Internet 出口在郑州办事处防火墙上限制该业

务网段每个 IP 上下行最多 4M 带宽对 Internet 出口 http 流量整形到 10Mbps

从而实现流量精细化控制保障办事处其它关键应用和服务的带宽。

六、 IPV6 配置

集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协

议第六版IPv6规模部署行动计划》加快推进基于互联网协议第六版IPv6

基础网络设施规模部署和应用系统升级现准备先在集团公司开始 IPv6 测试

要求如下

(一) 在集团核心交换机 SW-1 配置 IPv6 地址使用相关特性实现销售业务的

IPv6 终端可自动从网关处获得 IPv6 有状态地址。

(二) 在集团核心交换机 SW-2 配置 IPv6 地址开启路由公告功能路由公告

的生存期为 2 小时确保产品业务的 IPv6 终端可以获得 IPv6 无状态地址。

(三) 在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性实现销售

业务的 IPv6 终端与产品业务的 IPv6 终端可以互访。

集团测试 IPv6 业务地址规划如下其它 IPv6 地址自行规划

举例“主要网络环境”中销售业务 IPv4 地址为 10.30.10.0/24对应 IPv6

地址为 2001:30:10::254/64。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

10 / 27

第三部分云平台配置50 分

【竞赛技术平台说明】

1云服务实训平台相关说明

1 云服务实训平台管理 ip 地址默认为 192.168.100.100访问地址

http://192.168.100.100/dashboard 默认账号密码为 admin/dcncloud ssh 默

认账号密码为 root/dcncloud考生禁止修改云服务实训平台账号密码及管理

ip 地址否则服务器配置及应用项目部分计 0 分

2 云服务实训平台中提供镜像环境镜像的默认用户名密码以及镜像

信息参考《云服务实训平台用户操作手册》

3 所有 windows 主机实例在创建之后都直接可以通过远程桌面连接操作

Rock8.5 可以通过 CRT 软件连接进行操作所有 linux 主机都默认开启了 ssh 功

能 Linux 系统软件镜像位于” /opt”目录下

4 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。

2云服务实训平台和服务器 PC1 和 PC2 相关服务说明

1 题目中所有未指明的密码均参见“表 6.云主机和服务器密码表”若

未按照要求设置密码涉及到该操作的所有分值记为 0 分

2 虚拟主机的 IP 属性设置请按照“拓扑结构图”以及“表 3.服务器 IP

地址分配表”的要求设定

3 除非作特殊说明在 PC1 和 PC2 上需要安装相同操作系统版本的虚

拟机时可采用 VMware Workstation 软件自带的克隆系统功能实现。

4 PC1 和 PC2 上所有系统镜像文件及赛题所需的其它软件均存放在每

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

11 / 27

台主机的 D:\soft 文件夹中

5 PC1 和 PC2 要求的虚拟机均安装于每台在 D 盘根目录下自建的名为

VirtualPC 文件夹中即路径为 D:\VirtualPC\虚拟主机名称。

6 所有服务器要求虚拟机系统重新启动后均能正常启动和使用否则

会扣除该服务功能一定分数。

【云实训平台安装与运用】

一、 云平台基础设置

1.按照“表 4云平台网络信息表”要求创建五个外部网络这些外部网

络所使用的 VLAN 均为总部业务 VLAN详细操作过程请参照“云服务实训平

台用户操作手册”

2.创建 5 块云硬盘卷命名为 hd1-hd5其中 hd1-hd2 大小为 10G h3-

h5 大小自定。

注意事项

1必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘

不能使用 “管理员”“系统”栏下的“卷”功能该功能使用不当会造成云硬

盘创建失败界面卡死。

2在云平台中可以创建多个云硬盘所有云硬盘容量的总大小不能超过

100G否则将创建失败。一个实例可以同时连接多个云硬盘但一个云硬盘同

时只能给一个实例作为扩展硬盘使用。

3在分离卷之前一定要保证使用该卷的 Linux 主机中已经不存在该

卷的任何挂载点。如果使用该卷的主机是 Windows 实例必须保证该卷在主机

的“磁盘管理”项目中处于脱机状态否则会造成分离失败或是一直显示“分

离中”状态。

二、 创建虚拟主机

1.按照“表 5虚拟主机信息表”所示按要求生成虚拟主机详细操作

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

12 / 27

过程请参照“云服务实训平台用户操作手册”

2.云平台中所有虚拟机的 IP 地址要求手动设置为该虚拟机 DHCP 获取

的地址。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

13 / 27

第四部分 Windows 系统配置200 分

一、在云实训平台上完成如下操作

一完成虚拟主机的创建

将按照“表 5虚拟主机信息表”生成的虚拟主机加入到 JsSkill.com 域环

境。

二完成链路聚合的部署

1.在云主机 1 中添加一块网卡第一块网卡和第二块网卡为提供链路聚合

网卡完成链路聚合操作组名为“AggNic1”成组模式为“静态成组” 负载

均衡模式为“地址哈希”为主域和辅助域之间的传输提升速度

2.在云主机 2 中添加一块网卡第一块网卡和第二块网卡为提供链路聚合

网卡完成链路聚合操作组名为“AggNic2”成组模式为“静态成组” 负载

均衡模式为“地址哈希”为主域和辅助域之间的传输提升速度。

三在云主机 1 中完成域用户管理及 CA 服务器的部署

1.创建 3 个用户组组名采用对应部门名称的中文全拼命名每个部门都

创建 2 个用户行政部用户 adm1~ adm20、销售部用户 sale1~sale20、技术

部用户 sys1~sys20财务部用户 mon1~mon20,所有用户不能修改其用户口令

并要求用户只能在上班时间可以登录每周六至周日 9:00~18:00。

2. CA 服务器配置

1 安装证书服务设置为企业根 CA,为企业内部自动回复证书申请

2 颁发的证书有效期年份为 6years

3 CA 证书有效期 20 年。

四在云主机 1 中完成组策略部署

1. 配置实现域中技术部的所有员工必须启用密码复杂度要求密码长度最

小为 15 位密码最长存留 60 天允许失败登录尝试的次数、重置失败登录尝试

计数都为 6 次账户将被锁定的时间为 0 分钟直至管理员手动解锁账户

2. 配置实现所有财务部的计算机开机后自动弹出“温馨提示”的对话框

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

14 / 27

显示的内容为“请注意财务数据的安全”

3. 配置实现域内所有计算机“关闭自动播放”

4. 配置实现行政部所有计算机隐藏桌面网络图标“开始”菜单中不保留最

近打开文档的历史。

5. 配置用户 adm20 可远程登录到域控制器

6. 用户 min20 使用漫游用户配置文件配置文件存储在云主机 2 的 C 盘

Profiles 文件夹内。

五在云主机 1 中完成 DNS 服务器的部署

1. 将此服务器配置为主 DNS 服务器具体要求

1 正确配置 JsSkill.com 域名的正向及反向

解析区域

2 创建对应所有服务器主机记录正确解析 JsSkill.com 域中的所有服务器

3 关闭网络掩码排序功能

4 设置 DNS 服务正向区域和反向区域与活动目录集成

5 启用 Active Directory 的回收站功能。

2. 为了防止域控制器的 DNS 域名解析服务造成大量不必要的数据流公司

技术人员决定禁用 DNS 递归功能请您使用 PowerShell 禁用 DNS 递归功能。

3. 新建一条主机记录主机名称为 dnss、 IP 地址为 10.10.10.20

4. 对云主机 1 的 JsSkill.com 区域中的 dnss 主机记录提供完整性验证保

证数据在传输的过程中不被篡改。

六在云主机 2 中完成辅助域控、从属证书及磁盘阵列的部署

1. 将云主机 2 的服务器升级成 JsSkill.com 域的辅助域控制器

2. 将云主机 2 的服务器设置为证书颁发机构

1安装证书服务为企业内部自动回复证书申请

2设置为企业从属 CA负责整个 JsSkill.com 域的证书发放工作

3. 添加三块 SCSI 虚拟硬盘其每块硬盘的大小为 15G并创建 RAID5 卷

盘符为 E 盘。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

15 / 27

七在云主机 2 中完成辅助 DNS 服务器部署

1. 配置云主机 2 为辅助 DNS 服务器

八在云主机 2 中完成 AD RMS 的部署

安装 AD RMS 权限管理服务

1要求安装“AD 权限管理服务器”和“联合身份验证支持”角色服务

2使用 Windows 的内部数据库

3指定群集地址为 https://adrms.JsSkill.com

4配置联合身份验证支持的服务器名称为 https://adrms.JsSkill.com。

九在云主机 3 中完成文件服务器的部署

1. 通过压缩卷新建 E 盘大小自定

2. 在 E 盘上新建文件夹 FilesWeb并将其设置为共享文件夹共享名为

FilesWeb开放共享文件夹的读取/写入权限给 everyone 用户

3. 在 FilesWeb 文件夹内建立两个子文件夹

1子文件夹为“FilesConfigs”用来存储共享设置

2子文件夹为“FilesConts”用来存储共享网页。

十在云主机 3 中完成 DHCP 及 WDS 服务的部署

1. 安装 DHCP 服务为服务器网段部分主机动态分配 IPv4 地址建立作用

域作用域的名称为 dhcpser地址池为 220-225

2. 安装 WDS 服务目的是通过网络引导的方式来安装 Windows Server 2022

R2 CORE 操作系统运用适当技术手段让此 WDS 的客户端只获取到对应 WDS

服务器端 DHCP 下发的 IP 地址。

十一在云主机 3 中完成 DNS 转发服务器和 DNSSEC 签名的部署

1. 安装 DNS 服务器角色设置转发器为“云主机 1”的服务器负责转发

“云主机 6”的域名解析的查询请求

2. 在云主机 3 上导入 JsSkill.com 区域的 DNSKEY 签名来保证数据来自正

确的名称服务器。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

16 / 27

十二在云主机 4 中完成 WEB 服务器 1 的部署

1.安装 IIS 组件创建 www.JsSkill.com 站点

1 将该站点主目录指定到\\WDF\FilesWeb\FilesConts 共享文件夹

2 将 PC1 中“D:\Soft\IIS”目录下的主页文件拷贝到文件服务器中的共享

文件夹\\WDF\FilesWeb\FilesConts 内

3 启动 www.JsSkill.com 站点的共享配置功能通过输入物理路径、用户

名 、 密 码 、 确 认 密 码 和 加 密 秘 钥 将 该 站 点 的 设 置 导 出 、 存 储 到

\\WDF\FilesWeb\FilesConfigs 内

2.设置网站的最大连接数为 1000网站连接超时为 50s网站的带宽为

1000KB/S

3.使用 W3C 记录日志每天创建一个新的日志文件文件名格式

1 日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、

服务器端口号

2 日志文件存储到“C:\WWWLogFile”目录中

4.创建证书申请时证书必需信息为

1 通用名称=“www.JsSkill.com”

2 组织=“JsSkill”

3 组织单位=“sales”

4 城市/地点 =“NanJing”

5 省/市/自治区=“JiangSu”

6 国家/地区=“CN”。

十三在云主机 4 与主云主机 5 之间实现 DFS 服务部署

1. 在两台服务器 D 盘建立 DFSFile 文件夹作为 DFS 同步目录

2. 实现 DFS 同步功能空间名称为 DFSROOT文件夹为 DFSFile复制组

为 ftp-backup拓朴采用交错方式设置复制在周六和周日带宽为完整周一

至周五带宽为 64M同时实现云主机 4 向云主机 5 的双向复制

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

17 / 27

3. 配置云主机 4 的 DFS Ipv4 使用 34567 端口 限制所有服务的 Ipv4 动态

RPC 端口从 8000 开始共 1000 个端口。

十四在云主机 5 中完成 WEB 服务器 2 的部署

1. 安 装 IIS 组 件 实 现 www.JsSkill.com 站 点 的 共 享 配 置 启 动

www.JsSkill.com 站点的共享配置功能通过输入物理路径、用户名、密码、确

认 密 码 和 加 密 密 钥 密 码 使 得 让 该 站 点 可 以 使 用 位 于

\\WDF\FilesWeb\FilesConfigs 内的共享配置

2. 设置网站的最大连接数为 1000网站连接超时为 50s网站的带宽为

1000KB/S

3. 使用 W3C 记录日志每天创建一个新的日志文件文件名格式

1 日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、

服务器端口号

2 日志文件存储到“C:\WWWLogFile”目录中

4. 创建证书申请时证书必需信息为

1 通用名称=“www.JsSkill.com”

2 组织=“JsSkill”

3 组织单位=“sales”

4 城市/地点 =“NanJing”

5 省/市/自治区=“JiangSu”

6 国家/地区=“CN”。

二、在 PC1 上完成如下操作

一完成虚拟主机的创建

1. 安装虚拟机“服务器 1” , 其内存为 768MB硬盘 40G

2. 安装虚拟机“服务器 2” , 其内存为 768MB硬盘 40G

3. 安装虚拟机“服务器 3” , 其内存为 768MB硬盘 40G通过“云主机 3”

的 WDS 服务进行网络引导和安装安装完成后停止“云主机 3”中 DHCP 中服务

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

18 / 27

器网段的作用域。

二在主机“服务器 2”中完成域及安全部署

1. 将“服务器 2”的服务器升级为子域 cz.JsSkill.com

2. 配置“连接安全规则”保证和“云主机 6”之间的通信安全要求入站

和出站都要求身份验证完整性算法采用 SHA-1加密算法采用 AES-CBC 128

预共享的密钥为 JiangSuskills。

三在主机“服务器 1”中完成域控制器的部署

1. 将“服务器 1”服务器升级为域服务器域名为 JiangSuskills.com

2. 在 “服务器 1”中添加二块 SCSI 虚拟硬盘其每块硬盘的大小为 4G。

将二块硬盘配置为 RAID0对应磁盘盘符为 E

3. 实现 E 盘启用卷影副本功能设置每周六的晚上 20:30 创建卷影副本

将副本存储于 C 盘根目录。

四在主机“服务器 1”中完成域控制器信任的部署

1. 在 E 盘下新建文件夹 share并将其文件夹进行共享权限为任何人完

全控制共享名为 share

2. 通过使用单向信任关系实现 JsSkill.com 域的技术部的员工可以访问

JiangSuskills.com 域的共享资源 share 文件夹反之不可以。

五在主机“服务器 3”中完成 Core 服务器的部署

1. 使用命令修改“服务器 3”服务器的主机名为 wscore修改“服务器 3”

服务器的 IP 地址为表 3 中要求的地址并按照题目要求设置默认网关

2. 将其“服务器 3”服务器加入 AD DS 域 JiangSuskills.com 中

3. 关闭“服务器 3”服务器的防火墙

4. 在“服务器 3”服务器上安装 DHCP 服务 启动“服务器 3”服务器的 DHCP

服务。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

19 / 27

第四部分 Linux 系统配置200 分

一 时区、 chrony 、 SSH、 SUDO、密码等服务

【任务描述】为保障企业提供的网络服务具有加密功能提供证书服务配置 CA

服务器, 为模拟相关功能请使用 Linux-1、 Linux-2、 Linux-3 模拟完成相关功

能配置及实际测试。

1 修改所有 Linux-1~Linux-7 主机的主机名为“服务器 IP 地址分配表”中

标注的合格域名。

2 设置所有 Linux 服务器的时区设为“上海”本地时间调整为实际时间。

3 利用 chrony 配置 Linux1 为其他 Linux 主机提供 NTP 服务。

4 Linux-1、 Linux-2、 Linux-3 主机之间 root 用户使用完全合格域名免密

码 ssh 登录彼此。

5 在 Linux-2 配置 sudo使得 nic 能通过任何主机以系统中任何其它类型

的用户身份运行任何命令 accounts 组中的任何成员都能通过任何主机以 root

身份运行/usr/bin 下的 useradd、 userdel 和 usermod 命令。

6 请使用 openssl 命令行工具解密使用 DES3 加密的 d:/soft 中的加密文

件 skills.enc将解密出的文件内容存放到 Linux-1 的/root/skills.dec 中

其他细节为加密之后对数据进行 BASE64 编码加密时使用了随机产生的 salt

对加密密码 1qaz 使用 PBKDF2 算法进行了 5 次迭代。

7 把 Linux-1 配置为 CA 服务器 CA 的私钥 cakey.pem 使用 2048 位私钥文

件存放于/etc/pki/CA/private 目录只有拥有者可读写 CA 证书使用系统默认

文件名 /etc/pki/CA/cacert.pem, 可以签发“省、市/县”名称不同的主机、 web

服务等证书有效期 20 年 CA 颁发证书有效期 10 年证书其他信息 (1) 国

家=“CN” (2) 省=“Jiangsu” (3) 市/县=“CZ” (4) 组织=“skills” (5) 组

织单位=“JSLGJ”。

8 在 PC2 上安装虚拟机“Linux-6” ,要求为内存 2G硬盘 100GB引导分

区和根分区的文件系统采用 xfs 格式

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

20 / 27

9 在 PC2 上安装虚拟机“Linux-7” ,要求为内存 4G硬盘 100GB引导分

区和根分区的文件系统采用 xfs 格式

二 智能 DNS 服务

【任务描述】随之企业服务对象的不断扩大在网络边界实现了多运营商接入的

情况下为保障企业提供的网络服务外网的高速访问同时为了实现区域服务优

化对企业的 DNS 服务实现升级为模拟相关功能请使用 Linux-1、 Linux-2、

Linux-3、 Linux-4、 Linux-5 模拟完成相关功能配置及实际测试。

10 在 Linux-1 上安装配置 DNS 主服务器。

11 实现【服务器 IP 地址分配表】中 Linux-1~Linux-5 的域名的解析。 3.

在 Linux-2 上安装配置对应备份服务器。

12 添加【服务器 IP 地址分配表】中 Linux-6~Linux-7 的域名的解析。

13 修改上述 Linux-1 的 DNS 的主配置文件/etc/named.conf【不修改上述

Linux-1 的 DNS 的其他配置文件】

14 请自定义地址表"js"、 "bj"、 "sh"分别存放 Linux-3、 Linux-4、 Linux-

5 主机的实际 IP 地址

15 分 别 新 建 /etc/named.rfc1912.zones.js 、

/etc/named.rfc1912.zones.bj、 /etc/named.rfc1912.zones.sh 三个不同 zones

文件及其他需要的文件并有效授权存放 Jiangsu、 Beijing、 Shanghai 三个区域

的相关域 m-skills.com 配置信息。

16 实现 Linux-3 Jiangsu、 Linux-4 Beijing、 Linux-5 Shanghai

不同地区主机解析 www.m-skills.com 返回不同 IP 地址

17 规则如下 Linux-3 主机返回 121.2.3.4 Linux-4 主机返回 58.2.3.4

Linux-5 主机返回 211.2.3.4。【使用 hosts 文件不得分】

18 配置服务后相关服务开机自启动。

三 FTP 服务

【任务描述】 FTP 是一个古老而有效的服务允许用户以文件操作的方式与另一

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

21 / 27

主机相互通信可用 FTP 程序访问远程资源 实现用户往返传输文件、目录管

理等 即使双方计算机配有不同的操作系统和文件存储方式。

19 在 Linux-4 服务器上安装配置 VSFTP 服务具体要求为

20 安装配置 vsftp 及 ftp 客户端软件开机启动 FTP 服务系统启用

SELinux 和防火墙请正确配置相关参数保证网络正常访问。

21 为了服务器安全及加强使用规范为网络部、技术部、市场部、行政部

分别创建访客账号分别为 netftp techftp markftp admftp用户密码 SP-

1234指定默认访问路径分别为 /home/ftp/账号名不允许本地登录各部门

员工可以在各自部门的相关目录下实现资源的上传与下载

22 将 FTP 用户登录默认目录设置为/home/ftp。

23 新建 FTP 用户公共目录/home/ftp/pub所有 FTP 用户都可读写但是

只能删除自己创建的文件及目录。

24 设置 markftp、 techftp 用户不能访问上一级目录。

25 匿名用户不允许访问此 FTP 服务器用户 nic 不允许登录此 FTP 服务

器最大连接数上限 50空闲超时 60s 后自动断线。

26 请在 Linux-7 上使用 markftp 用户登录 FTP 服务器在 pub 目录下新建

mark-1 目录在 markftp 目录下上传 hello 文件内容为 Hello Skills2023

27 请在 Linux-7 上请使用 techftp 用户登录 FTP 服务器在 pub 目录下新

建 tech-1 目录在 techftp 目录下上传 hello 文件内容为 Hello Skills2023

28 配置完成重启相关服务并验证检查相关状态

四 Redis 服务

【任务描述】为了解决应用服务器的.CPU 和内存压力减轻.I/O 的压力请采

用.Redis 服务实现高并发数据和海量数据的读写读写分离。

29 利用 Linux5 搭建 redis 服务器群构建两个一主二从的独立服务单集群

使用端口 7001-7002 分别模拟两个独立的主节点为不同的服务提供快速数据服

务 7003-7004 模拟 7001 的从节点 7005-7006 模拟 7002 的从节点。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

22 / 27

30 在 7001 中写入 key 值 name=” Skills-Redis-1”在 7002 中写入 key 值

name=” Skills-Redis-2”。

五 Mariadb 服务配置

【任务描述】为按数据结构来存储和管理数据请采用 Mariadb实现方便、严

密、有效的数据组织、数据维护、数据控制和数据运用。

31 配置 Linux-3 为 Mariadb 服务器创建数据库用户 Jack只能在 Linux-

4 主机上对所有数据库有完全权限。

32 配置 Linux-4 为 Mariadb 客户端创建数据库 userdb在库中创建表

userinfo在表中插入 2 条记录分别为(1,user01 1995-7-1男) (2,user02

1995-9-1女)口令与用户名相同 password 字段用 password 函数加密表

结构如下

33 修改表 userinfo 的结构在 name 字段后添加新字段 height(数据类型

为 float)更新 user1 和 user2 的 height 字段内容为 1.61 和 1.62。

34 把物理机 d:\soft\mysql.txt 中的内容导入到 userinfo 表中 password

字段用 password 函数加密。

35 将表 userinfo 中的记录导出并存放到/var/databak/mysql.sql 文件

中。

36 每周五凌晨 1:00 备份数据库 userdb 到/var/databak/userdb.sql。

六 Linux 防火墙配置

【任务描述】“没有网络安全就没有国家安全”为进一步有效保障企业服务器安

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

23 / 27

全企业安全部门提出利用系统中 Firewall-cmd 的一些功能提升一下服务器

的安全管控及应急能力。

37 使用 firewall-cmd 将 10.12.97.0/20 网段对 Linux-5、 Linux-6 主机的

访问流量导入 work 区域。在 Linux-5、 Linux-6 主机上的 work 区域增加拒绝来

自 10.2.97.0/24 对 DNS 服务的访问的相关 rich rules 条目在 Linux-5 主机

上的 work 区域增加拒绝来自 10.2.96.0/24 对 NTP 服务的访问的相关 rich rules

条目在 Linux-6 主机上的 work 区域增加拒绝来自 210.29.98.0/24 对 http、

https、 samba 服务的访问的相关 rich rules 条目其他 IP 地址正常访问相关主

机服务。

38 使用 firewall-cmd 在 Linux-5 主机上自定 skills-nis 的服务端口为

1020/tcp描述为:Nis-1020在 dmz 区域放行 skills-nis 服务。

39 使用 firewall-cmd 在 Linux-6 主机上自定 skills-xy 的服务端口为

222/ucp描述为:skills-222在 dmz 区域放行 skills-xy 服务。

40 突然接到上级部门关于“护网 2022”的行动指令需要企业紧急封堵一

批上级安全部门搜集的威胁 IP 地址相关地址段在 d:\soft\护网 2022.txt 中

企业安全部紧急开会考虑到企业防火墙性能老化添加过多 IP 过滤规则会影响

用户对企业服务的正常访问企业刚升级了服务器及相关操作系统决定将任务

直接交给服务器系统管理员完成。请在 Linux-5 主机上使用 ipset 构建名称为

“CUT2022”的地址列表类型使用 hash:net将所有来自”护网 2022.txt”中

包含的 IP 地址的数据包自动引导到 drop 区域直接丢弃以有效阻断相关威胁 IP

对 Linux-6、 Linux-7 主机的链接。

41 在 Linux-6 主机上在 nftables 中创建表 skills_ipv6在表中创建链

chain_input在链中添加 rule 方式实现拒绝所有 ipv6 访问本机的 80、 1020、

21 口。

七 Apache、 Nginx、链路聚合配置

【任务描述】随着企业规模的不断扩大为了进一步提高企业 WEB 服务的可靠

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

24 / 27

性、提升 WEB 服务的效能同时有效保护前期 IT 投资请采用 Apache 配置 Web

服务实现基于 NGINX 的初步的简单负载均衡有效整合资源实现对企业网站

的高效、安全、有效的访问采用主机链路聚合技术有效提高链路的冗余、负

载均衡性。请使用 Linux-2、 Linux-3、 Linux-5 模拟完成相关功能配置及实际测

试。

42 在 Linux-6 主机添加一块网卡创建聚合端口组 NAME 为 skills-team1

DEVICE 为 team1聚合模式为 activebackup聚合接口地址为第一块网卡获取的

IP 地址。

43 配置 Linux-2 为 Apache web 服务器网站 web01.skills.com 根目录为

/web/skills/html默认文档 index.html 的内容为“Apache01 加密访问 Linux-

2”使用域名 web01.skills.com 访问虚拟主机。

44 证书由 Linux-1 上的 CA 中心为 Linux-2 签发 http01.crt 证书证书存

放于 Linux-2 主机的/etc/pki/httpd/ssl 目录相关参数为国家=“CN”省=

“Jiangsu”市/县=“CZ”组织=“skills”组织单位=“NIC”服务器主机名=

“ web01.skills.com ” [ 邮 件 名 =nic@skills.com](mailto: 邮 件 名

=nic@skills.com)私钥路径为/etc/pki/httpd/ssl/http01.key。

45 Linux-2 网 站 虚 拟 主 机 配 置 文 件 路 径 为

/etc/httpd/conf.d/myweb.conf【80 和 443 相关配置都存放在 myweb.conf 文件

对应同一 index.html】 , 将所有通过 http、 https 的访问使用 IP 地址、 Linux-

2.skills.com 访问时自动 301 跳转到 https://web01.skills.com在主机及

PC2 上测试。

46 配置 Linux-3 为 Apache web 服务器网站 web02.hh_sk ills.com 根目

录为/web/skills/html默认文档 index.html 的内容为“Apache02 加密访问

Linux-3”使用域名 web02.skills.com 访问虚拟主机。

47 证书由 Linux-1 上的 CA 中心为 Linux-3 签发 http02.crt 证书证书存

放于 Linux-3 主机的/etc/pki/httpd/ssl 目录相关参数为国家=“CN”省=

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

25 / 27

“Jiangsu”市/县=“CZ”组织=“skills”组织单位=“NIC”服务器主机名=

“ web02.skills.com ” [ 邮 件 名 =nic@skills.com](mailto: 邮 件 名

=nic@skills.com)私钥路径为/etc/pki/httpd/ssl/http02.key。

48 Linux-3 网站虚拟主机配置文件路径为/etc/httpd/conf.d/myweb.conf

【80 和 443 相关配置都存放在 myweb.conf 文件对应同一 index.html】将所有

通过 http、 https 的访问使用 IP 地址、 Linux-3.skills.com 访问时自动 301

跳转到 https://web02.skills.com在主机及 PC2 上测试。

49 在 Linux-6 上使用 Nginx 的 proxy_pass 配置域名为 www.skills.com 的

HTTPS 反向代理使用 upstream 配置负载均衡实现 Linux-6 主机 WEB 为前端

Linux-2 主机权重为 1 max_fails 为 3超时为 30 秒和 Linux-3 主机权重

为 2 max_fails 为 3超时为 20 秒的相关 web 服务为后端, 网站虚拟主机配

置文件路径为/etc/nginx/conf.d/antiweb.conf。

50 证书由 Linux-1 上的 CA 中心为 Linux-6 签发 server.crt 证书证书存

放于 Linux-6 主机的/etc/pki/nginx/ssl 目录相关参数为国家=“CN”省=

“ BJ”市/县=“ BJ”组织=“ skills”组织单位=“ NIC”服务器主机名=

“www.skills.com”私钥路径为/etc/pki/nginx/ssl/server.key。

51 在主机 PC2 上测试。

八 Podman 虚拟化服务配置

【任务描述】随着虚拟化技术的发展企业把测试环境迁移到 docker 容器中

考虑到一些安全方面的问题公司决定启用 podman 兼容 Docker。

52 在 Linux-7 上安装 podman。

53 导入 hello 镜像镜像存放在物理机 D:\soft\skills\hello.tar仓库

名为 skills.cn/hello-skills TAG 标签为 2.0。

54 测试运行 hello-skills。

55 导入 nginx 镜像镜像存放在物理机 D:\soft\skills\nginx.tar.gz

仓库名为 skills.cn/nginx-skills TAG 标签为 2.0。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

26 / 27

56 创建 podman 自定义网络名称 skillsnet IP 172.16.88.0/24网

关 172.16.88.254。

57 使用 nginx-skills 镜像创建后台运行容器名称 nginx01网络使用

skillsnet容器主机名为 skills IP 地址为 172.16.88.100将容器 nginx01 的

80 口映射到主机 8080 口。

58 修改容器 nginx01 默认网页内容为“欢迎来到 PODMAN 容器世界”。

59 在 Linux-5 上使用 ip route 添加 172.16.88.0/24 的路由使 Linux-5

可以直接访问到 172.16.88.0/24 网段的容器。

60 将 Linux-1 中的密文及解密文件以下面格式“密文” +skills.enc+“明

文” +skills.dec 分行合并为 JM.html 文件并将 JM.html 文件拷贝到容器

nginx01 的 nginx 服务主目录下使得 JM.html 文件可以被访问。

2023 年江苏省职业院校技能大赛中职 网络搭建与应用赛项公开赛卷——技能要求

27 / 27

第五部分职业规范与素养50 分

一、整理赛位工具、设备归位保持赛后整洁有序。

二、无因选手原因导致设备损坏。