2021 年全国职业院校技能大赛网络搭建与应用赛项

2021 年全国职业院校技能大赛
网络搭建与应用赛项
正式赛卷
（总分 1000 分）
ZZ-2021030 网络搭建与应用赛项执委会及专家组
2021 年 05 月 20 日
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
2 / 25
竞赛说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分三个部分，其中：
第一部分：网络搭建及安全部署项目（500 分）
第二部分：服务器配置及应用项目（480 分）
第三部分：职业规范与素养（ 20 分）
二、竞赛注意事项
1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的比赛环境，检查所列的硬件设备、软件及文档清单、
材料清单是否齐全，计算机设备是否能正常使用。
3.请选手仔细阅读赛卷，按照要求完成各项操作。
4.操作过程中，需要及时保存设备配置。
5.比赛结束后，所有设备保持运行状态，评判以最后的硬件连接和提交文档
为最终结果。
6.比赛完成后，禁止将比赛所用的所有物品（包括赛卷）带离赛场。
7.禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记，如违反
规定，可视为 0 分。
8.与比赛相关的软件和需要完成的报告单在物理机的 D:\soft 文件夹中。
9.请在物理机 PC1 桌面上新建“XX”（XX 为赛位号）文件夹，作为选手提交
竞赛结果的目录，保存选手生成的所有文档。全部自动生成的结果性文件和项目
实施总结报告的保存位置必须正确，否则涉及到的所有操作分值记为 0 分。

2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
3 / 25
项目简介:
某集团原在北京建立了总公司，后在成都建立了分公司，又在广东设立了一
个办事处。集团设有营销、产品、法务、财务、人力 5 个部门，统一进行 IP 及
业务资源的规划和分配，全网采用 OSPF 和 BGP 路由协议进行互联互通。
春回大地，万象更新，站在“两个一百年”历史的交汇点，上半年公司规模
依然保持快速发展，业务数据量和公司访问量增长巨大，努力开创新局面，以高
质量业绩向党献礼。为了更好管理数据，提供服务，集团决定在北京建立两个数
据中心及业务服务平台、在贵州建立异地灾备数据中心，以达到快速、可靠交换
数据，以及增强业务部署弹性的目的，初步完成向两地三中心整体战略架构演进，
更好的服务于公司客户。
集团、分公司及广东办事处的网络结构详见“网络环境”拓扑图。
两台交换机分别作为集团北京两个 DC 的核心交换机编号分别为 SW-1 和 SW- 2；又新采购一台交换机编号为 SW-3，作为集团灾备 DC 的核心交换机；两台防
火墙 FW-1 和 FW-2 分别作为集团、广东办事处的防火墙；一台路由器编号为 RT- 1，作为集团的核心路由器；另一台路由器编号为 RT-2，作为分公司的路由器；
一台有线无线智能一体化控制器作为分公司的 AC，与高性能企业级 AP 配合实现
分公司无线覆盖。
请注意：在此典型互联网应用网络架构中，作为 IT 网络系统管理及运维人
员，请根据拓扑构建完整的系统环境，使整体网络架构具有良好的稳定性、安全
性、可扩展性。请完成所有服务配置后，从客户端进行测试，确保能正常访问到
相应应用。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
4 / 25
网络搭建及安全部署项目（500 分）
【说明】
1.请根据物理机“D:\soft\网络搭建及安全部署竞赛报告单.docx”的要求
生成文档，将生成的文档复制到选手目录。
2.收集防火墙信息时，需要先调整 SecureCRT 软件字符编号为：UTF-8，否
则收集的命令行中文信息会显示乱码。
一、网络布线与基础连接（50 分）
右侧布线面板立面示意图左侧布线面板立面示意图
【说明】
1.机柜左侧布线面板编号 101；机柜右侧布线面板编号 102。
2.面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照
568B 标准端接。
3.主配线区配线点与工作区配线点连线对应关系如下表所示。
PC1、PC2 配线点连线对应关系表
序号信息点编号配线架编号底盒编号信息点编号配线架端口编号 1 W1-02-101-1 W1 101 2 02 2 W1-06-102-1 W1 102 1 06 (一)铺设线缆并端接
1.截取 2 根适当长度的双绞线，两端制作标签，穿过 PVC 线槽或线管。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
5 / 25
双绞线在机柜内部进行合理布线，并且通过扎带合理固定。
2.将 2 根双绞线的一端，根据“PC1、PC2 配线点连线对应关系表“的要
求，端接在配线架的相应端口上。
3.将 2 根双绞线的另一端，根据“PC1、PC2 配线点连线对应关系表”的要
求，端接上 RJ45 模块，并且安装上信息点面板，并标注标签。 (二)跳线制作与测试
1.再截取 2 根当长度的双绞线，两端制作标签，根据“PC1、PC2 配线点连
线对应关系表”的要求，链接网络信息点和相应计算机，端接水晶头，制作网络
跳线，所有网络跳线要求按 568B 标准制作。
2.根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，制作网
络跳线，根据题目要求，插入相应设备的相关端口上；（包括设备与设备之间、
设备与配线架之间）；
3.实现 PC、信息点面板、配线架、设备之间的连通；（提示：可利用机柜上
自带的设备进行通断测试）。
4.按照“PC1、PC2 配线点连线对应关系表”连接机柜两侧底盒端口。
二、交换配置与调试(100 分) (一)为了减少广播，需要根据题目要求规划并配置 VLAN。要求配置合理，
所有链路上不允许不必要 VLAN 的数据流通过。核心交换机 SW-1 和核心交换机
SW-2 之间实现二层业务承载的裸光缆通道目前暂时只允许 VLAN10、VLAN20、
VLAN30、VLAN40、VLAN50 通过，禁止配置 VLAN 及接口的描述信息。根据下述信
息及表，在交换机上完成 VLAN 配置和端口分配。
设备 VLAN 编号端口说明（非 VLAN 描述信息）
SW-1
VLAN10 E1/0/1-2 营销 1 段
VLAN20 E1/0/3-4 产品 1 段
VLAN30 E1/0/5-6 法务 1 段
VLAN40 E1/0/7-8 财务 1 段
VLAN50 E1/0/9-10 人力 1 段
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
6 / 25
设备 VLAN 编号端口说明（非 VLAN 描述信息）
SW-2
VLAN10 E1/0/1-2 营销 2 段
VLAN20 E1/0/3-4 产品 2 段
VLAN30 E1/0/5-6 法务 2 段
VLAN40 E1/0/7-8 财务 2 段
VLAN50 E1/0/9-10 人力 2 段
SW-3
VLAN10 E1/0/1-2 营销 3 段
VLAN20 E1/0/3-4 产品 3 段
VLAN30 E1/0/5-6 法务 3 段
VLAN50 E1/0/9-10 人力 3 段 (二)核心交换机 SW-1 和核心交换机 SW-2 之间租用运营商三条裸光缆通道
实现两个 DC 之间互通，一条裸光缆通道实现三层 IP 业务承载、一条裸光缆通
道实现 VPN 业务承载、一条裸光缆通道实现二层业务承载。核心交换机 SW-1 与
核心交换机 SW-3 之间、核心交换机 SW-2 与核心交换机 SW-3 之间租用运营商
OTN 波分链路实现互通。具体要求如下：
1.为了节约集团成本，设计实现VPN业务承载的裸光缆通道带宽只有10Mbps，
后续再根据业务使用情况考虑是否扩容；使用相关技术分别实现集团财务 1 段、
财务 2 段业务路由表与集团其它业务网段路由表隔离，财务业务位于 VPN 实例
名称 CW 内。
2.配置实现三层 IP 业务承载的裸光缆通道最大传输单元为 1700Bytes，满
足后续集团双 DC VXLAN、EVPN 等新技术应用。
3.目前设计实现二层业务承载的只有一条裸光缆通道，随着集团 1#DC 服务
器数量快速扩容，预计未来 2-3 年集团 1#DC 与 2#DC 间服务器大二层流量会呈
现爆发式增长，配置相关技术，方便后续链路扩容与冗余备份，编号为 1。
4.配置核心交换机 SW-1、SW-2、SW-3 采用源、目的 IP 进行实现流量负载分
担。
5.核心交换机 SW-3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令，
模拟接口 UP，方便后续业务验证与测试。
(三)核心交换机 SW-1 和核心交换机 SW-2 针对营销业务网段的每个物理接
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
口限制收、发数据占用的带宽分别为 100Mbps、90Mbps；针对产品业务网段的每
个物理接口限制所有报文最大收包速率为 100packets/s，如果超过了设置交换
机端口的报文最大收包速率则关闭此端口，10 分钟后再恢复此端口，来保证交
换机对其他业务的正常处理。
(四)要求禁止配置访问控制列表，实现核心交换机 SW-3 法务业务对应的物
理端口间二层流量无法互通；针对 SW-3 人力业务配置相关特性，每个端口只允
许的最大安全 MAC 地址数为 1，当超过设定 MAC 地址数量的最大值，不学习新的
MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录，端口的老化定时
器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留；配
置相关特性实现报文上送设备 CPU 的前端整体上对攻击报文进行拦截，开启日
志记录功能，采样周期 10s 一次，恢复周期为 2 分钟，从而保障 CPU 稳定运行。
(五)核心交换机 SW-1、SW-2、SW-3 分别配置简单网络管理协议，计划启用
V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、
62003；创建认证用户为DCN2021，采用3des算法进行加密，密钥为：Dcn20212021，
哈希算法为 SHA，密钥为：Dcn20212021；加入组 DCN，采用最高安全级别；配置
组的读、写视图分别为：Dcn2021_R、Dcn2021_W；当设备有异常时，需要使用本
地的环回地址 Loopback2 发送 Trap 消息至集团网管服务器 10.50.15.120、
2001:10:50:15::120，采用最高安全级别；当人力部门对应的用户接口发生
UP/DOWN 事件时禁止发送 trap 消息至上述集团网管服务器。
(六)使用相关技术将核心交换机 SW-1、核心交换机 SW-3 模拟为 Internet
交换机，实现与集团其它业务网段路由表隔离，Internet 路由表位于 VPN 实例
名称 Internet 内。
(七)配置相关功能，使核心交换机 SW-1、核心交换机 SW-2、核心交换机 SW- 3 设备能够在网络中相互发现并交互各自的系统及配置信息，以供管理员查询两
端接口对应关系及判断链路的通信状况；配置所有使能此功能的端口发送更新
报文的时间间隔为 1 分钟、更新报文所携带的老化时间为 5 分钟，配置租用运
7 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
营商三条裸光缆通道相关端口使能 Trap 功能，Trap 报文发送间隔为 1 分钟。
三、路由配置与调试(160 分) (一)规划集团内部、集团与广东办事处之间使用 OSPF 协议，集团内使用进
程号为 1，集团与广东办事处间使用进程号为 2，具体要求如下：
1.核心交换机 SW-1 与 FW-1 之间、核心路由器 RT-1 与 FW-1 之间、核心路
由器 RT-1 与 SW-2 之间、SW-1 与 SW-2 之间、SW-1 与 SW-3、SW-2 与 SW-3 均属
于骨干区域；RT-1 与 FW-2 之间属于普通区域，区域号为 20。
2.调整 OSPF 进程号 1 所有接口发送 Hello 包的时间间隔为 5 秒，如果接口
在 3 倍时间内都没有收到对方的 Hello 报文，则认为对端邻居失效。
3.RT-1、SW-1、SW-2、SW-3、FW-1、FW-2 分别发布自己的环回地址路由；
SW-1、SW-2、SW-3 只允许发布营销网段业务路由；FW-2 分别发布自身营销、产
品网段业务路由。
4.核心交换机 SW-1、SW-2、SW-3 OSPF 进程 1 的路由表中业务网段路由只
允许学习到 FW-1 通告的 TYPE1 类型的缺省路由、集团营销业务网段路由、FW-2
环回地址与营销业务网段路由；由于 FW-2 路由条目支持数量有限，禁止学习到
集团、分公司的所有互联地址与业务路由。
(二)规划核心交换机 SW-1 与 SW-2 之间、SW-1 与 SW-3 之间、SW-2 与 SW-3、
SW-2 与 RT-1 之间使用 OSPFv3 协议，均属于骨干区域，发布相应环回地址，禁
止发布业务路由；SW-1 与 SW-2 之间通过两端三层 IP 业务承载的裸光缆通道进
行互联互通。
(三)为了方便业务灵活调度，同时还规划集团北京两个 DC 与集团灾备 DC 之
间、集团与分公司之间使用 BGP 协议，集团北京两个 DC 使用的 AS 号为 62021、
集团灾备 DC 使用的 AS 号为 62022、分公司使用的 AS 号为 62023，具体要求如
下：
1.核心交换机 SW-1 与 SW-2 之间、SW-1 与 RT-1 之间、SW-2 与 RT-1 之间通
8 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
过 OSPFv2 环回地址建立 IBGP 邻居，SW-1 与 SW-3 之间、SW-2 与 SW-3 之间、核
心路由器 RT-1 与分公司路由器 RT-2 之间通过互联地址建立 EBGP 邻居。
2.使用 BGP 协议实现集团 DC 之间 IPV6 业务、集团与分公司之间 IPV6 业
务、北京 DC 之间财务业务互联互通，满足集团 DC 之间、集团与分公司之间 IPV6
及北京 DC 之间财务业务发展的需要；其中要求 SW-1、SW-2、SW-3 之间实现 DC 间 IPV6 业务互联互通需使用环回地址建立 BGP 邻居；集团与分公司之间 IPV6
业务互联互通要求 SW-1、SW-2 与 RT-1 使用环回地址建立 BGP 邻居、核心路由
器 RT-1 与分公司路由器 RT-2 采用互联地址建立 BGP 邻居。
3.要求集团北京两个 DC 与集团灾备 DC、分公司路由器 RT-2 禁止发布除产
品、法务、财务、人力、无线业务网段外的其它路由；SW-1、SW-2、SW-3 BGP 公
网路由表中只允许学习到集团 DC 间产品&法务&人力业务网段、广东办事处产品
业务网段路由、分公司无线业务业务网段路由。
4.利用 BGP 相关功能特性，减少网络不稳定带来的过多的路由更新，抑制
这些不稳定的路由信息，不允许这类路由参与路由选择。
(四)为了合理分配集团内业务流向，保证来回路径一致，业务选路具体要求
如下：
1.实现核心交换机 SW-1 与分公司路由器 RT-2、广东办事处 IPV4 互访流量
优先通过 SW-1_SW-2_RT-1 之间链路转发，SW-1_FW-1_RT-1 之间链路作为备用
链路；实现核心交换机 SW-2 与分公司路由器 RT-2、广东办事处 IPV4 互访流量
优先通过 SW-2_RT-1 之间链路转发，SW-2_SW-1_FW-1_RT-1 之间链路作为备用
链路。
2.实现核心交换机 SW-1 与 Internet 互访流量优先通过 SW-1_FW-1 之间链
路转发，SW-1_SW-2_RT-1_FW-1 之间链路作为备用链路；实现核心交换机 SW-2 与 Internet 互访流量优先通过 SW-2_SW-1_FW-1 之间链路转发，SW-2_RT-1_FW- 1 之间链路作为备用链路。
3.核心交换机 SW-3 与 SW-1、SW-2 IPv4 营销业务互访流量优先通过 SW- 9 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
3_SW-2 之间链路转发，SW-3_SW-1 之间链路作为备用链路；实现 SW-3 与 SW-1、 SW-2 DC 间 IPV6 业务互访流量优先通过 SW-3_SW-1 之间链路转发，SW-3_SW-2
之间链路作为备用链路。
四、无线配置(40 分) (一)分公司无线控制器 AC 与 RT-2 互连，无线业务网关位于 RT-2 上，配置
VLAN100 为 AP 管理 VLAN，VLAN200 为业务 VLAN；AC 提供无线管理与业务的 DHCP
服务，动态分配 IP 地址和网关；分别使用第一个可用地址作为 AC 管理地址和
无线业务管理地址；AP 二层自动注册，AP 采用 MAC 地址认证。 (二)配置一个 SSID DCN2021，访问 Internet 业务，采用 WPA-PSK 认证方
式，加密方式为 WPA 个人版，配置密钥为 Dcn20212021。 (三)配置所有无线接入用户相互隔离，Network 模式下限制 SSID DCN2021
每天早上 0 点到 4 点禁止终端接入，开启 SSID DCN2021 ARP 抑制功能；配置当
无线终端支持 5GHz 网络时，优先引导接入 5GHz 网络，从而获得更大的吞吐量，
提高无线体验。
五、安全策略配置(50 分)
说明：为了统一结果，要求源地址和目的地址均使用“IP/掩码”表示，禁
止使用地址薄或地址条目表示，否则按零分处理。举例截图如下：
10 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
(一)根据题目要求配置 FW-1、FW-2 相应的业务安全域、业务接口；2021 年
护网行动开展在即，调整全网防火墙安全策略缺省规则为拒绝；限制 FW-1 只允
许集团营销业务、分公司无线 IPV4 业务、广东办事处营销业务访问 Internet 业
务；在 FW-2 上限制广东办事处产品业务网段只可以访问集团产品网段 https、
mysql 数据库类型业务，集团营销网段可以访问广东办事处营销业务网段任何端
口。
(二)为了避免集团内部业务直接映射至 Internet 成为攻击“靶心”，不断提
升集团网络安全体系建设，在 FW-1 配置 L2TP VPN，满足远程办公用户通过拨号
登陆访问集团营销业务，创建隧道接口为 tunnel 1、并加入 trust 安全域，地
址池名称为 AddressPool，LNS 地址池为 10.50.253.1/24-10.50.253.100/24，
网关为最大可用地址，认证账号 dcn2021001,密码 dcn2021。 (三)在 FW-1 配置网络地址转换，NAT 地址转换条件中源、目的 IP 均为 any，
公网 NAT 地址池为：202.50.21.0/28；保证每一个源 IP 产生的所有会话将被映
射到同一个固定的 IP 地址，当有流量匹配本地址转换规则时产生日志信息，将
11 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
12 / 25
匹配的日志发送至 10.50.11.120 的 UDP 514 端口；开启相关特性，实现扩展
NAT 转换后的网络地址端口资源。
(四)在 FW-2 开启安全网关的 TCP SYN 包检查功能，只有检查收到的包为
TCP SYN 包后，才建立连接；配置所有的 TCP 数据包每次能够传输的最大数据分
段为 1460、尽力减少网络分片；配置对 TCP 三次握手建立的时间进行检查，如
果在 1 分钟内未完成三次握手，则断掉该连接。
六、业务选路与组播配置 (50 分) (一)考虑到从集团北京两个 DC 与集团灾备 DC 之间共有两条链路，集团灾
备 DC 产品业务网段与集团北京两个 DC 产品业务网段 IPV4 协议栈互访优先在
SW-3 与 SW-1 之间链路转发；集团灾备 DC 法务&人力网段与集团北京两个 DC 法务&人力网段 IPV4 协议栈互访优先在 SW-3 与 SW-2 之间链路转发，主备链路相
互备份。根据以上需求，在交换机上进行合理的业务选路配置。具体要求如下：
1.使用 IP 前缀列表匹配上述业务数据流。
2.使用 BGP 自治系统路径属性进行业务选路，允许新增的变量为 AS 62000，
只允许使用 route-map 来改变路径属性、路由控制。
(二)前年集团内部完成视频会议系统组播功能的测试与上线，获得了良好
演示效果与集团高层领导高度认可。为了更加方便集团与分公司多业务部门横向沟通、交流，提升工作效率，计划在集团营销与分公司无线业务部门间启用组
播协议进行测试，具体要求如下：
1.在 SW-1 与 SW-2 之间、核心路由器 RT-1 与 SW-2 之间、核心路由器 RT-1 与 RT-2 之间运行协议独立组播－密集模式协议、因特网组管理协议第二版本。
2.SW-1 营销业务部门内部终端启用组播，此终端 IP 地址为：
10.50.11.234/24，使用 VLC 工具串流播放视频文件“大赛宣传片.mp4”，模拟组
播源，设置此视频循环播放，组地址 228.50.50.50，端口：2021，实现分公司
无线业务部门内部终端可以通过组播查看视频播放。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
13 / 25
七、IP 地址规划(50 分)
为了不断壮大集团业务经营范围，集团计划在上海成立办事处。通过调研，
计划在上海办事处设立与 Internet 连接的 4 个业务部门，每个业务部门的最大
所需主机数如下表所示，要求从 172.16.32.0/19 网络第一个网段开始进行 IP 地
址规划，IP 地址按照下表依次往后顺延规划，网关地址取每个网段最后一个可
用地址，请完成下表 IP 地址规划。
部门名称最大所需主机数网络地址
（表示形式 X.X.X.X/N）
网关地址
（表示形式 X.X.X.X）
营销 110
产品 600
法务 126
财务 14
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
14 / 25
服务器配置及应用项目（480 分）
【说明】
1.请根据物理机“D:\soft\服务器配置及应用竞赛报告单.docx”的要求生
成文档，将生成的文档复制到选手目录。注意：如果在生成报告后，又在虚拟机
上修改了配置，则必须重新执行报告单中该虚拟机的 powershell 脚本，并重新
复制生成的文件到选手目录。
2.虚拟主机的 IP 地址、主机名称必须与《网络环境》的要求一致，且必须
手动设置为该虚拟机自动获取的 IP 地址（提示：先新建固定 IP 地址的端口，为
了输出结果文档时测试的需要，一定要关闭端口安全，然后创建实例时，不指定
网络，而指定端口）。
3.云平台访问网址 http://192.168.100.100/dcncloud，登录管理员用户名
为 admin，密码为 dcncloud。
4.所有 Windows 虚拟机都启用了远程桌面连接，所有 Linux 虚拟机都启用
了 ssh。
5.镜像 win2019-gui 中用户 Administrator 的密码默认为 Qwer1234，镜像
centos8-cli 中用户 root 的密码为 dcncloud。
6.修改 Windows 虚拟机管理员 Administrator 的密码为 Admin-12345，
Windows 题目中所有未指明的密码均为管理员 Administrator 的密码。不能修改
Linux 虚拟机管理员 root 的密码，Linux 题目中所有未指明的密码均为管理员
root 的密码。
7.所有服务器要求虚拟机系统重新启动后，均能正常启动和使用。
8.openstack 实例仅供导出云平台配置使用，不需要配置服务。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
15 / 25
一、云平台配置（150 分）
1.按照《网络环境》要求新建网络。
2.按照《网络环境》要求新建实例类型（删除云平台中已有实例类型）。
3.按照《网络环境》要求新建实例，实例 IP 地址必须与《网络环境》中的
一致。
4.按照《网络环境》要求新建卷，并连接到实例。
二、Windows 服务配置（165 分） (一)域服务配置
【任务描述】为实现高效管理，请采用域控制器，提升企业网络安全程度，
整合局域网内基于网络的资源。
1.配置 Windows-1 为 skills.com 域服务和 DNS 服务，DNS 正反向区域在
Active Directory 中存储，为 skills.com 域中主机提供正反向解析。把其他
Windows 主机加入到 skills.com 域。
2.配置 Windows-1 为企业根证书服务器，为所有 Windows 主机颁发证书。
CA 证书有效期 20 年，CA 颁发证书有效期均为 10 年，证书的通用名称均用主机
的完全合格域名，证书信息：国家=“CN”，省=“Beijing”，市/县=“Beijing”，
组织=“skills”，组织单位=“system”。
3.把 skills.com 域服务迁移到 Windows-2；安装 DNS 服务，DNS 正反向区
域在 Active Directory 中存储；为 Windows 主机提供冗余的域服务和 DNS服务。
4.在 Windows-2 上新建名称为 hr、fin、sale 的 3 个组织单元；每个组织
单元内新建与组织单元同名的全局安全组；每个组内新建 20 个用户：人力部
（hr101-hr120）、营销部（sale101-sale120）、财务部（fin101-fin120），所有
用户只能每天 8:00-18:00 可以登录，不能修改其口令，密码永不过期；为 fin
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
用户组新建名称为 FinPasswordPolicy 的密码策略，优先级为 1，密码必须符合
复杂性要求、强制最短密码长度为 8 字符、强制密码历史记录为 12 次，强制最
短密码期限为 2 天、强制最长密码期限为 30 天、允许失败登录尝试的次数为 3
次、5 分钟后重置失败登录尝试计数、账户锁定持续时间为 10 分钟。
5.在 Windows-2 上设置组策略，所有域用户到任何一台域计算机登录，“文
档”文件夹重定向到 Windows-2 的 C:\Documents 文件夹，在根目录路径下为每
一用户创建一个文件夹。
6.在 Windows-2 上设置组策略，所有域用户使用漫游用户配置文件，配置文
件存储在 Windows-2 的 C:\Profiles 文件夹，为每个用户提供单独的配置文件
文件夹。
7.在 Windows-2 上设置组策略，客户端自动申请计算机证书；让域中主机之
间通信采用 IPSec 安全连接，但域控制器和网关除外，采用计算机证书验证。
(二)Web 服务配置
【任务描述】为客户获取公司产品信息和企业宣传的需要，创建安全动态
网站，采用 IIS 搭建 Web 服务。
1.把 Windows-2 配置为 web 网站，站点名称为 ws2.skills.com，网站绑定
IP 地址 10.10.60.102 ，仅允许使用域名访问，利用物理机提供的
“D:\soft\rewrite_amd64_zh-CN.msi"软件，实现 http 访问自动跳转到 https，
证书路径为 C:\IIS\Configs\iis.cer。
2.web 网站同时支持 dotnet CLR v2.0 和 dotnet CLR v4.0。
3.ws2.skills.com 网站目录为 C:\IIS\Contents，主页文档 index.aspx 的
内容为"HelloAspx”。
4.修改 openstack 主机的 DNS，openstack 信任 Windows-1 的 CA 证书。
(三)DFS 服务配置
16 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
17 / 25
【任务描述】为建立一个高效率的存储架构，请采用 DFS，实现集中管理
共享文件。
1.在 Windows-2 的 C 分区划分 2GB 的空间，创建 NTFS 分区，驱动器号为 D。
2.配置Windows-2为DFS服务器，命名空间为DFSROOT，文件夹为Pictures；
实现 Windows-3 的 D:\Pics 和 Windows-4 的 D:\Images 同步。
3.配置 Windows-3 的 DFS IPv4 使用 34567 端口；限制所有服务的 IPv4 动态 RPC 端口从 10000 开始，共 20000 个端口号。
(四)WDS 服务
【任务描述】由于企业新购一批服务器，需要安装 Windows Server 2019
操作系统，请采用 WDS 服务实现需求。
1.配置 Windows-3 和 Windows-4 为 DHCP 服务器，两台 DHCP 服务器实现故
障转移，故障转移关系名称为 ws3-ws4，最长客户端提前期为 2 小时，模式为“负
载平衡”，负载平衡比例各为 50%，状态切换间隔 60 分钟，启用消息验证，共享
机密为 Admin-12345。
2.DHCP IPv4 的作用域名称为 skills ，地址范围为 10.10.60.10-
10.10.60.19，网关为 10.10.60.254，DNS 为 10.10.60.101 和 10.10.60.102， DNS 域名为 skills.com，租约期 3 小时，DHCP 服务只绑定 10.10.60.0/24 接口。
3.在 Windows-3 上安装 WDS，部署安装 Windows Server 2019 Datacenter
Core。(五)NLB 服务配置
【任务描述】为提升网络并发数据处理能力、优化网络性能，请采用 NLB，
以保证网络服务的灵活性和可用性。
1.配置 Windows-3 和 Windows-4 为 NLB 服务器，10.10.60.0 网络为负载均
衡网络，10.10.80.0 网络为心跳网络。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
18 / 25
2.Windows-3 群集优先级为 3，Windows-4 群集优先级为 5，群集 IPv4 地址
为 10.10.60.60/24，群集名称为 www1.skills.com，采用多播方式。
3.配置 Windows-3 为 web 服务器，站点名称为 www1.skills.com，网站的最
大连接数为 10000，网站连接超时为 60s，网站的带宽为 100Mbps。
4.共享网页文件、共享网站配置文件和网站日志文件分别存储到 Windows- 2 的 D:\FilesWeb\Contents、D:\FilesWeb\Configs 和 D:\FilesWeb\Logs。网站
主页 index.html 内容为"HelloNLB"，index.html 文件编码为 ANSI。
5.使用 W3C 记录日志，每天创建一个新的日志文件，日志只允许记录日期、
时间、客户端 IP 地址、用户名、服务器 IP 地址、服务器端口号。
6.网站仅绑定 https，IP 地址为群集地址，仅允许使用域名加密访问，证书
通用名称为 www1.skills.com ，证书路径为 Windows-2 的
D:\FilesWeb\Configs\www.cer。
7.配置 Windows-4 为 web 服务器，要求采用共享 windows-3 配置的方式；
导入 Windows-3 证书，证书路径为 Windows-2 的 D:\FilesWeb\Configs\www.pfx。 (六)故障转移群集配置
【任务描述】为提供一个高可用性应用程序或服务的网络环境，请采用
iSCSI SAN 文件服务器故障转移群集。
1.在 Windows-5 上添加 4 块硬盘，每块硬盘大小为 5G，初始化为 GPT 磁盘，
配置为 Raid5，驱动器号为 D 盘。
2.在 Windows-5 上安装 iSCSI 目标服务器，并新建 iSCSI 虚拟磁盘，存储
位置为 D:\；虚拟磁盘名称分别为 Quorum 和 Files，大小分别为 512MB 和 5GB，
目标名称为 win，访问服务器为 Windows-6 和 Windows-7，实行 CHAP 双向认证，
Target 认证用户名和密码分别为 IncomingUser 和 IncomingPass，Initiator 认
证用户名和密码分别为 OutgoingUser 和 OutgoingPass。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
19 / 25
3.在 Windows-6 和 Windows-7 上安装多路径 I/O，10.10.60.0 和 10.10.80.0
网络为 MPIO 网络，连接 Windows-5 的虚拟磁盘 Quorum 和 Files，创建卷，驱动
器号分别为 M 和 N。
4.配置 Windows-6 和 Windows-7 为故障转移群集；10.10.90.0 网络为心跳
网络。
5.在Windows-6上创建名称为WinCluster的群集，其IP地址为10.10.60.70.
6.在 Windows-7 上配置文件服务器角色，名称为 WinClusterFiles，其 IP
地址为 10.10.60.80。为 WinClusterFiles 添加共享文件夹，共享协议采用
“SMB”，共享名称为 WinClusterShare，存储位置为 N:\，NTFS 权限为仅域管
理员和本地管理员组具有完全控制权限，域其他用户具有修改权限；共享权限为仅域管理员具有完全控制权限，域其他用户具有更改权限。 (七)虚拟化
【任务描述】随着虚拟化技术的发展，企业把测试环境迁移到 docker 容
器中。
1.在 windows-2 安装 docker，导入 NanoServer 镜像。软件包和镜像存放在
物理机 D:\soft\DockerWindows。
2.创建名称为 web 的容器，映射 Windows-2 的 8080 端口到容器的 80 端口，
容器启动后运行 cmd 命令，保持容器处于运行状态。
三、Linux 服务配置（165 分） (一)DNS 服务和 CA 服务配置
【任务描述】创建 DNS 服务器，实现企业域名访问。
1.设置所有 Linux 服务器的时区设为“上海”，本地时间调整为实际时间。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
20 / 25
2.启动所有 Linux 服务器的防火墙，并添加相应端口（不允许添加服务）放
行相关服务。
3.利用 chrony 配置 Linux-1 为其他 Linux 主机提供时间同步服务。
4.利用 bind9 软件，配置 Linux-1 为主 DNS 服务器，采用 rndc 技术提供不
间断的 DNS 服务；配置 Linux-2 为备用 DNS 服务器。为所有 Linux 主机提供冗
余 DNS 正反向解析服务。
5.所有Linux主机root用户使用完全合格域名免密码ssh登录到其他Linux
主机。
(1)配置 Linux-1 为 CA 服务器,为所有 Linux 主机颁发证书，不允许修改
/etc/pki/tls/openssl.conf。CA 证书有效期 20 年，CA 颁发证书有效期均为 10
年，证书的通用名称均用主机的完全合格域名，证书信息：国家=“CN”，省
=“Beijing”，市/县=“Beijing”，组织=“skills”，组织单位=“system”。 (二)mail 服务配置
【任务描述】为构建一个企业级邮件服务器，请采用 postfix 和 dovecot，
实现更快、更容易管理、更安全的邮件服务。
1.配置 Linux-2 为 mail 服务器，安装 postfix 和 dovecot。
2.仅支持 smtps 和 pop3s 连接，证书路径为/etc/ssl/mail.crt，私钥路径
为/etc/ssl/mail.key。
3.创建用户 mail1 和 mail2，向 all@skills.com 发送的邮件，每个用户都
会收到。
4.root 用户使用 mail 工具向 all@skills.com 发送一封邮件，邮件主题为
“Hello”，内容为“Welcome”。
(三)PXE 服务配置
【任务描述】由于企业新购一批服务器，需要安装 CentOS 8.3 操作系统，
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
请采用 DHCP+TFTP+vsftpd 服务实现需求。
1.配置 Linux-2 为 DHCP 服务器，为 PXE 客户端提供 IP，地址范围为
10.10.70.20-10.10.70.29，网关为 10.10.70.254，DNS 为 10.10.70.101 和
10.10.70.102，域名为 skills.com。
2.配置 Linux-2 为 TFTP 服务器，为 PXE 客户端提供启动服务，TFTP 目录为
默认值。
3.配置 Linux-2 为 ftp 服务器，为 PXE 客户端提供软件包；复制 CentOS8.3
光盘内文件到 /var/ftp/centos ；复制物理机 D:\soft\kickstart.cfg 到 /var/ftp，并对该文件进行必要的修改，实现完全自动化部署。
(四)samba 服务和 NIS 服务配置
【任务描述】采用 samba 和 NIS 实现的安全共享访问。
1.在 Linux-2 上创建 user101-user120 等 20 个用户；user101 和 user102
添加到 hr 组，user103 添加到 sale 组，user104 添加到 fin 组。
2.配置 Linux-2 为 Samba 服务器 , 建立共享目录 /share/ShareHr,
/share/ShareSale, /share/SharePublic，共享名与目录名相同。
3.hr 组用户对 ShareHr 和 SharePublic 有共享读写权限，sale 组用户对
ShareSale 和 SharePublic 有共享读写权限，fin 组对所有共享均有读写权限；
用户对自己新建的文件有完全权限，对其他用户的文件只有读权限，且不能删除
别人的文件。
4.把用户 user101-user104 添加到 samba 用户。
5.配置 Linux-2 为 KDC 服务器，负责 Linux-3 和 Linux-4 的验证。
6.在 Linux-3 上，创建用户，用户名为 tom，uid=222，gid=222，家目录为
/home/tomdir。
7.配置 Linux-3 为 NFS 服务器，目录 /srv/share 的共享要求为：
10.10.70.0/24 网络用户具有读写权限，所有用户映射为 tom；kdc 加密方式为
21 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
22 / 25
krb5p。目录/srv/tmp 的共享要求为：所有人都可以读写，都（含 root 用户）
不改变身份；kdc 加密方式为 krb5p。
8.配置 Linux-4 为 NFS 客户端，新建/opt/share 和/opt/tmp 目录，分别挂
载 Linux-3 上的/srv/share 和/srv/tmp。
9.配置 Linux-3 为 NIS 服务器，ypserv 服务监听端口为 1020；新建 user1
和 user2 用户，用户目录分别为/home/user1 和/home/user2。
10.配置 Linux-4 为 NIS 客户端，按需自动挂载 Linux-3 上的 user1 和 user2
用户目录到/home。 (五)LNMT 服务配置
【任务描述】根据企业需要搭建 Linux 动态网站，采用 LNMT 实现该需求。
2.配置 Linux-3 为 Mariadb 服务器，安装 Mariadb-server，创建数据库用
户 jack，在任意机器上对所有数据库有完全权限；允许 root 远程登陆。
3.配置 Linux-4 为 Mariadb 客户端，创建数据库 userdb；在库中创建表
userinfo，在表中插入 2 条记录，分别为(1,user1，1995-7-1，男)，(2,user2，
1995-9-1，女)，口令与用户名相同，password 字段用 password 函数加密，表
结构如下：
字段名数据类型主键自增
id int 是是
name varchar(10) 否否
birthday datetime 否否
sex char(5) 否否
password char(200) 否否
4.修改表 userinfo 的结构，在 name 字段后添加新字段 height(数据类型为
float)，更新 user1 和 user2 的 height 字段内容为 1.61 和 1.62。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
5.把物理机 d:\soft\mysql.txt 中的内容导入到 userinfo 表中，password
字段用 password 函数加密。
6.将表 userinfo 中的记录导出，并存放到/var/databak/mysql.sql 文件
中。
7.根据物理机 D:\soft\Tomcat 提供的软件，配置 Linux-3 和 Linux-4 为
Tomcat 服务器，安装目录均为/usr/local/tomcat，网站默认首页内容分别为
“TomcatOne”和“TomcatTwo”，使用 80 端口访问 http 和 443 端口访问 https；
证书路径均为/etc/ssl/tomcat.pfx，证书密码 dcncloud，格式为 pkcs12。信任
Linux CA 证书。
8.配置 Linux-1 为 nginx 服务器，安装 nginx，网站根目录为默认值，默认
文档 index.html 的内容为“HelloNginx”；仅允许使用域名访问，http 访问自
动跳转到 https ，证书路径为 /etc/ssl/nginx.crt ，私钥路径为
/etc/ssl/nginx.key。信任 Linux CA 证书。
9.利用 nginx 反向代理，客户端通过 https://tomcat.skills.com 加密访
问 Tomcat，实现 Linux-3 和 Linux-4 的两个 Tomcat 负载均衡，http 访问通过
301 自动跳转到 https。 (六)高可靠性配置
【任务描述】为准确地表达的集群资源之间的关系，请采用
pacemarker+CoroSync，实现 web 服务的高可用。
10.为 Linux-5 添加 4 块硬盘，每块硬盘大小为 5G，创建 lvm 卷，卷组名称
为 vg1，逻辑卷名称为 lv1，容量为全部空间，格式化为 ext4 格式。使用
/dev/vg1/lv1 配置为 iSCSI 目标服务器，为 Linux-6 和 Linux-7 提供 iSCSI 服
务。iSCSI 目标端的 wwn 为 iqn.2021-05.com.skills:server, iSCSI 发起端的
wwn 为 iqn.2021-05.com.skills:client.
23 / 25
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
24 / 25
11.配置 Linux-6 和 Linux7 为 iSCSI 客户端，实现 discovery chap 和
session chap 双向认证，Target 认证用户名为 IncomingUser，密码为
IncomingPass；Initiator 认证用户名为 OutgoingUser，密码为 OutgoingPass。
12.利用多路径实现负载均衡，多路径别名为 mp。
13.配置 Linux-6 和 Linux-7 为集群服务器，根据物理机
D:\soft\HighAvailability.tar.gz 安装 pcs，集群名称为 LinCluster，Linux- 6 为主服务器， Linux-7 为备份服务器。提供 apache 服务，域名为
www2.skills.com，网站目录/var/www/html，网站主页 index.html 内容为
“HelloLinuxCluster”。IP 资源名称为 vip，虚拟 IP 为 10.10.70.90；站点文
件系统资源名称为 website，物理目录为 mp；监视资源名称为 webstatus，配置
文件为/etc/httpd/conf/httpd.conf。仅允许使用域名访问，http 访问自动跳
转到 https，证书路径为/etc/ssl/www.crt，私钥路径为/etc/ssl/www.key，信
任 CA 根证书。
(七)虚拟化
【任务描述】随着虚拟化技术的发展，企业把测试环境迁移到 docker 容
器中。
1.在 Linux-2 上安装 docker-ce，导入 centos 镜像。软件包和镜像存放在
物理机 D:\soft\DockerLinux。
2.创建名称为 skills 的容器，映射 Linux-2 的 80 端口到容器的 80 端口，
在容器内安装 apache2，默认网页内容为“HelloContainer”。
职业规范与素养（20 分）
一、整理赛位，工具、设备归位，保持赛后整洁有序。
二、无因选手原因导致设备损坏。
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求
三、恢复调试现场，保证网络和系统安全运行。
四、撰写项目实施总结报告。
请参考物理机“D:\soft\项目实施总结报告模板.docx”，撰写完成后将文
件存放到 PC1 桌面的“XX\项目实施总结报告.docx”（XX 为赛位号）文件夹
中。
25 / 25

2021 年全国职业院校技能大赛网络搭建与应用赛项相关推荐

2021年全国职业院校技能大赛网络搭建与应用赛项——国赛组播题
2021年全国职业院校技能大赛网络搭建与应用赛项--国赛组播题 sw1:# ip pim multicast-routing (开启组播模式,在全局模式) int vlan 10 ip pim den ...
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷
2021 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷技能要求 (总分1000 分) ZZ-2021030 网络搭建与应用赛项执委会及专家组2021 年 05 月 20 日竞赛说明一.竞赛 ...
2022年全国职业院校技能大赛网络搭建与应用赛项公开赛卷 (十套合卷)
2022年全国职业院校技能大赛网络搭建与应用赛项公开赛卷 (十套合卷) 第一部分网络搭建及安全部署竞赛总分 400分竞赛时长 8小时 qq群:1169187367(改变程度解析) 2022年 ...
2022 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷
2022 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷第二部分网络搭建及安全部署竞赛总分 450 分竞赛时长 3 小时 2022 年(中职组)网络搭建与应用赛项专家组 2022 年 8 月 ...
2021年全国职业院校技能大赛网络搭建与应用之虚拟化配置答案
虚拟化配置 [任务描述] 随着虚拟化技术的发展,企业把测试环境迁移到docker容器中,并且把Linux加入到Windows域环境中. 在Linux-9上安装docker,软件包存放在物理机D:\so ...
全国职业院校技能大赛网络搭建与应用赛项——云平台底层的一些命令
1.列出运行的虚拟机 virsh list 2.列出所有的虚拟机virsh list --all 3.网络信息表(20分) 显示网络名及所在的vlan id openstack network sho ...
2021年安徽省职业院校技能大赛网络搭建与应用竞赛
2021年安徽省职业院校技能大赛网络搭建与应用竞赛技能要求 (总分1000分) 网络搭建与应用赛项执委会及专家组 2021年4月竞赛说明一.竞赛内容分布 "网络搭建与应用" ...
2021年安徽省职业院校技能大赛网络搭建与应用竞赛
2021年安徽省职业院校技能大赛网络搭建与应用竞赛技能要求 (总分1000分) 网络搭建与应用赛项执委会及专家组 2021年4月竞赛说明一.竞赛内容分布 "网络搭建与应用" ...
2022年甘肃省职业院校技能大赛“网络搭建与应用”赛项
2022年甘肃省职业院校技能大赛 "网络搭建与应用"赛项竞赛说明竞赛内容发布 "网络搭建与应用"赛项竞赛共分三个部分,其中: 第一部分:网络搭建及安全部署项 ...

2021 年全国职业院校技能大赛网络搭建与应用赛项