2023年全國職業(yè)院校技能大賽賽項(xiàng)-zz016網(wǎng)絡(luò)建設(shè)與運(yùn)維正式賽卷

賽題說明

一、競賽項(xiàng)目簡介

“網(wǎng)絡(luò)建設(shè)與運(yùn)維”競賽共分為模塊一：網(wǎng)絡(luò)理論測試；模塊二：

網(wǎng)絡(luò)建設(shè)與調(diào)試；模塊三：服務(wù)搭建與運(yùn)維等三個(gè)模塊。競賽安排和

分值權(quán)重見表1。

表1競賽時(shí)間安排與分值權(quán)重

模塊比賽時(shí)長分值答題方式

模塊一網(wǎng)絡(luò)理論測試0.5小時(shí)10%在線測試

模塊二網(wǎng)絡(luò)建設(shè)與調(diào)試40%設(shè)備實(shí)操

6.5小時(shí)

模塊三服務(wù)搭建與運(yùn)維50%設(shè)備實(shí)操

合計(jì)7小時(shí)100%

二、競賽注意事項(xiàng)

1.禁止攜帶和使用移動(dòng)存儲(chǔ)設(shè)備、計(jì)算器、通信工具及參考資料。

2.請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件及文

檔清單、材料清單是否齊全，計(jì)算機(jī)設(shè)備是否能正常使用。

3.請參賽選手仔細(xì)閱讀賽卷，按照要求完成各項(xiàng)操作。

4.操作過程中需要及時(shí)按照答題要求保存相關(guān)結(jié)果。比賽結(jié)束后，

所有設(shè)備保持運(yùn)行狀態(tài)，評判以最后的硬件連接和提交文檔為最終結(jié)

果。

5.競賽完成后，競賽設(shè)備、軟件和賽題請保留在座位上，禁止將

2/35

競賽所用的所有物品（包括試卷等）帶離賽場。

6.禁止在紙質(zhì)資料、比賽設(shè)備和電腦桌上作任何與競賽無關(guān)的標(biāo)記，

禁止在提交資料上填寫與競賽無關(guān)的標(biāo)記，如違反規(guī)定，可視為0分。

7.與比賽相關(guān)的軟件和文檔存放在<U盤>/soft文件夾中。

8.請?jiān)谫N有“pc1-賽位號(hào)”U盤（賽位號(hào)從001-101變化）根目錄新

建“xxx”文件夾作為“選手目錄”（xxx為賽位號(hào)。舉例：1號(hào)賽位，

文件夾名稱為“001”），按照U盤中“答案提交指南.txt”要求生成

答案文檔，將答案文檔復(fù)制到選手目錄。

9.server1管理web網(wǎng)址00/dashboard，管

理員為admin，密碼為admin。server1底層操作系統(tǒng)root用戶密碼

為Key-1122。Windows虛擬機(jī)中Administrator用戶密碼為Key-1122，

題目中所有未指定的密碼均用該密碼。虛擬主機(jī)的IP地址必須手動(dòng)

設(shè)置為該虛擬機(jī)自動(dòng)獲取的IP地址。

10.server2管理web網(wǎng)址0，管理員為Admin，

密碼為Admin@123。

11.使用完全合格域名訪問網(wǎng)絡(luò)資源。

3/35

模塊二：網(wǎng)絡(luò)建設(shè)與調(diào)試

（共計(jì)40分）

任務(wù)背景描述:

某集團(tuán)公司原在城市A建立了總公司，后在城市B建立了分公司，

又在城市C設(shè)立了辦事處。集團(tuán)設(shè)有產(chǎn)品、營銷、法務(wù)、財(cái)務(wù)、人力

5個(gè)部門，統(tǒng)一進(jìn)行IP及業(yè)務(wù)資源的規(guī)劃和分配，全網(wǎng)采用OSPF、

RIP、ISIS、BGP路由協(xié)議進(jìn)行互聯(lián)互通。

隨著企業(yè)數(shù)字化轉(zhuǎn)型工作進(jìn)一步推進(jìn)，為持續(xù)優(yōu)化運(yùn)營創(chuàng)新，充

分激活數(shù)據(jù)要素潛能，為社會(huì)創(chuàng)造更多價(jià)值，集團(tuán)決定在總公司建立

兩個(gè)數(shù)據(jù)中心，在某省建立異地災(zāi)備數(shù)據(jù)中心，以達(dá)到快速、可靠交

換數(shù)據(jù)，增強(qiáng)業(yè)務(wù)部署彈性的目的，完成向兩地三中心整體戰(zhàn)略架構(gòu)

演進(jìn)，更好的服務(wù)于公司客戶。

集團(tuán)、分公司及辦事處的網(wǎng)絡(luò)結(jié)構(gòu)詳見拓?fù)鋱D。編號(hào)為SW1的設(shè)

備作為總公司1#DC核心交換機(jī)，編號(hào)為SW2的設(shè)備作為總公司2#DC

核心交換機(jī)；編號(hào)為SW3的設(shè)備作為某省災(zāi)備DC核心交換機(jī)；編號(hào)

FW1的設(shè)備作為總公司互聯(lián)網(wǎng)出口防火墻；編號(hào)為FW2的設(shè)備作為辦

事處防火墻；編號(hào)為RT1的設(shè)備作為總公司核心路由器；編號(hào)為RT2

的設(shè)備作為分公司路由器；編號(hào)為AC1的設(shè)備作為分公司的有線無線

智能一體化控制器，通過與AP1配合實(shí)現(xiàn)所屬區(qū)域無線覆蓋。

注意：在此典型互聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)架構(gòu)中，作為IT網(wǎng)絡(luò)運(yùn)維人員，

4/35

請根據(jù)拓?fù)錁?gòu)建完整的系統(tǒng)環(huán)境，使整體網(wǎng)絡(luò)架構(gòu)具有良好的穩(wěn)定性、

安全性、可擴(kuò)展性。請完成所有配置后，需從客戶端進(jìn)行測試，確保

能正常訪問到相應(yīng)應(yīng)用。

網(wǎng)絡(luò)拓?fù)鋱D及IP地址表：

1.網(wǎng)絡(luò)拓?fù)鋱D

E1/0/18G0/2G0/1E1/0/1E1/0/2

AC1AP1

SW3RT2

模擬InternetG0/0S1/1S1/0

E1/0/17

E0/3G0/0S1/0S1/1

E0/2G0/1G0/3E0/1E0/2E1/0/15

RT1SW3

FW1G0/2FW2模擬辦事處

E0/1

E1/0/19E1/0/22L2E1/0/22

E1/0/23L3E1/0/23E1/0/19

E1/0/24VPNE1/0/24

E1/0/9E1/0/7LAN1

E1/0/10E1/0/8LAN2

SW1SW2Server1

E1/0/1E1/0/20E1/0/20

E1/0/1

MGMT

Eth1

E1/0/19E1/0/20

PC1PC2

Server2SW3

5/35

2.網(wǎng)絡(luò)設(shè)備IP地址分配表

設(shè)備名稱設(shè)備接口IP地址

/32

Loopback1ospfv2ospfv3bgp

2001:10:4:1::1/128

/32

Loopback2

2001:10:4:1::2/128

/24

Vlan11

2001:10:4:11::1/64

/24

Vlan12

2001:10:4:12::1/64

/24

SW1Vlan13

2001:10:4:13::1/64

/24

Vlan14

2001:10:4:14::1/64

/24

Vlan15

2001:10:4:15::1/64

Vlan10194/30

Vlan1020/30

Vlan1023/30

Vlan1024vpn/30

/32

Loopback1ospfv2ospfv3bgp

2001:10:4:2::1/128

/32

Loopback2

2001:10:4:2::2/128

/24

Vlan21

2001:10:4:21::1/64

/24

Vlan22

2001:10:4:22::1/64

/24

SW2Vlan23

2001:10:4:23::1/64

/24

Vlan24

2001:10:4:24::1/64

/24

Vlan25

2001:10:4:25::1/64

Vlan10192/30

Vlan1020/30

Vlan1023/30

Vlan1024vpn/30

6/35

設(shè)備名稱設(shè)備接口IP地址

/32

Loopback1ospfv2ospfv3bgp

2001:10:4:3::1/128

/24

Vlan31

2001:10:4:31::1/64

/24

Vlan32

2001:10:4:32::1/64

SW3

/24

Vlan33

2001:10:4:33::1/64

/24

Vlan34

2001:10:4:34::1/64

Vlan1019/30

Vlan10200/30

/32

Loopback2

2001:10:4:3::2/128

/24

SW3模擬Vlan110

2001:10:4:110::1/64

辦事處

/24

Vlan120

2001:10:4:120::1/64

Vlan10150/30

SW3模擬Vlan1017/30

InternetVlan1018/30

/32

Loopback1ospfv2ospfv3

2001:10:4:4::1/128

/32

Loopback2ripripng

2001:10:4:4::2/128

/32

Loopback3

2001:10:4:4::3/128

AC1Vlan10016/30

/24

Vlan130無線管理

2001:10:4:130::1/64

/24

Vlan140無線2.4G產(chǎn)品

2001:10:4:140::1/64

/24

Vlan150無線5G營銷

2001:10:4:150::1/64

/32

Loopback1ospfv2ospfv3bgpmpls

2001:10:4:5::1/128

RT1

/32

Loopback2ripripng

2001:10:4:5::2/128

7/35

設(shè)備名稱設(shè)備接口IP地址

/32

Loopback3isis

2001:10:4:5::3/128

/32

Loopback4集團(tuán)與辦事處互聯(lián)

2001:10:4:5::4/128

/32

Loopback5vpn財(cái)務(wù)

2001:10:4:5::5/128

G0/03/30

G0/18/30

G0/21/30

G0/35/30

S1/07/30

S1/11/30

/32

Loopback1ospfv2ospfv3bgpmpls

2001:10:4:6::1/128

/32

Loopback2ripripng

2001:10:4:6::2/128

/32

Loopback3isis

2001:10:4:6::3/128

/32

Loopback4ipsecvpn

2001:10:4:6::4/128

RT2

Tunnel4ipsecvpn0/30

/32

Loopback5vpn財(cái)務(wù)

2001:10:4:6::5/128

G0/04/30

G0/15/30

G0/2/30

S1/02/30

S1/18/30

/32

Loopback1ospfv2ospfv3trust

2001:10:4:7::1/128

/32

Loopback2ripripngtrust

2001:10:4:7::2/128

/32

FW1Loopback3isistrust

2001:10:4:7::3/128

/32

Loopback4ipsecvpntrust

2001:10:4:7::4/128

Tunnel4ipsecvpnVPNHUB9/30

E0/1trust3/30

8/35

設(shè)備名稱設(shè)備接口IP地址

E0/2trust7/30

E0/3untrust/30

/32

Loopback1ospfv2ospfv3trust

2001:10:4:8::1/128

FW2

E0/1dmz6/30

E0/2trust9/30

(一)工程統(tǒng)籌（本題共10分）

1.職業(yè)素養(yǎng)

整理賽位，工具、設(shè)備歸位，保持賽后整潔有序。

無因選手原因?qū)е略O(shè)備損壞。

恢復(fù)調(diào)試現(xiàn)場，保證網(wǎng)絡(luò)和系統(tǒng)安全運(yùn)行。

2.網(wǎng)絡(luò)布線

機(jī)架立面示意圖

左側(cè)面板編號(hào)101；右側(cè)面板編號(hào)102。

面對信息底盒方向左側(cè)為1端口、右側(cè)為2端口。所有配線架、模塊

9/35

按照568B標(biāo)準(zhǔn)端接。

主配線區(qū)配線點(diǎn)與工作區(qū)配線點(diǎn)連線對應(yīng)關(guān)系如下：

序號(hào)信息點(diǎn)編號(hào)配線架編號(hào)底盒編號(hào)信息點(diǎn)編號(hào)配線架端口編號(hào)

1W1-02-101-1W1101102

2W1-06-102-1W1102206

鋪設(shè)線纜并端接。截取2根適當(dāng)長度的雙絞線，兩端制作標(biāo)簽，穿過

PVC線槽或線管。雙絞線在機(jī)柜內(nèi)部進(jìn)行合理布線，并且通過扎帶合

理固定。將2根雙絞線的一端，端接在配線架相應(yīng)端口，另一端端接

上RJ45模塊，并且安裝上信息點(diǎn)面板，并標(biāo)注標(biāo)簽。

跳線制作與測試。截取2根當(dāng)長度的雙絞線，端接水晶頭，所有網(wǎng)絡(luò)

跳線要求按568B標(biāo)準(zhǔn)制作，兩端制作標(biāo)簽，連接網(wǎng)絡(luò)信息點(diǎn)和相應(yīng)

計(jì)算機(jī)。根據(jù)網(wǎng)絡(luò)拓?fù)湟螅厝∵m當(dāng)長度和數(shù)量的雙絞線，端接水

晶頭，插入相應(yīng)設(shè)備的相關(guān)端口上，實(shí)現(xiàn)PC、信息點(diǎn)面板、配線架、

設(shè)備之間的連通。

(二)交換配置（本題共10分）

1.配置SW1、SW2、SW3的Vlan，二層鏈路只允許下面Vlan通過，不

限制vlan1。

設(shè)備Vlan編號(hào)端口說明

Vlan11E1/0/1產(chǎn)品1段

Vlan12E1/0/2營銷1段

SW1Vlan13E1/0/3法務(wù)1段

Vlan14E1/0/4人力1段

Vlan15E1/0/5財(cái)務(wù)1段

Vlan21E1/0/1產(chǎn)品2段

SW2

Vlan22E1/0/2營銷2段

10/35

設(shè)備Vlan編號(hào)端口說明

Vlan23E1/0/3法務(wù)2段

Vlan24E1/0/4人力2段

Vlan25E1/0/5財(cái)務(wù)2段

Vlan31E1/0/1產(chǎn)品3段

Vlan32E1/0/2營銷3段

Vlan33E1/0/3法務(wù)3段

SW3

Vlan34E1/0/4人力3段

Vlan110E1/0/11辦事處產(chǎn)品

Vlan120E1/0/12辦事處營銷

2.SW1和SW2之間利用三條裸光纜實(shí)現(xiàn)互通，其中一條裸光纜承載三

層IP業(yè)務(wù)、一條裸光纜承載VPN業(yè)務(wù)、一條裸光纜承載二層業(yè)務(wù)。

用相關(guān)技術(shù)分別實(shí)現(xiàn)財(cái)務(wù)1段、財(cái)務(wù)2段業(yè)務(wù)路由表與其它業(yè)務(wù)路由

表隔離，財(cái)務(wù)業(yè)務(wù)VPN實(shí)例名稱為Finance，RD為1:1。承載二層業(yè)

務(wù)的只有一條裸光纜通道，配置相關(guān)技術(shù)，方便后續(xù)鏈路擴(kuò)容與冗余

備份，編號(hào)為1，用LACP協(xié)議，SW1為active，SW2為passive；采

用目的、源IP進(jìn)行實(shí)現(xiàn)流量負(fù)載分擔(dān)。

3.為方便后續(xù)驗(yàn)證與測試，SW3的E1/0/22連接其他合適設(shè)備的一個(gè)

接口，配置為trunk，允許Vlan31-34、110、120通過。

4.將SW3模擬辦事處交換機(jī)，實(shí)現(xiàn)與集團(tuán)其它業(yè)務(wù)路由表隔離，辦事

處路由表VPN實(shí)例名稱為Office，RD為1:1。將SW3模擬為Internet

交換機(jī)，實(shí)現(xiàn)與集團(tuán)其它業(yè)務(wù)路由表隔離，Internet路由表VPN實(shí)

例名稱為Internet，RD為2:2。

5.SW1配置SNMP，引擎id分別為1000；創(chuàng)建組GroupSkills，采用

最高安全級(jí)別，配置組的讀、寫視圖分別為：Skills_R、Skills_W；

11/35

創(chuàng)建認(rèn)證用戶為UserSkills，采用aes算法進(jìn)行加密，密鑰為Key-

1122，哈希算法為sha，密鑰為Key-1122；當(dāng)設(shè)備有異常時(shí)，需要用

本地的環(huán)回地址Loopback1發(fā)送v3Trap消息至集團(tuán)網(wǎng)管服務(wù)器

20、2001:10:4:15::120，采用最高安全級(jí)別；當(dāng)法務(wù)部門

的用戶端口發(fā)生updown事件時(shí)禁止發(fā)送trap消息至上述集團(tuán)網(wǎng)管

服務(wù)器。

6.對SW1與FW1互連流量鏡像到SW1E1/0/1，會(huì)話列表為1。

7.SW1和SW2E1/0/21-28啟用單向鏈路故障檢測，當(dāng)發(fā)生該故障時(shí)，

端口標(biāo)記為errdisable狀態(tài)，自動(dòng)關(guān)閉端口，經(jīng)過1分鐘后，端口

自動(dòng)重啟；發(fā)送Hello報(bào)文時(shí)間間隔為15s；

8.SW1和SW2所有端口啟用鏈路層發(fā)現(xiàn)協(xié)議，更新報(bào)文發(fā)送時(shí)間間隔

為20s，老化時(shí)間乘法器值為5，Trap報(bào)文發(fā)送間隔為10s，配置三

條裸光纜端口使能Trap功能。

(三)路由調(diào)試（本題共10分）

1.配置所有設(shè)備主機(jī)名，名稱見“網(wǎng)絡(luò)拓?fù)洹?。啟用所有設(shè)備的ssh服

務(wù)，用戶名和明文密碼均為admin；配置所有設(shè)備ssh連接超時(shí)為9

分鐘，console連接超時(shí)為30分鐘。

2.配置所有設(shè)備的時(shí)區(qū)為GMT+08:00。調(diào)整SW1時(shí)間為實(shí)際時(shí)間，SW1

配置為ntpserver，其他設(shè)備為ntpclient，請求報(bào)文時(shí)間間隔1

分鐘，用SW1Loopback1IPv6地址作為ntpserver地址。

12/35

3.配置接口IPv4地址和IPv6地址，互聯(lián)接口IPv6地址用本地鏈路

地址。FW1和FW2接口僅啟用ping功能以及Loopback1的ssh功能。

4.SW2配置DHCPv4和DHCPv6，分別為Vlan11、Vlan21、Vlan130、

Vlan140、Vlan150分配地址。DHCPv4地址池名稱分別為PC1、PC2、

AP1、POOLv4-VLAN11、POOLv4-VLAN21、POOLv4-VLAN130、POOLv4-

VLAN140、POOLv4-VLAN150，排除網(wǎng)關(guān)，DNS為01和

01。DHCPv6地址池名稱分別為POOLv6-VLAN11、POOLv6-

VLAN21、POOLv6-VLAN130、POOLv6-VLAN140、POOLv6-VLAN150，DHCPv6

地址池用網(wǎng)絡(luò)前綴表示,排除網(wǎng)關(guān)，DNS為2400:3200::1。PC1保留地

址（DHCPv4地址池名稱為PC1）和2001:10:4:11::9，PC2

保留地址（DHCPv4地址池名稱為PC2）和2001:10:4:21::9，

AP1保留地址（DHCPv4地址池名稱為AP1）和

2001:10:4:130::9。SW1、AC1中繼地址為SW2Loopback1地址。SW1

啟用DHCPv4和DHCPv6snooping功能，如果E1/0/1連接DHCPv4服

務(wù)器，則關(guān)閉端口，恢復(fù)時(shí)間為10分鐘。

5.SW1、SW2、SW3、RT1以太鏈路、RT2以太鏈路、FW1、FW2、AC1之

間運(yùn)行OSPFv2和OSPFv3協(xié)議（路由模式發(fā)布網(wǎng)絡(luò)用網(wǎng)絡(luò)地址，按照

IP地址從小到大的順序發(fā)布。每個(gè)prefix-list的序號(hào)從5開始，

按照IP地址從小到大的順序遞增5；route-map的序號(hào)從10開始，

遞增10，route-map名稱與prefix-list名稱相同。每個(gè)ACL序號(hào)從

13/35

10開始，按照IP地址從小到大的順序遞增10）。

SW1、SW2、SW3、RT1、RT2、FW1之間OSPFv2和OSPFv3協(xié)議，process

1，area0，分別發(fā)布Loopback1地址路由和產(chǎn)品路由，F(xiàn)W1通告type1

默認(rèn)路由。

RT2與AC1之間運(yùn)行OSPFv2協(xié)議，process1，area1nssano-

summary；AC1發(fā)布Loopback1地址路由、管理、產(chǎn)品和營銷路由，用

prefix-list重發(fā)布Loopback3，prefix-list名稱為AC1-Loopback3-

IPv4。

RT2與AC1之間運(yùn)行OSPFv3協(xié)議，process1，area1stubno-

summary；AC1發(fā)布Loopback1地址路由、管理、產(chǎn)品和營銷路由。

RT1、FW2、SW3模擬辦事處之間運(yùn)行OSPFv2和OSPFv3協(xié)議，process

2，area2。SW3模擬辦事處發(fā)布Loopback2、產(chǎn)品和營銷路由。FW2

發(fā)布Loopback1路由。RT1發(fā)布Loopback4路由，向該區(qū)域通告type1

默認(rèn)路由；RT1用prefix-list匹配SW3模擬辦事處Loopback2和產(chǎn)

品路由、FW2Loopback1路由(prefix-list名稱分別為SW3-FW2-IPv4

和SW3-FW2-IPv6)、RT1與FW2直連IPv4路由(prefix-list名稱為

RT1-FW2-IPv4)，以上路由重發(fā)布到process1。

修改ospfcost為100，實(shí)現(xiàn)SW1分別與RT2、FW2之間IPv4和IPv6

互訪流量優(yōu)先通過SW1-SW2-RT1鏈路轉(zhuǎn)發(fā)，SW2訪問InternetIPv4

和IPv6流量優(yōu)先通過SW2-SW1-FW1鏈路轉(zhuǎn)發(fā)。

14/35

6.RT1串行鏈路、RT2串行鏈路、FW1、AC1之間分別運(yùn)行RIP和RIPng

協(xié)議，分別發(fā)布Loopback2地址路由（FW1的RIPng發(fā)布路由時(shí)用接

口名稱）。RT1配置offset值為3的路由策略，實(shí)現(xiàn)RT1/S1/0-

RT2/S1/1為主鏈路，RT1/S1/1-RT2/S1/0為備份鏈路，IPv4的ACL名

稱為ACL-RIP-IPv4，IPv6的ACL名稱為ACL-RIP-IPv6。RT1的S1/0

與RT2的S1/1之間采用chap雙向認(rèn)證，用戶名為對端設(shè)備名稱，密

碼為Key-1122。

7.RT1以太鏈路（物理速率為2048000）、RT2以太鏈路、FW1之間運(yùn)

行ISIS協(xié)議，instance1，實(shí)現(xiàn)Loopback3之間IPv4互通和IPv6

互通。RT1、RT2、FW1的NET分別為10.0000.0000.0005.00、

10.0000.0000.0006.00、10.0000.0000.0007.00，路由器類型是

Level-2，互聯(lián)接口網(wǎng)絡(luò)類型為點(diǎn)到點(diǎn)。

8.SW1、SW2、SW3、RT1、RT2之間運(yùn)行BGP協(xié)議，SW1、SW2、RT1AS

號(hào)65001、RT2AS號(hào)65002、SW3AS號(hào)65003。

SW1、SW2、SW3、RT1、RT2之間通過Loopback1建立IPv4和IPv6BGP

鄰居。

SW1和SW2之間財(cái)務(wù)通過Loopback2建立IPv4和IPv6BGP鄰居。SW1

和SW2的Loopback2IPv4互通采用靜態(tài)路由；IPv6互通采用OSPFv3，

process2，area2。

SW1、SW2、SW3分別只發(fā)布營銷、法務(wù)、人力、財(cái)務(wù)等IPv4和IPv6

15/35

路由；RT1發(fā)布辦事處營銷IPv4和IPv6路由到BGP；RT2發(fā)布分公

司營銷IPv4和IPv6路由到BGP。

SW3營銷分別與SW1和SW2營銷IPv4和IPv6互訪優(yōu)先在SW1-SW3鏈

路轉(zhuǎn)發(fā)；SW3法務(wù)及人力分別與SW1和SW2法務(wù)及人力IPv4和IPv6

互訪優(yōu)先在SW2-SW3鏈路轉(zhuǎn)發(fā)，主備鏈路相互備份；在SW3上用

prefix-list、route-map和BGP路徑屬性進(jìn)行選路，新增AS65000。

（SW1和SW2營銷路由prefix-list名稱分別為SW1-SW2-YX-IPv4和

SW1-SW2-YX-IPv6、法務(wù)及人力路由prefix-list名稱分別為SW1-

SW2-FWRL-IPv4和SW1-SW2-FWRL-IPv6；SW3營銷路由prefix-list名

稱分別為SW3-YX-IPv4和SW3-YX-IPv6、法務(wù)及人力路由prefix-list

名稱分別為SW3-FWRL-IPv4和SW3-FWRL-IPv6）

9.利用BGPMPLSVPN技術(shù)，RT1與RT2以太鏈路間運(yùn)行多協(xié)議標(biāo)簽

交換、標(biāo)簽分發(fā)協(xié)議。RT1與RT2間創(chuàng)建財(cái)務(wù)VPN實(shí)例，名稱為Finance，

RT1的RD值為1:1，exportrt值為1:2，importrt值為2:1；RT2

的RD值為2:2。通過兩端Loopback1建立VPN鄰居，分別實(shí)現(xiàn)兩端

Loopback5IPv4互通和IPv6互通。

10.RT2配置IPv4NAT，ACL名稱為ACL-NAT，實(shí)現(xiàn)AC1IPv4產(chǎn)品用

RT2外網(wǎng)接口IPv4地址訪問Internet。RT2配置NAT64，ACL名稱為

ACL-NAT64，實(shí)現(xiàn)AC1IPv6產(chǎn)品用RT2外網(wǎng)接口IPv4地址訪問

Internet，IPv4地址轉(zhuǎn)IPv6地址前綴為64:ff9b::/96。

16/35

(四)無線部署（本題共5分）

1.AC1與AP1相連接口只允許Vlan140和Vlan150通過。AC1

Loopback1IPv4和IPv6地址分別作為AC1的IPv4和IPv6管理地

址。AP二層自動(dòng)注冊，AP采用MAC地址認(rèn)證。配置2個(gè)ssid，分別

為SKILLS-2.4G和SKILLS-5G。SKILLS-2.4G對應(yīng)Vlan140，用Network

140和radio1（profile1,moden-only-g）,用戶接入無線網(wǎng)絡(luò)時(shí)

需要采用基于WPA-personal加密方式，密碼為Key-1122，用第一個(gè)

可用VAP發(fā)送2.4G信號(hào)。SKILLS-5G對應(yīng)Vlan150，用Network150

和radio2（profile1,moden-only-a），不需要認(rèn)證，隱藏ssid，

SKILLS-5G用倒數(shù)第一個(gè)可用VAP發(fā)送5G信號(hào)。

(五)安全維護(hù)（本題共5分）

說明：按照IP地址從小到大的順序用“IP/mask”表示，IPv4Any

地址用/0，IPv6Any地址用::/0，禁止使用地址條目。

1.FW1配置IPv4NAT，id為1，實(shí)現(xiàn)集團(tuán)產(chǎn)品1段IPv4訪問Internet

IPv4，轉(zhuǎn)換ip/mask為6/28，保證每一個(gè)源ip產(chǎn)生

的所有會(huì)話將被映射到同一個(gè)固定的IP地址。

2.FW1配置NAT64，id為2，實(shí)現(xiàn)集團(tuán)產(chǎn)品1段IPv6訪問Internet

IPv4，轉(zhuǎn)換為出接口IP，IPv4轉(zhuǎn)IPv6地址前綴為64:ff9b::/96。

3.FW1和FW2策略默認(rèn)動(dòng)作為拒絕，F(xiàn)W1允許集團(tuán)產(chǎn)品1段IPv4和

IPv6訪問Internet任意服務(wù)。

17/35

4.FW2允許辦事處產(chǎn)品IPv4訪問集團(tuán)產(chǎn)品1段https服務(wù)，允許集

團(tuán)產(chǎn)品1段和產(chǎn)品2段訪問SW3模擬辦事處Loopback2IPv4、FW2

Loopback1IPv4、辦事處產(chǎn)品IPv4。

5.FW1與RT2之間用Internet互聯(lián)地址建立GREOverIPSecVPN，

實(shí)現(xiàn)Loopback4之間的加密訪問。RT2的ACL名稱為ACL-VPN，

transform-set名稱為SET-1，cryptomap名稱為MAP-1。FW1的

isakmpproposal名稱為P-1，isakmppeer名稱為PEER-1，ipsec

proposal名稱為P-2，tunnelipsec名稱為IPSEC-1，tunnelgre名

稱為GRE-1。

模塊三：服務(wù)搭建與運(yùn)維

（共計(jì)50分）

任務(wù)背景描述：

隨著信息技術(shù)更迭，集團(tuán)計(jì)劃2023年把部分業(yè)務(wù)由原有

的X86架構(gòu)服務(wù)器上遷移到ARM架構(gòu)服務(wù)器上，同時(shí)根據(jù)目

前的部分業(yè)務(wù)需求進(jìn)行了部分調(diào)整和優(yōu)化。

(一)X86架構(gòu)計(jì)算機(jī)安裝與管理（本題共5分）

1.PC1系統(tǒng)為ubuntu-desktop-amd64系統(tǒng)，登錄用戶為xiao，密碼

為Key-1122，配置該用戶免密碼執(zhí)行sudo命令。

2.安裝remmina，用該軟件連接server1上的虛擬機(jī)，并配置虛擬機(jī)

上的相應(yīng)服務(wù)。

18/35

(二)ARM64架構(gòu)計(jì)算機(jī)操作系統(tǒng)安裝與管理（本題共5分）

1.從U盤啟動(dòng)PC2，安裝kylin-desktop-arm64（安裝語言為英文），

安裝時(shí)創(chuàng)建用戶為xiao，密碼為Key-1122，配置該用戶免密碼執(zhí)行

sudo命令。

2.配置minicom，用該軟件連接網(wǎng)絡(luò)設(shè)備。

(三)Windows云服務(wù)配置（本題共15分）

1.創(chuàng)建實(shí)例

網(wǎng)絡(luò)信息表

子網(wǎng)名

網(wǎng)絡(luò)名稱Vlan網(wǎng)關(guān)IPv4地址池

稱

Network210210Subnet210/2400-99

Network211211Subnet211none00-99

Network212212Subnet212none00-99

實(shí)例類型信息表（提示：刪除所有已有實(shí)例類型）

名稱idvcpu內(nèi)存磁盤

Skills144096MB100GB

實(shí)例信息表

實(shí)例名稱鏡像實(shí)例類型IPv4地址主機(jī)名稱

windows1windows2022Skills01windows1

windows2windows2022Skills02windows2

windows3windows2022Skills03windows3

windows4windows2022Skills04windows4

05

windows5windows2022Skillswindows5

05

06

windows6windows2022Skillswindows6

06

07

windows7windows2022Skillswindows7

07

windows8windows2022Skills08windows8

19/35

實(shí)例名稱鏡像實(shí)例類型IPv4地址主機(jī)名稱

08

08

09

windows9windows2022Skills09windows9

09

2.域服務(wù)

任務(wù)描述：請采用域環(huán)境，管理企業(yè)網(wǎng)絡(luò)資源。

配置所有windows主機(jī)IP地址和主機(jī)名稱。

配置windows1為skills.lan域控制器；安裝dns服務(wù)，dns正反向

區(qū)域在activedirectory中存儲(chǔ)，負(fù)責(zé)該域的正反向域名解析。

配置windows2為skills.lan輔助域控制器；安裝dns服務(wù)，dns正

反向區(qū)域在activedirectory中存儲(chǔ)，負(fù)責(zé)該域的正反向域名解析。

把其他windows主機(jī)加入到skills.lan域。所有windows主機(jī)（含

域控制器）用skills\Administrator身份登陸。

在windows1上安裝證書服務(wù)，為windows主機(jī)頒發(fā)證書，證書頒發(fā)

機(jī)構(gòu)有效期為10年，證書頒發(fā)機(jī)構(gòu)的公用名為windows1.skills.lan。

復(fù)制“計(jì)算機(jī)”證書模板，名稱為“計(jì)算機(jī)副本”，申請并頒發(fā)一張供

windows服務(wù)器使用的證書，證書友好名稱為pc，（將證書導(dǎo)入到需

要證書的windows服務(wù)器），證書信息：證書有效期=5年，公用名

=skills.lan，國家=CN，省=Beijing，城市=Beijing，組織=skills，

組織單位=system，使用者可選名稱=*.skills.lan和skills.lan。

瀏覽器訪問https網(wǎng)站時(shí)，不出現(xiàn)證書警告信息。

20/35

在windows2上安裝從屬證書服務(wù)，證書頒發(fā)機(jī)構(gòu)的公用名為

windows2.skills.lan。

在windows1上新建名稱為manager、dev、sale的3個(gè)組織單元；每

個(gè)組織單元內(nèi)新建與組織單元同名的全局安全組；每個(gè)組內(nèi)新建20

個(gè)用戶：行政部manager00-manager19、開發(fā)部dev00-dev19、營銷

部sale00-sale19，不能修改其口令，密碼永不過期。manager00擁

有域管理員權(quán)限。

3.組策略

任務(wù)描述：請采用組策略，實(shí)現(xiàn)軟件、計(jì)算機(jī)和用戶的策略設(shè)置。

復(fù)制PowerShell-7.3.6-win-x64.msi到windows1的C:\soft。域中

主機(jī)自動(dòng)安裝powershell7（提示：如果部署不成功，則需要每臺(tái)

windows主機(jī)均手動(dòng)安裝，軟件包在U盤soft目錄。導(dǎo)出答案時(shí)使

用pwsh(powershell7)，而不是powershell5。）

域中主機(jī)自動(dòng)申請“ipsec”模板證書。自動(dòng)注冊“工作站身份驗(yàn)證”

模板證書，該模板可用作“服務(wù)器身份驗(yàn)證”，有效期5年。

允許manager組本地登錄域控制器，允許manager00用戶遠(yuǎn)程登錄到

域控制器；拒絕dev組從網(wǎng)絡(luò)訪問域控制器。

登錄時(shí)不顯示上次登錄，不顯示用戶名，無須按ctrl+alt+del。

登錄計(jì)算機(jī)時(shí)，在桌面新建名稱為vcsc的快捷方式，目標(biāo)為

，快捷鍵為ctrl+shift+f6。

21/35

為正在登錄此計(jì)算機(jī)的所有用戶設(shè)置漫游配置文件路徑為windows1

的C:\profiles，每個(gè)用戶提供單獨(dú)的配置文件文件夾。

4.文件共享

任務(wù)描述：請采用文件共享，實(shí)現(xiàn)共享資源的安全訪問。

在windows1的C分區(qū)劃分2GB的空間，創(chuàng)建NTFS主分區(qū)，驅(qū)動(dòng)器號(hào)

為D；創(chuàng)建用戶主目錄共享文件夾：本地目錄為D:\share\home，共

享名為home，允許所有域用戶完全控制。在本目錄下為所有用戶添加

一個(gè)以用戶名命名的文件夾，該文件夾將設(shè)置為所有域用戶的home

目錄，用戶登錄計(jì)算機(jī)成功后，自動(dòng)映射掛載到h卷。禁止用戶在該

共享文件中創(chuàng)建“*.exe”文件，文件組名和模板名為my。

創(chuàng)建目錄D:\share\work，共享名為work，僅manager組和

Administrator組有完全控制的安全權(quán)限和共享權(quán)限，其他認(rèn)證用戶

有讀取執(zhí)行的安全權(quán)限和共享權(quán)限。在ADDS中發(fā)布該共享。

5.DFS服務(wù)

任務(wù)描述：請采用DFS，實(shí)現(xiàn)集中管理共享文件。

在windows3-windows5的C分區(qū)分別劃分2GB的空間，創(chuàng)建NTFS主

分區(qū)，驅(qū)動(dòng)器號(hào)為D。

配置windows3為DFS服務(wù)器，命名空間為dfsroot，文件夾為

pictures，存儲(chǔ)在D:\dfs，所有用戶都具有讀寫權(quán)限；實(shí)現(xiàn)windows4

的D:\pics和windows5的D:\images同步。

22/35

配置windows4的dfsIPv4使用34567端口；限制所有服務(wù)的IPv4

動(dòng)態(tài)rpc端口從10000開始，共2000個(gè)端口號(hào)。

6.ASP服務(wù)

任務(wù)描述：請采用IIS搭建web服務(wù)，創(chuàng)建安全動(dòng)態(tài)網(wǎng)站，。

把windows3配置為ASP網(wǎng)站，網(wǎng)站僅支持dotnetclrv4.0，站點(diǎn)

名稱為asp。

http和https綁定本機(jī)與外部通信的IP地址，僅允許使用域名訪問

（使用“計(jì)算機(jī)副本”證書模板）。客戶端訪問時(shí)，必需有ssl證書

（瀏覽器證書模板為“管理員”）。

網(wǎng)站目錄為C:\iis\contents，默認(rèn)文檔index.aspx內(nèi)容為

"HelloAspx"。

使用windows5測試。

7.打印服務(wù)

任務(wù)描述：請采用共享打印服務(wù)，實(shí)現(xiàn)共享打印的安全性。

在windows4上安裝打印機(jī)，驅(qū)動(dòng)程序?yàn)椤癕sPublisherColor

Printer”，名稱和共享名稱均為“printer”；在域中發(fā)布共享；使

用組策略部署在"DefaultDomainPolicy"的計(jì)算機(jī)。

網(wǎng)站名稱為printer，http和h