广东省职业院校技能大赛网络建设与运维

原创已于 2025-04-03 22:57:10 修改 · 747 阅读

25 ·

CC 4.0 BY-SA版权

文章标签：

#php #web安全 #网络 #运维 #安全

于 2025-03-17 13:11:47 首次发布

网络建设各地区规程样题专栏收录该内容

29 篇文章

订阅专栏

广东省职业院校技能大赛

网络建设与运维

样题

(一)

赛题说明

一、竞赛项目简介

“网络建设与运维”竞赛技能测试阶段共分 A.网络建设与调试；B.服务搭建与运维；C.AI大模型搭建与调优；D.ICT网络安全虚拟仿真综合应用等四个模块。竞赛时间安排和分值权重见表1

表 1 竞赛时间安排与分值权

模块		比赛时长	分值	答题方式
模块一	网络建设与调试	3.5小时	30%	设备实操结果截图
模块二	服务搭建与运维		30%
模块三	ICT网络安全虚拟仿真综合应用		30%
模块四	AI大模型搭建与调优		10%
合计		3.5小时	100%

二、竞赛注意事项

1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2.请根据大赛所提供的竞赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

3.在进行任何操作之前，请阅读每个部分的所有任务。各任务之间可能存在一定关联。

4.操作过程中需要及时按照答题要求保存相关结果。竞赛结束后，所有设备保持运行状态，评判以最后提交的成果为最终依据。

5.竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将竞赛所用的所有物品（包括试卷等）带离赛场。

6.禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为0分。

模块一：网络建设与调试

任务描述：

某集团公司原在城市A成立了总公司，后在城市B成立了分公司，又在城市C建立了办事处。集团设有产品、营销、法务、财务、人力5个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。

随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要素潜能，为社会创造更多价值，集团决定在总公司建立两个数据中心，在某省建立异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构演进，更好的服务于公司客户。

网络拓扑图及IP地址表：

1.网络拓扑图

培训、环境、资料、考证
公众号：Geek极安云科
网络安全群：624032112
网络系统管理群：223627079 
网络建设与运维群：870959784 

极安云科专注于技能提升，赋能
2024年广东省高校的技能提升，受赋能的客户院校均获奖！
2024年江苏省赛一二等奖前13名中，我们赋能客户占五支队伍！
2024年湖南省赛赋能三所院校均获奖！
2024年山东省赛赋能两所院校均获奖！
2024年湖北省赛赋能参赛院校九支队伍，共计斩获一等奖2项、三等奖7项!

2.网络设备IP地址分配表

设备名称	设备接口	IP地址
SW1	loopback1 ospfv2 ospfv3 bgp	10.1.1.1/32 2001:10:1:1::1/128
	loopback2	10.1.1.2/32 2001:10:1:1::2/128
	vlan10	10.1.11.1/24 2001:10:1:11::1/64
	vlan20	10.1.12.1/24 2001:10:1:12::1/64
	vlan30	10.1.13.1/24 2001:10:1:13::1/64
	vlan40	10.1.14.1/24 2001:10:1:14::1/64
	vlan50	10.1.15.1/24 2001:10:1:15::1/64
	vlan1019	10.1.255.14/30
	vlan1020	10.1.255.5/30
	vlan1022	10.1.255.1/30
	vlan1023 vpn	10.1.255.1/30
SW2	loopback1 ospfv2 ospfv3 bgp	10.1.2.1/32 2001:10:1:2::1/128
	loopback2	10.1.2.2/32 2001:10:1:2::2/128
	vlan10	10.1.21.1/24 2001:10:1:21::1/64
	vlan20	10.1.22.1/24 2001:10:1:22::1/64
	vlan30	10.1.23.1/24 2001:10:1:23::1/64
	vlan40	10.1.24.1/24 2001:10:1:24::1/64
	vlan50	10.1.25.1/24 2001:10:1:25::1/64
	vlan1019	10.1.255.22/30
	vlan1020	10.1.255.9/30
	vlan1022	10.1.255.2/30
	vlan1023 vpn	10.1.255.2/30
SW3	loopback1 ospfv2 ospfv3 bgp	10.1.3.1/32 2001:10:1:3::1/128
	vlan10	10.1.31.1/24 2001:10:1:31::1/64
	vlan20	10.1.32.1/24 2001:10:1:32::1/64
	vlan30	10.1.33.1/24 2001:10:1:33::1/64
	vlan50	10.1.35.1/24 2001:10:1:35::1/64
	vlan1019	10.1.255.6/30
	vlan1020	10.1.255.10/30
SW3模拟办事处	loopback2	10.1.3.2/32 2001:10:1:3::2/128
	vlan110	10.1.110.1/24 2001:10:1:110::1/64
	vlan120	10.1.120.1/24 2001:10:1:120::1/64
	vlan1015	10.1.255.46/30
SW3模拟 Internet	loopback3	200.200.3.3/32 2001:200:200:3::3/128
	vlan1017	200.200.200.1/30
	vlan1018	200.200.200.5/30
AC1	loopback1 ospfv2 ospfv3	10.1.4.1/32 2001:10:1:4::1/128
	loopback2 rip ripng	10.1.4.2/32 2001:10:1:4::2/128
	loopback3	10.1.4.3/32 2001:10:1:4::3/128
	vlan1001	10.1.255.42/30
	vlan130 无线管理	10.1.130.1/24 2001:10:1:130::1/64
	vlan140 无线2.4G 产品	10.1.140.1/24 2001:10:1:140::1/64
	vlan150 无线5G 营销	10.1.150.1/24 2001:10:1:150::1/64
RT1	loopback1 ospfv2 ospfv3 bgp mpls	10.1.5.1/32 2001:10:1:5::1/128
	loopback2 rip ripng	10.1.5.2/32 2001:10:1:5::2/128
	loopback3 isis	10.1.5.3/32 2001:10:1:5::3/128
	loopback4 集团与办事处互联	10.1.5.4/32 2001:10:1:5::4/128
	loopback5 vpn财务	10.1.5.5/32 2001:10:1:5::5/128
	g0/0	10.1.255.29/30
	g0/1	10.1.255.21/30
	g0/2	10.1.255.18/30
	g0/3	10.1.255.25/30
	s1/0	10.1.255.33/30
	s1/1	10.1.255.37/30
RT2	loopback1 ospfv2 ospfv3 bgp mpls	10.1.6.1/32 2001:10:1:6::1/128
	loopback2 rip ripng	10.1.6.2/32 2001:10:1:6::2/128
	loopback3 isis	10.1.6.3/32 2001:10:1:6::3/128
	loopback4 ipsecvpn	10.1.6.4/32 2001:10:1:6::4/128
	tunnel4 ipsecvpn	10.1.255.50/30
	loopback5 vpn财务	10.1.6.5/32 2001:10:1:6::5/128
	g0/0	10.1.255.30/30
	g0/1	10.1.255.41/30
	g0/3	200.200.200.6/30
	s1/0	10.1.255.38/30
	s1/1	10.1.255.34/30
FW1	loopback1 ospfv2 ospfv3 trust	10.1.7.1/32 2001:10:1:7::1/128
	loopback2 rip ripng trust	10.1.7.2/32 2001:10:1:7::2/128
	loopback4 ipsecvpn trust	10.1.7.4/32 2001:10:1:7::4/128
	tunnel4 ipsecvpn VPNHUB	10.1.255.49/30
	e0/1 trust	10.1.255.13/30
	e0/2 trust	10.1.255.17/30
	e0/3 untrust	200.200.200.2/30
FW2	loopback1 ospfv2 ospfv3 trust	10.1.8.1/32 2001:10:1:8::1/128
	e0/1 trust	10.1.255.45/30
	e0/2 dmz	10.1.255.26/30

一、工程统筹

1.职业素养

（1）整理赛位，工具、设备归位，保持赛后整洁有序。

（2）无因选手原因导致设备损坏。

（3）恢复调试现场，保证网络和系统安全运行。

2.网络布线

（1）跳线制作与测试。截取2根当长度的双绞线，端接水晶头，所有网络跳线要求按568B标准制作。

二、交换配置

1.配置vlan，SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。

设备	vlan编号	端口	说明
SW1	vlan10	E1/0/1	产品1段
	vlan20	E1/0/2	营销1段
	vlan30	E1/0/3	法务1段
	vlan40	E1/0/4	财务1段
	vlan50	E1/0/5	人力1段
SW2	vlan10	E1/0/1	产品2段
	vlan20	E1/0/2	营销2段
	vlan30	E1/0/3	法务2段
	vlan40	E1/0/4	财务2段
	vlan50	E1/0/5	人力2段
SW3	vlan10	E1/0/1	产品3段
	vlan20	E1/0/2	营销3段
	vlan30	E1/0/3	法务3段
	vlan50	E1/0/5	人力3段

2.SW1和SW2之间利用三条裸光缆实现互通，其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离，财务业务VPN实例名称为Finance。承载二层业务的只有一条裸光缆通道，配置相关技术，方便后续链路扩容与冗余备份，编号为1，用LACP协议，SW1为active，SW2为passive；采用源、目的IP进行实现流量负载分担。

3.SW3针对每个业务VLAN的第一个接口配置Loopback命令，模拟接口UP，方便后续业务验证与测试。

4.将SW3模拟为Internet交换机，实现与集团其它业务路由表隔离，Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表VPN实例名称为Office。

5.SW1配置SNMP，引擎id分别为1000；创建组GroupSkills，采用最高安全级别，配置组的读、写视图分别为：Skills_R、Skills_W；创建认证用户为UserSkills，采用aes算法进行加密，密钥为Key-1122，哈希算法为sha，密钥为Key-1122；当设备有异常时，需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器10.1.15.120、2001:10:1:15::120，采用最高安全级别；当法务部门对应的用户接口发生UP DOWN事件时禁止发送trap消息至上述集团网管服务器。

6.对SW1与FW1互连流量镜像到SW1 E1/0/1，会话列表为1。

7.SW1和SW2 E1/0/21-28启用单向链路故障检测，当发生该故障时，端口标记为errdisable状态，自动关闭端口，经过1分钟后，端口自动重启；发送Hello报文时间间隔为15s。

三、路由调试

1.启用所有设备的ssh服务，防火墙用户名admin，明文密码Key-1122，其余设备用户名和明文密码均为admin。

2.配置所有设备的时区为GMT+08:00，调整SW1时间为实际时间，SW1配置为ntp server，其他设备用SW1 loopback1 ipv4地址作为ntp server地址，ntp client 请求报文时间间隔1分钟。

3.配置接口ipv4地址和ipv6地址，互联接口ipv6地址用本地链路地址。

4.SW2配置DHCPv4和DHCPv6，分别为总公司产品1段、总公司产品2段、分公司Vlan130、分公司Vlan140和分公司Vlan150分配地址。IPv4地址池名称分别为Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan130、Poolv4-Vlan140、Poolv4-Vlan150，排除网关，DNS为10.1.210.101和10.1.220.101。IPv6地址池名称分别为Poolv6-Vlan11、Poolv6-Vlan21、Poolv6-Vlan130、Poolv6-Vlan140、Poolv6-Vlan150，IPv6地址池用网络前缀表示,排除网关，DNS为2400:3200::1。PC1保留地址10.1.11.9和2001:10:1:11::9，PC2保留地址10.1.21.9和2001:10:1:21::9，AP1保留地址10.1.130.9和2001:10:1:130::9。SW1、AC1中继地址为SW2 Loopback1地址，SW1启用DHCPv4和DHCPv6 snooping，如果E1/0/1连接dhcpv4服务器，则关闭该端口，恢复时间为10分钟。

5.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行OSPFv2和OSPFv3协议（路由模式发布网络用接口地址，BGP协议除外）。

（1）SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议，进程1，区域0，分别发布loopback1地址路由和产品路由，FW1通告type1默认路由。

（2）RT2与AC1之间运行OSPFv2协议，进程1，nssa no-summary区域1；AC1发布loopback1地址路由、产品和营销路由，用prefix-list重发布loopback3。

（3）RT2与AC1之间运行OSPFv3协议，进程1，stub no-summary区域1；AC1发布loopback1地址路由、产品和营销。

（4）SW3模拟办事处产品和营销接口配置为loopback，模拟接口up。SW3模拟办事处与FW2之间运行OSPFv2协议，进程2，区域2，SW3模拟办事处发布loopback2、产品和营销。SW3模拟办事处配置ipv6默认路由；FW2分别配置到SW3模拟办事处loopback2、产品和营销的ipv6明细静态路由，FW2重发布静态路由到OSPFv3协议。

（5）RT1、FW2之间OSPFv2和OSPFv3协议，进程2，区域2；RT1发布loopback4路由，向该区域通告type1默认路由；FW2发布loopback1路由，FW2禁止学习到集团和分公司的所有路由。RT1用prefix-list匹配FW2 loopback1路由、SW3模拟办事处loopback2和产品路由、RT1与FW2直连ipv4路由，将这些路由重发布到区域0。

（6）修改ospf cost为100，实现SW1分别与RT2、FW2之间ipv4和ipv6互访流量优先通过SW1_SW2_RT1链路转发，SW2访问Internet ipv4和ipv6流量优先通过SW2_SW1_FW1链路转发。

6.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议，FW1、RT1、RT2的RIP和RIPng发布loopback2地址路由，AC1 RIP发布loopback2地址路由，AC1 RIPng采用route-map匹配prefix-list重发布loopback2地址路由。RT1配置offset值为3的路由策略，实现RT1-S1/0_RT2-S1/1为主链路，RT1-S1/1_RT2-S1/0为备份链路，ipv4的ACL名称为AclRIP，ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1之间采用chap双向认证，用户名为对端设备名称，密码为Key-1122。

7.RT1以太链路、RT2以太链路之间运行ISIS协议，进程1，分别实现loopback3 之间ipv4互通和ipv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、10.0000.0000.0002.00，路由器类型是Level-2，接口网络类型为点到点。配置域md5认证和接口md5认证，密码均为Key-1122。

8.RT2配置ipv4 nat，实现AC1 ipv4产品用RT2外网接口ipv4地址访问Internet。RT2配置nat64，实现AC1 ipv6产品用RT2外网接口ipv4地址访问Internet，ipv4地址转ipv6地址前缀为64:ff9b::/96。

9.SW1、SW2、SW3、RT1、RT2之间运行BGP协议，SW1、SW2、RT1 AS号65001、RT2 AS号65002、SW3 AS号65003。

（1）SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6 BGP邻居。SW1和SW2之间财务通过loopback2建立ipv4 BGP邻居，SW1和SW2的loopback2互通采用静态路由。

（2）SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6路由；RT1发布办事处营销ipv4和ipv6路由到BGP。

（3）SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转发；SW3法务及人力分别与SW1和SW2法务及人力ipv4和ipv6互访优先在SW3_SW2链路转发，主备链路相互备份；用prefix-list、route-map和BGP路径属性进行选路，新增AS 65000。

四、无线部署

1.AC1 loopback1 ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。AP二层自动注册，AP采用MAC地址认证。配置2个ssid，分别为skills-2.4G和skills-5G。skills-2.4G对应vlan140，用network 140和radio1（模式为n-only-g）,用户接入无线网络时需要采用基于WPA-personal加密方式，密码为Key-1122。skills-5G对应vlan150，用network 150和radio2（模式为n-only-a），不需要认证，隐藏ssid，skills-5G用倒数第一个可用VAP发送5G信号。

2.当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。

3.MAC认证模式为黑名单，MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证。

4.配置vlan110无线接入用户上下行最大带宽为800Mbps，arp上下行最大速率为6packets/s。

5.配置vlan110无线接入用户上班时间（工作日09:00-17:00）访问Internet https上下行CIR为1Mbps，CBS为20Mbps，PBS为30Mbps，exceed-action和violate-action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为Skills。

6.开启Radio的自动信道调整，每天上午10:00触发信道调整功能。

7.开启AP组播广播突发限制功能；AP收到错误帧时，将不再发送ACK帧；AP发送向无线终端表明AP存在的帧时间间隔为1秒。

8.AP发射功率为90%。

五、安全维护

说明：ip地址按照题目给定的顺序用“ip/mask”表示，ipv4 any地址用0.0.0.0/0，ipv6 any地址用::/0，禁止用地址条目，否则按零分处理。

1.FW1配置ipv4 nat，实现集团产品1段ipv4访问Internet ipv4，转换ip/mask为200.200.200.16/28，保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址；当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.1.11.120的 UDP 514端口，记录主机名，用明文轮询方式分发日志；开启相关特性，实现扩展nat转换后的网络地址端口资源。

2.FW1配置nat64，实现集团产品1段ipv6访问Internet ipv4，转换为出接口IP，ipv4转ipv6地址前缀为64:ff9b::/96。

3.FW1和FW2策略默认动作为拒绝，FW1允许集团产品1段ipv4和ipv6访问Internet任意服务。

4.FW2允许办事处产品ipv4访问集团产品1段https服务，允许集团产品1段访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处loopback2 ipv4。

模块二：服务搭建与运维

一、Windows云服务配置

1.创建实例

（1）网络信息表

网络名称	vlan	子网名称	网关	IPv4地址池
network210	210	subnet210	10.1.210.1/24	10.1.210.100-10.1.210.109
network211	211	subnet211	10.1.211.1/24	10.1.211.100-10.1.211.109
network212	212	subnet212	10.1.212.1/24	10.1.212.100-10.1.212.109

（2）实例类型信息表

名称	id	vcpu	内存	硬盘	实例名称	镜像
skills	1	4	4GB	40GB	windows1-windows7	windows2022

（3）实例信息表

实例名称	IPv4地址	完全合格域名
windows1	10.1.210.101	windows1.skills.lan
windows2	10.1.210.102	windows2.skills.lan
windows3	10.1.210.103	windows3.skills.lan
windows4	10.1.210.104	windows4.skills.lan
windows5	10.1.210.105 10.1.211.105	windows5.skills.lan
windows6	10.1.210.106 10.1.211.106 10.1.212.106	windows6.skills.lan
windows7	10.1.210.107 10.1.211.107 10.1.212.107	windows7.skills.lan

2.域服务

任务描述：请采用域环境，管理企业网络资源。

（1）配置windows2为skills.lan域控制器；安装dns服务，dns正反向区域在active directory中存储，负责该域的正反向域名解析。

（2）把skills.lan域服务迁移到windows1；安装dns服务，dns正反向区域在active directory中存储，负责该域的正反向域名解析。

（3）把其他windows主机加入到skills.lan域。所有windows主机（含域控制器）用skills\Administrator身份登陆。

（4）在windows1上安装证书服务，为windows主机颁发证书，证书颁发机构有效期为10年，证书颁发机构的公用名为windows1.skills.lan。复制“计算机”证书模板，名称为“计算机副本”，申请并颁发一张供windows服务器使用的证书，证书友好名称为pc，（将证书导入到需要证书的windows服务器），证书信息：证书有效期=5年，公用名=skills.lan，国家=CN，省=Beijing，城市=Beijing，组织=skills，组织单位=system，使用者可选名称=*.skills.lan和skills.lan。浏览器访问https网站时，不出现证书警告信息。

（5）在windows2上安装从属证书服务，证书颁发机构的公用名为windows2.skills.lan。

（6）启用所有windows服务器的防火墙。

（7）在windows1上新建名称为manager、dev、sale的3个组织单元；每个组织单元内新建与组织单元同名的全局安全组；每个组内新建20个用户：行政部manager00-manager19、开发部dev00-dev19、营销部sale00-sale19，不能修改其口令，密码永不过期。manager00拥有域管理员权限。

3.组策略

任务描述：请采用组策略，实现软件、计算机和用户的策略设置。

（1）添加防火墙入站规则，名称为icmpv4，启用任意IP地址的icmpv4回显请求。

（2）域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书，该模板可用作“服务器身份验证”，有效期5年。

（3）windows3和windows4之间通信采用ipsec安全连接，采用windows1颁发的计算机证书验证。

（4）允许manager组本地登录域控制器，允许manager00用户远程登录到域控制器；拒绝dev组从网络访问域控制器。

（5）登录时不显示上次登录，不显示用户名，无须按ctrl+alt+del。

（6）登录计算机时，在桌面新建名称为chinaskills的快捷方式，目标为https://www.chinaskills-jsw.org，快捷键为ctrl+shift+f6。

（7）为正在登录此计算机的所有用户设置漫游配置文件路径为windows1的C:\profiles，每个用户提供单独的配置文件文件夹。

4.文件共享

任务描述：请采用文件共享，实现共享资源的安全访问。

（1）在windows1的C分区划分2GB的空间，创建NTFS分区，驱动器号为d；创建用户主目录共享文件夹：本地目录为D:\share\home，共享名为home，允许所有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到h卷。禁止用户在该共享文件中创建“*.exe”文件，文件组名和模板名为my。

（2）创建目录D:\share\work，共享名为work，仅manager组和Administrator组有完全控制的安全权限和共享权限，其他认证用户有读取执行的安全权限和共享权限。在AD DS中发布该共享。

5.DFS服务

任务描述：请采用DFS，实现集中管理共享文件。

（1）在windows3-windows5的C分区分别划分2GB的空间，创建NTFS主分区，驱动器号为D。

（2）配置windows3为DFS服务器，命名空间为dfsroot，文件夹为pictures，存储在D:\dfs；实现windows4的D:\pics和windows5的D:\images同步。

（3）配置windows4的dfs IPv4使用34567端口；限制所有服务的IPv4动态rpc端口从8000开始，共1000个端口号。

6.ASP服务

任务描述：请采用IIS搭建web服务，创建安全动态网站，。

（1）把windows3配置为ASP网站，网站仅支持dotnet clr v4.0，站点名称为asp。

（2）http和https绑定本机与外部通信的IP地址，仅允许使用域名访问（使用“计算机副本”证书模板）。客户端访问时，必需有ssl证书（浏览器证书模板为“管理员”）。

（3）网站目录为C:\iis\contents，默认文档index.aspx内容为"Helloaspx"。

（4）使用windows5测试。

7.NLB服务

任务描述：请采用NLB，实现负载平衡。

（1）配置windows5和windows6为NLB服务器。

（2）windows5群集优先级为5，windows6群集优先级为6，群集IPv4地址为10.1.210.60/24，群集名称为www1.skills.lan，采用多播方式。

（3）配置windows5为web服务器，站点名称为www1.skills.lan，网站的最大连接数为10000，网站连接超时为60s，网站的带宽为100Mbps。

（4）共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs。网站主页index.html内容为"HelloNLB"。

（5）使用W3C记录日志，每天创建一个新的日志文件，日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。

（6）网站仅绑定https，IP地址为群集地址，仅允许使用域名加密访问，证书通用名称为www1.skills.lan，证书路径为windows1的D:\FilesWeb\Configs\www.cer。

（7）配置windows6为web服务器，要求采用共享windows5配置的方式；导入windows5证书，证书路径为windows1的D:\FilesWeb\Configs\www.pfx。

8.powershell脚本

任务描述：请采用powershell脚本,实现快速批量的操作。

（1）在windows7上编写C:\createfile.ps1的powershell脚本,创建20个文件C:\file\file00.txt至C:\file\file19.txt，如果文件存在，则删除后，再创建；每个文件的内容同主文件名，如file00.txt文件的内容为“file00”。

二、Linux云服务配置

1.Arm架构云主机创建

虚拟机名称	vcpu	内存	硬盘	IPv4地址	完全合格域名
linux1	2	2048MB	40GB	10.1.220.101/24	linux1.skills.lan
linux2	2	2048MB	40GB	10.1.220.102/24	linux2.skills.lan
linux3	2	2048MB	40GB	10.1.220.103/24	linux3.skills.lan
linux4	2	2048MB	40GB	10.1.220.104/24	linux4.skills.lan
linux5	2	2048MB	40GB	10.1.220.105/24	linux5.skills.lan
linux6	2	2048MB	40GB	10.1.220.106/24	linux6.skills.lan
linux7	2	2048MB	40GB	10.1.220.107/24	linux7.skills.lan
linux8	2	2048MB	40GB	10.1.220.108/24	linux8.skills.lan
linux9	2	2048MB	40GB	10.1.220.109/24	linux9.skills.lan

2.dns服务

任务描述：创建DNS服务器，实现企业域名访问。

（1）所有linux主机启用防火墙，防火墙区域为public，在防火墙中放行对应服务端口。

（2）利用chrony，配置linux1为其他linux主机提供NTP服务。

（3）所有linux主机之间（包含本主机）root用户实现密钥ssh认证，禁用密码认证。

（4）利用bind，配置linux1为主DNS服务器，linux2为备用DNS服务器。为所有linux主机提供冗余DNS正反向解析服务。

（5）配置linux1为CA服务器,为linux主机颁发证书。证书颁发机构有效期10年，公用名为linux1.skills.lan。申请并颁发一张供linux服务器使用的证书，证书信息：有效期=5年，公用名=skills.lan，国家=CN，省=Beijing，城市=Beijing，组织=skills，组织单位=system，使用者可选名称=*.skills.lan和skills.lan。将证书skills.crt和私钥skills.key复制到需要证书的linux服务器/etc/ssl目录。浏览器访问https网站时，不出现证书警告信息。

3.ansible服务

任务描述：请采用ansible，实现自动化运维。

（1）在linux1上安装ansible，作为ansible的控制节点。linux2-linux9作为ansible的受控节点。

4.apache2服务

任务描述：请采用Apache搭建企业网站。

（1）配置linux1为Apache2服务器，使用skills.lan或any.skills.lan（any代表任意网址前缀，用linux1.skills.lan和web.skills.lan测试）访问时，自动跳转到www.skills.lan。禁止使用IP地址访问，默认首页文档/var/www/html/index.html的内容为"apache"。

（2）把/etc/ssl/skills.crt证书文件和/etc/ssl/skills.key私钥文件转换成含有证书和私钥的/etc/ssl/skills.pfx文件；然后把/etc/ssl/skills.pfx转换为含有证书和私钥的/etc/ssl/skills.pem文件，再从/etc/ssl/skills.pem文件中提取证书和私钥分别到/etc/ssl/apache.crt和/etc/ssl/apache.key。

（3）客户端访问Apache服务时，必需有ssl证书。

5.tomcat服务

任务描述：采用Tomcat搭建动态网站。

（1）配置linux2为nginx服务器，默认文档index.html的内容为“hellonginx”；仅允许使用域名访问，http访问自动跳转到https。

（2）利用nginx反向代理，实现linux3和linux4的tomcat负载均衡，通过https://tomcat.skills.lan加密访问Tomcat，http访问通过301自动跳转到https。

（3）配置linux3和linux4为tomcat服务器，网站默认首页内容分别为“tomcatA”和“tomcatB”，仅使用域名访问80端口http和443端口https；证书路径均为/etc/ssl/skills.jks。

6.samba服务

任务描述：请采用samba服务，实现资源共享。

（1）在linux3上创建user00-user19等20个用户；user00和user01添加到manager组，user02和user03添加到dev组。把用户user00-user03添加到samba用户。

（2）配置linux3为samba服务器,建立共享目录/srv/sharesmb，共享名与目录名相同。manager组用户对sharesmb共享有读写权限，dev组对sharesmb共享有只读权限；用户对自己新建的文件有完全权限，对其他用户的文件只有读权限，且不能删除别人的文件。在本机用smbclient命令测试。

（3）在linux4修改/etc/fstab,使用用户user00实现自动挂载linux3的sharesmb共享到/sharesmb。

7.nfs服务

任务描述：请采用nfs，实现共享资源的安全访问。

（1）配置linux2为kdc服务器，负责linux3和linux4的验证。

（2）在linux3上，创建用户，用户名为xiao，uid=222，gid=222，家目录为/home/xiaodir。

（3）配置linux3为nfs服务器，目录/srv/sharenfs的共享要求为：linux服务器所在网络用户有读写权限，所有用户映射为xiao，kdc加密方式为krb5p。

（4）配置linux4为nfs客户端，利用autofs按需挂载linux3上的/srv/sharenfs到/sharenfs目录，挂载成功后在该目录创建test目录。

8.ftp服务

任务描述：请采用FTP服务器，实现文件安全传输。

（1）配置linux2为FTP服务器，安装vsftpd，新建本地用户test，本地用户登陆ftp后的目录为/var/ftp/pub，可以上传下载。

（2）配置ftp虚拟用户认证模式，虚拟用户ftp1和ftp2映射为ftp，ftp1登录ftp后的目录为/var/ftp/vdir/ftp1，可以上传下载,禁止上传后缀名为.docx的文件；ftp2登录ftp后的目录为/var/ftp/vdir/ftp2，仅有下载权限。

（3）使用ftp命令在本机验证。

9.iscsi服务

任务描述：请采用iscsi，搭建存储服务。

（1）为linux8添加4块硬盘，每块硬盘大小为5G，创建lvm卷，卷组名为vg1，逻辑卷名为lv1，容量为全部空间，格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器，为linux9提供iSCSI服务。iSCSI目标端的wwn为iqn.2023-08.lan.skills:server, iSCSI发起端的wwn为iqn.2023-08.lan.skills:client。

（2）配置linux9为iSCSI客户端，实现discovery chap和session chap双向认证，Target认证用户名为IncomingUser，密码为IncomingPass；Initiator认证用户名为OutgoingUser，密码为OutgoingPass。修改/etc/rc.d/rc.local文件开机自动挂载iscsi硬盘到/iscsi目录。

10.mysql服务

任务描述：请安装mysql服务，建立数据表。

（1）配置linux2为mysql服务器，创建数据库用户xiao，在任意机器上对所有数据库有完全权限。

（2）创建数据库userdb；在库中创建表userinfo，表结构如下：

字段名	数据类型	主键	自增
id	int	是	是
name	varchar(10)	否	否
birthday	datetime	否	否
sex	varchar(5)	否	否
password	varchar(200)	否	否

（3）在表中插入2条记录，分别为(1,user1，1999-07-01，男)，(2,user2，1999-07-02，女)，password与name相同，password字段用password函数加密。

（4）修改表userinfo的结构，在name字段后添加新字段height(数据类型为float)，更新user1和user2的height字段内容为1.61和1.62。

（5）新建/var/mysqlbak/userinfo.txt文件，文件内容如下，然后将文件内容导入到userinfo表中，password字段用password函数加密。

3,user3,1.63,1999-07-03,女,user3

4,user4,1.64,1999-07-04,男,user4

5,user5,1.65,1999-07-05,男,user5

6,user6,1.66,1999-07-06,女,user6

7,user7,1.67,1999-07-07,女,user7

8,user8,1.68,1999-07-08,男,user8

9,user9,1.69,1999-07-09,女,user9

（6）将表userinfo的记录导出，存放到/var/databak/mysql.sql，字段之间用','分隔。

（7）每周五凌晨1:00以root用户身份备份数据库userdb到/var/databak/userdb.sql(含创建数据库命令)。

11.shell脚本

任务描述：请采用shell脚本,实现快速批量的操作。

（1）在linux4上编写/root/createfile.sh的shell脚本，创建20个文件/root/shell/file00至/root/shell/file19，如果文件存在，则删除再创建；每个文件的内容同文件名，如file00文件的内容为“file00”。用/root/createfile.sh命令测试。

模块三、ICT网络安全虚拟仿真综合应用

某单位网络拓扑架构如下，交换机连接两台服务器，其中Server1服务器是数字取证服务器，Server2服务器是应急响应服务器，通过交换设备相连，通过路由设备连接到安全设备防火墙，单位的网络拓扑结构如下图所示。

表1.网络设备IP地址分配表

设备	设备名称	设备接口	IP地址
服务器	Server1	Eth0	192.168.1.10/24
	Server2	Eth0	192.168.2.10/24
	Controller	Eth0	192.168.1.1/24
vSwitch	L3_SW1	E0(vlan5) E1(vlan5)	192.168.1.2/24
		E2	192.168.2.2/24
		E3	10.1.1.1/24
路由器	R1	e0/2	10.1.1.2/24
		e0/1	20.1.1.1/24
		E0/3	30.1.1.1/24
		E0/4	40.1.1.1/24
Web应用防火墙	WAF	E0/0	30.1.1.2/24
入侵防御网关	IPS	E0/0	40.1.1.2/24
防火墙	Firewall	e0/1	20.1.1.2/24

1.SDN网络搭建

(1).完成 OpenvSwitch 的安装，软件包位于 "/root/tool" 目录下，并确保数据包转发服务实时可用。

(2).配置 OVS 网络 br0，其中 VLAN 5 对应设备接口E2，VLAN 100 对应设备接口E3，其余默认VLAN1。

(3).为VLAN5、VLAN100和VLAN1完成子接口配置，分别为各子接口分配 IP 地址，并启用路由转发功能。检查所有终端设备的 IP 地址配置情况，确保其准确性。

(4).将vSwitch注册到Controller，对相关联的 OVS 网络完成控制器的绑定。

2.网络排错

网络按照表中要求已经搭建完成，现在有如下故障：

1.L3_SW1上交换机需要设置三层网络，现在三层直连路由无法ping通，但是查看接口的状态发现，接口物理状态都是up的，请分析原因并且故障排除。

2.拓扑中R1路由器与交换机所在的服务器网段通信异常，请分析故障排除。

3.Firewall防火墙日志收到了来自内网的ddos攻击，请分析日志将相关的攻击者/或者网络运维人员误操作引起的攻击流量找出，并设置黑名单策略，请分析日志并进行故障排除。

4. WAF上针对内网配置，编辑防护策略，定义HTTP请求体的最大长度为512，防止缓冲区溢出攻击。

5．在IPS上E0/0接口启用入侵防御模板predef_default，从而实现对网络流量中潜在的入侵行为进行精准识别与有效防御

3.数字取证

Server1服务器上出现了黑链，并且入侵者已经将服务器上的痕迹清除，无法在服务器上进行溯源，恰好在前端的防火墙的开启了数据包分析功能。请你在数据包中进行取证工作，找到入侵者的信息。

4.通过对数据包的分析找到黑客的攻击机IP，并将他作为Flag提交；（格式：[192.168.1.1]）

5.通过对数据包的分析找到黑客扫描服务器的命令，将服务器开放的端口作为Flag提交；端口从小到大排序提交（格式：[21,22,23,24]）

6.通过对数据包的分析找到黑客成功登录网站后台的密码，将他作为Flag提交；（格式：[password]）

4.应急响应

防火墙的日志中出现了webshell警告，Server2服务器上出现了webshell连接情况，管理员已经将服务器进行了安全隔离。请登陆到服务器上，对webshell情况进行排查。

7.在服务器上找到webshell文件，并将webshell的文件名作为flag提交；（格式：[abc.xxx]）

8.在服务器上找到上传webshell的上传方式和时间，将webshell上传的时间作为flag进行提交；（格式：[10/Apr/2020:09:35:41]）

9.分析入侵者在服务器上执行哪些命令，找到执行的第3条命令；（格式：[ipconfig]）

10.找出服务器上存在的后门账号，将账号的密码作为flag进行提交。（格式：[password]）

模块四、AI大模型搭建与调优

随着人工智能技术的快速发展，越来越多的企业和开发者希望能够使用强大的 AI 模型来处理各类任务，如自然语言处理、文本生成、自动化客服、智能推荐等。在此背景下，利用 Ollama 和 Dify 搭建一个可定制的 AI 系统成为了提升智能应用的重要途径。

通过 Ollama 和 Dify 的配置与结合，搭建一个基于大规模预训练模型的人工智能应用系统。此系统能够支持多种 AI 任务的智能化处理，并能快速集成到实际业务中。

1.基本配置

本任务需要使用root用户完成相关配置，已提供操作系统镜像及需要配置前置环境，所需软件安装包均在/root/目录下。命令中要求使用绝对路径，具体要求如下:

1. 在AI-SRV中将操作系统镜像挂载至/media/cdrom，并实现开机自启。

2. 在AI-SRV中完成软件源配置文件的编写，禁用GPG校验，并为源数据建立缓存。

2.环境搭建

本任务需要使用root用户完成相关配置，已提供ollama安装包及需要配置前置环境。命令中要求使用绝对路径，具体要求如下:

1. 在AI-SRV中为ollama配置用户/组，该用户仅用于运行服务，禁止其登录系统，家目录位于/usrlshare/ollama。

2. 在AI-SRV中为root用户加入附加组ollama。

3. 在AI-SRV中将文件ollama-linux-amd64.tgz解压安装至/usr目录下。

4. 在AI-SRV中编写SystemD服务配置，使用服务运行专用用户完成启动，无论发生任何意外情况，服务都会进行自动重启（冷却3秒)，以保证服务可靠运行，服务需要监听所有地址。

5. 在AI-SRV中启动ollama服务，并完成开机启动配置，最终启动ollama服务。

6. 在AI-SRV中导入1.5b.tgz压缩文件模型至ollama。

3.Dify运行环境搭建

本任务需要使用root用户完成相关配置，已提供安装dify及需要配置前置环境。命令中要求使用绝对路径，具体要求如下:

1．在AI-SRV中完成Docker环境的安装，并查看Docker版本信息。

2. 在AlI-SRV中将文件 dify-0.14.2.tar.gz解压至/opt路径中。

3. 在AI-SRV中完成dify镜像的导入，相关文件位于dify-images目录中，完成后检查镜像列表。

4. 在AI-SRV中完成dify 的启动，并在客户机中访问AI-SRV中的dify web服务。

5. 在客户机中访问dify，完成用户注册，邮箱为admin@dify.ai，用户名为admin，密码为Qwer1234，注册后登录dify管理页面。

6. 在客户机中访问dify，完成对ollama模型提供商的注册。

4.语言翻译器构建

本任务需要基于前置环境完成，选手须先自行完成配置，具体要求如下：

1. 根据场景需要，创建空白应用 “Translator”。

2. 为用户提供翻译功能，其中参数包含 Query, Language 两项，要求支持语言（中文、English），提示词自拟。

3. 为确保结果准确性，需要为 Web App 提供翻译结果多版本对照支持。

4. 运行应用，翻译内容：“人工智能改变世界”，“AI has changed the world now.”，并为翻译内容创建候选。