目录
一、赛项名称
赛项名称:网络建设与运维
赛项归属产业:电子信息产业
赛项组别:学生组
二、竞赛目的
为贯彻党中央、国务院对职业教育工作的决策部署,落实《国家职业教育改革实施方案》,加快职业教育制度创新,促进职业教育高质量发展,以立德树人为根本任务,推进“三全育人”、深化“三教改革”,“以赛促教、以赛促学,以赛促改、以赛促建”, 培养德智体美劳全面发展的高素质劳动者和技术技能人才,选拔中等职业学校信息技术类网络建设与运维方向优秀技术技能型人才开展本竞赛。
以职业需求为导向、以实践能力培养为重,通过竞赛,检验参赛选手的计算机网络拓扑规划能力、IP地址规划能力、网络的搭建与实施能力、设备配置与连接能力、网络安全管理与维护能力、服务器的搭建与调试能力、故障排除和验证能力、应用的接入与测试能力、文档阅读和应用能力、工程现场问题的分析和处理能力、组织管理与团队协调能力、质量管理和成本控制意识。推动网络工程前沿技术在中职学校教学中的应用,推进产学结合的人才培养模式改革,促进专业和产业企业对接、专业课程内容和职业标准对接、教学过程和生产过程对接,进一步明确职业岗位能力要求,引导中职学校计算机网络相关专业的教学改革方向, 关注绿色、安全、智能的计算机 网络技术发展趋势和产业应用方向,引导专业建设紧密对接新一代信息技术产业链、创新链的专业体系。
三、竞赛内容
(一)工作内容
本竞赛项目结合中职计算机网络毕业生主要从事系统集成、系统应用、网络工程、网络安全及售后技术支持等五个岗位的实际情况,竞赛内容即岗位工作主要内容。考察学生对企业网组建与应用过程中所涉及的工程文档阅读与理解、网络设备安装与配置、网络应用服务配置等工作过程的知识运用和实践操作技能。
竞赛内容包括网络实践技能考核、服务器系统应用技能考核和职业素养考核,具体分为三部分,第一部分为网络建设与调试,第二部分为服务器搭建与运维,第三部分为职业规范与团队协作,要求每个参赛队在180分钟内完成。
竞赛以实际工程项目为基础,面向岗位技能,突出工程应用,体现新技术的应用。
本竞赛重点考查参赛学生网络与系统方面的实践技能,具体包括:
1.参赛学生能够根据大赛提供的比赛试题,读懂实际的项目文档,理解实际项目的应用与业务架构。
2.参赛学生能够完成线缆制作、合理配置路由器、交换机、无线控制器、无线AP、防火墙、安装配置服务器操作系统,实现设备和网络的正常运行。
3.参赛学生能够根据业务需求和实际的应用环境,实现网络设备、无线设备、安全设备、服务器、数据库和存储的调试,并根据网络业务需求配置各种策略,以达到网络互联互通,网络服务适应业务需求。
(二)竞赛时长
共3个小时。
(三)成绩比例
1.网络建设与调试部分(50);
2.服务器搭建与运维(45%);
3.职业素养(5%);
四、竞赛方式
1.竞赛以单场次团队赛方式进行,以院校为单位组队参赛,不得跨校组队。每支参赛队由3名选手组成,须为同校在籍学生,并选定其中1名为队长,在180分钟内共同完成给定项目的任务要求。
2.各参赛学校原则上只能选派1支队伍参加比赛(国示校、 国重校、 省示校且在校生规模 3000 人以上的学校至多可以选派2支参赛队)
3.每个参赛队可配2名指导教师,领队可由一名指导教师兼任也可以单独指定,指导教师经报名并通过资格审查后确定。在比赛期间,指导教师不能进入赛场进行现场指导或在场外进行远程指导。
4.本次竞赛根据参赛队数量分批次进行,每批次12–20个参赛队同时比赛,参赛批次和工位号在赛前抽签决定,一天内完成所有批次比赛。赛题以任务书的形式发放,竞赛使用的软件在赛前拷贝至参赛选手的计算机上,参赛队根据任务书的要求完成竞赛任务。
五、竞赛流程
(一)竞赛场次
本赛项为两轮次团体赛项目,分上午、下午在一天内完成。
(二)竞赛流程安排
竞赛时间3小时,赛程具体安排分配如图1竞赛流程图,竞赛流程安排表见表1。
图1:竞赛流程图
表1:竞赛流程安排表
|
时间 |
竞赛环节 |
说 明 |
|
|
第一天 |
15:00-15:30 |
赛项报到 |
参赛选手、裁判、专家报到 |
|
15:30-16:10 |
开幕式及领队会 |
||
|
16:10-16:30 |
各领队进行参赛抽签并进行一次加密 |
领队抽取参赛编号,工作人员进行一次抽签加密确定参赛编号并当场密封参赛编号 |
|
|
16:30-17:00 |
赛场观摩 |
选手分批熟悉场地 |
|
|
17:00-17:30 |
裁判员培训 |
||
|
第二天 |
07:50 |
启封赛场 |
在裁判的监督下工作人员启封赛场 |
|
8:00-11:30 |
第一轮比赛 |
||
|
08:00-08:10 |
二次抽签加密 |
参赛选手凭参赛证、身份证和密封的参赛编号信封列队受工作人员检录并确定参赛编号;由各参赛队队长进行二次抽签加密确定赛位号 |
|
|
08:10-08:20 |
竞赛入场检录 |
参赛选手凭赛位号接受入场检录确认没有携带竞赛禁止的工具和材料 |
|
|
08:20-08:30 |
竞赛选手入场就位、宣读竞赛规则、发布竞赛任务 |
参赛选手根据赛位号由工作人员引导进入竞赛工位、裁判宣读竞赛规则及赛场规则,发布竞赛任务并作必要说明 |
|
|
08:30 |
竞赛开始 |
竞赛开始 |
|
|
11:30 |
竞赛结束 |
选手保存竞赛成果 |
|
|
12:00-13:00 |
赛场恢复 |
技术人员对赛场设备及环境进行恢复 |
|
|
13:00-16:30 |
第二轮比赛 |
||
|
13:00-13:10 |
二次抽签加密 |
参赛选手凭参赛证、身份证和密封的参赛编号信封列队受工作人员检录并确定参赛编号;由各参赛队队长进行二次抽签加密确定赛位号 |
|
|
13:10–13:20 |
竞赛入场检录 |
参赛选手凭赛位号接受入场检录确认没有携带竞赛禁止的工具和材料 |
|
|
13:20-13:30 |
竞赛选手入场就位、宣读竞赛规则、发布竞赛任务 |
参赛选手根据赛位号由工作人员引导进入竞赛工位、裁判宣读竞赛规则及赛场规则,发布竞赛任务并作必要说明 |
|
|
13:30 |
竞赛开始 |
竞赛开始 |
|
|
16:30 |
竞赛结束 |
选手保存竞赛成果 |
|
|
16:30-19:30 |
评分 |
裁判组对竞赛的各参赛队评分 |
|
|
19:30 |
公布竞赛最终成绩 |
||
六、竞赛试题
本赛项试题内容依据教育部中等职业学校信息技术类计算机相关专业教学标准,紧密联系企业生产实际,参照相关专业职业技能鉴定标准要求,结合当今计算机网络新技术、新产品和新应用。大赛组委会聘请来自行业、企业和科研院所、职业院校的专家组成专家工作组,负责命题及相关工作。
七、竞赛规则
(一)参赛资格
参赛选手必须是年龄不超过19周岁(即2023年9月1日前不满19周岁)的成都区域内中等职业学校以内的全日制在籍学生。
各区(县)教育局根据本次大赛报名资格要求,做好参赛选手的资格审查工作,确保报名信息的准确、安全、可靠。区属学校由区(市)县教育局职教科加盖公章,直属和其他学校由学校加盖公章,于竞赛报到时交承办方,以备查阅。
(二)选手报名与组队
1.各区(县)学校选派代表队通过2023年成都市中等职业学校技能大赛网络报名系统统一报名。
2.各参赛学校原则上只能选派1支队伍参加比赛(国示校、 国重校、 省示校且在校生规模 3000 人以上的学校至多可以选派2支参赛队),统一使用规定的学校代表队名称。每支队伍不超过3人,并选定其中1名为队长。
3.参赛队可配指导教师,指导教师不得超过2人,指导教师须为本校专兼职教师。
(三)赛场规则
1. 在比赛期间,各参赛队可根据比赛试题自行决定选手任务分工、工作程序和时间安排。
2. 竞赛结束时,各参赛队应根据比赛要求,提交相应的文档、截图和配置文件等,不交者视作自动放弃,无竞赛成绩。
八、竞赛环境
1.竞赛场地。竞赛现场设置竞赛区、裁判区、服务区、技术支持区。现场保证良好的采光、照明和通风;提供稳定的水、电和供电应急设备。同时提供所有指导教师休息室1间。
2.竞赛设备。所有竞赛设备由组委会负责提供和保障,竞赛区按照参赛队数量准备比赛所需的软硬件平台,为参赛队提供标准竞赛设备。
3.竞赛工位。每个比赛工位上标明编号,并配备竞赛平台和技术工作要求的软、硬件,配有与比赛要求一致的布线线缆及相应水晶头。环境标准要求保证赛场采光(大于500lux)、照明和通风良好;每支参赛队提供一个垃圾箱。每工位配备220V电源(带漏电保护装置),工位内的电缆线应符合安全要求。每个比赛间配有工作台,用于摆放计算机和其它调试设备工具等。配备3把工作椅(凳)。
4.服务区提供医疗等服务保障。
5.竞赛工位隔离和抗干扰。竞赛工位之间标有隔离线,每个相邻竞赛赛位隔离线之间间隔不低于1.5米。
6.赛场周围要设立警戒线,防止无关人员进入发生意外事件。比赛现场内应参照相关职业岗位的要求为选手提供必要的劳动保护,提供保证应急预案实施的条件,必须明确制度和预案,并配备急救人员与设施。
九、技术规范
(一)竞赛知识及技能要求
|
序号 |
内容模块 |
具体内容 |
说明 |
|
1 |
网络建设与调试(50%) |
网络综合布线安装和施工 |
综合布线基础:网络布线、设备连接、端口标识、电源接入;物理连通性检测、链路质量(基于GB50312-2007)检测、端口检测等 |
|
2 |
IP地址划分实施 |
VLSM、CIDR等 |
|
|
3 |
交换基本配置 |
VLAN、STP、RSTP、MSTP、802.1X、ARP、交换机虚拟化、交换安全、端口聚合、端口镜像、VRRP、IPV6、PBR、BFD、DHCP Snooping、SSH等 |
|
|
4 |
路由基本配置 |
静态、RIP、RIPng、OSPF、OSPFv3、BGP等单播路由协议、NTP、DHCP、TELNET、策略路由、IPV6、NAT等 |
|
|
5 |
无线配置 |
设置、分配、接入、开通等 |
|
|
6 |
广域网配置 |
PPP、NAT、NAPT等 |
|
|
7 |
防火墙 |
能够在企业网络中部署防火墙,使用防火墙规则保护内网服务安全,在防火墙上实现路由、NAT转换、防ddos攻击;实现包过滤、URL过滤、P2P流量控制等 |
|
|
8 |
网络优化 |
利用ACL、QOS、交换机虚拟化等配置,实现网络优化等 |
|
|
9 |
VPN技术 |
利用VPN实现远程安全接入和站点到站点的IPSEC VPN等 |
|
|
无线调试 |
配置无线网络安全加密、MAC认证接入控制等;AP配置管理、AC射频管理、QOS配置、安全配置,限时策略、强制漫游、负载均衡配置等 |
||
|
10 |
网络运维 |
能够通过Cisco packet tracer模拟器提供的网络拓扑、设备配置以及网络状态完成故障分析和网络排错。 |
|
|
11 |
服务器搭建与运维(45%) |
操作系统安装(Windows/Linux) |
能够熟练安装操作系统,并能对操作系统进行安全配置和应用管理 |
|
12 |
配置常用服务(Windows/Linux) |
能够根据企业的应用需求,熟练安装和配置AD、DNS、WEB、FTP、E-MAIL、DHCP、代理、存储等常用服务并进行数据库配置与管理,并能实际运用。能够熟练掌握虚拟化技术完成特定环境配置;使用服务器集群技术来实现网络的负载均衡或故障转移 |
|
|
13 |
云平台部署 |
在云平台配置资源模板、创建网络、创建卷、利用平台内置系统生成实例,使运行后实例可以接入网络工作 |
|
|
14 |
操作系统安全技术 |
域安全配置、文件系统安全配置、权限管理、配置CA服务、系统防火墙防护等 |
|
|
15 |
职业素养(5%) |
职业规范与团队协作 |
比赛规范及团队协作 |
(二)竞赛技术平台标准
|
序号 |
标准号 |
中文标准名称 |
|
1 |
GB50311-2007 |
综合布线系统工程设计规范 |
|
2 |
GB50312-2007 |
综合布线系统工程验收规范 |
|
3 |
GB50174-2008 |
电子信息系统机房设计规范 |
|
4 |
GB21671-2008 |
基于以太网技术的局域网系统验收测评规范 |
|
5 |
GB/T22239-2008 |
信息系统安全等级保护基本要求 |
十、技术平台
(一)竞赛硬件技术平台
|
设备类别 |
品牌 |
设备名称 |
数量 |
单位 |
备注 |
|
三层交换机 |
神州数码 |
CS6200-28X-EI |
3 |
台 |
|
|
虚拟化线缆 |
神州数码 |
DAC-SFPX-3M |
2 |
根 |
|
|
路由器 |
神州数码 |
DCR-2855 |
2 |
台 |
|
|
路由器线缆 |
神州数码 |
CR-V35MT-V35FC |
2 |
根 |
|
|
无线控制器 |
神州数码 |
DCWS-6028 |
1 |
台 |
|
|
多核防火墙 |
神州数码 |
DCFW-1800E-N3002 |
2 |
台 |
5.5系统版本 |
|
无线AP |
神州数码 |
WL8200-I2 |
1 |
台 |
|
|
无线POE模块 |
神州数码 |
DCWL-PoEINJ-G+ |
1 |
套 |
|
|
云实训平台 |
神州数码 |
DCC-CRL1000 |
1 |
台 |
2.0版本 |
|
实施辅助工具 |
Console配置线、配置转接线、压线钳、超五类网络,RJ45水晶头、测线仪等 |
1 |
套 |
承办校提供 |
|
|
电脑 |
CPU主频>=3.5GHZ,>=四核心;内存>=8G;硬盘>=500G;支持硬件虚拟化 |
3 |
台 |
承办校提供 |
(二)竞赛软件技术平台
|
序号 |
品牌 |
型号 |
|
1 |
微软 |
Windows 10 专业版 64位 |
|
2 |
Centos |
Centos 8.3(64位) |
|
3 |
微软 |
Microsoft Office 2016 (中文版)或WPS |
|
4 |
微软 |
Microsoft Windows Server 2016 |
|
5 |
浏览器 |
谷歌浏览器(Google Chrome) |
|
6 |
超级终端 |
SecureCRT |
|
7 |
截图软件 |
FScapture6.5(免费版) |
|
8 |
工具 |
WINRAR 5.21(中文版) |
|
9 |
软件包 |
Apache Tomcat 8.5 |
|
10 |
软件包 |
JDK(Java Development Kit)1.7及以上 |
|
11 |
软件包 |
FlashFXP5.4 |
|
12 |
软件包 |
Foxmail 7.2 |
|
13 |
软件包 |
Cisco Packet Tracer Student 6.1及以上 |
参赛选手利用以上软硬件环境组建企业网络,对网络进行配置;并按竞赛要求进行相应设置。
十一、成绩评定
评分采取分步得分、累计总分的计分方式。各环节分别计算得分,错误不传递,按规定比例计入团队总分,不计参赛选手个人成绩。
按照《国家职业技能标准》高级工(国家职业资格三级)为基础,并结合企业生产和中职学校教学实际制定评分标准。依据选手完成工作任务的情况,按照评分标准进行现场评分。采用过程评价与结果评价相结合、能力评价与职业素养评价相结合的评价方式,赛项总成绩满分为1000分。根据赛题内容分三部分评分:
1.网络建设与调试(含网络安全相关内容)的正确性、规范性和合理性(50%);
2.服务器搭建与运维(含网络安全相关内容)(45%);
3.职业规范、团队协作沟通、组织管理能力和工作计划性,团队风貌(占5%)。
十二、奖项设定
本赛项设团体一、二、三等奖,以参赛队总数为基数,获奖比例分别为10%、20%、30%(按小数点四舍五入)。团体一等奖参赛队指导教师获优秀指导教师荣誉证书。
参赛队的最终名次依据各项成绩累加后的总成绩排定,即由“网络建设与调试”子项成绩(占50%)、“服务器搭建与运维”子项成绩(占45%)、“职业规范与团队精神”子项成绩(占5%)共三项成绩之和来最终确定比赛名次。当出现成绩相同时,先比较“网络建设与调试”子项成绩,成绩高者名次在前;若还不能分出先后,再比较“服务器搭建与运维”子项成绩,成绩高者名次在前;若还不能分出先后,再比较完成比赛的总竞赛时间,时间短者名次在前;若还不能分出先后,取相同名次。
十三、赛项安全
赛事安全是技能竞赛一切工作顺利开展的先决条件,是赛事筹备和运行工作必须考虑的核心问题。赛项执委会采取切实有效措施保证大赛期间参赛选手、指导教师、裁判员、工作人员及观众的人身安全。
(一)比赛环境
1.执委会须在赛前组织专人对比赛现场、住宿场所和交通保障进行考察,并对安全工作提出明确要求。赛场的布置,赛场内的器材、设备,应符合国家有关安全规定。如有必要,也可进行赛场仿真模拟测试,以发现可能出现的问题。承办单位赛前须按照执委会要求排除安全隐患。
2.赛场周围要设立警戒线,要求所有参赛人员必须凭执委会印发的有效证件进入场地,防止无关人员进入发生意外事件。比赛现场内应参照相关职业岗位的要求为选手提供必要的劳动保护。在具有危险性的操作环节,裁判员要严防选手出现错误操作。
3.承办单位应提供保证应急预案实施的条件。对于比赛内容涉及高空作业、可能有坠物、大用电量、易发生火灾等情况的赛项,必须明确制度和预案,并配备急救人员与设施。
4.严格控制与参赛无关的易燃易爆以及各类危险品进入比赛场地,不许随便携带书包进入赛场。
5.配备先进的仪器,防止有人利用电磁波干扰比赛秩序。大赛现场需对赛场进行网络安全控制,以免场内外信息交互,充分体现大赛的严肃、公平和公正性。
6.执委会须会同承办单位制定开放赛场和体验区的人员疏导方案。赛场环境中存在人员密集、车流人流交错的区域,除了设置齐全的指示标志外,须增加引导人员,并开辟备用通道。
7.大赛期间,承办单位须在赛场管理的关键岗位,增加力量,建立安全管理日志。
(二)生活条件
比赛期间,原则上由执委会统一安排参赛选手和指导教师食宿。
比赛期间安排的住宿地应具有宾馆/住宿经营许可资质。以学校宿舍作为住宿地的,大赛期间的住宿、卫生、饮食安全等由执委会和提供宿舍的学校共同负责。
大赛期间有组织的参观和观摩活动的交通安全由执委会负责。执委会和承办单位须保证比赛期间选手、指导教师和裁判员、工作人员的交通安全。
各赛项的安全管理,除了可以采取必要的安全隔离措施外,应严格遵守国家相关法律法规,保护个人隐私和人身自由。
组队责任
1.各学校组织代表队时,须安排为参赛选手购买大赛期间的人身意外伤害保险。
2.各学校代表队组成后,须制定相关管理制度,并对所有选手、指导教师进行安全教育。
3.各参赛队伍须加强对参与比赛人员的安全管理,实现与赛场安全管理的对接。
(四)应急处理
比赛期间发生意外事故,发现者应第一时间报告执委会,同时采取措施避免事态扩大。执委会应立即启动预案予以解决并报告组委会。赛项出现重大安全问题可以停赛,是否停赛由执委会决定。事后,执委会应向组委会报告详细情况。
(五)处罚措施
1.因参赛队伍原因造成重大安全事故的,取消其获奖资格。
2.参赛队伍有发生重大安全事故隐患,经赛场工作人员提示、警告无效的,可取消其继续比赛的资格。
3.赛事工作人员违规的,按照相应的制度追究责任。情节恶劣并造成重大安全事故的,由司法机关追究相应法律责任。
十四、比赛须知
(一)参赛队须知
1.参赛队在比赛前一天由赛项执委会统一组织熟悉赛场。
2.参赛选手凭大赛组委会颁发的参赛凭证和有效身份证件(身份证、学生证)参加竞赛及相关活动,竞赛期间参赛选手原则上不得离开比赛现场,在赛场期间应当始终佩带参赛凭证以备检查。
3.竞赛场次、工位号通过抽签决定。
4.参赛选手须提前30分钟入场,入场必须佩戴参赛证并出示身份证和学生证。竞赛所需的软件和辅助工具统一提供,参赛队不得使用自带的任何有存储功能的设备,如硬盘、光盘、U盘、手机、随身听等,不得私自携带任何软硬件工具(各种便携式电脑、各种移动存储设备等)、技术资源、通信工具。
5.选手按工位号入座,检查比赛所需竞赛设备齐全后,由参赛选手签字确认方可开始比赛。选手在比赛中应注意随时存盘。迟到超过15分钟不得入场。竞赛期间不准出场,竞赛结束后方开离场。
6.竞赛过程中,每个参赛队内部成员之间可以互相沟通,但不得向任何其它人员讨论问题,也不得向裁判、巡视和其他必须进入考场的工作人员询问与竞赛项目的操作流程和操作方法有关的问题,如有竞赛题目文字不清、软硬件环境故障的问题时,可向裁判员询问,成员间的沟通谈话不得影响到其他竞赛队伍。
7.竞赛过程中除裁判和其他必须进入考场的工作人员外,任何其它非竞赛选手不得进入竞赛场地。
8.竞赛结束(或提前完成)后,参赛队要确认成功提交竞赛要求的文件,裁判员与参赛队队长一起签字确认,参赛队在确认后不得再进行任何操作。
9.其它未尽事宜,将在竞赛指南或赛前说明会向各领队做详细说明。在比赛期间,指导教师不能进入赛场进行现场指导或在场外进行远程指导。
10.本次竞赛根据参赛队数量分批次进行,每批次12–20个参赛队同时比赛,参赛批次和工位号在赛前抽签决定,一天内完成所有批次比赛。
11.参赛队所有人员在竞赛期间未经组委会批准,不得接受任何与竞赛内容相关的采访,不得将竞赛的相关情况及资料私自公开。
12.参赛选手报名获得确认后不得随意更换。如备赛过程中参赛选手因故无法参赛,须由参赛选手所在代表队在相应赛项开赛前5个工作日前出具书面说明,经大赛执委会办公室核实后予以替换,允许队员缺席比赛。
(二)指导教师须知
1.各参赛代表队要发扬良好道德风尚,听从指挥,服从裁判,不弄虚作假。如发现弄虚作假者,取消参赛资格,名次无效。
2.各代表队领队要坚决执行竞赛的各项规定,加强对参赛人员的管理,做好赛前准备工作,督促选手带好证件等竞赛相关材料。
3.竞赛过程中,除参加当场次竞赛的选手、执行裁判员、现场工作人员和经批准的人员外,领队、指导教师及其他人员一律不得进入竞赛现场。
4.参赛代表队若对竞赛过程有异议,在规定的时间内由领队向赛项仲裁工作组提出书面报告。
5.对申诉的仲裁结果,领队要带头服从和执行,并做好选手工作。参赛选手不得因申诉或对处理意见不服而停止竞赛,否则以弃权处理。
(三)参赛选手须知
1.参赛选手应严格遵守赛场规章、操作规程,保证人身及设备安全,接受裁判员的监督和警示,文明竞赛。
2.参赛选手凭大赛组委会颁发的参赛凭证和有效身份证件(身份证、学生证)和人身意外伤害保险证明参加竞赛及相关活动,在赛场内操作期间应当始终佩带参赛凭证以备检查。
3.参赛选手按规定时间进入竞赛场地,对现场条件进行确认并签字,按统一指令开始竞赛,在收到开赛信号前不得启动操作。各参赛队自行决定分工、工作程序和时间安排,在指定工位上完成竞赛项目。
4.选手比赛时间内连续工作,食品、饮水等由赛场统一提供。选手休息、饮食及如厕时间均计算在比赛时间内。
5.竞赛期间,选手不得提前离开赛场。如特殊原因(如身体不适等)无法继续参赛的,需举手请示裁判,经裁判同意后方可离开赛场。选手离开赛场后不得在场外逗留,也不得再返回赛场。
6.竞赛结束时间到后,选手不得再进行任何与竞赛有关的操作,在裁判收集完比赛数据后,由队长签字确认。参赛队若提前结束比赛,应向裁判员举手示意,裁判员记录比赛完成时间。
7.参赛选手须按照竞赛要求及规定提交竞赛结果及相关文件,禁止在竞赛成果上做任何与竞赛无关的标记,如单位名称、参赛者姓名等,否则视为作弊。
8.参赛选手须严格遵守操作规程,确保人身及设备安全。竞赛期间,若因选手个人原因出现安全事件或设备故障不能进行竞赛的,由裁判组裁定其竞赛结束,保留竞赛资格,累计其有效竞赛成绩;非选手个人原因出现的设备故障,由裁判组做出裁决,可视具体情况给选手补足排除故障耗费时间。
9.参赛选手须严格遵守赛场规章制度、服从裁判,文明竞赛。有作弊行为的,参赛队该项成绩为0分;如有不服从裁判、扰乱赛场秩序等不文明行为,按照相关规定扣减分数,情节严重的取消比赛资格和成绩。
10.为培养技能型人才的工作风格,在参赛期间,选手应当注意保持工作环境及设备摆放,符合企业生产“5S”(即整理、整顿、清扫、清洁和素养)的原则,如果过于脏乱,裁判员有权酌情扣分。
(四)工作人员须知
1.树立服务观念,一切为选手着想,以高度负责的精神、严肃认真的态度和严谨细致的作风,积极完成本职任务。
2.注意文明礼貌,保持良好形象,熟悉竞赛指南。
3.于赛前30分钟到达赛场,严守工作岗位,不迟到,不早退,不无故离岗。
4.熟悉竞赛规程,严格按照工作程序和有关规定办事,遇突发事件,按照安全工作预案,组织指挥人员疏散,确保人员安全。
5.服从统一领导,严格遵守竞赛纪律,加强协作配合,提高工作效率。
6.不得在赛场内使用手机等通讯工具。
十五、申诉与仲裁
(一)申诉
1.参赛队对不符合竞赛规定的设备、工具、软件,有失公正的评判、奖励,以及对工作人员的违规行为等,均可提出申诉。
2.提出申诉应在本轮赛项比赛结束后2小时内,向赛项仲裁组提出。超过时限不予受理。提出申诉后,申诉人及相关涉及人员不得离开赛点,否则视为自行放弃申诉。
3.申诉时,应递交由参赛队领队亲笔签字同意的书面报告,同时须有申诉的参赛选手、队长及指导教师签名,报告应对申诉事件的现象、发生的时间、涉及的人员、申诉依据与理由等进行充分、实事求是的叙述。事实依据不充分、仅凭主观臆断的申诉不予受理。
4.申诉处理:赛场专设仲裁工作组受理申诉,收到申诉报告之后,根据申诉事由进行审查,3小时内通知申诉方,告知申诉处理结果。
5.申诉人不得无故拒不接受处理结果,不允许采取过激行为刁难、攻击工作人员,否则视为放弃申诉,此外,在约定时间内,如提交申诉的相关人员未到场或中途离开,视为放弃申诉。
(二)仲裁
1.赛项仲裁组在接到申诉报告后的2小时内组织复议,并及时将复议结果以书面形式告知申诉方。
2.对赛项仲裁组复议结果不服的,可由代表队所在单位领导向大赛仲裁委员会提出申诉。大赛仲裁委员会的仲裁结果为最终结果。
3.申诉方不得以任何理由拒绝接收仲裁结果,不得以任何理由采取过激行为扰乱赛场秩序;仲裁结果由申诉人签收,不能代收;如在约定时间和地点申诉人未到场或离开,视同放弃申诉。
4.申诉方可随时提出放弃申诉。
十六、竞赛观摩
1.大赛现场安排专业的安保人员全程执勤,所有进入大赛现场的观摩人员,必须服从现场安保人员的引导和指挥,在指定时间、指定区域内观摩。
2.现场通道拉上警戒线,防止人员无序流动,影响赛事。
3.参观人员要保持安静,不得采用任何手段影响或干涉竞赛,否则所涉及的参赛队伍将取消成绩。
4.保障疏散通道畅通,听从现场工作人员的安排。
附件1:竞赛样卷
2023年成都市中等职业学校学生技能大赛
“网络搭建及应用”赛项竞赛样卷
(总分1000分)
拓扑结构图
表1–网络设备连接表
|
A设备连接至B设备 |
|||
|
设备名称 |
接口 |
设备名称 |
接口 |
|
FW-1 |
E0/1 |
SW-1模拟Internet交换机 |
E1/0/18 |
|
SW-1模拟Internet交换机 |
E1/0/19 |
SW-3 |
E1/0/19 |
|
FW-1 |
E0/2 |
SW-1 |
E1/0/23 |
|
RT-1 |
G0/0 |
FW-1 |
E0/3 |
|
RT-1 |
G0/1 |
SW-2 |
E1/0/23 |
|
RT-1 |
G0/2 |
FW-2 |
E0/1 |
|
RT-1 |
S0/1 |
RT-2 |
S0/2 |
|
RT-1 |
S0/2 |
RT-2 |
S0/1 |
|
RT-2 |
G0/0 |
AC |
E1/0/24 |
|
SW-1 |
E1/0/22 |
SW-3 |
E1/0/23 |
|
SW-1 |
E1/0/24(实现三层IP业务承载) |
SW-2 |
E1/0/24(实现三层IP业务承载) |
|
SW-1 |
E1/0/28(实现二层业务承载) |
SW-2 |
E1/0/28(实现二层业务承载) |
|
SW-2 |
E1/0/22 |
SW-3 |
E1/0/24 |
|
SW-2 |
E1/0/20 |
云平台 |
管理口 |
|
SW-2 |
E1/0/21 |
云平台 |
业务口 |
|
SW-1 |
E1/0/20 |
PC1 |
NIC |
|
SW-1 |
E1/0/21 |
PC2 |
NIC |
|
AC |
E1/0/10 |
AP |
|
表2-网络设备IP地址分配表
|
设备 |
设备名称 |
设备接口 |
IP地址 |
|
路 由 器 |
RT-1 |
Loopback1 |
10.50.255.8/32 (集团内使用) |
|
Loopback2 |
10.50.255.9/32 (集团与广东办事处互联使用) |
||
|
G0/0 |
10.50.254.6/30 |
||
|
G0/1 |
10.50.254.9/30 2001:10:50:254::9/127 |
||
|
G0/2 |
10.50.254.25/30 |
||
|
S0/1 |
10.50.254.29/30 2001:10:50:254::29/127 |
||
|
S0/2 |
10.50.254.33/30 2001:10:50:254::33/127 |
||
|
RT-2 |
G0/0.100 |
172.50.100.254/24 |
|
|
G0/0.101 |
172.50.101.254/24 2001:172:50:101::254/64 |
||
|
S0/2 |
10.50.254.30/30 2001:10:50:254::30/127 |
||
|
S0/1 |
10.50.254.34/30 2001:10:50:254::34/127 |
||
|
三 层 交 换 机 |
SW-1 |
Loopback 1 (ospfv2使用) |
10.50.255.1/32 |
|
Loopback 2 (ospfv3使用) |
10.50.255.4/32 2001:10:50:255::4/128 |
||
|
VLAN10 SVI |
10.50.10.254/24 |
||
|
VLAN20 SVI |
10.50.20.254/24 2001:10:50:20::254/64 |
||
|
VLAN30 SVI |
10.50.30.254/24 2001:10:50:30::254/64 |
||
|
VLAN40 SVI |
10.50.40.254/24 |
||
|
VLAN50 SVI |
10.50.50.254/24 2001:10:50:50::254/64 |
||
|
VLAN1000 SVI |
10.50.254.2/30 |
||
|
VLAN1001 SVI |
10.50.254.14/30 2001:10:50:254::14/127 |
||
|
VLAN4094 SVI |
10.50.254.21/30 2001:10:50:254::21/127 |
||
|
SW-1模拟 Internet 交换机 |
VLAN4000 SVI |
202.50.100.2/30 |
|
|
VLAN4001 SVI |
202.50.100.5/30 |
||
|
SW-2 |
Loopback 1 (ospfv2使用) |
10.50.255.2/32 |
|
|
Loopback 2 (ospfv3使用) |
10.50.255.5/32 2001:10:50:255::5/128 |
||
|
VLAN10 SVI |
10.50.11.254/24 |
||
|
VLAN20 SVI |
10.50.21.254/24 2001:10:50:21::254/64 |
||
|
VLAN30 SVI |
10.50.31.254/24 2001:10:50:31::254/64 |
||
|
VLAN40 SVI |
10.50.41.254/24 |
||
|
VLAN50 SVI |
10.50.51.254/24 2001:10:50:51::254/64 |
||
|
VLAN1000 SVI |
10.50.254.10/30 2001:10:50:254::10/127 |
||
|
VLAN1001 SVI |
10.50.254.18/30 2001:10:50:254::18/127 |
||
|
VLAN4094 SVI |
10.50.254.22/30 2001:10:50:254::22/127 |
||
|
SW-3 |
Loopback 1 (ospfv2使用) |
10.50.255.3/32 |
|
|
Loopback 2 (ospfv3使用) |
10.50.255.6/32 2001:10:50:255::6/128 |
||
|
VLAN10 SVI |
10.50.12.254/24 |
||
|
VLAN20 SVI |
10.50.22.254/24 2001:10:50:22::254/64 |
||
|
VLAN30 SVI |
10.50.32.254/24 2001:10:50:32::254/64 |
||
|
VLAN50 SVI |
10.50.52.254/24 2001:10:50:52::254/64 |
||
|
VLAN1000 SVI |
10.50.254.13/30 2001:10:50:254::13/127 |
||
|
VLAN1001 SVI |
10.50.254.17/30 2001:10:50:254::17/127 |
||
|
VLAN4094 SVI |
10.50.254.22/30 2001:10:50:254::22/127 |
||
|
防 火 墙 |
FW-1 |
Loopback1 |
10.50.255.7/32 |
|
E0/2 |
10.50.254.1/30 (trust安全域) |
||
|
E0/3 |
10.50.254.5/30 (trust安全域) |
||
|
E0/1 |
202.50.100.1/30 (untrust安全域) |
||
|
FW-2 |
Loopback1 |
10.50.255.10/32 |
|
|
E0/1 |
10.50.254.26/30 (dmz安全域) |
||
|
E0/2.10 (营销网段业务) |
172.50.11.254/24 (trust安全域) |
||
|
E0/2.20 (产品网段业务) |
172.50.21.254/24 (trust安全域) |
表3-服务器IP地址分配表
|
虚拟机名称 |
完全合格域名 |
角色 |
系统版本 |
IPv4地址 |
|
Windows-1 |
dc1.skills.com |
域服务 DNS服务 CA服务 |
Windows Server 2016 |
10.10.70.101/24 |
|
Windows-2 |
dc2.bj.skills.com |
域服务 DNS服务 |
Windows Server 2016 |
10.10.70.102/24 |
|
Windows-3 |
www1.skills.com |
NLB服务 WEB服务 |
Windows Server 2016 |
10.10.70.103/24 10.10.80.101/24 10.10.80.102/24 |
|
Windows-4 |
www2.skills.com |
NLB服务 WEB服务 |
Windows Server 2016 |
10.10.70.104/24 10.10.80.103/24 10.10.80.104/24 |
|
Windows-5 |
wintgt.skills.com |
WEB服务 |
Windows Server 2016 |
10.10.70.105/24 |
|
Linux-1 |
dns.skills.com |
DNS服务 CA服务 chrony服务 KDC服务 |
CentOS 8.3 |
10.10.70.110/24 |
|
Linux-2 |
smb.skills.com |
DNS服务 mail服务 |
CentOS 8.3 |
10.10.70.111/24 |
|
Linux-3 |
linnode1.skills.com |
NFS服务 pacemarker集群 |
CentOS 8.3 |
10.10.70.112/24 10.10.80.111/24 |
|
Linux-4 |
linnode2.skills.com |
NFS客户端 pacemarker集群 |
CentOS 8.3 |
10.10.70.113/24 10.10.80.112/24 |
|
Linux-5 |
lintgt.skills.com |
iSCSI服务 |
CentOS 8.3 |
10.10.70.114/24 10.10.80.113/24 |
|
Linux-6 |
lnmt.skills.com |
Mariadb服务 nginx服务 |
CentOS 8.3 |
10.10.70.115/24 |
表4-云平台网络信息表
|
网络名称 |
Vlan |
子网名称 |
子网地址 |
网关 |
地址范围 |
|
Vlan70 |
70 |
Vlan70-subnet |
10.10.70.0/24 |
10.10.70.254 |
10.10.70.100- 10.10.70.200 |
|
Vlan80 |
80 |
Vlan80-subnet |
10.10.80.0/24 |
10.10.80.100- 10.10.80.200 |
表5-虚拟主机信息表
|
虚拟机名称 |
镜像模板 |
实例规格 |
VCPU数 |
内存、硬盘信息 |
|
Windows-1 至 Windows-5 |
WindowsServer2016 |
Large |
2 |
4G,40G |
|
Linux-1 至 Linux-6 |
CentOS8.3 |
Small |
1 |
2G,40G |
竞赛说明
一、竞赛内容分布
“网络建设与运维”竞赛共分三个部分,其中:
第一部分:网络建设与调试部署项目 (500分)
第二部分:服务器搭建与运维项目 (450分)
第三部分:职业规范与素养 ( 50分)
二、竞赛注意事项
- 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
- 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
- 请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
- 操作过程中,需要及时保存设备配置。
- 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。
- 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
- 禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记,如违反规定,可视为0分。
- 与比赛相关的工具软件放置在每台主机的D盘soft文件夹中,三种报告单模板放在PC1电脑D:\soft文件夹中。
项目简介:
某集团公司原在北京建立了总公司,后在成都建立了分公司,又在广东设立了一个办事处。集团设有营销、产品、法务、财务、人力 5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF和BGP路由协议进行互联互通。
春回大地,万象更新,站在“两个一百年”历史的交汇点,上半年公司规模依然保持快速发展,业务数据量和公司访问量增长巨大,努力开创新局面,以高质量业绩向党献礼。为了更好管理数据,提供服务,集团决定在北京建立两个数据中心及业务服务平台、在贵州建立异地灾备数据中心,以达到快速、可靠交换数据,以及增强业务部署弹性的目的,初步完成向两地三中心整体战略架构演进,更好的服务于公司客户。
集团、分公司及广东办事处的网络结构详见“网络环境”拓扑图。
两台交换机分别作为集团北京两个DC的核心交换机编号分别为SW-1和SW-2;又新采购一台交换机编号为SW-3,作为集团灾备DC的核心交换机;两台防火墙FW-1和FW-2分别作为集团、广东办事处的防火墙;一台路由器编号为RT-1,作为集团的核心路由器;另一台路由器编号为RT-2,作为分公司的路由器;一台有线无线智能一体化控制器作为分公司的AC,与高性能企业级AP配合实现分公司无线覆盖。
请注意:在此典型互联网应用网络架构中,作为IT网络系统管理及运维人员,请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应应用。
网络建设与调试项目
(500分)
【说明】
- 请将PC1上D盘soft文件夹中的《网络建设与调试竞赛报告单》复制到PC1桌面的“XX_ network”(XX为赛位号)文件夹中,并按照截图注意事项的要求填写完整;
- 设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放置在PC1桌面的“XX_ network”(XX为赛位号)文件夹中。
保存文档方式如下:
- 交换机、路由器、AC要把show running-config的配置、防火墙要把show configuration的配置保存在PC1桌面上的“XX_network”文件夹中,文档命名规则为:设备名称.txt。例如:RT-1路由器文件命名为:RT-1.txt;
- 无论通过SSH、telnet、Console登录防火墙进行show configuration配置收集,需要先调整CRT软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。
一、网络布线与IP规划
(一)网络布线
根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线, 根据题目要求,插入相应设备的相关端口上;
(二)IP规划
为了不断壮大集团业务经营范围,集团计划在上海成立办事处。通过调研,计划在上海办事处设立与Internet连接的4个业务部门,每个业务部门的最大所需主机数如下表所示,要求从10.10.10.100/19主机地址所在网络第一个网段开始进行IP地址规划,IP地址按照下表依次往后顺延规划,网关地址取每个网段最后一个可用地址,请完成下表IP地址规划。
|
部门名称 |
最大主机数 |
网络地址 (表示形式X.X.X.X/N) |
网关地址 (表示形式X.X.X.X) |
|
营销 |
110 |
||
|
产品 |
600 |
||
|
法务 |
126 |
||
|
财务 |
14 |
二、交换配置与调试
- 为了减少广播,需要根据题目要求规划并配置VLAN。要求配置合理,所有链路上不允许不必要VLAN的数据流通过。根据下述信息及表,在交换机上完成VLAN配置和端口分配。
- 集团核心交换机SW-1和SW-2之间租用运营商两条裸光缆通道实现两个DC之间互通,一条裸光缆通道实现三层IP业务承载、一条裸光缆通道实现二层业务承载。集团核心交换机SW-1与SW-3之间、集团核心交换机SW-2与SW-3之间租用运营商OTN波分链路实现互通。具体要求如下:
|
设备 |
VLAN编号 |
端口 |
说明 |
|
SW-1 |
VLAN10 |
E1/0/1-4 |
营销1段 |
|
VLAN20 |
E1/0/5-7 |
产品1段 |
|
|
VLAN30 |
E1/0/8-10 |
法务1段 |
|
|
VLAN40 |
E1/0/11-12 |
财务1段 |
|
|
VLAN50 |
E1/0/13-14 |
人力1段 |
|
|
SW-2 |
VLAN10 |
E1/0/1-4 |
营销2段 |
|
VLAN20 |
E1/0/5-7 |
产品2段 |
|
|
VLAN30 |
E1/0/8-10 |
法务2段 |
|
|
VLAN40 |
E1/0/11-12 |
财务2段 |
|
|
VLAN50 |
E1/0/13-14 |
人力2段 |
|
|
SW-3 |
VLAN10 |
E1/0/1-4 |
营销3段 |
|
VLAN20 |
E1/0/5-7 |
产品3段 |
|
|
VLAN30 |
E1/0/8-10 |
法务3段 |
|
|
VLAN50 |
E1/0/11-12 |
人力3段 |
- 目前设计实现二层业务承载的只有一条裸光缆通道,随着集团1#DC服务器数量快速扩容,预计未来2-3年集团1#DC与2#DC间服务器大二层流量会呈现爆发式增长,配置相关技术,方便后续链路扩容与冗余备份;
- 配置集团核心交换机(SW-1、SW-2、SW-3)采用源、目的IP进行实现流量负载分担。
- 集团核心交换机(SW-1、SW-2、SW-3)分别配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001、62002、62003;创建认证用户为DCN2021,采用3des算法进行加密,密钥为:Dcn20212021,哈希算法为SHA,密钥为:DCn20212021;加入组DCN,采用最高安全级别;配置组的读、写视图分别为:Dcn2021_R、DCn2021_W;当设备有异常时,需要使用本地的环回地址发送Trap消息至集团网管服务器10.50.50.120、2001:10:50:50::121,采用最高安全级别;当人力部门对应的用户接口发生UP/DOWN事件时禁止发送trap消息至上述集团网管服务器。
- 要求禁止配置访问控制列表,实现集团核心交换机SW-3法务业务对应的物理端口间二层流量无法互通;针对集团核心交换机SW-3人力业务配置相关特性,每个端口只允许的最大安全MAC 地址数为1,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留;
- SW-1作为集团核心交换机,同时又使用相关技术将SW-1模拟为Internet交换机,实现与集团其它业务网段路由表隔离,Internet路由表位于VPN实例名称Internet内。
- 配置相关功能,使集团核心交换机(SW-1、SW-2、SW-3)设备能够在网络中相互发现并交互各自的系统及配置信息,以供管理员查询两端接口对应关系及判断链路的通信状况;配置所有使能此功能的端口发送更新报文的时间间隔为一分钟、更新报文所携带的老化时间为五分钟,配置租用运营商三条裸光缆通道相关端口使能Trap功能,Trap报文发送间隔为1分钟。
三、路由配置与调试
- 规划集团内部、集团与广东办事处之间使用OSPF协议,集团内使用进程号为1,集团与广东办事处间使用进程号为2,具体要求如下:
- 集团核心交换机SW-1与集团防火墙之间、集团路由器与集团防火墙之间、集团路由器与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3、集团核心交换机SW-2与集团核心交换机SW-3均属于骨干区域;集团路由器与广东办事处防火墙之间属于普通区域,区域号为20;
- 集团路由器、集团核心交换机(SW-1、SW-2、SW-3)、集团防火墙分别发布自己的环回地址路由;集团核心交换机SW-1、SW-2、SW-3只允许发布营销网段业务路由;
- 集团核心交换机(SW-1、SW-2、SW-3)OSPF进程1的路由表中只允许学习到业务网段路由为集团防火墙通告的TYPE1类型的缺省路由、分公司无线业务网段路由、广东办事处防火墙环回地址与营销业务网段路由;由于广东办事处防火墙路由条目支持数量有限,禁止学习到集团、分公司的所有互联地址与业务路由。
- 规划集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3、集团核心交换机SW-2与集团路由器之间使用OSPFv3协议,发布相应环回地址,禁止发布业务路由;集团核心交换机SW-1与集团核心交换机SW-2之间通过两端三层IP业务承载的裸光缆通道进行互联互通。
- 为了方便业务灵活调度,同时还规划集团北京两个DC与集团灾备DC之间、集团与分公司之间使用BGP协议,集团北京两个DC使用的AS号为62021、集团灾备DC使用的AS号为62022、分公司使用的AS号为62023,具体要求如下:
- 集团核心交换机SW-1与集团核心交换机SW-2之间、集团核心交换机SW-1与集团路由器之间、集团核心交换机SW-2与集团路由器之间通过环回地址建立IBGP邻居,集团核心交换机SW-1与集团核心交换机SW-3之间、集团核心交换机SW-2与集团核心交换机SW-3之间、集团路由器与分公司路由器之间通过互联地址建立EBGP邻居;
- 要求集团北京两个DC与集团灾备DC、分公司路由器禁止发布除产品、法务、财务、人力、无线业务网段外的其它路由;
- 为了合理分配集团内业务流向,保证来回路径一致,业务选路具体要求如下:
- 集团内部实现核心交换机SW-1与Internet互访流量优先通过SW-1 _FW-1之间链路转发,SW-1_SW-2 _RT-1_FW1之间链路作为备用链路;集团内部实现核心交换机SW-2与Internet互访流量优先通过SW-2_SW-1_FW-1之间链路转发, SW-2_RT-1_FW-1之间链路作为备用链路;
- 集团内部实现核心交换机SW-3与SW-1、SW-2营销业务互访流量优先通过SW-3_SW-2之间链路转发,SW-3_SW-1之间链路作为备用链路;集团内部实现核心交换机SW-3与SW-1、SW-2 DC间IPV6业务互访流量优先通过SW-3_SW-1之间链路转发,SW-3_SW-2之间链路作为备用链路。
- 根据以上需求,在交换机上进行合理的业务选路配置。具体要求如下:
(1)使用IP前缀列表匹配上述业务数据流;
(2)使用BGP自治系统路径属性进行业务选路,只允许使用route-map来改变路径属性、路由控制。
四、无线配置
- 分公司无线控制器AC与分公司路由器互连,无线业务网关位于分公司路由器上,配置VLAN100为AP管理VLAN,VLAN101为业务VLAN;AC提供无线管理与业务的DHCP服务,动态分配IP地址和网关;使用第一个可用地址作为AC管理地址,AP二层自动注册,启用密码认证,验证密钥为:Dcn_2021。
- 配置一个SSID DCNXX:DCNXX中的XX为赛位号,访问Internet业务,采用WPA-PSK认证方式,加密方式为WPA个人版,配置密钥为Dcn20212021。
- 配置所有无线接入用户相互隔离,Network模式下限制SSID DCNXX每天早上0点到4点禁止终端接入,开启SSID DCNXX ARP抑制功能;配置当无线终端支持5GHz网络时,优先引导接入5GHz网络,从而获得更大的吞吐量,提高无线体验。
五、安全策略配置
- 根据题目要求配置集团防火墙、广东办事处防火墙相应的业务安全域、业务接口;2021年护网行动开展在即,调整全网防火墙安全策略缺省规则为拒绝;限制集团防火墙只允许集团营销业务、分公司无线业务、广东办事处营销业务访问Internet业务;在广东办事处防火墙上限制广东办事处产品业务网段只可以访问集团产品网段https、mysql数据库类型业务,集团产品网段可以访问广东办事处产品业务网段任何端口。
- 为了避免集团内部业务直接映射至Internet成为攻击“靶心”,不断提升集团网络安全体系建设,在集团防火墙配置L2TP VPN,满足远程办公用户通过拨号登陆访问集团营销业务,LNS 地址池为10.50.253.1/24-10.10.253.100/24,网关为最大可用地址,认证账号dcn2021001,密码dcn2021。
- 在集团防火墙配置网络地址转换,公网NAT地址池为:202.50.21.0/28;保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.50.10.120的 UDP 2000端口;开启相关特性,实现扩展NAT转换后的网络地址端口资源;
- 在广东办事处防火墙开启安全网关的TCP SYN包检查功能,只有检查收到的包为TCP SYN包后,才建立连接;如果第一个数据包为TCP RST包,则防火墙将不创建会话;配置所有的TCP数据包每次能够传输的最大数据分段为1460、尽力减少网络分片;配置对TCP三次握手建立的时间进行检查,如果在1分钟内未完成三次握手,则断掉该连接。
六、网络运维
某单位网络拓扑架构如下,交换机连接两台客户机,通过交换设备相连,通过路由设备连接到外网,单位的网络拓扑结构如下图所示。
网络设备IP地址分配表
|
设备 |
设备名称 |
设备接口 |
IP地址 |
|
客户机 |
PC1 |
Fa0 |
192.168.1.10/24 |
|
PC2 |
Fa0 |
192.168.2.10/24 |
|
|
三层 交换机 |
SW1 |
F0/1 |
192.168.1.2/24 |
|
F0/2 |
192.168.2.2/24 |
||
|
F0/24 |
10.1.1.1/24 |
||
|
路由器 |
R1 |
F0/0 |
10.1.1.2/24 |
|
F0/1 |
20.1.1.1/24 |
||
|
互联网 |
Internet |
F0/0 |
20.1.1.2/24 |
1.网络排错
网络按照表中要求已经搭建完成,现在有如下故障:
(1)SW1是内网交换机,且SW1配置动态路由协议,不能配置静态路由, SW1上需要有默认上网路由,此时在SW1上并没有默认上网路由,请分析原因并且故障排除。
(2)PC1与PC2之间三层通信异常,请分析原因并且故障排除。
(3)R1路由器与SW1之间配置了ospf动态路由协议,但是R1与SW1之间的ospf邻居关系异常请分析原因并且故障排除。
服务器搭建与运维项目
(450分)
说明:
所有Windows主机实例在创建之后都可以直接通过远程桌面连接操作,Linux主机实例可以通过SecureCRT或Xshell软件连接进行操作,所有Linux主机都默认开启了ssh功能。
要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
不修改Linux虚拟机的root用户密码,Linux题目中所有未指明的密码均为dcncloud;Windows虚拟机管理员的密码以及Windows题目中所有未指明的密码均为Password-1234,若未按照要求设置,涉及到该操作的所有分值记为0分。
虚拟主机的IP地址、主机名称请按照地址规划表的要求设定,若未按照要求设置,涉及到该操作的所有分值记为0分。
赛题所需的其它软件均存放在物理机D:\soft文件夹中。
在PC1桌面上新建“XX_system”(XX为赛位号)文件夹。根据“D:\soft\服务器搭建与运维报告单.docx”中提供的方法和命令,生成云平台和所有云主机操作结果的文件,并将这些文件存放到PC1桌面上的“XX_system”(XX为赛位号)文件夹。
所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一定分数;如文档名称或文档存放位置错误,涉及到的所有操作分值记为0分。
云实训平台设置
按照云平台网络信息表要求新建网络。
按照虚拟主机信息表要求新建云主机类型。
按照服务器IP地址分配表要求新建虚拟主机,主机IP地址与云平台网络信息表中的一致。
按照下述题目相关要求新建硬盘,并连接到虚拟主机。
Windows服务配置
域服务配置
【任务描述】 为实现高效管理,请采用域控制器,提升企业网络安全程度,整合局域网内基于网络的资源。
设置所有虚拟机的IP为手动,与自动获取的IP地址一致;修改所有主机的名称与服务器IP地址分配表中的一致。
配置Windows-1为域控制器,域名为skills.com;安装DNS服务,为skills.com域中服务器提供正向解析,为skills.com林中服务器提供反向解析;要求skills.com林中的服务器之间都能正反向解析。
把其他Windows主机加入到skills.com域。
新建名称为hr、tech、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建20个用户:人力部(hr101-hr120)、营销部(sale101-sale120)、技术部(tech101-tech120),所有用户不能修改其口令,必须启用密码复杂度要求、密码长度最小为8位、密码最长期限为10天、允许失败登录尝试的次数为4次、重置失败登录尝试计数(分钟)为5分钟、直至管理员手动解锁帐户,并且只能每天8:00-18:00可以登录。
所有用户到任何一台域计算机登录,“文档”文件夹重定向到域控制器的C:\Documents文件夹。
所有用户使用漫游用户配置文件,配置文件存储在Windows-1的C:\Profiles文件夹。
设置组策略,让域中主机之间通信采用IPSec安全连接,但域控制器和网关除外;采用计算机证书验证,使用组策略将证书分发到客户端计算机。
配置Windows-2为skills.com的子域,子域名称为bj. skills.com,安装DNS服务,为bj.skills.com域中服务器提供正反向解析。
配置Windows-1为证书服务器,为所有Windows主机颁发证书。设置为企业根,CA证书有效期20年,CA颁发证书有效期10年;证书的通用名称均用主机的完全合格域名,证书的其他信息:
(1)国家=“CN”。
(2)省=“Beijing”。
(3)市/县=“Beijing”。
(4)组织=“skills”。
(5)组织单位=“system”。
Windows链路聚合配置
【任务描述】 采用链路聚合,提供链路的冗余性。
分别利用Windows-3和Windows-4的10.10.80.0/24网络的两张网卡创建聚合端口组,组名为“AggGroup1”,成组模式为“静态成组”,负载均衡模式为“地址哈希”,IP地址为聚合组中第一张网卡的IP地址。
Web服务配置
【任务描述】 为客户获取公司产品信息和企业宣传的需要,创建安全动态网站,采用IIS搭建Web服务。
把Windows-5配置为Web站点,仅允许使用域名访问,http访问自动跳转到https,证书路径为C:\IIS\Configs\iis.crt。
Web站点同时支持dotnet CLR v2.0和dotnet CLR v4.0。
Web站点目录为C:\IIS\Contents,主页文档index.aspx的内容为<%=now()%>.
客户端访问网站,客户端必需有证书。
NLB服务配置
【任务描述】 为提升网络并发数据处理能力、优化网络性能,请采用NLB,以保证网络服务的灵活性和可用性。
配置Windows-3和Windows-4为NLB服务器,10.10.70.0网络为负载均衡网络,10.10.80.0网络为心跳网络。
群集IPv4地址为10.10.70.60/24,Windows-3群集优先级为1,Windows-4群集优先级为2,群集名称为www.skills.com,采用多播方式。
配置Windows-3为Web服务器,站点名称为www.skills.com,网站的最大连接数为1000,网站连接超时为60s,网站的带宽为2Mbps。
共享网页文件、共享网站配置文件和网站日志文件分别存储到Windows-1的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs。
使用W3C记录日志,每天创建一个新的日志文件,日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。
网站只允许使用域名SSL加密访问,证书通用名称为www.skills.com,证书路径为Windows-1的D:\FilesWeb\Configs\www.cer。
配置Windows-4为Web服务器,要求采用共享windows-3配置的方式;导入Windows-3证书,证书路径为Windows-1的D:\FilesWeb\Configs\www.pfx。
Linux服务配置
DNS服务和CA服务配置
【任务描述】 创建DNS服务器,实现企业域名访问。
设置所有虚拟机的IP为手动,与自动获取的IP地址一致。
修改所有主机名称为服务器IP地址分配表中的完全合格域名。
设置所有Linux服务器的时区设为“上海”。
启动所有Linux服务器的防火墙,并放行相关服务。
利用chrony配置Linux-1为其他Linux主机提供时间同步服务。
利用bind9软件,配置Linux-1为主DNS服务器,配置Linux-2为备用DNS服务器,为所有Linux主机提供DNS正反向解析服务;采用rndc技术提供不间断的DNS服务。
所有Linux的root用户使用完全合格域名免密码ssh登录到其他Linux主机。
配置Linux-1为CA服务器,为所有Linux主机颁发证书。证书通用名称均为主机完全合格域名,CA证书有效期20年,CA颁发证书有效期10年,证书其他信息:
(1)国家=“CN”。
(2)省=“Beijing”。
(3)市/县=“Beijing”。
(4)组织=“skills”。
(5)组织单位=“system”。
Mail服务配置
【任务描述】 为构建一个企业级邮件服务器,请采用postfix和dovecot,实现更快、更容易管理、更安全的邮件服务。
配置Linux-2为Mail服务器,安装postfix和dovecot。
仅支持smtps和pop3s连接,证书路径为/etc/pki/www.crt,私钥路径为/etc/pki/www.key。
创建用户mail1和mail2,向all@skills.com发送的邮件,每个用户都会收到。
NIS服务配置
【任务描述】 为实现Linux主机之间资源共享,加强企业Linux账户的集中管理,请采用NIS实现该需求。
配置Linux-1为KDC服务器,负责Linux-3和Linux-4的验证。
在Linux-3上,创建用户,用户名为tom,uid=222,gid=222,家目录为/home/tomdir。
配置Linux-3为NFS服务器,目录/srv/share的共享要求为:10.10.70.0/24网络用户具有读写权限,所有用户映射为tom;kdc加密方式为krb5p。目录/srv/tmp的共享要求为:所有人都可以读写,都不改变身份,但不可删除别人的文件;kdc加密方式为krb5p。
在Linux-4上,设置用户的密码长度最少为6位,普通用户的最小id为2000。
配置Linux-4为NFS客户端,新建/mnt/share和/mnt/tmp目录,分别挂载Linux-3上的/srv/share和/srv/tmp。
高可靠性配置
【任务描述】 为准确地表达的集群资源之间的关系,请采用pacemarker+CoroSync,实现Web服务的高可用。
1.为Linux-5添加4块硬盘,每块硬盘大小为5G,组成Raid10,设备名称为/dev/md10,保证服务器开机,Raid能正常工作。使用iscsi全部空间创建lvm卷,卷组名称为vg1,逻辑卷名称为lv1,格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器,为Linux-3和Linux-4提供iSCSI服务。iSCSI目标端的wwn为iqn.2021-05.com.skills:server, iSCSI发起端的wwn为iqn.2021-05.com.skills:client.
2.配置Linux-3和Linux4为iSCSI客户端,实现discovery chap和session chap双向认证,Target认证用户名为IncomingUser,密码为IncomingPass;Initiator认证用户名为OutgoingUser,密码为OutgoingPass。利用多路径实现负载均衡,路径别名为mp。
3.配置Linux-3和Linux-4为集群服务器,通过D:\soft\HighAvailability.tar.gz安装pcs,集群名称为lincluster,Linux-3为主服务器,Linux-4为备份服务器。提供Apache服务,域名为www3.skills.com,网站目录/var/www/html,网站主页index.html的内容为“Linux集群网站”。IP资源名称为vip,虚拟IP为10.10.70.90;站点文件系统资源名称为website,物理目录为lv1;监视资源名称为webstatus,配置文件为/etc/httpd/conf/httpd.conf。仅允许使用域名访问,http访问自动跳转到https,证书路径为/etc/pki/www.crt,私钥路径为/etc/pki/www.key,网站虚拟主机配置文件路径为/etc/httpd/conf.d/vhost.conf。
LNMT服务配置
【任务描述】 根据企业需要搭建Linux动态网站,采用LNMT实现该需求。
1.配置Linux-6为Mariadb服务器,安装Mariadb-server,创建数据库用户jack,在任意机器上对所有数据库有完全权限;允许root远程登陆。
2.创建数据库userdb;在库中创建表userinfo,在表中插入2条记录,分别为(1,user1,1995-7-1,男),(2,user2,1995-9-1,女),口令与用户名相同,password字段用password函数加密,表结构如下:
|
字段名 |
数据类型 |
主键 |
自增 |
|
id |
int |
是 |
是 |
|
name |
varchar(10) |
否 |
否 |
|
birthday |
datetime |
否 |
否 |
|
sex |
char(5) |
否 |
否 |
|
password |
char(200) |
否 |
否 |
3.修改表userinfo的结构,在name字段后添加新字段height(数据类型为float),更新user1和user2的height字段内容为1.61和1.62。
4.每周五凌晨1:00备份数据库userdb到/var/databak/userdb.sql。
5.配置Linux-6为nginx服务器,安装nginx,网站根目录为默认值,默认文档index.html的内容为“Nginx加密访问”;仅允许使用域名访问,http访问自动跳转到https,证书路径为/etc/nginx/nginx.crt,私钥路径为/etc/nginx/nginx.key,有效期10年。
职业规范与素养
(50分)
- 整理赛位,工具、设备归位,保持赛后整洁有序;
- 无因选手原因导致设备损坏;
- 恢复调试现场,保证网络和系统安全运行;
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/31515
