2023年全国大赛网络建设与运维赛事规程-陌上烟雨遥

全国职业院校技能大赛

赛项规程

赛项名称：网络建设与运维

英文名称： Network Construction and

Operational Maintenance

赛项组别：中等职业教育

赛项编号： ZZ016

一、赛项信息

二、竞赛目标

本竞赛旨在贯彻党中央、国务院对职业教育工作的决策部署，响应党的二十大提出的“加快建设网络强国、数字中国”的国家战略，适应国产自主且安全可控的新诉求和信息技术应用创新产业的发展，通过产教协同发展，培养中职网络建设与运维方向高素质网络技术人才，促进数字化转型升级，服务信息基础建设和国家战略。以立德树人为根本任务，推进“三全育人”、深化“三教改革”，发挥树旗、导航、定标、催化作用，培养德智体美劳全面发展网络技术相关专业的高素质劳动者和技术技能人才。

竞赛内容紧跟网络信息技术产业的发展趋势和国际发展水平，选用源自企业真实项目和工作任务，围绕岗位要求，紧贴生产实际设计竞赛，考察学生综合能力，突出应变能力，强化职业素养，让教学、岗位、竞赛相互协同，提高网络建设与运维相关的核心专业能力，提高人才培养质量。通过竞赛，引导全社会尊重、重视、关心技能人才的培养和成长，营造崇尚技能的氛围，激励青年走技能成才、技能报国之路，培养更多能工巧匠、大国工匠。

三、竞赛内容

（一）竞赛主要内容

本赛项设置网络理论测试、网络建设与调试、服务搭建与运维三个模块，竞赛内容包括：职业规范与素养、网络布线与施工、网络设备配置与调试、安全策略配置、网络安全防护和应急响应、云平台网络连接、X86与ARM架构计算机操作系统安装与管理、Windows与Linux服务配置、网络运维等内容。各模块有机结合，比赛过程中，要求两名参赛选手按照题目独立完成理论测试，合理分工，安排工作流程、合作完成模块二和模块三等有关网络建设与运维职业典型工作任务，检验选手专业核心能力与职业综合能力。

（二）重点考查技能

重点考查参赛选手的网络理论的掌握以及灵活运用的实战能力，具体包括：

1．能够全面正确理解网络基本知识理论，考查选手的专业可持续发展能力。

2．能够根据提供的竞赛要求，读懂文档需求，理解业务架构，实现项目应用，检验网络实施规划统筹的综合规划能力。

4．能够根据业务需求和应用环境，安装部署各类服务器、数据库、存储等相关服务；并根据网络业务需求配置各种策略，以达到网络互联互通，实现云平台和网络资源适应业务需求，考核多样化环境下系统部署和数据库应用的专业实践能力。

5．能够预判网络运行中所面临的安全威胁，防范并解决网络恶意攻击行为；考查选手防御不良信息及病毒、构建和维护绿色网络的专业实战能力。

6．能够通过竞赛前发布的竞赛设备列表、配套技术文档、赛项规程和公开赛题等信息，分析网络架构、查找技术资料；能够根据临场30%竞赛要求变化，结合技术原理，参考设备技术文档进行现场任务解决，检验了参赛团队整体的文档理解、项目执行、故障解决、网络运维等各项综合专业能力。

四、竞赛方式

（一）竞赛形式

竞赛采取单场次，线下比赛方式进行。

模块一网络理论测试：两名参赛选手在比赛赛场独自在线进行。

模块二网络建设与调试和模块三服务搭建与运维：两名参赛选手在本队竞赛场地内团队合作开展项目实施，协作完成工程统筹规划、综合布线实施测试、交换机配置、路由器调试、无线设备部署、网络安全防护；X86架构计算机操作系统安装与管理、ARM架构计算机操作系统安装与管理、Windows和Linux云服务配置、云主机系统部署、网络运维等，项目实施完毕，需保证施工现场整理整顿整洁，工具归位，整个施工过程需保证无安全事故发生。

（二）组队方式

竞赛以团队赛组队方式进行，每支参赛队由2名选手组成，须为同校在籍学生，其中队长1名，同一学校参赛队不超过1支；每队限报2名指导教师。

五、竞赛流程

（一）竞赛日程

（二）比赛流程

（三）竞技过程

赛前准备：选手抽签加密入场，参赛队就位并领取比赛任务，完成比赛设备、线缆和工具检查等准备工作。

正式比赛：参赛选手需按题目要求独自完成网络理论测试，团队配合完成IP地址规划、综合布线、设备连接、配置与测试网络设备、安装配置操作系统、部署安全策略、网络运维等网络建设与运维整体工作项目实施。操作顺序和分工，由参赛队自行商定。

六、竞赛规则

（一）选手报名资格

每参赛队由2名参赛选手组成，须为2023年度中等职业学校全日制在籍学生；五年制高职的一至三年级学生可参加比赛。年龄须不超过21周岁(年龄计算的截止时间以2023年5月1日为准），不得跨校组队，同一学校报名参赛队不超过1支；往届本赛项全国职业院校技能大赛一等奖学生，不再参加本项目比赛。

指导教师不得超过2人，须为本校专兼职教师。

（二）参赛要求

1.参赛选手应严格遵守赛场纪律，服从指挥，着参赛服装、仪表端庄整洁，自觉遵守赛场纪律，服从赛项执委会的指挥和安排，爱护大赛场地的设备和器材，严格遵守安全操作流程，防止发生安全事故。竞赛场上不得以任何方式泄露应该保密信息。选手必须佩带参赛证参赛，比赛场地通过加密抽签决定，粘贴参赛号于左臂，对号入座。

2.参赛队在赛前领取比赛任务并进入竞赛工位，比赛正式开始后方可打开显示器，进行与比赛任务相关的操作。

3.现场裁判引导参赛选手检查比赛环境，宣读《竞赛须知》。

4.参赛队自行决定选手分工、工作程序。

5.比赛过程中，选手须严格遵守操作规程，确保人身及设备安全，并接受裁判员的指示，如遇问题须举手提问。若因选手原因造成设备故障或损坏而无法继续比赛的，裁判长有权决定终止该队比赛；若非因选手个人原因造成设备故障的，必须经裁判确认，安排技术人员予以解决，故障中断时间不计比赛时长；比赛结束前，需打扫整理赛位，保持整洁有序。

6.当听到比赛结束命令时，选手应立即停止所有操作，关闭显示器，不得以任何理由拖延比赛时间。比赛结束后，裁判员与参赛队队长要确认已成功提交竞赛要求的配置文件及保存位置，确认后离场。

7.竞赛所需硬软件和辅助工具统一提供，参赛队不得使用自带的任何有存储和网络功能的电子设备，离场时，不得将与比赛有关的物品带离现场。

（三）赛事规定

1.领队代表负责管理选手和指导教师，遵守赛项规程和相关要求，遵守申诉与仲裁程序。

2.专家、裁判、监督仲裁按制度规定履行职责，严格保密，遵守竞赛规程，切实做到公平公正。文章来源地址【匠子博客园 www.jiangzi.cc】

3.赛事工作人员严格遵守规章制度，按照岗位职责，履职尽责。

七、技术规范

（一）教学标准

中等职业学校电子与信息大类相关专业国家教学标准。

（二）行业标准

（三）职业技能等级标准

对接“1+X证书”等国家职业技能等级证书初中高的技能要求。

（四）主要竞赛知识点和技能点

八、技术环境

（一）技术平台

竞赛场地每赛位需配备“网络及云服务设备”技术平台一套

（二）技术环境

1．理论题在线测试技术环境

理论在线测试平台满足自动组卷，现场评分功能。

2．免费开源软件清单

Windows系统平台由服务器版和桌面版组成，桌面版采用kylin和ubuntu(英文版)，服务器版主要采用Windows Server 2022(中文版)和Rocky9。

每赛位具体软件参数如下所示:

九、竞赛样题

见附件1

十、赛项安全

赛事安全是技能竞赛一切工作顺利开展的先决条件。

（一）组织机构

1．成立由赛项执委会主任为组长的赛项安全保障小组。

2．与地方相关部门建立协调机制，制定应急预案，及时处置突发事件，保证比赛安全进行。

（二）赛项安全管理要求

1．赛项合作企业提供的器材、设备应符合国家有关安全规定，并在比赛现场安排技术支持人员，保障赛项设备安全稳定。

2．在竞赛工位张贴安全操作说明。

（三）比赛环境

1．承办单位赛前须按照执委会要求排除安全隐患。

2．裁判员要严防选手出现具有危险性的操作。

3．承办单位制定安全制度和应急预案，并配备急救人员与设施。

4．易燃易爆以及各类危险品严格禁止进入比赛场地。

5．大赛现场需对赛场进行网络安全控制。

6．制定人员疏导方案。赛场环境中存在人员密集、车流人流交错的区域，除了设置齐全的指示标志外，须增加引导人员，并开辟备用通道。

7．承办单位须在赛场管理的关键岗位，增加力量，建立安全管理日志。

（四）组队责任

1．各学校组织代表队时，须安排为参赛选手购买大赛期间的人身意外伤害保险。

2．各学校代表队组成后，须制定相关管理制度，并对所有选手、指导教师进行安全教育。

3．各参赛队伍须加强对参与比赛人员的安全管理，实现与赛场安全管理的对接。

十一、成绩评定

（一）评分标准

本赛项模块一网络理论测试：两名参赛选手独自完成，竞赛结果取两名参赛选手平均成绩计为参赛队该部分成绩。模块二网络建设与调试和模块三服务搭建与运维：两名参赛选手合作开展项目实施，模块任务评价标准中记分方式为千分制保留一位小数，竞赛结果取项目实施总成绩。三项模块总和核算为百分制，保留两位小数，为最终竞赛成绩。

（二）评分方式

1．评分原则

竞赛评分严格按照公平、公正、公开的原则，评分标准注重考察参赛选手以下三个方面的知识能力水平：

（1）网络搭建与安全部署、系统配置与应用的正确性、规范性和合理性。

（2）网络理论的理解性。

（3）团队风貌、职业素养、协作与沟通、组织与管理能力。

2．具体评分方法

（1）参赛队成绩评定采用结果评分。模块一为机考评分、模块二中“2-1工程统筹”为人工客观评判由五名评分裁判依据评分标准独立评分取均值，其余模块由专家组决定为人工或系统客观评分。

（2）裁判组遵照大赛执委会要求成立，需要安排具备中高级职称（高级职业资格证书/技能等级）熟悉网络或操作系统技术的裁判44名，包括裁判长、现场裁判、评分裁判、加密裁判。

（3）整体评分工作中模块一网络理论题在线测试提交赛卷后，系统自动评判，现场出分，每参赛队两位选手平均成绩计入团队分数；第二模块2-5和第三模块竞赛环节可采取系统评判或人工核对，成绩采用分步得分、累计总分的积分方式，按照网络设备和虚拟机的配置及测试结果文件维度分别计算得分，只记录团队分数，不计参赛选手个人得分；三部分分数合计为参赛队总分。

（4）在竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为的，由裁判长按照规定扣减相应分数，情节严重的取消比赛资格，比赛成绩记0分。

（5）为保障成绩评判的准确性，监督仲裁组对赛项总成绩排名前30%的所有参赛队伍的成绩进行复核；对其余成绩进行抽检复核，抽检覆盖率不低于15%。监督仲裁组需将复检中发现的错误以书面方式及时告知裁判长，由裁判长更正成绩并签字确认。若复核、抽检错误率超过5%，裁判组需对所有成绩进行复核。

（6）赛项成绩解密后，在赛项执委会指定的地点，以纸质形式向全体参赛队进行公布。成绩公示2小时内无异议，在闭赛式上予以宣布。

（7）本赛项各参赛队最终成绩由承办单位信息员录入赛事管理系统。承办单位信息员对成绩数据审核后，将系统中录入的成绩导出打印，经赛项裁判长审核无误后签字。承办单位信息员将裁判长确认的电子版赛项成绩信息上传系统，同时将裁判长签字的纸质打印成绩单报送大赛执委会。

（8）赛项结束后专家工作组根据裁判判分情况，分析参赛选手在比赛过程中对各个知识点、技术点的掌握程度，并将分析报告报备大赛执委会办公室，执委会办公室根据实际情况适时公布。

（9）赛项每个比赛环节裁判判分的原始材料和最终成绩等结果性材料经监督仲裁组人员和裁判长签字后装袋密封留档，赛项承办院校封存，委派专人妥善保管。

十二、奖项设置

（一）选手奖励

本赛项设参赛选手团体一、二、三等奖。以赛项实际参赛队(团体赛)总数为基数，一、二、三等奖获奖比例分别为10%、20%、30%(小数点后四舍五入)。本赛项按照获奖比例设置奖项，评分为百分制保留2位小数，极小概率产生成绩并列。如因成绩并列而突破获奖比例，按流程逐级报大赛执委会办公室批准。

（二）优秀指导教师奖励

获得一等奖的参赛队(团体赛)的指导教师获“优秀指导教师奖”。

十三、赛项预案

（二）预留5%以上备用机位和充足备用PC及外部设备，出现非选手原因故障时，经现场裁判和裁判长确认，予以及时更换。

（三）模块一为网络理论题在线测试，从题库按照题目难易程度和技术方向抽取部分赛题组成统一赛卷，题目顺序随机排列，采用主备双服务器保障比赛顺利。如遇个体意外，可以延时更换测试电脑继续比赛；如遇大面积意外，可以中止比赛，重新抽取赛题开始比赛。模块二和三为各参赛队独立作业，不涉及连接统一实时竞赛进程和评分相关服务器以致影响比赛成绩的情况发生，如竞赛时某赛位参赛队出现意外情况不会影响其它赛位正常比赛，不会由此对成绩产生影响。

（四）赛场双路供电，备用UPS，设有应急医疗点，120急救车和供电车场馆外等候。

（五）比赛期间发生大规模意外事故和安全问题，发现者应第一时间报告赛项执委会，赛项执委会应采取中止比赛、快速疏散人群等措施避免事态扩大，并第一时间报告赛区执委会。赛项出现重大安全问题可以停赛，是否停赛由赛区执委会决定。事后，赛区执委会应向大赛执委会报告详细情况。

十四、竞赛须知

（一）参赛队须知

1．参赛队应该参加赛项承办单位组织的开闭赛式等各项赛事活动。

2．在赛事期间，领队及参赛队其他成员不得私自接触裁判，凡发现有弄虚作假者，取消其参赛资格，成绩无效。

3．所有参赛人员须按照赛项规程要求按时完成赛项评价工作。

4．对于有碍比赛公正和比赛正常进行的参赛队，视其情节轻重，按照相关规定给予警告、取消比赛成绩、通报批评等处理。

5．由省、自治区、直辖市、计划单列市、新疆生产建设兵团教育行政部门确定赛项领队1人，赛项领队应该由参赛院校中层以上管理人员或教育行政部门人员担任，熟悉赛项流程，具备管理与组织协调能力。

6．参赛队领队应按时参加赛前领队会议，不得无故缺席。

7．参赛队领队负责组织各自参赛队参加各项赛事活动。

8．参赛队领队应积极做好各自参赛队的服务工作，协调各参赛队与赛项组织机构、承办院校的对接。

9．参赛队认为存在不符合竞赛规定的设备、工具、软件，有失公正的评判、奖励，以及工作人员的违规行为等情况时，须由领队向赛项监督仲裁组提交书面申诉材料。各参赛队领队应带头服从和执行申诉的最终仲裁结果，并要求指导教师、选手服从和执行。

（二）指导教师须知

1．指导教师应该根据专业教学计划和赛项规程合理制定训练方案，认真指导选手训练，培养选手的综合职业能力和良好的职业素养，克服功利化思想，避免为赛而学、以赛代学。

2．指导老师应及时查看大赛专用网页有关赛项的通知和内容，认真研究和掌握本赛项竞赛的规程、技术规范和赛场要求，指导选手做好赛前的一切技术准备和竞赛准备。

3．指导教师应该根据赛项规程要求做好参赛选手保险办理工作，并积极做好选手的安全教育。

4．指导教师参加赛项观摩等活动，不得违反赛项规定进入赛场，干扰比赛正常进行。

（三）参赛选手须知

1．参赛选手应按有关要求如实填报个人信息，否则取消竞赛资格。

2．参赛选手凭统一印制的参赛证参加竞赛。

3．参赛选手应认真学习领会本次竞赛相关文件，自觉遵守大赛纪律，服从指挥，听从安排，文明参赛。

4．参赛选手请勿携带与竞赛无关的电子设备、通讯设备及其他资料与用品进入赛场。

6．参赛选手应增强角色意识，科学合理分工与合作。

7．参赛选手应按有关要求在指定位置就坐，在比赛开始前10分钟，认真阅读《比赛任务书》，须在确认竞赛内容和现场设备等无误后在裁判长宣布比赛开始后打开显示器参与竞赛，如果违规行为：诸如打开显示器、制作线缆等任何操作，经裁判警告后仍无效，将酌情扣分，情节严重的经裁判长批准后将立即取消其参赛资格，由此引发的后续问题参赛队全部承担。

8．参赛选手必须在指定区域，按规范要求安全操作竞赛设备，严格遵守比赛纪律。如果违反，经裁判警告后仍无效，将酌情扣分，情节严重的终止其比赛。一旦出现较严重的安全事故，经裁判长批准后将立即取消其参赛资格。

9．在竞赛过程中，确因计算机或设备软件或硬件故障，致使操作无法继续的，经赛项裁判长确认，予以启用备用计算机或设备，由此耽误的比赛时间将予以补时。经现场技术人员、裁判和裁判长确认，如因个人操作导致设备系统故障，不予以补时处理。

11．在竞赛期间，未经赛项执委会批准，参赛选手不得接受其他单位和个人进行的与竞赛内容相关的采访。参赛选手不得将竞赛的相关信息私自公布。

（四）工作人员须知

1．树立服务观念，一切为选手着想，以高度负责的精神、严肃认真的态度和严谨细致的作风，在赛项执委会的领导下，按照各自职责分工和要求认真做好岗位工作。

2．所有工作人员必须佩带证件，忠于职守，秉公办理，保守秘密。

3．注意文明礼貌，保持良好形象，熟悉赛项指南。

4．自觉遵守赛项纪律和规则，服从调配和分工，确保竞赛工作的顺利进行。

5．提前30分钟到达赛场，严守工作岗位，不迟到，不早退，不无故离岗，特殊情况需向工作组组长请假。

6．熟悉竞赛规程，严格按照工作程序和有关规定办事，遇突发事件，按照应急预案，组织指挥人员疏散，确保人员安全。

7．工作人员在竞赛中若有舞弊行为，立即撤销其工作资格，并严肃处理。

8．保持通讯畅通，服从统一领导，严格遵守竞赛纪律，加强协作配合，提高工作效率。

十五、申诉与仲裁

各参赛队对不符合大赛和赛项规程规定的仪器、设备、工装、材料、物件、计算机软硬件、竞赛使用工具、用品，竞赛执裁、赛场管理，以及工作人员的不规范行为等，可向赛项监督仲裁组提出申诉。申诉主体为参赛队领队。参赛队领队可在比赛结束后（选手赛场比赛内容全部完成）2小时之内向监督仲裁组提出书面申诉。

书面申诉应对申诉事件的现象、发生时间、涉及人员、申诉依据等进行充分、实事求是的叙述，并由领队亲笔签名。非书面申诉不予受理。

赛项监督仲裁工作组在接到申诉报告后的2小时内组织复议，并及时将复议结果以书面形式告知申诉方。申诉方对复议结果仍有异议，可由领队向赛区仲裁委员会提出申诉。赛区仲裁委员会的仲裁结果为最终结果。

仲裁结果由申诉人签收，不能代收，如在约定时间和地点申诉人离开，视为自行放弃申诉。

申诉方可随时提出放弃申诉，不得以任何理由采取过激行为扰乱赛场秩序。

十六、竞赛观摩

本赛项提供公开观摩区进行线下公开观摩，同时提供赛场外全程直播。

参加观摩人员应遵守竞赛制度和规程，按照赛项执委会有序组织参加赛项观摩等活动，不得违反赛项规定进入赛场，干扰比赛正常进行，观摩时需按照沿指定路线、在指定时间和规定区域内到现场观赛。

十七、竞赛直播

本赛项除抽签加密外，赛项全过程、全方位安排现场直播，并设直播观摩区让所有参赛师生和社会人员观看比赛。

本赛项赛前对赛题印制、设备安装调试、软件安装等关键环节进行实况摄录。

十八、赛项成果

（一）赛项成果转化清单

（二）资源的技术标准

资源转化成果以文本文档、演示文稿、视频文件、Flash文件、图形/图像素材等形式数字化资源等。

（三）资源成果展现

赛项资源转化成果的开放共享。

（四）资源的使用与管理

资源转化成果的使用与管理由大赛执委会统一使用与管理，会同赛项承办单位、赛项有关专家，联系出版社编辑出版有关赛项实训教材等精品资源。

附件1

全国职业院校技能大赛

网络建设与运维

一、竞赛项目简介

“网络建设与运维”竞赛共分 A．网络理论测试（从公布赛题模块一中随机抽取选择题70道，判断题30道）；B．网络建设与调试；C．服务搭建与运维等三个模块。竞赛时间安排和分值权重见表1

表 1 竞赛时间安排与分值权

二、竞赛注意事项

1．竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2．请根据大赛所提供的竞赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

3．在进行任何操作之前，请阅读每个部分的所有任务。各任务之间可能存在一定关联。

4．操作过程中需要及时按照答题要求保存相关结果。竞赛结束后，所有设备保持运行状态，评判以最后提交的成果为最终依据。

5．竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将竞赛所用的所有物品（包括试卷等）带离赛场。

6．禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为0分。

一、单选题

1．下面哪个路由协议是外部网关路由协议？（）

A. 直连路由协议 B. 静态路由协议

C. OSPF路由协议 D. BGP协议

2．在Linux中，下列哪个不是主流的电子邮件服务器软件（）。

A. Sendmail服务器 B. Postfix服务器

C. Qmail服务器 D. Pop3服务器

3．网络管理希望能够有效利用192.168.176.0/25网段的IP地址现公司市场部门有20个主机,则最好分配下面哪个地址段给市场部。( )

A. 192.168.176.0/25 B. 192.168.176.160/27

C. 192.168.176.48/29 D. 192.168.176.96/27

4．STP交换机缺省的优先级为( )。

A. 0 B. 1 C. 32767 D. 32768

5．telnet远程管理时数据的源端口号和目的端口号可能为( )。

A. 1025,21 B. 1024,23 C. 23,1025 D. 211022,0

二、判断题

1．云平台中可以直接删除原有卷。（）

2．使用traceroute命令可以检验目标网路是否在路由表中。（）

3．在短时间内同时产生大量的请求消息冲击某Web服务器,无法正常响应其他合法用户的请求,这属于DDoS攻击。（）

4．通过发送包含不同TTL的ICMP报文并监听回应报文,来探测到达目的计算机的路径的命令是ping。（）

5．建筑物综合布线系统中的园区子系统是指连接各个建筑物的通信系统。（）

任务描述：

某集团公司原在北京建立了总公司，后在成都建立了分公司，又在广东设立了办事处。集团设有产品、营销、法务、财务、人力5个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。

2023年随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要素潜能，为社会创造更多价值，集团决定在北京建立两个数据中心，在贵州建立异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成向两地三中心整体战略架构演进，更好的服务于公司客户。

集团、分公司及办事处的网络结构详见拓扑图。编号为SW1的设备作为集团北京1#DC核心交换机，编号为SW2的设备作为集团北京2#DC核心交换机；编号为SW3的设备作为贵州DC核心交换机；编号FW1的设备作为集团互联网出口防火墙；编号为FW2的设备作为办事处防火墙；编号为RT1的设备作为集团核心路由器；编号为RT2的设备作为分公司路由器；编号为AC1的设备作为分公司的有线无线智能一体化控制器，通过与AP1配合实现所属区域无线覆盖。

网络拓扑图及IP地址表：

工程统筹

1．职业素养

(1)整理赛位，工具、设备归位，保持赛后整洁有序。

(2)无因选手原因导致设备损坏。

(3)恢复调试现场，保证网络和系统安全运行。

2．网络布线

左侧布线面板立面示意图右侧布线面板立面示意图

(1)机柜左侧布线面板编号101；机柜右侧布线面板编号102。

(2)面对信息底盒方向左侧为1端口、右侧为2端口。所有配线架、模块按照568B标准端接。

(3)主配线区配线点与工作区配线点连线对应关系如下：

(4)铺设线缆并端接。截取2根适当长度的双绞线，两端制作标签，穿过PVC线槽或线管。双绞线在机柜内部进行合理布线，并且通过扎带合理固定。将2根双绞线的一端，端接在配线架相应端口，另一端端接上RJ45模块，并且安装上信息点面板，并标注标签。

(5)跳线制作与测试。截取2根当长度的双绞线，端接水晶头，所有网络跳线要求按568B标准制作，两端制作标签，连接网络信息点和相应计算机。根据网络拓扑要求，截取适当长度和数量的双绞线，端接水晶头，插入相应设备的相关端口上，实现PC、信息点面板、配线架、设备之间的连通（提示：可利用机柜上自带的设备进行通断测试）。

3．IP规划

为了不断壮大集团业务经营范围，集团计划在上海成立办事处。通过调研，计划在上海办事处设立与Internet连接的4个业务部门，每个业务部门的最大所需主机数如下表所示，要求从10.13.10.100/19主机地址所在网络第一个网段开始进行IP地址规划，IP地址按照下表依次往后顺延规划，网关地址取每个网段最后一个可用地址，请完成下表IP地址规划。

二、交换配置

1．配置vlan，SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。

2．SW1和SW2之间利用三条裸光缆实现互通，其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离，财务业务VPN实例名称为Finance。承载二层业务的只有一条裸光缆通道，配置相关技术，方便后续链路扩容与冗余备份，编号为1，用LACP协议，SW1为active，SW2为passive；采用源、目的IP进行实现流量负载分担。

3．SW3针对每个业务VLAN的第一个接口配置Loopback命令，模拟接口UP，方便后续业务验证与测试。

4．将SW3模拟为Internet交换机，实现与集团其它业务路由表隔离，Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表VPN实例名称为Office。

5．SW1法务物理接口限制收、发数据占用的带宽分别为100Mbps、90Mbps，禁止采用访问控制列表，只允许IP主机位为20-30的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。

6．配置SW1相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截，开启日志记录功能，采样周期10s一次，恢复周期为120s，从而保障CPU稳定运行。

7．对SW1与FW1互连流量镜像到SW1 E1/0/1，会话列表为1。

三、路由调试

1．配置接口ipv4地址和ipv6地址，互联接口ipv6地址用本地链路地址。

2．SW2配置DHCPv4和DHCPv6，分别为总公司产品1段、总公司产品2段、分公司Vlan130、分公司Vlan140和分公司Vlan150分配地址。IPv4地址池名称分别为Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan130、Poolv4-Vlan140、Poolv4-Vlan150，排除网关，DNS为10.13.210.101和10.13.220.101。IPv6地址池名称分别为Poolv6-Vlan11、Poolv6-Vlan21、Poolv6-Vlan130、Poolv6-Vlan140、Poolv6-Vlan150，IPv6地址池用网络前缀表示,排除网关，DNS为2400:3200::1。PC1保留地址10.13.11.9和2001:10:13:11::9，PC2保留地址10.13.21.9和2001:10:13:21::9，AP1保留地址10.13.130.9和2001:10:13:130::9。SW1、AC1中继地址为SW2 Loopback1地址，SW1启用DHCPv4和DHCPv6 snooping，如果E1/0/1连接dhcpv4服务器，则关闭该端口，恢复时间为10分钟。

3．SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行OSPFv2和OSPFv3协议（路由模式发布网络用接口地址，BGP协议除外）。

(1)SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议，进程1，区域0，分别发布loopback1地址路由和产品路由，FW1通告type1默认路由。

(2)RT2与AC1之间运行OSPFv2协议，进程1，nssa no-summary区域1；AC1发布loopback1地址路由、产品和营销路由，用prefix-list重发布loopback3。

(3)RT2与AC1之间运行OSPFv3协议，进程1，stub no-summary区域1；AC1发布loopback1地址路由、产品和营销。

(4)SW3模拟办事处产品和营销接口配置为loopback，模拟接口up。SW3模拟办事处与FW2之间运行OSPFv2协议，进程2，区域2，SW3模拟办事处发布loopback2、产品和营销。SW3模拟办事处配置ipv6默认路由；FW2分别配置到SW3模拟办事处loopback2、产品和营销的ipv6明细静态路由，FW2重发布静态路由到OSPFv3协议。

(5)RT1、FW2之间OSPFv2和OSPFv3协议，进程2，区域2；RT1发布loopback4路由，向该区域通告type1默认路由；FW2发布loopback1路由，FW2禁止学习到集团和分公司的所有路由。RT1用prefix-list匹配FW2 loopback1路由、SW3模拟办事处loopback2和产品路由、RT1与FW2直连ipv4路由，将这些路由重发布到区域0。

(6)修改ospf cost为100，实现SW1分别与RT2、FW2之间ipv4和ipv6互访流量优先通过SW1_SW2_RT1链路转发，SW2访问Internet ipv4和ipv6流量优先通过SW2_SW1_FW1链路转发。

4．RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议，FW1、RT1、RT2的RIP和RIPng发布loopback2地址路由，AC1 RIP发布loopback2地址路由，AC1 RIPng采用route-map匹配prefix-list重发布loopback2地址路由。RT1配置offset值为3的路由策略，实现RT1-S1/0_RT2-S1/1为主链路，RT1-S1/1_RT2-S1/0为备份链路，ipv4的ACL名称为AclRIP，ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1之间采用chap双向认证，用户名为对端设备名称，密码为Key-1122。

5．RT1以太链路、RT2以太链路之间运行ISIS协议，进程1，分别实现loopback3 之间ipv4互通和ipv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、10.0000.0000.0002.00，路由器类型是Level-2，接口网络类型为点到点。配置域md5认证和接口md5认证，密码均为Key-1122。

6．RT2配置ipv4 nat，实现AC1 ipv4产品用RT2外网接口ipv4地址访问Internet。RT2配置nat64，实现AC1 ipv6产品用RT2外网接口ipv4地址访问Internet，ipv4地址转ipv6地址前缀为64:ff9b::/96。

7．SW1、SW2、SW3、RT1、RT2之间运行BGP协议，SW1、SW2、RT1 AS号65001、RT2 AS号65002、SW3 AS号65003。

(1)SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6 BGP邻居。SW1和SW2之间财务通过loopback2建立ipv4 BGP邻居，SW1和SW2的loopback2互通采用静态路由。

(2)SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6路由；RT1发布办事处营销ipv4和ipv6路由到BGP。

(3)SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转发；SW3法务及人力分别与SW1和SW2法务及人力ipv4和ipv6互访优先在SW3_SW2链路转发，主备链路相互备份；用prefix-list、route-map和BGP路径属性进行选路，新增AS 65000。

8．利用BGP MPLS VPN技术，RT1与RT2以太链路间运行多协议标签交换、标签分发协议。RT1与RT2间创建财务VPN实例，名称为Finance，RT1的RD值为1:1，export rt值为1:2，import rt值为2:1；RT2的RD值为2:2。通过两端loopback1建立VPN邻居，分别实现两端loopback5 ipv4互通和ipv6互通。

四、无线部署

1．AC1 loopback1 ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。AP二层自动注册，AP采用MAC地址认证。配置2个ssid，分别为skills-2.4G和skills-5G。skills-2.4G对应vlan140，用network 140和radio1（模式为n-only-g）,用户接入无线网络时需要采用基于WPA-personal加密方式，密码为Key-1122。skills-5G对应vlan150，用network 150和radio2（模式为n-only-a），不需要认证，隐藏ssid，skills-5G用倒数第一个可用VAP发送5G信号。

2．当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。

3．MAC认证模式为黑名单，MAC地址为80-45-DD-77-CC-48的无线终端采用全局配置MAC认证。

4．防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC 10分钟内建立连接5次就不再允许继续连接，2小时后恢复正常。

5．配置vlan110无线接入用户相互隔离，开启ARP抑制功能，限制每天早上0点到4点禁止终端接入。

6．配置vlan110无线接入用户上下行最大带宽为800Mbps，arp上下行最大速率为6packets/s。

7．配置vlan110无线接入用户上班时间（工作日09:00-17:00）访问Internet https上下行CIR为1Mbps，CBS为20Mbps，PBS为30Mbps，exceed-action和violate-action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为Skills。

8．AP发射功率为90%。

五、安全维护

说明：ip地址按照题目给定的顺序用“ip/mask”表示，ipv4 any地址用0.0.0.0/0，ipv6 any地址用::/0，禁止用地址条目，否则按零分处理。

1．FW1配置ipv4 nat，实现集团产品1段ipv4访问Internet ipv4，转换ip/mask为200.200.200.16/28，保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址；当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.13.11.120的 UDP 514端口，记录主机名，用明文轮询方式分发日志；开启相关特性，实现扩展nat转换后的网络地址端口资源。

2．FW1配置nat64，实现集团产品1段ipv6访问Internet ipv4，转换为出接口IP，ipv4转ipv6地址前缀为64:ff9b::/96。

3．FW1和FW2策略默认动作为拒绝，FW1允许集团产品1段ipv4和ipv6访问Internet任意服务。

4．FW2允许办事处产品ipv4访问集团产品1段https服务，允许集团产品1段访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处loopback2 ipv4。

5．FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN，实现loopback4之间的加密访问。

6．FW1要求内网每个IP限制会话数量为300。

7．FW1开启安全网关的TCP SYN包检查功能，只有检查收到的包为TCP SYN包后，才建立连接，否则丢弃包；配置对TCP三次握手建立的时间进行检查，如果1分钟内未完成三次握手，则断掉该连接；配置所有的TCP数据包和TCP VPN数据包每次能够传输的最大数据分段为1460，尽力减少网络分片。

任务描述：

随着信息技术的快速发展，集团计划把部分业务由原有的X86服务器上迁移到ARM架构服务器上，同时根据目前的部分业务需求进行了部分调整和优化。

一、X86架构计算机操作系统安装与管理

1．PC1系统为ubuntu-desktop-amd64系统（已安装，语言为英文），登录用户为xiao，密码为Key-1122。启用root用户，密码为Key-1122。

2．安装remmina，用该软件连接Server1上的虚拟机，并配置虚拟机上的相应服务。

3．安装qemu和virtinst。

4．创建Windows Server 2022虚拟机，虚拟机信息如下：

5．安装windows8，系统为Windows Server 2022 Datacenter Desktop，网络模式为桥接模式，网卡、硬盘、显示驱动均为virtio，安装网卡、硬盘、显示驱动并加入到Windows AD中。

6．安装windows9，系统为Windows Server 2022 Datacenter Desktop，网络模式为桥接模式，网卡、硬盘、显示驱动均为virtio，安装网卡、硬盘、显示驱动并加入到Windows AD中。在windows9中添加3块5GB的硬盘（硬盘驱动为virtio），初始化为GPT，配置为raid5。驱动器盘符为D。

二、ARM架构计算机操作系统安装与管理

1．从U盘启动PC2，安装kylin-desktop-arm64（安装语言为英文），安装时创建用户为xiao，密码为Key-1122。启用root用户，密码为Key-1122。

2．配置minicom，用该软件连接网络设备，并对网络设备进行配置。

三、Windows云服务配置

1．创建实例

(1)网络信息表

(2)实例类型信息表

(3)实例信息表

2．域服务

任务描述：请采用域环境，管理企业网络资源。

(1)配置windows2为skills.lan域控制器；安装dns服务，dns正反向区域在active directory中存储，负责该域的正反向域名解析。

(2)把skills.lan域服务迁移到windows1；安装dns服务，dns正反向区域在active directory中存储，负责该域的正反向域名解析。

(3)把其他windows主机加入到skills.lan域。所有windows主机（含域控制器）用skills\Administrator身份登陆。

(6)启用所有windows服务器的防火墙。

(7)在windows1上新建名称为manager、dev、sale的3个组织单元；每个组织单元内新建与组织单元同名的全局安全组；每个组内新建20个用户：行政部manager00-manager19、开发部dev00-dev19、营销部sale00-sale19，不能修改其口令，密码永不过期。manager00拥有域管理员权限。

3．组策略

(1)添加防火墙入站规则，名称为icmpv4，启用任意IP地址的icmpv4回显请求。

(4)允许manager组本地登录域控制器，允许manager00用户远程登录到域控制器；拒绝dev组从网络访问域控制器。

(5)登录时不显示上次登录，不显示用户名，无须按ctrl+alt+del。

(6)登录计算机时，在桌面新建名称为chinaskills的快捷方式，目标为http://www.chinaskills-jsw.org，快捷键为ctrl+shift+f6。

4．文件共享

任务描述：请采用文件共享，实现共享资源的安全访问。

(1)在windows1的C分区划分2GB的空间，创建NTFS分区，驱动器号为d；创建用户主目录共享文件夹：本地目录为D:\share\home，共享名为home，允许所有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到h卷。禁止用户在该共享文件中创建“*.exe”文件，文件组名和模板名为my。

(2)创建目录D:\share\work，共享名为work，仅manager组和Administrator组有完全控制的安全权限和共享权限，其他认证用户有读取执行的安全权限和共享权限。在AD DS中发布该共享。

5．ASP服务

任务描述：请采用IIS搭建web服务，创建安全动态网站，。

(1)把windows3配置为ASP网站，网站仅支持dotnet clr v4.0，站点名称为asp。

(2)http绑定本机与外部通信的IP地址，仅允许使用域名访问。

(3)网站目录为C:\iis\contents，默认文档index.aspx内容为“Helloaspx”。

(4)使用windows5测试。

6．powershell脚本

任务描述：请采用powershell脚本,实现快速批量的操作。

(1)在windows7上编写C:\createfile.ps1的powershell脚本,创建20个文件C:\file\file00.txt至C:\file\file19.txt，如果文件存在，则删除后，再创建；每个文件的内容同主文件名，如file00.txt文件的内容为“file00”。

四、Linux云服务配置

1．系统安装

(1)通过PC1 web连接Server2，给Server2安装rocky-arm64 CLI系统（语言为英文）。

(2)配置Server2的IPv4地址为10.13.220.100/24。

(3)安装qemu和virt-install。

(4)创建rocky-arm64虚拟机，虚拟机硬盘文件保存在默认目录，名称为linuxN.qcow2(N表示虚拟机编号1-9，如虚拟机linux1的硬盘文件为linux1.qcow2,虚拟机linux2的硬盘文件为linux2.qcow2),虚拟机信息如下：

(5)安装linux1，系统为rocky-arm64 CLI，网卡、硬盘、显示驱动均为virtio，网络模式为桥接模式。

(6)关闭linux1，给linux1创建快照，快照名称为linux-snapshot。

(7)根据linux1克隆虚拟机linux2-linux9。

2．dns服务

任务描述：创建DNS服务器，实现企业域名访问。

(1)所有linux主机启用防火墙，防火墙区域为public，在防火墙中放行对应服务端口。

(2)利用chrony，配置linux1为其他linux主机提供NTP服务。

(3)所有linux主机之间（包含本主机）root用户实现密钥ssh认证，禁用密码认证。

(4)利用bind，配置linux1为主DNS服务器，linux2为备用DNS服务器。为所有linux主机提供冗余DNS正反向解析服务。

3．apache2服务

任务描述：请采用Apache搭建企业网站。

配置linux1为Apache2服务器，使用skills.lan或any.skills.lan（any代表任意网址前缀，用linux1.skills.lan和web.skills.lan测试）访问时，自动跳转到www.skills.lan。禁止使用IP地址访问，默认首页文档/var/www/html/index.html的内容为“apache”。

4．tomcat服务

任务描述：采用Tomcat搭建动态网站。

(1)配置linux2为nginx服务器，默认文档index.html的内容为“hellonginx”；仅允许使用域名访问，http访问自动跳转到https。

(2)利用nginx反向代理，实现linux3和linux4的tomcat负载均衡，通过https//tomcat.skills.lan加密访问Tomcat。

(3)配置linux3和linux4为tomcat服务器，网站默认首页内容分别为“tomcatA”和“tomcatB”，仅使用域名访问80端口http。

5．samba服务

任务描述：请采用samba服务，实现资源共享。

(1)在linux3上创建user00-user19等20个用户；user00和user01添加到manager组，user02和user03添加到dev组。把用户user00-user03添加到samba用户。

(2)配置linux3为samba服务器,建立共享目录/srv/sharesmb，共享名与目录名相同。manager组用户对sharesmb共享有读写权限，dev组对sharesmb共享有只读权限；用户对自己新建的文件有完全权限，对其他用户的文件只有读权限，且不能删除别人的文件。在本机用smbclient命令测试。

(3)在linux4修改/etc/fstab,使用用户user00实现自动挂载linux3的sharesmb共享到/sharesmb。

6．kubernetes服务

任务描述：请采用kubernetes和containerd，管理容器。

(1)在linux5-linux7上安装containerd和kubernetes，linux6作为master node，linux6和linux7作为work node；使用containerd.sock作为容器runtime-endpoint。导入nginx镜像，主页内容为“HelloKubernetes”。

(2)master节点配置calico，作为网络组件。

(3)创建一个deployment，名称为web，副本数为2；创建一个服务，类型为nodeport，名称为web，映射本机80端口和443端口分别到容器的80端口和443端口。

7．mysql服务

任务描述：请安装mysql服务，建立数据表。

(1)配置linux2为mysql服务器，创建数据库用户xiao，在任意机器上对所有数据库有完全权限。

(2)创建数据库userdb；在库中创建表userinfo，表结构如下：

(3)在表中插入2条记录，分别为(1,user1，1999-07-01，男)，(2,user2，1999-07-02，女)，password与name相同，password字段用password函数加密。

(4)修改表userinfo的结构，在name字段后添加新字段height(数据类型为float)，更新user1和user2的height字段内容为1.61和1.62。

(5)每周五凌晨1:00以root用户身份备份数据库userdb到/var/databak/userdb.sql(含创建数据库命令)。

8．shell脚本

任务描述：请采用shell脚本,实现快速批量的操作。

在linux4上编写/root/createfile.sh的shell脚本，创建20个文件/root/shell/file00至/root/shell/file19，如果文件存在，则删除再创建；每个文件的内容同文件名，如file00文件的内容为“file00”。用/root/createfile.sh命令测试。