phplinuxweb安全服务器网络安全2023年河南省中等职业教育技能大赛网络建设与运维项目比赛试题（一）

2023年河南省中等职业教育技能大赛网络建设与运维项目比赛试题

2023年河南省中等职业教育技能大赛

网络建设与运维项目比赛试题（一）（总分1000分）

竞赛说明

一、竞赛项目简介

GeekSec专注技能竞赛，包含网络建设与运维和信息安全管理与评估两大赛项，及各大CTF，基于两大赛项提供全面的系统性培X，拥有完整的培X体系。团队拥有国赛选手、大厂在职专家等专业人才担任讲师，培X效果显著，通过培X帮助各大院校备赛学生取得各省国家级奖项，获各大院校一致好评。

模块比赛时长分值模块一网络理论测试1小时10%模块二网络建设与调试4小时40%模块三服务搭建与运维50%合计5小时100%

二、竞赛注意事项

1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2.请根据大赛所提供的竞赛环境，检查所列的硬件设备、软件清单、材料清单

第1页共33页

是否齐全，计算机设备是否能正常使用。

3.在进行任何操作之前，请阅读每个部分的所有任务。各任务之间可能存在一

定关联。

持运行状态，评判以最后提交的成果为最终依据。

5.竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将竞赛所用的所

有物品（包括试卷等）带离赛场。

6.禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为0分。

第2页共33页

项目简介

某集团公司原在城市A成立了总公司，后在城市B成立了分公司，又在城市C

建立了办事处。集团设有产品、营销、法务、财务、人力5个部门，统一进行IP

及业务资源的规划和分配，全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。

随着企业数字化转型工作进一步推进，为持续优化运营创新，充分激活数据要

素潜能，为社会创造更多价值，集团决定在总公司建立两个数据中心，在某省建立

异地灾备数据中心，以达到快速、可靠交换数据，增强业务部署弹性的目的，完成

向两地三中心整体战略架构演进，更好的服务于公司客户。

第3页共33页

拓扑结构图

第4页共33页

表1-**网络设备****IP****地址分配表**

|---|---|---|

|SW1|loopback1ospfv2ospfv3bgp|10.1.1.1/322001:10:1:1::1/128|

|loopback2|10.1.1.2/322001:10:1:1::2/128|

|vlan11|10.1.11.1/242001:10:1:11::1/64|

|Vlan12|10.1.12.1/242001:10:1:12::1/64|

|Vlan13|10.1.13.1/242001:10:1:13::1/64|

|Vlan14|10.1.14.1/242001:10:1:14::1/64|

|Vlan15|10.1.15.1/242001:10:1:15::1/64|

|Vlan2019|10.1.255.14/30|"/>

表2-**服务器****IP****地址分配表**

表3-**云平台网络信息表**

表4-**虚拟主机信息表**

表5-**卷信息表**

|Sda1-Sda4|5G|Windows2|"/>

模块二：网络建设与调试（**450****分）**

【说明】

1.设备console线有不同两条。交换机、AC、防火墙使用同一条console线，

路由器使用另外一条console线。

2.请在物理机PC1桌面上新建"XX_Network"文件夹作为"选手目录"（XX为

赛位号。举例：1号赛位，文件夹名称为"01_Network"）。

3.设备配置完毕后，保存最新的设备配置。裁判以各参赛队提交的竞赛结果文

档为主要评分依据。保存文档方式如下：

在XX（XX表示网络设备名称，如DCWS、FW-1、FW-2、RT-1、RT-2、SW-1、

SW-2、SW-3等，以下相同）特权模式下，执行SecureCRT“Script"菜单下的"run…”

命令，浏览到D:\soft\ScriptsNet\XX.py，单击"Open"按钮。脚本执行后，将生

成的D:\Log\XX.txt文件复制到选手目录。

收集，需要先调整CRT软件字符编号为：UTF-8，否则收集的命令行中文信息会显示

乱码。CRT软件调整字符编号配置如图：

一、工程统筹

1.职业素养

（1）整理赛位，工具、设备归位，保持赛后整洁有序。

（2）无因选手原因导致设备损坏。

（3）恢复调试现场，保证网络和系统安全运行。

2.网络布线

3.IP规划

为了不断壮大集团业务经营范围，集团计划在上海成立办事处。通过调研，计

划在上海办事处设立与Internet连接的4个业务部门，每个业务部门的最大所需主

机数如下表所示，要求从10.1.10.100/19主机地址所在网络第一个网段开始进行

IP地址规划，IP地址按照下表依次往后顺延规划，网关地址取每个网段最后一个可

用地址，请完成下表IP地址规划。

二、交换配置

1.配置vlan，SW1、SW2、SW3、AC1的二层链路只允许相应vlan通过。

2.SW1和SW2之间利用三条双绞线实现互通，其中一条双绞线承载三层IP业务、

段、财务2段业务路由表与其它业务路由表隔离，财务业务VPN实例名称为Finance。

份，编号为1，用LACP协议，SW1为active，SW2为passive；采用源、目的IP进

行实现流量负载分担。

3.SW3针对每个业务VLAN的第一个接口配置Loopback命令，模拟接口UP，方

便后续业务验证与测试。

4.将SW3模拟为Internet交换机，实现与集团其它业务路由表隔离，Internet

路由表VPN实例名称为Internet。将SW3模拟办事处交换机，实现与集团其它业务

路由表隔离，办事处路由表VPN实例名称为Office。

5.勒索蠕虫病毒席卷全球，爆发了堪称史上最大规模的网络攻击，

通过对总部核心交换机SW1和SW2所有业务VLAN下配置访问控制策略实现双向

安全防护。

第18页共33页

6.总部预采购多个厂商网流分析平台对集团整体流量进行监控、审计，连接在

SW1的E1/0/10-E1/0/13接口测试，VLAN3000作为远程端口镜像VLAN，

Ethernet10/14作为反射端口，将核心交换机与灾备交换机、路由器互连流量提供

给多个厂商网流分析平台。

7.营销1段的组长因业务需求，其笔记本电脑的mac地址为01-01-01-01

-01-01经常在办公室移动有线办公，为解决营销组的移动有线办公问题，现要求经

过设置，当该设备接入到SW2的E1/0/17-18时，会自动收到来自营销1段的数据

包。

能。

9.对SW1上VLAN40开启以下安全机制：业务内部终端相互二层隔离，启用

分钟；配置防止ARP欺骗攻击。

过640kbit的广播数据包；营销业务VLAN每个物理端口最多允许每秒钟通过

1280kbit的单播数据包。

三、路由调试

1.在路由器R1上通过SSH服务管理设备，，仅允许账号为skills01密码

为skills01；密码全部设置为明文，允许用户最多6次验证，最多同时运行2台

recorded!DisconnectedIMMEDIATELYifyouarenotanauthoriseduser!

Otherwise,weretaintherighttopursuethelegalresponsibility"。

2.在SW1配置法务1段报文带宽限制为10M比特/秒，突发值设为4M字节，超

过带宽的该网段内的报文一律丢弃。

3.配置接口ipv4地址和ipv6地址，互联接口ipv6地址用本地链路地址。

第19页共33页

4.SW2配置DHCPv4和DHCPv6，分别为总公司产品1段、总公司产品2段、分公

司Vlan130、分公司Vlan140和分公司Vlan150分配地址。IPv4地址池名称分别为

Poolv4-Vlan11、Poolv4-Vlan21、Poolv4-Vlan130、Poolv4-Vlan140、

Poolv4-Vlan150，排除网关，DNS为10.1.210.101和10.1.220.101。IPv6地址池

名称分别为Poolv6-Vlan11、Poolv6-Vlan21、Poolv6-Vlan130、Poolv6-Vlan140、

Poolv6-Vlan150，IPv6地址池用网络前缀表示,排除网关，DNS为2400:3200::1。

PC1保留地址10.1.21.9和2001:10:1:21::9，PC2保留地址10.1.31.9和

2001:10:1:31::9，AP1保留地址10.1.130.9和2001:10:1:130::9。开启路由公告

功能，路由器公告的生存期为

2小时，确保IPv6终端可以获得IPv6无状态地址;SW1、AC1中继地址为SW2

Loopback1地址，SW1启用DHCPv4和DHCPv6snooping，如果E1/0/1连接dhcpv4

5.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行OSPFv2

和OSPFv3协议（路由模式发布网络用接口地址，BGP协议除外）。

（1）SW1、SW2、SW3、FW1之间OSPFv2进程1，区域0，RT1和RT2之间OSPFv2

进程1，区域1，SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv3协议，进程1，区域

0；分别发布loopback1地址路由和产品路由，FW1通告type1默认路由。

（2）RT2与AC1之间运行OSPFv2协议，进程1，区域2；AC1发布loopback1

地址路由、产品和营销路由。

（3）RT2与AC1之间运行OSPFv3协议，进程1，stubno-summary区域1；AC1

发布loopback1地址路由、产品和营销。

（4）SW3模拟办事处产品和营销接口配置为loopback，模拟接口up。SW3模拟

办事处与FW2之间运行OSPFv2协议，进程2，区域2，SW3模拟办事处发布loopback2、

产品和营销。SW3模拟办事处配置ipv6默认路由；FW2分别配置到SW3模拟办事处

loopback2、产品和营销的ipv6明细静态路由，FW2重发布静态路由到OSPFv3协议。

（5）RT1、FW2之间OSPFv2协议，进程2，区域2；RT1发布loopback4路由，

向该区域通告type1默认路由；FW2发布loopback1路由，FW2禁止学习到集团和分

公司的所有路由。RT1用prefix-list匹配FW2loopback1路由、SW3模拟办事处

第20页共33页

loopback2和产品路由、RT1与FW2直连ipv4路由，将这些路由重发布到区域0。

（6）修改ospfcost为100，实现SW1分别与RT2、FW2之间ipv4互访流量优

先通过SW1_SW2_RT1链路转发，SW2访问Internetipv4流量优先通过SW2_SW1_FW1

链路转发。

6.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng、OSPFv2

和OSPFv3协议，FW1、RT1、RT2的RIP和RIPng、OSPFv2和OSPFv3发布loopback2

地址路由，保证loopback2数据优先走RIP和RIPng。RT1配置offset值为3的路

由策略，实现RT1-S1/0_RT2-S1/1为主链路，RT1-S1/1_RT2-S1/0为备份链路，ipv4

的ACL名称为AclRIP，ipv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1

之间采用chap双向认证，用户名为对端设备名称，密码为skills01。

7.RT1以太链路、RT2以太链路之间运行ISIS协议，进程1，分别实现loopback3

之间ipv4互通和ipv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、

10.0000.0000.0002.00，路由器类型是Level-2，接口网络类型为点到点。配置域

md5认证和接口md5认证，密码均为skills01。

8.RT2配置ipv4nat，实现AC1ipv4产品用RT2外网接口ipv4地址访问

Internet。RT2配置nat64，实现AC1ipv6产品用RT2外网接口ipv4地址访问

Internet，ipv4地址转ipv6地址前缀为64:ff9b::/96。

9.SW1、SW2、SW3、RT1、RT2之间运行BGP协议，SW1、SW2、RT1AS号65001、

RT2AS号65002、SW3AS号65003。

（1）SW1、SW2、SW3、RT1、RT2之间通过loopback1建立ipv4和ipv6BGP邻

居。SW1和SW2之间财务通过loopback2建立ipv4BGP邻居，SW1和SW2的loopback2

互通采用静态路由。

（2）SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等ipv4和ipv6

路由；RT1发布办事处营销ipv4和ipv6路由到BGP。

（3）SW3营销分别与SW1和SW2营销ipv4和ipv6互访优先在SW3_SW1链路转

发；SW3法务及人力分别与SW1和SW2法务及人力ipv4和ipv6互访优先在SW3_SW2

链路转发，主备链路相互备份；用prefix-list、route-map和BGP路径属性进行选

路，新增AS65000。

第21页共33页

10.利用BGPMPLSVPN技术，RT1与RT2以太链路间运行多协议标签交换、标

签分发协议。RT1与RT2间创建财务VPN实例，名称为Finance，RT1的RD值为1:1，

exportrt值为1:2，importrt值为2:1；RT2的RD值为2:2。通过两端loopback1

建立VPN邻居，分别实现两端loopback5ipv4互通和ipv6互通。

四、无线部署

1.AC1loopback1ipv4和ipv6地址分别作为AC1的ipv4和ipv6管理地址。

AP二层自动注册，AP采用序列号认证。配置2个ssid，分别为skills-2.4G和

skills-5G。skills-2.4G对应vlan140，用network140和radio1（模式为n-only-g）,

用户接入无线网络时需要采用基于WPA-personal加密方式，密码为skills2023。

skills-5G对应vlan150，用network150和radio2（模式为n-only-a），不需要

认证，隐藏ssid，skills-5G用倒数第一个可用VAP发送5G信号。

2.当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触

3.MAC认证模式为黑名单，MAC地址为80-45-DD-77-CC-48的无线终端采用全局

配置MAC认证。

4.网络管理员的专属IP地址为10.10.10.10，为了保障网络管理的安全性，

若发现的设备接入无线路由器并使用SSH功能时，在不对其信号强度进行过滤的前

提下，在全频道内每隔15秒进行一次定位。

5.配置vlan140无线接入用户最大可连接人数为100人，周一至周三17点

至19点禁止用户连接。

6.开启Radio的自动信道调整，每天上午10:00触发信道调整功能。

7.开启AP组播广播突发限制功能；AP收到错误帧时，将不再发送ACK帧；AP

8.该公司AC1想按照法国2.4GHz频段信道标准进行设置，做一个信道测试

对比，需要根据国外情况进行修正。

第22页共33页

五、安全维护

说明：ip地址按照题目给定的顺序用"ip/mask"表示，ipv4any地址用

0.0.0.0/0，ipv6any地址用::/0，禁止用地址条目，否则按零分处理。

1.FW1配置ipv4nat，实现集团产品1段ipv4访问Internetipv4，转换ip/mask

为200.200.200.16/28，保证每一个源ip产生的所有会话将被映射到同一个固定的

IP地址；当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至

特性，实现扩展nat转换后的网络地址端口资源。

2.FW1配置L2TPVPN，名称为VPN，满足远程办公用户通过拨号登陆访问内网，

创建隧道接口为tunnel1、并加入vpnhub安全域，地址池名称为AddressPool,

地址池为172.30.253.1/24-10

172.30.253.100/24，网关为最大可用地址，认证账号skills01,密码skills01。

3.FW1和FW2策略默认动作为拒绝，FW1允许集团产品1段ipv4和ipv6访问

Internet任意服务。

访问办事处产品ipv4、FW2loopback1ipv4、SW3模拟办事处loopback2ipv4。

5.FW1与RT2之间用Internet互联地址建立GREOverIPSecVPN，实现

loopback4之间的加密访问。

6.FW1配置邮件内容过滤，规则名称和类别名称均为"赌博"，过滤含有"游

戏"字样的邮件。

7.FW1通过ping监控外网网关地址，监控对象名称为Track1，每隔5S发送探

测报文，连续10次收不到监测报文，就认为线路故障，关闭外网接口。

带宽为800Mbps，限制每IP上下行最小带宽2Mbps、最大带宽4Mbps、优先级为3，

管道名称为Skills，模式为管制。

第23页共33页

模块三：服务器配置及应用项目（**450****分）**

域：default密码：dcncloud。

（3）云平台镜像Linux系统，默认账户：root默认密码：Pass-1234；Windows

系统,默认账户：administrator默认密码：Pass-1234。

（4）所有Windows主机实例在创建之后都可以直接通过远程桌面连接操作，

Linux主机实例可以通过SecureCRT，所有Linux主机都默认开启了ssh功能。

（5）要求在云服务实训平台中保留竞赛生成的所有虚拟主机。

（6）不修改Linux虚拟机的root用户密码，Linux题目中所有未指明的密码

均为example2022；Windows虚拟机管理员的密码以及Windows题目中所有未指明的

密码均为example2022，若未按照要求设置，涉及到该操作的所有分值记为0分。

（7）虚拟主机的IP地址、主机名称请按照"表3-服务器IP地址分配表"的

要求设定，若未按照要求设置，涉及到该操作的所有分值记为0分。

（8）赛题所需的其它软件均存放在PC1的D:\soft文件夹中。

（9）在PC1桌面上新建"XX_system"（XX为赛位号）文件夹。根据

“D:\soft\Windows脚本.rar”“D:\soft\Linux脚本.zip”"D:\soft\云平台脚

本.zip"中提供的脚本文件，生成云平台和所有云主机操作结果的文件，并将这些

文件存放到PC1桌面上的"XX_system"（XX为赛位号）文件夹。

(10)Windows使用根域管理员Administrator身份登陆Windows虚拟机系

统，复制物理机D:\soft\ScriptsWindows\WindowsN.ps1(N表示虚拟机编号，如

虚拟机Windows3对应的脚本文件为Windows3.ps1，以下相同)文件到虚拟机

Windows3的C盘，在虚拟机使用(PowerShell)提示符下执行该脚本，然后将

C:\WindowsN文件夹复制到选手目录。

(11)Linux使用root用户身份登陆linux虚拟机系统，复制物理机

第24页共33页

D:\soft\ScriptsLinux\linuxN.sh(N表示虚拟机编号，如虚拟机linux3对应的脚

本文件为linux3.sh，以下相同)文件到虚拟机linuxN的/root目录，在虚拟机

Shell提示符下执行该脚本，然后将/root目录中生成的linuxN.txt文件复制到

选手目录。

（12）使用dcnclient镜像，创建云平台管理实例，用于获取openstack配置

参数；1.0云平台，使用"Openstack_1.0.sh"脚本；2.0云平台，使用

"Openstack_2.0.sh"脚本。复制对应的脚本到/root目录，在虚拟机Shell提示

符下执行该脚本，然后将/root目录中生成的Openstack.txt文件复制到选手目

录。

（13）所有服务器要求虚拟机系统重新启动后，均能正常启动和使用，否则会

扣除该服务功能一定分数；如文档名称或文档存放位置错误，涉及到的所有操作分

值记为0分。

第25页共33页

一、云实训平台设置

1.按照"表3-云平台网络信息表"要求，新建网络。

2.按照"表4-虚拟主机信息表"要求，新建云主机类型。

3.按照"表2-服务器IP地址分配表"要求新建虚拟主机，主机IP地址与"表

2-服务器IP地址分配表"中的一致。

二、Windows服务配置

1、域服务

【任务描述】为实现方便管理，采用域控制器，提升企业网络安全程度，整

合局域网内基于网络的资源。

1.设置所有虚拟机的IP为静态，与自动获取的IP地址一致；修改所有主机的

名称与"表3-服务器IP地址分配表"中的一致。

2.配置Windows1为域控制器，域名为example.com；安装DNS服务，DNS正反

向区域在ActiveDirectory中存储，为example.com域中提供正向解析，为

example.com林中主机提供反向解析。

3.将Windows2升级为example.com林中的cnexample.com辅助域控制器，安

装DNS，负责该域的正反向域名解析。升级域控制器后，用example\administrator

身份登陆。

4.把其他Windows主机加入到example.com域。

5.Windows1上新建名称为Data_Admin、Security_Admin、Audit_Admin的组织

单元；每个组织单元内新建与组织单元同名的安全组；Data_Admin组内新建5个用

户，数据管理员Data01-Data05；Security_Admin组内新建5个用户，安全管理员

Security06-Security10；Audit_Admin组内新建5个用户，审计管理员

码永不过期密码。

第26页共33页

2、证书服务

【任务描述】为提高域内主机通信的安全性，在网络中安装证书颁发服务器、

为域内主机提供证书服务。

1.在Windows1上安装证书服务，设置为企业根CA，密钥长度为2048，证书颁

发机构有效期为18年，颁发证书有效期为10年。

2.证书的通用名称均用主机的完全合格域名。

3.证书信息：国家=CN，省=HN,城市=ZZS，组织=example,组织单位=com。

4.在Windows2上安装丛属证书服务，丛书颁发机构颁发证书7年。

3、组策略

【任务描述】为了帮助系统管理员对计算机或对不能用户进行管理，现采用组

策略，实现对软件、计算机和用户的管理。

1.部署软件OpenSSH-Win64-v8.X.msi,让域中主机自动安装powershell(从物

理机复制OpenSSH-Win64-v8.X.msi,到Windows1的C:\soft)。

2.域中主机（含域控制器）Windows3-Windows4之间通信采用连接安全规则，

要修出站和入站都要求身份验证，完成整性算法采用SHA-256,加密算法采用

AES-CNC192，预共享的密钥为example2023。

3.每个用户的"文档"文件夹重定向到Windows1的C:\Document,为每一用户

创建一个文件夹。

4.禁用WindowsServer2022服务器的"关闭事件追踪程序"。

6.禁止访问控制面板和PC设置。

7.禁用注册表编辑器，禁用无提示运行；禁用DOS窗口，禁用脚本处理。

8.拒绝所有可移动存储类的所有权限。

阻止更改桌面背景。

第27页共33页

4、Bitlocker服务

【任务描述】为了更好的保护计算机中的数据，请采用Bitlocker，加密Windows

操作系统卷上存储的数据。

1、将Windows3的D盘启用Bitlocker，使用密码解锁驱动器，仅加密已用空

间，使用XTS-AES加密模式加密。

2、加密密钥文件，存放到物理机PC1的答案提交文件夹内。

5、web服务

1.把Windows4配置为asp网站，网站仅支持dotnetCLRv4.0，站点名称为

asp。

用"计算机副本"证书模板）。客户端访问时，必需有SSL证书（浏览器证书模板

为"管理员"）。

3.网站目录为Windows3的D:\IIS\contents，默认文档index.aspx内容为

“HelloAspx”。

4.使用Windows5测试。

6、DFS服务

【任务描述】为了建立一个高效率的存储架构，请采用DFS,实现集中管理共享

文件。

1.在Windows2-Windows4的C分区划分出2GB的空间，创建NTFS分区，驱动器

号为D。

2.配置Windows2为DFS服务器，命名空间为DFSROOT，文件夹为Pictures；实

现Windows2的D:\host、Windows3的D:\Pics和Windows4的D:\Images同步,主要

成员为Windows2,复制拓扑为集散。

3.配置Windows3的DFSIPv4使用12345端口号；限制所有服务的IPv4动态

RPC端口从6000开始，共1000个端口号。

第28页共33页

7、ISCSI服务

【任务描述】：请采用iscsi，实现集中管理存储。

1．在Windows2上添加4块硬盘，每块大小为5G，初始化为gpt磁盘，配置

raid5，配置盘符为E盘。

2．在Windows2上安装iSCSI目标服务器，并新建iSCSI虚拟磁盘，存储位

置为E:\iscsi；虚拟磁盘名称分别为Quorum和Files，磁盘大小为动态扩展，分

别为1GB和5GB，目标名称为Win，访问服务器为Windows5和Windows6，实行

CHAP双向认证，Target认证用户名和密码分别为IncomingUser和IncomingPass，Initiator认证用户名和密码分别为OutgoingUser

OutgoingPass。目标iqn名称为iqn.2008-01.lan.skills:server，使用IP地址

建立目标。发起程序iqn名称分别为iqn.2008-01.lan.skills:client1和

iqn.2008-01.lan.skills:client2。

3．在Windows5和Windows6上安装多路径I/O，172.16.101.0和

172.16.102.0网络为MPIO网络，连接Windows2的虚拟磁盘Quorum和Files，

初始化为GPT分区表，创建NTFS主分区，驱动器号分别为M和N。配置Windows5

和Windows6为故障转移群集；172.16.103.0网络为心跳网络。

4．在Windows5上创建名称为cluster的群集，其IP地址为172.16.101.70。

5．在Windows6上配置文件服务器角色，名称为clusterfiles，其IP地址为

172.16.101.80。为clusterFiles添加共享文件夹，共享协议采用"SMB"，共享

名称为clustershare，存储位置为N:\share，NTFS权限为仅域管理员和本地管理

员组具有完全控制权限，域其他用户具有修改权限；共享权限为仅域管理员具有完

全控制权限，域其他用户具有更改权限。

8、脚本

实现快速批量的操作。

1.在Windows6上编写C:\CreateFile.ps1的powershell脚本,创建20个

第29页共33页

文件C:\test\File00.txt至C:\test\File19.txt，如果文件存在，则首先删除后，

再创建；每个文件的内容同主文件名，如File00.txt文件的内容为"File00"。

三、Linux服务配置

1、DNS服务和CA服务配置

【任务描述】配置基础环境，创建DNS服务器，实现企业域名访问

1.所有linux主机启用防火墙，防火墙区域为public，在防火墙中放行对应服

务端口。

2.修改所有主机IP地址为手动。

4.利用chrony，配置linux1为其他linux主机提供NTP服务。

5.修改所有主机名称为"表3-服务器IP地址分配表"中的完全合格域名。

到其他linux主机。

7.利用bind，配置linux1为主DNS服务器，linux2为备用DNS服务器。为所

有linux主机提供冗余DNS正反向解析服务。

8.配置linux1为CA服务器,为所有linux主机颁发证书，不允许修改

/etc/pki/tls/openssl.conf，证书通用名称均为主机完全合格域名，CA证书通用

名称为"Example"有效期为10年，CA颁发的证书默认有效期为5年，证书其他信

息：（1）国家=“CN”（2）省=“HN”（3）市/县=“ZZS”（4）组织=“example”

（5）组织单位=“com”。

9.证书路径均为/etc/ssl/example.crt，私钥路径均为/etc/ssl/example.key。

2、Ansible服务

【任务描述】请采用ansible，实现自动化运维。

1.在linux1上安装ansible，作为ansible的控制节点。linux1-linux6作为

ansible的受控节点。

第30页共33页

2.在linux1编写/root/diff.yml剧本，仅在linux1节点运行，实现如下功能：

（1）使用lookup读取"/etc/passwd"和"/etc/shadow"文件，计算文件的

SHA-1哈希值。

（2）比较两个文件的SHA-1哈希值是否相等。如果相等则调用debug模块输出

ChecksumPASS内容，否则输出ChecksumFAIL内容。

（3）当比较SHA-1哈希值不一样时剧本运行会告错，请忽略错误，保证剧本程

序正常运行。

3、TomcatWeb服务

【任务描述】根据企业需要搭建动态网站，采用tomcat实现该需求。

1.配置linux2为nginx服务器，默认文档index.html的内容为"河南省网络

2.利用nginx反向代理，实现linux3的tomcat负载均衡，通过

3.配置linux3为tomcat服务器，请使用提供的RPM包进行安装。网站默认首

证书路径均为/etc/ssl/example.jks，证书密码Example2023，格式为jks。

4、samba服务

【任务描述】请采用samba服务，实现资源共享。

1.在linux3上创建user00-user19等20个用户；user00和user01添加到

manager组，user02和user03添加到dev组。把用户user00-user03添加到samba

用户。

2.配置linux3为samba服务器,建立共享目录/srv/sharesmb，共享名与目录名

相同。manager组用户对sharesmb共享有读写权限，dev组对sharesmb共享有只读

权限；用户对自己新建的文件有完全权限，对其他用户的文件只有读权限，且不能

删除别人的文件。在本机用smbclient命令测试。

3.在linux4修改/etc/fstab,使用用户user00实现自动挂载linux3的

第31页共33页

sharesmb共享到/sharesmb。

5、mysql服务

【任务描述】请安装mysql服务，建立数据表。

1.配置linux4为mysql服务器，创建数据库用户xiao，在任意机器上对所有

数据库有完全权限。

字段名数据类型主键自增idint是是namevarchar(10)否否birthdaydatetime否否sexvarchar(5)否否passwordvarchar(200)否否

2.创建数据库userdb；在库中创建表userinfo，表结构如下：

3.在表中插入2条记录，分别为(1,user1，1999-07-01，男)，(2,user2，

1999-07-02，女)，password与name相同，password字段用password函数加密。

4.修改表userinfo的结构，在name字段后添加新字段height(数据类型为

float)，更新user1和user2的height字段内容为1.61和1.62。

5.新建/var/mysqlbak/userinfo.txt文件，文件内容如下，然后将文件内容导

入到userinfo表中，password字段用password函数加密。

3,user3,1.63,1999-07-03,女,user3

4,user4,1.64,1999-07-04,男,user4

5,user5,1.65,1999-07-05,男,user5

6,user6,1.66,1999-07-06,女,user6

7,user7,1.67,1999-07-07,女,user7

8,user8,1.68,1999-07-08,男,user8

9,user9,1.69,1999-07-09,女,user9

6.将表userinfo的记录导出，存放到/var/databak/mysql.sql，字段之间用’,’

第32页共33页

分隔。

7.每周五凌晨1:00以root用户身份备份数据库userdb到

/var/databak/userdb.sql(含创建数据库命令)。

6、Kubernetes服务

【任务描述】为了对容器进行更高级更灵活的管理，请采用Kubernetes服务，

管理和控制容器。

1.在linux5-linux6上安装containerd和kubernetes，linux5作为master

node，linux6作为worknode；使用containerd.sock作为容器runtime-endpoint。

2.master节点配置calico，作为网络组件。

3.优化linux6节点kubectl组件心跳上报频率为60s每次。

4.优化kube-scheduler组件与kube-apiserver组件通信时每秒请求（QPS）为

60、突发峰值请求个数上限为80。

7、redis服务

【任务描述】请采用redis服务，实现高并发数据和海量数据的读写。

1.利用linux2搭建rediscluster集群，使用端口7001-7003模拟主节点，

7004-7006模拟从节点，让其他主机可以访问redis集群。

8、shell脚本

【任务描述】请采用shell脚本,实现快速批量的操作。

（1）在linux6上编写/root/createfile.sh的shell脚本，创建20个文件

/root/shell/file00至/root/shell/file19，如果文件存在，则删除再创建；每个

文件的内容同文件名，如file00文件的内容为"file00"。用/root/createfile.sh