2022年全省職業(yè)院校網絡搭建與應用項目樣題

2022年江西省職業(yè)院校技能大賽網絡搭建與應用賽項正式賽卷

操作題總分900分，競賽時長3.5小時

競賽說明：

1.禁止攜帶和使用移動存儲設備、計算器、通信工具及參考資料。

2.請根據大賽所提供的比賽環(huán)境，檢查所列的硬件設備、軟件及文檔清單、材料清單

是否齊全，計算機設備是否能正常使用。

3.請參賽選手仔細閱讀賽卷，按照要求完成各項操作。

4.操作過程中，需要及時保存配置。

5.比賽結束后，所有設備保持運行狀態(tài)，評判以最后的硬件連接和提交文檔為最終結

果。禁止將比賽所用的所有物品（包括賽卷）帶離賽場。

6.禁止在紙質資料、比賽設備和電腦桌上作任何與競賽無關的標記，如違反規(guī)定，可

視為0分。

7.與比賽相關的軟件和文檔存放在物理機的D:\soft文件夾中。

8.請在物理機PC1桌面上新建“XXX”文件夾作為“選手目錄”（XXX為賽位號。舉

例：1號賽位，文件夾名稱為“001”），按照“網絡搭建及安全部署競賽結果提交指

南.txt”保存要求生成的全部結果文檔，將生成的文檔復制到“選手目錄”。

網絡搭建及安全部署項目

項目簡介:

某集團公司原在北京建立了總公司，后在成都建立了分公司，又在廣東設立了辦事處。

集團設有產品、營銷、法務、財務、人力5個部門，統(tǒng)一進行IP及業(yè)務資源的規(guī)劃

和分配，全網采用OSPF、RIP、ISIS、BGP路由協議進行互聯互通。

2022年在黨的堅強領導下，全年公司規(guī)模保持快速增長，業(yè)務數據量和公司訪問量

增長巨大，不斷開創(chuàng)新局面，向著全面建成社會主義現代化強國的第二個百年奮斗目

標邁進。為了更好管理數據，提供服務，集團決定在北京建立兩個數據中心，在貴州

建立異地災備數據中心，以達到快速、可靠交換數據，增強業(yè)務部署彈性的目的，完

成向兩地三中心整體戰(zhàn)略架構演進，更好的服務于公司客戶。

集團、分公司及辦事處的網絡結構詳見拓撲圖。編號為SW1的設備作為集團北京

1#DC核心交換機，編號為SW2的設備作為集團北京2#DC核心交換機；編號為SW3的

設備作為貴州DC核心交換機；編號FW1的設備作為集團互聯網出口防火墻；編號為

FW2的設備作為辦事處防火墻；編號為RT1的設備作為集團核心路由器；編號為RT2

的設備作為分公司路由器；編號為AC1的設備作為分公司的有線無線智能一體化控制

器，通過與AP1配合實現分公司無線覆蓋。

注意：在此典型互聯網應用網絡架構中，作為IT網絡運維人員，請根據拓撲構建完

整的系統(tǒng)環(huán)境，使整體網絡架構具有良好的穩(wěn)定性、安全性、可擴展性。

請完成所有服務配置后，從客戶端進行測試，確保能正常訪問到相應應用。網絡拓撲:

2/27

表1-網絡設備連接表

A設備連接至B設備

設備名稱接口設備名稱接口

SW1E1/0/21FW1E0/1

SW1E1/0/22SW3E1/0/21

SW1E1/0/23二層SW3E1/0/23二層

SW1E1/0/26三層SW2E1/0/26三層

3/27

SW1E1/0/27VPNSW2E1/0/27VPN

SW1E1/0/28二層SW2E1/0/28二層

SW1E1/0/1PC1NIC

SW2E1/0/21RT1G0/1

SW2E1/0/22SW3E1/0/22

SW2E1/0/23二層SW3E1/0/24二層

SW3模擬辦事處E1/0/11模擬產品PC

SW3模擬辦事處E1/0/12模擬營銷PC

SW3模擬辦事處E1/0/15FW2E0/1

SW3模擬InternetE1/0/17FW1E0/3

SW3模擬InternetE1/0/18RT2G0/3

RT1G0/0RT2G0/0

RT1S1/0RT2S1/1

RT1S1/1RT2S1/0

RT1G0/2FW1E0/2

RT1G0/3FW2E0/2

RT2G0/1AC1E1/0/1

AC1E1/0/3AP1ETH

AC1E1/0/4vlan110PC2NIC

SW2E1/0/11云平臺Eth1

SW2E1/0/12云平臺Eth2

表2-網絡設備IP地址分配表

4/27

設備名稱設備接口IP地址

/32

loopback1ospfv2ospfv3bgp

2001:10:10:1::1/128

/32

loopback2

2001:10:10:1::2/128

/24

vlan10

2001:10:10:11::1/64

/24

vlan20

2001:10:10:12::1/64

/24

vlan30

2001:10:10:13::1/64

/24

SW1vlan40

2001:10:10:14::1/64

/24

vlan50

2001:10:10:15::1/64

/24

vlan60

2001:10:10:60::1/64

/24

vlan70

2001:10:10:70::1/64

/24

vlan80

2001:10:10:80::1/64

/24

vlan90

2001:10:10:90::1/64

5/27

vlan10214/30

vlan1022/30

vlan1026/30

vlan1027vpn/30

/32

loopback1ospfv2ospfv3bgp

2001:10:10:2::1/128

/32

loopback2

2001:10:10:2::2/128

SW2

/24

vlan10

2001:10:10:21::1/64

/24

vlan20

2001:10:10:22::1/64

設備名稱設備接口IP地址

/24

vlan30

2001:10:10:23::1/64

/24

vlan40

2001:10:10:24::1/64

/24

vlan50

2001:10:10:25::1/64

/24

vlan60

2001:10:10:60::2/64

vlan70/24

6/27

2001:10:10:70::2/64

/24

vlan80

2001:10:10:80::2/64

/24

vlan90

2001:10:10:90::2/64

vlan10212/30

vlan1022/30

vlan1026/30

vlan1027vpn/30

/32

loopback1ospfv2ospfv3bgp

2001:10:10:3::1/128

/24

vlan10

2001:10:10:31::1/64

/24

vlan20

2001:10:10:32::1/64

/24

SW3vlan30

2001:10:10:33::1/64

/24

vlan50

2001:10:10:35::1/64

/24

vlan60

2001:10:10:60::3/64

/24

vlan70

2001:10:10:70::3/64

7/27

/24

vlan80

2001:10:10:80::3/64

vlan90/24

設備名稱設備接口IP地址

2001:10:10:90::3/64

vlan1021/30

vlan10220/30

/32

loopback2

2001:10:10:3::2/128

/24

vlan110

SW3模擬2001:10:16:110::1/64

辦事處

/24

vlan120

2001:10:16:120::1/64

vlan10156/30

/32

loopback3

SW3模擬2001:200:200:3::3/128

Internetvlan1017/30

vlan1018/30

/32

loopback1ospfv2ospfv3bgpmpls

2001:10:10:4::1/128

RT1

/32

loopback2ripripng

2001:10:10:4::2/128

8/27

/32

loopback3isis

2001:10:10:4::3/128

/32

loopback4集團與辦事處互聯

2001:10:10:4::4/128

/32

loopback5vpn財務

2001:10:10:4::5/128

g0/09/30

g0/11/30

g0/28/30

g0/35/30

s1/03/30

s1/17/30

/32

loopback1ospfv2ospfv3bgpmpls

2001:10:10:5::1/128

RT2/32

loopback2ripripng

2001:10:10:5::2/128

loopback3isis/32

設備名稱設備接口IP地址

2001:10:10:5::3/128

/32

loopback4ipsecvpn

2001:10:10:5::4/128

tunnel4ipsecvpn0/30

9/27

/32

loopback5vpn財務

2001:10:10:5::5/128

g0/00/30

g0/11/30

g0/3/30

s1/08/30

s1/14/30

/32

loopback1ospfv2ospfv3trust

2001:10:10:6::1/128

/32

loopback2ripripngtrust

2001:10:10:6::2/128

/32

loopback4ipsecvpntrust

2001:10:10:6::4/128

FW1

tunnel4ipsecvpnVPNHUB9/30

tunnel8sslvpnVPNHUB/24

e0/1trust3/30

e0/2trust7/30

e0/3untrust/30

/32

loopback1ospfv2ospfv3trust

2001:10:10:7::1/128

FW2e0/1trust5/30

e0/2dmz6/30

tunnel9l2tpvpnVPNHUB/24

10/27

/32

loopback1ospfv2ospfv3

2001:10:10:8::1/128

/32

loopback2ripripng

2001:10:10:8::2/128

AC1

/32

loopback3

2001:10:10:8::3/128

/24

vlan100無線管理

2001:10:17:100::1/64

設備名稱設備接口IP地址

/24

vlan110無線2.4G產品

2001:10:17:110::1/64

/24

vlan120無線5G營銷

2001:10:17:120::1/64

vlan10012/30

11/27

1.職業(yè)素養(yǎng)

1.整理賽位，工具、設備歸位，保持賽后整潔有序。

2.無因選手原因導致設備損壞。

3.恢復調試現場，保證網絡和系統(tǒng)安全運行。

2.網絡連接

1．根據“圖1”的要求，截取適當長度和數量的雙絞線，端接水晶頭，制作網絡線

纜，根據“表1”和“表2”進行設備之間端口的互連，設備接口地址的配置。

3.交換配置

1.配置vlan，SW1、SW2、SW3、AC1的二層鏈路只允許相應vlan通過。

設備vlan編號端口說明

vlan10E1/0/1產品1段

vlan20E1/0/2營銷1段

vlan30E1/0/3法務1段

vlan40E1/0/4財務1段

SW1vlan50E1/0/5人力1段

vlan60E1/0/6產品管理

vlan70E1/0/7產品研發(fā)

vlan80E1/0/8產品生產

vlan90E1/0/9產品支持

vlan10E1/0/1產品2段

SW2

vlan20E1/0/2營銷2段

12/27

vlan30E1/0/3法務2段

vlan40E1/0/4財務2段

vlan50E1/0/5人力2段

vlan60E1/0/6產品管理

vlan70E1/0/7產品研發(fā)

vlan80E1/0/8產品生產

vlan90E1/0/9產品支持

vlan10E1/0/1產品3段

vlan20E1/0/2營銷3段

vlan30E1/0/3法務3段

vlan50E1/0/5人力3段

SW3

vlan60E1/0/6產品管理

vlan70E1/0/7產品研發(fā)

vlan80E1/0/8產品生產

vlan90E1/0/9產品支持

2.SW1、SW2、SW3啟用MSTP，實現網絡二層負載均衡和冗余備份，創(chuàng)建實例

Instance10和Instance20，名稱為SKILLS，修訂版本為1，其中Instance10關聯

vlan60和vlan70，Instance20關聯vlan80和vlan90。SW1為Instance0和

Instance10的根交換機，為Instance20備份根交換機；SW2為Instance20根交換機，

為Instance0和Instance10的備份根交換機；根交換機STP優(yōu)先級為0，備份根交

換機STP優(yōu)先級為4096。關閉交換機之間三層互聯接口的STP。

3.SW1和SW2之間利用三條裸光纜實現互通，其中一條裸光纜承載三層IP業(yè)務、一

條裸光纜承載VPN業(yè)務、一條裸光纜承載二層業(yè)務。用相關技術分別實現財務1段、

財務2段業(yè)務路由表與其它業(yè)務路由表隔離，財務業(yè)務VPN實例名稱為CW。承載二

層業(yè)務的只有一條裸光纜通道，配置相關技術，方便后續(xù)鏈路擴容與冗余備份，編號

為1，用LACP協議，SW1為active，SW2為active；采用源、目的IP進行實現流量

負載分擔。

13/27

4.將SW3模擬為Internet交換機，實現與集團其它業(yè)務路由表隔離，

Internet路由表VPN實例名稱為Internet。將SW3模擬辦事處交換機，實現與集團

其它業(yè)務路由表隔離，辦事處路由表VPN實例名稱為Guangdong。

5.SW1法務物理接口限制收發(fā)數據占用的帶寬均為1000Mbps，限制所有報文最大收包

速率為1000packets/s，如果超過了配置交換機端口的報文最大收包速率則關閉此端

口，1分鐘后恢復此端口；啟用端口安全功能，最大安全MAC地址數為20，當超過設

定MAC地址數量的最大值，不學習新的MAC、丟棄數據包、發(fā)snmptrap、同時在

syslog日志中記錄，端口的老化定時器到期后，在老化周期中沒有流量的部分表項

老化，有流量的部分依舊保留，恢復時間為10分鐘；禁止采用訪問控制列表，只允

許IP主機位為20-50的數據包進行轉發(fā)；禁止配置訪問控制列表，實現端口間二層

流量無法互通，組名稱FW。

7.SW1配置SNMP，引擎id分別為1；創(chuàng)建組GROUP2022，采用最高安全級別，配置組

的讀、寫視圖分別為：SKILLS_R、SKILLS_W；創(chuàng)建認證用戶為USER2022，采用aes

算法進行加密，密鑰為Pass-1234，哈希算法為sha，密鑰為Pass-1234；當設備有

異常時，需要用本地的環(huán)回地址loopback1發(fā)送v3Trap消息至集團網管服務器

9、2001:10:10:11::99，采用最高安全級別；當法務部門對應的用戶接口

發(fā)生UPDOWN事件時，禁止發(fā)送trap消息至上述集團網管服務器。

10.SW1和SW2所有端口啟用鏈路層發(fā)現協議，更新報文發(fā)送時間間隔為20s，老化時

間乘法器值為5，Trap報文發(fā)送間隔為10s，配置三條裸光纜端口使能Trap功能。

4.路由配置

3.配置所有設備接口ipv4地址和ipv6地址，互聯接口ipv6地址用本地鏈路地址。

4.利用vrrpv2和vrrpv3技術實現vlan60、vlan70、vlan80、vlan90網關冗余備份，

vrrpid與vlanid相同。vrrpv2vip為10.10.vlanid.9（如vlan60的vrrpv2vip為

），vrrpv3vip為FE80:vlanid::9（如vlan60的vrrpv3vip為

FE80:60::9）。配置SW1為vlan60、vlan70的Master，SW2為vlan80、vlan90的

Master。要求vrrp組中高優(yōu)先級為120，低優(yōu)先級為默認值，搶占模式為默認值，

vrrpv2和vrrpv3發(fā)送通告報文時間間隔為默認值。當SW1或SW2上聯鏈路發(fā)生故障，

Master優(yōu)先級降低50。

6.SW1、SW2、SW3、RT1以太鏈路、RT2以太鏈路、FW1、FW2、AC1之間運行OSPFv2

和OSPFv3協議（路由模式發(fā)布網絡用接口地址，BGP協議除外）。

(1)SW1、SW2、SW3、RT1、RT2、FW1之間OSPFv2和OSPFv3協議，進程1，區(qū)域0，

分別發(fā)布loopback1地址路由和產品路由，FW1通告type2默認路由。

(2)RT2與AC1之間運行OSPFv2協議，進程1，nssano-summary區(qū)域1；AC1發(fā)布

loopback1地址路由、產品和營銷路由，用prefix-list重發(fā)布loopback3。

14/27

(3)RT2與AC1之間運行OSPFv3協議，進程1，stubno-summary區(qū)域1；AC1發(fā)布

loopback1地址路由、產品和營銷。

(4)SW3模擬辦事處產品和營銷接口配置為loopback，模擬接口up。SW3模擬辦事處

與FW2之間運行OSPFv2協議，進程2，區(qū)域2，SW3模擬辦事處發(fā)布loopback2、產

品和營銷。SW3模擬辦事處配置ipv6默認路由；FW2分別配置到SW3模擬辦事處

loopback2、產品和營銷的ipv6明細靜態(tài)路由，FW2重發(fā)布靜態(tài)路由到OSPFv3協議。

(5)RT1、FW2之間OSPFv2和OSPFv3協議，進程2，區(qū)域2；RT1發(fā)布loopback4路由，

向該區(qū)域通告type1默認路由；FW2發(fā)布loopback1路由，FW2禁止學習到集團和分

公司的所有路由。RT1用prefix-list匹配FW2loopback1路由、SW3模擬辦事處

loopback2和產品路由、RT1與FW2直連ipv4路由，將這些路由重發(fā)布到區(qū)域0。

(6)修改ospfcost為100，實現SW1分別與RT2、FW2之間ipv4和ipv6互訪流量優(yōu)

先通過SW1_SW2_RT1鏈路轉發(fā)，SW2訪問Internetipv4和ipv6流量優(yōu)先通過

SW2_SW1_FW1鏈路轉發(fā)。

7.RT1串行鏈路、RT2串行鏈路、FW1、AC1之間分別運行RIP和RIPng協議，FW1、

RT1、RT2的RIP和RIPng發(fā)布loopback2地址路由，AC1RIP發(fā)布loopback2地址路

由，AC1RIPng采用route-map匹配prefix-list重發(fā)布loopback2地址路由。RT1配

置offset值為3的路由策略，實現RT1-S1/0_RT2-S1/1為主鏈路，RT1-S1/1_RT2-

S1/0為備份鏈路，ipv4的ACL名稱為AclRIP，ipv6的ACL名稱為AclRIPng。RT1的

S1/0與RT2的S1/1之間采用chap雙向認證，用戶名為對端設備名稱，密碼為Pass-

1234。

8.RT1以太鏈路、RT2以太鏈路之間運行ISIS協議，進程1，分別實現loopback3之

間ipv4互通和ipv6互通。RT1、RT2的NET分別為

10.0000.0000.0001.00、10.0000.0000.0002.00，路由器類型是Level-2，接口網絡

類型為點到點。配置域md5認證和接口md5認證，密碼均為Pass-1234。

9.RT2配置ipv4nat，實現AC1ipv4產品部門用RT2外網接口ipv4地址訪問

Internet。RT2配置nat64，實現AC1ipv6產品部門用RT2外網接口ipv4地址訪問

Internet，ipv4地址轉ipv6地址前綴為64:ff9b::/96。

10.SW1、SW2、SW3、RT1、RT2之間運行BGP協議，SW1、SW2、RT1AS號65001、

RT2AS號65002、SW3AS號65003。

(1)SW1、SW2、SW3、RT1、RT2之間通過loopback1建立ipv4和ipv6BGP鄰居。SW1

和SW2之間財務通過loopback2建立ipv4BGP鄰居，SW1和SW2的loopback2互通采

用靜態(tài)路由。

(2)SW1、SW2、SW3、RT2分別只發(fā)布營銷、法務、財務、人力等ipv4和ipv6路由；

RT1發(fā)布辦事處營銷ipv4和ipv6路由到BGP。

(3)SW3營銷分別與SW1和SW2營銷ipv4和ipv6互訪優(yōu)先在SW3_SW1鏈路轉發(fā)；SW3

法務及人力分別與SW1和SW2法務及人力ipv4和ipv6互訪優(yōu)先在SW3_SW2鏈路轉發(fā)，

15/27

主備鏈路相互備份；用prefix-list、route-map和BGP路徑屬性進行選路，新增

AS65000。

11.利用BGPMPLSVPN技術，RT1與RT2以太鏈路間運行多協議標簽交換、標簽分發(fā)協

議。RT1與RT2間創(chuàng)建財務VPN實例，名稱為CW，RT1的RD值為1:1，exportrt值

為1:2，importrt值為2:1；RT2的RD值為2:2。通過兩端loopback1建立VPN鄰居，

分別實現兩端loopback5ipv4互通和ipv6互通。

5.無線配置

1.AC1loopback1ipv4和ipv6地址分別作為AC1的ipv4和ipv6管理地址。AP二層

自動注冊，AP采用MAC地址認證。配置2個ssid，分別為SKILLS-2.4G和SKILLS-

5G。SKILLS-2.4G對應vlan110，用network110和radio1（模式為n-only-g）,用戶

接入無線網絡時需要采用基于WPA-personal加密方式，密碼為Pass-1234。SKILLS-

5G對應vlan120，用network120和radio2（模式為n-only-a），不需要認證，隱藏

ssid，SKILLS-5G用倒數第一個可用VAP發(fā)送5G信號。

2.AC1配置dhcpv4和dhcpv6，分別為SW1產品1段vlan10和分公司vlan100、

vlan110和vlan120分配地址；ipv4地址池名稱分別為POOLv4-10、POOLv4-100、

POOLv4-110、POOLv4-120，ipv6地址池名稱分別為POOLv6-10、POOLv6-100、

POOLv6-110、POOLv6-120；ipv6地址池用網絡前綴表示；排除網關；DNS分別為

14和2400:3200::1；為PC1保留地址和

2001:10:10:11::9，為AP1保留地址和2001:10:17:100::9，為PC2保

留地址和2001:10:17:110::9。SW1上中繼地址為AC1loopback1地址。

SW1啟用dhcpv4和dhcpv6snooping，如果E1/0/1連接dhcpv4服務器，則關閉該端

口，恢復時間為1分鐘。

3.當AP上線，如果AC中儲存的Image版本和AP的Image版本號不同時，會觸發(fā)AP

自動升級。AP失敗狀態(tài)超時時間及探測到的客戶端狀態(tài)超時時間都為2小時。

4.MAC認證模式為黑名單，MAC地址為80-45-DD-77-CC-48的無線終端采用全局配置

MAC認證。

5.配置vlan110無線接入用戶上班時間（工作日09:00-17:00）訪問Internethttps

上下行CIR為100Mbps，CBS為200Mbps，PBS為300Mbps，exceed-action和

violate-action均為drop。時間范圍名稱、控制列表名稱、分類名稱、策略名稱均

為SKILLS。

6.開啟AP組播廣播突發(fā)限制功能；AP收到錯誤幀時，將不再發(fā)送ACK幀；AP發(fā)送

向無線終端表明AP存在的幀時間間隔為1秒。

7.AP發(fā)射功率為80%。

6.安全配置

【說明：ip地址按照題目給定的順序用“ip/mask”表示，ipv4any地址用

/0，ipv6any地址用::/0，禁止用地址條目，否則按零分處理?！?/p>

16/27

1.FW1配置ipv4nat，實現集團產品1段ipv4訪問Internetipv4，轉換ip/mask為

60/28，保證每一個源ip產生的所有會話將被映射到同一個固定的IP

地址；當有流量匹配本地址轉換規(guī)則時產生日志信息，將匹配的日志發(fā)送至

9的UDP514端口，記錄主機名，用明文輪詢方式分發(fā)日志；開啟相關特

性，實現擴展nat轉換后的網絡地址端口資源。

2.FW1配置nat64，實現集團產品1段ipv6訪問Internetipv4，轉換為出接口IP，

ipv4轉ipv6地址前綴為64:ff9b::/96。

3.FW1和FW2策略默認動作為拒絕，FW1允許集團產品1段ipv4和ipv6訪問

Internet任意服務。

4.FW2允許辦事處產品ipv4訪問集團產品1段https服務，允許集團產品1段和分

公司產品訪問辦事處產品ipv4、FW2loopback1ipv4、SW3模擬辦事處loopback2

ipv4。

5.FW1與RT2之間用Internet互聯地址建立GREOverIPSecVPN，實現loopback4

之間的加密訪問。

6.FW1配置SSLVPN，名稱為VPNSSL，ssl協議為1.2版本，Internet用戶通過端口

8888連接，本地認證賬號UserSSL,密碼Pass-1234，地址池名稱為POOLSSL，地址池

范圍為00/24-99/24。保持PC1位置不變，用PC1測試。

17/27

云平臺配置

云平臺網絡連接

任務描述：請使用超五類非屏蔽雙絞線連接網絡并設置云平臺，保證網絡

/24，/24，00能夠相互通信。（提示：關閉

交換機與云平臺業(yè)務相連端口的STP）

1.網絡信息表

網絡名稱VLAN子網名稱網關ipv4地址池

00-

network110110subnet110/24

99

00-

network120120subnet120/24

99

2.實例類型信息表

名稱idvcpu內存磁盤實例模板

windows1-

windows144G40Gwindows2022

windows7

linux1-

linux244G40Grocky8.6

linux7

openstack322G40Gopenstackdcnclient-cli

3.卷信息

卷名稱大小連接的實例

d1-d45Gwindows3

d5-d85Glinux3

4.實例信息表

實例名稱ipv4地址FQDN

18/27

windows101

windows202

windows303

windows404

windows505

windows606

windows707

linux101

linux202

linux303

linux404

linux505

openstack11

19/27

Windows系統(tǒng)服務配置

1.域服務

任務描述：請采用域環(huán)境，管理企業(yè)網絡資源。

任務要求：

1.配置windows2為域控制器；安裝dns服務，dns正反向區(qū)域在

activedirectory中存儲，負責該域的正反向域名解析。

2.把域服務遷移到windows1；安裝dns服務，dns正反向區(qū)域在

activedirectory中存儲，負責該域的正反向域名解析。

3.配置windows6為林中的域控制器；安裝dns服務，負

責該域的正反向域名解析。

4.配置windows7為域控制器；安裝dns服務，負責該域的正反向

域名解析。

5.把其他windows主機加入到域。所有windows主機（含域控制器）用

skills\Administrator身份登陸。

6.在windows1上安裝證書服務，為windows主機頒發(fā)證書，證書頒發(fā)機構有效期為

10年，證書頒發(fā)機構的公用名為。復制“計算機”證書模板，

名稱為“計算機副本”，申請并頒發(fā)一張供windows服務器使用的證書，證書友好名

稱為pc，（將證書導入到需要證書的windows服務器），證書信息：證書有效期=5年，

公用名=，國家=CN，省=Beijing，城市=Beijing，組織=skills，組織單

位=system，使用者可選名稱=*.和。瀏覽器訪問https網站

時，不出現證書警告信息。

7.在windows2上安裝從屬證書服務，證書頒發(fā)機構的公用名為

。

8.在windows1上新建名稱為manager、dev、sale的3個組織單元；每個組織單元內

新建與組織單元同名的全局安全組；每個組內新建20個用戶：行政部manager00-

manager19、開發(fā)部dev00-dev19、營銷部sale00-sale19，所有用戶只能每天8:00-

18:00可以登錄，不能修改其口令，密碼永不過期。manager00擁有域管理員權限。

2.文件共享

任務描述：請采用文件共享，實現共享資源的安全訪問。

20/27

任務要求：

1.在windows1的C分區(qū)劃分2GB的空間，創(chuàng)建NTFS主分區(qū)，驅動器號為D。創(chuàng)建用

戶主目錄共享文件夾：本地目錄為D:\share\home，共享名為home，允許所有域用戶

完全控制。該文件夾將設置為所有域用戶的home目錄，skills域用戶登錄計算機成

功后，自動映射掛載到T卷。禁止用戶在該共享文件中創(chuàng)建“*.exe”文件，文件組

名和模板名為SKILLS。

2.創(chuàng)建目錄D:\share\work，共享名為work，僅Administrator組和manager組有完

全控制的安全權限和共享權限，其他認證用戶有讀取執(zhí)行的安全權限和共享權限。在

ADDS中發(fā)布該共享。

3.打印服務

任務描述：請采用共享打印服務，實現共享打印的安全性。

任務要求：

1.在windows4上安裝打印機，驅動程序為“MsPublisherColorPrinter”，名稱

和共享名稱均為“Printers”；在域中發(fā)布共享；使用組策略部署在"DefaultDomain

Policy"的計算機。

2.網站名稱為printers，http和https綁定主機ip地址，僅允許使用域名訪問，

啟用hsts，實現http訪問自動跳轉到https（使用“計算機副本”證書模板）。

3.用瀏覽器訪問打印機虛擬目錄printers時，啟用匿名身份認證，匿名用戶為

manager00。

4.新建虛擬目錄dev，對應物理目錄C:\Development，該虛擬目錄啟用windows身

份驗證，默認文檔index.html內容為"Development"。

4.ftp服務

任務描述：請采用ftp服務器，實現文件安全傳輸。

任務要求：

1.把windows3配置為ftp服務器，ftp站點名稱為ftp，站點綁定本機ip地址，站

點根目錄為C:\ftp。

21/27

2.站點通過activedirectory隔離用戶，用戶目錄為C:\ftp，用戶目錄名稱與用戶

名相同，使用dev00和dev01測試。

5.DHCP服務

任務描述：請采用DHCP服務器，實現ip地址及其他網絡參數動態(tài)分配。

任務要求：

1.配置windows4和windows5為DHCP服務器，只綁定該主機的ipv4地址，DHCPipv4

的作用域名稱為SKILLS，地址范圍為0-9，租約期3小時，

網關為，dns為01和02，dns域名為

。

2.兩臺DHCP服務器實現故障轉移，故障轉移關系名稱為skills，最長客戶端提前期

為2小時，模式為“負載平衡”，負載平衡比例各為50%，狀態(tài)切換間隔1小時，啟

用消息驗證，共享機密為Pass-1234。

6.iscsi服務

任務描述：請采用iscsi，實現集中管理存儲。

任務要求：

1.在windows3上添加4塊硬盤，初始化為gpt磁盤，配置raid5，創(chuàng)建1個iscsi

磁盤，存放在E:\iscsi，磁盤名稱和目標名稱分別為file，磁盤大小為動態(tài)擴展

5GB，目標的iqn名稱為.skills:server使用dns名稱建立目標。

發(fā)起程序的iqn名稱為.skills:client。

2.window