2025-2026年度
广东省职业院校技能大赛网络建设与运维样题
2026年网络建设与运维赛项专家组
2026 年 2 月
赛题说明
- 竞赛项目简介
“网络建设与运维”竞赛共四部分:
A.网络建设与调试;
B.服务搭建与运维;
C.AI大模型搭建与应用;
D.ICT网络安全虚拟仿真综合应用等四个模块。
- 竞赛注意事项
1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的或自带竞赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
3.在进行任何操作之前,请阅读每个部分的所有任务。各任务之间可能存在一定关联。
4.操作过程中需要及时按照答题要求保存相关结果。竞赛结束后,所有设备保持运行状态,评判以最后提交的成果为最终依据。
5.竞赛完成后,竞赛设备、软件和赛题请保留在座位上,禁止将竞赛所用的所有物品(包括试卷等)带离赛场。
6.禁止在提交资料上填写与竞赛无关的标记,如违反规定,可视为0分。
7.操作过程中,需要及时保存配置。
模块一:网络建设与调试
任务描述:
某集团公司原在城市A成立了总公司,后在城市B成立了分公司,
又在城市C建立了办事处。集团设有产品、营销、法务、财务、人力 5个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF、
RIP、ISIS、BGP路由协议进行互联互通。
随着企业数字化转型工作进一步推进,为持续优化运营创新,充分激活数据要素潜能,为社会创造更多价值,集团决定在总公司建立两个数据中心,在某省建立异地灾备数据中心,以达到快速、可靠交换数据,增强业务部署弹性的目的,完成向两地三中心整体战略架构演进,更好的服务于公司客户。网络拓扑图及IP地址表:
1.网络拓扑图

2.设备连接表
|
A设备连接至B设备 | |||
|
设备名称 |
接口 |
设备名称 |
接口 |
|
FW-1 |
G1/0/0 |
RT-1 |
G0/0/1 |
|
FW-1 |
G1/0/1 |
RT-2 |
G0/0/1 |
|
FW-1 |
G1/0/2 |
CE-2 |
G1/0/5 |
|
FW-1 |
G1/0/3 |
CE-1 |
G1/0/5 |
|
FW-2 |
G1/0/0 |
RT-4 |
G0/0/1 |
|
FW-2 |
G1/0/1 |
RT-3 |
G0/0/1 |
|
FW-2 |
G1/0/2 |
CE-4 |
G0/0/19 |
|
FW-2 |
G1/0/3 |
CE-4 |
G0/0/18 |
|
RT-1 |
G0/0/0 |
RT-4 |
G0/0/0 |
|
RT-1 |
G0/0/2 |
CE-3 |
G1/0/15 |
|
RT-2 |
G0/0/0 |
RT-3 |
G0/0/0 |
|
RT-2 |
G0/0/2 |
CE-3 |
G1/0/13 |
|
RT-3 |
G0/0/2 |
CE-3 |
G0/0/12 |
|
RT-4 |
G0/0/2 |
CE-3 |
G0/0/14 |
|
CE-1 |
GE1/0/0 |
CE-2 |
GE1/0/0 |
|
CE-1 |
GE1/0/1 |
CE-2 |
GE1/0/1 |
|
CE-1 |
GE1/0/2 |
CE-2 |
GE1/0/2 |
|
CE-1 |
GE1/0/3 |
CE-3 |
GE1/0/17 |
|
CE-1 |
GE1/0/4 |
CE-3 |
GE1/0/16 |
|
CE-1 |
GE1/0/6 |
CE-3 |
GE1/0/10 |
|
CE-2 |
GE1/0/3 |
CE-3 |
GE1/0/19 |
|
CE-2 |
GE1/0/4 |
CE-3 |
GE1/0/18 |
|
CE-2 |
GE1/0/6 |
CE-3 |
GE1/0/11 |
|
CE-3 |
GE1/0/0 |
VPC-1 |
ETH0 |
|
CE-3 |
GE1/0/2 |
VPC-2 |
ETH0 |
|
CE-4 |
GE1/0/3 |
VPC-3 |
ETH0 |
2.网络设备IP地址分配表
|
设备名称 |
设备接口 |
IP地址 |
|
FW-1 |
loopback1 ospfv2 ospfv3 trust |
10.3.1.1/32 2001:DB8:CAFE:1000::1/128 |
|
loopback2 ipsecvpn trust |
10.3.1.2/32 2001:DB8:CAFE:1000::2/128 | |
|
tunnel2 ipsecvpn VPNHUB |
10.3.255.1/30 2001:DB8:CAFE:FFFF::FD01/126 | |
|
G1/0/0 untrust |
10.3.64.5/30 2001:DB8:CAFE:FFFF:0:0:6405::/126 | |
|
G1/0/1 untrust |
10.3.64.9/30 2001:DB8:CAFE:FFFF:0:0:6409::/126 | |
|
G1/0/2 trust |
10.3.64.13/30 2001:DB8:CAFE:1000:0:0:640D::/126 | |
|
G1/0/3 trust |
10.3.64.1/30 2001:DB8:CAFE:1000:0:0:6402::/126 | |
|
FW-2 |
loopback1 rip ripng trust |
10.3.2.1/32 2001:DB8:CAFE:2000::1/128 |
|
loopback2 ipsecvpn trust |
10.3.2.2/32 2001:DB8:CAFE:2000::2/128 | |
|
tunnel2 ipsecvpn VPNHUB |
10.3.255.2/30 2001:DB8:CAFE:FFFF::FD02/126 | |
|
G1/0/0 untrust |
10.3.192.9/30 2001:DB8:CAFE:FFFF:0:0:C009::/126 | |
|
G1/0/1 untrust |
10.3.192.13/30 2001:DB8:CAFE:FFFF:0:0:C00D::/126 | |
|
G1/0/2 trust |
10.3.192.1/30 2001:DB8:CAFE:2000:0:0:C001::/126 | |
|
G1/0/3 trust |
10.3.192.5/30 2001:DB8:CAFE:2000:0:0:C005::/126 | |
|
RT-1 |
loopback1 ospfv2 ospfv3 |
192.168.100.1/32 2001:DB8:CAFE:FFFF::1/128 |
|
loopback2 isis |
10.255.255.1/32 2001:DB8:CAFE:FFFF::11/128 | |
|
G0/0/0 |
200.1.0.1/30 2001:DB8:CAFE:FFFF:0:0:2001::/126 | |
|
G0/0/1 |
10.3.64.6/30 2001:DB8:CAFE:FFFF:0:0:6406::/126 | |
|
G0/0/2 |
100.1.0.1/30 2001:DB8:CAFE:FFFF:0:0:1001::/126 |
|
设备名称 |
设备接口 |
IP地址 |
|
RT-2 |
loopback1 ospfv2 ospfv3 |
192.168.100.2/32 2001:DB8:CAFE:FFFF::2/128 |
|
loopback2 isis |
10.255.255.2/32 2001:DB8:CAFE:FFFF::12/128 | |
|
G0/0/0 |
200.1.0.5/30 2001:DB8:CAFE:FFFF:0:0:2005::/126 | |
|
G0/0/1 |
10.3.64.10/30 2001:DB8:CAFE:FFFF:0:0:640A::/126 | |
|
G0/0/2 |
100.1.0.5/30 2001:DB8:CAFE:FFFF:0:0:1005::/126 | |
|
RT-3 |
loopback1 rip ripng |
192.168.100.3/32 2001:DB8:CAFE:FFFF::3/128 |
|
loopback2 isis |
10.255.255.3/32 2001:DB8:CAFE:FFFF::13/128 | |
|
G0/0/0 |
200.1.0.6/30 2001:DB8:CAFE:FFFF:0:0:2006::/126 | |
|
G0/0/1 |
10.3.192.6/30 2001:DB8:CAFE:FFFF:0:0:C006::/126 | |
|
G0/0/2 |
100.1.0.9/30 2001:DB8:CAFE:FFFF:0:0:1009::/126 | |
|
RT-4 |
loopback1 rip ripng |
192.168.100.4/32 2001:DB8:CAFE:FFFF::4/128 |
|
loopback2 isis |
10.255.255.4/32 2001:DB8:CAFE:FFFF::14/128 | |
|
G0/0/0 |
200.1.0.2/30 2001:DB8:CAFE:FFFF:0:0:2002::/126 | |
|
G0/0/1 |
10.3.192.10/30 2001:DB8:CAFE:FFFF:0:0:C00A::/126 | |
|
G0/0/2 |
100.1.0.13/30 2001:DB8:CAFE:FFFF:0:0:100D::/126 | |
|
CE-3模拟 Internet |
Loopback 100 |
8.8.8.8/32 2001:DB8:CAFE:FFFF::100/128 |
|
G0/0/12 |
100.1.0.10/30 2001:DB8:CAFE:FFFF:0:0:100A::/126 | |
|
G1/0/13 |
100.1.0.6/30 2001:DB8:CAFE:FFFF:0:0:1006::/126 | |
|
G0/0/14 |
100.1.0.14/30 2001:DB8:CAFE:FFFF:0:0:100E::/126 | |
|
G1/0/15 |
100.1.0.2/30 2001:DB8:CAFE:FFFF:0:0:1002::/126 | |
|
CE-1 |
loopback1 ospfv2 ospfv3 bgp mpls |
10.3.1.101/32 2001:DB8:CAFE:1000::101/128 |
|
设备名称 |
设备接口 |
IP地址 |
|
loopback2 |
10.3.1.102/32 2001:DB8:CAFE:1000::102/128 | |
|
Vlan 10 |
10.3.10.1/24 2001:DB8:CAFE:1010::1/64 | |
|
Vlan 20 |
10.3.20.1/24 2001:DB8:CAFE:1020::1/64 | |
|
Vlan 30 |
10.3.30.1/24 2001:DB8:CAFE:1030::1/64 | |
|
Vlan 40 |
10.3.40.1/24 2001:DB8:CAFE:1040::1/64 | |
|
Vlan 50 |
10.3.50.1/24 2001:DB8:CAFE:1050::1/64 | |
|
Vlan 4092 |
10.3.67.34/29 2001:DB8:CAFE:1000:0:0:6722::/125 | |
|
GE1/0/1 |
10.3.66.1/30 2001:DB8:CAFE:1000:0:0:6601::/126 | |
|
GE1/0/2 vpn |
10.3.66.5/30 2001:DB8:CAFE:1000:0:0:6605::/126 | |
|
GE1/0/3 |
10.3.67.2/30 2001:DB8:CAFE:1000:0:0:6702::/126 | |
|
GE1/0/4 vpn |
10.3.67.6/30 2001:DB8:CAFE:1000:0:0:6706::/126 | |
|
GE1/0/5 |
10.3.64.2/30 2001:DB8:CAFE:1000:0:0:6402::/126 | |
|
CE-2 |
loopback1 ospfv2 ospfv3 bgp mpls |
10.3.1.201/32 2001:DB8:CAFE:1000::201/128 |
|
loopback2 |
10.3.1.202/32 2001:DB8:CAFE:1000::202/128 | |
|
Vlan 10 |
10.3.60.1/24 2001:DB8:CAFE:1060::1/64 | |
|
Vlan 20 |
10.3.70.1/24 2001:DB8:CAFE:1070::1/64 | |
|
Vlan 30 |
10.3.80.1/24 2001:DB8:CAFE:1080::1/64 | |
|
Vlan 40 |
10.3.90.1/24 2001:DB8:CAFE:1090::1/64 | |
|
Vlan 50 |
10.3.100.1/24 2001:DB8:CAFE:10A0::1/64 | |
|
Vlan 4092 |
10.3.67.35/29 2001:DB8:CAFE:1000:0:0:6723::/125 | |
|
GE 1/0/1 |
10.3.66.2/30 |
|
设备名称 |
设备接口 |
IP地址 |
|
2001:DB8:CAFE:1000:0:0:6602::/126 | ||
|
GE 1/0/2 vpn |
10.3.66.6/30 2001:DB8:CAFE:1000:0:0:6606::/126 | |
|
GE1/0/3 |
2001:DB8:CAFE:1000:0:0:670A::/126 | |
|
GE1/0/4 vpn |
10.3.67.14/30 2001:DB8:CAFE:1000:0:0:670E::/126 | |
|
GE1/0/5 |
10.3.64.14/30 2001:DB8:CAFE:1000:0:0:640E::/126 | |
|
CE-3 |
Loopback 1 |
192.168.100.5/32 2001:DB8:CAFE:FFFF::5/128 |
|
Vlan 10 |
10.3.110.1/24 2001:DB8:CAFE:10B0::1/64 | |
|
Vlan 20 |
10.3.120.1/24 2001:DB8:CAFE:10C0::1/64 | |
|
Vlan 30 |
10.3.130.1/24 2001:DB8:CAFE:10D0::1/64 | |
|
Vlan 40 |
10.3.140.1/24 2001:DB8:CAFE:10E0::1/64 | |
|
Vlan 50 |
10.3.150.1/24 2001:DB8:CAFE:10F0::1/64 | |
|
Vlan 4092 |
10.3.67.33/29 2001:DB8:CAFE:1000:0:0:6721::/125 | |
|
GE1/0/16 |
10.3.67.5/30 2001:DB8:CAFE:1000:0:0:6705::/126 | |
|
GE1/0/17 |
10.3.67.1/30 2001:DB8:CAFE:1000:0:0:6701::/126 | |
|
GE1/0/18 |
10.3.67.13/30 2001:DB8:CAFE:1000:0:0:670D::/126 | |
|
GE1/0/19 |
10.3.67.9/30 2001:DB8:CAFE:1000:0:0:6709::/126 | |
|
CE-4 |
loopback1 rip ripng bgp mpls |
10.3.2.101/32 2001:DB8:CAFE:2000::101/128 |
|
Vlan 10 |
10.3.210.1/24 2001:DB8:CAFE:20A0::1/64 | |
|
Vlan 20 |
10.3.220.1/24 2001:DB8:CAFE:20B0::1/64 | |
|
Vlan 30 |
10.3.230.1/24 2001:DB8:CAFE:20C0::1/64 | |
|
Vlan 40 |
10.3.240.1/24 2001:DB8:CAFE:20D0::1/64 | |
|
设备名称 |
设备接口 |
IP地址 |
|
Vlan 50 |
10.3.250.1/24 2001:DB8:CAFE:20E0::1/64 | |
|
G0/0/18 |
10.3.192.6/30 2001:DB8:CAFE:2000:0:0:C006::/126 | |
|
G0/0/19 |
10.3.192.2/30 2001:DB8:CAFE:2000:0:0:C002::/126 |
一、交换配置
1.配置vlan,CE-1、CE-2、CE-3、CE-4的二层链路只允许相应vlan通过。
|
设备 |
vlan编号 |
端口 |
说明 |
|
CE-1 |
vlan10 |
GE1/0/10 |
产品1段 |
|
vlan20 |
GE1/0/11 |
营销1段 | |
|
vlan30 |
GE1/0/12 |
法务1段 | |
|
vlan40 |
GE1/0/13 |
财务1段 | |
|
vlan50 |
GE1/0/14 |
人力1段 | |
|
CE-2 |
vlan10 |
GE1/0/10 |
产品2段 |
|
vlan20 |
GE1/0/11 |
营销2段 | |
|
vlan30 |
GE1/0/12 |
法务2段 | |
|
vlan40 |
GE1/0/13 |
财务2段 | |
|
vlan50 |
GE1/0/14 |
人力2段 | |
|
CE-3 |
vlan10 |
GE1/0/0 |
产品3段 |
|
vlan20 |
GE1/0/1 |
营销3段 | |
|
vlan30 |
GE1/0/2 |
法务3段 | |
|
vlan40 |
GE1/0/3 |
财务3段 | |
|
vlan50 |
GE1/0/4 |
人力3段 | |
|
CE-4 |
vlan10 |
GE1/0/0 |
产品4段 |
|
vlan20 |
GE1/0/1 |
营销4段 | |
|
vlan30 |
GE1/0/2 |
法务4段 | |
|
vlan40 |
GE1/0/3 |
财务4段 | |
|
vlan50 |
GE1/0/4 |
人力4段 |
2.CE-1、CE-2和CE-3之间利用三条裸光缆实现互通,其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为Finance。承载二层业务的只有一条裸光缆通道,配置相关技术,尽可能加快收敛速度,所有VLAN共用一个拓扑,以CE-1为根桥,CE-2为备份根桥,使得业务网段遇到故障可以快速切换。
3.将CE-3模拟为Internet交换机,实现与集团其它业务路由表隔离,Internet路由表VPN实例名称为Internet。
4.设置CE交换机的管理接口IP地址为10.255.255.254/24,并且在非自协商模式并配置接口速率为1000。
5.CE-1配置SNMP,设置SNMP密码的最小长度为6位,引擎id 分别为1000;创建组GdSkills,采用最高安全级别,配置组的读、写视图分别为:Skills_R、Skills_W;创建认证用户为UserSkills,采用AES算法进行加密,密钥为Key-1122,哈希算法为SHA,密钥为
Key-1122;当设备有异常时,需要用本地的环回地址loopback1发送 v3 Trap 消 息 至 集 团 网 管 服 务 器 10.255.255.100 、
2001:10:255:255::100,采用最高安全级别;当法务部门对应的用户接口发生UPDOWN事件时禁止发送trap消息至上述集团网管服务器。
6.为防止本机被DDOS攻击,请配置相关技术,对设备收到的TCP
SYN报文进行限速处理。速率为每秒10MB。对于超出限速值的TCPSYN 报文,直接丢弃。
7.请配置相关技术,使得CE-3对连接CE-1的端口进行监控的接口的基本流量信息以及定期采样收集接口状态信息。令19接口编号定义为10、18接口为20,17接口为30,对于实时采样,配置拥有者为PRODUCT-STAT,配置历史采样时,每一分钟采样一次,监控24 小时内的接口数据。
二、路由调试
1.启用所有CE设备的ssh服务,用户名admin@gdskills,密码
Pass-1234,密码过期时间为30天。
2.配置CE-1的系统时区为东八区(CST+08:00),并手动将其系统时间校准为实际时间,CE-1配置为ntp server(Stratum 2),令所有接口都侦听ipv4的ntp请求,其他总部CE设备用CE-1loopback1 ipv4地址作为ntpserver地址。配置NTP会话最大数量为30,超过后拒绝新会话,设置NTP同步间隔为5分钟。
3.建立集团总部内部园区网动态路由配置,要求如下:
- 在CE-1、CE-2、CE-3与FW-1之间运行OSPFv2和OSPFv3 协议,使用进程号10,互联链路之间使用骨干区域,业务网段使用区域100,财务段不得发布到全局OSPF进程中,FW-1通告Type1默认路由,无论默认路由是否存在,均通告到OSPF设备中。
- 在FW-1、RT-1、RT-2之间运行OSPFv2和OSPFv3协议,使用进程号20,调整FW-1→RT-2的COST值为1000,使得内部网络优先通过FW-1→RT-1。
4.建立集团分部区域动态路由配置,要求如下:
- 在RT-3、RT-4、FW-2、CE-4之间运行RIPv2和RIPng协议;
- 为确保分部网络路径选择的一致性和唯一性,并优先选择
RT-4→FW-2(G1/0/3)→CE-4(G0/0/19)路径作为主用路径,在FW-2上创建前缀列表PL-CE4-SUBNETS,用于匹配分部CE-4的所有业务VLAN 网段,在FW-2上创建偏移列表OFFSET-RT-3-BACKUP,并对匹配前缀列表PL-CE4-SUBNETS的路由条目增加5跳数,使得从RT-3方向到达
CE-4的路径成为备用。
5.建立集团骨干广域网路由,要求如下:
- 在RT-1到RT-4、RT-2到RT-3之间建立IS-IS进程,进程名称为WAN-ISIS,区域号为49.0001,所有路由器属于Level-2。仅在与对方直连的接口上启用此IS-IS进程,用于承载核心广域网骨干流量。
- 在RT-1、RT-2、RT-3、RT-4以及CE-3的之间建立另一个
IS-IS进程,进程名称为DC-ISIS,区域号为49.0002,发布各自设备的环回地址,所有设备属于Level-2。
6.建立总部与分部之间的高可用 IPSec VPN 链路,要求如下:
- 使用 tunnel2 配置 FW-1 与 FW-2 之间的 IPSec VPN 隧道,使用 IKEv2 协议,预共享密钥为 GDSkills@2026,使用 ESP 协议,加密算法为 AES-256,认证算法为 SHA256。建立隧道保护的数据流为:创建访问控制列表 ACL-PROTECT-GRE,用于定义需要 IPSec 保护的数据流。
- 在 FW-1 和 FW-2 上配置静态路由,将对端所有 CE 设备的
Loopback1 地址指向该 GRE 隧道接口。
- 在 FW-1 上,使用路由策略 REDIST-LOOPBACK-TO-OSPF,
仅将静态路由重分发到 OSPF 进程 10 中,并设置 Metric 值为 1000。(4)在 FW-2 上,使用路由策略 REDIST-LOOPBACK-TO-RIP,仅将静态路由重分发到 RIP 进程中,并设置 Metric 值为 10。
7.配置集团数据中心间 MPLS VPN 网络(财务专网)
(1)在四台CE设备上建立MP-BGP对等体关系,AS号为65500,
使用 Loopback1 地址建立邻居,BGP MD5 密码为 BGP-Key@2026。(2)将财务 VPN 实例的 RD 与 RT 值统一设置为 65500:100。
( 3 )配置 MP-BGP ,在 VPNv4 及 VPNv6 地址族下交换 FinanceVPN 实例内的路由,确保各站点财务部门网络能够安全、隔离地互通。
8.在 CE-3 模拟 Internet 交换机内,分别与 RT-1、RT-2、RT-3、 RT-4 建立 eBGP 对等体关系。CE-3 的 AS 号为 65001,集团侧路由器的 AS 号为 65000。通过 BGP 策略 ADVERTISE-INTERNET,向集团侧通告 ipv4 和 ipv6 的默认路由,以及 CE-3 环回口地址作为模拟的特定公网路由。
9.在 RT-1 与 RT-2 之间、RT-3 与 RT-4 之间分别建立 iBGP 对等体关系(AS 65000),使用各自的 Loopback1 地址建立邻居,用于传递
Internet 路由。
三、策略调试
说明:ip地址按照题目给定的顺序用“ip/mask”表示,ipv4any 地址用0.0.0.0/0,ipv6any地址用::/0,禁止用地址条目,否则按
零分处理。
1.分别在 RT-1/RT-2 上,使用路由策略 REDIST-BGP-TO-OSPF,
将 BGP 学习到的 Internet 路由(匹配前缀列表 PL-INTERNET,包含缺省路由及 8.8.8.8/32)重分发到 OSPF 进程 20 中,设置重分发后的 OSPF Type 为 Type 2,Metric 值为 100。
2.在 RT-3/RT-4 上,使用路由策略 REDIST-BGP-TO-RIP,将 BGP 学习到的 Internet 路由使用匹配前缀列表 PL-INTERNET,重分发到 RIP 进程中,设置重分发后的 Metric 值为 5。
3 在 CE-1 和 CE-2 上,使用路由策略 REDIST-OSPF-TO-OSPF,
将 OSPF 进程 10 中的集团分部业务路由(通过前缀列表
PL-BUSINESS 匹配)重分发到与 CE-3 相连的 OSPF 进程 10 中,设置重分发后的 Metric 值为 50。
- 在 RT-1 和 RT-2 上,将 IS-IS 的 DC-ISIS 进程中的集团分部业务路由重分发到OSPF进程20中,设置重分发后的OSPF Type为Type 2,Metric 值为 200;在 RT-3 和 RT-4 上,将 IS-IS 的 DC-ISIS 进程中的集团业务路由重分发到 RIP 进程中,并设置 Metric 值为 10;在 FW-1 上将进程 20 的 OSPF 重分布到进程 10 中。
- 为实现最优选路,要求在 RT-1、RT-2、RT-3、RT-4 上,配置路由策略 PREFER-WAN,将从 WAN-ISIS 进程学习到的同一路由的管理距离调整为 10,将从 DC-ISIS 进程学习到的路由的管理距离保持默认值,确保集团总部与分部之间的流量优先通过直连的广域网链路传输。
模块二:服务搭建与运维
- 创建实例
1.网络信息表:
|
网络名称 |
协议版本 |
子网网段 |
网关 |
ipv4地址池 |
|
WinNetInt |
IPv4 |
10.10.10.0/24 |
10.10.10.1 |
10.10.10.2-10.10.10.252 |
|
HeartBeat |
IPv4 |
10.10.100.0/24 |
NONE |
10.10.100.2-10.10.100.252 |
|
WinNetISP |
IPv4 |
8.138.31.0/30 |
NONE |
NONE |
2.计算资源管理信息表:
|
名称 |
CPU核心数 |
内存 |
磁盘 |
|
WsBase |
4 |
4096MB |
40GB |
3.实训环境信息表:
|
环境名称 |
镜像 |
计算资源 |
网络 |
|
Windows1 |
WinServeRT-2022 |
WsBase |
WinNetInt |
|
Windows2 |
WinServeRT-2022 |
WsBase |
WinNetInt |
|
Windows3 |
WinServeRT-2022 |
WsBase |
WinNetInt |
|
Windows4 |
WinServeRT-2022 |
WsBase |
WinNetInt |
|
Windows5 |
WinServeRT-2022 |
WsBase |
WinNetInt |
|
Windows6 |
WinServeRT-2022 |
WsBase |
WinNetInt WinNetISP |
4.云主机信息表:
|
云主机 |
环境名称 |
IPv4地址 |
完全合格域名 |
|
Windows1 |
Windows1 |
Auto |
windows1.gdskills.cn |
|
Windows2 |
Windows2 |
Auto |
windows2.gdskills.cn |
|
Windows3 |
Windows3 |
Auto HeartBeat |
windows3.gdskills.cn |
|
Windows4 |
Windows4 |
Auto HeartBeat |
windows4.gdskills.cn |
|
Windows5 |
Windows5 |
Auto |
windows5.gdskills.cn |
|
Windows6 |
Windows6 |
Auto 8.138.31.1/30 |
windows6.gdskills.cn |
创建完成云主机后,在每台云主机中运行sysprep服务,实现清除
SID的操作。(涉及配置密码的步骤,除特殊说明外,密码均设置为
Key-1122)所有实例将DHCP获取的地址改为静态地址。
- ISP互联网服务
任务描述:搭建ISP,模拟互联网基础服务环境。
1.配置 Windows6 为ISP互联网DNS根服务器,安装DNS服务;
2.创 建 100 条 记 录 : root-dns-100gdskills-2026.net ~ root-dns-200gdskills-2026.net,所有记录均解析到本机IP地址,并创建对应的反向解析记录。
2.搭建ISP站点服务,添加ISP-WebSite站点,配置主机名为
“www.msftconnecttest.com”;在站点物理目录中创建一个 connecttest.txt文件,内容为“Microsoft Connect Test”。使用
Windows6进行测试。
- 域服务
任务描述:请采用域环境,管理企业网络资源。
1.配置所有Windows主机IP地址与主机名称。
2.配置Windows1为gdskills.com域控制器;安装dns服务,dns
正反向区域在ActiveDirectory中存储,负责该域的正反向域名解析。配置转发器与根提示器,当遇到无法解析的域名转交至
ISP-2026GDSKILLS解析。
3.配置Windows2为gdskills.com辅助域控制器;安装dns服务,
dns正反向区域在Active Directory中存储,负责该域的正反向域名解析。
4.将其他Windows主机加入到gdskills.com域(ISP除外)。所有
Windows主机(含域控制器,ISP除外)使用gdskills\Administrator 身份登录。
5.在 Windows1 上安装证书服务,为 windows 主机颁发证书,证书颁发机构有效期为 5 年,证书颁发机构的公用名为:“GD Global
SignROOTCA”。复制“计算机”证书模板,名称为“计算机服务器”,申请并颁发一张供 windows 服务器使用的证书,证书友好名称为
Universal,(将证书导入到需要证书的windows服务器),证书信息:证书有效期为 2 年,公用名=gdskills.com,国家=CN,省=Guangdong,城市=Guangzhou,组织=gdskills,组织单位=system,使用者可选名称
=*.gdskills.com 和 gdskills.com。浏览器访问 https 网站时,不出现证书警告信息。
6.在Windows2上安装从属证书服务,证书颁发机构的公用名为:“GD Global Sign SubCA”。
7.在Windows1上新建名称为manager、dev 的2个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建10个用户:行政部manager00-manager09、开发部dev00-dev09,所有用户只能每天9:00-17:30可以登录,不能修改其口令,密码永不过期。
manager01拥有域管理员权限。
(四)组策略
任务描述:请采用组策略,实现软件、计算机和用户的策略设置。
1.部署软件 powershell7,让林中主机自动安装 powershell。(提示:如果部署不成功,则需要在每台 Windows 主机中手动安装,安装包位于C:\soft路径下)。导出答案时使用pwsh(Powershell7),而不是
Powershell5。
2.启用所有 windows 服务器的防火墙。添加防火墙入站规则,名称为 ICMPv4_INPUT,启用源、目的地址 ip 地址是 10.10.0.0/16 的 icmpv4 回显请求。
3.域中主机自动申请“ipsec”模板证书。自动注册“工作站身份
验证”模 板证书,该模板可用作“服务器身份验证”,有效期 2 年。
4.允许 manager 组本地登录域控制器,允许manager01 用户远程登录到域控制器;拒绝 sale 组从网络访问域控制器。
5.登录时不显示上次登录,不显示用户名,无须按 ctrl+alt+del。
6.登录计算机时,在桌面新建名称为 gdedu 的快捷方式,目标为 https://gdedu.gdskills.com,快捷键为 ctrl+shift+f6。
- 文件共享
任务描述:请采用文件共享,实现共享资源的安全访问。
1.在Windows1的C分区中划分2GB的空间,创建NTFS主分区,驱
动器号为D。创建用户主目录共享文件夹:文件目录为D:\share\home,共享名为home,允许所有域用户完全控制。该文件夹将设置为所有域用户的home目录,gdskills.com域用户登录计算机后,自动映射挂载到G卷。禁止用户在该共享文件夹中创建 “*.exe”、“*.lnk”文件,文件组名和模板名为Deny。
2.创建共享目录D:\share\work,共享名为work,仅Administrator 和manager组有完全控制的安全权限和共享权限,其他认证用户有读取执行的安全权限和共享权限。在AD DS中发布该共享。
- NLB服务
任务描述:为提升网络并发数据能力、优化网络性能,请采用NLB,以保证网络服务的灵活性和高可用性。
1.配置Windows3和Windows4为NLB服务器,10.10.10.0/24网络为负载均衡网络,10.10.100.0/24为心跳网络。
2.Windows4集群优先级为5,Windows3集群优先级为6,集群IPv4 地址为10.10.10.100/24,集群名称为gdedu.gdskills.com,采用多播
方式。
3.配置Windows3为Web服务器,站点名称为gdedu.gdskills.com,
网站的最大连接数为16384,网站连接超时时间为30s,网站的带宽为
100Mbps。
4.共享网页文件、网站配置文件和日志文件分别存储到Windows2
上 的 D:\WebSiteStor\Contents 、 D:\WebSiteStor\Configs 和 D:\WebSiteStor\Logs。从C:\soft中上传gdedu.html至站点目录。
5.使用W3C记录日志,每天创建一个新的日志文件,日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。
6.网站仅绑定https,IP地址为集群地址,仅允许使用域名加密访问。
7.配置Windows4为Web服务器,要求采用共享Windows3配置的方
式。
(七)Poweshell脚本任务描述:请采用powershell脚本,实现快速批量的操作。
1.在Windows6上编写C:\createfile.ps1的powershell脚本,创建20个文件C:\file\file00.txt至C:\file\file19.txt,如果文件
存在,则删除后,再创建;每个文件的内容同主文件名,如file00.txt 文件的内容为“file00”。
- 创建实例
1.网络管理信息表:
|
网络名称 |
协议版本 |
子网网段 |
网关 |
ipv4地址池 | |||
|
LinNetInt |
IPv4 |
10.10.20.0/24 |
10.10.20.1 |
10.10.20.2-10.10.20.252 | |||
|
2.计算资源管理信息表: | |||||||
|
名称 |
CPU核心数 |
内存 |
磁盘 | ||||
|
LinBase |
2 |
2048MB |
40GB | ||||
3.实训环境信息表:
|
环境名称 |
镜像 |
计算资源 |
网络 |
|
Linux1 |
Rocky10 |
LinBase |
LinNetInt |
|
Linux2 |
Rocky10 |
LinBase |
LinNetInt |
|
Linux3 |
Rocky10 |
LinBase |
LinNetInt |
|
Linux4 |
Rocky10 |
LinBase |
LinNetInt |
|
Linux5 |
Rocky10 |
LinBase |
LinNetInt |
|
Linux6 |
Rocky10 |
LinBase |
LinNetInt |
4.云主机信息表:
|
云主机 |
环境名称 |
IPv4地址 |
完全合格域名 |
|
Linux1 |
Linux1 |
Auto |
linux1.gdskills.cn |
|
Linux2 |
Linux2 |
Auto |
linux2.gdskills.cn |
|
Linux3 |
Linux3 |
Auto |
linux3.gdskills.cn |
|
Linux4 |
Linux4 |
Auto |
linux4.gdskills.cn |
|
Linux5 |
Linux5 |
Auto |
linux5.gdskills.cn |
|
Linux6 |
Linux6 |
Auto |
linux6.gdskills.cn |
创建完成云主机后,将所有实例从DHCP获取的地址改为静态地址。
- DNS服务任务描述:创建DNS服务器,实现企业域名访问。
1.配置所有Linux主机的IP地址和主机名称。
2.所有 Linux 主机启用防火墙,防火墙区域为 public,在防火墙中放行对应服务端口。
3.利用 chrony,配置 linux1 为其他 linux 主机提供 ntp 服务。
4.所有 Linux 主机root 用户使用完全合格域名免密码 ssh 登录到其他 Linux主机,禁用密码认证。
5.利用 bind 和 bind-utils,配置linux1为主DNS根服务器,区域文件为/var/named/named.root,linux2为备用DNS服务器。为所有
Linux 主机提供冗余 DNS 正反向解析服务。正向区域文件均为
/var/named/named.gdskills,反向区域文件均为/var/named/named.20。
6.创建 DNS 响应区域,区域名称为 rpz.zone,响应区域文件名称为 /var/named/rpz.zone 。 当 客 户 端 解 析 www.yellow.com 、
www.dubo.com、www.duping.com时均返回 NXDOMAIN。
6.配置 linux1 为 CA 服务器,为 linux 主机颁发证书。证书颁发机构有效期 10 年, 公用名为:“GD Global Sign ROOT CA”。申请并颁发一张供 linux 服务器使用的证书,证书信息:有效期=5 年, 公
用名=gdskills.cn,国家=CN,省=Guangdong,城市=Guangzhou,组织 =gdskills,组织单位=system,使用者可选名称=*.gdskills.cn 和 gdskills.cn。将证书 skills.crt 和私钥 skills.key 复制到需要证书的 linux 服务器/etc/pki/tls 目录。浏览器访问 https 网站时,
不出现证书警告信息。
7.在 linux1 上安装系统自带的 ansible-core,作为 ansible 的控制节点。linux2-linux6 作为 ansible 的受控节点。
- Apache2服务任务描述:请采用 Apache 搭建企业网站。
1.配置 linux1 为 Apache2 服务器,使用 gdskills.cn 或
any.gdskills.cn(any代表任意网址前缀,linux1.gdskills.cn和 web.gdskills.cn测试)访问时,自动跳转到www.gdskills.cn。禁止使用ip地址访问,默认首页文档/var/www/html/index.html的内容为
"HelloGdSkills2026"。
2. 把 /etc/pki/tls/skills.crt 证 书 文 件 和
/etc/pki/tls/skills.key 私钥文件转换成含有证书和私钥的
/etc/pki/tls/skills.pfx文件;然后把/etc/pki/tls/skills.pfx转
换为含有证书和私钥的/etc/pki/tls/skills.pem 文件,再从
/etc/pki/tls/skills.pem 文 件 中 提 取 证 书 和 私 钥 分 别 到
/etc/pki/tls/apache.crt和/etc/pki/tls/apache.key。
3.客户端访问apache服务时,必需有SSL证书。
- 反向代理服务
任务描述:利用openjdk和tomcat,搭建Tomcat动态网站。
1.配置linux2为nginx服务器,默认文档index.html的内容为
“hellonginx”;仅允许使用域名访问,http访问自动跳转到https。
2.利用nginx反向代理,实现linux3和linux4的tomcat负载均衡,通过https://tomcat.gdskills.cn加密访问Tomcat,http访问通过301自动跳转到https。最大重试次数为3,超过10秒后宣告该后端服务器失联。当其中一台Web服务器发生故障时,请求应自动转发至另一台可用的Web服务器;当其中一台高可用服务器发生故障时,请求应自动转发转发至另一台高可用服务器。
3.配置linux3和linux4为tomcat服务器,网站默认首页内容分别为“tomcatA”和“tomcatB”,仅使用域名访问80端口http和443 端口https;证书路径均为/etc/ssl/skills.jks。
- Samba服务
任务描述:请采用Samba服务,实现资源共享。
1.配置linux2为FTP服务器,安装vsftpd,新建本地用户test,
本地用户登陆ftp后的目录为/var/ftp/pub,可以上传下载。
2.配置ftp虚拟用户认证模式,虚拟用户ftp1和ftp2映射为ftp, ftp1登录ftp后的目录为/var/ftp/vdir/ftp1,可以上传下载,禁止上
传 后 缀 名 为 .docx 的 文 件 ; ftp2 登 录 ftp 后 的 目 录 为
/var/ftp/vdir/ftp2,仅有下载权限。
3.使用ftp命令在本机验证。
- iSCSI服务任务描述:请采用iSCSI,搭建存储服务。
1.为linux5添加4块硬盘,每块硬盘大小为5G,创建lvm卷,卷组名为vg1,逻辑卷名为lv1,容量为全部空间,格式化为ext4文件系统。
2.使用/dev/vg1/lv1配置为iSCSI目标服务器,为linux6提供 iSCSI服务。iSCSI目标端的wwn为
iqn.2026-01.lan.skills:server,iSCSI发起端的wwn为 iqn.2026-01.lan.skills:client。
3.配置linux6为iSCSI客户端,实现discoverychap和session chap 双向认证,Target 认证用户名为 IncomingUser,密码为 IncomingPass;Initiator 认证用户名为 OutgoingUser,密码为 OutgoingPass。修改/etc/rc.d/rc.local文件开机自动挂载iscsi硬盘到/iscsi目录。
(七)Mariadb服务任务描述:请安装Mariadb服务,对数据库进行运维管理。
1.配置linux6为Mariadb服务器,创建W数据库用户teacher,仅允许从linux5登录数据库,且对所有数据库仅有查询权限。
2.创建数据库studentdb;在库中创建表studentinfo,表结构如下:
|
字段名 |
数据类型 |
主键 |
自增 |
约束 |
|
sid |
int |
是 |
是 |
非空、唯一约束 |
|
sname |
varchar(10) |
否 |
否 |
非空 |
|
sheight |
float |
否 |
否 | |
|
sbirthday |
datetime |
否 |
否 | |
|
ssex |
varchar(5) |
否 |
否 | |
|
password |
varchar(200) |
否 |
否 |
3.在表中插入2条记录,分别为(1,xmy,1.65,2001-02-06,M), (2,zhp,1.71,2001-10-21,M),password字段与sname字段相同, password字段用md5函数加密。
4.新建/var/mariadb/studentinfo.txt文件,文件内容如下,然后将文件内容导入到studentinfo表中,password字段用sha2函数加
密。
3,yxt,1.63,2004-05-05,F,yxt
4,yzm,1.64,2000-07-04,F,yzm
5,xxh,1.68,2003-09-21,M,xxh
6,zqf,1.86,2001-07-06,M,zqf
7,cmh,1.67,2009-01-18,M,cmh
8,xzh,1.78,2004-05-18,M,xzh
9,xmm,1.69,2000-07-09,F,xmm
5. 将 表 studentinfo 中 的 记 录 导 出 , 并 存 放 到
/var/mariadb/studentinfo.sql,字段之间用','分隔。
6.利用crontab为root用户创建计划任务(day用数字表示),每周六凌晨 1:00 备份数据库 studentdb(不含创建数据库命令)到
/var/mariadb/sdb_bak.sql。(为便于测试,手动备份一次。)
(八)Shell脚本任务描述:部署Shell脚本,实现功能。
1.在linux4上编写/root/createfile.sh的shell脚本,创建20 个文件/root/shell/file00至/root/shell/file19,如果文件存在,
则删除再创建;每个文件的内容同文件名,如file00文件的内容为
“file00”。用/root/createfile.sh命令测试。模块三:AI大模型搭建与运维
随着人工智能技术的快速发展,越来越多的企业和开发者希望能够使用强大的
AI 模型来处理各类任务,如自然语言处理、文本生成、自动化客服、智能推荐等。在此背景下,利用 Ollama 和 Dify 搭建一个可定制的 AI 系统成为了提升智能应用的重要途径。
通过 Ollama 和 Dify 的配置与结合,搭建一个基于大规模预训练模型的人工智能应用系统。此系统能够支持多种 AI 任务的智能化处理,并能快速集成到实际业务中。
- 基础环境配置
本任务需要使用root用户完成相关配置,已提供操作系统镜像及需要配置前置环境,所需软件安装包均在/root/目录下。命令中要求使用绝对路径,具体要求如下:
1.在AI-SRV中将操作系统镜像挂载至/media/cdrom,并实现开机自启。
2.在AI-SRV中完成软件源配置文件的编写,禁用GPG校验,并为源数据建立
缓存。
- 环境搭建
本任务需要使用root用户完成相关配置,已提供ollama安装包及需要配置前置环境。命令中要求使用绝对路径,具体要求如下:
1.在AI-SRV中为ollama配置用户/组,该用户仅用于运行服务,禁止其登录系统,家目录位于/usr/share/ollama。
2.在AI-SRV中为root用户加入附加组ollama。
3.在AI-SRV中将文件ollama-linux-amd64.tgz解压安装至/usr目录下。
4.在AI-SRV中编写SystemD服务配置,使用服务运行专用用户完成启动,无论发生任何意外情况,服务都会进行自动重启(冷却3秒),以保证服务可靠运行,服务需要监听所有地址,保持模型常态化运行。
5.在AI-SRV中启动ollama服务,并完成开机启动配置,最终启动ollama服务。
6.在AI-SRV中导入Yuezhi100M-BF16.gguf模型权重文件至ollama。
(三)Dify运行环境搭建
本任务需要使用root用户完成相关配置,已提供安装dify及需要配置前置环境。命令中要求使用绝对路径,具体要求如下:
1.在AI-SRV中完成Docker环境的安装,并查看Docker版本信息。
2.在AlI-SRV中将文件 dify-v1.11.2.tar.gz解压至/opt路径中。
3.在AI-SRV中完成dify镜像的导入,相关文件位于dify-images目录中,完成后检查镜像列表。
4.在AI-SRV中完成dify 的启动,并在客户机中访问AI-SRV中的dify web 服务。
5.在客户机中访问dify,完成用户注册,邮箱为admin@gdskills.ai,用户名为admin,密码为GDSkills2026,注册后登录dify管理页面。
6.在客户机中访问dify,通过dify扩展包安装ollama扩展组件,完成对ollama 模型提供商的注册。
(四)大模型部署与功能验证
本任务需要基于前置环境完成,选手须先自行完成配置,具体要求如下:
1.根据场景需要,创建空白应用 “Translator”。
2.用户提供翻译功能,其中参数包含 Query, Language 两项,要求支持语言
(中文、English),提示词自拟。
3.为确保结果准确性,需要为 Web App 提供翻译结果多版本对照支持。
4.运行应用,翻译内容:“人工智能改变世界”,“AIhaschangedtheworldnow.”,并为翻译内容创建候选。
模块四:网络安全
该网络拓扑架构中,VPC和 PC1(数字取证终端)等终端设备经
SW-1和SW-2的汇聚交换机互联,再通过 RT-1 与RT-2相连。RT-2 连接着安全防护设备,FW-1 提供访问控制,整个架构确保网络通信的安全与顺畅。

网络设备IP地址分配表
|
设备 |
设备名称 |
设备接口 |
IP地址 |
|
终端 |
VPC |
eth0 |
192.168.1.2/24 |
|
PC1 |
e0 |
192.168.0.9/24 | |
|
应急响应服务器 |
e0 |
30.1.1.3/24 | |
|
WEB服务器 |
e0 |
40.1.1.4/24 | |
|
网络设备 |
SW-1 |
Vlan 100 |
192.168.0.253/24 |
|
Vlan 200 |
192.168.1.253/24 | ||
|
Vlan 11 |
10.1.1.1/30 | ||
|
Vlan 4094 |
192.168.255.1/29 | ||
|
SW-2 |
Vlan 100 |
192.168.0.252/24 | |
|
Vlan 200 |
192.168.1.252/24 | ||
|
Vlan 11 |
10.1.1.5/30 | ||
|
Vlan 4094 |
192.168.255.2/29 | ||
|
RT-1 |
G0/0/0 |
10.1.1.9/30 | |
|
G0/0/1 |
10.1.1.13/30 | ||
|
G0/0/2 |
10.1.1.2/30 | ||
|
G0/0/3 |
10.1.1.6/30 | ||
|
RT-2 |
G0/0/0 |
10.1.1.10/30 | |
|
G0/0/1 |
10.1.1.14/30 | ||
|
G0/0/2 |
10.1.1.17/30 | ||
|
FW1 |
G1/0/0 trust |
30.1.1.254/24 | |
|
G1/0/1 trust |
40.1.1.254/24 | ||
|
G1/0/2untrust |
10.1.1.18/30 |
- 网络排错网络按照表中要求已经搭建完成,现在有如下故障:
1.在RT-2需要为内网终端正确部署NAT技术,使得内部主机可以正常访问网络。
2.现在发现终端用户无法访问内部网络,请找到原因并修复;
3.防火墙似乎无法正常提供对内部服务器的访问,请配置通过防
火墙策略实现。
- 数字取证
公司内部业务办公业务遭到网络攻击。由于公司部署了流量镜像服务器,已经将黑客攻击时段的流量截取了出来。作为安全响应团队成员,你需要利用网络流量工具对该时段的流量数据(已提取为 pc1_traffic.pcap文件,位于取证终端桌面)进行分析,追踪入侵行为并提取关键信息。
1.通过流量包进行分析,请查看黑客登录公司业务网站使用的用
户是什么,并将其作为Flag提交;(格式:[user])
2.通过流量包进行分析,请查看黑客登录公司业务网站使用的密码是什么,并将其作为Flag提交;(格式:[password])
3.通过流量包进行分析,发现黑客篡改了某日志文件,请把该日志文件的绝对路径Flag提交;(格式:[/var/log/log.log])
4.通过流量包进行分析,发现黑客对业务系统植入了一个恶意的 webshell,请把该webshell的名称作为Flag提交;(格式:
[filename.html])
- WEB模拟漏洞检查
WEB服务器请你登录到服务器上对该服务器系统环境进行排查。
1.请对Web服务器的8001端口进行黑盒测试,利用漏洞找到flag,并将flag提交。(格式:<flag>)
2.请对Web服务器的8002端口进行黑盒测试,利用漏洞找到flag,
并将flag提交。(格式:<flag>)
- PWN
服务器存在两个高危异常端口,这些端口均存在安全漏洞,根据
给出的文件进行分析,请利用漏洞找到 flag,并将 flag 提交。(格式:
<flag>)
897

被折叠的 条评论
为什么被折叠?



