2023 年江苏省职业院校技能大赛(中职)网络搭建与应用赛项公开赛卷
竞赛说明
1. 竞赛内容分布 “网络搭建与应用”竞赛共分五个部分,其中: 第一部分:网络组建与配置(350 分) 第二部分:云平台配置(50 分) 第三部分:Windows 系统配置(200 分) 第四部分:Linux 系统配置(200 分) 第五部分:职业规范与素养(50 分)
2. 竞赛注意事项 (1) 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。 (2) 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材 料清单是否齐全,计算机设备是否能正常使用。 (3) 请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。 (4) 操作过程中,需要及时保存设备配置。 (5) 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置 为最终结果。 (6) 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所 用的所有物品(包括试卷和草纸)带离赛场。 (7) 禁止在纸质资料、比赛设备上填写任何与竞赛无关的标记,如违反规 定,可视为 0 分。 (8) 与比赛相关的工具软件放置在每台主机的 D 盘 soft 文件夹中。 (9) 进入竞赛施工现场,施工人员需佩戴安全帽(项目设计阶段除外)。 (10) 竞赛所用器材、耗材,在竞赛开始前已全部发放到各个竞赛工位,保证充分满足竞赛需求。竞赛开始前,请仔细核对材料确认单,并签字确认(未 签字确认前禁止开始比赛)。竞赛过程中,不再另行发放器材、耗材。 (11) 竞赛过程中,参赛队要做到工作井然有序、不跨区操作、不喧哗,竞 赛施工材料、加工废料、施工模块等分区有序存放。
3. 项目简介 某集团公司原在北京建立了总部,在郑州设立了办事处。总部设有销售、产 品、法务、财务、信息技术 5 个部门,统一进行 IP 及业务资源的规划和分配, 全网采用 OSPF 动态路由协议和静态路由协议进行互连互通。 公司规模在 2023 年快速发展,业务数据量和公司访问量增长巨大。为了更 好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以 达到快速、可靠交换数据,以及增强业务部署弹性的目的。 集团、办事处的网络结构详见“主要网络环境”拓扑图。 其中一台 CS6200 交换机编号为 SW-3,用于实现终端高速接入;两台 CS6200 交换机作为总部的核心交换机;两台 DCFW-1800 分别作为集团、郑州办事处的防 火墙;一台 DCWS-6028 作为集团的有线无线智能一体化控制器,编号为 DCWS, 通过与 WL8200-I2 高性能企业级 AP 配合实现集团无线覆盖。
第一部分:网络组建与配置
【说明】 1.交换机、 DCWS、防火墙使用同一条 console 线; 2.设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果 文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命 名;所有需要提交的文档均放置在 PC1 桌面的“比赛文档_X”(X 为赛位号) 文件夹中; 3.保存文档方式如下: ⚫ 交换机、DCWS 要把 show running-config 的配置、防火墙要把 show configuration 的配置保存在 PC1 桌面上的“比赛文档_X”文件夹中,文档命 名规则为:设备名称.txt。例如:SW-1 交换机文件命名为:SW-1.txt; ⚫ 无论通过 SSH、telnet、Console 登录防火墙进行 show configuration 配置收集,需要先调整 CRT 软件字符编号为:UTF-8,否则收集的命令行中文 信息会显示乱码。CRT 软件调整字符编号配置如图:
一、 网络布线与基础连接
说 明
1. 机柜左侧布线面板编号 101;机柜右侧布线面板编号 102。
2. 面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B 标准端接。
3. 主配线区配线点与工作区配线点连线对应关系如下表所示。
(一)铺设线缆并端接 1. 截取 2 根适当长度的双绞线,两端制作标签,穿过 PVC 线槽或线管。双绞 线在机柜内部进行合理布线,并且通过扎带合理固定; 2. 将 2 根双绞线的一端,根据“PC1、PC2 配线点连线对应关系表“的要求,端 接在配线架的相应端口上; 3. 将 2 根双绞线的另一端,根据“PC1、PC2 配线点连线对应关系表”的要求, 端接上 RJ45 模块,并且安装上信息点面板,并标注标签。
(二)跳线制作与测试 1. 再截取 2 根当长度的双绞线,两端制作标签,根据“PC1、PC2 配线点连线对应关系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳 线,所有网络跳线要求按 568B 标准制作; 2. 根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络 跳线, 根据题目要求,插入相应设备的相关端口上;(包括设备与设备之间、设 备与配线架之间); 3. 实现 PC、信息点面板、配线架、设备之间的连通;(提示:可利用机柜上自 带的设备进行通断测试); 4. PC1 连接 102 底盒 1 端口、PC2 连接 101 底盒 1 端口。
二、 交换配置与调试
(一) 为了减少广播,需要根据题目要求规划并配置 VLAN。具体要求如下: 1. 配置合理,所有链路上不允许不必要 VLAN 的数据流通过,包括 VLAN 1; 2. 集团接入交换机与核心交换机之间的互连接口发送 AP&交换机管理 VLAN 的 报文时不携带标签,发送其它 VLAN 的报文时携带标签,要求禁止采用 trunk 链 路类型; 3. 当财务业务 VLAN 物理端口接收到的流量大于端口缓存所能容纳的大小时, 端口将通知向其发送流量的设备减慢发送速度,以防止丢包;当法务业务 VLAN 物理端口收包 BUM 报文速率超过 2000packets/s 则关闭端口,10 分钟后恢复端 口。 4. 根据下述信息及表,在交换机上完成 VLAN 配置和端口分配。 
(二) 在集团核心交换机 SW-1 和 SW-2、接入交换机 SW-3 间运行一种协议,具体要求如下:
1. 实现销售、产品、信息技术业务优先通过 SW-1 至 SW-3 间链路转发,法务、 财务、AP&交换机管理等业务优先通过 SW-2 至 SW-3 间链路转发,从而实现 VLAN 流量的负载分担与相互备份; 2. 设置路径开销值的取值范围为 1-65535,BPDU 支持在域中传输的最大跳数为 7 跳;同时不希望每次拓扑改变都清除设备 MAC/ARP 表,全局限制拓扑改变进行 刷新的次数; 3. 加速接入交换机所有业务端口收敛,当接口收到 BPDU 丢弃报文并关闭端口, 如果 5 分钟内没有收到 BPDU 报文,则恢复该端口。
(三) 在集团核心交换机 SW-1 和 SW-2 运行一种容错协议,为所有业务 VLAN 实 现网关冗余,具体要求如下:
1. 虚地址使用该 VLAN 中的最后一个可用 IP、SW-1 使用该 VLAN 中的倒数第三 可用 IP、SW-2 使用该 VLAN 中的倒数第二可用 IP,SW-1 为销售、产品、信息技 术业务的 Master,SW-2 为法务、财务、AP&交换机管理等业务的 Master,且互为 备份;每隔 3s,VRRP 备份组中的 Master 发送 VRRP 报文来向组内的三层交换机 通知自己工作状态; 2. 监视上行链路状态,当上行链路故障时,Slave 设备能够接管 Master 设备转 发数据;而当链路故障恢复后,原 Master 设备接管 Slave 设备转发数据。
(四) 因集团销售人员较多、同时也为了节约成本,在集团接入交换机下挂两 个 8 口 HUB 交换机实现销售业务接入,集团信息技术部已经为销售业务 VLAN 分 配 IP 主机位为 1-14,在集团接入交换机使用相关特性实现只允许上述 IP 数据 包进行转发,对 IP 不在上述范围内的用户发来的数据包,交换机不能转发,直 接丢弃, 要求禁止采用访问控制列表实现。
(五) 集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层,当发 现单向链路后,要求自动地关闭互连端口;发送握手报文时间间隔为 5s, 以便 对链路连接错误做出更快的响应,如果某端口被关闭,经过 30 分钟,该端口自动重启。
(六) SW-2 既作为集团核心交换机,同时又使用相关技术将 SW-2 模拟为 Internet 交换机,实现集团内部业务路由表与 Internet 路由表隔离。
(七) 集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分 别连接在 SW-1 核心交换机 E1/0/10-E1/0/11 接口测试,将核心交换机与接入交 换机、防火墙互连流量提供给多个厂商网流分析平台。
三、 路由配置与调试
(一) 尽可能加大集团防火墙与核心交换机之间链路带宽;
(二) 规划集团使用 OSPF 协议进行互连互通,进程号为 1,具体要求如下: 1. 集团防火墙与集团核心交换机之间、集团核心交换机与集团核心交换机之间 均属于骨干区域; 2. 借助 OSPF 相关特性,尽可能保证骨干区域完整性; 3. 针对骨干区域启用区域 MD5 验证,验证密钥为:DCN2023,调整接口的网络类 型加快邻居关系收敛; 4. 集团防火墙将访问郑州办事处业务网段的静态路由引入 OSPF。 5. 实现集团销售&产品&信息技术&无线业务、统一通过集团防火墙访问 Internet,轮询使用 NAT 地址为:202.99.192.4/30,针对上述源地址,限制单 个 IP 地址能建立 NAT 翻译表项的最大数目为 100;配置一对一地址转换,实现 通过 Internet 任意位置访问 202.99.192.8/32 都可以访问至集团 OA 平台 10.XX.10.1/32(XX 与“主要网络环境”地址中相应网段一致)进行数据查询; 郑州办事处业务网段通过郑州办事处防火墙访问 Internet,NAT 地址池为接口公 网 IP。
(三) 集团防火墙与郑州办事处防火墙之间使用与 Internet 的接口互联地址 建立 GRE 隧道,再使用 IPSEC 技术对 GRE 隧道进行保护,使用 IKE 协商 IPSec 安 全联盟、交换IPSec密钥,两端加密访问列表名称都为ipsecacl,这样有了IPSec, 郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全上传郑州办事处相关销售业务数据。
(四) 为了合理分配集团业务流向,保证来回路径一致,业务选路具体要求如 下: 1. 集团核心交换机与集团无线控制器 DCWS 之间采用静态路由协议,使用 OSPF 相关特性实现集团无线业务与 Internet 互访流量优先通过 DCWS_SW-1_FW-1 间 链路转发,DCWS_SW-2_FW-1 间链路作为备用链路; 2. 实现销售、产品、信息技术业务分别与 Internet、办事处互访流量优先通过 SW-1_ FW-1 间链路转发,法务、财务、AP&交换机管理等业务分别与分公司、办 事处互访流量优先通过 SW-2_ FW-1 间链路转发,从而实现流量的负载分担与相 互备份。
四、 无线配置
(一) 集团无线控制器 DCWS 与核心交换机互联,无线业务网关位于 DCWS 上, VLAN220 为业务 VLAN;核心交换机侧配置使用 DHCP 进行 AP 管理地址分配,利用 DHCP 方式让 AP 发现 DCWS 进行三层注册,采用 MAC 地址认证。
(二) 配置一个 SSID DCNXX:DCNXX 中的 XX 为赛位号,访问集团及 Internet 业务,采用 WPA-PSK 认证方式,加密方式为 WPA 个人版,配置密钥为 Dcn12345678。
(三) AP 在收到错误帧时,将不再发送 ACK 帧;打开 AP 组播广播突发限制功 能;开启 Radio 的自动信道调整,每天上午 7:00 触发信道调整功能。
五、 安全策略配置
(一) 根据题目要求配置郑州办事处防火墙相应的业务安全域、业务接口;郑 州办事处业务网段通过VPN隧道只可以访问集团销售业务网段http&https业务, 通过公网接口可以访问 Internet 业务;集团所有业务网段均可以与郑州办事处 业务网段双向互 ping,方便网络连通性测试与排障。
(二) 集团计划在郑州办事处进行 https 认证试点,对郑州办事处业务网段上 网的用户进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密 码分别为 dcn01 或者 dcn02 才可以访问外部网络,强制用户在线时常超过 1 天后必须重新登录。
(三) 郑州办事处只有 100M Internet 出口,在郑州办事处防火墙上限制该业 务网段每个 IP 上下行最多 4M 带宽;对 Internet 出口 http 流量整形到 10Mbps, 从而实现流量精细化控制,保障办事处其它关键应用和服务的带宽。
六、 IPV6 配置 集团公司为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协 议第六版(IPv6)规模部署行动计划》,加快推进基于互联网协议第六版(IPv6) 基础网络设施规模部署和应用系统升级,现准备先在集团公司开始 IPv6 测试, 要求如下:
(一) 在集团核心交换机 SW-1 配置 IPv6 地址,使用相关特性实现销售业务的 IPv6 终端可自动从网关处获得 IPv6 有状态地址。
(二) 在集团核心交换机 SW-2 配置 IPv6 地址,开启路由公告功能,路由公告 的生存期为 2 小时,确保产品业务的 IPv6 终端可以获得 IPv6 无状态地址。
(三) 在集团两台核心交换机之间通过互联 ipv4 链路使用相关特性,实现销售 业务的 IPv6 终端与产品业务的 IPv6 终端可以互访。 集团测试 IPv6 业务地址规划如下,其它 IPv6 地址自行规划:
举例:“主要网络环境”中销售业务 IPv4 地址为: 致) 10.30.10.0/24,对应 IPv6 地址为:2001:30:10::254/64。
第二部分:云平台配置
【竞赛技术平台说明】
1.云服务实训平台相关说明: (1) 云服务实训平台管理 ip 地址默认为 192.168.100.100,访问地址 http://192.168.100.100/dashboard 默认账号密码为 admin/dcncloud,ssh 默 认账号密码为 root/dcncloud,考生禁止修改云服务实训平台账号密码及管理 ip 地址,否则服务器配置及应用项目部分计 0 分; (2) 云服务实训平台中提供镜像环境,镜像的默认用户名密码以及镜像 信息,参考《云服务实训平台用户操作手册》;
(3) 所有 windows 主机实例在创建之后都直接可以通过远程桌面连接操作, Rock8.5 可以通过 CRT 软件连接进行操作,所有 linux 主机都默认开启了 ssh 功 能,Linux 系统软件镜像位于”/opt”目录下; (4) 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。 2.云服务实训平台和服务器 PC1 和 PC2 相关服务说明: (1) 题目中所有未指明的密码均参见“表 6.云主机和服务器密码表”,若 未按照要求设置密码,涉及到该操作的所有分值记为 0 分; (2) 虚拟主机的 IP 属性设置请按照“拓扑结构图”以及“表 3.服务器 IP 地址分配表”的要求设定; (3) 除非作特殊说明,在 PC1 和 PC2 上需要安装相同操作系统版本的虚 拟机时,可采用 VMware Workstation 软件自带的克隆系统功能实现。 (4) PC1 和 PC2 上所有系统镜像文件及赛题所需的其它软件均存放在每台主机的 D:\soft 文件夹中; (5) PC1 和 PC2 要求的虚拟机均安装于每台在 D 盘根目录下自建的名为 VirtualPC 文件夹中,即路径为 D:\VirtualPC\虚拟主机名称。 (6) 所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则 会扣除该服务功能一定分数。
【云实训平台安装与运用】
一、云平台基础设置 1.按照“表 4:云平台网络信息表”要求创建五个外部网络,这些外部网 络所使用的 VLAN 均为总部业务 VLAN,详细操作过程请参照“云服务实训平 台用户操作手册”; 2.创建 5 块云硬盘,卷命名为 hd1-hd5,其中 hd1-hd2 大小为 10G,h3- h5 大小自定。 注意事项: (1)必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘; 不能使用 “管理员”,“系统”栏下的“卷”功能,该功能使用不当会造成云硬 盘创建失败,界面卡死。 (2)在云平台中可以创建多个云硬盘,所有云硬盘容量的总大小不能超过 100G,否则将创建失败。一个实例可以同时连接多个云硬盘,但一个云硬盘同 时只能给一个实例作为扩展硬盘使用。 (3)在分离卷之前一定要保证使用该卷的 Linux 主机中,已经不存在该 卷的任何挂载点。如果使用该卷的主机是 Windows 实例,必须保证该卷在主机 的“磁盘管理”项目中处于脱机状态,否则会造成分离失败,或是一直显示“分 离中”状态。 二、创建虚拟主机 1.按照“表 5:虚拟主机信息表”所示,按要求生成虚拟主机,详细操作过程请参照“云服务实训平台用户操作手册”; 2.云平台中所有虚拟机的 IP 地址,要求手动设置为该虚拟机 DHCP 获取 的地址
第三部分:Windows 系统配置
一、在云实训平台上完成如下操作
(一)完成虚拟主机的创建 将按照“表 5:虚拟主机信息表”生成的虚拟主机加入到 JsSkill.com 域环 境。
(二)完成链路聚合的部署 1.在云主机 1 中添加一块网卡,第一块网卡和第二块网卡为提供链路聚合 网卡,完成链路聚合操作,组名为“AggNic1”,成组模式为“静态成组”,负载 均衡模式为“地址哈希”,为主域和辅助域之间的传输提升速度; 2.在云主机 2 中添加一块网卡,第一块网卡和第二块网卡为提供链路聚合 网卡,完成链路聚合操作,组名为“AggNic2”,成组模式为“静态成组”,负载 均衡模式为“地址哈希”,为主域和辅助域之间的传输提升速度。
(三)在云主机 1 中完成域用户管理及 CA 服务器的部署 1.创建 3 个用户组,组名采用对应部门名称的中文全拼命名,每个部门都 创建 2 个用户,行政部用户:adm1~ adm20、销售部用户:sale1~sale20、技术 部用户:sys1~sys20,财务部用户:mon1~mon20,所有用户不能修改其用户口令, 并要求用户只能在上班时间可以登录(每周六至周日 9:00~18:00)。 2. CA 服务器配置: (1) 安装证书服务,设置为企业根 CA,为企业内部自动回复证书申请; (2) 颁发的证书有效期年份为 6years; (3) CA 证书有效期 20 年。
(四)在云主机 1 中完成组策略部署 1. 配置实现域中技术部的所有员工必须启用密码复杂度要求,密码长度最 小为 15 位,密码最长存留 60 天,允许失败登录尝试的次数、重置失败登录尝试 计数都为 6 次,账户将被锁定的时间为 0 分钟,直至管理员手动解锁账户; 2. 配置实现所有财务部的计算机开机后自动弹出“温馨提示”的对话框,显示的内容为“请注意财务数据的安全!”; 3. 配置实现域内所有计算机“关闭自动播放”; 4. 配置实现行政部所有计算机隐藏桌面网络图标,“开始”菜单中不保留最 近打开文档的历史。 5. 配置用户 adm20 可远程登录到域控制器; 6. 用户 min20 使用漫游用户配置文件,配置文件存储在云主机 2 的 C 盘 Profiles 文件夹内。
(五)在云主机 1 中完成 DNS 服务器的部署 1. 将此服务器配置为主 DNS 服务器,具体要求: (1) 正确配置 JsSkill.com 域名的正向及反向解析区域; (2) 创建对应所有服务器主机记录,正确解析 JsSkill.com 域中的所有服务器; (3) 关闭网络掩码排序功能; (4) 设置 DNS 服务正向区域和反向区域与活动目录集成; (5) 启用 Active Directory 的回收站功能。 2. 为了防止域控制器的 DNS 域名解析服务造成大量不必要的数据流,公司 技术人员决定禁用 DNS 递归功能,请您使用 PowerShell 禁用 DNS 递归功能。 3. 新建一条主机记录,主机名称为 dnss、IP 地址为 10.10.10.20; 4. 对云主机 1 的 JsSkill.com 区域中的 dnss 主机记录提供完整性验证,保 证数据在传输的过程中不被篡改。
(六)在云主机 2 中完成辅助域控、从属证书及磁盘阵列的部署 1. 将云主机 2 的服务器升级成 JsSkill.com 域的辅助域控制器; 2. 将云主机 2 的服务器设置为证书颁发机构: (1)安装证书服务,为企业内部自动回复证书申请; (2)设置为企业从属 CA,负责整个 JsSkill.com 域的证书发放工作; 3. 添加三块 SCSI 虚拟硬盘,其每块硬盘的大小为 15G,并创建 RAID5 卷, 盘符为 E 盘。
(七)在云主机 2 中完成辅助 DNS 服务器部署 1. 配置云主机 2 为辅助 DNS 服务器
(八)在云主机 2 中完成 AD RMS 的部署 安装 AD RMS 权限管理服务: (1)要求安装“AD 权限管理服务器”和“联合身份验证支持”角色服务; (2)使用 Windows 的内部数据库; (3)指定群集地址为:https://adrms.JsSkill.com; (4)配置联合身份验证支持的服务器名称为:https://adrms.JsSkill.com。
(九)在云主机 3 中完成文件服务器的部署 1. 通过压缩卷新建 E 盘,大小自定; 2. 在 E 盘上新建文件夹 FilesWeb,并将其设置为共享文件夹,共享名为 FilesWeb,开放共享文件夹的读取/写入权限给 everyone 用户; 3. 在 FilesWeb 文件夹内建立两个子文件夹: (1)子文件夹为“FilesConfigs”,用来存储共享设置; (2)子文件夹为“FilesConts”,用来存储共享网页。
(十)在云主机 3 中完成 DHCP 及 WDS 服务的部署 1. 安装 DHCP 服务,为服务器网段部分主机动态分配 IPv4 地址,建立作用 域,作用域的名称为 dhcpser,地址池为 220-225; 2. 安装 WDS 服务,目的是通过网络引导的方式来安装 Windows Server 2022 R2 CORE 操作系统,运用适当技术手段,让此 WDS 的客户端,只获取到对应 WDS 服务器端 DHCP 下发的 IP 地址。
(十一)在云主机 3 中完成 DNS 转发服务器和 DNSSEC 签名的部署 1. 安装 DNS 服务器角色,设置转发器为“云主机 1”的服务器,负责转发 “云主机 6”的域名解析的查询请求; 2. 在云主机 3 上导入 JsSkill.com 区域的 DNSKEY 签名,来保证数据来自正 确的名称服务器。
(十二)在云主机 4 中完成 WEB 服务器 1 的部署 1.安装 IIS 组件,创建 www.JsSkill.com 站点: (1) 将该站点主目录指定到\\WDF\FilesWeb\FilesConts 共享文件夹; (2) 将 PC1 中“D:\Soft\IIS”目录下的主页文件拷贝到文件服务器中的共享 文件夹\\WDF\FilesWeb\FilesConts 内; (3) 启动 www.JsSkill.com 站点的共享配置功能,通过输入物理路径、用户 名 、 密 码 、 确 认 密 码 和 加 密 秘 钥 , 将 该 站 点 的 设 置 导 出 、 存 储 到 \\WDF\FilesWeb\FilesConfigs 内; 2.设置网站的最大连接数为 1000,网站连接超时为 50s,网站的带宽为 1000KB/S; 3.使用 W3C 记录日志,每天创建一个新的日志文件,文件名格式: (1) 日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、 服务器端口号; (2) 日志文件存储到“C:\WWWLogFile”目录中; 4.创建证书申请时,证书必需信息为: (1) 通用名称=“www.JsSkill.com”; (2) 组织=“JsSkill”; (3) 组织单位=“sales”; (4) 城市/地点 =“NanJing”; (5) 省/市/自治区=“JiangSu”; (6) 国家/地区=“CN”。
(十三)在云主机 4 与主云主机 5 之间实现 DFS 服务部署 1. 在两台服务器 D 盘建立 DFSFile 文件夹,作为 DFS 同步目录; 2. 实现 DFS 同步功能,空间名称为 DFSROOT,文件夹为 DFSFile,复制组 为 ftp-backup,拓朴采用交错方式,设置复制在周六和周日带宽为完整,周一 至周五带宽为 64M,同时实现云主机 4 向云主机 5 的双向复制;3. 配置云主机 4 的 DFS Ipv4 使用 34567 端口;限制所有服务的 Ipv4 动态 RPC 端口从 8000 开始,共 1000 个端口。
(十四)在云主机 5 中完成 WEB 服务器 2 的部署 1. 安 装 IIS 组 件 , 实 现 www.JsSkill.com 站 点 的 共 享 配 置 , 启 动 www.JsSkill.com 站点的共享配置功能,通过输入物理路径、用户名、密码、确 认 密 码 和 加 密 密 钥 密 码 , 使 得 让 该 站 点 可 以 使 用 位 于 \\WDF\FilesWeb\FilesConfigs 内的共享配置; 2. 设置网站的最大连接数为 1000,网站连接超时为 50s,网站的带宽为 1000KB/S; 3. 使用 W3C 记录日志,每天创建一个新的日志文件,文件名格式: (1) 日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器 IP 地址、 服务器端口号; (2) 日志文件存储到“C:\WWWLogFile”目录中; 4. 创建证书申请时,证书必需信息为: (1) 通用名称=“www.JsSkill.com”; (2) 组织=“JsSkill”; (3) 组织单位=“sales”; (4) 城市/地点 =“NanJing”; (5) 省/市/自治区=“JiangSu”; (6) 国家/地区=“CN”。
二、在 PC1 上完成如下操作
(一)完成虚拟主机的创建 1. 安装虚拟机“服务器 1”, 其内存为 768MB,硬盘 40G; 2. 安装虚拟机“服务器 2”, 其内存为 768MB,硬盘 40G; 3. 安装虚拟机“服务器 3”, 其内存为 768MB,硬盘 40G,通过“云主机 3” 的 WDS 服务进行网络引导和安装,安装完成后停止“云主机 3”中 DHCP 中服务器网段的作用域。
(二)在主机“服务器 2”中完成域及安全部署 1. 将“服务器 2”的服务器,升级为子域 cz.JsSkill.com; 2. 配置“连接安全规则”,保证和“云主机 6”之间的通信安全,要求入站 和出站都要求身份验证,完整性算法采用 SHA-1,加密算法采用 AES-CBC 128, 预共享的密钥为 JiangSuskills。
(三)在主机“服务器 1”中完成域控制器的部署 1. 将“服务器 1”服务器升级为域服务器,域名为 JiangSuskills.com; 2. 在 “服务器 1”中添加二块 SCSI 虚拟硬盘,其每块硬盘的大小为 4G。 将二块硬盘配置为 RAID0,对应磁盘盘符为 E; 3. 实现 E 盘启用卷影副本功能,设置每周六的晚上 20:30 创建卷影副本, 将副本存储于 C 盘根目录。
(四)在主机“服务器 1”中完成域控制器信任的部署 1. 在 E 盘下新建文件夹 share,并将其文件夹进行共享,权限为任何人完 全控制,共享名为 share; 2. 通过使用单向信任关系,实现 JsSkill.com 域的技术部的员工可以访问 JiangSuskills.com 域的共享资源 share 文件夹,反之不可以。
(五)在主机“服务器 3”中完成 Core 服务器的部署 1. 使用命令修改“服务器 3”服务器的主机名为 wscore,修改“服务器 3” 服务器的 IP 地址为表 3 中要求的地址,并按照题目要求设置默认网关; 2. 将其“服务器 3”服务器加入 AD DS 域 JiangSuskills.com 中; 3. 关闭“服务器 3”服务器的防火墙; 4. 在“服务器 3”服务器上安装 DHCP 服务;启动“服务器 3”服务器的 DHCP 服务。
第四部分:Linux 系统配置
(一)时区、chrony 、SSH、SUDO、密码等服务
【任务描述】为保障企业提供的网络服务具有加密功能,提供证书服务,配置 CA 服务器, 为模拟相关功能,请使用 Linux-1、Linux-2、Linux-3 模拟完成相关功 能配置及实际测试。
1.修改所有 Linux-1~Linux-7 主机的主机名为“服务器 IP 地址分配表”中 标注的合格域名。 2.设置所有 Linux 服务器的时区设为“上海”,本地时间调整为实际时间。 3.利用 chrony 配置 Linux1 为其他 Linux 主机提供 NTP 服务。 4.Linux-1、Linux-2、Linux-3 主机之间 root 用户使用完全合格域名免密 码 ssh 登录彼此。 5.在 Linux-2 配置 sudo,使得 nic 能通过任何主机以系统中任何其它类型 的用户身份运行任何命令,accounts 组中的任何成员都能通过任何主机以 root 身份运行/usr/bin 下的 useradd、userdel 和 usermod 命令。 6.请使用 openssl 命令行工具,解密使用 DES3 加密的 d:/soft 中的加密文 件 skills.enc,将解密出的文件内容存放到 Linux-1 的/root/skills.dec 中, 其他细节为:加密之后对数据进行 BASE64 编码,加密时使用了随机产生的 salt, 对加密密码 1qaz 使用 PBKDF2 算法进行了 5 次迭代。 7.把 Linux-1 配置为 CA 服务器,CA 的私钥 cakey.pem 使用 2048 位,私钥文 件存放于/etc/pki/CA/private 目录,只有拥有者可读写,CA 证书使用系统默认 文件名:/etc/pki/CA/cacert.pem, 可以签发“省、市/县”名称不同的主机、web 服务等证书,有效期 20 年,CA 颁发证书有效期 10 年,证书其他信息: (1) 国 家=“CN” (2) 省=“Jiangsu”(3) 市/县=“CZ”(4) 组织=“skills”(5) 组 织单位=“JSLGJ”。 8.在 PC2 上安装虚拟机“Linux-6”,要求为:内存 2G,硬盘 100GB,引导分 区和根分区的文件系统采用 xfs 格式;9.在 PC2 上安装虚拟机“Linux-7”,要求为:内存 4G,硬盘 100GB,引导分 区和根分区的文件系统采用 xfs 格式;
(二)智能 DNS 服务
【任务描述】随之企业服务对象的不断扩大,在网络边界实现了多运营商接入的 情况下,为保障企业提供的网络服务外网的高速访问,同时为了实现区域服务优 化,对企业的 DNS 服务实现升级,为模拟相关功能,请使用 Linux-1、Linux-2、 Linux-3、 Linux-4、Linux-5 模拟完成相关功能配置及实际测试。
10.在 Linux-1 上安装配置 DNS 主服务器。 11.实现【服务器 IP 地址分配表】中 Linux-1~Linux-5 的域名的解析。 3. 在 Linux-2 上安装配置对应备份服务器。 12.添加【服务器 IP 地址分配表】中 Linux-6~Linux-7 的域名的解析。 13.修改上述 Linux-1 的 DNS 的主配置文件/etc/named.conf【不修改上述 Linux-1 的 DNS 的其他配置文件】: 14.请自定义地址表"js"、"bj"、"sh"分别存放 Linux-3、 Linux-4、Linux5 主机的实际 IP 地址; 15.分 别 新 建 /etc/named.rfc1912.zones.js 、 /etc/named.rfc1912.zones.bj、/etc/named.rfc1912.zones.sh 三个不同 zones 文件及其他需要的文件并有效授权,存放 Jiangsu、Beijing、Shanghai 三个区域 的相关域 m-skills.com 配置信息。 16.实现 Linux-3(Jiangsu)、Linux-4(Beijing)、Linux-5(Shanghai) 不同地区主机解析 www.m-skills.com 返回不同 IP 地址; 17.规则如下:Linux-3 主机返回 121.2.3.4,Linux-4 主机返回 58.2.3.4, Linux-5 主机返回 211.2.3.4。【使用 hosts 文件不得分!】 18.配置服务后,相关服务开机自启动。
(三)FTP 服务
【任务描述】FTP 是一个古老而有效的服务,允许用户以文件操作的方式与另一主机相互通信,可用 FTP 程序访问远程资源, 实现用户往返传输文件、目录管 理等, 即使双方计算机配有不同的操作系统和文件存储方式。
19.在 Linux-4 服务器上安装配置 VSFTP 服务,具体要求为: 20.安装配置 vsftp 及 ftp 客户端软件,开机启动 FTP 服务,系统启用 SELinux 和防火墙,请正确配置相关参数,保证网络正常访问。 21.为了服务器安全及加强使用规范,为网络部、技术部、市场部、行政部 分别创建访客账号,分别为 netftp,techftp,markftp,admftp,用户密码:SP1234,指定默认访问路径分别为:/home/ftp/账号名,不允许本地登录;各部门 员工可以在各自部门的相关目录下实现资源的上传与下载 22.将 FTP 用户登录默认目录设置为/home/ftp。 23.新建 FTP 用户公共目录/home/ftp/pub,所有 FTP 用户都可读写,但是 只能删除自己创建的文件及目录。 24.设置 markftp、techftp 用户不能访问上一级目录。 25.匿名用户不允许访问此 FTP 服务器,用户 nic 不允许登录此 FTP 服务 器,最大连接数上限 50,空闲超时 60s 后自动断线。 26.请在 Linux-7 上使用 markftp 用户登录 FTP 服务器,在 pub 目录下新建 mark-1 目录,在 markftp 目录下上传 hello 文件,内容为:Hello Skills2023! 27.请在 Linux-7 上请使用 techftp 用户登录 FTP 服务器,在 pub 目录下新 建 tech-1 目录,在 techftp 目录下上传 hello 文件,内容为:Hello Skills2023! 28.配置完成重启相关服务,并验证检查相关状态;
(四)Redis 服务 【任务描述】为了解决应用服务器的.CPU 和内存压力,减轻.I/O 的压力,请采 用.Redis 服务,实现高并发数据和海量数据的读写(读写分离)。
29.利用 Linux5 搭建 redis 服务器群,构建两个一主二从的独立服务单集群, 使用端口 7001-7002 分别模拟两个独立的主节点为不同的服务提供快速数据服 务, 7003-7004 模拟 7001 的从节点,7005-7006 模拟 7002 的从节点。30.在 7001 中写入 key 值 name=”Skills-Redis-1”,在 7002 中写入 key 值 name=”Skills-Redis-2”。
(五)Mariadb 服务配置
【任务描述】为按数据结构来存储和管理数据,请采用 Mariadb,实现方便、严 密、有效的数据组织、数据维护、数据控制和数据运用。
31.配置 Linux-3 为 Mariadb 服务器,创建数据库用户 Jack,只能在 Linux4 主机上对所有数据库有完全权限。 32.配置 Linux-4 为 Mariadb 客户端,创建数据库 userdb;在库中创建表 userinfo,在表中插入 2 条记录,分别为(1,user01,1995-7-1,男),(2,user02, 1995-9-1,女),口令与用户名相同, password 字段用 password 函数加密,表 结构如下;
33.修改表 userinfo 的结构,在 name 字段后添加新字段 height(数据类型 为 float),更新 user1 和 user2 的 height 字段内容为 1.61 和 1.62。 34.把物理机 d:\soft\mysql.txt 中的内容导入到 userinfo 表中,password 字段用 password 函数加密。 35.将表 userinfo 中的记录导出,并存放到/var/databak/mysql.sql 文件 中。 36.每周五凌晨 1:00 备份数据库 userdb 到/var/databak/userdb.sql。
(六)Linux 防火墙配置
【任务描述】“没有网络安全就没有国家安全”,为进一步有效保障企业服务器安全,企业安全部门提出利用系统中 Firewall-cmd 的一些功能,提升一下服务器 的安全管控及应急能力。
37.使用 firewall-cmd 将 10.12.97.0/20 网段对 Linux-5、Linux-6 主机的 访问流量导入 work 区域。在 Linux-5、Linux-6 主机上的 work 区域增加拒绝来 自 10.2.97.0/24 对 DNS 服务的访问的相关 rich rules 条目,在 Linux-5 主机 上的 work 区域增加拒绝来自 10.2.96.0/24 对 NTP 服务的访问的相关 rich rules 条目,在 Linux-6 主机上的 work 区域增加拒绝来自 210.29.98.0/24 对 http、 https、samba 服务的访问的相关 rich rules 条目,其他 IP 地址正常访问相关主 机服务。 38.使用 firewall-cmd 在 Linux-5 主机上自定 skills-nis 的服务,端口为 1020/tcp,描述为:Nis-1020,在 dmz 区域放行 skills-nis 服务。 39.使用 firewall-cmd 在 Linux-6 主机上自定 skills-xy 的服务,端口为 222/ucp,描述为:skills-222,在 dmz 区域放行 skills-xy 服务。 40.突然接到上级部门关于“护网 2022”的行动指令,需要企业紧急封堵一 批上级安全部门搜集的威胁 IP 地址,相关地址段在 d:\soft\护网 2022.txt 中, 企业安全部紧急开会,考虑到企业防火墙性能老化,添加过多 IP 过滤规则会影响 用户对企业服务的正常访问,企业刚升级了服务器及相关操作系统,决定将任务 直接交给服务器系统管理员完成。请在 Linux-5 主机上使用 ipset 构建名称为 “CUT2022”的地址列表,类型使用 hash:net,将所有来自”护网 2022.txt”中 包含的 IP 地址的数据包自动引导到 drop 区域直接丢弃,以有效阻断相关威胁 IP 对 Linux-6、Linux-7 主机的链接。 41.在 Linux-6 主机上,在 nftables 中创建表 skills_ipv6,在表中创建链 chain_input,在链中添加 rule 方式,实现拒绝所有 ipv6 访问本机的 80、1020、 21 口。
(七)Apache、Nginx、链路聚合配置
【任务描述】随着企业规模的不断扩大,为了进一步提高企业 WEB 服务的可靠性、提升 WEB 服务的效能,同时有效保护前期 IT 投资,请采用 Apache 配置 Web 服务,实现基于 NGINX 的初步的简单负载均衡,有效整合资源,实现对企业网站 的高效、安全、有效的访问,采用主机链路聚合技术,有效提高链路的冗余、负 载均衡性。请使用 Linux-2、Linux-3、Linux-5 模拟完成相关功能配置及实际测 试。
42.在 Linux-6 主机添加一块网卡,创建聚合端口组,NAME 为 skills-team1, DEVICE 为 team1,聚合模式为 activebackup,聚合接口地址为第一块网卡获取的 IP 地址。
43.配置 Linux-2 为 Apache web 服务器,网站 web01.skills.com 根目录为 /web/skills/html,默认文档 index.html 的内容为“Apache01 加密访问!Linux-2”;使用域名 web01.skills.com 访问虚拟主机。 44.证书由 Linux-1 上的 CA 中心为 Linux-2 签发 http01.crt 证书,证书存 放于 Linux-2 主机的/etc/pki/httpd/ssl 目录,相关参数为:国家=“CN”,省= “Jiangsu”,市/县=“CZ”,组织=“skills”,组织单位=“NIC”,服务器主机名= “ web01.skills.com ”, [ 邮件名 [email protected]](mailto: 邮件名 [email protected]),私钥路径为/etc/pki/httpd/ssl/http01.key。 45. Linux-2 网 站 虚 拟 主 机 配 置 文 件 路 径 为 /etc/httpd/conf.d/myweb.conf【80 和 443 相关配置都存放在 myweb.conf 文件, 对应同一 index.html】, 将所有通过 http、https 的访问(使用 IP 地址、Linux-2.skills.com 访问时)自动 301 跳转到 https://web01.skills.com,在主机及 PC2 上测试。
46.配置 Linux-3 为 Apache web 服务器,网站 web02.skills.com 根目 录为/web/skills/html,默认文档 index.html 的内容为“Apache02 加密访问! Linux-3”;使用域名 web02.skills.com 访问虚拟主机。 47.证书由 Linux-1 上的 CA 中心为 Linux-3 签发 http02.crt 证书,证书存 放于 Linux-3 主机的/etc/pki/httpd/ssl 目录,相关参数为:国家=“CN”,省=“Jiangsu”,市/县=“CZ”,组织=“skills”,组织单位=“NIC”,服务器主机名= “ web02.skills.com ”, [ 邮件名 [email protected]](mailto: 邮件名 [email protected]),私钥路径为/etc/pki/httpd/ssl/http02.key。 48.Linux-3 网站虚拟主机配置文件路径为/etc/httpd/conf.d/myweb.conf 【80 和 443 相关配置都存放在 myweb.conf 文件,对应同一 index.html】,将所有 通过 http、https 的访问(使用 IP 地址、Linux-3.skills.com 访问时)自动 301 跳转到 https://web02.skills.com,在主机及 PC2 上测试。
49.在 Linux-6 上使用 Nginx 的 proxy_pass 配置域名为 www.skills.com 的 HTTPS 反向代理,使用 upstream 配置负载均衡实现 Linux-6 主机 WEB 为前端, Linux-2 主机(权重为 1,max_fails 为 3,超时为 30 秒)和 Linux-3 主机(权重 为 2, max_fails 为 3,超时为 20 秒)的相关 web 服务为后端, 网站虚拟主机配 置文件路径为/etc/nginx/conf.d/antiweb.conf。 50.证书由 Linux-1 上的 CA 中心为 Linux-6 签发 server.crt 证书,证书存 放于 Linux-6 主机的/etc/pki/nginx/ssl 目录,相关参数为:国家=“CN”,省= “BJ”,市/县=“BJ”,组织=“skills”,组织单位=“NIC”,服务器主机名= “www.skills.com”,私钥路径为/etc/pki/nginx/ssl/server.key。 51.在主机 PC2 上测试。
(八)Podman 虚拟化服务配置 【任务描述】随着虚拟化技术的发展,企业把测试环境迁移到 docker 容器中, 考虑到一些安全方面的问题,公司决定启用 podman 兼容 Docker。
52.在 Linux-7 上安装 podman。 53.导入 hello 镜像,镜像存放在物理机 D:\soft\skills\hello.tar,仓库 名为 skills.cn/hello-skills,TAG 标签为 2.0。 54.测试运行 hello-skills。 55.导入 nginx 镜像,镜像存放在物理机 D:\soft\skills\nginx.tar.gz, 仓库名为 skills.cn/nginx-skills,TAG 标签为 2.0。56.创建 podman 自定义网络,名称:skillsnet,IP:172.16.88.0/24,网 关:172.16.88.254。 57.使用 nginx-skills 镜像创建后台运行容器,名称 nginx01,网络使用 skillsnet,容器主机名为 skills,IP 地址为 172.16.88.100,将容器 nginx01 的 80 口映射到主机 8080 口。 58.修改容器 nginx01 默认网页内容为“欢迎来到 PODMAN 容器世界!!”。 59.在 Linux-5 上使用 ip route 添加 172.16.88.0/24 的路由,使 Linux-5 可以直接访问到 172.16.88.0/24 网段的容器。 60.将 Linux-1 中的密文及解密文件以下面格式:“密文:”+skills.enc+“明 文:”+skills.dec 分行合并为 JM.html 文件,并将 JM.html 文件拷贝到容器 nginx01 的 nginx 服务主目录下,使得 JM.html 文件可以被访问。
第五部分:职业规范与素养
一、整理赛位,工具、设备归位,保持赛后整洁有序。
二、无因选手原因导致设备损坏