【题目】【网络系统管理】2021年全国职业院校技能大赛模块A--样题（八）

你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：

1.拓扑图

在这里插入图片描述

2.网络地址规划

服务器和客户端基本配置如下表：

ISPSRV

完全限定域名：ispsrv
- 普通用户/登录密码：skills/ChinaSkill21
  - 超级管理员/登录密码：root/ChinaSkill21
    - 网络地址/掩码/网关：81.6.63.100/24/无

AppSrv

完全限定域名：appsrv.chinaskills.cn
- 普通用户/登录密码：skills/ChinaSkill21
  - 超级管理员/登录密码：root/ChinaSkill21
    - 网络地址/掩码/网关：192.168.100.100/24/192.168.100.254

STORAGESRV

完全限定域名：storagesrv.chinaskills.cn
- 普通用户/登录密码：skills/ChinaSkill21
  - 超级管理员/登录密码：root/ChinaSkill21
    - 网络地址/掩码/网关：192.168.100.200/24/192.168.100.254

ROUTERSRV

完全限定域名：routersrv.chinaskills.cn
- 普通用户/登录密码：skills/ChinaSkill21
  - 超级管理员/登录密码：root/ChinaSkill21
    - 网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无

INSIDECLI

完全限定域名：insidecli.chinaskills.cn
- 普通用户/登录密码：skills/ChinaSkill21
  - 超级管理员/登录密码：root/ChinaSkill21
    - 网络地址/掩码/网关：DHCP From AppSrv

OUTSIDECLI

完全限定域名：outsidecli.chinaskills.cn
- 普通用户/登录密码：skills/ChinaSkill21
  - 超级管理员/登录密码：root/ChinaSkill21
    - 网络地址/掩码/网关：DHCP From IspSrv

项目任务清单

服务器IspSrv工作任务

DHCP
- 为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
  - 域名解析服务器：按照实际需求配置DNS服务器地址选项；
    - 网关：按照实际需求配置网关地址选项；
DNS
- 安装BIND9；
  - 配置为DNS根域服务器；
    - 其他未知域名解析,统一解析为该本机IP；
    - 创建正向区域“chinaskills.cn”；
      - 类型为Slave；
      - 主服务器为“AppSrv”；
CHRONY
- 安装chrony，提供时间同步。
  - 每一台设备添加一个系统计划任务，每天凌晨3点进行一次时间同步（除了服务器自己）
Web Proxy
- 安装Nginx组件；
  - 配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
    - 为www.chinaskills.cn配置代理前端，通过HTTPS的访问访问后端Web服务器；
      - 后端服务器日志内容需要记录真实客户端的IP地址。
      - 缓存后端Web服务器上的静态页面。
    - 创建服务监控脚本：/shells/chkWeb.sh
      - 编写脚本监控公司的网站运行情况；
      - 脚本可以在后台持续运行；
      - 每隔3S检查一次网站的运行状态，如果发现异常尝试3次；
      - 如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面；
Discuz!论坛系统
- 在该服务器上部署LNMP架构，然后部署Discuz！论坛系统，论坛网站根目录为/data/web_data；
  - 数据库用户名为mysql，管理员信息自定义，实现通过http://www.rj.com/discuz能够登录论坛网站后台查看站点系统信息。
Mariadb Backup Script
- 脚本文件：/shells/mysqlbk.sh；
  - 备份数据到/root/mysqlbackup 目录；
    - 备份脚本每隔30分钟实现自动备份；
    - 导出的文件名为 all-databases-20210213102333, 其中 20210213102333 为运行备份脚本的当前时间，精确到秒。

服务器RouterSrv上的工作任务

DHCP RELAY
- 安装DHCP中继；
  - 允许客户端通过中继服务获取网络地址；
ROUTING
- 开启路由转发，为当前实验环境提供路由功能。
  - 根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
- 工作端口为2021；
  - 只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
    - 通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
    - 记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
OPENVPN
- VPN客户端只能与InsideCli客户端网段通信，以及允许访问StorageSrv主机上的SAMBA服务；
  - VPN客户端可使用的地址范围是 172.16.0.100-172.16.0.120/24。
    - 允许在OutsideCli客户端上使用systemctl start openvpn@csk进行连接。
IPTABLES
- 添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
  - INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
    - 配置源地址转换允许内部客户端能够访问互联网区域。

服务器AppSrv上的工作任务

SSH
- 安装SSH，工作端口监听在192101。
  - 仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
    - 在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
- 为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
  - 域名解析服务器：按照实际需求配置DNS服务器地址选项；
    - 网关：按照实际需求配置网关地址选项；
DNS（BIND）
- 为chinaskills.cn域提供域名解析。
  - 为www.chinaskills.cn、download.chinaskills.cn和mail.chinaskills.cn提供解析。
    - 添加邮件MX记录用于邮件服务器；配置DNS组件；
    - 启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
    - 请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
APACHE
- 搭建CSK公司的门户网站www.chinaskills.cn ；
  - 使用APACHE2服务；
    - 网页文件放在/webdata/；
      - 服务以用户webuser运行；
      - 首页内容为“This is the front page of CSK’s website.”;
      - /webdata/staff.html内容为“Staff Information”；
      - 该页面需要员工的账号认证才能访问；
      - 网站使用https协议；
      - SSL使用StorageSrv颁发的证书, 颁发给:
        
        C = CN
        
        ST = Guangdong
        
        L = Guangzhou
        
        O = Worldskills
        
        OU = Operations Departments
        
        CN = *.chinaskills.cn
      - StorageSrv的CA证书路径：/CA/cacert.pem
      - 客户端访问https时应无浏览器（含终端）安全警告信息；
      - 当用户使用http访问时自动跳转到https安全连接；
      - 当用户使用chinaskills.cn或any.chinaskills.cn（any代表任意网址前缀）访问时，自动跳转到www.chinaskills.cn。
      - 关闭不安全的服务器信息;
MAIL（POSTFIX-SMTPS & DOVECOT-IMAPS）
- 安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
  - 使用mailuser1@chinaskills.cn的邮箱向mailuser2@chinaskills.cn的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
    - 使用mailuser2@chinaskills.cn的邮箱向mailuser1@chinaskills.cn的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
    - 添加广播邮箱地址all@chinaskills.cn，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
    - 使用https://mail.chinaskills.cn网站测试邮件发送与接收。
CA（证书颁发机构）
- CA根证书路径/csk-rootca/csk-ca.pem；
  - 签发数字证书，颁发者信息：(仅包含如下信息)
    
    C = CN
    
    ST = China
    
    L = BeiJing
    
    O = skills
    
    OU = Operations Departments
    
    CN = CSK Global Root CA

服务器StorageSrv上的工作任务

DISK(RAID5&CRYPT)
- 在虚拟机上，新建四块大小为10GB的虚拟硬盘，挂载到Debian系统上；
  - 创建raid 5 md0组，模式为三个磁盘，一个为热备；
  - 挂载md0到系统中创建的/backup文件夹下；
  - 系统启动自动挂载md0 RAID磁盘；
  - 创建一块新的磁盘，对该卷进行磁盘加密，解锁密码为“CSK2021!”，映射到/dev/mapper/crypt分区上；格式化成ext4分区；挂载到/mut/crypt下；配置开机自动挂载；
NFS
- 共享/webdata/目录；
  - 用于存储AppSrv主机的WEB数据；
    - 仅允许AppSrv主机访问该共享。
iSCSI
- 添加1块大小为10G的硬盘；
  - 安装iSCSI服务端targetcli；
    - 使用新增加的硬盘创建卷组，名称为iscsivg，再创建iSCSI共享逻辑卷，逻辑卷名称为iscsistore，大小为5G；
    - 使用上述逻辑卷创建后端存储，名称为serverc.iscsistore；
    - 定义iSCSI的IQN为iqn.2021-03.com.rj.iscsi:serverc；
    - IQN下添加提供iSCSI服务的IP地址与端口，其中IP地址为服务器地址，端口为3260；
    - 使用后端存储创建LUN0，并在属性设置中关闭认证；
    - 仅允许RouterSrv进行连接访问。
VSFTPD
- 禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
  - 用户webadmin，登录ftp服务器，根目录为/webdata/；
    - 登录后限制在自己的根目录;
    - 允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
    - 限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
      - 用于通过工具或者浏览器下载的最大速度不超过 100kb/s
      - 一个IP地址同时登陆的用户进程/人数不超过2人。
SAMBA
- 创建samba共享，本地目录为/data/share1，要求：
  - 共享名为share1。
    - 允许ldap用户能上传和下载文件。
    - 创建samba共享，本地目录为/data/public，要求：
      - 共享名为public。
      - 允许匿名访问。
      - 所有用户都能上传文件，但是仅允许zsuser用户删除文件。
LDAP
- 安装slapd,为samba服务提供账户认证；
  - 创建chinaskills.cn目录服务，并创建用户组ldsgp ,将zsuser、lsusr、wuusr。

客户端OutsideCli和InsideCli工作任务

OutsideCli
- 作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
  - 作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
    - 作为SSH远程登录测试客户端，安装ssh命令行测试工具;
    - 作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
    - 作为FTP测试的客户端，安装lftp命令行工具；
    - 作为防火墙规则效果测试客户端，安装ping命令行工具。
    - 截图的时候请使用上述提到的工具进行功能测试。
InsideCli
- 作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
  - 作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
    - 作为SSH远程登录测试客户端，安装ssh命令行测试工具;
    - 作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
    - 作为FTP测试的客户端，安装lftp命令行工具；
    - 作为防火墙规则效果测试客户端，安装ping命令行工具。
    - 截图的时候请使用上述提到的工具进行功能测试。
      令行工具。
    - 截图的时候请使用上述提到的工具进行功能测试。
InsideCli
- 作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
  - 作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
    - 作为SSH远程登录测试客户端，安装ssh命令行测试工具;
    - 作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
    - 作为FTP测试的客户端，安装lftp命令行工具；
    - 作为防火墙规则效果测试客户端，安装ping命令行工具。
    - 截图的时候请使用上述提到的工具进行功能测试。\

信息安全管理与评估网络系统管理网络搭建与应用
竞赛任务书，赛题，解析，培训服务添加博主wx：liuliu5488233

网安小牛君

关注

11
点赞
踩
23

收藏

觉得还不错? 一键收藏
0
评论
【题目】【网络系统管理】2021年全国职业院校技能大赛模块A--样题（八）

你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。按照题目要求，提交符合模板的WORD文件以及对应的PDF文件（利用Office Word另存为pdf文件方式生成pdf文件），所有截图建议除了配置文件截图外，还需要截功能测试的图，能在终端上测试的就一定要在终端上测试并截图，否则功能测试部分不得分。当用户使用chinaskills.cn或any.chinaskills.cn（any代表任意网址前缀）访问时，自动跳转到www.chinaskills.cn。
复制链接

扫一扫