2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第10套
模块B:服务部署
培训、环境、资料、考证
公众号:Geek极安云科
网络安全群:624032112
网络系统管理群:223627079
网络建设与运维群:870959784
移动应用开发群:548238632
短视频制作群:744125867
大数据应用开发群:962141356
物联网应用与服务群:967579409
物联网应用开发群:884879404
极安云科校企合作经理VX liuliu5488233
极安云科专注于技能提升,赋能
2024年广东省高校的技能提升,受赋能的客户院校均获奖!
2024年江苏省赛一二等奖前13名中,我们赋能客户占五支队伍!
2024年湖南省赛赋能三所院校均获奖!
2024年山东省赛赋能两所院校均获奖!
2024年湖北省赛赋能参赛院校九支队伍,共计斩获一等奖2项、三等奖7项!
一、Windows初始化环境
默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注:若非特别指定,所有账号的密码均为ChinaSkill23!
二、Windows项目任务描述
你作为一个技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于Windows操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:
(一)拓扑图
(二)网络地址规划
服务器和客户端基本配置如下表,各虚拟机已预装系统。
DCServer | chinaskills.com | 192.168.100.100/24 | 127.0.0.1 | 192.168.100.254 |
---|---|---|---|---|
SDCSserver | chinaskills.com | 192.168.100.200/24 | 127.0.0.1 | 192.168.100.254 |
AppSrv | chinaskills.com | 192.168.200.100/24 | 192.168.100.100 192.168.100.200 | 192.168.200.254 |
IOMSrv | chinaskills.com | 192.168.200.200/24 | 192.168.100.100 192.168.100.200 | 192.168.200.254 |
RouterSrv1 | chinaskills.com | 192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24 | 192.168.100.100 | 100.100.100.254 |
IspSrv | 保持工作组状态 | 100.100.100.100/24 | 127.0.0.1 | 无 |
InsideCli | chinaskills.com | 192.168.0.0/24(dhcp) | 192.168.100.100 192.168.100.200 | 192.168.0.254 |
OutsideCli | 保持工作组状态 | 100.100.100.10/24 | 100.100.100.100 | 100.100.100.254 |
三、Windows项目任务清单
(一)服务器IspSrv上的工作任务
- 互联网访问检测服务器
- 为了模拟Internet访问测试,请搭建网卡互联网检测服务。
- DNS(域名解析服务)
-
拓扑中所有主机的DNS查询请求都应由IspSrv进行解析。
-
把当前机器作为互联网根域服务器,创建test1.com~test100.com,并在所有正向区域中创建一条
A 记录,解析到本机地址。
(二)服务器RouterSrv1上的工作任务
- 路由功能
-
安装Remote Access 服务开启路由转发,为当前实验环境提供路由功能。
-
启用网络地址转换功能,实现内部客户端访问互联网资源。
-
配置网络地址转换,允许互联网区域客户端访问AppSrv上的HTTP资源。
- 动态地址分配中继服务
-
安装和配置dhcp relay服务,为办公区域网络提供地址上网。
-
DHCP服务器位于AppSrv服务器上。
- 虚拟专用网络
-
设置L2TP/IPSec,IKE通道采用证书进行验证。
-
L2TP通道使用chinaskills.com域内用户进行身份验证,仅允许manager组内用户通过身份证验证。
-
对于vpn客户端,请使用范围 192.168.1.200-192.168.1.220/24。
- RDS
-
在RouterSrv1安装和配置 RDS
服务,用户通过“https://app.chinaskills.com/rdweb”进行访问。 -
该页面无证书警告。
-
用户可以获取以下应用:
-
Notepad
(三)服务器AppSrv上的工作任务
- 万维网服务
-
在RouterSrv1上搭建网站服务器。
-
将访问http://www.chinaskills.com的http的请求重定向到https://www.chinaskills.com站点。
-
网站内容设置为“该页面为www.chinaskills.com测试页!”。
-
将当前web根目录的设置为d:\wwwroot目录。
-
启用windows身份验证,只有通过身份验证的用户才能访问到该站点,manager用户组成员使用IE浏览器打开不提示认证,直接访问。
-
设置“http://www.chinaskills.com/”网站的最大连接数为1000,网站连接超时为60sl;
-
使用W3C记录日志;每天创建一个新的日志文件,文件名格式:
-
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号;
-
日志文件存储到“C:\WWWLogFile”目录中;
-
配置IIS配套FTP服务:
-
匿名用户上传的文件都将映射为ftp2用户
-
ftp在登录前显示Banner消息:
-
“Hello, unauthorized login is prohibited!”
- 动态地址分配服务
-
安装和配置dhcp服务,为办公区域网络提供地址上网。
-
地址池范围:192.168.0.100-192.168.0.200。
- DFS
-
在ppSrv上安装及配置 DFS 服务。
-
目录设置在F:\DFSsharedir。
-
配置DFS复制,使用DC1作为次要服务器,复制方式配置为交错拓扑。
-
在F:\DFSsharedir文件夹内新建所有部门的文件夹。
-
所有部门的用户之可以访问部门内的文件,不可以跨部门访问别的部门文件夹内容。
-
Management用户组用户可以访问全局的文件夹。
- 磁盘管理
-
安装及配置软 RAID5。
-
在安装好的AppSrv虚拟机中添加三块10 G虚拟磁盘。
-
组成RAID5,磁盘分区命名为卷标F盘:Raid5。
-
手动测试破坏一块磁盘,做RAID磁盘修复;确认RAID5配置完毕。
- DNS
-
安装DNS服务器,根据题目创建必要的DNS解析。
-
把当前机器作为互联网根域服务器。
- WSUS更新服务
-
安装WSUS更新服务,更新补丁目录设置为“c:\wsusbackup”。
-
创建更新组名称为“CHINASKILLS-WSUS”。
-
每天凌晨03:00下发自动更新。
-
更新服务器地址为“http://wsus.chinaskills.cn:8530”。
(四)服务器DCSERVER&SDCSERVER上的工作任务
- 活动目录域服务
-
在DCSERVER和SDCSERVER服务器上安装活动目录域服务,DCSERVER作为主域控,SDCSERVER作为备份域控,活动目录域名为:chinaskills.com。
-
域用户能够使用[username]@csk.cn进行登录。
-
创建一个名为“CSK”的OU,并新建以下域用户和组:
sa01-sa20,请将该用户添加到sales用户组。
it01-it20,请将该用户添加到IT用户组。
ma01-ma10,请将该用户添加到manager用户组。
许除manager 组和IT组,所有用户隐藏C盘。
除manager 组和IT组,所有普通给用户禁止使用cmd。
-
所有用户的IE浏览器首页设置为“https://www.chinaskills.com”。
-
所有用户都应该收到登录提示信息:标题“登录安全提示:”,内容“禁止非法用户登录使用本计算机。”。
-
设置所有主机的登录Banner:
标题为“CHINASKILLS-DOMAIN”;
内容为“Hello, unauthorized login is prohibited!”。
-
域内的所有计算机(除dc外),当dc服务器不可用时,禁止使用缓存登录。
- 证书颁发机构
-
在DCSERVER服务器上安装证书办法机构。
-
定义名称:CSK2023-ROOTCA。
-
证书颁发机构有效期:3 years。
-
为chinaskills.com域内的web站点颁发web证书。
-
当前拓扑内所有机器必须信任该证书颁发机构。
-
所域内所有计算机自动颁发一张计算机证书。
- 磁盘管理
-
在DC2上安装及配置软 RAID5。
-
在安装好的DC2虚拟机中添加三块10G虚拟磁盘。
-
组成RAID5,磁盘分区命名为卷标H盘:Raid5。
-
手动测试破坏一块磁盘,做RAID磁盘修复,确认RAID5配置完毕。
(五)服务器IOMSrv上的工作任务
-
图形界面登陆IOMSrv运维平台,登陆地址http://192.168.200.200;
-
通过Windows代理模板,添加DCServer、SDCSserver、AppSrv操作系统监控对象,查看运行状态。
-
通过中间件IIS模板,添加IIS监控对象,查看运行状态。
-
通过新增WEB探测对象,监控门户网站http://www.chinaskills.com,查看运行状态。
-
基于AppSrv上的门户网站业务,完成业务拓扑绘制,并在业务大屏上呈现。
(六)客户端InsideCli上的工作任务
-
按照要求将该主机加入到对应区域的域。
-
设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
-
该客户端用于测试用户登录,Profiles,文件共享,安全策略和RDS等功能。
(七)客户端OutsideCli上的工作任务
-
该主机不允许加入域。
-
添加一个名为Connect-CSK
的VPN拨号器,用于连接到chinaskills.com域网络,不记录用户名称密码信息。 -
设置电源配置,以便客户端在通电的情况下,永不进入睡眠。
-
该客户端用于测试用户登录,Profiles,文件共享,安全策略和RDS等功能。
四、Linux初始化环境
(一)默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注:若非特别指定,所有账号的密码均为 ChinaSkill23!
(二)操作系统配置
所处区域:CST + 8
系统环境语言:English US (UTF-8)
键盘:English US
注意:当任务是配置TLS,请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>System Version<<
>> TIME <<
*********************************
五、Linux项目任务描述
你作为一个Linux的技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于Linux操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:
(一)拓扑图
(二)网络地址规划
服务器和客户端基本配置如下表,各虚拟机已预装系统。
ISPSRV(UOS)
-
完全限定域名:ispsrv
-
普通用户/登录密码:skills/ChinaSkill23
-
超级管理员/登录密码:root/ChinaSkill23
-
网络地址/掩码/网关:81.6.63.100/24/无
AppSrv(Centos)
-
完全限定域名:appsrv.chinaskills.cn
-
普通用户/登录密码:skills/ChinaSkill23
-
超级管理员/登录密码:root/ChinaSkill23
-
网络地址/掩码/网关:192.168.100.100/24/192.168.100.254
IOMSrv(Centos)
- 网络地址/掩码/网关:192.168.100.150/24/192.168.100.254
STORAGESRV(Centos)
-
完全限定域名:storagesrv.chinaskills.cn
-
普通用户/登录密码:skills/ChinaSkill23
-
超级管理员/登录密码:root/ChinaSkill23
-
网络地址/掩码/网关:192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
-
完全限定域名:routersrv.chinaskills.cn
-
普通用户/登录密码:skills/ChinaSkill23
-
超级管理员/登录密码:root/ChinaSkill23
-
网络地址/掩码/网关:
192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
-
完全限定域名:insidecli.chinaskills.cn
-
普通用户/登录密码:skills/ChinaSkill23
-
超级管理员/登录密码:root/ChinaSkill23
-
网络地址/掩码/网关:DHCP From AppSrv
OUTSIDECLI(UOS)
-
完全限定域名:outsidecli.chinaskills.cn
-
普通用户/登录密码:skills/ChinaSkill23
-
超级管理员/登录密码:root/ChinaSkill23
-
网络地址/掩码/网关:DHCP From IspSrv
六、Linux项目任务清单
(一)服务器IspSrv工作任务
-
DHCP
-
为OutsideCli客户端网络分配地址,地址池范围:81.6.63.110-81.6.63.190/24;
-
域名解析服务器:按照实际需求配置DNS服务器地址选项;
-
网关:按照实际需求配置网关地址选项;
-
-
DNS
-
配置为DNS根域服务器;
-
其他未知域名解析,统一解析为该本机IP;
-
创建正向区域“chinaskills.cn”;
-
类型为Slave;
-
主服务器为“AppSrv”;
-
-
-
WEB服务
-
安装nginx软件包;
-
配置文件名为ispweb.conf,放置在/etc/nginx/conf.d/目录下;
-
网站根目录为/mut/crypt(目录不存在需创建);
-
启用FastCGI功能,让nginx能够解析php请求;
-
index.php内容使用Welcome to 2023 Computer Network Application contest!
-
(二)服务器RouterSrv上的工作任务
-
DHCP RELAY
-
安装DHCP中继;
-
允许客户端通过中继服务获取网络地址;
-
-
ROUTING
-
开启路由转发,为当前实验环境提供路由功能。
-
根据题目要求,配置单臂路由实现内部客户端和服务器之间的通信。
-
-
SSH
-
工作端口为2023;
-
只允许用户user01,密码ChinaSkill23登录到router。其他用户(包括root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从ssh远程登录。
-
通过ssh登录尝试登录到RouterSrv,一分钟内最多尝试登录的次数为3次,超过后禁止该客户端网络地址访问ssh服务。
-
-
IPTABLES
-
添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
-
INPUT、OUTPUT和FOREARD链默认拒绝(DROP)所有流量通行。
-
配置源地址转换允许内部客户端能够访问互联网区域。
-
-
Web Proxy
-
安装Nginx组件;
-
配置文件名为proxy.conf,放置在/etc/nginx/conf.d/目录下;
-
为www.chinaskills.cn配置代理前端,通过HTTPS的访问后端Web服务器;
-
后端服务器日志内容需要记录真实客户端的IP地址。
-
缓存后端Web服务器上的静态页面。
-
-
创建服务监控脚本:/shells/chkWeb.sh
-
编写脚本监控公司的网站运行情况;
-
脚本可以在后台持续运行;
-
每隔3S检查一次网站的运行状态,如果发现异常尝试3次;
-
如果确定网站无法访问,则返回用户“网站正在维护中,请您稍后再试”的页面。
-
-
(三)服务器AppSrv上的工作任务
-
SSH
-
安装SSH,工作端口监听在2101。
-
仅允许InsideCli客户端进行ssh访问,其余所有主机的请求都应该拒绝。
-
在cskadmin用户环境下可以免秘钥登录,并且拥有root控制权限。
-
-
DHCP
-
为InsideCli客户端网络分配地址,地址池范围:192.168.0.110-192.168.0.190/24;
-
域名解析服务器:按照实际需求配置DNS服务器地址选项;
-
网关:按照实际需求配置网关地址选项;
-
为InsideCli分配固定地址为192.168.0.190/24。
-
-
DNS
-
为chinaskills.cn域提供域名解析。
-
为www.chinaskills.cn、download.chinaskills.cn和mail.chinaskills.cn提供解析。
-
启用内外网解析功能,当内网客户端请求解析的时候,解析到对应的内部服务器地址,当外部客户端请求解析的时候,请把解析结果解析到提供服务的公有地址。
-
请将IspSrv作为上游DNS服务器,所有未知查询都由该服务器处理。
-
-
web服务
-
安装web服务;
-
服务以用户webuser系统用户运行;
-
限制web服务只能使用系统500M物理内存;
-
全站点启用TLS访问,使用本机上的“CSK Global Root
CA”颁发机构颁发,网站证书信息如下:-
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.chinaskills.com
-
-
客户端访问https时应无浏览器(含终端)安全警告信息;
-
当用户使用http访问时自动跳转到https安全连接;
-
-
搭建www.chinaskills.cn站点;
-
网页文件放在StorgeSrv服务器上;
-
在StorageSrv上安装MriaDB,在本机上安装PHP,发布WordPress网站;
-
MariaDB数据库管理员信息:User: root/ Password: Chinaskill23!。
-
-
创建网站download.chinaskills.cn站点;
-
仅允许ldsgp用户组访问;
-
网页文件存放在StorageSrv服务器上;
-
在该站点的根目录下创建以下文件“test.mp3, test.mp4,
test.pdf”,其中test.mp4文件的大小为100M,页面访问成功后能够列出目录所有文件。 -
作安全加固,在任何页面不会出现系统和WEB服务器版本信息。
-
-
-
DBMS
-
在Server01上完成MariaDB数据库的安装,添加数据库root用户密码为ChinaSkill23!
-
安装MariaDB 数据库服务器组件;
-
MariaDB数据库管理员信息:User: root/ Password: Chinaskill23!;
-
安装MariaDB WEB 管理面板 “phpMyAdmin”,通过apache 进行发布
-
安装phpMyAdmin ,MariaDB 的web管理面板组件;
-
安装apache,配置php环境,用于发布phpMyAdmin;
-
MAIL
-
安装配置postfix和dovecot,启用imaps和smtps,并创建测试用户mailuser1和mailuser2。
-
使用mailuser1@chinaskills.cn的邮箱向mailuser2@chinaskills.cn的邮箱发送一封测试邮件,邮件标题为“just
test mail from mailuser1”, 邮件内容为“hello , mailuser2”。 -
使用mailuser2@chinaskills.cn的邮箱向mailuser1@chinaskills.cn的邮箱发送一封测试邮件,邮件标题为“just
test mail from mailuser2”, 邮件内容为“hello , mailuser1”。 -
添加广播邮箱地址all@chinaskills.cn,当该邮箱收到邮件时,所有用户都能在自己的邮箱中查看。
-
使用https://mail.chinaskills.cn网站测试邮件发送与接收。
-
-
CA(证书颁发机构)
-
CA根证书路径/csk-rootca/csk-ca.pem;
-
签发数字证书,颁发者信息:(仅包含如下信息)
-
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
-
-
(四)服务器StorageSrv上的工作任务
-
SSH
-
安装openssh组件;
-
创建的user01 、 user02用户允许访问ssh服务;
-
服务器本地root用户不允许访问;
-
修改SSH服务默认端口,启用新端口 3358;
-
添加用户user01 user02 到sudo组;用于远程接入,提权操作。
-
-
DISK
-
添加大小均为10G的虚拟磁盘,配置raid-5磁盘。
-
创建LVM命名为/dev/vg01/lv01,大小为100G,格式化为ext4,挂在到本地目录/webdata,在分区内建立测试空文件disk.txt。
-
-
NFS
-
共享/webdata/目录;
-
用于存储AppSrv主机的WEB数据;
-
仅允许AppSrv主机访问该共享。
-
-
ShellScript
-
编写添加用户的脚本,存储在/shells/userAdd.sh目录;
-
当有新员工入职时,管理员运行脚本为其创建公司账号;
-
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等;
-
以userAdd lifei的方式运行脚本,lifei为举例的员工姓名。
-
-
VSFTPD
-
禁止使用不安全的FTP,请使用“CSK Global Root
CA”证书颁发机构,颁发的证书,启用FTPS服务; -
用户webadmin,登录ftp服务器,根目录为/webdata/;
-
登录后限制在自己的根目录;
-
允许WEB管理员上传和下载文件,但是禁止上传后缀名为.doc .docx
.xlsx的文件。 -
限制用户的下载最大速度为100kb/s;最大同一IP在线人数为2人;
-
用于通过工具或者浏览器下载的最大速度不超过 100kb/s
-
一个IP地址同时登陆的用户进程/人数不超过2人。
-
-
(五)服务器IOMSrv工作任务
-
图形界面登陆IOMSrv运维平台,登陆地址http://172.16.100.150;
-
通过Linux代理模板,添加StorageSrv、AppSrv操作系统监控对象,查看运行状态;
-
通过中间件Nginx模板,添加Nginx监控对象,查看运行状态;
-
通过中间件MySQL数据库Agent模板,添加Mariadb监控对象,查看运行状态;
-
通过新增WEB探测对象,监控门户网站www.chinaskills.cn,查看运行状态;
-
基于AppSrv上的门户网站业务,完成业务拓扑绘制,并在业务大屏上呈现。
(六)客户端OutsideCli和InsideCli工作任务
-
OutsideCli
-
作为DNS服务器域名解析测试的客户端,安装nslookup、dig命令行工具;
-
作为网站访问测试的客户端,安装firefox浏览器, curl命令行测试工具;
-
作为SSH远程登录测试客户端,安装ssh命令行测试工具;
-
作为SAMBA测试的客户端,使用图形界面文件浏览器测试, 并安装smbclient工具;
-
作为FTP测试的客户端,安装lftp命令行工具;
-
作为防火墙规则效果测试客户端,安装ping命令行工具。
-
截图的时候请使用上述提到的工具进行功能测试。
-
-
InsideCli
-
作为DNS服务器域名解析测试的客户端,安装nslookup、dig命令行工具;
-
作为网站访问测试的客户端,安装firefox浏览器, curl命令行测试工具;
-
作为SSH远程登录测试客户端,安装ssh命令行测试工具;
-
作为SAMBA测试的客户端,使用图形界面文件浏览器测试, 并安装smbclient工具;
-
作为FTP测试的客户端,安装lftp命令行工具;
-
作为防火墙规则效果测试客户端,安装ping命令行工具。
-
行工具
- 作为网站访问测试的客户端,安装firefox浏览器, curl命令行测试工具;
- 作为SSH远程登录测试客户端,安装ssh命令行测试工具;
- 作为SAMBA测试的客户端,使用图形界面文件浏览器测试, 并安装smbclient工具;
- 作为FTP测试的客户端,安装lftp命令行工具;
- 作为防火墙规则效果测试客户端,安装ping命令行工具。
- 截图的时候请使用上述提到的工具进行功能测试。