竞赛群:836638946
2020 年山东省职业院校技能大赛
(中职组)网络搭建与应用竞赛
正式赛卷
(A 卷) 技能要求
(总分 1000 分)
2020 年 11 月 12 日
1 / 27
2020 年山东省职业院校技能大赛网络搭建与应用赛项试题
(总分 1000 分)
赛题说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分二个部分,其中: 第一部分:网络搭建及安全部署项目 (500 分) 第二部分:服务器配置及应用项目 (500 分)
二、竞赛注意事项
(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
(2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。
(3)本试卷共有两个部分。请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
(4)操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,并按题目要求进行截图保存到 U 盘上交,评判以最后的硬件连接和 U 盘中的截图文档为最终结果。
(5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。
(6)禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。
(7)与比赛相关的工具软件放置在每台主机的D 盘soft 文件夹中。三、项目简介
某集团公司原在北京建立了总部,由于业务的良好发展,后在上海、深圳地区建立了分支机构。总部所有办公部门,统一进行 IP 及业务资源的规划和分配,
总部和上海分部之间使用 OSPF 协议进行互联,总部与深圳分部间网络采用 BGP
路由协议。
公司规模在 2020 年快速发展,业务数据量和公司访问量增长巨大。为了更好管理公司的业务数据,为公司员工提供优质的 IT 服务,公司决定建立自己的小型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。公司总部及分部的网络拓扑结构简化如下图所示。
拓扑结构图
4 / 27
2020 年山东省职业院校技能大赛“网络搭建与应用”试题
表 1 网络设备连接表
A 设备连接至 B 设备
设备名称 接口 设备名称 接口
RT-1 S0/1 RT-2 S0/2
RT-1 S0/2 RT-2 S0/1
RT-1 G0/3 FW-1 E0/3
RT-1 G0/4 SW-1 模拟 Internet 交换机 E1/0/10
RT-1 G0/5 FW-2 E0/5
RT-1 G0/6 FW-1 E0/6
RT-2 G0/4 SW-1 模拟 Internet 交换机 E1/0/11
RT-2 G0/3 AP
FW-1 E0/1 SW-1 E1/0/1
FW-1 E0/2 SW-2 E1/0/2
FW-2 E0/3 DCWS E1/0/3
FW-2 E0/1 云平台 管理接口
FW-2 E0/2 云平台 业务接口
SW-3 E1/0/1 PC1 NIC
SW-3 E1/0/2 PC2 NIC
SW-1 E1/0/21 SW-2 E1/0/21
SW-1 E1/0/22 SW-2 E1/0/22
SW-1 E1/0/23 SW-3 E1/0/23
SW-2 E1/0/24 SW-3 E1/0/24
5 / 27
表 2 网络设备 IP 地址分配表
设备 设备名称 设备接口 IP 地址
路由器
RT-1 G 0/3 10.10.1.10/30
G 0/6 10.10.1.14/30
G 0/4 202.10.1.1/30
S0/1 172.16.10.1/30
S0/2 172.16.10.5/30
G0/5 172.16.20.1/30
Tunnel 1 172.16.10.9/30
Loopback1 2.2.2.2/32
RT-2 G 0/4 202.10.1.5/30
S0/1 172.16.10.6/30
S0/2 172.16.10.2/30
Tunnel 1 172.16.10.10/30
G0/3 无线业务网络
VLAN 10:10.1.1.1/24 VLAN 20:10.1.2.1/24
无线管理地址:10.1.3.1/24
三层交换机
SW-1 VLAN4
VLAN5
VLAN6
VLAN7
VLAN40
VLAN50
VLAN60
VLAN70
VLAN8 10.10.1.17/30
Vlan2 10.10.1.1/30
SW-1 模 拟Internet 交换机 VLAN1000 202.10.1.2/30
VLAN1001 202.10.1.6/30
SW-2 VLAN 4
VLAN 5
VLAN 6
VLAN 7
VLAN40
VLAN50
VLAN60
VLAN70
VLAN8 10.10.1.18/30
Vlan 3 10.10.1.6/30
防火墙
FW-1 Eth0/1 10.10.1.2/30(trust 安全域)
Eth0/2 10.10.1.5/30(trust 安全域)
Eth0/3 10.10.1.9/30(untrust 安全域)
Eth0/6 10.10.1.13/30(untrust 安全域)
Loopback1 1.1.1.1/32(trust 安全域)
FW-2 Eth0/1 192.168.100.1/24(trust 安全域)
Eth0/2 10.30.10.254/24(trust 安全域)
10.30.20.254/24(trust 安全域)
10.30.30.254/24(trust 安全域)
Eth0/3 172.16.30.1/30(trust 安全域)
Eth0/5 172.16.20.2/30(untrust 安全域)
Loopback1 3.3.3.3/32(trust 安全域)
无线控制器 DCWS VLAN9 172.16.30.2/30
表 3 云服务实训平台网络信息表
网络名称
vlan
号 外部网
络
子网名称
子网网络地址
网关 IP
激活
DHCP
地址池范围
vlan100
100
是 vlan100-
subnet 10.30.10.0
/24
10.30.10.254
是 10.30.10.100
-200
vlan200
200
是 vlan200-
subnet 10.30.20.0
/24
10.30.20.254
是 10.30.20.100
-200
vlan300
300
是 vlan300-
subnet 10.30.30.0
/24
10.30.30.254
是 10.30.30.100
-200
表 4 虚拟主机信息表
虚拟主机名称
镜像模板 (源)
云主机类型
(flavor)
VCPU
数量 内存、硬盘信
息
网络名称
备注
云主机 1 Windows2016 window-490 2 4G、90G Vlan100 加入域
云主机 2 Windows2016 window-485 2 4G、85G Vlan100 加入域
云主机 3
Windows2016
window-480
2
4G、80G
Vlan200 挂载 hd1~hd3
挂载 hd4~hd6
云主机 4 Windows2016 window-465 2 4G、65G Vlan200 加入域
云主机 5 Windows2016 window-460 2 4G、60G Vlan200 加入域
云主机 6 Windows2016 window-450 2 4G、50G Vlan200
云主机 7 Windows2016 window-460 2 4G、60G Vlan300
云主机 8 Windows2016 window-460 2 4G、60G Vlan300
云主机 9 Centos7-mini-V2 linux-140 1 1G、40G Vlan200
云主机 10 Centos7-mini-V2 linux-150 1 1G、50G Vlan200
云主机 11 Centos7-mini-V2 linux-170 1 1G、70G Vlan300
云主机 12 Centos7-mini-V2 linux-120 1 1G、20G Vlan300
云主机 13 Centos7-mini-V2 linux-130 1 1G、30G Vlan300
云主机 14 Centos7-mini-V2 linux-160 1 1G、60G Vlan300
网络搭建及安全部署项目
(500 分)
【说明】
1.设备console 线有不同两条。交换机、 AC、防火墙使用同一条 console 线, 路由器使用另外一条 console 线;
2.请将 U 盘中“比赛文档_X”(X 为赛位号)文件夹下的“网络搭建及安全部署项目报告单”放到 PC 桌面上,并按照截图注意事项的要求填写完整;
3.设备配置完毕后,保存最新的设备配置。所有提交的文档必须按照赛题所规定的命名规则命名;所有需要提交的文档均放置在 PC 桌面的“比赛文档_X”(X 为赛位号)文件夹下。比赛结束将结果拷贝到 U 盘“比赛文档_X”(X 为赛位号)文件夹中上交,作为最终评分依据。
保存文档方式如下:
交换机、路由器、AC 要把show running-config 的配置、防火墙要把show configuration 的配置保存在PC1 桌面上的“比赛文档_X”文件夹下“网络部分文件夹”中,文档命名规则为:设备名称.txt。例如:RT-1 路由器文件命名为:RT- 1.txt;
无论通过 SSH 、 telnet 、 Console 哪种方式登录防火墙进行 show configuration 配置收集,需要先调整 CRT 软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。CRT 软件调整字符编号配置如图:
一、网络布线与基础连接(50 分)
右侧布线面板立面示意图 左侧布线面板立面示意图
【说明】
1.机柜左侧布线面板编号 101;机柜右侧布线面板编号 102。
2.面对信息底盒方向左侧为 1 端口、右侧为 2 端口。所有配线架、模块按照 568B 标准端接。
3.主配线区配线点与工作区配线点连线对应关系如下表所示。表 5 PC1、PC2 配线点连线对应关系表
序号 信息点编号 配线架编号 底盒编号 信息点编号 配线架端口编号
1 W1-02-101-1 W1 101 1 02
2 W1-06-102-1 W1 102 1 06
(一) 铺设线缆并端接
1.截取 2 根适当长度的双绞线,两端制作标签,穿过PVC 线槽或线管。双
绞线在机柜内部进行合理布线,并且通过扎带合理固定;
2.将 2 根双绞线的一端,根据“PC1、PC2 配线点连线对应关系表”的要求, 端接在配线架的相应端口上;
3.将 2 根双绞线的另一端,根据“PC1、PC2 配线点连线对应关系表”的要求,端接上RJ45 模块,并且安装上信息点面板,并标注标签。
(二) 跳线制作与测试
1.再截取 2 根当长度的双绞线,两端制作标签,根据“PC1、PC2 配线点连线对应关系表”的要求,链接网络信息点和相应计算机,端接水晶头,制作网络跳
线,所有网络跳线要求按 568B 标准制作;
2.根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,制作网络跳线,根据题目要求,插入相应设备的相关端口上;(包括设备与设备之间、设备与配线架之间);
3.实现 PC、信息点面板、配线架、设备之间的连通;(提示:可利用机柜上自带的设备进行通断测试);
4.PC1 连接 102 底盒 1 端口、PC2 连接 101 底盒 1 端口。二、交换机配置及地址划分(112 分)
1、 公司计划使用 VLSM 技术为公司总部各部门划分相应 IP 地址段;现公司研发部 40 人、行政部 29 人、销售部 28 人、财务部 10 人;请使用10.1.10.0/24 网段根据研发、行政、销售、财务每部门人数进行子网划分,使IP 地址浪费最少。现公司产品部 110 人,信息部 52 人,法务部 17 人,综合部 6 人,请使用 10.1.20.0/24 网段根据产品、信息、法务、综合每部门人数进行子网划分,使 IP 地址浪费最少。
2、 为防止 SW-1、SW-2 与SW-3 之间产生环路,通过一种协议来实现研发部、行政部、销售部、财务部业务优先通过 SW-1 与 SW-3 数据转发(实例 10),通过在 SW-3 上修改参数使得在此实例中需要阻塞 SW-2 的e1/0/24 接口;产品部、信息部、法务部、综合部业务优先通过 SW-2 与 SW-3 数据转发(实例 20),通过在 SW-3 上修改参数使得在此实例中需要阻塞 SW-1 的e1/0/23 接口,并且实现数据流量的负载分担与相互备份。
3、 SW-1、SW-2 通过VRRP 容错技术,为所有业务 VLAN 实现网关冗余。所有业务VLAN 使用本VLAN 最后一个可用IP 作为虚拟地址、SW-1 使用该VLAN 中的第一个可用 IP、SW-2 使用该VLAN 中的第二个可用 IP,SW-1 为研发部、行政
部、销售部、财务部的Master,SW-2 为产品部、信息部、法务部、综合部的Master,且互为备份;每隔 5s,VRRP 组中的Master 向组内发送 VRRP 报文来通告自身的工作状态。
4、 核心交换机之间使用双链路,使用端口聚合技术,SW-1 与SW-2 之间使用port-group 1 进行聚合,模式使用强制聚合模式。
5、 根据“表 6 VLAN 信息规划表”要求所示,在交换机上创建对应的VLAN,并将交换机的相应端口加入对应的 VLAN,本表所涉及端口均为Access 类型。
表 6 VLAN 信息规划表
设备 VLAN 编号 VLAN 名称 端口 说明
SW-1 VLAN4 YFB 研发部
VLAN5 XZB 行政部
VLAN6 XSB 销售部
VLAN7 CWB 财务部
VLAN40 CPB 产品部
VLAN50 XXB 信息部
VLAN60 FWB 法务部
VLAN70 ZHB 综合部
VLAN2 TOFW-1 E1/0/1
VLAN8 TOSW-2
SW-1 模拟
Internet 交换
机 VLAN1000 E1/0/10
VLAN1001 E1/0/11
SW-2 VLAN4 YFB 研发部
VLAN5 XZB 行政部
VLAN6 XSB 销售部
VLAN7 CWB 财务部
VLAN 40 CPB 产品部
VLAN 50 XXB 信息部
VLAN 60 FWB 法务部
VLAN 70 ZHB 综合部
VLAN3 TOFW-1 E1/0/2
VLAN8 TOSW-1
SW3 VLAN4 YFB E1/0/1-5 研发部
VLAN5 XZB E1/0/6-7 行政部
VLAN6 XSB E1/0/8-10 销售部
VLAN7 CWB E1/0/11-13 财务部
VLAN40 CPB E1/0/14-16 产品部
VLAN50 XXB E1/0/17 信息部
VLAN60 FWB E1/0/18 法务部
VLAN70 ZHB E1/0/19-20 综合部
6、SW-3 为防止终端产生 MAC 地址泛洪攻击,在 E1/0/15-17 设置开启端口安全功能,配置端口允许的最大安全MAC 数量为 10,发生违规阻止后续违规流量通过,关闭端口,并在 180 秒后恢复端口。
7、为防止网络内用ARP 攻击,要求在 SW-3 的所有业务接口上开防 ARP 扫描功能,并且针对每个 IP 的检测为 10 个每秒,针对每个端口检测为 120 个每秒, 超过检测数值的IP 或者端口进行阻断及关闭端口,并且在 180 秒后恢复。
8、SW-1 既作为北京总部核心交换机,同时又使用相关技术将 SW-1 模拟为Internet 交换机,实现 Internet 路由表与北京总部业务路由表隔离,Internet 路由表位于VPN 实例名称 Internet 内。
三、路由配置(139 分)
(一)规划北京总公司与上海分公司之间使用OSPF 协议进行互连互通,进程号为 20,具体要求如下:
1、北京总部交换机与北京总部防火墙之间属于非骨干区域 20,北京总部防火墙的E0/3 接口与北京总部路由器G0/3 口之间属于骨干区域,北京总部防火墙的E0/6 接口与北京总部路由器G0/6 接口属于骨干区域,北京总部路由器与上海分部防火墙、上海分部防火墙与上海分部无线控制器之间属于非骨干区域 30,根据拓扑图将相应的业务网络宣告到各自区域。
2、骨干区域有两条线,要求业务访问时数据优先流经 FW-1 的E0/3 口和RT-
1 的G0/3 口。
3、为了降低不可信路由器对骨干区域造成的风险,请在该区域开启区域 MD5
认证,密码为:DCN@OSPF。
4、在非骨干区域 20 中,使用相关技术使 SW-1 与SW-2 之间邻居关系一直处于 2-WAY 状态。
5、为了实现路由来回路径一致,要求北京总部防火墙访问北京总部研发
部、行政部、销售部、财务部的数据优先流经SW-1,北京总部防火墙访问北京总部产品部、信息部、法务部、综合部的数据优先流经SW-2,要求在 SW-1 与 SW-2 上使用最少命令实现此功能。
6、要求北京总部非骨干区域 20 内,为了减少LSDB 大小,禁止学习 LSA3、LSA4、LSA5,并且要求北京总部的研发、行政、销售、财务、产品、信息、法务、综合等部门的网络内不发送协议报文。
7、通过在 RT-1 上使用路由引入技术,使得深圳分公司可以获取到北京总部及上海分部的路由。
(二)北京总部路由器与深圳分公司路由器之间使用 BGP 协议进行通信,具体要求如下:
8、北京总部路由器与深圳分部路由器之间使用 Internet 的接口地址建立GRE 隧道,再使用 IPSEC 技术对GRE 隧道进行保护,使用 IKE 协商 IPSEC 安全联盟、交换IPSEC 密钥,两端加密访问控制列表名称都为 IPSECACL,这样有了IPSEC,深圳分公司的无线管理网络与北京总部、上海分部业务传输时,就不用担心数据被监视、篡改和伪造。
9、北京总部路由器属于 AS200,深圳分公司路由器属于AS100,之间使用专线建立EBGP 邻居关系,并且两端的隧道地址也建立EBGP 邻居关系,将无线业务网络与管理网路宣告到 BGP 中。
四、广域网配置(45 分)
1、 实现北京总部所有业务网络及上海分部网络通过北京总部路由器访问Internet,轮询使用 NAT 地址为:202.102.99.1/30,深圳分公司业务网络通过 深圳分公司路由器访问 Internet,轮询使用 NAT 地址为 202.102.100.1/30,禁止在 SW-1 模拟Internet 交换机上配置去往总部及分公司内部私有网络的路由。五、无线局域网配置(74 分)
1、无线控制器部署在上海分部,无线AP 部署在深圳路由器上,无线业务网络为VLAN10 与VLAN20,网关设置在深圳路由器上,无线的管理地址为10.1.3.1/24,AP 手动设置管理地址为 10.1.3.2/24,无线网络业务VLAN 的DHCP
SERVER 设置在北京总部路由器上,通过北京路由器为终端下发 IP 地址,VLAN10 的DHCP 地址池名称为 POOL10,租期为 5 天 8 小时,配置默认网关为该网段的第一个可用ip 地址,DNS 为 114.114.114.114;VLAN20 的DHCP 地址池名称为POOL20,租期为 5 天 8 小时,配置默认网关为该网段的第一个可用 ip 地址,DNS 为 114.114.114.114。
2、无线network10,创建 SSID 为 “DCN2.4G”,对应业务 VLAN10,用户接入无线网络时采用WPA-personal 加密方式,其密码为“SSID2.4G”。
3、无线network20,创建 SSID 为“DCN5.0G”,对应业务VLAN20,用户接入无线网络时采用WPA-personal 加密方式,其密码为“SSID5.0G”,并使其隐藏该SSID。
4、无线控制器采用profile1 为AP 下发配置,且命名为 WIFI,服务集标识“DCN2.4G”位于 AP 的 2.4G 频段,服务集标识“DCN5.0G”位于 AP 的 5.0G 频段,要求由小到大使用vap 虚接口。
5、要求SSID 为“DCN5.0G”最多接入 20 用户,用户间相互隔离,并对网络进行流控,上行速率为 1Mbps,下行速率为 2Mbps。
6、通过配置防止多AP 和AC 相连时过多的安全认证连接而消耗 CPU 资源, 检测到 AP 与AC 在 10 分钟内建立连接 5 次就不在允许继续连接,两小时后恢复正常。
六、安全策略(45 分)
1、根据题目要求配置北京总部防火墙与上海分部防火墙相应的业务安全域及业务接口;北京总部防火墙使用明细的访问控制策略,要求北京总部研发、销售、财务、行政部门业务网络只可访问 Internet 网络与上海分部的服务器。
2、在上海分公司防火墙的Untrust 区域开启所有攻击防护,发现攻击时丢弃。
3、为防止上海分公司收到垃圾邮件,请在防火墙上配置邮箱过滤,过滤含有“奖品”字样的邮件。
七、广域网业务选路(35 分)
考虑到北京总公司与深圳分公司之间有三条链路,访问深圳分公司无线管理业务网络时数据流量优先选择隧道,访问深圳分公司业务 VLAN10 业务网络时数据流量只可通过 RT-2 的S0/2 接口,访问深圳分公司业务VLAN20 业务网络时数据流量只可通过 RT-2 的S0/1 接口 ,同时作为备份,当隧道接口出现故障时,RT-2 的S0/1 接口与S0/2 接口可成为管理网络的备份链路;根据以上要求,在北京总部路由器上进行合理的业务选路配置,具体要求如下:
1、使用 IP 前缀列表匹配上述业务数据流;
2、使用本地优先级属性进行业务选路,只允许使用route-map 来改变本地优先级属性、实现路由控制,本地优先级属性可配置的参数数值为 200。
服务器配置及应用项目
(480 分)
【说 明】
1.云服务实训平台相关说明
(1)云服务实训平台管理地址默认为 192.168.100.100,访问地址为http://192.168.100.100/dashboard,默认域为:default,默认账号密码为admin/dcncloud,禁止修改云服务实训平台账号、密码及 IP 地址,否则服务器配置及应用项目部分计 0 分。
(2)云服务实训平台中提供镜像环境,镜像的默认用户名密码如下表所示。
名称 用户名 密码 ssh rdp
Win2016 administrator Qwer1234 否 是
Centos7-mini-V2 root dcncloud 是 否
(3)所有windows 主机实例在创建之后都直接可以通过远程桌面连接操作, 所有centos 主机实例在创建之后可以通过 CRT 软件连接进行操作,所有centos 主机都默认开启了ssh 功能。
(4)要求在综合实训平台中保留竞赛生成的所有虚拟主机。
(5)云服务实训平台中生成的centos 系统提供镜像文件,可用来配置 yum
源,镜像文件存储于/opt 目录下。
(6)请选手将U 盘上的“比赛文档_X”(X 为赛位号)文件夹中服务器配置及应用报告单拷贝到 PC 机,并按照截图注意事项的要求填写完整;如报告单、截图等存放位置错误,涉及到的所有操作分值记为 0 分;比赛结束将结果拷贝到 U 盘“比赛文档_X”(X 为赛位号)文件夹中上交,作为最终评分依据。
(7)所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一定分数。
云实训平台安装与运用
(80 分)
一、完成云平台基础设置
1.按照“表 3 云服务实训平台网络信息表”要求创建三个外部网络。
2.设置 8 块云硬盘,卷命名为hd1hd8,其中hd1hd8 大小为 10G。
注意事项:
3.必须通过“项目”栏中的“计算”子栏中的“卷”功能来创建云硬盘;不能使用 “管理员”,“系统”栏下的“卷”功能,该功能使用不当会造成云硬盘创建失败,界面卡死。
4.在综合实训平台中可以创建多个云硬盘,所有云硬盘容量的总大小不能超过 100G,否则将创建失败。一个实例可以同时连接多个云硬盘,但一个云硬盘同时只能给一个实例作为扩展硬盘使用。
5.在分离卷之前一定要保证使用该卷的 linux 主机中,已经不存在该卷的任何挂载点。如果使用该卷的主机是 windows 实例,必须保证该卷在主机的“磁盘管理”项目中处于脱机状态,否则会造成分离失败,或是一直显示“分离中”状态。
二、创建虚拟主机
1.按照“表 4 虚拟主机信息表”所示,按要求创建实例规格。
2.按照“表 4 虚拟主机信息表”所示,按要求生成虚拟主机。
Windows 操作系统
(200 分)
一、虚拟主机操作
1.将云主机 1 升级为 2021network.edu 的域控制器,其合法域名为Dc.2021network.edu。
2.将云主机 2 升级为 2021network.edu 的辅助域控制器,其合法域名为
SubDc.2021network.edu。
3.将云主机 3 加入 2021network.edu 域,其合法域名为
Client.2021network.edu。
4.将 云 主 机 4 升 级 为 财 务 子 域 控 制 器 , 其 合 法 域 名 为
dc1.cw.2021network.edu。
5.将云主机 5 加入财务子域,其合法域名为 Clients.cw.2021network.edu。
二、DHCP 故障转移
6.在云主机 1 安装DHCP 服务,同时建立作用域:名称:TestScope,IP 地址范围:172.16.10.3~172.16.10.127,租用期限 10 天,DNS 服务器:172.16.10.2,域后缀:2021network.edu,网关 172.16.10.1,冲突检测次数:2 次。
7.配置作用域 TestScope 的故障转移功能,故障转移服务器云主机 2,关系名称:DC-SubDC,最大客户端提前期:1 小时,模式:负载平衡(负载平衡百分比:本地服务器:50%,伙伴服务器 50%);启用消息验证,共享机密:123456。
注:必须设置云主机 1 与云主机 2 相同时间。三、CA 及用户管理
8.在云主机 4 上安装证书服务,设置为企业根,有效期为 7 年,为企业内部自动回复证书申请。
9.按下表所示,在云主机 4 上建立组及用户列表信息。
域用户名 密码 登陆时间 域用户组 组作用域 组类型
adm1 2021networkskills.com 周一至周五 8 点至 17 点
adm
全局
安全组
adm2 2021networkskills.com 周一至周五 8 点至 17 点
sale1 2021networkskills.com 周一至周五 8 点至 17 点
sale
全局
通讯组
sale2 2021networkskills.com 周一至周五 8 点至 17 点
sys1 2021networkskills.com 周一至周六 8 点至 20 点
sys
本地域
安全组
sys2 2021networkskills.com 周一至周六 8 点至 20 点
四、磁盘及WEB 服务
10.为云主机 3 添加 3 块虚拟硬盘hd1~hd3,将 3 块硬盘配置为 RAID5,对应磁盘盘符为E,同时启用卷影副本功能,设置每周工作日(周一至周五)的下午19:30 创建卷影副本,将副本存储于 C:\;再添加 3 块虚拟硬盘 hd4~hd6,将 3 块硬盘配置为带区卷,对应磁盘盘符为F。
11.在云主机 3 上安装 IIS 组件,创建 https://www.network.com 站点,主目录为 E:\web 文件夹,首页文件为 network.asp,内容为“2020 年 XXX 省职业院校选拔赛项目时间为:<%=now()%>”,同时只允许使用域名通过 SSL 加密访问, CA 从云主机 4 服务器申请;再创建 http://www.network.edu.cn 站点,主目录为 F:\web 文件夹,首页为 network.htm,内容为“2020 年 XXX 省职业院校选拔赛静态页面”。
12.设置 SSL 访问网站最大连接数为 1000,网站连接超时为 60s,网站的带宽为 1000KB/S;使用 W3C 记录日志,每天创建一个新的日志文件,使用当地时间作为日志文件名;日志只允许记录日期、时间、客户端 IP 地址、用户名、服务器IP 地址、服务器端口号和方法。
五、RODC 部署
13.安装云主机 7,将其升级为 cw.2021network.edu 的辅助域控,合法域名为SubDcs.cw.2021network.edu。
14.安装云主机 8,将其升级为 cw.2021network.edu 的只读域控,合法域名为RODC.cw.2021network.edu。
六、DNS 管理
15.按下表所示,在云主机 4 上新建对应资源记录,实现正反向解析功能。同时为所有区域设置老化/清理时间:无刷新间隔:5 天,刷新间隔:5 天。
名称 类型 数据 域名
www A 172.19.10.2 baidu.com
ftp A 172.19.11.2 baidu.com
www AAAA 2001:db8:0:1::1 baidu.com
web CNAME www baidu.com
Subwww A 192.168.10.2 sub.baidu.com
Subftp A 182.168.10.3 sub.baidu.com
Subwww AAAA 2001:db8:0:1::2 sub.baidu.com
Subweb CNAME Subwww sub.baidu.com
16.按下表所示,在云主机 4 委派 sub.baidu.com 至服务器云主机 5,同时创建对应资源记录完成正反向解析。
名称 类型 数据 域名
www A 172.19.10.2 baidu.com
ftp A 172.19.11.2 baidu.com
www AAAA 2001:db8:0:1::1 baidu.com
web CNAME www baidu.com
Subwww A 192.168.10.2 sub.baidu.com
Subftp A 182.168.10.3 sub.baidu.com
Subwww AAAA 2001:db8:0:1::2 sub.baidu.com
Subweb CNAME Subwww sub.baidu.com
七、RODC 缓存用户管理
17.在云主机 8 将域控制器中技术部(adm1.adm2)的员工增加至缓存组,允许该账户的密码复制至本服务器中。
注:截图中需要体现域控用户信息与缓存用户详情。八、FTP 服务管理
18.在云主机 8 发布具有读写权限的 FTP 网站,通过 FTP://主机 IP 访问, 设置本地用户登录至隔离同名目录, 匿名用户访问指定目录, 域用户
(user1~user10)登录至隔离同名目录。不允许 192.168.58.0 网段访问 FTP 服务。
九、测试服务
19.在云主机 6 上实现网站https://www.network.com、http://www.network.edu.cn 的访问。
20.在云主机 6 上实现访问 FTP://云主机 8 主机 IP,采用不同角色登录FTP 站点。
Linux 系统配置
(200 分)
一、在“云主机 9”中完成域名服务器部署
1.在“云主机 9”中安装配置域名服务器,设置 3 个域:2021networkjnds.com、 2021networkjnds.net、2021networkjnds.cn,分别添加 dns1、dns2、mail、ftp、smb、base 等 6 个主机记录和 1 个 www 别名记录, dns1 指向“云主机 9”的地址,dns2 指向“云主机 10”的地址,mail 指向“云主机 11”的地址,ftp 指向“云主机 12”的地址,smb 指向“云主机 13”的地址,base 指向“云主机 14” 的地址,www 指向base 相关记录,域的 NS 指向dns1 和dns2 相关记录。每个域均需要完成正、反向解析。
2.设置开机自动加载 firewall 和域名服务器,配置 firewall 开启 DNS 相关服务或端口。
二、在“云主机 10”中完成备份域名服务器的部署
3.在“云主机 10”中安装配置域名服务器,配置此服务器为备份域名服务器,将“云主机 9”中主域名服务器的所有区域都复制到备份域名服务器上。
4.配置“云主机 10”的域名服务器,只允许“云主机 11”所在网段、“云主机 9”、“云主机 10”和 localhost 查询。
三、在“云主机 11”中完成邮件服务器配置
5.在“云主机 11”中使用 sendmail 安装配置邮件服务器,配置“云主机9” 的域名服务器负责完成 2021networkjnds.com 、2021networkjnds.net、2021networkjnds.cn 三个域的邮件域名解析;建立三个邮件账号:jnds1、jnds2、 jnds3,密码和用户名相同;实现区域间和区域内的邮件收发。
6.发送两封测试邮件,邮件内容为:发信地址->收信地址,具体分别如下: jnds1@2021networkjnds.com->jnds2@2021networkjnds.net jnds2@2021networkjnds.net->jnds3@2021networkjnds.cn
保留发送和接收记录。
四、在“云主机 12”中完成FTP 服务器的部署
7.在“云主机 12”中使用 vsftpd 安装配置FTP 服务器。设置监听 TCP 端口 2121,设置会话超时为 3 分钟,启用被动传输模式,客户端端口范围为 31000 到 32000,不允许匿名访问;建立 2 个用户:jnds4、jnds5,密码与用户名相同, 根目录分别是/home/jnds4 和/home/jnds5,只允许用户访问自己的根目录;设置开机自动加载 firewall 和 FTP 服务器,配置 firewall 允许外网访问 FTP 服务器。
五、在“云主机 13”中完成Samba 服务器的部署
8.在“云主机 13”中安装配置 Samba 服务器;用户身份验证模式为 user, 采用tdbsam 验证机制;建立 3 个用户:jnds6、jnds7、jnds8,密码与用户名相同;建立两个组:jndsgrp1 和 jndsgrp2;jnds6 和 jnds8 加入 jndsgrp1 组, jnds7 和jnds8 加入 jndsgrp2 组。
9.只允许jnds6 和jnds8 读/smb1 目录,但是不能写;只允许 jnds7 和jnds8
读写/smb2 目录。自行建立/smb1 和/smb2 目录。六、在“云主机 14”中完成数据库服务器的部署
10.在“云主机 14”中安装配置 MySQL 数据库;修改 MySQL 的 root 账号密码为jnds2021network;添加MySQL 用户 jnds,密码与用户名相同。
11.创建数据库jnds,授权用户jnds 具有数据库 jnds 的查询权限;在数据库jnds 中创建表 jndstest,自行定义表结构,要求包含至少 4 种不同数据类型的字段;第一个字段作为主键,具有自增属性;建立包含的两个字段(主键字段除外)的唯一索引;在 jndstest 表中自行添加 5 条记录,满足字段要求即可。
12.备份数据库jnds,保存为/tmp/jnds.sql 文件。七、在“云主机 14”中继续进行Web 服务器的部署
13.在“云主机 14”中安装 Apache HTTPD,配置 WEB 服务器,支持 PHP;创建 3 个虚拟主机,都只允许通过域名访问,域名、监听端口和根目录分别为:www.2021networkjnds.com、80 端口、/var/www/html/com; www.2021networkjnds.net、81 端口、/var/www/html/net; www.2021networkjnds.cn、82 端口、/var/www/html/cn。为 3 个虚拟主机创建
首页文件index.php,标题和内容均为域名:端口,对应信息分别为: www.2021networkjnds.com:80、www.2021networkjnds.net:81、www.2021networkjnds.cn:82。
14.开启SELinux,配置 HTTP 相关安全策略。
15.测试访问http://www.2021networkjnds.cn:82/,实现http://www.2021networkjnds.cn:82/的访问。
职业规范与素养
(本部分 20 分)
一、 整理赛位,工具、设备归位,保持赛后整洁有序; 二、 无因选手原因导致设备损坏。
1620
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
