2023年河北省职业院校技能大赛网络系统管理赛项模块C：Linux部署样题

你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：

1.拓扑图

2.网络地址规划

服务器和客户端基本配置如下表，各虚拟机已预装系统。

ISPSRV（UOS）

- - - 完全限定域名：ispsrv
    - 普通用户/登录密码：skills/ChinaSkill23
    - 超级管理员/登录密码：root/ChinaSkill23
    - 网络地址/掩码/网关：81.6.63.100/24/无

AppSrv(Centos)

- - - 完全限定域名：appsrv.chinaskills.cn
    - 普通用户/登录密码：skills/ChinaSkill23
    - 超级管理员/登录密码：root/ChinaSkill23
    - 网络地址/掩码/网关：192.168.100.100/24/192.168.100.254

STORAGESRV(Centos)

- - - 完全限定域名：storagesrv.chinaskills.cn
    - 普通用户/登录密码：skills/ChinaSkill23
    - 超级管理员/登录密码：root/ChinaSkill23
    - 网络地址/掩码/网关：192.168.100.200/24/192.168.100.254

ROUTERSRV(Centos)

- - - 完全限定域名：routersrv.chinaskills.cn
    - 普通用户/登录密码：skills/ChinaSkill23
    - 超级管理员/登录密码：root/ChinaSkill23
    - 网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无

INSIDECLI(Centos)

- - - 完全限定域名：insidecli.chinaskills.cn
    - 普通用户/登录密码：skills/ChinaSkill23
    - 超级管理员/登录密码：root/ChinaSkill23
    - 网络地址/掩码/网关：DHCP From AppSrv

OUTSIDECLI（UOS）

- - - 完全限定域名：outsidecli.chinaskills.cn
    - 普通用户/登录密码：skills/ChinaSkill23
    - 超级管理员/登录密码：root/ChinaSkill23
    - 网络地址/掩码/网关：DHCP From IspSrv
项目任务清单

服务器IspSrv工作任务

DHCP
- - - 为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
    - 域名解析服务器：按照实际需求配置DNS服务器地址选项；
    - 网关：按照实际需求配置网关地址选项；
DNS
- - - 配置为DNS根域服务器；
    - 其他未知域名解析,统一解析为该本机IP；
    - 创建正向区域“chinaskills.cn”；
      - 类型为Slave；
      - 主服务器为“AppSrv”；
WEB服务
- - - 安装nginx软件包；
    - 配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
    - 网站根目录为/mut/crypt（目录不存在需创建）；
    - 启用FastCGI功能，让nginx能够解析php请求；
    - index.php内容使用Welcome to 2023 Computer Network Application contest!

服务器RouterSrv上的工作任务

DHCP RELAY
- - - 安装DHCP中继；
    - 允许客户端通过中继服务获取网络地址；
ROUTING
- - - 开启路由转发，为当前实验环境提供路由功能。
    - 根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
- - - 工作端口为2021；
    - 只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
    - 通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
    - 记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
IPTABLES
- - - 添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
    - INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
    - 配置源地址转换允许内部客户端能够访问互联网区域。

服务器AppSrv上的工作任务

SSH
- - - 安装SSH，工作端口监听在2101。
    - 仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
    - 在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
- - - 为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
    - 域名解析服务器：按照实际需求配置DNS服务器地址选项；
    - 网关：按照实际需求配置网关地址选项；
    - 为InsideCli分配固定地址为192.168.0.190/24。
DNS
- - - 为chinaskills.cn域提供域名解析。
    - 为www.chinaskills.cn、download.chinaskills.cn和mail.chinaskills.cn提供解析。
    - 启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
MAIL
- - - 安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
    - 使用mailuser1@chinaskills.cn的邮箱向mailuser2@chinaskills.cn的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
    - 使用mailuser2@chinaskills.cn的邮箱向mailuser1@chinaskills.cn的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
CA（证书颁发机构）
- - - CA根证书路径/csk-rootca/csk-ca.pem；
    - 签发数字证书，颁发者信息：(仅包含如下信息)
      1. = CN
        = China

1. 1. 1. 1. = BeiJing

- - - - = skills
        = Operations Departments
        = CSK Global Root CA

服务器StorageSrv上的工作任务

SSH
- - - 安装openssh组件；
    - 创建的user01 、 user02用户允许访问ssh服务；
    - 服务器本地root用户不允许访问；
    - 修改SSH服务默认端口，启用新端口 3358；
DISK
- - - 添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
    - 创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
- - - 共享/webdata/目录；
    - 用于存储AppSrv主机的WEB数据；
    - 仅允许AppSrv主机访问该共享。

客户端OutsideCli和InsideCli工作任务

OutsideCli
- - - 作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
    - 作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
    - 作为SSH远程登录测试客户端，安装ssh命令行测试工具;
    - 作为防火墙规则效果测试客户端，安装ping命令行工具。
    - 截图的时候请使用上述提到的工具进行功能测试。
InsideCli
- - - 作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
    - 作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
    - 作为SSH远程登录测试客户端，安装ssh命令行测试工具;
    - 作为防火墙规则效果测试客户端，安装ping命令行工具。
    - 截图的时候请使用上述提到的工具进行功能测试。