2021 年广东省职业院校技能大赛(中职组) 网络搭建与应用赛项国赛遴选赛卷(B)
技能要求 (总分 1000 分)
竞赛说明
一、竞赛内容分布 “网络搭建与应用”竞赛共分三个部分,其中: 第一部分:网络搭建及安全部署项目 (500 分) 第二部分:服务器配置及应用项目 (480 分) 第三部分:职业规范与素养 ( 20 分) 二、竞赛注意事项 1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。 2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。 3.请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。 4.操作过程中,需要及时保存设备配置。 5.比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结果。 6.比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草稿纸)带离赛场。 7.禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记,如违反规定,可视为 0 分。 8.与比赛相关的工具软件放置在每台主机的 D:\soft 文件夹中。 9.与比赛相关的报告单放置在每台主机的D:\报告单 文件夹中,请按照报告单中的截图注意事项要求填写完整,最终以 pdf 格式保存到 PC1 桌面自建的“XX_ 比赛报告”(XX 为赛位号)文件夹!
项目简介:
某集团公司原在北京建立了总公司,后在成都建立了分公司,又在广东设立了一个办事处。集团设有营销、产品、法务、财务、人力 5 个部门,统一进行 IP 及业务资源的规划和分配,全网采用 OSPF 和 BGP 路由协议进行互联互通。 突如其来的新冠肺炎疫情,给公司上半年业务发展带来巨大影响。在党及集团高层坚强领导下,下半年公司规模依然保持快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定在北京建立两个数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的, 为后续向两地三中心整体战略架构逐步演进,更好的服务于公司客户。 集团、分公司及广东办事处的网络结构详见“主要网络环境”拓扑图。 其中一台 S4600 交换机编号为 SW-3,用于实现分公司业务终端高速接入; 两台 CS6200 交换机作为集团的核心交换机;两台 DCFW-1800 分别作为集团、广东办事处的防火墙;一台 DCR-2655 路由器编号为RT-1,作为集团的核心路由器;另一台 DCR-2655 路由器编号为 RT-2,作为分公司路由器;一台 DCWS-6028作为分公司的有线无线智能一体化控制器,编号为 DCWS,通过与 WL8200-I2 高性能企业级 AP 配合实现分公司无线覆盖。 请注意:在此典型互联网应用网络架构中,作为 IT 网络系统管理及运维人员, 请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、可扩展性。请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应应用。
【说明】
网络搭建及安全部署项目 (500 分)
1.设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名; 保存文档方式如下: ?交换机、路由器、AC 要把 show running-config 的配置、防火墙要把 show configuration 的配置保存在“XX_比赛报告”文件夹中,文档命名规则为:设备名称.txt。例如:RT-1 路由器文件命名为:RT-1.txt; ?无论通过SSH、telnet、Console 登录防火墙进行show configuration 配置收集,需要先调整 CRT 软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。CRT 软件调整字符编号配置如图:
一、 网络布线与基础连接(50 分) (一)、 按照网络拓扑制作以太网线,并连接设备。要求制作的网线符合T568-B 的标准,其线缆长度适中。 (二)、 根据“网络拓扑结构图”及“表 1:网络设备连接表”和“表 2: 网络设备 IP 地址分配表“所示,对网络中的所有设备接口配置 IP 地址。 二、 交换配置与调试(140 分) (一) 为了减少广播,需要根据题目要求规划并配置 VLAN。要求配置合理,所有链路上不允许不必要 VLAN 的数据流通过,包括 VLAN 1。根据下述信息及表,在交换机上完成 VLAN 配置和端口分配。
(二) 核心交换机 SW1 SW2 SW3 之间运行某种协议,要求如下: 1.实现 实例 10 生产、技术、市场业务 优先通过 SW3 至 SW1 间链路转发,实例 20 扩展、商务、行政业务优先通过 SW3 至SW2 间链路转发,实现 VLAN 间负载分担 2.SW3 上配置相关功能,当接入设备进入 Forwarding 状态,避免等待 30s 延迟时间,业务网段直接进入转发状态 3.防止攻击者大量发送TC BPDU 报文频繁刷新MAC 地址与ARP 表项,在交换机上配置相关功能,限制刷新次数为每 10s 刷新一次 (三) 在核心交换机SW1 与SW2 上运行一种容错协议,为所有业务VLAN 实现网关冗余,具体要求如下: 1.虚地址使用该 VLAN 中的最后一个可用 IP、SW1 使用该 VLAN 中的倒数第五个可用 IP、SW2 使用该 VLAN 中的倒数第六个可用 IP, SW1 为生产、技术、市场业务的 Master,SW2 为扩展、商务、行政业务的 Master,且互为备份;只允许配置优先级 150 或 200,开启非抢占功能,当 SW1 上联接口E1/0/19 或SW2 上联接口E1/0/18 down 时自动降低 60 优先级 2.在 ipv6 网络中,虚拟路由冗余功能使用 fe80::xx (xx 为 vlan id)、 SW1 使用该 VLAN 中的第五可用 IP、SW2 使用该 VLAN 中的第三可用 IP,SW1 为生产、技术、市场业务的 Master,SW2 为扩展、商务、行政业务的 Master,且互为备份;关闭抢占功能 3.
(四) 加大核心交换机 SW1-SW2,SW1-SW3,SW3-Sw2 之间的带宽使用基于源目 ip 流量分担 (五) 所有交换机的DNS 服务器指向 windows 域的 dns 服务器,时间与Linux 域的 chronyd 服务器进行对时 (六) 为了防止合法的ARP 表项被欺骗报文篡改,在 SW1 与 SW2 上配置相关功能,当收到新的 ARP 报文的端口和设备上的ARP 表中记录的不相同情况下,不学习此 ARP 中的地址。 (七) 在 SW1 上与 SW2 上配置相关功能,防止业务网段的人员修改为非管理员规划的 ip 访问公司资源,只允许业务网段内主机规划内的第一个可用 ip 到倒数第 236 个可用 ip 能访问公司资源 (八) 由于 SW3 上模拟运营商网络,配置相关技术,使公网路由表与私网路由表进行隔离 (九) 在 SW2 上配置相关功能,使扩展部门访问无线业务时不通过路由表转发,直接通过 E1/0/18 转发到无线业务 三、 路由配置与调试(160 分) (一) R1 与 R2 的串行链路,尽量加大它们之间的带宽,链路做 pap 双向认证,用户名为:GS2021 密码为 gs2021 (二) 广州办事处R1-R2-SW1-SW2 之间以太网链路配置OSPF 协议进行互连互通,进程号为 1,具体要求如下: 1.配置成为骨干区域 2.对骨干区域启用区域 MD5 验证,验证密钥为:GS2021 3.调整接口的网络类型加快邻居关系收敛;
4.为了管理方便,需要发布 Loopback 地址,并在 OSPF 域中发布,总部业务网段中不发送协议报文 (三) FW1 与 AC 之间运行 OSPF 协议,进程号为 1,区域号为 10 (四) 佛山办事处 FW1 与广州办事处 R1、R2 与东莞办事处 FW2 之间配置 ISIS 协议区域号为 20,进行互联互通具体要求如下: 1.在接口上配置相关功能,使它们只能建立一种类型邻居 2.R1、FW2、R2 之间建立 level-2 邻居,FW1 与 R1 之间建立level-1 邻居 (五) 在R1 与R2 上配置ISIS 与OSPF 双点双向路由引入,具体要求如下: 1.R1 与 R2 上配置 OSPF 外部路由优先级为 90 2.ISIS 与 OSPFv2 内仅允许学习到人事部、生产部、扩展部、财务部的路由 3.当生产部访问人事部时走的路径为 SW1-R2-FW2、当扩展部访问财务部时走路径为 SW2-R1-FW2 ,禁止使用静态路由实现, 来回路径保持一致 (六) FW1 与 AC 配置 OSPFv2 协议,发布 Loopback 地址,FW1 下发默认路由给 AC (七) FW1 与 R2 配置 GRE 隧道,Ac loopback1 访问 AP 管理地址时走GRE 隧道,禁止将 AP 管理网段以宣告或引入到路由协议当中 (八) 各办事处设备禁止将 OSPFv2 与 ISIS 双点双向路由引入到 BGP 中 (九) 在 SW1-R1-FW1 之间运行 OSPFv3 协议,SW2-R2-FW2 之间运行OSPFv3 协议,SW1 上生产、技术、市场、人力部门开启 OSPFv3 协议,SW2
上扩展、商务、行政、产品部门开启 OSPFV3 协议。广州办事处业务网段中不发送协议报文,禁止防火墙下发默认路由到 OSPFv3 协议内 (十) 为了方便业务灵活调度,各办事处之间使用 BGP 协议,具体要求如下: 1.广州办事处 SW1-SW2-R1-R2 之间通过 loopback 地址建立 IBGP 邻居 AS 号为 61001,佛山办事处 FW2 与广州办事处 R1、R2 互联接口之间建立 EBGP 邻居 AS 号为 61002,东莞办事处 FW1 与广州办事处 R1 之间互联接口建立 EBGP 邻居 AS 号为 61003,佛山办事处与东莞办事处通过专线建立 EBGP 邻居。 2.使用 BGP 中的各设备学习到营销部、技术部、商务部、通讯部、云平台管理口、无线业务,市场部、行政部、研发部、后勤部的路由 3.FW1 上仅允许 ospf 中的研发部门路由引入到 bgp 中 4.在 R1、FW2 与 R2 上配置相关功能,使技术部访问营销部时走的路径为 SW1-SW2-R2-FW2-R1-FW1,使用 BGP 各属性进行选路 禁止使用静态路由与修改 weight 值实现 5.在 R1 与 R2 上配置相关功能,使商务部访问通讯部时走的路径为SW2-SW1-R1-R2-FW2 使用 BGP 各属性进行选路 禁止使用静态路由与修改 weight 值实现 6.在 R1、R2、FW1、FW2 上配置相关功能,使市场部、行政部访问无线业务时走的路径为 SW1/SW2-R1-FW1-FW2-R2 使用 BGP 各属性进行选路 禁止使用静态路由与修改 weight 值实现 7.在 FW2 上配置相关技术,仅允许后勤业务、云平台管理口能与服务
器网段互通 8.在 FW1 、FW2 、R1 、R2 上配置相关功能, 使市场部访问公网Loopback1 口时走的路径为 SW1-SW2-R2-FW2-R1-FW1-公网。 9.在 FW1 、FW2 、R1 、R2 上配置相关功能, 使行政部访问公网Loopback2 口时走的路径为 SW2-SW1-R1-R2-FW2-公网。 10.将设计部广告部宣告进 bgp 进程中,使 SW1 与 SW2 上互选学习到该部门,当设计部访问广告部时,走的路径为 SW1-R1-R2-SW2, 保证来回路径一致 四、 无线配置(40 分) (一) 总公司无线控制器 AC 与 FW1 相连,无线业务网关位于广州办事处路 R2 上,R1 上配置 G0/2.10 为 VLAN100 的 AP 管理 VLAN,AP 管理地址为该网段可用 ip 第一位, G0/2.20 为 VLAN200 的业务 VLAN , G0/2.30 为VLAN300 的访客 VLAN, 禁止配置 DHCP 为 AP 地址分配 ip,AC 三层发现AP , AC loopback1 为管理 IP;AP 为序列号认证 (二) AC 为无线网段配置 DHCP 服务,设置无线业务网段租期为 7 天、设置默认网关;设置访客用户网段租期为 3 天、DNS 为 223.5.5.5、设置默认网关;排除相关地址; (三) 配置一个 SSID 2021DCNYW:作为无线业务网段,配置要求如下 1.采用 WPA-PSK 认证方式,加密方式为 WPA 个人版,配置密钥为 DT1234562 2.信号隐藏 3.为了保护 ap 不收泛洪攻击,配置相关功能,自动将攻击者踢下
线 4.为了避免低速客户端长期占用信道,高速客户端无法进入信道, 配置相关功能使其得到公平调度 (四) 配置一个 SSID 2021DCNFK:作为访客网段,配置要求如下 1.采用开放接入 2.限制该网络最大上行速度为 2M,最大下行速度为 3M 3. 禁止客户端 B4-2E-99-44-7C-64 连入该网络 五、 安全策略配置(50 分) (一) 根据题目要求配置防火墙、防火墙相应的业务安全域、业务接口FW1-SW3-FW2 作为公网链路 (二) FW1 与FW2 上配置相关功能,使生产、财务业务访问公网主走 FW1, 备走 FW2,扩展、人事部业务访问公网主走 FW2 备走 FW1 (三) FW1 与 FW2 上配置 nat,将相关业务转换成动态 nat,nat 地址池为公网接口 ip 第倒数 69 个可用 ip 到第倒数 10 个可用 ip。 (四) 在 FW2 使用合适技术使得服务器网段可以正常通信 (五) 在 FW1 上配置 SSl VPN 满足远程办公用户访问扩展业务,地址池为 110.30.117.1/24-110.30.117.20/24 , 网关为最大可用地址, 认证账号ssldcn2021,密码 ssltest2021,将 110.30.117.0/24 网段宣告进 BGP 内 (六) 在 FW2 上配置 L2TP VPN,满足远程办公用户访问生产业务,地址池为 110.30.116.1/24-110.30.116.20/24,网关为最大可用地址,认证账号l2tpdcn2021,密码 l2tptest2021,将 110.30.116.0/24 网段宣告进 BGP 内 (七) 公网专线链路使用 IPSEC 技术进行保护公司内的数据,使用 IKE 协
商 IPSec 安全联盟、交换 IPSec 密钥,两端加密访问列表名称都为 ipsecacl。(八) Ipv6 网络中 人力部门访问产品部门时走专线链路来回路径保证一 致 (九) 由于当前公网链路与专线链路不支持ipv6 地址,在防火墙上配置相
关功能,使两边防火墙 v6 业务能互相访问 六、 广域网业务选路(60 分) 考虑到防火墙之间有两条链路 , FW1-FW2 之间为专线线路, FW1-R1-SW1-SW2-R2-FW2 为内部线路 当研发部门访问后勤部门时, 主走内部线路,备走专线线路,并且保证来回路径一致。根据以上需求, 进行合理的业务选路配置。具体要求如下: 1)使用 IP 前缀列表匹配业务数据流; 2)使用 BGP 路由权值属性进行业务选路,只允许使用 route-map 来改变路由权值属性、路由控制。
服务器配置及应用项目
说明:
(480 分)
1.所有 windows 主机实例在创建之后都直接可以通过远程桌面连接操作, linux 可以通过 CRT 软件连接进行操作,所有 linux 主机都默认开启了 ssh 功能,Linux 系统软件镜像位于”/opt”目录下; 2.要求在云服务实训平台中保留竞赛生成的所有虚拟主机。 3.虚拟机管理员的密码以及题目中所有未指明的密码均为 Network@2021, 若未按照要求设置,涉及到该操作的所有分值记为 0 分; 6.虚拟主机的 IP 地址、主机名称请按照“表 4-服务器 IP 地址分配表”的要求设定,若未按照要求设置,涉及到该操作的所有分值记为 0 分; 7.赛题所需的其它软件均存放在每台主机的 D:\soft 文件夹中; 8.在 PC1 桌面上,“XX_比赛报告”(XX 为赛位号)建立相对应的实例(实例名称)的文件夹。根据服务器配置及应用报告单.docx”中提供的方法和命令,生成云平台和所有云主机操作结果的文件存放于“相对应的实例名文件夹中”;文件名、扩展名和存放位置错误,涉及到的所有操作分值记为 0 分。 9.请按照报告单截图注意事项的要求填写完整,最终以 pdf 格式保存到选手自建的“XX_比赛报告”(XX 为赛位号)文件夹; 10.所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一半分数;如报告单和截图命名或存放位置错误,涉及到的所有操作分值记为 0 分。
一、 云实训平台上基础设置与虚拟主机创建(150 分) (一)云平台基础设置(50 分) 1.按照“表 5-云平台网络信息表”要求创建外部网络,这些外部网络所使用的 VLAN 均为总部业务 VLAN(30 分)。 2.根据题目要求创建硬盘(20 分);
(二)创建虚拟主机(100 分) 1.按照“表 6-虚拟主机信息表”所示,按要求生成虚拟主机(80 分)。 2.云平台中所有虚拟机的 IP 地址,要求手动设置为该虚拟机 DHCP 获取的地址(20 分);
二、 Windows 服务器配置(165 分) (一) 域控制器群集配置
【任务描述】 为实现高效管理,请采用域控制器群集提高可管理,高可用性,提升企业网络安全程度,整合局域网内基于网络的资源。 1.配置 Windows-1 为域控制器,域名为smalltwo.com;安装 DNS 服务,为所有的 Windows 服务器提供正反向解析;配置转发器,当遇到 bigone.com 域名的查询时,转发到Linux 服务器DNS 上,其他则转发至114.114.114.114 的 DNS 服务器;安装 WINS 服务器,并设置为主服务器。 2.配置 Windows-1 为证书服务,设置为企业根,有效期 10 年;为 Windows 服务器颁发证书,证书的通用名称均用主机的完全合格域名,证书的其他信息: (1)组织=“gdjnds”; (2)组织单位=“system”; (3)城市/地点=“Guangzhou”; (4)省/市/自治区=“Guangdong”; (5)国家/地区=“CN” 3.让合适的主机加入到域中。 4.创建 4 个组织单位和用户组,采用对应部门名称的中文全拼命名,每个组创建用户,人事部用户:HumanResource100HumanResource110、市场部用户:MarketingDepartment100 MarketingDepartment120、财务
部 用 户 : Finance01~Finance10 , 网 络 部 用 户 : Network1000~Network1030;设置每个部门的第一个用户作为组管理员 用户,使管理员可以更新组成员列表;所有用户不能修改其用户口令;过期时间为 2023-12-31 日;并要求用户只能周一到周日 7:00~23:00 可以登录; 限制财务部组管理员只能从 Windows-8 登陆。 5.创建 Manage 为 GPO 管理员;加入到网络、域控管理员组。 6.为域配置安全策略 (1)为普通用户配置密码策略,该策略要求密码为长度最小 14 位字符的复杂性密码; (2)所有域内服务器与 NTP 服务器进行时间同步; (3)限制财务部用户的不能打开 EXE 文件; (4)设置市场部用户关机后计算机电源仍保持接通状态; (5)设置人事部用户禁止自动播放功能。 7.开启本地及域控用户登录操作日志审计记录。 8.主域控制器作为存储网络的网关服务器,使存储网络可以正常通讯。 9.开启远程桌面服务及对应端口,配置用户 Manage、网络部用户可远程登录到域控制器; 10.配置域控组策略及域控配置信息备份, 每天晚上 11 点自动备份到 \smalltwo.com\FileCenter\Backup\network\backup 目录; 11.利用iSCSI 发起器发现存储网络中两台iSCSI 服务器的虚拟磁盘iSCSIForDC, 将两个硬盘聚合建立为Raid-1,并对磁盘进行初始化和创建卷,设置驱动器号为 D,完成格式化 NTFS 的操作。
12.新 建 共 享 \dc\files\users , 设 置 共 享 的 本 地 目 录 为D:\Share\files\users%username%,同时设置为所有域用户各自的主目录, 用户登陆成功后,通过访问 X 盘,可以访问到各自的主目录,限制每个用户的文件夹大小为 500M,自动应用到 D:\Share\files\users 目录下所有的文件夹。 13.为 Windows-2 安装和配置活动目录域服务:成为到 smalltwo.com 域的子域控制器,其域名为 win.smalltwo.com,创建 2 个组织单位和用户组,采用对应部门名称的中文全拼命名, 每个组创建用户, 行政部用户: Administrative01Administrative10、销售部用户:Sales01 Sales10; 设置每个部门的第一个用户作为组管理员用户;所有用户不能修改其用户口令;过期时间为 2022-12-31 日;并要求用户只能周一到周五 7:00~23:00 可以登录; 安装 DNS 服务为子域内的服务器提供正反向 DNS 解析; 14.为域配置安全策略 (1)为普通用户配置密码策略,该策略要求密码为长度最小 14 位字符的复杂性密码; (2)设置所有子域服务器与 NTP 服务器进行时间; 15.为 Windows-2 配置域控组策略及域控配置信息备份; 自动备份到 \smalltwo.com\FileCenter\Backup\network\backup 目录; 16.配置 Windows-1 和 Windows-2 的 防火墙,仅允许配置的服务通过防火墙;禁止 ICMP 回显请求 (二) DFS 服务器配置
【任务描述】 为建立一个高效率的存储架构,请采用 iSCSI 和 DFS 服务器,实现集中管理共享文件。 1.在 Windows-3 上,添加 2 块硬盘,每块硬盘大小为 10G,配置为 Raid1, 驱动器号为 D; 2.在 Windows-3 上安装 iSCSI 目标服务器,并新建 iSCSI 虚拟磁盘,存储位置为 D:\,目标名称与虚拟磁盘名称相同;虚拟磁盘名称为 iSCSIForDC,大小为3GB,访问服务器为Windows-1;虚拟磁盘名称分别为iSCSIForWeb1、 iSCSIForWeb2、iSCSIForWebFiles1, iSCSIForWebFiles2, 大小分别为1G,访问服务器为 Windows-5 的,指定以 1 为后缀的卷,访问服务器为Windows-6 的,指定以 2 为后缀的卷,同一访问服务器均指定为同一目标, 目标名为第一个磁盘;Server 认证用户名和密码分别为 WinServerUser 和ServerPasswd; 3.在 Windows-3 上添加一块硬盘,大小为 10G,格式化为 NTFS,驱动器号为 H; 4.配置 Windows-3 为 DFS 服务器,命名空间为 FileCenter,配置为交错拓扑, 且 Windows-3 为 MASTER,文件夹为 CompanyFile;设置复制组名称为DFSCopyGroup,每周一、五的晚上 10 点做数据同步,带宽为完整;在H:\CompanyFile 文件夹内新建名为各部门名称的文件夹;各部门的用户可以访问各自的文件夹,不可以跨部门访问; 5.在 Windows-3 上设置管理部用户组的用户可以访问全局的文件夹,网络部 可以访问除了管理部之外的文件夹。
6.在 Windows-3 上设置每个部门的文件夹大小为 1G , 自动应用到H:\CompanyFile 目录下所有文件夹中,除了域管理员和组管理员外,其他用户都不能删除文件。 7.在 Windows-3 上添加一块新的网卡,并挂载到系统中;配置服务器 NIC Teaming 模式,名称为 NicTeaming,并且 IP 设置为表 4 第一个网卡的地址,用于模拟服务器在出现端口或者线路故障的时候,可以确保链路正常; Teaming mode:IEEE 802.3ad draft v1; 负载均衡模式:动态模式;所有适配器都处于活动状态。 8.配置 Windows-3 和 Windows-4 与 Windows-7 进行通讯时,需设置“连接安全规则”,要求入站和出站都要求用 Kerberos 进行身份验证; 9.在 Windows-4 上,添加 2 块硬盘,每块硬盘大小为 10G,配置为 Raid1, 驱动器号为 D; 10.在 Windows-4 上安装 iSCSI 目标服务器,并新建 iSCSI 虚拟磁盘,存储位置为 D:\,目标名称与虚拟磁盘名称相同;虚拟磁盘名称为 iSCSIForDC,大小为3GB,访问服务器为Windows-1;虚拟磁盘名称分别为iSCSIForWeb1、 iSCSIForWeb2、iSCSIForWebFiles1, iSCSIForWebFiles2, 大小分别为1G,访问服务器为 Windows-5 的,指定以 1 为后缀的卷,访问服务器为Windows-6 的,指定以 2 为后缀的卷,同一访问服务器均指定为同一目标, 目标名为第一个磁盘;Server 认证用户名和密码分别为 WinServerUser 和ServerPasswd; 11.在 Windows-4 上添加一块硬盘,大小为 10G,格式化为 NTFS,驱动器号 为 H;
12.配置 Windows-4 为 DFS 服务器,加入 Windows-3 的 DFS 空间,配置为交错拓扑, 且 Windows-3 为 MASTER , 文件夹为 CompanyFile ; 在H:\CompanyFile 文件夹内新建名为各部门名称的文件夹;各部门的用户可以访问各自的文件夹,不可以跨部门访问; 13.在 Windows-4 上设置管理部用户组的用户可以访问全局的文件夹,IT 部可以访问除了管理部之外的文件夹。 14.在 Windows-4 上设置每个部门的文件夹大小为 1G , 自动应用到H:\CompanyFile 目录下所有文件夹中,除了域管理员和组管理员外,其他用户都不能删除文件。 15.在 Windows-4 上添加一块新的网卡,并挂载到系统中;配置服务器 NIC Teaming 模式,名称为 NicTeaming,并且 IP 设置为表 4 第一个网卡的地址,用于模拟服务器在出现端口或者线路故障的时候,可以确保链路正常; Teaming mode:IEEE 802.3ad draft v1; 负载均衡模式:动态模式;所有适配器都处于活动状态。 16.配置Windows-3 和Windows-4 的 防火墙,仅允许配置的服务通过防火墙;
(三) NLB 群集配置
【任务描述】 为提升网络并发数据处理能力、优化网络性能,请采用 NLB 集群服务器, 以保证网络服务的灵活性和可用性。 1.在 Windows-5 和 Windows-6 上利用 ISCSI 发起器同时发现两台 iSCSI 的虚拟磁盘 iSCSIForWeb 和 iSCSIForWebFiles,Windows-5 挂载以 1 为后
缀的卷,Windows-6 挂载以 2 后缀的卷,为并对磁盘进行初始化,建立为两个 Raid-0 卷,设置驱动器号为 N 和 M,完成格式化 NTFS 的操作。 2.在 Windows-5 和 Windows-6 上分别安装 IIS 服务,负责公司日常外部文件处理。分别新建一个 Web 站点:名称为:WebSite,主目录为 N:\WebSite, 只有 webuser 可以通过验证访问该站点,webuser 密码与用户名相同;设置网站的最大连接数为1000,网站连接超时为60s,网站的带宽为 1000KB/S;使 用 W3C 记 录 日 志 , 每 天 创 建 一 个 新 的 日 志 文 件 , 存 储 到M:\WebFile\LogFile 文件夹中,只允许记录日期、时间、客户端 IP 地址、用户名;网站只允许 SSL 进行可靠的访问。 3.在 Windows-5 和 Windows-6 上分别安装 NLB 负载平衡服务,其群集 IPv4 地址为 10.20.101.105/24 , 新建群集后, Windows-5 优先级为 5 , Windows-6 优先级为 9,群集名称为 www.win.smalltwo.com,采用多播方式; 4.配置Windows-5 和Windows-6 的 防火墙,仅允许配置的服务通过防火墙。
(四) 转发服务器配置
【任务描述】 为企业外出、休假、下班的员工提供远程连接回公司上班的路径,使其可以访问公司内部网络。 1.在 Windows-7 上利用自带的动态路由协议技术,只使用版本二,使能所有网络接口,验证密钥为 Pass1234,并且通过合适配置,使得 Windows 服务器可以正常与 Linux 服务器进行通讯。
2.配置 Windows-7 的防火墙,仅允许配置的服务通过防火墙;禁止 ICMP 回显请求;
三、 Linux 服务器配置(165 分) (一) 核心域控制器群集
【任务描述】 为实现高效管理,请采用轻型目录访问协议,提升企业网络安全性,整合局域网内基于网络的资源。 1.配置 Linux-1 为 bigone.com 域的域控制器,使用 NIS 作为统一认证服务, 指定 NIS 的 TCP 和 UDP 的端口号为 996,只允许 bigone.com 的服务器网段加入 NIS 域;集成 Kerberos 的方式作为认证中心,域名为 bigone.com, 并且建立用户 administrator 作为管理员,由 Linux-1 负责验证主域内的服务器和 Linux-2,Linux-2 负责验证除自身以外的子域服务器;为所有 NIS 用户自动创建家目录;安装 Bind 服务,并且在 chroot 模式下运行;为所有bigone.com 域内的服务器提供正反向解析; 配置转发器, 当遇到smalltwo.com 域名查询时,转发到 Windows 服务器 DNS 上,其他则转发至 114.114.114.114 的 DNS 服务器;仅向 Windows 和 Linux 网段提供查询服务;安装 Chrony 服务,仅为 Windows、Linux 和广州办事处业务网段提供时钟服务。 2.在 Linux-1 的 NIS 上创建组织单位和用户组,采用对应部门名称的中文全拼命 名 , 每 个 组 创 建 用 户 , 人 事 部 用 户 :
HumanResource100~HumanResource110 、 市 场 部 用 户 : MarketingDepartment100~ MarketingDepartment120、网络部用户: Network1000~Network1030;过期时间为 2022-12-31; 3.配置 Linux-1 为证书服务,设置为根 CA,有效期 5 年,通用名称为 CA;为Linux 服务器颁发证书,证书的通用名称均用主机的完全合格域名,证书的其他信息: (1)组织=“gdjnds”。 (2)组织单位=“system”。 (3)城市/地点=“GuangZhou”。 (4)省/市/自治区=“GuangDong”。 (5)国家/地区=“CN”。 4.让合适的主机加入到域中; 5.配置 Linux-2 作为 Linux 的子域的域控制中心,建立 NIS 域作为子域内的域名 管 理 , 域 名 为 lin.bigone.com , 只 允 许 子 域 网 段 的 主 机 加 入lin.bigone.com 域;为所有 NIS 用户自动创建家目录;配置 kerberos 作为子域的身份验证模块;安装 Unbound 服务,作为 Linux-1 的子域委派的DNS, 并且要求负责子域内的 DNS 解析,使得可以为子域内部的服务器进行域名解析;配置 Linux-2 为经过主域授权的子域根 CA,通用名称为 SUBCA,让Linux-2 拥有签发子域 CA 证书的权力,配置 Chrony 服务器,与 Linux-1 的 Chrony 做时间同步,并且负责子域内部的时间服务。 6.在 Linux-1 的 NIS 上创建组织单位和用户组,采用对应部门名称的中文全拼 命名,每个组创建用户,财务部用户:Finance01~ Finance10
7.所有 Linux 服务器的时区设为“上海”。 8.开启 Linux-1 和 Linux-2 的防火墙和 selinux 保护系统安全。
(二) 文件与通信服务配置
【任务描述】 为让不同的客户端及服务端共同进行文件与硬盘的共享,为公司设置后端底层存储与应用存储使得公司可以对文件资源统一管理。 1.配置 Linux-3 为 iSCSI 目标服务器,添加 2 块硬盘,每块硬盘大小为 10G, 组成 Raid0,将 Raid0 卷块化开启逻辑卷功能,创建卷组 BrickPool,划分出 18G 空间为 LVM 瘦卷池,池的名称为 DataPool,从池中划出两个 5G 的逻辑卷,卷名分别为 iSCSIForWeb,iSCSIForData 设置服务端 iqn 分别为iqn.2021-04.com.bigone.lin.iscsiweb1:server、 iqn.2021-04.com.bigone.lin.iscsidata1:server、客户端 iqn 为iqn.2021-04.com.bigone.lin.iscsi1:client; 2.配置 Linux-4 为 iSCSI 目标服务器,添加 2 块硬盘,每块硬盘大小为 10G, 组成 Raid0,将 Raid0 卷块化转开启逻辑卷功能,创建卷组 BrickPool,划分出 18G 空间为 LVM 瘦卷池,池的名称为 BackupDataPool,从池中划出两个 5G 的逻辑卷,卷名分别为 iSCSIForWeb,iSCSIForData 设置服务端iqn 分别为 iqn.2021-04.com.bigone.iscsiweb2:server、 iqn.2021-04.com.bigone.iscsidata2:server,客户端 iqn 为iqn.2021-04.com.bigone.iscsi2:client;
3.配置Linux-5 和Linux-6 为iSCSI 客户端,Linux-5 挂载后缀名为 1 的iSCSI 卷、Linux-6 挂载后缀名为2 的iSCSI 卷,分别实现discovery chap 和session chap 双向 认证, 服务器 认证用 户名为 LinuxServerUser , 密 码为ServerPassword ; 客 户 端 认 证 用 户 名 为 LinuxClientUser , 密 码 为ClientPassword。 4.在 Linux-3 上的 DataPool 池中, 划分出一个 5G 的逻辑卷, 名为WebConfigFile,格式化为 xfs 文件系统,设置索引为 1024 字节,挂载到 /nfsroot/WebConfigFile 目录下,并实现开机自动挂载; 5.配置 Linux-3 为 nfs 服务器,创建如下目录。
共享目录 共享要求 /nfsroot/WebConfigFile 允许所有服务器进行读写操作,开启同步功能。 kdc 加密方式为 krb5p;
6.配置 Linux-4 为 http 服务器为其他客户端提供软件包;复制 CentOS7 的光盘内文件到/var/www/html/centos; 7.开启 Linux-3 和 Linux-4 的防火墙和 selinux 保护系统安全。
(三) LAMP 服务群配置
【任务描述】 为了运行动态网站,配置 Web 应用软件组合,请采用 LAMP 服务器群组, 实现对企业网站的安全有效访问。
1.配置Linux-5,Linux-6 服务器分别为iSCSI 的硬盘进行初始化,建立两个 lvm层面上的镜像卷, 大小为 2G, 卷名分别为 web 和 data, 分别挂载到 /mnt/web/page 和/mnt/data 目录,并且是网络设备的属性,实现开机自动挂载; 2.配置 Linux-5 , Linux-6 服务器分别挂载 Linux-3 的 nfs 目录, 挂载到 /mnt/web/config 目录,并且是网络设备的属性,实现开机自动挂载; 3.为 Linux-5 安 装 httpd 服 务 , 并 使 得 apache 集 成 PHP 环 境 , 在 /mnt/web/config 目 录 下 新 建 自 定 义 配 置 文 件 名 为web.lin.bigone.com.conf,建立虚拟主机站点 www.bigone.com,其网站主目录为/mnt/web/page,要求与默认目录的安全上下文权限相同,并且该目录下的文件可以自动继承上级目录的安全上下文权限, 主页名字为bigonebgp.php,首页内容为: <?php echo $showtime=date("Y-m-d H:i:s"); echo "
"; echo $_SERVER['HTTP_HOST']; echo "
"; echo "this is my site!!!"; ?>
4.Linux-5 的 https 使用 Linux-2 签发的证书 /mnt/web/page/key/web.lin.bigone.com.crt 和私钥 /mnt/web/page/key/web1.lin.bigone.com.key,设置其通用名称为
web1.lin.bigone.com。 5.配置 Linux-5 为 Mariadb 服务器,设置其服务器 ID 号为 1,数据存放路径在/mnt/data/dataroot 目录下;设置开启 SSL 连接,证书使用 Linux-2 签发的证书,存放的位置为/mnt/data/certs/,要求与默认目录的用户、安全上下文权限相同,并且该目录下的文件可以自动继承上级目录的安全上下文权限;文件名为 SQL-MariaDB,创建数据库辅助用户 Mariadbslave,用于Mariadb 从服务器的连接,在任意机器上对所有数据库有完全权限。 6.在 Linux-5 的 Mariadb 服务器上创建数据库为 schooldb;在库中创建表为studentinfo,在表中创建 2 个用户,分别为(1,student01,2113,2004-8-8,女),(2, student02,2113,2005-6-9),口令与用户名相同,表结构如下;
7.要求 password 字段以 MD5 密文显示 8.在 Linux-5 上 将 表 studentinfo 中 的 记 录 导 出 , 存 放 到 /var/databak/mysql.sql 文件并且清空数据表。
9.为 Linux-6 上安装 httpd 服务,并使得 apache 集成 PHP 环境,配置文件直接使用/mnt/web/conf 的配置文件,主页文件、证书配置和存放路径、权限设置,与 Linux-5 一致,但证书通用名称和文件名为 web2.lin.bigone.com; 10.在 Linux-6 上利用 root 用户对网站主目录每 5 分钟进行一次数据同步服务, 设置只有 Linux-6 可以访问到该同步服务, 11.配置 Linux-6 为 Mariadb 服务器,设置其服务器 ID 号为 2,数据存放路径在/mnt/data/dataroot 目录下设置开启 SSL 连接,证书使用 Linux-2 签发的证书,名称为 SQL-MariaDB.crt,存放的位置为/etc/pki/tls/certs/,设置为 Linux-6 上 Mariadb 的工作模式为辅助模式,设置主服务器为 Linux-5 上的 Mariadb,将 Linux-5 上的 schooldb 数据库导出,导入至辅助服务器上。 12.在辅助服务器上,修改表 studentinfo 的结构,在 birthday 字段后插入字段age,数据类型为 int,长度为 3,非空。 13.在辅助服务器端创建两个用户,分别为(student03,2114,2005-7-1,15), (student04, 2114, 2004-8-1, 16) 14.开启 Linux-5 和 Linux-6 的防火墙和 selinux 保护系统安全。
(四) 邮件服务器
【任务描述】 为保障公司邮件的安全,请利用 ssl 在 Linux-7 服务器上安装配置 Postfix 邮件服务,具体要求为: 1.允许 bigone 域内网络部与人事部用户发送邮件;
2.证书存放路径为/etc/pki/tls/certs 目录; 3.邮件服务器的域名后缀为 bigone.com; 4.设置邮件服务器仅支持 smtps 和 pop3s 协议连接;
(五) 对外服务器配置
【任务描述】 为了保护内网主机,现在配置对外服务器保障内部服务器的安全,并且对其进行调优。 1.配置 Linux-8 为负载均衡服务器,使用 HaProxy 服务,设置代理 Linux-5 和Linux-6 的WEB 服务,使用frontend、backend 实现https 代理,HAproxy的名称为 HA_agent,监听地址为 80、后端 server 为 Linux-5 和 Linux-6, 端口为 443,配置 HAproxy 的 frontend 的名称为 haproxy_hps、监听端口为 80 和 443、模式为 http、默认后端为 HA_server,配置 HAproxy 的backend 的名称为 HA_server、模式为 http、负载均衡算法为 roundrobin、后端 server 为 Linux-5 和 Linux-6,端口为 443,权重值为 3,申请服务器证书,通用名称为 www.bigone.com,证书存放在/etc/pki/tls/certs/上; 配置当访问 http 的时候自动跳转到 https。 2.开启 Linux-8 的防火墙和 selinux 保护系统安全
(六) 虚拟化服务器
【任务描述】 随着虚拟化技术的发展,企业把测试环境迁移到 docker 容器中,并且把Linux 加入到 Linux-1 的域环境中:
1.在 Linux-9 上安装 docker,软件包存放在物理机 D:\soft\LinuxDocker。 2.导入 centos 镜像,镜像存放在物理机 D:\soft\centos.tar。 3.创建两个名称分别为 Apache 的容器,映射 Linux-9 的 80 端口到容器 1 的 80 端口,在容器内安装 Apache2,映射宿主机目录/www1 作为apache的默认站点目录;网站目录采用默认值,站点的默认网页内容分别为“欢迎来到容器世界” (七) 转发服务器
【任务描述】 为保障存储网络的安全,设置以 SDN 的方式为存储网络的数据和安全提供保护。
- 配置 Linux-10 为存储网络的网关服务器,为存储网络配置路由,开启路由转发功能,只允许存储网络可以拥有访问到 window 除存储网络外的服务器网段、Linux 网段、外部网络和需要用到 Linux 存储网络的主机路由,并且合理配置可以访问到存储网络的服务器路由;
职业规范与素养 (本部分 20 分)
一、 整理赛位,工具、设备归位,保持赛后整洁有序;
二、 撰写项目实施总结报告。
请参考PC1 的D:\soft 文件夹中《项目实施总结报告模板》,撰写完成后将文件存放到 PC1 桌面上的“XX_项目实施总结报告”(XX 为赛位号)文件夹中。
|