2023年全國職業院校技能大賽GZ073網絡系統管理賽項賽題第7套模塊A：網絡構建

目錄任務清單 Windows初始化環境默認賬號及默認密碼Username:AdministratorPassword:ChinaSkill23!Username:demoPassword:ChinaSkill23!注：若非特別指定，所有賬號的密碼均為ChinaSkill23!Windows項目任務描述你作為一名技術工程師，被指派去構建一個公司的內部網絡，要為員工提供便捷、安全穩定內外網絡服務。你必須在規定的時間內完成要求的任務，并進行充分的測試，確保設備和應用正常運行。任務所有規劃都基于Windows操作系統，請根據網絡拓撲、基本配置信息和服務需求完成網絡服務安裝與測試，網絡拓撲圖和基本配置信息如下：1.拓撲圖2.網絡地址規劃服務器和客戶端基本配置如下表，各虛擬機已預裝系統。主機名所在域網絡地址DNS網關DC100/2454DC200/2454AppS00/24000054RouterS54/2454/2454/2451/2400無IspSrv保持工作組狀態00/24無InsideC/24(dhcp)000054OutsideCli保持工作組狀態0/240054Windows項目任務清單（一）服務器IspSrv上的工作任務互聯網訪問檢測服務器為了模擬Internet訪問測試，請搭建網卡互聯網檢測服務。iSCSI（b6-s2）創建300G的ISCSI磁盤，存儲到F盤目錄下的iSCSI文件夾。啟用MutualCHAP認證。DC1SERVER為iSCSI客戶端，連接成功后，格式化掛載到F盤。DNS（域名解析服務）安裝DNS服務；IspSrv作為DNS的的根域創建~，并在所有正向區域中創建一條A記錄，解析到本機地址。所有無法解析的域名均解析為本機地址（二）服務器RouterSrv1上的工作任務路由功能開啟路由轉發，為當前實驗環境提供路由功能。DNS安裝及配置DNS服務；創建正向區域，添加必要的域名解析記錄；配置TXT記錄，配置主時間控制服務記錄；配置域名反向PTR；為當前域網絡創建反向查找區域；RouterSrv主DNS服務器。無法解析的域名統一交由IspSrv進行解析虛擬專用網絡設置L2TP/IPSec，IKE通道采用證書進行驗證。L2TP通道使用域內用戶進行身份驗證，僅允許manager組內用戶通過身份證驗證。對于vpn客戶端，請使用范圍00-20/24。動態地址分配中繼服務安裝和配置dhcprelay服務，為辦公區域網絡提供地址上網。DHCP服務器位于DC1和DC2服務器上。

RDS在RouterSrv和AppSrv上搭建RDS服務；RDWeb服務器設定為RouterSrv；資源服務器設定為AppSrv；用戶登錄成功后可以通過RDS運行以下應用：Notepad、Wordpad；內部用戶通過“/rdweb/”進行訪問，頁面無證書警告；在InsideCli客戶端登錄的用戶可以直接在開始菜單中找到RemoteApp程序。（三）服務器AppSrv上的工作任務萬維網服務在RouterSrv2上搭建網站服務器。將訪問的http的請求重定向到站點。網站內容設置為“該頁面為測試頁！”。將當前web根目錄的設置為d:\wwwroot目錄。啟用windows身份驗證，只有通過身份驗證的用戶才能訪問到該站點，manager用戶組成員使用IE瀏覽器打開不提示認證，直接訪問。WSUS更新服務安裝WSUS更新服務，更新補丁目錄設置為“c:\wsusbackup”。創建更新組名稱為“CHINASKILLS-WSUS”。每天凌晨03:00下發自動更新。更新服務器地址為“:8530”。DFS在AppSrv上安裝及配置DFS服務。目錄設置在F：\DFSsharedir。配置DFS復制，使用DC1作為次要服務器，復制方式配置為交錯拓撲。在F：\DFSsharedir文件夾內新建所有部門的文件夾。所有部門的用戶之可以訪問部門內的文件，不可以跨部門訪問別的部門文件夾內容。Management用戶組用戶可以訪問全局的文件夾。DNS安裝DNS并配置為輔助DNS服務器；RouterSrv為主要DNS服務器，動態復制；定期復制主DNS服務器的記錄；RouterSrv離線后，自動切換為主要DNS服務器。DHCP配置故障轉移設置為“熱備用服務器”模式；伙伴服務器“SDCserver”為“待機”狀態；為備用服務器保留10%的地址；狀態切換間隔為60分鐘；啟用身份驗證，密碼為“P@ssw0rd”。（四）服務器DCSERVER&SDCSERVER上的工作任務活動目錄域服務在DC1和DC2服務器上安裝活動目錄域服務，并且提升該操作系統為域控制器。設置PDC主機為DC2。活動目錄域名為：。域用戶能夠使用[username]@進行登錄。創建一個名為“CSK”的OU，并新建以下域用戶和組：sa01-sa20，請將該用戶添加到sales用戶組。ma01-ma10，請將該用戶添加到manager用戶組。除manager組，移除關機和重啟按鈕；除manager組，移除桌面垃圾桶按鈕；禁止客戶端電腦顯示用戶首次登錄動畫。所有用戶的IE瀏覽器首頁設置為“”。所有用戶都應該收到登錄提示信息：標題“登錄安全提示：”，內容“禁止非法用戶登錄使用本計算機。”。域內的所有計算機（除dc外），當dc服務器不可用時，禁止使用緩存登錄。DFSmembe端配置工作任務在DC1和DC2上安裝及配置DFS服務。目錄設置在H：\DFSsharedir。配置交錯拓撲。在H：\DFSsharedir文件夾內新建所有部門的文件夾。所有部門的用戶之可以訪問部門內的文件，不可以跨部門訪問別的部門文件夾內容。Management用戶組用戶可以訪問全局的文件夾。NPS（網絡策略服務）在DC1上安裝網絡策略服務作為VPN用戶登錄驗證。僅允許L2TP/IPSECVPN進行VPN連接訪問驗證。認證、授權日志將存儲到DC1上的“C:\NPS\”目錄下。文件共享創建用戶主目錄共享文件夾：本地目錄為d:\share\users\，允許所有域用戶可讀可寫。在本目錄下為所有用戶添加一個以名稱命名的文件夾，該文件夾將設置為所有域用戶的home目錄，用戶登錄計算機成功后，自動映射掛載到H卷。禁止用戶在該共享文件中創建“*.exe,*.bat”文件。創建manager組共享文件夾：本地目錄為d:\share\managers，僅允許manager用戶組成員擁有寫入權限，該共享文件對其他組成員不可見。創建public-share公共共享文件夾：本地目錄為d:\share\public-share，僅允許manager用戶組成員擁有寫入權限，其他認證用戶只讀權限。RDS在RouterSrv1安裝和配置RDS服務，用戶通過“/rdweb”進行訪問。該頁面無證書警告。用戶可以獲取以下應用： Notepad（五）服務器IOMSrv上的工作任務通過Windows代理模板，添加DC1Server、DC2Sserver、AppSrv操作系統監控對象，查看運行狀態。通過中間件IIS模板，添加IIS監控對象，查看運行狀態。通過新增WEB探測對象，監控門戶網站，查看運行狀態。基于AppSrv上的門戶網站業務，完成業務拓撲繪制，并在業務大屏上呈現。（六）客戶端InsideCli上的工作任務按照要求將該主機加入到對應區域的域。設置電源配置，以便客戶端在通電的情況下，永不進入睡眠。該客戶端用于測試用戶登錄，Profiles，文件共享，安全策略和RDS等功能。（七）客戶端OutsideCli上的工作任務該主機不允許加入域。添加一個名為Connect-VPN的VPN撥號器，用于連接到域網絡，不記錄用戶名稱密碼信息。設置電源配置，以便客戶端在通電的情況下，永不進入睡眠。該客戶端用于測試用戶登錄，Profiles，文件共享，安全策略和RDS等功能。Linux初始化環境（一）默認賬號及默認密碼Username:rootPassword:ChinaSkill23!Username:skillsPassword:ChinaSkill23!注：若非特別指定，所有賬號的密碼均為ChinaSkill23!（二）操作系統配置所處區域：CST+8系統環境語言：EnglishUS(UTF-8)鍵盤：EnglishUS注意：當任務是配置TLS，請把根證書或者自簽名證書添加到受信任區。控制臺登陸后不管是網絡登錄還是本地登錄，都按下方歡迎信息內容顯示*********************************ChinaSkills2023–CSKModuleCLinux>>hostname<<>>SystemVersion<<>>TIME<<*********************************Linux項目任務描述你作為一個Linux的技術工程師，被指派去構建一個公司的內部網絡，要為員工提供便捷、安全穩定內外網絡服務。你必須在規定的時間內完成要求的任務，并進行充分的測試，確保設備和應用正常運行。任務所有規劃都基于Linux操作系統，請根據網絡拓撲、基本配置信息和服務需求完成網絡服務安裝與測試，網絡拓撲圖和基本配置信息如下：（一）拓撲圖（二）網絡地址規劃服務器和客戶端基本配置如下表，各虛擬機已預裝系統。ISPSRV（UOS）完全限定域名：ispsrv普通用戶/登錄密碼：skills/ChinaSkill23超級管理員/登錄密碼：root/ChinaSkill23網絡地址/掩碼/網關：00/24/無AppSrv(Centos)完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill23超級管理員/登錄密碼：root/ChinaSkill23網絡地址/掩碼/網關：00/24/54IOMSrv(Centos)網絡地址/掩碼/網關：50/24/54STORAGESRV(Centos)完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill23超級管理員/登錄密碼：root/ChinaSkill23網絡地址/掩碼/網關：00/24/54ROUTERSRV(Centos)完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill23超級管理員/登錄密碼：root/ChinaSkill23網絡地址/掩碼/網關：54/24/無、54/24/無、54/24/無INSIDECLI(Centos)完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill23超級管理員/登錄密碼：root/ChinaSkill23網絡地址/掩碼/網關：DHCPFromAppSrvOUTSIDECLI（UOS）完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill23超級管理員/登錄密碼：root/ChinaSkill23網絡地址/掩碼/網關：DHCPFromIspSrvLinux項目任務清單（一）服務器IspSrv工作任務DHCP為OutsideCli客戶端網絡分配地址，地址池范圍：10-90/24；域名解析服務器：按照實際需求配置DNS服務器地址選項；網關：按照實際需求配置網關地址選項；DNS安裝BIND9；配置為DNS根域服務器；其他未知域名解析,統一解析為該本機IP；創建正向區域“”；類型為Slave；主服務器為“AppSrv”；WEB服務安裝nginx軟件包；配置文件名為ispweb.conf，放置在/etc/nginx/conf.d/目錄下；網站根目錄為/mut/crypt（目錄不存在需創建）；啟用FastCGI功能，讓nginx能夠解析php請求；index.php內容使用Welcometo2023ComputerNetworkApplicationcontest!（二）服務器RouterSrv上的工作任務SSH工作端口為2021；只允許用戶user01，密碼ChinaSkill21登錄到router。其他用戶（包括root）不能登錄，創建一個新用戶，新用戶可以從本地登錄，但不能從ssh遠程登錄。通過ssh登錄嘗試登錄到RouterSrv，一分鐘內最多嘗試登錄的次數為3次，超過后禁止該客戶端網絡地址訪問ssh服務。記錄用戶登錄的日志到/var/log/ssh.log，日志內容要包含：源地址，目標地址，協議，源端口，目標端口。DHCPRELAY安裝DHCP中繼；允許客戶端通過中繼服務獲取網絡地址；Squid安裝squid服務，開啟路由轉發，為當前實驗環境提供路由功能；IPTABLES添加必要的網絡地址轉換規則，使外部客戶端能夠訪問到內部服務器上的dns、mail、web和ftp服務。INPUT、OUTPUT和FOREARD鏈默認拒絕（DROP）所有流量通行。配置源地址轉換允許內部客戶端能夠訪問互聯網區域。WebProxy安裝Nginx組件；配置文件名為proxy.conf，放置在/etc/nginx/conf.d/目錄下；為配置代理前端，通過HTTPS的訪問后端Web服務器；后端服務器日志內容需要記錄真實客戶端的IP地址。緩存后端Web服務器上的靜態頁面。創建服務監控腳本：/shells/chkWeb.sh編寫腳本監控公司的網站運行情況；腳本可以在后臺持續運行；每隔5S檢查一次網站的運行狀態，如果發現異常嘗試3次；如果確定網站無法訪問，則返回用戶“網站正在維護中，請您稍后再試”的頁面。OpenVPNVPN客戶端只能與InsideCli客戶端網段通信，允許訪問StorageSrv主機上的SAMBA服務，允許訪問AppSrv上的dns服務；VPN客戶端可使用的地址范圍是：00-20/24；在OutsideCli上創建連接服務“openvpn@csk.services”。（三）服務器AppSrv上的工作任務SSH安裝SSH，工作端口監聽在2101。僅允許InsideCli客戶端進行ssh訪問，其余所有主機的請求都應該拒絕。在cskadmin用戶環境下可以免秘鑰登錄，并且擁有root控制權限。DHCP為InsideCli客戶端網絡分配地址，地址池范圍：10-90/24；域名解析服務器：按照實際需求配置DNS服務器地址選項；網關：按照實際需求配置網關地址選項；為InsideCli分配固定地址為90/24。DNS為域提供域名解析。為、和提供解析。啟用內外網解析功能，當內網客戶端請求解析的時候，解析到對應的內部服務器地址，當外部客戶端請求解析的時候，請把解析結果解析到提供服務的公有地址。請將IspSrv作為上游DNS服務器，所有未知查詢都由該服務器處理。web服務安裝web服務；服務以用戶webuser系統用戶運行；限制web服務只能使用系統800M物理內存；全站點啟用TLS訪問，使用本機上的“CSKGlobalRootCA”頒發機構頒發，網站證書信息如下：C=CNST=ChinaL=BeiJingO=skillsOU=OperationsDepartmentsCN=*.客戶端訪問https時應無瀏覽器（含終端）安全警告信息；當用戶使用http訪問時自動跳轉到https安全連接；搭建站點；網頁文件放在StorgeSrv服務器上；在StorageSrv上安裝MariaDB，在本機上安裝PHP，發布WordPress網站；MariaDB數據庫管理員信息：User:root/Password:Chinaskill23!。創建網站站點;僅允許ldsgp用戶組訪問；網頁文件存放在StorageSrv服務器上；在該站點的根目錄下創建以下文件“test.mp3,test.mp4,test.pdf”，其中test.mp4文件的大小為100M，頁面訪問成功后能夠列出目錄所有文件。作安全加固，在任何頁面不會出現系統和WEB服務器版本信息。RAID5在虛擬機上添加4個1G的硬盤；創建raid5，其中一個作為熱備盤,設備名為md0;將md0設置為LVM，設備為/dev/vg01/lv01；格式化為ext4文件系統;開機自動掛載到/data目錄。MAIL安裝配置postfix和dovecot，啟用imaps和smtps，并創建測試用戶mailuser1和mailuser2。使用mailuser1@的郵箱向mailuser2@的郵箱發送一封測試郵件，郵件標題為“justtestmailfrommailuser1”,郵件內容為“hello,mailuser2”。使用mailuser2@的郵箱向mailuser1@的郵箱發送一封測試郵件，郵件標題為“justtestmailfrommailuser2”,郵件內容為“hello,mailuser1”。添加廣播郵箱地址all@，當該郵箱收到郵件時，所有用戶都能在自己的郵箱中查看。使用網站測試郵件發送與接收。CA（證書頒發機構）CA根證書路徑/csk-rootca/csk-ca.pem；簽發數字證書，頒發者信息：(僅包含如下信息)C=CNST=ChinaL=BeiJingO=skillsOU=OperationsDepartmentsCN=CSKGlobalRootCAChrony配置為全網提供時間同步服務器為除本機外的所有主機提供時間同步服務使用ntpdate命令每隔5分鐘同步一次時間。（四）服務器StorageSrv上的工作任務SSH安裝openssh組件；創建的user01、user02用戶允許訪問ssh服務；服務器本地root用戶不允許訪問；修改SSH服務默認端口，啟用新端口3358；添加用戶user01user02到sudo組；用于遠程接入，提權操作。DISK添加大小均為10G的虛擬磁盤，配置raid-5磁盤。創建LVM命名為/dev/vg01/lv01，大小為100G，格式化為ext4，掛在到本地目錄/webdata，在分區內建立測試空文件disk.txt。NFS共享/webdata/目錄；用于存儲AppSrv主機的WEB數據；僅允許AppSrv主機訪問該共享。LDAP安裝slapd,為samba服務提供賬戶認證；創建目錄服務，并創建用戶組ldsgp,將zsuser、lsusr、wuusr。VSFTPD禁止使用不安全的FTP，請使用“CSKGlobalRootCA”證書頒發機構，頒發的證書，啟用FTPS服務；用戶webadmin，登錄ftp服務器，根目錄為/webdata/；登錄后限制在自己的根目錄;允許WEB管理員上傳和下載文件，但是禁止上傳后綴名為.doc.docx.xlsx的文件。限制用戶的下載最大速度為100kb/s；最大同一IP在線人數為2人；用于通過工具或者瀏覽器下載的最大速度不超過100kb/s一個IP地址同時登陸的用戶進程/人數不超過2人。SAMBA創建samba共享，本地目錄為/data/share1，要求：共享名為share1。僅允許zsuser用戶能上傳文件。創建samba共享，本地目錄為/data/pub