（全国职业技能比赛：高职）GZ073网络系统管理赛项赛题第8套B模块.docx-淘文阁

资源描述

《（全国职业技能比赛：高职）GZ073网络系统管理赛项赛题第8套B模块.docx》由会员分享，可在线阅读，更多相关《（全国职业技能比赛：高职）GZ073网络系统管理赛项赛题第8套B模块.docx（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、2023年全国职业院校技能大赛GZ073网络系统管理赛项赛题第8套模块B：服务部署目录一、Windows初始化环境1二、Windows项目任务描述1（一）拓扑图1（二）网络地址规划1三、Windows项目任务清单2（一）服务器IspSrv上的工作任务；21.互联网访问检测服务器22磁盘管理23.iSCSI2（二）服务器RouterSrv上的工作任务21.路由功能22.动态地址分配中继服务23.NAT服务2（三）服务器AppSrv上的工作任务31.DHCP服务32.RDS33.万维网服务34文件共享45.DNS46.WebPrint4（四）服务器DC1&DC2上的工作任务41.活动目录域服务4

2、2.NPS（网络策略服务）53.DNS（域名解析服务）54.证书颁发机构55.DFS5（五）服务器IOMSrv上的工作任务5（六）客户端InsideCli上的工作任务6（七）客户端OutsideCli上的工作任务6四、Linux初始化环境6（一）默认账号及默认密码6（二）操作系统配置6五、项目任务描述6（一）拓扑图7（二）网络地址规划7六、Linux项目任务清单8（一）服务器IspSrv工作任务81.DHCP82.DNS83.WEB服务8（二）服务器RouterSrv上的工作任务81.DHCP RELAY82.ROUTING83.SSH94.IPTABLES95.Web Proxy9（三）服务

3、器AppSrv上的工作任务91.SSH92.DHCP93.DNS104.WEB服务105.Mariadb Backup Script106.MAIL117.CA（证书颁发机构）11（四）服务器StorageSrv上的工作任务111.SSH112.DISK113.NFS114.VSFTPD125.SAMBA126.LDAP127.ShellScript12（五）服务器IOMSrv工作任务12（六）客户端OutsideCli和InsideCli工作任务131.OutsideCli132.InsideCli13一、Windows初始化环境默认账号及默认密码Username: Administrato

4、rPassword: ChinaSkill23!Username: demoPassword: ChinaSkill23!注：若非特别指定，所有账号的密码均为 ChinaSkill23!二、Windows项目任务描述你作为一名技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：（一）拓扑图（二）网络地址规划服务器和客户端基本配置如下表，各虚拟机已预装系

5、统。主机名所在域网络地址DNS网关DC1C192.168.30.100/24127.0.0.1192.168.30.254DC2C192.168.30.200/24127.0.0.1192.168.30.254AppSrvC192.168.40.100/24192.168.30.100192.168.30.200192.168.40.254RouterSrvC192.168.30.254/24192.168.0.254/24192.168.40.254/24100.100.100.251/24192.168.30.100100.100.100.254IspSrv保持工作组状态100.100.1

6、00.100/24127.0.0.1无InsideCliC192.168.0.0/24(dhcp)192.168.30.100192.168.30.200192.168.0.254OutsideCli保持工作组状态100.100.100.10/24100.100.100.100100.100.100.254三、Windows项目任务清单（一）服务器IspSrv上的工作任务；1. 互联网访问检测服务器为了模拟Internet访问测试，请搭建网卡互联网检测服务。2磁盘管理安装及配置软 RAID5；在安装好的AppSrv虚拟机中添加3块5G虚拟磁盘；组成RAID5，磁盘分区命名为卷标F盘：R

7、aid5；手动测试破坏一块磁盘，做RAID磁盘修复；确认RAID1配置完毕。3.iSCSI 磁盘存储在F：ISCSIFATA； iSCSI 磁盘提供给 DC1 使用，磁盘容量 500 G，启用 chap 验证； DC1 上连接成功后，把磁盘格式化为 NTFS 格式并挂载到卷标 D 盘。（二）服务器RouterSrv上的工作任务1. 路由功能安装RemoteAccess服务开启路由转发，为当前实验环境提供路由功能。2. 动态地址分配中继服务安装和配置Dhcp relay服务，为办公区域网络提供地址上网。 DHCP服务器位于AppSrv服务器上。3. NAT服务启用网络地址转换功能，实现内

8、部客户端访问互联网资源。配置网络地址转换，允许互联网区域客户端访问AppSrv上的HTTP资源。4.虚拟专用网络配置 SSTP/VPN，证书由 CSK2021-ROOTCA 进行签署颁发；vpn 连接地址为；使用后端 NPS 进行身份验证，仅允许manager 组内用户通过身份证验证；对于 vpn 客户端，请使用DHCP提供 192.168.1.200-192.168.1.220/24的IP地址。（三）服务器AppSrv上的工作任务1. DHCP服务安装和配置dhcp服务，为办公区域网络提供地址上网。地址池范围：192.168.0.100192.168.0.200。配置故障转移设置

9、为“热备用服务器”模式；伙伴服务器“SDCserver”为“待机”状态；为备用服务器保留10%的地址；状态切换间隔为60分钟；启用身份验证，密码为“Pssw0rd”。2. RDS 在RouterSrv安装和配置 RDS 服务，用户通过“ 该页面无证书警告。用户可以获取以下应用：notepadWordPad3. 万维网服务在RouterSrv上搭建网站服务器将访问的http的请求重定向到站点。网站内容设置为“该页面为测试页！”。将当前web根目录的设置为d:wwwroot目录。启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE

10、浏览器打开不提示认证，直接访问。设置“ 使用W3C记录日志；每天创建一个新的日志文件，文件名格式: 日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；日志文件存储到“C:WWWLogFile”目录中； IIS（FTP）：匿名用户上传的文件都将映射为ftp2用户 ftp在登录前显示Banner消息：“Hello, unauthorized login is prohibited!”4文件共享创建用户主目录共享文件夹：本地目录为d:shareusers，允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所有域用户的hom

11、e目录，用户登录计算机成功后，自动映射挂载到H卷。禁止用户在该共享文件中创建“*.exe, *.bat, *.sh”文件。创建manager组共享文件夹：本地目录为d: sharemanagers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。创建public-share公共共享文件夹：本地目录为d: sharepublic-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限。5.DNS 安装DNS服务；按照该题目要求创建正向和反向区域，并创建必要的DNS解析; 将DC2作为备份DNS服务器；6.WebPrint 添加一台虚拟打

12、印机，名称为“GZ-Print”，发布到AD域；客户端们都能够通过访问“（四）服务器DC1&DC2上的工作任务1. 活动目录域服务在DC1和DC2服务器上安装活动目录域服务，DC2作为主域控，DC1作为备份域控，活动目录域名为：。域用户能够使用username进行登录。创建一个名为“CSK”的OU，并新建以下域用户和组：sa01-sa20，请将该用户添加到sales用户组。it01-it20，请将该用户添加到IT用户组。ma01-ma10，请将该用户添加到manager用户组。许除manager组和IT组，所有用户隐藏C盘。除manager组和IT组，所有普通给用户禁止使用cmd。 I

13、T01用户登陆域后，会自动增加驱动器X，该驱动器自动关联DC1的C:tools文件夹。 sales用户组的Internet Explorer默认将代理指向，端口号为8080。所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。”。设置所有主机的登录Banner：标题为“CHINASKILLS-DOMAIN”；内容为“Hello, unauthorized login is prohibited!”。域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。启用AD回收站功能。2. NPS（网络策略服务）在DC1上安装网络策略服务

14、作为VPN用户登录验证；仅允许PPT/MPPEVPN进行VPN连接访问验证；认证、授权日志将存储到DC1上的“C:NPS”目录下；3.DNS（域名解析服务） DC2作为AppSrv的备份服务器，进行DNS信息同步；4.证书颁发机构在DC1服务器上安装证书办法机构；定义名称：CSK2022-ROOTCA。证书颁发机构有效期：5 years。为域内的web站点颁发web证书。当前拓扑内所有机器必须信任该证书颁发机构。所域内所有计算机自动颁发一张计算机证书。5.DFS 在DC1和DC2上安装及配置DFS 服务；目录设置在F：DFSsharedir；配置DFS复制，使用AppSrv

15、作为次要服务器，复制方式配置为交错拓扑；在F：DFSsharedir 文件夹内新建所有部门的文件夹；所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容； Management用户组用户可以访问全局的文件夹。（五）服务器IOMSrv上的工作任务通过Windows代理模板，添加DC1Server、DC2Sserver、AppSrv操作系统监控对象，查看运行状态。通过中间件IIS模板，添加IIS监控对象，查看运行状态。通过新增WEB探测对象，监控门户网站，查看运行状态。基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。（六）客户端InsideC

16、li上的工作任务按照要求将该主机加入到对应区域的域设置电源配置，以便客户端在通电的情况下，永不进入睡眠；该客户端用于测试用户登录，安全策略和RDS等功能。（七）客户端OutsideCli上的工作任务该主机不允许加入域。添加一个名为Connect-CSK 的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。设置电源配置，以便客户端在通电的情况下，永不进入睡眠；该客户端用于测试用户登录，Profiles，文件共享。四、Linux初始化环境（一）默认账号及默认密码Username: root Password: ChinaSkill23!Username: skillsPassw

17、ord: ChinaSkill23!注：若非特别指定，所有账号的密码均为 ChinaSkill23!（二）操作系统配置所处区域：CST + 8系统环境语言：English US (UTF-8)键盘：English US 注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。控制台登陆后不管是网络登录还是本地登录，都按下方欢迎信息内容显示*ChinaSkills 2023CSKModule C LinuxhostnameOS Version TIME *五、项目任务描述你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在

18、规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：（一）拓扑图（二）网络地址规划服务器和客户端基本配置如下表，各虚拟机已预装系统。ISPSRV(UOS) 完全限定域名：ispsrv 普通用户/登录密码：skills/ChinaSkill22 超级管理员/登录密码：root/ChinaSkill22 网络地址/掩码/网关：81.6.63.100/24/无AppSrv(Centos) 完全限定域名：普通用户/登录密码：skills/ChinaSk

19、ill22 超级管理员/登录密码：root/ChinaSkill22 网络地址/掩码/网关：192.168.100.100/24/192.168.100.254STORAGESRV(Centos) 完全限定域名：普通用户/登录密码：skills/ChinaSkill22 超级管理员/登录密码：root/ChinaSkill22 网络地址/掩码/网关：192.168.100.200/24/192.168.100.254ROUTERSRV(Centos) 完全限定域名：普通用户/登录密码：skills/ChinaSkill22 超级管理员/登录密码：root/ChinaSkill22 网络地址

20、/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无INSIDECLI(Centos) 完全限定域名：普通用户/登录密码：skills/ChinaSkill22 超级管理员/登录密码：root/ChinaSkill22 网络地址/掩码/网关：DHCP From AppSrvOUTSIDECLI（UOS）完全限定域名：普通用户/登录密码：skills/ChinaSkill22 超级管理员/登录密码：root/ChinaSkill22 网络地址/掩码/网关：DHCP From IspSrv六、Linux项目任务清单（

21、一）服务器IspSrv工作任务1. DHCP 为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；域名解析服务器：按照实际需求配置DNS服务器地址选项；网关：按照实际需求配置网关地址选项；2. DNS 安装BIND9；配置为DNS根域服务器；其他未知域名解析,统一解析为该本机IP；创建正向区域“”；类型为Slave；主服务器为“AppSrv”；33. WEB服务安装 lighttpd（使用其他 web 平台，以下功能均不得分）；启用 fastcgi-php 模块； index.php 网页内容显示当前服务器的日期和时间（

22、刷新页面时间自动更新）。（二）服务器RouterSrv上的工作任务1. DHCP RELAY 安装DHCP中继；允许客户端通过中继服务获取网络地址；2. ROUTING 开启路由转发，为当前实验环境提供路由功能。根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。3. SSH 工作端口为2021；只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务

23、。记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。将SSH跟SFTP进行分离，要求SFTP监听端口为54321，并且通过服务的方式进行启动和停止4. IPTABLES 添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。 INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。配置源地址转换允许内部客户端能够访问互联网区域。5. Web Proxy 安装Nginx组件；配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；

24、为配置代理前端，通过HTTPS的访问后端Web服务器；后端服务器日志内容需要记录真实客户端的IP地址。缓存后端Web服务器上的静态页面。（三）服务器AppSrv上的工作任务1. SSH 安装SSH，工作端口监听在2101。仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。2. DHCP 为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；域名解析服务器：按照实际需求配置DNS服务器地址选项；网关：按照实际需求配置网关地址选项；

25、为InsideCli分配固定地址为192.168.0.190/24。3. DNS 为域提供域名解析。为、和提供解析。启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。4. WEB服务安装WEb服务；服务以用户webuser系统用户运行；限制web服务只能使用系统500M物理内存；全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：C = CNST = ChinaL =

26、 BeiJingO = skillsOU = Operations DepartmentsCN = * 客户端访问https时应无浏览器（含终端）安全警告信息；当用户使用http访问时自动跳转到https安全连接；搭建站点；网页文件放在StorgeSrv服务器上；在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站； MariaDB数据库管理员信息：User: root/ Password: ChinaSkill23!。创建网站站点; 仅允许ldsgp用户组访问；网页文件存放在StorageSrv服务器上；在该站点的根目录下创建以下文件“tes

27、t.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。作安全加固，在任何页面不会出现系统和WEB服务器版本信息。5. Mariadb Backup Script 脚本文件：/shells/mysqlbk.sh；备份数据到/root/mysqlbackup 目录；备份脚本每隔30分钟实现自动备份；导出的文件名为 all-databases-20210213102333, 其中 20210213102333 为运行备份脚本的当前时间，精确到秒。6. MAIL 安装配置postfix和dovecot，启用imap

28、s和smtps，并创建测试用户mailuser1和mailuser2。使用mailuser1的邮箱向mailuser2的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。使用mailuser2的邮箱向mailuser1的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。添加广播邮箱地址all，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。7. CA（证书颁发机构） CA根证书路径/csk-

29、rootca/csk-ca.pem；签发数字证书，颁发者信息：(仅包含如下信息)C = CNST = ChinaL = BeiJingO = skillsOU = Operations DepartmentsCN = CSK Global Root CA（四）服务器StorageSrv上的工作任务1. SSH 安装openssh组件；创建的user01 、 user02用户允许访问ssh服务；服务器本地root用户不允许访问；修改SSH服务默认端口，启用新端口 3358；添加用户user01 user02 到sudo组；用于远程接入，提权操作。2. DISK 添加大小均为10G的虚拟

30、磁盘，配置raid-5磁盘。创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。3. NFS 共享/webdata/目录；用于存储AppSrv主机的WEB数据；仅允许AppSrv主机访问该共享。4. VSFTPD 禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；用户webadmin，登录ftp服务器，根目录为/webdata/；登录后限制在自己的根目录; 允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .d

31、ocx .xlsx的文件。限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；用于通过工具或者浏览器下载的最大速度不超过 100kb/s 一个IP地址同时登陆的用户进程/人数不超过2人。5. SAMBA 创建samba共享，本地目录为/data/share1，要求：共享名为share1。仅允许zsuser用户能上传文件。创建samba共享，本地目录为/data/public，要求：共享名为public。允许匿名访问。所有用户都能上传文件。6. LDAP 安装slapd,为samba服务提供账户认证；创建目录服务，并创建用户组ldsgp ,将zsuser、lsu

32、sr、wuusr。7. ShellScript 编写添加用户的脚本,存储在/shells/userAdd.sh目录；当有新员工入职时，管理员运行脚本为其创建公司账号; 自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等; 以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。（五）服务器IOMSrv工作任务通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；通过新增W

33、EB探测对象，监控门户网站，查看运行状态；基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。（六）客户端OutsideCli和InsideCli工作任务1. OutsideCli 作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具; 作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具; 作为SSH远程登录测试客户端，安装ssh命令行测试工具; 作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具; 作为FTP测试的客户端，安装lftp命令行工具；作为防火墙规则效果测试客户端，安装Fp

34、ing命令行工具。截图的时候请使用上述提到的工具进行功能测试。2. InsideCli 作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具; 作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具; 作为SSH远程登录测试客户端，安装ssh命令行测试工具; 作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具; 作为FTP测试的客户端，安装lftp命令行工具；作为防火墙规则效果测试客户端，安装ping命令行工具。截图的时候请使用上述提到的工具进行功能测试。13 / 13网络系统管理赛项-模块B：Windows部署

展开阅读全文