2023年云南省职业院校技能大赛
“网络搭建与应用”赛项样题
2023年8月
竞赛说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分三个部分,其中:
第一部分:网络理论测试(100分)
第二部分:网络建设与调试(400分)
第三部分:服务搭建与运维(500分)
二、竞赛注意事项
- 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
- 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。
- 请选手仔细阅读赛卷,按照要求完成各项操作。
- 操作过程中,需要及时保存设备配置。
- 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。
- 比赛完成后,禁止将比赛所用的所有物品(包括赛卷)带离赛场。
- 禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,如违反规定,可视为0分。
- 与比赛相关的软件和需要完成的报告单在所提供的U盘根目录下。
- 请在物理机PC1桌面上新建“XX”(XX为赛位号)文件夹,作为选手提交竞赛结果的目录,保存选手生成的所有文档。全部自动生成的结果性文件和项目实施总结报告的保存位置必须正确,否则涉及到的所有操作分值记为0分。
第二部分:网络建设与调试(400分)
【说明】
1.按照第三部分要求完成PC2终端kylin系统安装,完成minicom软件部署配置,用该软件连接网络设备,并对网络设备进行配置。
2.请根据所提供U盘根目录下“网络建设与调试竞赛报告单”的要求完成文档,将生成的文档复制到选手目录。
3.使用minicom软件完成设备配置,使用kylin系统自带screenshot工具完成截图(可在麒麟中文系统中直接搜索截图功能)。
一、任务描述:
某集团公司原在北京建立了总公司,后在成都建立了分公司,云南设立了办事处。集团设有产品、营销、法务、财务、人力5个部门,全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。
公司网络拓扑如下图,SW1和SW2作为北京核心交换机;SW3作为贵州核心交换机;FW1作为总公司出口防火墙;FW2作为办事处防火墙;RT1作为总公司核心路由器;RT2作为分公司路由器;AC1作为分公司无线控制器,与AP1实现分公司无线覆盖。网络拓扑图及IP地址表:
1.网络拓扑图
2.网络设备IP地址分配表
设备名称 设备接口 IP地址
SW1 Loopback1 OSPF BGP 10.10.1.1/32
2001:10:10:1::1/128
Loopback2 10.10.1.2/32
2001:10:10:1::2/128
Vlan11 10.10.11.1/24
2001:10:10:11::1/64
Vlan12 10.10.12.1/24
2001:10:10:12::1/64
Vlan13 10.10.13.1/24
2001:10:10:13::1/64
Vlan14 10.10.14.1/24
2001:10:10:14::1/64
Vlan15 10.10.15.1/24
2001:10:10:15::1/64
Vlan60 10.10.60.1/24
2001:10:10:60::1/64
Vlan70 10.10.70.1/24
2001:10:10:70::1/64
Vlan80 10.10.80.1/24
2001:10:10:80::1/64
Vlan90 10.10.90.1/24
2001:10:10:90::1/64
Vlan1021 10.10.255.14/30
Vlan1022 10.10.255.5/30
Vlan1026 10.10.255.1/30
Vlan1027 VPN 10.10.255.1/30
SW2 Loopback1 OSPF BGP 10.10.2.1/32
2001:10:10:2::1/128
Loopback2 10.10.2.2/32
2001:10:10:2::2/128
Vlan21 10.10.21.1/24
2001:10:10:21::1/64
Vlan22 10.10.22.1/24
2001:10:10:22::1/64
Vlan23 10.10.23.1/24
2001:10:10:23::1/64
Vlan24 10.10.24.1/24
2001:10:10:24::1/64
Vlan25 10.10.25.1/24
2001:10:10:25::1/64
Vlan60 10.10.60.2/24
2001:10:10:60::2/64
Vlan70 10.10.70.2/24
2001:10:10:70::2/64
Vlan80 10.10.80.2/24
2001:10:10:80::2/64
Vlan90 10.10.90.2/24
2001:10:10:90::2/64
Vlan1021 10.10.255.22/30
Vlan1022 10.10.255.9/30
Vlan1026 10.10.255.2/30
Vlan1027 VPN 10.10.255.2/30
SW3 Loopback1 OSPF BGP 10.10.3.1/32
2001:10:10:3::1/128
Vlan31 10.10.31.1/24
2001:10:10:31::1/64
Vlan32 10.10.32.1/24
2001:10:10:32::1/64
Vlan33 10.10.33.1/24
2001:10:10:33::1/64
Vlan35 10.10.35.1/24
2001:10:10:35::1/64
Vlan60 10.10.60.3/24
2001:10:10:60::3/64
Vlan70 10.10.70.3/24
2001:10:10:70::3/64
Vlan80 10.10.80.3/24
2001:10:10:80::3/64
Vlan90 10.10.90.3/24
2001:10:10:90::3/64
Vlan1021 10.10.255.6/30
Vlan1022 10.10.255.10/30
SW3模拟
办事处 Loopback2 10.10.3.2/32
2001:10:10:3::2/128
Vlan230 10.10.230.1/24
2001:10:10:230::1/64
Vlan240 10.10.240.1/24
2001:10:1:240::1/64
Vlan1015 10.10.255.46/30
SW3模拟
Internet Loopback3 200.200.3.3/32
2001:200:200:3::3/128
Vlan1017 200.200.200.1/30
Vlan1018 200.200.200.5/30
AC1 Loopback1 OSPF 10.10.4.1/32
2001:10:10:4::1/128
Loopback2 RIP 10.10.4.2/32
2001:10:10:4::2/128
Loopback3 10.10.4.3/32
2001:10:10:4::3/128
Vlan200 无线管理 10.10.200.1/24
2001:10:10:200::1/64
Vlan210 无线2.4G产品网络 10.10.210.1/24
2001:10:10:210::1/64
Vlan220 无线5G营销网络 10.10.220.1/24
2001:10:10:220::1/64
Vlan1001 10.10.255.42/30
RT1 Loopback1 OSPF BGP MPLS 10.10.5.1/32
2001:10:10:5::1/128
Loopback2 RIP 10.10.5.2/32
2001:10:10:5::2/128
Loopback3 ISIS 10.10.5.3/32
2001:10:10:5::3/128
Loopback4 总公司与办事处互联 10.10.5.4/32
2001:10:10:5::4/128
Loopback5 VPN财务 10.10.5.5/32
2001:10:10:5::5/128
G0/0 10.10.255.29/30
G0/1 10.10.255.21/30
G0/2 10.10.255.18/30
G0/3 10.10.255.25/30
S1/0 10.10.255.33/30
S1/1 10.10.255.37/30
RT2 Loopback1 OSPF BGP MPLS 10.10.6.1/32
2001:10:10:6::1/128
Loopback2 RIP 10.10.6.2/32
2001:10:10:6::2/128
Loopback3 ISIS 10.10.6.3/32
2001:10:10:6::3/128
Loopback4 ipsecVPN 10.10.6.4/32
2001:10:10:6::4/128
Tunnel4 ipsecVPN 10.10.255.50/30
Loopback5 VPN财务 10.10.6.5/32
2001:10:10:6::5/128
G0/0 10.10.255.30/30
G0/1 10.10.255.41/30
G0/3 200.200.200.6/30
S1/0 10.10.255.38/30
S1/1 10.10.255.34/30
FW1 Loopback1 OSPF trust 10.10.7.1/32
2001:10:10:7::1/128
Loopback2 RIP trust 10.10.7.2/32
2001:10:10:7::2/128
Loopback4 ipsecVPN trust 10.10.7.4/32
2001:10:10:7::4/128
Tunnel4 ipsecVPN VPNHub 10.10.255.49/30
E0/1 trust 10.10.255.13/30
E0/2 trust 10.10.255.17/30
E0/3 untrust 200.200.200.2/30
FW2 Loopback1 OSPF trust 10.10.8.1/32
2001:10:10:8::1/128
E0/1 trust 10.10.255.45/30
E0/2 dmz 10.10.255.26/30
二、工程统筹:
1.职业素养
(1)整理赛位,工具、设备归位,保持赛后整洁有序。
(2)无因选手原因导致设备损坏。
(3)恢复调试现场,保证网络和系统安全运行。
2.网络布线
根据网络拓扑要求,截取适当长度和数量的双绞线,端接水晶头,插入相应设备的相关端口上,实现PC、设备之间的连通。
三、交换配置
1.配置Vlan,SW1、SW2、SW3的二层(L2)链路只允许Vlan60、Vlan70、Vlan80、Vlan90通过,AC1的二层链路只允许无线业务Vlan通过。把SW1、SW2、SW3没有连接的Vlan物理接口配置为Loopback,模拟接口UP。
设备 Vlan编号 端口 说明
SW1 Vlan11 E1/0/1 产品1段
Vlan12 E1/0/2 营销1段
Vlan13 E1/0/3 法务1段
Vlan14 E1/0/4 财务1段
Vlan15 E1/0/5 人力1段
Vlan60 E1/0/6 产品管理
Vlan70 E1/0/7 产品研发
Vlan80 E1/0/8 产品生产
Vlan90 E1/0/9 产品支持
SW2 Vlan21 E1/0/1 产品2段
Vlan22 E1/0/2 营销2段
Vlan23 E1/0/3 法务2段
Vlan24 E1/0/4 财务2段
Vlan25 E1/0/5 人力2段
Vlan60 E1/0/6 产品管理
Vlan70 E1/0/7 产品研发
Vlan80 E1/0/8 产品生产
Vlan90 E1/0/9 产品支持
SW3 Vlan31 E1/0/1 产品3段
Vlan32 E1/0/2 营销3段
Vlan33 E1/0/3 法务3段
Vlan35 E1/0/5 人力3段
Vlan60 E1/0/6 产品管理
Vlan70 E1/0/7 产品研发
Vlan80 E1/0/8 产品生产
Vlan90 E1/0/9 产品支持
- SW1和SW2之间利用三条裸光缆实现互通,其中一条裸光缆承载三层(L3)IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层(L2)业务。用相关技术分别实现财1段、财务2段网络路由表与其它网络路由表隔离,财务业务VPN实例名称为Finance。
3.SW3针对每个业务VLAN的第一个接口配置Loopback命令,模拟接口UP,方便后续业务验证与测试。
4.将SW3模拟为Internet交换机,实现与集团其它业务路由表隔离,Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表VPN实例名称为Office。
5.SW1、SW2、SW3启用MSTP,实现网络二层负载均衡和冗余备份,创建实例Instance10和Instance20,名称为skills,修订版本为1,其中Instance10关联Vlan60和Vlan70,Instance20关联Vlan80和Vlan90。SW1为Instance0和Instance10的根交换机,为Instance20备份根交换机;SW2为Instance20根交换机,为Instance0和Instance10的备份根交换机;根交换机STP优先级为0,备份根交换机STP优先级为4096。关闭交换机之间三层互联接口的STP。
6.SW1配置SNMP,引擎id分别为1000;创建组GroupSkills,采用最高安全级别,配置组的读、写视图分别为:Skills_R、Skills_W;创建认证用户为UserSkills,采用aes算法进行加密,密钥为Key-1122,哈希算法为sha,密钥为Key-1122;当设备有异常时,需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器10.10.15.120、采用最高安全级别;当法务部门对应的用户接口发生UP DOWN事件时禁止发送trap消息至上述集团网管服务器。
7对SW1与FW1互连流量镜像到SW1 E1/0/1,会话列表为1。
8.SW1和SW2 E1/0/21-28启用单向链路故障检测,当发生该故障时,端口标记为errdisable状态,自动关闭端口,经过1分钟后,端口自动重启;发送Hello报文时间间隔为15s。
9.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,老化时间乘法器值为5,Trap报文发送间隔为10s,配置三条裸光缆端口使能Trap功能。
四、路由调试
1.启用所有设备的ssh服务,防火墙用户名admin,明文密码Key-1122,其余设备用户名和明文密码均为admin。
2.配置所有设备的时区为GMT+08:00,调整SW1时间为实际时间,SW1配置为ntp server,其他设备用SW1 loopback1 ipv4地址作为ntp server地址,ntp client 请求报文时间间隔1分钟。
3.配置接口ipv4地址和ipv6地址,互联接口ipv6地址用本地链路地址。
4.利用VRRPv2和VRRPv3技术实现Vlan60、Vlan70、Vlan80、Vlan90网关冗余备份,VRRP ID与Vlan ID相同。VRRPv2 vip为10.10.VlanID.9(如Vlan60的VRRPv2 vip为10.10.60.9),VRRPv3 vip为FE80:VlanID::9(如Vlan60的VRRPv3 vip为FE80:60::9)。配置SW1为Vlan60、Vlan70的Master,SW2为Vlan80、Vlan90的Master。要求VRRP组中高优先级为120,低优先级为默认值,抢占模式为默认值,VRRPv2和VRRPv3发送通告报文时间间隔为默认值。当SW1或SW2上联链路发生故障,Master优先级降低30。 - sW2配置DHCPv4和DHCPv6,分别为总公司产品1段、总公司产品2段、分公司Vlan200、分公司Vlan210和分公司Vlan220分配地址。IPv4地址池名称分别为Poolv4-Vlan10-SW1、Poolv4-Vlan10-SW2、Poolv4-Vlan200、Poolv4-Vlan210、Poolv4-Vlan220,排除网关,DNS为10.10.110.101和10.10.120.101。IPv6地址池名称分别为Poolv6-Vlan10-SW1、Poolv6-Vlan10-SW2、Poolv6-Vlan200、Poolv6-Vlan210、Poolv6-Vlan220,IPv6地址池用网络前缀表示,排除网关,DNS为2400:3200::1。PC1保留地址10.10.11.9和2001:10:10:11::9,PC2保留地址10.10.12.9和2001:10:10:12::9,AP1保留地址10.10.200.9和2001:10:10:200::9。SW1、AC1中继地址为SW2 Loopback1地址,SW1启用DHCPv4和DHCPv6 snooping。
6.SW1、SW2、SW3、AC1、RT1以太链路、RT2以太链路、FW1、FW2之间运行OSPFv2和OSPFv3协议。
(1)SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议,进程1,区域0,分别发布Loopback1地址路由和产品路由,FW1通告type2默认路由。
(2)RT2与AC1之间运行OSPFv2协议,进程1,NSSA no-summary区域1;AC1发布Loopback1地址路由、产品网络和营销网络,用prefix-list重发布Loopback3。
(3)RT2与AC1之间运行OSPFv3协议,进程1,stub no-summary区域1;AC1发布Loopback1路由、产品网络和营销网络。
(4)SW3模拟办事处产品(E1/0/11)和营销(E1/0/12)接口配置为Loopback,模拟接口up。SW3模拟办事处与FW2之间运行OSPFv2协议,进程2,区域2,SW3模拟办事处发布Loopback2、产品网络和营销网络。SW3模拟办事处配置IPv6默认路由;FW2分别配置到SW3模拟办事处Loopback2、产品和营销的IPv6明细静态路由,FW2重发布静态路由到OSPFv3协议。
(5)RT1、FW2之间OSPFv2和OSPFv3协议,进程2,区域2;RT1发布Loopback4路由,向该区域通告type2默认路由;FW2发布Loopback1路由,FW2禁止学习到集团和分公司的所有路由。RT1用prefix-list匹配FW2 Loopback1路由、SW3模拟办事处Loopback2和产品路由、RT1与FW2直连IPv4路由,将这些路由重发布到区域0。
(6)修改OSPF cost为100,实现SW1分别与RT2、FW2之间IPv4&IPv6互访流量优先通过SW1_SW2_RT1链路转发,SW2访问Internet IPv4&IPv6流量优先通过SW2_SW1_FW1链路转发。
7.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议,FW1、RT1、RT2的RIP和RIPng发布Loopback2地址路由,AC1 RIP发布Loopback2地址路由,AC1 RIPng采用route-map匹配prefix-list重发布Loopback2地址路由。RT1配置offset值为3的路由策略,实现RT1(S1/0)-RT2(S1/1)为主链路,RT1(S1/1)-RT2(S1/0)为备份链路,IPv4的ACL名称为AclRIP,IPv6的ACL名称为AclRIPng。RT1(S1/0)与RT2(S1/1)之间采用chap双向认证,用户名为对端设备名称,密码为Pass-1234。
8.RT1以太链路、RT2以太链路之间运行ISIS协议,进程1,分别实现Loopback3 之间IPv4互通和IPv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、10.0000.0000.0002.00,路由器类型是Level-2,接口网络类型为点到点。配置域md5认证和接口md5认证,密码均为Pass-1234。
9.RT2配置IPv4 nat,实现AC1 IPv4产品用RT2外网接口IPv4地址访问Internet。RT2配置nat64,实现AC1 IPv6产品用RT2外网接口IPv4地址访问Internet,IPv4地址转IPv6地址前缀为64:ff9b::/96。
10.SW1、SW2、SW3、RT1、RT2之间运行BGP协议,SW1、SW2、RT1 AS号65001、RT2 AS号65002、SW3 AS号65003。
(1)SW1、SW2、SW3、RT1、RT2之间通过Loopback1建立IPv4&IPv6 BGP邻居。SW1和SW2之间财务通过Loopback2建立IPv4 BGP邻居,SW1和SW2的Loopback2互通采用静态路由。
(2)SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等IPv4&IPv6路由;RT1发布办事处营销IPv4&IPv6路由到BGP。
(3)SW3营销分别与SW1和SW2营销IPv4&IPv6互访优先在SW3_SW1链路转发;SW3法务及人力分别与SW1和SW2法务及人力IPv4&IPv6互访优先在SW3_SW2链路转发,主备链路相互备份;用prefix-list、route-map和BGP路径属性进行选路,新增AS 65000。
11.利用BGP MPLS VPN技术,RT1与RT2以太链路间运行多协议标签交换、标签分发协议。RT1与RT2间创建财务VPN实例,名称为Finance,RT1的RD值为1:1,export rt值为1:2,import rt值为2:1;RT2的RD值为2:2。通过两端Loopback1建立VPN邻居,分别实现两端Loopback5 IPv4互通和IPv6互通。
12.SW1、SW2、RT1、RT2、AC1运行PIM-SM,SW1 Vlan10为C-BSR和C-RP;SW1产品网络(PC1)启用组播,用VLC工具串流播放视频文件“1.mp4”,模拟组播源,设置此视频循环播放,组地址232.1.1.1和FF15::1,端口1234,实现总公司和分公司收看视频,用PC2测试。
五、无线部署
1.AC1 loopback1 ipv4 AC1的ipv4管理地址。AP二层自动注册,AP采用MAC地址认证。配置2个ssid,分别为skills-2.4G和skills-5G。skills-2.4G对应vlan140,用network 140和radio1(模式为n-only-g),用户接入无线网络时需要采用基于WPA-personal加密方式,密码为Key-1122。skills-5G对应vlan150,用network 150和radio2(模式为n-only-a),不需要认证,隐藏ssid,skills-5G用倒数第一个可用VAP发送5G信号。
2.防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC 10分钟内建立连接5次就不再允许继续连接,2小时后恢复正常。
3.配置vlan110无线接入用户相互隔离,开启ARP抑制功能,限制每天早上0点到4点禁止终端接入。
4.配置vlan110无线接入用户上下行最大带宽为800Mbps,arp上下行最大速率为6packets/s。
5.配置vlan110无线接入用户上班时间(工作日09:00-17:00)访问Internet https上下行CIR为1Mbps,CBS为20Mbps,PBS为30Mbps,exceed-action和violate-action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为Skills。
6.开启Radio的自动信道调整,每天上午10:00触发信道调整功能。
7.开启AP组播广播突发限制功能;AP收到错误帧时,将不再发送ACK帧;AP发送向无线终端表明AP存在的帧时间间隔为1秒。
8.AP发射功率为90%。
六、安全维护
说明:ip地址按照题目给定的顺序用“ip/mask”表示,ipv4 any地址用0.0.0.0/0,ipv6 any地址用::/0,禁止用地址条目,否则按零分处理。
1.FW1配置ipv4 nat,实现集团产品1段ipv4访问Internet ipv4,转换ip/mask为200.200.200.16/28,保证每一个源ip产生的所有会话将被映射到同一个固定的IP地址。
2.FW1和FW2策略默认动作为拒绝,FW1允许集团产品1段ipv4和Internet任意服务。
4.FW2允许办事处产品ipv4访问集团产品1段https服务,允许集团产品1段访问办事处产品ipv4、FW2 loopback1 ipv4、SW3模拟办事处loopback2 ipv4。
5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现loopback4之间的加密访问。
第三部分:服务搭建与运维(500分)
一、虚拟主机信息表
虚拟主机名称 镜像模板(源) 云主机类型(flavor) VCPU数量 内存、硬盘信息 网络名称
Windows1 Windows Server 2022 windows 2 4G、40G Vlan工位号
Windows2 Windows Server 2022 windows 2 4G、40G
linux1 Rocky9.2 Rocky 1 2G、20G
linux2 Rocky9.2 Rocky 1 2G、20G
linux3 Rocky9.2 Rocky 1 2G、20G
linux4 Rocky9.2 Rocky 1 2G、20G
二、云平台配置
云平台相关说明:
每个工位上有个网线连接的电脑,IP地址是本工位号(如:工位号,地是1,地址为192.168.100.101/24),访问云平台地址为192.168.100.100/dashboard。考试账号和密码现场发放。
云实训平台中提供镜像环境,镜像的默认用户名密码以及镜像信息如下表所示。
名称 用户名 密码 SSH RDP
Windows Server 2022 DataCenter Administrator Pass-1234 否 是
Rocky9.2 root Pass-1234 是 否
所有windows主机实例在创建之后通过remmina远程桌面连接操作,Rocky9.2可以通过remmina软件进行ssh连接操作,所有linux主机都默认开启了ssh功能,Linux系统软件镜像位于”/opt”目录下。
要求在云实训平台中保留竞赛生成的所有虚拟主机。云实训平台安装与运用创建虚拟主机按照“虚拟主机信息表”所示,按要求生成虚拟主机;
三、计算机操作系统安装与管理
1.PC1 系统为 ubuntu-desktop-amd64系统 (已安装,语言为英文 ) ,登录用户为xiao,密码为Key-1122。启用root用户,密码为Key- 1122。
2.安装remmina软件,用该软件连接云服务器上的虚拟机,并配置虚拟机上的相应服务。
3.安装qemu和virtinst。
4.创建 Windows Server 2022 虚拟机,虚拟机信息如下:
虚拟机名称 vcpu 内存 硬盘 IPv4 地址 完全合格域名
Windows3 2 4096MB 40GB 10.13.11.101/24 Windows3.skills.lan
5.安装windows3,系统为Windows Server 2022 Datacenter Desktop,网络模式为桥接模式,网卡、硬盘、显示驱动均为 virtio,安装网卡、硬盘、显示驱动并加入到 Windows AD中。在 windows3 中添加 3 块5GB的硬盘 (硬盘驱动为 virtio ) ,初始化为GPT配,置为raid5。驱动器盘符为 D。
6.从U盘启动PC2,安装kylin桌面操作系统(安装语言为英文),安装时创建用户为xiao,密码为Key-1122。启用root用户,密码为Key-1122。
7.配置minicom,用该软件连接网络设备,并对网络设备进行配置。
四、Windows云服务配置
1.域服务
任务描述:请采用域环境,管理企业网络资源。
(1)配置windows2 为skills.lan域控制器;安装dns服务,配置dns正反向区域在active directory中存储,负责该域的正反向域名解析。
(2)把skills.lan域服务迁移到windows1;安装dns服务,配置dns正反向区域在active directory中存储,负责该域的正反向域名解析。
(3)把其他windows主机加入到 skills.lan域。所有windows主机(含域控制器 )用 skills\Administrator 身份登陆。
(4)启用所有 windows 服务器的防火墙。
(5)在 windows1上新建名称为manager、dev、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建20个用户:行政部 manager00-manager19 、开发部 dev00-dev19 、营销部 sale00-sale19,不能修改其口令,密码永不过期。manager00 拥有域管理员权限。
2.组策略
( 1)添加防火墙入站规则,名称为icmpv4,启用任意IP地址的icmpv4 回显请求。
(2)允许manager组本地登录域控制器,允许manager00 用户远程 登录到域控制器;拒绝dev组从网络访问域控制器。
(3)登录时不显示上次登录,不显示用户名,无须按 Ctrl+Alt+Del。
(4)登录计算机时,在桌面新建名称为chinaskills的快捷方式,目标为 http://www.chinaskills-jsw.org,快捷键为 Ctrl+Shift+F6。
3.文件共享
任务描述:请采用文件共享,实现共享资源的安全访问。
( 1)、在windows1的C:\盘分区划分2GB的空间,创建NTFS分区,驱动器号为D:\。创建用户主目录共享文件夹:本地目录为 D:\share\home,共享名为home,允许所有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹,该文件夹将设置为所有域用户的home目录,用户登录计算机成功后,自动映射挂载到H卷。禁止用户在该共享文件中创建“*.exe”文件,文件组名和模板名为my。
(2)、创建 目录 D:\share\work,共享名为work,仅manager组和Administrator组有完全控制的安全权限和共享权限,其他认证用户有 读取执行的安全权限和共享权限。在AD DS中发布该共享。
4.ASP服务
任务描述:请采用IIS搭建web服务,创建安全动态网站,。
( 1)、把windows2配置为ASP网站,网站仅支持 dotnet clr v4.0,站点名称为asp。
(2)、http绑定本机与外部通信的IP地址,仅允许使用域名访问。
(3)、网站目录为 C:\iis\contents , 默认文档index.aspx内容为 “Helloaspx”。
(4)、使用windows3测试。
五、Linux 云服务配置
1.DNS服务
任务描述:创建DNS服务器,实现企业域名访问。
( 1)所有linux主机启用防火墙,防火墙区域为 public,在防火墙中放行对应服务端口。
(2)利用chrony,配置linux1为其他linux主机提供NTP服务。
(3)所有 linux主机之间 (包含本主机 )root用户实现密钥ssh认证,禁用密码认证。
(4)利用bind,配置linux1为主DNS服务器,linux2为备用DNS服务器。为所有linux主机提供冗余DNS正反向解析服务。
2.Apache服务
任务描述:请采用Apache 搭建企业网站。
(1)、配置linux1为CA服务器,为linux主机颁发证书。证书颁发机构有效期10年,公用名为linux1.skills.lan。申请并颁发一张供linux服务器使用的证书,证书信息:有效期=5年,公用名=skills.lan,国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system,使用者可选名称=*.skills.lan和skills.lan。将证书skills.crt和私钥skills.key复制到需要证书的linux服务器/etc/ssl目录。
(2)、配置linux1为Apache服务器,使用skills.lan或any.skills.lan(any代表任意网址前缀,用linux1.skills.la和web.skills.lan测试)访问时,自动跳转到 www.skills.lan。禁止使用IP地址访问,默认首页文档 /var/www/html/index.html 的内容为"apache"。浏览器访问https网站时,不出现证书警告信息。
3.tomcat 服务
任务描述:采用 Tomcat 搭建动态网站。
(1)配置linux2为nginx 服务器,默认文档 index.html 的内容为 “hellonginx”;仅允许使用域名访问,http访问自动跳转到https。
(2)利用nginx反向代理,实现linux3和linux4的tomcat负载均衡,通过 https//tomcat.skills.lan 加密访问 Tomcat
(3)配置linux3和linux4为tomcat服务器,网站默认首页内容分别为“tomcatA”和“tomcatB”,仅使用域名访问80端口的http服务。
4.samba 服务
任务描述:请采用 samba 服务,实现资源共享。
(1)在 linux3上创建user00-user19共20个用户;user00和user01添加到manager组 , user02和user03添加到dev组。 把用户user00-user03添加到samba 用户。
(2)配置 linux3为samba服务器,建立共享目录/srv/sharesmb,共享名与目录名相同。manager组用户对sharesmb共享有读写权限,dev组对sharesmb共享有只读权限;用户对自己新建的文件有完全权限, 对其他用户的文件只有读权限,且不能删除别人的文件。在本机用smbclient命令测试。
(3)在 linux4 修改/etc/fstab,使用用户user00 实现自动挂载linux3的sharesmb共享到/sharesmb。
- ISCSI服务
(1)为linux3添加4块硬盘,每块硬盘大小为5G,创建lvm卷,卷组名为vg1,逻辑卷名为lv1,容量为全部空间,格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器,为linux9提供iSCSI服务。iSCSI目标端的wwn为iqn.2023-08.lan.skills:server, iSCSI发起端的wwn为iqn.2023-08.lan.skills:client。
(2)配置linux4为iSCSI客户端,实现discovery chap和session chap双向认证,Target认证用户名为IncomingUser,密码为IncomingPass;Initiator认证用户名为OutgoingUser,密码为OutgoingPass。修改/etc/rc.d/rc.local文件开机自动挂载iscsi硬盘到/iscsi目录。
6.Mysql 服务
任务描述:请安装mysql服务,建立数据表。
(1)配置linux2为mysql服务器,创建数据库用户xiao,在任意机器上对所有数据库有完全权限。
(2)创建数据库userdb;在库中创建表userinfo,表结构如下:
字段名 数据类型 主键 自增
id int 是 是
name varchar( 10) 否 否
birthday datetime 否 否
sex varchar(5) 否 否
password varchar(200) 否 否
(3)在表中插入2条记录,分别为(1,user1,1999-07-01,男) , (2,user2 ,1999-07-02 ,女),password 与 name 相同,password字段用md5函数加密。
(4)修改表userinfo的结构,在name字段后添加新字段 height(数据类型为 float),更新user1和user2 的height字段内容为1.61和1.62。
(5)新建/var/mysqlbak/userinfo.txt文件,文件内容如下,然后将文件内容导入到userinfo表中,passord字段用md5函数加密。
3,user3,1.63,1999-07-03,女,user3
4,user4,1.64,1999-07-04,男,user4
5,user5,1.65,1999-07-05,男,user5
6,user6,1.66,1999-07-06,女,user6
7,user7,1.67,1999-07-07,女,user7
8,user8,1.68,1999-07-08,男,user8
9,user9,1.69,1999-07-09,女,user9
(6) 每周五凌晨 1:00以 root用户身份备份数据库userdb 到 /var/databak/userdb.sql(含创建数据库命令)。
7.shell 脚本
任务描述:请采用 shell 脚本,实现快速批量的操作。
(1)在 linux4 上编写/root/createfile.sh的shell脚本,创建20个文件/root/shell/file00至/root/shell/file19,如果文件存在,则删除再创建; 每个文件的内容同文件名, 如file00文件的内容为“file00”。用/root/createfile.sh命令测试。