2021 年广东省职业院校技能大赛(中职组) 网络搭建与应用赛项 国赛遴选赛卷(A)
2021 年广东省职业院校技能大赛(中职组)
网络搭建与应用赛项
国赛遴选赛卷(A)
技能要求
(总分 1000 分)
1 / 29 2 / 29
竞赛说明
一、竞赛内容分布
“网络搭建与应用”竞赛共分三个部分,其中:
第一部分:网络搭建及安全部署项目
(500 分)
第二部分:服务器配置及应用项目
(480 分)
第三部分:职业规范与素养
(20 分)
二、竞赛注意事项
1. 禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是
否齐全,计算机设备是否能正常使用。
3. 请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。
4. 操作过程中,需要及时保存设备配置。
5. 比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和配置为最终结
果。
6. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有
物品(包括试卷和草稿纸)带离赛场。
7. 禁止在纸质资料、比赛设备、上填写任何与竞赛无关的标记,如违反规定,可
视为 0 分。
8. 与比赛相关的工具软件放置在每台主机的 D:\soft 文件夹中。
9. 与比赛相关的报告单放置在每台主机的 D:\报告单 文件夹中,请按照报告单中
的截图注意事项要求填写完整,最终以 pdf 格式 保存到 PC1 桌面自建的“
XX_ 比赛报告”(XX 为赛位号)文件夹! 项目简介:
某集团公司原在北京建立了总公司,后在成都建立了分公司,又在广东设立
了一个办事处。集团设有营销、产品、法务、财务、人力 5 个部门,统一进行 IP
及业务资源的规划和分配,全网采用 OSPF 和 BGP 路由协议进行互联互通。
突如其来的新冠肺炎疫情,给公司上半年业务发展带来巨大影响。在党和全
社会努力下、集团领导下,下半年公司规模依然保持快速发展,业务数据量和公
司访问量增长巨大。为了更好管理数据,提供服务,集团决定在北京建立两个数
据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的
目的,为后续向两地三中心整体战略架构逐步演进,更好的服务于公司客户。
集团、分公司及广东办事处的网络由一台 S4600 交换机编号为 SW-3,用于
实现分公司业务终端高速接入;两台 CS6200 交换机作为集团的核心交换机;两
台 DCFW-1800 分别作为集团、广东办事处的防火墙;一台 DCR-2655 路由器编
号为 RT-1,作为集团的核心路由器;另一台 DCR-2655 路由器编号为 RT-2,作
为分公司路由器;一台 DCWS-6028 作为分公司的有线无线智能一体化控制器,
编号为 DCWS,通过与 WL8200-I2 高性能企业级 AP 配合实现分公司无线覆盖。
请注意:在此典型互联网应用网络架构中,作为 IT 网络系统管理及运维人员,
请根据拓扑构建完整的系统环境,使整体网络架构具有良好的稳定性、安全性、
可扩展性。请完成所有服务配置后,从客户端进行测试,确保能正常访问到相应
应用。
3 / 29 4 / 29
网络搭建及安全部署项目
(500 分)
【说明】
1.
设备配置完毕后,保存最新的设备配置。裁判以各参赛队提交的竞赛结果文档为主要评
分依据。所有提交的文档必须按照赛题所规定的命名规则命名;
保存文档方式如下:
交换机、路由器、AC 要把 show running-config 的配置、防火墙要把 show
configuration 的配置保存在“
XX_比赛报告”文件夹中,文档命名规则为:设备名
称.txt。例如:RT-1 路由器文件命名为:RT-1.txt;
无论通过 SSH、telnet、Console 登录防火墙进行 show configuration 配置收集,
需要先调整 CRT 软件字符编号为:UTF-8,否则收集的命令行中文信息会显示乱码。
CRT 软件调整字符编号配置如图: 5 / 29
一、 网络布线与基础连接(50 分)
1、 按照网络拓扑制作以太网线,并连接设备。要求制作的网线符合 T568-B 的标准,其
线缆长度适中。
2、 根据“网络拓扑结构图”及“表 1:网络设备连接表”和“表 2:网络设备 IP 地址分
配表“所示,对网络中的所有设备接口配置 IP 地址。
二、 交换配置与调试(140 分)
(一)
为了减少广播,需要根据题目要求规划并配置 VLAN。要求配置合理,以 VLAN900
为控制 VLAN,所有链路上不允许不必要 VLAN 的数据流通过,包括 VLAN 1。根据下述信息
及表,在交换机上完成 VLAN 配置和端口分配。
(二)
总公司核心交换机 1 和 2、无线控制器间运行一种协议,实现市场、文件、管理
业务优先通过无线控制器至总公司核心交换机 1 间链路转发,人事、客服业务优先通过无线控
制器至总公司核心交换机 2 间链路转发,从而实现 VLAN 流量的负载分担与相互备份,当主
用链路发生故障后,流量会在毫秒级的时间迅速切换到备用链路上,并且当发生链路切换后,
整个网络将进行 MAC 表项和 ARP 表项更新。
(三)
在核心交换机总公司核心交换机 1 和 2 运行一种容错协议,为所有非 VPN 业务
VLAN 实现网关冗余,具体要求如下:
1. 在 ipv4 网络中,虚拟路由冗余功能使用该 VLAN 中的最后一个可用 IP、总公司核
心交换机 1 使用该 VLAN 中的倒数第三可用 IP、总公司核心交换机 2 使用该 VLAN
中的倒数第二可用 IP,总公司核心交换机 1 为市场、文件、管理业务的 Master,
总公司核心交换机 2 为人事、客服业务的 Master,且互为备份,关闭抢占功能;
设置工作状态报文发送时间为 3s;
2. 在 ipv6 网络中,虚拟路由冗余功能使用 fe80::xx (
xx 为 vlan id)、总公司核心
交换机 1 使用该 VLAN 中的第二可用 IP、GZ-Head-SW2 使用该 VLAN 中的第三
可用 IP,总公司核心交换机 1 为市场、文件、管理业务的 Master,总公司核心交
换机 2 为人事、客服业务的 Master,且互为备份;关闭抢占功能
(四)
加大基于源目的 ip 流量负载核心交换机总公司核心交换机 1-总公司核心交换机 2、
总公司核心交换机 1-总公司核心交换机 1、分公司核心交换机-GZ-Head-SW2 之间的带宽
(五)
营销部与财务部由于和子公司的研发部与保险部、进行 VPN 互访,需要使用相关
技术实现与其他业务路由表进行隔离
(六)
由于子公司每年 8 月第一个周一 6 点 20 分开始到这一年 11 月最后一个星期日 23 7 / 29
点 27 分的作息时间与总公司不一致,在 SW3 上配置相关功能,使其提早 5 个小时;
(七)
在总公司核心交换机 1 上配置相关功能,当营销业务主机上下线时,告知给管理
站,管理站 ip 为 119.129.238.111 管理站使用团体字 test2021 进行对交换机总公司核心交
换机 1 读写权限,而且只接受 v1 的告警报文,告警验证团体字为 errtest
(八)
在总公司核心交换机 1 与总公司核心交换机 2 上配置相关功能, 使市场部与人事
部获取自动相应 ip 地址
(九)
在无线控制器上配置相关功能,防止两部门获取非法的 IP 地址,发现后动作时关
闭该端口
三、 路由配置与调试(160 分)
(一)
运营商路由器 1 与运营商路由器 2 作为运营商设备,尽量加大它们之间的带宽,
链路做 chap 双向认证,用户名为:DCN2021 密码为 test2021
(二)
总公司防火墙与分公司防火墙之间直连链路可能加大它们之间的带宽
(三)
在总公司防火墙上配置相关功能,为市场部与人事部分配 ip 地址,市场地址范围
为:10.120.10.50-100 /24 人事地址范围 10.120.40.10-60 /24 dns:223.5.5.5
(四)
子公司与总公司之间使用通过专线配置 OSPF 协议进行互连互通,进程号为 1,具
体要求如下:
1. 总公司核心交换机 1~分公司交换机~总公司核心交换机 2 之间属于骨干区域此为
公司专线链路,总公司核心交换机 1~总公司防火墙~总公司核心交换机 2 之间属于
AREA1,分公司交换机~分公司防火墙之间属于 AREA2,
2. 对骨干区域启用区域 MD5 验证,验证密钥为:QY2021,调整接口的网络类型加
快邻居关系收敛;对非骨干区域使用链路 MD5 验证,验证密钥为:LL2021 8 / 29
3. 为了管理方便,需要发布 Loopback 接口地址,并尽量在 OSPF 域中发布,总部业
务网段中不发送协议报文。 并且两台防火墙下发默认路由到核心交换机中,在业
务方面要求公司 OSPFV2 网络内仅学习到非 VPN 业务的路由,总部禁止学习到访
客路由 ;
4. 为了避免交换机在发生主备切换时导致网络震荡,在核心交换机上配置相关技术,
保持网络拓扑一直稳定,当切换失败时,避免路由黑洞,超过 70s 重新计算拓扑;
(五)
运营商路由器 1 作为公司在运营商中租用的设备,内部线路 1 总公司防火墙-运营
商路由器 1-分公司防火墙之间使用 RIP 协议,运营商路由器 2 作为公网运营商设备与运营商
路由器 1 直连之间使用 IS-IS 协议互联,具体要求如下:
1. 内部线路使用 RIP 版本 2,并且关闭自动汇总
2. 运营商路由器 1 与运营商路由器 2 之间建立骨干区域 AREA10,
3. 由于要使服务器业务发布到内网以及公网上,但禁止让外网学习到内网流量,
配置相关技术,使运营商路由器 2 仅能学习到服务器业务路由,禁止以宣告的
形式发布服务器业务路由到内网,且不能让内网学习到 100.100.100.100
(六)
总分公司之间使用 BGP 协议,具体要求如下:
1. 公司三台核心层交换机之间通过 loopback 地址建立 IBGP 邻居 AS 号为 65001、
公司两台防火墙作为内部线路 2 它们之间通过互联接口总公司防火墙-运营商路由
器 1-分公司防火墙,总公司防火墙-分公司防火墙建立两对 EBGP 邻居,总公司防
火墙 AS 号为 65100 分公司防火墙 AS 号为 65200;
2. 总公司核心交换机 1 与总公司核心交换机 2 上使用相关技术,禁止从分公司交换机
的 OSPF 中上学习到生产部门与采购部门路由与 VLAN100 路由,分公司核心交换 机上使用关技术,禁止从总公司核心交换机 1、总公司核心交换机 2 的 OSPF 中上
学习到客服部门与文件部门路由;
3. 在两台防火墙上 OSPF 将引入到 RIP 当中,在 R1 上配置相关命令,仅允许管理业
务、VLAN150、生产部、采购部、客服部门与文件部门能访问服务器业务网段,
禁止将 RIP 引入到 OSPF 中;
4. 在两台防火墙上 BGP 与 OSPF 双向引入路由,配置相关命令,使总部市场部门与
人事部门,访问 SSID DCNYW 业务时主走内部线路 2,备走专线线路,来回路径
保证一致。
5. 禁止将非 VPN 路由宣告或引入到核心交换机 BGP 协议内
6. 由于三台核心交换机专门建立的 IBGP 专门为两边业务 VPN 访问,配置 BGP 与
MPLS 相关技术,营销部只能与保险部互访、财务部只能与研发部互访,禁止将非
VPN 网段引入到 IBGP 中。
(七) 使用无线控制器、总公司核心交换机 1、总公司防火墙、分公司防火墙配置相关技
术,使无线控制器 Loopback 口能控制 AP,无线控制器访问 AP 路径走公网链路,禁止走专
线链路,保证来回路径一致,需要使无线控制器 Loopback 口能访问服务器网段,保证来回
路径一致。禁止无线控制器与总公司核心交换机 1 之间使用动态路由协议
(八)三台核心交换机与防火墙之间使用 OSPFv3 协议,进程号为 6,需要发布相应的
Loopback 地址到 OSPFV3 协议内。三台核心层之间使用 RIPNG 进行互通。具体要求如下:
1.将人事、市场和无线业务网段宣告进 OSPFV3 当中
2. 在核心交换机上配置相关命令,使人事部门、市场业务在访问无线业务网段优先走内部
线路 2,专线链路作为备份链路。
9 / 29 10 / 29
四、 无线配置(
40 分)
(一)
总公司无线控制器无线控制器与总公司核心交换机 1 相连,无线业务网关位于子
公司路分公司核心交换机上,使用密码验证的方式进行 AP 管理,密码为 jnds2021;分公司
核心交换机配置 VLAN100 为 AP 管理 VLAN,VLAN200 为业务 VLAN,VLAN300 为访客
VLAN,分公司核心交换机上不允许使用 DHCP 为 AP 地址分配,无线控制器三层发现 AP ,
无线控制器 loopback1 为管理 IP;
(二)
分公司核心交换机为无线网段配置 DHCP 服务,设置无线业务网段租期为 7 天、
设置默认网关;设置访客用户网段租期为 1 天、DNS 为 114.114.114.114、设置默认网关;
排除相关地址;
(三)
配置一个 SSID DCNYW:作为无线业务网段,可访问 Internet 及总部非 VPN 业
务,采用 WPA-PSK 认证方式,加密方式为 WPA 个人版,配置密钥为 Dcn12345678 信号隐
藏并且只有当每天早上 7 点到晚上 6 点才能接入该网络开启 ARP 抑制功能
(四)
配置一个 SSID DCNFK:作为访客用户网段可访问 Internet,采用开放接入配置
每天 0 点到 6 点禁止终端接入
(五)
打开 AP 组播广播突发限制功能;开启 Radio 的自动信道调整,每天上午 7:00 触
发信道调整功能。
五、 安全策略配置(50 分)
(一)
根据题目要求配置防火墙、防火墙相应的业务安全域、业务接口;总公司防火墙-
运营商路由器 2-分公司防火墙作为公网链路,配置 PAT 在上班时间早上 8:00 到网上 18:
00 时只允许总部市场业务、分公司 SSID DCNYW、SSID DCNFK 访问 Internet 业务;总部
所有非 VPN 业务网段均可以与 SSID DCNYW 网段双向互 ping 通; 11 / 29
(二)
管理业务与客服业务需要通过防火墙总公司防火墙去访问运营商路由器 2
200.200.200.200 地址,在总公司防火墙上配置 NAT,为保护真实物理链路,设置地址池为:
123.1.1.0/24,保证每一个源 IP 产生的所有会话将被映射到同一个固定的 IP 地址;
(三)
公网链路使用 IPSEC 技术进行保护公司内的数据,使用 IKE 协商 IPSec 安全联盟、
交换 IPSec 密钥,两端加密访问列表名称都为 ipsecacl;
(四)
配置相关技术,将 ipv6 数据全部发送给对端防火墙,OSPFv3 中禁止下发默认路
由。
六、 广域网业务选路(
60 分)
考虑到防火墙之间有三条链路 ,总公司防火墙-分公司防火墙之间为内部线路 2,总
公司防火墙-运营商路由器 2-分公司防火墙为公网线路,总公司防火墙-运营商路由器 1-
分公司防火墙为内部线路 1,当采购部门访问文件部门时,主走内部线路 1,备走内部线
路 2,当客服部门访问生产部门时,主走内部线路 2,备走内部线路 1,并且保证来回路
径一致。根据以上需求,在 FW1 上进行合理的业务选路配置。具体要求如下:
1) 使用访问控制列表匹配业务数据流;
2) 使用 BGP 路由 MED 属性进行业务选路,只允许使用 route-map 来改变路由权
值属性、路由控制。MED 值只允许配置成 100 或 200。 12 / 29
服务器配置及应用项目
(
480 分)
说明:
1. 所有 windows 主机实例在创建之后都直接可以通过远程桌面连接操作,linux 可以通过
CRT 软件连接进行操作,所有 linux 主机都默认开启了 ssh 功能,Linux 系统软件镜像位
于”/opt”目录下;
2. 要求在云服务实训平台中保留竞赛生成的所有虚拟主机。
3. 虚拟机管理员的密码以及题目中所有未指明的密码均为 Network@2021,若未按照要求
设置,涉及到该操作的所有分值记为 0 分;
6. 虚拟主机的 IP 地址、主机名称请按照“表 4-服务器 IP 地址分配表”的要求设定,若未按
照要求设置,涉及到该操作的所有分值记为 0 分;
7. 赛题所需的其它软件均存放在每台主机的 D:\soft 文件夹中;
8. 在 PC1 桌面上,“
XX_比赛报告”(
XX 为赛位号)建立相对应的实例(实例名称)的文件
夹。根据服务器配置及应用报告单.docx”中提供的方法和命令,生成云平台和所有云主
机操作结果的文件存放于“相对应的实例名文件夹中”;文件名、扩展名和存放位置错误,
涉及到的所有操作分值记为 0 分。
9. 请按照报告单截图注意事项的要求填写完整,最终以 pdf 格式保存到选手自建的“
XX_比
赛报告”(
XX 为赛位号)文件夹;
10. 所有服务器要求虚拟机系统重新启动后,均能正常启动和使用,否则会扣除该服务功能一
半分数;如报告单和截图命名或存放位置错误,涉及到的所有操作分值记为 0 分。 13 / 29
一、 云实训平台上基础设置与虚拟主机创建(150 分)
(一)云平台基础设置(50 分)
1. 按照“表 5-云平台网络信息表”要求创建外部网络,这些外部网络所使用的 VLAN 均
为总部业务 VLAN(
30 分)。
2. 根据题目要求创建硬盘(
20 分);
(二)创建虚拟主机(100 分)
1. 按照“表 6-虚拟主机信息表”所示,按要求生成虚拟主机(
80 分)。
2. 云平台中所有虚拟机的 IP 地址,要求手动设置为该虚拟机 DHCP 获取的地址(
20 分); 14 / 29
二、 Windows 服务器配置(165 分)
(一)
域控制器群集配置
【任务描述】
为实现高效管理,请采用域控制器群集提高可管理,高可用性,提升企业网络安全程度,
整合局域网内基于网络的资源。
1. 配置 Wdc 为域控制器,域名为 smalltwo.com;安装 DNS 服务,为所有的 Windows 服
务器提供正反向解析;配置转发器,当遇到 bigone.com 域名的查询时,转发到 Linux 服
务器 DNS 上,其他则转发至 8.8.8.8 的 DNS 服务器;安装 WINS 服务器,并设置为主服
务器。
2. 配置 Wdc 为证书服务,设置为企业根,有效期 1 年;为 Windows 服务器颁发证书,证书
的通用名称均用主机的完全合格域名,证书的其他信息:
(1) 组织=“
skillsjnds”;
(2) 组织单位=“
system”;
(3) 城市/地点=“Guangzhou”;
(4) 省/市/自治区=“Guangdong”;
(5) 国家/地区=“CN”
3. 把所有的 Windows 主机加入到域。
4. 创建 4 个组织单位和用户组,采用对应部门名称的中文全拼命名,每个组创建用户,管理
部用户:Manage01~Manage20、营销部用户:
Sale01~Sale30、财务部用户:
Finance01~
Finance 30,技术部用户:IT01~IT20;设置每个部门的第一个用户作为组管理员用户; 所有用户不能修改其用户口令;过期时间为 2022-12-31 日;并要求用户只能周一到周六
7:00~23:00 可以登录;限制管理部只能从 Client1 登陆。
5. 创建 CTO 为 GPO 管理员;加入到管理、域控管理员组。
6. 为域配置安全策略
(
1) 为普通用户配置密码策略,该策略要求密码为长度最小 12 位字符的复杂性密码;
(
2) 限制财务部用户的不能关闭计算机;
(
3) 禁止营销部用户使用注册表、CMD;
(
4) 为每个域用户映射\\smalltwo.com\WinDFS\Company\FilesShare 文件夹到资源
管理员,并映射为 Y:盘。
7. 开启本地及域控用户登录操作日志审计记录。
8. 开启远程桌面服务及对应端口,配置用户 CTO、技术部用户可远程登录到域控制器;
9. 配置域控组策略及域控配置信息开启增量备份功能备份到
\\smalltwo.com\WinDFS\jishubu\Backup 目录;
10.利用 iSCSI 发起器发现 BDC 的虚拟磁盘 iSCSIForDC,并对磁盘进行初始化和创建卷,设
置驱动器号为 D,完成格式化 NTFS 的操作。
11.新建共享\\dc\files\users,设置共享的本地目录为 D:\Share\files\users\%username%,
同时设置为所有域用户各自的主目录,用户登陆成功后,通过访问 F 盘,可以访问到各自
的主目录,限制每个用户的文件夹大小为 300M,自动应用到 D:\Share\files\users 目录
下所有的文件夹。
15 / 29 16 / 29
12. 为 Wbdc 安装和配置活动目录域服务:加入到 smalltwo.com 的域中,只有域管理员和
技术部员工可以通过远程桌面登陆服务器;将服务器配置为辅助域控; 安装 DNS 服务;安
装 WINS 服务,并配置为辅助 WINS; 定期单向复制主 WINS 服务器的记录。
13.配置域控组策略及域控配置信息开启增量备份功能备份到
\\smalltwo.com\WinDFS\jishubu\Backup 目录;
14.在 Wbdc 上,添加 3 块硬盘,每块硬盘大小为 11G,配置为 Raid5,驱动器号为 D。
15.在 Wbdc 上安装 iSCSI 目标服务器,并新建 iSCSI 虚拟磁盘,存储位置为 D:\ ,目标名与虚
拟磁盘的名称相同;虚拟磁盘名称分别为 iSCSIForDC,大小为 3GB,访问服务器为 Wdc;
虚拟磁盘名称分别为 iSCSIForDFSM 大小为 2GB,访问服务器分别为 Wdfsm;虚拟磁盘
名称分别为 iSCSIForDFSS 大小为 2GB,访问服务器分别为 Wdfss;虚拟磁盘名称分别为
iSCSIForFTP、Quorum,大小分别为 8GB、1G,访问服务器为 Wnode1 和 Wnode2,
指定为同一个目标,目标名为第一个虚拟磁盘的名称;Server 认证用户名和密码分别为
WinServerUser 和 ServerPasswd;
16. 配置 Wdc 和 Wbdc 的 防火墙,仅允许配置的服务通过防火墙;禁止 ICMP 回显请求
(二)
DFS 服务器配置
【任务描述】
为建立一个高效率的存储架构,请采用 DFS 服务器,实现集中管理共享文件。
1. 在 Wdfsm 和 Wdfss 上利用 ISCSI 发起器分别发现 BDC 的虚拟磁盘 iSCSIForDFSM、
iSCSIForDFSS,并对磁盘进行初始化和创建卷,设置驱动器号为 J:,完成格式化 NTFS 的
操作。 17 / 29
2. 配置Wdfsm为DFS服务器,命名空间为WinDFS,配置为交错拓扑,且Wdfsm为MASTER,
文件夹为 Company;设置复制组名称为 DFSCopyGroup,每周一、三、五的晚上 11 点
做数据同步,带宽为完整; 在 J:\Company 文件夹内新建名为各部门名称的文件夹;各
部门的用户可以访问各自的文件夹,不可以跨部门访问;
3. 在 Wdfsm 上设置管理部用户组的用户可以访问全局的文件夹,IT 部可以访问除了管理部
之外的文件夹。
4. 在 Wdfsm 上设置每个部门的文件夹大小为 10G,自动应用到 J:\Company 目录下所有文
件夹中,除了域管理员和组管理员外,其他用户都不能删除文件。
5. 在 Wdfsm 上添加一块新的网卡,并挂载到系统中;配置服务器 NIC Teaming 模式,名称
为 NicTeaming,并且 IP 设置为表 4 第一个网卡的地址,用于模拟服务器在出现端口或者
线路故障的时候,可以确保链路正常;Teaming mode:IEEE 802.3ad draft v1; 负载均
衡模式:动态模式;所有适配器都处于活动状态。
6. 配置 Wdfsm 和 Wdfss 之间的“连接安全规则”,要求入站和出站都要求身份验证,完整
性算法采用 SHA-256,加密算法采用 AES-CBC192,预共享的密钥为 SharePassword。
7. 配置 Wdfss 为 DFS 服务器,加入 Wdfsm 的 DFS 空间,配置为交错拓扑,且 Wdfsm 为
MASTER,文件夹为 Company;在 J:\Company 文件夹内新建名为各部门名称的文件夹;
各部门的用户可以访问各自的文件夹,不可以跨部门访问;
8. 在 Wdfss 上设置管理部用户组的用户可以访问全局的文件夹,
IT 部可以访问除了管理部之
外的文件夹。
9. 在 Wdfss 上设置每个部门的文件夹大小为 10G,自动应用到 J:\Company 目录下所有文
件夹中,除了域管理员和组管理员外,其他用户都不能删除文件。 18 / 29
10.在 Wdfss 上添加一块新的网卡,并挂载到系统中;配置服务器 NIC Teaming 模式,名称
为 NicTeaming,并且 IP 设置为表 4 第一个网卡的地址,用于模拟服务器在出现端口或者
线路故障的时候,可以确保链路正常;Teaming mode:IEEE 802.3ad draft v1; 负载均
衡模式:动态模式;所有适配器都处于活动状态。
11.配置 Wdfsm 和 Wdfss 的 防火墙,仅允许配置的服务通过防火墙;
(三)
故障转移群集配置
【任务描述】
为提升网络并发数据处理能力、优化网络性能,请采用故障转移群集服务器,以保证网络
服务的灵活性和可用性。
1. 在 Wnode1 和 Wnode2 上利用 ISCSI 发起器同时发现 BDC 的虚拟磁盘 iSCSIForFTP 和
Quorum,并对磁盘进行初始化和创建卷,设置驱动器号为 P 和 Q,完成格式化 NTFS 的
操作。创建名称为 WinCluster 的群集,其 IP 地址为 119.129.237.100;配置文件服务器
角色,名称为 WinClusterFiles,其 IP 地址为 119.129.237.101;
2. 在 Wnode1 和 Wnode2 上分别安装 FTP 服务,负责公司日常外部文件处理。新建一个
FTP 站点:名称为:SkillsFTP,主目录为 P:\ftproot,不允许匿名登录,不限制上传下载
速度;FTP 站点欢迎消息为:“欢迎访问网络搭建 FTP 服务器!”,并且用命令浏览文件时
使用 UNIX 方式显示,日志文件记录到 P:\LogFiles 目录下;为每个部门创建一个文件夹,
名称为该部门的中文名称,设置每个部门对自己部门文件夹可以读、写、执行;创建一个
名为 everyone 文件夹,该文件夹所有用户只有下载权限,管理部用户可以上传和下载。
3. 配置 Wnode1 和 Wnode2 的 防火墙,仅允许配置的服务通过防火墙。 19 / 29
(四)
对外连接服务器配置
【任务描述】
为企业外出、休假、下班的员工提供远程连接回公司上班的路径,使其可以访问公司内部
网络。
1. 在 W 上安装及配置 VPN 服务,仅允许 Layer 2 Tunneling Protocol 连接,预共享密
钥为 Netw@rk2021。
2. 客户端连接成功后获得的内部地址范围为:119.129.237.230-119.129.237.250;
3. 使用管理部用户作为 VPN 登录认证用户。
4. 配置 W 的防火墙,仅允许配置的服务通过防火墙;禁止 ICMP 回显请求;
三、 Linux 服务器配置(165 分)
(一)
核心域控制器群集
【任务描述】
为实现高效管理,请采用轻型目录访问协议,提升企业网络安全性,整合局域网内基于网
络的资源。
1. 配置 ldc 为 Linux 端的域控制器,使用 LDAP 作为统一认证服务,启用 SSL 模式,只允许
使用域名的方式访问 LDAP,集成 Kerberos 的方式作为认证中心,域名为 bigone.com,
并且建立用户 linuxadmin 作为管理用户;安装 Bind 服务,并且在 chroot 模式下运行;
开启通知辅助 DNS 服务器自动更新数据文件的功能;为所有的 Linux 服务器提供正反向
解析;配置转发器,当遇到 smalltwo.com 域名查询时,转发到 Windows 服务器 DNS 20 / 29
上,其他则转发至 8.8.8.8 的 DNS 服务器;仅向 Windows 和 Linux 网段提供查询服务;
安装 Chrony 服务,仅为 Windows、Linux 和总公司业务网段提供时钟服务。
2. 在 ldc 的 LDAP 上创建组织单位和用户组,采用对应部门名称的中文全拼命名,每个组创
建 2 个用户,人力部用户:hr1~hr2、营销部用户:sale1~sale2、财务部用户:
fin1~fin2; 技术部用户:te1~te2。
3. 配置 ldc 为证书服务,设置为根 CA,有效期 2 年,通用名称为 CA;为 Linux 服务器颁发
证书,证书的通用名称均用主机的完全合格域名,证书的其他信息:
(1) 组织=“skillsjnds”。
(2) 组织单位=“system”。
(3) 城市/地点=“GuangZhou”。
(4) 省/市/自治区=“GuangDong”。
(5) 国家/地区=“CN”。
4. 把所有的 Linux 主机加入到 bigone 域
5. 配置 lbdc 作为 Linux 的备份域控制中心,对 ldc 建立备份 LDAP 控制器与备份 KDC;安
装 Bind 服务,作为 ldc 的辅助 DNS,并且要求复制过来的区域文件的文件格式为文本格
式,使得可以为 ldc 分担压力;配置 lbdc 为从 CA,通用名称为 BCA,让 lbdc 也拥有签
发 CA 证书的权力。
6. 所有 Linux 服务器的时区设为“上海”。
7. 开启 ldc 和 lbdc 的防火墙和 selinux 保护系统安全。
(二)
文件与通信服务配置 21 / 29
【任务描述】
为让不同的客户端及服务端共同进行文件与硬盘的共享,为公司设置后端底层存储与应用存
储使得公司可以对文件资源统一管理。
1. 配置 liscsi 为 iSCSI 目标服务器,添加 3 块硬盘,每块硬盘大小为 10G,组成 Raid5,将
所有空间划分给 iSCSI,设置服务端 iqn 为 iqn.2021-04.com.bigone.iscsi:server,客户
端 iqn 为 iqn.2021-04.com.bigone.iscsi:client;
2. 配置 lfile 为 iSCSI 客户端,实现 discovery chap 和 session chap 双向认证,服务器认证
用 户 名 为 LinuxServerUser , 密 码 为 ServerPassword ; 客 户 端 认 证 用 户 名 为
LinuxClientUser,密码为 ClientPassword。实现多路径访问,路径别名为 mulitscsi,选
择方式为轮询。
3. 在 lfile 的 iSCSI 中,为实现后续扩展,将物理块大小设置为 128M,指定 VG 名为 ShareDisk,
并且将其分为两个逻辑卷,每个逻辑卷分配 40 个 PE,第一个逻辑卷名为 iscsiforsamba,
第二个逻辑卷名为 iscsifornfs;将第一个逻辑卷挂载到/mnt/samba,第二个逻辑卷挂载
到/mnt/nfs 文件夹下,实现开机自动挂载,并且为网络设备的属性。
4. 配置 lfile 为 Samba 服务器,配置集成 LDAP 模式,将所有验证用户交由 LDAP 控制器进
行用户身份验证;新建共享,建立共享目录/mnt/samba/te,共享名为 te_share,只有技
术部组可以对其进行上传下载等操作。
5. 配置 lfile 为 nfs 服务器,创建如下目录。
6. 开启 liscsi 和 lfile 的防火墙和 selinux 保护系统安全。
(三)
FTP 服务器群集服务配置
【任务描述】
为实现群集文件资源的高可用性,配置 KeepAlive 保障企业内部安全的文件传输协议能
不间断的运行。
1. 配置 lftp1,
lftp2 服务器分别挂载 lfile 中 NFS 的 ftp 文件夹到/ftp 目录,要求使用域名方
式替代 IP 地址挂载,实现开机自动挂载,并且是网络设备的属性。
2. 在 lftp1、lftp2 上分别添加安装一块网卡,第一块网卡和第二块网卡为提供链路聚合网卡,
完成链路聚合操作,名称为“nicteam”,并且 IP 设置为表 4 第一个网卡的地址,使用网
卡绑定模式使用负载均衡模式;
3. 配置 lftp1 为 FTP 服务器,创设 FTP 服务站点,域名为 ftp.bigone.com,匿名用户主目
录为 /ftp/everyone,允许匿名用户访问,并且匿名用户不需要输入密码即可登陆;开启
ftp 支持被动数据传输模式,端口使用 30000-30050;强制匿名用户登陆与数据传输流量
通过 SSL 连接,SSL 证书由 ldc 进行签发,通用名称为 ftp.bigone.com,证书文件名为
bigoneftp,存放至 /ftp/pki 目录下。
4. 安装 lftp1 的 KeepAlived 服务,配置为主服务器,路由标识为 ftp_server,优先级为 200,
虚拟路由编号为 100,vrrp 实例使用密码进行验证,密码为 Pass2021,抢占周期为 1 秒,
kdc 加密方式为 krb5p;
/mnt/nfs/ftp
允许所有服务器进行读写操作,开启同步功能。
kdc 加密方式为 krb5p; 23 / 29
绑定链路聚合后的网络接口,漂移 IP 为聚合网段的第 100 个可用地址;
5. 配置 lftp2 为 FTP 服务器,创设 FTP 服务站点,域名为 ftp.bigone.com,匿名用户主目
录为 /ftp/everyone,允许匿名用户访问,并且匿名用户不需要输入密码即可登陆;开启
ftp 支持被动数据传输模式,端口使用 30000-30050;强制匿名用户登陆与数据传输流量
通过 SSL 连接,SSL 证书使用 lftp1 上的已被 ldc 签发的证书。
6. 安装 lftp2 的 KeepAlived 服务,配置为备份服务器,路由标识为 ftp_server,优先级为
100,虚拟路由编号为 100,vrrp 实例使用密码进行验证,密码为 Pass2021,抢占周期为
1 秒,绑定链路聚合后的网络接口,漂移 IP 为聚合网段的第 100 个可用地址;
7. 开启 lftp1 和 lftp2 的防火墙和 selinux 保护系统安全。
(四)
LAMP 服务群配置
【任务描述】
为了运行动态网站,配置 Web 应用软件组合,请采用 LAMP 服务器群组,实现对企业网
站的安全有效访问。
1. 配置 lweb1,lweb2 服务器分别挂载 lfile 中 NFS 的 http 文件夹到/http 目录,实现开机
自动挂载,要求使用域名方式替代 IP 地址挂载,并且是网络设备的属性。
2. 为 lweb1 安装 httpd 服务,并使得 apache 集成 PHP 环境,在/http/conf 目录下新建自
定义配置文件名为 web.bigone.com.conf,建立虚拟主机站点 www.bigone.com,以 root
用户的单独任务方法将 /http/site 文件夹中的所有文件每天 0 点以取消交互方式复制到网
站主目录,其网站主目录为/data/www,配置安全规则使得系统永久具有读写 /data 目 24 / 29
录 内 容 的 权 限 , 并 且 对 /data 目 录 下 的 所 有 文 件 同 样 具 有 该 权 限 , 主 页 名 字为
bigonebgp.php,首页内容为:
echo $showtime=date("Y-m-d H:i:s");
echo "
";
";
echo $_SERVER['HTTP_HOST'];
echo "
";
";
echo "this is my site!!!";
?>
3. lweb1 的 http 使 用 ldc 签 发 的 证 书 /http/key/web1.bigone.com.crt 和 私 钥
/http/key/web1.bigone.com.key,设置其通用名称为 web1.bigone.com,要求只允许
使用域名通过 SSL 加密访问。
4. 配置 lweb1 为 Mariadb 服务器,设置其服务器 ID 号为 1,设置开启 SSL 连接,证书使用
ldc 签发的证书,存放的位置为/etc/pki/tls/certs/,名称为 SQL-MariaDB,创建数据库
辅助用户 Mariadbslave,用于 Mariadb 从服务器的连接,在任意机器上对所有数据库有
完全权限。
5. 在 lweb1 的 Mariadb 服务器上创建数据库为 schooldb;在库中创建表为 studentinfo,
在表中创建 2 个用户,分别为(1,student01,2113,2004-8-8,女),(2, student02,
2113,2005-6-9),口令与用户名相同,表结构如下;
6. 要求 password 字段以 MD5 密文显示
7. 在 lweb1 上将表 studentinfo 中的记录导出,存放到/var/databak/mysql.sql 文件并且清
空数据表。
8. 为 lweb2 安装 httpd 服务,并使得 apache 集成 PHP 环境,配置文件直接使用/http/conf
的配置文件,主页文件、证书配置和存放路径与 lweb1 一致,但证书通用名称为
web2.bigone.com;
9. 配置 lweb2 为 Mariadb 服务器,设置其服务器 ID 号为 2,设置开启 SSL 连接,证书使用
ldc 签发的证书,名称为 SQL-MariaDB.crt,存放的位置为/etc/pki/tls/certs/,设置为
lweb2 上 Mariadb 的的工作模式为辅助模式,设置主服务器为 lweb1 上的 Mariadb,将
lweb1 上的 schooldb 数据库导出,导入至辅助服务器上。
10.在辅助服务器上,修改表 studentinfo 的结构,在 birthday 字段后插入字段 age,数据类
型为 int,长度为 3,非空。
11.在辅助服务器端创建两个用户,分别为(student03, 2114, 2005-7-1, 15), (student04,
2114, 2004-8-1, 16)
12.开启 lweb1 和 lweb2 的防火墙和 selinux 保护系统安全。 26 / 29
(五)
Tomcat 配置
【任务描述】
为了 JSP 程序的开发和调试,请采用 Tomcat 服务器,实现基于 Java 平台 web 应用服
务的搭建和应用。
1. 配置 loa 为 Tomcat 服务器,安装 tomcat 、
jdk 和 jre(软件包在 D:\Soft 下),设置其安
装路径为/usr/local/bin 目录下,安装完成后,配置 JAVA 环境变量。
2. 通过配置要求仅允许使用域名加密的方法正常访问且页面信息正确无误,保证用户可使用
浏览器浏览 tomcat 默认主页,并且设置端口为 443。
3. 证书由 ldc 颁发,证书格式为 JKS,保存到 tomcat 目录下/certs/oa 文件夹中,通用名称
为 oa.bigone.com,证书文件名为 oa.keystore,允许用户可以通过 https 访问。
4. 开启 loa 的防火墙和 selinux 保护系统安全。
(六)
对外服务器配置
【任务描述】
为了保护内网主机,现在配置对外服务器保障内部服务器的安全,并且对其进行调优。
1. 配置 lwww 为负载均衡服务器,使用 apache 反向代理功能,设置代理 lweb1 和 lweb2
的 WEB 服 务 , 设 置 lweb1 权 重 为 1 , lweb2 权 重 为 2 ; 设 置 配 置 文 件 名 为
www.bigone.com.conf;设置群集名称为 mulinuxcluster,申请服务器证书,通用名称
为 www.bigone.com.key,证书存放在/etc/pki/tls/certs/上;配置当访问 http 的时候自
动跳转到 https,并且配置网站收到 http 请求后,要求收到这个请求后一小时内凡是访问
这个域名下的请求都用 https 请求。 27 / 29
2. 配置 lwww 为 squid 反向代理服务端,端口为 8081,采用 ufs 缓存机制,缓存目录设置
为/cache,目录容量为3GB,
L1及L2级目录数量分别为16及256,定义高速缓存值为1024
MB。指定目标服务器地址为 loa 的域名,后端端口为 443,别名为 oa,允许最大连接数
为 100、权值为 5,当用户请求 http://www.bigone.com:8081 时,转发到别名为 oa 的
真实服务器上
3. 开启 lwww 的防火墙和 selinux 保护系统安全
(七)
邮件服务器
【任务描述】
为保障公司邮件的安全,请利用 ssl 在 lmail 服务器上安装配置 Postfix 邮件服务,具体
要求为:
1. 允许 bigone 域内技术部与人力部用户发送邮件;
2. 邮件服务器的域名后缀为 bigone.com;
3. 设置邮件服务器仅支持 smtps 和 pop3s 协议连接,证书存放在/etc/posftfix/ca 文件夹;
4. 拒收来自 windows 域的邮件。
(八)
转发服务器
【任务描述】
为保障存储网络的安全,设置以 SDN 的方式为存储网络的数据和安全提供保护。
5. 配置 lwww 为存储网络的网关服务器,为存储网络配置路由,开启路由转发功能,只允许
存储网络可以拥有访问到 windows 域控制器,文件服务器、Linux 域控制器和需要用到
Linux 存储网络的主机路由,并且合理配置可以访问到存储网络的服务器路由; 6. 配置 lwww 为转发服务器,需要远程 ssh 控制 liscsi 和 lfile 的服务器,需要分别通过本服
务器的 3333、4444 端口转发访问。
配置 lwww 为转发服务器,需要远程桌面控制 bdc、dfsm 和 dfss 的服务器,需要通过
本服务器可靠连接的 6666、7777 和 8888 端口转发访问。
28 / 29 29 / 29
职业规范与素养
(本部分 20 分)
一、 整理赛位,工具、设备归位,保持赛后整洁有序;
二、 撰写项目实施总结报告。
请参考 PC1 的 D:\soft 文件夹中《项目实施总结报告模板》,撰写完成后将文
件存放到 PC1 桌面上的“XX_项目实施总结报告”(
XX 为赛位号)文件夹中。