（全国职业技能比赛：高职）GZ073网络系统管理赛项赛题第9套B模块.docx

（全国职业技能比赛：高职）GZ073网络系统管理赛项赛题第9套B模块.docx

《（全国职业技能比赛：高职）GZ073网络系统管理赛项赛题第9套B模块.docx》由会员分享，可在线阅读，更多相关《（全国职业技能比赛：高职）GZ073网络系统管理赛项赛题第9套B模块.docx（16页珍藏版）》请在冰豆网上搜索。

2023年全国职业院校技能大赛

GZ073网络系统管理赛项

赛题第9套

模块B：

服务部署

目录

一、 Windows初始化环境 1

（一）默认账号及默认密码 1

（二）操作系统配置 1

二、 Windows项目任务描述 1

（一）拓扑图 1

（二）网络地址规划 2

三、 Windows项目任务清单 2

（一）服务器IspSrv上的工作任务 2

1. 互联网访问检测服务器 2

2. ftp服务配置 2

（二）服务器RouterSrv1上的工作任务 2

1. 路由功能 2

2. 虚拟专用网络 2

3. 动态地址分配中继服务 3

（三）服务器AppSrv上的工作任务 3

1. RDS 3

2. 万维网服务 3

3. 文件共享 3

4. DFS 4

5. FTP 4

6.WebPrint 4

7.iSCSI 4

（四）服务器DC1&DC2上的工作任务 4

1. 活动目录域服务 4

2. 证书颁发机构 5

3. NPS（网络策略服务） 5

4. DNS（域名解析服务） 5

5. 磁盘管理 5

6. 组策略 5

（五）服务器IOMSrv上的工作任务 5

（六）客户端InsideCli上的工作任务 6

（七）客户端OutsideCli上的工作任务 6

四、 Linux初始化环境 6

1.默认账号及默认密码 6

2.操作系统配置 6

五、 Linux项目任务描述 7

（一）拓扑图 7

（二）网络地址规划 7

ISPSRV（UOS） 7

六、 Linux项目任务清单 8

（一）服务器IspSrv工作任务 8

DHCP 8

DNS 8

WEB服务 8

（二）服务器RouterSrv上的工作任务 9

DHCPRELAY 9

ROUTING 9

SSH 9

IPTABLES 9

CA 9

OpenVPN 9

（三）服务器AppSrv上的工作任务 10

SSH 10

DHCP 10

DNS 10

WEB服务 10

MariadbBackupScript 11

MAIL 11

Chrony 11

（四）服务器StorageSrv上的工作任务 12

SSH 12

DISK 12

NFS 12

SAMBA 12

LDAP 12

ShellScript 12

（五）服务器IOMSrv工作任务 12

（六）客户端OutsideCli和InsideCli工作任务 13

OutsideCli 13

InsideCli 13

一、Windows初始化环境

（一）默认账号及默认密码

Username:

Administrator

Password:

ChinaSkill23!

Username:

demo

Password:

ChinaSkill23!

注：

若非特别指定，所有账号的密码均为ChinaSkill23!

（二）操作系统配置

Region:

China

Locale:

EnglishUS（UTF-8）

KeyMap:

EnglishUS

注意：

当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。

二、Windows项目任务描述

你作为技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。

你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。

任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：

（一）拓扑图

（二）网络地址规划

服务器和客户端基本配置如下表，各虚拟机已预装系统。

主机名

所在域

网络地址

DNS

网关

DCServer

192.168.100.100/24

127.0.0.1

192.168.100.254

SDCServer

192.168.100.200/24

127.0.0.1

192.168.100.254

AppSrv

192.168.200.100/24

192.168.100.100

192.168.100.200

192.168.200.254

RouterSrv1

192.168.100.254/24

192.168.0.254/24

192.168.200.254/24

100.100.100.251/24

192.168.100.100

无

IspSrv

保持工作组状态

100.100.100.100/24

127.0.0.1

无

InsideCli

192.168.0.0/24

（dhcp）

192.168.100.100

192.168.100.200

192.168.0.254

OutsideCli

保持工作组状态

100.100.100.10/24

100.100.100.100

100.100.100.254

三、Windows项目任务清单

（一）服务器IspSrv上的工作任务

1.互联网访问检测服务器

Ÿ为了模拟Internet访问测试，请搭建网卡互联网检测服务。

2.ftp服务配置

Ÿ安装FTP服务，新建一个FTP站点，并建立用户soft1、soft2，密码均为ftp123；

ŸŸFTP站点主目录为D:

\ftproot，通过启用隔离用户功能，使用用户名目录的方式实现用户soft1与soft2和匿名方式登录FTP站点时，匿名方式只能浏览到“Public”子目录中的内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹；

ŸŸftp站点使用预共享密钥加密通信通道，否则将不能访问

Ÿ设置FTP最大客户端连接数为100。

设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟；

（二）服务器RouterSrv1上的工作任务

1.路由功能

Ÿ开启路由转发，为当前实验环境提供路由功能。

2.虚拟专用网络

Ÿ设置L2TP/IPSec，IKE通道采用证书进行验证。

ŸL2TP通道使用域内用户进行身份验证，仅允许manager组内用户通过身份证验证。

Ÿ对于vpn客户端，请使用范围192.168.1.200-192.168.1.220/24。

3.动态地址分配中继服务

Ÿ安装和配置Dhcprelay服务，为办公区域网络提供地址上网。

ŸDHCP服务器位于AppSrv服务器上。

（三）服务器AppSrv上的工作任务

1.RDS

Ÿ在RouterSrv安装和配置RDS服务，用户通过“

Ÿ该页面无证书警告。

Ÿ用户可以获取以下应用：

Notepad

2.万维网服务

Ÿ在RouterSrv1上搭建网站服务器。

Ÿ将访问的http的请求重定向到站点。

Ÿ网站内容设置为“该页面为测试页！

”。

Ÿ将当前web根目录的设置为d:

\wwwroot目录。

Ÿ启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。

Ÿ设置“

Ÿ使用W3C记录日志；每天创建一个新的日志文件，文件名格式:

Ÿ日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；

Ÿ日志文件存储到“C:

\WWWLogFile”目录中。

3.文件共享

Ÿ创建用户主目录共享文件夹：

Ÿ本地目录为d:

\share\users\，允许所有域用户可读可写。

在本目录下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到H卷。

Ÿ禁止用户在该共享文件中创建“*.exe,*.bat,*.sh”文件。

Ÿ创建manager组共享文件夹：

Ÿ本地目录为d:

\share\managers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。

Ÿ创建public-share公共共享文件夹：

Ÿ本地目录为d:

\share\public-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限。

4.DFS

Ÿ在AppSrv上安装及配置DFS服务。

Ÿ目录设置在F：

\DFSsharedir。

Ÿ配置DFS复制，使用DC1作为次要服务器，复制方式配置为交错拓扑。

Ÿ在F：

\DFSsharedir文件夹内新建所有部门的文件夹。

Ÿ所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。

ŸManagement用户组用户可以访问全局的文件夹。

5.FTP

Ÿ安装FTP服务，新建一个FTP站点，并建立用户soft1、soft2，密码均为ftp123；

ŸFTP站点主目录为D:

\ftproot，通过适当技术实现用户soft1与soft2通过匿名方式登录FTP站点时，只能浏览到“Public”子目录中的内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹；

Ÿ设置FTP最大客户端连接数为100。

设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟；

6.WebPrint

Ÿ添加一台虚拟打印机，名称为“SD-Print”，发布到AD域。

Ÿ客户端们都能够通过访问“

7.iSCSI

Ÿ创建100G的ISCSI磁盘，存储到R盘目录下的iSCSI文件夹；

Ÿ启用MutualCHAP认证

ŸServer03为iSCSI客户端，连接成功后，格式化挂载到F盘。

（四）服务器DC1&DC2上的工作任务

1.活动目录域服务

Ÿ在DC1和DC2服务器上安装活动目录域服务，并且提升该操作系统为域控制器。

Ÿ活动目录域名为：

。

Ÿ域用户能够使用[username]@进行登录。

Ÿ创建一个名为“CSK”的OU，并新建以下域用户和组：

sa01-sa20，请将该用户添加到sales用户组。

ma01-ma10，请将该用户添加到manager用户组。

不允许除manager 组以外的所有用户隐藏C盘。

不允许除manager 组以外的所有普通给用户禁止使用cmd。

Ÿ所有的服务器不需要按ctrl+alt+del；

Ÿ关闭所有的机器的睡眠功能。

Ÿ所有用户组织禁止修改InternetExplorer的代理服务器设置。

Ÿ域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。

2.证书颁发机构

Ÿ在DC1服务器上安装证书办法机构。

Ÿ定义名称：

csk2022-rootca。

Ÿ证书颁发机构有效期：

3years。

Ÿ为域内的web站点颁发web证书。

Ÿ当前拓扑内所有机器必须信任该证书颁发机构。

Ÿ所域内所有计算机自动颁发一张计算机证书。

3.NPS（网络策略服务）

Ÿ在DC1上安装网络策略服务作为VPN用户登录验证。

Ÿ仅允许L2TP/IPSECVPN进行VPN连接访问验证。

Ÿ认证、授权日志将存储到DC1上的“C:

\NPS\”目录下。

4.DNS（域名解析服务）

Ÿ拓扑中所有主机的DNS查询请求都应由IspSrv进行解析。

5.磁盘管理

Ÿ在DC2上安装及配置软RAID5。

Ÿ在安装好的DC2虚拟机中添加三块10G虚拟磁盘。

Ÿ组成RAID5，磁盘分区命名为卷标H盘：

Raid5。

Ÿ手动测试破坏一块磁盘，做RAID磁盘修复，确认RAID5配置完毕。

6.组策略

Ÿ禁止调用任务管理器

Ÿ无须按Ctrl+Alt+Del

Ÿ拒绝用户对任何可移动存储类的权限

Ÿ不允许登录和使用Microsoft账户

Ÿ记录用户最后登录的信息以及登录失败的情况

（五）服务器IOMSrv上的工作任务

Ÿ图形界面登陆IOMSrv运维平台，登陆地址http:

//192.168.200.200；

Ÿ通过Windows代理模板，添加DC1Server、DC2Server操作系统监控对象，查看运行状态。

Ÿ通过中间件IIS模板，添加IIS监控对象，查看运行状态。

Ÿ通过新增WEB探测对象，监控门户网站，查看运行状态。

Ÿ基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。

（六）客户端InsideCli上的工作任务

Ÿ按照要求将该主机加入到对应区域的域。

Ÿ设置电源配置，以便客户端在通电的情况下，永不进入睡眠。

Ÿ该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。

（七）客户端OutsideCli上的工作任务

Ÿ该主机不允许加入域。

Ÿ添加一个名为Connect-VPN的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。

Ÿ设置电源配置，以便客户端在通电的情况下，永不进入睡眠。

Ÿ该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。

四、Linux初始化环境

1.默认账号及默认密码

Username:

root

Password:

ChinaSkill23!

Username:

skills

Password:

ChinaSkill23!

注：

若非特别指定，所有账号的密码均为ChinaSkill23!

2.操作系统配置

所处区域：

CST+8

系统环境语言：

EnglishUS（UTF-8）

键盘：

EnglishUS

注意：

当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。

控制台登陆后不管是网络登录还是本地登录，都按下方欢迎信息内容显示

*********************************

ChinaSkills2023–CSK

ModuleCLinux

>>hostname<<

>>OSVersion<<

>>TIME<<

*********************************

五、Linux项目任务描述

你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。

你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。

任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：

（一）拓扑图

（二）网络地址规划

服务器和客户端基本配置如下表，各虚拟机已预装系统。

ISPSRV（UOS）

Ÿ完全限定域名：

ispsrv

Ÿ普通用户/登录密码：

skills/ChinaSkill23

Ÿ超级管理员/登录密码：

root/ChinaSkill23

Ÿ网络地址/掩码/网关：

81.6.63.100/24/无

AppSrv（Centos）

Ÿ完全限定域名：

Ÿ普通用户/登录密码：

skills/ChinaSkill23

Ÿ超级管理员/登录密码：

root/ChinaSkill23

Ÿ网络地址/掩码/网关：

192.168.100.100/24/192.168.100.254

STORAGESRV（Centos）

Ÿ完全限定域名：

Ÿ普通用户/登录密码：

skills/ChinaSkill23

Ÿ超级管理员/登录密码：

root/ChinaSkill23

Ÿ网络地址/掩码/网关：

192.168.100.200/24/192.168.100.254

ROUTERSRV（Centos）

Ÿ完全限定域名：

Ÿ普通用户/登录密码：

skills/ChinaSkill23

Ÿ超级管理员/登录密码：

root/ChinaSkill23

Ÿ网络地址/掩码/网关：

192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无

INSIDECLI（Centos）

Ÿ完全限定域名：

Ÿ普通用户/登录密码：

skills/ChinaSkill23

Ÿ超级管理员/登录密码：

root/ChinaSkill23

Ÿ网络地址/掩码/网关：

DHCPFromAppSrv

OUTSIDECLI（UOS）

Ÿ完全限定域名：

Ÿ普通用户/登录密码：

skills/ChinaSkill23

Ÿ超级管理员/登录密码：

root/ChinaSkill23

Ÿ网络地址/掩码/网关：

DHCPFromIspSrv

六、Linux项目任务清单

（一）服务器IspSrv工作任务

DHCP

Ÿ为OutsideCli客户端网络分配地址，地址池范围：

81.6.63.110-81.6.63.190/24；

Ÿ域名解析服务器：

按照实际需求配置DNS服务器地址选项；

Ÿ网关：

按照实际需求配置网关地址选项；

DNS

Ÿ安装BIND9；

Ÿ配置为DNS根域服务器；

Ÿ其他未知域名解析,统一解析为该本机IP；

Ÿ创建正向区域“”；

Ÿ类型为Slave；

Ÿ主服务器为“AppSrv”；

WEB服务

Ÿ安装nginx软件包；

Ÿ配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；

Ÿ网站根目录为/mut/crypt（目录不存在需创建）；

Ÿ启用FastCGI功能，让nginx能够解析php请求；

Ÿindex.php内容使用Welcometo2023ComputerNetworkApplicationcontest!

（二）服务器RouterSrv上的工作任务

DHCPRELAY

Ÿ安装DHCP中继；

Ÿ允许客户端通过中继服务获取网络地址；

ROUTING

Ÿ开启路由转发，为当前实验环境提供路由功能。

Ÿ根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。

SSH

Ÿ工作端口为2021；

Ÿ只允许用户user01，密码ChinaSkill23登录到router。

其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。

Ÿ通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。

Ÿ记录用户登录的日志到/var/log/ssh.log，日志内容要包含：

源地址，目标地址，协议，源端口，目标端口。

IPTABLES

Ÿ添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。

ŸINPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。

Ÿ配置源地址转换允许内部客户端能够访问互联网区域。

CA

•CA根证书路径/CA/cacert.pem；

•签发数字证书，颁发者信息：

国家=CN

单位=Inc

组织机构=

公用名=SkillGlobalRootCA

•创建用户组ldsgp,将zsuser、lsusr、wuusr添加到组内。

Ÿ

OpenVPN

ŸVPN客户端只能与InsideCli客户端网段通信，允许访问StorageSrv主机上的

ŸSAMBA服务，允许访问AppSrv上的dns服务；

ŸVPN客户端可使用的地址范围是：

172.16.0.100-172.16.0.120/24；

Ÿ在OutsideCli上创建连接服务“openvpn@csk.services”。

（三）服务器AppSrv上的工作任务

SSH

Ÿ安装SSH，工作端口监听在2101。

Ÿ仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。

Ÿ在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。

DHCP

Ÿ为InsideCli客户端网络分配地址，地址池范围：

192.168.0.110-192.168.0.190/24；

Ÿ域名解析服务器：

按照实际需求配置DNS服务器地址选项；

Ÿ网关：

按照实际需求配置网关地址选项；

Ÿ为InsideCli分配固定地址为192.168.0.190/24。

DNS

Ÿ为域提供域名解析。

Ÿ为、和提供解析。

Ÿ启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。

Ÿ请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。

WEB服务

Ÿ安装WEB服务；

Ÿ服务以用户webuser系统用户运行；

Ÿ限制web服务只能使用系统500M物理内存；

Ÿ全站点启用TLS访问，使用本机上的“CSKGlobalRootCA”颁发机构颁发，网站证书信息如下：

C=CN

ST=China

L=BeiJing

O=skills

OU=OperationsDepartments

CN=*

Ÿ客户端访问https时应无浏览器（含终端）安全警告信息；

Ÿ当用户使用http访问时自动跳转到https安全连接；

Ÿ搭建站点；

Ÿ网页文件放在StorgeSrv服务器上；

Ÿ在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；

ŸMariaDB数据库管理员信息：

User:

root/Password:

ChinaSkill23!

。

Ÿ创建网站站点;

Ÿ仅允许ldsgp用户组访问；

Ÿ网页文件存放在StorageSrv服务器上；

Ÿ在该站点的根目录下创建以下文件“test.mp3,test.mp4,test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列