资源简介

2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第5套
模块B：服务部署
目 录
一、 Windows初始化环境 1
默认账号及默认密码 1
二、 Windows项目任务描述 1
（一）拓扑图 1
（二）网络地址规划 1
三、 Windows项目任务清单 2
（一）服务器IspSrv上的工作任务 2
1. 互联网访问检测服务器 2
（二）服务器RouterSrv1上的工作任务 2
1. 路由功能 2
2. 动态地址分配中继服务 2
3. 虚拟专用网络 3
4. RDS 3
（三）服务器AppSrv上的工作任务 3
（四）服务器DCSERVER&SDCSERVER上的工作任务 4
（五）服务器IOMSrv上的工作任务 5
（六）客户端InsideCli上的工作任务 5
（七）客户端OutsideCli上的工作任务 5
四、 Linux初始化环境 6
（一）默认账号及默认密码 6
（二）操作系统配置 6
五、 Linux项目任务描述 6
（一）拓扑图 7
（二）网络地址规划 7
六、 Linux项目任务清单 8
（一）服务器IspSrv工作任务 8
1. DHCP 8
2. DNS 8
3. WEB服务 8
（二）服务器RouterSrv上的工作任务 9
1. DHCP RELAY 9
2. ROUTING 9
3. SSH 9
4. IPTABLES 9
5. Web Proxy 9
（三）服务器AppSrv上的工作任务 10
1. SSH 10
2. DHCP 10
3. DNS 10
4. web服务 10
5. Mariadb Backup Script 11
6. MAIL 11
7. CA（证书颁发机构） 11
（四）服务器StorageSrv上的工作任务 12
1. SSH 12
2. DISK 12
3. NFS 12
4. VSFTPD 12
5. SAMBA 12
6. LDAP 12
7. ShellScript 13
（五）服务器IOMSrv工作任务 13
（六）客户端OutsideCli和InsideCli工作任务 13
1. OutsideCli 13
2. InsideCli 13
网络系统管理赛项-模块B：服务部署
Windows初始化环境
默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为ChinaSkill23!
Windows项目任务描述
你作为一名技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
主机名 所在域 网络地址 DNS 网关
DC1 192.168.100.100/24 127.0.0.1 192.168.100.254
DC2 192.168.100.200/24 127.0.0.1 192.168.100.254
AppSrv 192.168.200.100/24 192.168.100.100 192.168.100.200 192.168.200.254
RouterSrv1 192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24 192.168.100.100 无
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24 (dhcp) 192.168.100.100 192.168.100.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
Windows项目任务清单
（一）服务器IspSrv上的工作任务
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
磁盘管理
安装及配置软RAID5。
在安装好的IspSrv虚拟机中添加三块10G虚拟磁盘。
组成RAID5，磁盘分区命名为卷标F盘：Raid5。
手动测试破坏一块磁盘，做RAID磁盘修复；确认RAID5配置完毕。。
DNS（域名解析服务）
安装DNS服务；
IspSrv作为DNS的的根域
创建test1.com~，并在所有正向区域中创建一条A记录，解析到本机地址。
所有无法解析的域名均解析为本机地址
（二）服务器RouterSrv1上的工作任务
路由功能
开启路由转发，为当前实验环境提供路由功能。
动态地址分配中继服务
安装和配置dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于DC1和DC2服务器上。
虚拟专用网络
设置L2TP/IPSec，IKE通道采用证书进行验证。
L2TP通道使用域内用户进行身份验证，仅允许manager组内用户通过身份证验证。
对于vpn客户端，请使用范围192.168.1.200-192.168.1.220/24。
RDS
安装及配置DNS服务；
创建正向区域，添加必要的域名解析记录；
配置TXT记录，配置主时间控制服务记录；配置域名反向PTR；
为当前域网络创建反向查找区域；
RouterSrv主DNS服务器。
无法解析的域名统一交由IspSrv进行解析
（三）服务器AppSrv上的工作任务
万维网服务
在RouterSrv2上搭建网站服务器。
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
WSUS更新服务
安装WSUS更新服务，更新补丁目录设置为“c:\wsusbackup”。
创建更新组名称为“CHINASKILLS-WSUS”。
每天凌晨03:00下发自动更新。
更新服务器地址为“http://wsus.:8530”。
WebPrint
添加一台虚拟打印机，名称为“SD-Print”，发布到AD域。
客户端们都能够通过访问“http://print./”查看打印机。
DNS
安装DNS并配置为辅助DNS服务器；
RouterSrv为主要DNS服务器，动态复制；
定期复制主DNS服务器的记录；
RouterSrv离线后，自动切换为主要DNS服务器。
（四）服务器DCSERVER&SDCSERVER上的工作任务
活动目录域服务
在DC1和DC2服务器上安装活动目录域服务，并且提升该操作系统为域控制器。
设置PDC主机为DC2。
活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
ma01-ma10，请将该用户添加到manager用户组。
除manager组，移除关机和重启按钮；
除manager组，移除桌面垃圾桶按钮；
禁止客户端电脑显示用户首次登录动画。
所有用户的IE浏览器首页设置为“https://www.”。
所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。”。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
NPS（网络策略服务）
在DC1上安装网络策略服务作为VPN用户登录验证。
仅允许L2TP/IPSEC VPN进行VPN连接访问验证。
认证、授权日志将存储到DC1上的“C:\NPS\”目录下。
文件共享
创建用户主目录共享文件夹：
本地目录为d:\share\users\，允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到H卷。
禁止用户在该共享文件中创建“*.exe, *.bat, *.sh”文件。
创建manager组共享文件夹：
本地目录为d:\share\managers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。
创建public-share公共共享文件夹：
本地目录为d:\share\public-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限。
DFS membe端配置工作任务
在DC1和DC2上安装及配置DFS服务。
目录设置在H：\DFSsharedir。
配置交错拓扑。
在H：\DFSsharedir文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
RDS
在RouterSrv1安装和配置RDS服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
Notepad
（五）服务器IOMSrv上的工作任务
通过Windows代理模板，添加DC1Server、DC2Sserver、AppSrv操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站http://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-VPN的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
Linux初始化环境
（一）默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
（二）操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>System Version<<
>> TIME <<
*********************************
Linux项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV（UOS）
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv（Centos）
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
IOMSrv（Centos）
网络地址/掩码/网关：192.168.100.150/24/192.168.100.254
STORAGESRV（Centos）
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV（Centos）
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI（Centos）
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From IspSrv
Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
DNS
安装BIND9；
配置为DNS根域服务器；
其他未知域名解析，统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”；
WEB服务
安装nginx软件包；
配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
网站根目录为/mut/crypt（目录不存在需创建）；
启用FastCGI功能，让nginx能够解析php请求；
index.php内容使用Welcome to 2023 Computer Network Application contest!
（二）服务器RouterSrv上的工作任务
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
工作端口为2021；
只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
Web Proxy
安装Nginx组件；
配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
为www.配置代理前端，通过HTTPS的访问后端Web服务器；
后端服务器日志内容需要记录真实客户端的IP地址。
缓存后端Web服务器上的静态页面。
创建服务监控脚本：/shells/chkWeb.sh
编写脚本监控公司的网站运行情况；
脚本可以在后台持续运行；
每隔3S检查一次网站的运行状态，如果发现异常尝试3次；
如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101。
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
web服务
安装web服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统500M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: Chinaskill23!。
创建网站download.站点；
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
Mariadb Backup Script
脚本文件：/shells/mysqlbk.sh；
备份数据到/root/mysqlbackup目录；
备份脚本每隔30分钟实现自动备份；
导出的文件名为all-databases-20230213102333，其中20230213102333为运行备份脚本的当前时间，精确到秒。
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”， 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”， 邮件内容为“hello , mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
使用https://mail.网站测试邮件发送与接收。
CA（证书颁发机构）
CA根证书路径/csk-rootca/csk-ca.pem；
签发数字证书，颁发者信息：(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01、user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口3358；
添加用户user01 user02到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
VSFTPD
禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
用户webadmin，登录ftp服务器，根目录为/webdata/；
登录后限制在自己的根目录；
允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
用于通过工具或者浏览器下载的最大速度不超过100kb/s
一个IP地址同时登陆的用户进程/人数不超过2人。
SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
LDAP
安装slapd，为samba服务提供账户认证；
创建目录服务，并创建用户组ldsgp，将zsuser、lsusr、wuusr。
ShellScript
编写添加用户的脚本，存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号；
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等；
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（五）服务器IOMSrv工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.150；
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
作为网站访问测试的客户端，安装firefox浏览器，curl命令行测试工具；
作为SSH远程登录测试客户端，安装ssh命令行测试工具；
作为SAMBA测试的客户端，使用图形界面文件浏览器测试，并安装smbclient工具；
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具；
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
作为网站访问测试的客户端，安装firefox浏览器，curl命令行测试工具；
作为SSH远程登录测试客户端，安装ssh命令行测试工具；
作为SAMBA测试的客户端，使用图形界面文件浏览器测试，并安装smbclient工具；
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具；
截图的时候请使用上述提到的工具进行功能测试。
网络系统管理赛项-模块B：服务部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第7套
模块A：网络构建
目 录
任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 3
（四）出口网络配置 4
（五）网络运维配置 5
（六）SDN网络配置 5
附录1：拓扑图 6
附录2：地址规划表 7
任务清单
（一）基础配置
1.根据附录1、附录2，配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、admin1234；密码为明文类型,特权密码为admin。
3.交换机配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test”，只读的Community为“public”，开启Trap消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.为隔离部分终端用户间的二层互访，在交换机S1的Gi0/5-Gi0/16端口启用端口保护。
3.要求在吉林分部接入设备S1进行防环处理。具体要求如下：终端接口开启BPDU防护不能接收 BPDU报文；终端接口下开启 RLDP防止环路，检测到环路后处理方式为 Shutdown-Port；连接终端的所有端口配置为边缘端口；如果端口被 BPDU Guard检测进入 Err-Disabled状态，再过 300 秒后会自动恢复（基于接口部署策略），重新检测是否有环路。
4.在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继，使得本部PC1用户使用DHCP Relay方式获取IP地址。具体要求如下：DHCP服务器搭建于VSU上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback 0地址；为了防御动态环境局域网伪DHCP服务欺骗，在S1交换机部署DHCP Snooping功能。
5.为了防止伪 IP 源地址攻击， 导致出口路由器会话占满，要求S1交换机部署端口安全，接口Gi0/1只允许PC1通过。
6.在吉林分部交换机S1、S3、S4上配置MSTP防止二层环路；要求所有数据流经过S4转发，S4失效时经过S3转发。所配置的参数要求如下：region-name为test；revision版本为1；S3作为实例中的从根， S4作为实例中的主根；主根优先级为4096，从根优先级为8192；在S3和S4上配置VRRP，实现主机的网关冗余，所配置的参数要求如表1；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN30 30 192.1.30.254
VLAN100(交换机间) 100 192.1.100.254
7.S6和S7间部署虚拟化，其中S7为主，S6为备；规划S6和S7间的Gi0/48端口作为双主机检测链路，配置基于BFD的双主机检；主设备：Domain id：1,switch id:2,priority 150, description: S6000-2;备设备：Domain id：1,switch id:1,priority 120, description: S6000-1。
8.广州总部与吉林分部内网均使用OSPF协议组网，访问互联网均使用默认路由。具体要求如下：总部S5、AC1、AC2、EG1间运行OSPF，进程号为10；吉林分部EG2、S3、S4、S6/S7间运行OSPF，进程号为10； 要求业务网段中不出现协议报文；要求所有路由协议都发布具体网段；为了管理方便，需要发布Loopback地址;优化OSPF相关配置，以尽量加快OSPF收敛；重发布路由进OSPF中使用类型1。
9.吉林分部部署IPV6网络实现内网IPV6终端通过无状态自动从网关处获取地址；
10.在S3和S4上配置VRRP for IPv6，实现主机的IPv6网关冗余;VRRP与MSTP的主备状态与IPV4网络一致；IPV6地址规划如下表2：
表2 IPV6地址规划表
设备 接口 IPV6地址 VRRP组号 虚拟IP
S3 VLAN10 2001:193:10::252/64 10 2001:193:10::254/64
VLAN20 2001:193:20::252/64 20 2001:193:20::254/64
VLAN30 2001:193:30::252/64 30 2001:193:30::254/64
S4 VLAN10 2001:193:10::253/64 10 2001:193:10::254/64
VLAN20 2001:193:20::253/64 20 2001:193:20::254/64
VLAN30 2001:193:30::253/64 30 2001:193:30::254/64
11.由于公司在吉林设有分部。为总部及分部之间互联互通，申请运营商专线业务。针对运营商组网部署要求如下：R1、R2、R3部署IGP OSPF动态路由进程号为20，实现直连网段互联互通。
12.R1、R2、R3间部署BGP联盟,联盟AS号为100, 使用Loopback接口建立Peer;R1与R2的成员AS号为64512，R3的成员AS号为64523。
13.运营商R1、R2、R3各自通告EG1、EG2的直连网段到BGP中，以汇总B段静态路由的方式进行发布，当运营商路由器与EG直连链路断开时，可通过其他路由器与EG互通。
14.考虑到数据分流及负载均衡的目的，具体要求如下：可通过修改OSPF 路由COST达到分流的目的，且其值必须为5或10；吉林分部有线IPV4用户与互联网互通主路径规划为：S4-S7-EG2;主链路故障时可无缝切换到备用链路上。
（三）无线网络配置
CII集团公司拟投入9.5万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表3无线产品价格表，制定该无线网络工程项目设备的预算表。
表3 无线产品价格表
产品型号 产品特征 传输速率 （2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
4.使用S5作为广州总部无线用户和无线AP的DHCP 服务器。
5.创建财务部内网 SSID 为 test-CW_XX(XX现场提供)，WLAN ID 为1；创建研发部内网 SSID 为 test-YF_XX(XX现场提供)，WLAN ID 为2。
6.AP-Group为ZB，内网无线用户关联SSID后可自动获取地址。
7.本部AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去连接时能无缝切换至AC2并提供服务。
8.研发部用户接入无线网络时需要采用WPA2加密方式，加密密码为XX(现场提供)；
9.启用白名单校验，仅放通PC2无线终端。
10.要求内网无线网络均启用集中转发模式。
11.为了保障本部每个用户的无线体验，针对WLAN ID 1下的每个用户的下行平均速率为 800KB/s ，突发速率为1600KB/s。
12.配置AP3最大带点人数为30人。
13.通过时间调度，要求每周一至周五的21:00至23:30期间关闭研发部无线服务。设置AP2最小接入信号强度为-65dBm。
14.关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入。
（四）出口网络配置
1.出口网关及出口路由器上进行NAT配置实现总部与分部的所有用户(ACL 110)均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上。
2.广州总部EG1针对访问外网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过50Mbps（策略名称WEB）。
3.广州总部EG1基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。
4.广州总部EG1周一到周五工作时间09：00-17:00（命名为work）阻断并审计P2P应用软件使用（策略名称P2P）。
5.为了实现总部与分部互访数据的安全性，要求使用IPSec对总部到分部的数据流进行加密ACL（编号为101）。为此规划如下：要求使用动态隧道主模式，预共享密码为 test，加密认证方式为 ESP-3DES、ESP-MD5-HMAC，DH使用组2;总分机构间数据通信及加密通过运营商R1联通节点作为中转设备；总部无线IPV4用户与分部IPV4用户互通主路径规划为：AC1-S5-EG1-EG2-S7-S4(EG1/EG2间运行VPN隧道)。
6.本部与分部用户数据流匹配EG内置联通、电信与教育地址库，实现访问联通资源走联通线路，访问电信资源走电信线路，访问教育网资源走教育网线路。
7.除联通、电信、教育资源之外默认所有数据流在三条线路间进行负载转发。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控本部所有设备。
2.通过运维平台将被监控设备纳入监控范围；通过拓扑配置功能，将网络拓扑配置到平台中；
3.将S6、S7和EG2的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S2/S4构建SDN网络，S2连接SDN控制器的6653端口。
3.通过SDN控制器手工给S2下发流表项使其S2下终端可与业务网段互联互通。
附录1：拓扑图
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 VLAN10 Yanfa Gi0/1至Gi0/4 研发部
VLAN20 Xiaoshou Gi0/5至Gi0/8 销售部
VLAN30 Caiwu Gi0/9至Gi0/12 财务部
Vlan100 Manage 192.1.100.1/24 管理与互联VLAN
S2 VLAN10 Yanfa Gi0/1至Gi0/4 研发部
VLAN20 Xiaoshou Gi0/5至Gi0/8 销售部
VLAN30 Caiwu Gi0/9至Gi0/12 财务部
Gi0/24 SDN-Manage 192.168.1.3 SDN管理网段
S3 VLAN10 Yanfa 192.1.10.252/24 研发部
VLAN20 Xiaoshou 192.1.20.252/24 销售部
VLAN30 Caiwu 192.1.30.252/24 财务部
Vlan100 Manage 192.1.100.252/24 管理与互联VLAN
Gi0/24 10.1.0.1/30 　
LoopBack 0 　 11.1.0.33/32
S4 VLAN10 Yanfa 192.1.10.253/24 研发部
VLAN20 Xiaoshou 192.1.20.253/24 销售部
VLAN30 Caiwu 192.1.30.253/24 财务部
Vlan100 Manage 192.1.100.253/24 管理与互联VLAN
Gi0/24 10.1.0.5/30 　
LoopBack 0 　 11.1.0.34/32
S6/S7 Gi1/0/1 10.1.0.2/30
Gi2/0/1 10.1.0.6/30
Gi1/0/2 10.1.0.9/30
Gi2/0/2 10.1.0.13/30
LoopBack 0 　 11.1.0.67/32
EG1 Gi0/0 10.1.0.18/30
Gi0/2 20.1.0.1/29
Gi0/3 30.1.0.1/29
Gi0/4 40.1.0.1/29
LoopBack 0 　 11.1.0.11/32
EG2 Gi0/0 10.1.0.10/30
Gi0/1 10.1.0.14/30
Gi0/2 20.1.0.9/29
Gi0/3 30.1.0.9/29
Gi0/4 40.1.0.9/29
LoopBack 0 　 11.1.0.12/32
S5 VLAN10 AP 194.1.10.254/24
Gi0/1至Gi10
VLAN20 Caiwu_Wifi 194.1.20.254/24
VLAN30 Yanfa_Wifi 194.1.30.254/24
Vlan100 Manage 194.1.100.254/24
Gi0/24 10.1.0.17/30
LoopBack 0 　 11.1.0.5/32
AC1 Vlan100 Manage 194.1.100.251/24
LoopBack 0 　 11.1.0.204/32
AC2 Vlan100 Manage 194.1.100.252/24
LoopBack 0 　 11.1.0.205/32
R1 Gi0/0 20.1.0.6/29
Gi0/1 20.1.0.14/29
Gi1/0(vlan100) 12.1.0.1/30
Loopback0 11.1.0.1/32
R2 Gi0/0 30.1.0.6/29
Gi0/1 30.1.0.14/29
Gi1/0(vlan100) 12.1.0.2/30
Gi1/1(vlan101) 23.1.0.1/30
Loopback0 11.1.0.2/32
R3 Gi0/0 40.1.0.6/29
Gi0/1 40.1.0.14/29
Gi1/1(vlan101) 23.1.0.2/30
Loopback0 11.1.0.3/32
网络系统管理赛项 模块A：网络构建2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第4套
模块A：网络构建
目 录
一、任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 3
（四）出口网络配置 4
（五）网络运维配置 5
（六）SDN网络配置 5
附录1：拓扑图 6
附录2：地址规划表 7
一、任务清单
（一）基础配置
1.根据附录1、附录2，配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、Ruijie1234；密码为明文类型,特权密码为Ruijie123。
3.交换设备配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test1234”，只读的Community为“Public123”，开启Trap消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.在S7交换机使用Private Vlan。
3.在S3上只针对A公司涉密部门VLAN10网段与总部VLAN40网段流量（ACL编号100）做端口镜像，目的端口为Gi0/24，并且监控服务器也能正常访问互联网。
4.在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继。具体要求如下：DHCP服务器搭建于EG2上，DHCP对外服务使用loopback 0地址。
5.在交换机S3、S4上配置MSTP防止二层环路。要求VLAN10、VLAN20、VLAN30、VLAN40、VLAN100数据流经过S3转发，VLAN50、VLAN60数据流经过S4转发，S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下：region-name为test；revision版本为1；实例1，包含VLAN10、VLAN20、VLAN30、VLAN40、VLAN100；实例2，包含VLAN50,VLAN60；S3作为实例0、1中的主根，S4作为实例0、1的从根；S4作为实例2中的主根，S3作为实例2的从根；主根优先级为4096，从根优先级为8192；在S3和S4上配置VRRP，实现主机的网关冗余。所配置的参数要求如表1；S3、S4各VRRP组中高优先级设置为200，低优先级设置为110。
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN30 30 192.1.30.254
VLAN40 40 192.1.40.254
VLAN50 50 192.1.50.254
VLAN60 60 192.1.60.254
VLAN100 100 192.1.100.254
6.OSPF进程号10，规划单区域，,区域0（S3、S4、EG2）；OSPF进程号20，规划多区域，区域0（R1、R2），区域2（R1、R2、R3）；OSPF进程号30，规划单区域，区域0（AC1、EG1）。
7.总部与A公司互联链路规划至区域0，并且不允许新增OSPF进程。
8.为了方便管理，所有运行OSPF的设备router-id必须为loopback口地址。
9.S5、S6、S7使用RIP协议，RIP协议使用版本2，并且关闭自动聚合。
10.S5、S6、R1、R2使用BGP协议，BGP协议中S5、S6使用AS号100， R1、R2使用AS号200，同AS号内使用loopback口建立iBGP邻居，不同AS号使用互联接口建立eBGP邻居。
11.AC2/S4、EG1/EG2间部署静态路由协议；重发布路由进OSPF中使用类型1。
12.由于172.17.0.0/24是涉密业务网段，仅允许A公司内部访问，并且考虑到数据分流及负载均衡的目的，针对本部与分部数据流走向要求如下：
OSPF可以通过修改COST值的方式实现数据分流，并且其值为1或2;
禁止将BGP的路由条目通过重发布BGP AS方式引入RIP及OSPF中；
禁止将RIP、OSPF的路由条目通过重发布整个进程方式引入BGP中；
总部有线网段与数据中心服务器互通主路径为S3-R1-R3；
总部无线网段与数据中心服务器互通主路径为S4-R2-R3；
总部有线网络与互联网互通主路径为S3-EG2；
总部无线网络与互联网互通主路径为S4-EG2。
13.A公司涉密部门VLAN10网段与总部VLAN40网段间的互通主路径为S3-R1-S5-S7;A公司涉密部门与数据中心服务器互通的主路径为S7-S5-R1-R3;数据中心服务器与互联网互通的主路径为R3-R1-S3-EG2。
（三）无线网络配置
CII集团公司拟投入16.5万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表2无线产品价格表，制定该无线网络工程项目设备的预算表。
表2 无线产品价格表
产品型号 产品特征 传输速率
（2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
使用S3、S4为无线用户与AP DHCP服务器，S3分配地址范围为其网段的1至100，S4分配地址为其网段的101至200（使用最短的命令实现）。 使用AC1为办事处无线用户与AP DHCP服务器。
创建SSID (WLAN-ID 1)为 test-ZB_XX(XX现场提供)，AP-Group为ZB，本部无线用户关联SSID后可自动获取地址，启用WEB认证方。
创建SSID (WLAN-ID 2)为 test-BSC_XX(XX现场提供)，AP-Group为BSC，办事处无线用户关联SSID后可自动获取地址，启用802.1X认证方式。
为了减轻AC1的负担，因此AC2为主用AC，AC1为备用AC。
AP与AC1、AC2均建立隧道，当AP与主用AC失去连接时能无缝切换至备用AC并提供服务。
避免链路不稳定，导致AP工作不正常，总部启用无线AP边缘感知功能。
在同一个 AP 中的用户在某些时候出于安全性的考虑，需要将他们彼此之间进行隔离，实现用户之间彼此不能互相访问，配置同 下用AP户间隔离功能。
无线用户启用本地转发模式。
认证服务器（IP：192.1.100.100）建立总部认证用户user1,user2，分部认证用户user3,user4分别对应WEB、DOT1X认证；
（四）出口网络配置
1.总部出口网关上配置访问控制列表ACL 120，仅允许用户在周一到周五的上班时间（命名为work，9:00至17:00）通过NAPT访问互联网，NAPT映射到互联网接口上，服务器上网不受限制。
2.办事处出口网关上配置访问控制列表ACL120，允许用户通过NAPT访问互联网，NAPT映射到互联网接口上。
3.办事处网关上配置端口映射，使AC1（11.1.0.204）设备的SSH服务可以通过互联网被访问，映射地址为197.1.0.5:2222。
4.在总部网关上启用Web Portal认证服务，并创建user1、user2。
5.无线用户和服务器不需要进行WEB认证即可访问互联网。
6.部署L2TP隧道进行总部对办事处路由的对接验证，验证用户名密码均为test，L2TP隧道密码为test;L2TP用户地址池为10.1.2.1—10.1.2.254;L2TP隧道中承载OSPF协议，使其总部与办事处通过OSPF进行路由交互，区域号1。
7.部署IPsec对L2TP隧道中的业务数据加密；IPsec VPN需要采用传输模式，预共享密码为test，加密认证方式为ESP-3DES、ESP-MD5-HMAC，DH使用组2。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)；通过运维平台监控公司总部网络内所有设备（具体设备：S1、S3-S4、EG2、AC2）。
2.通过运维平台将A公司数据中心的被监控设备纳入监控范围；通过拓扑配置功能，将公司总部和A公司数据中心的网络拓扑配置到平台中。
3.将公司总部S3、S4和互联网EG2的两条链路作为重点监测链路，纳入链路监控；自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S7/S8/S9构建SDN网络，S8/S9连接SDN控制器的6653端口。
3.通过SDN控制器手工给S8下发一条流表项名称为drop的流表，执行动作为丢弃，并在交换机上查看流表，测试普通PC禁止ping通高性能PC。
4.通过SDN控制器流表管理实现PC1/PC2与分部各核心网段互联互通。
附录1：拓扑图
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 VLAN10 Office10 Gi0/1至Gi0/4 办公网段
VLAN20 Office20 Gi0/5至Gi0/8 办公网段
VLAN30 Office30 Gi0/9至Gi0/12 办公网段
VLAN40 Office40 Gi0/13至Gi0/16 办公网段
Gi0/23 SDN-Manage 192.168.1.3 SDN管理网段
S2 VLAN10 Office10 Gi0/1至Gi0/4 办公网段
VLAN20 Office20 Gi0/5至Gi0/8 办公网段
VLAN30 Office30 Gi0/9至Gi0/12 办公网段
VLAN40 Office40 Gi0/13至Gi0/16 办公网段
Gi0/23 SDN-Manage 192.168.1.4 SDN管理网段
S3 VLAN10 Office10 192.1.10.252/24 办公网段
VLAN20 Office20 192.1.20.252/24 办公网段
VLAN30 Office30 192.1.30.252/24 办公网段
VLAN40 Office40 192.1.40.252/24 办公网段
VLAN50 AP 192.1.50.252/24 无线AP管理
VLAN60 Wireless 192.1.60.252/24 无线用户
VLAN100 Manage 192.1.100.252/24 设备管理VLAN
VLAN101 Connect 10.1.0.53/30 设备互联
Gi0/2 Trunk AG1成员口
Gi0/3 Trunk AG1成员口
Gi0/4 10.1.0.5/30 互联EG2
Gi0/5 10.1.0.9/30 互联R1
LoopBack 0 11.1.0.33/32
S4 VLAN10 Office10 192.1.10.253/24 办公网段
VLAN20 Office20 192.1.20.253/24 办公网段
VLAN30 Office30 192.1.30.253/24 办公网段
VLAN40 Office40 192.1.40.253/24 办公网段
VLAN50 AP 192.1.50.253/24 无线AP管理
VLAN60 Wireless 192.1.60.253/24 无线用户
VLAN100 Manage 192.1.100.253/24 设备管理VLAN
VLAN101 Connect 10.1.0.54/30 设备互联
Gi0/2 Trunk AG1成员口
Gi0/3 Trunk AG1成员口
Gi0/4 10.1.0.13/30 互联EG2
Gi0/5 10.1.0.17/30 互联R2
LoopBack 0 11.1.0.34/32
AC1 LoopBack 0 11.1.0.204/32
Gi0/1 10.1.0.1/30 互联EG1
VLAN10 User 195.1.10.254/24 Gi0/2-4
VLAN20 Wire_user 195.1.20.254/24
VLAN30 AP 195.1.30.254/24
AC2 LoopBack 0 11.1.0.205/32
VLAN100 Manage 192.1.100.1/24
S5 Gi0/1 10.1.0.45/30 互联S7
Gi0/2 10.1.0.41/30 互联S6
Gi0/48 10.1.0.30/30 互联R1
LoopBack 0 11.1.0.35/32
S6 Gi0/1 10.1.0.50/30 互联S7
Gi0/2 10.1.0.42/30 互联S5
Gi0/48 10.1.0.34/30 互联R2
LoopBack 0 11.1.0.36/32
EG1 GI0/0 　 10.1.0.2/30
GI0/2 　 197.1.0.1/24 与EG2互联
LoopBack 0 　 11.1.0.11/32
EG2 Gi0/0 　 10.1.0.6/30
Gi0/1 　 10.1.0.14/30
Gi0/2 　 197.1.0.2/24 与EG1互联
LoopBack 0 　 11.1.0.12/32
R1 Gi0/0 10.1.0.10/30 互联S3
Gi0/1 10.1.0.29/30 互联S5
Fa1/1(Vlan300) 10.1.0.25/30 互联R2
Fa1/0(Vlan200) 10.1.0.21/30 互联R3
LoopBack 0 11.1.0.1/32
R2 Gi0/0 10.1.0.18/30 互联S4
Gi0/1 10.1.0.33/30 互联S6
Fa1/1(Vlan300) 10.1.0.26/30 互联R1
Fa1/0(Vlan200) 10.1.0.37/30 互联R3
LoopBack 0 11.1.0.2/32
R3 Gi0/0 10.1.0.22/30 互联R1
Gi0/1 10.1.0.38/30 互联R2
LoopBack 0 11.1.0.3/32
Fa1/0（Vlan160） Con_To_Cloud 172.16.0.254/24 模拟云平台
S7 VLAN10 Primary 194.1.10.254/24 primary vlan
VLAN11 Community Gi0/1至Gi0/8 community vlan
VLAN12 Isolated Gi0/9至Gi0/16 isolated vlan
VlAN100 Manage 194.1.100.254/24
VlAN200 Secret 172.17.0.254/24 涉密业务 Gi0/17-Gi0/22
Gi0/23 10.1.0.46/30 互联S5
Gi0/24 10.1.0.49/30 互联S6
LoopBack 0 11.1.0.37/32
网络系统管理赛项 模块A：网络构建2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第1套
模块B：服务部署
目 录
一、Windows初始化环境 1
（一）默认账号及默认密码 1
二、Windows项目任务描述 1
（一）基本配置 1
（二）拓扑图 2
三、Windows项目任务清单 2
（一）DCserver配置任务 2
1.DCserver系统基础环境配置 2
2.ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务 2
3.DNS SERVICE配置工作任务 3
4.DHCP SERVICE配置工作任务 3
5.为域配置安全策略 3
6.AD域打印机 3
7.配置CA服务器 3
（二）SDCserver配置任务 4
1.SDCserver系统基础环境配置 4
2.ACTIVE DIRECTORY SERVICE辅助域控活动目录配置工作任务 4
3.GPO:组策略与系统配置 4
4.服务器磁盘配置工作任务 4
5.辅助WINS SERVICE配置工作任务 4
（三）Server01配置任务 5
1.Server01系统基础环境配置 5
2.WEB环境配置工作任务（IIS+CA） 5
（四）Server02配置任务 5
1.Server02系统基础环境配置 5
2.DISK配置服务器软RAID工作任务 5
（五）Server03配置任务 5
1.Server03系统基础环境配置 6
（六）GWserver配置任务 6
1.GWserver系统基础环境配置 6
2.安装和配置路由服务 6
3.安装及配置VPN服务 6
（七）IOMSrv配置任务 6
（八）Client配置任务 6
1.对等网客户端配置 7
四、Linux初始化环境 7
（一）默认账号及默认密码 7
（二）操作系统配置 7
五、Linux项目任务描述 7
（一）拓扑图 7
（二）基本配置 8
六、Linux项目任务清单 9
（一）CLIENT TASK 9
1.Client相关任务，具体要求如下： 9
（二）RSERVER TASK 9
1.NETWORK 9
2.squid 9
3.Iptables 9
4.DHCP 9
5.SSH 9
6.CA 10
7. Web Proxy 10
（三）SERVER01 TASK 10
1.NETWORK 10
2.DISK(RAID5) 10
3.NFS 10
4.DNS 10
5.Webserver 10
6.SSH 11
7.DBMS 11
8.SDN服务 11
（四）SERVER02 TASK 12
1.NETWORK 12
2.Ftp 12
3.MAIL 12
4.SSH 13
（五）SERVER03 TASK 13
1.NETWORK 13
2.chrony 13
3.SSH 13
（六）SERVER04 TASK 13
1.NETWORK 13
2.DNS 13
3.Webserver 13
4.SSH 14
5.LDAP 14
（七）IOMSrv TASK 14
一、Windows初始化环境
（一）默认账号及默认密码
Username: Administrator
Password: ChinaSkills23
Username: demo
Password: ChinaSkills23
注：若非特别指定，所有账号的密码均为ChinaSkills23
二、Windows项目任务描述
你作为一名网络技术工程师，被指派去构建的网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。
（一）基本配置
1、服务器和客户端信息，各虚拟机已预装系统。
Device Hostname FQDN IPAddress
DCserver DCserver DCserver. 172.16.100.221
SDCserver SDCserver SDCserver. 172.16.100.222
Server01 Server01 Server01. 192.168.10.251
Server02 Server02 Server02. 192.168.10.252
Server03 Server03 Server03. 192.168.10.253
GWserver GWserver GWserver. 172.16.100.254 192.168.10.254 10.10.100.254
Client Client 10.10.100.x
2、网络信息
Network CIDR
办公区域 10.10.100.0/24
服务区 172.16.100.128/25
应用区域 192.168.10.240/28
（二）拓扑图
构建的网络服务环境如下图所示。
三、Windows项目任务清单
（一）DCserver配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“DCserver”的为“DCserver”服务器系统，服务器已安装好基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23
注：本题目中没特别说明的密码皆为：ChinaSkills23
1.DCserver系统基础环境配置
（1）请根据附件说明或提供的基础信息，配置服务器的主机名\IP地址，创建要求的用户名及密码；
（2）配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。
2.ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务
（1）在DCserver上配置如下服务与设置：为安装和配置活动目录域服务；只有域管理员和IT部门员工可以登陆服务器。
（2）创建如下全局AD组与用户：Sales（Sales001-100）、IT（IT01-05）、Finance（F01-10）、Management（Manage01-05）；
（3）创建ChinaSkills23为GPO管理员；加入到企业管理、域控管理员组；为所有域用户设置漫游文件（除Management外），漫游文件放于\\\ChinaSkills23\Roaming Profile\目录中；
（4）开启本地及域控用户登录操作日志审计记录；
（5）开启远程桌面服务及对应端口，让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；
（6）配置域控组策略及域控配置信息备份；每天自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup目录。
3.DNS SERVICE配置工作任务
（1）安装及配置DNS服务；
（2）创建必要的正向区域，添加必要的域名解析记录；
（3）配置TXT记录，配置主时间控制服务记录；配置域名反向PTR；
（4）为当前域网络创建反向查找区域。
4.DHCP SERVICE配置工作任务
（1）安装及配置DHCP服务；
（2）创建一个名为“”的DHCP作用域；
（3）保留地址172.16.100.129-139，起始地址172.16.100.140-254；绑定SDCserver的IP地址为172.16.100.222/25；
（4）网关地址：172.16.100.254；
（5）DNS服务器：172.16.100.221；8.8.8.8。
5.为域配置安全策略
（1）限制Management（Manage01-05）只能从Client登录；
（2）限制Finance（F01-10），不能关闭计算机和重启计算机；
（3）所有的域计算机和域用户都能自动注册证书，证书颁发机构已经颁发过一次，就不再重复颁发，除非证书文件丢失或者失效；
（4）为普通用户配置密码策略，该策略要求密码为长度最小12位数的复杂性密码；
（5）对于Finance（F01-10），有一个例外，无需密码即可登录客户端；
（6）对IT（IT01-05）用户启用桌面环境副本，移除回收站图表，统一添加IE浏览器快捷方式在桌面；
（7）禁止Sales（Sales001-010）使用注册表编辑工具、PowerShell以及Cmd。
6.AD域打印机
（1）添加一台虚拟打印机，名称为“SD-Print”；
（2）发布到AD域。
7.配置CA服务器
（1）配置证书服务器，提供CA自动申请证书；实现证书颁发机构及机构WEB注册服务；
（2）配置为企业CA域成员；CA类型：根CA中心；加密类型SHA256位，密钥长度2248位；CA共用名称:； 可分辨后缀：DC=Chinaskills，DC=local；有效期为1年；
（3）证书数据存储路径：H：\DFSsharedir\CA。
（二）SDCserver配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“SDCserver”的为“SDCserver”服务器系统，服务器上请安装基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23
注：本题目中没特别说明的密码皆为：ChinaSkills23
1.SDCserver系统基础环境配置
（1）请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
（2）配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
（3）安装Zabbix-Agent到Zabbix，用Zabbix检测域控服务器运行状态；执行文件在操作主机的D：/tools文件夹内。
2.ACTIVE DIRECTORY SERVICE辅助域控活动目录配置工作任务
（1）为安装和配置活动目录域服务：将SDCserver加入到的域中，只有域管理员和IT部门员工，可以登陆服务器；将服务器配置为辅助域控。DCserver主域控服务器；当DCserver离线时，SDCserver成为主服务器；
（2）开启本地及域控用户登录操作日志审计记录；
（3）开启远程桌面服务及对应端口，让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；
（4）配置域控组策略及域控配置信息备份；自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup目录。
3.GPO:组策略与系统配置
（1）所有的服务器不需要按ctrl+alt+del；
（2）关闭所有的机器的睡眠功能；
（3）对于IT组来说，所有站点都启用SSO；
（4）所有的计算机都不允许登录Microsoft账户；
（5）允许IT组进行系统时间更改；
（6）设定所有职务为managers的用户为本地管理员，除了域控制器；
（7）允许所有的Managers组在域控制器登录。
4.服务器磁盘配置工作任务
（1）安装及配置RAID；
（2）配置系统软RAID；添加两块10G磁盘；
（3）在服务器上为创建一个RAID-1阵列；
（4）格式化该磁盘挂载为I盘，名称为：RAID1。
5.辅助WINS SERVICE配置工作任务
（1）安装WINS并配置为辅助WINS；
（2）DCserver为主要的WINS服务器；
（3）定期复制主WINS服务器的记录；
（4）DCserver离线后，自动切换为辅助服务器。
（三）Server01配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“Server01”的为“Server01”服务器系统，服务器已安装好基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23
注：本题目中没特别说明的密码皆为：ChinaSkills23
1.Server01系统基础环境配置
（1）请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
（2）配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
（3）将Server01加入到的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。
2.WEB环境配置工作任务（IIS+CA）
（1）在服务器上装Web服务器，启用HTTPS服务；
（2）在服务器上为“web.”创建相应的Web站点包含DNS相关记录；
（3）站点首页采用技术，首页设置为index.aspx；
（4）添加显示当前日期和主机的静态页面内容。
（四）Server02配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“Server02”的为“Server02”服务器系统，服务器需要安装，并完成配置基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23
注：本题目中没特别说明的密码皆为：ChinaSkills23
1.Server02系统基础环境配置
（1）请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
（2）配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
（3）将Server02加入到的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。
2.DISK配置服务器软RAID工作任务
（1）安装及配置RAID；
（2）配置系统软RAID；添加两块10G磁盘；
（3）在服务器上为创建一个RAID-1阵列；
（4）格式化该磁盘挂载为I盘，名称为：RAID1。
（五）Server03配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“Server03”的为“Server03”服务器系统，服务器需要安装，并完成配置基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23
注：本题目中没特别说明的密码皆为：ChinaSkills23
1.Server03系统基础环境配置
（1）请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
（2）配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
（3）安装Zabbix-Agent到Zabbix，用Zabbix检测域控服务器运行状态；执行文件在操作主机的D：/tools文件夹内；
（4）将Server03加入到的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。
（六）GWserver配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“GWserver”的为“GWserver”服务器系统，服务器已安装好基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23
注：本题目中没特别说明的密码皆为：ChinaSkills23
1.GWserver系统基础环境配置
（1）请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
（2）配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。
2.安装和配置路由服务
（1）请不要把该服务器加入到任何AD域；
（2）安装Remote Access服务并启用路由功能。
3.安装及配置VPN服务
（1）仅允许Layer 2 Tunneling Protocol连接；
（2）为保障认证的安全性，采用证书作为Layer 2 Tunneling Protocol认证手段；
（3）客户端连接成功后获得的内部地址范围为：192.168.10.241-192.168.10.248；
（4）使用域用户作为VPN登录认证用户。
（七）IOMSrv配置任务
（1）图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.203；
（2）通过Windows代理模板，添加DCServer、SDCSserver、Server01操作系统监控对象，查看运行状态；
（3）通过中间件IIS模板，添加IIS监控对象，查看运行状态；
（4）通过新增WEB探测对象，监控门户网站http://web.，查看运行状态；
（5）基于Server01上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（八）Client配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“client”的为“client”服务器系统，服务器已安装好基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23
注：本题目中没特别说明的密码皆为：ChinaSkills23
1.对等网客户端配置
（1）请把该计算机留在工作组；
（2）设置电源配置，以便客户端在通电的情况下，永不进入睡眠；
（3）创建一个名为SD-VPN的拨号适配器连接，用于建立VPN连接；
（4）该客户端用于测试VPN，以及需要的完成相关功能。
四、Linux初始化环境
（一）默认账号及默认密码
Username: root
Password:Chinaskills23
Username: skills
Password:Chinaskills23
注：若非特别指定，所有账号的密码均为ChinaSkills23
（二）操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2022–CSK
Module C Linux
>>hostname<<
>>Linux Version<<
>> TIME <<
*********************************
五、Linux项目任务描述
某公司要为员工提供便捷、安全稳定内外网络服务，你作为一个公司网络系统管理员，负责公司网络系统管理，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）基本配置
服务器和客户端基本配置如下表，各虚拟机已预装系统。
Device Hostname System FQDN IP Address Service
Server01 Server01 Centos Server01. 172.16.100.201 RAID5 NFS DNS Webserver SSH DBMS SDN
Server02 Server02 Centos Server02. 172.16.100.202 Ftp Mail SSH
Server03 Server03 UOS Server03. 192.168.10.3 Ntp, SSH
Server04 Server04 UOS Server04. 192.168.10.X DNS Webserver SSH LDAP
Rserver Rserver Centos Rserver. Rserver. 172.16.100.254 192.168.10.2 10.10.100.254 proxy firewall dhcp SSH CA
Client Client Centos 10.10.100.x none
网络
Network CIDR
office 10.10.100.0/24
service 172.16.100.128/25
internet 192.168.10.0/28
六、Linux项目任务清单
任务设备：Client，Rserver，servr01，server02，server03，server04。
注意：若题目中未明确规定，请使用默认配置。
（一）CLIENT TASK
1.Client相关任务，具体要求如下：
（1）作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
（2）作为网站访问测试的客户端，安装firefox浏览器，curl命令行测试工具；
（3）作为SSH远程登录测试客户端，安装ssh命令行测试工具；
（4）作为SAMBA测试的客户端，使用图形界面文件浏览器测试，并安装smbclient工具；
（5）作为FTP测试的客户端，安装lftp命令行工具；
（6）作为防火墙规则效果测试客户端，安装ping命令行工具；
（7）截图的时候请使用上述提到的工具进行功能测试。
（二）RSERVER TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名等。
2.squid
安装squid服务，开启路由转发，为当前实验环境提供路由功能。
3.Iptables
（1）默认阻挡所有流量；
（2）添加必要的NAT规则和流量放行规则，正常情况下Internet网络不能访问office网络，满足使所有要求中的服务正常提供工作。
4.DHCP
（1）为客户端分配IP范围是10.10.100.1-10.10.100.50；
（2）DNS：按照实际需求配置DNS服务器地址选项；
（3）GATEWAY：按照实际需求配置网关地址选项。
5.SSH
（1）安装SSH
（2）仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
（3）配置client只能在Chinaskills23用户环境下可以免秘钥登录，端口号为2022，并且拥有root控制权限。
6.CA
（1）CA根证书路径/CA/cacert.pem；
（2）签发数字证书，颁发者信息：
国家 = CN
单位 = Inc
组织机构 = www.
公用名 = Skill Global Root CA
（3）创建用户组ldsgp，将zsuser、lsusr、wuusr添加到组内。
7. Web Proxy
（1）安装Nginx组件；
（2）配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
（3）为www.配置代理前端，通过HTTPS的访问后端Web服务器；
（4）后端服务器日志内容需要记录真实客户端的IP地址；
（5）缓存后端Web服务器上的静态页面；
（6）创建服务监控脚本：/shells/chkWeb.sh；
（7）编写脚本监控公司的网站运行情况；
（8）脚本可以在后台持续运行；
（9）每隔3S检查一次网站的运行状态，如果发现异常尝试3次；
（10）如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。
（三）SERVER01 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.DISK(RAID5)
（1）在虚拟机上添加4个1G的硬盘；
（2）创建raid5，其中一个作为热备盘，设备名为md0；
（3）将md0设置为LVM，设备为/dev/vg01/lv01；
（4）格式化为ext4文件系统；
（5）开机自动挂载到/data目录。
3.NFS
（1）共享/data/share目录；
（2）用于存储server01主机的web数据；
（3）仅允许service01主机访问该共享。
4.DNS
（1）安装DNS服务相关软件包；
（2）建立域，为所有除Internet区域的主机或服务器建立正\反的域名解析；
（3）当出现无法解析的域名时，向域申请更高层次的解析。
5.Webserver
（1）安装web服务相关软件包；
（2）由Server01提供www.
（3）skills公司的门户网站；
（4）使用apache服务；
（5）网页文件放在/data/share/htdocs/skills
（6）服务以用户webuser运行；
（7）首页内容为“This is the front page of sdskills's website.”
（8）/htdocs/skills/staff.html内容为“Staff Information”
（9）该页面需要员工的账号认证才能访问；
（10）员工账号存储在ldap中，账号为zsuser、lsus
（11）网站使用https协议；
（12）SSL使用RServer颁发的证书，颁发给：
C = CN
ST = China
L = ShangDong
O = skills
OU = Operations Departments
CN = *.
（13）Sever01的CA证书路径：/CA/cacert.pem
（14）签发数字证书，颁发者：
C = CN；
O = Inc
OU = www.
CN = skill Global Root CA
（15）客户端访问https时应无浏览器（含终端）安全警告信息；
（16）当用户使用http访问时自动跳转到https安全连接；
（17）当用户使用或any.（any代表任意网址前缀）访问时，自动跳转到www.。
6.SSH
（1）安装SSH
（2）仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
（3）配置client只能在Chinaskills23用户环境下可以免秘钥登录，端口号为3033，并且拥有root控制权限；
7.DBMS
（1）在Server01上完成MariaDB数据库的安装，添加数据库root用户密码为Chinaskills23
（2）安装MariaDB数据库服务器组件；
（3）MariaDB数据库管理员信息：User: root/Password: Chinaskills23
（4）安装MariaDB WEB管理面板“phpMyAdmin”，通过apache进行发布
（5）安装phpMyAdmin，MariaDB的web管理面板组件；
（6）安装apache，配置php环境，用于发布phpMyAdmin；
8.SDN服务
（1）安装opendaylight、mininet、Ovs软件平台。。
（2）启动OpenDayLight的karaf程序，安装如下组件：odl-restconf、odl-l2switch-switch-ui、odl-mdsal-apidocs、odl-dluxapps-applications。
（3）使用Mininet和OpenVswitch构建拓扑，连接ODL的6653端口如下拓扑结构：
（4）在浏览器上可以访问ODL管理页面查看网元拓扑结构。
（5）通过OVS手工下发流表，H1可以ping通H3，H1、H3无法ping通H2。
（6）H1启动HTTP-Server功能，WEB端口为8080，H3作为HTTP-Client，获取H1的html网页配置文件。
（四）SERVER02 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.Ftp
（1）禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
（2）用户webadmin，登录ftp服务器，根目录为/webdata/；
（3）登录后限制在自己的根目录；
（4）允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
（5）限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
（6）用于通过工具或者浏览器下载的最大速度不超过100kb/s
（7）一个IP地址同时登陆的用户进程/人数不超过2人。
3.MAIL
Postfix
（1）的邮件发送服务器
（2）支持smtps(465)协议连接，使用Rserver颁发的证书，证书路径/CA/cacert.pem
（3）创建邮箱账户“user1~user99”（共99个用户），密码为Chinaskills23
Dovecot
（1）的邮件接收服务器；
（2）支持imaps（993）协议连接，使用Rserver颁发的证书，证书路径/CA/cacert.pem；
（3）请保留至少两个用户已成功登录并能正常收发邮件，以方便测试.
4.SSH
（1）安装SSH
（2）仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
（3）配置client只能在Chinaskills23用户环境下可以免秘钥登录，端口号为4044，并且拥有root控制权限；
（五）SERVER03 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.chrony
（1）chrony为全网提供时间同步服务器；
（2）Server01、Server02、Server04、Client和Rserver应定期与其校正时间；
（3）每隔1分钟自动校正一次时间。
3.SSH
（1）安装SSH；
（2）仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
（3）配置client只能在Chinaskills23用户环境下可以免秘钥登录，端口号为2233，并且拥有root控制权限；
（六）SERVER04 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.DNS
（1）安装DNS相关服务软件包；
（2）为域提供必要的域名解析；
（3）当非域的解析时，统一解析到Rserver连接Internet网段的IP地址或Rserver.。
3.Webserver
（1）提供www.
（2）skills公司的门户网站；
（3）使用apache服务；
（4）网页文件放在/htdocs/skills；
（5）服务以用户webuser运行；
（6）首页内容为“This is the front page of skills's website.”；
（7）/htdocs/sdskills/staff.html内容为“Staff Information”；
（8）该页面需要员工的账号认证才能访问；
（9）员工账号存储在ldap中，账号为zsuser、lsus
（10）网站使用https协议；
（11）SSL使用RServer颁发的证书， 颁发给:
C = CN
ST = China
L = ShangDong
O = skills
OU = Operations Departments
CN = *.
（12）Rserver的CA证书路径：/CA/cacert.pem
（13）签发数字证书，颁发者：
C = CN；
O = Inc
OU = www.
CN = skill Global Root CA
（14）客户端访问https时应无浏览器（含终端）安全警告信息；
（15）当用户使用http访问时自动跳转到https安全连接；
（16）当用户使用或any.（any代表任意网址前缀）访问时，自动跳转到www.。
4.SSH
（1）安装SSH；
（2）仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
（3）配置client只能在Chinaskills23用户环境下可以免秘钥登录，端口号为3344，并且拥有root控制权限。
5.LDAP
（1）安装openldap，为apache服务提供账户认证；
（2）创建目录服务，并创建用户组ldsgp ，将zsuser、lsusr、wuusr。
（七）IOMSrv TASK
1.图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.203；
2.通过Linux代理模板，添加SERVER01、SERVER02操作系统监控对象，查看运行状态；
3.通过中间件Apache模板，添加Apache监控对象，查看运行状态；
4.通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
5.通过新增WEB探测对象，监控门户网站www.，查看运行状态；
6.基于SERVER01上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
网络系统管理赛项 模块B：服务部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第6套
模块A：网络构建
目 录
任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 2
（四）出口网络配置 4
（五）网络运维配置 4
（六）SDN网络配置 4
附录1：拓扑图 5
附录2：地址规划表 6
任务清单
（一）基础配置
1.根据附录1拓扑图及附录2地址规划表，配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、Ruijie1234；密码为明文类型,特权密码为Ruijie123。
3.S7设备配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test1234”，只读的Community为“Public123”，开启Trap消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.在S5的Gi0/10-Gi0/15端口上启用端口保护。
3.在S5连接PC机端口上开启Portfast和BPDUguard防护功能。
4.配置MSTP防止二层环路；要求所有数据流经过S4转发。region-name为test；revision版本为1；S3作为实例中的从根， S4作为实例中的主根；主根优先级为4096，从根优先级为8192。
5.在S3和S4上配置VRRP，实现主机的网关冗余，所配置的参数要求如表1；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 193.1.10.254
VLAN20 20 193.1.20.254
VLAN30 30 193.1.30.254
VLAN40 40 193.1.40.254
VLAN100(交换机间) 100 193.1.100.254
6.S1和S2设置为虚拟化，S1和S2间的Te0/51-52端口作为VSL链路，其中S2为主，S1为备；规划S1和S2间的Gi0/48端口作为BFD双主机检测链路；主设备：Domain id：1,switch id:2,priority 150, description: S5760-2;备设备：Domain id：1,switch id:1,priority 120, description: S5760-1。
7.R1、S1/S2、AC1、AC2间运行OSPF，进程号为10；EG1、S3、S4间运行OSPF，进程号为10；S5、EG2使用静态路由。
8.要求业务网段中不出现协议报文；所有路由协议都发布具体网段；需要发布Loopback地址。
9.优化OSPF相关配置，以尽量加快OSPF收敛；广州分部需要重分发默认路由到OSPF中；本部出口路由器R1上不允许配置默认路由，但需要让本部所有设备都学习到指向R1的默认路由；重发布路由进OSPF中使用类型1。
10.R1、R2、R3间部署IBGP,AS号为100, 使用Loopback接口建立Peer，建立全互联的IBGP邻居。
11.二级运营商通告EG1、EG2的直连网段到BGP中，实现R1能够访问到EG1、EG2的外网接口。
12.可通过修改OSPF 路由COST达到分流的目的，且其值必须为5或10；广州分部有线IPV4用户与互联网互通主路径规划为：S4-EG1;主链路故障时可无缝切换到备用链路上。
13.R3服务节点在G0/0接口做流量监管，上行报文流量不能超过10Mbps，Burst-normal为1M bytes, Burst-max为2M bytes如果超过流量限制则将违规报文丢弃。
（三）无线网络配置
CII集团公司拟投入12万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表2无线产品价格表，制定该无线网络工程项目设备的预算表。
表2 无线产品价格表
产品型号 产品特征 传输速率 （2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
4.使用EG1作为广州分部无线用户和无线AP的DHCP 服务器，使用S5作为吉林分部无线用户和无线AP的DHCP服务器。
5.创建广州分部内网 SSID 为 Test-GZ_XX(XX现场提供)，WLAN ID 为1，AP-Group为GZ，内网无线用户关联SSID后可自动获取地址。创建吉林分部内网 SSID 为 Test-JL_XX(XX现场提供)，WLAN ID 为2，AP-Group为JL，内网无线用户关联SSID后可自动获取地址。
6.本部AC2为主用，AC1为备用。AP与AC1、AC2均建立隧道，当AP与AC2失去连接时能无缝切换至AC1并提供服务。
7.广州分部无线用户接入无线网络时需要采用WPA2加密方式，加密密码为XX(现场提供)。
8.要求内网无线网络均启用本地转发模式; 对WLAN ID 2下的每个用户的下行平均速率为 800KB/s ，突发速率为1600KB/s。
9.设置广州分部用户最小接入信号强度为-65dBm。关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入。
（四）出口网络配置
1.EG1、EG2、R1进行NAT配置实现本部与各分部的所有用户(ACL 110)均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上。
2.EG1基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。
3.EG1周一到周五工作时间09：00-17:00（命名为work）阻断并审计P2P应用软件使用。禁止广州分部内网用户通过浏览器访问http://40.1.0.9。
4.使用IPSec对本部到各分部的数据流进行加密。要求使用动态隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立IPsec SA。在R1上配置ipsec加密转换集名称为myset；动态ipsec加密图名称为dymymap；预共享密钥为明文123456；静态的ipsec加密图mymap。
5.在 EG1和EG2上配置ACL编号为101；静态的ipsec加密图mymap；预共享密钥为明文123456。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控本部所有设备。
2.通过运维平台将被监控设备纳入监控范围；通过拓扑配置功能，将网络拓扑配置到平台中；
3.将S1、S2和R1的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S6/S3构建SDN网络，S6连接SDN控制器的6653端口。
3.通过SDN控制器手工给S6下发流表项使其S6下终端可与业务网段互联互通。
附录1：拓扑图
网络系统管理赛项 模块A：网络构建
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1/S2 VLAN20 Xiaoshou 192.1.20.254/24 销售部
VLAN30 Caiwu 192.1.30.254/24 财务部
Vlan100 Manage 192.1.100.254/24 管理与互联VLAN
Gi1/0/1 　 10.1.0.9/30 AG1
Gi2/0/1 　 10.1.0.9/30 AG1
Gi1/0/2 Trunk AG2
Gi2/0/2 Trunk AG2
Gi1/0/3 Trunk AG3
Gi2/0/3 Trunk AG3
Gi1/0/4 Trunk AG4
Gi2/0/4 Trunk AG4
LoopBack 0 　 11.1.0.31/32 　
S7 VLAN20 Xiaoshou Gi0/13至Gi0/16 销售部
VLAN30 Caiwu Gi0/17至Gi0/20 财务部
Vlan100 Manage 192.1.100.1/24 管理与互联VLAN
Gi0/1 Trunk AG1
Gi0/2 Trunk AG1
AC1 LoopBack 0 　 11.1.0.21/32 　
Vlan100 Manage 192.1.100.2/24 管理与互联VLAN
AC2 LoopBack 0 　 11.1.0.22/32 　
Vlan100 Manage 192.1.100.3/24 管理与互联VLAN
S6 Gi0/23 SDN-Manage 192.168.1.3 SDN管理网段
VLAN20 Xiaoshou Gi0/5至Gi0/8 销售部
VLAN30 Caiwu Gi0/9至Gi0/12 财务部
VLAN40 Shichang Gi0/13至Gi0/16 市场部
S3 VLAN10 AP 193.1.10.252/24 AP
VLAN20 Xiaoshou 193.1.20.252/24 销售部无线用户
VLAN30 Caiwu 193.1.30.252/24 财务部
VLAN40 Shichang 193.1.40.252/24 市场部
VLAN100 Manage 193.1.100.252/24 设备管理VLAN
Gi0/13 Trunk 　 AG1成员口
Gi0/14 Trunk 　 AG1成员口
Gi0/24 　 10.1.0.1/30 　
LoopBack 0 　 11.1.0.33/32 　
S4 VLAN10 AP 193.1.10.253/24 AP
VLAN20 Xiaoshou 193.1.20.253/24 销售部无线用户
VLAN30 Caiwu 193.1.30.253/24 财务部
VLAN40 Shichang 193.1.40.253/24 市场部
VLAN100 Manage 193.1.100.253/24 设备管理VLAN
Gi0/13 Trunk 　 AG1成员口
Gi0/14 Trunk 　 AG1成员口
Gi0/24 　 10.1.0.5/30 　
LoopBack 0 　 11.1.0.34/32 　
EG1 Gi0/1 　 10.1.0.2/30 　
Gi0/2 　 10.1.0.6/30 　
Gi0/3 　 10.1.0.17/30 　
LoopBack 0 　 11.1.0.11/32 　
S5 VLAN10 AP 194.1.10.254/24 AP
Gi0/1-4 Native vlan
VLAN20 Wireless 194.1.20.254/24 无线用户
Gi0/24 　 10.1.0.13/30 　
LoopBack 0 　 11.1.0.35/32
EG2 Gi0/1 　 10.1.0.14/30 　
Gi0/3 　 10.1.0.21/30 　
LoopBack 0 　 11.1.0.12/32 　
R1 Gi1/0 　 12.1.0.1/24（VLAN20） 　
Gi1/1 　 13.1.0.1/24（VLAN30） 　
VLAN10 10.1.0.10/30 Gi1/2、Gi1/3
LoopBack 0 　 11.1.0.1/32 　
R2 Fa1/0 　 12.1.0.2/24（VLAN20） 　
Fa1/1 　 14.1.0.2/24(VLAN40) 　
Gi0/0 10.1.0.18/30 　
LoopBack 0 　 11.1.0.2/32 　
R3 Fa1/1 　 14.1.0.3/24(VLAN40) 　
Fa1/0 　 13.1.0.3/24（VLAN30） 　
Gi0/0 10.1.0.22/30 　
LoopBack 0 　 11.1.0.3/32 　2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第4套
模块B：服务部署
目 录
一、 Windows初始化环境 1
（一）默认账号及默认密码 1
二、Windows项目任务描述 1
（一）拓扑图 1
（二）网络地址规划 2
三、Windows项目任务清单 2
（一）服务器IspSrv上的工作任务 2
1. FTP 2
2. 互联网访问检测服务器 2
（二）服务器RouterSrv上的工作任务 2
1. 路由功能 2
2. 动态地址分配中继服务 2
3. NAT服务 2
（三）服务器AppSrv上的工作任务 3
1. DHCP服务 3
2. RDS 3
3. 万维网服务 3
4. DNS 3
5. WebPrint 3
6. 磁盘管理 4
7. iSCSI 4
（四）服务器DC1&DC2上的工作任务 4
1. 活动目录域服务 4
2. NPS（网络策略服务） 4
3. DNS（域名解析服务） 5
4. 证书颁发机构 5
5. DFS 5
（五）服务器IOMSrv上的工作任务 5
（六）客户端InsideCli上的工作任务 5
（七）客户端OutsideCli上的工作任务 5
四、Linux初始化环境 6
（一）默认账号及默认密码 6
（二）操作系统配置 6
五、项目任务描述 6
（一）拓扑图 6
（二）网络地址规划 7
ISPSRV(UOS) 7
AppSrv(Centos) 7
STORAGESRV(Centos) 7
ROUTERSRV(Centos) 7
INSIDECLI(Centos) 8
OUTSIDECLI（UOS） 8
六、Linux项目任务清单 8
（一）服务器IspSrv工作任务 8
1. DHCP 8
2. DNS 8
3. WEB服务 8
（二）服务器RouterSrv上的工作任务 8
1. DHCP RELAY 9
2. ROUTING 9
3. SSH 9
4. IPTABLES 9
5. Web Proxy 9
（三）服务器AppSrv上的工作任务 9
1. SSH 9
2. DHCP 10
3. DNS 10
4. WEB服务 10
5. Mariadb Backup Script 11
6. MAIL 11
7. CA（证书颁发机构） 11
（四）服务器StorageSrv上的工作任务 11
1. SSH 11
2. DISK 12
3. NFS 12
4. VSFTPD 12
5. SAMBA 12
6. LDAP 12
7. ShellScript 12
（五）服务器IOMSrv工作任务 13
（六）客户端OutsideCli和InsideCli工作任务 13
1. OutsideCli 13
2. InsideCli 13
Windows初始化环境
（一）默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
二、Windows项目任务描述
你作为一名技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
主机名 所在域 网络地址 DNS 网关
DC1 192.168.30.100/24 127.0.0.1 192.168.30.254
DC2 192.168.30.200/24 127.0.0.1 192.168.30.254
AppSrv 192.168.40.100/24 192.168.30.100 192.168.30.200 192.168.40.254
RouterSrv 192.168.30.254/24 192.168.0.254/24 192.168.40.254/24 100.100.100.251/24 192.168.30.100 100.100.100.254
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24(dhcp) 192.168.30.100 192.168.30.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
三、Windows项目任务清单
（一）服务器IspSrv上的工作任务
FTP
安装FTP服务，新建一个FTP站点，并建立用户 soft1、soft2，密码均为ftp123；
FTP站点主目录为D:\ftproot，通过适当技术实现用户soft1 与soft2通过匿名方式登录FTP站点时，只能浏览到“Public”子目录中的内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹；
设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟；
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
（二）服务器RouterSrv上的工作任务
路由功能
安装RemoteAccess服务开启路由转发，为当前实验环境提供路由功能。
动态地址分配中继服务
安装和配置Dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于AppSrv服务器上。
NAT服务
启用网络地址转换功能，实现内部客户端访问互联网资源。
配置网络地址转换，允许互联网区域客户端访问AppSrv上的HTTP资源。
（三）服务器AppSrv上的工作任务
DHCP服务
安装和配置dhcp服务，为办公区域网络提供地址上网。
地址池范围：192.168.0.100~192.168.0.200。
RDS
在RouterSrv安装和配置 RDS 服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
notepad
WordPad
万维网服务
在RouterSrv上搭建网站服务器
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
设置“http://www./”网站的最大连接数为1000，网站连接超时为60sl;
使用W3C记录日志；每天创建一个新的日志文件，文件名格式:
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；
日志文件存储到“C:\WWWLogFile”目录中；
IIS（FTP）：
匿名用户上传的文件都将映射为ftp2用户
ftp在登录前显示Banner消息：“Hello, unauthorized login is prohibited!”
DNS
安装DNS服务；
按照该题目要求创建正向和反向区域，并创建必要的DNS解析;
将DC2作为备份DNS服务器；
WebPrint
添加一台虚拟打印机，名称为“GZ-Print”，发布到AD域；
客户端们都能够通过访问“http://print./”查看打印机。
磁盘管理
安装及配置软 RAID5；
在安装好的AppSrv虚拟机中添加3块5G虚拟磁盘；
组成RAID5，磁盘分区命名为卷标F盘：Raid5；
手动测试破坏一块磁盘，做RAID磁盘修复；确认RAID1配置完毕。
iSCSI
磁盘存储在F：\ISCSIFATA；
iSCSI 磁盘提供给 DC1 使用，磁盘容量 500 G，启用 chap 验证；
DC1 上连接成功后，把磁盘格式化为 NTFS 格式并挂载到卷标 D 盘。
（四）服务器DC1&DC2上的工作任务
活动目录域服务
在DC1和DC2服务器上安装活动目录域服务，DC2作为主域控，DC1作为备份域控，活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
it01-it20，请将该用户添加到IT用户组。
ma01-ma10，请将该用户添加到manager用户组。
许除manager 组和IT组，所有用户隐藏C盘。
除manager 组和IT组，所有普通给用户禁止使用cmd。
IT01用户登陆域后，会自动增加驱动器X，该驱动器自动关联DC1的C:\tools文件夹。
sales用户组的Internet Explorer默认将代理指向proxy.，端口号为8080。
所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。”。
设置所有主机的登录Banner：
标题为“CHINASKILLS-DOMAIN”；
内容为“Hello, unauthorized login is prohibited!”。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
启用AD回收站功能。
NPS（网络策略服务）
在DC1上安装网络策略服务作为VPN用户登录验证；
仅允许PPT/MPPEVPN进行VPN连接访问验证；
认证、授权日志将存储到DC1上的“C:\NPS\”目录下；
DNS（域名解析服务）
DC2作为AppSrv的备份服务器，进行DNS信息同步；
证书颁发机构
在DC1服务器上安装证书办法机构；
定义名称：CSK2022-ROOTCA。
证书颁发机构有效期：5 years。
为域内的web站点颁发web证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。
DFS
在DC1和DC2上安装及配置DFS 服务；
目录设置在F：\DFSsharedir；
配置DFS复制，使用AppSrv作为次要服务器，复制方式配置为交错拓扑；
在F：\DFSsharedir 文件夹内新建所有部门的文件夹；
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容；
Management用户组用户可以访问全局的文件夹。
（五）服务器IOMSrv上的工作任务
通过Windows代理模板，添加DC1Server、DC2Sserver、AppSrv操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站http://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域
设置电源配置，以便客户端在通电的情况下，永不进入睡眠；
该客户端用于测试用户登录，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-CSK 的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠；
该客户端用于测试用户登录，Profiles，文件共享。
四、Linux初始化环境
（一）默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
（二）操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>OS Version<<
>> TIME <<
*********************************
五、项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV(UOS)
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv(Centos)
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
STORAGESRV(Centos)
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From IspSrv
六、Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
DNS
安装BIND9；
配置为DNS根域服务器；
其他未知域名解析,统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”；
WEB服务
安装nginx软件包；
配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
网站根目录为/mut/crypt（目录不存在需创建）；
启用FastCGI功能，让nginx能够解析php请求；
index.php内容使用Welcome to 2023 Computer Network Application contest!
（二）服务器RouterSrv上的工作任务
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
工作端口为2021；
只允许用户user01，密码ChinaSkill23登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
Web Proxy
安装Nginx组件；
配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
为www.配置代理前端，通过HTTPS的访问后端Web服务器；
后端服务器日志内容需要记录真实客户端的IP地址。
缓存后端Web服务器上的静态页面。
创建服务监控脚本：/shells/chkWeb.sh
编写脚本监控公司的网站运行情况；
脚本可以在后台持续运行；
每隔3S检查一次网站的运行状态，如果发现异常尝试3次；
如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101。
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
WEB服务
安装WEb服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统500M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: ChinaSkill23!。
创建网站download.站点;
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
Mariadb Backup Script
脚本文件：/shells/mysqlbk.sh；
备份数据到/root/mysqlbackup 目录；
备份脚本每隔30分钟实现自动备份；
导出的文件名为 all-databases-20230213102333, 其中 20230213102333 为运行备份脚本的当前时间， 精确到秒。
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
使用https://mail.网站测试邮件发送与接收。
CA（证书颁发机构）
CA根证书路径/csk-rootca/csk-ca.pem；
签发数字证书，颁发者信息：(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01 、 user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口 3358；
添加用户user01 user02 到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
VSFTPD
禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
用户webadmin，登录ftp服务器，根目录为/webdata/；
登录后限制在自己的根目录;
允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
用于通过工具或者浏览器下载的最大速度不超过 100kb/s
一个IP地址同时登陆的用户进程/人数不超过2人。
SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
LDAP
安装slapd,为samba服务提供账户认证；
创建目录服务，并创建用户组ldsgp ,将zsuser、lsusr、wuusr。
ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号;
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等;
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（五）服务器IOMSrv工作任务
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装Fping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
2 / 2
网络系统管理赛项 模块B：服务部署
2 / 14全国职业院校技能大赛
赛项规程
赛项名称： 网络系统管理
英文名称： Network Systems Administration
赛项组别： 高等职业教育
赛项编号： GZ073
一、赛项信息
赛项类别
□每年赛 隔年赛（ 单数年/双数年）
赛项组别
□中等职业教育 高等职业教育
学生赛（□个人/ 团体） □教师赛（试点） □师生同赛（试点）
涉及专业大类、专业类、专业及核心课程
专业大类 专业类 专业名称 核心课程（对应每个专业，明确涉及的专业核心课程）
51电子与信息大类 5102计算机类 510201计算机应用技术 路由交换技术、局域网组网技术、网络安全技术
510202计算机网络技术 路由交换技术、网络运行与管理、网络系统集成、网络安全设备配置与管理、Linux操作系统管理、SDN技术
510206云计算技术应用 虚拟化技术与应用、云网络技术与应用、云计算开发服务平台技术与应用、云计算网络技术与应用
510207信息安全技术应用 操作系统安全、网络安全设备配置、交换路由组网技术
5103通信类 510307智能互联网络技术 智能互联网设计与规划、网络设备配置与管理
510308网络规划与优化技术 网络设计与规划、网络运行与管理、网络优化技术
对接产业行业、对应岗位（群）及核心能力
产业行业 岗位（群） 核心能力（对应每个岗位（群），明确核心能力要求）
新一代信息技术 网络技术支持网络系统集成网络系统运维 1.掌握中小型网络和无线局域网的规划设计、设备选型，以及网络设备的安装、配置、调试和排错等技术技能以及技术文档撰写能力；2.掌握服务器、云平台、虚拟化的部署、配置、调试和管理等技术技能；3.掌握网络安全软硬件的安装配置和调试、检测与防护、网络攻击防御、网站管理维护、数据库管理、备份与恢复等技术技能；4.掌握无线局域网规划和设计知识，会进行无线局域网的勘测与设计、无线局域网的部署；会进行无线局域网的管理与优化
网络应用开发网络自动化运维 1.掌握网络自动化运维环境配置；2.了解网络自动化运维工具的使用方法；3.掌握自动化运维软件的开发，掌握Python编程、网络自动化运维等技术技能，具有初步的网络自动化运维能力
智能互联网络设备装调与维护智能系统部署与运维 1.对拟建设的智能互联网工程项目进行可行性分析，并编制完成对应的项目可行性研究报告；2.根据项目建设内容，进行勘察准备，并完成实地勘察，选择合适的需求调研方法，对项目建设需求进行调研与分析；3.根据项目前期资料，按照项目建设内容编制设计方案、绘制施工图、编制预算清单等；4.完成项目总结文档与汇报
网络安全运维网络设备配置与安全 1.能够使用主流Windows和Linux操作系统，按企业业务的安全需求，进行安全加固；2.具有选择和安装网络操作系统能力，能实施用户管理、资源配置与管理、电子邮箱配置与维护等各类应用服务器部署能力；3.具备网络安全规划、网络安全设备安装、安全策略配置、设备管理维护等网络安全防护综合能力；4.能够按操作系统的安全基线要求，对操作系统的配置进行安全检查，发现存在的安全问题，并提出相应的解决方案；5.能够根据客户需求制定安全产品的实施方案，并根据实施方案对信息安全产品进行安装调试
云计算平台部署与运维云计算应用开发云计算技术支持服务 1.能独立实施云平台网络规划，按照用户需求搭建和实施云计算平台组网；2.能独立实施云平台网络虚拟化构建，完成云平台的服务运维搭建；3.掌握软件定义网络部署与运维服务知识，实施网络自动化运维和应用；4.掌握自动化运维的脚本编写语言Python；能实现自动化运维的服务功能开发；5.掌握网络自动化运维维护方案，掌握Shell脚本、lib库、Ansible自动化运维程序开发等，实施运维软件开发与部署，实现程序维护
二、竞赛目标
1.推进“网络大国”向“网络强国”迈进的战略
自党的十八届五中全会通过“十三五”规划建议，首次明确提出实施网络强国战略以来，我国网络基础设施建设突飞猛进，已达到世界一流水平，成为名副其实的网络大国。党的二十大报告对加快建设网络强国、数字中国作出了重要部署。建设网络强国不仅需要实现网络科技创新的帅才、将才，更需要成千上万懂技术、精技能、善运维的能工巧匠。故面向计算机网络技术及相关专业，开设此赛项。
2.对接产业，引入新技术，服务于数字中国的战略发展
本赛项立足于新一代信息技术领域的信息化网络工作场景，围绕网络构建、服务部署等网络技术，考察参赛选手核心专业能力，培养具备行业特质、工匠精神的高素质技术技能人才和能工巧匠，提升职业院校师生技术技能水平，更好地服务于数字中国的战略发展。
3.深化产教融合，引领网络技术专业群的高水平发展
积极发挥大赛的示范和引领作用，通过大赛对接相应1+X职业技能等级证书，对接最新的专业教学标准，推进“岗课赛证”综合育人；通过大赛引导更多的行业、企业参与校企合作，深化产教融合，引领计算机网络技术及相关专业高质量改革与高水平发展。
三、竞赛内容
本赛项基于企业真实项目和工作任务，结合企业岗位对学生职业技能的最新需求，要求选手在规定时间内完成项目需求分析与网络设计规划、网络设备配置、企业网络服务与应用部署、网络运维管理等典型工作任务，考察选手在信息化网络领域的职业素养、专业技能、创新意识等能力。
本竞赛只考核技能，不涉及理论，考核点如下表所示。本竞赛总计1000分，最终核算为100分。
考核模块 考核任务 分值 技能描述
网络构建 基础网络配置 25 1.根据要求完成网络设备名称、接口、远程登陆等配置；2.根据要求完成设备软件版本更新，设备密码恢复等；3.完成网络测试和验证
有线网络配置 250 1.按照需求配置VLAN、生成树、端口安全等；2.按照需求配置DHCP服务、DHCP中继与DHCP防御等；3.按照网络规划配置静态、RIP、OSPF、BGP等路由技术；4.按照需求配置IPv6地址、IPv6路由及各种隧道；5.按照需求配置链路聚合、DLDP、设备虚拟化、MSTP+VRRP等；6.按照需求配置L2 MPLS，L3 MPLS等VPN技术；7.按照数据分流需求配置策略路由、路由策略等
无线网络配置 100 1.完成无线网络规划、设计AP点位图、输出热图；2.按照需求配置SSID、转发模式、冗余模式等；3.按照需求配置AP隔离、流量限制、身份认证等
出口网络配置 80 1.按照需求配置网络地址转换；2.按照需求配置出口认证、流量控制等；3.按照需求配置L2TP、GRE、IPsec等技术
SDN网络配置 80 1.配置网络设备相关技术对接SDN控制器；2.管理设备流表制定、下发、维护、调用API等
网络运维管理 40 1.配置网络设备相关技术对接运维管理平台；2.使用运维管理平台监控和维护网络设备运行状态
职业规范 25 1.遵循企业生产“6S”管理规范（整理、整顿、清扫、清洁、素养和安全）；2.遵守赛场纪律，提交规范文档
服务部署 Windows基础配置 40 1.按照需求完成操作系统主机名称、IP地址、用户登录密码等基础配置
Windows服务部署 70 1.按照需求完成AD、DNS、Web、DFS、VPN、虚拟化、PowerShe11脚本、Python脚本等配置
Windows运维管理 40 1.配置系统网管参数对接网络运维管理平台；2.使用网络自动化运维软件监控与维护Windows系统
Linux基础配置 50 1.按照需求完成操作系统主机名称、IP地址、用户登录密码等基础配置
Linux服务部署 135 1.按照需求完成E-MAIL、RAID、防火墙、MariaDB、iSCSI、虚拟化、Shell 脚本、Python脚本等配置；2.使用服务器群集技术来实现网络的负载均衡、故障转移、群集管理等
Linux运维管理 40 1.配置系统网管参数对接网络运维管理平台；2.使用网络自动化运维软件监控与维护Linux系统
职业规范 25 1.遵循企业生产“6S”管理规范；2.遵守赛场纪律，提交规范文档
网络系统管理赛项基于企业真实项目，结合工作岗位技能需求，在累计8小时内，完成指定的网络构建和服务部署。
模块 主要内容 比赛时长 分值
模块A 网络构建 网络设备基础、有线网络构建、无线网络构建、出口网络配置、SDN网络配置、网络运维管理 4小时 60%
模块B 服务部署 Windows及Linux操作系统典型应用安装、配置、测试及运维管理 4小时 40%
四、竞赛方式
本赛项常规竞赛形式为线下比赛方式（如遇特殊情况可申请当年调整为线上比赛方式）。
组队方式为团队赛，每支参赛队由2名选手组成。参赛选手须为高职院校全日制在籍注册学生、本科院校高职类全日制（一至三年级）在籍注册学生、五年制高职（四、五年级）在籍注册学生。同一学校参赛队不超过1队，不得跨校组队。
凡在往届全国职业院校技能大赛中获本赛项一等奖的选手，不能报名参赛。
指导教师须为本校专兼职教师，每支参赛队限报2名指导老师。
五、竞赛流程
比赛赛程1天，采用轮换场次方案进行，即A、B两个模块同时进行比赛，由选手在赛前进行抽签决定模块顺序。
1.竞赛流程图
竞赛流程如图1所示。
图1 竞赛流程图
2.竞赛时间表
竞赛时间安排如下表。
日期 时间 内容
比赛前三天 18:00之前 专家报到
比赛前两天 18:00之前 裁判、监督报到
比赛前一天 12:00之前 各参赛队报到
10:00—11:00 裁判工作会议
12:00—17:00 竞赛设备运行、烤机
15:00—15:30 开赛式
15:30—16:00 领队会
16:00—16:30 参赛队熟悉比赛场地
17:00—18:00 现场裁判赛前检查，封闭赛场
比赛当天 7:00—7:30 参赛队集合前往比赛现场
7:00—7:30 现场裁判开启赛场及竞赛设备
7:30—7:40 赛场检录（第一场比赛）
7:40—7:50 一次加密：参赛队抽取参赛编号
7:50—8:00 二次加密：参赛队抽取工位号
8:00—8:10 参赛队进入比赛工位，进行赛前设备、材料检查
11:30—14:30 评分裁判集合前往评分室/分工准备
14:30—15:00 评分裁判培训
8:10-12:10 分组比赛
12:10—12:30 收取各参赛队赛题及比赛结果文档
12:30—13:00 三次加密：竞赛结果等文件加密
12:30—14:00 参赛队用餐、分组隔离休息
12:30—14:00 恢复赛场
14:00—14:10 赛场检录（第二场比赛）
14:10—14:20 二次加密：参赛队抽取工位号
14:20—14:30 参赛队进入比赛工位，进行赛前设备、材料检查
14:30—18:30 分组比赛
18:30—18:50 收取各参赛队赛题及比赛结果文档
18:50—19:20 三次加密：竞赛结果等文件加密
18:50—19:20 参赛队返回酒店
18:30—20:30 比赛结束，申诉受理
15:00—22:00 成绩评定与复核
22:00—23:00 加密信息解密
23:00—24:00 成绩汇总上报
比赛第二天 7:00—9:00 公布成绩
10:00—11:00 闭赛式
11:00—11:30 参赛队返回酒店
六、竞赛规则
1.参赛选手须为高职院校全日制在籍注册学生、本科院校高职类全日制（一至三年级）在籍注册学生、五年制高职（四、五年级）在籍注册学生。凡在往届全国职业院校技能大赛中获本赛项一等奖的选手，不能报名参赛。
2.比赛工位通过抽签决定，比赛期间选手原则上不得离开比赛场地。
3.竞赛所需硬件、软件和辅助工具统一提供，不得自带，包括具有存储和通讯功能设备如硬盘、U盘、手机、智能手表、PDA等。
4.参赛选手在赛前20分钟，领取比赛任务，进入比赛工位。比赛开始后方可进行操作。
5.在比赛过程中，参赛选手如有疑问，应举手示意，现场裁判应按要求及时予以答疑。如遇设备或软件等故障，参赛选手应举手示意，现场裁判、技术人员等应及时予以解决。确因计算机软件或硬件故障，致使操作无法继续，经裁判长确认，予以启用备用设备。
6.比赛时间结束，选手应全体起立，结束操作。经工作人员查收清点所有文档后方可离开赛场，离开赛场时不得带走任何资料。
7.赛项裁判应严格遵守赛项各项规章制度，比赛当天应上交所有通信设备，由赛项执委会统一保管，直至赛项成绩评定结束。
8.比赛结束，经加密裁判对各参赛选手提交的竞赛结果进行第三次加密后，评分裁判方可入场进行成绩评判。最终竞赛成绩经复核无误，由裁判长、监督长签字确认后，以纸质形式向全体参赛队进行公布，并在闭赛式上宣布。
9.本赛项各参赛队最终成绩，由本赛项信息员录入赛务管理系统并将录入的成绩导出打印，经赛项裁判长审核无误后，签字确认，同时报送大赛执委会并将电子版上传赛务管理系统。
10.赛项结束后，专家工作组根据判分情况，分析参赛选手对各知识点、技术的掌握程度，并将分析报告报备大赛执委会，执委会根据实际情况适时公布。
11.赛项中裁判判分的原始材料和最终成绩等结果性材料，经监督仲裁组人员和裁判长签字后，装袋密封留档；并由赛项承办院校封存，委派专人妥善保管。
七、技术规范
参赛代表队在实施竞赛项目中要求遵循如下规范。
[1] GB/T 18018-2019 信息安全技术 路由器安全技术要求
[2] GB 50174-2017 电子信息系统机房设计规范
[3] YD/T 1764-2008 IP网络管理层功能要求
[4] GB/T 21050-2007 信息安全技术 网络交换机安全技术要求（评估保证级3）
[5] GB 21671-2018 基于以太网技术的局域网系统验收测评规范
[6] GB 50348-2018 安全防范工程技术标准
[7] GB/T 18729-2011 基于网络的企业信息集成规范
[8] GB/T 22239-2018 息系统安全等级保护基本要求
[9] GB 50174-2017 数据中心设计规范
[10] GB/T 36463.1-2018 信息技术服务 咨询设计 第1部分：通用要求
[11] GB/T 36463.2-2019 信息技术服务 咨询设计第2部分：规划设计指南
[12] GB/T 28827.1-2012 信息技术服务 运行维护第1部分：通用要求
[13] GB/T 28827.2-2012 信息技术服务 运行维护第2部分：交付规范
[14] GB/T 28827.3-2012 信息技术服务 运行维护第3部分：应急相应规范
[15] GB/T 28827.4-2019 信息技术服务 运行维护第4部分：数据中心服务要求
[16] GB/T 28827.6-2019 信息技术服务 运行维护第6部分：应用系统服务要求
[17] GB/T 29264-2012 信息技术服务 分类与代码
[18] GB/T 20272-2019 信息安全技术 操作系统安全技术要求
[19] YD/T 1170-2001 IP网络技术要求 网络总体
[20] YD/T 1381-2005 IP网络技术要求 网络性能测量方法
八、技术环境
（一）赛场环境
竞赛场地在1000㎡（根据当年实际参赛队伍数调整）的面积以上，包括参赛选手竞赛区、技术支持工作间、备件耗材间、现场裁判工作间等。
1.竞赛区
每个工位面积在7㎡左右，确保参赛队之间互不干扰。每个工位配备2米高机架1个、耗材箱1个（内附相关耗材）、桌子1张（600*1800cm）、椅子2把。赛场要求竞赛过程全程无死角视频监控。环境标准要求保证赛场采光（大于500lux）、照明和通风良好，温度适宜；提供稳定的电，并提供应急的备用电源。
2.技术支持工作间
为技术支持人员提供一间工作间，为参赛选手竞赛提供技术支持，分析测试比赛中的问题，需要配备电脑（2台），打印机（1台）及相关纸张。
3.备件耗材间
提供40㎡左右房间一间、要求通风、干燥、靠近赛场。
4.现场裁判工作间
为现场裁判提供一间工作间，打印现场裁判表单，需要配备电脑（2台），打印机（1台）及相关纸张。
（二）技术平台环境
1.PC
（1）PC（用于A模块-网络构建）
序号 设备名称 说明 单位 数量
1 标准PC CPU：Intel i7及以上。内存：32G及以上硬盘：512G的SSD固态硬盘及以上网卡：千兆网卡（1块）；无线网络适配器（1块）自带串口用于连接调试线缆 台 1
2 高性能PC CPU：Intel i9（或E5-2600、AMD Ryzen 7 5800X）及以上内存：64G及以上硬盘：1T的SSD固态硬盘及以上网卡：千兆网卡（至少提供1个网口）自带串口用于连接调试线缆 台 1
3 显示器 19英寸及以 台 2
（2）PC（用于B模块-服务部署）
序号 设备名称 说明 单位 数量
1 高性能PC CPU：Intel i9（或E5-2600、AMD Ryzen 7 5800X）及以上内存：64G及以上硬盘：1T的SSD固态硬盘及以上网卡：千兆网卡（至少提供1个网口） 台 2
2 显示器 19英寸及以上 台 2
2.硬件设备
序号 设备名称 说明 单位 数量
1 路由器 WAN口不少于4个千兆电口、LAN口不少于24个千兆电口，含电源模块 台 3
2 数据中心交换机 千兆电口不少24个，万兆光口不少于4个，含光纤及万兆光模块，含电源模块 台 2
3 三层可控交换机 千兆电口不少24个，万兆光口不少于4个,含电源模块 台 3
4 二层可控交换机 千兆电口不少24个，万兆光口不少于4个,含电源模块 台 2
5 网关 千兆电口不少8个,含电源模块 台 2
6 无线控制器 千兆电口不少8个，光口不少于2个,可管理AP License不少于32个，含电源模块 台 2
7 无线接入设备 胖、瘦一体AP，含POE电源模块 台 3
3.软件环境
序号 软件名称 说明 单位 数量
1 Windows Server Windows Server 2022 Data Center中文版 套 1
2 Windows Windows 10 Enterprise中文版 套 1
3 CentOS Linux Version 7 及以上 套 1
4 国产操作系统UOS Uniontechos-server-20 套 1
5 SDN控制器 SDN控制器软件（支持不少于10个节点网络） 套 1
6 网络运维平台 网络运维平台（支持不少于20个节点网络） 套 1
7 虚拟化云平台 VMware Workstation Pro 17及以上 套 1
8 VPNClient OPENVPN 2.4 及以上 套 1
9 Zabbix-Agent Zabbix-Agent 3.4 及以上 套 1
10 Office WPS Office Version 2022 及以上 套 1
11 Putty Version 0.7 及以上 套 1
12 Folder2iso Version 3.1 及以上 套 1
13 Tftpd Version 4.6 及以上 套 1
14 无线地勘系统 无线地勘系统（支持输出无线热图） 套 1
15 身份认证系统 身份认证系统（支持不少于5个终端接入） 套 1
16 解压缩软件 RAR4.0及以上 套 1
17 PDF阅读器 Adobe Reader X111及以上 套 1
18 网络调试工具 SercureCRT8.1及以上 套 1
19 截图工具 FScapture6.5以上 套 1
20 FTP客户端 FlashFXP5.4以上 套 1
21 浏览器 Firefox 85以上 套 1
22 RemoteViewer RemoteViewer 0.2以上 套 1
23 virt-viewer virt-viewer 9.0以上 套 1
24 绘图工具 Visio 2013以上 套 1
九、竞赛样题
（一）模块A：网络构建
【任务描述】
某电子商务公司总部在北京，通过网络覆盖全国的销售业务。公司希望以北京为中心，再分别在福州和广州建设两个区域分中心，作为北方业务和南方大区的业务指导中心，开展精准营销。在北京总部通过建设完善的互联网，分别和福州和广州两个区域分中心实现互联互通。
为了实现北京总部运维和两个区域分中心的业务运维，保障公司的网络安全稳定，公司北京总部的网络运维工程师，需要掌握集团公司网络建设任务， 完成广州及福州分中心网络规划与建设，保障公司全国网络的互联互通。
【任务清单】
1.网络基础信息配置
按照如图所示网络拓扑连接信息，连接设备，组建网络， 注意指定接口的连接信息。
（1）在所有的交换机和无线控制器上都开启SSH服务。用户名/密码分别为admin、admin1234。密码为明文类型，特权密码为admin。
（2）在交换机S7设备上配置SNMP功能，向主机为172.16.0.254发送Trap消息。其中，版本采用V2C，读写的Community为“Test”，只读的Community为“public”，开启Trap消息。
2.配置有线网络
（1）在全网Trunk链路上，做VLAN修剪，优化传输。
（2）在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继，使得总部PC1用户使用DHCP Relay方式获取IP地址。
（3）DHCP服务器搭建于EG1上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback 0地址。
……
（二）模板B：服务部署
【Windows项目任务描述】
你作为一名网络技术工程师，被指派去构建的网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。
构建的网络服务环境如下图所示。
【Windows项目任务清单】
1.DCserver配置任务
（1）DCserver系统基础环境配置
1）请根据附件说明或提供的基础信息，配置服务器的主机名\IP地址，创建要求的用户名及密码。
2）配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。
（2）ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务
1）在DCserver上配置如下服务与设置：为安装和配置活动目录域服务；只有域管理员和IT部门员工可以登陆服务器。
2）创建如下全局AD组与用户：Sales（Sales001-100）、IT（IT01-05）、Finance（F01-10）、Management（Manage01-05）。
（3）DNS SERVICE配置工作任务
1）安装及配置DNS服务。
2）创建必要的正向区域，添加必要的域名解析记录。
......
【Linux项目任务描述】
某公司要为员工提供便捷、安全稳定内外网络服务，你作为一个公司网络系统管理员，负责公司网络系统管理，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下。
【Linux项目任务清单】
1.RSERVER TASK
（1）NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名等。
（2）squid
安装squid服务，开启路由转发，为当前实验环境提供路由功能。
（3）Iptables
1）默认阻挡所有流量。
2）添加必要的NAT规则和流量放行规则，正常情况下Internet网络不能访问office网络，满足使所有要求中的服务正常提供工作。
（4）DHCP
1）为客户端分配IP范围是10.10.100.1-10.10.100.50。
2）DNS：按照实际需求配置DNS服务器地址选项。
3）GATEWAY：按照实际需求配置网关地址选项。
（5）SSH
1）安装SSH。
2）仅允许client客户端进行SSH访问，其余所有主机的请求都应该拒绝。
3）配置client只能在Chinaskills23用户环境下可以免秘钥登录，端口号为2023，并且拥有root控制权限。
......
十、赛项安全
1.赛项组织安全
成立赛项安全保障小组，由承办院校校领导担任组长，确保责任到人。建立公安、消防、交通、卫生、食品、质检等相关部门协调机制保证比赛安全。比赛期间。原则上由执委会统一安排参赛选手和指导教师食宿，安排好少数民族选手和教师的饮食起居；执委会和承办单位须保证比赛期间选手、指导教师、裁判员和工作人员的交通安全。
2.赛项管理安全
赛项合作企业提供的器材、设备应符合国家有关安全规定，并在比赛现场安排技术支持人员，保障赛项设备安全稳定。赛题印刷后第一时间由安保人员送往承办校具有双锁保密室的保密铁柜内，由赛项执委会指定专人和保密室负责人共同负责保管。赛题领取人必须由专人在赛项监督人员的监督下于考前30分钟内到保密室领取试卷，并核对好数量，查验试卷的密封是否完整，做好移交工作。
3.赛项环境安全
赛场周围设立警戒线，所有参赛人员必须凭赛项执委会印发的有效证件进入场地。赛场内张贴好突发事件应急疏散示意图、安全指示标识等，如遇特殊情况，服从大赛统一指挥。在竞赛工位张贴安全操作说明，并由裁判长在比赛开始前10分钟宣读安全操作说明。安全保障小组随时对赛场进行巡查、监督，确保安全。
十一、成绩评定
（一）评分原则
1.客观性结果评分原则
采用与行业真实项目相对接，不仅检查命令和过程配置，还需要检测功能点是否实现。客观性结果评分依据目标功能实现的配置状态、Show状态信息、Web截图状态以及功能性的状态测试进行，示例分别如图2、图3、图4、图5所示。通过对结果进行客观性评分，深入考察学生对重要功能的理解是否深入，规避死记硬背，以此更能突显赛项过程与真实工作接轨的目的。
图2 配置状态信息
图3 依据设备功能实现的Show状态信息
图4 依据设备功能实现的Web截图状态
图5 网络连通功能性状态测试
2.评分表样例
评分表按照选手对应题目功能配置的实现过程的收集信息进行评分，具体评分样表如下。
RSERVER TASK（53分）
评分要点 分值 评分
1.NETWORK：1、主机名、IP地址和域名正确各得1分。（3分）；2、开启路由转发（3分） 6分
2.Iptables：1、默认设置阻止所有流量（5分）；2、端口NAT规则（5分）；3、必要的转发规则（5分） 15分
3.DHCP：1、正确安装DHCP服务包，并启动成功（2分）；2、配置DHCP地址池、DNS和网关（5分）；3、DHCP客户端测试，获取正确地址IP/DNS/网关地址（6分） 13分
4.SSH：1、安装SSH，正常监听（3分）；2、限制其他客户端登录（3分）；3、使用Chinaskill23用户免密登录成功（3分） 9分
5.CA：1、证书存储路径（3分）；2、颁发者信息（7分） 10分
3.三次加密原则
比赛过程采取三次加密，通过抽取参赛编号、工位号和竞赛成果号，屏蔽参赛队信息，每个环节设置一名独立裁判，每个环节结束后，数据立即封存于裁判长处，加密裁判直接隔离，确保成绩评定公平、公正。
4.独立评分原则
根据裁判分工，负责相同模块评分工作的不同裁判，采取随机抽签独立评分，确保成绩评定严谨、客观、准确。裁判进行随机抽签分组，杜绝主观意愿组队，各自完全独立评分，裁判员间互不干涉，比赛监督人员可随机监督。
5.错误不传递原则
各环节分别计算得分，错误不传递，按规定比例计入选手总分。
6.抽查复核原则
（1）为保障成绩评判的准确性，监督仲裁组对赛项总成绩排名前30%的所有参赛队伍（选手）的成绩进行复核；对其余成绩进行抽检复核，抽检覆盖率不得低于15%。
（2）监督仲裁组将复检中发现错误，以书面方式及时告知裁判长，由裁判长更正成绩，签字确认。
（3）复核、抽检错误率超过5%的，则认定为非小概率事件，裁判组需对所有成绩进行复核。
（二）评分方法
1.竞赛满分为1000分，最终成绩换算为百分制进行排名。
2.评分成绩 = A模块得分 + B模块得分。
3.竞赛设置裁判长1名，加密裁判3名、现场裁判12名（含现场组组长1名）、评分裁判19名（含评分组组长1名），共计35人。具体如下表。
序号 专业技术方向 知识能力要求 执裁、教学、工作经历 专业技术职称（职业资格等级） 人数
1 裁判长（专业技术方向：网络技术方向） 具备深厚的计算机网络专业理论知识和较高的实践技能水平，熟悉职业教育和大赛工作，有较强的领导力、组织协调能力和临场应变能力 具有全国职业院校技能大赛或国家职业技能大赛执裁经验；从事相关行业工作5年及以上 副高及以上专业技术职称或高级技师职业资格 1
2 现场裁判（专业技术方向：计算机方向） 具备深厚的计算机网络专业理论知识和较高的实践技能水平，熟悉职业教育和大赛工作，有较强的组织协调能力和临场应变能力 具有省级或行业职业技能竞赛执裁经验；从事相关行业工作5年及以上 中级及以上专业技术职称或高级技师职业资格 12
3 评分裁判（专业技术方向：计算机方向） 具备深厚的计算机网络专业理论知识和较高的实践技能水平，熟悉职业教育和大赛工作，有较强的组织协调能力和临场应变能力 具有省级或行业职业技能竞赛执裁经验；从事相关行业工作5年及以上 中级及以上专业技术职称或高级技师职业资格 19
4 加密裁判（专业技术方向：计算机方向） 具备熟练的计算机操作技能，熟悉大赛加解密工作，有较强的组织协调能力和临场应变能力 具有省级或行业职业技能竞赛加密裁判经验；年龄40岁以下，从事相关行业工作5年及以上 中级及以上专业技术职称或高级技师职业资格 3
裁判总人数 35
4.竞赛采取三次加密。第一次加密裁判组织参赛选手第一次抽签，抽取参赛编号，替代选手参赛证等个人信息；第二次加密裁判组织参赛选手进行第二次抽签，确定赛位号，替换选手参赛编号；第三次加密裁判对各参赛队竞赛结果进行加密，替换赛位号。三次加密信息由不同加密裁判密封后保管，在评分结束后进行解密并统计成绩。
5.竞赛对参赛选手提交的结果采取客观性结果评分。采取分步得分、累计总分的计分方式。各环节分别计算得分，错误不传递，按规定得分计入总分。根据赛题情况划分模块，每二名裁判负责一个子模块进行独立评分。裁判长在竞赛结束18小时内提交评分结果，经复核无误，由裁判长、监督仲裁组签字确认后公布。
6.裁判长正式提交评分结果并复核无误后，加密裁判在监督人员监督下进行三层解密：竞赛结果编号到工位号解密；工位号到参赛编号解密；参赛编号到参赛选手名解密。
7.为保障成绩评判的准确性，监督仲裁组对赛项总成绩排名前30%的所有参赛队伍的成绩进行复核；其余成绩进行抽检复核，抽检覆盖率不低于15%。
8.监督仲裁组在复检中发现错误，需以书面形式及时告知裁判长，由裁判长更正成绩并签字确认。如复核、抽检错误率超过5%，裁判组需对所有成绩进行复核。
9.在竞赛过程中，参赛选手如有不服从裁判裁决、扰乱赛场秩序、舞弊等行为的，由裁判长按照规定扣减相应分数，情节严重的将取消比赛资格，比赛成绩计0分。
十二、奖项设置
本赛项的奖项设团队奖。其中，设奖比例为：
以赛项实际参赛队总数为基数，一、二、三等奖获奖比例分别为10%、20%、30%（小数点后四舍五入）。
如出现参赛队总分相同情况，按照A模块得分高低排序。
对获得一等奖的参赛队指导教师，颁发“优秀指导教师”荣誉证书。
十三、赛项预案
（一）应急预案
比赛期间发生意外事故，应第一时间报告赛项执委会，同时采取措施避免事态扩大。赛项执委会应立即启动预案予以解决并报告赛区执委会。赛项出现重大安全问题由赛区执委会决定是否停赛，并由赛区执委会应向大赛执委会报告。
相关应急预案如下表。
突发事件 预防措施 事件发生后应对措施
参赛选手发病或受伤 在各工位张贴安全操作说明 现场医务人员应采取紧急救护措施，如病情或伤势严重，应及时送往最近医院进行救治
人员发生食物中毒 比赛期间指定的住宿/餐饮场地符合国家相关资质要求。并配有专门的医疗救援团队 现场医护人员立即组织对中毒人员进行救治，必要时送往最近医院进行检查治疗。同时对可疑的食品、饮水及其有关原料、工具设备和场所以及可能受污染的区域采取保留、控制措施，组织开展现场调查，并及时向大赛执委会报告
赛场停电 提前准备紧急供电车 如发生赛场停电，立刻切换到紧急供电车
（二）处罚措施
参赛队伍有发生重大安全事故隐患，经赛场工作人员提示、警告无效的，可取消其继续比赛的资格，如造成重大安全事故的，取消其获奖资格。
赛事工作人员违规的，按照相应的制度追究责任。情节恶劣并造成重大安全事故的，由司法机关追究相应法律责任。
十四、竞赛须知
（一）参赛队须知
1.参赛队名称。统一使用规定的地区代表队名称，不使用学校或其他组织、团体的名称；同一学校相同项目报名参赛队不超过1支。
2.参赛选手及指导教师在报名获得确认后，原则上不再更换。如在筹备过程中，参赛选手因故不能参赛，须由所在省级教育主管部门于赛项开赛10个工作日之前出具书面说明，经大赛执委会办公室核实后予以更换。竞赛开始后，参赛队不得更换参赛选手，允许参赛选手缺席比赛。不允许更换新的指导教师，允许指导教师缺席。
3.各学校组织代表队时，须安排为参赛选手购买大赛期间的人身意外伤害保险。
（二）指导教师须知
1.指导教师应该根据专业教学计划和赛项规程合理制定训练方案，认真指导选手训练，培养选手的综合职业能力和良好的职业素养，避免为赛而学、以赛代学的功利化思想。
2.指导老师应及时查看大赛专用网页有关赛项的通知和内容，认真研究和掌握本赛项竞赛的规程、技术规范和赛场要求，指导选手做好赛前的一切技术准备和竞赛准备。
3.指导教师应该根据赛项规程要求做好参赛选手保险办理工作，并积极做好选手的安全教育。
4.指导教师参加赛项观摩等活动，不得违反赛项规定进入赛场，干扰比赛正常进行。
（三）参赛选手须知
1.竞赛选手严格遵守赛场规章、操作规程和工艺准则，保证人身及设备安全，接受裁判员的监督和警示，文明竞赛。
2.参赛选手在检录时需将身份证、学生证、参赛证等身份证件交由检录人员统一保管，不得带入场内。
3.参赛选手进入赛场，不允许携带任何书籍和其他纸质资料（相关技术资料的电子文档由组委会提供），不允许携带通信工具和存储设备（如U盘）。竞赛统一提供计算机以及应用软件。
4.各参赛队应在竞赛开始前一天规定的时间段，进入赛场熟悉环境，但不得触碰任何比赛设备及材料。
5.竞赛时，在收到开赛信号前不得启动操作，各参赛选手自行决定工作程序和时间安排，在指定赛位上完成竞赛项目，严禁作弊行为。
6.竞赛过程中，因严重操作失误或安全事故不能进行比赛的（例如因综合布线发生短路导致赛场断电的、造成设备不能正常工作的），现场裁判员有权中止该队比赛。
7.在一天的比赛期间，食品、饮水等由赛场统一提供。选手休息、饮食或如厕时间均计算在比赛时间内。
8.凡在竞赛期间提前离开的选手，当天不得返回赛场。
9.为培养技能型人才的工作风格，在参赛期间，选手应当注意保持工作环境及设备摆放符合企业生产“6S”（即整理、整顿、清扫、清洁、素养和安全）的原则，如果过于脏乱，裁判员有权酌情扣分。在比赛中如遇非人为因素造成的设备故障，经裁判确认后，可向裁判长申请补足排除故障的时间。
10.参赛队欲提前结束比赛，应向现场裁判员举手示意，记录比赛终止时间。比赛终止后，不得再进行任何与比赛有关的操作。
11.各竞赛队按照大赛要求和赛题要求提交竞赛成果，禁止在竞赛成果上做任何与竞赛无关的记号。
12.竞赛操作结束后，参赛队要确认成功提交竞赛要求的文件，裁判员在比赛结果的规定位置做标记，并与参赛队一起签字确认。
（四）工作人员须知
1.熟悉竞赛规则，服从管理，严格按照工作程序和有关规定办事。
2.树立服务观念，本着一切为参赛选手着想的原则，以高度负责的精神、严肃认真态度和严谨细致的作风，积极完成大赛工作任务。
3.按规定统一着装、佩戴胸卡，文明礼貌，保持良好形象。
4.坚守工作岗位，不迟到，不早退，不无故离岗，特殊情况向组长请假。
5.遇安全突发事件，按照工作预案及时组织疏散，确保人员安全。
6.未经同意不得擅自发布关于比赛的言论，不得私自接受采访。
十五、申诉与仲裁
各参赛队对不符合大赛和赛项规程规定的仪器、设备、工装、材料、物件、计算机软硬件、竞赛使用工具、用品，竞赛执裁、赛场管理以及工作人员的不规范行为等，可向赛项监督仲裁组提出申诉。申诉主体为参赛队领队，参赛队领队可在该赛项竞赛结束后（选手赛场比赛内容全部完成）2小时之内，向监督仲裁组提出书面申诉。
书面申诉应对申诉事件的现象、发生时间、涉及人员、申诉依据等进行充分、实事求是地叙述，并由领队亲笔签名。非书面申诉不予受理。
赛项监督仲裁组在接到申诉报告后的2小时内组织复议，并及时将复议结果以书面形式告知申诉方。申诉方对复议结果仍有异议，可由省（市）领队向赛区仲裁委员会提出申诉。赛区仲裁委员会的仲裁结果为最终结果。
仲裁结果由申诉人签收，不能代收，如在约定时间和地点申诉人离开，视为自行放弃申诉。
申诉方可随时提出放弃申诉，不得以任何理由采取过激行为扰乱赛场秩序。
十六、竞赛观摩
本赛项将提供公开观摩区，使用大屏幕实时转播现场实况。
竞赛环境依据竞赛需求和职业特点设计，在竞赛不被干扰的前提下安全开放部分赛场。现场观摩应遵守如下纪律：
1.观摩人员需由赛项执委会批准，佩戴观摩证件在工作人员带领下沿指定路线、在指定区域内到现场观赛。
2.文明观赛，不得大声喧哗，服从赛场工作人员的指挥，杜绝各种违反赛场秩序的不文明行为。
3.观摩人员不得同参赛选手、裁判交流，不得传递信息，不得采录竞赛现场数据资料，不得影响比赛的正常进行。
4.对于各种违反赛场秩序的不文明行为，工作人员有权予以提醒、制止。
十七、竞赛直播
在不影响比赛的前提下，本赛项竞赛时组织专人进行摄像，记录比赛全过程。竞赛时采用全过程录像与同步大屏直播。除抽签加密外，全过程、全方位安排现场直播，直播过程中避免过多展示选手操作细节，设置观摩区，能全方位宣传大赛。
通过网络、电视、报刊等多种途径对大赛进行赛前、赛中、赛后全过程宣传报道。赛后邀请媒体采访优秀选手、优秀指导教师、裁判、专家或企业人士，并留档作为赛事成果之一。
十八、赛项成果
本赛项资源转化工作由赛项执委会牵头，专家组、承办校、合作企业、参赛院校等共同参与。依照《全国职业院校技能大赛赛项资源转化工作办法》的有关要求，赛后向大赛执委会办公室提交大赛成果资源转化方案并完成资源转化工作。资源成果清单如下表。
资源名称 表现形式 资源数量 资源要求 完成时间
基本资源 风采展示 赛项宣传片 视频 1 15分钟以上 赛后1个月
风采展示片 视频 1 10分钟以上 赛后1个月
技能概要 技能介绍技能要点评价指标 文档 1 电子教材 赛后1个月
分析报告 赛后成绩分析报告 文档 1 电子文档 赛后1个月
教学资源 专业核心课程教材 教材 3 教材 赛后6个月
专业核心课程标准 文档 5 5门课程 赛后6个月
拓展资源 技术平台素材资源库 文档 10 总页数不低于100页 赛后6个月
大赛试题汇编 手册 1 总页数不低于100页 赛后3个月
优秀选手访谈 视频 1 10分钟以上 赛后1个月
师资培训与研讨 培训与会议 1 100人次 赛后6个月2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第8套
模块B：服务部署
目 录
一、Windows初始化环境 1
二、Windows项目任务描述 1
（一）拓扑图 1
（二）网络地址规划 1
三、Windows项目任务清单 2
（一）服务器IspSrv上的工作任务； 2
1. 互联网访问检测服务器 2
2磁盘管理 2
3.iSCSI 2
（二）服务器RouterSrv上的工作任务 2
1. 路由功能 2
2. 动态地址分配中继服务 2
3. NAT服务 2
（三）服务器AppSrv上的工作任务 3
1. DHCP服务 3
2. RDS 3
3. 万维网服务 3
4文件共享 4
5.DNS 4
6.WebPrint 4
（四）服务器DC1&DC2上的工作任务 4
1. 活动目录域服务 4
2. NPS（网络策略服务） 5
3.DNS（域名解析服务） 5
4.证书颁发机构 5
5.DFS 5
（五）服务器IOMSrv上的工作任务 5
（六）客户端InsideCli上的工作任务 6
（七）客户端OutsideCli上的工作任务 6
四、Linux初始化环境 6
（一）默认账号及默认密码 6
（二）操作系统配置 6
五、项目任务描述 6
（一）拓扑图 7
（二）网络地址规划 7
六、Linux项目任务清单 8
（一）服务器IspSrv工作任务 8
1. DHCP 8
2. DNS 8
3. WEB服务 8
（二）服务器RouterSrv上的工作任务 8
1. DHCP RELAY 8
2. ROUTING 8
3. SSH 9
4. IPTABLES 9
5. Web Proxy 9
（三）服务器AppSrv上的工作任务 9
1. SSH 9
2. DHCP 9
3. DNS 10
4. WEB服务 10
5. Mariadb Backup Script 10
6. MAIL 11
7. CA（证书颁发机构） 11
（四）服务器StorageSrv上的工作任务 11
1. SSH 11
2. DISK 11
3. NFS 11
4. VSFTPD 12
5. SAMBA 12
6. LDAP 12
7. ShellScript 12
（五）服务器IOMSrv工作任务 12
（六）客户端OutsideCli和InsideCli工作任务 13
1. OutsideCli 13
2. InsideCli 13
一、Windows初始化环境
默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
二、Windows项目任务描述
你作为一名技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
主机名 所在域 网络地址 DNS 网关
DC1 192.168.30.100/24 127.0.0.1 192.168.30.254
DC2 192.168.30.200/24 127.0.0.1 192.168.30.254
AppSrv 192.168.40.100/24 192.168.30.100 192.168.30.200 192.168.40.254
RouterSrv 192.168.30.254/24 192.168.0.254/24 192.168.40.254/24 100.100.100.251/24 192.168.30.100 100.100.100.254
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24(dhcp) 192.168.30.100 192.168.30.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
三、Windows项目任务清单
（一）服务器IspSrv上的工作任务；
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
2磁盘管理
安装及配置软 RAID5；
在安装好的AppSrv虚拟机中添加3块5G虚拟磁盘；
组成RAID5，磁盘分区命名为卷标F盘：Raid5；
手动测试破坏一块磁盘，做RAID磁盘修复；确认RAID1配置完毕。
3.iSCSI
磁盘存储在F：\ISCSIFATA；
iSCSI 磁盘提供给 DC1 使用，磁盘容量 500 G，启用 chap 验证；
DC1 上连接成功后，把磁盘格式化为 NTFS 格式并挂载到卷标 D 盘。
（二）服务器RouterSrv上的工作任务
路由功能
安装RemoteAccess服务开启路由转发，为当前实验环境提供路由功能。
动态地址分配中继服务
安装和配置Dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于AppSrv服务器上。
NAT服务
启用网络地址转换功能，实现内部客户端访问互联网资源。
配置网络地址转换，允许互联网区域客户端访问AppSrv上的HTTP资源。
4.虚拟专用网络
配置 SSTP/VPN，证书由 CSK2021-ROOTCA 进行签署颁发；
vpn 连接地址为 sstp.；
使用后端 NPS 进行身份验证，仅允许manager 组内用户通过身份证验证；
对于 vpn 客户端，请使用DHCP提供 192.168.1.200-192.168.1.220/24的IP地址。
（三）服务器AppSrv上的工作任务
DHCP服务
安装和配置dhcp服务，为办公区域网络提供地址上网。
地址池范围：192.168.0.100~192.168.0.200。
配置故障转移
设置为“热备用服务器”模式；
伙伴服务器“SDCserver”为“待机”状态；
为备用服务器保留10%的地址；
状态切换间隔为60分钟；
启用身份验证，密码为“P@ssw0rd”。
RDS
在RouterSrv安装和配置 RDS 服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
notepad
WordPad
万维网服务
在RouterSrv上搭建网站服务器
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
设置“http://www./”网站的最大连接数为1000，网站连接超时为60sl;
使用W3C记录日志；每天创建一个新的日志文件，文件名格式:
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；
日志文件存储到“C:\WWWLogFile”目录中；
IIS（FTP）：
匿名用户上传的文件都将映射为ftp2用户
ftp在登录前显示Banner消息：“Hello, unauthorized login is prohibited!”
4文件共享
创建用户主目录共享文件夹：
本地目录为d:\share\users\，允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到H卷。
禁止用户在该共享文件中创建“*.exe, *.bat, *.sh”文件。
创建manager组共享文件夹：
本地目录为d:\ share\managers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。
创建public-share公共共享文件夹：
本地目录为d:\ share\public-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限。
5.DNS
安装DNS服务；
按照该题目要求创建正向和反向区域，并创建必要的DNS解析;
将DC2作为备份DNS服务器；
6.WebPrint
添加一台虚拟打印机，名称为“GZ-Print”，发布到AD域；
客户端们都能够通过访问“http://print./”查看打印机。
（四）服务器DC1&DC2上的工作任务
活动目录域服务
在DC1和DC2服务器上安装活动目录域服务，DC2作为主域控，DC1作为备份域控，活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
it01-it20，请将该用户添加到IT用户组。
ma01-ma10，请将该用户添加到manager用户组。
许除manager 组和IT组，所有用户隐藏C盘。
除manager 组和IT组，所有普通给用户禁止使用cmd。
IT01用户登陆域后，会自动增加驱动器X，该驱动器自动关联DC1的C:\tools文件夹。
sales用户组的Internet Explorer默认将代理指向proxy.，端口号为8080。
所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。”。
设置所有主机的登录Banner：
标题为“CHINASKILLS-DOMAIN”；
内容为“Hello, unauthorized login is prohibited!”。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
启用AD回收站功能。
NPS（网络策略服务）
在DC1上安装网络策略服务作为VPN用户登录验证；
仅允许PPT/MPPEVPN进行VPN连接访问验证；
认证、授权日志将存储到DC1上的“C:\NPS\”目录下；
3.DNS（域名解析服务）
DC2作为AppSrv的备份服务器，进行DNS信息同步；
4.证书颁发机构
在DC1服务器上安装证书办法机构；
定义名称：CSK2022-ROOTCA。
证书颁发机构有效期：5 years。
为域内的web站点颁发web证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。
5.DFS
在DC1和DC2上安装及配置DFS 服务；
目录设置在F：\DFSsharedir；
配置DFS复制，使用AppSrv作为次要服务器，复制方式配置为交错拓扑；
在F：\DFSsharedir 文件夹内新建所有部门的文件夹；
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容；
Management用户组用户可以访问全局的文件夹。
（五）服务器IOMSrv上的工作任务
通过Windows代理模板，添加DC1Server、DC2Sserver、AppSrv操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站http://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域
设置电源配置，以便客户端在通电的情况下，永不进入睡眠；
该客户端用于测试用户登录，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-CSK 的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠；
该客户端用于测试用户登录，Profiles，文件共享。
四、Linux初始化环境
（一）默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
（二）操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>OS Version<<
>> TIME <<
*********************************
五、项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV(UOS)
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill22
超级管理员/登录密码：root/ChinaSkill22
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv(Centos)
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill22
超级管理员/登录密码：root/ChinaSkill22
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
STORAGESRV(Centos)
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill22
超级管理员/登录密码：root/ChinaSkill22
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill22
超级管理员/登录密码：root/ChinaSkill22
网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill22
超级管理员/登录密码：root/ChinaSkill22
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill22
超级管理员/登录密码：root/ChinaSkill22
网络地址/掩码/网关：DHCP From IspSrv
六、Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
DNS
安装BIND9；
配置为DNS根域服务器；
其他未知域名解析,统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”；3
WEB服务
安装 lighttpd（使用其他 web 平台，以下功能均不得分）；
启用 fastcgi-php 模块；
index.php 网页内容显示当前服务器的日期和时间（刷新页面时间自动更新）。
（二）服务器RouterSrv上的工作任务
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
工作端口为2021；
只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
将SSH跟SFTP进行分离，要求SFTP监听端口为54321，并且通过服务的方式进行启动和停止
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
Web Proxy
安装Nginx组件；
配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
为www.配置代理前端，通过HTTPS的访问后端Web服务器；
后端服务器日志内容需要记录真实客户端的IP地址。
缓存后端Web服务器上的静态页面。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101。
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
WEB服务
安装WEb服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统500M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: ChinaSkill23!。
创建网站download.站点;
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
Mariadb Backup Script
脚本文件：/shells/mysqlbk.sh；
备份数据到/root/mysqlbackup 目录；
备份脚本每隔30分钟实现自动备份；
导出的文件名为 all-databases-20210213102333, 其中 20210213102333 为运行备份脚本的当前时间， 精确到秒。
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
CA（证书颁发机构）
CA根证书路径/csk-rootca/csk-ca.pem；
签发数字证书，颁发者信息：(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01 、 user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口 3358；
添加用户user01 user02 到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
VSFTPD
禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
用户webadmin，登录ftp服务器，根目录为/webdata/；
登录后限制在自己的根目录;
允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
用于通过工具或者浏览器下载的最大速度不超过 100kb/s
一个IP地址同时登陆的用户进程/人数不超过2人。
SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
LDAP
安装slapd,为samba服务提供账户认证；
创建目录服务，并创建用户组ldsgp ,将zsuser、lsusr、wuusr。
ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号;
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等;
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（五）服务器IOMSrv工作任务
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装Fping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
网络系统管理赛项-模块B：Windows部署
网络系统管理赛项-模块B：Windows部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第6套
模块B：服务部署
目 录
一、Windows初始化环境 1
（一）默认账号及默认密码 1
二、Windows项目任务描述 1
（一）基本配置 1
（二）拓扑图 2
三、Windows项目任务清单 2
（一） DCserver配置任务 2
1．DCserver系统基础环境配置 2
2．ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务 2
3．DNS SERVICE配置工作任务 3
4．DHCP SERVICE配置工作任务 3
5．为域配置安全策略 3
6． 配置CA服务器 3
（二）SDCserver配置任务 4
1．SDCserver系统基础环境配置 4
2．ACTIVE DIRECTORY SERVICE 辅助域控活动目录配置工作任务 4
3.GPO:组策略与系统配置 4
4．服务器磁盘配置工作任务 4
（三）Server01配置任务 5
1．Server01系统基础环境配置 5
2. WSUS更新服务 5
3. FTP服务配置 5
（四）Server02配置任务 5
1．Server02系统基础环境配置 5
2．DISK配置服务器软RAID工作任务 6
3. rd服务配置 6
（五）Server03配置任务 6
1．Server03系统基础环境配置 6
2. DFS服务配置 6
（六）GWserver配置任务 6
1．GWserver系统基础环境配置 7
2．安装和配置路由服务 7
3．安装及配置VPN服务 7
（七）IOMSrv配置任务 7
（八）Client配置任务 7
1．对等网客户端配置 7
四、Linux初始化环境 7
（一）默认账号及默认密码 7
（二）操作系统配置 8
五、项目任务描述 8
（一）拓扑图 8
（二）基本配置 9
六、Linux项目任务清单 10
（一）CLIENT TASK 10
（二）RSERVER TASK 10
（三）SERVER01 TASK 11
（四）SERVER02 TASK 13
（五）SERVER03 TASK 14
（六）SERVER04 TASK 14
（七）IOMSrv TASK 15
一、Windows初始化环境
（一）默认账号及默认密码
Username: Administrator
Password: ChinaSkills23
Username: demo
Password: ChinaSkills23
注：若非特别指定，所有账号的密码均为 ChinaSkills23
二、Windows项目任务描述
你作为一名网络技术工程师，被指派去构建的网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。
（一）基本配置
1、服务器和客户端信息，各虚拟机已预装系统。
Device Hostname FQDN IPAddress
DCserver DCserver DCserver. 172.16.100.221
SDCserver SDCserver SDCserver. 172.16.100.222
Server01 Server01 Server01. 192.168.10.251
Server02 Server02 Server02. 192.168.10.252
Server03 Server03 Server03. 192.168.10.253
GWserver GWserver GWserver. 172.16.100.254 192.168.10.254 10.10.100.254
Client Client 10.10.100.x
2、网络信息
Network CIDR
办公区域 10.10.100.0/24
服务区 172.16.100.128/25
应用区域 192.168.10.240/28
（二）拓扑图
构建的网络服务环境如下图所示。
三、Windows项目任务清单
（一） DCserver配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“DCserver”的为“DCserver”服务器系统，服务器已安装好基本的Windows Server 操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23。
注：本题目中没特别说明的密码皆为：ChinaSkills23。
1．DCserver系统基础环境配置
请根据附件说明或提供的基础信息，配置服务器的主机名\IP 地址，创建要求的用户名及密码；
配置Windows 防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。
2．ACTIVE DIRECTORY SERVICE主域控活动目录配置工作任务
（1）在DCserver上配置以下服务与设置
为安装和配置活动目录域服务；
只有域管理员和IT部门员工可以登陆服务器。
（2）创建以下全局AD组与用户
Sales(Sales001-100)、IT（IT01-05）、Finance（F01-10）、Management（Manage01-05）；
创建ChinaSkills23为GPO管理员；加入到企业管理、域控管理员组；
为所有域用户设置漫游文件（除Management外），漫游文件放于\\\ChinaSkills23\Roaming Profile\目录中；
开启本地及域控用户登录操作日志审计记录；
开启远程桌面服务及对应端口，让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；
配置域控组策略及域控配置信息备份；每天自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup目录。
3．DNS SERVICE配置工作任务
安装及配置DNS服务；
创建必要的正向区域，添加必要的域名解析记录；
配置TXT记录，配置主时间控制服务记录；配置域名反向PTR；
为当前域网络创建反向查找区域；
4．DHCP SERVICE配置工作任务
安装及配置DHCP服务；
创建一个名为“”的DHCP作用域；
保留地址172.16.100.129-139，起始地址172.16.100.140-254；绑定SDCserver的IP地址为172.16.100.222/25；
网关地址：172.16.100.254；
DNS服务器：172.16.100.221；8.8.8.8；
5．为域配置安全策略
限制Management（Manage01-05）只能从Client登录；
限制Finance（F01-10），不能关闭计算机和重启计算机；
所有的域计算机和域用户都能自动注册证书，证书颁发机构已经颁发过一次，就不再重复颁发，除非证书文件丢失或者失效；
为普通用户配置密码策略，该策略要求密码为长度最小12位数的复杂性密码；
对于Finance（F01-10），有一个例外，无需密码即可登录客户端；
对IT（IT01-05）用户启用桌面环境副本，移除回收站图表，统一添加IE浏览器快捷方式在桌面；
禁止Sales(Sales001-010)使用注册表编辑工具、PowerShell以及Cmd。
配置CA服务器
配置证书服务器，提供CA自动申请证书；实现证书颁发机构及机构WEB注册服务；
配置为企业CA域成员；CA类型：根CA中心；加密类型SHA256位，密钥长度2248位；CA共用名称:；可分辨后缀：DC=Chinaskills，DC=local；有效期为1年；
证书数据存储路径：H：\DFSsharedir\CA。
（二）SDCserver配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“SDCserver”的为“SDCserver”服务器系统，服务器上请安装基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23。
注：本题目中没特别说明的密码皆为：ChinaSkills23。
1．SDCserver系统基础环境配置
请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
安装Zabbix-Agent到Zabbix，用Zabbix检测域控服务器运行状态；执行文件在操作主机的D：/tools文件夹内；
2．ACTIVE DIRECTORY SERVICE 辅助域控活动目录配置工作任务
为安装和配置活动目录域服务：将SDCserver加入到的域中，只有域管理员和IT部门员工，可以登陆服务器；将服务器配置为辅助域控。DCserver主域控服务器；当DCserver离线时，SDCserver成为主服务器；
开启本地及域控用户登录操作日志审计记录；
开启远程桌面服务及对应端口，让服务器可以被纳管到云堡垒机；仅允许本地管理员和域管理员登录；
配置域控组策略及域控配置信息备份；自动备份到本地的D盘根目录；并同步复制到DFS目录下:\DFSsharedir\IT\backup目录。
3.GPO:组策略与系统配置
所有的服务器不需要按ctrl+alt+del；
关闭所有的机器的睡眠功能；
对于IT组来说，所有站点都启用SSO；
所有的计算机都不允许登录Microsoft账户；
允许IT组进行系统时间更改；
设定所有职务为managers的用户为本地管理员，除了域控制器；
允许所有的Managers组在域控制器登录。
4．服务器磁盘配置工作任务
（1）安装及配置RAID
配置系统软RAID；添加两块10G磁盘；
在服务器上为创建一个RAID-1阵列；
格式化该磁盘挂载为I盘，名称为：RAID1；
（三）Server01配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“Server01”的为“Server01”服务器系统，服务器已安装好基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23。
注：本题目中没特别说明的密码皆为：ChinaSkills23。
1．Server01系统基础环境配置
请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
将Server01加入到的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。
2. WSUS更新服务
安装WSUS更新服务，更新补丁目录设置为“c:\wsusbackup”。
创建更新组名称为“CHINASKILLS-WSUS”。
每天凌晨03:00下发自动更新。
更新服务器地址为“http://wsus.:8530”。
3. FTP服务配置
安装FTP服务，新建一个FTP站点，并建立用户soft1、soft2，密码均为ftp123；
FTP站点主目录为D:\ftproot，通过启用隔离用户功能，使用用户名目录的方式实现用户soft1与soft2和匿名方式登录FTP站点时，匿名方式只能浏览到“Public”子目录中的内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹；
ftp站点使用预共享密钥加密通信通道，否则将不能访问
设置FTP最大客户端连接数为100。
（四）Server02配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“Server02”的为“Server02”服务器系统，服务器需要安装，并完成配置基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23。
注：本题目中没特别说明的密码皆为：ChinaSkills23。
1．Server02系统基础环境配置
请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
将Server02加入到的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。
2．DISK配置服务器软RAID工作任务
安装及配置RAID；
配置系统软RAID；添加两块10G磁盘；
在服务器上为创建一个RAID-1阵列；
格式化该磁盘挂载为I盘，名称为：RAID1；
3. rd服务配置
在Server02上搭建RDS服务；
在InsideCli客户端登录的用户可以直接在开始菜单中找到RemoteApp程序。
（五）Server03配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“Server03”的为“Server03”服务器系统，服务器需要安装，并完成配置基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23。
注：本题目中没特别说明的密码皆为：ChinaSkills23。
1．Server03系统基础环境配置
请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求；
安装Zabbix-Agent到Zabbix，用Zabbix检测域控服务器运行状态；执行文件在操作主机的D：/tools文件夹内；
将Server03加入到的域中，只有域管理员和IT部门员工及本地管理员可以登陆服务器。
2. DFS服务配置
在Server03上安装及配置DFS服务。
目录设置在F：\DFSsharedir。
在F：\DFSsharedir文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
（六）GWserver配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“GWserver”的为“GWserver”服务器系统，服务器已安装好基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23。
注：本题目中没特别说明的密码皆为：ChinaSkills23。
1．GWserver系统基础环境配置
请根据附件说明或提供的基础信息，配置服务器的主机名，IP地址，创建要求的用户名及密码；
配置Windows防火墙，仅允许配置的服务通过防火墙；禁止ICMP回显请求。
2．安装和配置路由服务
请不要把该服务器加入到任何AD域；
安装Remote Access服务并启用路由功能。
3．安装及配置VPN服务
仅允许Layer 2 Tunneling Protocol连接；
为保障认证的安全性，采用证书作为Layer 2 Tunneling Protocol认证手段；
客户端连接成功后获得的内部地址范围为：192.168.10.241-192.168.10.248；
使用域用户作为VPN登录认证用户。
（七）IOMSrv配置任务
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.203；
通过Windows代理模板，添加DCServer、SDCSserver、Server01操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站http://web.，查看运行状态。
基于Server01上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（八）Client配置任务
注意：若题目中未明确规定，请使用默认配置。
虚拟服务器上，虚拟机名称为“client”的为“client”服务器系统，服务器已安装好基本的Windows Server操作系统环境，默认用户名为“administrator”，默认密码：ChinaSkills23。
1．对等网客户端配置
请把该计算机留在工作组；
设置电源配置，以便客户端在通电的情况下，永不进入睡眠；
创建一个名为SD-VPN的拨号适配器连接，用于建立VPN连接。
该客户端用于测试VPN，以及需要的完成相关功能。
四、Linux初始化环境
（一）默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为ChinaSkill23!
（二）操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>Linux Version<<
>> TIME <<
*********************************
五、项目任务描述
某公司要为员工提供便捷、安全稳定内外网络服务，你作为一个公司网络系统管理员，负责公司网络系统管理，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）基本配置
服务器和客户端基本配置如下表，各虚拟机已预装系统。
Device Hostname System FQDN IP Address Service
Server01 Server01 Centos Server01. 172.16.100.201 RAID5 NFS DNS Webserver SSH DBMS SDN
Server02 Server02 Centos Server02. 172.16.100.202 Ftp Mail SSH
Server03 Server03 UOS Server03. 192.168.10.3 Ntp, SSH
Server04 Server04 UOS Server04. 192.168.10.X DNS Webserver SSH LDAP
Rserver Rserver Centos Rserver. Rserver. 172.16.100.254 192.168.10.2 10.10.100.254 proxy firewall dhcp SSH CA
Client Client Centos 10.10.100.x none
网络
Network CIDR
office 10.10.100.0/24
service 172.16.100.128/25
internet 192.168.10.0/28
六、Linux项目任务清单
任务设备：Client,Rserver,servr01,server02,server03,server04。
注意：若题目中未明确规定，请使用默认配置。
（一）CLIENT TASK
1.Client相关任务，具体要求如下：
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
作为网站访问测试的客户端，安装firefox浏览器，curl命令行测试工具；
作为SSH远程登录测试客户端，安装ssh命令行测试工具；
作为SAMBA测试的客户端，使用图形界面文件浏览器测试，并安装smbclient工具；
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
（二）RSERVER TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名等。
2.squid
安装squid服务，开启路由转发，为当前实验环境提供路由功能；
3. DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
4.DHCP
为客户端分配IP范围是10.10.100.1-10.10.100.50；
DNS：按照实际需求配置DNS服务器地址选项；
GATEWAY：按照实际需求配置网关地址选项。
5.SSH
安装SSH
仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
配置client只能在Chinaskill23用户环境下可以免秘钥登录，端口号为2022，并且拥有root控制权限。
6.CA
CA根证书路径/CA/cacert.pem；
签发数字证书，颁发者信息：
国家 = CN
单位 = Inc
组织机构 = www.
公用名 = Skill Global Root CA
创建用户组ldsgp，将zsuser、lsusr、wuusr添加到组内。
7. ShellScript
编写添加用户的脚本，存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号；
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等；
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（三）SERVER01 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
3.NFS
共享/data/share目录；
用于存储server01主机的web数据；
仅允许service01主机访问该共享。
4.DNS
安装DNS服务相关软件包；
建立域，为所有除Internet区域的主机或服务器建立正\反的域名解析；
当出现无法解析的域名时，向域申请更高层次的解析。
5.Webserver
安装web服务相关软件包；
由Server01提供www.
skills公司的门户网站；
使用apache服务；
网页文件放在/data/share/htdocs/skills；
服务以用户webuser运行；
首页内容为“This is the front page of sdskills's website.”；
/htdocs/skills/staff.html内容为“Staff Information”；
该页面需要员工的账号认证才能访问；
员工账号存储在ldap中，账号为zsuser、lsus
网站使用https协议；
SSL使用RServer颁发的证书，颁发给:
C = CN
ST = China
L = ShangDong
O = skills
OU = Operations Departments
CN = *.
Sever01的CA证书路径：/CA/cacert.pem
签发数字证书，颁发者：
C = CN；
O = Inc
OU = www.
CN = skill Global Root CA
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
当用户使用或any.（any代表任意网址前缀）访问时，自动跳转到www.。
6.SSH
安装SSH
仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
配置client只能在Chinaskill23用户环境下可以免秘钥登录，端口号为3033，并且拥有root控制权限；
7.DBMS
在Server01上完成MariaDB数据库的安装，添加数据库root用户密码为ChinaSkill23!
安装MariaDB数据库服务器组件；
MariaDB数据库管理员信息：User: root/ Password: Chinaskill20!；
安装MariaDB WEB管理面板“phpMyAdmin”，通过apache进行发布
安装phpMyAdmin，MariaDB的web管理面板组件；
安装apache，配置php环境，用于发布phpMyAdmin；
（四）SERVER02 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.Ftp
禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
用户webadmin，登录ftp服务器，根目录为/webdata/；
登录后限制在自己的根目录；
允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
用于通过工具或者浏览器下载的最大速度不超过100kb/s
一个IP地址同时登陆的用户进程/人数不超过2人。
3.MAIL
Postfix
的邮件发送服务器
支持smtps(465)协议连接，使用Rserver颁发的证书，证书路径/CA/cacert.pem
创建邮箱账户“user1~user99”（共99个用户），密码为Chinaskill23!；
Dovecot
的邮件接收服务器；
支持imaps（993）协议连接，使用Rserver颁发的证书，证书路径/CA/cacert.pem；
请保留至少两个用户已成功登录并能正常收发邮件，以方便测试.
4.SSH
安装SSH
仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
配置client只能在Chinaskill23用户环境下可以免秘钥登录，端口号为4044，并且拥有root控制权限；
5. 部署WordPress论坛
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: Chinaskill21!
（五）SERVER03 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.chrony
配置为全网提供时间同步服务器
为除本机外的所有主机提供时间同步服务
使用ntpdate命令每隔5分钟同步一次时间。
3.SSH
安装SSH
仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
配置client只能在Chinaskill20用户环境下可以免秘钥登录，端口号为2233，并且拥有root控制权限；
4.OpenVPN
要求服务器日志记录客户端登录时间、用户名，格式如“2023-04-10:08:10:30Successful authentication: username="vpnuser1"”；
日志文件存放至/var/log/openvpn.log中；
创建用户vpnuser1，密码为123456，使用用户名密码认证，要求只能与InsideCli客户端网段通信，允许访问StorageSrv主机上的SAMBA服务；
VPN地址范围为172.16.0.0/24，OPENVPN使用tcp 1194端口号进行工作。
（六）SERVER04 TASK
1.NETWORK
请根据基本配置信息配置服务器的主机名，网卡IP地址配置、域名服务器、网关等。
2.DNS
安装DNS相关服务软件包；
为域提供必要的域名解析
当非域的解析时，统一解析到Rserver连接Internet网段的IP地址或Rserver.
3.Webserver
提供www.
skills公司的门户网站；
使用apache服务；
网页文件放在/htdocs/skills；
服务以用户webuser运行；
首页内容为“This is the front page of skills's website.”；
/htdocs/sdskills/staff.html内容为“Staff Information”；
该页面需要员工的账号认证才能访问；
员工账号存储在ldap中，账号为zsuser、lsus
网站使用https协议；
SSL使用RServer颁发的证书， 颁发给:
C = CN
ST = China
L = ShangDong
O = skills
OU = Operations Departments
CN = *.
Rserver的CA证书路径：/CA/cacert.pem
签发数字证书，颁发者：
C = CN
O = Inc
OU = www.
CN = skill Global Root CA
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
当用户使用或any.（any代表任意网址前缀）访问时，自动跳转到www.。
4.SSH
安装SSH
仅允许client客户端进行ssh访问，其余所有主机的请求都应该拒绝；
配置client只能在Chinaskill23用户环境下可以免秘钥登录，端口号为3344，并且拥有root控制权限；
5.LDAP
安装openldap,为apache服务提供账户认证；
创建目录服务，并创建用户组ldsgp,将zsuser、lsusr、wuusr。
（七）IOMSrv TASK
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.203；
通过Linux代理模板，添加SERVER01、SERVER02操作系统监控对象，查看运行状态；
通过中间件Apache模板，添加Apache监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于SERVER01上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
网络系统管理赛项-模块B：服务部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第8套
模块A：网络构建
目 录
任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 3
（四）出口网络配置 5
（五）网络运维配置 6
（六）SDN网络配置 6
附录1：拓扑图 7
附录2：地址规划表 8
任务清单
（一）基础配置
1.根据附录1拓扑图及附录2地址规划表，配置设备接口信息；
2.所有设备开启SSH认证，用户名：admin，密码：987123Aa,特权密码为admin123!,密码呈现需加密。所有交换机开启Telnet功能，对所有Telnet用户采用本地认证的方式。
3.S7设备启用SNMPv3功能，用户名Admin!@#，隶属于group组，认证方式为md5，认证密码为password!@#，加密算法为des56，加密密码为password#@!，安全级别为priv；用户admin对MIB默认视图具有读写权限；交换机能主动向主机172.16.0.254发送验
证加密消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪；控制用户安全接入，局域网安全设备启用端口保护功能；
2.局域网接入设备启用环路检测功能，规避不同设备间、同一设备不同端口、同一设备单点下的多种环路现象，检测环路后处理方式为shutdown-port；
3.DHCP服务器搭建于R1/R2、R3和EG2上；总部局域网启用DHCP安全防护机制，通过硬件IP/MAC表项过滤匹配保证主机安全，针对有线用户启用ARP防御；
4.总部配置MSTP防止二层环路；要求所有有线数据流经过S1转发。配置参数要求：region-name为ruijie；revision版本为1；主根优先级4096，从根优先级8192；
5.在S1与S2上配置VRRP；其中S1为主设备，优先级255；S2为备设备，优先级120；在R1与R2上为VLAN100配置VRRP，其中R1为主设备，优先级255；R2为备设备，优先级120；
6.交换机S1与S2之间（Gi0/47、Gi0/48）配置二层链路聚合，采取LACP动态聚合模式；
7.总部使用OSPF协议组网，OSPF进程号10；规划多区域组网，区域0（R1、R2、S1、S2），区域1（S1、S2、AC1、AC2）；优化OSPF配置尽量加快OSPF收敛，AC1与AC2不参与DR/BDR的选举，尽可能精简AC1和AC2的路由表条目，重发布路由进OSPF域中使用类型1；
8.联通运营商S5和S6设备启用OSPF协议，进程号20，区域0；
9.联通运营商只维护宽带业务，对于专线业务和客户私网地址不做转发；
10.S1、S2、R1、R2、R3使用BGP路由协议，总部为AS100，分部为AS200；R1、R2与R3建立EBGP邻居；S1、S2、R1、R2建立全互联IBGP邻居（通过LOOPBACK0）；总部与分部所有路由必须通过network命令来发布，总部路由通过重分布引入分部；
11.分部（R3、S7）采用单区域OSPF协议，进程号30；
12.总部R1与EG1、R2与EG2建立GRE隧道，隧道内运行OSPF协议，实现总部与办事处互联互通；广州办事处内部的OSPF进程号11，区域号0；上海办事处内部的OSPF进程号12，区域号0；
13.启用IPsec VPN加密GRE隧道内流量，对总部/分部和办事处的数据流进行保护，尽可能减小IPSEC报文封装长度；
14.联通运营商、公司总部和分部以OSPF LSA5 OE1的方式引入路由，并基于业务网段各自汇总发布B类路由（包括宽带业务、VLAN10、VLAN20和VLAN30）；
15.过滤非必须路由，使用路由策略名称filter；如需修改路由开销，IGP必须设定5或10，BGP必须设定50或100；
16.业务路径要求：总部访问分部主路径为：S1-R1-R3-S7；总部访问互联网：S1-R1-S5；分部访问互联网：S7-R3-R1-S5；所有数据路径要求来回一致；
17.IPv6网络建设要求：总部R1/R2通过管理VLAN与分部R3的环回口建立6to4动态隧道，实现总部与分部间IPv6互联互通；总分部IPv6地址自行规划计算，隧道内启用静态路由协议，总部R1/R2/S1/S2间启用OSPFv3协议；OSPFv3进程号10，区域0，优化配置，加快收敛速度，业务网段不允许出现协议报文。S1、S2、S7启用IPv6网络，实现有线与无线客户端的IPv6终端可自动从网关处获取地址，IPv6地址规划如下：
表1 IPV6地址规划表
设备 接口 IPV6地址
S1 VLAN20 X:Y:Z::254/64
VLAN30 2001:192:1::254/64
Gi0/4 2001:11:1::2/64
Gi0/5 2001:21:1::2/64
S2 VLAN20 X:Y:Z::253/64
VLAN30 2001:192:1::253/64
Gi0/4 2001:21:1::2/64
Gi0/5 2001:12:1::2/64
R1 Gi0/0 2001:11:1::1/64
Gi0/1 2001:12:1::1/64
R2 Gi0/0 2001:21:1::1/64
Gi0/1 2001:22:1::1/64
R3 Gi0/0 2001:37:1::1/64
S7 VLAN20 X:Y:Z::254/64
Gi0/24 2001:37:1::2/64
（三）无线网络配置
集团拟投入10.5万元（网络设备采购部分），项目要求重点覆盖楼层、走廊、会议室大厅和办公室。平面布局如图1所示。
本次无线网络要求设备均通过2.4G频段接入（信道1、6、11），访客采用5G频段（信道149,153,157,161）。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，卫生间、楼梯和电梯区域无需覆盖）；
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）；
3.输出该无线网络工程项目设备的预算表，网络设备型号和价格依据表2；
表2 无线产品价格表
产品型号 产品特征 传输速率 （2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP330-I 双频双流 300M/1.167G 32/256 100mw 6000
AP220-E(M)-V3.0 双频双流 300M/600M 32/256 100mw 11000
RG-Cab-SMA-10m 10米馈线 N/A N/A N/A 1600
RG-Cab-SMA-15m 15米馈线 N/A N/A N/A 2400
RG-IOA-2505-S1 双频单流/单频单流 N/A N/A N/A 500
AP110-w 单频单流 150M 12/32 60mw 2500
S2928G-24P 24口POE交换机 N/A N/A 240w 15000
WS6008 无线控制器 6*1000M 32/200 40w 50000
4.创建总部 SSID 1为 Ruijie-ZB_XX(XX现场提供)，AP-Group为ZB；创建分部 SSID 2为 Ruijie-FB_XX(XX现场提供)，AP-Group为FB；创建上海办事处 SSID 3为 Ruijie-SH_XX(XX现场提供)，AP-Group为SH；
5.AP与AC1、AC2均建立隧道，当AP与主用AC1失去连接时能无缝切换至AC2并提供服务；
6.省公司总部与分公司无线用户接入无线网络时需要采用基于 WPA2 加密方式，其口令为 XXX(现场提供)；
7.要求所有无线用户均启用本地转发模式；限制AP1、AP2、AP3关联用户数最多为16人；关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入；
8.调整2.4G频段射频卡powerlocal功率数值为20，5.8G频段射频卡powerlocal功率数值为100，尽量降低同频干扰带来的影响。
（四）出口网络配置
1.出口网关上配置访问控制列表，允许所有用户(ACL编号110)在每天08：30-17:00（命名为work）通过NAPT访问互联网，NAPT映射到互联网接口上；
2. 在办事处EG网关上启用Web Portal认证服务，并创建user1、user2；无线用户访问互联网免WEB认证；
3. 在办事处EG针对内网访问外网WEB流量限速每IP 500Kbps，WEB总流量不超过50Mbps，通道名称定义为WEB；
4.EG对敏感词“供应链企业资料”和“员工薪酬明细”进行过滤；
5.禁止局域网用户通过浏览器访问http://15.1.0.2
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控总部所有设备。
2.通过运维平台将被监控设备纳入监控范围；通过拓扑配置功能，将网络拓扑配置到平台中；
3.将R1、R2和R3的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S2/S3构建SDN网络，S3连接SDN控制器的6653端口。
3.通过SDN控制器手工给S3下发流表项使其S3下终端可与业务网段互联互通。
网络系统管理赛项 模块A：网络构建
附录1：拓扑图
附录2：地址规划表
表4 IPv4地址分配表
设备 接口或VLAN 二层或三层规划 说明
S1 VLAN10 172.17.10.254/24 AP管理
VLAN20 172.17.20.254/24 无线用户
VLAN30 172.17.30.254/24 有线用户
VLAN100 172.17.100.254/24 设备管理
Gi0/5 10.1.0.14/30 互联R2
Gi0/4 10.1.0.1/30 互联R1
Gi0/47 AG成员
Gi0/48 AG成员
LoopBack 0 11.1.0.33/32 Router ID
S2 VLAN10 172.17.10.253/24 AP管理
VLAN20 172.17.20.253/24 无线用户
VLAN30 172.17.30.253/24 有线用户
VLAN100 172.17.100.253/24 设备管理
Gi0/5 10.1.0.10/30 互联R1
Gi0/4 10.1.0.5/30 互联R2
Gi0/47 AG成员
Gi0/48 AG成员
LoopBack 0 11.1.0.34/32 Router ID
S3 Gi0/24 192.168.1.3 SDN管理网段
S4 VLAN100 172.20.100.254/24 设备管理
AC1 VLAN100 172.17.100.1/24 设备管理
LoopBack 0 11.1.0.204/32
AC2 VLAN100 172.17.100.2/24 设备管理
LoopBack 0 11.1.0.205/32
S5 Gi0/1 15.1.0.1/30 互联EG1
Te0/28 56.1.0.1/30 互联S6
Gi0/24 51.1.0.1/30 互联R1
LoopBack 0 11.1.0.5/32 Router ID
S6 Gi0/1 26.1.0.1/30 互联EG2
Gi0/2 63.1.0.1/30 互联R3
Te0/28 56.1.0.2/30 互联S5
Gi0/24 62.1.0.1/30 互联R2
LoopBack 0 11.1.0.6/32 Router ID
S7 VLAN10 172.18.10.254/24 AP管理
VLAN20 172.18.20.254/24 无线用户
VLAN30 172.18.30.254/24 Pvlan
VLAN31 Gi0/1至Gi0/4 Community_vlan
VLAN32 Gi0/5至Gi0/8 Isolated_vlan
VLAN100 172.18.100.254/24 设备管理
Gi0/24 10.1.0.42/30 互联R3
LoopBack 0 11.1.0.7/32 Router ID
EG1 Gi0/1 15.1.0.2/30 互联S5
Gi0/2 172.19.10.254/24 互联PC
Tunnel 0 11.1.1.1/24
LoopBack 0 11.1.0.11/32 Router ID
EG2 Gi0/1 26.1.0.2/30 互联S6
Gi0/2.10 172.20.10.254/24 AP管理
Gi0/2.20 172.20.20.254/24 无线用户
Tunnel 0 22.1.1.1/24
LoopBack 0 11.1.0.12/32 Router ID
R1 Gi0/0 10.1.0.2/30 互联S1
Gi0/1 10.1.0.9/30 互联S2
Gi1/0 172.16.0.254/24 VLAN100
Gi1/1 10.1.0.21/30 Svi101成员口
Gi1/2 51.1.0.2/30 Svi102成员口
Tunnel 0 11.1.1.2/24
LoopBack 0 11.1.0.1/32 Router ID
R2 Gi0/0 10.1.0.6/30 互联S2
Gi0/1 10.1.0.13/30 互联S1
Gi1/0 172.16.0.253/24 VLAN100
Gi1/1 10.1.0.25/30 Svi101成员口
Gi1/2 62.1.0.2/30 Svi102成员口
Tunnel 0 22.1.1.2/24
LoopBack 0 11.1.0.2/32 Router ID
R3 Gi0/1 63.1.0.2/30 互联S6
Gi0/0 10.1.0.41/30 互联S7
Gi1/0 10.1.0.22/30 Svi100成员口
Gi1/1 10.1.0.26/30 Svi101成员口
LoopBack 0 11.1.0.3/32 Router ID2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第3套
模块A：网络构建
目 录
任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 3
（四）出口网络配置 6
（五）网络运维配置 6
（六）SDN网络配置 7
附录1：拓扑图 8
附录2：地址规划表 9
任务清单
（一）基础配置
1.根据附录1、附录2，配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、admin1234；密码为明文类型,特权密码为admin。
3.交换机配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test”，只读的Community为“public”，开启Trap消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.为了规避网络末端接入设备上出现环路影响全网，要求在分校接入设备S6，S7进行防环处理。具体要求如下：接口开启BPDU防护不能接收bpduguard报文；接口下开启rldp防止环路，检测到环路后处理方式为shutdown-port；连接终端的所有端口配置为边缘端口；如果端口被BPDU Guard检测进入err-disabled状态，再过300秒后会自动恢复，重新检测是否有环路。
3.为了保证接入区DHCP服务安全及伪IP源地址攻击，具体要求如下：DHCP服务器搭建于S3上对VLAN10以内的用户进行地址分配；
4.在本部交换机S3、S4上配置MSTP防止二层环路；要求VLAN10、VLAN20、VLAN30数据流经过S3转发，VLAN40、VLAN50、VLAN100数据流经过S4转发，S3、S4其中一台宕机时均可无缝切换至另一台进行转发。所配置的参数要求如下:region-name为test；revision版本为1；实例1，包含VLAN10，VLAN20，VLAN30；实例2，包含VLAN40，VLAN50，VLAN100；S3作为实例0、1中的主根，S4作为实例0、1的从根；S4作为实例2中的主根，S3作为实例2的从根；主根优先级为4096，从根优先级为8192；在S3和S4上配置VRRP，实现主机的网关冗余。所配置的参数要求如表1；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN30 30 192.1.30.254
VLAN40 40 192.1.40.254
VLAN50 50 192.1.50.254
VLAN100(交换机间) 100 192.1.100.254
5.本部内网使用静态路由、OSPF多协议组网。其中S3、S4、S5、EG1、EG2、R1使用OSPF协议，本部其余三层设备间使用静态路由协议。本部与分校广域网间使用静态路由协议（R1除外），各分校局域网环境使用静态路由协议。要求网络具有安全性、稳定性。具体要求如下：本部OSPF进程号为10，规划多区域；区域0（S3、S4），区域1（S3，S4，S5）,区域2（S3，S4，EG1，EG2），区域3（S4、R1）；区域1为完全NSSA区域；AP使用静态路由协议；本部与分校通过重分发引入彼此路由；要求本部业务网段中不出现协议报文；不允许重发布直连路由，Network方式发布本地明细路由；为了管理方便，需要发布Loopback地址；优化OSPF相关配置，以尽量加快OSPF收敛；重发布路由进OSPF中使用类型1。
4.不允许在R1设备使用IPv4静态路由。
5.本部路由器R1与广州校区路由器R3 使用两根链路保证可靠性，使用三层链路聚合协议进行聚合端口。Vlan100作为三层互联vlan。
6.考虑到广域网线路安全性较差，所以需要使用IPSec对各分校到总校的业务数据进行加密。要求使用动态隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立IPsec SA。
7.在R1上所配置的参数要求如下：ipsec加密转换集名称为myset；动态ipsec加密图名称为dymymap；预共享密钥为明文123456；静态的ipsec加密图mymap。
8.在R2和R3上所配置的参数要求如下：ACL编号为101；静态的ipsec加密图mymap；
预共享密钥为明文123456。
9.考虑到数据分流及负载均衡的目的，针对本部与各分校数据流走向要求如下:通过修改OSPF接口COST达到分流的目的，且其值必须为5或10；OSPF通过路由引入时改变引入路由的COST值，且其值必须为5或10；本部VLAN10，VLAN20，VLAN30用户与互联网互通主路径规划为：S3-EG1；本部VLAN40用户与互联网互通主路径规划为：S4-EG2；各分校用户与互联网互通主路径规划为：S4-EG2；云平台服务器与互联网互通主路径规划为S3-EG1；主链路故障可无缝切换到备用链路上。
（三）无线网络配置
CII集团公司拟投入13.5万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表2无线产品价格表，制定该无线网络工程项目设备的预算表。
表2 无线产品价格表
产品型号 产品特征 传输速率
（2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
使用AC为本部无线用户DHCP服务器，使用S3、S4为本部AP的DHCP服务器,S3分配AP地址范围为其网段的1至100,S4分配AP地址范围为其网段的101至200。
创建本部SSID(WLAN-ID 1)为test-ZX_XX(XX现场提供)，AP-Group为ZX，本部无线用户关联SSID后可自动获取地址，启用802.1X认证方式。
认证服务器（IP：194.1.100.100）建立总部认证用户user1,user2，分部认证用户user3,user4分别对应WEB、DOT1X认证；
AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去连接时能无缝切换至AC2并提供服务。
为了保证合法用户连接入本部内网，本部无线用户使用MAC校验方式。在本部的AC设备上配置白名单只允许PC1（无线网卡ipconfig确定MAC地址）接入无线网络中，并设置AC白名单数量最多为10。
在同一个AP中的用户在某些时候出于安全性的考虑，需要将他们彼此之间进行隔离，实现用户之间彼此不能互相访问，配置AP1实现同AP下用户间隔离功能。
要求本部无线用户启用集中转发模式。
限制AP1关联用户数最高为16。
本部关闭低速率（1M,6M）应用接入。
北京校区与广州校区使用无线AP胖模式进行部署。
AP2以透明模式进行部署，S6部署DHCP为无线终端和AP分配地址。
AP2创建SSID(WLAN-ID 1)为test-BJ_XX(XX现场提供),采用WEB进行认证，认证用户名为user1,密码为XX(现场提供)。
AP3以路由模式进行部署，本地部署DHCP为无线终端分配地址。
AP3创建SSID(WLAN-ID 1)为test-GZ_XX(XX现场提供),启用白名单校验，放通PC3无线网卡。
（四）出口网络配置
1.本部出口网关上配置访问控制列表，允许本部、分部有线无线业务网段(ACL编号110)通过NAPT访问联通、教育网资源。
2.在本部EG1上配置，使本部核心交换S4（11.1.0.4）设备的Telnet服务可以通过互联网被访问，将其地址映射至联通线路上，映射地址为196.1.0.10。
3.需确保NAT映射数据流来回一致，启用EG源进源出功能保证任何外网用户（联通、电信、移动、教育……）均可访问映射地址196.1.0.10。
4.在本部网关上启用Web Portal认证服务，并创建user1、user2，密码均为123456；
有线用户需进行WEB认证访问互联网。
5.无线用户不需在EG上进行WEB认证即可访问互联网。
6.本部针对访问外网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过100M（策略及通道名称均为：WEB）。
7.工作日（周一到周五：上午9点到下午5点）阻断并审计P2P应用软件使用（策略名称：P2P）。
8.对创建的用户user1用户上网活动不进行监控审计。
9.本部与分校用户数据流匹配EG内置联通与教育地址库，实现访问联通资源走联通线路，访问教育资源走教育线路；除联通、教育资源之外默认所有数据流在联通与教育线路间进行负载转发。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控本部校区内所有设备（具体设备：S1-S5、EG1、EG2）。
2.通过运维平台将本部校区的被监控设备纳入监控范围；通过拓扑配置功能，将本部校区的网络拓扑配置到平台中；
3.将本部校区S3和EG1、EG2的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S1/S2/S4构建SDN网络，S1/S2连接SDN控制器的6653端口。S1/S2所有业务流转发需经SDN控制器统一控制管理。
3.通过SDN控制器手工给S2下发一条流表项名称为drop的流表，执行动作为丢弃，并在交换机上查看流表，测试普通PC禁止ping通高性能PC。
4.通过SDN控制器流表管理实现PC1/PC2与本部业务网段互联互通。
附录1：拓扑图
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 VLAN10 Office10 Gi0/1至Gi0/4 办公网段
VLAN20 Office20 Gi0/5至Gi0/8 办公网段
VLAN30 Office30 Gi0/9至Gi0/12 办公网段
VLAN40 Office40 Gi0/13至Gi0/16 办公网段
Gi0/24 SDN-Manage 192.168.1.3 SDN管理网段
S2 VLAN10 Office10 Gi0/1至Gi0/4 办公网段
VLAN20 Office20 Gi0/5至Gi0/8 办公网段
VLAN30 Office30 Gi0/9至Gi0/12 办公网段
VLAN40 Office40 Gi0/13至Gi0/16 办公网段
Gi0/24 SDN-Manage 192.168.1.4 SDN管理网段
S3 VLAN10 Office10 192.1.10.252/24 办公网段
VLAN20 Office20 192.1.20.252/24 办公网段
VLAN30 Office30 192.1.30.252/24 办公网段
VLAN40 Office40 192.1.40.252/24 办公网段
VLAN50 AP 192.1.50.252/24 无线AP管理
VLAN100 Manage 192.1.100.252/24 设备管理VLAN
Gi0/4 　 10.1.0.41/30 互联EG2
Gi0/5 　 10.1.0.1/30 互联S5
Gi0/6 　 10.1.0.5/30 互联EG1
LoopBack 0 　 11.1.0.33/32 　
S4 VLAN10 Office10 192.1.10.253/24 办公网段
VLAN20 Office20 192.1.20.253/24 办公网段
VLAN30 Office30 192.1.30.253/24 办公网段
VLAN40 Office40 192.1.40.253/24 办公网段
VLAN50 AP 192.1.50.253/24 无线AP管理
VLAN100 Manage 192.1.100.253/24 设备管理VLAN
Gi0/4 　 10.1.0.37/30 互联EG1
Gi0/5 　 10.1.0.33/30 互联S5
Gi0/6 　 10.1.0.9/30 互联EG2
Gi0/7 　 10.1.0.13/30 互联R1
LoopBack 0 　 11.1.0.34/32 　
AC1 LoopBack 0 　 11.1.0.204/32 　
VLAN60 Wiressless 192.1.60.252/24 无线用户
Vlan100 Manage 192.1.100.2/24 管理与互联VLAN
AC2 LoopBack 0 　 11.1.0.205/32 　
VLAN60 Wiressless 192.1.60.253/24 无线用户
Vlan100 Manage 192.1.100.3/24 管理与互联VLAN
S5 LoopBack 0 　 11.1.0.5/32 　
Gi0/23 　 10.1.0.2/30 互联S3
Gi0/24 　 10.1.0.34/30 互联S4
EG1 Gi0/0 　 10.1.0.6/30 互联S3
Gi0/1 　 196.1.0.1/24 互联EG2
Gi0/2 　 197.1.0.1/24 互联EG2
Gi0/3 　 10.1.0.38/30 互联S4
LoopBack 0 　 11.1.0.11/32 　
EG2 Gi0/0 　 10.1.0.10/30 互联S4
Gi0/1 　 196.1.0.2/24 互联EG1
Gi0/2 　 197.1.0.2/24 互联EG1
Gi0/3 　 10.1.0.42/30 互联S3
LoopBack 0 　 11.1.0.12/32 　
R1 Gi0/0 　 10.1.0.14/30 互联S4
Gi0/1 　 20.0.0.1/30 互联R2
Gi1/0 　 10.1.0.22/30 捆绑组1成员
Gi1/1 　 10.1.0.22/30 捆绑组1成员
LoopBack 0 　 11.1.0.1/32 　
R2 Gi0/0 　 10.1.0.25/30 互联S6
Gi0/1 　 20.0.0.2/30 互联R1
LoopBack 0 　 11.1.0.2/32 　
R3 Gi0/0 　 10.1.0.29/30 互联S7
Gi1/0 　 10.1.0.21/30 捆绑组1成员
Gi1/1 　 10.1.0.21/30 捆绑组1成员
LoopBack 0 　 11.1.0.3/32 　
S6 Gi0/24 　 10.1.0.26/30 　
VLAN10 Wire_user 194.1.10.254/24 分校有线用户 Gi0/1-20
VLAN20 Wireless_user 194.1.20.254/24 分校无线用户
VLAN30 AP 194.1.30.254/24 分校AP Gi0/21-23
LoopBack 0 　 11.1.0.6/32
S7 Gi0/23 10.1.0.49/30 AP
Gi0/24 10.1.0.30/30
VLAN10 Wire_user 195.1.10.254/24 分校有线用户 Gi0/1-20
LoopBack 0 　 11.1.0.7/32
AP3 Gi0/1 　 10.1.0.50/30
BVI20 　 195.1.20.254/24 分校无线用户
网络系统管理赛项-模块A：网络构建2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第5套
模块A：网络构建
网络系统管理赛项-模块A：网络构建
目 录
一、任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 2
（四）出口网络配置 5
（五）网络运维配置 5
（六）SDN网络配置 6
附录1：拓扑图 7
附录2：地址规划表 8
一、任务清单
（一）基础配置
1.根据附录1、附录2，配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、Switch1234；密码为明文类型,特权密码为Switch123。
3.交换设备S5/S6配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test1234”，只读的Community为“public”，开启Trap消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.在连接PC机端口上开启Portfast和BPDUguard防护功能。
3.在交换机S3、S4上配置DHCP中继功能,其中，DHCP服务器搭建在学院的EG1上;产融实训基地中DHCP服务器搭建于R2上;云数据中心DHCP服务器搭建于S7交换机上。
4.在校本部的网络中配置MSTP,要求来自VLAN10、VLAN100中的数据流经过S3交换机转发，一旦S3交换机失效时，经过S4交换机转发。要求来自VLAN50、VLAN60中的数据流经过S4交换机转发，一旦S4交换机失效时，经过S3交换机转发。其中，配置MSTP参数如下所示：region-name为test；revision版本为1；实例1包含VLAN10，VLAN100；实例2包含VLAN50,VLAN60。
5.配置校本部网络中的S3交换机作为实例1的主根、实例2的从根；配置S4交换机作为实例2的主根、实例1的从根。其中，主根交换机的优先级为4096；从根交换机的优先级为8192。
6.在校本部网络中汇聚交换机S3和S4上配置VRRP，实现网络中的主机的网关冗余，所配置的参数要求如表1所示。其中，在交换机S3、S4上设置各VRRP组中的高优先级设置为150，低优先级设置为120。
7.为提升校本部网络的冗余功能，在汇聚交换机S3与S4之间部署2条互联链路（Gi0/21、Gi0/22），并采取LACP动态聚合模式配置二层链路聚合。其它接口根据网络互联需要，进行静态链路聚合配置，生成聚合接口AG1。
表1：交换机S3和S4上的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN50 50 192.1.50.254
VLAN60 60 192.1.60.254
VLAN100 100 192.1.100.254
8.在校本部的网络中使用多区域OSPF协议组网（OSPF 100）。
9.配置两台核心交换机（S1、S2）的Loopback 0口以及之间互相连接的心跳线（Gi0/45和Gi0/46的三层聚合口），都在区域0中发布路由。
10.配置校本部网络中的出口区域（S1、S2、EG1、R1）接口，都在区域10中发布路由。
11.配置校本部网络中的核心网络（S1、S2、S3、S4）中接口 ，都在区域20中发布路由。
12.要求业务网段（VLAN 10、VLAN 50、VLAN 60、VLAN100）中，不出现协议报文。
13.要求校本部网络中S3、S4交换机上的始发网段，以及各台网络设备（S1、S2、S3、S4、EG1、R1）上配置的Loopback管理地址，均使用network发布明细路由。
14.使用静态路由实现产融实训基地、云数据中心区域之间的网络通信，实现和校本部网络的连通。
15.实现校本部网络中的有线用户，在访问互联网流量路径为：S3-S1-EG1。
16.实现校本部网络中的无线用户，访问互联网的流量路径为：S4-S2-EG1。
17.实现校本部有线网络中的用户，访问学校的云数据中心和产融实训基地的流量路径为：(S3/S4)-S2-R1。
（三）无线网络配置
CII集团公司拟投入13.5万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表2无线产品价格表，制定该无线网络工程项目设备的预算表。
表2 无线产品价格表
产品型号 产品特征 传输速率
（2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
在校本部的网络中部署无线网络，无线网络架构采用FIT AP架构。校本部的网络中所有AP（AP1）都需要关联到云数据中心网络中的VAC设备上。
在校本部的网络中，配置出口网关EG1作为无线网络中用户（VLAN 60）和无线FIT AP（VLAN 50）的DHCP服务器。
在校本部网络中创建内网SSID为：Admin_XBB_XX(备注：XX现场提供)；WLANID为1；AP-GROUP为Admin_XBB。其中，校本部内网中的无线用户关联SSID后，即可自动获取VLAN60地址提供的地址，启用WEB认证方式。
在产融实训基地中部署的无线网络架构，采用FIT AP+AC的方案。该区域内所有AP（AP2）都需要关联到云数据中心的VAC设备上。
在产融实训基地网络中，使用R2路由器作为DHCP服务器，为无线网络中的用户（VLAN 60、VLAN 70）和无线FIT AP（VLAN 50）分配地址。
在产融实训基地中配置双SSID广播。其中，创建学员的SSID为Admin_CR_XY_XX(备注：XX现场提供)；WLANID为2；AP-GROUP为Admin_CR；配置内网中无线用户在关联SSID后，可自动获取VLAN60地址，启用802.1X认证方式。创建教练的SSID为Admin_CR_JL_XX(备注：XX现场提供)；WLANID为3；AP-GROUP为Admin_CR，配置内网中无线用户关联SSID后，可自动获取VLAN70地址，启用802.1X认证方式。
在云数据中心的展示区中部署无线网络，采用FIT AP架构，区域内所有AP（AP3）都关联到云数据中心的VAC设备上。
在云数据中心的展示区中，配置S7交换机作为DHCP服务器，为本网中的无线网络内部用户（VLAN 560）和无线FIT AP（VLAN 550）分配地址。
在云数据中心的展示区的内网中配置SSID。其中，Admin_YSJZX_XX(备注：XX现场提供)；WLANID为4；AP-GROUP为Admin_YSJZX。配置内网无线用户关联SSID后，可自动获取VLAN560地址，启用802.1X认证方式。
在云数据中心的展示区的无线网络中部署AC冗余，实现无线备份。两台AC使用网络设备虚拟化技术实现VAC技术，完成虚拟AC配置。
配置AC1和AC2设备的Gi0/1和Gi0/2端口作为VSL链路。其中：配置AC1为主控设备；AC2为备用设备。配置主设备参数为：Domain id：1；device id:1；priority 150； description: AC-1。配置备设备基本参数为：Domain id：1；device id:2；priority 120； description: AC-2。
配置AC1和AC2设备的Gi0/3端口的互连链路作为BFD链路。
校本部网络中的AP1和产教融合实训基地中的无线AP2设备与虚拟网络设备VAC之间，通过VAC的互联网映射地址，配置Capwap隧道建立通信连接。
认证服务器（IP：194.1.100.100）建立总部认证用户user1,user2，分部认证用户user3,user4分别对应WEB、DOT1X认证；
（四）出口网络配置
1.在校本部网络中出口网关EG1上，配置NAT地址映射，实现校本部网络中的用户通过NAPT方式，将内网IP地址映射到本地互联网接口上。其中，NAT地址池中映射的地址为：100.1.1.3/29-100.1.1.4/29。
2.在校本部网络中的出口路由器R1上，配置NAT地址映射，实现校本部的网络中的用户，作为访问互联网的备用出口，通过NAPT端口地址映射方式，将内网IP地址转换到互联网接口上。其中，配置的NAT地址池的映射地址为：101.1.1.3/29-101.1.1.4/29。
3.在产融实训基地的出口路由器R2上，配置NAT地址映射，实现基地内部的用户访问互联网时，通过NAPT方式将内网IP地址转换到互联网接口上。其中，NAT地址池的地址与出口路由器的R2设备的出接口地址相同。
4.在云数据中心出口路由器R3上，配置NAT地址映射，实现内部用户在访问互联网时，通过NAPT方式将内网IP地址转换到互联网接口上。其中，NAT地址池的映射地址为：101.3.1.3/29 ~ 101.3.1.4/29。
5.在云数据中心的出口路由器R3上，配置NAPT端口映射，使网络中的一台HTTP服务器（195.1.100.254/24）上的HTTP服务（TCP 80）,可以通过互联网被访问到，将其地址映射至运营商线路上，映射地址为101.3.1.5，映射端口58888。
6.在云数据中心网络的出口路由器R3上，配置IP映射，将VAC设备的loopback接口地址映射至101.3.1.6。
7.在R1、R2和R3的出口路由器之间，启用IPSec VPN功能。其中：配置IPSec安全防范使用动态隧道模式，esp传输模式封装协议，isakmp策略定义加密算法采用3des；散列算法采用md5；预共享密码为admin；DH使用组2。配置转换集myset；定义加密验证方式为esp-3des esp-md5-hmac；感兴趣流ACL编号为103；加密图定义为mymap。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控校本部内所有设备（具体设备：S1-S4、EG1）；
2.通过运维平台将校本部的被监控设备纳入监控范围；通过拓扑配置功能，将校本部的网络拓扑配置到平台中；
3.将校本部S1、S2和EG1的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏。
（六）SDN网络配置
1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S4/S5/S6构建SDN网络，S5/S6连接SDN控制器的6653端口。
3.通过SDN控制器手工给S5下发一条流表项名称为drop的流表，执行动作为丢弃，并在交换机上查看流表，测试普通PC禁止ping通高性能PC。
4.通过SDN控制器流表管理实现PC1/PC2与分部各核心网段互联互通。
附录1：拓扑图
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 Gi0/1 \ 10.1.1.1/30 互联地址
Gi0/2 \ 10.1.1.5/30 互联地址
AG1（Gi0/45-Gi0/46） \ 10.1.1.253/30 互联地址
Gi0/48 \ 10.1.1.250/30 互联地址
Loopback 0 \ 10.1.0.1/32 ——
S2 Gi0/1 \ 10.1.1.9/30 互联地址
Gi0/2 \ 10.1.1.13/30 互联地址
AG1（Gi0/45-Gi0/46） \ 10.1.1.254/30 互联地址
Gi0/47 \ 10.1.1.245/30 互联地址
Gi0/48 \ 10.1.1.242/30 互联地址
Loopback 0 \ 10.1.0.2/32 ——
S3 VLAN 10 Wire 192.1.10.252/24 有线用户地址
VLAN 50 APManage_YWQ 192.1.50.252/24 校本部AP管理地址
VLAN 60 Wireless 192.1.60.252/24 无线用户地址
VLAN 100 Manage 192.1.100.252/24 设备管理地址
Gi0/23 \ 10.1.1.2/30 互联地址
Gi0/24 \ 10.1.1.10/30 互联地址
Loopback 0 \ 10.1.0.3/32 ——
S4 VLAN 10 Wire 192.1.10.253/24 有线用户地址
VLAN 50 APManage_YWQ 192.1.50.253/24 校本部AP管理地址
VLAN 60 Wireless 192.1.60.253/24 无线用户地址
VLAN 100 Manage 192.1.100.253/24 设备管理地址
Gi0/23 \ 10.1.1.6/30 互联地址
Gi0/24 \ 10.1.1.14/30 互联地址
Loopback 0 \ 10.1.0.4/32 ——
S5 VLAN 10 Wire Gi0/6至 Gi0/20 有线用户地址
Gi0/23 SDN-Manage 192.168.1.3 SDN管理网段
S6 VLAN 10 Wire Gi0/6至 Gi0/20 有线用户地址
Gi0/23 SDN-Manage 192.168.1.4 SDN管理网段
EG1 Gi0/0 \ 10.1.1.249/30 互联地址
Gi0/1 \ 10.1.1.246/30 互联地址
Gi0/4 \ 100.1.1.2/29 联通出口地址
Loopback 0 \ 10.1.0.5/32 ——
R1 Gi0/0 \ 10.1.1.241/30 互联地址
Gi0/1 \ 101.1.1.2/29 电信出口地址
Loopback 0 \ 10.1.0.6/32 ——
EG2 Gi0/0 \ 100.1.1.1/29 ISP联通地址
Gi0/1 \ 101.1.1.1/29 ISP电信地址
Gi0/2 \ 101.2.1.1/29 ISP电信地址
Gi0/3 \ 101.3.1.1/29 ISP电信地址
R2 Gi0/0 \ 194.1.50.254/24 产融基地AP管理地址
Gi0/0.60 \ 194.1.60.254/24 产融基地无线学员地址
Gi0/0.70 \ 194.1.70.254/24 产融基地无线教练地址
Gi0/1 \ 101.2.1.2/29 电信出口地址
Loopback 0 \ 10.2.0.1/32 ——
R3 Gi0/0 \ 10.3.1.253/30 互联地址
Gi0/1 \ 101.3.1.2/29 电信出口地址
Loopback 0 \ 10.3.0.1/32 ——
S7 VLAN 550 APManage_YWQ 195.1.50.254/24 云中心AP管理地址
VLAN 560 Wireless 195.1.60.254/24 云中心无线用户地址
VLAN 100 Manage 195.1.100.254/24 云中心设备管理地址
Gi0/24 \ 10.3.1.254/30 互联地址
Loopback 0 \ 10.3.0.2/32 ——
VAC VLAN 100 Manage 195.1.100.1/24 设备管理地址
Loopback 0 \ 10.3.0.3/32 ——
网络系统管理赛项 模块A：网络构建
网络系统管理赛项 模块A：网络构建2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第2套
模块B：服务部署
目 录
一、Windows初始化环境 1
默认账号及默认密码 1
二、Windows项目任务描述 1
1.拓扑图 1
2.网络地址规划 1
三、Windows项目任务清单 2
（一）服务器IspSrv上的工作任务 2
1. 互联网访问检测服务器 2
2. iSCSI 2
3. DNS（域名解析服务） 2
（二）服务器RouterSrv1上的工作任务 3
1. 路由功能 3
2. 动态地址分配中继服务 3
3. 虚拟专用网络 3
4. RDS 3
（三）服务器AppSrv上的工作任务 3
1. 万维网服务 3
2. 动态地址分配服务 4
3. DFS 4
4. 磁盘管理 4
5. DNS 4
（四）服务器DCSERVER&SDCSERVER上的工作任务 4
1. 活动目录域服务 4
2. NPS（网络策略服务） 5
3. 证书颁发机构 5
（五）服务器IOMSrv上的工作任务 5
（六）客户端InsideCli上的工作任务 6
（七）客户端OutsideCli上的工作任务 6
四、Linux初始化环境 6
1.默认账号及默认密码 6
2.操作系统配置 6
五、Linux项目任务描述 7
1.拓扑图 7
2.网络地址规划 7
六、Linux项目任务清单 8
（一）服务器IspSrv工作任务 8
1. DHCP 8
2. DNS 8
3. WEB服务 8
（二）服务器RouterSrv上的工作任务 9
1. DHCP RELAY 9
2. ROUTING 9
3. SSH 9
4. IPTABLES 9
5. Web Proxy 9
（三）服务器AppSrv上的工作任务 10
1. SSH 10
2. DHCP 10
3. DNS 10
4. web服务 10
5. Mariadb Backup Script 11
6. MAIL 11
7. CA（证书颁发机构） 11
（四）服务器StorageSrv上的工作任务 12
1. SSH 12
2. DISK 12
3. NFS 12
4. SAMBA 12
5. LDAP 12
6. ShellScript 12
（五）服务器IOMSrv工作任务 13
（六）客户端OutsideCli和InsideCli工作任务 13
1. OutsideCli 13
2. InsideCli 13
一、Windows初始化环境
默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为ChinaSkill23!
二、Windows项目任务描述
你作为一个技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
DCServer 192.168.100.100/24 127.0.0.1 192.168.100.254
SDCSserver 192.168.100.200/24 127.0.0.1 192.168.100.254
AppSrv 192.168.200.100/24 192.168.100.100 192.168.100.200 192.168.200.254
IOMSrv 192.168.200.200/24 192.168.100.100 192.168.100.200 192.168.200.254
RouterSrv1 192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24 192.168.100.100 100.100.100.254
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24（dhcp） 192.168.100.100 192.168.100.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
三、Windows项目任务清单
（一）服务器IspSrv上的工作任务
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
iSCSI
创建100G的ISCSI磁盘，存储到F盘目录下的iSCSI文件夹。
启用Mutual CHAP认证。
DCSERVER为iSCSI客户端，连接成功后，格式化挂载到F盘。
DNS（域名解析服务）
拓扑中所有主机的DNS查询请求都应由IspSrv进行解析。
把当前机器作为互联网根域服务器，创建test1.com~，并在所有正向区域中创建一条A记录，解析到本机地址。
（二）服务器RouterSrv1上的工作任务
路由功能
安装Remote Access服务开启路由转发，为当前实验环境提供路由功能。
启用网络地址转换功能，实现内部客户端访问互联网资源。
配置网络地址转换，允许互联网区域客户端访问AppSrv上的HTTP资源。
动态地址分配中继服务
安装和配置dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于AppSrv服务器上。
虚拟专用网络
设置L2TP/IPSec，IKE通道采用证书进行验证。
L2TP通道使用域内用户进行身份验证，仅允许manager组内用户通过身份证验证。
对于vpn客户端，请使用范围192.168.1.200-192.168.1.220/24。
RDS
在RouterSrv1安装和配置 RDS 服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
Notepad
（三）服务器AppSrv上的工作任务
万维网服务
在RouterSrv1上搭建网站服务器。
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
设置“http://www./”网站的最大连接数为1000，网站连接超时为60s；
使用W3C记录日志；每天创建一个新的日志文件，文件名格式：
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；
日志文件存储到“C:\WWWLogFile”目录中；
配置IIS配套FTP服务：
匿名用户上传的文件都将映射为ftp2用户
ftp在登录前显示Banner消息：
“Hello, unauthorized login is prohibited!”
动态地址分配服务
安装和配置dhcp服务，为办公区域网络提供地址上网。
地址池范围：192.168.0.100-192.168.0.200。
DFS
在ppSrv上安装及配置DFS服务。
目录设置在F：\DFSsharedir。
配置DFS复制，使用DC1作为次要服务器，复制方式配置为交错拓扑。
在F：\DFSsharedir文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
磁盘管理
安装及配置软 RAID5。
在安装好的AppSrv虚拟机中添加三块10 G虚拟磁盘。
组成RAID5，磁盘分区命名为卷标F盘：Raid5。
手动测试破坏一块磁盘，做RAID磁盘修复；确认RAID5配置完毕。
DNS
安装DNS服务器，根据题目创建必要的DNS解析。
把当前机器作为互联网根域服务器。
（四）服务器DCSERVER&SDCSERVER上的工作任务
活动目录域服务
在DCSERVER和SDCSERVER服务器上安装活动目录域服务，DCSERVER作为主域控，SDCSERVER作为备份域控，活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
it01-it20，请将该用户添加到IT用户组。
ma01-ma10，请将该用户添加到manager用户组。
许除manager 组和IT组，所有用户隐藏C盘。
除manager 组和IT组，所有普通给用户禁止使用cmd。
禁止客户端电脑显示用户首次登录动画。
所有用户的IE浏览器首页设置为“https://www.”。
所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。”。
设置所有主机的登录Banner：
标题为“CHINASKILLS-DOMAIN”；
内容为“Hello, unauthorized login is prohibited!”。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
启用AD回收站功能。
NPS（网络策略服务）
在DCSERVER上安装网络策略服务作为VPN用户登录验证。
仅允许L2TP/IPSEC VPN进行VPN连接访问验证。
认证、授权日志将存储到DCSERVER上的“C:\NPS\”目录下。
证书颁发机构
在DCSERVER服务器上安装证书办法机构。
定义名称：CSK2022-ROOTCA。
证书颁发机构有效期：3 years。
为域内的web站点颁发web证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。
（五）服务器IOMSrv上的工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://192.168.200.200；
通过Windows代理模板，添加DCServer、SDCSserver、AppSrv操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站http://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-CSK 的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
四、Linux初始化环境
1.默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
2.操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2022–CSK
Module C Linux
>>hostname<<
>>System Version<<
>> TIME <<
*********************************
五、Linux项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV（UOS）
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv(Centos)
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
IOMSrv(Centos)
网络地址/掩码/网关：192.168.100.150/24/192.168.100.254
STORAGESRV(Centos)
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From IspSrv
六、Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
DNS
配置为DNS根域服务器；
其他未知域名解析,统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”；
WEB服务
安装nginx软件包；
配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
网站根目录为/mut/crypt（目录不存在需创建）；
启用FastCGI功能，让nginx能够解析php请求；
index.php内容使用Welcome to 2022 Computer Network Application contest!
（二）服务器RouterSrv上的工作任务
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
工作端口为2021；
只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
Web Proxy
安装Nginx组件；
配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
为www.配置代理前端，通过HTTPS的访问后端Web服务器；
后端服务器日志内容需要记录真实客户端的IP地址。
缓存后端Web服务器上的静态页面。
创建服务监控脚本：/shells/chkWeb.sh
编写脚本监控公司的网站运行情况；
脚本可以在后台持续运行；
每隔3S检查一次网站的运行状态，如果发现异常尝试3次；
如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101。
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
web服务
安装web服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统500M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: Chinaskill21!。
创建网站download.站点；
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
Mariadb Backup Script
脚本文件：/shells/mysqlbk.sh；
备份数据到/root/mysqlbackup目录；
备份脚本每隔30分钟实现自动备份；
导出的文件名为all-databases-20210213102333, 其中20210213102333 为运行备份脚本的当前时间，精确到秒。
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”，邮件内容为“hello, mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
使用https://mail.网站测试邮件发送与接收。
CA（证书颁发机构）
CA根证书路径/csk-rootca/csk-ca.pem；
签发数字证书，颁发者信息：(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01、user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口3358；
添加用户user01，user02到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
LDAP
安装openldap，为samba服务提供账户认证；
创建目录服务，并创建用户组ldsgp，将zsuser、lsusr、wuusr。
ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号；
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等；
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（五）服务器IOMSrv工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.150；
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；
作为SSH远程登录测试客户端，安装ssh命令行测试工具；
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；
作为SSH远程登录测试客户端，安装ssh命令行测试工具；
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
网络系统管理赛项-模块B：服务部署
网络系统管理赛项-模块B：服务部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第1套
模块A：网络构建
目 录
任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 3
（四）出口网络配置 4
（五）网络运维配置 4
（六）SDN网络配置 5
附录1：拓扑图 5
附录2：地址规划表 6
任务清单
（一）基础配置
1.根据附录1、附录2，配置设备接口信息。
2.所有交换机和无线控制器开启SSH服务，用户名密码分别为admin、admin1234；密码为明文类型，特权密码为admin。
3.交换机配置SNMP功能，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test”，只读的Community为“public”，开启Trap消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.为隔离部分终端用户间的二层互访，在交换机S1的Gi0/1-Gi0/10端口启用端口保护。
3.为规避网络末端接入设备上出现环路影响全网，要求在总部接入设备S1进行防环处理。具体要求如下：终端接口开启BPDU防护不能接收BPDU报文；终端接口下开启RLDP防止环路，检测到环路后处理方式为Shutdown-Port；连接PC终端的所有端口配置为边缘端口；如果端口被BPDU Guard检测进入Err-Disabled状态，再过300秒后会自动恢复（基于接口部署策略），重新检测是否有环路。
4.在交换机S3、S4上配置DHCP中继，对VLAN10内的用户进行中继，使得总部PC1用户使用DHCP Relay方式获取IP地址。
5.DHCP服务器搭建于EG1上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback 0地址。
6.为了防御动态环境局域网伪DHCP服务欺骗，在S1交换机部署DHCP Snooping功能。
7.在总部交换机S1、S3、S4上配置MSTP防止二层环路；要求VLAN10、VLAN20、VLAN50、VLAN60、VLAN100数据流经过S3转发，S3失效时经过S4转发；VLAN30、VLAN40数据流经过S4转发，S4失效时经过S3转发。所配置的参数要求如下：region-name为test；revision版本为1；S3作为实例1的主根、实例2的从根，S4作为实例2的主根、实例2的从根；生成树优先级可设置为4096、8192或保持默认值；在S3和S4上配置VRRP，实现主机的网关冗余，所配置的参数要求如下表；S3、S4各VRRP组中高优先级设置为150，低优先级设置为120。
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN30 30 192.1.30.254
VLAN40 40 192.1.40.254
VLAN50 50 192.1.50.254
VLAN60 60 192.1.60.254
VLAN100(交换机间) 100 192.1.100.254
9.总部与分部内网均使用OSPF协议组网，总部、分部与互联网间使用静态路由协议。具体要求如下：总部S3、S4、EG1间运行OSPF，进程号为10，规划单区域0；分部S7、EG2间运行OSPF，进程号为20，规划单区域0；服务器区使用静态路由组网；重发布路由进OSPF中使用类型1。
10.总部与分部部署IPv6网络实现总分机构内网IPv6终端可通过无状态自动从网关处获取地址。IPv6地址规划如下：
表2 IPv6地址规划表
设备 接口 IPv6地址 VRRP组号 虚拟IP
S3 VLAN10 2001:192:10::252/64 10 2001:192:10::254/64
VLAN20 2001:192:20::252/64 20 2001:192:20::254/64
VLAN30 2001:192:30::252/64 30 2001:192:30::254/64
VLAN40 2001:192:40::252/64 40 2001:192:40::254/64
VLAN60 2001:192:60::252/64 60 2001:192:60::254/64
VLAN100 2001:192:100::252/64 100 2001:192:100::254/64
S4 VLAN10 2001:192:10::253/64 10 2001:192:10::254/64
VLAN20 2001:192:20::253/64 20 2001:192:20::254/64
VLAN30 2001:192:30::253/64 30 2001:192:30::254/64
VLAN40 2001:192:40::253/64 40 2001:192:40::254/64
VLAN60 2001:192:60::253/64 60 2001:192:60::254/64
VLAN100 2001:192:100::253/64 100 2001:192:100::254/64
S7 VLAN10 2001:193:10::254/64
VLAN20 2001:193:20::254/64
VLAN60 2001:193:60::254/64
11.在S3和S4上配置VRRP for IPv6，实现主机的IPv6网关冗余；在S3和S4上VRRP与MSTP的主备状态与IPV4网络一致。
12.R1、R2、R3部署IGP中OSPF动态路由实现直连网段互联互通。
13.R1、R2、R3间部署IBGP，AS号为100，使用Loopback接口建立Peer。
14.运营商通告EG1、EG2专线至服务器区，R1、R2均以汇总B段静态路由的方式进行发布。服务器区通过R3将AC1、AC2通告到BGP中。
15.可通过修改OSPF路由COST达到分流的目的，且其值必须为5或10。
16.总部财务、销售IPv4用户与互联网互通主路径规划为：S3-EG1。
17.总部研发、市场IPv4用户与互联网互通主路径规划为：S4-EG1。
18.主链路故障可无缝切换到多条备用链路上。
（三）无线网络配置
CII集团公司拟投入13万元（网络设备采购部分），项目要求重点覆盖楼层、走廊和办公室。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表3无线产品价格表，制定该无线网络工程项目设备的预算表。
表3 无线产品价格表
产品型号 产品特征 传输速率
（2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
4.使用S3、S4作为总部无线用户和无线AP的DHCP服务器，使用S6/S7作为分部无线用户和无线AP的DHCP服务器。
5.创建总部内网 SSID 为 test-ZB_XX(XX现场提供)，WLAN ID 为1，AP-Group为ZB，总部内网无线用户关联SSID后可自动获取地址，启用WEB认证方。
6.创建分部内网 SSID 为 test-FB_XX(XX现场提供)，WLAN ID 为2，AP-Group为FB，总部内网无线用户关联SSID后可自动获取地址，启用802.1X认证方式。
7.认证服务器（IP：194.1.100.100）建立总部认证用户user1，user2，分部认证用户user3，user4分别对应WEB、DOT1X认证；
8.AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去连接时能无缝切换至AC2并提供服务。
9.要求总部分部内网无线网络启用本地转发模式。
10.为了保障每个用户的无线体验，针对WLAN ID2下的每个用户的下行平均速率为 800KB/s ，突发速率为1600KB/s。
11.总部每AP最大带点人数为30人。
12.分部通过时间调度，要求每周一至周五的21:00至23:30期间关闭无线服务。
13.总部设置AP信号发送强度为30。
14.总部关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入。
（四）出口网络配置
1.出口网关上进行NAT配置实现总部与分部的所有用户(ACL 110)均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上。
2.在总部EG1上配置，使总部核心交换S4（11.1.0.34）设备的SSH服务可以通过互联网被访问，将其地址映射至联通线路上，映射地址为20.1.0.1。
3.在总部网关上启用Web Portal认证服务，并创建Caiwu1、Xiaoshou2，密码均为XX（现场提供）。
4.总部有线用户需进行WEB认证访问互联网。
5.分部EG2针对访问外网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过50Mbps。
6.分部EG2基于网站访问、邮件收发、IM聊天、论坛发帖、搜索引擎多应用启用审计功能。
7.对创建的用户user1用户上网活动不进行监控审计。
8.要求使用ipsec隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立ipsec SA。在EG1和EG2上所配置的参数要求如下：ipsec加密转换集名称为myset；预共享密钥为明文123456；静态的ipsec加密图mymap。ACL编号为101。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控广州总部内所有设备（具体设备：S1、S3、S4、EG1）。
2.通过运维平台将广州总部的被监控设备纳入监控范围；通过拓扑配置功能，将广州总部的网络拓扑配置到平台中；
3.将广州总部S3、S4和EG1的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S7/S8/S9构建SDN网络，S8/S9连接SDN控制器的6653端口。
3.通过SDN控制器手工给S8下发一条流表项名称为drop的流表，执行动作为丢弃，并在交换机上查看流表，测试普通PC禁止ping通高性能PC。
4.通过SDN控制器流表管理实现PC1/PC2与分部各核心网段互联互通。
附录1：拓扑图
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 VLAN10 CAIWU Gi0/1至Gi0/4 财务部
VLAN20 XIAOSHOU Gi0/5至Gi0/8 销售部
VLAN30 YANFA Gi0/9至Gi0/12 研发部
VLAN40 SHICHANG Gi0/13至Gi0/16 市场部
VLAN50 AP Gi0/20至Gi0/21 无线AP管理
VLAN100 Manage 192.1.100.1/24 设备管理VLAN
S3 VLAN10 CAIWU 192.1.10.252/24 财务部
VLAN20 XIAOSHOU 192.1.20.252/24 销售部
VLAN30 YANFA 192.1.30.252/24 研发部
VLAN40 SHICHANG 192.1.40.252/24 市场部
VLAN50 AP 192.1.50.252/24 AP
VLAN60 Wireless 192.1.60.252/24 无线用户
VLAN100 Manage 192.1.100.252/24 设备管理VLAN
Gi0/24 10.1.0.1/30
LoopBack 0 11.1.0.33/32
S4 VLAN10 CAIWU 192.1.10.253/24 财务部
VLAN20 XIAOSHOU 192.1.20.253/24 销售部
VLAN30 YANFA 192.1.30.253/24 研发部
VLAN40 SHICHANG 192.1.40.253/24 市场部
VLAN50 AP 192.1.50.253/24 AP
VLAN60 Wireless 192.1.60.253/24 无线用户
VLAN100 Manage 192.1.100.253/24 设备管理VLAN
Gi0/24 10.1.0.5/30
LoopBack 0 11.1.0.34/32
AC1 LoopBack 0 11.1.0.204/32
Vlan100 Manage 194.1.100.2/24 管理与互联VLAN
AC2 LoopBack 0 11.1.0.205/32
Vlan100 Manage 194.1.100.3/24 管理与互联VLAN
S5 Gi0/24 40.1.0.1/30
VLAN100 Manage 194.1.100.254/24 管理与互联VLAN
LoopBack 0 11.1.0.5/32
EG1 GI0/0 10.1.0.2/30
GI0/1 10.1.0.6/30
GI0/4 20.1.0.1/30
LoopBack 0 11.1.0.11/32
EG2 GI0/0 10.1.0.14/30
GI0/1 10.1.0.18/30
GI0/4 30.1.0.1/30
LoopBack 0 11.1.0.12/32
R1 Gi0/0 20.1.0.2/30
Gi0/1 12.1.0.1/28
Gi0/2 13.1.0.1/28
LoopBack 0 11.1.0.1/32
R2 Gi0/0 30.1.0.2/30
Gi0/1 12.1.0.2/28
Gi0/2 23.1.0.2/28
LoopBack 0 11.1.0.2/32
R3 Gi0/0 40.1.0.2/30
Gi0/1 13.1.0.3/28
Gi0/2 23.1.0.3/28
LoopBack 0 11.1.0.3/32
S2 VLAN10 CAIWU 财务部
VLAN20 XIAOSHOU 销售部
VLAN50 AP Gi0/1至Gi0/20 无线AP管理
VLAN100 Manage 193.1.100.2/24 设备管理VLAN
S7 VLAN10 CAIWU 193.1.10.254/24 财务部
VLAN20 XIAOSHOU 193.1.20.254/24 销售部
VLAN50 AP 193.1.50.254/24 无线AP管理
VLAN60 Wireless 193.1.60.254/24 无线用户
VLAN100 Manage 193.1.100.254/24 设备管理VLAN
Gi0/24 10.1.0.17/30
LoopBack 0 11.1.0.67/32
S8 VLAN10 CAIWU Gi0/1至Gi0/4 财务部
VLAN20 XIAOSHOU Gi0/5至Gi0/8 销售部
Gi0/23 SDN-Manage 192.168.1.3 SDN管理网段
S9 VLAN10 CAIWU Gi0/1至Gi0/4 财务部
VLAN20 XIAOSHOU Gi0/5至Gi0/8 销售部
Gi0/23 SDN-Manage 192.168.1.4 SDN管理网段
网络系统管理赛项 模块A：网络构建2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第9套
模块A：网络构建
1
1
目 录
任务清单 1
（一） 基础配置 1
（二） 有线网络配置 1
（三） 无线网络配置 3
（四） 出口网络配置 5
（五）网络运维配置 6
（六）SDN网络配置 6
附录1：拓扑图 7
附录2：地址规划表 8
任务清单
基础配置
根据附录1拓扑图及附录2地址规划表，配置设备接口信息；
在网络设备上，均开启SSH服务端功能。其中，用户名和密码为admin、admin123。密码为明文类型。特权密码为admin1234；
交换设备上部署SNMP功能。配置所有设备SNMP消息，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test@123”，只读的Community为“public@123”，开启Trap消息。
有线网络配置
在全网Trunk链路上做VLAN修剪；
在S1开启Portfast和BPDUguard防护功能。检测到环路后处理方式Shutdown-Port。如果端口检测进入 Err-Disabled状态，300 秒后会自动恢复（基于接口部署策略）；
在S1交换机部署DHCP Snooping功能；
在S1开启 RLDP防止环路，检测到环路后处理方式为 Shutdown-Port；
在S3、S4上配置DHCP中继，对VLAN10内的用户进行中继，DHCP服务器搭建于EG1上，地址池命名为Pool_VLAN10，DHCP对外服务使用loopback 0地址；
分校S5交换机配置Private Vlan；
配置MSTP,要求所有有线数据流经过S3转发，S3失效时经过S4转发。所配置的参数要求如下：region-name为ruijie；revision版本为1；S3作为实例中的主根， S4作为实例中的从根；主根优先级为4096，从根优先级为8192；
在S3和S4上配置VRRP，各VRRP组中高优先级设置为150，低优先级设置为120，所配置的参数要求如表1；
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN30 30 192.1.30.254
VLAN40 40 192.1.40.254
VLAN100 100 192.1.100.254
本部与分校内网均使用OSPF协议组网，本部、分校与互联网间使用静态路由协议；
S3、S4、EG1、AC1、AC2间运行OSPF，进程号为10，规划多区域：区域0（S3、S4、EG1），区域1（S3、S4、AC1、AC2）；
AC1、AC2 OSPF接口不参与DR/BDR选举；区域1部署为完全NSSA简化AC1,AC2路由条目；
分部EG2、S5间运行OSPF，进程号为10，规划单区域：区域0（EG2、S5）；
要求业务网段中不出现协议报文；要求所有路由协议都发布具体网段；为了管理方便，需要发布Loopback地址；
优化OSPF相关配置，以尽量加快OSPF收敛；重发布路由进OSPF中使用类型1；
总部与分校部署IPV6网络实现总分机构内网IPV6终端可自动从网关处获取地址；
S3和S4上配置VRRP for IPv6，实现主机的IPv6网关冗余;VRRP与MSTP的主备状态与IPV4网络一致；
驻外办事处内网均部署OSPFV3协议，进程号10，区域号为0；
驻外办事处间S6/S7通过Gre隧道实现办事处间局域网IPV6终端互联互通,且隧道内运行OSPFV3协议；
驻外办事处间部署IPV6网络实现办事处间IPV6业务终端互联互通，地址规划如表2：
表2 IPV6地址规划表
设备 接口 IPV6地址 VRRP组号 虚拟IP
S3 VLAN10 2001:192:10::252/64 10 2001:192:10::254/64
VLAN20 2001:192:20::252/64 20 2001:192:20::254/64
VLAN30 2001:192:30::252/64 30 2001:192:30::254/64
VLAN40 2001:192:40::252/64 40 2001:192:40::254/64
S4 VLAN10 2001:192:10::253/64 10 2001:192:10::254/64
VLAN20 2001:192:20::253/64 20 2001:192:20::254/64
VLAN30 2001:192:30::253/64 30 2001:192:30::254/64
VLAN40 2001:192:40::253/64 40 2001:192:40::254/64
S5 VLAN10 2001:194:10::254/64
VLAN20 2001:194:20::254/64
VLAN30 2001:194:30::254/64
VLAN40 2001:194:40::254/64
S6 VLAN10 2001:195:10::254/64
VLAN20 2001:195:20::254/64
Tunnel0 2001:193:10::253/64
S7 VLAN10 2001:196:10::254/64
VLAN20 2001:196:20::254/64
Tunnel0 2001:193:10::254/64
R1、R2、R3部署IGP使用OSPF动态路由实现直连网段互联互通；
S6、S7关于IGP协议只维护直连路由，不使用任何路由协议；
R1、R2及R2、R3间部署IBGP,AS号为100, 使用Loopback接口建立Peer;部署R2作为R1与R3的路由反射器RR；
R1、S6部署EBGP，AS号为110，使用直连接口建立Peer;R3、S7部署EBGP，AS号为120, 使用直连接口建立Peer；
办事处业务网段通告至二级运营商的路由条目只有一条汇总后的B段路由，且保证汇总后路径信息不丢失；
二级运营商通告宽带业务接入网段至办事处，R1处以汇总B段静态路由的方式进行发布；
北京分校不同业务部门对于上海与杭州驻外办事处有业务互访需求，具体要求如下：分校内网VLAN10终端通过R1服务节点中转访问上海办事处；分校内网VLAN40终端通过R3服务节点中转访问杭州办事处；当EG2与R1、R3服务节点间链路失效时，可自动切换到R2服务节点进行转发；Route-map策略名为Fenliu；分校VLAN10流量由ACL101（编号101）来定义；分校VLAN40流量由ACL102（编号102）来定义；
为加快广域网线路异常时策略路由可快速收敛转发，为此部署Track检测，编号Track1, Track2, Track3分别检测本端广域网联通，电信，教育网接口状态，一旦接口协议状态为DOWN即刻进行切换；
考虑到数据分流及负载均衡的目的，具体要求如下：可通过修改OSPF 路由COST达到分流的目的，且其值必须为5或10；本部有线IPV4用户与互联网互通主路径规划为：S3-EG1;本部无线IPV4用户与互联网互通主路径规划为：AC2-S4-EG1;主链路故障时可无缝切换到多条备用链路上；
二级运营商R3服务节点在G0/0接口做流量监管，上行报文流量不能超过10Mbps，Burst-normal为1M bytes, burst-max为2M bytes如果超过流量限制则将违规报文丢弃。
无线网络配置
集团企业广州分部医学院需要部署Wi-Fi网络，购置网络设备的预算为12万，除卫生间、楼梯间和电梯区域无需覆盖，其它都需重点覆盖。平面布局如图1所示。
图1 平面布局图
绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划，卫生间、楼梯和电梯区域无须覆盖）；
使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）；
输出该无线网络工程项目设备的预算表，网络设备型号和价格依据表3；
表3 无线产品价格表
产品型号 产品特征 传输速率 （2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
使用AC1和AC2作为总部无线用户和无线AP的DHCP 服务器，使用S5作为分校无线用户和无线AP的DHCP服务器；
创建总部内网 SSID 为 Ruijie-BX_XX(XX现场提供)，WLAN ID 为1，AP-Group为BX，本部内网无线用户关联SSID后可自动获取地址；
总部AC2为主用，AC1为备用。AP与AC1、AC2均建立隧道，当AP与AC2失去连接时能无缝切换至AC1并提供服务；
AP3使用无线AP胖模式，以透明模式进行部署，S5部署DHCP服务为无线终端及AP分配地址,且AP每次均获取地址均为194.1.20.2；
AP3创建 SSID(WLAN-ID 1) 为 Ruijie-BJ_XX_1(XX现场提供), 分校内网无线用户关联SSID后可自动获取分校VLAN30网段地址；
AP3创建 SSID(WLAN-ID 2) 为 Ruijie-BJ_XX_2(XX现场提供),分校内网无线用户关联SSID后可自动获取分校VLAN40网段地址；
总部无线用户接入无线网络时需要采用WPA2加密方式，加密密码为XX(现场提供)；
为了防御无线局域网ARP欺骗影响用户上网体验，总部配置无线环境ARP欺骗防御功能；
要求总部内网无线网络启用本地转发模式；
为了保障总部每个用户的无线体验，针对WLAN ID 1下的每个用户的下行平均速率为 800KB/s ，突发速率为1600KB/s；
总部每AP最大带点人数为45人；
总部设置用户最小接入信号强度为-65dbm；
总部关闭低速率（11b/g 1M、2M、5M，11a 6M、9M）应用接入。
出口网络配置
出口网关上进行NAT配置实现本部与分校的所有用户均可访问互联网，通过NAPT方式将内网用户IP地址转换到互联网接口上，同时总部用户仅可在周一到周五工作时间09：00-17:00（命名为work）访问互联网；
在本部EG1上配置，使本部核心交换S4（11.1.0.34）设备的SSH服务可以通过互联网被访问，将其地址映射至联通线路上，映射地址为20.1.0.2；
本部内网主机有访问上海办事处S6设备的Telnet服务需求，但本部内网因网络规划要求不能引入外部路由，同时上海办事处网络运维人员考虑安全起见也不希望将S6设备（11.1.0.6）地址对外公布。为此规划在出口网关上进行NAT地址转化将S6真实地址映射至20.1.0.20；
在本部网关上启用Web Portal认证服务，并创建user1、user2，密码均为XX（现场提供）；
本部有线用户需进行WEB认证访问互联网；
本部无线用户不需在EG上进行WEB认证即可访问互联网；
分校EG2联通线路针对访问外网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过50Mbps；
分校EG2周一到周五工作时间09：00-17:00（命名为work）阻断并审计P2P应用软件使用；
本部与分校用户数据流匹配EG内置联通、电信与教育地址库，实现访问联通资源走联通线路，访问电信资源走电信线路，访问教育网资源走教育网线路；
除联通、电信、教育资源之外默认所有数据流在三条线路间进行负载转发；
部署L2TP隧道进行本部对分部路由的对接验证，验证用户名密码均为ruijie，L2TP隧道密码为ruijie;
L2TP用户地址池为12.1.0.1—12.1.0.254，Virtual-Template接口引用本地loopback 1接口地址，Virtual-ppp使用12.1.0.2；
L2TP隧道中承载OSPF协议，使其总部与分部通过OSPF进行路由交互，区域号0；
部署IPSec对L2TP隧道中的业务数据加密；
IPSec VPN需要采用传输模式、预共享密码为 ruijie，加密认证方式为 ESP-3DES、ESP-MD5-HMAC ，DH使用组2;
总分机构间数据通信及加密通过二级运营商R1联通节点作为中转设备；
本部有线IPV4用户与分部IPV4用户互通主路径规划为：S3-EG1-EG2-S5(EG1/EG2间运行VPN隧道)。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控总部所有设备。
2.通过运维平台将被监控设备纳入监控范围；通过拓扑配置功能，将网络拓扑配置到平台中；
3.将S3、S4和EG1的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S2/S4构建SDN网络，S2连接SDN控制器的6653端口。
3.通过SDN控制器手工给S2下发流表项使其S2下终端可与业务网段互联互通。
网络系统管理赛项 模块A：网络构建
附录1：拓扑图
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 VLAN10 JXL Gi0/1至Gi0/4 教学楼
VLAN20 SYL Gi0/5至Gi0/8 实验楼
VLAN30 BGL Gi0/9至Gi0/12 办公楼
VLAN40 TSG Gi0/13至Gi0/16 图书馆
VLAN50 AP Gi0/20至Gi0/21 无线AP管理
VLAN100 Manage 192.1.100.11/24 设备管理VLAN
S2 VLAN10 JXL Gi0/1至Gi0/4 教学楼
VLAN20 SYL Gi0/5至Gi0/8 实验楼
VLAN30 BGL Gi0/9至Gi0/12 办公楼
VLAN40 TSG Gi0/13至Gi0/16 图书馆
VLAN50 AP Gi0/20至Gi0/21 无线AP管理
Gi0/24 SDN-Manage 192.168.1.3 SDN管理网段
S3 VLAN10 JXL 192.1.10.252/24 教学楼
VLAN20 SYL 192.1.20.252/24 实验楼
VLAN30 BGL 192.1.30.252/24 办公楼
VLAN40 TSG 192.1.40.252/24 图书馆
VLAN100 Manage 192.1.100.252/24 设备管理VLAN
Gi0/24 10.1.0.2/30
LoopBack 0 11.1.0.33/32
S4 VLAN10 JXL 192.1.10.253/24 教学楼
VLAN20 SYL 192.1.20.253/24 实验楼
VLAN30 BGL 192.1.30.253/24 办公楼
VLAN40 TSG 192.1.40.253/24 图书馆
VLAN100 Manage 192.1.100.253/24 设备管理VLAN
Gi0/24 10.1.0.6/30
LoopBack 0 11.1.0.34/32
AC1 LoopBack 0 11.1.0.204/32 　
VLAN50 AP 192.1.50.252/24 无线AP管理
VLAN60 Wiressless 192.1.60.252/24 无线用户
Vlan100 Manage 192.1.100.2/24 管理与互联VLAN
AC2 LoopBack 0 11.1.0.205/32 　
VLAN50 AP 192.1.50.253/24 无线AP管理
VLAN60 Wiressless 192.1.60.253/24 无线用户
Vlan100 Manage 192.1.100.3/24 管理与互联VLAN
EG1 GI0/0 10.1.0.1/30 　
GI0/1 10.1.0.5/30 　
GI0/2 20.1.0.6/29
GI0/3 30.1.0.6/29
GI0/4 40.1.0.6/29
LoopBack 0 11.1.0.11/32 　
LoopBack 1 12.1.0.1/24
EG2 GI0/0 10.1.0.9/30
GI0/2 20.1.0.14/29
GI0/3 30.1.0.14/29
GI0/4 40.1.0.14/29
LoopBack 0 11.1.0.12/32
S5 Gi0/24 10.1.0.10/30 　
VLAN10 Primary_vlan 194.1.10.254/24 primary vlan
VLAN11 Community_vlan Gi0/1至Gi0/4 community vlan
VLAN12 Isolated_vlan Gi0/5至Gi0/8 isolated vlan
VLAN20 AP 194.1.20.254/24 分校无线AP管理
VLAN30 Wiressless_users1 194.1.30.254/24 分校无线用户
VLAN40 Wiressless_users2 194.1.40.254/24 分校无线用户
LoopBack 0 11.1.0.5/32 　
AP3 Gi0/1 DHCP动态获取
R1 Gi0/0 50.1.0.9/30 　
Gi0/1 50.1.0.1/30 　
VLAN10 Con-EG1 20.1.0.1/29 成员口Gi1/1
VLAN20 Con-EG2 20.1.0.9/29 成员口Gi1/2
LoopBack 0 11.1.0.1/32
R2 Gi0/0 50.1.0.2/30 　
Gi0/1 50.1.0.5/30 　
VLAN10 Con-EG1 30.1.0.1/29 成员口Gi1/1
VLAN20 Con-EG2 30.1.0.9/29 成员口Gi1/2
LoopBack 0 11.1.0.2/32
R3 Gi0/0 50.1.0.13/30 　
Gi0/1 50.1.0.6/30 　
VLAN10 Con-EG1 40.1.0.1/29 成员口Gi1/1
VLAN20 Con-EG2 40.1.0.9/29 成员口Gi1/2
LoopBack 0 11.1.0.3/32
S6 VLAN10 Develop 60.1.10.254/24 Gi0/1至Gi0/4
VLAN20 Product 60.1.20.254/24 Gi0/5至Gi0/8
Gi0/24 50.1.0.10/30
LoopBack 0 11.1.0.6
S7 VLAN10 Develop 70.1.10.254/24 Gi0/1至Gi0/4
VLAN20 Product 70.1.20.254/24 Gi0/5至Gi0/8
Gi0/24 50.1.0.14/30
LoopBack 0 11.1.0.7
PC PC 194.1.10.1/24 根据测试需求灵活调整终端位置及网段2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第10套
模块A：网络构建
网络系统管理赛项 模块A：网络构建 7/8
目 录
任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 3
（四）出口网络配置 4
（五）网络运维配置 5
（六）SDN网络配置 5
附录1：拓扑图 6
附录2：地址规划表 7
任务清单
（一）基础配置
1.根据附录1拓扑图及附录2地址规划表，配置设备接口信息。
2.在网络设备上，均开启SSH服务端功能。其中，用户名和密码为admin、Ruijie1234。密码为明文类型。特权密码为Ruijie123。
3.交换设备上部署SNMP功能。配置所有设备SNMP消息，向主机172.16.0.254发送Trap消息版本采用V2C，读写的Community为“Test1234”，只读的Community为“Public123”，开启Trap消息。
（二）有线网络配置
1.在全网Trunk链路上做VLAN修剪。
2.在交换机S1的Gi0/1-Gi0/22端口启用端口保护。
3.在S1连接PC机端口上开启Portfast和BPDUguard防护功能。
4.检测到环路后处理方式Shutdown-Port。
5.如果端口检测进入 Err-Disabled状态，再过 300 秒后会自动恢复（基于接口部署策略），重新检测是否有环路。
6.DHCP服务器搭建于EG1上，DHCP对外服务使用loopback 0地址。
7.在S1交换机部署DHCP Snooping+DAI功能。其中，DAI功能主要针对VLAN10与VLAN20启用ARP防御。
8.配置MSTP防止二层环路。要求VLAN10、VLAN20数据流经过S3转发，S3失效时经过S4转发。VLAN50、VLAN60、VLAN100数据流经过S4转发，S4失效时经过S3转发。region-name为test。revision版本为1。S3作为实例1的主根、实例2的从根，S4作为实例2的主根、实例1的从根。其中，主根优先级为4096，从根优先级为8192。
9.在S3和S4交换机上配置VRRP，实现主机的网关冗余，所配置的参数要求见表1。在交换机S3、S4上配置的各VRRP组中，设置高优先级设置为150，低优先级设置为120，S3、S4的2条互联链路（Gi0/22、Gi0/23）上，配置二层链路聚合，采取LACP动态聚合模式。
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN20 20 192.1.20.254
VLAN50 30 192.1.50.254
VLAN60 40 192.1.60.254
VLAN100 100 192.1.100.254
10.S6和S7间的Te0/49-50端口作为VSL链路网络设备虚拟化。其中S6为主，S7为备。S6和S7间的Gi0/47端口作为双主机检测链路，配置基于双主机检测，当VSL的所有物理链路都异常断开时，备机会切换成主机，从而保障网络正常。其中，主设备：Domain id：1。switch id:1。priority 150。 description: Switch-Virtual-Switch1。备设备：Domain id：1。switch id:2。priority 120。description: Switch-Virtual-Switch2。
11.各机构内网运行OSPF，配置VAC、S5、EG2之间运行OSPF，进程号10，规划单区域：区域0。R1、R2、R3之间运行OSPF，进程号20，规划单区域：区域0。 VSU、R2、R3之间运行OSPF，进程号21，规划单区域：区域0。S3、S4、EG1之间运行OSPF，进程号为30。
12.要求业务网段中不出现协议报文。R1、VSU始发的终端网段以及各设备上的Loopback管理地址，均以重分发直连路由的方式注入路由;R2/EG2、R3/EG1之间互联段，均以重发布直连的方式，注入R2、R3的OSPF双进程中，R2、R3之间启用OSPF与BFD联动，以达到迅速检测运营商网络中断，快速地切换到其他备份线路，提高用户网络体验。
13.优化OSPF相关配置，以尽量加快OSPF收敛。配置重发布路由进OSPF中使用类型1。
14.分支机构之间，部署IPV6网络，实现机构之间的内网中安装的IPV6终端，可通过无状态自动从网关处获取地址。其中，IPV6地址规划如表2。R1、VSU通过Gre隧道实现局域网IPV6终端互联互通,且隧道内运行OSPFV3协议,进程号10，区域号为0；
表2 PV6地址规划表
设备 接口 IPV6地址
R1 VLAN10 2001:194:1:10::254/64
VLAN20 2001:194:1:20::254/64
Tunnel0 2001:11:1:3::1/64
VSU VLAN10 2001:195:1:10::254/64
VLAN20 2001:195:1:20::254/64
Tunnel0 2001:11:1:3::2/64
（三）无线网络配置
北京互联网平台电子商务集团火星公司办公区无线项目拟投入12万元（网络设备采购部分），项目公共办公区人数大概在20人左右。平面布局如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划，洗手间、楼梯区域无须覆盖）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表3无线产品价格表，制定该无线网络工程项目设备的预算表；
表3无线产品价格表
产品型号 产品特征 传输速率
（2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
4.分公司的无线网络规划中，使用EG1作为无线用户和无线FIT AP的DHCP服务器。分公司内网SSID为admin_Fit_XX(备注：XX现场提供)。WLANID为1。AP-Group为admin。配置内网中的无线用户在关联SSID后，即可自动获取VLAN60地址
5.配置两台AC设备，使用虚拟化方案的VAC技术，组合成1台虚拟AC。
6.AC1和AC2之间的Gi0/4-5端口作为VSL链路。其中：配置AC1为主，AC2为备。
7.AC1和AC2间的Gi0/3端口，作为双主机检测链路，配置基于双主机检测。当VSL的所有物理链路都异常断开时，备机会切换成主机，从而保障网络正常。其中，主设备为：Domain id：1。device id:1。priority 150。 description: AC-1。备设备为：Domain id：1。device id:2。priority 120。 description: AC-2。
8.在VAC与S5之间的业务线缆都规划为双线路。为提升冗余性，采用三层链路聚合。
9.AP3使用胖模式进行部署，以透明模式进行部署，管理地址为192.1.100.3/24(备注：XX现场提供)。在无线AP3上创建SSID(WLAN-ID 2)，相关参数为：admin-Fat_XX(备注：XX现场提供) 。其中，内网无线用户关联SSID后，可自动获取VLAN60网段地址。
10.无线用户接入无线网络时，连接Fit AP无线用户接入无线网络时采用WPA2加密方式，加密密码为XX。Fat AP部署的无线网络中，无线用户接入无线网络时采用WEB认证方式，认证用户名user1、密码为XX。
（四）出口网络配置
1.出口网关上进行NAT配置，实现机构内网终端及服务器，均可访问互联网，通过NAPT方式将内网IP地址转换到互联网接口上。
2.出口网关EG1上配置，使S1交换机（192.1.100.1,其中：XX现场提供）设备的Telnet服务，可以通过互联网被访问。此外，将其地址映射至运营商线路上，映射地址为11.1.2.10，映射端口23333。
3.EG1设备，上启用Web Portal认证服务，认证用户名密码均为user1、user2。有线用户需进行WEB认证访问互联网无线用户不需在EG上进行WEB认证即可访问互联网。
4.出口网关EG1上，针对内网访问互联网WEB流量限速每IP 1000Kbps，内网WEB总流量不超过20Mbps，通道名称定义为WEB。
5.在EG1与EG2出口网关之间，启用GRE Over IPSec VPN嵌套功能。创建GRE隧道，实现内部承载OSPF协议，使其总分机构间内网连通。
6.配置IPSec安全使用静态点对点模式，要求esp传输模式封装协议。isakmp策略定义加密算法采用3des。散列算法采用md5，预共享密码为admin。DH使用组2。此外，转换集myset定义加密验证方式为esp-3des esp-md5-hmac。感兴趣流ACL编号为103。加密图定义为mymap。
（五）网络运维配置
1.完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控北京分公司所有设备。
2.通过运维平台将被监控设备纳入监控范围；通过拓扑配置功能，将网络拓扑配置到平台中；
3.将S3、S4和EG1的两条链路作为重点监测链路，纳入链路监控；
4.自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
1.SDN控制器登录地址：：192.168.1.2/24，默认用户密码为admin/test@123。
2.使用S2/S4构建SDN网络，S2连接SDN控制器的6653端口。
3.通过SDN控制器手工给S2下发流表项使其S2下终端可与业务网段互联互通。
网络系统管理赛项 模块A：网络构建
2/8
附录1：拓扑图
网络系统管理赛项 模块A：网络构建 6/8
2
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 VLAN10 Production Gi0/1至Gi0/10 生产网
VLAN20 Office Gi0/11至Gi0/20 办公网
VLAN50 APManage Gi0/21至Gi0/22 无线AP管理
VLAN60 Wireless \ 无线终端
VLAN100 Manage 192.1.100.1/24 设备远程管理
S2 VLAN10 Production Gi0/1至Gi0/10 生产网
VLAN20 Office Gi0/11至Gi0/20 办公网
Gi0/23 SDN-Manage 192.168.1.3 SDN管理网段
AP3 BVI 100 Manage 192.1.100.3/24 设备远程管理
S3 VLAN10 Production 192.1.10.253/24 生产网
VLAN20 Office 192.1.20.253/24 办公网
VLAN50 APManage 192.1.50.253/24 无线AP管理
VLAN60 Wireless 192.1.60.253/24 无线终端
VLAN100 Manage 192.1.100.253/24 设备远程管理
Gi0/24 \ 10.1.1.2/30 \
LoopBack 0 \ 10.1.0.3/32 \
S4 VLAN10 Production 192.1.10.252/24 生产网
VLAN20 Office 192.1.20.252/24 办公网
VLAN50 APManage 192.1.50.252/24 无线AP管理
VLAN60 Wireless 192.1.60.252/24 无线终端
VLAN100 Manage 192.1.100.252/24 设备远程管理
Gi0/24 \ 10.1.1.6/30 \
LoopBack 0 \ 10.1.0.4/32 \
EG1 Gi0/1 \ 10.1.1.1/30 \
Gi0/2 \ 10.1.1.5/30 \
Gi0/4 \ 11.1.2.10/30 \
Tunnel 0 \ 11.1.5.2/30 \
LoopBack 0 \ 10.1.0.1/32 \
VAC Gi1/0/1 \ 10.2.1.6/30 AG1成员口
Gi2/0/1 \ AG1成员口
LoopBack 0 \ 10.2.0.12/32 \
S5 Gi0/21 \ 193.1.0.1/30 云平台
Gi0/22 \ 10.2.1.5/30 AG1成员口
Gi0/23 \ AG1成员口
Gi0/24 \ 10.2.1.2/30 \
LoopBack 0 \ 10.2.0.5/32 \
EG2 Gi0/1 \ 10.2.1.1/30 \
Gi0/4 \ 11.1.1.10/30 \
Tunnel 0 \ 11.1.5.1/30 \
LoopBack 0 \ 10.2.0.2/32 \
R1 VLAN10 Production 194.1.10.254/24 Gi1/1-Gi1/10
VLAN20 Office 194.1.20.254/24 Gi1/11-Gi1/20
Gi0/0 \ 11.1.1.1/30 \
Gi0/1 \ 11.1.2.1/30 \
LoopBack 0 \ 11.1.0.1/32 \
R2 VLAN10 Con-R3-OSPF20 11.1.3.1/30 成员口Gi 1/0
VLAN20 Con-EG2　 11.1.1.9/30 成员口Gi 1/1
VLAN30 Con-R3-OSPF21 11.1.4.1/30 成员口Gi 1/2
Gi0/0 \ 11.1.1.2/30 \
Gi0/1 \ 11.1.1.5/30 \
LoopBack 0 NA 11.1.0.2/32 OSPF20进程
LoopBack 10 NA 11.1.0.22/32 OSPF21进程
R3 VLAN10 Con-R2-OSPF20 11.1.3.2/30 成员口Gi 1/0　
VLAN20 Con-EG1 11.1.2.9/30 成员口Gi 1/1
VLAN30 Con-R2-OSPF21 11.1.4.2/30 成员口Gi 1/2
Gi0/0 \ 11.1.2.2/30 \
Gi0/1 \ 11.1.2.5/30 \
LoopBack 0 \ 11.1.0.3/32 OSPF20进程
LoopBack 10 \ 11.1.0.33/32 OSPF21进程
VSU VLAN10 Production 195.1.10.254/24 Gi1/0/1-Gi1/0/40
VLAN20 Office 195.1.20.254/24 Gi2/0/1-Gi2/0/40
Gi1/0/48 \ 11.1.1.6/30 \
Gi2/0/48 \ 11.1.2.6/30 \
LoopBack 0 \ 11.1.0.67/32 \
网络系统管理赛项 模块A：网络构建 8/82023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第2套
模块A：网络构建
网络系统管理赛项-模块A：网络构建
目 录
任务描述 1
任务清单 1
（一）基础配置 1
（二）有线网络配置 1
（三）无线网络配置 2
（四）出口网络配置 4
（五）网络运维配置 5
（六）SDN网络配置 5
附录1：拓扑图 6
附录2：地址规划表 7
网络系统管理赛项 模块A：网络构建
任务描述
为了顺利实施陕西招财银行全省营业网点的网络改造，优化省行的网络，为其它区域的网络提供高效的保障服务，陕西招财银行同时针对各个分支行、网点的网络进行升级、改造和优化。
任务清单
（一）基础配置
根据附录1拓扑图及附录2地址规划表，配置设备接口信息。
交换机S7做密码恢复，新密码设置为admin1234。
在所有的网络设备上开启SSH服务，用户名密码分别为admin、admin1234。特权密码为admin1234。
交换设备上部署SNMP功能，主机172.16.0.254发送Trap消息版本采用V2C。读写的Community为“admin”。只读的Community为“public”。开启Trap消息通告。
（二）有线网络配置
在全网Trunk链路上做VLAN修剪。
在支行连接PC机端口上开启Portfast和BPDUguard防护功能。
支行接入交换机的连接终端的接口上检测到环路后，要求处理的方式为Shutdown-Port，实现防环保护。
一旦端口检测异常事件并进入Err-Disabled状态，设置300秒自动恢复机制（基于接口部署策略）。
在交换机S3、S4上配置DHCP中继功能，使得网络中的终端用户通过DHCP Relay方式获取IP地址。
在S1上搭建DHCP服务器,为网络中的无线AP设备提供管理地址（具体参数见IPv4地址分配表，共3个网段：192.1.10.0/24，192.1.50.0/24，192.1.60.0/24）。无线AP的地址租约为永久。无线网络中用户设备的租约为0.5天。
在S3和S4上配置VRRP，所配置的参数要求如表1所示。，在交换机S3、S4上设置各VRRP组中的高优先级设置为150，低优先级设置为120。
在S3与S4之间部署2条互联链路（Gi0/21、Gi0/22），并采取LACP动态聚合模式配置二层链路聚合。其它接口根据网络设备互联需要，进行静态链路聚合配置，生成聚合接口AG2。
表1 S3和S4的VRRP参数表
VLAN VRRP备份组号（VRID） VRRP虚拟IP
VLAN10 10 192.1.10.254
VLAN50 50 192.1.50.254
VLAN60 60 192.1.60.254
VLAN100 100 192.1.100.254
在省行的核心区与业务区（S1、S2、S3、S4）中，部署OSPF 100。使用单区域（区域0）部署。
在省行的互联区和各支行/网点（S1、S2、R1、R2、S7）连接上，部署OSPF 200。使用多区域规划。其中，省行互联区（S1、S2、R1、R2）属于AREA 0。龙首原支行（R1、R2、S7）属于AREA 1。
在省行业务区，要求VLAN100设备管理地址段不参与OSPF邻居建立。
在省行的业务区，要在交换机S3、S4的始发终端网段以及VLAN100设备管理地址段，均以重发布直连的方式注入路由。
优化OSPF相关配置，以尽量加快OSPF收敛。
重发布路由进OSPF中使用类型1。
在AC1和AC2之间通过静态路由，使用管理地址（VLAN 100）分别与S3、S4交换机之间通信。
使用静态路由实现省行的外联区之间（EG1、S1、S2）通信。
使用静态路由第三方公司（EG2、AP3）之间通信。
使用静态路由Internet区域（EG1、R3、EG2）之间通信。
原生产网段（VLAN 410）、办公网段（VLAN 460）需要与省行的业务区、生产办公区的业务互联互通，需要在交换机S7本地以Network发布明细路由。
各路由图以及连接的各接口中，凡是涉及COST值的调整，要求其值必须调整为5或10。
通过部署策略，使得生产网段的业务（VLAN 410-VLAN 10）的主路径为S7-R1-S1-S3-VSU。办公网段的业务（VLAN 460-VLAN 60）的主路径为S7-R2-S2-S4-VSU。并且要求来回路径一致。
配置省区业务区中的办公数据（VLAN 60）访问Internet的路径为S4-S2-EG1。配置各支行/网点中的办公数据（VLAN 460）访问Internet的路径为：S7-R2-S2-EG1。并且要求来回路径一致。
（三）无线网络配置
陕西招财银行的某局点银行实施无线覆盖工程，项目拟投入17.5万元（网络设备采购部分），项目要求办公区、办公室、会议厅、寝室、展厅均覆盖（不要求覆盖茶水间、洗手间），如图1所示。
图1 平面布局图
1.绘制AP点位图（包括：AP型号、编号、信道等信息，其中信道采用2.4G的1、6、11三个信道进行规划，洗手间、楼梯区域无须覆盖）。
2.使用无线地勘软件，输出AP点位图的2.4G频道的信号仿真热图（仿真信号强度要求大于-65db）。
3.根据表2无线产品价格表，制定该无线网络工程项目设备的预算表。
表2无线产品价格表
产品型号 产品特征 传输速率
（2.4G/最大） 推荐/最大带点数 功率 价格（元）
AP1 双频双流 300M/1.167G 32/256 100mw 6000
AP2 双频双流 300M/600M 32/256 100mw 11000
AP3 单频单流 150M 12/32 60mw 2500
线缆1 10米馈线 N/A N/A N/A 1600
线缆2 15米馈线 N/A N/A N/A 2400
天线 双频单流/单频单流 N/A N/A N/A 500
Switch 24口POE交换机 N/A N/A 240w 15000
AC 无线控制器 6*1000M 32/200 40w 50000
在省行的业务区中部署无线网络，无线网络架构采用FIT AP+AC的方案。区域内所有AP（AP1）都关联到双AC进行管理。
在省行的业务区中，配置S1交换机作为无线网络中用户（VLAN 60）和无线FIT AP（VLAN 50）的DHCP服务器。
在省行的业务区部署无线网络，设置内网中的SSID为Admin_SHYWQ_XX(XX现场提供)。WLANID为1。AP-GROUP为Admin_SHYWQ。内网中的无线用户在关联SSID后，可自动获取VLAN60地址，启用WEB认证方。
龙首原支行无线网络架构采用FIT AP+AC的方案，区域内所有AP（AP2）都关联到双AC进行管理。
龙首原支行使用S7交换机作为无线网络中用户（VLAN 460）和无线网络中的FIT AP（VLAN 450）设备的DHCP服务器。
在龙首原支行中配置内网的SSID为Admin_LSYZH_XX(XX现场提供)。WLANID为2。AP-GROUP为Admin_LSYZH。内网中的无线用户在关联到SSID后，可自动获取VLAN460地址，启用802.1X认证方式。
在无线网络中部署AC冗余，实现备份。其中，配置AC1为主用。配置AC2为备用。此外，AP与AC1、AC2之间均需要建立隧道，规划Fit AP与双AC的VLAN100设备管理地址建立隧道建立。
当AP与AC1失去连接时，能无缝切换至AC2。
第三方公司的AP3使用胖模式进行部署，具体要求如下所示。
配置AP3设备，使用透明模式传输。其中，管理地址为195.1.100.1/24。网关地址为195.1.100.254，网关部署在EG2上。
在AP3设备上，创建SSID(WLAN-ID 3)为Admin-Fat_XX(备注：XX现场提供)，保障内网中无线网络中的用户在关联SSID后，可自动获取 195.1.60.0/24网段地址（DHCP部署在EG2上）。
认证服务器（IP：192.1.100.100）建立省行认证用户user1,user2，支行认证用户user3,user4分别对应WEB、DOT1X认证；
无线网络中的用户通过Fat AP方式接入无线网络时，采用WEB认证方式，认证用户名、密码为XX(现场提供)。
省行业务区AP（AP1）采用集中转发模式，各支行/网点AP（AP2）采用本地转发模式。
（四）出口网络配置
省行外联区出口网关EG1上进行NAT配置，实现省行业务区办公网络（VLAN 60、VLAN 460），通过NAPT方式将内网IP地址转换到互联网接口上。其中，NAT地址池的地址为200.1.1.3/29-200.1.1.5/29。生产网络（VLAN 10,VLAN 410）及其他地址均不允许访问互联网。
在第三方公司的出口网关EG2上，进行NAT部署，实现其无线网络中的用户能访问Internet。其中，NAT地址池与EG2的Gi0/4接口IP相同。
在网络安全出口设备EG1与EG2之间，启用GRE Over IPSec VPN嵌套功能。
配置IPSec使用静态点对点模式。esp传输模式封装协议。isakmp策略定义加密算法采用3des。散列算法采用md5。预共享密码为test。DH使用组2。转换集myset定义加密验证方式为esp-3des esp-md5-hmac，感兴趣流ACL编号为103，加密图定义为mymap。
（五）网络运维配置
完成整网连通后，进入网络监控运维阶段，运维软件已安装在PC1的虚拟机OPMSrv中(访问运维平台的URL为http://192.1.100.100)，通过运维平台监控省行网络内所有设备（具体设备：S1-S6、EG1、R1、R2、AC1、AC2）。
通过运维平台将省行核心网的被监控设备纳入监控范围；通过拓扑配置功能，将省行核心网的网络拓扑配置到平台中。
将省行核心网S1、S2和省行外联区EG1的两条链路作为重点监测链路，纳入链路监控。
自定义监控大屏（名称：Chinaskills_network），将网络拓扑、设备运行状态（CPU使用率）、链路运行状态实时显示在大屏中。
（六）SDN网络配置
SDN控制器登录地址：192.168.1.2/24，默认用户密码为admin/test@123。
使用S4/S5/S6构建SDN网络，S5/S6连接SDN控制器的6653端口。S5/S6所有业务流转发需经SDN控制器统一控制管理。
通过SDN控制器手工给S5下发一条流表项名称为drop的流表，执行动作为丢弃，并在交换机上查看流表，测试普通PC禁止ping通高性能PC。
通过SDN控制器流表管理实现PC1/PC2与省行各核心网段互联互通。
网络系统管理赛项 模块A：网络构建
附录1：拓扑图
附录2：地址规划表
设备 接口或VLAN VLAN名称 二层或三层规划 说明
S1 Gi0/1 \ 10.1.3.1/30 互联地址
Gi0/2 \ 10.1.1.1/30 互联地址
Gi0/3 \ 10.1.1.5/30 互联地址
Gi0/4 \ 10.1.2.1/30 互联地址
Gi0/5 \ 10.1.2.5/30 互联地址
Gi0/47-48 （AG1） \ 10.1.254.253/30 OSPF100进程
Loopback 0 \ 10.1.0.1/32 ——
S2 Gi0/1 \ 10.1.3.5/30 互联地址
Gi0/2 \ 10.1.1.9/30 互联地址
Gi0/3 \ 10.1.1.13/30 互联地址
Gi0/4 \ 10.1.2.9/30 互联地址
Gi0/5 \ 10.1.2.13/30 互联地址
Gi0/47-48（AG1） \ 10.1.254.254/30 OSPF100进程
Loopback 0 \ 10.1.0.2/32 ——
S3 VLAN 10 Production 192.1.10.252/24 生产/有线用户地址
VLAN 50 APManage_YWQ 192.1.50.252/24 业务区AP管理地址
VLAN 60 Wireless 192.1.60.252/24 办公/无线用户地址
VLAN 100 Manage 192.1.100.252/24 设备管理
Gi0/23 \ 10.1.1.2/30 互联地址
Gi0/24 \ 10.1.1.10/30 互联地址
Loopback 0 \ 10.1.0.3/32 ——
S4 VLAN 10 Production 192.1.10.253/24 生产/有线用户地址
VLAN 50 APManage_YWQ 192.1.50.253/24 业务区AP管理地址
VLAN 60 Wireless 192.1.60.253/24 办公/无线用户地址
VLAN 100 Manage 192.1.100.253/24 设备管理地址
Gi0/23 \ 10.1.1.6/30 互联地址
Gi0/24 \ 10.1.1.14/30 互联地址
Loopback 0 \ 10.1.0.4/32 ——
S5 VLAN 10 Production Gi1/0/6至 Gi1/0/20, Gi2/0/6至 Gi2/0/20 生产/有线用户地址
Gi0/23 SDN-Manage 192.168.1.3 SDN管理网段
S6 VLAN 10 Production Gi1/0/6至 Gi1/0/20, Gi2/0/6至 Gi2/0/20 生产/有线用户地址
Gi0/23 SDN-Manage 192.168.1.4 SDN管理网段
AC1 VLAN 100 Manage 192.1.100.2/24 设备管理地址
Loopback 0 \ 10.1.0.5/32 ——
AC2 VLAN 100 Manage 192.1.100.3/24 设备管理地址
Loopback 0 \ 10.1.0.6/32 ——
R1 Gi0/0 \ 10.1.2.2/30 互联地址
Gi0/1 \ 10.1.2.10/30 互联地址
Fa1/0 \ 10.1.2.253/30 互联地址
Fa1/1 \ 10.1.2.21/30 互联地址
Loopback 0 \ 10.1.0.7/32 ——
R2 Gi0/0 \ 10.1.2.6/30 互联地址
Gi0/1 \ 10.1.2.14/30 互联地址
Fa1/0 \ 10.1.2.254/30 互联地址
Fa1/1 \ 10.1.2.25/30 互联地址
Loopback 0 \ 10.1.0.8/32 ——
S7 Gi0/23 \ 10.1.2.22/30 互联地址
Gi0/24 \ 10.1.2.26/30 互联地址
VLAN 410 Production 194.1.10.254/24 G0/11-20 生产/有线用户地址
VLAN 450 APManage_YWQ 194.1.50.254/24 业务区AP管理地址
VLAN 460 Wireless 194.1.60.254/24 办公/无线用户地址
Loopback 0 \ 10.1.0.9/32 ——
EG1 Gi0/1 \ 10.1.3.2/30 互联地址
Gi0/2 \ 10.1.3.6/30 互联地址
Gi0/4 \ 200.1.1.2/29 互联地址
Tunnel0 \ 10.1.4.1/30 GRE接口地址
Loopback 0 \ 10.1.0.10/32 ——
R3 Gi0/0 \ 200.2.1.1/29 互联地址
Gi0/1 \ 200.1.1.1/29 互联地址
Loopback 1 \ 195.1.1.1/32 ——
EG2 Gi0/1.60 \ 195.1.60.254/24 用户地址
Gi0/1.100 \ 195.1.100.254/24 AP管理地址
Gi0/4 \ 200.2.1.2/29 互联地址
Tunnel0 \ 10.1.4.2/30 GRE接口地址
Loopback 0 \ 10.1.0.11/32 ——2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第3套
模块B：服务部署
目 录
一、 Windows初始化环境 1
1.默认账号及默认密码 1
2.操作系统配置 1
二、 Windows项目任务描述 1
1.拓扑图 1
2.网络地址规划 2
三、 Windows项目任务清单 3
（一）服务器IspSrv上的工作任务 3
（二）服务器RouterSrv1上的工作任务 3
（三）服务器AppSrv上的工作任务 3
（四）服务器DC1&DC2上的工作任务 5
（五）服务器IOMSrv上的工作任务 6
（六）客户端InsideCli上的工作任务 6
（七）客户端OutsideCli上的工作任务 6
四、 Linux初始化环境 7
1.默认账号及默认密码 7
2.操作系统配置 7
五、 Linux项目任务描述 7
1.拓扑图 7
2.网络地址规划 8
六、 Linux项目任务清单 8
（一）服务器IspSrv工作任务 8
1. DHCP 8
2. DNS 9
3. WEB服务 9
（二）服务器RouterSrv上的工作任务 9
1. DHCP RELAY 9
2. ROUTING 9
3. SSH 9
4. IPTABLES 9
5. Web Proxy 10
（三）服务器AppSrv上的工作任务 10
1. SSH 10
2. DHCP 10
3. DNS 10
4. WEB服务 11
5. Mariadb Backup Script 11
6. MAIL 11
7. CA（证书颁发机构） 12
（四）服务器StorageSrv上的工作任务 12
1. SSH 12
2. DISK 12
3. NFS 12
4. VSFTPD 12
5. SAMBA 13
6. LDAP 13
7. ShellScript 13
（五）服务器IOMSrv工作任务 13
（六）客户端OutsideCli和InsideCli工作任务 13
1. OutsideCli 13
2. InsideCli 14
网络系统管理赛项-模块B：服务部署
Windows初始化环境
1.默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
2.操作系统配置
Region:China
Locale:English US (UTF-8)
Key Map: English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
Windows项目任务描述
你作为技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
主机名 所在域 网络地址 DNS 网关
DCServer 192.168.100.100/24 127.0.0.1 192.168.100.254
SDCServer 192.168.100.200/24 127.0.0.1 192.168.100.254
AppSrv 192.168.200.100/24 192.168.100.100 192.168.100.200 192.168.200.254
RouterSrv1 192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24 192.168.100.100 无
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24 (dhcp) 192.168.100.100 192.168.100.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
Windows项目任务清单
（一）服务器IspSrv上的工作任务
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
DNS
安装DNS服务器，根据题目创建必要正向区域和反向区域的DNS解析。
把当前机器作为互联网根域服务器，创建test1.com~，并在所有正向区域中创建一条A记录，解析到本机地址。
（二）服务器RouterSrv1上的工作任务
路由功能
开启路由转发，为当前实验环境提供路由功能。
虚拟专用网络
设置L2TP/IPSec，IKE通道采用证书进行验证。
L2TP通道使用域内用户进行身份验证，仅允许manager组内用户通过身份证验证。
对于 vpn 客户端，请使用范围 192.168.1.200-192.168.1.220/24。
WSUS更新服务
安装WSUS更新服务，更新补丁目录设置为“c:\wsusbackup”。
创建更新组名称为“CHINASKILLS-WSUS”。
每天凌晨03:00下发自动更新。
更新服务器地址为“http://wsus.:8530”。
动态地址分配中继服务
安装和配置Dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于AppSrv服务器上。
（三）服务器AppSrv上的工作任务
RDS
在RouterSrv安装和配置 RDS 服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
Notepad
万维网服务
在RouterSrv1上搭建网站服务器。
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
设置“http://www./”网站的最大连接数为1000，网站连接超时为60s；
使用W3C记录日志；每天创建一个新的日志文件，文件名格式：
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；
日志文件存储到“C:\WWWLogFile”目录中；
文件共享
创建用户主目录共享文件夹：
本地目录为d:\share\users\，允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到H卷。
禁止用户在该共享文件中创建“*.exe, *.bat, *.sh”文件。
创建manager组共享文件夹：
本地目录为d:\ share\managers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。
创建public-share公共共享文件夹：
本地目录为d:\ share\public-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限。
DFS
在AppSrv上安装及配置 DFS 服务。
目录设置在F：\DFSsharedir。
配置DFS复制，使用DC1作为次要服务器，复制方式配置为交错拓扑。
在F：\DFSsharedir 文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
FTP
安装FTP服务，新建一个FTP站点，并建立用户soft1、soft2，密码均为ftp123；
FTP站点主目录为D:\ftproot，通过适当技术实现用户soft1 与soft2通过匿名方式登录FTP站点时，只能浏览到“Public”子目录中的内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹；
设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟，设置数据连接的超时时间为1分钟；
动态地址分配服务
安装和配置dhcp 服务，为办公区域网络提供地址上网；
创建地址池名为inside_pool，地址池范围：192.168.0.100-192.168.0.200；
根据题目要求正确配置网关和dns信息。
（四）服务器DC1&DC2上的工作任务
活动目录域服务
在DC1和DC2服务器上安装活动目录域服务，并且提升该操作系统为域控制器。
活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
ma01-ma10，请将该用户添加到manager用户组。
不允许除manager 组以外的所有用户隐藏C盘。
不允许除manager 组以外的所有普通给用户禁止使用cmd。
所有的服务器不需要按ctrl+alt+del；
关闭所有的机器的睡眠功能。
所有用户组织禁止修改Internet Explorer的代理服务器设置。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
证书颁发机构
在DC1服务器上安装证书办法机构。
定义名称：csk2022-rootca。
证书颁发机构有效期：3 years。
为域内的web站点颁发web证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。
NPS（网络策略服务）
在DC1上安装网络策略服务作为VPN用户登录验证。
仅允许L2TP/IPSEC VPN进行VPN连接访问验证。
认证、授权日志将存储到DC1上的“C:\NPS\”目录下。
DNS（域名解析服务）
拓扑中所有主机的DNS查询请求都应由IspSrv进行解析。
磁盘管理
在DC2上安装及配置软 RAID5。
在安装好的DC2虚拟机中添加三块10G虚拟磁盘。
组成RAID5，磁盘分区命名为卷标H盘：Raid5。
手动测试破坏一块磁盘，做RAID磁盘修复，确认RAID 5配置完毕。
（五）服务器IOMSrv上的工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://192.168.200.200；
通过Windows代理模板，添加DC1Server、DC2Server操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站https://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-VPN的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
Linux初始化环境
1.默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
2.操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>OS Version<<
>> TIME <<
*********************************
Linux项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV（UOS）
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv(Centos)
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
STORAGESRV(Centos)
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From IspSrv
Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项。
DNS
安装BIND9；
配置为DNS根域服务器；
其他未知域名解析,统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”。
WEB服务
安装nginx软件包；
配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
网站根目录为/mut/crypt（目录不存在需创建）；
启用FastCGI功能，让nginx能够解析php请求；
index.php内容使用Welcome to 2023 Computer Network Application contest!
（二）服务器RouterSrv上的工作任务
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
工作端口为2021；
只允许用户user01，密码ChinaSkill23登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录；
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务；
记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务；
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行；
配置源地址转换允许内部客户端能够访问互联网区域。
Web Proxy
安装Nginx组件；
配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
为www.配置代理前端，通过HTTPS的访问后端Web服务器；
后端服务器日志内容需要记录真实客户端的IP地址；
缓存后端Web服务器上的静态页面；
创建服务监控脚本：/shells/chkWeb.sh；
编写脚本监控公司的网站运行情况；
脚本可以在后台持续运行；
每隔3S检查一次网站的运行状态，如果发现异常尝试3次；
如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101；
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝；
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析；
为www.、download.和mail.提供解析；
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址；
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
WEB服务
安装WEB服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统500M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: ChinaSkill23!；
创建网站download.站点；
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
Mariadb Backup Script
脚本文件：/shells/mysqlbk.sh；
备份数据到/root/mysqlbackup 目录；
备份脚本每隔30分钟实现自动备份；
导出的文件名为 all-databases-20230213102333, 其中 20230213102333 为运行备份脚本的当前时间，精确到秒。
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
使用https://mail.网站测试邮件发送与接收。
CA（证书颁发机构）
CA根证书路径/csk-rootca/csk-ca.pem；
签发数字证书，颁发者信息：(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01、user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口3358；
添加用户user01 user02 到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
VSFTPD
禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
用户webadmin，登录ftp服务器，根目录为/webdata/；
登录后限制在自己的根目录；
允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
用于通过工具或者浏览器下载的最大速度不超过 100kb/s
一个IP地址同时登陆的用户进程/人数不超过2人。
SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
LDAP
安装slapd,为samba服务提供账户认证；
创建目录服务，并创建用户组ldsgp，将zsuser、lsusr、wuusr。
ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号；
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等；
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（五）服务器IOMSrv工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.150；
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Apache模板，添加Apache监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；
作为SSH远程登录测试客户端，安装ssh命令行测试工具；
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；
作为SSH远程登录测试客户端，安装ssh命令行测试工具；
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
网络系统管理赛项-模块B：服务部署
网络系统管理赛项-模块B：服务部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第10套
模块B：服务部署
目 录
一、Windows初始化环境 1
二、Windows项目任务描述 1
（一）拓扑图 1
（二）网络地址规划 1
三、Windows项目任务清单 2
（一）服务器IspSrv上的工作任务 2
1. 互联网访问检测服务器 2
（二）服务器RouterSrv1上的工作任务 2
1. 路由功能 2
2. 动态地址分配中继服务 2
3. 虚拟专用网络 2
4. RDS 2
（三）服务器AppSrv上的工作任务 3
1. 万维网服务 3
2. 动态地址分配服务 3
3. DFS 3
4. 磁盘管理 3
5. DNS 4
6. WSUS更新服务 4
（四）服务器DCSERVER&SDCSERVER上的工作任务 4
1. 活动目录域服务 4
2. 证书颁发机构 4
3. 磁盘管理 5
（五）服务器IOMSrv上的工作任务 5
（六）客户端InsideCli上的工作任务 5
（七）客户端OutsideCli上的工作任务 5
四、Linux初始化环境 5
（一）默认账号及默认密码 5
（二）操作系统配置 6
五、Linux项目任务描述 6
（一）拓扑图 6
（二）网络地址规划 6
六、Linux项目任务清单 7
（一）服务器IspSrv工作任务 7
1. DHCP 7
2. DNS 8
3. WEB服务 8
（二）服务器RouterSrv上的工作任务 8
1. DHCP RELAY 8
2. ROUTING 8
3. SSH 8
4. IPTABLES 8
5. Web Proxy 8
（三）服务器AppSrv上的工作任务 9
1. SSH 9
2. DHCP 9
3. DNS 9
4. web服务 9
5. DBMS 10
6. MAIL 10
7. CA（证书颁发机构） 11
（四）服务器StorageSrv上的工作任务 11
1. SSH 11
2. DISK 11
3. NFS 11
4. ShellScript 11
5. VSFTPD 11
（五）服务器IOMSrv工作任务 12
（六）客户端OutsideCli和InsideCli工作任务 12
1. OutsideCli 12
2. InsideCli 12
网络系统管理赛项-模块B：服务部署
一、Windows初始化环境
默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为ChinaSkill23!
二、Windows项目任务描述
你作为一个技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
DCServer 192.168.100.100/24 127.0.0.1 192.168.100.254
SDCSserver 192.168.100.200/24 127.0.0.1 192.168.100.254
AppSrv 192.168.200.100/24 192.168.100.100 192.168.100.200 192.168.200.254
IOMSrv 192.168.200.200/24 192.168.100.100 192.168.100.200 192.168.200.254
RouterSrv1 192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24 192.168.100.100 100.100.100.254
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24(dhcp) 192.168.100.100 192.168.100.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
三、Windows项目任务清单
（一）服务器IspSrv上的工作任务
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
DNS（域名解析服务）
拓扑中所有主机的DNS查询请求都应由IspSrv进行解析。
把当前机器作为互联网根域服务器，创建test1.com~，并在所有正向区域中创建一条 A 记录，解析到本机地址。
（二）服务器RouterSrv1上的工作任务
路由功能
安装Remote Access 服务开启路由转发，为当前实验环境提供路由功能。
启用网络地址转换功能，实现内部客户端访问互联网资源。
配置网络地址转换，允许互联网区域客户端访问AppSrv上的HTTP资源。
动态地址分配中继服务
安装和配置dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于AppSrv服务器上。
虚拟专用网络
设置L2TP/IPSec，IKE通道采用证书进行验证。
L2TP通道使用域内用户进行身份验证，仅允许manager组内用户通过身份证验证。
对于vpn客户端，请使用范围 192.168.1.200-192.168.1.220/24。
RDS
在RouterSrv1安装和配置 RDS 服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
Notepad
（三）服务器AppSrv上的工作任务
万维网服务
在RouterSrv1上搭建网站服务器。
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
设置“http://www./”网站的最大连接数为1000，网站连接超时为60sl；
使用W3C记录日志；每天创建一个新的日志文件，文件名格式:
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；
日志文件存储到“C:\WWWLogFile”目录中；
配置IIS配套FTP服务：
匿名用户上传的文件都将映射为ftp2用户
ftp在登录前显示Banner消息：
“Hello, unauthorized login is prohibited!”
动态地址分配服务
安装和配置dhcp服务，为办公区域网络提供地址上网。
地址池范围：192.168.0.100-192.168.0.200。
DFS
在ppSrv上安装及配置 DFS 服务。
目录设置在F：\DFSsharedir。
配置DFS复制，使用DC1作为次要服务器，复制方式配置为交错拓扑。
在F：\DFSsharedir文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
磁盘管理
安装及配置软 RAID5。
在安装好的AppSrv虚拟机中添加三块10 G虚拟磁盘。
组成RAID5，磁盘分区命名为卷标F盘：Raid5。
手动测试破坏一块磁盘，做RAID磁盘修复；确认RAID5配置完毕。
DNS
安装DNS服务器，根据题目创建必要的DNS解析。
把当前机器作为互联网根域服务器。
WSUS更新服务
安装WSUS更新服务，更新补丁目录设置为“c:\wsusbackup”。
创建更新组名称为“CHINASKILLS-WSUS”。
每天凌晨03:00下发自动更新。
更新服务器地址为“http://wsus.:8530”。
（四）服务器DCSERVER&SDCSERVER上的工作任务
活动目录域服务
在DCSERVER和SDCSERVER服务器上安装活动目录域服务，DCSERVER作为主域控，SDCSERVER作为备份域控，活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
it01-it20，请将该用户添加到IT用户组。
ma01-ma10，请将该用户添加到manager用户组。
许除manager 组和IT组，所有用户隐藏C盘。
除manager 组和IT组，所有普通给用户禁止使用cmd。
所有用户的IE浏览器首页设置为“https://www.”。
所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。”。
设置所有主机的登录Banner：
标题为“CHINASKILLS-DOMAIN”；
内容为“Hello, unauthorized login is prohibited!”。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
证书颁发机构
在DCSERVER服务器上安装证书办法机构。
定义名称：CSK2023-ROOTCA。
证书颁发机构有效期：3 years。
为域内的web站点颁发web证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。
磁盘管理
在DC2上安装及配置软 RAID5。
在安装好的DC2虚拟机中添加三块10G虚拟磁盘。
组成RAID5，磁盘分区命名为卷标H盘：Raid5。
手动测试破坏一块磁盘，做RAID磁盘修复，确认RAID5配置完毕。
（五）服务器IOMSrv上的工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://192.168.200.200；
通过Windows代理模板，添加DCServer、SDCSserver、AppSrv操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站http://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-CSK 的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
四、Linux初始化环境
（一）默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
（二）操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>System Version<<
>> TIME <<
*********************************
五、Linux项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV（UOS）
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv(Centos)
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
IOMSrv(Centos)
网络地址/掩码/网关：192.168.100.150/24/192.168.100.254
STORAGESRV(Centos)
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From IspSrv
六、Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
DNS
配置为DNS根域服务器；
其他未知域名解析,统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”；
WEB服务
安装nginx软件包；
配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
网站根目录为/mut/crypt（目录不存在需创建）；
启用FastCGI功能，让nginx能够解析php请求；
index.php内容使用Welcome to 2023 Computer Network Application contest!
（二）服务器RouterSrv上的工作任务
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
工作端口为2023；
只允许用户user01，密码ChinaSkill23登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
Web Proxy
安装Nginx组件；
配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
为www.配置代理前端，通过HTTPS的访问后端Web服务器；
后端服务器日志内容需要记录真实客户端的IP地址。
缓存后端Web服务器上的静态页面。
创建服务监控脚本：/shells/chkWeb.sh
编写脚本监控公司的网站运行情况；
脚本可以在后台持续运行；
每隔3S检查一次网站的运行状态，如果发现异常尝试3次；
如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101。
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
web服务
安装web服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统500M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: Chinaskill23!。
创建网站download.站点;
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
DBMS
在Server01上完成MariaDB数据库的安装，添加数据库root用户密码为ChinaSkill23!
安装MariaDB 数据库服务器组件;
MariaDB数据库管理员信息：User: root/ Password: Chinaskill23!；
安装MariaDB WEB 管理面板 “phpMyAdmin”，通过apache 进行发布
安装phpMyAdmin ，MariaDB 的web管理面板组件；
安装apache，配置php环境，用于发布phpMyAdmin；
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
使用https://mail.网站测试邮件发送与接收。
CA（证书颁发机构）
CA根证书路径/csk-rootca/csk-ca.pem；
签发数字证书，颁发者信息：(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01 、 user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口 3358；
添加用户user01 user02 到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号;
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等;
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
VSFTPD
禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
用户webadmin，登录ftp服务器，根目录为/webdata/；
登录后限制在自己的根目录;
允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
用于通过工具或者浏览器下载的最大速度不超过 100kb/s
一个IP地址同时登陆的用户进程/人数不超过2人。
（五）服务器IOMSrv工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.150；
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
网络系统管理赛项-模块B：服务部署
网络系统管理赛项-模块B：服务部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第9套
模块B：服务部署
目 录
一、 Windows初始化环境 1
（一）默认账号及默认密码 1
（二）操作系统配置 1
二、 Windows项目任务描述 1
（一）拓扑图 1
（二）网络地址规划 2
三、 Windows项目任务清单 2
（一）服务器IspSrv上的工作任务 2
1. 互联网访问检测服务器 2
2. ftp服务配置 2
（二）服务器RouterSrv1上的工作任务 2
1. 路由功能 2
2. 虚拟专用网络 2
3. 动态地址分配中继服务 3
（三）服务器AppSrv上的工作任务 3
1. RDS 3
2. 万维网服务 3
3. 文件共享 3
4. DFS 4
5. FTP 4
6.WebPrint 4
7.iSCSI 4
（四）服务器DC1&DC2上的工作任务 4
1. 活动目录域服务 4
2. 证书颁发机构 5
3. NPS（网络策略服务） 5
4. DNS（域名解析服务） 5
5. 磁盘管理 5
6. 组策略 5
（五）服务器IOMSrv上的工作任务 5
（六）客户端InsideCli上的工作任务 6
（七）客户端OutsideCli上的工作任务 6
四、 Linux初始化环境 6
1.默认账号及默认密码 6
2.操作系统配置 6
五、 Linux项目任务描述 7
（一）拓扑图 7
（二）网络地址规划 7
ISPSRV（UOS） 7
六、 Linux项目任务清单 8
（一）服务器IspSrv工作任务 8
DHCP 8
DNS 8
WEB服务 8
（二）服务器RouterSrv上的工作任务 9
DHCP RELAY 9
ROUTING 9
SSH 9
IPTABLES 9
CA 9
OpenVPN 9
（三）服务器AppSrv上的工作任务 10
SSH 10
DHCP 10
DNS 10
WEB服务 10
Mariadb Backup Script 11
MAIL 11
Chrony 11
（四）服务器StorageSrv上的工作任务 12
SSH 12
DISK 12
NFS 12
SAMBA 12
LDAP 12
ShellScript 12
（五）服务器IOMSrv工作任务 12
（六）客户端OutsideCli和InsideCli工作任务 13
OutsideCli 13
InsideCli 13
网络系统管理赛项-模块B：服务部署
Windows初始化环境
（一）默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
（二）操作系统配置
Region:China
Locale:English US (UTF-8)
Key Map: English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
Windows项目任务描述
你作为技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
主机名 所在域 网络地址 DNS 网关
DCServer 192.168.100.100/24 127.0.0.1 192.168.100.254
SDCServer 192.168.100.200/24 127.0.0.1 192.168.100.254
AppSrv 192.168.200.100/24 192.168.100.100 192.168.100.200 192.168.200.254
RouterSrv1 192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24 192.168.100.100 无
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24 (dhcp) 192.168.100.100 192.168.100.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
Windows项目任务清单
（一）服务器IspSrv上的工作任务
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
ftp服务配置
安装FTP服务，新建一个FTP站点，并建立用户 soft1、soft2，密码均为ftp123；
FTP站点主目录为D:\ftproot，通过启用隔离用户功能，使用用户名目录的方式实现用户soft1 与soft2和匿名方式登录FTP站点时，匿名方式只能浏览到“Public”子目录中的内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹；
ftp站点使用预共享密钥加密通信通道，否则将不能访问
设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟；
（二）服务器RouterSrv1上的工作任务
路由功能
开启路由转发，为当前实验环境提供路由功能。
虚拟专用网络
设置L2TP/IPSec，IKE通道采用证书进行验证。
L2TP通道使用域内用户进行身份验证，仅允许manager组内用户通过身份证验证。
对于 vpn 客户端，请使用范围 192.168.1.200-192.168.1.220/24。
动态地址分配中继服务
安装和配置Dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于AppSrv服务器上。
（三）服务器AppSrv上的工作任务
RDS
在RouterSrv安装和配置 RDS 服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
Notepad
万维网服务
在RouterSrv1上搭建网站服务器。
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
设置“http://www./”网站的最大连接数为1000，网站连接超时为60s；
使用W3C记录日志；每天创建一个新的日志文件，文件名格式:
日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号；
日志文件存储到“C:\WWWLogFile”目录中。
文件共享
创建用户主目录共享文件夹：
本地目录为d:\share\users\，允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到H卷。
禁止用户在该共享文件中创建“*.exe, *.bat, *.sh”文件。
创建manager组共享文件夹：
本地目录为d:\ share\managers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。
创建public-share公共共享文件夹：
本地目录为d:\ share\public-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限。
DFS
在AppSrv上安装及配置 DFS 服务。
目录设置在F：\DFSsharedir。
配置DFS复制，使用DC1作为次要服务器，复制方式配置为交错拓扑。
在F：\DFSsharedir 文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
FTP
安装FTP服务，新建一个FTP站点，并建立用户soft1、soft2，密码均为ftp123；
FTP站点主目录为D:\ftproot，通过适当技术实现用户soft1 与soft2通过匿名方式登录FTP站点时，只能浏览到“Public”子目录中的内容，若用个人账号登录FTP站点，则只能访问与用户名同名的自己的子文件夹；
设置FTP最大客户端连接数为100。设置无任何操作的超时时间为5分钟,设置数据连接的超时时间为1分钟；
6.WebPrint
添加一台虚拟打印机，名称为“SD-Print”，发布到AD域。
客户端们都能够通过访问“http://print./”查看打印机。
7.iSCSI
创建 100G 的 ISCSI 磁盘，存储到 R 盘目录下的 iSCSI 文件夹；
启用 Mutual CHAP 认证
Server03 为 iSCSI 客户端，连接成功后，格式化挂载到 F 盘。
（四）服务器DC1&DC2上的工作任务
活动目录域服务
在DC1和DC2服务器上安装活动目录域服务，并且提升该操作系统为域控制器。
活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
ma01-ma10，请将该用户添加到manager用户组。
不允许除manager 组以外的所有用户隐藏C盘。
不允许除manager 组以外的所有普通给用户禁止使用cmd。
所有的服务器不需要按ctrl+alt+del；
关闭所有的机器的睡眠功能。
所有用户组织禁止修改Internet Explorer的代理服务器设置。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
证书颁发机构
在DC1服务器上安装证书办法机构。
定义名称：csk2022-rootca。
证书颁发机构有效期：3 years。
为域内的web站点颁发web证书。
当前拓扑内所有机器必须信任该证书颁发机构。
所域内所有计算机自动颁发一张计算机证书。
NPS（网络策略服务）
在DC1上安装网络策略服务作为VPN用户登录验证。
仅允许L2TP/IPSEC VPN进行VPN连接访问验证。
认证、授权日志将存储到DC1上的“C:\NPS\”目录下。
DNS（域名解析服务）
拓扑中所有主机的DNS查询请求都应由IspSrv进行解析。
磁盘管理
在DC2上安装及配置软 RAID5。
在安装好的DC2虚拟机中添加三块10G虚拟磁盘。
组成RAID5，磁盘分区命名为卷标H盘：Raid5。
手动测试破坏一块磁盘，做RAID磁盘修复，确认RAID5配置完毕。
组策略
禁止调用任务管理器
无须按 Ctrl+Alt+Del
拒绝用户对任何可移动存储类的权限
不允许登录和使用Microsoft账户
记录用户最后登录的信息以及登录失败的情况
（五）服务器IOMSrv上的工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://192.168.200.200；
通过Windows代理模板，添加DC1Server、DC2Server操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站https://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-VPN 的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
Linux初始化环境
1.默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
2.操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>OS Version<<
>> TIME <<
*********************************
Linux项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV（UOS）
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv(Centos)
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
STORAGESRV(Centos)
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From IspSrv
Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
DNS
安装BIND9；
配置为DNS根域服务器；
其他未知域名解析,统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”；
WEB服务
安装nginx软件包；
配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
网站根目录为/mut/crypt（目录不存在需创建）；
启用FastCGI功能，让nginx能够解析php请求；
index.php内容使用Welcome to 2023 Computer Network Application contest!
（二）服务器RouterSrv上的工作任务
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
SSH
工作端口为2021；
只允许用户user01，密码ChinaSkill23登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
CA
CA根证书路径/CA/cacert.pem；
签发数字证书，颁发者信息：
国家 = CN
单位 = Inc
组织机构 = www.
公用名 = Skill Global Root CA
创建用户组ldsgp ,将zsuser、lsusr、wuusr添加到组内。
OpenVPN
VPN 客户端只能与 InsideCli 客户端网段通信，允许访问 StorageSrv 主机上的
SAMBA 服务，允许访问 AppSrv 上的 dns 服务；
VPN 客户端可使用的地址范围是 ：172.16.0.100-172.16.0.120/24；
在 OutsideCli 上创建连接服务“openvpn@csk.services”。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101。
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
WEB服务
安装WEB服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统500M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: ChinaSkill23!。
创建网站download.站点;
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
Mariadb Backup Script
脚本文件：/shells/mysqlbk.sh；
备份数据到/root/mysqlbackup 目录；
备份脚本每隔30分钟实现自动备份；
导出的文件名为 all-databases-20230213102333, 其中 20230213102333 为运行备份脚本的当前时间， 精确到秒。
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
使用https://mail.网站测试邮件发送与接收。
Chrony
配置为全网提供时间同步服务器
为除本机外的所有主机提供时间同步服务
使用ntpdate命令每隔5分钟同步一次时间。
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01 、 user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口 3358；
添加用户user01 user02 到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
LDAP
安装slapd,为samba服务提供账户认证；
创建目录服务，并创建用户组ldsgp ,将zsuser、lsusr、wuusr。
ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号;
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等;
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（五）服务器IOMSrv工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.150；
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Apache模板，添加Apache监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
网络系统管理赛项-模块B：服务部署
网络系统管理赛项-模块B：服务部署2023年全国职业院校技能大赛
GZ073网络系统管理赛项
赛题第7套
模块B：服务部署
目 录
一、 Windows初始化环境 1
1.默认账号及默认密码 1
二、 Windows项目任务描述 1
1.拓扑图 1
2.网络地址规划 1
三、 Windows项目任务清单 2
（一）服务器IspSrv上的工作任务 2
1. 互联网访问检测服务器 2
（二）服务器RouterSrv1上的工作任务 2
1. 路由功能 2
2. DNS 3
3. 虚拟专用网络 3
4. 动态地址分配中继服务 3
5. RDS 3
（三）服务器AppSrv上的工作任务 3
1. 万维网服务 3
2. WSUS更新服务 4
3. DFS 4
4. DNS 4
5. DHCP 4
（四）服务器DCSERVER&SDCSERVER上的工作任务 4
1. 活动目录域服务 4
2. DFS membe端配置工作任务 5
3. NPS（网络策略服务） 5
4. 文件共享 5
5. RDS 6
（五）服务器IOMSrv上的工作任务 6
（六）客户端InsideCli上的工作任务 6
（七）客户端OutsideCli上的工作任务 6
四、 Linux初始化环境 7
（一）默认账号及默认密码 7
（二）操作系统配置 7
五、 Linux项目任务描述 7
（一）拓扑图 8
（二）网络地址规划 8
六、 Linux项目任务清单 9
（一）服务器IspSrv工作任务 9
1. DHCP 9
2. DNS 9
3. WEB服务 9
（二）服务器RouterSrv上的工作任务 10
1. SSH 10
2. DHCP RELAY 10
3. Squid 10
4. IPTABLES 10
5. Web Proxy 10
6. OpenVPN 11
（三）服务器AppSrv上的工作任务 11
1. SSH 11
2. DHCP 11
3. DNS 11
4. web服务 11
5. RAID5 12
6. MAIL 12
7. CA（证书颁发机构） 12
8. Chrony 13
（四）服务器StorageSrv上的工作任务 13
1. SSH 13
2. DISK 13
3. NFS 13
4. LDAP 13
5. VSFTPD 13
6. SAMBA 14
7. ShellScript 14
（五）服务器IOMSrv工作任务 14
（六）客户端OutsideCli和InsideCli工作任务 14
1. OutsideCli 14
2. InsideCli 15
网络系统管理赛项-模块B：服务部署
Windows初始化环境
默认账号及默认密码
Username: Administrator
Password: ChinaSkill23!
Username: demo
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为ChinaSkill23!
Windows项目任务描述
你作为一名技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Windows操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
1.拓扑图
2.网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
主机名 所在域 网络地址 DNS 网关
DC1 192.168.100.100/24 127.0.0.1 192.168.100.254
DC2 192.168.100.200/24 127.0.0.1 192.168.100.254
AppSrv 192.168.200.100/24 192.168.100.100 192.168.100.200 192.168.200.254
RouterSrv1 192.168.100.254/24 192.168.0.254/24 192.168.200.254/24 100.100.100.251/24 192.168.100.100 无
IspSrv 保持工作组状态 100.100.100.100/24 127.0.0.1 无
InsideCli 192.168.0.0/24(dhcp) 192.168.100.100 192.168.100.200 192.168.0.254
OutsideCli 保持工作组状态 100.100.100.10/24 100.100.100.100 100.100.100.254
Windows项目任务清单
（一）服务器IspSrv上的工作任务
互联网访问检测服务器
为了模拟Internet访问测试，请搭建网卡互联网检测服务。
iSCSI （b6-s2）
创建300G的ISCSI磁盘，存储到F盘目录下的iSCSI文件夹。
启用Mutual CHAP认证。
DC1SERVER为iSCSI客户端，连接成功后，格式化挂载到F盘。
DNS（域名解析服务）
安装 DNS 服务；
IspSrv作为DNS的的根域
创建 test1.com~，并在所有正向区域中创建一条 A 记录，解析到本机地址。
所有无法解析的域名均解析为本机地址
（二）服务器RouterSrv1上的工作任务
路由功能
开启路由转发，为当前实验环境提供路由功能。
DNS
安装及配置 DNS 服务；
创建正向区域，添加必要的域名解析记录；
配置TXT记录，配置主时间控制服务记录；配置域名反向PTR；
为当前域网络创建反向查找区域；
RouterSrv主DNS服务器。
无法解析的域名统一交由IspSrv进行解析
虚拟专用网络
设置L2TP/IPSec，IKE通道采用证书进行验证。
L2TP通道使用域内用户进行身份验证，仅允许manager组内用户通过身份证验证。
对于 vpn 客户端，请使用范围 192.168.1.200-192.168.1.220/24。
动态地址分配中继服务
安装和配置dhcp relay服务，为办公区域网络提供地址上网。
DHCP服务器位于DC1和DC2服务器上。
RDS
在 RouterSrv 和 AppSrv 上搭建 RDS 服务；
RDWeb 服务器设定为 RouterSrv；
资源服务器设定为 AppSrv；
用户登录成功后可以通过 RDS 运行以下应用：Notepad、Wordpad；
内部用户通过“https://app./rdweb/”进行访问，页面无证书警告；
在 InsideCli 客户端登录的用户可以直接在开始菜单中找到 RemoteApp 程序。
（三）服务器AppSrv上的工作任务
万维网服务
在RouterSrv2上搭建网站服务器。
将访问http://www.的http的请求重定向到https://www.站点。
网站内容设置为“该页面为www.测试页！”。
将当前web根目录的设置为d:\wwwroot目录。
启用windows身份验证，只有通过身份验证的用户才能访问到该站点，manager用户组成员使用IE浏览器打开不提示认证，直接访问。
WSUS更新服务
安装WSUS更新服务，更新补丁目录设置为“c:\wsusbackup”。
创建更新组名称为“CHINASKILLS-WSUS”。
每天凌晨03:00下发自动更新。
更新服务器地址为“http://wsus.:8530”。
DFS
在AppSrv上安装及配置 DFS 服务。
目录设置在F：\DFSsharedir。
配置DFS复制，使用DC1作为次要服务器，复制方式配置为交错拓扑。
在F：\DFSsharedir 文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
DNS
安装DNS并配置为辅助DNS服务器；
RouterSrv为主要DNS服务器，动态复制；
定期复制主DNS服务器的记录；
RouterSrv离线后，自动切换为主要DNS服务器。
DHCP
配置故障转移
设置为“热备用服务器”模式；
伙伴服务器“SDCserver”为“待机”状态；
为备用服务器保留10%的地址；
状态切换间隔为60分钟；
启用身份验证，密码为“P@ssw0rd”。
（四）服务器DCSERVER&SDCSERVER上的工作任务
活动目录域服务
在DC1和DC2服务器上安装活动目录域服务，并且提升该操作系统为域控制器。
设置 PDC 主机为 DC2。
活动目录域名为：。
域用户能够使用[username]@进行登录。
创建一个名为“CSK”的OU，并新建以下域用户和组：
sa01-sa20，请将该用户添加到sales用户组。
ma01-ma10，请将该用户添加到manager用户组。
除manager组，移除关机和重启按钮；
除manager组，移除桌面垃圾桶按钮；
禁止客户端电脑显示用户首次登录动画。
所有用户的IE浏览器首页设置为“https://www.”。
所有用户都应该收到登录提示信息：标题“登录安全提示：”，内容“禁止非法用户登录使用本计算机。”。
域内的所有计算机（除dc外），当dc服务器不可用时，禁止使用缓存登录。
DFS membe端配置工作任务
在DC1和DC2上安装及配置 DFS 服务。
目录设置在H：\DFSsharedir。
配置交错拓扑。
在H：\DFSsharedir 文件夹内新建所有部门的文件夹。
所有部门的用户之可以访问部门内的文件，不可以跨部门访问别的部门文件夹内容。
Management用户组用户可以访问全局的文件夹。
NPS（网络策略服务）
在DC1上安装网络策略服务作为VPN用户登录验证。
仅允许L2TP/IPSEC VPN进行VPN连接访问验证。
认证、授权日志将存储到DC1上的“C:\NPS\”目录下。
文件共享
创建用户主目录共享文件夹：
本地目录为d:\share\users\，允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹，该文件夹将设置为所有域用户的home目录，用户登录计算机成功后，自动映射挂载到H卷。
禁止用户在该共享文件中创建“*.exe, *.bat”文件。
创建manager组共享文件夹：
本地目录为d:\ share\managers，仅允许manager用户组成员拥有写入权限，该共享文件对其他组成员不可见。
创建public-share公共共享文件夹：
本地目录为d:\ share\public-share，仅允许manager用户组成员拥有写入权限，其他认证用户只读权限。
RDS
在RouterSrv1安装和配置 RDS 服务，用户通过“https://app./rdweb”进行访问。
该页面无证书警告。
用户可以获取以下应用：
Notepad
（五）服务器IOMSrv上的工作任务
通过Windows代理模板，添加DC1Server、DC2Sserver、AppSrv操作系统监控对象，查看运行状态。
通过中间件IIS模板，添加IIS监控对象，查看运行状态。
通过新增WEB探测对象，监控门户网站http://www.，查看运行状态。
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端InsideCli上的工作任务
按照要求将该主机加入到对应区域的域。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
（七）客户端OutsideCli上的工作任务
该主机不允许加入域。
添加一个名为Connect-VPN 的VPN拨号器，用于连接到域网络，不记录用户名称密码信息。
设置电源配置，以便客户端在通电的情况下，永不进入睡眠。
该客户端用于测试用户登录，Profiles，文件共享，安全策略和RDS等功能。
Linux初始化环境
（一）默认账号及默认密码
Username: root
Password: ChinaSkill23!
Username: skills
Password: ChinaSkill23!
注：若非特别指定，所有账号的密码均为 ChinaSkill23!
（二）操作系统配置
所处区域：CST + 8
系统环境语言：English US (UTF-8)
键盘：English US
注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。
控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示
*********************************
ChinaSkills 2023–CSK
Module C Linux
>>hostname<<
>>System Version<<
>> TIME <<
*********************************
Linux项目任务描述
你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：
（一）拓扑图
（二）网络地址规划
服务器和客户端基本配置如下表，各虚拟机已预装系统。
ISPSRV（UOS）
完全限定域名：ispsrv
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：81.6.63.100/24/无
AppSrv(Centos)
完全限定域名：appsrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.100/24/192.168.100.254
IOMSrv(Centos)
网络地址/掩码/网关：192.168.100.150/24/192.168.100.254
STORAGESRV(Centos)
完全限定域名：storagesrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：192.168.100.200/24/192.168.100.254
ROUTERSRV(Centos)
完全限定域名：routersrv.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关： 192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无
INSIDECLI(Centos)
完全限定域名：insidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From AppSrv
OUTSIDECLI（UOS）
完全限定域名：outsidecli.
普通用户/登录密码：skills/ChinaSkill23
超级管理员/登录密码：root/ChinaSkill23
网络地址/掩码/网关：DHCP From IspSrv
Linux项目任务清单
（一）服务器IspSrv工作任务
DHCP
为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
DNS
安装BIND9；
配置为DNS根域服务器；
其他未知域名解析,统一解析为该本机IP；
创建正向区域“”；
类型为Slave；
主服务器为“AppSrv”；
WEB服务
安装nginx软件包；
配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；
网站根目录为/mut/crypt（目录不存在需创建）；
启用FastCGI功能，让nginx能够解析php请求；
index.php内容使用Welcome to 2023 Computer Network Application contest!
（二）服务器RouterSrv上的工作任务
SSH
工作端口为2021；
只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。
通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。
记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。
DHCP RELAY
安装DHCP中继；
允许客户端通过中继服务获取网络地址；
Squid
安装squid服务，开启路由转发，为当前实验环境提供路由功能；
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
Web Proxy
安装Nginx组件；
配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；
为www.配置代理前端，通过HTTPS的访问后端Web服务器；
后端服务器日志内容需要记录真实客户端的IP地址。
缓存后端Web服务器上的静态页面。
创建服务监控脚本：/shells/chkWeb.sh
编写脚本监控公司的网站运行情况；
脚本可以在后台持续运行；
每隔5S检查一次网站的运行状态，如果发现异常尝试3次；
如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。
OpenVPN
VPN 客户端只能与 InsideCli 客户端网段通信，允许访问 StorageSrv 主机上的
SAMBA 服务，允许访问 AppSrv 上的 dns 服务；
VPN 客户端可使用的地址范围是 ：172.16.0.100-172.16.0.120/24；
在 OutsideCli 上创建连接服务“openvpn@csk.services”。
（三）服务器AppSrv上的工作任务
SSH
安装SSH，工作端口监听在2101。
仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。
在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。
DHCP
为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；
域名解析服务器：按照实际需求配置DNS服务器地址选项；
网关：按照实际需求配置网关地址选项；
为InsideCli分配固定地址为192.168.0.190/24。
DNS
为域提供域名解析。
为www.、download.和mail.提供解析。
启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。
请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。
web服务
安装web服务；
服务以用户webuser系统用户运行；
限制web服务只能使用系统800M物理内存；
全站点启用TLS访问，使用本机上的“CSK Global Root CA”颁发机构颁发，网站证书信息如下：
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.
客户端访问https时应无浏览器（含终端）安全警告信息；
当用户使用http访问时自动跳转到https安全连接；
搭建www.站点；
网页文件放在StorgeSrv服务器上；
在StorageSrv上安装MariaDB，在本机上安装PHP，发布WordPress网站；
MariaDB数据库管理员信息：User: root/ Password: Chinaskill23!。
创建网站download.站点;
仅允许ldsgp用户组访问；
网页文件存放在StorageSrv服务器上；
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。
作安全加固，在任何页面不会出现系统和WEB服务器版本信息。
RAID5
在虚拟机上添加 4 个 1G 的硬盘；
创建 raid5，其中一个作为热备盘, 设备名为 md0;
将 md0 设置为 LVM，设备为/dev/vg01/lv01；
格式化为 ext4 文件系统;
开机自动挂载到/data 目录。
MAIL
安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。
使用mailuser1@的邮箱向mailuser2@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser1”, 邮件内容为“hello , mailuser2”。
使用mailuser2@的邮箱向mailuser1@的邮箱发送一封测试邮件，邮件标题为“just test mail from mailuser2”, 邮件内容为“hello , mailuser1”。
添加广播邮箱地址all@，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。
使用https://mail.网站测试邮件发送与接收。
CA（证书颁发机构）
CA根证书路径/csk-rootca/csk-ca.pem；
签发数字证书，颁发者信息：(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
Chrony
配置为全网提供时间同步服务器
为除本机外的所有主机提供时间同步服务
使用ntpdate命令每隔5分钟同步一次时间。
（四）服务器StorageSrv上的工作任务
SSH
安装openssh组件；
创建的user01 、 user02用户允许访问ssh服务；
服务器本地root用户不允许访问；
修改SSH服务默认端口，启用新端口3358；
添加用户user01 user02 到sudo组；用于远程接入，提权操作。
DISK
添加大小均为10G的虚拟磁盘，配置raid-5磁盘。
创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。
NFS
共享/webdata/目录；
用于存储AppSrv主机的WEB数据；
仅允许AppSrv主机访问该共享。
LDAP
安装slapd,为samba服务提供账户认证；
创建目录服务，并创建用户组ldsgp ,将zsuser、lsusr、wuusr。
VSFTPD
禁止使用不安全的FTP，请使用“CSK Global Root CA”证书颁发机构，颁发的证书，启用FTPS服务；
用户webadmin，登录ftp服务器，根目录为/webdata/；
登录后限制在自己的根目录;
允许WEB管理员上传和下载文件，但是禁止上传后缀名为.doc .docx .xlsx的文件。
限制用户的下载最大速度为100kb/s；最大同一IP在线人数为2人；
用于通过工具或者浏览器下载的最大速度不超过 100kb/s
一个IP地址同时登陆的用户进程/人数不超过2人。
SAMBA
创建samba共享，本地目录为/data/share1，要求：
共享名为share1。
仅允许zsuser用户能上传文件。
创建samba共享，本地目录为/data/public，要求：
共享名为public。
允许匿名访问。
所有用户都能上传文件。
ShellScript
编写添加用户的脚本,存储在/shells/userAdd.sh目录；
当有新员工入职时，管理员运行脚本为其创建公司账号;
自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等;
以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。
（五）服务器IOMSrv工作任务
图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.150；
通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；
通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；
通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；
通过新增WEB探测对象，监控门户网站www.，查看运行状态；
基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。
（六）客户端OutsideCli和InsideCli工作任务
OutsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
InsideCli
作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具;
作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具;
作为SSH远程登录测试客户端，安装ssh命令行测试工具;
作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具;
作为FTP测试的客户端，安装lftp命令行工具；
作为防火墙规则效果测试客户端，安装ping命令行工具。
截图的时候请使用上述提到的工具进行功能测试。
网络系统管理赛项-模块B：服务部署
网络系统管理赛项-模块B：服务部署

展开更多......

收起↑