2022年甘肅省職業(yè)院校技能大賽“網(wǎng)絡(luò)搭建與應(yīng)用”賽項(xiàng)（中職組）試題A卷

2022年甘肅省職業(yè)院校技能大賽“網(wǎng)絡(luò)搭建與應(yīng)用”賽項(xiàng)競(jìng)賽試題2/222022年甘肅省職業(yè)院校技能大賽“網(wǎng)絡(luò)搭建與應(yīng)用”賽項(xiàng)競(jìng)賽試題A卷競(jìng)賽說(shuō)明競(jìng)賽內(nèi)容發(fā)布“網(wǎng)絡(luò)搭建與應(yīng)用”賽項(xiàng)競(jìng)賽共分三個(gè)部分，其中：第一部分：網(wǎng)絡(luò)搭建及安全部署項(xiàng)目（500分）第二部分：服務(wù)器配置及應(yīng)用項(xiàng)目（480分）第三部分：職業(yè)規(guī)范與素養(yǎng)（20分）競(jìng)賽注意事項(xiàng)禁止攜帶和使用移動(dòng)存儲(chǔ)設(shè)備、計(jì)算器、通信工具及參考資料。請(qǐng)根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件清單、材料清單是否齊全，計(jì)算機(jī)設(shè)備是否能正常使用。請(qǐng)選手仔細(xì)閱讀比賽試卷，按照試卷要求完成各項(xiàng)操作。操作過(guò)程中，需要及時(shí)保存設(shè)備配置。比賽結(jié)束后，所有設(shè)備保持運(yùn)行狀態(tài)，評(píng)判以最后的硬件連接和配置為最終結(jié)果。比賽完成后，比賽設(shè)備、軟件和賽題請(qǐng)保留在座位上，禁止將比賽所用的所有物品（包括試卷和草紙）帶離賽場(chǎng)。禁止在紙質(zhì)資料、比賽設(shè)備、上填寫(xiě)任何與競(jìng)賽無(wú)關(guān)的標(biāo)記，如違反規(guī)定，可視為0分。與比賽相關(guān)的工具軟件放置在每臺(tái)主機(jī)的D:\soft文件夾中。項(xiàng)目簡(jiǎn)介：2021年疫情過(guò)后，公司計(jì)劃繼續(xù)開(kāi)展之前定下的戰(zhàn)略規(guī)劃。在黨及集團(tuán)高層領(lǐng)導(dǎo)下，下半年公司規(guī)?；謴?fù)快速發(fā)展，業(yè)務(wù)數(shù)據(jù)量和公司訪問(wèn)量增長(zhǎng)巨大。為了更好管理數(shù)據(jù)，提供服務(wù)，集團(tuán)決定把公司大部分對(duì)外業(yè)務(wù)放在運(yùn)營(yíng)商托管機(jī)房。集團(tuán)、分公司及運(yùn)營(yíng)商托管機(jī)房的網(wǎng)絡(luò)結(jié)構(gòu)詳見(jiàn)網(wǎng)絡(luò)拓?fù)鋱D。其中一臺(tái)CS6200交換機(jī)編號(hào)為SW-3，用于實(shí)現(xiàn)分公司業(yè)務(wù)終端高速接入；兩臺(tái)CS6200交換機(jī)作為集團(tuán)的核心交換機(jī)；兩臺(tái)DCFW-1800分別作為集團(tuán)、運(yùn)營(yíng)商托管機(jī)房的防火墻；一臺(tái)DCR-2855路由器編號(hào)為RT-1，作為集團(tuán)的核心路由器；另一臺(tái)DCR-2855路由器編號(hào)為RT-2，作為分公司路由器；一臺(tái)DCWS-6028作為全集團(tuán)內(nèi)無(wú)線AP統(tǒng)一集中控制器，編號(hào)為AC，通過(guò)與WL8200-I2高性能企業(yè)級(jí)AP配合實(shí)現(xiàn)分公司無(wú)線覆蓋。請(qǐng)注意：在此典型互聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)架構(gòu)中，作為IT網(wǎng)絡(luò)系統(tǒng)管理及運(yùn)維人員，請(qǐng)根據(jù)拓?fù)錁?gòu)建完整的系統(tǒng)環(huán)境，使整體網(wǎng)絡(luò)架構(gòu)具有良好的穩(wěn)定性、安全性、可擴(kuò)展性。請(qǐng)完成所有服務(wù)配置后，從客戶(hù)端進(jìn)行測(cè)試，確保能正常訪問(wèn)到相應(yīng)應(yīng)用。網(wǎng)絡(luò)拓?fù)鋱D：表1：網(wǎng)絡(luò)設(shè)備鏈接表A設(shè)備連接至B設(shè)備設(shè)備名稱(chēng)接口設(shè)備名稱(chēng)接口SW-11/0/27SW-21/0/28SW-11/0/28SW-21/0/27SW-11/0/24AC1/0/1SW-21/0/24AC1/0/2SW-11/0/1FW-1E0/3SW-21/0/1FW-1E0/4FW-1E0/1SW-2模擬Internet交換機(jī)1/0/15FW-1E0/2RT-1G0/0FW-2E0/1SW-2模擬Internet交換機(jī)E1/0/16FW-2E0/4云服務(wù)平臺(tái)管理口FW-2E0/5云服務(wù)平臺(tái)業(yè)務(wù)口RT-1S1/0RT-2S1/1RT-1S1/1RT-2S1/0RT-1G0/1SW-2模擬Internet交換機(jī)E1/0/17RT-2G0/0SW-2模擬Internet交換機(jī)E1/0/18RT-2G0/1SW-3E1/0/24RT-2G0/2APETHSW-1E1/0/5PC-1NICSW-3E1/0/10PC-2NIC表2：網(wǎng)絡(luò)設(shè)備IP地址分配表設(shè)備設(shè)備名稱(chēng)設(shè)備接口IP地址三層交換機(jī)SW-CoreLoopback/32Vlan10SVIVlan20SVIVlan30SVIVlan40SVIVlan1000SVI/30Vlan1001SVI/30SW-2模擬Internet交換機(jī)Vlan4091SVI6/29Vlan4092SVI29/30Vlan4093SVI/30Vlan4094SVI5/29SW-3Vlan1000SVI/30Vlan10SVI/24Vlan20SVI/24路由器RT-1Loopback/32Tunnle/30G0/00/30G0/1/30S1/0-/30RT-2Loopback/32Tunnle/30G0/06/29G0/1/30G0/2/30Vlan11:/24Vlan21:/24S1/0-/30防火墻FW-1Loopback/32E0/1(Untrust)5/29E0/2(Trust)/30E0/3(Trust)/30E0/4(Trust)FW-2Tunnle2/24E0/1(Untrust)30/30E0/4(Trust)/24E0/5(Trust)Vlan60:54/24Vlan70:54/24無(wú)線控制器ACLoopback/32Vlan1001SVI/30無(wú)線APAPETH0/30比賽計(jì)算機(jī)PC-1NIC30/26PC-2NIC30/24表3：云服務(wù)平臺(tái)網(wǎng)絡(luò)信息表網(wǎng)絡(luò)名稱(chēng)Vlan子網(wǎng)名稱(chēng)子網(wǎng)地址網(wǎng)關(guān)地址范圍Network6060Subnet60/24540-9Network7070Subnet70/24540-9Network8080Subnet80/24none0-9Network9090Subnet90/24none0-9表4：實(shí)例規(guī)格信息表實(shí)例名稱(chēng)鏡像模板名稱(chēng)IDVCPU數(shù)內(nèi)存(MB)硬盤(pán)(GB)Windows-1至Windows-7Windows2019Large14409640Linux-1至Liunx-7CentOS8-cliSmall21204840表5：服務(wù)器IP地址分配表虛擬機(jī)名稱(chēng)域名信息服務(wù)角色I(xiàn)Pv4信息W域服務(wù)DNS服務(wù)CA服務(wù)1W域服務(wù)DNS服務(wù)DFS服務(wù)docker服務(wù)2WDFS服務(wù)NLB服務(wù)WEB服務(wù)31WDFS服務(wù)NLB服務(wù)WEB服務(wù)42WiSCSI服務(wù)53W故障轉(zhuǎn)移群集641W故障轉(zhuǎn)移群集752LDNS服務(wù)CA服務(wù)chrony服務(wù)1LDNS服務(wù)mail服務(wù)docker服務(wù)2Lapache2服務(wù)Mariadb服務(wù)PHP服務(wù)rsyslog服務(wù)3LMariadb客戶(hù)端rsyslog客戶(hù)端4LiSCSI服務(wù)56Lkeepalive集群67Lkeepalive集群78表6：卷信息表卷名稱(chēng)配額分配實(shí)例d1至d45GWindows-5d5至d85GLiunx-5網(wǎng)絡(luò)搭建及安全部署項(xiàng)目（500分）【說(shuō)明】賽題所需的其它軟件均存放在每臺(tái)主機(jī)的D:\soft文件夾中；無(wú)論通過(guò)SSH、telnet、Console登錄防火墻進(jìn)行showconfiguration配置收集，需要先調(diào)整CRT軟件字符編號(hào)為：UTF-8，否則收集的命令行中文信息會(huì)顯示亂碼。CRT軟件調(diào)整字符編號(hào)配置如圖：線纜制作(50分)根據(jù)網(wǎng)絡(luò)拓?fù)湟螅厝∵m當(dāng)長(zhǎng)度和數(shù)量的雙絞線，端接水晶頭，制作網(wǎng)絡(luò)線纜，根據(jù)題目要求，插入相應(yīng)設(shè)備的相關(guān)端口。交換配置與調(diào)試(90分)公司計(jì)劃使用VLSM技術(shù)為公司總部各部門(mén)劃分相應(yīng)IP地址段；現(xiàn)公司研發(fā)部97人、營(yíng)銷(xiāo)部56人、行政部16人、財(cái)務(wù)部10人；請(qǐng)使用/24網(wǎng)段根據(jù)研發(fā)、營(yíng)銷(xiāo)、行政、財(cái)務(wù)每部門(mén)人數(shù)依次進(jìn)行子網(wǎng)劃分，使IP地址浪費(fèi)最少，使用每個(gè)子網(wǎng)最后一個(gè)可用地址作為本子網(wǎng)的網(wǎng)關(guān)。集團(tuán)兩臺(tái)核心交換機(jī)通過(guò)VSF物理端口連接起來(lái)形成一臺(tái)虛擬的邏輯設(shè)備SW-Core。用戶(hù)對(duì)這臺(tái)虛擬設(shè)備進(jìn)行管理，從而來(lái)實(shí)現(xiàn)對(duì)虛擬設(shè)備中所有物理設(shè)備的管理。兩臺(tái)設(shè)備VSF邏輯域?yàn)?；其中SW-1的成員編號(hào)為1，SW-2的成員編號(hào)為2；正常情況下SW-1負(fù)責(zé)管理整個(gè)VSF。為確保兩臺(tái)核心交換機(jī)VSF鏈路冗余，在兩臺(tái)設(shè)備之間建立兩個(gè)vsfport-group，其編號(hào)分別為1、2，每個(gè)vsfport-group各綁定一個(gè)萬(wàn)兆光端口。對(duì)邏輯設(shè)備SW-Core啟用VSF自動(dòng)合并功能。在集團(tuán)核心交換機(jī)SW-1和SW-2之間采用LACPMAD分裂檢測(cè)功能，通過(guò)集團(tuán)核心交換機(jī)與集團(tuán)接入交換機(jī)互聯(lián)接口設(shè)置LACPMAD功能相關(guān)配置來(lái)實(shí)現(xiàn)監(jiān)控兩臺(tái)核心設(shè)備的VSF狀態(tài)并同時(shí)每隔3s進(jìn)行快速檢測(cè)。為了減少?gòu)V播，需要根據(jù)題目要求規(guī)劃并配置Vlan。具體要求如下：配置合理，在下表中交換機(jī)互聯(lián)鏈路上不允許不必要Vlan的數(shù)據(jù)流通過(guò)，包括不允許Vlan1；根據(jù)下述表格中心系，在相應(yīng)交換機(jī)上完成Vlan配置和端口分配；設(shè)備Vlan編號(hào)Vlan名稱(chēng)端口說(shuō)明SW-CoreVlan10YF1/0/4-8研發(fā)部Vlan20YX1/0/9-13營(yíng)銷(xiāo)部Vlan30XZ2/0/4-8行政部Vlan40CW2/0/9-13財(cái)務(wù)部Vlan1000E1/0/1、E2/0/1連接FW-1Vlan1001E1/0/24、E2/0/24鏈接ACACVlan11Vlan21Vlan1001E1/0/1、E1/0/2鏈接SW-CoreSW-3Vlan10FB-YXE1/0/4-8營(yíng)銷(xiāo)部Vlan10FB-YFE1/0/9-13研發(fā)部Vlan1000E1/0/24連接RT-2SW-Core分別通過(guò)E1/0/1、E2/0/1與集團(tuán)防火墻的E0/3、E0/4接口互相連接。把歸屬于同一設(shè)備的接口捆綁成一個(gè)邏輯接口，編號(hào)為6，SW-Core為主動(dòng)端，F(xiàn)W-1為被動(dòng)端。已知SNTPServer為01，該服務(wù)器時(shí)間是國(guó)際標(biāo)準(zhǔn)時(shí)間，請(qǐng)?jiān)谒薪粨Q機(jī)上配置該功能，保證交換機(jī)的時(shí)鐘和北京時(shí)間一致；為方便用戶(hù)日志查詢(xún)管理，現(xiàn)需要把所有交換機(jī)的時(shí)間在每年4月第一個(gè)星期日23:00到這一年的10月最后一個(gè)星期日00:00，實(shí)行夏令時(shí)，時(shí)鐘偏移量為2小時(shí)，命名為T(mén)ime。防止終端產(chǎn)生MAC地址泛洪攻擊，在集團(tuán)核心交換機(jī)SW-Core的所有業(yè)務(wù)端口設(shè)置開(kāi)啟端口安全功能，配置端口允許的最大安全MAC數(shù)量為20，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過(guò)，關(guān)閉端口。SW-2既作為集團(tuán)核心交換機(jī)，同時(shí)又使用相關(guān)技術(shù)將SW-2模擬為Internet交換機(jī)，實(shí)現(xiàn)集團(tuán)與分公司之間Internet路由表與集團(tuán)內(nèi)部業(yè)務(wù)路由表隔離，Internet路由表位于VPN實(shí)例名稱(chēng)Internet內(nèi)。路由配置與調(diào)試(100分)盡可能加大集團(tuán)路由器與分公司路由器之間虛擬專(zhuān)線鏈路帶寬，配置MutlilinkPPP捆綁，編號(hào)為10。路由器之間采用Chap認(rèn)證，集團(tuán)路由器帳號(hào)名為JTrouter，密碼為2022dcn。分公司路由器帳號(hào)名為FBrouter，密碼為2022dcn。規(guī)劃集團(tuán)內(nèi)，集團(tuán)核心交換機(jī)、集團(tuán)路由器、集團(tuán)出口防火墻、集團(tuán)無(wú)線集中控制器之間使用OSPF協(xié)議組網(wǎng)來(lái)實(shí)現(xiàn)集團(tuán)業(yè)務(wù)互聯(lián)互通，OSPF進(jìn)程號(hào)為：10，具體要求如下：集團(tuán)核心交換機(jī)與集團(tuán)出口防火墻之間屬于骨干區(qū)域、集團(tuán)核心交換機(jī)與集團(tuán)無(wú)線集中控制器之間屬于普通區(qū)域，區(qū)域號(hào)為10，集團(tuán)核心交換機(jī)與集團(tuán)路由器之間屬于普通區(qū)域，區(qū)域號(hào)為20，采用各自設(shè)備Loopback地址作為Router-id。集團(tuán)核心交換機(jī)、集團(tuán)出口防火墻、集團(tuán)路由器、集團(tuán)無(wú)線集中控制器分別發(fā)布自己的環(huán)回地址方便日常管理。為了降低不可信路由器對(duì)骨干區(qū)域造成的風(fēng)險(xiǎn)，針對(duì)骨干區(qū)域啟用區(qū)域MD5驗(yàn)證，驗(yàn)證密鑰為：qywdj@dcn，根據(jù)實(shí)際情況自行調(diào)整接口的網(wǎng)絡(luò)類(lèi)型盡量加快鄰居關(guān)系收斂。要求集團(tuán)內(nèi)的研發(fā)、營(yíng)銷(xiāo)、行政、財(cái)務(wù)等部門(mén)的網(wǎng)絡(luò)內(nèi)不發(fā)送協(xié)議報(bào)文。同時(shí)還規(guī)劃集團(tuán)與分公司之間使用BGP協(xié)議，進(jìn)程號(hào)分別為：集團(tuán)是62021，分公司是62022，具體要求如下：集團(tuán)路由器與分公司路由器之間通過(guò)與Internet的接口互聯(lián)地址建立GRE隧道，集團(tuán)路由器與分公司路由器之間分別通過(guò)GRE隧道地址和專(zhuān)線互聯(lián)地址建立鄰居關(guān)系，將分公司無(wú)線業(yè)務(wù)宣告到BGP中。分公司路由器與分公司接入交換機(jī)之間通過(guò)靜態(tài)路由協(xié)議互聯(lián)，通過(guò)相關(guān)技術(shù)實(shí)現(xiàn)集團(tuán)只能學(xué)習(xí)到分公司營(yíng)銷(xiāo)、財(cái)務(wù)、技術(shù)業(yè)務(wù)和無(wú)線AP管理業(yè)務(wù)。廣域網(wǎng)配置(90分)在集團(tuán)防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換，使集團(tuán)內(nèi)所有業(yè)務(wù)通過(guò)集團(tuán)防火墻訪問(wèn)Internet。訪問(wèn)公網(wǎng)采用輪詢(xún)的方式，地址池為：7-29，實(shí)現(xiàn)同一源IP會(huì)話(huà)被映射到同一個(gè)公網(wǎng)地址。在分公司路由器上配置網(wǎng)絡(luò)地址轉(zhuǎn)換，使分公司所有業(yè)務(wù)通過(guò)分公司路由器訪問(wèn)Internet。訪問(wèn)公網(wǎng)采用輪詢(xún)的方式，地址池為：7-29。運(yùn)營(yíng)商托管機(jī)房的應(yīng)用服務(wù)都通過(guò)轉(zhuǎn)換成為托管機(jī)房防火墻外網(wǎng)口地址進(jìn)行訪問(wèn)Internet。為保證只允許集團(tuán)營(yíng)銷(xiāo)業(yè)務(wù)與分公司營(yíng)銷(xiāo)業(yè)務(wù)、技術(shù)業(yè)務(wù)訪問(wèn)托管業(yè)務(wù)應(yīng)用的安全性，通過(guò)集團(tuán)防火墻與運(yùn)營(yíng)商托管機(jī)房防火墻的Internet互聯(lián)地址建立IPSEC隧道，使用IKE協(xié)商自行設(shè)置IPSec安全聯(lián)盟、交換IPSec密鑰，通過(guò)策略實(shí)現(xiàn)只允許訪問(wèn)托管在運(yùn)營(yíng)商機(jī)房的2業(yè)務(wù)應(yīng)用和本業(yè)務(wù)應(yīng)用的網(wǎng)關(guān)地址。為了方便維護(hù)人員在外遠(yuǎn)程維護(hù)管理托管在外的業(yè)務(wù)系統(tǒng)，同運(yùn)營(yíng)商協(xié)商后，在托管機(jī)房防火墻上配置SSLVPN，并且通過(guò)策略只開(kāi)放云服務(wù)平臺(tái)的web管理服務(wù)和托管下所有業(yè)務(wù)應(yīng)用系統(tǒng)遠(yuǎn)程連接端口指定端口，指定端口如下：Windows的遠(yuǎn)程桌面和CentOs的SSH服務(wù)。認(rèn)證賬號(hào)為：ywgl，密碼：ywgl123。VPN撥入用戶(hù)的地址范圍:/24，最小的可用IP作為網(wǎng)關(guān)。無(wú)線配置(80分)為方便集團(tuán)無(wú)線AP統(tǒng)一集中管理，把集團(tuán)無(wú)線集中控制器放置在集團(tuán)總部。集團(tuán)無(wú)線集中控制器與集團(tuán)核心交換機(jī)之間通過(guò)E1/0/1、E2/0/1與AC的E1/0/1、E1/0/2，把歸屬于同一設(shè)備的接口捆綁成一個(gè)邏輯接口，編號(hào)為7，SW-Core為主動(dòng)端，AC為被動(dòng)端，負(fù)載均衡模式采用源IP地址和目的IP地址進(jìn)行負(fù)載分擔(dān)。集團(tuán)無(wú)線集中控制器使用Loopback接口地址作為AC管理地址，集團(tuán)內(nèi)所有AP都通過(guò)手工注冊(cè)方式實(shí)現(xiàn)AP上線被管理，AP的管理地址為。在分公司路由器上開(kāi)啟DCHP服務(wù)，實(shí)現(xiàn)分公司無(wú)線業(yè)務(wù)終端可以通過(guò)DHCP自動(dòng)獲取IP地址。分公司無(wú)線業(yè)務(wù)分別為：分公司財(cái)務(wù)Vlan11與分公司技術(shù)Vlan21，Vlan網(wǎng)關(guān)都在分公司路由器上。2個(gè)用戶(hù)網(wǎng)段對(duì)應(yīng)的DHCP地址池名字分別為FB-11、FB-21，租期為4小時(shí)，DNS地址均。配置2個(gè)SSID，分別為“DCN-2.4”和“DCN-5.0”?！癉CN-2.4”對(duì)應(yīng)業(yè)務(wù)Vlan11，使用network11,用戶(hù)接入無(wú)線網(wǎng)絡(luò)時(shí)需要采用基于WPA-personal加密方式，其口令為“DCN123456”；“DCN-5.0”對(duì)應(yīng)業(yè)務(wù)Vlan21，使用network21，不需要認(rèn)證但是需要隱藏SSID。要求無(wú)線AP通過(guò)相關(guān)配置來(lái)實(shí)現(xiàn)，“DCN-5.0”的SSID只使用倒數(shù)第一個(gè)可用VAP發(fā)送5.0G信號(hào)。通過(guò)配置防止多AP和AC相連時(shí)過(guò)多的安全認(rèn)證連接而消耗CPU資源，檢測(cè)到AP與AC在10分鐘內(nèi)建立連接5次就不在允許繼續(xù)連接，兩小時(shí)后恢復(fù)正常。配置所有Radio接口：AP在收到錯(cuò)誤幀時(shí)，將不再發(fā)送ACK幀；打開(kāi)AP組播廣播突發(fā)限制功能；開(kāi)啟Radio的自動(dòng)信道調(diào)整，每天上午10:00觸發(fā)信道調(diào)整功能。安全策略配置(60分)集團(tuán)防火墻與托管機(jī)房防火墻根據(jù)題目要求配置相應(yīng)的安全域。集團(tuán)防火墻的出口帶寬為800Mbps，為更加合理使用出口資源，要求出口口帶寬在小于480Mbps時(shí)，集團(tuán)內(nèi)營(yíng)銷(xiāo)、研發(fā)、行政、財(cái)務(wù)4個(gè)業(yè)務(wù)網(wǎng)段每IP上下行最大5Mbps帶寬。在出口帶寬大于720Mbps時(shí)，辦事處業(yè)務(wù)網(wǎng)段每IP上下行最大2Mbps帶寬，同時(shí)要求在流量變化期間帶寬增長(zhǎng)速率為2倍，在任何時(shí)候都要確保網(wǎng)頁(yè)訪問(wèn)服務(wù)占每IP帶寬的40%。為防止集團(tuán)內(nèi)部收到垃圾郵件，請(qǐng)?jiān)诜阑饓ι吓渲绵]箱過(guò)濾，過(guò)濾含有“商業(yè)中心”字樣的郵件。為保證集團(tuán)Internet出口線路，在集團(tuán)防火墻上使用相關(guān)技術(shù)，通過(guò)ping監(jiān)控外網(wǎng)網(wǎng)關(guān)地址，每隔5S發(fā)送探測(cè)報(bào)文，連續(xù)10次收不到監(jiān)測(cè)報(bào)文，就認(rèn)為線路故障，直接關(guān)閉外網(wǎng)接口。廣域網(wǎng)業(yè)務(wù)選路(30分)考慮到從集團(tuán)到分公司共有二條鏈路，且其帶寬不一樣，集團(tuán)營(yíng)銷(xiāo)業(yè)務(wù)網(wǎng)段與分公司財(cái)務(wù)網(wǎng)段互訪只允許在集團(tuán)路由器與分公司路由器之間S口專(zhuān)線轉(zhuǎn)發(fā)；集團(tuán)營(yíng)銷(xiāo)業(yè)務(wù)網(wǎng)段與分公司營(yíng)銷(xiāo)、技術(shù)業(yè)務(wù)網(wǎng)段互訪只允許在集團(tuán)路由器與分公司路由器以太網(wǎng)專(zhuān)線間轉(zhuǎn)發(fā)，同時(shí)以太網(wǎng)專(zhuān)線鏈路還作為集團(tuán)營(yíng)銷(xiāo)業(yè)務(wù)網(wǎng)段與分公司財(cái)務(wù)業(yè)務(wù)網(wǎng)段互訪備用鏈路。根據(jù)以上需求在相關(guān)路由器上進(jìn)行合理的業(yè)務(wù)選路配置。具體要求如下：使用IP前綴列表匹配上述業(yè)務(wù)數(shù)據(jù)流；使用LP屬性進(jìn)行業(yè)務(wù)選路，只允許使用route-map來(lái)改變LP屬性、實(shí)現(xiàn)路由控制，LP屬性可配置的參數(shù)數(shù)值為：200服務(wù)器配置及應(yīng)用項(xiàng)目（480分）【說(shuō)明】所有windows主機(jī)實(shí)例在創(chuàng)建之后都直接可以通過(guò)遠(yuǎn)程桌面連接操作，linux可以通過(guò)CRT軟件連接進(jìn)行操作，所有l(wèi)inux主機(jī)都默認(rèn)開(kāi)啟了ssh功能，Linux系統(tǒng)軟件鏡像位于”/opt”目錄下；要求在云服務(wù)平臺(tái)中保留競(jìng)賽生成的所有虛擬主機(jī)；虛擬主機(jī)的IP地址、主機(jī)名稱(chēng)必須與“表5：服務(wù)器IP地址分配表”的要求一致，且必須手動(dòng)設(shè)置為該虛擬機(jī)自動(dòng)獲取的IP地址（提示：先新建固定IP地址的端口，為了輸出結(jié)果文檔時(shí)測(cè)試的需要，一定要關(guān)閉端口安全，然后創(chuàng)建實(shí)例時(shí)，不指定網(wǎng)絡(luò)，而指定端口）；云平臺(tái)訪問(wèn)網(wǎng)址00/dashboard，登錄管理員用戶(hù)名為admin，密碼為dcncloud。鏡像win2019-gui中用戶(hù)Administrator的密碼默認(rèn)為Qwer1234，鏡像centos8-cli中用戶(hù)root的密碼為dcncloud；賽題所需的其它軟件均存放在每臺(tái)主機(jī)的D:\soft文件夾中；修改Windows虛擬機(jī)管理員Administrator的密碼為Password1234#，Windows題目中所有未指明的密碼均為管理員Administrator的密碼。修改Linux虛擬機(jī)管理員root的密碼為Password1234#，Linux題目中所有未指明的密碼均為管理員root的密碼；所有服務(wù)器要求虛擬機(jī)系統(tǒng)重新啟動(dòng)后，均能正常啟動(dòng)和使用，否則會(huì)扣除該服務(wù)功能一定分?jǐn)?shù)。云服務(wù)平臺(tái)安裝與運(yùn)用完成云服務(wù)平臺(tái)基礎(chǔ)設(shè)置按照“表3：云服務(wù)平臺(tái)網(wǎng)絡(luò)信息表”要求創(chuàng)建一個(gè)外部網(wǎng)絡(luò)。按照“表6：卷信息表”要求新建卷，并連接到實(shí)例。注意事項(xiàng)：必須通過(guò)“項(xiàng)目”欄中的“計(jì)算”子欄中的“卷”功能來(lái)創(chuàng)建云硬盤(pán)；不能使用“管理員”，“系統(tǒng)”欄下的“卷”功能，該功能使用不當(dāng)會(huì)造成云硬盤(pán)創(chuàng)建失敗，界面卡死。在綜合實(shí)訓(xùn)平臺(tái)中可以創(chuàng)建多個(gè)云硬盤(pán)，所有云硬盤(pán)容量的總大小不能超過(guò)100G，否則將創(chuàng)建失敗。一個(gè)實(shí)例可以同時(shí)連接多個(gè)云硬盤(pán)，但一個(gè)云硬盤(pán)同時(shí)只能給一個(gè)實(shí)例作為擴(kuò)展硬盤(pán)使用。在分離卷之前一定要保證使用該卷的linux主機(jī)中，已經(jīng)不存在該卷的任何掛載點(diǎn)。如果使用該卷的主機(jī)是windows實(shí)例，必須保證該卷在主機(jī)的“磁盤(pán)管理”項(xiàng)目中處于脫機(jī)狀態(tài)，否則會(huì)造成分離失敗，或是一直顯示“分離中”狀態(tài)。創(chuàng)建虛擬主機(jī)按照“表4：實(shí)例規(guī)格信息表”要求新建實(shí)例類(lèi)型（刪除云平臺(tái)中已有實(shí)例類(lèi)型）。按照“表5：服務(wù)器IP地址分配表”要求新建實(shí)例，實(shí)例IP地址必須與表中的一致。Windows服務(wù)配置（240分）域控制器(40分)將Windows-1升級(jí)為主域控制器，安裝DNS，負(fù)責(zé)該域的正反向域名解析，要求整個(gè)域中的主機(jī)都能正反向解析。將Windows-2升級(jí)為子域控制器，安裝DNS，負(fù)責(zé)該域的正反向域名解析。把其余的Windows主機(jī)加入到域中。在Windows-1上安裝證書(shū)服務(wù)器，證書(shū)頒發(fā)機(jī)構(gòu)有效期為20年，頒發(fā)證書(shū)有效期10年，證書(shū)信息：公用名=，國(guó)家=CN，省=Beijing，城市=Beijing，組織=Skills，組織單位=System。Windows主機(jī)使用同一張證書(shū)，chrome瀏覽器訪問(wèn)https網(wǎng)站時(shí)，不出現(xiàn)證書(shū)警告提示信息。在Windows-1上新建名稱(chēng)為sys和manager的組織單元，每個(gè)組織單元內(nèi)新建與組織單元同名的全局安全組；每個(gè)組內(nèi)新建2個(gè)用戶(hù)：sys1，sys2，manager1，manager2；所有用戶(hù)不能修改口令，密碼永不過(guò)期，每天02:00-06:00不可以登錄，manager1擁有域管理員權(quán)限。組策略(20分)部署軟件chrome.msi，讓域中主機(jī)自動(dòng)安裝chrome。拒絕sys組從網(wǎng)絡(luò)訪問(wèn)域控制器，允許manager組本地登錄域控制器。登錄時(shí)不顯示用戶(hù)名，不顯示上次登錄，無(wú)須按Ctrl+Alt+Del。審核登錄事件，同時(shí)審核成功和失敗。禁用“關(guān)閉事件跟蹤程序”。IPSec(20分)Windows-3和Windows-4之間通信采用IPSec安全連接，采用計(jì)算機(jī)證書(shū)驗(yàn)證。DFS服務(wù)(10分)在Windows-2的C分區(qū)劃分2GB的空間，創(chuàng)建NTFS分區(qū)，驅(qū)動(dòng)器號(hào)為D。配置Windows-2為DFS服務(wù)器，命名空間為DFSROOT，文件夾為Pictures；實(shí)現(xiàn)Windows-3的D:\Pics和Windows-4的D:\Images同步。FTP服務(wù)(10分)把windows-3配置為FTP服務(wù)器，F(xiàn)TP站點(diǎn)名稱(chēng)為ftp，站點(diǎn)綁定本機(jī)IP地址，站點(diǎn)根目錄為C:\inetpub\ftproot。站點(diǎn)通過(guò)ActiveDirectory隔離用戶(hù)，使用manager1和manager2測(cè)試。設(shè)置FTP最大客戶(hù)端連接數(shù)為100。設(shè)置無(wú)任何操作的超時(shí)時(shí)間為5分鐘,設(shè)置數(shù)據(jù)連接的超時(shí)時(shí)間為1分鐘。NLB服務(wù)(40分)配置Windows-3和Windows-4為NLB服務(wù)器，網(wǎng)絡(luò)為負(fù)載均衡網(wǎng)絡(luò)，網(wǎng)絡(luò)為心跳網(wǎng)絡(luò)。Windows-3群集優(yōu)先級(jí)為3，Windows-4群集優(yōu)先級(jí)為5，群集IPv4地址為0/24，群集名稱(chēng)為，采用多播方式。配置Windows-3為web服務(wù)器，站點(diǎn)名稱(chēng)為，網(wǎng)站的最大連接數(shù)為10000，網(wǎng)站連接超時(shí)為60s，網(wǎng)站的帶寬為100Mbps。共享網(wǎng)頁(yè)文件、共享網(wǎng)站配置文件和網(wǎng)站日志文件分別存儲(chǔ)到Windows-2的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs，連接用戶(hù)為域管理員。網(wǎng)站主頁(yè)index.html內(nèi)容為"HelloNLB"，index.html文件編碼為ANSI。使用W3C記錄日志，每天創(chuàng)建一個(gè)新的日志文件，日志只允許記錄日期、時(shí)間、客戶(hù)端IP地址、用戶(hù)名、服務(wù)器IP地址、服務(wù)器端口號(hào)。網(wǎng)站僅綁定https，IP地址為群集地址，僅允許使用域名加密訪問(wèn)。故障轉(zhuǎn)移群集(70分)在Windows-5上添加4塊硬盤(pán)，每塊硬盤(pán)大小為5G，初始化為GPT磁盤(pán)，配置為Raid0，驅(qū)動(dòng)器號(hào)為D盤(pán)。在Windows-5上安裝iSCSI目標(biāo)服務(wù)器，并新建iSCSI虛擬磁盤(pán)，存儲(chǔ)位置為D:\；虛擬磁盤(pán)名稱(chēng)分別為Quorum和Files，大小分別為512MB和5GB，目標(biāo)名稱(chēng)為win，訪問(wèn)服務(wù)器為Windows-6和Windows-7，實(shí)行CHAP雙向認(rèn)證，Target認(rèn)證用戶(hù)名和密碼分別為IncomingUser和IncomingPass，Initiator認(rèn)證用戶(hù)名和密碼分別為OutgoingUser和OutgoingPass。在Windows-6和Windows-7上安裝多路徑I/O，和網(wǎng)絡(luò)為MPIO網(wǎng)絡(luò)，連接Windows-5的虛擬磁盤(pán)Quorum和Files，創(chuàng)建卷，驅(qū)動(dòng)器號(hào)分別為M和N。配置Windows-6和Windows-7為故障轉(zhuǎn)移群集；網(wǎng)絡(luò)為心跳網(wǎng)絡(luò)。在Windows-6上創(chuàng)建名稱(chēng)為WinCluster的群集，其IP地址為0.在Windows-7上配置文件服務(wù)器角色，名稱(chēng)為WinClusterFiles，其IP地址為0。為WinClusterFiles添加共享文件夾，共享協(xié)議采用“SMB”，共享名稱(chēng)為WinClusterShare，存儲(chǔ)位置為N:\，NTFS權(quán)限為僅域管理員和本地管理員組具有完全控制權(quán)限，域其他用戶(hù)具有修改權(quán)限；共享權(quán)限為僅域管理員具有完全控制權(quán)限，域其他用戶(hù)具有更改權(quán)限。虛擬化(30)在windows-2安裝docker，導(dǎo)入NanoServer鏡像。軟件包和鏡像存放在物理機(jī)D:\soft\DockerWindows。創(chuàng)建名稱(chēng)為web的容器，映射Windows-2的8080端口到容器的80端口，容器啟動(dòng)后運(yùn)行cmd命令，保持容器處于運(yùn)行狀態(tài)。Liunx服務(wù)配置（240分）DNS服務(wù)(45分)設(shè)置所有Linux服務(wù)器的時(shí)區(qū)設(shè)為“上?！?，本地時(shí)間調(diào)整為實(shí)際時(shí)間。啟動(dòng)所有Linux服務(wù)器的防火墻，并添加相應(yīng)端口（不允許添加服務(wù)）放行相關(guān)服務(wù)。利用chrony配置Linux-1為其他Linux主機(jī)提供時(shí)間同步服務(wù)。利用bind9軟件，配置Linux-1為主DNS服務(wù)器，采用rndc技術(shù)提供不間斷的DNS服務(wù)；配置Linux-2為備用DNS服務(wù)器，為所有Linux主機(jī)提供冗余DNS正反向解析服務(wù)。所有Linux主機(jī)root用戶(hù)使用完全合格域名免密碼ssh登錄到其他Linux主機(jī)。配置Linux-1為CA服務(wù)器,為所有Linux主機(jī)頒發(fā)證書(shū)，不允許修改/etc/pki/tls/openssl.conf。CA證書(shū)有效期20年，CA頒發(fā)證書(shū)有效期均為10年，證書(shū)信息：國(guó)家=“CN”，省=“Beijing”，城市=“Beijing”，組織=“skills”，組織單位=“system”。chrome瀏覽器訪問(wèn)https網(wǎng)站時(shí)，不出現(xiàn)證書(shū)警告提示信息。mail服務(wù)(15分)配置Linux-2為mail服務(wù)器，安裝postfix和dovecot。僅支持smtps和pop3s連接，證書(shū)路徑為/etc/ssl/mail.crt，私鑰路徑為/etc/ssl/mail.key。創(chuàng)建用戶(hù)mail1和mail2，向all@發(fā)送的郵件，每個(gè)用戶(hù)都會(huì)收到。root用戶(hù)使用mail工具向all@發(fā)送一封郵件，郵件主題為“Hello”，內(nèi)容為“Welcome”。apache2服務(wù)(20分)配置Linux-2為httpd服務(wù)器，安裝apache2，http訪問(wèn)時(shí)自動(dòng)跳轉(zhuǎn)到https安全連接。采用LDAP認(rèn)證用戶(hù)，只有認(rèn)證的賬戶(hù)user1和user2才能訪問(wèn)網(wǎng)站。使用或（any代表任意網(wǎng)址前綴）訪問(wèn)時(shí)，自動(dòng)跳轉(zhuǎn)到。關(guān)閉不安全的服務(wù)器信息，在任何頁(yè)面不