2022年甘肅省職業(yè)院校技能大賽“網(wǎng)絡搭建與應用”賽項（中職組）試題B卷

2022年甘肅省職業(yè)院校技能大賽“網(wǎng)絡搭建與應用”賽項競賽試題2/222022年甘肅省職業(yè)院校技能大賽“網(wǎng)絡搭建與應用”賽項競賽試題B卷競賽說明競賽內(nèi)容發(fā)布“網(wǎng)絡搭建與應用”賽項競賽共分三個部分，其中：第一部分：網(wǎng)絡搭建及安全部署項目（500分）第二部分：服務器配置及應用項目（480分）第三部分：職業(yè)規(guī)范與素養(yǎng)（20分）競賽注意事項禁止攜帶和使用移動存儲設備、計算器、通信工具及參考資料。請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設備、軟件清單、材料清單是否齊全，計算機設備是否能正常使用。請選手仔細閱讀比賽試卷，按照試卷要求完成各項操作。操作過程中，需要及時保存設備配置。比賽結(jié)束后，所有設備保持運行狀態(tài)，評判以最后的硬件連接和配置為最終結(jié)果。比賽完成后，比賽設備、軟件和賽題請保留在座位上，禁止將比賽所用的所有物品（包括試卷和草紙）帶離賽場。禁止在紙質(zhì)資料、比賽設備、上填寫任何與競賽無關(guān)的標記，如違反規(guī)定，可視為0分。與比賽相關(guān)的工具軟件放置在每臺主機的D:\soft文件夾中。項目簡介：2021年疫情過后，公司計劃繼續(xù)開展之前定下的戰(zhàn)略規(guī)劃。在黨及集團高層領(lǐng)導下，下半年公司規(guī)?；謴涂焖侔l(fā)展，業(yè)務數(shù)據(jù)量和公司訪問量增長巨大。為了更好管理數(shù)據(jù)，提供服務，集團決定把公司大部分對外業(yè)務放在運營商托管機房。集團、分公司及運營商托管機房的網(wǎng)絡結(jié)構(gòu)詳見網(wǎng)絡拓撲圖。其中一臺CS6200交換機編號為SW-3，用于實現(xiàn)分公司業(yè)務終端高速接入；兩臺CS6200交換機作為集團的核心交換機；兩臺DCFW-1800分別作為集團、運營商托管機房的防火墻；一臺DCR-2855路由器編號為RT-1，作為集團的核心路由器；另一臺DCR-2855路由器編號為RT-2，作為分公司路由器；一臺DCWS-6028作為全集團內(nèi)無線AP統(tǒng)一集中控制器，編號為AC，通過與WL8200-I2高性能企業(yè)級AP配合實現(xiàn)分公司無線覆蓋。請注意：在此典型互聯(lián)網(wǎng)應用網(wǎng)絡架構(gòu)中，作為IT網(wǎng)絡系統(tǒng)管理及運維人員，請根據(jù)拓撲構(gòu)建完整的系統(tǒng)環(huán)境，使整體網(wǎng)絡架構(gòu)具有良好的穩(wěn)定性、安全性、可擴展性。請完成所有服務配置后，從客戶端進行測試，確保能正常訪問到相應應用。網(wǎng)絡拓撲圖：表1：網(wǎng)絡設備鏈接表A設備連接至B設備設備名稱接口設備名稱接口SW-11/0/27SW-21/0/28SW-11/0/28SW-21/0/27SW-11/0/24AC1/0/1SW-21/0/24AC1/0/2SW-11/0/1FW-1E0/3SW-21/0/1FW-1E0/4FW-1E0/1SW-2模擬Internet交換機1/0/15FW-1E0/2RT-1G0/0FW-2E0/1SW-2模擬Internet交換機E1/0/16FW-2E0/4云服務平臺管理口FW-2E0/5云服務平臺業(yè)務口RT-1S1/0RT-2S1/1RT-1S1/1RT-2S1/0RT-1G0/1SW-2模擬Internet交換機E1/0/17RT-2G0/0SW-2模擬Internet交換機E1/0/18RT-2G0/1SW-3E1/0/24RT-2G0/2APETHSW-1E1/0/5PC-1NICSW-3E1/0/10PC-2NIC表2：網(wǎng)絡設備IP地址分配表設備設備名稱設備接口IP地址三層交換機SW-CoreLoopback/32Vlan10SVIVlan20SVIVlan30SVIVlan40SVIVlan1000SVI/30Vlan1001SVI/30SW-2模擬Internet交換機Vlan4091SVI6/29Vlan4092SVI29/30Vlan4093SVI/30Vlan4094SVI5/29SW-3Vlan1000SVI/30Vlan10SVI/24Vlan20SVI/24路由器RT-1Loopback/32Tunnle/30G0/00/30G0/1/30S1/0-/30RT-2Loopback/32Tunnle/30G0/06/29G0/1/30G0/2/30Vlan11:/24Vlan21:/24S1/0-/30防火墻FW-1Loopback/32E0/1(Untrust)5/29E0/2(Trust)/30E0/3(Trust)/30E0/4(Trust)FW-2Tunnle2/24E0/1(Untrust)30/30E0/4(Trust)/24E0/5(Trust)Vlan60:54/24Vlan70:54/24無線控制器ACLoopback/32Vlan1001SVI/30無線APAPETH0/30比賽計算機PC-1NIC30/26PC-2NIC30/24表3：云服務平臺網(wǎng)絡信息表網(wǎng)絡名稱Vlan子網(wǎng)名稱子網(wǎng)地址網(wǎng)關(guān)地址范圍Network6060Subnet60/24540-9Network7070Subnet70/24540-9Network8080Subnet80/24none0-9Network9090Subnet90/24none0-9表4：實例規(guī)格信息表實例名稱鏡像模板名稱IDVCPU數(shù)內(nèi)存(MB)硬盤(GB)Windows-1至Windows-7Windows2019Large14409640Linux-1至Liunx-7CentOS8-cliSmall21204840表5：服務器IP地址分配表虛擬機名稱域名信息服務角色IPv4信息W域服務DNS服務CA服務1W域服務DNS服務DFS服務docker服務2WDFS服務NLB服務WEB服務31WDFS服務NLB服務WEB服務42WiSCSI服務53W故障轉(zhuǎn)移群集641W故障轉(zhuǎn)移群集752LDNS服務CA服務chrony服務1LDNS服務mail服務docker服務2Lapache2服務Mariadb服務PHP服務rsyslog服務3LMariadb客戶端rsyslog客戶端4LiSCSI服務56Lkeepalive集群67Lkeepalive集群78表6：卷信息表卷名稱配額分配實例d1至d45GWindows-5d5至d85GLiunx-5網(wǎng)絡搭建及安全部署項目（500分）【說明】賽題所需的其它軟件均存放在每臺主機的D:\soft文件夾中；無論通過SSH、telnet、Console登錄防火墻進行showconfiguration配置收集，需要先調(diào)整CRT軟件字符編號為：UTF-8，否則收集的命令行中文信息會顯示亂碼。CRT軟件調(diào)整字符編號配置如圖：線纜制作(50分)根據(jù)網(wǎng)絡拓撲要求，截取適當長度和數(shù)量的雙絞線，端接水晶頭，制作網(wǎng)絡線纜，根據(jù)題目要求，插入相應設備的相關(guān)端口。交換配置與調(diào)試(90分)公司計劃使用VLSM技術(shù)為公司總部各部門劃分相應IP地址段；現(xiàn)公司研發(fā)部97人、營銷部56人、行政部16人、財務部10人；請使用/24網(wǎng)段根據(jù)研發(fā)、營銷、行政、財務每部門人數(shù)依次進行子網(wǎng)劃分，使IP地址浪費最少，使用每個子網(wǎng)最后一個可用地址作為本子網(wǎng)的網(wǎng)關(guān)。集團兩臺核心交換機通過VSF物理端口連接起來形成一臺虛擬的邏輯設備SW-Core。用戶對這臺虛擬設備進行管理，從而來實現(xiàn)對虛擬設備中所有物理設備的管理。兩臺設備VSF邏輯域為5；其中SW-1的成員編號為1，SW-2的成員編號為2；正常情況下SW-1負責管理整個VSF。為確保兩臺核心交換機VSF鏈路冗余，在兩臺設備之間建立兩個vsfport-group，其編號分別為1、2，每個vsfport-group各綁定一個萬兆光端口。對邏輯設備SW-Core啟用VSF自動合并功能。在集團核心交換機SW-1和SW-2之間采用LACPMAD分裂檢測功能，通過集團核心交換機與集團接入交換機互聯(lián)接口設置LACPMAD功能相關(guān)配置來實現(xiàn)監(jiān)控兩臺核心設備的VSF狀態(tài)并同時每隔3s進行快速檢測。為了減少廣播，需要根據(jù)題目要求規(guī)劃并配置Vlan。具體要求如下：配置合理，在下表中交換機互聯(lián)鏈路上不允許不必要Vlan的數(shù)據(jù)流通過，包括不允許Vlan1；根據(jù)下述表格中心系，在相應交換機上完成Vlan配置和端口分配；設備Vlan編號Vlan名稱端口說明SW-CoreVlan10YF1/0/4-8研發(fā)部Vlan20YX1/0/9-13營銷部Vlan30XZ2/0/4-8行政部Vlan40CW2/0/9-13財務部Vlan1000E1/0/1、E2/0/1連接FW-1Vlan1001E1/0/24、E2/0/24鏈接ACACVlan11Vlan21Vlan1001E1/0/1、E1/0/2鏈接SW-CoreSW-3Vlan10FB-YXE1/0/4-8營銷部Vlan10FB-YFE1/0/9-13研發(fā)部Vlan1000E1/0/24連接RT-2SW-Core分別通過E1/0/1、E2/0/1與集團防火墻的E0/3、E0/4接口互相連接。把歸屬于同一設備的接口捆綁成一個邏輯接口，編號為6，SW-Core為主動端，F(xiàn)W-1為被動端。已知SNTPServer為01，該服務器時間是國際標準時間，請在所有交換機上配置該功能，保證交換機的時鐘和北京時間一致；為方便用戶日志查詢管理，現(xiàn)需要把所有交換機的時間在每年4月第一個星期日23:00到這一年的10月最后一個星期日00:00，實行夏令時，時鐘偏移量為2小時，命名為Time。防止終端產(chǎn)生MAC地址泛洪攻擊，在集團核心交換機SW-Core的所有業(yè)務端口設置開啟端口安全功能，配置端口允許的最大安全MAC數(shù)量為20，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過，關(guān)閉端口。SW-2既作為集團核心交換機，同時又使用相關(guān)技術(shù)將SW-2模擬為Internet交換機，實現(xiàn)集團與分公司之間Internet路由表與集團內(nèi)部業(yè)務路由表隔離，Internet路由表位于VPN實例名稱Internet內(nèi)。路由配置與調(diào)試(100分)盡可能加大集團路由器與分公司路由器之間虛擬專線鏈路帶寬，配置MutlilinkPPP捆綁，編號為20。路由器之間采用Chap認證，集團路由器帳號名為JTrouter，密碼為2022dcn。分公司路由器帳號名為FBrouter，密碼為2022dcn。規(guī)劃集團內(nèi)，集團核心交換機、集團路由器、集團出口防火墻、集團無線集中控制器之間使用OSPF協(xié)議組網(wǎng)來實現(xiàn)集團業(yè)務互聯(lián)互通，OSPF進程號為：10，具體要求如下：集團核心交換機與集團出口防火墻之間屬于骨干區(qū)域、集團核心交換機與集團無線集中控制器之間屬于普通區(qū)域，區(qū)域號為10，集團核心交換機與集團路由器之間屬于普通區(qū)域，區(qū)域號為20，采用各自設備Loopback地址作為Router-id。集團核心交換機、集團出口防火墻、集團路由器、集團無線集中控制器分別發(fā)布自己的環(huán)回地址方便日常管理。為了降低不可信路由器對骨干區(qū)域造成的風險，針對骨干區(qū)域啟用區(qū)域MD5驗證，驗證密鑰為：qywdj@dcn，根據(jù)實際情況自行調(diào)整接口的網(wǎng)絡類型盡量加快鄰居關(guān)系收斂。要求集團內(nèi)的研發(fā)、營銷、行政、財務等部門的網(wǎng)絡內(nèi)不發(fā)送協(xié)議報文。同時還規(guī)劃集團與分公司之間使用BGP協(xié)議，進程號分別為：集團是62021，分公司是62022，具體要求如下：集團路由器與分公司路由器之間通過與Internet的接口互聯(lián)地址建立GRE隧道，集團路由器與分公司路由器之間分別通過GRE隧道地址和專線互聯(lián)地址建立鄰居關(guān)系，將分公司無線業(yè)務宣告到BGP中。分公司路由器與分公司接入交換機之間通過靜態(tài)路由協(xié)議互聯(lián)，通過相關(guān)技術(shù)實現(xiàn)集團只能學習到分公司營銷、財務、技術(shù)業(yè)務和無線AP管理業(yè)務。廣域網(wǎng)配置(90分)在集團防火墻上配置網(wǎng)絡地址轉(zhuǎn)換，使集團內(nèi)所有業(yè)務通過集團防火墻訪問Internet。訪問公網(wǎng)采用輪詢的方式，地址池為：7-29，實現(xiàn)同一源IP會話被映射到同一個公網(wǎng)地址。在分公司路由器上配置網(wǎng)絡地址轉(zhuǎn)換，使分公司所有業(yè)務通過分公司路由器訪問Internet。訪問公網(wǎng)采用輪詢的方式，地址池為：7-29。運營商托管機房的應用服務都通過轉(zhuǎn)換成為托管機房防火墻外網(wǎng)口地址進行訪問Internet。為保證只允許集團營銷業(yè)務與分公司營銷業(yè)務、技術(shù)業(yè)務訪問托管業(yè)務應用的安全性，通過集團防火墻與運營商托管機房防火墻的Internet互聯(lián)地址建立IPSEC隧道，使用IKE協(xié)商自行設置IPSec安全聯(lián)盟、交換IPSec密鑰，通過策略實現(xiàn)只允許訪問托管在運營商機房的2業(yè)務應用和本業(yè)務應用的網(wǎng)關(guān)地址。為了方便維護人員在外遠程維護管理托管在外的業(yè)務系統(tǒng)，同運營商協(xié)商后，在托管機房防火墻上配置SSLVPN，并且通過策略只開放云服務平臺的web管理服務和托管下所有業(yè)務應用系統(tǒng)遠程連接端口指定端口，指定端口如下：Windows的遠程桌面和CentOs的SSH服務。認證賬號為：ywgl，密碼：ywgl123。VPN撥入用戶的地址范圍:/24，最小的可用IP作為網(wǎng)關(guān)。無線配置(80分)為方便集團無線AP統(tǒng)一集中管理，把集團無線集中控制器放置在集團總部。集團無線集中控制器與集團核心交換機之間通過E1/0/1、E2/0/1與AC的E1/0/1、E1/0/2，把歸屬于同一設備的接口捆綁成一個邏輯接口，編號為7，SW-Core為主動端，AC為被動端，負載均衡模式采用源IP地址和目的IP地址進行負載分擔。集團無線集中控制器使用Loopback接口地址作為AC管理地址，集團內(nèi)所有AP都通過手工注冊方式實現(xiàn)AP上線被管理，AP的管理地址為。在分公司路由器上開啟DCHP服務，實現(xiàn)分公司無線業(yè)務終端可以通過DHCP自動獲取IP地址。分公司無線業(yè)務分別為：分公司財務Vlan11與分公司技術(shù)Vlan21，Vlan網(wǎng)關(guān)都在分公司路由器上。2個用戶網(wǎng)段對應的DHCP地址池名字分別為FB-11、FB-21，租期為5小時，DNS地址均。配置2個SSID，分別為“DCN-2.4”和“DCN-5.0”?！癉CN-2.4”對應業(yè)務Vlan11，使用network11,用戶接入無線網(wǎng)絡時需要采用基于WPA-personal加密方式，其口令為“DCN123456”；“DCN-5.0”對應業(yè)務Vlan21，使用network21，不需要認證但是需要隱藏SSID。要求無線AP通過相關(guān)配置來實現(xiàn)，“DCN-5.0”的SSID只使用倒數(shù)第一個可用VAP發(fā)送5.0G信號。通過配置防止多AP和AC相連時過多的安全認證連接而消耗CPU資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不在允許繼續(xù)連接，兩小時后恢復正常。配置所有Radio接口：AP在收到錯誤幀時，將不再發(fā)送ACK幀；打開AP組播廣播突發(fā)限制功能；開啟Radio的自動信道調(diào)整，每天上午10:00觸發(fā)信道調(diào)整功能。安全策略配置(60分)集團防火墻與托管機房防火墻根據(jù)題目要求配置相應的安全域。集團防火墻的出口帶寬為800Mbps，為更加合理使用出口資源，要求出口口帶寬在小于480Mbps時，集團內(nèi)營銷、研發(fā)、行政、財務4個業(yè)務網(wǎng)段每IP上下行最大5Mbps帶寬。在出口帶寬大于720Mbps時，辦事處業(yè)務網(wǎng)段每IP上下行最大2Mbps帶寬，同時要求在流量變化期間帶寬增長速率為2倍，在任何時候都要確保網(wǎng)頁訪問服務占每IP帶寬的40%。為防止集團內(nèi)部收到垃圾郵件，請在防火墻上配置郵箱過濾，過濾含有“商業(yè)中心”字樣的郵件。為保證集團Internet出口線路，在集團防火墻上使用相關(guān)技術(shù)，通過ping監(jiān)控外網(wǎng)網(wǎng)關(guān)地址，每隔5S發(fā)送探測報文，連續(xù)20次收不到監(jiān)測報文，就認為線路故障，直接關(guān)閉外網(wǎng)接口。廣域網(wǎng)業(yè)務選路(30分)考慮到從集團到分公司共有二條鏈路，且其帶寬不一樣，集團營銷業(yè)務網(wǎng)段與分公司財務網(wǎng)段互訪只允許在集團路由器與分公司路由器之間S口專線轉(zhuǎn)發(fā)；集團營銷業(yè)務網(wǎng)段與分公司營銷、技術(shù)業(yè)務網(wǎng)段互訪只允許在集團路由器與分公司路由器以太網(wǎng)專線間轉(zhuǎn)發(fā)，同時以太網(wǎng)專線鏈路還作為集團營銷業(yè)務網(wǎng)段與分公司財務業(yè)務網(wǎng)段互訪備用鏈路。根據(jù)以上需求在相關(guān)路由器上進行合理的業(yè)務選路配置。具體要求如下：使用IP前綴列表匹配上述業(yè)務數(shù)據(jù)流；使用LP屬性進行業(yè)務選路，只允許使用route-map來改變LP屬性、實現(xiàn)路由控制，LP屬性可配置的參數(shù)數(shù)值為：200服務器配置及應用項目（480分）【說明】所有windows主機實例在創(chuàng)建之后都直接可以通過遠程桌面連接操作，linux可以通過CRT軟件連接進行操作，所有l(wèi)inux主機都默認開啟了ssh功能，Linux系統(tǒng)軟件鏡像位于”/opt”目錄下；要求在云服務平臺中保留競賽生成的所有虛擬主機；虛擬主機的IP地址、主機名稱必須與“表5：服務器IP地址分配表”的要求一致，且必須手動設置為該虛擬機自動獲取的IP地址（提示：先新建固定IP地址的端口，為了輸出結(jié)果文檔時測試的需要，一定要關(guān)閉端口安全，然后創(chuàng)建實例時，不指定網(wǎng)絡，而指定端口）；云平臺訪問網(wǎng)址00/dashboard，登錄管理員用戶名為admin，密碼為dcncloud。鏡像win2019-gui中用戶Administrator的密碼默認為Qwer1234，鏡像centos8-cli中用戶root的密碼為dcncloud；賽題所需的其它軟件均存放在每臺主機的D:\soft文件夾中；修改Windows虛擬機管理員Administrator的密碼為Password1234#，Windows題目中所有未指明的密碼均為管理員Administrator的密碼。修改Linux虛擬機管理員root的密碼為Password1234#，Linux題目中所有未指明的密碼均為管理員root的密碼；所有服務器要求虛擬機系統(tǒng)重新啟動后，均能正常啟動和使用，否則會扣除該服務功能一定分數(shù)。云服務平臺安裝與運用完成云服務平臺基礎設置按照“表3：云服務平臺網(wǎng)絡信息表”要求創(chuàng)建一個外部網(wǎng)絡。按照“表6：卷信息表”要求新建卷，并連接到實例。注意事項：必須通過“項目”欄中的“計算”子欄中的“卷”功能來創(chuàng)建云硬盤；不能使用“管理員”，“系統(tǒng)”欄下的“卷”功能，該功能使用不當會造成云硬盤創(chuàng)建失敗，界面卡死。在綜合實訓平臺中可以創(chuàng)建多個云硬盤，所有云硬盤容量的總大小不能超過100G，否則將創(chuàng)建失敗。一個實例可以同時連接多個云硬盤，但一個云硬盤同時只能給一個實例作為擴展硬盤使用。在分離卷之前一定要保證使用該卷的linux主機中，已經(jīng)不存在該卷的任何掛載點。如果使用該卷的主機是windows實例，必須保證該卷在主機的“磁盤管理”項目中處于脫機狀態(tài)，否則會造成分離失敗，或是一直顯示“分離中”狀態(tài)。創(chuàng)建虛擬主機按照“表4：實例規(guī)格信息表”要求新建實例類型（刪除云平臺中已有實例類型）。按照“表5：服務器IP地址分配表”要求新建實例，實例IP地址必須與表中的一致。Windows服務配置（240分）域控制器(40分)將Windows-1升級為主域控制器，安裝DNS，負責該域的正反向域名解析，要求整個域中的主機都能正反向解析。將Windows-2升級為子域控制器，安裝DNS，負責該域的正反向域名解析。把其余的Windows主機加入到域中。在Windows-1上安裝證書服務器，證書頒發(fā)機構(gòu)有效期為20年，頒發(fā)證書有效期10年，證書信息：公用名=，國家=CN，省=Beijing，城市=Beijing，組織=Skills，組織單位=System。Windows主機使用同一張證書，chrome瀏覽器訪問https網(wǎng)站時，不出現(xiàn)證書警告提示信息。在Windows-1上新建名稱為sys和manager的組織單元，每個組織單元內(nèi)新建與組織單元同名的全局安全組；每個組內(nèi)新建2個用戶：sys1，sys2，manager1，manager2；所有用戶不能修改口令，密碼永不過期，每天02:00-06:00不可以登錄，manager1擁有域管理員權(quán)限。組策略(20分)部署軟件chrome.msi，讓域中主機自動安裝chrome。拒絕sys組從網(wǎng)絡訪問域控制器，允許manager組本地登錄域控制器。登錄時不顯示用戶名，不顯示上次登錄，無須按Ctrl+Alt+Del。審核登錄事件，同時審核成功和失敗。禁用“關(guān)閉事件跟蹤程序”。IPSec(20分)Windows-3和Windows-4之間通信采用IPSec安全連接，采用計算機證書驗證。DFS服務(10分)在Windows-2的C分區(qū)劃分2GB的空間，創(chuàng)建NTFS分區(qū)，驅(qū)動器號為D。配置Windows-2為DFS服務器，命名空間為DFSROOT，文件夾為Pictures；實現(xiàn)Windows-3的D:\Pics和Windows-4的D:\Images同步。FTP服務(10分)把windows-3配置為FTP服務器，F(xiàn)TP站點名稱為ftp，站點綁定本機IP地址，站點根目錄為C:\inetpub\ftproot。站點通過ActiveDirectory隔離用戶，使用manager1和manager2測試。設置FTP最大客戶端連接數(shù)為100。設置無任何操作的超時時間為5分鐘,設置數(shù)據(jù)連接的超時時間為1分鐘。NLB服務(40分)配置Windows-3和Windows-4為NLB服務器，網(wǎng)絡為負載均衡網(wǎng)絡，網(wǎng)絡為心跳網(wǎng)絡。Windows-3群集優(yōu)先級為3，Windows-4群集優(yōu)先級為5，群集IPv4地址為0/24，群集名稱為，采用多播方式。配置Windows-3為web服務器，站點名稱為，網(wǎng)站的最大連接數(shù)為10000，網(wǎng)站連接超時為60s，網(wǎng)站的帶寬為100Mbps。共享網(wǎng)頁文件、共享網(wǎng)站配置文件和網(wǎng)站日志文件分別存儲到Windows-2的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs，連接用戶為域管理員。網(wǎng)站主頁index.html內(nèi)容為"HelloNLB"，index.html文件編碼為ANSI。使用W3C記錄日志，每天創(chuàng)建一個新的日志文件，日志只允許記錄日期、時間、客戶端IP地址、用戶名、服務器IP地址、服務器端口號。網(wǎng)站僅綁定https，IP地址為群集地址，僅允許使用域名加密訪問。故障轉(zhuǎn)移群集(70分)在Windows-5上添加4塊硬盤，每塊硬盤大小為5G，初始化為GPT磁盤，配置為Raid0，驅(qū)動器號為D盤。在Windows-5上安裝iSCSI目標服務器，并新建iSCSI虛擬磁盤，存儲位置為D:\；虛擬磁盤名稱分別為Quorum和Files，大小分別為512MB和5GB，目標名稱為win，訪問服務器為Windows-6和Windows-7，實行CHAP雙向認證，Target認證用戶名和密碼分別為IncomingUser和IncomingPass，Initiator認證用戶名和密碼分別為OutgoingUser和OutgoingPass。在Windows-6和Windows-7上安裝多路徑I/O，和網(wǎng)絡為MPIO網(wǎng)絡，連接Windows-5的虛擬磁盤Quorum和Files，創(chuàng)建卷，驅(qū)動器號分別為M和N。配置Windows-6和Windows-7為故障轉(zhuǎn)移群集；網(wǎng)絡為心跳網(wǎng)絡。在Windows-6上創(chuàng)建名稱為WinCluster的群集，其IP地址為0.在Windows-7上配置文件服務器角色，名稱為WinClusterFiles，其IP地址為0。為WinClusterFiles添加共享文件夾，共享協(xié)議采用“SMB”，共享名稱為WinClusterShare，存儲位置為N:\，NTFS權(quán)限為僅域管理員和本地管理員組具有完全控制權(quán)限，域其他用戶具有修改權(quán)限；共享權(quán)限為僅域管理員具有完全控制權(quán)限，域其他用戶具有更改權(quán)限。虛擬化(30)在windows-2安裝docker，導入NanoServer鏡像。軟件包和鏡像存放在物理機D:\soft\DockerWindows。創(chuàng)建名稱為web的容器，映射Windows-2的8080端口到容器的80端口，容器啟動后運行cmd命令，保持容器處于運行狀態(tài)。Liunx服務配置（240分）DNS服務(45分)設置所有Linux服務器的時區(qū)設為“上?！?，本地時間調(diào)整為實際時間。啟動所有Linux服務器的防火墻，并添加相應端口（不允許添加服務）放行相關(guān)服務。利用chrony配置Linux-1為其他Linux主機提供時間同步服務。利用bind9軟件，配置Linux-1為主DNS服務器，采用rndc技術(shù)提供不間斷的DNS服務；配置Linux-2為備用DNS服務器，為所有Linux主機提供冗余DNS正反向解析服務。所有Linux主機root用戶使用完全合格域名免密碼ssh登錄到其他Linux主機。配置Linux-1為CA服務器,為所有Linux主機頒發(fā)證書，不允許修改/etc/pki/tls/openssl.conf。CA證書有效期20年，CA頒發(fā)證書有效期均為10年，證書信息：國家=“CN”，省=“Beijing”，城市=“Beijing”，組織=“skills”，組織單位=“system”。chrome瀏覽器訪問https網(wǎng)站時，不出現(xiàn)證書警告提示信息。mail服務(15分)配置Linux-2為mail服務器，安裝postfix和dovecot。僅支持smtps和pop3s連接，證書路徑為/etc/ssl/mail.crt，私鑰路徑為/etc/ssl/mail.key。創(chuàng)建用戶mail1和mail2，向all@發(fā)送的郵件，每個用戶都會收到。root用戶使用mail工具向all@發(fā)送一封郵件，郵件主題為“Hello”，內(nèi)容為“Welcome”。apache2服務(20分)配置Linux-2為httpd服務器，安裝apache2，http訪問時自動跳轉(zhuǎn)到https安全連接。采用LDAP認證用戶，只有認證的賬戶user1和user2才能訪問網(wǎng)站。使用或（any代表任意網(wǎng)址前綴）訪問時，自動跳轉(zhuǎn)到。關(guān)閉不安全的服務器信息，在任何頁面不