2022 年山東省職業(yè)院校技能大賽高職組“網(wǎng)絡(luò)系統(tǒng)管理”賽項(xiàng)-C模塊-Linux部署試題

2022年山東省職業(yè)院校技能大賽

高職組“網(wǎng)絡(luò)系統(tǒng)管理”賽項(xiàng)

賽卷II

模塊C：Linux部署

2022年12月

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

目錄

一、初始化環(huán)境-2-

1.默認(rèn)賬號(hào)及默認(rèn)密碼-2-

2.操作系統(tǒng)配置-2-

二、項(xiàng)目任務(wù)描述-2-

1.拓?fù)鋱D-3-

2.網(wǎng)絡(luò)地址規(guī)劃-3-

三、項(xiàng)目任務(wù)清單-4-

（一）服務(wù)器IspSrv工作任務(wù)-4-

1.DHCP-4-

2.DNS-4-

3.NTP-4-

4.Web服務(wù)-5-

5.SDN-5-

6.IPTABLES-6-

（二）服務(wù)器RouterSrv上的工作任務(wù)-6-

1.DHCPRELAY-6-

2.ROUTING-6-

3.SSH-6-

4.OPENVPN-7-

5.IPTABLES-7-

（三）服務(wù)器AppSrv上的工作任務(wù)-7-

1.SSH-7-

2.DHCP-7-

3.DNS（BIND）-8-

4.Web服務(wù)-8-

5.MAIL（POSTFIX-SMTPS&DOVECOT-IMAPS）-9-

6.CA（證書頒發(fā)機(jī)構(gòu)）-9-

7.IPTABLES-9-

（四）服務(wù)器StorageSrv上的工作任務(wù)-10-

1.iSCSI-10-

2.NFS-10-

3.VSFTPD-10-

4.SAMBA-10-

5.LDAP-10-

6.IPTABLES-11-

（五）客戶端OutsideCli和InsideCli工作任務(wù)-11-

1.OutsideCli-11-

2.InsideCli-11-

1/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

一、初始化環(huán)境

1.默認(rèn)賬號(hào)及默認(rèn)密碼

Username:root

Password:ChinaSkill22

Username:skills

Password:ChinaSkill22

注：若非特別指定，所有賬號(hào)的密碼均為ChinaSkill22

2.操作系統(tǒng)配置

Region:China

Locale:EnglishUS(UTF-8)

KeyMap:EnglishUS

注意：當(dāng)任務(wù)是配置TLS，請(qǐng)把根證書或者自簽名證書添加到受信任區(qū)。

控制臺(tái)登陸后不管是網(wǎng)絡(luò)登錄還是本地登錄，都按下方歡迎信息內(nèi)容顯示

*********************************

ChinaSkills2022–CSK

ModuleCLinux

>>hostname<<

>>OSVersion<<

>>TIME<<

*********************************

二、項(xiàng)目任務(wù)描述

你作為一個(gè)Linux的技術(shù)工程師，被指派去構(gòu)建一個(gè)公司的內(nèi)部網(wǎng)絡(luò)，要

為員工提供便捷、安全穩(wěn)定內(nèi)外網(wǎng)絡(luò)服務(wù)。你必須在規(guī)定的時(shí)間內(nèi)完成要求的

任務(wù)，并進(jìn)行充分的測(cè)試，確保設(shè)備和應(yīng)用正常運(yùn)行。任務(wù)所有規(guī)劃都基于

Linux操作系統(tǒng)，請(qǐng)根據(jù)網(wǎng)絡(luò)拓?fù)?、基本配置信息和服?wù)需求完成網(wǎng)絡(luò)服務(wù)安

裝與測(cè)試，網(wǎng)絡(luò)拓?fù)鋱D和基本配置信息如下：

2/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

1.拓?fù)鋱D

2.網(wǎng)絡(luò)地址規(guī)劃

服務(wù)器和客戶端基本配置如下表：

IspSrv（UOS）

完全限定域名：ispsrv

普通用戶/登錄密碼：skills/ChinaSkill22

超級(jí)管理員/登錄密碼：root/ChinaSkill22

網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：00/24/無(wú)

AppSrv（CentOS）

完全限定域名：

普通用戶/登錄密碼：skills/ChinaSkill22

超級(jí)管理員/登錄密碼：root/ChinaSkill22

網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：00/24/54

StorageSrv（CentOS）

完全限定域名：

普通用戶/登錄密碼：skills/ChinaSkill22

超級(jí)管理員/登錄密碼：root/ChinaSkill22

網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：00/24/54

RouterSrv（CentOS）

完全限定域名：

3/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

普通用戶/登錄密碼：skills/ChinaSkill22

超級(jí)管理員/登錄密碼：root/ChinaSkill22

網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：54/24/無(wú)、

54/24/無(wú)、54/24/無(wú)

InsideCli（CentOS）

完全限定域名：

普通用戶/登錄密碼：skills/ChinaSkill22

超級(jí)管理員/登錄密碼：root/ChinaSkill22

網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：DHCPFromAppSrv

OutsideCli（UOS）

完全限定域名：

普通用戶/登錄密碼：skills/ChinaSkill22

超級(jí)管理員/登錄密碼：root/ChinaSkill22

網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：DHCPFromIspSrv

三、項(xiàng)目任務(wù)清單

（一）服務(wù)器IspSrv工作任務(wù)

1.DHCP

安裝isc-dhcp-server；

為OutsideCli客戶端網(wǎng)絡(luò)分配地址，

地址池范圍：10-90/24；

域名解析服務(wù)器：按照實(shí)際需求配置DNS服務(wù)器地址選項(xiàng)；

網(wǎng)關(guān)：按照實(shí)際需求配置網(wǎng)關(guān)地址選項(xiàng)；

2.DNS

安裝BIND9；

啟用chroot功能，限制bind9在/var/named下運(yùn)行；

配置為DNS根域服務(wù)器，其他未知域名統(tǒng)一解析為該本機(jī)IP；

創(chuàng)建正向區(qū)域“”；

類型為Slave；

主服務(wù)器為AppSrv；

隱藏bind版本號(hào)；

3.NTP

4/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

安裝ntp，提供時(shí)間同步；

在AppSrv和StorageSrv創(chuàng)建CRON計(jì)劃任務(wù)；

使用ntpdate指令，每隔五分鐘進(jìn)行一次時(shí)間同步；

4.Web服務(wù)

安裝nginx軟件包；

配置文件名為ispweb.conf，放置在/etc/nginx/conf.d/目錄下；

網(wǎng)站根目錄為/mnt/crypt；

啟用FastCGI功能，讓nginx能夠解析php請(qǐng)求；

index.php內(nèi)容使用“Welcometo2022ComputerNetwork

Applicationcontest!”；

5.SDN

在ODL虛擬機(jī)上添加一張新網(wǎng)卡ens36，無(wú)須配置IP地址。

安裝ODL相關(guān)軟件，默認(rèn)系統(tǒng)登錄的用戶名/密碼都是mininet。啟

動(dòng)OpenDayLight的karaf程序，并安裝如下組件：

feature:installodl-restconf

feature:installodl-l2switch-switch-ui

feature:installodl-mdsal-apidocs

feature:installodl-dluxapps-applications

使用Mininet和OpenVswitch構(gòu)建拓?fù)洌B接ODL的6653端口，采

用OVS交換機(jī)，使用OpenFlow13協(xié)議連接控制器，創(chuàng)建如下圖所示

的拓?fù)洌?/p>

在OutsideCli瀏覽器上可以訪問(wèn)ODL管理頁(yè)面查看網(wǎng)元拓?fù)浣Y(jié)構(gòu);

通過(guò)OVS手動(dòng)將ODL虛擬機(jī)新網(wǎng)卡ens36添加到S2交換機(jī)中，為

ODL虛擬機(jī)原網(wǎng)卡接口添加第二地址54/8，并將其作為

H1、H2、H3、H4的網(wǎng)關(guān)，同時(shí)開啟ODL虛擬機(jī)系統(tǒng)的路由轉(zhuǎn)發(fā)功

能；

在S2交換機(jī)通過(guò)OVS手工下發(fā)流表，流表優(yōu)先級(jí)為5，讓odl虛擬

機(jī)、H1、H2、H3、H4能夠互通；

H1啟動(dòng)HTTP-Server功能，WEB端口為8000，在mn命令啟動(dòng)目錄創(chuàng)

建一個(gè)index.html，文件內(nèi)容為“SDNtestpage”，在

OutsideCli上訪問(wèn)H1的index.html網(wǎng)頁(yè)內(nèi)容；

5/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

6.IPTABLES

修改INPUT和FORWARD鏈默認(rèn)規(guī)則為DROP，添加必要的放行規(guī)則，

在確保安全的前提下，最小限度放行流量通信；

放行ICMP流量；

（二）服務(wù)器RouterSrv上的工作任務(wù)

1.DHCPRELAY

安裝DHCP中繼；

允許客戶端通過(guò)中繼服務(wù)獲取網(wǎng)絡(luò)地址；

2.ROUTING

開啟路由轉(zhuǎn)發(fā)，為當(dāng)前實(shí)驗(yàn)環(huán)境提供路由功能；

根據(jù)題目要求，配置單臂路由實(shí)現(xiàn)內(nèi)部客戶端和服務(wù)器之間的通

信；

3.SSH

工作端口為2022；

只允許用戶user01，密碼ChinaSkill22登錄到RouterSrv。其他用

戶（包括root）不能登錄。創(chuàng)建一個(gè)新用戶，新用戶可以從本地登

錄，但不能從ssh遠(yuǎn)程登錄；

通過(guò)ssh登錄到RouterSrv，一分鐘內(nèi)最多嘗試登錄的次數(shù)為3次，

超過(guò)后禁止該客戶端網(wǎng)絡(luò)地址訪問(wèn)ssh服務(wù)；

6/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

記錄用戶登錄的日志到/var/log/ssh.log，日志內(nèi)容要包含：源地

址，目標(biāo)地址，協(xié)議，源端口，目標(biāo)端口；

4.OPENVPN

在RouterSrv上部署OpenVpn服務(wù)openvpn@server，采用用戶名/密

碼方式驗(yàn)證，在OutsideCli上創(chuàng)建連接服務(wù)openvpn@csk；

撥號(hào)連接地址為54；

客戶端獲取到的IP范圍是51~160/24；

服務(wù)器日志記錄客戶端登錄時(shí)間及用戶名，格式如“2022-08-10:

08:10:30Successfulauthentication:

username="vpnuser1".”；

創(chuàng)建1個(gè)VPN用戶vpnuser1，只能與InsideCli客戶端網(wǎng)段通信，

允許訪問(wèn)StorageSrv主機(jī)上的SAMBA服務(wù)，允許訪問(wèn)AppSrv上的

dns服務(wù)；

5.IPTABLES

添加必要的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則，使外部客戶端能夠訪問(wèn)到內(nèi)部服務(wù)

器上的dns、mail、web和ftp服務(wù)；

添加必要的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則，允許內(nèi)部客戶端能夠訪問(wèn)外部網(wǎng)

絡(luò)；

INPUT、OUTPUT和FOREARD鏈默認(rèn)拒絕（DROP）所有流量通行，添加

必要的放行規(guī)則，在確保安全的前提下，最小限度放行流量通信；

（三）服務(wù)器AppSrv上的工作任務(wù)

1.SSH

安裝SSH，監(jiān)聽端口19210；

僅允許InsideCli客戶端進(jìn)行ssh訪問(wèn)，其余所有主機(jī)的請(qǐng)求都應(yīng)

該拒絕；

從InsideCli的cskadmin用戶可以免秘鑰登錄且擁有root控制權(quán)

限；

2.DHCP

為InsideCli客戶端網(wǎng)絡(luò)分配地址，地址池范圍：10-

90/24；

域名解析服務(wù)器：按照實(shí)際需求配置DNS服務(wù)器地址選項(xiàng)；

7/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

網(wǎng)關(guān)：按照實(shí)際需求配置網(wǎng)關(guān)地址選項(xiàng)；

為InsideCli分配固定地址為90/24；

3.DNS（BIND）

為域提供域名解析；

為、和

提供解析；

啟用內(nèi)外網(wǎng)解析功能，當(dāng)內(nèi)網(wǎng)客戶端請(qǐng)求解析的時(shí)候，解析到對(duì)應(yīng)

的內(nèi)部服務(wù)器地址，當(dāng)外部客戶端請(qǐng)求解析的時(shí)候，請(qǐng)把解析結(jié)果

解析到提供服務(wù)的公有地址；

添加郵件MX記錄；

將IspSrv作為上游DNS服務(wù)器，所有未知查詢都由該服務(wù)器處理；

4.Web服務(wù)

安裝httpd服務(wù)；

服務(wù)以用戶webuser系統(tǒng)用戶運(yùn)行；

限制Web服務(wù)只能使用系統(tǒng)500M物理內(nèi)存；

限制單個(gè)IP地址最大連接數(shù)為50；

全站點(diǎn)啟用TLS訪問(wèn)，使用本機(jī)上的“CSKGlobalRootCA”頒發(fā)機(jī)構(gòu)頒

發(fā)，網(wǎng)站證書信息如下：

C=CN

ST=China

L=BeiJing

O=skills

OU=OperationsDepartments

CN=*.

客戶端訪問(wèn)https時(shí)應(yīng)無(wú)瀏覽器（含終端）安全警告信息；

當(dāng)用戶使用http訪問(wèn)時(shí)自動(dòng)跳轉(zhuǎn)到https安全連接；

搭建站點(diǎn)；

網(wǎng)頁(yè)文件放在StorgeSrv服務(wù)器上，網(wǎng)站根目錄為/webdata/wwwroot；

在StorageSrv上安裝MriaDB，在本機(jī)上安裝PHP，發(fā)布WordPress網(wǎng)

站；

MariaDB數(shù)據(jù)庫(kù)管理員信息：User:root/Password:Chinaskill22!。

創(chuàng)建網(wǎng)站站點(diǎn)；

網(wǎng)頁(yè)文件存放在StorageSrv服務(wù)器上，網(wǎng)站根目錄為

webdata/download；

僅允許ldsgp用戶組訪問(wèn)（由LDAP提供賬戶認(rèn)證）；

8/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

在該站點(diǎn)的根目錄下創(chuàng)建以下文件“test.mp3,test.mp4,test.pdf”，

其中test.mp4文件的大小為100M，頁(yè)面訪問(wèn)成功后能夠列出目錄所有文

件；

進(jìn)行安全加固，在任何頁(yè)面不會(huì)出現(xiàn)系統(tǒng)和WEB服務(wù)器版本信息；

5.MAIL（POSTFIX-SMTPS&DOVECOT-IMAPS）

安裝配置postfix和dovecot，啟用imaps和smtps，禁止使用不安

全的smtp和imap發(fā)送和接收郵件。

安裝配置postfixadmin；

創(chuàng)建虛擬域及99個(gè)郵件用戶

mailuser1~mailuser99。虛擬用戶映射至本地用戶vmail和用戶組

vmail，UID和GID均為2000；

使用mailuser1@向mailuser2@發(fā)

送測(cè)試郵件，郵件標(biāo)題為“justtestmailfrommailuser1”，郵

件內(nèi)容為“hello,mailuser2”；

使用mailuser2@向mailuser1@發(fā)

送測(cè)試郵件，郵件標(biāo)題為“justtestmailfrommailuser2”，郵

件內(nèi)容為“hello,mailuser1”；

添加廣播郵箱地址all@，當(dāng)該郵箱收到郵件時(shí)，所

有用戶都能在自己的郵箱中查看。使用mailuser1@

向all@發(fā)送測(cè)試郵件，郵件標(biāo)題為“testall”，

郵件內(nèi)容為“hello,testall”；

使用網(wǎng)站測(cè)試郵件發(fā)送與接收；

6.CA（證書頒發(fā)機(jī)構(gòu)）

CA根證書路徑/csk-rootca/csk-ca.pem；

簽發(fā)數(shù)字證書，頒發(fā)者信息：(僅包含如下信息)

C=CN

ST=China

L=BeiJing

O=skills

OU=OperationsDepartments

CN=CSKGlobalRootCA

7.IPTABLES

修改INPUT和FORWARD鏈默認(rèn)規(guī)則為DROP，添加必要的放行規(guī)則，

在確保安全的前提下，最小限度放行流量通信；

9/12

網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C：Linux部署

放行ICMP流量。

（四）服務(wù)器StorageSrv上的工作任務(wù)

1.iSCSI

添加1塊大小為10G的虛擬硬盤；

安裝iSCSI服務(wù)端targetcli；

使用新增加的硬盤創(chuàng)建卷組，名稱為iscsivg，再創(chuàng)建iSCSI共享邏

輯卷，邏輯卷名稱為iscsistore，大小為5G；

使用上述邏輯卷創(chuàng)建后端存儲(chǔ)，名稱為serverc.iscsistore；

定義iSCSI的IQN為.rj.iscsi:serverc；

IQN下添加提供iSCSI服務(wù)的IP地址與端口，其中IP地址為服務(wù)器

地址，端口為3260；

使用后端存儲(chǔ)創(chuàng)建LUN0，并在屬性設(shè)置中關(guān)閉認(rèn)證；

僅允許RouterSrv進(jìn)行連接訪問(wèn)；

2.NFS

共享/webdata/目錄；

用于存儲(chǔ)AppSrv主機(jī)的WEB數(shù)據(jù)；

僅允許AppSrv主機(jī)訪問(wèn)該共享。

3.VSFTPD

安裝并啟用vsftpd服務(wù)；

用戶webadmin，登錄ftp服務(wù)器，根目錄為/webdata/；

登錄后限制在自己的根目錄；

允許webadmin管理員上傳和下載文件，但是禁止上傳后綴名

為.doc、.docx、.xlsx的文件；

4.SAMBA

創(chuàng)建samba共享，本地目錄為/skills/doc，要求：

共享名為cskdoc；

允許ldap用戶上傳和下載文件；

創(chuàng)建samba共享，本地目錄為/skills/public，要求：

共享名為cskshare；

允許匿名訪問(wèn)；

所有用戶都能上傳文件，但是僅允許usr01用戶刪除文件；

5.LDAP