2022 年山东省职业院校技能大赛高职组“网络系统管理”赛项-C模块-Linux部署试题

2022年山东省职业院校技能大赛

高职组“网络系统管理”赛项

赛卷II

模块C：Linux部署

2022年12月

网络系统管理赛项-模块C：Linux部署

目录

一、初始化环境-2-

1.默认账号及默认密码-2-

2.操作系统配置-2-

二、项目任务描述-2-

1.拓扑图-3-

2.网络地址规划-3-

三、项目任务清单-4-

（一）服务器IspSrv工作任务-4-

1.DHCP-4-

2.DNS-4-

3.NTP-4-

4.Web服务-5-

5.SDN-5-

6.IPTABLES-6-

（二）服务器RouterSrv上的工作任务-6-

1.DHCPRELAY-6-

2.ROUTING-6-

3.SSH-6-

4.OPENVPN-7-

5.IPTABLES-7-

（三）服务器AppSrv上的工作任务-7-

1.SSH-7-

2.DHCP-7-

3.DNS（BIND）-8-

4.Web服务-8-

5.MAIL（POSTFIX-SMTPS&DOVECOT-IMAPS）-9-

6.CA（证书颁发机构）-9-

7.IPTABLES-9-

（四）服务器StorageSrv上的工作任务-10-

1.iSCSI-10-

2.NFS-10-

3.VSFTPD-10-

4.SAMBA-10-

5.LDAP-10-

6.IPTABLES-11-

（五）客户端OutsideCli和InsideCli工作任务-11-

1.OutsideCli-11-

2.InsideCli-11-

1/12

网络系统管理赛项-模块C：Linux部署

一、初始化环境

1.默认账号及默认密码

Username:root

Password:ChinaSkill22

Username:skills

Password:ChinaSkill22

注：若非特别指定，所有账号的密码均为ChinaSkill22

2.操作系统配置

Region:China

Locale:EnglishUS(UTF-8)

KeyMap:EnglishUS

注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。

控制台登陆后不管是网络登录还是本地登录，都按下方欢迎信息内容显示

*********************************

ChinaSkills2022–CSK

ModuleCLinux

>>hostname<<

>>OSVersion<<

>>TIME<<

*********************************

二、项目任务描述

你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要

为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的

任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于

Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安

装与测试，网络拓扑图和基本配置信息如下：

2/12

网络系统管理赛项-模块C：Linux部署

1.拓扑图

2.网络地址规划

服务器和客户端基本配置如下表：

IspSrv（UOS）

完全限定域名：ispsrv

普通用户/登录密码：skills/ChinaSkill22

超级管理员/登录密码：root/ChinaSkill22

网络地址/掩码/网关：00/24/无

AppSrv（CentOS）

完全限定域名：

普通用户/登录密码：skills/ChinaSkill22

超级管理员/登录密码：root/ChinaSkill22

网络地址/掩码/网关：00/24/54

StorageSrv（CentOS）

完全限定域名：

普通用户/登录密码：skills/ChinaSkill22

超级管理员/登录密码：root/ChinaSkill22

网络地址/掩码/网关：00/24/54

RouterSrv（CentOS）

完全限定域名：

3/12

网络系统管理赛项-模块C：Linux部署

普通用户/登录密码：skills/ChinaSkill22

超级管理员/登录密码：root/ChinaSkill22

网络地址/掩码/网关：54/24/无、

54/24/无、54/24/无

InsideCli（CentOS）

完全限定域名：

普通用户/登录密码：skills/ChinaSkill22

超级管理员/登录密码：root/ChinaSkill22

网络地址/掩码/网关：DHCPFromAppSrv

OutsideCli（UOS）

完全限定域名：

普通用户/登录密码：skills/ChinaSkill22

超级管理员/登录密码：root/ChinaSkill22

网络地址/掩码/网关：DHCPFromIspSrv

三、项目任务清单

（一）服务器IspSrv工作任务

1.DHCP

安装isc-dhcp-server；

为OutsideCli客户端网络分配地址，

地址池范围：10-90/24；

域名解析服务器：按照实际需求配置DNS服务器地址选项；

网关：按照实际需求配置网关地址选项；

2.DNS

安装BIND9；

启用chroot功能，限制bind9在/var/named下运行；

配置为DNS根域服务器，其他未知域名统一解析为该本机IP；

创建正向区域“”；

类型为Slave；

主服务器为AppSrv；

隐藏bind版本号；

3.NTP

4/12

网络系统管理赛项-模块C：Linux部署

安装ntp，提供时间同步；

在AppSrv和StorageSrv创建CRON计划任务；

使用ntpdate指令，每隔五分钟进行一次时间同步；

4.Web服务

安装nginx软件包；

配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；

网站根目录为/mnt/crypt；

启用FastCGI功能，让nginx能够解析php请求；

index.php内容使用“Welcometo2022ComputerNetwork

Applicationcontest!”；

5.SDN

在ODL虚拟机上添加一张新网卡ens36，无须配置IP地址。

安装ODL相关软件，默认系统登录的用户名/密码都是mininet。启

动OpenDayLight的karaf程序，并安装如下组件：

feature:installodl-restconf

feature:installodl-l2switch-switch-ui

feature:installodl-mdsal-apidocs

feature:installodl-dluxapps-applications

使用Mininet和OpenVswitch构建拓扑，连接ODL的6653端口，采

用OVS交换机，使用OpenFlow13协议连接控制器，创建如下图所示

的拓扑；

在OutsideCli浏览器上可以访问ODL管理页面查看网元拓扑结构;

通过OVS手动将ODL虚拟机新网卡ens36添加到S2交换机中，为

ODL虚拟机原网卡接口添加第二地址54/8，并将其作为

H1、H2、H3、H4的网关，同时开启ODL虚拟机系统的路由转发功

能；

在S2交换机通过OVS手工下发流表，流表优先级为5，让odl虚拟

机、H1、H2、H3、H4能够互通；

H1启动HTTP-Server功能，WEB端口为8000，在mn命令启动目录创

建一个index.html，文件内容为“SDNtestpage”，在

OutsideCli上访问H1的index.html网页内容；

5/12

网络系统管理赛项-模块C：Linux部署

6.IPTABLES

修改INPUT和FORWARD链默认规则为DROP，添加必要的放行规则，

在确保安全的前提下，最小限度放行流量通信；

放行ICMP流量；

（二）服务器RouterSrv上的工作任务

1.DHCPRELAY

安装DHCP中继；

允许客户端通过中继服务获取网络地址；

2.ROUTING

开启路由转发，为当前实验环境提供路由功能；

根据题目要求，配置单臂路由实现内部客户端和服务器之间的通

信；

3.SSH

工作端口为2022；

只允许用户user01，密码ChinaSkill22登录到RouterSrv。其他用

户（包括root）不能登录。创建一个新用户，新用户可以从本地登

录，但不能从ssh远程登录；

通过ssh登录到RouterSrv，一分钟内最多尝试登录的次数为3次，

超过后禁止该客户端网络地址访问ssh服务；

6/12

网络系统管理赛项-模块C：Linux部署

记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地

址，目标地址，协议，源端口，目标端口；

4.OPENVPN

在RouterSrv上部署OpenVpn服务openvpn@server，采用用户名/密

码方式验证，在OutsideCli上创建连接服务openvpn@csk；

拨号连接地址为54；

客户端获取到的IP范围是51~160/24；

服务器日志记录客户端登录时间及用户名，格式如“2022-08-10:

08:10:30Successfulauthentication:

username="vpnuser1".”；

创建1个VPN用户vpnuser1，只能与InsideCli客户端网段通信，

允许访问StorageSrv主机上的SAMBA服务，允许访问AppSrv上的

dns服务；

5.IPTABLES

添加必要的网络地址转换规则，使外部客户端能够访问到内部服务

器上的dns、mail、web和ftp服务；

添加必要的网络地址转换规则，允许内部客户端能够访问外部网

络；

INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行，添加

必要的放行规则，在确保安全的前提下，最小限度放行流量通信；

（三）服务器AppSrv上的工作任务

1.SSH

安装SSH，监听端口19210；

仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应

该拒绝；

从InsideCli的cskadmin用户可以免秘钥登录且拥有root控制权

限；

2.DHCP

为InsideCli客户端网络分配地址，地址池范围：10-

90/24；

域名解析服务器：按照实际需求配置DNS服务器地址选项；

7/12

网络系统管理赛项-模块C：Linux部署

网关：按照实际需求配置网关地址选项；

为InsideCli分配固定地址为90/24；

3.DNS（BIND）

为域提供域名解析；

为、和

提供解析；

启用内外网解析功能，当内网客户端请求解析的时候，解析到对应

的内部服务器地址，当外部客户端请求解析的时候，请把解析结果

解析到提供服务的公有地址；

添加邮件MX记录；

将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理；

4.Web服务

安装httpd服务；

服务以用户webuser系统用户运行；

限制Web服务只能使用系统500M物理内存；

限制单个IP地址最大连接数为50；

全站点启用TLS访问，使用本机上的“CSKGlobalRootCA”颁发机构颁

发，网站证书信息如下：

C=CN

ST=China

L=BeiJing

O=skills

OU=OperationsDepartments

CN=*.

客户端访问https时应无浏览器（含终端）安全警告信息；

当用户使用http访问时自动跳转到https安全连接；

搭建站点；

网页文件放在StorgeSrv服务器上，网站根目录为/webdata/wwwroot；

在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网

站；

MariaDB数据库管理员信息：User:root/Password:Chinaskill22!。

创建网站站点；

网页文件存放在StorageSrv服务器上，网站根目录为

webdata/download；

仅允许ldsgp用户组访问（由LDAP提供账户认证）；

8/12

网络系统管理赛项-模块C：Linux部署

在该站点的根目录下创建以下文件“test.mp3,test.mp4,test.pdf”，

其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文

件；

进行安全加固，在任何页面不会出现系统和WEB服务器版本信息；

5.MAIL（POSTFIX-SMTPS&DOVECOT-IMAPS）

安装配置postfix和dovecot，启用imaps和smtps，禁止使用不安

全的smtp和imap发送和接收邮件。

安装配置postfixadmin；

创建虚拟域及99个邮件用户

mailuser1~mailuser99。虚拟用户映射至本地用户vmail和用户组

vmail，UID和GID均为2000；

使用mailuser1@向mailuser2@发

送测试邮件，邮件标题为“justtestmailfrommailuser1”，邮

件内容为“hello,mailuser2”；

使用mailuser2@向mailuser1@发

送测试邮件，邮件标题为“justtestmailfrommailuser2”，邮

件内容为“hello,mailuser1”；

添加广播邮箱地址all@，当该邮箱收到邮件时，所

有用户都能在自己的邮箱中查看。使用mailuser1@

向all@发送测试邮件，邮件标题为“testall”，

邮件内容为“hello,testall”；

使用网站测试邮件发送与接收；

6.CA（证书颁发机构）

CA根证书路径/csk-rootca/csk-ca.pem；

签发数字证书，颁发者信息：(仅包含如下信息)

C=CN

ST=China

L=BeiJing

O=skills

OU=OperationsDepartments

CN=CSKGlobalRootCA

7.IPTABLES

修改INPUT和FORWARD链默认规则为DROP，添加必要的放行规则，

在确保安全的前提下，最小限度放行流量通信；

9/12

网络系统管理赛项-模块C：Linux部署

放行ICMP流量。

（四）服务器StorageSrv上的工作任务

1.iSCSI

添加1块大小为10G的虚拟硬盘；

安装iSCSI服务端targetcli；

使用新增加的硬盘创建卷组，名称为iscsivg，再创建iSCSI共享逻

辑卷，逻辑卷名称为iscsistore，大小为5G；

使用上述逻辑卷创建后端存储，名称为serverc.iscsistore；

定义iSCSI的IQN为.rj.iscsi:serverc；

IQN下添加提供iSCSI服务的IP地址与端口，其中IP地址为服务器

地址，端口为3260；

使用后端存储创建LUN0，并在属性设置中关闭认证；

仅允许RouterSrv进行连接访问；

2.NFS

共享/webdata/目录；

用于存储AppSrv主机的WEB数据；

仅允许AppSrv主机访问该共享。

3.VSFTPD

安装并启用vsftpd服务；

用户webadmin，登录ftp服务器，根目录为/webdata/；

登录后限制在自己的根目录；

允许webadmin管理员上传和下载文件，但是禁止上传后缀名

为.doc、.docx、.xlsx的文件；

4.SAMBA

创建samba共享，本地目录为/skills/doc，要求：

共享名为cskdoc；

允许ldap用户上传和下载文件；

创建samba共享，本地目录为/skills/public，要求：

共享名为cskshare；

允许匿名访问；

所有用户都能上传文件，但是仅允许usr01用户删除文件；

5.LDAP