試題

第46屆世界技能大賽貴州省集訓(xùn)選

拔網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目模塊A-Linux

命題：技術(shù)專家組

網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊AVersion:1.01/9

目錄

1.介紹3

2.試題和任務(wù)描述3

3.基本配置4

4.任務(wù)需求5

域名解析5

網(wǎng)絡(luò)時(shí)間服務(wù)5

網(wǎng)站服務(wù)5

CDN6

郵件服務(wù)6

數(shù)據(jù)存儲(chǔ)服務(wù)7

網(wǎng)絡(luò)安全7

自動(dòng)化運(yùn)維8

5.拓?fù)鋱D9

網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊AVersion:1.02/9

1.介紹

比賽規(guī)定開始時(shí)間和結(jié)束時(shí)間，請(qǐng)合理分配您的時(shí)間。

請(qǐng)仔細(xì)閱讀以下要求！

比賽時(shí)間結(jié)束時(shí)，請(qǐng)將您工作站保持運(yùn)行狀態(tài)，評(píng)分會(huì)在您保持的運(yùn)

行狀態(tài)進(jìn)行。不允許重新啟動(dòng)，關(guān)機(jī)的機(jī)器不會(huì)再啟動(dòng)。

以下信息請(qǐng)用于所有服務(wù)器和客戶端。

登錄

Username:root

Password:Skill39!

Username:skill39

Password:Skill39!

注：若非特別指定，所有賬號(hào)的密碼均為Skills39!

系統(tǒng)配置

Region:China

Locale:EnglishUS(UTF-8)

KeyMap:EnglishUS

當(dāng)任務(wù)是配置SSL或者TLS，如要求隱藏所有警告，請(qǐng)小心執(zhí)行。

軟件

出于測(cè)試目的，所有主機(jī)都應(yīng)該裝以下測(cè)試工具：smbclient,curl,lynx,

dnsutils,ldap-utils,ftp,lftp,wget,ssh,nfs-common,rsync,

telnet,traceroute，ntpdate，lsof，nmap，mailutils

2.試題和任務(wù)描述

這是一個(gè)典型的公司內(nèi)外網(wǎng)連接網(wǎng)絡(luò)架構(gòu)。你作為一名IT網(wǎng)絡(luò)系統(tǒng)管理

員，需要根據(jù)該拓?fù)錁?gòu)建一個(gè)完整的公司應(yīng)用系統(tǒng)，并保障該系統(tǒng)的穩(wěn)定運(yùn)

行。該應(yīng)用系統(tǒng)應(yīng)該具有良好的性能，可擴(kuò)展性，穩(wěn)定性，以及安全性，并

定期備份以保證數(shù)據(jù)安全。你應(yīng)該從客戶端進(jìn)行測(cè)試，確保能正常訪問到你

的應(yīng)用系統(tǒng)。

更多信息參見以下具體要求。

網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊AVersion:1.03/9

3.基本配置

服務(wù)器和客戶端

DeviceHostnameFQDNIPAddressService

dns（bind,dnsmasq）,

ntp(ntpd,chrony),

Server01server0131

proxy(squid,nginx),

webserver(nginx,apache)

webserver(nginx,apache),

Server02server0201ftp(vsftpd,proftpd),

mail(postfix,dovecot)

nfs,

Server03server0302ldap(openldap),

samba

vpn(openvpn),

54

dhcp(dhcpd,dnsmasq),

Router01router0154

firewall(iptables),

54

shellscript(bash)

53firewall(iptables),

Router02router02

54dhcp(dhcpd,dnsmasq)

Client01client01192.168.10.xnone

Client02client0210.10.10.xnone

網(wǎng)絡(luò)

NetworkCIDRDomain

office/24

service28/25

public24/27

internet40/28

網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊AVersion:1.04/9

4.任務(wù)需求

域名解析

由外網(wǎng)的Server01提供域名解析服務(wù)；

使用bind服務(wù)。

為域提供必要的域名解析

為域提供必要的域名解析

網(wǎng)絡(luò)時(shí)間服務(wù)

由Server01使用chrony為全網(wǎng)提供時(shí)間同步服務(wù)器；

Server02、Server03應(yīng)定期與其校正時(shí)間。

每隔5分鐘自動(dòng)校正一次時(shí)間。

網(wǎng)站服務(wù)

skbt公司的門戶網(wǎng)站；

使用apache服務(wù)；

網(wǎng)頁文件放在/htdocs/skbt；

服務(wù)以用戶webuser運(yùn)行；

首頁內(nèi)容為“ThisisthefrontpageofSKBT'swebsite.”;

/htdocs/skbt/staff.html內(nèi)容為“StaffInformation”；

該頁面需要員工的賬號(hào)認(rèn)證才能訪問；

員工賬號(hào)存儲(chǔ)在ldap中，賬號(hào)為liumei、luyun。

網(wǎng)站使用https協(xié)議；

SSL使用Server01頒發(fā)的證書,頒發(fā)給:

C=CN

ST=Guangdong

L=Guangzhou

O=Worldskills

OU=OperationsDepartments

CN=*.

網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊AVersion:1.05/9

Sever01的CA證書路徑：/CA/cacert.pem

簽發(fā)數(shù)字證書，頒發(fā)者：

C=US;

O=SymantecCorporation

OU=SymantecTrustNetwork

CN=SymantecClass3SecureServerCA-G4

客戶端訪問https時(shí)應(yīng)無瀏覽器（含終端）安全警告信息；

當(dāng)用戶使用http訪問時(shí)自動(dòng)跳轉(zhuǎn)到https安全連接；

當(dāng)用戶使用或（any代表任意網(wǎng)址前綴）

訪問時(shí)，自動(dòng)跳轉(zhuǎn)到。

關(guān)閉不安全的服務(wù)器信息;

使用ftp服務(wù)上傳網(wǎng)頁代碼。

使用vsftpd服務(wù)；

ftp的上傳文件根目錄即為web服務(wù)器的網(wǎng)站根目錄；

ftp登錄的用戶為ftpuser；

通過ftp上傳的文件用戶為webuser,文件權(quán)限為644，目錄權(quán)

限為755。

server01上；

外網(wǎng)網(wǎng)絡(luò)服務(wù)商綠色公益網(wǎng)站；

使用apache服務(wù)；

網(wǎng)頁內(nèi)容為“綠色環(huán)保安全護(hù)航”。

當(dāng)DNS解析出錯(cuò)時(shí)，或訪問的網(wǎng)站被禁止時(shí)，用戶的訪問請(qǐng)求被重定

向到服務(wù)商頁面。

被禁止訪問的網(wǎng)址為virus01--(01-99為連續(xù))

CDN

為提供內(nèi)容緩存服務(wù)。

使用Squid服務(wù)；

郵件服務(wù)

skbt公司員工郵箱；

網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊AVersion:1.06/9

使用postfix、dovecot服務(wù)；

采用imap協(xié)議；

員工賬號(hào)為“l(fā)iumei”、“l(fā)uyun”，郵箱后綴為@；

Client01安裝claws-mail，配置為liumei的郵件客戶端；

Client02安裝evolution，配置為luyun的郵件客戶端；

提供的網(wǎng)頁版郵箱；

采用https協(xié)議；

群發(fā)郵件郵箱地址為all@;

公司應(yīng)用后臺(tái)自動(dòng)回復(fù)地址為service@。

數(shù)據(jù)存儲(chǔ)服務(wù)

通過nfs共享把公司網(wǎng)站的數(shù)據(jù)存儲(chǔ)到存儲(chǔ)服務(wù)器server03上;

員工的數(shù)據(jù)通過samba存儲(chǔ)到存儲(chǔ)服務(wù)器及共享，不同部門、不同職

級(jí)的員工根據(jù)公司業(yè)務(wù)邏輯享有不同資源的不同訪問和寫入權(quán)限；

共享目錄/share/public，共享名public;

可匿名只讀訪問；

共享目錄/share/upload,共享名upload;

所有登錄用戶可上傳文件，但只能查看和刪除自己上傳的文件，

不能查看和刪除別人的文件;

可登錄的用戶為liumei、luyun。

員工的賬號(hào)(liumei、luyun)通過ldap形式存儲(chǔ)在Server03，客戶

端登錄、samba權(quán)限、網(wǎng)站權(quán)限、郵件賬號(hào)密碼實(shí)現(xiàn)一站式集中管理；

存儲(chǔ)服務(wù)器應(yīng)采用先進(jìn)的、穩(wěn)定的、冗余的磁盤陣列技術(shù)來保障數(shù)據(jù)

安全。

使用4塊1G的磁盤組成raid10，增加1塊熱備盤，并在RAID的

基礎(chǔ)上建立邏輯卷/dev/vgsam/lvsam。

網(wǎng)絡(luò)安全

對(duì)于office、service網(wǎng)絡(luò)，采用標(biāo)準(zhǔn)的DMZ網(wǎng)絡(luò)設(shè)計(jì)原則；

外網(wǎng)可以訪問service，service可以訪問外網(wǎng)；

外網(wǎng)不可以訪問office(vpn連接除外)，office可以訪問外網(wǎng)；

office可以訪問service，service不可以訪問office;

網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊AVersion:1.07/9

所有拒絕訪問策略請(qǐng)使用立即返回拒絕信息。

router01的以上網(wǎng)絡(luò)的唯一入口，唯一對(duì)外地址由網(wǎng)絡(luò)服務(wù)商的路

由設(shè)備router02動(dòng)態(tài)分配；

router01為office網(wǎng)絡(luò)的員工電腦自動(dòng)分配IP、DNS、GW；

使用dnsmasq服務(wù)；

在router02上采用嚴(yán)格的白名單策略（fliter中chian默認(rèn)均為

drop），只允許訪問有限的必要的服務(wù)；

router02為public網(wǎng)絡(luò)的客戶端電腦自動(dòng)分配IP、DNS、GW；

使用dnsmasq服務(wù)；

處于外網(wǎng)的客戶端可以通過VPN撥號(hào)連接到公司的辦公網(wǎng)絡(luò)。

VPN客戶端撥號(hào)使用命令systemctlstartopenvpn@client；

比賽結(jié)束時(shí)請(qǐng)保持客戶端VPN是未連接的狀態(tài)。

自動(dòng)化運(yùn)維

服務(wù)監(jiān)控腳本：/shells/c