局域网管理（信息安全）职工组职业技能竞赛决赛样题.pdf

《局域网管理（信息安全）职工组职业技能竞赛决赛样题.pdf》由会员分享，可在线阅读，更多相关《局域网管理（信息安全）职工组职业技能竞赛决赛样题.pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2018年深圳技能大赛一局域网管理(信息安全)职业技能竞赛决赛样题职工组赛题说明一、竞赛内容分布局域网管理与安全部署项目二、竞赛注意事项(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。(2)请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。(3)本试卷共有两个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。(4)操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状 态，不要拆、动硬件连接。(5)比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。(6)所有需要提

2、交的文档均放置在桌面的PC1 比赛文档 文件夹中，禁止在纸质资料上填写与竞赛无关的标记，如违反规定，可视为0分。(7)裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，文档中有对应题目的小标题，截图有截图的简要说明，否则按无效内容处理。(8)与比赛相关的工具软件放置在D盘 的tools文件夹中。项目简介：某高等院校为了实现快捷的信息交流和资源共享，需要构建统一网络，整合校园所有相关业务流程。学校采用双核心的高可靠网络构架，将网络规划分为园区网与数据中心两大部分，数据中心又被分为服务器区与互联网接入区，同时通过采用防火墙从而保证网络安全。在园区网部分

3、，学校为了安全管理每个部门的用户，使 用 VLAN技术将每个部门的用户划分到不同的VLAN中，并通过Trunk链路实现跨交换机的二层通信，重要链路采用Port-Channel技术冗余备份。通过典型的MSTP与 VRRP技术构建成熟可靠的园区网络。在数据中心部分，学校把服务器托管到运营商的IDC机房，但设备的软件维护仍由学校自己完成。为了保障学校业务数据流传输的高可用性，使用防火墙进行保证网络安全。网络采用RIP动态路由协议和0SPF动态路由协议，通过双点双向重发布实现路由互通从而保证网络高效可靠。拓扑结构图3/9ISP4/9表 1 .网络设备IP地址分配表表 1 网络设备IP 地址分配表设备设

4、备名称设备接口IP地址/掩码防火墙DCFW1800-AEthO/510.1.6.3/24EthO/610.1.8.3/24EthO/l200.1.1.1/24EthO/2172.16.16.254/24DCFW1800-BEthO/510.1.7.3/24EthO/610.1.9.3/24EthO/l201.1.1.1/24路由器DCR2566-AGO/310.1.3.2/24GO/410.1.1.2/24G0/510.1.6.2/24GO/610.1.7.2/24DCR2566-BGO/310.1.2.2/24GO/410.1.4.2/24GO/510.1.8.2/24GO/610.1.9.

5、2/24三层交换机DCRS6200-AVLAN10 SVI10.1.10.1/24VLAN20 SVI10.1.20.1/24VLAN23 SVI10.1.2.1/24VLAN24 SVI10.1.1.1/24VLAN30 SVI10.1.30.1/24VLAN40 SVI10.1.40.1/24DCRS6200-BVLAN10 SVI10.1.10.2/24VLAN20 SVI10.1.20.2/24VLAN23 SVI10.1.3.1/24VLAN24 SVI10.1.4.1/24VLAN30 SVI10.1.30.2/24VLAN40 SVI10.1.40.2/24VLAN110 SVI

6、192.168.110.254/24无线控制器192.168.110.253/24竞赛题目局域网管理（信息安全）【注意事项】5/9(1)设备c o n s o l e 线有两条。交换机、A C、防火墙使用同一条c o n s o l e 线，路由器使用另外一条c o n s o l e 线。(2)设备配置完毕后，保存最新的设备配置。保存文档方式分为两种：交换机和路由器要把s h o w r u n n i n g-c o n f i g 的配置保存在P C 1 桌面的相应文档中，文档命名规则为：设备名称.d o c,例如：R T 1 路由器文件命名为：R T l.d o c,然后放入到P C

7、1 桌面上“比赛文档”文件夹中。防火墙等截图方式的设备，把截图的图片放到同一 w o r d 文档中，防火墙必须使用命令行配置的部分将命令复制到截图的文档最后一部分，文档命名规则为：设备名称.d o c,例如：防火墙F W 1 文件命名为：F W 1.d o c,保存后放入到P C 1 桌面上“比赛文档”文件夹中。1、物理连接(1)按照网络拓扑图制作以太网网线，并连接设备。要求符合T 5 6 8 A 和 T 5 6 8 B 的标准，其线缆长度适中。(2)根据“拓扑结构图”及图中的端口连接关系和“表 1:网络设备I P 地址分配表”所示，对网络中的所有设备接口配置I P 地址。2、交换机配置(1

8、)园区网的交换网络中，有 4 个 V L A N。管理人员使用V L AN1 0,名字为a d m in；教师人员使用V L AN2 0,名字为t e a c he r；技术人员使用V L AN3 0,名字为t e c hn ic ist；学生人员使用V L AN4 0,名字为st u d e n t。V L AN的命名需在所有拥有该V L AN的交换机上完成。按下表要求将端口加入V L AN：(2)DCR S 6 2 0 0-A 和 DCR S 6 2 0 0-B 分别通过 Et hl/0/2 1,Et hl/0/2 2 接口相互连接,设备名称VLAN叩 如端口DCS460010adminE

9、thl/0/1-420teaccherEthl/0/5-830technicistEthl/0/9-1240studentEthl/0/13-16把这2 个接口捆绑成一个逻辑接口，采用动态方式进行链路聚合。(3)DCR S 6 2 0 0-A 和 DCR S 6 2 0 0-B 通过 Et hl/0/2 1,Et hl/0/2 2 接口相互连接;DCR S 6 2 0 0-A 的 Et hl/0/1 9 连接 DCS 4 6 0 0 的 Et hl/0/1 9；DCR S 6 2 0 0-B 的Et hl/0/1 8 连接 AC 的 Et hl/O/1,Et hl/0/2 0 连接 DCS 4

10、 6 0 0 的 Et hl/0/2 0,6/9Et hll/0/1 9 连接 DCAP 8 2 0 0 的 Et hl。将 DCR S 6 2 0 0-A,DCR S 6 2 0 0-B,DCS 4 6 0 0,的互联接口均修改为T R U NK 接口，配置合理所有链路上不允许不必要VLAN的数据流通过。(4)DCR S 6 2 0 0-A,DCR S 6 2 0 0-B,DCS 4 6 0 0,上均运行 MS T P。V AL N1 0,3 0 在 in st a n c e1 上，in st a n c e 1 的根交换机是DCR S 6 2 0 0-B,备份根交换机是DCR S 6 2

11、 0 0-A；V AL N2 0,4 0 在 in st a n c e 2 上,in st a n c e 2 的根交换机是 DCR S 6 2 0 0-A,备份根交换机 DCR S 6 2 0 0-B。MS T P 的 re g io n-n a m e 为 DCN,re v isio n-le v e l 为1,DCS 4 6 0 0 的 Et hl/0/l接口连接P C,接口 U P 后需要立即处于转发状态，AC与AP 分别连接到DCR S 5 9 6 0-B上的相应接口不参与MS T P 计算。(5)在总部所有交换设备上开启telnet管理功能，允许只有一个本地认证用户，登陆后即可查

12、看和修改配置，本地认证用户名：2018DCN,密 码：pwddcn;3、业务配置(DDCR S 6 2 0 0-A配置DHCP 下发I P 地址段，对应关系如下：V L AN1 0 使用 1 0.1.1 0.0/2 4,网关 1 0.1.1 0.2 5 4,DNS 8.8.8.8,租约时间 2 天；V L AN2 0 使用 1 0.1.2 0.0/2 4,网关 1 0.1.2 0.2 5 4,DNS 8.8.8.8,租约时间 2 天；V L AN3 0 使用 1 0.1.3 0.0/2 4,网关 1 0.1.3 0.2 5 4,DNS 8.8.8.8,租约时间 2 天；V L AN4 0 使用

13、 1 0.1.4 0.0/2 4,网关 1 0.1.4 0,2 5 4,DNS 8.8,8.8,租约时间 2 天。注意排除各网段中已经静态指定的I P 地址。4、路由配置与调试完成园区网、数据中心服务器区互联互通，使园区网、数据中心可以通过防火墙访问isP o 解决配置过程中出现的问题并进行路由优化。(DDCR S 6 2 0 0-A,DCR S 6 2 0 0-B分别采用V R R P 技术实现虚拟网关技术，其中V L AN1 0,3 0 的 Ma st e r 位于 DCR S 6 2 0 0-A,V L AN2 0,4 0 的 Ma st e r 位于 DCR S 6 2 0 0-B。(

14、2)园区网中 DCR S 6 2 0 0-A,DCR S 6 2 0 0-B,DCR 2 5 6 6-A,DCR 2 5 6 6-B 之间使用 R I P v 2,数据中心网络 DCR 2 5 6 6-A,DCR 2 5 6 6-B,DCFW 1 8 0 0-A,DCFW 1 8 0 0-B 之间使用 0 S P FAR EA0,进程号为1 0 0 o7/9(3)DCR 2 5 6 6-A与DCR 2 5 6 6-B中的OS P F与 R I P 进行双点双向重发布。(4)在 DCR 2 5 6 6-A与 DCR 2 5 6 6-B上通过ro u t e-m a p 解决重发布带来的环路问题。

15、5、无线配置(l)AC配 置 V L AN1 1 0 为 A P的 管 理 V L AN,A P动态方式注册到A C,网关1 9 2.1 6 8.1 1 0.2 5 4 在 DCR S 6 2 0 0-B 上,AC 管理 I P 为 1 9 2.1 6 8.1 1 0.2 5 3；数据 V L AN为 1 1 1 和 2 2 2,分别下发网段 1 9 2.1 6 8.1 1 1.0/2 4,1 9 2.1 6 8.2 2 2.0/2 4,网关为最后一个可用I P,DNS:8.8.8.8,需要排除网关；(2)设 置 S S I D DCN6 6,加密模式为w p a-p e rso n a l,

16、信号隐藏，其口令为：1 1 1 1 1 1 1 1,V L AN1 1 1,参数使用 network 99;(3)设置S S I D G U ES T 不进行认证加密，V L AN 2 2 2,参数使用network 100;(4)设置已有AP信道和发射功率每隔10小时自动调节；配置A P在脱离AC管理时依然可以正常工作。6、安全部分(1)FWl,FW2 配置 tru nst,u ntru nst 和相应策略；(2)FW1、FW2 配置内网用户的管理人员、教师人员和技术人员均可使用外网口访问互联网(3)FW1 上要实现服务器1 7 2.1 6.1 6.1/2 4 的8 0 端口映射出公网,使公

17、网用户可以访问服务器(4)FW1,FW2 攻击防护启以下Flood 防护：IC M P 洪水攻击防护，警戒值1 0 0 0,动作丢弃；U DP 供水攻击防护，警戒值1 0 0 0,动作丢弃；S YN 洪水攻击防护，警戒值1 0 0 0,动作丢弃；开启以下DO S 防护：8/9P ing of Dea th攻击防护；T ea rd rop攻击防护；IP 选项，动作丢弃；IC M P 大包攻击防护，动作丢弃；(5)FW1 为防止A R P 欺骗攻击，将服务器0 0 0 1.0 1 0 1.0 1 0 1 与其IP 1 7 2.1 6.1 6.2 4 0在 FW1 配置绑定；(6)配置S S L VP N,使外网用户通过IS P 可以拨入连接总结服务器区域；用户名：u serl密码u serl下发地址范围：1 0.1 0.1 0.1 0-2 0(7)FW1 实现公司用户访问Internet控制、审计，要求禁止用户使用M S N、Q Q 和雅虎通聊天，并记录日志；对 HT T P 应用的行为进行控制和审计附设备操作手册:,局域网管理大赛复习资料.rar9/9