《局域网管理(信息安全)职工组职业技能竞赛决赛样题.docx》由会员分享,可在线阅读,更多相关《局域网管理(信息安全)职工组职业技能竞赛决赛样题.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2018年深圳技能大赛局域网管理(信息安全)职业技能竞赛决赛样题职工组赛题说明一、竞赛内容分布局域网管理与安全部署工程二、竞赛考前须知(1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。(2 )请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料 清单是否齐全,计算机设备是否能正常使用。(3)本试卷共有两个局部。请选手仔细阅读比赛试卷,按照试卷要求完成各 项操作。(4)操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行 状态,不要拆、动硬件连接。(5)比赛完成后,比赛设备、软件和赛题请保存在座位上,禁止将比赛所用 的所有物品(包括试卷和草纸)带离赛场。(6 )所
2、有需要提交的文档均放置在桌面的PC1 比赛文档文件夹中,禁止 在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。(7)裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档 必须按照赛题所规定的命名规那么命名,文档中有对应题目的小标题,截图有截图的 简要说明,否那么按无效内容处理。(8 )与比赛相关的工具软件放置在D盘的tools文件夹中。工程简介:某高等院校为了实现快捷的信息交流和资源共享,需要构建统一网络,整合校 园所有相关业务流程。学校采用双核心的高可靠网络构架,将网络规划分为园区网 与数据中心两大局部,数据中心又被分为服务器区与互联网接入区,同时通过采用 防火墙从而保证
3、网络安全。在园区网局部,学校为了安全管理每个部门的用户,使用VLAN技术将每个部 门的用户划分到不同的VLAN中,并通过Trunk链路实现跨交换机的二层通信,重 要链路采用Port-Channel技术冗余备份。通过典型的MSTP与VRRP技术构建成熟可 靠的园区网络。在数据中心局部,学校把服务器托管到运营商的IDC机房,但设备 的软件维护仍由学校自己完成。为了保障学校业务数据流传输的高可用性,使用防 火墙进行保证网络安全。网络采用RIP动态路由协议和0SPF动态路由协议,通过 双点双向重发布实现路由互通从而保证网络高效可靠。拓扑结构图3/9PCl-4数据中心-0园区网24 DCRS6200 A
4、DCS44、c uu:CR265S AKJS DCR2655 Bh215 受雷 18 M200 BDCWS-6028 (IMCLOUD )ooDCAP8200一 ,4/9表1.网络设备IP地址分配表表1网络设备IP地址分配表设备设备名称设备接口IP地址/掩码防火墙DCFW1800-AEthO/5EthO/6EthO/1EthO/2DCFW1800-BEthO/5EthO/6EthO/1路由器DCR2566-AGO/3GO/4GO/5GO/6DCR2566-BGO/3GO/4GO/5GO/6三层交换机DCRS6200-AVLAN10 SVIVLAN20 SVIVLAN23 SVIVLAN24 S
5、VIVLAN30 SVIVLAN40 SVI10.1.40,1/24DCRS6200-BVLAN10 SVIVLAN20 SVIVLAN23 SVIVLAN24 SVIVLAN30 SVI10.1.30,2/24VLAN40 SVI10.1.40,2/24VLAN110 SVI无线控制 器192,168,110.253/24竞赛题目局域网管理(信息安全)【考前须知】5/9(1)设备console线有两条。交换机、AC防火墙使用同一条console线,路由 器使用另外一条console线。(2)设备配置完毕后,保存最新的设备配置。保存文档方式分为两种:交换机和路由器要把show running-
6、config的配置保存在PC1桌面的相应文档 中,文档命名规那么为:设备名称.doc,例如:RT1路由器文件命名为:RTl.doc,然 后放入到PC1桌面上“比赛文档”文件夹中。防火墙等截图方式的设备,把截图的图片放到同一 word文档中,防火墙必须 使用命令行配置的局部将命令复制到截图的文档最后一局部,文档命名规那么为:设 备名称.doc,例如:防火墙FW1文件命名为:FW1. doc,保存后放入到PC1桌面上 “比赛文档”文件夹中。1、物理连接(1)按照网络拓扑图制作以太网网线,并连接设备。要求符合T568A和T568B的 标准,其线缆长度适中。(2)根据“拓扑结构图”及图中的端口连接关系
7、和“表1:网络设备IP地址分配 表”所示,对网络中的所有设备接口配置IP地址。2 .交换机配置(1)园区网的交换网络中,有4个VLAN。管理人员使用VLAN10,名字为admin; 教师人员使用VLAN20,名字为teacher;技术人员使用VLAN30,名字为 technicist;学生人员使用VLAN40,名字为studento VLAN的命名需在所有 拥有该VLAN的交换机上完成。按下表要求将端口加入VLAN:设备名称VLAN叩苦端口DCS460010adminEthl/0/1-420teaccherEthl/0/5-830technicistEthl/0/9-1240studentEt
8、hl/0/13-16(2)DCRS6200-A 和 DCRS6200-B 分别通过 Ethl/0/21, Ethl/0/22 接口相互连接,把这2个接口捆绑成一个逻辑接口,采用动态方式进行链路聚合。(3)DCRS6200-A 和 DCRS6200-B 通过 Ethl/0/21, Ethl/0/22 接口相互连接;DCRS6200-A 的 Ethl/0/19 连接 DCS4600 的 Ethl/0/19; DCRS6200-B 的Ethl/0/18 连接 AC 的 Ethl/0/1, Ethl/0/20 连接 DCS4600 的 Ethl/0/20,6/9Ethll/0/19 连接 DCAP82
9、00 的 Ethl。将 DCRS6200-A, DCRS6200-B, DCS4600,的互联接口均修改为TRUNK接口,配置合理 所有链路上不允许不必要VLAN 的数据流通过。(4)DCRS6200-A, DCRS6200-B, DCS4600,上均运行 MSTP。VALN10, 30 在 instance 1上,instance 1的根交换机是DCRS6200-B,备份根交换机是DCRS6200-A; VALN20, 40 在 instance 2 上,instance 2 的根交换机是 DCRS6200-A,备份 根交换机 DCRS6200-B。MSTP 的 region-name 为
10、DCN, revision-level 为 L DCS4600的Ethl/0/l接口连接PC,接口 UP后需要立即处于转发状态, AC与AP分别连接到DCRS5960-B上的相应接口不参与MSTP计算。(5)在总部所有交换设备上开启telnet管理功能,允许只有一个本地认证用户,登陆后即可查看和修改配置,本地认证用户名:2018DCN,密码:pwddcn ;3 .业务配置(DDCRS6200-A配置DHCP下发IP地址段,对应关系如下:VLAN 10 使用 10.1.10.0/24,网关 10. 1. 10. 254,DNS8. 8. 8. 8,租约时间2天;VLAN20 使用 10.1.20
11、.0/24,网关 10. 1. 20. 254,DNS8. 8. 8. 8,租约时间2天;VLAN30 使用 10.1.30.0/24,网关 10. 1. 30. 254,DNS8. 8. 8. 8,租约时间2天;VLAN40 使用 10.1.40.0/24,网关 10. 1. 40. 254,DNS8. 8. 8. 8,租约时间2天。注意排除各网段中已经静态指定的IP地址。4 .路由配置与调试完成园区网、数据中心服务器区互联互通,使园区网、数据中心可以通过 防火墙访问ISPo解决配置过程中出现的问题并进行路由优化。(DDCRS6200-A, DCRS6200-B分别采用VRRP技术实现虚拟网
12、关技术,其中 VLAN10, 30 的 Master 位于 DCRS6200-A, VLAN20, 40 的 Master 位于 DCRS6200-B。(2)园区网中 DCRS6200-A, DCRS6200-B,DCR2566-A,DCR2566-B 之间使用 RIPv2, 数据中心网络 DCR2566-A, DCR2566-B, DCFW1800-A, DCFW1800-B 之间使用 0SPF AREA0,进程号为100o7/9(3)DCR2566-A与DCR2566-B中的OSPF与RIP进行双点双向重发布。(4)在DCR2566-A与DCR2566-B上通过route-map解决重发布
13、带来的环路问题。5 .无线配置(DAC配置VLAN110为AP的管理VLAN, AP动态方式注册到AC,网关 192. 168. 110. 254 在 DCRS6200-B 上,AC 管理 IP 为 192. 168. 110. 253;数据 VLAN 为 111 和 222,分别下发网段 192. 168. 111.0/24, 192. 168.222. 0/24,网关为最 后一个可用IP, DNS:8.8.8.8,需要排除网关;(2)设置SSID DCN66,加密模式为wpa-personal,信号隐藏,其口令为: 11111111, VLAN111,参数使用 network 99 ;(3
14、)设置SSID GUEST不进行认证加密,VLAN 222,参数使用network 100;(4)设置已有AP信道和发射功率每隔10小时自动调节;配置AP在脱离AC 管理时依然可以正常工作。6、安全局部(1)FW1, FW2 配置 trunst, untrunst 和相应策略;(2)FW1、FW2配置内网用户的管理人员、教师人员和技术人员均可使用外网口 访问互联网(3)FW1上要实现服务器172. 16. 16. 1/24的80端口映射出公网,使公网用户可 以访问服务器(4)FW1, FW2攻击防护启以下Flood防护:ICMP洪水攻击防护,警戒值1000,动作丢弃;UDP供水攻击防护,警戒值
15、1000,动作丢弃;SYN洪水攻击防护,警戒值1000,动作丢弃; 开启以下DOS防护:8/9Ping of Death攻击防护;Teardrop攻击防护;IP选项,动作丢弃;ICMP大包攻击防护,动作丢弃;(5)FW1为防止ARP欺骗攻击,将服务器0001. 0101. 0101与其IP 172. 16. 16. 240 在FW1配置绑定;(6)配置SSL VPN,使外网用户通过ISP可以拨入连接总结服务器区域;用户名:userl密码userl下发地址范围:10. 10. 10. 10-20(7)FW1实现公司用户访问Inteaet控制、审计,要求禁止用户使用MSN、QQ和 雅虎通聊天,并记录日志;对HTTP应用的行为进行控制和审计附设备操作手册:局域网管理大赛复习资料.rar9/9