2022 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷第二部分网络搭建及安全部署——部分答案

最新推荐文章于 2024-04-15 01:15:00 发布

立志成为网安大牛

最新推荐文章于 2024-04-15 01:15:00 发布

阅读量1k

点赞数 29

文章标签：网络安全服务器

本文链接：https://blog.csdn.net/wangluoanquan111/article/details/137011069

版权

交换机

1.SW3 针对每个业务 VLAN 的第一个接口配置 Loopback 命令，模拟

接口 UP，方便后续业务验证与测试

SW3(config)#int e1/0/5 
SW3(config-if-ethernet1/0/5)#loopback

2.SW1、SW2、SW3 启用 MSTP，实现网络二层负载均衡和冗余备份，创建实例

Instance10 和 Instance20，名称为 SKILLS，修订版本为 1，其中 Instance10 关

联 vlan60 和 vlan70，Instance20 关联 vlan80 和 vlan90。

SW1(config)#spanning-tree mode mstp 
SW1(config)#spanning-tree mst configuration 
SW1(config-mstp-region)#name SKILLS			命名
SW1(config-mstp-region)#revision-level 1			修订版本为1
SW1(config-mstp-region)#instance 10 vlan 60;70		创建实例10关联60；70
SW1(config-mstp-region)#instance 20 vlan 80;90		创建实例20关联80；90

SW1 为 Instance0 和Instance10 的根交换机，为 Instance20 备份根交换机；SW2 为 Instance20 根交

换机，为 Instance0 和 Instance10 的备份根交换机；根交换机 STP 优先级为 0，

备份根交换机 STP 优先级为 4096。关闭交换机之间三层互联接口的 STP。

CS6200-28X-EI(config)#spanning-tree mst 0 priority 0
SW1(config)#spanning-tree mst 10 priority 0   
SW2(config)#spanning-tree mst 20 priority 0
CS6200-28X-EI(config)#no spanning-tree

3.SW1 和 SW2 之间利用三条裸光缆实现互通，其中一条裸光缆承载三层 IP

业务、一条裸光缆承载 VPN 业务、一条裸光缆承载二层业务。用相关技术分别实

现财务 1 段、财务 2 段业务路由表与其它业务路由表隔离，财务业务 VPN 实例名

称为 CW。

int e1/0/27
SW1(config-if-ethernet1/0/27)#switchport access vlan 1027
SW1(config)#int vlan 1027
SW1(config-if-vlan1027)#ip vrf forwarding CW
SW1(config-if-vlan1027)#ip add 10.60.254.2 255.255.255.255

承载二层业务的只有一条裸光缆通道，配置相关技术，方便后续链路扩

容与冗余备份，编号为 1，用 LACP 协议，SW1 为 active，SW2 为 active；

SW1(config)#port-group 1
SW1(config)#int port-channel 1
SW1(config-if-port-channel1)#switchport mode trunk 
SW1(config-if-port-channel1)#int e1/0/28
SW1(config-if-ethernet1/0/28)#port-group 1 mode active 
SW2(config)#port-group 1
SW2(config)#int port-channel 1
SW2(config-if-port-channel1)#switchport mode trunk 
SW2(config-if-port-channel1)#int e1/0/28
SW2(config-if-ethernet1/0/28)#port-group 1 mode active

采用源、目的 IP 进行实现流量负载分担。

SW1(config)#load-balance dst-src-ip 
SW2(config)#load-balance dst-src-ip

4.将 SW3 模拟为 Internet 交换机，实现与集团其它业务路由表隔离，

Internet 路由表 VPN 实例名称为 Internet。将 SW3 模拟办事处交换机，实现与集团其它业务路由表隔离，办事处路由表 VPN 实例名称为
Guangdong。

5.SW1 法务物理接口限制收发数据占用的带宽均为 1000Mbps，

CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#bandwidth control 1000000 both

限制所有报文最大收包速率为 1000packets/s，如果超过了配置交换机端口的报文最大收包速

率则关闭此端口，1 分钟后恢复此端口；

CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#flow control 	打开流控功能
CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation all 10000 
设置BUM报文速率  1 packet每秒(pkts/s)等于10比特每秒(bits/s)
CS6200-28X-EI(config-if-ethernet1/0/3)#rate-violation control shutdown recovery 60

启用端口安全功能，最大安全 MAC 地址数为 20，当超过设定 MAC 地址数量的最大值，不学习新的 MAC、丢弃数据包、发snmp trap、同时在
syslog 日志中记录，端口的老化定时器到期后，在老化周期

中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为 10 分钟；

CS6200-28X-EI(config)#mac-address-learning cpu-control 开启cpu控制学习mac，这样才能开启接口的端口安全功能
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security 	启用端口安全
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security maximum 20
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security violation restrict 
restrict限制模式，不学习新的mac，丢弃数据包，发snmp trap，同时在syslog日志中记录
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging type inactivity
CS6200-28X-EI(config-if-ethernet1/0/3)#switchport port-security aging time 10  不确定

禁止采用访问控制列表，只允许 IP 主机位为 20-50 的数据包进行转发；

CS6200-28X-EI(config)#am enable
CS6200-28X-EI(config)#int e1/0/3
CS6200-28X-EI(config-if-ethernet1/0/3)#am port  
CS6200-28X-EI(config-if-ethernet1/0/3)#am ip-pool 10.10.13.20 30  允许20之后的30个IP地址使用

禁止配置访问控制列表，实现端口间二层流量无法互通，组名称 FW。

CS6200-28X-EI(config)#isolate-port group FW  创建隔离组FW
CS6200-28X-EI(config)#isolate-port group FW switchport interface e1/0/23限制端口

6.开启 SW1日志记录功能和保护功能，采样周期5s一次，恢复周期为100s，从而保障 CPU 稳定运行。

CS6200-28X-EI(config)#cpu-protect enable   启用
CS6200-28X-EI(config)#cpu-protect log enable 	日志启用
CS6200-28X-EI(config)#cpu-protect interval 5   采样周期
CS6200-28X-EI(config)#cpu-protect recovery-time 100 	恢复周期

7.SW1 配置 SNMP，引擎 id 分别为 1；创建组 GROUP2022，采用最高安全级

别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2022，

采用 aes 算法进行加密，密钥为 Pass-1234，哈希算法为 sha，密钥为 Pass-1234；

CS6200-28X-EI(config)#snmp-server enable 	启用snmp
CS6200-28X-EI(config)#snmp-server group GROUP2022 authpriv 创建组并采用最高级别
noAuthNoPriv：不认证、不加密，等价于 v1、v2 版本；所以不建议开启
authNoPriv：认证不加密，只对帐号密码进行校验，数据传输不加密
authPriv：既认证又加密，校验帐号密码，同时加密传输
CS6200-28X-EI(config)#snmp-server community ro SKILLS_R		读视图
CS6200-28X-EI(config)#snmp-server community rw SKILLS_W		写视图
CS6200-28X-EI(config)#snmp-server user USER2022 GROUP2022 authPriv aes Pass-1234 auth sha Pass-1234

当设备有异常时，需要用本地的环回地址 loopback1 发送 v3 Trap 消息至集团网

管服务器 10.10.11.99、2001:10:10:11::99，采用最高安全级别；

CS6200-28X-EI(config)#snmp-server trap-source 10.10.1.1		环回地址
CS6200-28X-EI(config)#snmp-server trap-source 2001:10:10:1::1		环回地址
CS6200-28X-EI(config)#snmp-server securityip 10.10.11.99	指定网管服务器网关
CS6200-28X-EI(config)#snmp-server securityip 2001:10:10:11::99		指定网管服务器ipv6网关
CS6200-28X-EI(config)#snmp-server host 10.10.11.99 v3 authpriv USER2022
CS6200-28X-EI(config)#snmp-server host 2001:10:10:11::99 v3 authpriv USER2022
CS6200-28X-EI(config)#snmp-server enable traps

当法务部门对应的用户接口发生 UP DOWN 事件时，禁止发送 trap 消息至上述集团网管服务器。

CS6200-28X-EI(config-if-ethernet1/0/3)#no switchport updown notification enable 
CS6200-28X-EI#show run interface e1/0/3
!
Interface Ethernet1/0/3
 no switchport updown notification enable

8.将 W1 与 FW1 互连流量镜像到 SW1 E1/0/1，会话列表为 1。

CS6200-28X-EI(config)#monitor session 1 source interface e1/0/21 both 
CS6200-28X-EI(config)#monitor session 1 destination interface e1/0/1
monitor session 会话列表 destination 目的地端口
monitor session 会话列表 source 源端口

9.SW1 和 SW2 E1/0/21-28 启用单向链路故障检测，当发生该故障时，端口

标记为 errdisable 状态，自动关闭端口，经过 1 分钟后，端口自动重启；发送

Hello 报文时间间隔为 15s；

CS6200-28X-EI(config)#uldp enable  全局开启uldp后，所有光口自动也开启uldp
CS6200-28X-EI(config)#uldp recovery-time 60
CS6200-28X-EI(config)#uldp hello-interval 15
CS6200-28X-EI(config)#uldp aggressive-mode  关闭积极模式

10.SW1和SW2所有端口启用链路层发现协议，更新报文发送时间间隔为20s，

老化时间乘法器值为 5，Trap 报文发送间隔为 10s，配置三条裸光缆端口使能

Trap 功能。

CS6200-28X-EI(config)#lldp enable 
CS6200-28X-EI(config)#lldp msgTxHold 5
CS6200-28X-EI(config)#lldp tx-interval 20
CS6200-28X-EI(config)#lldp notification interval 10 
CS6200-28X-EI(config)#int e1/0/26-28
CS6200-28X-EI(config-if-port-range)#lldp trap enable

路由器

1.启用所有设备的 ssh 服务，防火墙用户名 admin，明文密码 Pass-1234，

其余设备用户名和明文密码均admin。

CS6200-28X-EI(config)#ssh-server enable  启用
CS6200-28X-EI(config)#authentication line vty login local 登录使用本地用户认证
CS6200-28X-EI(config)#username admin password admin


R2_config#ip sshd enable 	启用
R2_config#aaa au

最低0.47元/天解锁文章

立志成为网安大牛

关注

29
点赞
踩
28

收藏

觉得还不错? 一键收藏
0
评论
2022 年全国职业院校技能大赛网络搭建与应用赛项正式赛卷第二部分网络搭建及安全部署——部分答案

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。干货主要有：①1000+CTF历届题库（主流和经典的应该都有了）②CTF技术文档（最全中文版）③项目源码（四五十个有趣且经典的练手项目及源码）
复制链接

扫一扫