计算机网络与信息安全技术试题
MSTP
1、在L3-SW1、L3-SW2和L2-SW1、L2-SW2上启动MSTP,MSTP域名为DCN,版本为2018;并将VLAN10、VLAN30映射到实例1,将VLAN 20,VLAN40映射到实例2。
2、将L3-SW2配置为MSTP实例1的根网桥,并将L3-SW1配置为MSTP实例2的根网桥。
3、在L2-SW1和L2-SW2上所属vlan10,20,30,40的接口配置边缘端口
VRRP配置
1、 在L3-SW1和L3-SW2上启动VRRP,并将L3SW2设为VLAN10和VLAN30的主网关、L3SW1设为VLAN10和VLAN30的备份网关。L3-SW1设为VLAN20和VLAN40的主网关、L3-SW2设为VLAN20和VLAN40的备份网关。
2、 L3-SW2上VLAN10的真实网关地址为192.168.1.253/24、VLAN30的真实网关地址为192.168.3.253。L3-SW1上VLAN20的真实网关地址为192.168.2.252/24、VLAN40的真实网关地址为192.168.4.252/24。虚拟网关地址请参考VLAN10与VLAN20的网关信息, 虚拟网关地址请参考上面IP地址规划与配置。
广域网链路配置
R1与R2间使用广域网串口线连接,使用PPP协议。R1和R2之间使用双条串口线连接,使用PPP捆绑技术,捆绑group编号为0,为了安全起见,使用双向CHAP验证(用户名+密码的方式),用户名为DCN123,验证密码为:“123456”(不包含引号)
路由配置
总部内网使用静态路由、OSPF多协议组网。其中FW1、R1、L3-SW1、L3-SW2之间使用OSPF协议,总部业务网段与分部业务网之间使用静态路由协议,OSPF的router-id使用环回口地址,要求网络具有安全性、稳定性。具体要求如下:
本部OSPF进程号为10,规划多区域;
区域0(FW1、R1);
区域1(FW1、L3-SW1、L3-SW2、R1);
FW1和R1到分部业务网段静态路由B类路由的形式注入OSPF进程10,且R1引入OSPF设置开销30,并修改OSPF外部路由为type-2。
为了管理方便,需要发布Loopback地址;
不允许业务网段出现协议报文;
优化OSPF相关配置,以尽量加快OSPF收敛;
分部R2、AC直接使用RIPv2,关闭自动汇总,分部到总部有两条线路,R2-FW1专线连接,R2-R1广域网连接,实现分部到总部访问主链路走专线连接,备用链路走广域网。
使用静态路由如果修改开销必须为5或者为10。
9、广域网链路安全配置
总分机构通过广域网链路传输,为确保数据安全使用GRE over IPSEC对互访的业务流数据流进行加密,总部tunnel口网段100.1.1.0/24。
DHCP配置
1、在L3-SW1上启动DHCP服务器,为总部市场部、人事部网段提供DHCP服务,在L3-SW2上启动DHCP服务器,为总部财务部、宣传部网段提供DHCP服务。为PC1和PC2分配IP地址、网关、DNS服务器地址(202.103.24.68、114.114.114.114),租期为2天,同时禁止将PC机的网关与虚拟网关地址分配给用户
2、在L2-SW1和L2-SW2上启动DHCP Snooping功能
安全配置
1、在L2-SW2的E1/0/10上配置端口安全功能,设置地址最大接入数为3,惩罚方式为shuntdown,自动恢复时间为1分钟。
2、在L2-SW2的E1/0/23上后期打算加入流控设备请设置端口镜像功能。将E1/0/24接口的所有流量镜像到E1/0/23上
无线配置
AP上线方式为option43(十六进制),AC管理IP为190.68.80.254/24; 分别下发网段190.68.5.0/24,190.68.6.0/24,190.68.7.0/24,网关为最后一个可用IP,DNS:8.8.8.8,需要排除网关,地址租约为2天; AC动态方式下发管理地址给AP,AC与AP之间采用密码认证,密码为DCN123456;
- 设置SSID wireless1,加密模式为wpa-personal,其口令为:DCN111111 ,隐藏SSID
设置SSID wireless2,加密模式为wpa-personal,其口令为:DCN222222
设置SSID wireless3,加密模式为wpa-personal,其口令为:DCN333333
SSID wireless2最多接入10个用户,并对网络进行流控,上行1M,下行2M;
2.配置AP在脱离AC管理时依然可以正常工作;
3.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC在10分钟内建立连接5次就不再允许继续连接,两小时后恢复正常;并配置所有无线接入用户相互隔离;
4.通过配置避免接入终端较多且有大量弱终端时,高速客户被低速客户端“拖累”,低速客户端不至于长时间得不到传输;
5.AC上开启web管理,账号为DCN2018,密码为DCN2018。
安全部分
防火墙的管理口E0/0口IP改为100.100.100.100/24,开启http。
FW1配置trunst,untrunst,区域和相应策略; 设置FW1的E0/1-4为trunst区域,E0/5接口为untrunst区域。
FW1攻击防护
启以下Flood防护:
ICMP洪水攻击防护,警戒值1000,动作丢弃;
UDP供水攻击防护,警戒值1000,动作丢弃;
SYN洪水攻击防护,警戒值1000,动作丢弃;
开启以下DOS防护:
Ping of Death攻击防护;
Teardrop攻击防护;
IP选项,动作丢弃;
ICMP大包攻击防护,动作丢弃;
DCFW上配置PAT功能,使总部分部所有业务网段能访问外网。(测试使用三台电脑测试)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
