发布时间 : 星期四 文章2016网络搭建与应用国赛样题更新完毕开始阅读0a8c1b87ed3a87c24028915f804d2b160b4e86d5
2016年全国职业院校技能大赛 网络搭建与应用竞赛题
192.168.200.0/20所在地址段。财务部(vlan 10)有10台主机、生产部(vlan 20)有50台主机、销售部(vlan 30)和技术部(vlan 40)两个部门都有124台主机,服务器的网段为100.10.10.0/24。分公司与所有设备互联地址使用表中分配地址,把算出的IP地址填入上面网络设备IP地址分配表中的空白处。
二、 交换机配置
1、在两台三层交换设备上开启telnet管理功能,本地认证用户名:2016DCN,密码:pwd@dcn;
2、总部的交换网络中,有4个VLAN;财务部使用VLAN10,名字为CW,生产部使用VLAN20,名字为SC,销售部使用VLAN30,名字为XS,技术部使用VLAN40,名字JS;
3、按下表要求将端口加入VLAN并做相应配置:
设备名称 VLAN 10 SW2-1 20 30 40 4、SW2-1为接入交换机,为防止终端产生mac地址防洪攻击,请配置端口安全,每个已划分vlan的端口最多学习到5个mac地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG日志;E1/1为专用接口,限定mac地址00-11-11-11-11-11可以连接;SW3-1,SW3-2配置防止PC端发出网关欺骗报文;
5、使用端口汇聚技术,在SW3-1、 SW3-2之间的链路启用端口汇聚,汇聚接口为动态方式;
端口 E 1/1-5 E 1/6-10 E 1/11-15 E 1/16-20 9 / 27
2016年全国职业院校技能大赛 网络搭建与应用竞赛题
6、配置生成树协议,要求启用MSTP协议,name 为 2016DCN,revision-level 1,实例1中包括VLAN10、20、30;实例2中包括VLAN40;要求SW3-1为实例1的主根,SW3-2为实例2 的主根,并互为备份根;通过在SW3-1,SW3-2修改成本值保证MST1中SW2-1E1/21阻断,MST2 中E1/22阻断;保护根桥在有更高优先级交换机接入E1/0/23-24口时不得抢占为根桥;
7、在三层交换之间启用VRRP协议,为VLAN、10、20、30、40实现网关备份,组地址为该VLAN中的最后一个可用IP,SW3-1为VLAN10、20、30的master;SW3-2为40的master,且互为备份,开启抢占功能;配置监视接口以实现上联接口断开时自动降低优先级以实现master,slave自动切换保证冗余性;
8、Server 172.16.100.1是SYSLOG和NTP服务器,内网中所有交换机LOG流量转发给Server,所有交换机和防火墙向Server学习时钟;配置SNMPv1/v2只读权限,Community dcn123,用于抓取流量图;
9、SW3-1访问Internet的双向流量镜像到E1/0/23口;
三、 路由器配置与调试
1、 由于历史原因,总部分部各有一部分Area 0;
2、 总部内部,FW1、SW3-1、SW3-2、R2之间连接使用OSPF,Area 0; 3、 分部内部,FW2、R3之间连接使用OSPF Area 0; 4、 R2、R3之间路由协议请自行选择(OSPF area1 或RIP); 5、 FW1、FW2通过默认路由连接至ISP1;并向内部传播默认路由;
6、 总部、分部内部用户通过防火墙访问Internet;总部分部服务器通过R2-R3之间专
线同步数据;
7、 总部VLAN40是管理员所在VLAN,通过专线管理分部设备;
10 / 27
2016年全国职业院校技能大赛 网络搭建与应用竞赛题
8、 路由优化,R2、R3过滤总部和分部间不必要的路由,请勿将不必要的路由传播进总
部或分部网络中;
9、 总部FW1 服务器区与分部 FW2服务器区( loopback0)之间正常情况下使用专
线同步数据,配置FW1、FW2之间IPSec链路为两台FW loopback0间同步数据备份链路,当FW上专线路由丢失时,自动使用FW1、FW2间IPSec链路同步数据;
四、 广域网配置
1、 总部FW1允许VLAN10、VLAN20、VLAN30、VLAN40的用户通过源NAT访问
外网,
VLAN10使用200.1.1.4, VLAN20使用200.1.1.5, VLAN30使用200.1.1.6, VLAN40使用200.1.1.7;
2、 外网通过200.1.1.8可以访问Server 172.16.100.1; 3、 FW2上配置PAT,实现内外访问外网;
4、 R1与R2采用专线连接方式,间PPP封装,CHAP认证方式,双方使用自己的
hostname做用户名,密码自行设置;
五、 无线配置
1、 使用无线控制器提供DHCP服务,动态分配IP地址和网关:
2、 DCWS配置VLAN100为管理和通信VLAN, DHCP下发192.168.100.0/24地址,
DNS:8.8.8.8,需要排除网关,地址租约为2天;网关使用最后一个可用IP地址,DCWS使用第一个地址作为管理地址,AC使用DHCP Option下发管理地址;
11 / 27
2016年全国职业院校技能大赛 网络搭建与应用竞赛题
3、 设置协议802.11n 2.4G频段;
4、 设置SSID DCN,加密模式为wpa-personal,其口令为:chinaskill, 5、 设置SSID GUEST 不进行认证加密; 6、 配置所有无线接入用户相互隔离;
7、 GUSET最多接入10个用户,并对GUEST网络进行流控,上行1M,下行2M。 8、 考虑到无线网络会进一步部署,增加更多的AP,设置已有AP信道和发射功率每隔
1小时自动调节;
9、 配置AP在脱离AC管理时依然可以正常工作;
六、 安全策略部分
1、 FW1,FW2配置trunst,untrunst,DMZ区域和相应策略 2、 FW1,FW2攻击防护
启以下Flood防护:
ICMP洪水攻击防护,警戒值1000,动作丢弃; UDP供水攻击防护,警戒值1000,动作丢弃; SYN洪水攻击防护,警戒值1000,动作丢弃; 开启以下DOS防护: Ping of Death攻击防护; Teardrop攻击防护; IP选项,动作丢弃;
ICMP大包攻击防护,动作丢弃;
3、 FW1为了保证带宽的正常使用,通过流量管理功能将P2P应用的影响降到最低; 4、 FW1为了防止垃圾邮件,配置邮箱过滤,过滤可能含有“发票”的邮件;
12 / 27