2018年河南省技能大赛信息安全管理与评估高职组第一阶段DCRS赛题与答案
一切均在CS6200上配置,笔记本用USB转接线,安装驱动CH341-W7.exe,连接CS6200的CONSOLE口,台式机直接用console线连接
USB驱动百度网盘连接链接:https://pan.baidu.com/s/1IDr4QN5-AToyGgV4kpiR9Q 密码:cdgl
23、配置默认路由,使内网用户可以访问internet
ip router 0.0.0.0 0.0.0.0 192.168.1.1
24、公司为了统一管理,通过SNMP技术使用网管软件对DCRS进行管理,配置只读字串为public,读写字串为private,网管主机的地址为192.168.100.200
全局模式下
snmp-server enable
snmp-server securityip 192.168.100.200
snmp-server community rw 0 private
snmp-server community ro 0 public
25、接入DCRS上,仅Ethernet1/0/8接口上,要求mac为 00-FF-51-FD-AE-15的主机不能访问行政部的主机mac地址为:E0-94-67-05-5D-84。其余主机正常访问
mac-access-list extended mac
deny host-source-mac 00-ff-51-fd-ae-15 host-destination-mac e0-94-67-05-5d-84
Interface Ethernet1/0/8
mac access-group mac in
26、接入DCRS Eth4,仅允许ip地址192.168.20.1-10 为源的数据包为合法包,以其他IP地址为源地址,交换机直接丢弃
am enable //全局模式下
Interface Ethernet1/0/4
am port
am ip-pool 192.168.20.1 10
27、开启防ARP扫描功能,单位时间内端口收到ARP数量超过50便认定是攻击,DOWN掉此端口;
! //全局模式下
!
anti-arpscan enable
anti-arpscan port-based threshold 50
!
28、在公司总部的DCRS上配置端口环路检测(loopback detection),防止来自接口下的单端口环路,并配置存在环路时的检测时间为30秒,不存在环路时的检测时间为10秒
loopback-detection interval-time 30 10 //全局模式下
!
29、配置认证服务器,IP地址是192.168.2.100,radius key是dcn2018
radius-server key 0 dcn2018 //全局模式下
radius-server authentication host 192.168.2.100
aaa enable
!
30、在公司总部的DCRS上配置,需要在交换机E1/0/21接口上开启基于mac地址模式的认证,认证通过后才能访问网络
dot1x enable //全局模式下
Interface Ethernet1/0/21
dot1x enable
dot1x port-method macbased
!31、配置公司总部的DCRS,配置DHCP防护功能,防止E1/0/10接入非法路由器,检测到后自动阻塞掉
ip dhcp snooping enable //全局模式下
Interface Ethernet1/0/10
ip dhcp snooping action blackhole
!
32、为减少内部ARP广播询问VLAN网关地址,在全局下配置DCRS每隔300秒发送免费ARP
ip gratuitous-arp 300 //全局模式下
33、配置DCRS et1/0/15口ARP防护,保护VLAN1,2,10,20,30,66的IP地址
Interface Ethernet1/0/15 //全局模式下
arp-guard ip 192.168.66.1
arp-guard ip 192.168.30.1
arp-guard ip 192.168.20.1
arp-guard ip 192.168.10.1
arp-guard ip 192.168.2.1
arp-guard ip 192.168.1.1
!