信息安全管理与评估 21年国赛真题解析答案
祝各位选手在比赛中荣获佳绩,网络系统管理与信息安全交流群可见其他文章,欢迎各位的加入。本文仅供参考,请勿购买专栏,有意合作私聊。
DCRS工作任务
DCRS 开启 telnet 登录功能,用户名 dcn01,密码 dcn01,配置使 用 telnet 方式登录终端界面前显示如下授权信息: “WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility”;(8 分)
说明:banner有login和motd参数,前者为登录前显示,后者为登录后显示。根据题意应当为前者参数
CS6200-28X-EI(config)#banner login WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility
2、SNMPv2c
总部部署了一套网管系统实现对核心 DCRS 进行管理,网管系统 IP 为:10.52.0.100,读团体值为:DCN2021,版本为 V2C, DCRS Trap 信息实时上报网管,当 MAC 地址发生变化时,也要立即通知 网管发生的变化,每35s发送一次;DCRS出口往返流量发送给DCBI, 由 DCBI 对收到的数据进行用户所要求的分析;(8 分)
snmp-server enable
snmp-server securityip 10.52.0.100
snmp-server host 10.52.0.100 v2c DCN2021
snmp-server community ro 0 DCN2021
snmp-server enable traps
snmp-server enable traps mac-notification
mac-address-table notification
mac-address-table notification interval 35
mac-address-table violation-trap-interval 35
3、二层隔离与防ARP
对 DCRS 上 VLAN40 开启以下安全机制: 业务内部终端相互二层隔离,启用环路检测,环路检测的时间间 隔为 10s,发现环路以后关闭该端口,恢复时间为 30 分钟;如发 现私设 DHCP 服务器则关闭该端口,配置防止 ARP 欺骗攻击; (8 分)
启用端口隔离:
DCRS(config)#isolate-port group 10 switchport interface e1/0/10
DCRS(config)#isolate-port group 11 switchport interface e1/0/11
DCRS(config)#isolate-port group 12 switchport interface e1/0/12
启用环路检测:
DCRS(config)#loopback-detection trap enable
DCRS(config)#loopback-detection interval-time 10 10
DCRS(config)#int e1/0/10-12
DCRS(config-if-port-range)#loopback-detection specified-vlan 40
DCRS(config-if-port-range)#loopback-detection control shutdown
DCRS(config-if-port-range)#exit
DCRS(config)#loopback-detection control-recovery timeout 3000
防止ARP欺骗:
DCRS(config)#ip dhcp snooping enable
DCRS(config)#ip dhcp snooping binding enable
DCRS(config)#ip dhcp snooping binding arp
DCRS(config)#int e1/0/10-12
DCRS(config-if-port-range)#ip dhcp snooping binding user-control
DCRS(config-if-port-range)#ip dhcp snooping action shutdown
4、ipv6地址分配及ripng
DCWS 配置 IPv6 地址,使用相关特性实现 VLAN50 的 IPv6 终端可 自动从网关处获得 IPv6 有状态地址; DCRS 配置 IPv6 地址,开启路由公告功能,路由器公告的生存期 为 2 小时,确保 VLAN30 的 IPv6 终端可以获得 IPv6 无状态地址。 8 DCWS 与 DCRS 之间配置 RIPng,使 PC1 与 PC3 可以通过 IPv6 通信;IPv6 业务地址规划如下,其它 IPv6 地址自行规划:(12 分)
| 业务 | IPV6地址 |
|---|---|
| VLAN30 | 2001:30::254/64 |
| VLAN50 | 2001:50::254/64 |
DCWS配置如下:有状态IP地址
ipv6 enable
serv dhcpv6
ip
interface Vlan50
ipv6 address 2001:50::254/64
no ipv6 nd suppress-ra
ip address 172.16.50.62 255.255.255.128
DCRS配置如下:无状态
interface Vlan30
ipv6 address 2001:30::264/64
no ipv6 nd suppress-ra
ipv6 nd ra-lifetime 7200
ip address 172.16.30.62 255.255.255.128
配置RIPng
DCWS上为VLAN50分配有状态IP地址
DCWS-6028(config)#ipv6 en
DCWS-6028(config)#ser dhcpv6
DCWS-6028(config)#service dhcpv6
DCWS-6028(config)#ipv6 dhcp pool VLAN50
DCWS-6028(dhcpv6-vlan50-config)#network 2001:50::254 64
DCWS-6028(dhcpv6-vlan50-config)#exit
DCWS-6028(config)#int vlan50
DCWS-6028(config-if-vlan50)#ipv6 address 2001:50::254/64
DCWS-6028(config-if-vlan50)#no ipv6 nd suppress-ra
DCWS-6028(config-if-vlan50)#ipv6 nd managed-config-flag
DCWS-6028(config-if-vlan50)#ipv6 nd other-config-flag
DCWS-6028(config-if-vlan50)#ipv6 dhcp server VLAN50
DCRS配置如下:无状态
interface Vlan30
ipv6 address 2001:30::254/64
no ipv6 nd suppress-ra
ipv6 nd ra-lifetime 7200
ip address 172.16.30.62 255.255.255.128
配置RIPng
DCRS和DCWS均要配置:
ipv6 en #这个上面应该配置了,但我还是写一下。
router ipv6 rip #
DCRS(config)#INT VL30
DCRS(config-if-vlan30)#ipv6 router rip
DCRS(config)#int vlan100
DCRS(config-if-vlan100)#ipv6 address 2001:100::254/64
DCRS(config-if-vlan100)#ipv6 route rip
DCWS配置:
DCWS-6028(config-if-vlan50)#int vl100
DCWS-6028(config-if-vlan100)#ipv6 add 2001:100::253/64
DCWS-6028(config-if-vlan100)#ipv6 rou rip
DCWS-6028(config-if-vlan100)#int vlan50
DCWS-6028(config-if-vlan50)#ipv6 route rip
5.双向数据开启安全防护
尽可能加大 DCWS 与防火墙 DCFW 之间的带宽;
配置使总部 VLAN40 业务的用户访问 IDC SERVER 的数据流经过 DCFW 10.1.0.254,
IDC SERVER 返回数据流经过 DCFW 10.2.0.254,
且对双向数据流开启所有安全防护,参数和行为为默认;(12 分)
链路聚合配置如下:
说明,这里因为他们只是二层聚合,所以用on模式。
1、链路聚合
说明:如果fw上面show lacp ag1不是active模式,而是‘选中’状态,那么你去WEB上面,把AG1
调整成强制,确认,然后再调整成动态协商!
2、数据经过DCFW
3、双向防护
FW上面把trust和untrust的攻击防护策略,全部启用!
6.OSPF的MD5认证
DCFW、DCRS、DCWS 之间配置 OSPF area 0 开启基于链路的 MD5 认 证,密钥自定义,传播访问 INTERNET 默认路由;(8 分)
基于链路的MD5那就是VLAN下面部署即可。
7.BGP
DCFW 与 DCRS 建立两对 IBGP 邻居关系,使用 AS 65500,DCFW 上 loopback1-4 为模拟 AS 65500 中网络,为保证数据通信的可靠性 和负载,完成以下配置,要求如下:(12 分)
DCRS 通过 BGP 到达 loopback1,2 网路下一跳为 10.3.0.254; DCRS 通过 BGP 到达 loopback3,4 网络下一跳为 10.4.0.254; 通过 BGP 实现到达 loopback1,2,3,4 的网络冗余; 使用 IP 前缀列表匹配上述业务数据流; 使用 LP 属性进行业务选路,只允许使用 route-map 来改变 LP 属性、实现路由控制,LP 属性可配置的参数数值为:200
DCFW配置如下:
DCFW(config)# ip vrouter trust-vr
DCFW(config-vrouter)# router bgp 65500
DCFW(config-router)#
DCRS
1、配置前缀列表匹配路由,并配置route-map
DCRS(config)#DCRS(config)#ip prefix-list 1,2 seq 5 permit 10.11.0.0/24
DCRS(config)#ip prefix-list 1,2 seq 10 permit 10.12.0.0/24
DCRS(config)#ip prefix-list 3,4 seq 5 permit 10.13.0.0/24
DCRS(config)#ip prefix-list 3,4 seq 10 permit 10.14.0.0/24
DCRS(config)#route-map 1,2 per 10
DCRS(config-route-map)#match ip add prefix-list 1,2
DCRS(config-route-map)#set local-preference 200
DCRS(config)#route-map 1,2 per 20
DCRS(config-route-map)#exit
DCRS(config)#route-map 3,4 per 10
DCRS(config-route-map)#match ip add prefix-list 3,4
DCRS(config-route-map)#set local-preference 200
DCRS(config-route-map)#exit
DCRS(config)#route-map 3,4 per 20
DCRS(config-route-map)#exit
2、BGP配置
router bgp 65500
neighbor 10.3.0.254 remote-as 65500
neighbor 10.3.0.254 update-source 10.1.0.253
neighbor 10.3.0.254 route-map 1,2 in
neighbor 10.4.0.254 remote-as 65500
neighbor 10.4.0.254 update-source 10.2.0.253
neighbor 10.4.0.254 route-map 3,4 in
8.收包速率
如果 DCRS E0/3 端口的收包速率超过 30000 则关闭此端口,恢复时 间 5 分钟,并每隔 10 分钟对端口的速率进行统计;为了更好地提 高数据转发的性能,DCRS 交换中的数据包大小指定为 1600 字节; 共 8 分,共 3 处。
int e1/0/3
rate-violation all 3000
rate-vio con shut re 300 #其实后面的rec 300可以不配置,这是默认配置!但我还是说明一下。
#
DCRS(config)#mtu 1600 #数据包大小1600字节
DCRS(config)#port-rate-statistics interval 600 #配置统计时间