GZ032 信息安全管理与评估赛项参考答案-模块1任务二
后面的题可能有的地方没有验证但是步骤都对,第13个小题没有做跳过去了·等下一期或者最后在做
文章目录
- GZ032 信息安全管理与评估赛项参考答案-模块1任务二
- 11.总公司和分公司今年进行IPv6试点,要求总公司和分公司销售部门用户能够通过IPv6相互访问,IPv6业务通过租用裸纤承载。实现分公司和总公司IPv6业务相互访问;AC与SW之间配置静态路由使VLAN50与VLAN60可以通过IPv6通信;VLAN40开启IPv6,IPv6业务地址规划如下:
- AC
- SW
- 验证
- 12.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址,在SW上开启IPV6 dhcp server功能,ipv6地址范围2001:da8:50::2-2001:da8:50::100
- SW
- 13.在南京分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
- 14.SW与AC,AC与FW之间配置OSPF area 0 开启基于链路的MD5认证,密钥自定义,传播访问INTERNET 默认路由,让总公司和分公司内网用户能够相互访问包含AC上loopback1地址;总公司SW和BC之间运行静态路由协议。
- SW
- AC
- FW
- 验证
- FW
- SW
- AC
- 15.分公司销售部门通过防火墙上的DHCP SERVER获取IP地址,server IP地址为20.0.0.254,地址池范围20.1.60.10-20.1.60.100,dns-server 8.8.8.8。
- FW
- SW
- AC
- 16如果SW的11端口的收包速率超过30000则关闭此端口,恢复时间5分钟;为了更好地提高数据转发的性能,SW交换中的数据包大小指定为1600字节;
- SW
- 验证
- SW
- 17.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启PING,HTTP,telnet,SNMP功能,Untrust安全域开启SSH、HTTPS功能,snmp服务器地址:20.10.28.100,团体字:skills(4分)
- 验证
- FW
- 18.在分部防火墙上配置,分部VLAN业务用户通过防火墙访问Internet时,复用公网IP: 202.22.1.3、202.22.1.4;保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至20.10.28.10 的UDP 2000 端口;
- FW
- 19.远程移动办公用户通过专线方式接入分公司网络,在防火墙FW上配置,采用SSL方式实现仅允许对内网VLAN 61的访问,端口号使用4455,用户名密码均为ABC4321,地址池参见地址表;
- 20.分公司部署了一台WEB服务器ip为20.10.28.10,接在防火墙的DMZ区域为外网用户提供web服务,要求内网用户能,ping通web服务器和访问服务器上的web服务(端口80)和远程管理服务器(端口3389),外网用户只能访问通过防火墙外网地址访问服务器web服务
- 验证
- FW
11.总公司和分公司今年进行IPv6试点,要求总公司和分公司销售部门用户能够通过IPv6相互访问,IPv6业务通过租用裸纤承载。实现分公司和总公司IPv6业务相互访问;AC与SW之间配置静态路由使VLAN50与VLAN60可以通过IPv6通信;VLAN40开启IPv6,IPv6业务地址规划如下:
| 业务 | IPV6地址 |
|---|---|
| 总公司VLAN50 | 2001:DA8:50::1/64 |
| 分公司VLAN60 | 2001:DA8:60::1/64 |
AC
#这里都要输入对方的IPV6和vlan40的IPV6地址
AC(config)#ipv6 route 2001:da8:50::1/64 fe80::203:fff:fed7:68a vlan40
SW
#这里都要输入对方的IPV6和vlan40的IPV6地址
SW(config)#ipv6 route 2001:da8:60::1/64 fe80::203:fff:fed7:68a vlan40
验证
12.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址,在SW上开启IPV6 dhcp server功能,ipv6地址范围2001:da8:50::2-2001:da8:50::100
SW
SW(config)#service dhcpv6
SW(config)#ipv6 dhcp pool vlan50
SW(dhcpv6-vlan50-config)#network-address 2001:da8:50::2 2001:da8:50::100
SW(dhcpv6-vlan50-config)#q
SW(config)#interface vlan 50
SW(config-if-vlan50)#no ipv6 nd suppress-ra
SW(config-if-vlan50)#ipv6 nd ra-lifetime 7200
SW(config-if-vlan50)#ipv6 dhcp server vlan50
SW(config-if-vlan50)#q
SW(config)#q
验证的时候需要将网线插在13口或者14口上,这样dhcpv6才能下发
13.在南京分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
14.SW与AC,AC与FW之间配置OSPF area 0 开启基于链路的MD5认证,密钥自定义,传播访问INTERNET 默认路由,让总公司和分公司内网用户能够相互访问包含AC上loopback1地址;总公司SW和BC之间运行静态路由协议。
SW
SW(config-router)#show running-config current-mode
SW(config-router)#router-id 20.0.0.253
SW(config-router)#passive-interface Vlan41
SW(config-router)#passive-interface Vlan50
SW(config-router)#passive-interface Vlan10
SW(config-router)#passive-interface Vlan20
SW(config-router)#passive-interface Vlan100
SW(config-router)#area 0 authentication message-digest
SW(config-router)#network 20.0.0.253/32 area 0
SW(config-router)#network 20.1.0.8/30 area 0
SW(config-router)#network 20.1.41.0/24 area 0
SW(config-router)#network 20.1.50.0/24 area 0
SW(config-router)#network 172.16.0.0/23 area 0
SW(config-router)#network 172.16.2.0/26 area 0
SW(config-router)#network 172.16.2.64/26 area 0
SW(config-router)#q
SW(config)#interface vlan 40
SW(config-if-vlan40)#ip ospf authentication message-digest
SW(config-if-vlan40)#ip ospf message-digest-key 1 md5 0 123456
AC
AC(config)#router ospf 1
AC(config-router)#router-id 20.1.1.254
AC(config-router)passive-interface Vlan60
AC(config-router)passive-interface Vlan61
AC(config-router)area 0 authentication message-digest
AC(config-router)network 20.1.0.8/30 area 0
AC(config-router) network 20.1.0.12/30 area 0
AC(config-router)network 20.1.1.254/32 area 0
AC(config-router)network 20.1.60.0/24 area 0
AC(config-router)network 20.1.61.0/24 area 0
AC(config-router)#q
AC(config)#interface vlan 40
AC(config-if-vlan40)#ip ospf authentication message-digest
AC(config-if-vlan40)#ip ospf message-digest-key 1 md5 0 123456
AC(config-if-vlan40)#interface vlan 100
AC(config-if-vlan40)#ip ospf authentication message-digest
AC(config-if-vlan40)#ip ospf message-digest-key 1 md5 0 123456
FW
FW#
FW#configure
FW(config)# ip vrouter trust-vr
FW(config-vrouter)# router ospf 1
FW(config-router)# router-id 20.0.0.254
FW(config-router)# network 20.0.0.254/32 area 0
FW(config-router)# network 20.1.0.14/30 area 0
FW(config-router)# network 20.10.28.1/24 area 0
FW(config-router)#exit
FW(config-vrouter)#exit
FW(config)# interface aggregate2
FW(config-if-agg2)# ip ospf authentication message-digest
FW(config-if-agg2)# ip ospf message-digest-key 1 md5 123456
验证
FW
SW
AC
15.分公司销售部门通过防火墙上的DHCP SERVER获取IP地址,server IP地址为20.0.0.254,地址池范围20.1.60.10-20.1.60.100,dns-server 8.8.8.8。
FW
SW
SW(config)#ip forward-protocol udp bootps
AC
AC>
AC>en
Password:
AC#config
AC(config)#ip forward-protocol udp bootps
AC(config)#interface vlan60
AC(config-if-vlan60)#ip helper-address 20.0.0.254
16如果SW的11端口的收包速率超过30000则关闭此端口,恢复时间5分钟;为了更好地提高数据转发的性能,SW交换中的数据包大小指定为1600字节;
SW
SW(config)#mtu 1600
SW(config)#interface ethernet 1/0/11
SW(config-if-ethernet1/0/11)#rate-violation all 30000
SW(config-if-ethernet1/0/11)#rate-violation control shutdown
验证
SW
17.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启PING,HTTP,telnet,SNMP功能,Untrust安全域开启SSH、HTTPS功能,snmp服务器地址:20.10.28.100,团体字:skills(4分)
验证
FW
重新配置一下OSPFmd5的那个地方
18.在分部防火墙上配置,分部VLAN业务用户通过防火墙访问Internet时,复用公网IP: 202.22.1.3、202.22.1.4;保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至20.10.28.10 的UDP 2000 端口;
FW
19.远程移动办公用户通过专线方式接入分公司网络,在防火墙FW上配置,采用SSL方式实现仅允许对内网VLAN 61的访问,端口号使用4455,用户名密码均为ABC4321,地址池参见地址表;
20.分公司部署了一台WEB服务器ip为20.10.28.10,接在防火墙的DMZ区域为外网用户提供web服务,要求内网用户能,ping通web服务器和访问服务器上的web服务(端口80)和远程管理服务器(端口3389),外网用户只能访问通过防火墙外网地址访问服务器web服务
验证
FW
