• 信息安全管理与评估 21年国赛真题解析答案(待更新)


    祝各位选手在比赛中荣获佳绩,网络系统管理与信息安全交流群可见其他文章,欢迎各位的加入。本文仅供参考,请勿购买专栏,有意合作私聊。

    DCRS工作任务

    DCRS 开启 telnet 登录功能,用户名 dcn01,密码 dcn01,配置使 用 telnet 方式登录终端界面前显示如下授权信息: “WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility”;(8 分)

    说明:banner有login和motd参数,前者为登录前显示,后者为登录后显示。根据题意应当为前者参数
    CS6200-28X-EI(config)#banner login WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility
    
    • 1
    • 2

    2、SNMPv2c

    总部部署了一套网管系统实现对核心 DCRS 进行管理,网管系统 IP 为:10.52.0.100,读团体值为:DCN2021,版本为 V2C, DCRS Trap 信息实时上报网管,当 MAC 地址发生变化时,也要立即通知 网管发生的变化,每35s发送一次;DCRS出口往返流量发送给DCBI, 由 DCBI 对收到的数据进行用户所要求的分析;(8 分)

    snmp-server enable
    snmp-server securityip 10.52.0.100
    snmp-server host 10.52.0.100 v2c DCN2021
    snmp-server community ro 0 DCN2021
    snmp-server enable traps
    snmp-server enable traps mac-notification
    mac-address-table notification
    mac-address-table notification interval 35
    mac-address-table violation-trap-interval 35
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    3、二层隔离与防ARP

    对 DCRS 上 VLAN40 开启以下安全机制: 业务内部终端相互二层隔离,启用环路检测,环路检测的时间间 隔为 10s,发现环路以后关闭该端口,恢复时间为 30 分钟;如发 现私设 DHCP 服务器则关闭该端口,配置防止 ARP 欺骗攻击; (8 分)

    启用端口隔离:
    DCRS(config)#isolate-port group 10 switchport interface e1/0/10 
    DCRS(config)#isolate-port group 11 switchport interface e1/0/11   
    DCRS(config)#isolate-port group 12 switchport interface e1/0/12
    启用环路检测:
    
    DCRS(config)#loopback-detection trap enable 
    DCRS(config)#loopback-detection interval-time 10 10 
    DCRS(config)#int e1/0/10-12                              
    DCRS(config-if-port-range)#loopback-detection specified-vlan 40   
    DCRS(config-if-port-range)#loopback-detection control shutdown 
    DCRS(config-if-port-range)#exit
    DCRS(config)#loopback-detection control-recovery timeout 3000
    
    防止ARP欺骗:
    DCRS(config)#ip dhcp snooping enable 
    DCRS(config)#ip dhcp snooping binding enable 
    DCRS(config)#ip dhcp snooping binding arp
    DCRS(config)#int e1/0/10-12
    DCRS(config-if-port-range)#ip dhcp snooping binding user-control 
    DCRS(config-if-port-range)#ip dhcp snooping action shutdown 
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21

    4、ipv6地址分配及ripng

    DCWS 配置 IPv6 地址,使用相关特性实现 VLAN50 的 IPv6 终端可 自动从网关处获得 IPv6 有状态地址; DCRS 配置 IPv6 地址,开启路由公告功能,路由器公告的生存期 为 2 小时,确保 VLAN30 的 IPv6 终端可以获得 IPv6 无状态地址。 8 DCWS 与 DCRS 之间配置 RIPng,使 PC1 与 PC3 可以通过 IPv6 通信;IPv6 业务地址规划如下,其它 IPv6 地址自行规划:(12 分)

    业务IPV6地址
    VLAN302001:30::254/64
    VLAN502001:50::254/64
    DCWS配置如下:有状态IP地址
    ipv6 enable
    serv dhcpv6
    ip
    interface Vlan50
     ipv6 address 2001:50::254/64
     no ipv6 nd suppress-ra
     ip address 172.16.50.62 255.255.255.128
     
    DCRS配置如下:无状态
    interface Vlan30
     ipv6 address 2001:30::264/64
     no ipv6 nd suppress-ra
     ipv6 nd ra-lifetime 7200
     ip address 172.16.30.62 255.255.255.128
     
    配置RIPng
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17

    DCWS上为VLAN50分配有状态IP地址

    DCWS-6028(config)#ipv6 en
    DCWS-6028(config)#ser dhcpv6
    DCWS-6028(config)#service dhcpv6
    DCWS-6028(config)#ipv6 dhcp pool VLAN50
    DCWS-6028(dhcpv6-vlan50-config)#network 2001:50::254 64
    DCWS-6028(dhcpv6-vlan50-config)#exit
    DCWS-6028(config)#int vlan50
    DCWS-6028(config-if-vlan50)#ipv6 address 2001:50::254/64
    DCWS-6028(config-if-vlan50)#no ipv6 nd suppress-ra
    DCWS-6028(config-if-vlan50)#ipv6 nd managed-config-flag 
    DCWS-6028(config-if-vlan50)#ipv6 nd other-config-flag 
    DCWS-6028(config-if-vlan50)#ipv6 dhcp server VLAN50
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12

    DCRS配置如下:无状态

    interface Vlan30
     ipv6 address 2001:30::254/64
     no ipv6 nd suppress-ra
     ipv6 nd ra-lifetime 7200
     ip address 172.16.30.62 255.255.255.128
    
    • 1
    • 2
    • 3
    • 4
    • 5

    配置RIPng

    DCRS和DCWS均要配置:
    ipv6 en  #这个上面应该配置了,但我还是写一下。
    router ipv6 rip #
    
    DCRS(config)#INT VL30
    DCRS(config-if-vlan30)#ipv6 router rip
    DCRS(config)#int vlan100
    DCRS(config-if-vlan100)#ipv6 address 2001:100::254/64
    DCRS(config-if-vlan100)#ipv6 route rip
    DCWS配置:
    
    DCWS-6028(config-if-vlan50)#int vl100
    DCWS-6028(config-if-vlan100)#ipv6 add 2001:100::253/64
    DCWS-6028(config-if-vlan100)#ipv6 rou rip
    DCWS-6028(config-if-vlan100)#int vlan50
    DCWS-6028(config-if-vlan50)#ipv6 route rip
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16

    5.双向数据开启安全防护

    尽可能加大 DCWS 与防火墙 DCFW 之间的带宽;

    配置使总部 VLAN40 业务的用户访问 IDC SERVER 的数据流经过 DCFW 10.1.0.254,

    IDC SERVER 返回数据流经过 DCFW 10.2.0.254,

    且对双向数据流开启所有安全防护,参数和行为为默认;(12 分)

    链路聚合配置如下:
    说明,这里因为他们只是二层聚合,所以用on模式。
    
    
    • 1
    • 2
    • 3

    1、链路聚合

    说明:如果fw上面show lacp ag1不是active模式,而是‘选中’状态,那么你去WEB上面,把AG1

    调整成强制,确认,然后再调整成动态协商!

    2、数据经过DCFW

    3、双向防护

    FW上面把trust和untrust的攻击防护策略,全部启用!
    
    • 1

    6.OSPF的MD5认证

    DCFW、DCRS、DCWS 之间配置 OSPF area 0 开启基于链路的 MD5 认 证,密钥自定义,传播访问 INTERNET 默认路由;(8 分)

    基于链路的MD5那就是VLAN下面部署即可。
    
    • 1

    7.BGP

    DCFW 与 DCRS 建立两对 IBGP 邻居关系,使用 AS 65500,DCFW 上 loopback1-4 为模拟 AS 65500 中网络,为保证数据通信的可靠性 和负载,完成以下配置,要求如下:(12 分)

    DCRS 通过 BGP 到达 loopback1,2 网路下一跳为 10.3.0.254; DCRS 通过 BGP 到达 loopback3,4 网络下一跳为 10.4.0.254;  通过 BGP 实现到达 loopback1,2,3,4 的网络冗余;  使用 IP 前缀列表匹配上述业务数据流;  使用 LP 属性进行业务选路,只允许使用 route-map 来改变 LP 属性、实现路由控制,LP 属性可配置的参数数值为:200

    DCFW配置如下:

    DCFW(config)# ip vrouter trust-vr 
    DCFW(config-vrouter)# router bgp 65500
    DCFW(config-router)# 
    
    • 1
    • 2
    • 3

    DCRS

    1、配置前缀列表匹配路由,并配置route-map

    DCRS(config)#DCRS(config)#ip prefix-list 1,2 seq 5 permit 10.11.0.0/24
    DCRS(config)#ip prefix-list 1,2 seq 10 permit 10.12.0.0/24
    DCRS(config)#ip prefix-list 3,4 seq 5 permit 10.13.0.0/24
    DCRS(config)#ip prefix-list 3,4 seq 10 permit 10.14.0.0/24
    DCRS(config)#route-map 1,2 per 10 
    DCRS(config-route-map)#match ip add prefix-list 1,2
    DCRS(config-route-map)#set local-preference 200
    DCRS(config)#route-map 1,2 per 20
    DCRS(config-route-map)#exit
    DCRS(config)#route-map 3,4 per 10
    DCRS(config-route-map)#match ip add prefix-list 3,4
    DCRS(config-route-map)#set local-preference 200
    DCRS(config-route-map)#exit
    DCRS(config)#route-map 3,4 per 20
    DCRS(config-route-map)#exit
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15

    2、BGP配置

    router bgp 65500
     neighbor 10.3.0.254 remote-as 65500
     neighbor 10.3.0.254 update-source 10.1.0.253
     neighbor 10.3.0.254 route-map 1,2 in
     neighbor 10.4.0.254 remote-as 65500
     neighbor 10.4.0.254 update-source 10.2.0.253
     neighbor 10.4.0.254 route-map 3,4 in
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7

    8.收包速率

    如果 DCRS E0/3 端口的收包速率超过 30000 则关闭此端口,恢复时 间 5 分钟,并每隔 10 分钟对端口的速率进行统计;为了更好地提 高数据转发的性能,DCRS 交换中的数据包大小指定为 1600 字节; 共 8 分,共 3 处。

    int e1/0/3
    rate-violation all 3000
    rate-vio con shut re 300 #其实后面的rec 300可以不配置,这是默认配置!但我还是说明一下。
    #
    DCRS(config)#mtu 1600                          #数据包大小1600字节
    DCRS(config)#port-rate-statistics interval 600 #配置统计时间
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
  • 相关阅读:
    写一篇nginx配置指南
    清华大学有多重视体育课,“无体育·不清华”不仅仅是口号
    Transformer详解学习
    Blender 学习笔记(二)之坐标
    【Docker】本地镜像与私有库:发布、拉取,图文展示全过程
    应用在LED装饰灯中的LED炫彩灯珠
    分页对象使用
    智能创新,竞技未来!1024 程序员节大赛火热进行中
    PyTorch实现苹果M1芯片GPU加速:训练速度提升7倍,性能最高提升21倍
    Java大牛必会|分布式缓存实现方案之Spring Cache
  • 原文地址:https://blog.csdn.net/Junior_engineer/article/details/127622111