2019年国赛赛题交换机

  • 2
  • 5,312 views
  • A+
所属分类:思科设备
摘要

2019年信息安全国赛
2019年国赛赛题交换机

1.ip规划表

2019年国赛赛题交换机
2019年国赛赛题交换机
2019年国赛赛题交换机

2.设备初始化信息

2019年国赛赛题交换机

1.总部核心交换机DCRS上开启SSH远程管理功能, 本地认证用户名:2019DCN,密码:DCN2011;

DCRS(config)#ssh-server enable

DCRS(config)#username 2019DCN privilege 15 password 0 DCN2011

2.总部启用MSTP协议,NAME为DCN2011、 Revision-level 1,实例1中包括VLAN10;实例2中包括VLAN20、要求两条链路负载分担,其中VLAN10业务数据在E1/0/4进行数据转发,要求VLAN20业务数据在E1/0/5进行数据转发,通过在DCWS两个端口设置COST值 2000000实现;配置DCRS连接终端接口立即进入转发模式且在收到BPDU时自动关闭端口;防止从DCWS方向的根桥抢占攻击;

DCRS(config)#spanning-tree

DCRS(config)#spanning-tree mode mstp

DCRS (config)#spanning-tree mst configuration //进入mst配置模式

DCRS (config-mstp-region)#name DCN2011

DCRS (config-mstp-region)#revision-level 1

DCRS (config-mstp-region)#instance 1 vlan 10

DCRS (config-mstp-region)#instance 2 vlan 20

DCRS-6028(config)#interface ethernet 1/0/4-5

DCRS-6028(config-if-port-range)#spanning-tree mst 1 rootguard

DCRS-6028(config-if-port-range)#spanning-tree mst 2 rootguard

DCRS-6028(config)#interface ethernet 1/0/7-12

DCRS-6028(config-if-port-range)#spanning-tree portfast bpduguard

AC:

DCWS-6028(config)#interface ethernet 1/0/4 

DCWS-6028(config-if-ethernet1/0/4)#spanning-tree mst 1 cost 2000000

DCWS-6028(config)#interface ethernet 1/0/5

DCWS-6028(config-if-ethernet1/0/5)#spanning-tree mst 2 cost 2000000

3.尽可能加大总部核心交换机DCRS与防火墙DCFW之间的带宽;

CRS-6028(config)#interface ethernet 1/0/1                

DCRS-6028(config-if-ethernet1/0/1)#port-group 1 mode on

DCRS-6028(config)#interface ethernet 1/0/2

DCRS-6028(config-if-ethernet1/0/2)#port-group 1 mode on

4.配置使总部VLAN10,30,40业务的用户访问INTERNET往返数据流都经过DCFW进行最严格的安全防护;

DCRS-6028(config)#ip access-list extended come

DCRS-6028(config-ip-ext-nacl-come)#permit ip any-source 172.16.10.0 0.0.0.255

DCRS-6028(config-ip-ext-nacl-come)#permit ip any-source 172.16.30.0 0.0.0.63 

DCRS-6028(config-ip-ext-nacl-come)#permit ip any-source 172.16.40.0 0.0.0.255

DCRS-6028(config)#ip access-list extended go

DCRS-6028(config-ip-ext-nacl-go)#permit ip 172.16.10.0 0.0.0.255 any-destination

DCRS-6028(config-ip-ext-nacl-go)#permit ip 172.16.30.0 0.0.0.63 any-destination 

DCRS-6028(config-ip-ext-nacl-go)#permit ip 172.16.40.0 0.0.0.255 any-destination

DCRS-6028(config)#class-map  go

DCRS-6028(config-classmap-go)#match access-group go

DCRS-6028(config)#class-map come

DCRS-6028(config-classmap-come)#match access-group come DCWS-6028(config)#policy-map come

DCRS-6028(config-policymap-come-class-come)#set ip  nexthop 10.0.0.1

DCRS-6028(config)#policy-map go

DCRS-6028(config-policymap-go-class-go)#set ip  nexthop 10.0.0.1 

5.总部核心交换机DCRS上实现VLAN40业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;

DCRS-6028(config)#vlan 40

DCRS-6028(config-vlan40)#isolate-port group vlan40 switchport interface ethernet 1/0/10-12

DCRS-6028(config)#isolate-port apply l2//二层隔离

DCRS-6028(config-cp)##captive-portal

loopback-detection specified-vlan 40 //启动环路检测

DCRS (config)#loopback-detection interval-time 10 3

(10s 存在环路检测时间间隔 3s 不存在环路检测的时间间隔)

DCRS-6028(config)#interface ethernet 1/0/10-12

DCRS (config-if-port-range)#loopback-detection control shutdown(发现环路检测关闭该端口)

DCRS (config)#loopback-detection control-recovery timeout 1800 ?

(发现环路检测30分钟后恢复)

6.总部核心交换机DCRS检测到 VLAN40中私设DHCP服务器关闭该端口;

DCRS (config)#ip dhcp snooping enable  //开启

DCRS(config)#interface ethernet 1/0/10-12   

DCRS(config-if-port-range)#ip dhcp snooping action shutdown

7.总部核心交换机DCRS开启某项功能,防止VLAN40下ARP欺骗攻击;

DCRS-6028(config)#interface ethernet 1/0/10-12 DCWS-6028(config-if-port-range)#arp-guard ip 192.168.40.1

8.总部核心交换机DCRS上实现访问控制,在E1/0/14端口上配置MAC地址为00-03-0f-00-00-01的主机不能访问MAC地址为00-00-00-00-00-ff的主机;

DCRS-6028(config)#mac-access-list extended mac

DCRS-6028(config-mac-ext-nacl-mac)#deny host-source-mac 00-03-0f-00-00-01 host-destination-mac 00-00-00-00-00-ff

9.2017年勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机DCRS所有业务VLAN下配置访问控制策略实现双向安全防护;

DCRS-6028(config)#ip access-list extended dyan01

DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 135

DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 135

DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 137-139

DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 137-139

DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 445 

DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 445

10.总部部署了一套网管系统实现对核心DCRS交换机进行管理,网管系统IP为:172.16.100.21,读团体值为:DCN2011,版本为V2C,交换机DCRS Trap信息实时上报网管,当MAC地址发生变化时,也要立即通知网管发生的变化,每35s发送一次;

DCRS-6028(config)#snmp-server enable//开启snmp

DCRS-6028(config)#snmp-server securityip enable

DCRS-6028(config)# snmp-server securityip  172.16.100.21//设置安全ip

DCRS-6028(config)#snmp-server community ro dcn2011 //设置读团体字符

DCRS-6028(config)#snmp-server enable traps

DCRS-6028(config)#snmp-server host 172.16.100.21 v2c dcn2011

DCRS-6028(config)#snmp-server enable traps mac-notification

DCRS-6028(config)#mac-address-learning cpu-control

DCRS-6028(config)#mac-address-table notification

DCRS-6028(config)#mac-address-table notification interval 35

11.总部核心交换机DCRS出口往返流量发送给DCBI,由DCBI对收到的数据进行用户所要求的分析;

DCRS(config)#monitor session 1 source interface 1/0/24 both

// source:镜像端口

DCRS(config)#monitor session 1 destination interface 1/0/3

// destination:镜像目的端口

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  0   博主  0

    • avatar 清十一 0 来自天朝的朋友 谷歌浏览器 Windows 10 甘肃省兰州市 电信
      回复 2021年6月7日 上午10:27  沙发

      RS使用相关VPN技术,模拟
      INTERNET ,VPN名称为INTERNET地址为218.5.18.2;,大佬能教教怎么做嘛

        • avatar datou 0 来自天朝的朋友 谷歌浏览器 Windows 10 江苏省南通市 (如东/如皋)
          回复 2021年12月28日 下午4:01  1层

          @清十一 评分标准跟作者的不太一样,可能最终实现的功能是一致的