方式,采用PBR方式实现总部与分部互访业务、总部访问Internet来回数据流都经过FW-1进行安全防护; 5、
总部核心交换机SW-Core系统中所有存在的接口启动定时发送免费 ARP 报
文功能;总部核心交换机SW-Core与总部RT1互连接口通过采样、统计等方式将数据发送到分析器10.10.200.50,源地址为:10.10.200.254,采样速率1000pps,采样的最大时间间隔为60s,由分析器对收到的数据进行用户所要求的分析。
三、 路由器配置与调试
1、 因历史原因,总部使用RIP、OSPF、BGP多协议组网。RT1、SW-Core之间规划
使用OSPF协议; RT1、FW-2、RT2之间规划使用RIP协议;RT1、RT2之间规划使用BGP协议;
2、 总部RT1、SW-Core之间规划使用OSPF协议,进程号为10,Area10,要求业
务网段中不出现协议报文;加快邻居关系收敛,打开记录OSPF邻居状态变化日志功能;为了管理方便,需要发布Loopback地址,并尽量在OSPF域中发布; 3、 总部RT1、ISP机房FW-2、分部RT2之间规划使用RIP协议,版本号为RIP-2,
取消自动聚合,同时在分部RT2上发布相关业务路由; 4、
RT1、RT2之间使用与FW-2的接口互联地址建立GRE隧道,Tunnel接口的
验证密钥为:2017;
5、 总部RT1、分部RT2之间规划使用BGP协议,通过接口互联地址建立两对E-BGP邻居关系,其中一对邻居关系建立采用GRE Tunnel IP地址,同时在分部RT2上发布相关业务路由;
6、 总部RT1配置路由重分布: 将BGP协议与OSPF协议相互引入; OSPF协议引
入至RIP协议,RIP协议禁止引入至OSPF协议。
四、 广域网配置
2 / 2
1、 总部RT1与分部RT2间、总部RT1、分部RT2与ISP机房FW-2间都属于专线
链路,其中总部RT1-分部RT2间所租用链路带宽为4M;总部RT1-ISP机房FW-2间所租用链路速率为100M,分部RT2-ISP机房FW-2间所租用链路速率为10M,请在相关设备上进行配置,以使设备接口能够匹配实际链路速率(波特率);
2、 因总部RT1-分部RT2间Serial专线的带宽有限,为了保证关键的应用,需要在设
备上配置优先级队列,应用优先级从高到低为:服务器业务、财务&法务业务、营销业务、技术与行政业务。
五、 无线配置
1、 无线控制器DCWS二层与分部RT2互通,所有业务网关位于分部RT2上,使用
无线控制器提供DHCP服务,动态分配IP地址和网关,DCWS配置VLAN100为AP管理VLAN,VLAN10、20为业务VLAN,需要排除相关地址;DCWS使用第一个地址作为管理地址,AP二层注册,采用序列号认证;
2、 设置两个SSID FenZhiXX-IN、FenZhiXX-Internet,其中FenZhiXX中的XX为
组号,具体要求如下:
1) SSID FenZhiXX-IN1:主要访问总部业务,VLAN10,采用WPA—企业加密
方式,配置密钥为Dcn,信号隐藏;
2) SSIDFenZhiXX-Internet:主要访问Internet,VLAN20,采用开放接入; 3、 配置所有无线接入用户相互隔离,开启自动强制漫游功能、动态黑名单功能。
六、 安全策略配置
1、 FW-1采用静态路由,配置trunst,untrunst区域和相应安全防护策略;FW-2采
用RIP协议,配置trunst,untrunst,DMZ区域和相应安全防护策略; 2、 配置FW-1,FW-2 untrunst区域攻击防护:
2 / 2
开启以下Flood防护:
ICMP洪水攻击防护,警戒值1000,动作丢弃; UDP供水攻击防护,警戒值1000,动作丢弃; SYN洪水攻击防护,警戒值1000,动作丢弃; 开启以下DOS防护: Ping of Death攻击防护; Teardrop攻击防护; IP选项,动作丢弃;
ICMP大包攻击防护,动作丢弃;
3、 总部与分部统一通过ISP机房FW-2访问外网,配置PAT,实现总部行政与技术
业务、分部SSID FenZhiXX-Internet业务访问外网,同时外网用户通过202.99.192.4可以访问总部Server 10.100.100.161Web服务;
4、 FW-2实现公司用户访问Internet控制、审计,要求禁止用户使用 MSN、QQ和
雅虎通聊天,并记录日志;对HTTP应用的行为进行控制和审计;
5、 FW-2配置L2TP VPN,允许远程办公用户通过拨号登陆访问总部服务器区业务,
LNS 地址池为10.10.220.1-10.10.220.100,网关为最大可用地址,认证账号user01,密码dcn001
七、 业务选路配置
1、考虑到从分部到总部有两条广域网链路,且其带宽不一样,所以规划正常情况下总部RT1-ISP机房FW-2-分部RT2间专线为主链路,总部RT1与分部RT2间Serial专线为备链路;分部访问总部除财务与法务、营销业务之外的其他业务优先走主链路;分部访问总部财务与法务、营销业务优先走备链路,主、备链路业务相互备份。根据以上需求,在总部RT1、分部RT2进行合理的业务选路配置。具体要求如下:
2 / 2
1) 使用IP前缀列表匹配数据流;
2) 使用BGP MED属性进行业务选路配置,只允许使用Route-map来改变
MED属性,且MED值必须为100或200;
2、总部RT1、SW-Core之间优先通过RT-1-SW-1链路转发业务,RT-1-SW-2链路备份。
2 / 2
服务器配置及应用项目
(500分)
【说 明】
(1)题目中所涉及的所有系统的管理员以及其他普通用户密码均为2017Netw@rk(注意区分大小写),若未按照要求设置密码,涉及到该操作的所有分值记为0分。
(2)虚拟主机的IP属性设置请按照网络拓扑结构图以及“表3:服务器IP地址分配表”的要求设定。
(3)除非作特殊说明,在同一主机下需要安装相同操作系统版本的虚拟机时,可采用VMwareWorkstation软件自带的克隆系统功能实现。
(4)所有系统镜像文件及试题所需的其它软件均存放在每台主机的D:\\soft文件夹中,并将竞赛题目要求的截图内容以.jpg格式存储于各物理机桌面BACKUP_X(X为组号)文件夹中,文件名和存放位置错误,涉及到的所有操作分值记为0分。
(5)题目要求的虚拟机均安装于每台主机的D:\\virtualPC目录,即路径为D:\\virtualPC\\虚拟主机名称。
(6)所有服务要求虚拟机系统重新启动后,均能正常启动和使用,否则扣除该服务功能一半分数。
2 / 2
相关推荐:
loading