Vinson's Blog

记录生活中的点点滴滴

0%

2019信息安全管理与评估

2019年国赛题目笔记(三层命令配置)

网络拓扑图
2019信息安全管理与评估拓扑图
IP地址规则表
2019信息安全管理与评估IP地址规则表
由于第一阶段我负责三层方面的命令 笔记中只有三层命令
基础划分vlan和ip配置就不写上去了

  1. 总部核心交换机 DCRS 上开启 SSH 远程管理功能,本地认证用户名:2019DCN,密码:DCN2019.
    1
    2
    ssh-server enable
    username 2019DCN privilege 15 password 0 DCN2019
  2. 总部启用 MSTP 协议,NAME 为 2019DCN、 Revision-level 1,实例 1 中包括 VLAN10;实例 2 中包括 VLAN20、要求两条链路负载分担,其中 VLAN10 业务数据在 E1/0/4 进行数据转发,要求 VLAN20业务数据在E1/0/5进行数据转发,通过在DCWS两个端口设置COST值 2000000 实现;配置 DCRS 连接终端接口立即进入转发模式且在收到BPDU 时自动关闭端口;防止从 DCWS 方向的根桥抢占攻击.
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    spanning-tree mst configuration
    name 2019DCN
    Revision-level 1
    instance 0 vlan 1-9;11-19;21-4094
    instance 1 vlan 10
    instance 2 vlan 20
    exit
    spanning-tree
    spanning-tree mst 1 priority 0
    spanning-tree mst 2 priority 0
    Interface Ethernet1/0/4
    spanning-tree mst 2 cost 2000000
    Interface Ethernet1/0/5
    spanning-tree mst 1 cost 2000000
    Interface Ethernet1/0/7-12
    spanning-tree portfast bpduguard
    Interface Ethernet1/0/7
    spanning-tree mst 1 rootguard
    Interface Ethernet1/0/8
    spanning-tree mst 2 rootguard
    Interface Ethernet1/0/9
    spanning-tree mst 1 rootguard
    Interface Ethernet1/0/10
    spanning-tree mst 2 rootguard
    Interface Ethernet1/0/11
    spanning-tree mst 2 rootguard
    Interface Ethernet1/0/12
    spanning-tree mst 2 rootguard
  3. 尽可能加大总部核心交换机 DCRS 与防火墙 DCFW 之间的带宽,模式为动态方式.
    1
    2
    3
    Interface Ethernet1/0/1-2
    switchport mode trunk
    port-group 1 mode active
  4. 配置使总部 VLAN10,30,40 业务的用户访问 INTERNET 往返数据流都经过 DCFW 进行最严格的安全防护.
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    ip access-list extended yewu
    permit ip 172.16.10.0 0.0.0.255 any-destination
    permit ip 172.16.30.0 0.0.0.63 any-destination
    permit ip 192.168.40.0 0.0.0.255 any-destination
    ip access-list extended hui
    permit ip any-source host-destination 218.5.18.9
    permit ip any-source host-destination 218.5.18.10
    exit
    class-map hui
    match access-group hui
    class-map yewu
    match access-group yewu
    policy-map yewu
    class yewu
    set ip nexthop 218.5.18.1
    exit
    policy-map hui
    class hui
    set ip nexthop 10.0.0.1
    Interface Ethernet1/0/7-12;1/0/4-5
    service-policy input yewu
    Interface Ethernet1/0/24
    service-policy input hui
  5. 总部核心交换机DCRS上实现VLAN40业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为 10s,发现环路以后该端口,恢复时间为 30 分钟.
    1
    2
    3
    4
    5
    6
    7
    vlan 40
    isolate-port apply l2
    loopback-detection interval-time 10 10
    loopback-detection control-recovery timeout 1800
    Interface Ethernet1/0/10-12
    loopback-detection specified-vlan 40
    loopback-detection control shutdown
  6. 总部核心交换机 DCRS 检测到 VLAN40 中私设 DHCP 服务器关闭该端口.
    1
    2
    3
    4
    5
    ip dhcp snooping enable
    Interface Ethernet1/0/10-12
    ip dhcp snooping action shutdown
    Interface Ethernet1/0/4-5
    ip dhcp snooping trust
  7. 总部核心交换机 DCRS 开启某项功能,防止 VLAN40 下 ARP 欺骗攻击.
    1
    2
    3
    ip dhcp snooping binding enable
    Interface Ethernet1/0/10-12
    ip dhcp snooping binding user-control
  8. 总部核心交换机 DCRS 上实现访问控制,在 E1/0/14 端口上配置MAC 地址为 00-03-0f-00-00-01 的主机不能访问 MAC 地址为00-00-00-00-00-ff 的主机.
    1
    2
    3
    4
    mac-access-list extended macACL
    deny host-source-mac 00-03-0f-00-00-01 host-destination-mac 00-00-00-00-00-ff
    Interface Ethernet1/0/14
    mac access-group macACL in
  9. 2017 年勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机 DCRS 所有业务 VLAN 下配置访问控制策略实现双向安全防护.
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    ip access-list extended bingdu
    deny tcp any-source any-destination d-port 135
    deny tcp any-source any-destination d-port 137
    deny tcp any-source any-destination d-port 138
    deny tcp any-source any-destination d-port 139
    deny tcp any-source any-destination d-port 445
    permit ip any-source any-destination
    exit
    vacl ip access-group bingdu in vlan 10;20;30;40
    vacl ip access-group bingdu out vlan 10;20;30;40
  10. 总部部署了一套网管系统实现对 DCRS 交换机进行管理,网管系统IP 为:172.16.100.21,读团体值为:DCN2019,版本为 V2C,交换机 DCRS Trap 信息实时上报网管,当 MAC 地址发生变化时,也要立即通知网管发生的变化,每 35s 发送一次.
    1
    2
    3
    4
    5
    6
    snmp-server enable
    snmp-server host 172.16.100.21 v2c DCN2019
    snmp-server enable traps
    snmp-server enable traps mac-notification
    mac-address-table notification
    mac-address-table notification interval 35
  11. 总部核心交换机 DCRS 出口往返流量发送给 DCBI,由 DCBI 对收到的数据进行用户所要求的分析.
    1
    2
    3
    monitor session 1 source interface Ethernet1/0/24 tx
    monitor session 1 source interface Ethernet1/0/24 rx
    monitor session 1 destination interface Ethernet1/0/3
  12. 配置RIP完成云端路由器2.2.2.2、DCFW、总部核心交换机VLAN20的连通性,使用MD5认证,密钥为DCN2019.
    1
    2
    3
    4
    5
    6
    7
    router rip
    version 2
    network 172.16.20.0/24
    network 172.16.200.0/24
    interface Vlan200
    ip rip authentication mode md5
    ip rip authentication string DCN2019
  13. 总部核心交换机 DCRS 上使用某种技术,将 VLAN20 通过 RIP 连接云端路由器路由与本地其它用户访问 INTERNET 路由隔离.
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    ip vrf 1
    exit
    router rip
    version 2
    address-family ipv4 vrf 1
    exit
    interface Vlan20
    ip vrf forwarding 1
    interface Vlan200
    ip vrf forwarding 1