1.SW和AC開啟telnet登錄功能，telnet登錄賬戶僅包含“ABC4321”，密碼為明文“ABC4321”，采用telnet方式登錄設(shè)備時(shí)需要輸入enable密碼，密碼設(shè)置為明文“12345”。（4分）說明：admin賬號(hào)沒有刪除扣1分，ABC4321用戶的privilege值設(shè)置為15扣3分SWAC2.北京總公司和南京分公司租用了運(yùn)營商兩條裸光纖，實(shí)現(xiàn)內(nèi)部辦公互通。一條裸光纖承載公司財(cái)務(wù)部門業(yè)務(wù)，一條裸光纖承載其他內(nèi)部業(yè)務(wù)。使用相關(guān)技術(shù)實(shí)現(xiàn)總公司財(cái)務(wù)段路由表與公司其它業(yè)務(wù)網(wǎng)段路由表隔離，財(cái)務(wù)業(yè)務(wù)位于VPN實(shí)例名稱CW內(nèi)，總公司財(cái)務(wù)和分公司財(cái)務(wù)能夠通信，財(cái)務(wù)部門總公司和分公司之間采用RIP路由實(shí)現(xiàn)互相訪問。（5分）若SW上showiproutevrfCW和AC上showiprouterip結(jié)果錯(cuò)誤，本題0分。SW:AC:3.盡可能加大總公司核心和出口BC之間的帶寬。（4分）每設(shè)備2分，SW上看端口是否千兆全雙工及配置端口聚合；SWBC4.為防止終端產(chǎn)生MAC地址泛洪攻擊，請配置端口安全，已劃分VLAN41的端口最多學(xué)習(xí)到5個(gè)MAC地址，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過，不影響已有流量并產(chǎn)生LOG日志；連接PC1的接口為專用接口，限定只允許PC1的MAC地址可以連接.（5分）7口配置2分，其它3個(gè)口1分，mac地址可變。5．在總部核心交換機(jī)端口ethernet1/0/6上，將屬于網(wǎng)段內(nèi)的報(bào)文帶寬限制為10M比特/秒，突發(fā)值設(shè)為4M字節(jié)，超過帶寬的該網(wǎng)段內(nèi)的報(bào)文一律丟棄。（5分）policy-map配置2分，其余每框1分，（acl名稱、class-map名稱、policy-map名字可變，嵌套關(guān)系需要對應(yīng)）6.在SW上配置辦公用戶在上班時(shí)間（周一到周五9:00-17:00）禁止訪問外網(wǎng)，內(nèi)部網(wǎng)絡(luò)正常訪問。（2分）showclock時(shí)間需在開始競賽時(shí)間范圍內(nèi)，否則本題0分；7.總公司SW交換機(jī)模擬因特網(wǎng)交換機(jī)，通過某種技術(shù)實(shí)現(xiàn)本地路由和因特網(wǎng)路由進(jìn)行隔離，因特網(wǎng)路由實(shí)例名internet。（2分）8.對SW上VLAN50開啟以下安全機(jī)制。業(yè)務(wù)內(nèi)部終端相互二層隔離；14口啟用環(huán)路檢測，環(huán)路檢測的時(shí)間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時(shí)間為30分鐘，如私設(shè)DHCP服務(wù)器關(guān)閉該端口，同時(shí)開啟防止ARP網(wǎng)關(guān)欺騙攻擊。6分，端口隔離1分，arp-guard配置正確1分，環(huán)路檢測配置正確2分、dhcpsnooping正確2分。9.配置使北京公司內(nèi)網(wǎng)用戶通過總公司出口BC訪問因特網(wǎng)，分公司內(nèi)網(wǎng)用戶通過分公司出口FW訪問因特網(wǎng)，要求總公司核心交換機(jī)9口VLAN41業(yè)務(wù)的用戶訪問因特網(wǎng)的流量往反數(shù)據(jù)流經(jīng)過防火墻在通過BC訪問因特網(wǎng);防火墻untrust1和trust1開啟安全防護(hù)，參數(shù)采用默認(rèn)參數(shù)。要求有測試結(jié)果（14分）開啟安全防護(hù)2分，tracert結(jié)果12分，如果結(jié)果錯(cuò)誤，本題0分；FW結(jié)果：10.為了防止DOS攻擊的發(fā)生，在總部交換機(jī)vlan50接口下對MAC、ARP、ND表項(xiàng)數(shù)量進(jìn)行限制，具體要求為：最大可以學(xué)習(xí)20個(gè)動(dòng)態(tài)MAC地址、20個(gè)動(dòng)態(tài)ARP地址、50個(gè)NEIGHBOR表項(xiàng)。（3分）11.總公司和分公司今年進(jìn)行IPv6試點(diǎn)，要求總公司和分公司銷售部門用戶能夠通過IPV6相互訪問，IPV6業(yè)務(wù)通過租用裸纖承載。實(shí)現(xiàn)分公司和總公司ipv6業(yè)務(wù)相互訪問；AC與SW之間配置靜態(tài)路由使VLAN50與VLAN60可以通過IPv6通信；VLAN40開啟IPV6，IPv6業(yè)務(wù)地址規(guī)劃如下：（8分）下一跳ipv6地址需為fe80開頭，否則扣4分，ping6結(jié)果錯(cuò)誤本題0分；SW：AC：12.在總公司核心交換機(jī)SW配置IPv6地址，開啟路由公告功能，路由器公告的生存期為2小時(shí)，確保銷售部門的IPv6終端可以通過DHCPSERVER獲取IPv6地址，在SW上開啟IPV6dhcpserver功能,ipv6地址范圍2001:da8:50::2-2001:da8:50::100。（6分）DHCPv6配置正確得1分，開啟路由公告及公告生存期正確得1分，結(jié)果正確4分，如無結(jié)果或結(jié)果錯(cuò)誤，本題0分；（結(jié)果中的DUID值為隨機(jī)的，可與本文檔中不一致）結(jié)果：13．在南京分公司上配置IPv6地址，使用相關(guān)特性實(shí)現(xiàn)銷售部的IPv6終端可自動(dòng)從網(wǎng)關(guān)處獲得IPv6無狀態(tài)地址。（6分）能獲取到隨機(jī)分配得ipv6地址得6分，須有臨時(shí)IPV6地址；14.SW與AC，AC與FW之間配置OSPFarea0開啟基于鏈路的MD5認(rèn)證，密鑰自定義，傳播訪問INTERNET默認(rèn)路由，讓總公司和分公司內(nèi)網(wǎng)用戶能夠相互訪問包含AC上loopback1地址；總公司SW和BC之間運(yùn)行靜態(tài)路由協(xié)議。18分，開啟MD5認(rèn)證3分，showiprouteospf結(jié)果正確得12分，SW和BC配置靜態(tài)路由，3分；FWSWACBC15.分公司銷售部門通過防火墻上的DHCPSERVER獲取IP地址，serverIP地址為54，地址池范圍0-00，dns-server。（5分）防火墻上showdhcp-serverbindingloopback_addrpool已經(jīng)分配IP地址得分，否則不得分。16.如果SW的11端口的收包速率超過30000則關(guān)閉此端口，恢復(fù)時(shí)間5分鐘；為了更好地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，SW交換中的數(shù)據(jù)包大小指定為1600字節(jié)；（3分）17.為實(shí)現(xiàn)對防火墻的安全管理，在防火墻FW的Trust安全域開啟PING,HTTP，telnet，SNMP功能，Untrust安全域開啟SSH、HTTPS功能，snmp服務(wù)器地址：00，團(tuán)體字：skills（4分）18.在分部防火墻上配置，分部VLAN業(yè)務(wù)用戶通過防火墻訪問Internet時(shí)，復(fù)用公網(wǎng)IP：、；保證每一個(gè)源IP產(chǎn)生的所有會(huì)話將被映射到同一個(gè)固定的IP地址，當(dāng)有流量匹配本地址轉(zhuǎn)換規(guī)則時(shí)產(chǎn)生日志信息，將匹配的日志發(fā)送至0的UDP2000端口；（5分）安全策略配置正確2分，NAT，地址簿，日志配置各1分；19.遠(yuǎn)程移動(dòng)辦公用戶通過專線方式接入分公司網(wǎng)絡(luò)，在防火墻FW上配置，采用SSL方式實(shí)現(xiàn)僅允許對內(nèi)網(wǎng)VLAN61的訪問，端口號(hào)使用4455，用戶名密碼均為ABC4321，地址池參見地址表；（8分）VPN連接正確得4分，ping通得4分。若ping不通本題0分；20. 分公司部署了一臺(tái)WEB服務(wù)器ip為0，接在防火墻的DMZ區(qū)域?yàn)橥饩W(wǎng)用戶提供web服務(wù)，要求內(nèi)網(wǎng)用戶能,ping通web服務(wù)器和訪問服務(wù)器上的web服務(wù)（端口80）和遠(yuǎn)程管理服務(wù)器（端口3389），外網(wǎng)用戶只能訪問通過防火墻外網(wǎng)地址訪問服務(wù)器web服務(wù)。（6分）目的nat2分、策略4分21.為了安全考慮，無線用戶移動(dòng)性較強(qiáng)，訪問因特網(wǎng)時(shí)需要在BC上開啟web認(rèn)證，采用本地認(rèn)證，密碼賬號(hào)都為web4321。（5分）認(rèn)證成功3分，過程2分；22.由于分公司到因特網(wǎng)鏈路帶寬比較低，出口只有200M帶寬，需要在防火墻配置iQOS，系統(tǒng)中P2P總的流量不能超過100M，同時(shí)限制每用戶最大下載帶寬為2M，上傳為1M，優(yōu)先保障HTTP應(yīng)用，為http預(yù)留100M帶寬。（6分）每條qos策略3分；23.為凈化上網(wǎng)環(huán)境，要求在防火墻FW做相關(guān)配置，禁止無線用戶周一至周五工作時(shí)間9：00-18：00的郵件內(nèi)容中含有“病毒”、“賭博”的內(nèi)容，且記錄日志。（5分）每錯(cuò)1處扣1分，扣完為止；24.由于總公司無線是通過分公司的無線控制器統(tǒng)一管理，為了防止專線故障導(dǎo)致無線不能使用，總公司和分公司使用互聯(lián)網(wǎng)作為總公司無線ap和AC相互訪問的備份鏈路。FW和BC之間通過IPSEC技術(shù)實(shí)現(xiàn)AP管理段與無線AC之間聯(lián)通，具體要求為采用預(yù)共享密碼為ABC4321，IKE階段1采用DH組1、3DES和MD5加密方，IKE階段2采用ESP-3DES，MD5。15分，結(jié)果錯(cuò)誤本題0分；FWBC25. 總公司用戶，通過BC訪問因特網(wǎng)，BC采用路由方式，在BC上做相關(guān)配置，讓總公司內(nèi)網(wǎng)用戶（不包含財(cái)務(wù)）通過BC外網(wǎng)口ip訪問因特網(wǎng)。3分；26.在BC上配置PPTPvpn讓外網(wǎng)用戶能夠通過PPTPvpn訪問總公司SW上內(nèi)網(wǎng)地址，用戶名為test，密碼test23。3分，結(jié)果錯(cuò)誤0分；27.為了提高分公司出口帶寬，盡可能加大分公司AC和出口FW之間帶寬。3分，每框1分；FW:AC:28. 在BC上配置url過濾策略，禁止總公司內(nèi)網(wǎng)用戶在周一到周五的早上8點(diǎn)到晚上18點(diǎn)訪問外網(wǎng)。3分；配置2分，時(shí)間計(jì)劃和地址簿各0.5分；29. 在BC上開啟IPS策略，對總公司內(nèi)網(wǎng)用戶訪問外網(wǎng)數(shù)據(jù)進(jìn)行IPS防護(hù)，保護(hù)服務(wù)器、客戶端和惡意軟件檢測，檢測到攻擊后進(jìn)行拒絕并記錄日志。3分；30. 總公司出口帶寬較低，總帶寬只有200M，為了防止內(nèi)網(wǎng)用戶使用p2p迅雷下載占用大量帶寬需要限制內(nèi)部員工使用P2P工具下載的流量，最大上下行帶寬都為50M，以免P2P流量占用太多的出口網(wǎng)絡(luò)帶寬，啟用阻斷記錄。4分，線路帶寬配置1分，規(guī)則配置3分；31.通過BC設(shè)置總公司用戶在上班時(shí)間周一到周五9:00到18:00禁止玩游戲,并啟用阻斷記錄。4分，每框2分32. 限制總公司內(nèi)網(wǎng)用戶訪問因特網(wǎng)web視頻和即時(shí)通信下行最大帶寬為20M，上傳為10M，啟用阻斷記錄；4分，即時(shí)通訊顯示“ALL”或者“397種”均可；33.BC上開啟黑名單告警功能，級(jí)別為預(yù)警狀態(tài)，并進(jìn)行郵件告警和記錄日志，發(fā)現(xiàn)cpu使用率大于80%，內(nèi)存使用大于80%時(shí)進(jìn)行郵件告警并記錄日志，級(jí)別為嚴(yán)重狀態(tài)。發(fā)送郵件地址為123@163.com，接收郵件為133139123456@163.com。4分34.分公司內(nèi)部有一臺(tái)網(wǎng)站服務(wù)器直連到WAF，地址是0，端口是8080，配置將服務(wù)訪問日志、WEB防護(hù)日志、服務(wù)監(jiān)控日志信息發(fā)送syslog日志服務(wù)器，IP地址是，UDP的514端口;4分(注：日志服務(wù)器狀態(tài)不啟用不給分)35.在分公司的WAF上配置，對會(huì)話安全進(jìn)行防護(hù)，開啟Cookie加固和加密。3分36.編輯防護(hù)策略，定義HTTP請求最大長度為1024，防止緩沖區(qū)溢出攻擊。3分37.為防止暴力破解網(wǎng)站服務(wù)器，在WAF上配置對應(yīng)的防護(hù)策略進(jìn)行限速防護(hù)，名稱為“防暴力破解”，限速頻率為每秒1次，嚴(yán)重級(jí)別為高級(jí)，記錄日志；3分38.WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件，規(guī)則名稱為“阻止文件上傳”;4分，規(guī)則應(yīng)用1分，配置3分；39.WAF上配置對應(yīng)防護(hù)規(guī)則，規(guī)則名稱為“HTTP特征防護(hù)”要求對SQL注入、跨站腳本攻擊XSS、信息泄露、防爬蟲、惡意攻擊等進(jìn)行防護(hù)，一經(jīng)發(fā)現(xiàn)立即阻斷并發(fā)送郵件報(bào)警及記錄日志。4分40.WAF上配置對“”，開啟弱密碼檢測，名稱配置為“弱密碼檢測”。3分41.WAF上配置防跨站防護(hù)功能，規(guī)則名稱為“防跨站防護(hù)”保護(hù)““不受攻擊，處理動(dòng)作設(shè)置為阻斷，請求方法為GET,POST方式；3分42.由于公司IP地址為統(tǒng)一規(guī)劃，原有無線網(wǎng)段IP地址為/22,為了避免地址浪費(fèi)需要對ip地址進(jìn)行重新分配；要求如下：未來公司預(yù)計(jì)部署ap50臺(tái)；辦公無線用戶vlan10預(yù)計(jì)300人，來賓用戶vlan20以及不超過30人；6分，每框2分；43.AC上配置DHCP，管理VLAN為VLAN100,為AP下發(fā)管理地址，網(wǎng)段中第一個(gè)可用地址為AP管理地址，最后一個(gè)可用地址為網(wǎng)關(guān)地址，AP通過DHCPopion43注冊，AC地址為loopback1地址；為無線用戶VLAN10,20下發(fā)IP地址，最后一個(gè)可用地址為網(wǎng)關(guān)；6分，開啟DHCP服務(wù)1分，DHCP地址池配置2分，無線IP地址配置1分，AP注冊成功2分，若AP注冊不成功，本題0分；AC44.在NETWORK下配置SSID，需求如下：NETWORK1下設(shè)置SSIDABC4321，VLAN10，加密模式為wpa-personal,其口令為43214321；4分45.NETWORK2下設(shè)置SSIDGUEST，VLAN20不進(jìn)行認(rèn)證加密,做相應(yīng)配置隱藏該SSID；3分，每條1分；46.NETWORK2開啟內(nèi)置portal+本地認(rèn)證的認(rèn)證方式，賬號(hào)為test密碼為test4321;6分，配置2分，有客戶端認(rèn)證結(jié)果4分，無結(jié)果或結(jié)果錯(cuò)誤本題0分；47.配置SSIDGUEST每天早上0點(diǎn)到6點(diǎn)禁止終端接入;GUSET最多接入10個(gè)用戶，并對GUEST網(wǎng)絡(luò)進(jìn)行流控，上行1M，下行2M；配置所有無線接入用戶相互隔離；6分，限時(shí)配置1分，qos配置3分，最大用戶1分，用戶隔離1分。 48.配置當(dāng)AP上線，如果AC中儲(chǔ)存的Image版本和AP的Image版本號(hào)不同時(shí)