1、企业网络搭建及应用模拟竞赛试题企业网络搭建及应用模拟竞赛试题网络配置(本部分30分) 下图为某企业网络的拓扑图,出口路由器RSR20-A、核心RG-S3760-A、核心RG-S3760-B、接入交换机RG-S2026及接在接入交换机下的各种业务类型的用户组成分公司业务办公局域网,为了实现网络的稳定,在网络中运行VRRP+MSTP实现双链路双核心。要求两台核心使用端口汇聚功能提高带宽。在网络中,VLAN10是生产VLAN,VLAN20是行政VLAN,VLAN30是财务VLAN,VLAN40是销售VLAN。公司规定下班后不允许访问互联网,(工作时间为周一至周五的9:00-18:00)。【说明】本文
2、中所有“X”这个符号,代表组号,例如:第一组,请使用01代替,建立“用户”名:W2Kuser101根据图示需要制作网线,便于比赛后期根据网络拓扑图搭建网络和调试网络。 根据网络设备的摆放位置和Console线的长度。为设备命名时,名称中的序列号应与网络设备上粘贴标签的序列号一致。请每台网络设备的配置保存在以记事本的形式保存文档,文档名称:二层交换机为S2-X,路由器分别为R-A-X和R-B-X,三层交换机分别为S3-A-X和S3-B-X。最后将5个文档保存在名称为X文件夹中。配置完相关功能后请尽可能 “show”显示,每个设备配置完成后请运行“show running-config”命令。【要
3、求如下】1网络物理连接;(1)按图示结构要求制作网络连接电缆;(2)利用电缆正确连接网络设备。2在全网所有设备上按照要求配置正确的IP地址;S3760A:Vlan 10 :ip address 172.16.1.1 255.255.255.224Vlan 20:ip address 172.16.1.33 255.255.255.224Vlan 30:ip address 172.16.1.65 255.255.255.224Vlan 40:ip address 172.16.1.97 255.255.255.224F0/1 :no switchport ip address 192.168.
4、1.1 255.255.255.252S3760B:Vlan 10 :ip address 172.16.1.2 255.255.255.224Vlan 20:ip address 172.16.1.34 255.255.255.224Vlan 30:ip address 172.16.1.66 255.255.255.224Vlan 40:ip address 172.16.1.98 255.255.255.224F0/1 :no switchport ip address 192.168.1.5 255.255.255.252R1:F0/0 ip address 192.168.1.2 2
5、55.255.255.252 F0/1 ip address 192.168.1.6 255.255.255.252 S0/1 ip address 119.1.1.1 255.255.255.252 R2:S0/1 ip address 119.1.1.2 255.255.255.252 F0/0 ip address 119.1.1.5 255.255.255.252 F0/1 ip address 119.1.1.9 255.255.255.2523创建VLAN10、VLAN20、VLAN30、VLAN40,并规划交换机S2026接口VLAN,14在VLAN10、 59在VLAN20、1
6、014在VLAN30、1520在VLAN40;#inter range fa 0/1-4#witchport access vlan 10#inter range fa 0/5-9#switchport access vlan 20#inter range fa 0/10-14#witchport access vlan 30#inter range fa 0/15-20#switchport access vlan 404在全部交换机上配置MSTP协议,并且创建二个MSTP实例:Instance0、Instance1;其中,Instance0包括:VLAN10、VLAN20;而Instanc
7、e1包括:VLAN30、VLAN40;S2026:Spanning-treeSpanning-tree mode mstpSpanning-tree mst configInstance 0 vlan 10,20Instance 1 vlan 30,40S3760A:Spanning-treeSpanning-tree mode mstpSpanning-tree mst configInstance 0 vlan 10,20Instance 1 vlan 30,40S3760BSpanning-treeSpanning-tree mode mstpSpanning-tree mst conf
8、igInstance 0 vlan 10,20Instance 1 vlan 30,405设置MSTP的优先级,实现在Instance0中S3760-A为根交换机,在Instance1中S3760-B为根交换机;S3760A:Spanning-tree mst 0 pritory 4096Spanning-tree mst 1 priorty 8192S3760B:Spanning-tree mst 0 pritory 8192Spanning-tree mst 1 priorty 40966在二层交换机S2026上配置聚合端口port-group 2到端口Fa 0/4的端口镜像,该镜像能把源
9、聚合端口的接收和发送都镜像;monitor session 1 source interface aggretegateport 2 both monitor session 1 destination interface FastEthernet 0/47配置S2026的F0/21-22与S3760A的F0/10-11之间的链路聚合,S2026的F0/23-24与S3760B的F0/10-11之间的链路聚合;S2026:#interface aggretegateport 1#Switchport mode trunk#interface aggretegateport 2#Switchpo
10、rt mode trunkInter range fa 0/21-22Port-group 1 Inter range fa 0/23-24Port-group 2 S3760AInterface aggretegateport 1Switchport mode trunkInterface range fa 0/10-11Port-group 1 S3760BInterface aggretegateport 2Switchport mode trunkInterface range fa 0/10-11Port-group 2 8在二层交换机S2026上配置每个vlan的ARP网关防欺骗;
11、int vlan 10anti-ARP-Spoofing ip 172.16.1.1inter vlan 20 anti-ARP-Spoofing ip 172.16.1.33inter vlan 30anti-ARP-Spoofing ip 172.16.1.65inter vlan 40anti-ARP-Spoofing ip 172.16.1.97exit9在二层交换机F0/1-20上配置广播的抑制功能;int rang fa 0/1-20switchport broadcast10对二层交换机上的生成树进行优化配置,配置到相应端口;Spnning-tree portfast bpduf
12、ilter defultInter range fa0/1-20Spanning-tree portfast11在三层交换机S3760-A上的端口Fa 0/4配置端口安全,最多允许通过50个MAC地址,超过50时,来自新主机的数据帧将丢失;Inter fa 0/4switchport port-securityswitchport port-security maxmunin 50switchport port-security violation shutdown12对三层交换机使用防扫描功能。设置监控主机的最大数为500,隔离时间为1200,对不存在的IP报文阀值设为15,对一批网段进行扫
13、描攻击的最大阀值设为10;system-guard detect-maxnum 500 /设置监控主机的最大数interface rang fastEthernet 0/1-24system-guard enablesystem-guard isolate-time 1200 system-guard same-ip-attack-packets 15 system-guard scan-ip-attack-packets 10 13在二层交换机S2026上的端口Fa 0/15端口Fa 0/20配置端口安全,端口安全地址个数为1,安全违例将关闭端口;Inter range fa0/15-20S
14、withport port-securitySwitchport port-security maxminu 1Switchport port-security violation shutdown14在三层交换机S3760-A上的端口Fa 0/7上配置端口安全,安全MAC地址为:00-12-F0-00-00-01,安全IP地址为192.168.X.60/27,并进行IP和MAC地址的绑定配置;Inter fa 0/7Switchport port-securitySwitchport port-security mac-address 00-12-F0-00-00-01 ip-address
15、 192.168.X.60/27Switchport port-security violation shutdown15在三层交换机S3760-B 设置地址绑定功能,MAC地址为:00-12-F0-00-00-02,IP地址为:192.168.1.35/27;并在端口G 0/25设置多播风暴控制,允许通过的多播报文最多占带宽的20%;Ip-bind .Inter gig 0/25Strom-control multicast level 2016配置VRRP组1、VRRP组2、 VRRP组3、 VRRP组4,实现VLAN10、VLAN20通过S3760-A转发数据,VLAN30、VLAN40
16、通过S3760-B转发数据;S3760AInter vlan 10Vrrp 1 ip 172.16.1.1Vrrp 1 pritorty 110Inter vlan 20Vrrp 2 ip 172.16.1.33Vrrp 2 pritoty 110Inter vlan 30 Vrrp 3 ip 172.16.1.65Vrrp prioty 90Inter vlan 40 Vrrp 4 ip 172.16.1.97Vrrp 4 pritoty 90S4760BInter vlan 10Vrrp 1 ip 172.16.1.1Vrrp 1 pritorty 90Inter vlan 20Vrrp
17、2 ip 172.16.1.33Vrrp 2 pritoty 90Inter vlan 30 Vrrp 3 ip 172.16.1.65Vrrp prioty 110Inter vlan 40 Vrrp 4 ip 172.16.1.97Vrrp 4 pritoty 11017三层交换机S3760A和S3760B通过F0/13和F0/14实现链路聚合;S3760AInter aggretegeport 3Switchport mode trunkInter range fa 0/13-14Port-group 3 inS3760BInter aggretegeport 3Switchport m
18、ode trunkInter range fa 0/13-14Port-group 3 in18R1的S0/1与R2的S0/1启用帧中继封装,R1设为模拟交换;R1注:R1为DCE端口)#frame-relay switching #inter ser 0#enc frame-relay#frame-relay intf-type dce#frame-relay interface-dlci 16#frame-relay inverse-arp#clock rate 64000R2:#inter ser 0#enc frame-relay#frame-relay interface-dlci
19、16#frame-relay inverse-arp19在S3760-A、S3760-B与路由器RSR20A上使用动态路由协议OSPF实现内网互通;S3760ARouter ospf Net work 172.16.1.0 255.255.255.224 area 0Net work 172.16.1.32 255.255.255.224 area 0Net work 172.16.1.64 255.255.255.224 area 0Net work 172.16.1.96 255.255.255.224 area 0Net work 192.168.1.0 255.255.255.252
20、area 0S3760BNet work 172.16.1.0 255.255.255.224 area 0Net work 172.16.1.32 255.255.255.224 area 0Net work 172.16.1.64 255.255.255.224 area 0Net work 172.16.1.96 255.255.255.224 area 0Net work 192.168.1.4 255.255.255.252 area 0R1Router ospf Net work 192.168.1.4 255.255.255.252 area 0Net work 192.168.
21、1.0 255.255.255.252 area 020RSR20A与RSR20B上启用RIP 2协议,做RIP与OSPF的重分布,使得全网互通;R1Router ripVersion 2Network 119.1.1.0R2Router ripVersion 2Network 119.1.1.021. 在RSR20A上配置NAT使内网中的vlan 10、vlan 20能访问外网的PC4主机,使其每个源IP的TCP的老化时间为80,控制每个源IP的速度为2M,不允许其它网段访问;R1Inter range fa0/0-1Ip nat insideInter s 0/1Ip nat outsid
22、eAccess-list 1 permit 172.16.1.0 0.0.0.32Access-list 1 permit 172.16.1.32 0.0.0.32ip nat pool net 119.1.1.1 119.1.1.1 netmask 255.255.255.252 ip nat inside source list 1 pool net overload ip nat translation tcp-timeout 80 ip nat translation rate-limit default inbound 2000 outbound 2000 22只允许vlan30,v
23、lan40访问PC4上的FTP服务,其它则访问INTERNET;Router2access-list 100 permit tcp 172.16.1.64 0.0.0.32 119.1.1.4 0.0.0.32 eq ftpaccess-list 100 permit tcp 172.16.1.96 0.0.0.32 119.1.1.4 0.0.0.32 eq ftpaccess-list 101 deny tcp 172.16.1.64 0.0.0.32 119.1.1.4 0.0.0.32 eq ftpaccess-list 101 deny tcp 172.16.1.96 0.0.0.3
24、2 119.1.1.4 0.0.0.32 eq ftpaccess-list 101 permit ip any anyroute-map access permit 10match ip address 100set ip default next-hop 119.1.1.5route-map access permit 20# match ip address 101set ip default next-hop 119.1.1.9interface S0/1ip policy route-map access23配置ACL实现vlan10,vlan20只有上班时间(周一至周五的9:00-
25、18:00)才可以允许访问PC4;vlan30 vlan40在上班时间不允许访问INTERNET和PC4。R2Time-range weekPerciy weekdays 9:00 to 18:00Ip access-list exstand weekdayPermit tcp 172.16.1.0 0.0.0.32 119.1.1.4 0.0.0.32 time-range weekPermit tcp 172.16.1.32 0.0.0.32 119.1.1.4 0.0.0.32 time-range weekpermit tcp 172.16.1.64 0.0.0.32 119.1.1.
26、8 0.0.0.32 time-range weekpermit tcp 172.16.1.96 0.0.0.32 119.1.1.8 0.0.0.32 time-range weekIp access-list extand faceDeny tcp 172.16.1.64 0.0.0.32 119.1.1.8 0.0.0.32 time-range weekDeny tcp 172.16.1.96 0.0.0.32 119.1.1.8 0.0.0.32 time-range weekPermit ip any anyInter fa 0/0Ip access-group weekday o
27、utInter fa 0/1 ip access-group face outWindows及Linux配置(本部分70分)一、 PC1:按要求在虚拟机中安装FEDORA8.0并通过设置实现以下功能1. 按照根分区4000MB、交换分区500MB、/home分区1000MB的容量设置进行分区;2. 新建域:,同时创建正向和反向区域文件;3. 建立邮件用户组mailusers,创建邮件用户mailuser1和mailuser2密码均为123456;4. 设置某个人远程登录时,系统不显示操作系统和版本信息;5. Samba共享,要求如下:一个公司有五个部门,分别是linuxsir,sir01,si
28、r02,sir03,sir04。为这家公司设计一个比较安全的共享文件模型。每个用户都有自己的网络磁盘,sir01到sir04还有共用的网络硬盘;所有用户(包括匿名用户)有一个共享资料库,此库为了安全是只读的;所有的用户(包括匿名用户)要有一个临时文件中转的文件夹.共享权限设计实现的功能;1)建立五个部门的用户及组linuxsir、sir01、sir02、sir03、sir04,密码123456; 2)linuxsir部门具有管理所有SMB空间的权限;3)sir01到sir04拥有自己的空间(该空间文件夹与部门名称对应),并且除了自身及linuxsir有权限以外,对其它用户具有绝对隐私性;4)l
29、inuxsir01到linuxsir04拥有一个共同的读写权限的空间sir0104rw, 对sir01到sir04的用户来说是隐私的;5) 除了linuxsir有权限写入外其它所有用户(包括匿名用户)有一个有读权限的空间sirshare,用于资料库;6) 还要有一个空间sirallrw,让所有用户可以写入,能删除等功能,在权限上无限制,用于公司所有用户的临时文档中转。7)所有的共享文件夹均存放在/opt目录下,并根据要求正确建立各共享文件夹的位置,在各共享文件夹中建立对应的测试文件:linuxsir.txt、sir01.txt、sir02.txt sir03.txt、sir04.txt、sir
30、0104rw.txt、sirshare.txt、sirallrw.txt,权限 rwx。二 、PCB:虚拟机中安装Windows 2003 Server1主机名为:chinaA,密码为:C2.新建DNS,创建域:.3.创建OU:网络部、财政部、设计部、并把user1移动到网络部,user2移动到设计部。4启用对文件和文件夹的审核策略,并审核所有域用户对对C盘下新建文件access.txt(允许读取和修改)的成功读取和删除;5.新建Web服务器,建立测试主页index.html输入内容“欢迎访问!”,实现用户访问证书服务;6.创建用户user1、user2,密码均为C,建立FTP用户组ftpus
31、ers并将user1和user2加入进来;7修改管理员名称为:chinaad ,并创建陷阱用户:administrator,用超级复杂的10位密码。8.实现活动目录FTP用户隔离且拒绝匿名用户访问,为每个FTP用户设置100MB的磁盘空间;9.通过POP3服务为本域启用邮件服务功能,创建邮箱:mail1,mail2,密码均为C;10.实现PCA中mailuser1、mailuser2与本地邮件用户mail1、mail2之间进行邮件的互发;11.建立VPN使PCC通过VPN能访问本机中的共享信息;三、PCC:虚拟机中安装Windows Server 2008 1主机名为:chinaB,密码为:C2加入到域中3.新建用户user3、use
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 