（全国职业技能比赛：高职）GZ032信息安全管理与评估赛题第2套.docx

（全国职业技能比赛：高职）GZ032信息安全管理与评估赛题第2套.docx

《（全国职业技能比赛：高职）GZ032信息安全管理与评估赛题第2套.docx》由会员分享，可在线阅读，更多相关《（全国职业技能比赛：高职）GZ032信息安全管理与评估赛题第2套.docx（58页珍藏版）》请在冰点文库上搜索。

ChinaSkills

全国职业院校技能大赛

高等职业教育组

信息安全管理与评估

赛题二

模块一

网络平台搭建与设备安全防护

一、赛项时间

共计180分钟。

二、赛项信息

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

第一阶段

网络平台搭建与设

备安全防护

任务1

网络平台搭建

XX:

XX-

XX:

XX

50

任务2

网络安全设备配置与防护

250

三、赛项内容

本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。

第二、三阶段请根据现场

具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具

体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹

中。

例如：

08工位，则需要在U盘根目录下建立“GW08”文件夹，并在

“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

特别说明：

只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不

允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

（一）赛项环境设置

1.网络拓扑图

FW

（o））

AP



Internet

BC

AE堡垒服务器

WAFSw

PCPC

上海总公司



PC



南昌分公司

2.IP地址规划表

设备名称

接口

IP地址

对端设备

接口

防火墙FW

ETHO/1-2

10.10.255.1/30（trust安全域）2001:

DA8:

10:

10:

255:

:

1/127

SW

eth1/0/1-2

10.10.255.5/30（trust安全域）2001:

DA8:

10:

10:

255:

:

5/127

SW

ETH0/3

20.23.1.1/30（untrust安全域）

223.20.23.1/29（nat-pool）2001:

DA8:

223:

20:

23:

:

1/64

SW

Eth1/0/23

Loopbackl

10.0.0.254/32（trust）

Router-id

SSLPool

192.168.10.1/26

可用IP数量为20

SSLVPN地址

池

三层交换机SW

ETH1/0/4

专线

ACETH1/0/4

ETH1/0/5

专线

ACETH1/0/5

VLAN21

ETH1/0/1-2

10.10.255.2/30

2001:

DA8:

10:

10:

255:

:

2/127

FW

VlannameTO-FW1

VLAN22

ETH1/0/1-2

10.10.255.6/30

2001:

DA8:

10:

10:

255:

:

6/127

FW

VlannameTO-FW2

VLAN23

ETH1/0/23

20.23.1.2/30

2001:

DA8:

223:

20:

23:

:

2/127

FW

Vlanname

TO-

internet

VLAN24

ETH1/0/24

223.20.23.10/29

2001:

DA8:

223:

20:

23:

:

10/127

BC

VlannameTO-BC

VLAN10

172.16.10.1/24

无线1

VlannameWIFI-

vlan10

VLAN20

172.16.20.1/24

无线2

VlannameWIFI-

vlan20

VLAN30

ETH1/0/6-7

192.168.30.1/24

2001:

DA8:

192:

168:

30:

1:

:

1/96

VlannameXZ

VLAN31

Eth1/0/8-9

192.168.31.1/24

2001:

DA8:

192:

168:

31:

1:

:

1/96

Vlannamesales

VLAN40

ETH1/0/10-11

192.168.40.1/24

2001:

DA8:

192:

168:

40:

1:

:

1/96

VlannameCW

Vlan50

Eth1/0/13-14

192.168.50.1/24

2001:

DA8:

192:

168:

50:

1:

:

1/96

Vlanname

manage

Vlan1001

10.10.255.9/30

2001:

DA8:

10:

10:

255:

:

9/127

TO-AC1

Vlan1002

10.10.255.13/30

2001:

DA8:

10:

10:

255:

:

13/127

TO-AC2

VLAN1000ETH1/0/20

172.16.100.1/24

VlannameAP-

Manage

Loopback1

10.0.0.253/32（router-id）

无线控制器AC

VLAN10

192.168.10.1/24

2001:

DA8:

192:

168:

10:

1:

:

1/96

VlannameTO-CW

VLAN20

192.168.20.1/24

2001:

DA8:

192:

168:

20:

1:

:

1/96

VlannameCW

VLAN1001

10.10.255.10/30

2001:

DA8:

10:

10:

255:

:

10/127

VLAN1002

10.10.255.14/30

2001:

DA8:

10:

10:

255:

:

14/127

Vlan60

Eth1/0/13-14

192.168.60.1/24

2001:

DA8:

192:

168:

60:

1:

:

1/96

Vlannamesales

Vlan61

Eth1/0/15-18

192.168.61.1/24

2001:

DA8:

192:

168:

61:

1:

:

1/96

VlannameBG

Vlan100

Eth1/0/21

10.10.255.17/30

2001:

DA8:

10:

10:

255:

:

17/127

BC

eth2

VlannameTO-BC

VLAN2000ETH1/0/19

192.168.100.1/24

沙盒

Loopback1

10.1.1.254/32（router-id）

日志服务器BC

eth2

10.10.255.18/30

2001:

DA8:

10:

10:

255:

:

18/127

AC

ETH3

223.20.23.9/29

2001:

DA8:

223:

20:

23:

:

9/127

SW

PPTP-pool

192.168.10.129/26（10个地址）

WEB应用防火墙WAF

ETH2

192.168.50.2/24

PC3

ETH3

SWEth1/0/13

AP

Eth1

SW（20口）

PC1

网卡

eth1/0/7

SW

沙盒

192.168.100.10/24

AC

ETH1/0/19

（二）第一阶段任务书

任务1：

网络平台搭建（50分）

题号

网络需求

1

根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进

行配置。

2

根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建

VLAN并将相应接口划入VLAN。

3

根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配

置。

4

根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进

行配置。

5

按照IP地址规划表，对WEB应用防火墙的名称、各接口IP地址进行配置。

任务2：

网络安全设备配置与防护（250分）

1.SW和AC开启SSH登录功能，SSH登录账户仅包含“USER-SSH”，密码为明文“123456”，采用SSH方式登录设备时需要输入enable密码，密码设置为明

文“enable”。

2.应网监要求，需要对上海总公司用户访问因特网行为进行记录，需要在交换机上做相关配置，把访问因特网的所有数据镜像到交换机1/0/18口便于对用户上

网行为进行记录。

3.尽可能加大上海总公司核心和出口之间带宽，端口模式采用lacp模式。

4.上海总公司和南昌分公司租用了运营商两条裸光纤，实现内部办公互通，要求两条链路互为备份，同时实现流量负载均衡，流量负载模式基于Dst-src-mac模

式。

5.上海总公司和南昌分公司链路接口只允许必要的vlan通过，禁止其它vlan包括

vlan1二层流量通过。

6.为防止非法用户接入网络，需要在核心交互上开启DOT1X认证，对vlan40用户接

入网络进行认证，radius-server为192.168.100.200。

7.为了便于管理网络，能够让网管软件实现自动拓朴连线，在总公司核心和分公司AC上开启某功能，让设备可以向网络中其他节点公告自身的存在，并保存

各个邻近设备的发现信息。

8.ARP扫描是一种常见的网络攻击方式，攻击源将会产生大量的ARP报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源，为了防止该攻击对网

络造成影响，需要在总公司交换机上开启防扫描功能，对每端口设置阈值为

40，超过将关闭该端口20分钟后自动恢复，设置和分公司互联接口不检查。

9.总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路

由进行隔离，因特网路由实例名internet。

10.对SW上VLAN40开启以下安全机制：

业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟；如私设DHCP服务器关闭该端口;

开启防止ARP网关欺骗攻击。

11.配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过

10.10.255.1返回数据通过10.10.255.5。

要求有测试结果。

12.为响应国家号召，公司实行IPV6网络升级改造，公司采用双栈模式，同时运行ipv4和ipv6，IPV6网络运行OSPFV3协议，实现内部ipv6全网互联互通，要

求总公司和分公司之间路由优先走vlan1001，vlan1002为备份。

13.在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过