2021-技能大赛-信息安全管理与评估-DCN 设备总结 (上)-任务一网络设备路由配置篇

author：leadlife

time：2022/3/11

知识星球：LeadlifeSec

技术交流 QQ 群：775454947

赛题基本信息

选取赛题

《2021年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书4》

搭建部分赛项信息

加上渗透任务总共⏲ 270 分钟

竞赛阶段	任务阶段	竞赛任务	竞赛时间	分值
第一阶段：平台搭建	任务1	网络平台搭建	270分钟	60
第一阶段：安全设备配置防护	任务2	网络安全设备配置与防护	270分钟	240

赛项需注意的内容

本次大赛，各位选手需要完成三个阶段的任务，==其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。==第二、三阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。

例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

网络拓扑图

IP 地址规划表

设备初始化信息表

赛题解析

任务一要求

题号	网络需求
1	根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2	根据网络拓扑图所示，按照IP地址参数表，对RS的名称进行配置，创建VLAN并将相应接口划入VLAN。
3	根据网络拓扑图所示，按照IP地址参数表，对RS各接口IP地址进行配置。
4	根据网络拓扑图所示，按照IP地址参数表，对WS的各接口IP地址进行配置。
5	根据网络拓扑图所示，按照IP地址参数表，对NETLOG的名称、各接口IP地址进行配置。
6	根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。

任务一操作

FW 端口聚合-WS 端口聚合

题目

根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。

分析

FW 与 WS 存在双接口直连，可以推测出为 “端口聚合”

说一下本人观点：不推荐全部使用 Cli 操作 FW 之类的设备，除非 GUI Web 界面实在操蛋

步骤

操作 IP 地址
修改 FW 名称
操作端口聚合
(对应 WS 也需要操作端口聚合，可以不在该题目要求截图中，若评分标准不涉及)

命令

code	explanation
hostname	设置设备名称
int aggregate[num]	对应端口聚合
lcap enable	开启 lcap 动态协商，否则后期会是强制模式，即使放行策略也无法通信

操作

FW

DCFW-1800# configure
DCFW-1800(config)# hostname FW
FW(config)#
FW(config)# interface aggregate1
FW(config-if-agg1)# ip add 0.0.0.0/0
FW(config-if-agg1)# lacp enable
FW(config-if-agg1)# no shutdown
FW(config-if-agg1)# exit
FW(config)# int aggregate1.9
FW(config-if-agg1.9)# zone trust
FW(config-if-agg1.9)# ip add 9.0.0.1/30
FW(config-if-agg1.9)# no shutdown
FW(config-if-agg1.9)# exit
FW(config)# interface aggregate1.91
FW(config-if-agg1.91)# zone untrust
FW(config-if-agg1.91)# no shutdown
FW(config-if-agg1.91)# ip add 10.0.0.1/30
FW(config-if-agg1.91)# exit
FW(config)# interface ethernet0/1
FW(config-if-eth0/1)# aggregate aggregate1
FW(config-if-eth0/1)# int e0/2
FW(config-if-eth0/2)# aggregate aggregate1
FW(config-if-eth0/2)# end

然后查看 GUI Web 应该是如此

然后我们需要在 FW 上创建任意端口放心通信的一个策略

我们仍然会去 WS 上也开启相对应的 Channel

WS

DCWS-6028(config)#hostname WS
WS(config)#int vlan 9
WS(config-if-vlan9)#ip add 9.0.0.2 255.255.255.252
WS(config-if-vlan9)#no shutdown
WS(config-if-vlan9)#exit
WS(config)#int vlan 91
WS(config-if-vlan91)#ip add 10.0.0.2 255.255.255.252
WS(config-if-vlan91)#no shutdown
WS(config-if-vlan91)#exit
WS(config)#port-group 1
WS(config)#int e1/0/1-2
WS(config-if-port-range)#no shutdown
WS(config-if-port-range)#switchport mode trunk
WS(config-if-port-range)#port-group 1 mode active
WS(config-if-port-range)#end

最后若完成成功，则能使 WS Ping 通 FW

WS#ping 9.0.0.1
Sending 5 56-byte ICMP Echos to 9.0.0.1, timeout is 2 seconds.
!!!
Success rate is 100 percent (3/3), round-trip min/avg/max = 0/0/0 msWS#ping 10.0.0.1
Sending 5 56-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds.
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 m

RS VLAN 加入与 Trunk or native

题目

根据网络拓扑图所示，按照IP地址参数表，对RS的名称进行配置，创建VLAN并将相应的 PC 接口划入VLAN。
根据网络拓扑图所示，按照IP地址参数表，对RS各接口IP地址进行配置。

分析

RS 与 WS 互联，我们需要注意无线管理 VLAN 与通信 VLAN

无线管理 VLAN 需要被 Native

步骤

修改 CS6200 交换机名称为 RS

添加对应 VLAN 与 IP add

操作管理 VLAN 与通信 VLAN

命令

code	explanation
switchport trunk native vlan 101	native vlan，使得该 vlan 穿越干道不被 tag 标记

操作

这里之所以要 Trunk e1/0/1 口，原因为：与 WS 相互连需要管理 VLAN 通信

CS6200-28X-EI>enable
CS6200-28X-EI#
CS6200-28X-EI#config terminal
CS6200-28X-EI(config)#hostname RS
RS(config)#vlan 100-101
RS(config)#vlan 40
RS(config-vlan40)#int vlan 100
RS(config-if-vlan100)#ip add 192.168.100.254 255.255.255.0
RS(config-if-vlan100)#no shutdown
RS(config-if-vlan100)#int vlan 101
RS(config-if-vlan101)#ip add 192.168.101.1 255.255.255.0
RS(config-if-vlan101)#no shutdown
RS(config-if-vlan101)#int vlan 40
RS(config-if-vlan40)#ip add 172.16.40.1 255.255.255.192
RS(config-if-vlan40)#no shutdown
RS(config-if-vlan40)#int e1/0/1
RS(config-if-ethernet1/0/1)#switchport mode trunk
RS(config-if-ethernet1/0/1)#switchport trunk allowed vlan 100;101;40
RS(config-if-ethernet1/0/1)#switchport trunk native vlan 101
RS(config-if-ethernet1/0/1)#end

WS 基础配置

题目

根据网络拓扑图所示，按照IP地址参数表，对WS的各接口IP地址进行配置。

分析

我们需要注意到相应 PC 业务 VLAN 需要 ACCESS ，并在与 RS 相连接的端口 Trunk 放行所有有关设备的流量

步骤

配置各个 VLAN 与 IP

操作相应 VLAN ACCESS

操作与 RS 相连接的端口 Trunk

操作

WS#config
WS(config)#vlan 51
WS(config-vlan51)#vlan 52
WS(config-vlan52)#vlan 10
WS(config-vlan10)#vlan 20
WS(config-vlan20)#vlan 30
WS(config-vlan30)#vlan 50
WS(config-vlan50)#vlan 100
WS(config-vlan100)#int vlan 51WS(config)#int vlan 51
WS(config-if-vlan51)#ip add 10.0.0.10 255.255.255.252
WS(config-if-vlan51)#no shutdown
WS(config-if-vlan51)#int vlan 52
WS(config-if-vlan52)#ip add 172.16.100.1 255.255.255.0
WS(config-if-vlan52)#no shutdown
WS(config-if-vlan52)#int vlan 10
WS(config-if-vlan10)#ip add 172.16.10.1 255.255.255.0
WS(config-if-vlan10)#no shutdown
WS(config-if-vlan10)#int vlan 20
WS(config-if-vlan20)#ip add 172.16.20.1 255.255.255.128
WS(config-if-vlan20)#no shutdown
WS(config-if-vlan20)#int vlan 30
WS(config-if-vlan30)#ip add 172.16.30.1 255.255.255.192
WS(config-if-vlan30)#no shutdown
WS(config-if-vlan30)#int vlan 50
WS(config-if-vlan50)#ip add 172.16.50.1 255.255.255.252
WS(config-if-vlan50)#no shutdown
WS(config-if-vlan50)#int vlan 100
WS(config-if-vlan100)#ip add 192.168.100.1 255.255.255.0
WS(config-if-vlan100)#no shutdown WS(config-if-vlan100)#int e1/0/1
WS(config-if-ethernet1/0/1)#switchport mode trunk
WS(config-if-ethernet1/0/1)#exit
WS(config)#interface e1/0/20
WS(config-if-ethernet1/0/20)#switchport mode trunk
Set the port Ethernet1/0/20 mode Trunk successfully
WS(config-if-ethernet1/0/20)#switchport trunk allowed vlan 9;10;20;30;50;51;52;91;100
WS(config-if-ethernet1/0/20)#end
WS#show ip int b
Index     Interface             IP-Address      Protocol
11009     Vlan9                 9.0.0.2         up
11010     Vlan10                172.16.10.1     up
11020     Vlan20                172.16.20.1     up
11030     Vlan30                172.16.30.1     up
11050     Vlan50                172.16.50.1     up
11051     Vlan51                10.0.0.10       up
11052     Vlan52                172.16.100.1    up
11091     Vlan91                10.0.0.2        up
11100     Vlan100               192.168.100.254 up
17500     Loopback              127.0.0.1       up

NetLog 基础配置

题目

根据网络拓扑图所示，按照IP地址参数表，对NETLOG的名称、各接口IP地址进行配置。

分析

我们需要注意，对 NETLOG 的名字要修改，我们需要进入到 Console 控制中操作

admin[LAB]# hostname NETLOG

其他照常操作即可

步骤

进入 Netlog Web GUI 界面系统信息 → 当前状态然后修改名称

其他照常配置

操作

使用 IE 浏览器进入 Web 管理界面，操作网络配置 → 网络接入 → 以太网卡接入配置 IP

WAF 基础配置

与 Netlog 操作差不多这里不多赘述，直接放图

操作

配置 → 网络配置 → 高级网络配置

ncs.com/WAF 配置-1.PNG)]

创建好后编辑然后创建 IP