发布时间 : 星期四 文章2013年全国职业院校技能大赛高职组计算机网络应用竞赛赛题更新完毕开始阅读
“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷 法务部 信息技术部
000f-e300-01b4 000f-e2d0-01b5 37.2.0.198 37.2.0.250 (4)由于总公司内网客户端与HQ-admin并不处于同一广播域,所有要求在Core2、Core3上配置DHCP中继使得总公司内网客户端能够正常获取到相关IP地址参数。
(5)要求在HQ-admin上创建POOL10、POOL11、POOL12、POOL110四个IPv6 DHCP地址池,并指定四个地址池分配的IP网段分别为vlan10、vlan11、vlan12、vlan110这个四个vlan的IPv6地址的网段,网关为四个VRRPv6备份组的虚拟IPv6网关地址,DNS地址都为2013:2013::1:1/64。
(6)要求在配置DHCPv6服务时排除交换机的vlan三层接口的IPv6地址。
(7)由于总公司内网客户端与HQ-admin并不处于同一广播域,所有要求在Core2、Core3上配置DHCPv6中继使得总公司内网客户端能够正常获取到相关IPv6地址参数。
(8)要求配置DHCPv6的地址租约时长为172800秒(2天),有效时长为345600秒(4天)。
(9)由于PC2需要通过Linux2的DHCP服务获取IP地址等参数,所以要求在分公司一Branch1上做DHCP中继服务。
IPv4 DHCP
服务:
HQ-admin:
dhcp server ip-pool pool10
network 37.2.0.0 mask 255.255.255.128 gateway-list 37.2.0.126 dns-list 37.2.1.85
static-bind ip-address 37.2.2.120 25 hardware-address 000f-e200-01c0 dhcp server ip-pool pool11
network 37.2.0.128 mask 255.255.255.192 gateway-list 37.2.0.190 dns-list 37.2.1.85
第 37 页 共 88 页
“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷
static-bind ip-address 37.2.2.186 26 hardware-address 000f-a324-01c2 dhcp server forbidden-ip 37.2.0.126 dhcp server forbidden-ip 37.2.0.190 dhcp enable
中继:
Core2 :
dhcp relay server-group 1 ip 37.2.2.9 interface Ethernet1/0/5 dhcp select relay
dhcp relay server-select 1 dhcp enable
Core3:
dhcp relay server-group 1 ip 37.2.2.13 interface Ethernet1/0/5 dhcp select relay
dhcp relay server-select 1 dhcp enable
Branch1:
dhcp relay server-group 1 ip 37.2.2.25 interface Ethernet 0/0 dhcp select relay
dhcp relay server-select 1 dhcp enable
DHCPv6
HQ-admin:
ipv6 dhcp server enable interface ethernet 0/0
ipv6 dhcp select server ipv6 dhcp pool 1
network 2011:10::254/64 preferred-lifetime 172800 valid-lifetime 345600 domain-name pool10
dns-server 2013:2013::1:1/64 ipv6 dhcp server forbidden-address
Core2 :
ipv6 dhcp select relay
ipv6 dhcp relay server-address 2011:2011::12:3 undo ipv6 nd ra halt
Ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag ipv6 dhcp server enable
第 38 页 共 88 页
“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷
11、局域网安全
(1)为了提高总公司内部网络的安全性,要求在Core2上配置地址绑定功能,要求端口Ethernet1/0/20上只允许PC1发送的数据包通过。要求通过在端口上静态绑定PC1的MAC地址表项实现。
(2)为了提高总公司内部网络的客户端接入的安全性,要求在Core2上配置802.1x接入认证,对E1/0/16接入的客户端进行802.1认证,认证用户名为802user,认证密码为123456。
(3)要求配置Core2的802.1x认证的认证方法为PAP EAP终结认证方法,并且采用ISP域aabbcc.net作为认证域,认证时采用本地认证,
(4)考虑到有些客户端可能不支持802.1x在线用户握手功能,所以要求关闭E1/0/16端口下的802.1x的在线用户握手功能。
(5)由于Core2下E1/0/16下接入的需要认证的客户端并不多,所以这里要求配置端口同时接入用户数的最大值限制为50个。
(6)为了控制总公司园区交换网客户端对Internet的访问,要求为Core2的E1/0/17接口下接入的一台MAC地址为00-e0-fc-12-34-56的PC进行MAC地址认证,且要求Core2每个240秒就对用户是否下线进行检测;并且当用户认证失败时,需要等待180秒后才能对用户再次发起认证。
(7)要求在Core2上指定ISP域ddeeff.net作为MAC地址认证的认证域,认证时使用本地认证方式。
(8)要求在Core2上配置端口安全技术来防止Core2的E1/0/18接口下接入的客户端过多,要求在这个接口下允许30用户自由接入,不进行认证,将学习到的用户MAC地址添加为Sticky安全地址,老化时间为30分钟。
(9)当Core2的E1/0/18接口下的安全MAC地址数量达到30个后,E1/0/18接口停止学
第 39 页 共 88 页
“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷
习MAC地址,当再有新的MAC地址接入时,触发入侵检测动作,并将此接口关闭30秒。
(10)要求在Core2上配置Portal认证为其E1/0/19接口下所接入用户提供一套全方位的安全接入认证服务。E1/0/19接口下的客户端可以通过手工配置或DHCP获取IP地址参数,但是在通过Portal认证前,只能访问Portal服务器,只有在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。(这里Portal服务器不用配置,只需要完成交换机上的相关配置)
(11)要求在Portal认证中指定RADIUS方案的名称rs1,并要求在Core2上指定用于认
证及计费的RADIUS服务器的IP地址37.2.0.210,通信密钥为radius,且服务器类型 为extended。
(12)要求在Portal认证中指定交换机发送给RADIUS服务器的用户名不携带ISP域名。
(13)要求在Portal认证中指定ISP域system为Portal认证的认证域,并通过此认证域指定rs1方案作为Portal认证方案。
(14)要求Portal认证服务器的IP地址为37.2.0.211,密钥为portal,端口号为50100,URL为http:// 37.2.0.211:8080/portal。 [core2]
port-security timer disableport 30 # dot1x
dot1x quiet-period
dot1x timer quiet-period 120
dot1x authentication-method pap #
mac-authentication timer offline-detect 240 mac-authentication domain ddeeff.net #
domain aabbcc.net access-limit disable state active idle-cut disable
self-service-url disable
第 40 页 共 88 页