XX年度全国计算机网络技能竞赛试题(中职有防火墙).doc

XX年全国中专院校学生计算机网络技能竞赛竞赛说明一、注意事项：1、检查硬件设备、网线头和Console线等的数量是否齐全。2、禁止携带和使用移动存储设备、运算器、通信工具及参考资料。3、操作完成后，需要保存设备配置，不要关闭任何设备，不要拆动硬件的连接，不要对设备随意加、密码，试卷留在考场。4、不要损坏赛场准备的比赛所需要的竞赛设备、竞赛软件和竞赛材料等。二、竞赛环境：硬件环境：设备类型设备型号设备数量（台）路由器神州数码DCR-26263（附带console线）三层交换机神州数码DCRS-5526S2（附带console线）防火墙神州数码DCFW-1800S-L-V21（附带console线）计算机PIV，2GRAM，80GHD4一、 网络搭建（30分）1) 某学校现在有两台三层交换机，其中一台提供教学楼的信息点接入使用，将其命名为DCRS-1，一台防火墙，将其命名为DCFW，另一台三层交换机作为非军事区域信息点接入，将其命名为DCRS-2，学校用三台DCR-2626路由器，其中DCR-1与DCRS-1连接，DCR-2与DCRS-2连接，防火墙通过DCR-3连接Internet。2) 教学楼内有多媒体实验室、网络实验室，软件发实验室和办公室四种机房需要接入计算机，每个房间最多有50个信息点，计划利用/24划分多个子网以便对每个房间的网络进行管理，每个子网的网关为最后一个有效地址，将你的设计方案按照下表的格式。子网划分实验室名称地址范围子网掩码网关地址多媒体实验室网络实验室软件开发实验室办公室3) 教学楼交换机DCRS-1与路由器DCR-1之间使用/30网段相连，DMZ区域交换机DCRS-2与路由器DCR-2之间用/30相连。DCR-1与DCR-2和DCFW之间分别用/30和/30互连。4) DMZ区域交换机DCRS-2用/24作为接入网段，最后一个有效地址作为网关地址接口，DCR-2与防火墙之间使用/30网段相连。5) DCR-3的以太网地址设置为9/24，S0/1的IP地址为/24.，DCR-3与防火墙之间使用2/30的网段地址。6) 为了实现路由收敛速度，学校内部网络决定采用OSPF进行搭建整个校园网络，同时学校为了防止网络使用高峰期的阻塞和实现对网络的层次化管理，决定把各个建筑之间的网络连接划分为不同的区域，详细划分请参考网络拓扑图。7) DCFW与DCR-3分别配置静态路由，以确保内部网络能够高效地转发外网数据包。二、网络配置管理（70分）8) 在教学楼交换机DCRS-1中创建各个实验室的VLAN，并且1-20端口平均分配给各个课室使用，请按照下表的描述完成相关配置。DCRS-1的VLAN划分功能描述VALN号VLAN 描述端口范围多媒体实验室100MMlabE0/1-5网络实验室200NETLabE0/6-10软件开发实验室300PGLAbE0/11-15办公室400OfficeE0/16-20上联接口500To-DCR-1E0/24在DMZ交换机DCRS-2创建VLAN，并且端口平分到各个VLAN中使用，请参照下表在交换机上完成相关配置DCRS-2的VLAN划分功能描述VALN号VLAN 描述端口范围WEB服务器10WEBServerE0/1-5Video服务器20FTPServerE0/6-10上联接口500To-DCR-2E0/249) 课室交换机的每个端口只能接入一台计算机，发现违规则强迫关闭此端口。10) DCR-1与DCR-2串口连接之间封装PPP协议，采用MD5认证，认证密钥为digitalchain，认证ID为12011) 在教学楼交换机DCRS-1上配置适当的DHCP地址池（名称与Vlan号保持一致），让不同的实验室的计算机连接到课室交换机时候能够获取正确IP地址信息：学校DNS服务器为6,，DHCP租约期为长期。12) 不允许每一个实验室的计算机访问办公室网段的TCP应用，但是办公室的计算机可 访问三个实验室网段的TCP应用。13) 冲击波病毒是一种利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，然后利用DCOM RPC缓冲区漏洞攻击该系统，RPC（远程进程调用）应用协议是建立在TCP/UDP协议之上，请在DCRS-1配置上联端口关闭TCP端口135，139，关闭UDP137，138端口，防止冲击波病毒利用DCOM RPC缓冲区漏洞攻击计算机系统。14) 在DCFW请配置相关QOS策略，所有实验室的计算机的上行速率为300K，下行速率为100K，并且保障办公室的数据包应该得到最大带宽的使用优先权。15) 学校为了净化校园网使用环境，创建和谐网络文化，规定所有的实验室不能访问盛大网游（58），巨人网游（）和MSN（80）的网页。而且学校规定凡是一个网页含有超过5次“黄色”、“淫猥”、“暴力”等字样时必须过滤。16) 允许外网用户访问服务WWW、FTP、DNS、邮件服务，允许内网用户访问互联网；允许远程桌面访问，禁止telnet登录、允许ICMP协议。17) 为了保护内部网络的安全，在DCFW上启动NAT转换策略，使内部所有网段转换成WAN上接口的IP地址。18) 在DCR-3上做适当的配置，使访问教育网（/24 模拟）的报文以S0/1作为出口，访问其他广域网的报文则以F0/3路由器作为出口。19) 学校规定正常的上课时间（08：0012：00,14:0018:00）不允许所有实验室计算机访问Internet。20) 为了对Web（PC3）服务器进行有效的网络安全监控，将DMZ交换机的E0/1端口镜像到E0/10网管交换机，并且禁止所有实验室网段的IP对Web服务器进行远程桌面管理。21) 随着网络视频应用等大流量数据应用的迅速发展，学校增购了一台VOD组播服务器，希望教学楼所有实验室用户能够随时点播VOD Server上的节目。组播服务器的IP地址为，DCR-2的Loopback0的IP地址为，DCR-1的Loopback1 的IP地址为，分别在交换机和路由器上运行Spare-Dense模式，组播中心点位设备上的Loopback接口上。22) Dos（Denial of Service）和DDoS（Distributed Denial of Service）是未来几年中Internet上黑客最常用的也是最难防御的攻击方式之一，它主要分“网络带宽攻击”和“连通性攻击”两种，SynFlood攻击，land攻击，Tear Drop攻击，Ping of Death 攻击会消耗操作系统资源，Smuf 攻击，ICMP