“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷 法务部 信息技术部
000f-e300-01b4 000f-e2d0-01b5 37.2.0.198 37.2.0.250 (4)由于总公司内网客户端与HQ-admin并不处于同一广播域,所有要求在Core2、Core3上配置DHCP中继使得总公司内网客户端能够正常获取到相关IP地址参数。
(5)要求在HQ-admin上创建POOL10、POOL11、POOL12、POOL110四个IPv6 DHCP地址池,并指定四个地址池分配的IP网段分别为vlan10、vlan11、vlan12、vlan110这个四个vlan的IPv6地址的网段,网关为四个VRRPv6备份组的虚拟IPv6网关地址,DNS地址都为2013:2013::1:1/64。
(6)要求在配置DHCPv6服务时排除交换机的vlan三层接口的IPv6地址。
(7)由于总公司内网客户端与HQ-admin并不处于同一广播域,所有要求在Core2、Core3上配置DHCPv6中继使得总公司内网客户端能够正常获取到相关IPv6地址参数。
(8)要求配置DHCPv6的地址租约时长为172800秒(2天),有效时长为345600秒(4天)。
(9)由于PC2需要通过Linux2的DHCP服务获取IP地址等参数,所以要求在分公司一Branch1上做DHCP中继服务。
IPv4 DHCP
服务:
HQ-admin:
dhcp server ip-pool pool10
network 37.2.0.0 mask 255.255.255.128 gateway-list 37.2.0.126 dns-list 37.2.1.85
static-bind ip-address 37.2.2.120 25 hardware-address 000f-e200-01c0 dhcp server ip-pool pool11
network 37.2.0.128 mask 255.255.255.192 gateway-list 37.2.0.190 dns-list 37.2.1.85
第 37 页 共 88 页
“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷
static-bind ip-address 37.2.2.186 26 hardware-address 000f-a324-01c2 dhcp server forbidden-ip 37.2.0.126 dhcp server forbidden-ip 37.2.0.190 dhcp enable
中继:
Core2 :
dhcp relay server-group 1 ip 37.2.2.9 interface Ethernet1/0/5 dhcp select relay
dhcp relay server-select 1 dhcp enable
Core3:
dhcp relay server-group 1 ip 37.2.2.13 interface Ethernet1/0/5 dhcp select relay
dhcp relay server-select 1 dhcp enable
Branch1:
dhcp relay server-group 1 ip 37.2.2.25 interface Ethernet 0/0 dhcp select relay
dhcp relay server-select 1 dhcp enable
DHCPv6
HQ-admin:
ipv6 dhcp server enable interface ethernet 0/0
ipv6 dhcp select server ipv6 dhcp pool 1
network 2011:10::254/64 preferred-lifetime 172800 valid-lifetime 345600 domain-name pool10
dns-server 2013:2013::1:1/64 ipv6 dhcp server forbidden-address
Core2 :
ipv6 dhcp select relay
ipv6 dhcp relay server-address 2011:2011::12:3 undo ipv6 nd ra halt
Ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag ipv6 dhcp server enable
第 38 页 共 88 页
“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷
11、局域网安全
(1)为了提高总公司内部网络的安全性,要求在Core2上配置地址绑定功能,要求端口Ethernet1/0/20上只允许PC1发送的数据包通过。要求通过在端口上静态绑定PC1的MAC地址表项实现。
(2)为了提高总公司内部网络的客户端接入的安全性,要求在Core2上配置802.1x接入认证,对E1/0/16接入的客户端进行802.1认证,认证用户名为802user,认证密码为123456。
(3)要求配置Core2的802.1x认证的认证方法为PAP EAP终结认证方法,并且采用ISP域aabbcc.net作为认证域,认证时采用本地认证,
(4)考虑到有些客户端可能不支持802.1x在线用户握手功能,所以要求关闭E1/0/16端口下的802.1x的在线用户握手功能。
(5)由于Core2下E1/0/16下接入的需要认证的客户端并不多,所以这里要求配置端口同时接入用户数的最大值限制为50个。
(6)为了控制总公司园区交换网客户端对Internet的访问,要求为Core2的E1/0/17接口下接入的一台MAC地址为00-e0-fc-12-34-56的PC进行MAC地址认证,且要求Core2每个240秒就对用户是否下线进行检测;并且当用户认证失败时,需要等待180秒后才能对用户再次发起认证。
(7)要求在Core2上指定ISP域ddeeff.net作为MAC地址认证的认证域,认证时使用本地认证方式。
(8)要求在Core2上配置端口安全技术来防止Core2的E1/0/18接口下接入的客户端过多,要求在这个接口下允许30用户自由接入,不进行认证,将学习到的用户MAC地址添加为Sticky安全地址,老化时间为30分钟。
(9)当Core2的E1/0/18接口下的安全MAC地址数量达到30个后,E1/0/18接口停止学
第 39 页 共 88 页
“2013年全国职业院校技能大赛”高职组“H3C?企想杯”计算机网络应用竞赛赛题A卷
习MAC地址,当再有新的MAC地址接入时,触发入侵检测动作,并将此接口关闭30秒。
(10)要求在Core2上配置Portal认证为其E1/0/19接口下所接入用户提供一套全方位的安全接入认证服务。E1/0/19接口下的客户端可以通过手工配置或DHCP获取IP地址参数,但是在通过Portal认证前,只能访问Portal服务器,只有在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。(这里Portal服务器不用配置,只需要完成交换机上的相关配置)
(11)要求在Portal认证中指定RADIUS方案的名称rs1,并要求在Core2上指定用于认
证及计费的RADIUS服务器的IP地址37.2.0.210,通信密钥为radius,且服务器类型 为extended。
(12)要求在Portal认证中指定交换机发送给RADIUS服务器的用户名不携带ISP域名。
(13)要求在Portal认证中指定ISP域system为Portal认证的认证域,并通过此认证域指定rs1方案作为Portal认证方案。
(14)要求Portal认证服务器的IP地址为37.2.0.211,密钥为portal,端口号为50100,URL为http:// 37.2.0.211:8080/portal。 [core2]
port-security timer disableport 30 # dot1x
dot1x quiet-period
dot1x timer quiet-period 120
dot1x authentication-method pap #
mac-authentication timer offline-detect 240 mac-authentication domain ddeeff.net #
domain aabbcc.net access-limit disable state active idle-cut disable
self-service-url disable
第 40 页 共 88 页