xx年度全国计算机网络技能竞赛试题(中职有防火墙)

XX年全国中专院校学生计算机网络技能竞赛 竞赛说明 一、注意事项： 1、检查硬件设备、网线头和 Console线等的数量是否齐全。 2、禁止携带和使用移动存储设备、运算器、通信工具及参考资料。 3、操作完成后，需要保存设备配置，不要关闭任何设备，不要拆动硬件的连接，不 要对设备随意加、密码，试卷留在考场。 4、不要损坏赛场准备的比赛所需要的竞赛设备、竞赛软件和竞赛材料等。 二、竞赛环境： 硬件环境： 设备类型 设备型号 设备数量（台） 路由器 神州数码 DCR-2626 3（附带 console线） 三层交换机 神州数码 DCRS-5526S 2（附带 console线） 防火墙 神州数码 DCFW-1800S-L- V2 1（附带 console线） 计算机 PIV，2GRAM ，80GHD 4 一、 网络搭建（30 分） 1) 某学校现在有两台三层交换机，其中一台提供教学楼的信息点接入使用，将其命名为 DCRS-1，一台防火墙，将其命名为 DCFW，另一台三层交换机作为非军事区域信息点接 入，将其命名为 DCRS-2，学校用三台 DCR-2626 路由器，其中 DCR-1 与 DCRS-1 连接， DCR-2 与 DCRS-2 连接，防火墙通过 DCR-3 连接 Internet。 2) 教学楼内有多媒体实验室、网络实验室，软件发实验室和办公室四种机房需要接入计 算机，每个房间最多有 50 个信息点，计划利用 /24 划分多个子网以便对每 个房间的网络进行管理，每个子网的网关为最后一个有效地址，将你的设计方案按照 下表的格式。 子网划分 实验室名称 地址范围 子网掩码 网关地址 多媒体实验室 网络实验室 软件开发实验室 办公室 3) 教学楼交换机 DCRS-1 与路由器 DCR-1 之间使用 /30 网段相连，DMZ 区域交换 机 DCRS-2 与路由器 DCR-2 之间用 /30 相连。DCR-1 与 DCR-2 和 DCFW 之间分别 用 /30 和 /30 互连。 4) DMZ 区域交换机 DCRS-2 用 /24 作为接入网段，最后一个有效地址作为网关 地址接口，DCR-2 与防火墙之间使用 /30 网段相连。 5) DCR-3 的以太网地址设置为 9/24，S0/1 的 IP 地址为 /24.，DCR- 3 与防火墙之间使用 2/30 的网段地址。 6) 为了实现路由收敛速度，学校内部网络决定采用 OSPF 进行搭建整个校园网络，同时学 校为了防止网络使用高峰期的阻塞和实现对网络的层次化管理，决定把各个建筑之间 的网络连接划分为不同的区域，详细划分请参考网络拓扑图。 7) DCFW 与 DCR-3 分别配置静态路由，以确保内部网络能够高效地转发外网数据包。 二、网络配置管理（70 分） 8) 在教学楼交换机 DCRS-1 中创建各个实验室的 VLAN，并且 1-20 端口平均分配给各个课 室使用，请按照下表的描述完成相关配置。 在 DMZ 交换机 DCRS-2 创建 VLAN，并且端口平分到各个 VLAN 中使用，请参照下表在 交换机上完成相关配置 9) 课室交换机的每个端口只能接入一台计算机，发现违规则强迫关闭此端口。 10) DCR-1 与 DCR-2 串口连接之间封装 PPP 协议，采用 MD5 认证，认证密钥为 digitalchain，认证 ID 为 120 11) 在教学楼交换机 DCRS-1 上配置适当的 DHCP 地址池（名称与 Vlan 号保持一致） ，让不 同的实验室的计算机连接到课室交换机时候能够获取正确 IP 地址信息：学校 DNS 服务 器为 6,，DHCP 租约期为长期。 12) 不允许每一个实验室的计算机访问办公室网段的 TCP 应用，但是办公室的计算机可 访问三个实验室网段的 TCP 应用。 13) 冲击波病毒是一种利用 IP 扫描技术寻找网络上系统为 Win2K 或 XP 的计算机，然后利 用 DCOM RPC 缓冲区漏洞攻击该系统， RPC（远程进程调用）应用协议是建立在 TCP/UDP 协议之上，请在 DCRS-1 配置上联端口关闭 TCP 端口 135，139，关闭 UDP137，138 端口，防止冲击波病毒利用 DCOM RPC 缓冲区漏洞攻击计算机系统。 14) 在 DCFW 请配置相关 QOS 策略，所有实验室的计算机的上行速率为 300K，下行速率为 100K，并且保障办公室的数据包应该得到最大带宽的使用优先权。 15) 学校为了净化校园网使用环境，创建和谐网络文化，规定所有的实验室不能访问盛大 网游（58） ，巨人网游（ ）和 MSN（80）的网页。 而且学校规定凡是一个网页含有超过 5 次“黄色” 、 “淫猥 ”、 “暴力”等字样时必须过 滤。 16) 允许外网用户访问服务 WWW、FTP 、DNS 、邮件服务，允许内网用户访问互联网； 允许远程桌面访问，禁止 telnet 登录、允许 ICMP 协议。 17) 为了保护内部网络的安全，在 DCFW 上启动 NAT 转换策略，使内部所有网段转换成 WAN 上接口的 IP 地址。 DCRS-1 的 VLAN 划分 功能描述 VALN 号 VLAN 描述 端口范围 多媒体实验室 100 MMlab E0/1-5 网络实验室 200 NETLab E0/6-10 软件开发实验室 300 PGLAb E0/11-15 办公室 400 Office E0/16-20 上联接口 500 To-DCR-1 E0/24 DCRS-2 的 VLAN 划分 功能描述 VALN 号 VLAN 描述 端口范围 WEB 服务器 10 WEBServer E0/1-5 Video 服务器 20 FTPServer E0/6-10 上联接口 500 To-DCR-2 E0/24 18) 在 DCR-3 上做适当的配置，使访问教育网（/24 模拟）的报文以 S0/1 作 为出口，访问其他广域网的报文则以 F0/3 路由器作为出口。 19) 学校规定正常的上课时间（08 ：0012：00,14:0018:00）不允许所有实验室计算机访 问 Internet。 20) 为了对 Web（PC3）服务器进行有效的网络安全监控，将 DMZ 交换机的 E0/1 端口镜像 到 E0/10 网管交换机，并且禁止所有实验室网段的 IP 对 Web 服务器进行远程桌面管理。 21) 随着网络视频应用等大流量数据应用的迅速发展，学校增购了一台 VOD 组播服务器， 希望教学楼所有实验室用户能够随时点播 VOD Server 上的节目。组播服务器的 IP 地址 为 ，DCR-2 的 Loopback0 的 IP 地址为 ，DCR-1 的 Loopback1 的 IP 地址 为 ，分别在交换机和路由器上运行 Spare-Dense 模式，组播中心点位设备上的 Loopback 接口上。 22) Dos（Denial of Service）和 DDoS（Distributed Denial of Service）是未来几年中 Internet 上黑客最常用的也是最难防御的攻击方式之一，它主要分“网络带宽攻击”和“连通 性攻击”两种，SynFlood 攻击，land 攻击，Tear Drop 攻击，Ping of Death 攻击会消耗 操作系统资源，Smuf