【微职位】网络安全架构与部署-企业网实战-2

精品文档-下载后可编辑【微职位】网络安全架构与部署-企业网实战-2【微职位】网络安全架构与部署-企业网实战-2

1.【问答题】100分|大中型企业网项目实战

实验要求：

一、安全管理

1、依据图中拓扑，为全网设备定义主机名、关闭域名解析、并在Console和

VTY线路下关闭线路超时并开启输出同步。

2、为实现安全远程登录，要求在设备CS1上创建本地用户名PingingLab，密码

CCIE，并只允许3个管理员同时远程登录，其中管理员地址分别为

~；要求只运行SSH协议进行登录，并且关闭其他虚拟

终端线路。

3、在设备CS1设置banner，要求当远程登录时可以看到“THISIS

PingingLab*SecureLab*CS1”。

4、在CS2关闭HTTP服务，开启HTTPS服务并调用本地认证。

5、在R1的E0/0上关闭CDP服务。

5、汇聚和接入交换机的管理vlan为vlan1，所在网段为/24，其中

DS1的管理IP为/24，DS2为/24，DS3为

/24，DS4为/24。要求二层交换机可以远程管理。

二、交换技术

1、Trunk技术

①DS1、DS2、AS1交换机之间强制启用Trunk并关闭DTP协商，并采用

802.1Q进行封装。

②AS2和其他交换机之间采用DTP协议协商Trunk，AS2端为Auto模式，其

他交换机为Desirable模式。

③所有交换机要求Trunk上只允许VLAN1、10、20、30、40通过。

2、VTPVLAN技术

①总部DS1和DS2均为Server，其他交换机为Client。

②总部VTP管理域为PingingLab，密码为cisco。

③总部全局开启VTP修剪。

④在DS1上创建VLAN10/20/30/40，并要求全局同步。

⑥将不同用户接口放入相应的VLAN中。

3、STP技术

①部署MSTP全局MSTP域为PL，修订号为1，并创建两个实例，其中实例

1映射10和30，实例2映射20和40；

②要求DS1为实例1的主根，实例2的备根；DS2为实例1的备根，实例2的

主根。

③在接入层交换机上开启BPDU防护，当违反规则时，要求30S后恢复。

4、HSRP技术

①部署HSRP技术，要求DS1作为VLAN10/30的主网关，VLAN20/40的备网关，DS2作为VLAN20/40的主网关，VLAN10/30的备网关，

其中网关地址如下：

VLAN10，主53/24，备52/24，虚54/24

VLAN20，主54/24，备53/24，虚54/24

VLAN30，主54/24，备53/24，虚54/24

VLAN40，主54/24，备53/24，虚54/24

5、DHCPRelay技术

①在R1上同时部署DHCP服务，方便不同VLAN的主机接入网络，其中主

DNS为，备用DNS为14。

②在DS1和DS2上部署DHCP中继技术。

6、Etherchannel技术

①为实现链路冗余并提供网络带宽，要求在汇聚层交换机之间部署L2

Etherchannel技术，在核心交换机之间部署L3Etherchannel。

7、Port-Security技术

①为实现用户接入安全，要求在所有用户接入接口启用端口安全技术。

②开启地址学习，并定义最大MAC数为1。

③定义用户违反规则为shutdown模式，并要求在30s后自动恢复。

8、DHCPSnooping技术

①在AS1上部署DHCP侦听技术，防止DHCP欺骗攻击。

三、路由技术

1、在全网所有三层设备部署动态路由协议OSPF，其中R1、CS1、CS2通告到

骨干区域中，CS1、CS2、DS1通告到区域10中，CS1、CS2、DS2通告到区域

20中。

2、要求VLAN10和VLAN30的流量路径是：DS1-CS1-R1，并且当CS1出

现故障后，流量路径切换为DS1-CS2-R1。

3、要求VLAN20和VLAN40的流量路径是：DS2-CS2-R1，并且当CS2出

现故障后，流量路径切换为DS2-CS1-R1。

4、在R1上创建环回接口Lo1，地址为/32，要求全网能与之通信。

【作业要求】1、用GNS3搭建拓扑，并根据要求完成项目；2、将整个GNS3项目文件打包为压缩包，并