當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇（1）

發布時間：2024/1/18 编程问答 29 豆豆

生活随笔收集整理的這篇文章主要介紹了 2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇（1）小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

2021-技能大賽-信息安全管理與評估-DCN 設備總結 (中)-任務二-設備安全配置篇（1）

author：leadlife
time：2022/3/11
知識星球：LeadlifeSec
技術交流 QQ 群：775454947

在我們的《2021-技能大賽-信息安全管理與評估-DCN 設備總結 (上)-任務一網絡設備路由配置》篇，我們已經完成了基本的網絡路由配置，其中 VLAN 以及對應的 IP 地址配置 and 一些端口 access trunk 配置，下面讓我帶領代價進入設備安全配置，一題一題，將題目從原理刨析給各位同學

文章目錄

2021-技能大賽-信息安全管理與評估-DCN 設備總結 (中)-任務二-設備安全配置篇（1）
- 任務二操作
- - Telnet Banner
  - - 類似題型
    - 注意點
    - 命令
    - 操作
    - - RS
      - WS
  - SNMP 網管系統-信息上報
  - - 類似題型
    - 注意點
    - 命令
    - 操作
  - 流量往返轉發 Netlog 跨網段三層鏡像
  - - 類似題目
    - 注意點
    - 命令
    - 操作
  - 二層隔離-環路檢測- DHCP monitor 監聽防欺騙-ARP 防欺騙
  - - 類似題型
    - 注意點
    - 命令
    - 操作
  - FW 操作業務流量訪問 INTERNET 安全防護-RS VRF VPN
  - - 類似題型
    - 注意點
    - 命令
    - 操作
    - - FW
      - 創建業務地址薄
        創建 INTERNET 地址薄
        創建相應放行策略
        啟用靜態路由以防止惡意動態路由
        開啟攻擊防護
      - RS
  - RIPng 路由 IPv6 協議通信
  - - 類似題目
    - 注意點
    - 操作
    - - RS
      - WS
  - OSPF MD5 安全認證
  - - 類似題型
    - 注意點
    - 命令
    - 操作
    - - FW
      - RS
      - WS
  - 限制吞吐量-收發數據大小
  - - 類似題型
    - 注意點
    - 命令
    - 操作
  - FW 防火墻安全區域管理-manage
  - - 類似題型
    - 注意點
    - 操作
  - FW 復用公網-NAT 轉換
  - - 類似題型
    - 注意點
    - 操作
    - - 添加業務 VLAN 地址池
    - 操作源 NAT 配置
  - FW SSL 鏈接認證
  - - 類似題型
    - 注意點
    - 操作
    - - 新建本地用戶
      - 操作 SSL VPN
      - 操作策略
  - FW Qos 流量控制-關鍵字過濾
  - - 類似題型
    - 注意點
    - 操作
    - - Qos 限制通往互聯網 INTERNET 流量
      - 過濾無線用戶的郵件關鍵字內容

任務二操作

Telnet Banner

類似題型

RS和WS開啟telnet登錄功能，配置使用telnet方式登錄終端界面前顯示如下授權信息：“WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility”

注意點

關于 Telnet Banner 在比賽中，我們需要注意;
DCWS-6028 也就是 AC 和 CS6200 三層交換機的 banner 配置不同；

命令

namecode

DCWS-6028	DCWS-6028(config)#banner motd ? LINE 用戶字符串, <1-100>字符
DC6200	RS(config)#banner login ? LINE 用戶字符串, <1-512>字符

操作

RS

RS(config)#banner login WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility

WS

WS(config)#banner motd WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility %banner string length should be no more than 100

SNMP 網管系統-信息上報

所謂網管系統也就是 SNMP 服務，我們要操作的命令也就是 snmp-server

若有關 MAC 地址綁定操作 MAC 即可

類似題型

總部部署了一套網管系統實現對核心RS進行管理，網管系統IP為：172.16.100.21，讀團體值為：ABC2024，版本為V2C， RS Trap信息實時上報網管，當MAC地址發生變化時，也要立即通知網管發生的變化，每35s發送一次；

注意點

開啟 snmp-server 服務
開啟 snmp-erver traps 功能
需求中有 MAC 地址

命令

codeexplanation

snmp-server securityip	設置安全IP地址
snmp-server host	設置接受Trap的管理端
snmp-server trap-source	設置SNMP Trap-source IP地址
snmp-server community	設置團體值
snmp-server enable traps mac-notification	開啟 MAC 地址變化信息通告網管
mac-address-table violation-trap-interval 35	操作發送trap信息的時間間隔

操作

RS#config terminal RS(config)#snmp-server enable RS(config)#snmp-server enable traps RS(config)#snmp-server securityip 172.16.100.21 RS(config)#snmp-server host 172.16.100.21 v2c ABC2024 RS(config)#snmp-server trap-source 172.16.100.21 RS(config)#snmp-server community ro ABC2024 RS(config)#snmp-server enable traps mac-notification RS(config)#mac-address-table violation-trap-interval 35

流量往返轉發 Netlog 跨網段三層鏡像

類似題目

RS出口往返流量發送給NETLOG，由NETLOG對收到的數據進行用戶所要求的分析

注意點

我們從題目中可以分析出兩個問題；

1：RS 與 NETLOG 并不直連

2：要求出口往返流量均轉發至 NETLOG

分析以下，我們可以確定兩個要點；

RS 必須擁有與 Netlog 網段 IP 對應的 VLAN，這里為 VLAN 51，由 WS 與 Netlog 通信
RS 的出口往返流量駐留在 E1/0/1

命令

codeexlanation

remote-span	配置遠程鏡像Vlan
monitor session 1 source	配置遠程鏡像源端源端口，以將數據收集并好轉發
monitor session 1 remote vlan 51	設置遠程鏡像給誰
monitor session 1 reflector-port interface e1/0/24	將一個不用的端口用于反射 E1/0/1 流量到 vlan 51 網段再基于 WS 轉發給 NETLOG

操作

RS(config)#vlan 51 RS(config-vlan51)#remote-span RS(config-vlan51)#exit RS(config)#monitor session 1 source interface ethernet 1/0/1 RS(config)#monitor session 1 remote vlan 51 RS(config)#monitor session 1 reflector-port interface e1/0/24

二層隔離-環路檢測- DHCP monitor 監聽防欺騙-ARP 防欺騙

類似題型

4. 對RS上VLAN40開啟以下安全機制：業務內部終端相互二層隔離，啟用環路檢測，環路檢測的時間間隔為10s，發現環路以后關閉該端口，恢復時間為 30分鐘；如私設DHCP服務器關閉該端口;防止ARP欺騙攻擊；

注意點

我們需要對指定的安全機制，做發現故障后的動作
需要注意 DHCP snooping 在 E1/0/1 口需要 Trust 以發現惡意的私設 DHCP

命令

codeexplanation

isolate-port	設置隔離端口屬性
loopback-detection	啟用環路檢測、并設置環路檢測時間間隔
loopback-detection specified-vlan 40	綁定 VLAN 40 流量以操作安全機制
loopback-detection control	操作發現環路后的動作
loopback-detection control-recovery timeout 1800	操作關閉端口后的回復時間
ip dhcp snooping binding arp	防止 ARP 欺騙
ip dhcp snooping trust	設置只信任該端口轉發的 DHCP 報文，避免惡意 DHCP
ip dhcp snooping binding user-control	啟動DHCP Snooping綁定user功能、操作所屬 VLNA 40 業務的流量

操作

RS(config)#vlan 40 RS(config-vlan40)#isolate-port apply l2 RS(config-vlan40)#exit RS(config)#loopback-detection interval-time 10 10RS(config)#int e1/0/4 RS(config-if-ethernet1/0/4)#loopback-detection specified-vlan 40 RS(config-if-ethernet1/0/4)#loopback-detection control shutdown RS(config-if-ethernet1/0/4)#exit RS(config)#loopback-detection control-recovery timeout 1800RS(config)#ip dhcp snooping enable RS(config)#ip dhcp snooping binding enable RS(config)#ip dhcp snooping binding arp RS(config)#int e1/0/1 RS(config-if-ethernet1/0/1)#ip dhcp snooping trust RS(config-if-ethernet1/0/1)#exit RS(config)#int e1/0/4 RS(config-if-ethernet1/0/4)#ip dhcp snooping binding user-control

FW 操作業務流量訪問 INTERNET 安全防護-RS VRF VPN

類似題型

配置使總部VLAN10，30，40業務的用戶訪問INTERNET往返數據流都經過FW進行最嚴格的安全防護; RS使用相關VPN技術，模擬INTERNET ,VPN名稱為INTERNET地址為218.5.18.2；

注意點

我們在操作 FW 的相應匹配流量的地址博時需要對其部署相應的放行策略
VRF VPN 基于 Loopback 口轉發
由于基于最嚴格的安全防護，我們需要防止惡意路由配置靜態路由
開機攻擊防護

命令

codeexplanation

ip vrf INTERNET	創建 VPN路由/轉發實例
ip vrf forwarding INTERNET	轉發實例

操作

FW

創建業務地址薄

右上角的用戶對象 → 地址薄

創建 INTERNET 地址薄

右上角的用戶對象 → 地址薄

創建相應放行策略

安全 → 策略

題目要求最嚴格的防護，但沒說具體操作，為此我們需要考慮的是：相應業務 VLAN 流向 INTERNET 的流量安全性避免 INTERNET 可直接訪問內網的業務
所以可分析出策略部署應該為 untrust 流向 trust，INTERNET 流向業務 VLAN，那么相反業務流量向 INTERNET 也必須操作

啟用靜態路由以防止惡意動態路由

開啟攻擊防護

該截圖并不完整，勾選全部啟用即可

最后策略截圖因如此

RS

RS>enable RS# RS#config terminal RS(config)#ip vrf INTERNET RS(config)#int l1 RS(config-if-loopback1)#ip vrf forwarding INTERNET RS(config-if-loopback1)#ip address 218.5.18.2 255.255.255.255 RS(config-if-loopback1)#no shutdown RS(config-if-loopback1)#end

RIPng 路由 IPv6 協議通信

類似題目

WS與RS之間配置RIPng,是VLAN30與VLAN50可以通過IPv6通信； IPv6業務地址規劃如下，其它IPv6地址自行規劃：業務IPV6****地址

VLAN30	2001:30::254/64
VLAN50	2001:50::254/64

注意點

WS 和 RS 之間在網絡配置規劃中，沒有要求 RS 開啟 vlan 30 和 50 ，這里就需要開啟然后操作 ipv6 路由；
然后我們想想，以前的 RIP 路由，是不是都需要宣告鄰居路由？
那么這里就同時需要將 vlan 100 加入到該 IPv6 的業務規劃中與 WS 通信，以維持 vlan 30 vlan 50 之間的 ipv6 業務通信
記住，所有宣告給予 IPv6 協議

操作

RS

RS#config terminal RS(config)#ipv6 enable RS(config)#router ipv6 rip RS(config-router)#exit RS(config)#int vlan 100 RS(config-if-vlan100)#ipv6 address 2001:100::254/64 RS(config-if-vlan100)#no shutdown RS(config-if-vlan100)#ipv6 router rip RS(config-if-vlan100)#end

WS

WS(config)#ipv6 enable WS(config)#router ipv6 rip WS(config)#int vlan 30 WS(config-if-vlan30)#ipv6 address 2001:30::254/64 WS(config-if-vlan30)#no shutdown WS(config-if-vlan30)#ipv6 router rip WS(config-if-vlan30)#int vlan 50 WS(config-if-vlan50)#ipv6 address 2001:50::254/64 WS(config-if-vlan50)#no shutdown WS(config-if-vlan50)#ipv6 router rip WS(config-if-vlan50)#int vlan 100 WS(config-if-vlan100)#ipv6 address 2001:100::1/64 WS(config-if-vlan100)#no shutdown WS(config-if-vlan100)#ipv6 router rip

最后 RS 結果應能 ping6 通信這三個地址

RS#ping6 2001:30::254 Sending 5 56-byte ICMP Echos to 2001:30::254, timeout is 2 seconds. !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 msRS#ping6 2001:50::254 Sending 5 56-byte ICMP Echos to 2001:50::254, timeout is 2 seconds. !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/3/16 msRS#ping6 2001:100::1 Sending 5 56-byte ICMP Echos to 2001:100::1, timeout is 2 seconds. !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/10/50 ms

OSPF MD5 安全認證

類似題型

FW、RS、WS之間配置OSPF area 0 開啟基于鏈路的MD5認證，密鑰自定義

FW 與 WS 之間連接，在 DCN 設備上需要額外上 vlan，因為設備特定如此，以上我們在前期任務一已經完成不在贅述：

ETH0/19.0.0.1/30 （Trust安全域）WS

ETH0/2

10.0.0.1/30 （untrust安全域）

注意點

需要注意在 OSPF 協議中聲明發送 MD5 消息 key 驗證
關于 FW 的 OSPF 操作要注意先聲明 router-id

命令

codeexplanation

ip vrouter trust-vr	FW 進入路由配置模式
ip ospf authentication message-digest	操作 OSPF 認證模式為消息
ip ospf message-digest-key 1 md5 admin	操作 OSPF 認證模式為 MD5 Hash admin

操作

FW

FW(config)# ip vrouter trust-vr FW(config-vrouter)# router ospf FW(config-router)# router-id 1.1.1.1 FW(config-router)# network 9.0.0.1/30 area 0 FW(config-router)# network 10.0.0.1/30 area 0 FW(config-router)# network 11.0.0.1/30 area 0 FW(config-router)# network 12.0.0.1/30 area 0 FW(config-router)# network 218.5.18.1/27 area 0 FW(config-router)# area 0 authentication message-digestFW(config-router)# exit FW(config-vrouter)# exit FW(config)# int aggregate1.9 FW(config-if-agg1.9)# ip ospf authentication message-digest FW(config-if-agg1.9)# ip ospf message-digest-key 1 md5 admin FW(config)# int aggregate1.91 FW(config-if-agg1.91)# ip ospf authentication message-digest FW(config-if-agg1.91)# ip ospf message-digest-key 1 md5 admin

這里談及以下，可直接再 agg1 中配置 OSPF MD5 認證，也可組播 OSPF 的 LSA 認證信息

RS

CS6200-28X-EI>enable CS6200-28X-EI#config terminal CS6200-28X-EI(config)#router ospf 1 CS6200-28X-EI(config-router)#network 192.168.100.0/24 area 0 CS6200-28X-EI(config-router)#network 192.168.101.0/24 area 0 CS6200-28X-EI(config-router)#network 172.16.40.1/26 area 0 CS6200-28X-EI(config-router)#area 0 authentication message-digest CS6200-28X-EI(config-router)#exit CS6200-28X-EI(config)#int vlan 100 CS6200-28X-EI(config-if-vlan100)# CS6200-28X-EI(config-if-vlan100)#ip ospf authentication message-digest CS6200-28X-EI(config-if-vlan100)#ip ospf message-digest-key 1 md5 admin CS6200-28X-EI(config-if-vlan100)#exit

WS

WS(config)#router ospf 1 WS(config-router)#network 10.0.0.0/30 area 0 WS(config-router)#network 172.16.100.0/24 area 0 WS(config-router)#network 172.16.10.1/24 area 0 WS(config-router)#network 172.16.20.1/25 area 0 WS(config-router)#network 172.16.30.1/26 area 0 WS(config-router)#network 172.16.50.1/26 area 0 WS(config-router)#network 192.168.100.0/24 area 0 CS6200-28X-EI(config-router)#area 0 authentication message-digest WS(config-router)#exit WS(config)#int vlan 9 WS(config-if-vlan9)#ip ospf authentication message-digest WS(config-if-vlan9)#ip ospf message-digest-key 1 md5 admin WS(config-if-vlan9)#exit WS(config)#int vlan 100 WS(config-if-vlan100)#ip ospf authentication message-digest WS(config-if-vlan100)#ip ospf message-digest-key 1 md5 admin WS(config-if-vlan100)#exit

操作完成后 WS 應有兩個 OSPF 鄰居

WS(config)#show ip ospf neighbor OSPF process 1: Neighbor ID Pri State Dead Time Address Interface 1.1.1.1 1 Full/DR 00:00:37 10.0.0.1 Vlan91 192.168.101.1 1 Full/DR 00:00:35 192.168.100.254 Vlan100

限制吞吐量-收發數據大小

類似題型

為了有效減低能耗，要求每天晚上20:00到早上07:00把RS端口指示燈全部關閉；如果RS的11端口的收包速率超過30000則關閉此端口，恢復時間5分鐘，并每隔10分鐘對端口的速率進行統計；為了更好地提高數據轉發的性能，RS交換中的數據包大小指定為1600字節；

注意點

物理要求貌似無法滿足(自動關閉指示燈)
rate 速率
sflow 恢復
mtu 指定數據包交換大小

一般數據包如果設置 mtu，若超過閾值則會分塊傳輸，這是 Cisco 的一種特定，DCN 目前未知

命令

codeexplanation

rate-violation	操作端口收發速率與違背限定速率后執行的動作
rate-violation control shutdown recovery 300	操作違背執行動作
sflow counter-interval	sflow 協議統計速率

操作

CS6200-28X-EI(config)#int e1/0/11 CS6200-28X-EI(config-if-ethernet1/0/11)#rate-violation all 30000 CS6200-28X-EI(config-if-ethernet1/0/11)#rate-violation control shutdown recovery 300 CS6200-28X-EI(config-if-ethernet1/0/11)#sflow counter-interval 120 CS6200-28X-EI(config-if-ethernet1/0/11)#exit CS6200-28X-EI(config)#mtu 1600

FW 防火墻安全區域管理-manage

類似題型

為實現對防火墻的安全管理，在防火墻FW的Trust安全域開啟PING,HTTP，SNMP功能，Untrust安全域開啟SSH、HTTPS功能

注意點

關于這題的注意點在與所有的 Trust 區域開啟相應功能
所有 Untrust 開啟相應功能即可
需要注意的是操作 trust 區域后，我們要對應相應功能進入 Web GUI 界面 HTTP

操作

勾選 trust 過濾掉其他非 trust 區域添加 manage 功能即可

untrust 操作一致，不多贅述

FW 復用公網-NAT 轉換

類似題型

總部 VLAN 業務用戶通過防火墻訪問 Internet 時，復用公網IP： 218.5.18.9、218.5.18.10；

注意點

需要創建公網地址池薄
然后創建地址池：“總部所有業務 VLAN 用戶”，將所屬 vlan IP 段加入該地址薄
然后創建 NAT-- 采用端口復用的方式：指定 IP，動態 IP 多對一
是業務用戶的 VLAN，防火或者 RS 的通信 VLAN 不要加進去 vlan 10 20 30 40 50

操作

添加業務 VLAN 地址池

操作源 NAT 配置

FW SSL 鏈接認證

類似題型

遠程移動辦公用戶通過專線方式接入總部網絡，在防火墻FW上配置，采用SSL方式實現僅允許對內網VLAN 30的訪問，用戶名密碼均為ABC2021，地址池參見地址表；

注意點

新建本地用戶
新建 SSL 向導
接入用戶-直接添加就行
然后配置 “隧道接口和地址池”，“地址池”
操作隧道路由配置
添加 vlan 30 用戶地址博
然后配置策略，將 Vlan 30 數據指向 SSL tunnel 隧道

操作

操作點：

右上角對象用戶 → 本地用戶 → 新建本地用戶

配置 → 網絡 → SSL VPN

新建本地用戶

操作 SSL VPN

關于這題正確操作應當是如下，但是我對其做出一種質疑，既然我們已經在 FW 上完成的端口聚合的操作，我們應當在aggregate1 配置為出接口，并非如下，但是如果題目要求一致，可以先取消掉端口聚合再截圖

新建隧道接口

建立 SSL VPN 地址池

操作策略

新建 VLAN 30 相關用戶地址池

操作 VPN tunnel 策略，允許流量通過

FW Qos 流量控制-關鍵字過濾

類似題型

為了保證帶寬的合理使用，通過流量管理功能將引流組應用數據流，上行最小帶寬設置為2M，下行最大帶寬設置為4M;為凈化上網環境，要求在防火墻FW做相關配置，禁止無線用戶周一至周五工作時間9：00-18：00的郵件內容中含有“病毒”、“賭博”的內容，且記錄日志；

注意點

QOS流量設置流量管理 >> 應用 Qos 配置
無線用戶地址池配置
時間表配置
關鍵字類別配置
過濾配置

操作

Qos 限制通往互聯網 INTERNET 流量

過濾無線用戶的郵件關鍵字內容

先創建無線用戶地址薄

創建時間表對象用戶 → 時間表

控制 → 網頁關鍵字

控制 → 郵件過濾

總結

以上是生活随笔為你收集整理的2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇（1）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：达达盈利新故事，得靠智能化“省”出来？
下一篇： MATLAB可视化+多图共用corlor