江苏信息安全管理与评估赛项任务一交换部分参考答案

2026年江苏省职业院校技能大赛学生组信息安全管理与评估技能操作阶段公开样题赛项时间共计160分钟。赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值权重技能水平任务1网络平台搭建9:00-11:40或14:00-16:405%任务2网络安全设备配置与防护15%任务3网络安全事件响应、数字取证调查、网络安全渗透80%赛项内容本次大赛各位选手需要完成技能水平阶段的任务其中任务1、2需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。任务3请根据现场具体题目要求操作。选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹xx用具体的工位号替代赛题任务1、2所完成的“XXX-答题模板”放置在文件夹中。例如08工位则需要在U盘根目录下建立“GW08”文件夹并在“GW08”文件夹下直接放置任务1、2的所有“XXX-答题模板”文件。特别说明只允许在根目录下的“GWxx”文件夹中体现一次工位信息不允许在其他文件夹名称或文件名称中再次体现工位信息否则按作弊处理。赛项环境设置某集团公司在上海建立了总部在南昌设立了分公司。总部设有行政、销售、财务、管理4个部门分公司设有行政、财务、销售、办公4个部门统一进行IP及业务资源的规划和分配IPv4全网采用OSPF动态路由协议进行互连互通。公司规模在2025年快速发展业务数据量和公司访问量增长巨大。为了更好管理数据提供服务集团决定建立自己的中型数据中心及业务服务平台以达到快速、可靠交换数据以及增强业务部署弹性的目的。总部、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入采用一台FW作为总公司因特网出口分公司采用一台BC防火墙作为因特网出口设备一台AC作为分公司核心同时作为集团有线无线智能一体化控制器通过与高性能企业级AP配合实现集团无线覆盖总部有一台Web服务器为了安全考虑总公司部署了一台WAF对服务器进行Web防护。在2026年公司为响应国家政策进行IPv6网络改造试点实现总公司和分公司双栈网络通信。你们团队作为该集团公司网络安全部门的工程师结合项目背景完成以下任务。网络拓扑图.IP地址规划表设备名称接口IP地址对端设备接口防火墙FWEth110.16.255.1/30trust安全域2001:DA8:10:16:255::1/126SWEth1/0/1Eth210.16.255.5/30trust安全域2001:DA8:10:16:255::5/126BCEth4Eth0/320.23.1.1/30untrust安全域223.20.23.1/29(nat-pool)2001:DA8:223:20:23::1/126SWEth1/0/21Loopback110.0.0.254/32trust安全域Router-id2001:da8:10::254/128三层交换机SWVLAN 21Eth1/0/110.16.255.2/302001:DA8:10:16:255::2/126FWEth0/1VLAN 22Eth1/0/210.16.255.6/302001:DA8:10:16:255::6/126BCEth5VLAN 23Eth1/0/2120.23.1.2/302001:DA8:223:20:23::2/126FWEth0/3VLAN 24Eth1/0/23-24223.20.23.10/292001:DA8:223:20:23::11/126BCEth3VLAN 10172.16.110.1/24无线1VLAN nameWIFI-VLAN10VLAN 20172.16.120.1/24无线2VLAN nameWIFI-VLAN20VLAN 30Eth1/0/6-7192.168.130.1/242001:DA8:192:168:130:1::1/96VLAN nameXZVLAN 31Eth1/0/8-9192.168.131.1/242001:DA8:192:169:131:1::1/64VLAN namesalesVLAN 40Eth1/0/10-11192.168.140.1/242001:DA8:192:168:140:1::1/96VLAN nameCWVLAN 50Eth1/0/13-14192.168.150.1/242001:DA8:192:168:150:1::1/96VLAN namemanageVLAN 1000Eth1/0/20172.17.10.1/24VLAN nameAP-ManageVLAN 1001Eth1/0/4-510.16.255.9/302001:DA8:10:16:255::9/126ACEth1/0/4-5VLAN 1002Eth1/0/4-510.16.255.13/302001:DA8:10:16:255::d/126ACEth1/0/4-5Loopback110.0.0.253/32(Router-id)2001:da8:10::253/128无线控制器ACVLAN 10Eth1/0/1192.168.110.1/242001:DA8:192:168:110:1::1/96VLAN nameXZVLAN 20Eth1/0/2192.168.120.1/242001:DA8:192:168:120:1::1/96VLAN nameCWVLAN 60Eth1/0/13-14192.168.160.1/242001:DA8:192:160:160:1::1/64VLAN namesalesVLAN 61Eth1/0/15-18192.168.161.1/242001:DA8:192:168:161:1::1/96VLAN nameBGVLAN 100Eth1/0/2110.16.255.17/302001:DA8:10:16:255::11/126BCEth2VLAN 1001Eth1/0/4-510.16.255.10/302001:DA8:10:16:255::a/126SWEth1/0/4-5VLAN 1002Eth1/0/4-510.16.255.14/302001:DA8:10:16:255::e/126SWEth1/0/4-5Loopback110.0.0.252/32(router-id)日志服务器BCEth210.16.255.18/30L3-LAN2001:DA8:10:16:255::12/126ACEth1/0/21Eth3223.20.23.9/29L3-WAN2001:DA8:223:20:23::12/126SWEth1/0/23Eth4L2-WAN安全域FWEth2Eth5L2-LAN安全域SWEth1/0/2Web应用防火墙WAFEth2192.168.150.2/24Eth3SWEth1/0/13APEth1SWEth1/0/20PC1网卡SWEth1/0/7设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙FWhttps://192.168.1.1Eth0adminadmin网络日志系统BChttps://192.168.0.1:9090Eth0adminadmin*PWDWeb应用防火墙WAFhttps://192.168.254.1GE0adminyunke1234三层交换机SW-Console9600--无线交换机AC-Console9600adminadmin备注所有设备的默认管理接口、管理IP地址不允许修改;如果修改对应设备的缺省管理IP及管理端口涉及此设备的题目按0分处理。任务书任务1网络平台搭建5分题号网络需求1根据网络拓扑图所示按照IP地址参数表对FW的名称、各接口IP地址进行配置。2根据网络拓扑图所示按照IP地址参数表对SW的名称进行配置创建VLAN并将相应接口划入VLAN。3根据网络拓扑图所示按照IP地址参数表对AC的各接口IP地址进行配置。4根据网络拓扑图所示按照IP地址参数表对BC的名称、各接口IP地址进行配置。5根据网络拓扑图所示按照IP 地址规划表对WAF的名称、各接口IP 地址进行配置。注意为了便于实现题目的测试结果将SW、AC的Eth1/0/19端口设置为trunk模式并仅放行业务VLAN含财务连接到WAF的空余端口。任务2网络安全设备配置与防护15分上海总公司和南昌分公司租用了运营商两条裸光纤实现内部办公互通要求两条链路互为备份采用LACP方式实现同时实现流量负载均衡流量负载模式基于dst-src-mac-IP模式。上海总公司和南昌分公司链路接口只允许必要的VLAN通过禁止其它VLAN包括VLAN1二层流量通过。为防止非法用户接入网络需要在总公司交换机上开启802.1X认证对VLAN30用户接入网络进行认证radius-server 为192.168.100.200。Key值为12345678为了便于管理网络能够让网管软件实现自动拓朴连线在总公司核心和分公司AC互联接口上开启某功能让设备可以向网络中其他节点公告自身的存在并保存各个邻近设备的发现信息。ARP 扫描是一种常见的网络攻击方式攻击源将会产生大量的 ARP 报文在网段内广播这些广播报文极大的消耗了网络的带宽资源为了防止该攻击对网络造成影响需要在总公司交换机上开启防扫描功能对每端口设置阈值为40超过将关闭该端口20分钟后自动恢复每IP阈值设置为30与防火墙相连的接口及分公司互联接口不检查。需要完整的可私