江苏信息安全管理与评估赛项任务一交换部分参考答案
2026年江苏省职业院校技能大赛(学生组)
信息安全管理与评估(技能操作阶段)公开样题
- 赛项时间
共计160分钟。
- 赛项信息
竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值权重 |
技能水平 | 任务1 | 网络平台搭建 | 9:00- 11:40或 14:00- 16:40 | 5% |
任务2 | 网络安全设备配置与防护 | 15% | ||
任务3 | 网络安全事件响应、数字取证调查、网络安全渗透 | 80% |
- 赛项内容
本次大赛,各位选手需要完成技能水平阶段的任务,其中任务1、2需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。任务3请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),赛题任务1、2所完成的“XXX-答题模板”放置在文件夹中。
例如:08工位,则需要在U盘根目录下建立“GW08”文件夹,并在“GW08”文件夹下直接放置任务1、2的所有“XXX-答题模板”文件。
特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
- 赛项环境设置
某集团公司在上海建立了总部,在南昌设立了分公司。总部设有行政、销售、财务、管理4个部门,分公司设有行政、财务、销售、办公4个部门,统一进行IP及业务资源的规划和分配,IPv4全网采用OSPF动态路由协议进行互连互通。公司规模在2025年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。总部、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入,采用一台FW作为总公司因特网出口;分公司采用一台BC防火墙作为因特网出口设备,一台AC作为分公司核心,同时作为集团有线无线智能一体化控制器,通过与高性能企业级AP配合实现集团无线覆盖,总部有一台Web服务器,为了安全考虑总公司部署了一台WAF对服务器进行Web防护。在2026年公司为响应国家政策进行IPv6网络改造试点,实现总公司和分公司双栈网络通信。
你们团队作为该集团公司网络安全部门的工程师,结合项目背景,完成以下任务。
- 网络拓扑图
- .
- IP地址规划表
设备名称 | 接口 | IP地址 | 对端设备 | 接口 |
防火墙 FW | Eth1 | 10.16.255.1/30(trust安全域) 2001:DA8:10:16:255::1/126 | SW | Eth1/0/1 |
Eth2 | 10.16.255.5/30(trust安全域) 2001:DA8:10:16:255::5/126 | BC | Eth4 | |
Eth0/3 | 20.23.1.1/30(untrust安全域) 223.20.23.1/29(nat-pool) 2001:DA8:223:20:23::1/126 | SW | Eth1/0/21 | |
Loopback1 | 10.0.0.254/32(trust安全域) (Router-id) 2001:da8:10::254/128 | |||
三层交换机 SW | VLAN 21 Eth1/0/1 | 10.16.255.2/30 2001:DA8:10:16:255::2/126 | FW | Eth0/1 |
VLAN 22 Eth1/0/2 | 10.16.255.6/30 2001:DA8:10:16:255::6/126 | BC | Eth5 | |
VLAN 23 Eth1/0/21 | 20.23.1.2/30 2001:DA8:223:20:23::2/126 | FW | Eth0/3 | |
VLAN 24 Eth1/0/23-24 | 223.20.23.10/29 2001:DA8:223:20:23::11/126 | BC | Eth3 | |
VLAN 10 | 172.16.110.1/24 | 无线1 | VLAN name WIFI-VLAN10 | |
VLAN 20 | 172.16.120.1/24 | 无线2 | VLAN name WIFI-VLAN20 | |
VLAN 30 Eth1/0/6-7 | 192.168.130.1/24 2001:DA8:192:168:130:1::1/96 | VLAN name XZ | ||
VLAN 31 Eth1/0/8-9 | 192.168.131.1/24 2001:DA8:192:169:131:1::1/64 | VLAN name sales | ||
VLAN 40 Eth1/0/10-11 | 192.168.140.1/24 2001:DA8:192:168:140:1::1/96 | VLAN name CW | ||
VLAN 50 Eth1/0/13-14 | 192.168.150.1/24 2001:DA8:192:168:150:1::1/96 | VLAN name manage | ||
VLAN 1000 Eth1/0/20 | 172.17.10.1/24 | VLAN name AP-Manage | ||
VLAN 1001 Eth1/0/4-5 | 10.16.255.9/30 2001:DA8:10:16:255::9/126 | AC | Eth1/0/4-5 | |
VLAN 1002 Eth1/0/4-5 | 10.16.255.13/30 2001:DA8:10:16:255::d/126 | AC | Eth1/0/4-5 | |
Loopback1 | 10.0.0.253/32(Router-id) 2001:da8:10::253/128 | |||
无线控制器 AC | VLAN 10 Eth1/0/1 | 192.168.110.1/24 2001:DA8:192:168:110:1::1/96 | VLAN name XZ | |
VLAN 20 Eth1/0/2 | 192.168.120.1/24 2001:DA8:192:168:120:1::1/96 | VLAN name CW | ||
VLAN 60 Eth1/0/13-14 | 192.168.160.1/24 2001:DA8:192:160:160:1::1/64 | VLAN name sales | ||
VLAN 61 Eth1/0/15-18 | 192.168.161.1/24 2001:DA8:192:168:161:1::1/96 | VLAN name BG | ||
VLAN 100 Eth1/0/21 | 10.16.255.17/30 2001:DA8:10:16:255::11/126 | BC | Eth2 | |
VLAN 1001 Eth1/0/4-5 | 10.16.255.10/30 2001:DA8:10:16:255::a/126 | SW | Eth1/0/4-5 | |
VLAN 1002 Eth1/0/4-5 | 10.16.255.14/30 2001:DA8:10:16:255::e/126 | SW | Eth1/0/4-5 | |
Loopback1 | 10.0.0.252/32(router-id) | |||
日志服务器 BC | Eth2 | 10.16.255.18/30(L3-LAN) 2001:DA8:10:16:255::12/126 | AC | Eth1/0/21 |
Eth3 | 223.20.23.9/29(L3-WAN) 2001:DA8:223:20:23::12/126 | SW | Eth1/0/23 | |
Eth4 | L2-WAN(安全域) | FW | Eth2 | |
Eth5 | L2-LAN(安全域) | SW | Eth1/0/2 | |
Web应用防火墙 WAF | Eth2 | 192.168.150.2/24 | ||
Eth3 | SW | Eth1/0/13 | ||
AP | Eth1 | SW | Eth1/0/20 | |
PC1 | 网卡 | SW | Eth1/0/7 |
- 设备初始化信息
设备名称 | 管理地址 | 默认管理接口 | 用户名 | 密码 |
防火墙FW | https://192.168.1.1 | Eth0 | admin | admin |
网络日志系统BC | https://192.168.0.1:9090 | Eth0 | admin | admin*PWD |
Web应用防火墙WAF | https://192.168.254.1 | GE0 | admin | yunke1234! |
三层交换机SW | - | Console 9600 | - | - |
无线交换机AC | - | Console 9600 | admin | admin |
备注 | 所有设备的默认管理接口、管理IP地址不允许修改; 如果修改对应设备的缺省管理IP及管理端口,涉及此设备的题目按0分处理。 | |||
- 任务书
任务1:网络平台搭建(5分)
题号 | 网络需求 |
1 | 根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配置。 |
2 | 根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建VLAN并将相应接口划入VLAN。 |
3 | 根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。 |
4 | 根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。 |
5 | 根据网络拓扑图所示,按照IP 地址规划表,对WAF的名称、各接口IP 地址进行配置。 |
注意:为了便于实现题目的测试结果,将SW、AC的Eth1/0/19端口设置为trunk模式,并仅放行业务VLAN(含财务),连接到WAF的空余端口。
任务2:网络安全设备配置与防护(15分)
- 上海总公司和南昌分公司租用了运营商两条裸光纤,实现内部办公互通,要求两条链路互为备份,采用LACP方式实现,同时实现流量负载均衡,流量负载模式基于dst-src-mac-IP模式。
上海总公司和南昌分公司链路接口只允许必要的VLAN通过,禁止其它VLAN包括VLAN1二层流量通过。
为防止非法用户接入网络,需要在总公司交换机上开启802.1X认证,对VLAN30用户接入网络进行认证,radius-server 为192.168.100.200。Key值为12345678
为了便于管理网络,能够让网管软件实现自动拓朴连线,在总公司核心和分公司AC互联接口上开启某功能,让设备可以向网络中其他节点公告自身的存在,并保存各个邻近设备的发现信息。
ARP 扫描是一种常见的网络攻击方式,攻击源将会产生大量的 ARP 报文在网段内广播,这些广播报文极大的消耗了网络的带宽资源,为了防止该攻击对网络造成影响,需要在总公司交换机上开启防扫描功能,对每端口设置阈值为40,超过将关闭该端口20分钟后自动恢复,每IP阈值设置为30,与防火墙相连的接口及分公司互联接口不检查。
需要完整的可私