网络设备安全
信息安全管理与评估技能大赛第一阶段真题解析
任务1∶SQL注入攻防(55分)
DCRS :交换机
DCFW:防火墙
DCFS :流控
NETLOG:日志服务器
RIP v2
vlan2
192.168.253.28/27
vlan10
192.168.1.254/24
vlan20
192.168.254.120/25
vlan30
192.168.255.118/25
vlan110
192.168.249.100/25
DCRS#config
DCRS (config)#router rip
DCRs (config-router) #version 2
DCRs (config-router) #network 192.168.253.28/32 /vlan2 这里子网可以全部都填/32位
DCRs (config-router) #network 192.168.1.254/32 /vlan10
DCRs (config-router) #network 192.168.254.120/32 /vlan20
DCRs (config-router) #network 192.168.255.118/32 /vlan30
DCRS (config-router) #network 192.168.249.100/32 /vlan110
DCRS#config
DCRS (config) #router rip
DCRS (config-router) #network 192.168.253.5/29 /vlan2 也可以按照地址表明确的掩码来发布
DCRS (config-router) #network 192.168.252.254/24 /vlan10
DCRS (config-router) #network 192.168.255.242/23 /vlan20
DCRS (config-router) #network 192.168.3.29/27 /vlan30
DCRS (config-router) #network 192.168.2.200/24 /vlan110
第一阶段∶任务二
1.在公司总部的DCFW上配置,连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域。(6分)
有些配置可以在命令行做,而有些设备可以在web界面配置,
防火墙可以设置接口安全域为WAN,或者为LAN。
2.在公司总部的 DCFW上配置,开启DCFW针对以下攻击的防护功能∶ICMP洪水攻击防护、UDP洪水攻击防护、SYN洪水攻击防护、WinNuke攻击防护、IP地址欺骗攻击防护、IP地址扫描攻击防护、端口扫描防护、Ping of Death攻击防护、Teardrop 攻击防护、IP分片防护、IP选项、Smurf或者Fraggle攻击防护、Land攻击防护、ICMP 大包攻击防护、TCP选项异常、DNS查询洪水攻击防护、DNS 递归音询洪水攻击防护。(6分)
把LAN域和WAN域的攻击防护全部开启,行为选择为丢弃。
3.在公司总部的 DCFW上新增2个用户,用户1(用户名:User1 ;密码:User.1 ) :只拥有配置查看权限不能进行任何的配置添加与修改删除。用户2(用户名:User2 ;密码:User.2 ) :拥有所有的查看权限,拥有除“用户升级、应用特征库升级、重启设备、配置日志”模块以外的所有模块的配置添加与修改,删除权限。(6分)
User1只拥有配置查看权限不能进行任何的配置添加与修改删除
User2拥有所有的查看权限,拥有除“用户升级、应用特征库升级、重启设备、配置日志”模块以外的所有模块的配置添加与修改,删除权限
4.在公司总部的 DCFW上配置,内网可以访问互联网任何服务,互联网不可以访问内网。(6分)
配置策略,trust---untrust
5.在公司总部的DCFW上配置网页内容过滤∶内网用户不能访问互联网网站︰www.tudou.com ; (6分)
网页内容过滤中添加黑名单"www.tudou.com",只运行域名访问开启,
在规则集中做配置,
6.在公司总部的DCFW上配置,使公司总部的 DCST服务器可以通过互联网被访问,从互联网访问的地址是公网地址的第三个可用地址(公网IP地址段参考“赛场IP参数表”),且仅允许PC-2通过互联网访问DCST设备。(6分)
反向NAT,就是我们的服务器可以通过公网去访问,以为服务器本身是一个私有地址,不能直接访问,但是可以把他映射到一个公网地址上,然后外网的人就可以访问那个公网地址就可以映射到内部的私有网络去。
创建三个地址簿
公网的第三个地址202.100.1.3
PC2的地址202.100.1.28
DCST的地址192.168.252.100
NAT---->端口映射下:
新建高级配置
源地址:PC2 ---->
目的地址:Internet ---->
行为:NAT ---->
映射到DCST ---->
模式:IP地址映射
7.在公司总部的 DCFW上配置,使内网所有用户网段和服务器区网段都可以通过DCFW外网接口IP地址访问互联网。(6分)
正向NAT,内网所以机器都通过FW去访问internet
为所有内网用户创建地址簿
NAT---->NAT:
新建高级配置---一定是高级配置,因为他是一个多对一的情况。
源地址:User_Segment ---->
目的地址:any ---->
出接口:eth1 ---->
行为:NAT ---->
NET地址:地址簿 ---->
地址簿:OutSide_IP ---->
模式:动态端口
8.为了保证正常工作,在公司总部的DCFW上配置:对于上班时间( 8∶00-17∶00 )公司总部内网浏览Internet网页,连接总数不超过2000 ; (6分)
时间限制:(8:00-17:00)
会话限制:不超过2000
基于安全域的会话限制,参数如下
安全域 : LAN
源目IP : Any
应用 : HTTP
时间表 : 调用上一步配置的时间表
类型 : 会话数2000
9.在公司总部的 DCFW上配置,使内网访问Internet网站时,不允许访问MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)类型的文件。(6分)
1.规则集要开启文件类型过滤
2.网页内容过滤中设置文件类型过滤选项
10.在公司总部的DCFW 上配置,使内网向Internet发送邮件,或者从Internet接收邮件时,不允许邮件携带附件大于50MB。(6分)
1.规则集要开启邮件过滤
2.邮件过滤中设置
11.在公司总部的 DCFW上启用L2TP VPN,使分支机构通过L2TP VPN拨入公司总部,访问内网的所有信息资源。L2TP VPN地址池x.x.x.x/x(具体IP地址参考“赛场P参数表”)。(6分)
涉及的知识点∶
组建L2TP网络需要的三要素:LNS、LAC 和 Client。
绑定IP为出网口IP
地址池 192.168.251.2-192.168.251.62 ,本网段第一个可用地址作为L2TP VPN本地地址
为L2TP创建用户
用户名:l2tpuser
密码:l2tpuser
添加完后,有用户拨号访问就会在拨入列表中显示。
创建完后到ncpa.cpl中设置VPN连接的属性
设置完成后再连接
抓包
12.在公司总部的 DCFW上启用SSL VPN,使分支机构通过SSL VPN拨入公司总部,访问内网的所有信息资源。SSL VPN地址池x.x.x.x/x (具体P地址参考“赛场IP参数表”)。(6分)
新建SSL VPN
地址为内网地址
私网地址段192.168.0.0/16
新建用户ssluser,密码ssluser
资源关联
把用户与SSL VPN做对应
创建SSL VPN 的实例
地址池 192.168.249.2-192.168.249.62 本网段第一个可用地址 SSL VPN 地址池
此SSL VPN端口是登陆时交互数据访问的端口
此端口是下载客户端要访问的端口
到此就SSL VPN就创建完了,
接下来验证:
PC2先测试通信
下载,安装,运行
此地址是从地址池中获取到的第一个地址
还要查看有木有反向注入的路由
SSL VPN资源实际上就是一条路由信息,然后拨号上来的用户,这条路由信息就会注入给他。然后用户就用这条路由来访问我们内网。
所以他现在是可以ping同内网的地址
但是现在抓包得到的数据是被加密过的。
13.在PC2运行Wireshark分别对L2TP VPN和SSLVPN访问内网的流量进行捕获,并对以上两种流量进行对比分析区别。(6分)
l2tp抓包的数据是可以看到是ICMP数据,是明文流量
SSL VPN抓包的数据可以看到是乱码,是加密流量
所以使用SSL VPN对于信息安全更加有保障。
14.在公司总部的DCFS上配置,使其连接DCFW防火墙和DCR S交换机之间的接口实现二层互通。(6分)
设置成同一个网桥,就实现了二层互通,就相当于在同一个交换机上
知识点∶
桥接( Bridging),是指依据OSI网络模型的链路层的地址,对网络数据包进行转发的过程,工作在OSI的第二层。一般的交换机,网桥就有桥接作用。
15.在公司总部的 DCFS上配置,使 DCFS能够对由公司内网发起至Internet的流量实现以下操作:会话保持、应用分析、主机统计、会话限制、会话日志。(6分)
修改接口网络区域
一个内网,一个外网
16.在公司总部的DCFS上配置,使工作日内(每周一至周五),阻止PC-1访问迅雷相关应用,并返回TCP Reset数据包。(6分)
创建时间规则
再创建控制策略(应用策略)时间和(动作)
定义应用访问控制控制策略∶
名称:任意
操作∶拦截
拦截返回:RST
接口:内网->外网
时间:调用上一步创建的时间表
高级∶规则生效
17.在公司总部的DCFS上配置,实现公司内网每用户访问Internet带宽上限为 1Mbps ,全部用户访问Internet带宽上限为100Mbps。(6分)
策略控制->带宽通道管理->
策略控制->带宽通道策略->
服务∶定义为“服务不包含对象”,并且定义为无任何类型的服务
18.在题目15条件的基础之上,继续在在公司总部的DCFS上配置,实现公司内网每用户访问Internet的FTP 服务带宽上限为512Kbps,全部用户访问Internet的FTP服务带宽上限为20Mbps。(6分)
策略控制->带宽通道策略->
19.在公司总部的 DCBI 上配署,设备部署方式为旁路模式,并配置监控接口。(6分)
20. 在公司总部的 DCRS交换机上配詈SPAN,使内网经过 DCRS 交换机的全部流量均交由DCBI分析。(6分)
得分要点:
DCRS 交换机 SPAN配置:
源端口:除了连接 Netlog 的全部接口
目的接口:连接Netlog的接口
源、目的: Session ID 一致
DCRS-5650 (config) #
monitor session 1 source interface ethernet 1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18 rx
/要镜像的源接口 发送流量
moritor session 1 source interface ethernet 1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18 tx
/要镜像的源接口 接收流量
monitor session 1 destination interface ethernet 1/0/6
/再把镜像的流量发送到DCBI的接口,发给他让他分析去。
21.在公司总部的 DCBT上配善,监控内网所有用户的即时聊天记录。(6分)
规则配置
22.在公司总部的DCBT上配苦,监控内网所有用户的网站访问记录。(6分)
同样规则配置
23.在公司总部的DCRS交换机上运行SSH 服务,客户端PC1运行支持SSH2.0标准的客户端软件如Secure Shell Client或 Putty ,使用用户名和密码方式登录交换机。(6分)
Secure Shell
DCRS交换机配置截图包含:
创建vlan20
van 20
Interface Ethernet1/0/9
switchport access vlan 20
lnterface Vlan20
ip address 192.168.255.242 255.255.254.0
启用ssh,并为ssh创建一个用户
ssh-server enable
username sshuser privilege 15 password 0 sshuser
(为SSH 新建用户、privilege 15)
接下来pc就可以通过putty软件进行ssh连接交换机进行配置
24.在公司总部的DCRS交换机上启动SSL功能客户端PC1通过浏览器客户端通过 https 登录交换机时,交换机和浏览器客户端进行SSL握手连接,形成安全的SSL连接通道,从而保证通信的私密性。(6分)
DCRS交换机配置包含:
ip http secure-server
username ssluser privilege 15 password 0 ssluser
(为SSL新建的用户, privilege 15 )
接下来就可以通过浏览器地址栏进行访问https:/ /交换机地址
25.在公司总部的 DCRS上配置除内网P地址段的 RFC3330过滤来限制源P欺骗攻击。(6分)
DCRS交换机配詈包含:
firewall enable 开启交换机防火墙功能
ip access-list standard XXX(任意)
deny 0.0.0.0 0.255.255.255
deny 10.0.0.0 0.255.255.255
deny 14.0.0.0 0.255.255.255
deny 24.0.0.0 0.255.255.2554
deny 39.0.0.0 0.255.255.2554
deny 127.0.0.0 0.255.255.2554
deny 128.0.0.0 0.0.255.255
deny 169.254.0.0 0.0.255.255
deny 172.16.0.0 0.15.255.255
deny 191.255.0.0 0.0.255.255e
deny 192.0.0.0 0.0.0.25541
deny 192.0.2.0 0.0.0.255
deny 192.88.99.0 0.0.0.255
这个是内网要用的网段要排除出去
deny 192.168.0.0 0.0.255.255
//
deny 198.18.0.0 0.1.255.255
deny 223.255.255.0 0.0.0.255
deny 224.0.0.0 15.255.255.255
deny 240.0.0.0 15.255.255.255
permit any-source
exit
应用到接口使其生效
Interface Ethernet 1/0/5
ip access-group XXX(与上一步ACL名称一致)in
连接DCFS 的接口应用该列表
26.在公司总部的DCRS 上配置,VLAN110用户可通过 DHCP的方式获得P地址,在交换机上配置 DHCP Server,地址池名称为 pool110,DNS地址为202.106.0.20,租期为8天VLAN110网段最后20个可用地址 (DHCP 地址段参考“赛场IP参数表”)不能被动态分配出去。(6分)
DCRS交换机配置包含:
service dhcp #开启dhcp
ip dhcp excluded-address 192.168.2.181 192.1682.200 #排除最后20个可用地址
(该段IP需要匹配参数表中 DCRS 地址池中后20个IP地址)
ip dhcp pool pool110 #创建pool110的地址池
network-address 192.168.2.0 255.255.255.0 #分配地址范围
lease 8 0 0 #租期8天
default-router 192.168.2.200 #网关
dns-server 202.106.0.20 #dns
给vlan110也要配置ip地址
lnterface Vlan110
ip address 192.168.2.200 255.255.255.0
27.配置公司总部的 DCRS,防止来自VLAN110接口的DHCP地址池耗尽攻击。(6分)
DHCP Starvation 攻击原理:
DHCP Starvation 是用虚假的 MAC地址广播DHCP请求。用诸如Yersinia这样的软件可以很容易做到这点。
如果发送了大量的请求,攻击者可以在一定时间内耗尽 DHCP Servers可提供的地址空间。
这种简单的资源耗尽式攻击类似于SYN flood。
接着,攻击者可以在他的系统上仿冒一个 DHCP 服务器来响应网络上其他客户的 DHCP 请求。
DHCP Snooping工作原理:
当交换机开偿了DHCP Srooping后,会对 DHCP 报文进行侦听,井可以从接收到的DHCP Request或 DHCP Ack报文中提取并记录IP地址和 MAC地址信息。
另外,DHCP-Snooping 光许将基个物理端口设善为信任端国或不信任端画。
信任端口可以正常接收并转发 DHCP Offer 报文,而不信任端口全将接收到的DHCP Offer:报文器弃。
这样可以完成交换机对假冒:DHCP Server 的屏蔽作用,确保客户端从合法的DHCP Server获取P地址。
配置
启用 DHCP Snooping
Switch ( config ) #ip dhcp snooping enable
2、定义启用 DHCP Snooping的 VLAN
Switch ( config 1 #ip dhcp snooping vlan110
3、在连接 DHCP客户机的接口限制 DHCP Discovery数据包的发送速度,防止DHCP Starvation 攻击
Switch ( config ) #ip dhcp snooping limit rate <rate>
Switch ( config ) #ip dhcp snooping limit rate 5 #大于5后这个接口就回被shutdown
4交换机启用DHCP Snoqping之后,
所有的接口默认不能接收DHCP Offer、 DHCP Ack数据包,
为了能使连接正常 DHCP服务器的接口收到DHCP Offer,DHCP Ack数据包,
需要将交换机连接正常DHCP 服务器的接口设置为dhcp snooping trust模式
Switch(config-if-ethernet1/0/4)#ip dhcp snooping trust
-------
得分要点:
DCRS 交换机配置包含:
lp dhcp snooping enable
lp dhcp snooping vlan 110
ip dhcp snooping limit-rate(该数值任意)
28.配置公司总部的 DCRS,防止来自VLAN110接口的 DHCP 服务器假冒攻击。(6分)
抵御DHCP Offer、 DHCP Ack这两种数据包,来实现抵御DHCP假冒攻击。
DCR.S-5650(config) #interface ethernet 1/0/4
DCRS-5650 (config-if-ethernet1/0/4)#no ip dhcp snooping trust # untrust接口就回不接受DHCP Offer、 DHCP Ack这两种数据包
DCRS-5650 (config-if-ethernet1/0/4)#ip dhcp snooping action blackhoie recovery <10-3600> second(该数值任意) #检测违规
#检测DHCP Offer、 DHCP Ack后就违规了,就直接扔到黑洞里去,恢复时间10-3600随意设置。
29.在公司总部的 DCRS上配署端口环路检测 (Loopback Detection),防止来自接口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒 (6分)
多端口环路可以用生成树解决
单端口环路,使用Loopback Detection
全局模式下:
DCRS-5650(config)#loopback-detection interval-time 50 20
-----
DCRS-5650(config)#loopback-detection interval-time ? #存在环路检测时间
<5-300> Loopback interval time range <5-300>s
DCRS-5650(config)#loopback-detection interval-time 50 ? #不存在环路检测时间
<1-30> No loopback interval time range <1-30>s
30.在公司总部的 DCRS上配置,需要在交换机第10个接口上开启基于MAC地址模式的认证,认证通过后才能访问网络,认证服务器连接在服务器区,IP地址是服务器区内第105个可用地址 (服务器区IP地址段参考“赛场IP参数表”) ,radius key是dcn。
DCRS交换机配置包含∶
aaa enable
dot1x enable #启用802.1x
radius-server key 0 dcn #配置key值
------
先配置这个才能启用 aaa enable
radius-server authentication host 192.168.252.105 (与参数表一致:服务器场景网段内第105个可用地址)
------
接下来在接口开启802.1x
Interface Ethernet1/0/10
dot1x enable #启用802.1x
dot1x port-method macbased #配置基于mac地址的认证
31.黑客主机接入直连终端用户VLAN110,通过 RIPV2路由协议向DCRS注入度量值更低的外网路由,从而代理内网主机访问外网,进而通过Sniffer来分析内网主机访问外网的流量(如账号、密码等敏感信息)。通过在DCRS上配置 HMAC,来阻止以上攻击的实现。(认证Key须使用Key Chain实现) (6分)
PC2接入router的vlan110,通过主机运行ospf,跟交换机直接运行动态路由协议,从而把默认路由注入给交换机,而且这条默认路由的度量值比firewall更小,所以router就会把所有数据都转发给PC2。
DCRS 配置 RIPV2 :
router rip:
network 192.168.110.0/24
/ Network : VLAN1101P 网络号/前缀(参数表计算结果)
network 192.168.253.0/29
/ Network : 与 DCFW之间的网络号/前缀(参数表计算结果)
DCRS 的 HMAC配置:
interface Vlan110
ip rip authentication mode md5
ip rip authentication key-chain (名称任意)
key chain dcn (配上一步 key-chain名称)
key 10 (任意)
key-string dcn1234567890 (任意不易被暴力破解的密钥)
32.为方使公司总部网络规模扩展,将公司总部的 DCRS交换机的24端口配置为 Trunk模式,用于将来继续连接其它的交换机,配置公司总部的 DCRS ,使其能够防御由此带来VLAN Hopping (VLAN 跳跃)攻击。(6分)
打了两成tag,第一层tag与外围交换机管理vlan 5 tag一致,到trunk交换机时,trunk交换机会把外层的管理vlan tag去掉,就只剩第二次vlan tag,第二次vlan tag到里面的交换机后直接就转发给相应vlan了,就实现了外部vlan5 访问到内部vlan96。
1、设置一个专门的 VLAN ,如VLAN888,并且不把任何连接用户PC的接口设置到这个VLAN;
vlan 999
Interface Ethermet1/0/24
switchport mode trunk
switchport trunk native vlan 999
#show vlan
VLAN999中除了24接口之外没有任何接;
2、强制所有经过 Trunk的流量携带802.1Q标记
Switch (config) # vlan dot1q tag native
33.配置公司总部的 DCRS,通过gratuitous ARP来抵御来自VLAN110接口的针对网关的ARP欺骗攻击。(6分)
发送免费arp信息,如果有arp攻击,是针对网关的,那么网关会主动向主机报告自己的ip和mac。从而可以抵消掉已经被毒化的arp状态。
DCRS交换机配詈包含:
interface Vlan110
ip gratuitous-arp
34.配置公司总部的DCRS 通过ARP Guard来抵御来自VLAN110接口的针对网关的ARP欺骗攻击。(6分)
将 VLAN110 中全部接口配置:
DCRs-5650(config)#interface vlan 110
DCRS-5650(config-if-vlan110)#ip gratuitous-arp #vlan中要配置
DCRS-5650(config-if-vlan110)#ip address 192.168.110.200 255.255.255.0
DCRs-5650(config)#vlan 110
DCRS-5650(config-vlan110)#switchport interface ethernet 1/0/10-15
set the port Ethernet1/0/10 access vlan 110 successfully
set the port Ethernet1/0/11 access vlan 110 successfully
set the port Ethernet1/0/12 access vlan 110 successfully
set the port Ethernet1/0/13 access vlan 110 successfully
set the port Ethernet1/0/14 access vlan 110 successfully
set the port Ethernet1/0/15 access vlan 110 successfully
DCRS-5650(config-vlan110)#exit
DCRS-5650(config)#interface ethernet 1/0/10-15
DCRS-5650(config-if-port-range)#arp-guard ip 192.168.110.200 #接口中也要配置
DCRS-5650(config-if-port-range)#exit
35.配置公司总部的 DCRS 防止对公司总部服务器的以下3类 (DOS Denial Of Service) 攻击:ICMP Flood 攻击、LAND攻击,.SYN Flood 攻击。(6分)
DCRS交换机配置包含∶
dosattack-check icmp-attacking enable
/防止ICMP Flood 攻击
dosattack-check srcip-equal-dstip enable
/防止LAND 攻击
就是源地址和目的地址相同的包,让自己回复给自己。就是死循环的发送数据包。
dosattack-check tcp-flags enable
/防止SYN Flood 攻击
----
DCRS-5650(config)#dosattack-check ?
icmp-attacking Enable ICMP DoS attack checks
icmpv4-size ICMPv4
iempv6-size ICMPv6
ipv4-first-fragment enable checking on first fragment IP packets
srcip-equal-dstip sipequaldip drop
sreport-equal-dstport Enable checking TC/UDP L4 port
tcp-flags Enable checking TCP Dos attacks on invalid flags
tcp-fragment Enable checking TCP DOs fragment attack
tcp-segment TCP segment size
36.配置公司总部的 DCRS,通过控制平面(Control Plane)策略,防止 DCRS 受到来目于VLAN110接口的 DOS ( Denial Of Service)攻击;其中 CIR(Committed Information Rate)定义为128Kbps,TC (Time Commit)定义为8192ms,速率大于CIR的流量将被 DCRS 丢弃,其余流量将被正常发送。(6分)
BC的计算过程;
BC=CIR*TC=128kbps*8.192s=1048.576kb=1048576b=1048576/8byte=131072byte=131072/1024kbyte=128kbyte
copp-policy-map (名称任意)·
class (名称与上一步 Class-Map 名称一致)
policy 128 (CIR:kbps) 128 (BC:kbyte) confom-action transmit exceed-action drop
DCRS-5650(config)#class-map van 110
DCRS-5650(config-classmap-vlan 110)#match vlan 110
DCRS-5650(config-classmap-vlan 110)#exit
DCRS-5650(config) #copp-poliey-map copp
DCRS-5650(config-copp-policymap-copp) #class vlan 110
DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy ?
<1-10000000> CIR (Committed Information Rate) Kbits per second <1-10000000>
packets-per-second config PPS
DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 ?
<1-1000000> CBS (Committed Burst size) Kbytes <1-100000>
#这里的第二个参数是BC,就要用到上面的计算方法。
DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 128 confom-action transmit
在CIR策略内的流量正常转发
DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 128 confom-action transmit exceed-action drop
超过就丢弃
BC的计算过程;
BC=CIR*TC=128kbps*8.192s=1048.576kb=1048576b=1048576/8byte=131072byte=131072/1024kbyte=128kbyte
CIR是128kbps*一个秒,(8.192)s等于1048.576kb
1048.576kb*1000=1048576b #乘1000
1048576/8byte=131072byte #除/8转成字节
131072/1024kbyte=128kbyte #除/1024转成k字节
才得出128
37.配置公司总部的 DCRS,通过DCP (Dynamic CPU Protection)策略,防止DCRS受到来自于全部物理接口的 DOS (Denial Of Service)攻击。(6分)
动态CPU保护策略
DCRS交换机配置包含:
dcp enable
//启用 DCP (Dynamic CPU Protection)策略
dcp limit-rate 10 (数值任意)
//进行报文带宽控制