2. 从业资格
  3. 如下图所示,某公司甲、乙两地通过建立IPSec VPN隧道,实现主机A和主机B的

如下图所示,某公司甲、乙两地通过建立IPSec VPN隧道,实现主机A和主机B的

题库2022-08-02  39
问题 如下图所示,某公司甲、乙两地通过建立IPSec VPN隧道,实现主机A和主机B的互相访问,VPN隧道协商成功后,甲乙两地访问互联网均正常,但从主机A到主机B ping不通,原因可能是(  )、(  )。问题1选项 A.甲乙两地存在网络链路故障 B.甲乙两地防火墙未配置虚拟路由或者虚拟路由配置错误 C.甲乙两地防火墙策略路由配置错误 D.甲乙两地防火墙互联网接口配置错误问题2选项 A.甲乙两地防火墙未配置NAT转换 B.甲乙两地防火墙未配置合理的访问控制策略 C.甲乙两地防火墙的VPN配置中未使用野蛮模式 D.甲乙两地防火墙NAT转换中未排除主机A/B的IP地址
选项
答案
解析 答案: B、D
当IPSEC和NAPT并存于一个乙地防火墙上,IPSEC处理是分部和总部之间的流量,NAPT处理的是分部访问Internet的流量。总部防火墙同时配置了IPSEC和NAT SERVER,IPSEC处理总部和分部之间的流量,NAT SERVER处理的是因特网访问总舵服务器的流量。
按理说两台防火墙IPSEC流量和NAT流量应该是互不相干,其实在本例中IPSEC和NAT的处理是有重叠的,在防火墙转发流程中,NAT在在上游环节,IPSEC在下游环节。所以IPSEC的流量难免会受到NAT处理流程的干扰,原本应该进入IPSEC隧道的流量一旦命中NAT策略就会进行NAT转换,转换后的流量不会再匹配IPSEC中的ACL了,也就不会进行IPSEC处理。所以处理不好IPSEC和NAT的关系就会出现莫名其妙的问题。例如分部访问总部不成功,总部访问分部不成功。
解决方案,需要在NAT策略中配置一条针对IPSEC流量不进行地址转换的策略,该策略的优先级高于其他的策略。
B选项的虚拟路由是指对于B的访问需要指向VPN隧道。
转载请注明原文地址:https://tihaiku.com/congyezige/2399180.html
本试题收录于: 高级网络规划设计师题库软件水平考试初中高级分类

高级网络规划设计师

软件水平考试初中高级

相关试题推荐
随机试题
最新回复(0)