首页
登录
从业资格
某企业总部设立在A地,在B地建有分支机构,分支机构和总部需要在网络上进行频繁的数
某企业总部设立在A地,在B地建有分支机构,分支机构和总部需要在网络上进行频繁的数
题库
2022-08-02
35
问题
某企业总部设立在A地,在B地建有分支机构,分支机构和总部需要在网络上进行频繁的数据传输,该企业网络采用IPSec VPN虚拟专用网技术实现分支机构和总部之间安全、快捷、经济的跨区域网络连接。该企业的网络拓扑结构如图4-1所示。
该企业的网络地址规划及配置如表4-1所示。表4-1网络规划地址配置表
【问题1】(7分)为了完成对RouterA和RouterB的远程连接管理,以RouterA为例,完成初始化路由器,并配置RouterA的远程管理地址(192.168.1.20),同时开启RouterA的Telnet功能并设置全局配置模式的访问密码,请补充完成下列配置命令。RouterA>enableRouterA#configure terminalRouterA(config)#interface f0/0//进入F0/0的(1)子模式RouterA(config-if)#ip addr(2)//为F0/0接口配置IP地址RouterA(config-if)#no shut//(3)F0/0接口,默认所有路由器的接口都为down状态RouterA(config-iQ#inter(4)//进入loopback 0的接口配置子模式RouterA(config-if)#ip addr(5)//为loopback0接口配置IP地址RouterA(config)#(6)//进入虚拟接口0-4的配置子模式RouterA(config4ine)#pass word abc00 1//配置vty口令为”abc001“RouterA(config)#enable password abc001//配置全局配置模式的明文密码为“abc001”RouterA(config)#enable(7)abc001//配置全局配置模式的密文密码为“abc001”【问题2】(5分)VPN是建立在两个局域网出口之间的隧道连接,所以两个VPN设备必须能够满足内网访问互联网的要求,以及需要配置NAT。按照题目要求以RouterA为例,请补充完成下列配置命令。RouterA(config)#access-list 101(8)ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255RouterA(config)#access-list 101(9)ip 192.168.1.0 0.0.0.255 any//定义需要被NAT的数据流RouterA(config)#ip nat inside source list 101 interface(10)overload//定义NAT转换关系RouterA(config)#int(11)RouterA(config-if)#ip nat insideRouterA(config)#int(12)RouterA(config-iQ#ip nat outside//定义NAT的内部和外部接口【问题3】(4分)配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配,否则VPN配置将会失败。以RouterB为例配置IPSecVPN,请完成相关配置命令。RouterB(config)#access-list 102 permit ip(13)//定义需要通过VPN加密传输的数据流RouterB(config)#crypto isakmp(14)//启用ISAKMP(IKE)RouterB(config)#crypto isakmp policy 10RouterB(config-isakmp)#authentication pre-shareRouterB(config-isakmp)#encryption desRouterB(config-isakmp)#hash md5RouterB(config-isakmp)#group 2RouterB(config)#crypto isakmp identity addressRouterB(config)#crypto isakmp key abcOOl address(15)//指定共享密钥和对端设备地址RouterB(config)#crypto ipsec transform-set ccie esp-des esp_md5_hmacRouterB(cfg-crypto-trans)#model tunnelRouterB(config)#crypto map abc001 10 ipsec-isakmpRouterB(config)#int(16)RouterB(config)-if)#crypto map abc001//在外部接口上应用加密图【问题4】根据题目要求,企业分支机构与总部之间采用IPSec VPN技术互连,IPSec(IP Security)是IETE为保证在Internet上传送数据的安全保密性而制定的框架协议,该协议用用在(17)层,用于保证和认证用户IP数据包。IP S ec VPN可使用的模式有两种,其中(18)模式的安全性较强,(19)模式的安全性较弱。IPSec主要由AH/ESP和IKE组成,在使用IKE协议时,需要定义IKE协商策略,该策略由(20)进行定义。
选项
答案
解析
【问题1】(7分)
(1)接口配置或端口配置
(2)192.168.1.1 255.255.255.0
(3)激活
(4)loopback 0
(5)192.168.1.20 255.255.255.255
(6)line vty 0 4
(7)secret
【问题2】(5分)
(8)deny
(9)permit
(10)S0
(11)F0/0
(12)S0
【问题3】(4分)
(13)172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
(14)enable
(15)202.102.11.1
(16)S0
【问题4】(4分)
(17)网络层
(18)隧道
(19)传输
(20)SA
【问题1】
RouterA>enable
RouterA#configure terminal
RouterA(config)#interface f0/0//进入F0/0的接口配置子模式
RouterA(config-if)#ip addr 192.168.1.1 255.255.255.0//为F0/0接口配置IP地址
RouterA(config-if)#no shut//激活F0/0接口,默认所有路由器的接口都为down状态RouterA(config-iQ#inter?loopback 0//进入loopback 0的接口配置子模式
RouterA(config-if)#ip addr?192.168.1.20 255.255.255.255//为loopback0接口配置IP地址
RouterA(config)#line vty 0 4//进入虚拟接口0-4的配置子模式
RouterA(config4ine)#password abc001//配置vty口令为”abc001“
RouterA(config)#enable password abc001//配置全局配置模式的明文密码为“abc001”RouterA(config)#enable secret abc001//配置全局配置模式的密文密码为“abc001”
【问题2】
RouterA(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
//拒绝来自192.168.1.0/24去往172.16.1.0/24网络的流量
RouterA(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any
//定义需要被NAT的数据流
RouterA(config)#ip nat inside source list 101 interface S0 overload
//定义NAT转换关系(匹配ACL101的数据流都翻译成S0接口的公网IP地址,此为地址伪装)
RouterA(config)#int?F0/0
RouterA(config-if)#ip nat inside//定义NAT的内部接口
RouterA(config)#int?S0
RouterA(config-if)#ip nat outside//定义NAT的外部接口
【问题3】
RouterB(config)#access-list 102 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
//定义需要通过VPN加密传输的数据流
RouterB(config)#crypto isakmp enable//启用ISAKMP(IKE)
RouterB(config)#crypto isakmp policy 10//建立IKE协商策略
RouterB(config-isakmp)#authentication pre-share//使用预定义密钥
RouterB(config-isakmp)#encryption des//加密算法
RouterB(config-isakmp)#hash md5//HASH算法
RouterB(config-isakmp)#group 2//设置1024位Diffie-Hellman非对称加密算法
RouterB(config)#crypto isakmp identity address
//指定ISAKMP与分部路由器进行身份认证时使用IP地址作为标志。
RouterB(config)#crypto isakmp key abc001 address 202.102.11.1//指定共享密钥和对端设备地址
RouterB(config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac//配置ipsec交换集模式
RouterB(cfg-crypto-trans)#model tunnel//配置隧道模式
RouterB(config)#crypto map abc00l 10 ipsec-isakmp//配置加密图
…….
RouterB(config)#int S0
RouterB(config)-if)#crypto map abc001//在外部接口上应用加密图
…….
【问题4】
Internet协议安全性(IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。
IPsec协议工作在OSI模型的第三层(网络层),使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。
IPSecVPN可使用的模式有两种:隧道模式和传输模式。
隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
二者相对而言,隧道模式安全性高于传输模式。
在使用IKE协议时,需要定义IKE协商策略,该策略由SA进行定义。
转载请注明原文地址:https://tihaiku.com/congyezige/2405626.html
本试题收录于:
中级 网络工程师题库软件水平考试初中高级分类
中级 网络工程师
软件水平考试初中高级
相关试题推荐
以下属于静态测试方法的是()。A.分支覆盖率分析 B.复杂度分析 C.系统
【说明】某软件企业内部测试部门对其ERP产品进行内部测试之后,由第三方测试机构进
CMM对软件测试没有提供单独的关键过程领域(KPA),所以许多研究机构和测试服务
分配给某公司网络的地址块是210.115.192.0/20,该网络可以被划分为(
网络杀毒软件厂商已经开始使用数据库技术和LDAP技术进行策略日志存储和用户管理,
____是一种通过建立网络设备、链路和协议模型,并模拟网络流量的传输,从而获取网
某企业研发信息系统的过程中()不属于数据库管理员(DBA)的职责。A.决定数据
某企业研发信息系统的过程中()不属于数据库管理员(DBA)的职责A.决定数据库
某企业的生产流水线上有2名工人P1和P2,1名检验员P3。P1将初步加工的半成品
某企业生产流水线M共有两位生产者,生产者甲不断地将其工序上加工的半成品放入半成品
随机试题
ThediscoveryoftheAntarcticnotonlyprovedoneofthemostinterestingof
What’stherelationshipbetweenthetwospeakers?[originaltext]W:Welcometoo
[originaltext]Moderator:Helloeverybody,Iamhappytointroduceourrespe
Here’ssomegoodnewsforparentsoftweensandteens:Yourule.Thatma
默认情况下,上传文件时的端口为()。A.大于1024的端口 B.20
早期中央型肺癌常表现为:()A.肺门淋巴结肿大 B.肺门部肿块
50岁,女性,放置IUD15年,月经紊乱1年,停经3个月,潮热、出汗2个月,阴道
根据以下资料,回答下列问题。 2013年中国货物进出口总额41600亿美元,比
在工程验收过程中,经具有资质的法定检测单位对个别检验批检测鉴定后,发现其不能够达
下列不属于四六工作制的特点是()A:一般不适用于矿建工程中的掘进员工 B:如果
最新回复
(
0
)