某企业组网方案如图1-1所示,网络接口规划如表1-1所示。公司内部员工和外部访客

考试题库2022-08-02  47

问题 某企业组网方案如图1-1所示,网络接口规划如表1-1所示。公司内部员工和外部访客均可通过无线网络访问企业网络,内部员工无线网络的SSID为Employee,访客无线网络的SSID为Visitor。图1-1表1-1【问题1】(6分)防火墙上配置NAT功能,用于公私网地址转换。同时配置安全策略,将内网终端用户所在区域划分为Trust区域,外网划分为Untrust区域,保护企业内网免受外部网络攻击。补充防火墙数据规划表1-2内容中的空缺项。表1-2注:Local表示防火墙本地区域;srcip表示源ip。【问题2】(4分)在点到点的环境下,配置IPSec VPN隧道需要明确()和()。【问题3】(6分)在Switch1上配置ACL禁止访客访问内部网络,将Switch1数据规划表1-3内容中的空缺项补充完整。表1-3【问题4】(4分)AP控制器上部署WLAN业务,采用直接转发,AP跨三层上线。认证方式:无线用户通过预共享密钥方式接入。在Switch1上GE0/0/2连接AP控制器,该接口类型配置为()模式,所在VLAN是()。

选项

答案

解析 【问题1】
1、200.1.1.1/32
2、200.1.1.1/32
3、any或0.0.0.0/0
【问题2】
4-5隧道的源目ip地址
【问题3】
6、104
7、192.168.104.0/0.0.0.255
8、丢弃
【问题4】
9、access或untagged
10、VLAN 10
【问题1】
本题中要根据题中的说明给出相应的源地址/区域或者目的地址/区域。当给出企业对端的地址后,通过表1-1可以查到防火墙的地址,该地址充当与分值企业互联地址。
防火墙的安全策略untrust_local中源安全区域和目标安全区域是对应关系。
在防火墙上做NAT,在转换前目的是任意的,服务也是任意的。

【问题2】
IPsec为IP数据包提供了高质量的、可互操作的、基于密码学的安全性。特定的通信双方在IP层通过加密与数据源认证等方式,来保证数据报文在网络上传输时的私有性、完整性、真实性和防重放。
在防火墙上配置点到点的IPsec VPN隧道配置,需要新建IPsec策略,选择点到点的场景,在基本配置中需要配置对端地址,使路由可达,进而需要配置认证方式,包括预共享密钥或RSA签名等参数。

【问题3】
在switch1上配置ACL禁止访客访问内部网络,目的IP网段是内部网络网段,那么对于访客网段ACL策略动作是丢弃。从图1-1可知,访客网段vlan是104,网络地址段是192.168.104.0

【问题4】
从图1-1上可知IP控制器所属VLAN是10,在IP控制器上连接switch1的接口以untagged(即access)方式加入vlan10
转载请注明原文地址:https://tihaiku.com/congyezige/2406465.html

最新回复(0)