当前位置: 首页 > article >正文

软考IPSEC案例分析

article 2025/9/16 10:08:28

要回忆IPSEC点击这里

题目

5/21

某全国连锁企业的总部和分布在全国各地的30家分公司之间经常需要传输各种内部数据,因此公司决定在总部和各分公司之间建立VPN技术。具体拓扑如下:

配置部分只显示了与总部与分公司1的配置。

根据拓扑完成问题1-问题2。

问题2

[问答题]

问题2(13分):请将相关配置补充完整。

总部防火墙firewall1的部分配置如下。

<FIREWALL1> system-view

[FIREWALL1] interface GigabitEthernet 1/0/2

[FIREWALL1-GigabitEthernet1/0/2] ip address 192.168.1.1 24

[FIREWALL1-GigabitEthernet1/0/2] quit

[FIREWALL1] interface GigabitEthernet 1/0/1

[FIREWALL1-GigabitEthernet1/0/1] ip address 202.1.3.1 24

[FIREWALL1-GigabitEthernet1/0/1] quit

# 配置接口加入相应的安全区域。

[FIREWALL1] (1)

[FIREWALL1-zone-trust] (2)

[FIREWALL1-zone-trust] quit

[FIREWALL1] (3)

[FIREWALL1-zone-untrust] (4)

[FIREWALL1-zone-untrust] quit

# 配置Trust域与Untrust域的安全策略,允许封装前和解封后的报文能通过

[FIREWALL1] (5)

[FIREWALL1-policy-security] rule name 1

[FIREWALL1-policy-security-rule-1] source-zone trust

[FIREWALL1-policy-security-rule-1] destination-zone untrust

[FIREWALL1-policy-security-rule-1] source-address (6)

[FIREWALL1-policy-security-rule-1] destination-address(7)

[FIREWALL1-policy-security-rule-1] (9)

[FIREWALL1-policy-security-rule-1] quit

…..

# 配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过FIREWALL1。

[FIREWALL1-policy-security] rule name 3

[FIREWALL1-policy-security-rule-3] source-zone local

[FIREWALL1-policy-security-rule-3] destination-zone untrust

[FIREWALL1-policy-security-rule-3] source-address 202.1.3.1 32

[FIREWALL1-policy-security-rule-3] destination-address 202.1.5.1 32

[FIREWALL1-policy-security-rule-3] action permit

[FIREWALL1-policy-security-rule-3] quit

[FIREWALL1-policy-security] rule name 4

[FIREWALL1-policy-security-rule-4] source-zone untrust

[FIREWALL1-policy-security-rule-4] destination-zone local

[FIREWALL1-policy-security-rule-4] source-address 202.1.5.1 32

[FIREWALL1-policy-security-rule-4] destination-address 202.1.3.1 32

[FIREWALL1-policy-security-rule-4] action permit

[FIREWALL1-policy-security-rule-4] quit

[FIREWALL1-policy-security] quit

# 配置访问控制列表,定义需要保护的数据流。

[FIREWALL1] acl 3000

[FIREWALL1-acl-adv-3000] rule (10)ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0

0.0.0.255

[FIREWALL1-acl-adv-3000] quit

# 配置名称为tran1的IPSec安全提议。

[FIREWALL1] (11)

[FIREWALL1-ipsec-proposal-tran1] encapsulation-mode tunnel

[FIREWALL1-ipsec-proposal-tran1] transform esp

[FIREWALL1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256

[FIREWALL1-ipsec-proposal-tran1] esp encryption-algorithm aes

[FIREWALL1-ipsec-proposal-tran1] quit

# 配置序号为10的IKE安全提议。

[FIREWALL1] ike proposal 10

[FIREWALL1-ike-proposal-10] authentication-method pre-share

[FIREWALL1-ike-proposal-10] authentication-algorithm sha2-256

[FIREWALL1-ike-proposal-10] quit

# 配置IKE用户信息表。

[FIREWALL1] ike user-table 1

[FIREWALL1-ike-user-table-1] user id-type ip (12) pre-shared-key Admin@gkys

[FIREWALL1-ike-user-table-1] quit

# 配置IKE Peer。

[FIREWALL1] ike peer b

[FIREWALL1-ike-peer-b] ike-proposal 10

[FIREWALL1-ike-peer-b] user-table 1

[FIREWALL1-ike-peer-b] quit

# 配置名称为map_temp序号为1的IPSec安全策略模板。

[FIREWALL1] ipsec policy-template map_temp 1

[FIREWALL1-ipsec-policy-template-map_temp-1] security acl (13)

[FIREWALL1-ipsec-policy-template-map_temp-1] proposal tran1

[FIREWALL1-ipsec-policy-template-map_temp-1] ike-peer b

[FIREWALL1-ipsec-policy-template-map_temp-1] reverse-route enable

[FIREWALL1-ipsec-policy-template-map_temp-1] quit

# 在IPSec安全策略map1中引用安全策略模板map_temp。

[FIREWALL1] ipsec policy map1 10 isakmp template map_temp

# 在接口GigabitEthernet 1/0/1上应用安全策略map1。

[FIREWALL1] interface GigabitEthernet 1/0/1

[FIREWALL1-GigabitEthernet1/0/1] ipsec policy map1

[FIREWALL1-GigabitEthernet1/0/1] quit

[Switch] acl number 2001

[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器

[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range tr1 //限制172.16.107.0/24网段的所有用户只能在tr1时间段定义的时间范围内访问FTP服务器

[Switch-acl-basic-2001] rule deny source any //限制其他用户不可以访问FTP服务器

[Switch-acl-basic-2001] quit

作答记录

(1)firewall  zone trust #进入信任区域划分接口

(2)add interface g1/0/2#结合图片得出接口

(3)firewall  zone untrust

(4)add interface g1/0/1#3,4同理

(5)security-policy #编辑安全策略

(6)192.168.100.0 24

(7)192.168.200.0 24

(9)action permit #配置相关流量并确保流量正常放行

(10)permit#行为为放行

(11)ipsec proposal tran1#创建ipsec proposal

(12)202.1.3.1#用于标识 ike对等体

(13)3000#调用ACL适配流量

题目

试题一(共20分) 阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 某公司总部和两个分部之间部署IPSec VPN,实现分支机构和总部安全通信,网络拓扑如图1-1所示。根据业务要求,总 需要和各分部进行通信,而不允许访客访问业务网络。

【问题3】(每空1分) 总部和分部之间采用预共享密钥认证方式建立IKE安全提议,加密算法选择aes-256,伪随机数生成算法和完整性算法选择 hmac-sha2-256,秘钥交换协议交换组选择group14,请补充完成命令。

[FW_A] ike proposal 10

[FW_A-ike-proposal-10] authentication-method (11)

[FW_A-ike-proposal-10] prf (12)

[FW_A-ike-proposal-10] encryption-algorithm (13)

[FW_A-ike-proposal-10] dh (14)

[FW_A-ike-proposal-10] integrity-algorithm (15)

[FW_A-ike-proposal-10] quit

做题记录

(11)pre-share#认证方式选用预共享密钥

(12)hmac-sha2-256#设置伪随机生成数

(13)ase-256#选择加密算法

(14)group 14#选择交换组

(15)hmac-sha2-256#选择完整性算法

题目

总部和分部之间通过IPSec VPN互联之后,总部和分部的所有用户都通过总部网关FW_A进行NAT后上网。请完成以下配置。[FW A] nat-policy
IFW A-policy-nat] rule name policy nat1
[FW A-policy-nat-rule-policy nat1] source-zone trust
[FW A-policy-nat-rule-policy nat1]destination-zone untrust
[FW A-policy-nat-rule-policy nat1l source-address 172.16.10.0 24
[FW A-policy-nat-rule-policy nat1l destination-address(16)
[FW A-policy-nat-rule-policy nat1]destination-address (17)
[FW A-policy-nat-rule-policy nat1laction (18)
[FW A-policy-nat-rule-policy _nat1] quit
[FW A-policy-natl rule name policy nat2
[FW A-policy-nat-rule-policy nat2]source-zone trust
[FW A-policy-nat-rule-policy nat2] destination-zone untrust
[FW A-policy-nat-rule-policy nat2] source-address 172.16.10.0 24
[FW A-policy-nat-rule-policy nat2]source-address (19)
[FW A-policy-nat-rule-policy nat2]source-address 172.16.30.0 24
[FW A-policy-nat-rule-policy nat2]source-address 172.16.31.0 24
[FW A-policy-nat-rule-policy nat2]action source-nat (20)
[FW A-policy-nat-rule-policy nat2] quit
[FW A-policy-nat] quit

做题记录

(16)172.16.30.0 24

(17)172.16.31.0 24

(18)no-nat#配置流量穿越,防止i端口被转换导致两端无法通信

(19)172.16.20.0 23

(20)easy-ip

题目

问题3】(每空1分)
请给网络工程师给该企业配置IPSec VPN时采用IKE协商方式建立IPSec隧道正确步骤:(9)→(10)→(11)→(12)→(13)→(14)
A.配置|KE对等体,定义对等体间IKE协商时的属性。
B.在接口上应用安全策略组,使接口具有IPSec的保护功能。
C.配置IPSec安全提议,定义IPSec的保护方法。
D.配置接口的IP地址和到对端的静态路由,保证两端路由可达。
E.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法
F.配置ACL,以定义需要IPSec保护的数据流

做题记录

DFCAEB

http://www.lryc.cn/news/2379232.html

相关文章:

  • C++(23):容器类<vector>
  • Hugo 安装保姆级教程(搭建个人blog)
  • tomcat查看状态页及调优信息
  • 从坏道扫描到错误修复:HD Tune实战指南
  • 将嵌入映射到 Elasticsearch 字段类型:semantic_text、dense_vector、sparse_vector
  • 【LeetCode 热题100】17:电话号码的字母组合(详细解析)(Go语言版)
  • 解决uni-app开发中的“TypeError: Cannot read property ‘0‘ of undefined“问题
  • 翻译:20250518
  • 西门子1200/1500博图(TIA Portal)寻址方式详解
  • 《Python星球日记》 第78天:CV 基础与图像处理
  • 踩坑:uiautomatorviewer.bat 打不开
  • Atcoder Beginner Contest 406
  • 记录一次win11本地部署deepseek的过程
  • 嵌入式STM32学习——外部中断EXTI与NVIC的基础练习⭐
  • 进程状态并详解S和D状态
  • 数据获取_Python
  • <前端小白> 前端网页知识点总结
  • 历史数据分析——宁波海运
  • 小结:jvm 类加载过程
  • OpenCv高阶(八)——摄像头调用、摄像头OCR
  • Java开发经验——阿里巴巴编码规范实践解析3
  • MySQL——6、内置函数
  • MySQL如何查看某个表所占空间大小?(表空间大小查看方法)
  • 软件架构之-论软件系统架构评估以及应用
  • 低延迟与高性能的技术优势解析:SmartPlayer VS VLC Media Player
  • pytorch小记(十九):深入理解 PyTorch 的 `torch.randint()` 与 `.long()` 转换
  • 深入解析Spring Boot与微服务架构:从入门到实践
  • 【交互 / 差分约束】
  • 宝塔面板部署前后端项目SpringBoot+Vue2
  • 现代生活健康养生新视角