试题四(共15分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。
在防火墙上利用show命令查询当前配置信息如下:
PIX# show config
…
nameif eth0 outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40
…
fixup protocol ftp 21 (1)
fixup protocol http 80
…
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0
…
global(outside) 1 61.144.51.46
nat(inside) 1 0.0.0.0 0.0.0.0
…
route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 (2)
…
【问题1】(4分)
解析(1)、(2)处画线语句的含义。
答案:
(1)添加可监听的FTP服务端口21
(2)定义外部默认路由61.144.51.45,跳数为1
解析(1)、(2)处画线语句的含义。
答案:
(1)添加可监听的FTP服务端口21
(2)定义外部默认路由61.144.51.45,跳数为1
【问题2】(6分)
根据配置信息,在填充表4-1。
根据配置信息,在填充表4-1。
答案:
(3)192.168.0.1 (4)255.255.255.248
(5)eth2 (6)10.10.0.1
(3)192.168.0.1 (4)255.255.255.248
(5)eth2 (6)10.10.0.1
【问题3】(2分)
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是 (7) 。
答案:
(7)61.144.51.46
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是 (7) 。
答案:
(7)61.144.51.46
【问题4】(3分)
如果需要在DMZ域的服务器(IP地址为10.10.0.100)对Internet用户提供web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)# static(dmz, outside) (8) (9)
PIX(config)# conduit permit tcp host (10) eq www any
说明:
如果需要在DMZ域的服务器(IP地址为10.10.0.100)对Internet用户提供web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)# static(dmz, outside) (8) (9)
PIX(config)# conduit permit tcp host (10) eq www any
说明:
static命令的格式是:static(nameif,outside) ip-outside, ip-nameif
第(10)空要填写一个主机地址,这里填写的是DMZ内的那个主机的IP地址,而不是对外的那个地址。以免出现修改NAT配置后,开放的内网主机服务的命令也要跟随改动。
答案:
(8)61.144.51.43 (9)10.10.0.100 (10)10.10.0.100
(8)61.144.51.43 (9)10.10.0.100 (10)10.10.0.100
试题五(共15分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某单位网络拓扑结构如图5-1所示,要求配置IPSec ×××使10.10.20.1/24网段能够连通10.10.10.2/24网段,但10.10.30.1/24网段不能连通10.10.10.2/24网段。
某单位网络拓扑结构如图5-1所示,要求配置IPSec ×××使10.10.20.1/24网段能够连通10.10.10.2/24网段,但10.10.30.1/24网段不能连通10.10.10.2/24网段。
【问题1】(4分)
根据网络拓扑和要求,解释并完成路由器R1上的部分配置。
R1(config)# crypto isakmp enable (启用IKE)
R1(config)# crypto isakmp (1) 20 (配置IKE策略20)
R1(config-isakmp)# authentication pre-share (2)
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2 (配置预共享密钥为378)
R1(config)# access-list 101 permit ip (3) 0.0.0.255 (4) 0.0.0.255
(设置ACL)
……
说明:
根据网络拓扑和要求,解释并完成路由器R1上的部分配置。
R1(config)# crypto isakmp enable (启用IKE)
R1(config)# crypto isakmp (1) 20 (配置IKE策略20)
R1(config-isakmp)# authentication pre-share (2)
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2 (配置预共享密钥为378)
R1(config)# access-list 101 permit ip (3) 0.0.0.255 (4) 0.0.0.255
(设置ACL)
……
说明:
“access-list 101 permit ip (3) 0.0.0.255 (4) 0.0.0.255”的意思是“从本地站点(3)发出的和来自远点站点(4)的数据将得到保护。”
答案:
(1)policy
(2)验证方法为使用预共享密钥
(3)10.10.20.0
(4)10.10.10.0
(1)policy
(2)验证方法为使用预共享密钥
(3)10.10.20.0
(4)10.10.10.0
【问题2】(4分)
根据网络拓扑和要求,完成路由器R2上的静态路由配置。
R2(config)# ip route (5) 255.255.255.0 192.168.1.1
R2(config)# ip route 10.10.30.0 255.255.255.0 (6)
R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2
答案:
(5)10.10.20.0
(6)192.168.1.1
根据网络拓扑和要求,完成路由器R2上的静态路由配置。
R2(config)# ip route (5) 255.255.255.0 192.168.1.1
R2(config)# ip route 10.10.30.0 255.255.255.0 (6)
R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2
答案:
(5)10.10.20.0
(6)192.168.1.1
【问题3】(空(9)1分,其他2分,共7分)
根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。
……
R3(config)# crypto isakmp key (7) address (8)
R3(config)# crypto transform-set test*** ah-md5-hmac esp-des esp-md5-hmac (9)
R3(cfg-crypto-trans)# exit
R3(config)# crypto map test 20 ipsec-isakmp
R3(config-crypto-map)# set peer 192.168.1.1
R3(config-crypto-map)# set transform-set (10)
……
答案:
(7)378
(8)192.168.1.1
(9)设置IPSec变换集test***,AH鉴别采用ah-md5-hmac,ESP加密采用esp-des,ESP认证采用esp-md5-hmac。
(10)test***
根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。
……
R3(config)# crypto isakmp key (7) address (8)
R3(config)# crypto transform-set test*** ah-md5-hmac esp-des esp-md5-hmac (9)
R3(cfg-crypto-trans)# exit
R3(config)# crypto map test 20 ipsec-isakmp
R3(config-crypto-map)# set peer 192.168.1.1
R3(config-crypto-map)# set transform-set (10)
……
答案:
(7)378
(8)192.168.1.1
(9)设置IPSec变换集test***,AH鉴别采用ah-md5-hmac,ESP加密采用esp-des,ESP认证采用esp-md5-hmac。
(10)test***