列表

详情

如下图所示,某公司甲、乙两地通过建立IPSec VPN隧道,实现主机A和主机B的互相访问,VPN隧道协商成功后,甲乙两地访问互联网均正常,但从主机A到主机B ping不通,原因可能是(  )、(  )。

第 1 问

A. 甲乙两地存在网络链路故障

B. 甲乙两地防火墙未配置虚拟路由或者虚拟路由配置错误

C. 甲乙两地防火墙策略路由配置错误

D. 甲乙两地防火墙互联网接口配置错误

第 2 问

A. 甲乙两地防火墙未配置NAT转换

B. 甲乙两地防火墙未配置合理的访问控制策略

C. 甲乙两地防火墙的VPN配置中未使用野蛮模式

D. 甲乙两地防火墙NAT转换中未排除主机A/B的IP地址

参考答案: B D

详细解析:

当IPSEC和NAPT并存于一个乙地防火墙上,IPSEC处理是分部和总部之间的流量,NAPT处理的是分部访问Internet的流量。总部防火墙同时配置了IPSEC和NAT SERVER,IPSEC处理总部和分部之间的流量,NAT SERVER处理的是因特网访问总舵服务器的流量。
按理说两台防火墙IPSEC流量和NAT流量应该是互不相干,其实在本例中IPSEC和NAT的处理是有重叠的,在防火墙转发流程中,NAT在上游环节,IPSEC在下游环节。所以IPSEC的流量难免会受到NAT处理流程的干扰,原本应该进入IPSEC隧道的流量一旦命中NAT策略就会进行NAT转换,转换后的流量不会再匹配IPSEC中的ACL了,也就不会进行IPSEC处理。所以处理不好IPSEC和NAT的关系就会出现莫名其妙的问题。例如分部访问总部不成功,总部访问分部不成功。
解决方案:需要在NAT策略中配置一条针对IPSEC流量不进行地址转换的策略,该策略的优先级高于其他的策略。
B选项的虚拟路由是指对于B的访问需要指向VPN隧道。


上一题

© 2024 educity.cn