列表

详情

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
图3-1为某大学的校园网络拓扑,其中出口路由器R4连接了三个ISP网络,分别是电信网络(网关地址218.63.0.1/28)、联通网络(网关地址221.137.0.1/28)以及教育网(网关地址210.25.0.1/28)。路由器R1、R2、R3、 R4在内网一侧运行RIPv2.0协议实现动态路由的生成。

PC机的地址信息如表3-1所示,路由器部分接口地址信息如表3-2所示。



【问题1】(2分)
如图3-1所示,校本部与分校之间搭建了IPSec VPN。IPSee的功能可以划分为认证头AH、封装安全负荷ESP以及密钥交换IKE。其中用于数据完整性认证和数据源认证的是(1)。
【问题2】(2分)
为R4添加默认路由,实现校园网络接入Internet 的默认出口为电信网络,请将下列命令补充完整。
[R4]ip route-static(2)
【问题3】(5分)
在路由器RI上配置RIP协议,请将下列命令补充完整:
[R1](3)
[R1-rip-1]network(4)
[R1-ip-1]version2
[R1-rip-1]undo summary
各路由器上均完成了RIP协议的配置,在路由器R1上执行display ip routing-table,由RIP生成的路由信息如下所示:

根据以上路由信息可知。下列RIP路由是由(5)路由器通告的:

请问PCI此时是否可以访问电信网络?为什么?
答:(6)。
【问题4】(11分)
图3-1中,要求PC1访问Internet时导向联通网络,禁止PC3在工作日8:00至18:00访问电信网络。
请在下列配置步骤中补全相关命令:
第1步:在路由器R4上创建所需ACL
创建用于PC1策略的ACL:
[R4]acl 2000
[R4-acl-basic -2000] rule 1 permit source(7)
[R4-acl-basic- 2000] quit
创建用于PC3策略的ACL:
[R4] time-range satime(8)working-day
[R4]acl number 3001
[R4-acl-adv-3001] rule deny source(9)destination 218.63.0.0 240.255.255.255 time-range satime
第2步:执行如下命令的作用是(10)。
[R4]trafficlassifer 1
[R4-classifier-1]if-match acl 2000
[R4-classifier-1]quit
[R4]traffic classifier3
[R4-classifier-3]if-match acl 3001
[R4-classifier-3]quit
第3步:在路由器R4上创建流行为并配置重定向
[R4]traffic behavior 1
[R4-bchavior-1]redirect(11)221.137.0.1
[R4-behavior-1]quit
[R4]traffic behavior 3
[R4-behavior-3](12)
[R4-behavior-3]quit
第4步:创建流策略,并在接口上应用(仅列出了R4上GigabitEthernet 0/0/0接口的配置)
[R4]traffic policy 1
[R4-trafficpolicy-1]classifier 1(13)
[R4-trafficpolicy-1]classifier 3(14)
[R4-trafficpolicy-1]quit
[R4]interGigabitEthernet 0/0/0
[R4-GigabitEthernet0/0/0]traffic-policy 1(15)
[R4-GigabitEthernet0/0/0]quit

参考答案:

【问题1】
(1)认证头AH,仅回答认证头或仅回答AH都得分。
【问题2】 
(2)0.0.0.0  0.0.0.0  218.63.0.1
【问题3】 
(3)rip 1或rip (4)10.0.0.0  (5)R3   (6)不能。因为R1中的路由表中没有能够到达任意一个ISP的路由或者R4未将其关于三个ISP的静态路由导入RIP。
【问题4】 
(7)10.10.0.2 255.255.255.255 或10.0.0.2 0.0.0.0//官方解析是 10.10.0.2 255.255.255.255,这里可以写反掩码。正掩码也没错,设备会自动纠正。
(8)8:00 to 18:00
(9)10.3.0.2 255.255.255.255 或10.3.0.2 0.0.0.0 //官方解析是  10.3.0.2 255.255.255.255 ,这里可以写反掩码。正掩码也没错,设备会自动纠正。
(10)在路由器R4上创建流分类,匹配相关ACL
(11)ip-nexthop
(12)deny
(13)behavior 1 
(14)behavior 3
(15)inbound

详细解析:

【问题1】
本问题考查IPSec基础知识。
IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPSec工作在IP层,为IP层及其上层协议提供保护。IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。
AH(认证头)为IP报文提供数据完整性验证和数据源身份认证,使用的是HMAC算法。
ESP(封装安全载荷)通过加密载荷实现机密性保护。
IKE(Internet 密钥交换)利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。
【问题2】
本问题考查静态路由、默认路由的配置命令。
静态路由的配置要点是正确确定目标网络和下一跳地址。本题需要配置缺省路由,而题目要求默认出口为电信网络。根据题干描述,电信网络网关地址为218.63.0.1/28。 因此,配置命令如下:

【问题3】
本问题考查RIP路由协议的配置命令以及通过RIP路由表判断网络状态的能力。
第(3)空和第(4)空直接考查命令。启动或开启RIP协议的命令即为rip;题干要求配置RIP 2.0,但执行version 2命令之前先执行了network命令,此时通告网络只需要包含R1的直连路由即可。根据表3-2,第(4)空的答案应为:10.0.0.0。
通过R1的RIP路由信息表,结合题目给出的拓扑图可得出第(5)空的答案为R3。
对于第(6)空,进一步判断得知R1并未包含通往电信网络的路由,因此PC1不能访问电信网络。此空考查考生对RIP协议配置的熟悉程度。此时路由器R4并未将本地直连路由(到达任意一个ISP的路由)导入RIP并通告,因此不可能有通往电信网络的路由。
【问题4】
本问题考查策略路由的配置过程和命令。
策略路由配置的一般过程和步骤是:
1.配置各设备基本参数;
2.创建ACL用于匹配策略要求的网段;
3.创建流分类,匹配ACL命中的流;
4.创建流行为,配置重定向;
5.创建流策略,在接口,上应用流策略。
本题有两个策略要求,要求PC1访问Internet时导向联通网络,禁止PC3在工作日8:00至18:00访问电信网络。
第(7)空题干明确指出创建用于PC1策略的ACL,因此提供PC1的IP地址即可,10.10.0.2 255.255.255.255;
第(8)空题干明确指出时间段为8:00至18:00,因此按要求填写:8:00 to 18:00即可;
第(9)空题干明确指出创建用于PC3策略的ACL,因此提供PC3的IP地址即可,10.3.0.2 255.255.255.255;
第(10)空即为:在路由器R4上创建流分类,匹配相关ACL;
第(11)空为标准命令,填写ip-nexthop用于指示重定向下一条地址;
第(12)空,流行为behavior 3用于识别匹配PC3的流,因此应该拒绝通过,填写deny即可;
创建流策略后,clasifier 1匹配behavior 1(第(13)空);clasifier 3匹配behavior3(第(14)空);
在R4的GigabitEthernet0/0/0接口上应用流策略trffic-policy 1,显然应该为入方向,此第(15)空填写inbound。

上一题

© 2024 educity.cn