列表

详情

(经典试题,请认真学习)
试题一(共 20 分)
阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。
【说明】
某企业组网方案如图1-1所示,网络接口规划如表1-1所示。公司内部员工和外部访客均可通过无线网络访问企业网络,内部员工无线网络的SSID为 Employee,访客无线网络的SSID为Visitor。
图1-1
表1-1

【问题1】(6分)
防火墙上配置NAT功能,用于公私网地址转换。同时配置安全策略,将内网终端用户所在区域划分为Trust区域,外网划分为Untrust区域,保护企业内网免受外部网络攻击。
补充防火墙数据规划表1-2内容中的空缺项。
表1-2

注:Local表示防火墙本地区域;srcip表示源ip。
【问题2】(4分)
在点到点的环境下,配置IPSec VPN隧道需要明确(  )和(  )。
【问题3】(6分)
在Switch1上配置ACL禁止访客访问内部网络,将Switch1数据规划表1-3内容中的空缺项补充完整。
表1-3

【问题4】(4分)
AP控制器上部署WLAN业务,采用直接转发,AP跨三层上线。认证方式:无线用户通过预共享密钥方式接入。
在Switch1上GE0/0/2连接AP控制器,该接口类型配置为(  )模式,所在VLAN是(  )。

参考答案: 【问题1】  
1、 200.1.1.1/32  
2、200.1.1.1/32
3、any或0.0.0.0/0
【问题2】  
4-5 隧道的源目ip地址
【问题3】  
6、104
7、192.168.104.0/0.0.0.255
8、丢弃
【问题4】  
9、access或untagged
10、VLAN 10

详细解析:

【问题1】
       本题中要根据题中的说明给出相应的源地址/区域或者目的地址/区域。当给出企业对端的地址后,通过表1-1可以查到防火墙的地址,该地址充当与分值企业互联地址。
       防火墙的安全策略untrust_local中源安全区域和目标安全区域是对应关系。
       在防火墙上做NAT,在转换前目的是任意的,服务也是任意的。

【问题2】
        IPsec为IP数据包提供了高质量的、可互操作的、基于密码学的安全性。特定的通信双方在IP层通过加密与数据源认证等方式,来保证数据报文在网络上传输时的私有性、完整性、真实性和防重放。
        在防火墙上配置点到点的IPsec VPN隧道配置,需要新建IPsec策略,选择点到点的场景,在基本配置中需要配置对端地址,使路由可达,进而需要配置认证方式,包括预共享密钥或RSA签名等参数。

【问题3】
         在switch1上配置ACL禁止访客访问内部网络,目的IP网段是内部网络网段,那么对于访客网段ACL策略动作是丢弃。从图1-1可知,访客网段vlan是104,网络地址段是192.168.104.0

【问题4】
          从图1-1上可知IP控制器所属VLAN是10,在IP控制器上连接switch1的接口以untagged(即access)方式加入vlan10

上一题

© 2024 educity.cn