当前位置: 首页 > news >正文

软考IPSEC案例分析

news 来源:原创 2025/5/19 11:12:12

要回忆IPSEC点击这里

题目

5/21

某全国连锁企业的总部和分布在全国各地的30家分公司之间经常需要传输各种内部数据,因此公司决定在总部和各分公司之间建立VPN技术。具体拓扑如下:

配置部分只显示了与总部与分公司1的配置。

根据拓扑完成问题1-问题2。

问题2

[问答题]

问题2(13分):请将相关配置补充完整。

总部防火墙firewall1的部分配置如下。

<FIREWALL1> system-view

[FIREWALL1] interface GigabitEthernet 1/0/2

[FIREWALL1-GigabitEthernet1/0/2] ip address 192.168.1.1 24

[FIREWALL1-GigabitEthernet1/0/2] quit

[FIREWALL1] interface GigabitEthernet 1/0/1

[FIREWALL1-GigabitEthernet1/0/1] ip address 202.1.3.1 24

[FIREWALL1-GigabitEthernet1/0/1] quit

# 配置接口加入相应的安全区域。

[FIREWALL1] (1)

[FIREWALL1-zone-trust] (2)

[FIREWALL1-zone-trust] quit

[FIREWALL1] (3)

[FIREWALL1-zone-untrust] (4)

[FIREWALL1-zone-untrust] quit

# 配置Trust域与Untrust域的安全策略,允许封装前和解封后的报文能通过

[FIREWALL1] (5)

[FIREWALL1-policy-security] rule name 1

[FIREWALL1-policy-security-rule-1] source-zone trust

[FIREWALL1-policy-security-rule-1] destination-zone untrust

[FIREWALL1-policy-security-rule-1] source-address (6)

[FIREWALL1-policy-security-rule-1] destination-address(7)

[FIREWALL1-policy-security-rule-1] (9)

[FIREWALL1-policy-security-rule-1] quit

…..

# 配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过FIREWALL1。

[FIREWALL1-policy-security] rule name 3

[FIREWALL1-policy-security-rule-3] source-zone local

[FIREWALL1-policy-security-rule-3] destination-zone untrust

[FIREWALL1-policy-security-rule-3] source-address 202.1.3.1 32

[FIREWALL1-policy-security-rule-3] destination-address 202.1.5.1 32

[FIREWALL1-policy-security-rule-3] action permit

[FIREWALL1-policy-security-rule-3] quit

[FIREWALL1-policy-security] rule name 4

[FIREWALL1-policy-security-rule-4] source-zone untrust

[FIREWALL1-policy-security-rule-4] destination-zone local

[FIREWALL1-policy-security-rule-4] source-address 202.1.5.1 32

[FIREWALL1-policy-security-rule-4] destination-address 202.1.3.1 32

[FIREWALL1-policy-security-rule-4] action permit

[FIREWALL1-policy-security-rule-4] quit

[FIREWALL1-policy-security] quit

# 配置访问控制列表,定义需要保护的数据流。

[FIREWALL1] acl 3000

[FIREWALL1-acl-adv-3000] rule (10)ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0

0.0.0.255

[FIREWALL1-acl-adv-3000] quit

# 配置名称为tran1的IPSec安全提议。

[FIREWALL1] (11)

[FIREWALL1-ipsec-proposal-tran1] encapsulation-mode tunnel

[FIREWALL1-ipsec-proposal-tran1] transform esp

[FIREWALL1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256

[FIREWALL1-ipsec-proposal-tran1] esp encryption-algorithm aes

[FIREWALL1-ipsec-proposal-tran1] quit

# 配置序号为10的IKE安全提议。

[FIREWALL1] ike proposal 10

[FIREWALL1-ike-proposal-10] authentication-method pre-share

[FIREWALL1-ike-proposal-10] authentication-algorithm sha2-256

[FIREWALL1-ike-proposal-10] quit

# 配置IKE用户信息表。

[FIREWALL1] ike user-table 1

[FIREWALL1-ike-user-table-1] user id-type ip (12) pre-shared-key Admin@gkys

[FIREWALL1-ike-user-table-1] quit

# 配置IKE Peer。

[FIREWALL1] ike peer b

[FIREWALL1-ike-peer-b] ike-proposal 10

[FIREWALL1-ike-peer-b] user-table 1

[FIREWALL1-ike-peer-b] quit

# 配置名称为map_temp序号为1的IPSec安全策略模板。

[FIREWALL1] ipsec policy-template map_temp 1

[FIREWALL1-ipsec-policy-template-map_temp-1] security acl (13)

[FIREWALL1-ipsec-policy-template-map_temp-1] proposal tran1

[FIREWALL1-ipsec-policy-template-map_temp-1] ike-peer b

[FIREWALL1-ipsec-policy-template-map_temp-1] reverse-route enable

[FIREWALL1-ipsec-policy-template-map_temp-1] quit

# 在IPSec安全策略map1中引用安全策略模板map_temp。

[FIREWALL1] ipsec policy map1 10 isakmp template map_temp

# 在接口GigabitEthernet 1/0/1上应用安全策略map1。

[FIREWALL1] interface GigabitEthernet 1/0/1

[FIREWALL1-GigabitEthernet1/0/1] ipsec policy map1

[FIREWALL1-GigabitEthernet1/0/1] quit

[Switch] acl number 2001

[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器

[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range tr1 //限制172.16.107.0/24网段的所有用户只能在tr1时间段定义的时间范围内访问FTP服务器

[Switch-acl-basic-2001] rule deny source any //限制其他用户不可以访问FTP服务器

[Switch-acl-basic-2001] quit

作答记录

(1)firewall  zone trust #进入信任区域划分接口

(2)add interface g1/0/2#结合图片得出接口

(3)firewall  zone untrust

(4)add interface g1/0/1#3,4同理

(5)security-policy #编辑安全策略

(6)192.168.100.0 24

(7)192.168.200.0 24

(9)action permit #配置相关流量并确保流量正常放行

(10)permit#行为为放行

(11)ipsec proposal tran1#创建ipsec proposal

(12)202.1.3.1#用于标识 ike对等体

(13)3000#调用ACL适配流量

题目

试题一(共20分) 阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 某公司总部和两个分部之间部署IPSec VPN,实现分支机构和总部安全通信,网络拓扑如图1-1所示。根据业务要求,总 需要和各分部进行通信,而不允许访客访问业务网络。

【问题3】(每空1分) 总部和分部之间采用预共享密钥认证方式建立IKE安全提议,加密算法选择aes-256,伪随机数生成算法和完整性算法选择 hmac-sha2-256,秘钥交换协议交换组选择group14,请补充完成命令。

[FW_A] ike proposal 10

[FW_A-ike-proposal-10] authentication-method (11)

[FW_A-ike-proposal-10] prf (12)

[FW_A-ike-proposal-10] encryption-algorithm (13)

[FW_A-ike-proposal-10] dh (14)

[FW_A-ike-proposal-10] integrity-algorithm (15)

[FW_A-ike-proposal-10] quit

做题记录

(11)pre-share#认证方式选用预共享密钥

(12)hmac-sha2-256#设置伪随机生成数

(13)ase-256#选择加密算法

(14)group 14#选择交换组

(15)hmac-sha2-256#选择完整性算法

题目

总部和分部之间通过IPSec VPN互联之后,总部和分部的所有用户都通过总部网关FW_A进行NAT后上网。请完成以下配置。[FW A] nat-policy
IFW A-policy-nat] rule name policy nat1
[FW A-policy-nat-rule-policy nat1] source-zone trust
[FW A-policy-nat-rule-policy nat1]destination-zone untrust
[FW A-policy-nat-rule-policy nat1l source-address 172.16.10.0 24
[FW A-policy-nat-rule-policy nat1l destination-address(16)
[FW A-policy-nat-rule-policy nat1]destination-address (17)
[FW A-policy-nat-rule-policy nat1laction (18)
[FW A-policy-nat-rule-policy _nat1] quit
[FW A-policy-natl rule name policy nat2
[FW A-policy-nat-rule-policy nat2]source-zone trust
[FW A-policy-nat-rule-policy nat2] destination-zone untrust
[FW A-policy-nat-rule-policy nat2] source-address 172.16.10.0 24
[FW A-policy-nat-rule-policy nat2]source-address (19)
[FW A-policy-nat-rule-policy nat2]source-address 172.16.30.0 24
[FW A-policy-nat-rule-policy nat2]source-address 172.16.31.0 24
[FW A-policy-nat-rule-policy nat2]action source-nat (20)
[FW A-policy-nat-rule-policy nat2] quit
[FW A-policy-nat] quit

做题记录

(16)172.16.30.0 24

(17)172.16.31.0 24

(18)no-nat#配置流量穿越,防止i端口被转换导致两端无法通信

(19)172.16.20.0 23

(20)easy-ip

题目

问题3】(每空1分)
请给网络工程师给该企业配置IPSec VPN时采用IKE协商方式建立IPSec隧道正确步骤:(9)→(10)→(11)→(12)→(13)→(14)
A.配置|KE对等体,定义对等体间IKE协商时的属性。
B.在接口上应用安全策略组,使接口具有IPSec的保护功能。
C.配置IPSec安全提议,定义IPSec的保护方法。
D.配置接口的IP地址和到对端的静态路由,保证两端路由可达。
E.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法
F.配置ACL,以定义需要IPSec保护的数据流

做题记录

DFCAEB

相关文章:

  • Linux进程信号(三)之信号产生2
  • 短剧小程序系统开发源码上架,短剧项目市场分析
  • 考研数学积分学
  • 渗透测试核心技术:内网渗透与横向移动
  • 类魔方 :多变组合,灵活复用
  • Estimation(估算):业务分析师的“不确定性对抗术”
  • Python黑魔法与底层原理揭秘:突破语言边界的深度探索
  • 【VMware】开启「共享文件夹」
  • 软件架构之-论软件系统架构评估以及应用
  • 批量下载AlphaFold结构
  • 2.1.2
  • LORA 微调 - LoRA 介绍与 LoRA 微调指南
  • vue3 elementplus tabs切换实现
  • 程序代码篇---python获取http界面上按钮或者数据输入
  • “二维前缀和”算法原理及模板
  • 亚马逊海卖助手有什么功能?海卖助手的主要功能与特点分析
  • mybatis中的resultMap的association及collectio的使用
  • Python训练营---Day29
  • 飞机飞行控制系统补偿模型辨识报告
  • 估分啦~全国青少年信息素养大赛部分赛项已考完~图形化/算法创意实践
  • 假冒政府机构账号卖假货?“假官号”为何屡禁不绝?媒体调查
  • 从《缶翁的世界》看吴昌硕等湖州籍书画家对海派的影响
  • 从《缶翁的世界》开始,看吴昌硕等湖州籍书画家对海派的影响
  • 海外市场,押注中国无人驾驶龙头
  • 英国警方再逮捕一名涉嫌参与首相住宅纵火案嫌疑人
  • 新城市志|GDP万亿城市,一季度如何挑大梁