试题四(共15分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。
图4-1
在防火墙上利用show命令查询当前配置信息如下:
PIX# show config
…
nameif eth0 outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40
…
fixup protocol ftp 21
fixup protocol http 80
…
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0
…
global(outside) 1 61.144.51.46
nat(inside) 1 0.0.0.0 0.0.0.0
…
route outside 0.0.0.0 0.0.0.0 61.144.51.45 1
…
【问题1】(4分)
解析(1)、(2)处画线语句的含义。
标准答案:
(1)启用ftp服务
(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1
【问题2】(6分)
根据配置信息,在填充表4-1。
表4-1
标准答案:
(3)192.168.0.1
(5)eth2
【问题3】(2分)
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是
标准答案:
(7)61.144.51.46
【问题4】(3分)
如果需要在DMZ域的服务器(IP地址为10.10.0.100)对Internet用户提供web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)# static(dmz, outside)
PIX(config)# conduit permit tcp host
说明:
static命令的格式是:static(nameif,outside) ip-outside, ip-nameif
第(10)空要填写一个主机地址,这里填写的是对外公开的那个IP地址。
标准答案:
(8)61.144.51.43
试题五(共15分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某单位网络拓扑结构如图5-1所示,要求配置IPSec ×××使10.10.20.1/24网段能够连通10.10.10.2/24网段,但10.10.30.1/24网段不能连通10.10.10.2/24网段。
图5-1
【问题1】(4分)
根据网络拓扑和要求,解释并完成路由器R1上的部分配置。
R1(config)# crypto isakmp enable
R1(config)# crypto isakmp
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2
R1(config)# access-list 101 permit ip
……
说明:
“access-list 101 permit ip
标准答案:
(1)policy
(2)在IKE协商过程中使用预共享密钥认证方式
(3)10.10.20.0
(4)10.10.10.0
扩展答案:
(2)验证方法为使用预共享密钥
【问题2】(4分)
根据网络拓扑和要求,完成路由器R2上的静态路由配置。
R2(config)# ip route
R2(config)# ip route 10.10.30.0 255.255.255.0
R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2
标准答案:
(5)10.10.20.0
(6)192.168.1.1
【问题3】(空(9)1分,其他2分,共7分)
根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。
……
R3(config)# crypto isakmp key
R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac
R3(cfg-crypto-trans)# exit
R3(config)# crypto map test 20 ipsec-isakmp
R3(config-crypto-map)# set peer 192.168.1.1
R3(config-crypto-map)# set transform-set
……
标准答案:
(7)378
(8)192.168.1.1
(9)设置名为testvpn的×××,采用MD5认证、DES进行数据加密
(10)testvpn
扩展答案:
(9)设置IPSec变换集testvpn,AH鉴别采用ah-md5-hmac,ESP加密采用esp-des,ESP认证采用esp-md5-hmac。