試題四(共15分)
閱讀以下說明,回答問題1至問題5,將解答填入答題紙對應的解答欄內。
【說明】
某公司兩分支機構之間的網絡配置如圖4-1所示,爲保護通信安全,在路由器router-a和router-b上配置IPSec安全策略,對192.168.8.0/24網段和192.168.9.0/24網段之間數據進行加密處理。
圖4-1
【問題1】(3分)
爲建立兩個分支機構之間的通信,請完成下面的路由配置命令。
Router-a(config)#ip router 0.0.0.0 0.0.0.0 (1)
Router-b(config)#ip router 0.0.0.0 0.0.0.0 (2)
試題解析:
這個問題的答案目前有兩組說法,一組答案是填對端的IP地址,即(1)201.18.8.1,(2)203.25.25.1。另一組答案是填接入Internet的對應網關地址,即(1)203.25.25.254,(2)201.18.8.254。我原先選擇的是前一組。
網友aq1972提出了很有分量的質疑:“隧道是建立在已經通的路由上的。ipsec只是加密,tunnel是建立隧道。如果路由的前提都不通,如何建立隧道?”我認爲他的觀點是對的,是我原先看資料時受誤導了,而且自己並沒有做實驗加以驗證,應該是我錯了。因此,我將答案改爲第二組。
如果哪位網友能夠親自做實驗驗證一下,還請給我一個明確的答案。
答案:
(1)203.25.25.254,(2)201.18.8.254
【問題2】(3分)
下面的命令是在路由器router-a中配置IPSec隧道。請完成下面的隧道配置命令。
router-a(config)# crypto tunnel tun1
router-a(config-tunnel)# peer address (3) (設置隧道對端IP地址)
router-a(config-tunnel)# local address (4)
router-a(config-tunnel)# set auto-up
router-a(config-tunnel)# exit
答案:
(3)201.18.8.1,(4)203.25.25.1
【問題3】(3分)
router-a與router-b之間採用預共享密鑰“12345678”建立IPSec安全關聯,請完成下面配置命令
router-a(config)# crypt ike key 123456789 address (5)
router-b(config)# crypt ike key 123456789 address (6)
答案:
(5)201.18.8.1,(6)203.25.25.1
【問題4】(3分)
下面的命令在路由器router-a中配置了相應的IPSec策略,請說明該策略的含義。
Router-a(config)# crypto policy p1
Router-a(config-policy)# flow 192.168.8.0 255.255.255.0 192.168.9.0 255.255.255.0 ip tunnel tun1
答案:
建立IPSec策略p1,在網段192.168.8.0/24和網段192.168.9.0/24之間啓用隧道tun1。
【問題5】(3分)
下面的命令在路由器router-a中配置了相應的IPSec提議。
router-a(config)#crypto ipsec proposal secp1
router-a(config-ipsec-prop)# esp 3des sha1
router-a(config-ipsec-prop)#exit
該提議表明:IPsec採用ESP報文,加密算法採用 (7) ,認證算法採用 (8) 。
試題解析:
用【認證算法】的措辭再次讓人撓頭,這個問題中應該問的是【摘要算法】纔是。
答案:
(7)3DES,(8)SHA-1
試題五(共15分)
閱讀以下說明,回答問題1至問題3,將解答填入答題紙對應的解答欄內。
【說明】
某單位網絡的拓撲結構示意圖如圖5-1所示。該網絡採用RIP協議,要求在R2上使用訪問控制列表禁止網絡192.168.20.0/24上的主機訪問網絡192.168.10.0/24,在R3上使用訪問控制列表禁止網絡192.168.20.0/24上的主機訪問10.10.10.0/24上的Web服務,但允許訪問其他服務器。
圖5-1
【問題1】(8分)
下面是路由器R1的部分配置,請根據題目要求,完成下列配置。
……
R1(config)#interface Serial0
R1(config-if)#ip address (1) (2)
R1(config)#ip routing
R1(config)# (3)
R1(config-router)# (4)
答案:
(1)192.168.1.1
(2)255.255.255.0
(3)router rip
(4)network 192.168.1.0
【問題2】(3分)
R2#config t
R2(config)#access-list 50 deny 192.168.20.0 0.0.0255
R2(config)#access-list 50 permit any
R2(config)#interface (5)
R2(config-if)#ip access-group (6) (7)
答案:
(5)e0 或 fastethernet 0/0 或 ethernet 0/0
(6)50
(7)out
【問題3】(4分)
1.下面是路由器R3的部分配置,請根據題目要求,完成下列配置。
R3(config)#access-list 110 deny (8) 192.168.20.0 0.0.0.255 10.10.10.0 0.0.0.255 eq (9)
R3(config)#access-list 110 permit ip any any
答案:
(8)tcp
(9)www 或 80
2.上述兩條語句次序是否可以調整?簡單說明理由。
答案:
次序不可以調整。一旦調整,則所有的IP數據包都可以通過了,起不到【禁止網絡192.168.20.0/24上的主機訪問10.10.10.0/24上的Web服務】的作用。