試題一：閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
某公司總部和分支機構(gòu)的網(wǎng)絡(luò)配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略，實現(xiàn)分支機構(gòu)和總部的安全通信。

【問題1】（4分）
圖4-2中（a）、（b）、（c）、（d）為不同類型IPSec數(shù)據(jù)包的示意圖，其中  （1）  和  （2）  工作在隧道模式；  （3）  和  （4）  支持報文加密。

【問題2】（4分）
下面的命令在路由器R1中建立IKE（Internet密鑰交換協(xié)議）策略，請補充完成命令或說明命令的含義。
R1(config)# crypto isakmp policy 110    進入ISAKMP配置模式
R1(config-isakmp)# encryption des            （5）
R1(config-isakmp)#    （6）             采用MD5散列算法
R1(config-isakmp)# authentication pre-share     （7）
R1(config-isakmp)# group 1
R1(config-isakmp)# lifetime   （8）      安全關(guān)聯(lián)生存期為1天
【問題3】（4分）
R2與R1之間采用預(yù)共享密鑰“12345678”建立IPSec安全關(guān)聯(lián)，請完成下面配置命令。
R1(config)# crypt isakmp key 12345678 address  （9）
R2(config)# crypt isakmp key 12345678 address  （10）
【問題4】（3分）
完成以下ACL配置，實現(xiàn)總部主機10.0.1.3和分支機構(gòu)主機10.0.2.3的通信。
R1(config)# access-list 110 permit ip host   （11）   host   （12）
R2(config)# access-list 110 permit ip host   （13）   host 10.0.1.3

查看答案

試題二：閱讀以下說明，回答問題1至問題2，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
某企業(yè)內(nèi)部局域網(wǎng)拓?fù)淙鐖D2-1所示，局域網(wǎng)內(nèi)分為辦公區(qū)和服務(wù)器區(qū)。

圖2-1中，辦公區(qū)域的業(yè)務(wù)網(wǎng)段為10.1.1.0/24，服務(wù)器區(qū)網(wǎng)段為10.2.1.0/24服務(wù)網(wǎng)段的網(wǎng)關(guān)均在防火墻上，網(wǎng)關(guān)分別對應(yīng)為10.1.1.254。10.2.1.254；防火墻作為DHCP服務(wù)器，為辦公區(qū)終端自動下發(fā)IP地址，并通過NAT實現(xiàn)用戶訪問互聯(lián)網(wǎng)。防火墻外網(wǎng)服務(wù)部IP地址為100.1.1.2/28，辦公區(qū)用戶出口IP地址池為100.1.1.10-100.1.1.15。
【問題1】(6分) 防火墻常用工作模式有透明模式、路由模式、混合模式，圖2-1 中的出口防火墻工作于(1)模式：防火墻為辦公區(qū)用戶動態(tài)分配IP地址，需在防火墻完成開啟(2)
功能：Server2為WEB服務(wù)器，服務(wù)端口為tcp 443，外網(wǎng)用戶通過https://100.1.1.9:8443訪問，在防火墻上需要配置(3)
(3)備選答案：
A.nat server policy _web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2.443 unr-route
B.nat server policy _web protocol tcp global 10.2.1.2.8443 inside 100.1.1.9 443 unr-route
C.nat server policy _web protocol tcp global 100.1.1.9 443 inside 10.2.1.2.8443 unr-route
D.nat server policy _web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route
【問題2】(14分)
為了使局城網(wǎng)中1.1.0/24網(wǎng)段的用戶可以正常訪問intemet，需要在防火墻上完成NAT、安全策略等配置，請根據(jù)需求完善以下配置。
#將對應(yīng)接口加入trust或者untrust區(qū)域。
[FW] firewall zone trust
[FW-zone-trust] add interface(4)
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface_(5)
[FW-zone-untrust]quit
#配置安全策略，允許局域網(wǎng)指定網(wǎng)段與Intemet進行報文交互。
[FW] security-poliey
[FW-policy security]rule name policyl
#將局域網(wǎng)作為源信任區(qū)域，將互聯(lián)網(wǎng)作為非信任區(qū)域
[FW-policy-security-rule-policyl]souree-zone(6)
[FW-policy-seeurity-rule-policyl]destination-zone untrust
#指定局域網(wǎng)辦公區(qū)域的用戶訪問互聯(lián)網(wǎng)
[FW-policy-security-rule-policyl]source-address(7)
#指定安全策略為允許
[FW-policy-security-rule-policyl] action(8)
[FWpoliey-security-rule-policyl] quit
[FW-policy-seeurity] quit
置NAT地址池，配置時開啟允許端口地址轉(zhuǎn)換，實現(xiàn)公網(wǎng)地址復(fù)用。
[FW] nat address-group address groupl
[FW-address-group-addressgroupl] mode pat
[FWaddress-group-addressgroupl]section 0(9)
配置源NAT策略，實現(xiàn)局城網(wǎng)指定網(wǎng)段訪問Intemet時自動進行源地址轉(zhuǎn)換。
[FW] nat poliey
[FW-policy nat]rule name poliy_nat 1
#指定具體哪線區(qū)域為信任和非信任區(qū)域
[FW-policy-nat-rule policy_nat 1] source-zone trust
[PW-policy-nat-rule policy_nat 1] destination zone untrust
#指定局域網(wǎng)源IP地址
[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
[FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
[FW-policy-nat-rule-policy_natl 1]quit
[PW-policy-nat] quit

查看答案