試題一：閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。
【說明】
某公司總部和分支機構的網絡配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略，實現分支機構和總部的安全通信。

【問題1】（4分）
圖4-2中（a）、（b）、（c）、（d）為不同類型IPSec數據包的示意圖，其中  （1）  和  （2）  工作在隧道模式；  （3）  和  （4）  支持報文加密。

【問題2】（4分）
下面的命令在路由器R1中建立IKE（Internet密鑰交換協(xié)議）策略，請補充完成命令或說明命令的含義。
R1(config)# crypto isakmp policy 110    進入ISAKMP配置模式
R1(config-isakmp)# encryption des            （5）
R1(config-isakmp)#    （6）             采用MD5散列算法
R1(config-isakmp)# authentication pre-share     （7）
R1(config-isakmp)# group 1
R1(config-isakmp)# lifetime   （8）      安全關聯生存期為1天
【問題3】（4分）
R2與R1之間采用預共享密鑰“12345678”建立IPSec安全關聯，請完成下面配置命令。
R1(config)# crypt isakmp key 12345678 address  （9）
R2(config)# crypt isakmp key 12345678 address  （10）
【問題4】（3分）
完成以下ACL配置，實現總部主機10.0.1.3和分支機構主機10.0.2.3的通信。
R1(config)# access-list 110 permit ip host   （11）   host   （12）
R2(config)# access-list 110 permit ip host   （13）   host 10.0.1.3

查看答案

試題二：閱讀以下說明，回答問題1至問題2，將解答填入答題紙對應的解答欄內。
【說明】
某企業(yè)內部局域網拓撲如圖2-1所示，局域網內分為辦公區(qū)和服務器區(qū)。

圖2-1中，辦公區(qū)域的業(yè)務網段為10.1.1.0/24，服務器區(qū)網段為10.2.1.0/24服務網段的網關均在防火墻上，網關分別對應為10.1.1.254。10.2.1.254；防火墻作為DHCP服務器，為辦公區(qū)終端自動下發(fā)IP地址，并通過NAT實現用戶訪問互聯網。防火墻外網服務部IP地址為100.1.1.2/28，辦公區(qū)用戶出口IP地址池為100.1.1.10-100.1.1.15。
【問題1】(6分) 防火墻常用工作模式有透明模式、路由模式、混合模式，圖2-1 中的出口防火墻工作于(1)模式：防火墻為辦公區(qū)用戶動態(tài)分配IP地址，需在防火墻完成開啟(2)
功能：Server2為WEB服務器，服務端口為tcp 443，外網用戶通過https://100.1.1.9:8443訪問，在防火墻上需要配置(3)
(3)備選答案：
A.nat server policy _web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2.443 unr-route
B.nat server policy _web protocol tcp global 10.2.1.2.8443 inside 100.1.1.9 443 unr-route
C.nat server policy _web protocol tcp global 100.1.1.9 443 inside 10.2.1.2.8443 unr-route
D.nat server policy _web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route
【問題2】(14分)
為了使局城網中1.1.0/24網段的用戶可以正常訪問intemet，需要在防火墻上完成NAT、安全策略等配置，請根據需求完善以下配置。
#將對應接口加入trust或者untrust區(qū)域。
[FW] firewall zone trust
[FW-zone-trust] add interface(4)
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface_(5)
[FW-zone-untrust]quit
#配置安全策略，允許局域網指定網段與Intemet進行報文交互。
[FW] security-poliey
[FW-policy security]rule name policyl
#將局域網作為源信任區(qū)域，將互聯網作為非信任區(qū)域
[FW-policy-security-rule-policyl]souree-zone(6)
[FW-policy-seeurity-rule-policyl]destination-zone untrust
#指定局域網辦公區(qū)域的用戶訪問互聯網
[FW-policy-security-rule-policyl]source-address(7)
#指定安全策略為允許
[FW-policy-security-rule-policyl] action(8)
[FWpoliey-security-rule-policyl] quit
[FW-policy-seeurity] quit
置NAT地址池，配置時開啟允許端口地址轉換，實現公網地址復用。
[FW] nat address-group address groupl
[FW-address-group-addressgroupl] mode pat
[FWaddress-group-addressgroupl]section 0(9)
配置源NAT策略，實現局城網指定網段訪問Intemet時自動進行源地址轉換。
[FW] nat poliey
[FW-policy nat]rule name poliy_nat 1
#指定具體哪線區(qū)域為信任和非信任區(qū)域
[FW-policy-nat-rule policy_nat 1] source-zone trust
[PW-policy-nat-rule policy_nat 1] destination zone untrust
#指定局域網源IP地址
[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
[FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
[FW-policy-nat-rule-policy_natl 1]quit
[PW-policy-nat] quit

查看答案