阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某企业组网方案如图1-1所示,网络接口规划如表1-1所示。公司内部员工和外部访客均可通过无线网络访问企业网络,内部员工无线网络的SSID为Employee,访客无线网络的SSID为Visitor。 【问题1】(6分)防火墙上配置NAT功能,用于公私网地址转换。同时配置安全策略,将内网终端用户所在区域划分为Trust区域,外网划分为Untrust区域,保护企业内网免受外部网络攻击。补充防火墙数据规划表1-2内容中的空缺项。 注意:local表示防火墙本地区域;SRCIP表示源IP【问题2】(4分)在点到点的环境下,配置IPSecVPN隧道需要明确()和()【问题3】(6分)在Switch1上配置ACL禁止访客访问内部网络,将Switch1数据规划表1-3内容中的空缺项补充完整。 【问题4】(4分)AP控制器上部署WLAN业务,采用直接转发,AP跨三层上线。认证方式:无线用户通过预共享密钥方式接入。在Switch1上GEO/O/2连接AP控制器,该接口类型配置为()模式,所在VLAN是()
答案:【问题1】(1)200.1.1.1/32(2)200.1.1.1/32(3)0.0.0.0/0或者any【问题2】(4)隧道接口IP地址(5)密钥等相关参数【问题3】(6)Vlan104(7)192.168.104.0/0.0.0.255(8)deny或者禁止【问题4】(9)Access(10)Vlan10 【解析】 【问题1】(6分)解析:Local表示的防火墙的本地区域,因此其访问其他区域时,IP数据包源地址会使用出口的IP地址。NAT策略应该是对Internet上的其他所有主机作为目标地址。这里只是规划表,因此表示成相关意思即可。【问题2】(4分)解析:一个隧道最基础的两个信息就是建立隧道的两个设备的接口IP地址信息。以确定隧道。另一个内容就是隧道中需要用到各种安全相关的参数,如加密算法,密钥,身份认证信息等等。【问题3】(6分)实际上这是一道基础概念题,考的ACL的基础概念。通过一个规划表的形式展示出来而已。明显的访客Vlan在图中可以找到,是Vlan104.对应的IP地址范围从表中给出的Vlan104的vlanif接口地址192.168.104.1/24就可以计算出来,是192.168.104.0/24。题目明确的支持是要“禁止访客访问内部网络”,因此这个动作就只能是deny,由于这里是一个规划,因此写上“禁止”之类的也是可以的。【问题4】(4分)解析:AP控制器一般设置在核心交换机上,既可以trunk模式,配合有多个vlan段的无线接入方式,也可以用access模式,由其他三层设备路由。在此处相当于一台服务器,设置的地址是192.168.10.1/24,对应的switch1上设置的IP地址是192.168.10.254/24,并且switch1的GE0/0/2对应的vlan是VLAN10、因此必须使用access模式。