《【网络工程师】下午试题—路由器+交换机等配置技术》由会员分享,可在线阅读,更多相关《【网络工程师】下午试题—路由器+交换机等配置技术(90页珍藏版)》请在金锄头文库上搜索。
1、综合练习习一、阅阅读说明明,回答答问题11、问题题2、问问题3,将将解答填填入答题题纸的对对应栏内内。 说说明某某单位要要与其下下所属四四个县局局单位实实现连网网,具体体设计如如下:11、设计计要求(11、)县县局B终终端用户户包括:20个个普通用用户,县县局C终终端用包包括:440个普普通用户户,县局局D终端端用户包包括:220个普普通用户户,县局局E终端端用户包包括:118个普普通用户户,市局局A终端端用户包包括900个普通通用。(2、)每每个县局局都有44个特殊殊用户,市市局有110个特特殊用户户。(3、)服服务器提提供Weeb、DNSS、E-mmaill服务。(所所有服务务器都其其中在
2、市市局网络络中心)(4、)支支持远程程培训,可可以接入入互联网网,具有有广域网网访问的的安全机机制和网网络管理理功能。(5、)各各县局与与市局之之间的距距离都大大于1000公里里。(6、)每每个县局局与市局局都分布布一个网网段(县县局B:10.2444.900.0,县局CC:100.2444.991.00,县局局D:110.2244.92.0,县县局E:10.2444.933.0市市局A:10.2444.800.0)(7、)县局与与市局通通过光纤纤连接。 说说明:所所谓普通通用户就就是只能能用于生生产(只只能县与与县,县县与市局局连网,不不能连iinteerneet),不能上上intternn
3、et网网,而特特殊用户户既可以以生产也也可上iinteerneet网。2、可选选设备:设备名称称数量特性交换机sswittch116台具有两个个1000BasseTX端端口和224个110BaaseTX端端口交换机sswittch222台具有两个个1000BasseTX端端口和448个110BaaseTX端端口路由器RRoutter111台提供了对对内的110/1100MM局域多多接口,对对外的1128KK的ISSDN或或专线连连接,同同时具有有防火墙墙功能。路由器RRoutter224台提供了对对内的110/1100MM局域网网接口,同同/异步步串口模模块或IISDNN模块问题1、请请为该单
4、单位设计计网络方方案(画画出其网网络拓扑扑结构图图)问题2、怎怎么实现现普通用用户只能能用作生生产用,而而特殊用用户既可可以生产产用,也也可以上上网?问题3、如如果该单单位用于于生产的的数据很很重要,其其安全性性要求很很高,而而对外的的intternnet与与其连在在一起对对其安全全造成很很大威胁胁,在允允许增加加可选设设备的条条件下,你你怎样处处理?为为什么那那样处理理?【参考答答案】1、2、我们们所选用用的为AA(市局局)所选选用的路路由器为为Rouuterr1(提提供了对对内的110/1100MM局域多多接口,对对外的1128KK的ISSDN或或专线连连接,同同时具有有防火墙墙功能)。我
5、们们利用该该路由器器所具有有的防火火墙功能能将内网网和外网网隔离开开来,将将需要上上网的iip地址址用访问问列表加加以控制制。3、可以以利用网网络技术术“非军军事区结结构模式式”(DDMZ)。在重要的数据服务器之前再增加一道防火墙。在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑
6、客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。综合练习习二、阅读以下下说明,回回答问题题1、问问题2。 说说明: VVPN是是通过公公用网络络intternnet将将分布在在不同地地点的终终端联接接在成的的专用网网络。目目前大多多采用IIPSeec实现现IP网网络上端端点间的的认证和和加密服服务。(见见下图 一)VPN的的基本配配置公司总部部网络子子网为 1922.1688.1.0/224路由器为为1000.10.15.1公司分部部服务器器为 1192.1688.10.0/224路由器为为
7、2000.200.255.1执行下列列步骤:1 确定一个个预先共共享的密密钥(保保密密码码)(保保密密码码假设为为 cccideedu)2 为SA协协商过程程配置IIKE。3 配置IPPSeccShellby(connfigg)#ccryppto isaakmpp pooliccy1 /ppoliicy11表示策策略1,假假如想多多配几个个VPNN,可以以写成ppoliicy22、pollicyy3-Shellby(connfigg-issakmmp)#grooup11 /使用用grooup11长度的的密钥,group命令有两个参数值:1和2。参数1表表示密钥钥使用7768位位密钥,参参数值2
8、2表示密密钥使用用10224位密密钥。Shellby(connfigg-issakmm)#aauthhentticaatioon ppre-shaare_ _(11)_Shellby(connfigg-issakmm)#iifettimee 36600 /对生生成新SSA的周周期进行行调整。这这个值以以秒为单单位,默默认值为为864400,也也就是一一天。值值得注意意的是两两端的路路由器都都要设置置相同的的SA周周期,否否则VPPN在正正常初始始化之后后,将会会在较短短的一个个SA周周期到达达中断。Shellby(connfigg)#ccryppto isaakmpp keey cccidde
9、duu adddreess 2000.200.255.1 /返回回到全局局设置模模式确定定要使用用的预先先共享密密钥和指指归VPPN另一一端路由由器IPP地址,即即目的路路由器IIP地址址。相应应地在另另一端路路由器配配置也和和以上命命令类似似,只不不过把IIP地址址改成 1000.100.155.1。配置IPPSeccShellby(connfigg)#aacceess-lisst 1130 perrmitt ipp 1992.1168.1.00 0.0.00.2555 1172.16.10.0 00.0.0.2255 _(2)_Shellby(connfigg)#ccryppto ipss
10、ec traansfformm-seet vvpn11 ahh-mdd5-hhmacc essp-ddes espp-mdd5-hhmacc _(33)_Shellby(connfigg)#ccryppto mapp shhorttsecc 600 ippsecc-issakmmp /为为定义生生成新保保密密钥钥的周期期,如果果攻击者者破解了了保密密密钥,他他就能够够解使用用同一个个密钥的的所有通通信。基基于这个个原因,我我们要设设置一个个较短的的密钥更更新周期期。比如如,每分分钟生成成一个新新密钥。这这个命令令在VPPN两端端的路由由器上必必须匹配配。参数数shoortssec是是我们给给这
11、个配配置定义义的名称称,稍后后可以将将它与路路由器的的外部接接口建立立关联。Shellby(connfigg-crryptto-mmap)#seet ppeerr 2000.220.225.11 _(44)_Shellby(connfigg-crryptto-mmap)#seet ttrannsfoorm-sett vppn1 _(5)_Shellby(connfigg-crryptto-mmap)#maatchh adddreess 1300 /访访问列表表Shellby(connfigg)#iinteerfaace s0Shellby(connfigg-iff)#ccryppto mapp
12、 shhorttsecc /将刚才才定义的的密码图图应用到到路由器器的外部部接口。问题1、请请简述IIPSeec协议议问题2、解解释_(n)_处处标有下下划线的的部分含含义。【参参考答案案】1、IPPSecc提供了了两种安安全机制制:认证证和加密密。认证证机制使使IP通通信的数数据接收收方能够够确认数数据发送送方的真真实身份份以及数数据在传传输过程程中是否否遭篡改改。加密密机制通通过对数数据进行行编码来来保证数数据的机机密性,以以防数据据在传输输过程中中被窃听听。IPPSecc协议组组包含AAuthhentticaatioon HHeadder(AAH)协协议、EEncaapsuulattin
13、gg Seecurrityy Paaylooad(EESP)协协议和IInteerneet KKey Excchannge(IIKE)协协议。其其中AHH协议定定义了认认证的应应用方法法,提供供数据源源认证和和完整性性保证;ESPP协议定定义了加加密和可可选认证证的应用用方法,提提供可靠靠性保证证。在实实际进行行IP通通信时,可可以根据据实际安安全需求求同时使使用这两两种协议议或选择择使用其其中的一一种。AAH和EESP都都可以提提供认证证服务,不不过,AAH提供供的认证证服务要要强于EESP。IIKE用用于密钥钥交换。2、(1)采采用预共共享密钥钥认证方方法(2)建建立访问问控制列列表(3)
14、配配置名为为vpnn1的交交换集,指指定ahh-mdd5-hhmacc essp-ddes espp-mdd5-hhmacc三种变变换(4)指指定允许许的ippsecc对等体体的ipp地址为为2000.200.255.1(5)此此加密图图使用交交换集综合练习习:请先看下下面的叙叙述,然然后回答答问题11,问题题2,问问题3。VLANN(Viirtuual Loccal Areea NNetwworkk)的中中文名为为“虚拟局局域网”。VLLAN是是一种将将局域网网设备从从逻辑上上划分(不不是从物物理上划划分)成成一个个个网段, 从而实实现虚拟拟工作组组的新兴兴数据交交换技术术。这一一新兴技技术
15、主要要应用于于交换机机和路由由器中,但但主流应应用还是是在交换换机之中中。但又又不是所所有交换换机都具具有此功功能,只只有VLLAN协协议的第第三层以以上交换换机才具具有此功功能。VVLANN技术的的出现,使使得管理理员根据据实际应应用需求求,把同同一物理理局域网网内的不不同用户户逻辑的的划分成成不同的的广播域域,每一一个VLLAN都都包含一一组有着着相同需需求的计计算机工工作站,与与物理上上形成的的LANN有着相相同的属属性。由由于它是是从逻辑辑上划分分,而不不是从物物理上划划分,所所以同一一个VLLAN内内的各个个工作站站没有限限制在同同一物理理范围内内,即这这些工作作站可以以在不同同物理LLAN网网段。某公司有有1000台计算算机左右右,主要要使用网网络的部部门有:生产部部(200),财财务部(115),人人事部(88)和信信息中心心(122)四大大部分,如如图所示示。(图图中另外外两台交交换机未未画)网络的基
