試題一：閱讀以下說明，回答問題1至問題4,將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。
【說明】
某企業(yè)在公司總部和分部之間采用兩臺(tái)Windows Server 2003服務(wù)器部署企業(yè)IPSec VPN，將總部和分部的兩個(gè)子網(wǎng)通過Internet互聯(lián)，如圖4-1所示。

【問題1】（3分）
隧道技術(shù)是VPN的基本技術(shù)，隧道是由隧道協(xié)議形成的，常見隧道協(xié)議有IPSec，PPTP 和L2TP，其中（1）和（2）屬于第二層隧道協(xié)議，（3）屬于第三層隧道協(xié)議。
【問題2】（3分）
IPSec安全體系結(jié)構(gòu)包括AH, ESP和ISA KMP/Oakley等協(xié)議。其中，（4）為IP包提供信息源驗(yàn)證和報(bào)文完整性驗(yàn)證，但不支持加密服務(wù)；（5）提供加密服務(wù)；（6）提供密鑰管理服務(wù)。
【問題3】（6分）
設(shè)置ServerA和ServerB之間通信的篩選器屬性界面如圖4-2所示，在ServerA的IPSec安全策略配置過程中，當(dāng)源地址和目標(biāo)地址均設(shè)置為“一個(gè)特定的IP子網(wǎng)”時(shí)，源子網(wǎng)IP地址應(yīng)設(shè)為（7），目標(biāo)子網(wǎng)IP地址應(yīng)設(shè)為（8）。圖4-3所示的隧道設(shè)置中的隧道終點(diǎn)IP地址應(yīng)設(shè)為（9）。

【問題4】（3分）
在ServerA的IPSec安全策略配置過程中，ServerA和ServerB-之間通信的IPSec篩選器“許可”屬性設(shè)置為“協(xié)商安全”，并且安全措施為“加密并保持完整性”，如圖4-4所示。根據(jù)上述安全策略填寫圖4-5中的空格，表示完整的IPSec數(shù)據(jù)包格式。

（10）一（12）備選答案：
A．AH頭  B．ESP頭  C．舊IP頭  D．新TCP頭
E．AH尾  F．ESP尾  G．舊IP尾  H．新TCP尾

查看答案

試題二：閱讀以下說明，回答問題1至問題3，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。
【說明】
某組網(wǎng)拓?fù)淙鐖D1-1所示，網(wǎng)絡(luò)接口規(guī)劃如表1-1所示，vlan規(guī)劃如表1-2所示，網(wǎng)絡(luò)部分需求如下：
1.交換機(jī)SwitchA，作為有線終端的網(wǎng)關(guān)，同時(shí)作為DHCP Server，為無(wú)線終端和有線終端分配IP地址，同時(shí)配置ACL控制不同用戶的訪問權(quán)限，控制攝像頭（camera區(qū)域）只能跟DMZ區(qū)域服務(wù)器互訪，無(wú)線訪客禁止訪問業(yè)務(wù)服務(wù)器區(qū)和員工有線網(wǎng)絡(luò)。
2.各接入交換機(jī)的接口加入VLAN，流量進(jìn)行二層轉(zhuǎn)發(fā)。
3.出口防火墻上配置NAT功能，用于公網(wǎng)和私網(wǎng)地址轉(zhuǎn)換：配置安全策略，控制Internet的訪問，例如攝像頭流量無(wú)需訪問外網(wǎng)，但可以和DMZ區(qū)域的服務(wù)器互訪：配置NATServer使DMZ區(qū)的WEB服務(wù)器開放給公網(wǎng)訪問。


【問題一】
補(bǔ)充防火墻數(shù)據(jù)規(guī)劃表1-3內(nèi)容中的空缺項(xiàng)。

補(bǔ)防火墻區(qū)域說明：防火墻GEI/0/2接口連接DMZ區(qū)，防火墻GEI/0/01接口連接非安全區(qū)域，防火墻GEI/0/0接口連接安全區(qū)域：srcip表示內(nèi)網(wǎng)區(qū)域。
【問題二】
補(bǔ)充SwichA數(shù)據(jù)規(guī)劃表1-4內(nèi)容中的空缺項(xiàng)。

【問題三】
補(bǔ)充路由規(guī)劃表1-5內(nèi)容中的空缺項(xiàng)。

查看答案