|
|
某企业网络拓扑如图所示,总部Core1与分部Core2之间租用专线链路互联,作为两个单位主通信线路,总部的Router1与分部的Router2通过Internet线路构建VPN 通道,作为两个单位的备用线路。总部的Router1、Core1和分部的Router2、Core2之间运行 OSPF,配置为单区域Area0。防火墙NGFW1、NGFW2以透明模式(业务接口工作在二层)部署在网络中。
|
|
|
问题:2.1
问题1(10分)
该企业规划的VPN通道起点和终点分别为总部Router1、分部Router2的Internet 接口,通过VPN通道传输的数据应进行加密保护,同时尽可能提升总部与分支之间VPN通道传输的效率。网络管理员经过需求分析,可选的VPN 技术有GRE VPN技术和IPSecVPN技术,结合题目请回答以下问题。
1.通过对比 GRE 与 IPSec的优劣势,发现二者优缺点互补,将二者同时启用才能满足业务需求,请问将二者同时启用的VPN 技术是(1)。
2.规划 IPSec 的封装模式选择(2),对传输的IP报文进行保护的安全协议选择(3)。
3.在此场景下,IPSec通过ACL定义需要保护的数据流,参照以下地址规划表,则总部Router1上配置ACL 匹配的源地址为(4),目的地址(5)。
|
|
|
问题:2.2
在网络中配置OSPF时,网络管理员进行了优化操作,请回答以下问题。
1.为提高链路状态变化时OSPF的收敛速度,可在Router1、Router2、Core1、Core2上配置(6)与OSPF联动,快速检测链路状态,使得故障检测时间达到毫秒级。
2.网络管理员规划在Router1、Router2上为OSPF引入缺省路由,由OSPF将缺省路由通告全网。在Router1、Router2采用手动配置命令方式,配置完成后路由器将产生一个(7)LSA,并通告到全网,达到全网缺省路由学习的目的。
3.为提高 OSPF 的安全性,当用户接口启用OSPF时,可在用户接口上配置(8),防止非法设备接入用户网络与现有网络设备建立邻居关系,这也是防止路由环路的一种方法;同时启用 OSPF的(9)认证,对本区域所有接口下的OSPF报文进行认证,防止非法设备与网络设备建立邻居关系。
|
|
|
|
问题:2.3
该企业计划对总部数据中心的Web业务进行IPv6改造升级。网络管理员对现有网络评估后规划在Router1配置NAT64方式实现,通常该方式需要搭配(10)一起实现。已知NAT64 前缀为:2001:CD:5:10A::/64,WEB服务器 IPv4 地址为:124.75.36.100,请问IPv6用户最终向该 WEB 服务器发起访问的IPv6 地址为(11)。
|
|
|
问题:2.4
为保证企业内网安全,计划启用网络准入认证方案,对所有接入网络的设备进行统一的认证和访问授权管理。已知现有网络设备支持的认证方式有PPPOE、802.1x、MAC认证和Web认证。请针对以下场景选择合适的认证方式,同时保证不为业务带来额外的开销。
1.企业内生产部门、研发部门等人员集中、信息安全要求严格的区域,设备接入网络需进行(12)认证。
2.针对企业会客厅、接待室、访客室等访客、临时人员可能停留的区域,开通访客网络进行(13)认证。
3.企业中存在打印机、传真机、智能门锁等设备,此类设备入网可采用(14)认证。
|
|
|
|
|
