阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某公司网络拓扑结构如图 3-1 所示。
【问题1】(3分,每空1分)
如图3-1所示,防火墙的接口①~③分别是(1)、(2)、(3)。
【问题2】(8分,每空2分)
常用的IP访问控制列表有基本访问控制列表和高级访问控制列表。基本访问控制列表的编号是(4);高级访问控制列表的编号为(5)。基本访问控制列表是依据IP报文的(6)、分片信息和生效时间段来定义规则;高级访问控制列表是依据IP报文的源IP地址、(7)、协议、TCP/UDP源/目的端口和生效时间段来定义规则。
(4)~(5)备选答案:
A.1~999 B.1000~1999 C.2000~2999 D.3000~3999
【问题3】(9分,每空1分)
为了便于管理,公司有生产部、销售部和财务部等部门,VLAN划分及IP地址规划如图3-1所示。为了安全起见,公司要求生产部不能够访问销售部的主机和财务服务器,销售部可以对公司网络自由访问。根据以上要求,网络管理员对SwitchA做了如下配置,请根据描述,将下面的配置代码补充完整。
设备基本配置及VLAN配置略
......
[SwitchA] acl 3001
[SwitchA-acl-adv-3001] rule permeit ip source 192.168.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[SwitchA-acl-adv-3001] rule permeit ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[SwitchA-acl-adv-3001] rule permeit ip source 192.168.30.0 0.0.0.255 destination(8)0
[SwitchA] acl 3002
[SwitchA-acl-adv-3002] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
[SwitchA-acl-adv-3002] rule deny ip source 192.168.10.0 0.0.0.255 destination 172.16.1.2 0
[SwitchA] acl 3003
[SwitchA-acl-adv-3003] rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
[SwitchA-acl-adv-3003] rule deny ip source 192.168.20.0 0.0.0.255 destination 172.16.1.2 0
[SwitchA-acl-adv-3003] quit
[SwitchA] traffic classifier tc1 // (9)
[SwitchA-classifier-tc1] if-match acl (10) //将ACL与流分类关联
[SwitchA] traffic classifier tc2
[SwitchA-classifier-tc1] if-match acl 3002
[SwitchA-classifier-tc1] if-match acl 3003
[SwitchA-classifier-tc1] quit
[SwitchA] traffic behavior tb1 // (11)
[SwitchA-behavior-tb1] peimit //配置流行为动作为允许报文通过
[SwitchA] traffic behavior tb2
[SwitchA-behavior-tb1] deny //配置流行为动作为拒绝报文通过
[SwitchA-behavior-tb1] quit
[SwitchA] traffic policy tp 1 // (12)
[SwitchA-trafficpolicy-tp1] classifier (13) behavior tb1
[SwitchA] traffic policy tp2 //创建流策略
[SwitchA-trafficpolicy-tp1] classifier (14) behavior tb2
[SwitchA-trafficpolicy-tp1] quit
[SwitchA] interface (15)
[SwitchA-GigabitEthernet1/0/1] traffic-policy tp1 inbound //流策略应用在接口入方向
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface (16)
[SwitchA-GigabitEthernet1/0/2] traffic-policy tp2inbound //流策略应用在接口入方向
[SwitchA-GigabitEthernet1/0/2] quit
(8)~(16)备选答案
A.172.16.1.2 B.3001 C.创建流策略
D.tc2 E.gigabitethernet 0/0/23
F.gigabitethernet 0/0/22 G. tc1
H.创建流行为 I.创建流分类
【问题1】
(1)内网接口
(2)外网接口
(3)DMZ接口
【问题2】
(4)C.2000—2999
(5)D.3000—3999
(6)源ip地址
(7)目的ip地址
【问题3】
(8)A.172.16.1.2
(9)I.创建流分类
(10)B.3001
(11)H.创建流行为
(12)C.创建流策略
(13)G.tc1
(14)D.tc2
(15)F.gigabitEthernet0/0/22
(16)E.gigabitEthernet0/0/23
【问题1】
(1-3)由图可知,防火墙的接口1-3分别连接了内网,外网和服务器。所以可以知道是内网接口、外网接口和DMZ接口
【问题2】
(4)基本访问控制列表编号是2000-2999
(5)高级访问控制列表编号是3000-3999
(6)基本访问控制列表基于源ip进行过滤
(7)高级访问控制列表基于五元组(源目ip、源目端口、协议类型)进行过滤
【问题3】
(8)题干中描述,销售部的主机可以对公司网络自由访问,所以acl3001的表中,这3条规则分别表示允许访问192.168.10.0/24网段、允许访问192.168.20.0/24网段和财务服务器172.16.1.2
(9)命令行中有classifier,表示流分类,同时下面的语句中也有关于流分类的注释
(10)需要匹配acl3001
(11)Behavior表示行为,所以此注释表示创建流行为
(12)Policy表示策略,同时下面也有语句提示是创建流策略,所以此空选择创建流策略
(13)流分类和流行为要关联起来,13空中的流分类名称要选tc1
(14)和13问类似,选择tc2
(15)不要被题目中的语句误导,认为是进入g1/0/1接口。结合实际情况,题干中说销售部可以访问公司内部网络,所以实在交换机A的g0/0/22接口入方向调用流策略
(16)类似15问,需要在交换机A的g0/0/23接口入方向调用流策略
