[USG-policy-security-rule-http]destination-address ( 1 10.10.10.10 32 )
[USG-policy-security-rule-http]service protocol ( 2 TCP ) destination-port ( 3 9980 )
[USG-policy-security-rule-http]action ( 4 Permit )
[USG-policy-security-rule-http]quit
(1) 10.10.10.10 32
(2) TCP
(3) 9980
(4) Permit
问题3(4分)
经过一段时间运行,经常有互联网用户反映访问Server的服务比较慢。经过抓包分析发现部分应用请求报文和服务器的回应报文经过的不是同一个ISP接口。请分析原因并提供解决方法。
产生该问题的原因是数据包的往返路径不一致,从ISP1通过防火墙访问服务器的请求数据包,服务器发送响应数据包时,出口路由策略使其选择ISP2传送,导致使数据包的来回路径不一致。
解决方案:打开USG防火墙的源进源出功能。
问题4(4分)
企业网络在运行了一段时间后,网络管理员发现了一个现象:互联网用户通过公网地址可以正常访问Server,内网用户也可以通过内网地址正常访问Server,但内网用户无法通过公网地址访问Server,经过排查,安全策略配置都正确。请分析造成该现象的原因并提供解决方案。
没有在防火墙的下行接口配置服务器Easy IP方式的NAT Outbound,将内部服务器与内网PC之间的流量都引到防火墙上进行转发,实现内网用户通过公网端口的IP地址访问服务器功能。
试题三(20分)
图3-1为某公司网络骨干路由拓扑片段(分部网络略),公司总部与分部之间运行BGP获得路由,路由器RA、RB、RC 以及RD之间配置 iBGP建立邻居关系,RC 和RD之间配置OSPF进程。所有路由器接口地址信息如图所示,假设各路由器已经完成各个接口IP等基本信息配置。
问题1(2分)
按图3-1所示配置完成BGP和OSPF路由相互引入后,可能会出现路由环路,请分析产生路由环路的原因。
OSPF路由可以通过路由引入的方式在BGP进程进行重发布。
问题2(10分)
要求:配置BGP和OSPF基本功能(以RA和RB为例),并启用RC和RD之间的认证,以提升安全性。
补全下列命令完成RA和RB之间的BGP配置:
#RA启用BGP,配置与RB的IBGP对等体关系。
[RA]bgp 100
[RA-bgp]router-id 10.11.0.1
[RA-bgp]peer 10.12.0.2 as-number ( 1 100 )
[RA-bgp]ipv4-family unicast
[RA-bgp-af-ipv4]peer ( 2 10.12.0.2 ) enable
[RA-bgp]quit
#RB启用BGP,配置与RA、RC和RD的IBGP对等体关系。
[RB]bgp 100
[RB-bgp]router-id 10.22.0.2
[RB-bgp]peer ( 3 10.12.0.1 ) as-number 100 #配置与RA的对等关系
……#其它配置省略
#配置RC和RD的OSPF功能(以RC为例),并启用OSPF认证
[RC]ospf 1 router-id 10.33.0.3
[RC-ospf-1] area 0
[RC-ospf-1-area-0.0.0.0]network ( 4 10.10.10.0 0.0.0.255 ) #发布财务专网给RD,其它省略
[RC-ospf-1-area-0.0.0.0]authentication-mode simple ruankao
[RC-ospf-1]quit
(1)100 (2)10.12.0.2 (3)10.12.0.1 (4)10.10.10.0 0.0.0.255
( 5 ) OSPF认证方式有哪些?上述命令中配置RC的为哪种?
区域认证和接口认证。配置RC的区域认证
( 6 )如果将命令authentication-mode simple ruankao替换为authentication-mode simple plain ruankao,则两者之间有何差异?
simple表示使用简单验证模式。simple验证模式默认是cipher类型(密文认证方式)。
plain表示明文方式显示口令(不加密)。
问题3(8分)
要求:配置BGP和OSPF之间的相互路由引入并满足相应的策略,配置路由环路检测功能。
[RC-ospf-1]import-route bgp permit-ibgp #该命令的作用是( 7 允许在IGP协议中引入IBGP )
…#其它配置省略
#配置RD的BGP引入OSPF路由,并配置路由策略禁止发布财务专网的路由给BGP。
[RD]acl number 2000 #配置编号为2000的ACL,禁止10.10.10.0/24通过
[RD-acl-basic-2000]rule deny source ( 8 10.10.10.0 ) 0.0.0.255
[RD-acl-basic-2000]quit
[RD]route-policy rp #配置名为rp的路由策略
[RD-route-policy]if-match acl ( 9 2000 )
[RD-route-policy]quit
[RD]bgp 100
[RD-bgp]ipv4-family unicast
[RD-bgp-af-ipv4]import-route ospf 1 ( 10 Route-policy rp )
[RD-bgp]quit
#以RA为例,启用BGP环路检测功能。
[RA]route ( 11 Loop-detect ) bgp enable
(7)允许在IGP协议中引入IBGP (8)10.10.10.0
(9)2000 (10)Route-policy rp (11)Loop-detect
试题四(15分)
某公司网络拓扑如图4-1所示。
图4-1
问题1(10分)
公司计划在R1、R2、R3上运行RIP,保证网络层相互可达。接口IP地址配置如表4-1所示。
问题1(10分)
公司计划在R1、R2、R3上运行RIP,保证网络层相互可达。接口IP地址配置如表4-1所示。请将下面的配置代码补充完整。
[HUAWEI]( 1 system-view )
[HUAWEl]sysname ( 2 R1 )
[R1] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet 0/0/0]ip address 10.0.1.254 255.255.255.252
[R1-GigabitEthemet 0/0/0]interface GigabitEthernet0/0/1
[R1-GigabitEthernet 0/0/1]ip address ( 3 10.0.1.250 ) 255.255.255.252
[R1-GigabitEthernet 0/0/2]interface GigabitEthernet0/0/2
[R1-GigabitEthernet 0/0/2]ip address 100.1.1.1 255.255.255.0
[R1-GigabitEthernet 0/0/2]quit
[R1]rip
[R1-rip-1]( 4 rip2 )
[R1-rip-2]undo summary
[R1-rip-2]network ( 5 10.0.0.0 )
[R1-rip-2]network 100.0.0.0
……
R2、R3的RIP配置略
……
(1) system-view (2)R1 (3)10.0.1.250 (4) rip2 (5)10.0.0.0
问题2(3分)
公司计划在R2和R3的链路上使用RIP与BFD联动技术,采用BFD echo报文方式实现当链路出现故障时,BFD能够快速感知并通告RIP协议。
请将下面的配置代码补充完整。
[R2]interface gigabitethernet ( 6 0/0/1 )
[R2-GigabitEthernet0/0/1]undo( 7 portswitch ) #关闭接口GEO/0/1的二层转发特性
[R2-GigabitEthernet0/0/1]rip bfd ( 8 static ) #使能接口GEO/0/1的静态BFD特性
(6)0/0/1 (7) portswitch (8)static
问题3(2分)
公司通过R1连接Internet,为公司提供互联网访问服务,在R1上配置了静态路由向互联网接口,为了使网络均能够访问互联网,需通过RIP将该静态路由进行重分布。请将下面的配置代码补充完整。
[R1-rip-2]default-route ( 9 originate )
(9) originate
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。**
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-OLp7JGPx-1712817500596)]
1319
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
