2020年网络搭建与应用国赛题-防火墙ipsec建立分解

最新推荐文章于 2024-09-27 13:43:46 发布
最新推荐文章于 2024-09-27 13:43:46 发布
阅读量2.4k 收藏 46
点赞数 7
文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45443704/article/details/116203334
版权

2020 年全国职业院校技能大赛中职组“网络搭建与应用”赛项竞赛样卷

——防火墙IPsec建立分解

题目要求:
集团防火墙广东办事处防火墙之间使用互联地址建立 IPSEC 隧道,集团防火墙侧使用 E0/3 侧接口地址,实现广东办事处营 销 业 务 终 端 172.40.11.100/32与 托 管 在 运 营 商 机 房172.40.254.254/32业务通过逻辑隧道进行转发
赛题拓扑:

根据题目要求,换另一句话讲就是:
 FW-1的客户端:172.40.254.254/32

 FW-2的客户端:172.40.11.100/32 相互访问的时候,通过ipsece隧道接口通讯

由此,就可以确定出了,ipsec 的两端客户端.
那么,就要知道他们所谓的“互联地址”到底是什么了.

回看题目:
在这里插入图片描述
从划红线部分可以知道,所谓的“互联”地址,就是RT-1和FW-2的互联地址也要发布到OSPF进程1中
配置方法:
RT-1:
1.创建ACL过滤列表
ip access-list standard fw2
permit 10.40.254.37 255.255.255.252
!
route-map fw2 10 permit
match ip address fw2
!
2.OSPF1中引入直连路由,应用过滤列表,避免引入其他无关路由
router ospf 1
redistribute connect route-map fw2

1.建立ipsec的源和目的,都一一具备了
2.建立IPsec前进行检查两端防火墙的“互联”地址,是否能够互通
完成后就可以进行以下操作了:

FW-1:

 1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址

 2.配置IPsec对端信息

 3.创建IPsec

 4.配置隧道并绑定IPsec

 5.配置路由

 6.配置策略放行

防火墙FW_1中的地址簿已经创建以下信息:

 广东办事处营销业务终端100:172.40.11.100/32

 托管在运营商机房:172.40.254.254/32

1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址

 当经过SNAT转换地址之后,地址将会发生变化,对ipsec的建立会产生影响,所以需要配置SNAT不转换操作,避免地址改变。
在这里插入图片描述

2.配置IPsec对端信息

在这里插入图片描述

3.创建IPsec

在这里插入图片描述

4.配置隧道并绑定IPsec

在这里插入图片描述

5.配置路由

在这里插入图片描述

6.配置策略放行

在这里插入图片描述
在这里插入图片描述

同理的,我们FW-2上也配置相似的操作:

 >与其他常见的ipsec相比,该题中的客户端仅变成了在SNAT转换口上
 >其实,在FW-1的SNAT口上放行了ipsec部分的流量不转换地址,其他操作都与手册上的一致

FW-2:

 1.配置IPsec对端信息

 2.创建IPsec

 3.配置隧道并绑定IPsec

 4.配置路由

 5.配置策略放行

1.配置IPsec对端信息

在这里插入图片描述

2.创建IPsec

在这里插入图片描述

3.配置隧道并绑定IPsec

在这里插入图片描述

4.配置路由

在这里插入图片描述

5.配置策略放行

在这里插入图片描述

最终结果验证:

在FW-2的营销业务客户端 (172.40.11.100 )进行测试:
在这里插入图片描述
在SW-1上,使用ping源充当(172.40.254.254)进行测试:
在这里插入图片描述
当访问都能够互通的时候,就可以在防火墙上查看对应的ipsec建立状态了
FW-1的ipsec建立情况
请添加图片描述
请添加图片描述
FW-2的ipsec建立情况
请添加图片描述
请添加图片描述
至此,配置完成,如有任何疑惑,可以直接私聊我进行讨论解决
——2021.04.27 20年国赛 防火墙ipsec分解

拓展分析:
 当FW-1上配置完成禁止“172.40.11.100”访问“172.40.254.254”的时候,防火墙暂时放行any,测试双方是否可以互ping,从而判断链路之间是否存在故障,无误则可以继续进行ipsec的建立

【如果你需要更加细致的判断是否可以互ping,那么放行策略参考以下设置】

FW-1:
trust -> untrust  #(当没有配置ipsec的时候营销pc只能通过trust区域)
172.40.11.100 ->172.40.254.254
untrust -> trust  #(让运营商pc能够访问到营销pc)
172.40.254.254 172.40.11.100

FW-2:
trust -> dmz  #(让营销pc能够访问运营商pc)
172.40.11.100 ->172.40.254.254
dmz -> trust  #(让运营商pc能够访问到营销pc)
172.40.254.254 172.40.11.100

以上的策略,后期修改成ipsec的隧道所在区域之后就和答案一致了

 当发现不能互Ping的时候怎么办呢?

1.检查路由表【查看是否有前往对应pc的路由】
2.使用tracert进行查看流量丢包的位置【确定丢包位置后缩小排错范围】
3.查看防火墙是否放行流量【大部分时候,都是策略放行错误导致流量被拦截】

Hades_Ling
关注
专栏目录
2022中职网络搭建公开赛答案
Selina_lv
08-10 7293
2022国赛答案 配置 windows2 为 skills.com 域服务和 DNS 服务,DNS 正反向区域在 Active Directory 中存储,为 skills.com 域中主机提供正反向解析。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gDDrlu
2020网络搭建国赛样题答案.zip
04-30
2020神州数码网络搭建中职组的样题答案2020正式赛 有任何关于该赛存在的问,都可以私聊我一起讨论解决
2021山东省职业院校技能大赛中职组“网络搭建应用赛项环境和评分标准
最新发布
2301_81633578的博客
09-27 864
2021疫情过后,公司计划继续开展之前定下的战略规划。在党及集团高层领导下,下半公司规模恢复快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定把公司大部分对外业务放在运营商托管机房。集团、分公司及运营商托管机房的网络结构详见网络拓扑图。其中一台CS6200交换机编号为SW-3,用于实现分公司业务终端高速接入;两台CS6200交换机作为集团的核心交换机;两台DCFW-1800分别作为集团、运营商托管机房的防火墙
2020网络搭建应用国赛-无分解.zip
04-27
该赛是位于20214与2日在全国职业院校技能大赛2021规程中附带的赛 由于非常酷似2020国赛正式,而且其中的目与2020样题相比,完全算的上2020样题填坑完成之后的样貌!
2020网络搭建应用国赛-附加旧20分解.zip
04-27
该部分与前面发布的2020新赛相比,增加了旧2020样题分解,非常有利于加快分析新的2020新赛,由于旧2020样题存在的坑较多,所以仅供参考 有任何关于该赛存在的问,都可以私聊我一起讨论解决
20202021全国职业院校技能大赛网络搭建应用赛项样题分解答案进度
热门推荐
Hades_Ling的CSDN博客
04-23 1万+
20202021全国职业院校技能大赛网络搭建应用赛项样题分解答案进度 2020网络搭建应用样题——设备部分分解进度: 由于近期较忙,忙着比赛也忙着升学,对于2020答案分解都没来得及整理和进一步校验。 当然也不能对自己太过松懈,所以决定在下一周内发布2020分解答案供大家参考。 ——2021-04月-23日 对于2021网络搭建应用样题——设备部分分解进度: 对于刚出炉不久的2021国赛样题,相信大家都是非常感兴趣的。
2016国赛——网络搭建应用
12-20
2016全国技能大赛中职网络搭建应用赛项-2016-5-8
2020网络搭建应用国赛(更新时间:2021.5.27).zip
05-31
(仅有设备部分的参考答案) 资源包中含有以下资源: 1.操作视频和ipsec分解录屏,操作视频中含有部分难点知识分解 2.脚本方式导出配置文件(脚本格式:*.py)
计算机网络原理-147第7章 网络安全--搭建IPSec实验环境.mp4
07-04
计算机网络原理-147第7章 网络安全--搭建IPSec实验环境.mp4
安全技术-系统安全-防火墙体系下的IPSEC及其策略.pdf
04-12
安全技术-网络安全
论文研究-双层IPSec防火墙协同工作的一个设计方案.pdf
07-22
IPSec是为Internet通信提供安全服务的一组标准协议,它封装了传输层中的一些重要信息,而防火墙...该方案的优点在于安全主机与防火墙之间复合安全关联的协商灵活多变,与传统IPSec相比协议格式变化不大,传输效率较高。
22中职组网络搭建应用赛项国赛
07-10
通过本项目竞赛,使中职学生能熟练运用网络信息安全技术 对网络、操作系统、应用、服务器等目标进行信息和数据安全防 护与渗透,具有分析、处理现场安全问的能力,促进学生团队 协作实践能力,引导中等职业学校关注网络安全技术发展趋势和 产业应用方向,促进专业建设与教学改革;推进中职学校与相关 企业的合作,更好地实现工学结合的人才培养模式,为网络信息 安全行业培养高素质的技能型人才。 ———————————————— 在规定时间内,参赛团队完成网络连通、网络系统安全策略 部署、网络安全运维、系统渗透与对抗等
2018计算机网络国赛样题
07-25
比赛样题,帮助大家训练提升,共同进步,共同学习,希望能够帮助到大家
2022网络搭建国赛公开kerbernets配置实例
05-12
2022网络搭建国赛公开kerbernets配置实例
2019网络搭建应用(样)
12-14
2019福建省所发布的中职组网络搭建应用的公开赛,喜欢的可看下
2022 山东省职业院校技能大赛“中职组” 网络搭建应用赛项
Jay
12-24 2134
IPv6 地址池用网。2001:10:17:100::9,为 PC2 保留地址 10.17.110.9 和 2001:10:17:110::9。SW1、 SW2、 SW3、 RT1、 RT2 之间运行 BGP 协议, SW1、 SW2、 RT1 AS 号 65001、SW1、 SW2、 SW3、 RT1、 RT2 之间通过 Loopback1 建立 IPv4 和 IPv6 BGP 邻居。(1)SW1、 SW2、 SW3、 RT1、 RT2、 FW1 之间 OSPFv2 和 OSPFv3 协议, 进程 1,
2020网络搭建应用——国赛samba答案
Jay
07-19 959
3.Hr组用户对目录hr_share拥有读写权限,sales组用户对sales_share拥有读写权限,sys组用户对用户均有读写权限,要求新建文件权限本身拥有完全权限,其他所有用户只有只读权限。配置linux-3为samba服务器,创建user101~120等20个用户;user101和user102属于hr组,user103属于sales,user104属于sys组。2.建立共享文件目录/share/hr_share,/share/sales_share,/share/public_share。....
2022网络搭建国赛公开mail服务器搭建
shatianyzg的博客
05-12 977
2022国赛mail服务器搭建
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hades_Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值