华为网络安全论述题解析(2)

最新推荐文章于 2024-06-04 20:53:23 发布
最新推荐文章于 2024-06-04 20:53:23 发布
阅读量354 收藏 1
点赞数 1
文章标签: 华为 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010311846/article/details/127314903
版权

IPSEC双出口双分支设计规划

题目表述

如图,FW1和FW2是主备方式的HA,FW1主用接入,FW2备用接入分支FW3和分支FW4都通过isp1线路,和FW1、FW2建立IPSec VPN隧道,当ISP1线路故障时,使用备用ISP2线路,FW1和FW2建立VPN隧道,其中FW3处在NAT设备后对外地址不固定
在这里插入图片描述要求:流量优先通过ISP1建立了IPSEC隧道

接口情况

  1. FW1接口故障,流量切换到FW2-ISP1
  2. FW1接口故障以及ISP1故障,流量切换到FW2-ISP2
  3. 接口恢复后,流量恢复到FW1-ISP1

设备情况

  1. 当FW1故障后,流量FW2-ISP1
  2. 当FW1故障以及ISP1故障,流量FW2-ISP2
  3. 当设备故障恢复后,流量恢复到FW1-ISP1

答题思路

主备链路备份方式

  1. 总部防火墙创建四条ACL,两两相同,其中两条ACL指定总部到FW4,其中两条指定总部到FW3

  2. 总部防火墙创建对应的ike peer FW3&FW4,其中FW3不配置对端地址,FW4指定对端地址

  3. 总部创建两个ipsec策略组,每个策略组下包含两条策略分别针对FW3以及FW4,然后分别在G1/0/3以及G1/0/4接口上调用

  4. 总部针对FW3的策略调用策略模板,且在策略当中配置tunnel local 地址设置为VRRP地址,防止总部作为协商发起方时匹配失败

  5. 总部FW1以及FW2各自配置两条缺省路由,一条指向ISP1另外一条指向ISP2,且指向ISP1的缺省绑定ip-link探测ISP1的G0/0/0接口,一旦发现接口故障及时切换到ISP2

  6. 分支FW3处在NAT设备之后,创建两个tunnel接口且tunnel接口调用物理接口地址,创建两个ipsec策略组分别指定对端两个VRRP地址

  7. 将tunnel接口划分区域,且配置两条静态路由指定对端内网地址出接口选择tunnel接口,两条静态一主一备,主静态绑定ip-link探测对端防火墙跟ISP1对接接口的VRRP地址。

  8. FW4跟FW3同理

  9. FW1和FW2上保证HA主备关系,保证状态信息正常同步。

命令参考

FW1&FW2关键配置(其中FW1与FW2直接配置同步,因此仅需在FW1上配置即可)

acl number 3000
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.32.0 0.0.0.255
acl number 3001
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.32.0 0.0.0.255
acl number 3002
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.23.0 0.0.0.255
acl number 3003
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.23.0 0.0.0.255
#
ipsec proposal hub
#
ike proposal 10
#
ike peer FW4
 pre-shared-key 123456
 ike-proposal 10
 remote-address 10.1.33.40
#
ike peer FW3
 pre-shared-key 123456
 ike-proposal 10
#
ipsec policy-template tmp1 1
 security acl 3002
 ike-peer FW3
 proposal hub
#
ipsec policy-template tmp2 1
 security acl 3003
 ike-peer FW3
 proposal hub
#
ipsec policy hub1 1 isakmp
 security acl 3000
 ike-peer FW4
 proposal hub
ipsec policy hub1 2 isakmp template tmp
#
ipsec policy hub2 1 isakmp
 security acl 3001
 ike-peer FW4
 proposal hub
ipsec policy hub2 2 isakmp template tmp
#
interface GigabitEthernet1/0/3
 ipsec policy hub1
interface GigabitEthernet1/0/4
 ipsec policy hub2
#
ip-link check enable
ip-link name ISP1
 destination 10.1.40.11 interface GigabitEthernet1/0/3 mode icmp
#
ip route-static 0.0.0.0 0.0.0.0 10.1.9.11 track ip-link ISP1
ip route-static 0.0.0.0 0.0.0.0 10.1.10.12 preference 70
#

FW3关键配置(FW4同理)

acl number 3000
 rule 5 permit ip source 10.1.23.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3001
 rule 5 permit ip source 10.1.23.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal FW3
#
ike proposal 10
#
ike peer hub1
 pre-shared-key 123456
 ike-proposal 10
 remote-address 10.1.9.254
#
ike peer hub2
 pre-shared-key 123456
 ike-proposal 10
 remote-address 10.1.10.254
#
ipsec policy spoke1 1 isakmp
 security acl 3000
 ike-peer hub1
 proposal FW3
#
ipsec policy spoke2 1 isakmp
 security acl 3001
 ike-peer hub2
 proposal FW3
#
interface Tunnel1
 ip address unnumbered interface GigabitEthernet1/0/0
 tunnel-protocol ipsec
 ipsec policy spoke1
interface Tunnel2
 ip address unnumbered interface GigabitEthernet1/0/0
 tunnel-protocol ipsec
 ipsec policy spoke2
#
firewall zone untrust
add interface Tunnel1
 add interface Tunnel2
#
ip-link check enable
ip-link name ISP1
 destination 10.1.9.254 interface GigabitEthernet1/0/0 mode icmp
#
ip route-static 10.1.2.0 255.255.255.0 Tunnel1 track ip-link ISP1
ip route-static 10.1.2.0 255.255.255.0 Tunnel2

配置结果查看

在这里插入图片描述
在这里插入图片描述

隧道化链路备份方式

  1. 总部创建tunnel接口并分配公网地址,保证底层路由能通
  2. 给tunnel接口划分区域,且配置静态路由(明细)出接口为tunnel
  3. 创建两条ACL分别指定对端为FW4和FW3内网网段
  4. 创建IPSec策略组,并创建两条策略序号分别针对FW4以及FW3,其中针对FW3的配置成策略模板方式
  5. 在Tunnel接口上调用ipsec策略组
  6. 分支的ipsec配置跟第一种方式同理

配置命令同上种方式!注意FW1&FW2上仅需要配置一个策略组两个策略在tunnel接口上调用即可。

candlezang
关注
华为网络优化安全在线考试答案汇总.pdf
06-10
华为网络优化安全在线考试答案汇总.pdf华为网络优化安全在线考试答案汇总.pdf华为网络优化安全在线考试答案汇总.pdf华为网络优化安全在线考试答案汇总.pdf华为网络优化安全在线考试答案汇总.pdf华为网络优化安全在线考试答案汇总.pdf华为网络优化安全在线考试答案汇总.pdf华为网络优化安全在线考试答案汇总.pdf
华为网络安全论述题解析(1)
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
02-22 5218
华为网络安全论述题解析(1)Nat Server故障排查情况梳理处理步骤没有找到源地址为3.3.3.3的会话表项存在会话表项,但是会话表项错误。例如:表项中没有目的地址1.1.1.10的转换记录、转换后目的地址不正确。已经建立了正确的会话表项。 Nat Server故障排查 题目:网络当中配置了NAT SERVER,在外部用户(3.3.3.3)访问内网用FTP服务器(10.2.0.8)的时候发现流量无法访问,请分析故障原因 解答: 情况梳理 通过命令display firewall session tab
网络安全技术复习资料
兮杰
06-28 1万+
一、填空题: 网络安全的目标是在计算机网络的信息传输、存储与处理的整个过程中,提高 物理逻辑上 的防护、监控、反应恢复和 对抗 的能力。 SSL协议是在网络传输过程中,提供通信双方网络信息 保密性 和 可靠性 。 TCP/IP网络安全管理体系结构,包括 分层安全管理 、 安全服务与机制 和系统安全管理3个方面。 入侵检测的一般步骤有 信息收集 、数据...
网络安全技术复习资料_网络安全技术论述题
A_991128a的博客
07-26 565
32. 系统恢复是指操作系统在系统无法正常运作的情况下,通过调用已经备份好的系统资料或系统数据,使系统按照备份时的部分或全部正常启动运行的( B )来进行动作。9. (D )是一种更具破坏力的恶意代码,能够感染多种计算机系统,其传播之快、影响范围之广、破坏力之强都是空前的。37. JOE是公司的一名业务代表,经常要在外地访问公司的财务信息系统,他应该采用的安全、廉价的通讯方式是( B )。29. 按照计算机病毒的链接方式不同,(B )是将其自身包围在合法的主要程序的四周,对原来的程序不做修改。
华为HCIE RS 论述题 12月新版 21真题 没有假题 高频考题
01-07
论述题
hcie datacom stp论述题解析
12-23
【HCIE Datacom STP论述题解析】 STP(Spanning Tree Protocol,生成树协议)是一种用于局域网(LAN)的技术,旨在防止网络中的循环路径,这些循环可能导致广播风暴和带宽浪费。在华为认证的HCIE Datacom考试中,...
HEIC RS论述题汇总
04-18
这些论述题不仅要求考生掌握基本概念,还要求他们具备解决实际问题的能力,包括故障排查、网络优化和安全策略的实施。通过深入学习和理解这些知识点,IT专业人士可以提升自己的网络设计和运维技能,从而在HCIE认证...
HCIE-RS 论述题-园区网安全
07-01
HCIE-RS 论述题-园区网安全
HCIE论述题 .pdf
12-21
HCIE论述题
网络信息安全论述
03-20
NULL 博文链接:https://itjob168.iteye.com/blog/849970
网络安全论述题
最新发布
q138511的博客
06-04 1860
在互联网中,可以说大数据模式下的数据是更容易被攻击的,因为大数据中包含着大量的数据,而在数据较多且复杂的背景下,黑客可以更容易地检测其存在的漏洞并进行攻击,而随着数据量的增大,会吸引更多潜在的攻击者,黑客攻击成功之后也会通过突破口获取更多的数据,从而可以在一定程度上降低攻击成本,并获得更多的收益。大数据类型繁多、数量庞大的特性直接导致了大数据较低的价值密度,而对大数据进行分类标识,有助于从海量数据中筛选出有价值的数据,既能保证其安全性,又能实现大数据的快速运算,是一种简单易行的安全保障措施。
华为安全 HCIP 723题库+知识点
u014576453的博客
03-28 1万+
华为安全723
【面试精选】23年最全网络安全面试,华为大佬带你快速通关面试!!吃透面试成功率96%
jennycisp的博客
07-19 1340
2022年过去了一大半,先来灵魂三连问,年初定的目标完成多少了?薪资涨了吗?女朋友找到了吗?​好了,不扎大家的心了,接下来进入正文。由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我:我刚入门网络安全,该怎么学?想找网络安全工作,应该要怎么进行技术面试准备?工作不到 2 年,想跳槽看下机会,有没有相关的面试题呢?
HCIP-security-725题库真题和机构资料
weixin_52808317的博客
08-04 2316
则以下关于权重值及用户访间网页行为的指述,正确的是哪一项?以下哪一项是LDAP的域名属性?84.用户使用SSL访问内网的网络资源,管理员为用户开启了文件共享和web代理的业务,并且在防火墙上放行了业务的流量,但是用户在PC上输入虚拟网关的地址后,在网页中看不到文件共享和Web代理的列表,以下哪一选项可能导致该故障产生?20.某企业具有多个分支,总部的出口IP地址固定,而分支的出口IP地址是随机的,需要在总部与分支之间建立IPSecVPN,为了减少管理和维护成本,以下哪项是合适的IPSec VPN配置方式?
21,华为网络安全面试真题解析
m0_57077948的博客
04-05 803
当我们构造好一个数据包后,下一步则是需要将该数据包发送出去,对于发送数据包Scapy中提供了多种发送函数,如下则是不同的几种发包方式,当我们呢最常用的还是sr1()该函数用于发送数据包并只接受回显数据。此处我们就以sr1()函数作为演示目标,通过构造数据包并调用sr1()将该数据包发送出去,并等待返回响应数据到respon变量内,此时通过对该变量进行解析即可得到当前ICMP的状态。respon64上述流程就是一个简单的ICMP的探测过程,我们可以将这段代码进行组合封装实现。
华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 CLI配置 (三)
m0_60444349的博客
08-11 3742
出口配置双线路,并配置负载均衡方式。通过配置IPSEC VPN服务,在各个分支与总部之间建立点到点的安全隧道连接,实现访问总部的网络资源和业务系统。IPSEC VPN的组网方式较为灵活,可采用点对多点或点对点方式实现总部与各分支连接,总部VPN网关负责响应各分支VPN网关的请求,需要配置固定IP地址,各个分支机构部署VPN网关,可采用静态IP或动态IP方式,与总部建立VPN隧道。2.5 NAT策略。.........
综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线
热门推荐
m0_60444349的博客
11-21 2万+
一、组网需求: 企业的两台FW的业务接口都工作在三层,使用路由模式进行部署,上下行分别连接交换机。上行交换机连接路由器,下行连接核心交换机。路由器连接二个运营商的接入点,运营商其一为企业提供专线业务,其分配的IP地址为202.100.99.55~56(用做内部web服务映射)。运营商其二为企业提供pppoe拨号。专线业务主要用于企业业务系统为外部提供访问,员工上网使用pppoe线路。通过在路由器上部署策略路由以实现业务和上网流量的分流。 现在希望两台FW以主备备份方式工...............
华为HCIE新LAB试题解析网络故障诊断与安全防护
"华为认证 HCIE_新_LAB_论述题" ...这些论述题反映了HCIE LAB考试对考生全面理解网络运维、故障诊断和安全防护能力的要求。掌握这些知识点不仅能帮助考生顺利通过考试,也是他们在实际工作中解决网络问题的关键技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值