项目二网络安全防护技术习题及解答文档格式.docx
- 文档编号:14328032
- 上传时间:2022-10-22
- 格式:DOCX
- 页数:12
- 大小:135.17KB
项目二网络安全防护技术习题及解答文档格式.docx
《项目二网络安全防护技术习题及解答文档格式.docx》由会员分享,可在线阅读,更多相关《项目二网络安全防护技术习题及解答文档格式.docx(12页珍藏版)》请在冰豆网上搜索。
如果不能,
思考故障原因,并修改配置使PC2能够访问服务器的WEB服务。
不能。
原因是原acl中的denytcpany192.168.2.00.0.0.255eqwww命令没有针对
PC0做限制,而是对任意地址做了限制。
讲该命令修改为denytcphost192.168.1.1192.168.2.00.0.0.255eqwww即可。
3)思考如何仅在R1上设置ACL实现此任务的两个需求,请写出相应的ACL并上
机测试。
如果你对R0和R1这两台路由器都能进行控制,请思考并重新设置ACL的放置位置。
针对需求1,参考ACL为:
R1(config)#access-list2denyhost192.168.1.1
R1(config)#access-list2permitany
根据前面所述的ACL放置原则,标准ACL不指定目的地址,所以其位置应
该尽可能靠近目的地,所以选择接口intf0/0。
由于要检查的数据流是从接口
f0/0流出的,所以检查方向为out。
配置命令如下:
R1(config)#interfacef0/0
R1(config-if)#ipaccess-group2out
针对需求2,参考ACL为:
R1(config)#ipaccess-listextendedNO_ACCESS_WWW
R1(config-ext-nacl)#denytcpany192.168.2.00.0.0.255eqwww
根据前面所述的ACL放置原则,扩展ACL放置在尽可能靠近需要过滤的流
量源的位置上,所以选择接口sO/3/O。
由于要检查的数据流是从接口sO/3/O
流入的,所以检查方向为in。
配置命令如下:
R1(config)#intsO/3/O
R1(config-if)#ipaccess-groupNO_ACCESS_WWWin
如果对R0和R1这两台路由器都能进行控制,请思考并重新设置ACL的放置
位置。
根据ACL放置原则,针对需求一,标准ACL不指定目的地址,所以其位置
应该尽可能靠近目的地,所以选择路由器R1的接口intfO/O,方向是out。
针对需求二,扩展ACL应放置在尽可能靠近需要过滤的流量源的位置上,
所以选择路由器R0的接口fO/0,方向为in。
4)假设你实现了一个访问列表可以阻止外部发起的TCP会话进入到你的网络中,
但是你又想让内部发起的TCP会话的响应通过,那应该怎么办?
思考并在2.1.4
任务的网络拓扑结构上进行验证。
解答:
在需要这样控制的访问控制列表规则后加上established关键字即可。
结合2.1.4任务,可在RO上设置
access-list1O1permittcpany192.168.2.OO.O.255.255established
intsO/3/O
ipaccess-group1O1in
该配置可以实现:
外网只能回应内网的TCP连接,而不能发起对内网的TCP
连接。
加上established选项后,ACL会对外网访问内网的TCP段中的ACK或
RST位进行检查,如果ACK或RST位被设置(使用)了,则表示数据包是正
在进行的会话的一部分,那么这个数据包会被Permit。
也就是说,在外网向内网发起TCP连接的时候,由于ACK或RST位未设置,这时请求是不会被
permit的。
任务二NAT
1)在NAT配置与应用的第5)步PAT配置完成后,使用PC0PING192.1682能
通吗,思考原因并查看NAT映射关系。
仿照R0的配置,设置内网2的路由器R1的NAT功能,配置完成后,PC0PINGPC能通吗,为什么?
PC5PINGPC能通吗,思考原因并查看NAT映射关系。
不能通。
原因是模拟ISP的路由器设置了access-list1
access-list1deny172.16.0.00.15.255.255
access-list1deny192.168.0.00.0.255.255
access-list1deny10.0.0.00.255.255.255
access-list1permitany
PC0PING192.168.2.2,经过ISP路由器的echo包源地址是58.1.1.1(NAT
映射过)有影响,但返回的时候echoreply包源地址是192.168.2.2(无
NAT,符合access-list1的拦截条件deny192.168.0.00.0.255.255,
被拦截。
设置内网2的路由器R1的NAT功能,配置完成后,PCOPINGPC也不能通。
因为echoreply目标地址是58.1.1.1,到达路由器R0后,由于NAT屏蔽了
内网细节,所以被丢弃。
PC5PINGPC也不能通,原因同上。
2)通过2.2.3任务实施,思考NAT是如何实现内网保护的。
在本任务完成的基础上,思考如何实现内网1和内网2的互通。
在本任务实施完成后,内网1和内网2的PC不能互通,原因是NAT屏蔽了
内网细节,通过NAT转换后的公有地址无法达到对应的私有地址。
在本任务基础上,如果要实现内网1和内网2的互通,可以通过配置GREVPN
或者IPSecVPN来实现。
3)在NAT配置与应用的第3)步中,最初使用了RO(config)#ipnatinsidesourcestatic192.168.1.158.1.1.1进行静态NAT映射,此处直接使用接口地址58.1.1.1作
为PC0映射的公网地址会不会出现问题?
如果多台主机都静态映射到58.1.1.1可
以吗?
请完成测试,并思考原因。
如果接口地址是动态分配的,需求又要求使用
如果接口地址是动态分配的,需求又要求使用接口地址作为NAT公网地址,
也可以实现,只要采用基于接口的PAT方式即可,参考命令如下:
ipnatinsidesourcelist1interfaceSerialO/3/Ooverload4)在任务实施的测试中使用showipnatstatistics查看nat统计信息,并思考显示信息的各项含义。
以基于IP的PAT为例,配置完成用PC0pingPC3在本任务的路由器R0上使用该命令查看到的信息有:
(//后面为注释)
RO#showipnatstatistics
Totaltranslations:
4(Ostatic,4dynamic,4extended)
//nat外部接口
//处于活动转换的条目公有4条,O条静态,4条动态,4条扩展
OutsideInterfaces:
SerialO/3/O
InsideInterfaces:
FastEthernet0/0//nat内部接口
access-list1poolwxitpoolrefCount4//超时的转换条目是4条
poolwxitpool:
netmask255.255.255.252//地址池名字和掩码
typegeneric,totaladdresses1,allocated1(100%),misses0
//地址池的使用情况,总计1个地址可以完成转换,已经使用1个地址进行
转换,转换率100%,没有失败转换
5)NAPT不仅转换IP包中的IP地址,还对IP包中TCP和UDP的Port进行转换。
这使得多台私网主机可用1个公共IP就可以同时和公共网进行通信。
在任务测试中,多次使用了ping命令,但其基于的ICMP协议并没有Port,NAPT又是如
何进行处理的?
SEQNUMBER来代替Port进行映射,下图右下角处就是
TYPE:
Oxa1CODE:
0x0I
CHECKSUM
ID:
0x31
SEQNUMBER:
5
ICMP
E
L€
31Bits
R0#shipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
icmp58.1.1.1:
5192.168.1.1:
5192.168.2.1:
5
可见IP地址后跟的就是SEQNUMBER
任务三服务质量(QoS)
1)在错误!
未找到引用源。
创建策略这一步骤中,修改R1(config-pmap-c)#setprecedenee3,分别使用setipdscpaf31和setipdscpcs3代替setprecedenee3,在新的策略基础上再重新进行任务实施,观察实验结果并说明原因。
setipdscpaf31后TOS字段8位内容为01101000。
使用permitipanyanyprecedenee3检测,因为precedenee3对应的TOS字段
取值为01100000,不能匹配,数据无法通过。
使用permitipanyanydscpaf31检测,因为dscpaf31对应的TOS字段取值为
01101000,能匹配,数据通过。
使用permitipanyanydscpcs3检测,因为dscpcs3对应的TOS字段取值为
01100000,不能匹配,数据无法通过。
setipdscpcs3后TOS字段8位内容为01100000。
取值为01100000,能匹配,数据通过。
01101000,不能匹配,数据无法通过。
01100000,能匹配,数据通过。
2)将本任务实施中对QoS标记数据的放行(permit)改成拒绝
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 项目 网络安全 防护 技术 习题 解答