2020 年全国职业院校技能大赛中职组“网络搭建与应用”赛项竞赛样卷

——防火墙IPsec建立分解

题目要求：
集团防火墙与广东办事处防火墙之间使用互联地址建立 IPSEC 隧道，集团防火墙侧使用 E0/3 侧接口地址，实现广东办事处营销业务终端 172.40.11.100/32与托管在运营商机房172.40.254.254/32业务通过逻辑隧道进行转发
赛题拓扑：

根据题目要求，换另一句话讲就是：
FW-1的客户端：172.40.254.254/32
和
FW-2的客户端：172.40.11.100/32 相互访问的时候，通过ipsece隧道接口通讯

由此，就可以确定出了，ipsec 的两端客户端.
那么，就要知道他们所谓的“互联地址”到底是什么了.

回看题目：

从划红线部分可以知道，所谓的“互联”地址，就是RT-1和FW-2的互联地址也要发布到OSPF进程1中
配置方法：
RT-1：
1.创建ACL过滤列表
ip access-list standard fw2
permit 10.40.254.37 255.255.255.252
!
route-map fw2 10 permit
match ip address fw2
!
2.OSPF1中引入直连路由，应用过滤列表，避免引入其他无关路由
router ospf 1
redistribute connect route-map fw2

1.建立ipsec的源和目的，都一一具备了
2.建立IPsec前进行检查两端防火墙的“互联”地址，是否能够互通
完成后就可以进行以下操作了：

FW-1：

1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址

2.配置IPsec对端信息

3.创建IPsec

4.配置隧道并绑定IPsec

5.配置路由

6.配置策略放行

防火墙FW_1中的地址簿已经创建以下信息：

广东办事处营销业务终端100：172.40.11.100/32

托管在运营商机房：172.40.254.254/32

1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址

当经过SNAT转换地址之后，地址将会发生变化，对ipsec的建立会产生影响，所以需要配置SNAT不转换操作，避免地址改变。

2.配置IPsec对端信息

3.创建IPsec

4.配置隧道并绑定IPsec

5.配置路由

6.配置策略放行

同理的，我们FW-2上也配置相似的操作：

>与其他常见的ipsec相比，该题中的客户端仅变成了在SNAT转换口上
>其实，在FW-1的SNAT口上放行了ipsec部分的流量不转换地址，其他操作都与手册上的一致

FW-2：

1.配置IPsec对端信息

2.创建IPsec

3.配置隧道并绑定IPsec

4.配置路由

5.配置策略放行

1.配置IPsec对端信息

2.创建IPsec

3.配置隧道并绑定IPsec

4.配置路由

5.配置策略放行

最终结果验证：

在FW-2的营销业务客户端（172.40.11.100 ）进行测试：

在SW-1上，使用ping源充当（172.40.254.254）进行测试：

当访问都能够互通的时候，就可以在防火墙上查看对应的ipsec建立状态了
FW-1的ipsec建立情况

FW-2的ipsec建立情况

至此，配置完成，如有任何疑惑，可以直接私聊我进行讨论解决
——2021.04.27 20年国赛防火墙ipsec分解

拓展分析：
当FW-1上配置完成禁止“172.40.11.100”访问“172.40.254.254”的时候，防火墙暂时放行any，测试双方是否可以互ping，从而判断链路之间是否存在故障，无误则可以继续进行ipsec的建立

【如果你需要更加细致的判断是否可以互ping，那么放行策略参考以下设置】

FW-1：
trust -> untrust #（当没有配置ipsec的时候营销pc只能通过trust区域）
172.40.11.100 ->172.40.254.254
untrust -> trust #（让运营商pc能够访问到营销pc）
172.40.254.254 172.40.11.100

FW-2：
trust -> dmz #（让营销pc能够访问运营商pc）
172.40.11.100 ->172.40.254.254
dmz -> trust #（让运营商pc能够访问到营销pc）
172.40.254.254 172.40.11.100

以上的策略，后期修改成ipsec的隧道所在区域之后就和答案一致了

当发现不能互Ping的时候怎么办呢？

1.检查路由表【查看是否有前往对应pc的路由】
2.使用tracert进行查看流量丢包的位置【确定丢包位置后缩小排错范围】
3.查看防火墙是否放行流量【大部分时候，都是策略放行错误导致流量被拦截】

2020年网络搭建与应用国赛题-防火墙ipsec建立分解相关推荐

2020年网络搭建与应用——国赛samba答案
配置linux-3为samba服务器,创建user101~120等20个用户:user101和user102属于hr组,user103属于sales,user104属于sys组. 建立共享文件目录/s ...
2022年网络搭建与应用——国赛FTP搭建（解题步骤答案）
2022年网络搭建与应用 FTP搭建需要其他部分全部解析私聊. [任务描述]为了提高文件的共享性,对用户进行透明和可靠高效地 [任务描述]为了提高文件的共享性,对用户进行透明和可靠高效地]数据传送 ...
2021年网络搭建与应用国赛样题6选路部分参考答案
题目要求: 为了合理分配集团内业务流向,保证来回路径一致,业务选路具体要求如下: 集团内部实现核心交换机SW-1与分公司路由器.广东办事处互访流量优先通过SW-1_SW-2_RT-1之间链路转发, ...
来自中等职业学校第十九届技能竞赛网络搭建与应用竞赛赛，“交换机“和“路由器“解析和参考答案
中等职业学校第十九届技能竞赛网络搭建与应用竞赛赛题 (总分 1000 分) 一.竞赛 ...
2020年第十一届蓝桥杯 - 国赛 - Python大学组 - H.答疑
题目链接 Ideas 2020年第十一届蓝桥杯 - 国赛 - Python大学组 - H.答疑 Code Python if __name__ == '__main__':n = int(input( ...
2020年第十一届蓝桥杯 - 国赛 - Java研究生组 - F.循环小数
2020年第十一届蓝桥杯 - 国赛 - Java研究生组 - F.循环小数在线评测 Ideas 对于一个纯循环小数,假设循环节为l,则小数为0.llll-,转换为分数就是 l / (10 ** n ...
2022年宜昌市网络搭建与应用比赛样题
网络搭建与应用竞赛样题(一) 技能要求 (总分1000分) 竞赛说明一.竞赛内容分布 "网络搭建与应用"竞赛共分三个部分,其中: 第一部分:网络搭建及安全部署项目(500分) 第 ...
第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco
第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco
2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题（7）解析
2021年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (7) (总分100分) 赛题说明一.竞赛项目简介 "网络安全"竞赛共分A. 基础设施设置与安全加固:B. 网络安全事 ...

2020年网络搭建与应用国赛题-防火墙ipsec建立分解

2020 年全国职业院校技能大赛中职组“网络搭建与应用”赛项竞赛样卷

——防火墙IPsec建立分解

FW-1：

1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址

2.配置IPsec对端信息

3.创建IPsec

4.配置隧道并绑定IPsec

5.配置路由

6.配置策略放行

1.禁止广东办营销PC访问运营商PC的时候转换SNAT地址

2.配置IPsec对端信息

3.创建IPsec

4.配置隧道并绑定IPsec

5.配置路由

6.配置策略放行

FW-2：

1.配置IPsec对端信息

2.创建IPsec

3.配置隧道并绑定IPsec

4.配置路由

5.配置策略放行

1.配置IPsec对端信息

2.创建IPsec

3.配置隧道并绑定IPsec

4.配置路由

5.配置策略放行

最终结果验证：

2020年网络搭建与应用国赛题-防火墙ipsec建立分解相关推荐

最新文章

热门文章