1、项目二 网络安全防护技术习题及解答任务一 访问控制列表(ACL)1)思考如何禁止PC0 访问服务器Server0的FTP、TELNET和SSH服务,并在2.1.4任务完成的基础上实现该需求。解答:在R0上建立ACL NO_ACCESS,该ACL内容如下ip access-list extended NO_ACCESSdeny tcp any 192.168.2.0 0.0.0.255 eq ftpdeny tcp any 192.168.2.0 0.0.0.255 eq telnetdeny tcp any 192.168.2.0 0.0.0.255 eq 22permit ip any an
2、y实现时,在interface Serial0/3/0下应用即可,interface Serial0/3/0ip access-group NO_ACCESS out2)思考在2.1.4任务实施结束后,PC2能访问服务器的WEB服务吗?如果不能,思考故障原因,并修改配置使PC2能够访问服务器的WEB服务。解答:不能。原因是原acl中的deny tcp any 192.168.2.0 0.0.0.255 eq www命令没有针对PC0做限制,而是对任意地址做了限制。讲该命令修改为deny tcp host 192.168.1.1 192.168.2.0 0.0.0.255 eq www即可。3)
3、思考如何仅在R1上设置ACL实现此任务的两个需求,请写出相应的ACL并上机测试。如果你对R0和R1这两台路由器都能进行控制,请思考并重新设置ACL的放置位置。解答:针对需求1,参考ACL为:R1(config)#access-list 2 deny host 192.168.1.1R1(config)#access-list 2 permit any 根据前面所述的ACL放置原则,标准 ACL 不指定目的地址,所以其位置应该尽可能靠近目的地,所以选择接口int f0/0。由于要检查的数据流是从接口f0/0流出的,所以检查方向为out。配置命令如下:R1(config)#interface f0
4、/0R1(config-if)#ip access-group 2 out针对需求2,参考ACL为:R1(config)#ip access-list extended NO_ACCESS_WWWR1(config-ext-nacl)#deny tcp any 192.168.2.0 0.0.0.255 eq www根据前面所述的ACL放置原则,扩展 ACL 放置在尽可能靠近需要过滤的流量源的位置上,所以选择接口s0/3/0。由于要检查的数据流是从接口s0/3/0流入的,所以检查方向为in。配置命令如下:R1(config)#int s0/3/0R1(config-if)#ip access-
5、group NO_ACCESS_WWW in如果对R0和R1这两台路由器都能进行控制,请思考并重新设置ACL的放置位置。根据ACL放置原则,针对需求一,标准 ACL 不指定目的地址,所以其位置应该尽可能靠近目的地,所以选择路由器R1的接口int f0/0,方向是out。针对需求二, 扩展ACL应 放置在尽可能靠近需要过滤的流量源的位置上,所以选择路由器R0的接口f0/0,方向为in。4)假设你实现了一个访问列表可以阻止外部发起的TCP会话进入到你的网络中,但是你又想让内部发起的TCP会话的响应通过,那应该怎么办?思考并在2.1.4任务的网络拓扑结构上进行验证。解答:在需要这样控制的访问控制列表
6、规则后加上established关键字即可。结合2.1.4任务,可在R0上设置access-list 101 permit tcp any 192.168.2.0 0.0.255.255 establishedint s0/3/0ip access-group 101 in 该配置可以实现:外网只能回应内网的TCP连接,而不能发起对内网的TCP连接。加上established选项后,ACL会对外网访问内网的TCP段中的ACK或RST位进行检查,如果ACK或RST位被设置(使用)了, 则表示数据包是正在进行的会话的一部分,那么这个数据包会被permit。也就是说,在外网向内网发起TCP连接的时候
7、,由于ACK或RST位未设置,这时请求是不会被permit的。任务二 NAT1)在NAT配置与应用的第5)步PAT配置完成后,使用PC0 PING 192.168.2.2能通吗,思考原因并查看NAT映射关系。仿照R0的配置,设置内网2的路由器R1的NAT功能,配置完成后,PC0 PING PC5能通吗,为什么?PC5 PING PC0能通吗,思考原因并查看NAT映射关系。解答:不能通。原因是模拟ISP的路由器设置了access-list 1access-list 1 deny 172.16.0.0 0.15.255.255access-list 1 deny 192.168.0.0 0.0.2
8、55.255access-list 1 deny 10.0.0.0 0.255.255.255access-list 1 permit anyPC0 PING 192.168.2.2,经过ISP路由器的echo包源地址是58.1.1.1(NAT映射过)有影响,但返回的时候echo reply包源地址是192.168.2.2(无NAT),符合access-list 1的拦截条件deny 192.168.0.0 0.0.255.255,被拦截。设置内网2的路由器R1的NAT功能,配置完成后,PC0 PING PC5也不能通。因为echo reply目标地址是58.1.1.1,到达路由器R0后,由于
9、NAT屏蔽了内网细节,所以被丢弃。PC5 PING PC0也不能通,原因同上。2)通过2.2.3任务实施,思考NAT是如何实现内网保护的。在本任务完成的基础上,思考如何实现内网1和内网2的互通。解答:在本任务实施完成后,内网1和内网2的PC不能互通,原因是NAT屏蔽了内网细节,通过NAT转换后的公有地址无法达到对应的私有地址。在本任务基础上,如果要实现内网1和内网2的互通,可以通过配置GRE VPN或者IPSec VPN来实现。3) 在NAT配置与应用的第3)步中,最初使用了R0(config)#ip nat inside source static 192.168.1.1 58.1.1.1进
10、行静态NAT映射,此处直接使用接口地址58.1.1.1作为PC0映射的公网地址会不会出现问题?如果多台主机都静态映射到58.1.1.1可以吗?请完成测试,并思考原因。如果接口地址是动态分配的,需求又要求使用接口地址作为NAT公网地址,请思考能否实现。解答:使用静态NAT映射,不会出现问题。多台主机也可以,测试中可以发现多台主机经过NAT进行了端口映射。如果接口地址是动态分配的,需求又要求使用接口地址作为NAT公网地址,也可以实现,只要采用基于接口的PAT方式即可,参考命令如下:ip nat inside source list 1 interface Serial0/3/0 overload4
11、)在任务实施的测试中使用show ip nat statistics查看nat统计信息,并思考显示信息的各项含义。解答:以基于IP的PAT为例,配置完成用PC0 ping PC3,在本任务的路由器R0上使用该命令查看到的信息有:(/后面为注释)R0#show ip nat statistics Total translations: 4 (0 static, 4 dynamic, 4 extended)/处于活动转换的条目公有4条,0条静态,4条动态,4条扩展Outside Interfaces: Serial0/3/0/nat 外部接口Inside Interfaces: FastEther
12、net0/0/nat 内部接口Hits: 0 Misses: 7/共计转换0个数据包,其中7个失败Expired translations: 0/nat 超时的转换条目为0Dynamic mappings:/动态映射情况- Inside Source/Inside Source转换access-list 1 pool wxitpool refCount 4 /超时的转换条目是4条pool wxitpool: netmask 255.255.255.252/地址池名字和掩码start 58.1.1.1 end 58.1.1.1/起始地址和终止地址type generic, total addre
13、sses 1 , allocated 1 (100%), misses 0/地址池的使用情况,总计1个地址可以完成转换,已经使用1个地址进行转换,转换率100%,没有失败转换5)NAPT不仅转换IP包中的IP地址,还对IP包中TCP和UDP的Port进行转换。这使得多台私网主机可用1个公共IP就可以同时和公共网进行通信。在任务测试中,多次使用了ping命令,但其基于的ICMP协议并没有Port,NAPT又是如何进行处理的?解答:ICMP会使用SEQ NUMBER来代替Port进行映射,下图右下角处就是SEQ NUMBER字段,当前取值为5。下面是当前echo包经nat转换后的映射信息:R0#s
14、h ip nat translations Pro Inside global Inside local Outside local Outside globalicmp 58.1.1.1:5 192.168.1.1:5 192.168.2.1:5 192.168.2.1:5可见IP地址后跟的就是SEQ NUMBER。任务三 服务质量(QoS)1)在Error! Reference source not found.创建策略这一步骤中,修改R1(config-pmap-c)#set precedence 3,分别使用set ip dscp af31和set ip dscp cs3代替set p
15、recedence 3,在新的策略基础上再重新进行任务实施,观察实验结果并说明原因。解答:set ip dscp af31后TOS 字段8位内容为01101000。使用permit ip any any precedence 3检测,因为precedence 3对应的TOS字段取值为01100000,不能匹配,数据无法通过。使用permit ip any any dscp af31检测,因为dscp af31对应的TOS字段取值为01101000,能匹配,数据通过。使用permit ip any any dscp cs3检测,因为dscp cs3对应的TOS字段取值为01100000,不能匹配
16、,数据无法通过。set ip dscp cs3后TOS 字段8位内容为01100000。使用permit ip any any precedence 3检测,因为precedence 3对应的TOS字段取值为01100000,能匹配,数据通过。使用permit ip any any dscp af31检测,因为dscp af31对应的TOS字段取值为01101000,不能匹配,数据无法通过。使用permit ip any any dscp cs3检测,因为dscp cs3对应的TOS字段取值为01100000,能匹配,数据通过。2)将本任务实施中对QoS标记数据的放行(permit)改成拒绝(
17、deny)通过,思考如何使用三种不同的方式使路由器R2对其流经的数据进行QoS标签匹配。解答:根据任务,依旧对set precedence 3进行测试对方式一中的主要命令修改如下:R2(config)#ip access-list extended acl-dscp #创建基于名称的扩展ACLR2(config-ext-nacl)#deny ip any any precedence 3R2(config-ext-nacl)#permit ospf any anyR2 (config)#interface Serial0/3/1 #进入接口,应用ACLR2(config-if)#ip acce
18、ss-group acl-dscp in数据将被拦截。对方式二中的主要命令修改如下:R2(config)#ip access-list extended acl-dscp #创建基于名称的扩展ACLR2(config-ext-nacl)#deny ip any any dscp af31R2(config-ext-nacl)#permit ospf any anyR2 (config)#interface Serial0/3/1 #进入接口,应用ACLR2(config-if)#ip access-group acl-dscp in数据将被放行。对方式三中的主要命令修改如下:R2(config
19、)#ip access-list extended acl-dscp #创建基于名称的扩展ACLR2(config-ext-nacl)#deny ip any any dscp cs3R2(config-ext-nacl)#permit ospf any anyR2 (config)#interface Serial0/3/1 #进入接口,应用ACLR2(config-if)#ip access-group acl-dscp in数据将被拦截。任务四 GRE VPN1)GRE VPN 配置时需要对数据进行分流吗?思考在上例中对哪些数据进行了GRE VPN的封装,具体又是如何实现的?解答:需要进
20、行数据分流。上例中内网1去往内网2的数据流和内网1的数据流进行了区分。实现的方法是通过两条静态路由。一条是默认路由,另一条是去往对端内网的静态路由,其下一条地址为对端tunnel口地址58.1.2.2。R0(config)#ip route 0.0.0.0 0.0.0.0 Serial0/3/0 R0(config)#ip route 192.168.2.0 255.255.255.0 58.1.2.22)GRE VPN可以跨设备形成ospf邻居吗?为什么?请查阅相关资料,说明原因。解答:GRE VPN可以跨设备形成ospf邻居。因为tunnel口有独立的网段可以发布ospf路由。以本章任务为
21、例,只需要在R0上配置:router ospf 1log-adjacency-changesnetwork 192.168.1.0 0.0.0.255 area 0network 58.1.2.0 0.0.0.3 area 0在R1上配置:router ospf 1log-adjacency-changesnetwork 192.168.2.0 0.0.0.255 area 0network 58.1.2.0 0.0.0.3 area 0任务五 Site to Site IPSec VPN配置1) 思考在上述任务中IPSec VPN与NAT业务并存后数据是如何封装及传输的。解答:上述任务对IP
22、Sec VPN与NAT业务并存后的数据进行了分流。分流的方法是通过下面的ACL:access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255access-list 100 permit ip 192.168.1.0 0.0.0.255 anyaccess-list 110分出的是走IPSec VPN的数据,这些数据会进行IPSec封装,走IPSec隧道传输。access-list 10
23、0分出的是不走IPSec VPN的数据,这些数据会进行NAT转换,走S0/3/0对应物理链路传输。2)使用show crypto isakmp policy,show crypto ipsec transform-set,show crypto isakmp sa查看VPN建立情况,思考显示信息的含义。解答:以上述任务配置完成后的R0为例,含义用注释说明。R0#show crypto isakmp policy Global IKE policy/通用IKE策略Protection suite of priority 100 /保护套件优先级为100encryption algorithm:
24、DES - Data Encryption Standard (56 bit keys). /DES加密hash algorithm: Message Digest 5/hash算法为MD5authentication method: Pre-Shared Key/预共享秘钥验证Diffie-Hellman group: #1 (768 bit) /DH组长度768位lifetime: 86400 seconds, no volume limit/有效期86400,无卷限制Default protection suite/默认保护套件encryption algorithm: DES - Da
25、ta Encryption Standard (56 bit keys). / DES加密hash algorithm: Secure Hash Standard/ hash算法为SHAauthentication method: Rivest-Shamir-Adleman Signature/RSA验证Diffie-Hellman group: #1 (768 bit) / DH组长度768位lifetime: 86400 seconds, no volume limit/有效期86400,无卷限制R0#show crypto ipsec transform-set Transform se
26、t wxitvpn: esp-des esp-sha-hmac /交换集名称wxitvpn, 封装和加密方式为esp-des,封装和验证方式为esp-sha-hmacwill negotiate = Tunnel, ,/工作模式为隧道模式R0#show crypto isakmp saIPv4 Crypto ISAKMP SA /IPv4 秘密ISAKMP SAdst src state conn-id slot status210.28.144.2 58.1.1.1 QM_IDLE 1038 0 ACTIVE/目标地址210.28.144.2,源地址58.1.1.1,状态QM_IDLE,co
27、nn-id为1038,slot为0,status为status。IPv6 Crypto ISAKMP SA/IPv6 秘密ISAKMP SA,当前不存在3)对于静态NAT,数据包就不是通过ACL来匹配,而是通过NAT里面的配置的地址来匹配,此时该如何解决IPSec与NAT的冲突问题?解答:对于静态NAT,数据包就不是通过ACL来匹配,而是通过NAT里面的配置的地址来匹配,所以就需要通过其它模块来避免NAT处理。NAT要生效,除了数据要匹配外,还需在在接口上定义输入输出接口,两个条件只要有一个不符合,那么NAT就不会处理。解决办法可以用策略路由把数据送到路由器环回口来避免地址转换。 配置举例:
28、interface loopback0/创建一个环回口 ip address 2.2.2.2 255.255.255.0exitip access-list extended 1001 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 /匹配IPSEC的数据流exitroute-map dial permit 10/配置策略路由,使IPSEC数据流从环回口发出 match ip address 1001 set interface loopback 0 exit任务六 Remote Access IPSec VPN配置1)在上述任务实施中观察反向路
29、由,并与开始时的情况进行对比,找出不同,并思考原因。解答:PC1与PC3成功连通后在VPN Server上查看路由表,通过VPN拨号前后的路由表比较可以发现VPN拨号成功后产生的反向路由。如下图所示,VPN拨号成功后多了一条反向路由(S 10.35.1.1 1/0 via 172.16.1.1),该路由以静态路由的形式注入到了路由表中。(a)VPN拨号成功前的路由表(b)VPN拨号成功后的路由表2)上述任务配置成功后,PC1 tracert PC3有几跳,原因是什么?解答:如下图所示:只有两跳。原因是PC1发出的数据包直接通过建立的IPSec隧道达到路由器R2,不在经过R1跳转到R2了。3)观
30、察PC1在开始VPN拨号直到拨号成功后这段时间内的所有数据包格式,思考isakmp是如何进行工作的。解答:通过仿真功能单步抓包即可观察所有数据包的格式。在Remote Access IPSec VPN工作时,isakmp一共要经历三个阶段,分别是IKE第1阶段,IKE第1.5阶段和KE第2阶段。任务七 GRE Over IPSec VPN配置1) 在上面的任务实施中对从内网-内网的VPN数据和从内网-外网的NAT数据是如何进行区分的?还有没有其它分流的方法? 解答:在上面的任务实施中对从内网-内网的VPN数据和从内网-外网的NAT数据的区分是通过配置静态路由进行的。需要走GRE Over IP
31、Sec VPN的数据通过静态路由指定下一条是对端gre tunnel口地址。例如:上个任务中设置了静态路由:R0(config)#ip route 192.168.2.0 255.255.255.0 58.1.2.2其他非VPN数据走默认路由。例如上个任务中设置了R0(config)#ip route 0.0.0.0 0.0.0.0 Serial0/3/0有,还可以通过PBR(基于策略的路由)实现分流。2) 思考access-list 110 permit gre 58.1.1.0 0.0.0.3 210.28.144.0 0.0.0.3的作用。解答:access-list 110 permi
32、t gre 58.1.1.0 0.0.0.3 210.28.144.0 0.0.0.3的作用是设置感兴趣流。命令中的gre代表感兴趣流控制的是gre流,感兴趣流对应的网段是从58.1.1.0 0.0.0.3到210.28.144.0 0.0.0.3。在ipsec配置中该ACL被应用,例如R0(config-crypto-map)#match address 110,凡是匹配该ACL的gre数据流将会被ipsec加密。3) 在网络结构拓扑不变的条件下,思科如何使用GRE Over IPSec实现内网-内网的加密通信。解答:首先在R0、R1上配置GRE VPN:建立tunnel口,配置tunnel口地址,为tunnel指定源、目的IP地址。接着在R0、R1上分别配置IPSec VPN:建立IKE策略,建立交换集,设置感兴趣流为GRE流,建立crypto map,应用crypto map。最后配置静态路由区分VPN数据。
