网络基础及其安全 6

项目4VPN技术的应用练习与实践题目参考答案1.选择题1）下列关于IPSecVPN的描述中，哪些是正确的？（多选:A、C）A.IPSecVPN是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。B.IPSecVPN主要用于保护应用层协议的数据安全。C.IPSecVPN通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全。D.IPSecVPN不提供重传攻击保护和数据源鉴别服务。A正确：IPSecVPN基于IPSec协议族（如AH、ESP、IKE），在网络层（IP层）实现安全通信，构建虚拟专用网。B错误：IPSecVPN保护的是IP层及以上的数据，并非仅限于应用层，它可以为所有上层协议提供安全服务。C正确：IPSecVPN通过插入AH（认证报头）或ESP（封装安全载荷）头部，保障数据的完整性、认证和机密性。D错误：IPSecVPN提供抗重放攻击（通过序列号）和数据源鉴别（通过认证机制），确保数据新鲜性和来源可信。2）IPSecVPN中的封装模式包括哪些？（多选：A、B）A.传输模式 B.隧道模式 C.路由模式 D.桥接模式A传输模式：仅对IP载荷（上层协议数据）进行加密或认证，IP头部保持不变，适用于主机到主机的直接通信。B隧道模式：对整个原始IP数据包进行加密或认证，并封装在新的IP头部中，常用于网关到网关的场景。C、D错误：路由模式和桥接模式不属于IPSec的封装模式，它们是网络设备的工作模式。3）IPSecVPN中AH（认证报头）提供的安全服务有哪些？（多选:B、C）A.数据加密 B.数据完整性C.数据源认证 D.数据保密性B数据完整性：通过哈希算法（如SHA、MD5）确保数据在传输过程中未被篡改。C数据源认证：通过共享密钥或数字证书验证数据发送方的身份。A、D错误：AH不提供数据加密和保密性服务，这是ESP协议的功能。4）SSLVPN的工作原理主要基于什么协议？（C）A.IPSec B.GRE C.SSL/TLS D.L2TPSSLVPN基于SSL/TLS协议，在传输层和应用层之间建立安全隧道，提供加密、认证和完整性保护。A、B、D错误：IPSec是网络层协议；GRE是隧道协议；L2TP是二层隧道协议，常与IPSec结合使用。5）SSLVPN实现内网Web资源的安全访问通常通过什么技术？（C）A.虚拟网关 B.文件共享 C.Web代理 D.准入策略SSLVPN通常通过Web代理（反向代理）技术，将内网Web资源映射到SSLVPN门户，用户通过浏览器即可安全访问。A、B、D错误：虚拟网关是接入逻辑实体；文件共享是资源类型；准入策略是访问控制手段，均非直接实现Web访问的技术。6）关于SSLVPN虚拟网关的描述，以下哪项是正确的？（C）A.每个虚拟网关只能管理一个资源B.所有虚拟网关共享相同的用户、认证方式和访问控制C.虚拟网关之间相互独立，可以独立配置资源、用户、认证方式等D.虚拟网关是SSLVPN的必要组成部分，但无法配置管理员C正确：虚拟网关是SSLVPN中的逻辑实体，可以独立配置资源、用户、认证方式等，实现多租户隔离。A错误：一个虚拟网关可以管理多个资源（如Web应用、文件共享）。B错误：不同虚拟网关的资源、用户和认证方式相互独立，不共享。D错误：虚拟网关可以配置独立的管理员权限。2.操作题1假设您是一家公司的网络管理员，公司有两个远程分支办公室，分别位于城市A和城市B。您需要配置一个IPSecVPN来安全地连接这两个办公室的局域网。请参考以下步骤完成配置，在完成上述配置后，验证IPSecVPN隧道已成功建立，网络拓扑图如图4-8所示，IP地址和端口详见表4-3。图4-SEQ图4-\*ARABIC8网络拓扑图表4-SEQ表4-\*ARABIC3IP地址和端口划分设备接口IP地址备注FW1GE1/0/054/24USG6000VGE1/0//30USG6000VFW2GE1/0/054/24USG6000VGE1/0//30USG6000VARGE0/0//30AR2220GE0/0//30AR2220PC1Ethernet0/0/1/24PC2Ethernet0/0/1/24①环境准备确保两个办公室都具备支持IPSecVPN功能的路由器或防火墙设备。②IP地址规划城市A局域网IP地址范围：/24；城市B局域网IP地址范围：/24。③VPN隧道接口IP地址城市AVPN接口：/30；城市BVPN接口：/30。④配置IPSecVPN在两个设备上都启用IPSec功能，设置预共享密钥（Pre-SharedKey,PSK）为“MySecretPSK”，创建一个IPSec策略，包含以下参数：本地子网：/24（城市A）或/24（城市B）对端子网：根据对端办公室设置封装模式：隧道模式加密算法：AES-256认证算法：SHA-256DH组：Group2（1024位）FW1配置（城市A）1.基础接口配置bash

system-view

sysnameFW1

#配置接口IP

interfaceGigabitEthernet1/0/0

descriptionLAN-Interface

ipaddress54

trustzonetrust

quit

interfaceGigabitEthernet1/0/1

descriptionWAN-Interface

ipaddress52

trustzoneuntrust

quit2.配置安全策略bash

#配置域间策略允许VPN流量

security-policy

rulenamepermit_ipsec

source-zoneuntrust

destination-zonelocal

source-address32

destination-address32

serviceprotocoludpdestination-port500

serviceprotocoludpdestination-port4500

serviceprotocolesp

actionpermit

rulenametrust_to_untrust

source-zonetrust

destination-zoneuntrust

actionpermit

quit3.配置IKE（阶段1）bash

#创建IKE提议

ikeproposal10

encryption-algorithmaes-256

authentication-algorithmsha2-256

dhgroup2

authentication-methodpre-share

integrity-algorithmhmac-sha2-256

prfhmac-sha2-256

quit

#创建IKE对等体

ikepeerfw2

pre-shared-keyMySecretPSK

ike-proposal10

remote-address

version1

quit4.配置IPSec（阶段2）bash

#创建ACL定义感兴趣流

aclnumber3000

rule5permitipsource55destination55

quit

#创建IPSec提议

ipsecproposalprop1

espauthentication-algorithmsha2-256

espencryption-algorithmaes-256

quit

#创建IPSec策略并应用

ipsecpolicypolicy110isakmp

securityacl3000

ike-peerfw2

proposalprop1

tunnellocal

tunnelremote

quit

#在接口上应用IPSec策略

interfaceGigabitEthernet1/0/1

ipsecpolicypolicy1

quit5.配置路由bash

#到对方局域网的路由指向VPN隧道

iproute-staticFW2配置（城市B）1.基础接口配置bash

system-view

sysnameFW2

#配置接口IP

interfaceGigabitEthernet1/0/0

descriptionLAN-Interface

ipaddress54

trustzonetrust

quit

interfaceGigabitEthernet1/0/1

descriptionWAN-Interface

ipaddress52

trustzoneuntrust

quit2.配置安全策略bash

security-policy

rulenamepermit_ipsec

source-zoneuntrust

destination-zonelocal

source-address32

destination-address32

serviceprotocoludpdestination-port500

serviceprotocoludpdestination-port4500

serviceprotocolesp

actionpermit

rulenametrust_to_untrust

source-zonetrust

destination-zoneuntrust

actionpermit

quit3.配置IKE（阶段1）bash

#创建IKE提议（参数需与FW1一致）

ikeproposal10

encryption-algorithmaes-256

authentication-algorithmsha2-256

dhgroup2

authentication-methodpre-share

integrity-algorithmhmac-sha2-256

prfhmac-sha2-256

quit

#创建IKE对等体

ikepeerfw1

pre-shared-keyMySecretPSK

ike-proposal10

remote-address

version1

quit4.配置IPSec（阶段2）bash

#创建ACL定义感兴趣流

aclnumber3000

rule5permitipsource55destination55

quit

#创建IPSec提议

ipsecproposalprop1

espauthentication-algorithmsha2-256

espencryption-algorithmaes-256

quit

#创建IPSec策略并应用

ipsecpolicypolicy110isakmp

securityacl3000

ike-peerfw1

proposalprop1

tunnellocal

tunnelremote

quit

#在接口上应用IPSec策略

interfaceGigabitEthernet1/0/1

ipsecpolicypolicy1

quit5.配置路由bash

iproute-staticAR路由器配置（中转设备）bash

system-view

sysnameAR

#配置接口IP

interfaceGigabitEthernet0/0/1

ipaddress52

quit

interfaceGigabitEthernet0/0/2

ipaddress52

quit

#配置静态路由

iproute-static52

iproute-static52验证IPSecVPN隧道1.检查IKESA状态bash

#在FW1和FW2上执行

displayikesa预期输出应显示状态为"RD"，表示IKESA已建立。2.检查IPSecSA状态bash

displayipsecsa预期输出应显示IPSecSA已建立，能看到加密/解密的数据包计数。3.验证连通性bash

#在PC1上pingPC2

ping

#在防火墙上查看流量统计

displayfirewallsessiontableverbose|include192.1684.详细调试命令bash

#查看IKE协商详细过程

debuggingikeall

terminaldebugging

#查看IPSec协商详细过程

debuggingipsecall

#捕获VPN流量

capture-packetinterfaceGigabitEthernet1/0/1故障排查步骤1.检查基础连通性bash

ping#从FW1pingFW2公网地址2.检查IKE协商bash

displayikeerror-info

displayikestatistics3.检查IPSec策略bash

displayipsecpolicy

displayipsecproposal4.检查ACL匹配bash

displayacl3000

displayfirewallsessiontable5.检查NAT穿越bash

displaynat-policy此配置完成了两个办公室之间的IPSecVPN隧道建立，采用AES-256加密和SHA-256认证，确保数据在公网传输的安全性。3.操作题2作为一家公司的IT管理员，您被要求配置SSLVPN服务，以便远程用户能够安全地访问公司内部资源。请参考以下要求完成SSLVPN的配置，网络拓扑图如图4-9所示，IP地址和端口详见表4-4。图4-SEQ图4-\*ARABIC9网络拓扑图表4-SEQ表4-\*ARABIC4IP地址和端口划分设备接口IP地址备注InternetEthernet0/0//24CloudFWGE1/0/0/24USG6000VGE1/0/154/24WebEthernet0/0/000/24①环境准备假设您已经拥有支持SSLVPN功能的网络设备（如Fortinet防火墙），创建一个用户组“RemoteUsers”，并添加至少两个用户（UserA和UserB）。②配置SSLVPN启用SSLVPN服务，并配置一个SSLVPN门户（Portal）；配置SSLVPN的外部访问域名（如）和证书；允许“RemoteUsers”用户组通过SSLVPN门户访问公司内部资源。③资源访问配置配置一个内部Web应用（如OA系统），其内部访问地址为00；创建一个SSLVPN资源（Resource），将其映射到内部Web应用，并配置相应的访问权限。④用户认证配置配置SSLVPN使用用户名和密码认证方式；允许“RemoteUsers”用户组使用SSLVPN进行身份验证。⑤测试与验证使用UserA和UserB的凭据，通过SSLVPN门户访问内部Web应用；验证是否能够通过SSLVPN成功访问内部Web应用。一、详细配置过程①环境准备-创建用户组和用户bash

#进入系统视图

system-view

#创建用户组RemoteUsers

user-groupRemoteUsers

description"RemoteAccessUsers"

quit

#创建用户UserA

aaa

local-userUserApasswordirreversible-cipherHuawei@123

local-userUserAservice-typeweb

local-userUserAlevel3

local-userUserAuser-groupRemoteUsers

quit

#创建用户UserB

aaa

local-userUserBpasswordirreversible-cipherHuawei@456

local-userUserBservice-typeweb

local-userUserBlevel3

local-userUserBuser-groupRemoteUsers

quit②配置SSLVPN服务bash

#启用SSLVPN功能

sslvpnenable

#配置SSLVPN网关（对外服务）

sslvpngatewaySSL-Gateway

ipaddressport10043

sslpolicyssl_policy

vpn-instancedefault

quit

#创建SSL策略（使用证书）

sslpolicyssl_policy

certificateloadpem-certserver_cert.key

certificateloadpem-certserver_cert.crt

quit

#配置SSLVPN门户

sslvpnportalportal1

title"CompanyRemoteAccessPortal"

logo/logo.png

themedefault

full-featureenable

quit

#创建SSLVPN上下文（连接网关和门户）

sslvpncontextctx1

gatewaySSL-Gatewaydomain

portalportal1

ipaddress-poolsslvpn-pool

ip-tunnelallow

quit③资源访问配置bash

#配置内部Web应用资源

sslvpncontextctx1

resourceOA-System

typeweb

url00

bookmark-name"OASystem"

smart-groupenable

quit

quit

#创建资源组并授权给RemoteUsers

sslvpncontextctx1

policy-groupRemoteUsers-Policy

resourceOA-Systemactionpermit

quit

user-groupRemoteUsersbindpolicy-groupRemoteUsers-Policy

quit④用户认证配置bash

#配置SSLVPN认证方式

sslvpncontextctx1

authentication-methodlocal

authentication-schemedefault

domaindefault

authenticationaaa

#配置AAA认证

aaa

authentication-schemedefault

authentication-modelocal

quit

domaindefault

authentication-schemedefault

radius-servergroupdefault

accounting-schemedefault

quit

quit

quit⑤安全策略配置bash

#配置允许外部访问SSLVPN的策略

security-policy

rulenameSSL_VPN_Access

source-zoneuntrust

destination-zonelocal

source-addressmask

destination-addressmask55

servicehttps

actionpermit

quit

rulenameSSL_VPN_to_Internal

source-zonesslvpn

destination-zonetrust

source-addressmask

destination-address00mask55

s