网络安全期末考试试题库答案 - 图文 

一、选择题

1．通过获得Root/administrator密码以及权限进行非法系统操作，这属于那一种攻击手段?

A．暴力攻击 B． 电子欺骗 C．权限提升D． 系统重启攻击 2．以下不属于防火墙NAT地址转换优点的是 ．．．．．

A. 实现IP地址复用，节约宝贵的地址资源 B. 地址转换过程对用户透明 C. 网络监控难度加大 D. 可实现对部服务器 的负载均衡

3. 部服务器和NAT inbound共同使用，应配置何种NAT？

A．基于源地址的NAT B．基于目的地址的NAT C．双向NAT D．基于源IP地址和端口的NAT 4． 以下哪一种加密算法不属于对称加密算法： （ ） A． ECC B． 3DES C． IDEA D． DES

5．下列属于多通道协议的是 A． FTP B． HTTP C．SNMP D．TELNET

6. 以下哪种VPN最适合出差人员访问公司部网络

A.IPSec VPN B.GRE VPN C. L2f VPN D. L2tp VPN

7．下列哪项不是数字签名的主要功能？

A. 防抵赖 B. 完整性检验 C. 身份认证 D. 数据加密

8．以下不属于防火墙默认安全区域的是

A.trust B.untrust C.Local D. Default 9. 华为防火墙定义ACL时默认步长是

A.2 B.5 C. 8 D. 10

10．用户收到一封可疑电子，要求用户提供银行账户和密码，这属于那一种攻击手段?

A．缓冲区溢出 B． DDOS C．钓鱼攻击D． 暗门攻击 二、判断题

1. 反子网掩码和子网掩码的格式相似，但取值含义不同：1表示对应的IP地址位需要比较，0表示对应IP地址为忽略比较。 （X）

...

2.扩展访问控制列表是访问控制列表应用围最广的一类，在华为防火墙ACL中，扩展访问控制列表围为3000-3099。（X）

3. OSI七层模型中，传输层数据称为段（Segment），主要是用来建立主机端到端连接，包括TCP和UDP连接。 （√）

4.在配置域间缺省包过滤规则时，zone1和zone2的顺序是随意的。（√）

5.路由器收到数据文件时，若没有匹配到具体的路由表时，可按照默认路由表进行转发。 （√）

6. IPV6使用128bit的IP地址，能满足未来很多年的IP地址需求，是代替IPV4的最终方案。（√）

7. 当配置NAT地址转换是使用了Address-group 1 没有加no-pat这个命令意味着使用的是NAPT的转换方式 （√）

8. inbound方向的NAT使用一个外部地址来代表部地址，用于隐藏外网服务器的实际IP地址。（X）

9. 防火墙中不存在两个具有相同安全级别的安全区域。（√）

10.非对称密钥算法的优点是密钥安全性高，缺点是密钥分发问题。（X）

三、简答题

1．什么是Outbound方向NAT，其转换方式有哪几种？

出方向是指数据由高安全级别的安全区域向低安全级别安全区域传输的方向。 三种转换方式： 1、 一对一地址转换 2、 多对多地址转换 3、 多对一地址转换

2．请简要描述常见的网络安全攻击方式有哪些，并简要描述其防方式 1、数据嗅探防方式：1.验证 2.改变网络结构 3.反嗅探工具 4.加密 2、非法使用防方式：1.过滤 2.验证 3.加密 4.关闭服务和端口 3、信息篡改防方式：1.明文加密 2.数据摘要 3.数字签名

4、拒绝服务 防方式：1.屏蔽IP 2.流量控制 3.协议防 4.侦测 5.策略 5、社会工程防方式：1.技术层面 2.管理层面

6、BUG和病毒防方式：1.补丁 2.定时扫描 3.审计 4.终端保护

...

3．简述ACL与ASPF的区别与联系 配置 设计实现 对系统性能影响 多通道协议的支持 安全性 ACL 较繁琐 简单 速度快 不支持 低 ASPF 简单 复杂 消耗部分系统资源 支持 高

4。防火墙的工作模式主要有哪几种，特点是什么 1、路由模式

特点：如果防火墙通过网络层对外连接（接口具有IP地址），则防火墙工作在路由模式 2、透明模式

特点：如果防火墙通过数据链路层对外连接（接口无IP地址），则认为防火墙工作在透明模式

3、混合模式

如果防火墙既存在工作在路由模式接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则认为防火墙工作在混合模式。

5. 请列举出二层VPN和三层VPN区别是什么，并分别列举哪些属于二层VPN，哪些属于三层VPN

区别：二层VPN工作在协议栈的数据链路层，三层VPN工作在协议栈的网络层

二层VPN：PPTP(点到点隧道协议)、L2F（二层转发协议）、L2TP（二层隧道协议） 三层VPN：GRE VPN、IPSec VPN

6．访问控制列表作用及分类 在防火墙应用中，访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段，决定了后续的应用数据流是否被处理。访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。 分类：

1、 标准访问控制列表 ACL2000-2999 2、 扩展访问控制列表ACL3000-3999

四．配置题

1、实验四：配置防火墙WEB管理实验

步骤1：把Ethernet 1/0/0接口加入VLAN，并将VLAN接口加入安全区域。 #输入用户名 admin

#输入密码

...

Admin123

#切换语言模式为中文模式

language-mode chinese system-view # 创建编号为5的VLAN。 [USG2100] vlan 5 [USG2100-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100] interface Ethernet 1/0/0

[USG2100-Ethernet1/0/0] port access vlan 5 [USG2100-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址，配置VLAN接口。 [USG2100] interface vlanif 5

[USG2100-Vlanif5] ip address 129.9.0.189 24 [USG2100-Vlanif5] quit

# 配置Vlanif 5加入Trust区域。 [USG2100] firewall zone trust

[USG2100-zone-trust] add interface Vlanif 5 [USG2100-zone-trust] quit

步骤2：配置域间过滤规则。 [USG2100] acl 2001

[USG2100-acl-basic-2001] rule permit source 129.9.0.189 0.0.0.0 [USG2100-acl-basic-2001] quit [USG2100] acl 2002

[USG2100-acl-basic-2002] rule permit source 129.9.0.101 0.0.0.0 [USG2100-acl-basic-2002] quit

[USG2100] firewall interzone trust local

[USG2100-interzone-local-trust] aspf packet-filter 2001 outbound [USG2100-interzone-local-trust] aspf packet-filter 2002 inbound

步骤3：启用Web管理功能（默认情况下是打开的）。 [USG2100] web-manager enable

步骤4：配置Web用户。 [USG2100] aaa

[USG2100-aaa] local-user Xunfang password simple Xunfang123 [USG2100-aaa] local-user Xunfang service-type web [USG2100-aaa] local-user Xunfang level 3 [USG2100-aaa] quit

步骤5：配置PC的IP地址。

将终端PC的IP地址设置为:129.9.0.101，俺码设为：255.255.255.0。

...

2、实验七：配置IPSEC VPN

步骤1：配置USG2100 A #输入用户名 admin

#输入密码 Admin123

#切换语言模式为中文模式

language-mode chinese # 进入系统视图。

system-view # 配置本端设备的名称。 [USG2100] sysname USG2100 A # 创建编号为5的VLAN。 [USG2100 A] vlan 5 [USG2100 A-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 A] interface Ethernet 1/0/0

[USG2100 A-Ethernet1/0/0] port access vlan 5 [USG2100 A-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置VLAN接口。 [USG2100 A] interface vlanif 5

[USG2100 A-Vlanif5] ip address 200.39.1.1 24 # 配置Vlanif 5加入Trust区域。 [USG2100 A] firewall zone trust

[USG2100 A-zone-trust] add interface Vlanif 5 [USG2100 A-zone-trust] quit # 进入Ethernet 0/0/0视图。

[USG2100 A] interface Ethernet 0/0/0 # 配置Ethernet 0/0/0的IP地址。

[USG2100 A-Ethernet0/0/0] ip address 202.39.160.1 24 # 退回系统视图。

[USG2100 A-Ethernet0/0/0] quit # 进入Untrust区域视图。

[USG2100 A] firewall zone untrust

# 配置Ethernet 0/0/0加入Untrust区域。

[USG2100 A-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。

[USG2100 A-zone-untrust] quit

# 配置到达对端防火墙202.39.160.3/24和Host 2的静态路由。 [USG2100 A] ip route-static 172.70.2.0 24 202.39.160.3

# 配置ACL规则，允许Host 1所在网段的主机访问Host 2所在网段的主机。 [USG2100 A] acl 3000

[USG2100 A-acl-adv-3000] rule permit ip source 200.39.1.0 0.0.0.255 destination 172.70.2.0 0.0.0.255

...

# 退回系统视图。

[USG2100 A-acl-adv-3000] quit

# 配置ACL规则，允许Host 2所在网段的主机访问。 [USG2100 A] acl 3001

[USG2100 A-acl-adv-3001] rule permit ip source 172.70.2.0 0.0.0.255 # 退回系统视图。

[USG2100 A-acl-adv-3001] quit

# 进入Trust和Untrust域间视图。

[USG2100 A] firewall interzone trust untrust # 配置域间包过滤规则。

[USG2100 A-interzone-trust-untrust] aspf packet-filter 3000 outbound [USG2100 A-interzone-trust-untrust] aspf packet-filter 3001 inbound # 退回系统视图。

[USG2100 A-interzone-trust-untrust] quit # 配置域间缺省包过滤规则。

[USG2100 A] firewall packet-filter default permit all

#说明：配置所有安全区域间缺省过滤规则为允许，使其能够协商SA。 # 配置名为tran1的IPSec提议。 [USG2100 A] ipsec proposal tran1 # 配置安全协议。

[USG2100 A-ipsec-proposal-tran1] transform esp # 配置ESP协议的认证算法。

[USG2100 A-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议的加密算法。

[USG2100 A-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。

[USG2100 A-ipsec-proposal-tran1] quit # 创建IKE提议10。

[USG2100 A] ike proposal 10

# 配置使用pre-shared-key验证方法。

[USG2100 A-ike-proposal-10] authentication-method pre-share # 配置使用MD5验证算法。

[USG2100 A-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA的生存周期为5000秒。 [USG2100 A-ike-proposal-10] sa duration 5000 # 退回系统视图。

[USG2100 A-ike-proposal-10] quit # 进入IKE Peer视图。 [USG2100 A] ike peer a # 引用IKE安全提议。

[USG2100 A-ike-peer-a] ike-proposal 10 # 配置隧道对端IP地址。

[USG2100 A-ike-peer-a] remote-address 202.39.160.3 # 配置验证字为“abcde”。

...

[USG2100 A-ike-peer-a] pre-shared-key abcde #说明：验证字的配置需要与对端设备相同。 # 退回系统视图。

[USG2100 A-ike-peer-a] quit # 创建安全策略。

[USG2100 A] ipsec policy map1 10 isakmp # 引用ike-peer a。

[USG2100 A-ipsec-policy-isakmp-map1-10] ike-peer a # 引用名为tran1的安全提议。

[USG2100 A-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。

[USG2100 A-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。

[USG2100 A-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。

[USG2100 A] interface Ethernet 0/0/0 # 引用IPSec策略。

[USG2100 A-Ethernet0/0/0] ipsec policy map1 [USG2100 A-Ethernet0/0/0] quit

步骤2：配置USG2100 B #输入用户名 admin

#输入密码 Admin123

#切换语言模式为中文模式 language-mode chinese # 进入系统视图。

system-view # 配置本端设备的名称。 [USG2100] sysname USG2100 B # 创建编号为5的VLAN。 [USG2100 B] vlan 5 [USG2100 B-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 B] interface Ethernet 1/0/0

[USG2100 B-Ethernet1/0/0] port access vlan 5 [USG2100 B-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置VLAN接口。 [USG2100 B] interface vlanif 5

[USG2100 B-Vlanif5] ip address 172.70.2.1 24 # 配置Vlanif 5加入Trust区域。 [USG2100 B] firewall zone trust

[USG2100 B-zone-trust] add interface Vlanif 5

...

[USG2100 B-zone-trust] quit

# 配置Ethernet 0/0/0的IP地址。 [USG2100 B] interface Ethernet 0/0/0

[USG2100 B-Ethernet0/0/0] ip address 202.39.160.3 24 # 进入Untrust区域视图。

[USG2100 B] firewall zone untrust

# 配置Ethernet 0/0/0加入Untrust区域。

[USG2100 B-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。

[USG2100 B-zone-untrust] quit

# 配置到达对端防火墙202.39.160.1/24和Host 1的静态路由。 [USG2100 B] ip route-static 200.39.1.0 24 202.39.160.1

# 配置ACL规则，允许Host 2所在网段的主机访问Host 1所在网段的主机。 [USG2100 B] acl 3000

[USG2100 B-acl-adv-3000] rule permit ip source 172.70.2.0 0.0.0.255 destination 200.39.1.0 0.0.0.255

# 退回系统视图。

[USG2100 B-acl-adv-3000] quit

# 配置ACL规则，允许Host 1所在网段的主机访问。 [USG2100 B] acl 3001

[USG2100 B-acl-adv-3001] rule permit ip source 200.39.1.0 0.0.0.255 # 退回系统视图。

[USG2100 B-acl-adv-3001] quit

# 进入Trust和Untrust域间视图。

[USG2100 B] firewall interzone trust untrust # 配置域间包过滤规则。

[USG2100 B-interzone-trust-untrust] aspf packet-filter 3000 outbound [USG2100 B-interzone-trust-untrust] aspf packet-filter 3001 inbound # 退回系统视图。

[USG2100 B-interzone-trust-untrust] quit # 配置域间缺省包过滤规则。

[USG2100 B] firewall packet-filter default permit all

#说明：配置所有安全区域间缺省过滤规则为允许，使其能够协商SA。 # 创建名为tran1的IPSec提议。 [USG2100 B] ipsec proposal tran1 # 配置安全协议。

[USG2100 B-ipsec-proposal-tran1] transform esp # 配置ESP协议认证算法。

[USG2100 B-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议加密算法。

[USG2100 B-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。

[USG2100 B-ipsec-proposal-tran1] quit # 创建为10的IKE提议。

...

[USG2100 B] ike proposal 10

# 配置使用pre-shared key验证方法。

[USG2100 B-ike-proposal-10] authentication-method pre-share # 配置采用MD5验证算法。

[USG2100 B-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA生存周期为5000秒。 [USG2100 B-ike-proposal-10] sa duration 5000 # 退回系统视图。

[USG2100 B-ike-proposal-10] quit # 创建名为a的IKE Peer。 [USG2100 B] ike peer a # 引用IKE提议。

[USG2100 B-ike-peer-a] ike-proposal 10 # 配置对端IP地址。

[USG2100 B-ike-peer-a] remote-address 202.39.160.1 # 配置验证字为“abcde”。

[USG2100 B-ike-peer-a] pre-shared-key abcde #说明：验证字的配置需要与对端设备相同。 # 退回系统视图。

[USG2100 B-ike-peer-a] quit # 创建IPSec策略。

[USG2100 B] ipsec policy map1 10 isakmp # 引用IKE Peer。

[USG2100 B-ipsec-policy-isakmp-map1-10] ike-peer a # 引用IPSec提议。

[USG2100 B-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。

[USG2100 B-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。

[USG2100 B-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。

[USG2100 B] interface Ethernet 0/0/0 # 引用IPSec策略。

[USG2100 B-Ethernet0/0/0] ipsec policy map1 # 退回系统视图。

[USG2100 B-Ethernet0/0/0] quit

3、实验八：配置防火墙GRE隧道

步骤1：配置USG2100 A #输入用户名 admin

#输入密码 Admin123

#切换语言模式为中文模式

...

language-mode chinese # 进入系统视图。

system-view # 配置本端设备的名称。 [USG2100] sysname USG2100 A # 配置Ethernet 0/0/0的IP地址。 [USG2100 A] interface Ethernet 0/0/0

[USG2100 A-Ethernet0/0/0] ip address 192.13.2.1 24 [USG2100 A-Ethernet0/0/0] quit # 创建编号为5的VLAN。 [USG2100 A] vlan 5 [USG2100 A-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 A] interface Ethernet 1/0/0

[USG2100 A-Ethernet1/0/0] port access vlan 5 [USG2100 A-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置VLAN接口。 [USG2100 A] interface vlanif 5

[USG2100 A-Vlanif5] ip address 200.39.1.1 24 [USG2100 A-Vlanif5] quit # 创建Tunnel1接口。

[USG2100 A] interface tunnel 1 # 配置Tunnel1接口的IP地址。

[USG2100 A-Tunnel1] ip address 10.1.2.1 24 # 配置Tunnel封装模式。

[USG2100 A-Tunnel1] tunnel-protocol gre

# 配置Tunnel1接口的源地址（USG2100 A的Ethernet 0/0/0的IP地址）。 [USG2100 A-Tunnel1] source 192.13.2.1

# 配置Tunnel1接口的目的地址（USG2100 B的Ethernet 0/0/0的IP地址）。 [USG2100 A-Tunnel1] destination 192.13.2.3 # 退回系统视图。

[USG2100 A-Tunnel1] quit

# 配置从USG2100 A经过Tunnel1接口到Group2的静态路由。 [USG2100 A] ip route-static 172.70.2.0 255.255.255.0 tunnel 1 # 配置Vlanif 5加入Trust区域。 [USG2100 A] firewall zone trust

[USG2100 A-zone-trust] add interface Vlanif 5 [USG2100 A-zone-trust] quit # 进入Untrust区域视图。

[USG2100 A] firewall zone untrust

# 配置Ethernet 0/0/0加入Untrust区域。

[USG2100 A-zone-untrust] add interface Ethernet 0/0/0 # 配置Tunnel 1加入Untrust区域。

[USG2100 A-zone-untrust] add interface Tunnel 1

...

# 退回系统视图。

[USG2100 A-zone-untrust] quit # 配置域间缺省包过滤规则。

[USG2100 A] firewall packet-filter default permit all

步骤2：配置USG2100 B #输入用户名 admin

#输入密码 Admin123

#切换语言模式为中文模式

language-mode chinese # 进入系统试图。

system-view # 配置本端设备的名称。 [USG2100] sysname USG2100 B # 配置Ethernet 0/0/0的IP地址。 [USG2100 B] interface Ethernet 0/0/0

[USG2100 B-Ethernet0/0/0] ip address 192.13.2.3 24 [USG2100 B-Ethernet0/0/0] quit # 创建编号为5的VLAN。 [USG2100 B] vlan 5 [USG2100 B-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 B] interface Ethernet 1/0/0

[USG2100 B-Ethernet1/0/0] port access vlan 5 [USG2100 B-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置VLAN接口。 [USG2100 B] interface vlanif 5

[USG2100 B-Vlanif5] ip address 172.70.2.1 24 [USG2100 B-Vlanif5] quit # 创建Tunnel2接口。

[USG2100 B] interface tunnel 2 # 配置Tunnel2接口的IP地址。

[USG2100 B-Tunnel2] ip address 10.1.2.2 24 # 配置Tunnel封装模式。

[USG2100 B-Tunnel2] tunnel-protocol gre

# 配置Tunnel2接口的源地址（Ethernet 0/0/0的IP地址）。 [USG2100 B-Tunnel2] source 192.13.2.3

# 配置Tunnel2接口的目的地址（USG2100 A的Ethernet 0/0/0的IP地址）。 [USG2100 B-Tunnel2] destination 192.13.2.1 # 退回系统视图

[USG2100 B-Tunnel2] quit

# 配置从USG2100 B经过Tunnel2接口到Group1的静态路由。

...

[USG2100 B] ip route-static 200.39.1.0 255.255.255.0 tunnel 2 # 进入Trust区域视图。 [USG2100 B] firewall zone trust # 配置Vlanif 5加入Trust区域。

[USG2100 B-zone-trust] add interface Vlanif 5 [USG2100 B-zone-trust] quit # 进入Untrust区域。

[USG2100 B] firewall zone untrust

# 配置Ethernet 0/0/0加入Untrust区域。

[USG2100 B-zone-untrust] add interface Ethernet 0/0/0 # 配置Tunnel 2加入Untrust区域。

[USG2100 B-zone-untrust] add interface Tunnel 2 # 退回系统视图。

[USG2100 B-zone-untrust] quit # 配置域间缺省包过滤规则。

[USG2100 B] firewall packet-filter default permit all

4、 实验十一：配置L2TP VPN

步骤1：LAC侧的配置 #输入用户名 admin

#输入密码 Admin123

#切换语言模式为中文模式

language-mode chinese # 进入系统视图。

system-view # 配置本端设备的名称。 [USG2130] sysname LAC

# 配置Ethernet 0/0/0的IP地址。 [LAC] interface Ethernet 0/0/0

[LAC-Ethernet0/0/0] ip address 2.2.2.1 16 [LAC-Ethernet0/0/0] quit # 创建编号为5的VLAN。 [LAC] vlan 5 [LAC-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN 5。 [LAC] interface Ethernet 1/0/0

[LAC-Ethernet1/0/0] port access vlan 5 [LAC-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。 [LAC] interface vlanif 5

[LAC-Vlanif5] ip address 200.39.1.1 24 [LAC-Vlanif5] quit

...

# 配置Vlanif 5加入Trust区域。 [LAC] firewall zone trust

[LAC-zone-trust] add interface Vlanif 5 [LAC-zone-trust] quit

# 进入Untrust区域视图。 [LAC] firewall zone untrust

# 配置Ethernet 0/0/0加入Untrust区域。 [LAC-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。 [LAC-zone-untrust] quit # 配置缺省路由。

[LAC] ip route-static 0.0.0.0 0.0.0.0 2.2.2.2

2.2.2.2为LAC的下一跳设备的IP地址。 # 创建虚拟接口模板。

[LAC] interface Virtual-Template 1 # 配置PPP认证方式。（配置的时候会有个提示：请确认对端设备已具备相应的PPP协议？[Y/N],这里选Y。）

[LAC-Virtual-Template1] ppp authentication-mode chap # 退回系统视图。

[LAC-Virtual-Template1] quit # 进入Vlanif 5视图。 [LAC] interface Vlanif 5

# 配置接口绑定虚拟接口模板。

[LAC-Vlanif5] pppoe-server bind virtual-template 1

虚拟接口模板可以与LAC的任一接口绑定。 # 退回系统视图。 [LAC-Vlanif5] quit

# 进入Untrust区域视图。 [LAC] firewall zone untrust

# 配置虚拟接口模板加入Untrust区域。

[LAC-zone-untrust] add interface Virtual-Template 1 # 退回系统视图。 [LAC-zone-untrust] quit # 使能L2TP功能。 [LAC] l2tp enable

# 配置用户名带域名的后缀分隔符。 [LAC] l2tp domain suffix-separator # 创建L2TP组。 [LAC] l2tp-group 1

# 配置L2TP隧道LNS端IP地址。

[LAC-l2tp1] start l2tp ip 2.2.2.2 fullusername vpnuserdomain1

...

A．USG2130缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令，需要配置tunnel password命令。

B．LAC端配置的隧道验证时的密码需要与LNS端的配置保持一致。 # 启动L2TP隧道认证。

[LAC-l2tp1] tunnel authentication # 配置L2TP隧道认证密码。

[LAC-l2tp1] tunnel password simple Hello123 # 配置隧道本端名称。 [LAC-l2tp1] tunnel name lac # 退回系统视图。 [LAC-l2tp1] quit # 进入AAA视图。 [LAC] aaa

# 创建名称为domain1的域。 [LAC-aaa] domain domain1 # 退回AAA视图。

[LAC-aaa-domain-domain1] quit # 配置本地用户和密码。

[LAC-aaa] local-user vpnuserdomain1 password simple VPNuser123 # 退回系统视图。 [LAC-aaa] quit

# 配置域间缺省包过滤规则。

[LAC] firewall packet-filter default permit interzone untrust local [LAC] firewall packet-filter default permit interzone trust untrust

由于LAC需要与LNS设备进行PPP协商，也需要传输PC的连接请求，故配置上述域间的缺省包过滤规则。

步骤2：LNS侧的配置 #输入用户名 admin

#输入密码 Admin123

#切换语言模式为中文模式

language-mode chinese # 进入系统视图。

system-view # 配置本端设备的名称。 [USG2130] sysname LNS

# 配置Ethernet 0/0/0的IP地址。 [LNS] interface Ethernet 0/0/0

[LNS-Ethernet0/0/0] ip address 2.2.2.2 16 [LNS-Ethernet0/0/0] quit # 创建编号为5的VLAN。

...

[LNS] vlan 5 [LNS-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN 5。 [LNS] interface Ethernet 1/0/0

[LNS-Ethernet1/0/0] port access vlan 5 [LNS-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。 [LNS] interface vlanif 5

[LNS-Vlanif5] ip address 172.70.2.1 24 [LNS-Vlanif5] quit

# 配置Vlanif 5加入Trust区域。 [LNS] firewall zone trust

[LNS-zone-trust] add interface Vlanif 5 [LNS-zone-trust] quit

# 进入Untrust区域视图。 [LNS] firewall zone untrust

# 配置Ethernet 0/0/0加入Untrust区域。 [LNS-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。 [LNS-zone-untrust] quit # 配置缺省路由。

[LNS] ip route-static 0.0.0.0 0.0.0.0 2.2.2.1

3.3.3.10为LNS的下一跳设备的IP地址。 # 创建虚拟接口模板。

[LNS] interface Virtual-Template 1 # 配置虚拟接口模板的IP地址。

[LNS-Virtual-Template1] ip address 10.1.1.1 24

配置虚拟接口模板的IP地址为LNS侧的必配项。 # 配置PPP认证方式。

[LNS-Virtual-Template1] ppp authentication-mode chap # 配置为对端接口分配IP地址池中的地址。 [LNS-Virtual-Template1] remote address pool 1

此处引用的地址池号需要与AAA视图下的相对应。否则LNS无法为PC分配地址。 # 退回系统视图。

[LNS-Virtual-Template1] quit # 进入Untrust区域视图。 [LNS] firewall zone untrust

# 配置虚拟接口模板加入Untrust区域。

[LNS-zone-untrust] add interface Virtual-Template 1

虚拟接口模板可以加入LNS的任一安全区域，但为LNS侧的必配项。

...

# 退回系统视图。 [LNS-zone-untrust] quit # 使能L2TP功能。 [LNS] l2tp enable

# 配置用户名带域名的后缀分隔符。 [LNS] l2tp domain suffix-separator # 配置L2TP组。 [LNS] l2tp-group 1

# 指定接受呼叫时隧道对端的名称及所使用的Virtual-Template。 [LNS-l2tp1] allow l2tp virtual-template 1 # 使能L2TP隧道认证。

[LNS-l2tp1] tunnel authentication # 配置L2TP隧道认证密码。

[LNS-l2tp1] tunnel password simple Hello123

A．USG2130缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令，需要配置tunnel password命令。

B．LNS端配置的隧道验证时的密码需要与LAC端的配置保持一致。 # 配置隧道本端名称。 [LNS-l2tp1] tunnel name lns # 退回系统视图。 [LNS-l2tp1] quit # 进入AAA视图。 [LNS] aaa

# 创建本地用户名和密码。

[LNS-aaa] local-user vpnuserdomain1 password simple VPNuser123 # 创建名称为domain1的域。 [LNS-aaa] domain domain1 # 配置公共IP地址池。

[LNS-aaa-domain-domain1] ip pool 1 10.1.1.2 10.1.1.100 # 退回AAA视图。

[LNS-aaa-domain-domain1] quit # 退回系统视图。 [LNS-aaa] quit

# 配置域间缺省包过滤规则。

[LNS] firewall packet-filter default permit interzone local untrust

由于LNS需要给PC分配IP地址，此时不能配置确切的ACL及域间规则。同时，需要打开Local和Untrust域间的缺省过滤规则。

[LNS] firewall packet-filter default permit interzone trust untrust

...