（含图）

【问题1】(每空1分，共6分)
根据上级统一规划部署，该校采用10.101.30.0/23地址段，各部门终端数量如表1-1所示。请将网络地址规划补充完整。

（含图）

（含图）

【问题1】(6分)
该企业规划的VPN通道起点和终点分别为总部Router_1、分部Router 2的Internet接口。
网络管理员小王经过需求分析，可选的VPN技术有 GRE VPN技术和IPSec VPN技术，如果只考虑通过VPN通道对传输的数据进行加密保护，应该选择(1)技术，如果只考虑需要在VPN隧道两端传输路由更新报文，应该选择(2)技术。
小王综合考虑GRE VPN技术和IPSec VPN技术的优劣势，将二者同时启用才能满足业务需求，请问将二者同时启用的 VPN 技术是(3)
对传输的IP 报文进行保护的IPSec 的封装模式应该选择(4)，安全协议选择(5).

（含图）

问题1(3分):在总部与分公司之间相连的VPN方式是(1)如果总部和分公司内部网路都升级成IPv6网，主干网络依然采用IPv4，在总部与分公司之间IPv6-over-IPv4 VPN隧道时，常用的两种隧道技术是(2)和自动隧道，其中自动隧道通过算法生成6to4地址，这种地址的范围是(3)

1备选答案
A.站点到站点
B.端到端
C.端到站点

2.配置安全策略，允许私网指定网段进行报文交互:
# 配置Trust域与Untrust域的安全策略，允许封装前和解封后的报文能通过
[FIREWALL1](8)
[FIREWALL1-policy-security] rule name 1
[FIREWALL1-policy-security-rule-1]source-zone (9)
[FIREWALL1-policy-security-rule-1] destination-zone untrust
[FIREWALL1-policy-security-rule-1]source-address (10)
[FIREWALL1-policy-security-rule-1] destination-address192.168.200.0 24
[FIREWALL1-policy-security-rule-1] action (11)
[FIREWALL1-policy-security-rule-1] quit
....
# 配置Local域与Untrust域的安全策略，允许IKE协商报文能正常通过FIREWALL1。
[FIREWALL1-policy-security] rule name 3
[FIREWALL1-policy-security-rule-3] source-zone local

[FIREWALL1-policy-security-rule-3] destination-zone untrust
[FIREWALL1-policy-security-rule-3]source-address 202.1.3.132
[FIREWALL1-policy-security-rule-3] destination-address202.1.5.1 32
[FIREWALL1-policy-security-rule-3] action permit
[FIREWALL1-policy-security-rule-3] quit
:
3.配置IPSec隧道。
#配置访问控制列表，定义需要保护的数据流
[FIREWALL1](12)
[FIREWALL1-acl-adv-3000]rule permit (13)
[FIREWALL1-acl-adv-3000]quit
# 配置名称为tran1的IPSec安全提议。
[FIREWALL1] ipsec proposal tran1
[FIREWALL1-ipsec-proposal-tran1l encapsulation-mode (14)
[FIREWALL1-ipsec-proposal-tran1]transform esp

[FIREWALL1-ipsec-proposal-tran1] esp
authentication-algorithm sha2-256
[FIREWALL1-ipsec-proposal-tran1lesp encryption-algorithmaes
[FIREWALL1-ipsec-proposal-tran1] quit
#配置序号为10的IKE安全提议。
[FIREWALL1](15)
[FIREWALL1-ike-proposal-10] authentication-method
pre-share
[FIREWALL1-ike-proposal-10]authentication-algorithm
sha2-256
[FIREWALL1-ike-proposal-10] quit
# 配置IKE用户信息表。
[FIREWALL1l ike user-table 1
[FIREWALL1-ike-user-table-1] user id-type ip 202.1.5.1pre-shared-key Admin@gkys
[FIREWALL1-ike-user-table-1] quit
# 配置IKE Peer。

[FIREWALL1] ike peer b
[FIREWALL1-ike-peer-b]ike-proposal 10
[FIREWALL1-ike-peer-b]user-table 1
[FIREWALL1-ike-peer-b] quit
# 配置名称为map_temp序号为1的IPSec安全策略模板。
[FIR锾俜造WALL1]ipsec policy-template map_temp 1
[FIREWALL1-ipsec-policy-template-map_temp-1] security ac!3000
[FIREWALL1-ipsec-policy-template-map_temp-1] proposaltran1
[FIREWALL1-ipsec-policy-template-map temp-1] ike-peer b
[FIREWALL1-ipsec-policy-template-map temp-1]
reverse-route enable
[FIREWALL1-ipsec-policy-template-map_temp-1] quit
# 在IPSec安全策略map1中引用安全策略模板map_temp。
[FIREWAL磯伛L1]ipsec policy map1 10 isakmp templatemap temp
# 在接口GiqabitEthernet 1/0/1上应用安全策略map1。

[FIREWALL1]interface GigabitEthernet 1/0/1
[FIREWALL1-GigabitEthernet1/0/1] ipsec policy map1
[FIREWALL1-GigabitEthernet1/0/1] quit

（含图）

【问题1】(每空1分)
根据拓扑图和规划表，完善下面路由器AR的部分配置:
<huawei>system-view
[huawei]sysname AR
[AR]GigabitEthernet0/0/0

[AR-GigabitEthernet0/0/0]ip address (1)

[AR-GigabitEthernet0/0/0]quit
[AR]interface (2)
[AR-GigabitEthernet0/0/1.1]control-vid 1 dot1g-termination//标识终结子接口，终结类型为dot1g
[AR-GigabitEthernet0/0/1.1]dot1g(3)vid(4)//处理VLAN ID为10的报文
[AR-GigabitEthernet0/0/1.1]ip address 192.168.10.1255.255.255.0 //VLAN 10的网关地址
[AR-GigabitEthernet0/0/1.1]arp broadcast (5)
[AR-GigabitEthernet0/0/1.1lquit
ARlntertaceGiaabitEthernet0/0/1.2
[AR-GigabitEthernet0/0/1.2]control-vid
(6)dot1g-termination
[AR-GigabitEthernet0/0/1.2]dot1g termination vid 20
[AR-GigabitEthernet0/0/1.2]ip address (7)
[AR-GigabitEthernet0/0/1.2]quit

[Switch A-GigabitEthernet0/0/1]port trunk allow-pass vlan(9)

......

[Switch B]interface Ethernet0/0/1
[Switch_B-Ethernet0/0/1]port link-type (10)
[Switch B-Ethernet0/0/1]port default vlan 10
[Switch B-Ethernet0/0/1]quit
[Switch B]interface Ethernet0/0/2
[Switch B-Ethernet0/0/2]port link-type access
[Switch B-Ethernet0/0/2]port default vlan (11)
[Switch B-Ethernet0/0/2]quit