希賽網(wǎng)2024上半年網(wǎng)絡(luò)工程師第一期?？蓟顒?dòng)已結(jié)束，現(xiàn)將2024上半年網(wǎng)絡(luò)工程師第一期?？荚嚲恚ò咐治觯┓窒斫o大家。本資料的PDF版本可在本文文首本文資料處或文末的資料下載欄目下載。

2024上半年網(wǎng)絡(luò)工程師第一期?？荚嚲恚ò咐治觯┎糠衷囶}如下：

1、

某學(xué)校欲構(gòu)建校園網(wǎng)，根據(jù)實(shí)際情況，計(jì)劃在校園總部采用有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)相結(jié)合的接入方式，校園分部通過(guò)Internet采用VPN技術(shù)與校園總部互聯(lián)，該校園網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示。

問(wèn)題內(nèi)容：

問(wèn)題1（6分）

IPSec是IETF（Internet Engineering Task Force）制定的一組開(kāi)放的網(wǎng)絡(luò)安全協(xié)議。它并不是一個(gè)單獨(dú)的協(xié)議，而是一系列為IP網(wǎng)絡(luò)提供安全性的協(xié)議和服務(wù)的集合，包括認(rèn)證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）兩個(gè)安全協(xié)議、密鑰交換和用于驗(yàn)證及加密的一些算法等。

請(qǐng)補(bǔ)充完成下面表空缺處。

問(wèn)題2（5分）

封裝模式是指將AH或ESP相關(guān)的字段插入到原始IP報(bào)文中，以實(shí)現(xiàn)對(duì)報(bào)文的認(rèn)證和加密，封裝模式有（1）模式和（2）模式兩種。（3）兩種模式的區(qū)別是什么？

問(wèn)題3（3分）

IKEv1 協(xié)商階段1支持兩種協(xié)商模式：（1）和（2），其中（3）模式減少了交換信息的數(shù)目，提高了協(xié)商的速度，但是沒(méi)有對(duì)身份信息進(jìn)行加密保護(hù)。

問(wèn)題4（6分）

R-A為校園分部網(wǎng)關(guān)，R-B為校園總部網(wǎng)關(guān)，分部與總部通過(guò)公網(wǎng)建立通信，含組播通信。現(xiàn)需求對(duì)分公司與總部之間相互訪問(wèn)的流量進(jìn)行安全機(jī)密保護(hù)，且支持隧道中間存在 NAT 設(shè)備的NAT穿越場(chǎng)景。故本例采用（1）技術(shù)解決。采用 ACL方式建立隧道時(shí)，配置基于ACL的 IPsec策略，以設(shè)備A為例，請(qǐng)完善配置命令。

[DeviceA]acl 3000

[DeviceA-acl4-advance-3000] rule 5 permit ip source（2） destination （3）

[DeviceA-ac14-advance-3000]quit