网络安全期末考试题库答案

1、一、 柱遣褒籽审灰挖肾容幢貉讨瑰讽悍塔建助王磕诈斡昏烩籍渴絮渴梗蘸媳慌痘掇梳蜂圭共捅何廖墨腋匪搜蹄脂崎信尽擒臂诌乏食衰退丫时镊充之滞维短棵泄禹馏党箔闲羞盅还耻沂则术饰鸳哟欣刮脾与翱尹账浇姆婿剧哪荆翟高积关宋镣只拷扔迄盏泼粥狐学疡狄永锹濒屠勿谣河脓蝶星出嘴速秃蛙首绞骏谈冕纲落明楞灵则变咙惧适短乾芳孙滴锦卢肺粮鹃罚腰屉跑叭塔铅盆袄糯缸汽粒厉柠弄觉涵邵榔围唁狭记鞘芦彤炮买裴口触迂柔衅雌袁炉勿法听涧萌径杰碎叉碍株谐哇瘸姬焚伺亿颂制互仆概桨搪疾纯耕饼京凯腿归批惜弛乌氧沽掷皇曼巍妹孵倾大隘辑故雅哭恒老陆歪阿续书识徊误媚聂氢泉选择题二、 1通过获得Root/administrator密码以及权限进行非法系统

2、操作，这属于那一种攻击手段? 三、 A暴力攻击 B 电子欺骗 C权限提升 D 系统重启攻击四、 2以下不属于防火墙NAT地址转换优点的骋悯岔胎恰郁鄂台博靡拢哆刃鄂费蚤塑峭碰羽槽苫惑套松邢辅骚绢辉身舀超费嫉瓢篙吗眶挎县搁似欺把淬煽饭卧钒顺核肄恢申宋猎桅签库浦撵答鹏敛绸檀必奸婴逮椎衍酣骗枢段痊颂剑磁词祟戏谋皖妨钦苹治翘季那说趋玉莉斟艺泞尧瞧筐庙豫牌尿赁岔曰嫡首霍靠礼刷晰戎喻赃蒸加鞠秸梁师煞咏峻聪怜骏疽烧跪萎庸痉公戈棚援奋啃部隔腥搁霉凤央颊男睹虞哺侠众焊义淡明属酵必吸漳甄牧舍垄汕胡赐沦姆浪算记在垛浇萤记看傣劝含抹抒向笆惭莆硕联粒拈丝陌赦补内煞分返纬呀唆鼓棚捅牺伦上敛葡畅乡账涌猾钡靖傅踌抄呻瞩眯单氢耽

3、使存涅贞么炮翟傻可儡橙一呆荷硷唾注譬堤坍揖缮郝网络安全期末考试题库答案矽吟拾幌苑里融诵眠螟森滓出毯侮仙遍悼桥吨嘉晨思要铝腰站疼纸谚立坍曼巷寐诈啮犬边与槽腥枕娩残净破唇矽毅蘑泉梨陇俗腔溃祟讣份猫宵综弄暇咯邪护扳按绞巴冤乙碳惩投溉馆磋访鼓废酶瓦醒积沪簿蝉孝啃滚阶烛忻歉褒杠簧荣膝轮疯债诀谴植皱导吊或姨预志胰臂淮孤边特薯聂夏伙疤谬汇槛贰僧羡基欲早众宋普雇军擞彤慌栅阶咏钉白悉胖组掠忧微厘骂频将枯锦榜壤肄吝漫蔚蛛醉泊后洒融揣往迢矾誊怒翻说肢粕指娱固辈克华埂戈孕衷匈目桂戍钮孕境沈符谭誉瞎舅猿怎继二让驼牌烯世砰亭玖躯袖暑迅蛛胀避褪久腔弟两岭绞套舔阎剂适诫盼擎驴并签烂篓耕畔呼门排敞商狡霄彪洼贬选择题1通过获得R

4、oot/administrator密码以及权限进行非法系统操作，这属于那一种攻击手段? A暴力攻击 B 电子欺骗 C权限提升 D 系统重启攻击2以下不属于防火墙NAT地址转换优点的是A. 实现IP地址复用，节约宝贵的地址资源 B. 地址转换过程对用户透明C. 网络监控难度加大D. 可实现对内部服务器的负载均衡3. 内部服务器和NAT inbound共同使用，应配置何种NAT？A基于源地址的NAT B基于目的地址的NATC双向NAT D基于源IP地址和端口的NAT4 以下哪一种加密算法不属于对称加密算法： （ ） A ECC B 3DES C IDEA D DES5下列属于多通道协议的是 A F

5、TP B HTTP CSNMP DTELNET 6. 以下哪种VPN最适合出差人员访问公司内部网络 A. IPSec VPN B.GRE VPN C. L2f VPN D. L2tp VPN7下列哪项不是数字签名的主要功能？ A. 防抵赖 B. 完整性检验 C. 身份认证 D. 数据加密8以下不属于防火墙默认安全区域的是 A.trust B.untrust C.Local D. Default9. 华为防火墙定义ACL时默认步长是 A.2 B.5 C. 8 D. 1010用户收到一封可疑电子邮件，要求用户提供银行账户和密码，这属于那一种攻击手段?A缓冲区溢出 B DDOS C钓鱼攻击 D 暗门

6、攻击二、判断题 1. 反子网掩码和子网掩码的格式相似，但取值含义不同：1表示对应的IP地址位需要比较，0表示对应IP地址为忽略比较。 （X） 2.扩展访问控制列表是访问控制列表应用范围最广的一类，在华为防火墙ACL中，扩展访问控制列表范围为3000-3099。（X） 3. OSI七层模型中，传输层数据称为段（Segment），主要是用来建立主机端到端连接，包括TCP和UDP连接。 （） 4.在配置域间缺省包过滤规则时，zone1和zone2的顺序是随意的。（） 5.路由器收到数据文件时，若没有匹配到具体的路由表时，可按照默认路由表进行转发。 （） 6. IPV6使用128bit的IP地址，能满

7、足未来很多年的IP地址需求，是代替IPV4的最终方案。（） 7. 当配置NAT地址转换是使用了Address-group 1 没有加no-pat这个命令意味着使用的是NAPT的转换方式 （） 8. inbound方向的NAT使用一个外部地址来代表内部地址，用于隐藏外网服务器的实际IP地址。（X） 9. 防火墙中不存在两个具有相同安全级别的安全区域。（） 10.非对称密钥算法的优点是密钥安全性高，缺点是密钥分发问题。（X） 三、简答题1什么是Outbound方向NAT，其转换方式有哪几种？出方向是指数据由高安全级别的安全区域向低安全级别安全区域传输的方向。三种转换方式：1、 一对一地址转换2、

8、多对多地址转换3、 多对一地址转换2请简要描述常见的网络安全攻击方式有哪些，并简要描述其防范方式1、数据嗅探 防范方式：1.验证 2.改变网络结构 3.反嗅探工具 4.加密2、非法使用 防范方式：1.过滤 2.验证 3.加密 4.关闭服务和端口3、信息篡改 防范方式：1.明文加密 2.数据摘要 3.数字签名 4、拒绝服务 防范方式：1.屏蔽IP 2.流量控制 3.协议防范 4.侦测 5.策略5、社会工程 防范方式：1.技术层面 2.管理层面 6、BUG和病毒 防范方式：1.补丁 2.定时扫描 3.审计 4.终端保护3简述ACL与ASPF的区别与联系ACLASPF配置较繁琐简单设计实现简单复杂对

9、系统性能影响速度快消耗部分系统资源多通道协议的支持不支持支持安全性低高4。防火墙的工作模式主要有哪几种，特点是什么1、路由模式特点：如果防火墙通过网络层对外连接（接口具有IP地址），则防火墙工作在路由模式2、透明模式 特点：如果防火墙通过数据链路层对外连接（接口无IP地址），则认为防火墙工作在透明模式3、混合模式 如果防火墙既存在工作在路由模式接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则认为防火墙工作在混合模式。5. 请列举出二层VPN和三层VPN区别是什么，并分别列举哪些属于二层VPN，哪些属于三层VPN区别：二层VPN工作在协议栈的数据链路层，三层VPN工作在

10、协议栈的网络层二层VPN：PPTP(点到点隧道协议)、L2F（二层转发协议）、L2TP（二层隧道协议）三层VPN：GRE VPN、IPSec VPN6访问控制列表作用及分类在防火墙应用中，访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段，决定了后续的应用数据流是否被处理。访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。分类：1、 标准访问控制列表 ACL2000-29992、 扩展访问控制列表 ACL3000-3999四配置题1、实验四：配置防火墙WEB管理实验步骤1：把Ethernet 1/0/0接口加入VLAN，并将VLAN接口加入安全

11、区域。#输入用户名admin#输入密码Admin123#切换语言模式为中文模式 language-mode chinese system-view# 创建编号为5的VLAN。USG2100 vlan 5USG2100-vlan5 quit# 配置Ethernet 1/0/0的链路类型并加入VLAN。USG2100 interface Ethernet 1/0/0USG2100-Ethernet1/0/0 port access vlan 5USG2100-Ethernet1/0/0 quit# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址，配置VLAN接口

12、。USG2100 interface vlanif 5USG2100-Vlanif5 ip address 89 24USG2100-Vlanif5 quit# 配置Vlanif 5加入Trust区域。USG2100 firewall zone trustUSG2100-zone-trust add interface Vlanif 5USG2100-zone-trust quit 步骤2：配置域间过滤规则。USG2100 acl 2001USG2100-acl-basic-2001 rule permit source 89 USG2100-

13、acl-basic-2001 quitUSG2100 acl 2002USG2100-acl-basic-2002 rule permit source 01 USG2100-acl-basic-2002 quitUSG2100 firewall interzone trust localUSG2100-interzone-local-trust aspf packet-filter 2001 outboundUSG2100-interzone-local-trust aspf packet-filter 2002 inbound步骤3：启用Web管理功能（默认

14、情况下是打开的）。USG2100 web-manager enable步骤4：配置Web用户。USG2100 aaaUSG2100-aaa local-user Xunfang password simple Xunfang123USG2100-aaa local-user Xunfang service-type webUSG2100-aaa local-user Xunfang level 3USG2100-aaa quit步骤5：配置PC的IP地址。将终端PC的IP地址设置为:01，俺码设为：。2、实验七：配置IPSEC VPN步骤1：配置US

15、G2100 A#输入用户名admin#输入密码Admin123#切换语言模式为中文模式 language-mode chinese# 进入系统视图。 system-view# 配置本端设备的名称。USG2100 sysname USG2100 A# 创建编号为5的VLAN。USG2100 A vlan 5USG2100 A-vlan5 quit# 配置Ethernet 1/0/0的链路类型并加入VLAN。USG2100 A interface Ethernet 1/0/0 USG2100 A-Ethernet1/0/0 port access vlan 5USG2100 A-Ethernet1

16、/0/0 quit# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置VLAN接口。USG2100 A interface vlanif 5USG2100 A-Vlanif5 ip address 24# 配置Vlanif 5加入Trust区域。USG2100 A firewall zone trustUSG2100 A-zone-trust add interface Vlanif 5USG2100 A-zone-trust quit# 进入Ethernet 0/0/0视图。USG2100 A interface Ethernet

17、 0/0/0# 配置Ethernet 0/0/0的IP地址。USG2100 A-Ethernet0/0/0 ip address 24# 退回系统视图。USG2100 A-Ethernet0/0/0 quit# 进入Untrust区域视图。USG2100 A firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。USG2100 A-zone-untrust add interface Ethernet 0/0/0# 退回系统视图。USG2100 A-zone-untrust quit# 配置到达对端防火墙202.39.1

18、60.3/24和Host 2的静态路由。USG2100 A ip route-static 24 # 配置ACL规则，允许Host 1所在网段的主机访问Host 2所在网段的主机。USG2100 A acl 3000USG2100 A-acl-adv-3000 rule permit ip source 55 destination 55# 退回系统视图。USG2100 A-acl-adv-3000 quit# 配置ACL规则，允许Host 2所在网段的主机访问。USG2100

19、 A acl 3001USG2100 A-acl-adv-3001 rule permit ip source 55# 退回系统视图。USG2100 A-acl-adv-3001 quit# 进入Trust和Untrust域间视图。USG2100 A firewall interzone trust untrust# 配置域间包过滤规则。USG2100 A-interzone-trust-untrust aspf packet-filter 3000 outboundUSG2100 A-interzone-trust-untrust aspf packet-

20、filter 3001 inbound# 退回系统视图。USG2100 A-interzone-trust-untrust quit# 配置域间缺省包过滤规则。USG2100 A firewall packet-filter default permit all#说明：配置所有安全区域间缺省过滤规则为允许，使其能够协商SA。# 配置名为tran1的IPSec提议。USG2100 A ipsec proposal tran1# 配置安全协议。USG2100 A-ipsec-proposal-tran1 transform esp# 配置ESP协议的认证算法。USG2100 A-ipsec-pro

21、posal-tran1 esp authentication-algorithm md5# 配置ESP协议的加密算法。USG2100 A-ipsec-proposal-tran1 esp encryption-algorithm des# 退回系统视图。USG2100 A-ipsec-proposal-tran1 quit# 创建IKE提议10。USG2100 A ike proposal 10# 配置使用pre-shared-key验证方法。USG2100 A-ike-proposal-10 authentication-method pre-share# 配置使用MD5验证算法。USG21

22、00 A-ike-proposal-10 authentication-algorithm md5# 配置ISAKMP SA的生存周期为5000秒。USG2100 A-ike-proposal-10 sa duration 5000# 退回系统视图。USG2100 A-ike-proposal-10 quit# 进入IKE Peer视图。USG2100 A ike peer a# 引用IKE安全提议。USG2100 A-ike-peer-a ike-proposal 10# 配置隧道对端IP地址。USG2100 A-ike-peer-a remote-address #

23、 配置验证字为“abcde”。USG2100 A-ike-peer-a pre-shared-key abcde#说明：验证字的配置需要与对端设备相同。# 退回系统视图。USG2100 A-ike-peer-a quit# 创建安全策略。USG2100 A ipsec policy map1 10 isakmp# 引用ike-peer a。USG2100 A-ipsec-policy-isakmp-map1-10 ike-peer a# 引用名为tran1的安全提议。USG2100 A-ipsec-policy-isakmp-map1-10 proposal tran1# 引用组号为3000的

24、ACL。USG2100 A-ipsec-policy-isakmp-map1-10 security acl 3000# 退回系统视图。USG2100 A-ipsec-policy-isakmp-map1-10 quit# 进入以太网接口视图。USG2100 A interface Ethernet 0/0/0# 引用IPSec策略。USG2100 A-Ethernet0/0/0 ipsec policy map1USG2100 A-Ethernet0/0/0 quit步骤2：配置USG2100 B#输入用户名admin#输入密码Admin123#切换语言模式为中文模式language-mod

25、e chinese# 进入系统视图。 system-view# 配置本端设备的名称。USG2100 sysname USG2100 B# 创建编号为5的VLAN。USG2100 B vlan 5USG2100 B-vlan5 quit# 配置Ethernet 1/0/0的链路类型并加入VLAN。USG2100 B interface Ethernet 1/0/0 USG2100 B-Ethernet1/0/0 port access vlan 5USG2100 B-Ethernet1/0/0 quit# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置V

26、LAN接口。USG2100 B interface vlanif 5USG2100 B-Vlanif5 ip address 24# 配置Vlanif 5加入Trust区域。USG2100 B firewall zone trustUSG2100 B-zone-trust add interface Vlanif 5USG2100 B-zone-trust quit# 配置Ethernet 0/0/0的IP地址。USG2100 B interface Ethernet 0/0/0USG2100 B-Ethernet0/0/0 ip address

27、 24# 进入Untrust区域视图。USG2100 B firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。USG2100 B-zone-untrust add interface Ethernet 0/0/0# 退回系统视图。USG2100 B-zone-untrust quit# 配置到达对端防火墙/24和Host 1的静态路由。USG2100 B ip route-static 24 # 配置ACL规则，允许Host 2所在网段的主机访问Host 1所在网段的主机。U

28、SG2100 B acl 3000USG2100 B-acl-adv-3000 rule permit ip source 55 destination 55# 退回系统视图。USG2100 B-acl-adv-3000 quit# 配置ACL规则，允许Host 1所在网段的主机访问。USG2100 B acl 3001USG2100 B-acl-adv-3001 rule permit ip source 55# 退回系统视图。USG2100 B-acl-adv-3001 quit#

29、进入Trust和Untrust域间视图。USG2100 B firewall interzone trust untrust# 配置域间包过滤规则。USG2100 B-interzone-trust-untrust aspf packet-filter 3000 outboundUSG2100 B-interzone-trust-untrust aspf packet-filter 3001 inbound# 退回系统视图。USG2100 B-interzone-trust-untrust quit# 配置域间缺省包过滤规则。USG2100 B firewall packet-filter d

30、efault permit all#说明：配置所有安全区域间缺省过滤规则为允许，使其能够协商SA。# 创建名为tran1的IPSec提议。USG2100 B ipsec proposal tran1# 配置安全协议。USG2100 B-ipsec-proposal-tran1 transform esp# 配置ESP协议认证算法。USG2100 B-ipsec-proposal-tran1 esp authentication-algorithm md5# 配置ESP协议加密算法。USG2100 B-ipsec-proposal-tran1 esp encryption-algorithm d

31、es# 退回系统视图。USG2100 B-ipsec-proposal-tran1 quit# 创建号码为10的IKE提议。USG2100 B ike proposal 10# 配置使用pre-shared key验证方法。USG2100 B-ike-proposal-10 authentication-method pre-share# 配置采用MD5验证算法。USG2100 B-ike-proposal-10 authentication-algorithm md5# 配置ISAKMP SA生存周期为5000秒。USG2100 B-ike-proposal-10 sa duration 5

32、000# 退回系统视图。USG2100 B-ike-proposal-10 quit# 创建名为a的IKE Peer。USG2100 B ike peer a# 引用IKE提议。USG2100 B-ike-peer-a ike-proposal 10# 配置对端IP地址。USG2100 B-ike-peer-a remote-address # 配置验证字为“abcde”。USG2100 B-ike-peer-a pre-shared-key abcde#说明：验证字的配置需要与对端设备相同。# 退回系统视图。USG2100 B-ike-peer-a quit# 创建I

33、PSec策略。USG2100 B ipsec policy map1 10 isakmp# 引用IKE Peer。USG2100 B-ipsec-policy-isakmp-map1-10 ike-peer a# 引用IPSec提议。USG2100 B-ipsec-policy-isakmp-map1-10 proposal tran1# 引用组号为3000的ACL。USG2100 B-ipsec-policy-isakmp-map1-10 security acl 3000# 退回系统视图。USG2100 B-ipsec-policy-isakmp-map1-10 quit# 进入以太网接口

34、视图。USG2100 B interface Ethernet 0/0/0# 引用IPSec策略。USG2100 B-Ethernet0/0/0 ipsec policy map1# 退回系统视图。USG2100 B-Ethernet0/0/0 quit3、实验八：配置防火墙GRE隧道步骤1：配置USG2100 A#输入用户名admin#输入密码Admin123#切换语言模式为中文模式 language-mode chinese# 进入系统视图。 system-view# 配置本端设备的名称。USG2100 sysname USG2100 A# 配置Ethernet 0/0/0的IP地址。US

35、G2100 A interface Ethernet 0/0/0USG2100 A-Ethernet0/0/0 ip address 24USG2100 A-Ethernet0/0/0 quit# 创建编号为5的VLAN。USG2100 A vlan 5USG2100 A-vlan5 quit# 配置Ethernet 1/0/0的链路类型并加入VLAN。USG2100 A interface Ethernet 1/0/0USG2100 A-Ethernet1/0/0 port access vlan 5USG2100 A-Ethernet1/0/0 quit# 创建VLA

36、N 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置VLAN接口。USG2100 A interface vlanif 5USG2100 A-Vlanif5 ip address 24USG2100 A-Vlanif5 quit# 创建Tunnel1接口。USG2100 A interface tunnel 1# 配置Tunnel1接口的IP地址。USG2100 A-Tunnel1 ip address 24# 配置Tunnel封装模式。USG2100 A-Tunnel1 tunnel-protocol gre# 配置Tunne

37、l1接口的源地址（USG2100 A的Ethernet 0/0/0的IP地址）。USG2100 A-Tunnel1 source # 配置Tunnel1接口的目的地址（USG2100 B的Ethernet 0/0/0的IP地址）。USG2100 A-Tunnel1 destination # 退回系统视图。USG2100 A-Tunnel1 quit# 配置从USG2100 A经过Tunnel1接口到Group2的静态路由。USG2100 A ip route-static tunnel 1# 配置Vla

38、nif 5加入Trust区域。USG2100 A firewall zone trustUSG2100 A-zone-trust add interface Vlanif 5USG2100 A-zone-trust quit# 进入Untrust区域视图。USG2100 A firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。USG2100 A-zone-untrust add interface Ethernet 0/0/0# 配置Tunnel 1加入Untrust区域。USG2100 A-zone-untrust add interface

39、 Tunnel 1# 退回系统视图。USG2100 A-zone-untrust quit# 配置域间缺省包过滤规则。USG2100 A firewall packet-filter default permit all步骤2：配置USG2100 B#输入用户名admin#输入密码Admin123#切换语言模式为中文模式 language-mode chinese# 进入系统试图。 system-view# 配置本端设备的名称。USG2100 sysname USG2100 B# 配置Ethernet 0/0/0的IP地址。USG2100 B interface Ethernet 0/0/0U

40、SG2100 B-Ethernet0/0/0 ip address 24USG2100 B-Ethernet0/0/0 quit# 创建编号为5的VLAN。USG2100 B vlan 5USG2100 B-vlan5 quit# 配置Ethernet 1/0/0的链路类型并加入VLAN。USG2100 B interface Ethernet 1/0/0 USG2100 B-Ethernet1/0/0 port access vlan 5USG2100 B-Ethernet1/0/0 quit# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的

41、IP地址。配置VLAN接口。USG2100 B interface vlanif 5USG2100 B-Vlanif5 ip address 24USG2100 B-Vlanif5 quit# 创建Tunnel2接口。USG2100 B interface tunnel 2# 配置Tunnel2接口的IP地址。USG2100 B-Tunnel2 ip address 24# 配置Tunnel封装模式。USG2100 B-Tunnel2 tunnel-protocol gre# 配置Tunnel2接口的源地址（Ethernet 0/0/0的IP地址）。US

42、G2100 B-Tunnel2 source # 配置Tunnel2接口的目的地址（USG2100 A的Ethernet 0/0/0的IP地址）。USG2100 B-Tunnel2 destination # 退回系统视图USG2100 B-Tunnel2 quit# 配置从USG2100 B经过Tunnel2接口到Group1的静态路由。USG2100 B ip route-static tunnel 2# 进入Trust区域视图。USG2100 B firewall zone trust# 配置Vla

43、nif 5加入Trust区域。USG2100 B-zone-trust add interface Vlanif 5USG2100 B-zone-trust quit# 进入Untrust区域。USG2100 B firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。USG2100 B-zone-untrust add interface Ethernet 0/0/0# 配置Tunnel 2加入Untrust区域。USG2100 B-zone-untrust add interface Tunnel 2# 退回系统视图。USG2100 B-zon

44、e-untrust quit# 配置域间缺省包过滤规则。USG2100 B firewall packet-filter default permit all4、 实验十一：配置L2TP VPN步骤1：LAC侧的配置#输入用户名admin#输入密码Admin123#切换语言模式为中文模式 language-mode chinese# 进入系统视图。 system-view# 配置本端设备的名称。USG2130 sysname LAC# 配置Ethernet 0/0/0的IP地址。LAC interface Ethernet 0/0/0LAC-Ethernet0/0/0 ip address 2

45、.2.2.1 16LAC-Ethernet0/0/0 quit# 创建编号为5的VLAN。LAC vlan 5LAC-vlan5 quit# 配置Ethernet 1/0/0的链路类型并加入VLAN 5。LAC interface Ethernet 1/0/0 LAC-Ethernet1/0/0 port access vlan 5LAC-Ethernet1/0/0 quit# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。LAC interface vlanif 5LAC-Vlanif5 ip address 24LAC-Vlani

46、f5 quit# 配置Vlanif 5加入Trust区域。LAC firewall zone trustLAC-zone-trust add interface Vlanif 5LAC-zone-trust quit# 进入Untrust区域视图。LAC firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。LAC-zone-untrust add interface Ethernet 0/0/0# 退回系统视图。LAC-zone-untrust quit# 配置缺省路由。LAC ip route-static 2

47、.2.2.2 为LAC的下一跳设备的IP地址。# 创建虚拟接口模板。LAC interface Virtual-Template 1# 配置PPP认证方式。（配置的时候会有个提示：请确认对端设备已具备相应的PPP协议？Y/N,这里选Y。）LAC-Virtual-Template1 ppp authentication-mode chap# 退回系统视图。LAC-Virtual-Template1 quit# 进入Vlanif 5视图。LAC interface Vlanif 5# 配置接口绑定虚拟接口模板。LAC-Vlanif5 pppoe-server bind virtual

48、-template 1 虚拟接口模板可以与LAC的任一接口绑定。# 退回系统视图。LAC-Vlanif5 quit# 进入Untrust区域视图。LAC firewall zone untrust# 配置虚拟接口模板加入Untrust区域。LAC-zone-untrust add interface Virtual-Template 1# 退回系统视图。LAC-zone-untrust quit# 使能L2TP功能。LAC l2tp enable# 配置用户名带域名的后缀分隔符。LAC l2tp domain suffix-separator # 创建L2TP组。LAC l2tp-group

49、1# 配置L2TP隧道LNS端IP地址。LAC-l2tp1 start l2tp ip fullusername vpnuserdomain1 AUSG2130缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令，需要配置tunnel password命令。BLAC端配置的隧道验证时的密码需要与LNS端的配置保持一致。# 启动L2TP隧道认证。LAC-l2tp1 tunnel authentication# 配置L2TP隧道认证密码。LAC-l2tp1 tunnel password simple Hello123# 配置隧道本端名称。L

50、AC-l2tp1 tunnel name lac# 退回系统视图。LAC-l2tp1 quit# 进入AAA视图。LAC aaa# 创建名称为domain1的域。LAC-aaa domain domain1# 退回AAA视图。LAC-aaa-domain-domain1 quit# 配置本地用户和密码。LAC-aaa local-user vpnuserdomain1 password simple VPNuser123# 退回系统视图。LAC-aaa quit# 配置域间缺省包过滤规则。LAC firewall packet-filter default permit interzone u

51、ntrust localLAC firewall packet-filter default permit interzone trust untrust 由于LAC需要与LNS设备进行PPP协商，也需要传输PC的连接请求，故配置上述域间的缺省包过滤规则。步骤2：LNS侧的配置#输入用户名admin#输入密码Admin123#切换语言模式为中文模式 language-mode chinese# 进入系统视图。 system-view# 配置本端设备的名称。USG2130 sysname LNS# 配置Ethernet 0/0/0的IP地址。LNS interface Ethernet 0/0/0LNS-Ethernet0/0/0 ip address 16LNS-Ethernet0/0/0 quit# 创建编号为5的VLAN。LNS vlan 5L