1、2014年上半年软件水平考试(中级)网络工程师下午(应用技术)真题试卷及答案与解析 一、试题一( 15分) 0 阅读以下说明,回答问题 1至问题 3,将解答填入答题纸对应的解答栏内。 说明 某单位计划部署园区网络,该单位总部设在 A区,另有两个分部分别设在 B区和C区,各个地区之间的距离分布如图 11所示。该单位的主要网络业务需求在 A区,网络中心及服务器机房亦部署在 A区; B区的网络业务流量需求远大于 C区; C区虽然业务量小,但是网络可靠性要求高。根据业务需要,要求三个区的网络能够互联互通并且都能访问互联网。同时基 于安全考虑,该单位要求采用一套认证设备进行身份认证和上网行为管理。 1
2、问题 1 为保障业务需求,该单位采用两家运营商接入 Internet。根据题目需求,回答以下问题: 1两家运营商的 Intemet接入线路应部署在哪个区 ?为什么 ? 2网络运营商提供了 MPLSV PN和千兆裸光纤两种互联方式,哪一种可靠性高 ?为什么 ? 3综合考虑网络需求及运行成本, AB区之间与 AC区之间分别采用上述哪种方式进行互联 ? 2 问题 2该单位网络部署接入点情况如表 11所示。根据网络部署需求,该单位采购了相应的网络 设备,请根据题目说明及表 11,确定表 12所示的设备数量及合理的部署位置 (注:不考虑双绞线的距离限制 )。3 问题 3根据题目要求,在图 12的方框中画
3、出该单位的 A区网络拓扑示意图(汇聚层以下不画 )。 二、试题二( 15分) 3 阅读以下说明,回答问题 1至问题 5,将解答填入答题纸对应的解答栏内。 说明 某公司采用 Windows Server 2003操作系统搭建该公司的企业网站,要求用户在浏览器地址栏必须输入 https: www gongsi com index html或 https:117 112 89 67 index html来访问该公司网站。其中, index html文件存放在网站所在服务器 E: gsdata目录中。在服务器上安装完成 IIS6 0后,网站的属性窗口 网站 、 主目录 选项卡分别如图 21和图 22所
4、示。4 问题 1 1按照题目说明,图 21中的 “IP地址 ”文本框中的内容应为 (1); “SSL端口 ”文本框中的内容应为 (2)。 2在图 22中, “本地路径 ”文本框中的内容应为 (3);同时要保障用户通过题目要求的方式来访问网站,必须至少勾选 (4)复选框。 (4)备 选答案: A脚本资源访问 B读取 C写入 D目录浏览 5 问题 2配置该网站时,需要在如图 23所示的 目录安全性 选项卡中单击 服务器证书 按钮来获取服务器证书。其中获取服务器证书的步骤顺序如下: 生成证书请求文件; (5); 从 CA导出证书文件; 在 IIS服务器上导入并安装证书。配置完成后,当用户登录该网站时
5、,通过验 CA的签名来确认该数字证书的有效性,从而 (6), CA颁发给 Web网站的数字证书中不包括 (7)。(6) (7)备选答案: (6)A验证网站的真伪 B判断用户的权限 C加密 发往服务器的数据 D解密所接受的客户端数据 (7)A证书的有效期 B网站的公钥 C证书的序列号 D网站的私钥 6 问题 3 配置该网站时,在图 23所示的窗口中单击 安全通信 栏目中的 编辑 按钮,弹出如图 24所示的窗口。按照题目要求,客户端浏览器只能通过 HTTPS方式访问服务器,此时应勾选图 24中的 (8)框。如果要求客户端和服务器进行双向认证,此时应该勾选图 24中的 (9)框。 7 问题 4 HT
6、TPS用于在客户计算机和服务器之间提供安全通信,广泛用于因特网上安全敏感的应用,例如 (10)应用。 HTTPS使用安全套接字层 (SSL)进行信息交换。 SSL目前的版本是 3 0,被 IETF定义在 RFC6101中。 IETF对 SSL进行升级后的继任者是 (11)。 (10)备选答案如下: A网络聊天 B网络视频 C网上交易 D网络下载 8 问题 5 使用: HTTPS能不能确保服务器自身的安全 ? 三、试题三( 15分) 8 阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。 说明 某单位网络拓扑结构如图 31所示,在 Linux系统下构建 DNS服务器、 HCP
7、服务器和 Web服务器,要求如下: 1路由器连接各个子网的接口信息如下: (1)路由器 E0口的 IP地址为 192 168 1 1 25; (2)路由器 E1口的 IP地址为192 168 1 129 25; (3)路由器 E2口的 IP地址为 192 168 2 1 29; (4)路由器 E3口的 IP地址为 192 168 2 33 29。 2子网 1和子网 2内的客户机通过 DHCP服务器动态分配 IP地址; 3服务器设置固定 IP地址,其中: (1)DNS服务器采用 BIND构建, IP地址为 192 168 2 2; (2)DHCP服务器 IP地址为192 168 2 3; (3)
8、Web服务器网卡 eth0的 IP地址为 192 168 2 4, eth1的IP地址为 192 168 2 34。9 问题 1 请完成图 31中 Web服务器 eth1的配置。 DEVICE=eth1 BOOTPROTO=static ONBOOT=yes HWADDR=08: 00: 27: 24: F8: 9B NETMASK=(1) IPADDR=(2) GATEWAY=(3) TYPE=Ethernet NAME=“System eth1“ IPV6INIT=no 10 问题 2 请 完成图 31中 DNS服务器网卡的配置。 DEVICE=eth0 BOOTPROTO=statiC
9、ONBOOT=yes HWADDR=08: 00: 27: 21: A1: 78 NETMASK=(4) IPADDR=(5) GATEWAY=(6) TYPE=Ethernet NAME=“System eth0“ IPV6INIT=no 11 问题 3 请在 (7)、 (8)、 (9)处填写恰当的内容。 在 Linux系统中设置域名解析服务器,已知该域名服务器上文件 named conf的部分内容如下: options directory“ var named“; hoStname“ns1 teSt com“; allow-queryany; ; allow-recursionA; B;
10、C; D; recursion yes; ; acl“A“192 168 1 0 25; ; acl“B192 168 1 128 25; ; acl“C“192 168 2 0 29; ; acl“D“192 168 2 32 29; ; view“A“ match-ClientsA; ; recursion yes; Zone“test com“ type master; file“test com zone A“ ; ; view“B“ match-clientsany; ; recursion yes; Zone“test com“ type master; file“teSt com
11、 Zone B“ ; ; test corn zone A文件的部分配置如下: www IN A 192 168 2 4 test com zone B文件的部分配置如下: www IN A 192 168 2 34 IP地址 (7)不允许使用该 DNS进行递归查询,子网 1和子网 2中的客户端访问 www test com时,该 DNS解析返回的 IP地址分别为 (8)和 (9)。 (7)备选答案: A 192 168 1 8 B 192 168 1 133 C 192 168 2 10 D 192 168 2 6 (8)和 (9)备选答案: A 192 168 2 4 B 192 168
12、2 34 C 192 168 2 4或者 192 168 2 34 D 192 168 2 3和 192 168 2 34 12 问题 4 DHCP服务器配置文件如下所示: authoritative; ddns-updates off; max-lease-time604800; default-leaSe-time604800; allow unknown-clients; option domain-name-servers192 168 2 2 ddns-update-style none; allow client-updates; Subnet 192 168 2 32netmas
13、k255 255 255 248 option routers192 168 2 33; range192 168 2 35192 168 2 38; 根据这个文件中的内容,该 DHCP服务的默认租期是: (10)天, DHCP客户机能获得的 IP地址范围是:从 (11)到 (12),获得的 DNS服务器 IP地址为 (13)。 四、试题四( 15分) 12 阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。 说明 某企业总部设立在 A地,在 B地建有分支机构,分支机构和总部需要在网络上进行频繁的数据传输,该企业网络采用 IPSecVPN虚拟专用网技术实现分支 机构和总部之
14、间安全、快捷、经济的跨区域网络连接。该企业的网络拓扑结构如图 41所示。 该企业的网络地址规划及配置如表 41所示。13 问题 1 为了完成对 RouterA和 RouterB的远程连接管理,以 RouterA为例,完成初始化路由器,并配置 RouterA的远程管理地址 (192 168 1 20),同时开启 RouterA的Telnet功能并设置全局配置模式的访问密码,请补充完成下列配置命令。 RouterA enable RouterA#configureterminal RouterA(config)#interfacef0 0进入 F0 0的 (1)子模式 RouterA(config
15、-if)#ip addr(2)为 F0 0接口配置 IP地址 RouterA(config-if)#no shut (3)F0 0接口,默认所有路由器的接口都为 down状态 RouterA(config-if)#inter(4)进入 loopback0的接口配置子模式 RouterA(config-if)#ip addr(5)为 loopback0接口配置 IP地址 RouterA(config)#(6) 进入虚拟接口 0-4的配置子模式 RouterA(config-line)#password abc001配置 vty口令为 “abc001“ RouterA(config)#enable
16、 passwordabc001配置全局配置模式的明文密码为“abc001“ RouterA(config)#enable(7)abc001配置全局配置模式的密文密码为 “abc001“ 14 问题 2 VPN是建立在两个局域网出口之间的隧道连接,所以两个 VPN设备必须能够满足内网访问互联网的要求,以及需要配置 NAT。按照题目要求以 RouterA为例,请补充完成下列配置命令。 RouterA(config)#access-list101(8)ip192 168 1 00 0 0 255172 16 1 0 0 0 0 255 RouterA(config)#access-list101(9
17、)ip192 168 1 00 0 0 255any 定义需要被 NAT的数据流 RouterA(config)#ip nat inside source list101interface(10)overload 定义 NAT转换关系 RouterA(config)#int(11) RouterA(config-if)#ip nat inside RouterA(config)#int(12) RouterA(config-if)#ip nat outside定义 NAT的内部和外部接口 15 问题 3 配置 IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配,否则 VPN配置将会失
18、败。以 RouterB为例配置 IPSec VPN,请完成相关配置命令。 RouterB(config)#access-list102permit ip(13)定义需要通过 VPN加 密传输的数据流 RouterB(config)#crypto isakmp(14)启用 ISAKMP(IKE)RouterB(conflg)#crypto isakmp policy10 RouterB(config-isakmp)#authentication pre-share RouterB(config-isakmp)#encryption des RouterB(config-iSakmp)#hash
19、md5 RouterB(config-isakmp)#group2 RouterB(config)#crypto isakmp identity addresS RouterB(config)#crypto isakmp key abc001 address(15)指定共享密 钥和对端设备地址 RouterB(config)#crypto ipsec trans form-set ccie esp-des esp-md5-hmac RouterB(cfg-crypto-trans)#model tunnel RouterB(config)#crypto map abc00110ipsec-is
20、akmp RouterB(config)#int(16) RouterB(config-if)#crypto map abc001在外部接口上应用加密图 16 问题 4 根据题目要求,企业分支机构与总部之间采用 IPSec VPN技术互连, IPSec(IP Security)是 IETF为保证在 Internet上传送数据的安全保密性而制定的框架协议,该协议应用在 (17)层,用于保证和认证用户 IP数据包。 IPSec VPN可使用的模式有两种,其中 (18)模 式的安全性较强, (19)模式的安全性较弱。 IPSec主要由 AH、 ESP和 IKE组成,在使用 IKE协议时,需要定义 I
21、KE协商策略,该策略由 (20)进行定义。 2014年上半年软件水平考试(中级)网络工程师下午(应用技术)真题试卷答案与解析 一、试题一( 15分) 1 【正确答案】 1部署在 A区。网络业务主体在 A区,采用一套认证和上网行为管理。 2 MPLSVPN可靠性比较高,线路有冗余。 3 AB区之间采用千兆裸光纤, AC区之间采用 MPLS VPN。 【试题解析】 本问题考查广域网接入及网络互联 的问题。 1两家运营商的 Internet接入线路应部署在 A区。其主要原因有两点:首先,根据题目描述该单位的主要网络业务需求在 A区,网络中心及服务器机房亦部署在A区,另外,该单位要求采用一套认证设备进
22、行身份认证和上网行为管理,所以出口线路应集中在一个业务需求大的区域 (A区 )。这时,由于三个区域是互通的,其他区域也可通过 A区出口与互联网连接。 2网络运营商提供了 MPLS VPN和千兆裸光纤两种互联方式。这两种互联方式中 MPLS VPN的可靠性大于千兆裸光纤,这是由于当千兆裸光纤是物理链路,当其出现链路故障时 ,互联业务就会中断。 MPLS VPN属于逻辑链路。当单个物理链路出现故障时,只要其他链路可达, MPLS VPN还可提供互联服务。 3综合考虑网络需求及运行成本, AB区之间应采取千兆裸光纤互联模式, AC区之间应采用 MPLS VPN互联方式。 根据题目描述, B区的网络业
23、务流量需求远大于 C区; C区虽然业务量小,但是网络可靠性要求高。所以, AB区之间采取千兆裸光纤以适应大业务量, AC区之间采用 MPLS VPN在业务量不大但安全性要求较高时是合理的。 2 【正确答案】 (1)2 (2)C (3)B (4)A (5)28 (6)20 (7)7 (8)A。 【试题解析】 本问题考查的是网络设备选型的基础知识。 1根据题目描述可知, A区采用双核心交换机冗余,所以 A区核心交换机的数量为 2台。 2根据题目描述可知,所有汇聚点采用单模光纤上联至核心交换机 SFP单模模块。 A、 B、 C区的汇聚交换机分别有 5、 3、 2台,其中 A区是双核心交换机,故核心与
24、汇聚相连需要 20个 SFP单模模块,另外 A区需要和 B、 C区核心交换机互联,所以还需要 2个 SFP单模模块,共计 22个。同样可以推算出 B区需要 7个 S。 FP单模模块, C区需要 5个 SFP单模模块。 3 A、 B、 C区的接入点数参见表 11,不考虑双绞线的距离限制,只需要计算同一个楼内需要的 24口接入交换机数量即可。根据计算可知, A区需要 24口接入交换机 28个, B区需要 24口接入交换机 20个, C区需要 24口接入交换机 7个。 4由前述可知, Intrnet接入线路部署在 A区,所以路由器应部署在 A区。 3 【正确答案】 【试题解析】 本问题考查的是网络拓
25、扑的基础知识。根据题目的描述和设备配置表,注意 A区双核心的链路冗余的情况,另外注意 B区和 C区与 A区互联分别采用裸光纤和 MPLSVPN,所以网络拓扑结构图如下。二、试题二( 15分) 4 【正确答案】 (1)117 112 89 67或者全部未分配 (2)443 (3)E: gsdata (4)B。 【试题解析】 本问题主要考查的是利用: IIS搭建 web站点的配置过程。 在图 21可 从 “IP地址 ”下拉框中指定一个 IP地址或者输入用于访问该站点的 IP地址。如果没有分配指定的 IP地址,即选中 “全部未分配 ”选项,那么此站点将响应分配给该服务器但没有分配给其他站点的所有 I
26、P地址,并使它成为默认网站的IP地址。 “SSL端口 ”文本框是可选项目,用于指派与该网站标识相关联的 SSL端口。默认的 SSL端口号是 443。只有使用 SSL加密时才需要 SSL端口号。题目要求用户在浏览器地址栏必须输入 https: www gongsi corn index html或 https: 117 112 89 67 index html来访问该公司网站。所以在图 21中的 “IP地址 ”文本框中的内容应为 117 112 89 67或者全部未分配, “SSL,端口 ”文本框中的内容应为 443。 另外,根据题目要求 index html文件存放在网站所在服务器 E: gs
27、data目录中。所以在图 2-2中所示的 “主目录 ”选项卡中 “本地路径 ”文本框中的内容应为“E: gsdata”,以指明网站首页文档的物理存放路径。为保障用户对网站的访问,在图 22中应该至少勾选 “读取 ”复选框,并单击 “确定 ”或者 “应用 ”按钮。 5 【正确答案】 (5)CA颁发证书 (6)A (7)D。 【试题解析】 本问题主要考查的是配置安全的 Web网站时的步骤。 为了配置安全的 Web网站,获取并安装服务器证书的步骤依次为: 从 “管理工具 ”中进入 “Internet服务管理器 ”,右击需要配置的站点,在弹出的快捷菜单中选择 “属性 ”命令,接着单击 “目录安全性 ”
28、选项卡中的 “安全通信 ”组件框中 “服务器证书 ”按钮,通过 IIS证书向导生成证书请求文件。 向证书颁发机构 (CA)提交证书请求文件,证书颁发机构颁发相应的证书。 在申请证书的计算机浏览器上输入http:根 CA的 IP certsrv,进入证书申请页面。单击 “检查挂起的证书 ”链接,选择已经提交的证书申请。如果颁发机构已将证书颁发,则可单击 “安装此证书 ”按钮,即从证书颁发机构导出证书文件。 在 “目录安全性 ”选项卡中再次单击“安全通信 ”组件框中的 “服务器证书 ”按钮。在 IIS证书向导中进入 “挂起的证书请求 ”页面,选择 “处理挂起的请求,并安装证书 ”单选按钮,接着选择
29、刚才导出的CER文件。完成在 IIS服务器上导入并安装证书。 在 “目录安全性 ”选项卡中单击 “安全通信 ”组件框中的 “编辑 ”按钮,打开 “安全通信 ”对话框。在该对话框中可根 据所需要的安全要求配置相应的身份验证方式和 SSL安全通道。 综上所述,为配置安全的 Web网站,获取并安装服务器证书的步骤顺序如下: 生成证书请求文件; CA颁发证书; 从 CA导出证书文件; 在 IIS服务器上导入并安装证书。数字证书能够验证一个实体身份,而这是在保证数字证书本身有效性的前提下才能够实现的。验证数字证书的有效性是通过验证 CA的签名实现的。某网站向 CA申请了数字证书,当用户登录该网站时通过验
30、证 CA对其的签名来确认该数字证书的有效性,从而验证该网站的真伪。 CA颁发给网站的数字证书包含多项内容 (如证书 的版本号、序列号、网站的公钥、 CA的签名、证书的有效期等 ),但是不包括网站的私钥。 6 【正确答案】 (8)要求安全通道 (SSL) (9)要求客户端证书。 【试题解析】 本问题主要考查配置安全的 Web网站的过程。 配置安全的 Web站点时,在图 23中的 “目录安全性 ”选项卡中单击 “安全通信 ”组件框中的 “编辑 ”按钮,系统将打开图 24中 “安全通信 ”对话框。如果要求客户只能通过使用 HTTPS服务访问该网站,则应该选中 “要求安全通道 (SSL)”复选框。在
31、“客户端证书 ”下,选择以下某一选项以启用客户端证书验 证:接受客户端证书,用户可以使用客户端证书访问资源,但证书并不必需。若要求客户端证书,则服务器在将用户与资源连接之前要请求客户端证书,将拒绝没有有效客户端证书的用户的访问。若忽略客户端证书,无论用户是否拥有证书,都将被授予访问权限。如果要求客户端和服务器进行双向认证,则应该选中 “要求客户端证书 ”复选框。 7 【正确答案】 (10)C (11)TLS或者 Transport Layer Security。 【试题解析】 本问题主要考查的是 HTTPS的基本知识。 Https是基于安全目的的 Http通道, 其安全基础由 SSL层来保证。
32、最初由netscape公司研发,主要提供了通讯双方的身份认证和加密通信方法。现在广泛应用于互联网上对安全敏感的通讯,如网上交易、在线支付等。 安全套接层 (Secure Sockets Layer, SSL),一种安全协议,是网景公司 (Netscape)在推出 Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。 SSL在传输层对网络连接进行加密。 SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。它在服务器和客户机两 端可同时被支持,目前已成为互联网上保密通讯的工业标准。现行 Web浏览器亦普遍将 HTTP和 SSL相结
33、合,从而实现安全通信。此协议的继任者是 TLS。 IETF(www ietf org)将 SSL作了标准化,即 RFC2246,并将其称为TLS(Transport Layer Security),其最新版本是 RFC5246,版本 1 2。从技术上讲, TLS1 0与 SSL3 0的差异非常微小。 TLS利用密钥算法在互联网上提供端点身份认证与通讯保密,其基础是公钥基础设施 (public key infrastructure,PKI)。 8 【正确答案】 不能。 【试题解析】 Https的限制主要是它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持。这里面一种常见的误解是
34、“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。 ”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生,攻击者尝试窃听数据于传输中。商业网站被人们期 望迅速尽早引入新的特殊处理程序到金融网关,仅保留传输码 (transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。 因此使用 HTTPS不能确保服务器自身的安全。 三、试题三(
35、15分) 9 【正确答案】 (1)255 255 255 248 (2)192 168 2 34 (3)192 168 2 33。 【试题解析】 本问题考查网络地址规划和 Linux系统下网卡网络配置的基本知识。 2种表示方式的子网掩码换算, 29位 的子网掩码换算后为 255 255 255 248。Linux系统下网络配置参数中 NETMASK代表子网掩码, IPADDR代表 IP地址, GATEWAY代表子网网关地址。 10 【正确答案】 (4)255 255 255 248 (5)192 168 2 2 (6)192 168 2 1。 【试题解析】 本问题考查网络地址规划和 Linux
36、系统下网卡网络配置的基本知识和两种表示方式的子网掩码换算。 Linux系统下网络配置参数中 NETMASK代表子网掩码, IPADDR代表 IP地址, GATEWAY代表 子网网关地址。 11 【正确答案】 (7)C (8)A (9)B。 【试题解析】 本问题考查 Linux系统下基于 BIND的 DNS服务配置。 通过 allow-recursionA; B; C; D命令,可以看出 ac1A、 B、 C、 D允许递归查询,选项 A、 B、 D对应的 IP地址分别在定义的 ac1A、 B、 C子网中,选项 C对应的 IP地址不在 ac1A、 B、 C、 D任何子网中,故选 C。 客户端访问
37、www test com时,子网 1的客户端对应 ac1A,会访问 viewA中的域名配置文件 test com zone A,故 解析出的 IP地址为 192 168 2 4;子网 2的客户端不在 ac1A中,则会访问 viewB中的域名配置文件test com zone B,故解析出的 IP地址为 192 168 2 34。 12 【正确答案】 (10)7(11)192 168 2 35 (12)192 168 2 38 (13)192 168 2 2。 【试题解析】 本问题考查 Linux系统下 DHCP服务配置的基础知识。 配置文件中 default-lease time604800代
38、表 DHCP服务器设置的默认租期为604800秒,转换成 天数应为 7天。 配置文件中 option routers192 168 2 33代表 DHCP客户机的子网网关地址,range192 168 2 35192 168 2 38代表 DHCP客户机能获得的 IP地址范围。 配置文件中 optiondomain-name-servers192 168 2 2代表 DNS服务器 IP地址为 192 168 2 2。 四、试题四( 15分) 13 【正确答案】 (1)接口配置 (2)192 168 1 1255 255 255 0 (3)开启 (4)loopback0 (5)192 168 1
39、 20 255 255 255 255 (6)line Vtv 0 4 (7)secret。 【试题解析】 本问题考查路由器的基本配置命令,主要完成对路由器的基础配置,如地址、加密等。 RouterA enable RouterA#configure terminal RouterA(config)#interface f0 0 进入 F0 0的接口配置子模式 RouterA(config-if)#ip addr 192 168 1 1 255 255 255 0 为 F0 0接口 配置 IP地址 RouterA(config-if)#no shut 开启 F0 0接口,默认所有路由器的接口都
40、为 down状态 RouterA(config-if)#inter loopback0 进入 loopback0的接口配置子模式 RouterA(config-if)#ip addr 192 168 1 20 255 255 255 255 为 loopback0接口配置 IP地址 RouterA(config)#line vty 0 4 进入虚拟接口 0-4的配置子模式 RouterA(config-line)#password abc001 配置 vty口令为 “abc001“ RouterA(config)#enable password abc001 配置全局配置模式的明文密码为 “a
41、bc001“ RouterA(config)#enable secret abc001 配置全局配置模式的密文密码为 “abc00“。 14 【正确答案】 (8)deny (9)permit (10)s0或者 serial0 (11)f0 0或者 fastethemet0 0 (12)s0或者 serial0。 【试题解析】 本问题考查路由器配置 NAT转换的相关命令操作。 RouterA(config)#access-list 101 deny ip 192 168 1 0 0 0 0 255 172 16 1 0 0 0 0 255 RouterA(config)#access-list
42、101 permit ip 192 168 1 0 0 0 0 255 any 定义需要被 NAT的数据流 (即除去通过 VPN要传输的数据流 ) RouterA(config)#ip nat inside source list 101 interface so overload 定义 NAT转换关系 RouterA(config)#int f0 0 RouterA(config-if)#ip nat inside RouterA(config)#int so RouterA(config-if)#ip nat outside 在路由器上定义 NAT的内部和外部接口。 15 【正确答案】 (
43、13)172 16 1 0 0 0 0 255192 168 1 0 0 0 0 255 (14)enable (15)202 102 100 1 (16)s0或者 serial0。 【试题解析】 本问题考查配置 IPSec VPN的具体过程。 RouterB(config)#access-list 102 permit ip 172 16 1 0 0 0 0 255 192 168 1 0 0 0 0 255 定义感兴趣的数据流,即需要通过 VPN加密传输的数据流 RouterB(config)#crypto isakmp enable 启用 ISAKMP(IKE)策略 RouterB(co
44、nfig)#crypto isakmp policy 10 RouterB(config-isakmp)#authentication pre-share 认证方法使用预共享密钥 RouterB(config-isakmp)#encryption des 加密方法使用 des RouterB(config-isakmp)#hash md5 散列算法使用 md5 RouterB(config-isakmp)#group2 DH模长度为 1024 RouterB(config)#crypto isakmp identity addresS RouterB(config)#crypto isakmp
45、 key abc001 address 202 102 100 1 将 ISAKMP预共享密钥和对等体关联,指定共享密钥和对端设备地址 RouterB(config)#crypto ipsec trans form-set ccie esp-des esp-md5-hmac RouterB(Cfg-crypto-trans)#model tunnel 设置 IPsec转换集 RouterB(config)#crypto map abc001 10 ipsec-isakmp RouterB(config)#int so RouterB(config-if)#crypto map abc001 在
46、外部接口上应用加密图。 16 【正确答案】 (17)网络层 (18)隧道 (19)传输 (20)SA或者安全关联。 【试题解析】 本问题考查 IPSec VPN的基础知识。 IPSec(IP Security)是 IETF为保证在 Internet上传送数据的安全保密性而制定的框架协议,该协议应用在网络层,用于保证和认证用户 IP数据包。 IPSec本身是开放的框架式协议,包含的各种算法之间是相互独立的,而且可以确保信息的机密性、数据的完整性、用户的验证和防重发保护,所以在架设 VPN时通常会使用IPSec协议来提供数据安全。 IPSec VPN可使用的模式有两种,隧道模式和传输模式。使用隧道模式, IPSec对整个 IP数据包进行封装和加密,隐蔽了源和目的 IP地址,从外部看不到数据包的路由过程,比较安全。而传输模式, IPSec只对 IP有效数据载荷进行封装和加密, IP源和目的 IP地址不加密传送,安全程度较低。 IPSec主要由 AH、 ESP和 IKE组成,在 使用 IKE协议时,需要定义 IKE协商策略,该策略由 SA(安全关联 )进行定义。配置 SA是配置其他 IPSec的前提,它定义了通信双方保护数据流的策略。
