1、软件水平考试(中级)网络工程师下午(应用技术)试题模拟试卷 15及答案与解析 一、试题一( 15分) 1 阅读以下基于 VPN网络互连的网络规划设计的技术说明,根据要求回答问题 1至问题 3。【说明】 某软件开发公司总部和子公司 A、子公司 B分别位于 3个不同的省城,公司总部通过一台带 VPN功能的防火墙与 Internet连接。该防火墙支持 PPTP、 L2TP、 IPsec, SSL等 VPN接入协议,各子公司指定网段的主机可以通过 VPN接入到公司总部的网段 (192.168.10.0/24)进行软件的协同开发,其 VPN网络互连 的网络拓扑结构如图 4-4所示。1 L2TP协议是一种
2、基于 (1)协议的二层隧道协议,它结合了 Cisco的 L2F和Microsoft PPTP的优点。该协议报文在传输层封装 (2)协议之上,为了保证传输的可靠性, L2TP 协议对控制报文采取了 (3)机制,并要求 tunne1 对端设备在隧道 (tunne1)建立之后,定期交互 hello报文。 2 公司总部和各子公司在 VPN特定网段的主机数如表 4-4所示。该公司采用一个 C类地址块 192.168.10.0/24来组建 VPN虚拟专用网,请将表 4-5中的 (4) (8)处空缺的可分配的主机地址范围或子网掩码填写完整。3 在图 4-4所示的网络拓扑结构中,公司总部的主机 PC1无法访问
3、位于 Internet网的 等网站,做如下检查: 1)查看网上邻居,发现该 PC机可以访问子公司 A内其他主机。 2)在主机 PC1上使用 (9)命令来检查与路由器内网接口的连通性,结果正常。 3)在主机 PC1上使用 (10)协议登录到路由器的配置模式,以查看路由器的配置信息。 4)如果在路由器的配置模式下用 show arp查看 (11)表,发现路由器的 MAC地址与工作人员以前保存在该表中的 MAC地址不同,而是公司内部某个用户的 MAC地址。进入到路由器的 (12)模式,将该接口关闭后重新激活,路由器新的 ARP表更新了到路由器的子接口 MAC地址,随后主机 PCI能正常登录 Inte
4、rnet的网站。可以采用 (13)方法防止 IP 地址被盗用。 5)如果主机 PC1可以通过域名访问位于 Internet网中的某台 FTP服务器,但该 PC机无法访问 网站。在路由器的配置模式下用 (14)命令检查路由器的访问控制列表,发现有问题,那 么造成该现象的故障原因可能是 (15)。 【可供选择的答案】 (9) A arp B netstat C nslookup D tracert (10) A ARP B FTP C TELNET D SSL (13) A设置包访问过滤规则 B IP 地址与 MAC地址进行绑定 C IP 地址与子网掩码进行绑定 D IP 地址与路由器地址
5、进行绑定 (15) A主机 PC1的网关配置错误 B主机 PC1的 DNS服务器地址配置错误 C主机 PC1的子网掩码配置错误 D路由器对主机 PC1访问 Web服务器的权限进行了限制 二、试题二( 15分) 4 阅读以下基于 Windows 2003操作系统架构 DNS服务器的技术说明,根据要求回答问题 1至问题 5。【说明】 域名系统 (DNS)负责主机名称与其所对应的 IP 地址之间的解析。在一台已安装有 Windows 2003操作系统的服务器上 开启 DNS服务,并已分别创建 “正向搜索区域 ”和 “反向搜索区域 ”,其 DNS控制台窗口如图 5-12所示。该服务器 1000Mb/s
6、网卡配置了一个 “192.168.1.1”的 IP 地址,现在要求能将该IP 地址与 “”、 “”和 3个域名对应起来。4 配置 Windows 2003 DNS服务器的第一步是,为该服务器分配一个 (1)IP地址,然后在 “高级 TCP/IP设置 ”的配置界面 (如图 5-13所示 )中,单击 “DNS服务器地址 ”栏中的【添加 】按钮,在弹出的对话框中输入 DNS地址为 (2)。另外,还需要选中图5-13中 “附加主要的和连接特定的 DNS后缀 (P)”这一单选按钮,并同时选中 “(3)”和“(4)”等复选框。 5 在 DNS服务器的 “新建区域 ”配置过程中,区域类型主要有主要区域、辅
7、助区域、存根区域等。如果要创建可以直接在此服务器上更新区域的副本,则区域类型应选择 “(5)”。 存根区域只包含标识该区域的权威 DNS服务器所需的 (6)。 如果已知主机的 IP 地址,可以从图 5-12所示的 DNS控制台窗口中的 “(7)”获得该主机的域名。 6 如果该服务器需要解析来自它的 Internet服务提供商的名称,则必须进行 (8)的配置。 7 在图 5-12所示的 DNS控制台窗口中,用鼠标右键单击 “”区域,并在所弹出的菜单中选择【新建别名】命令,系统将弹出一个如图 5-14所示的 “别名 ”资源记录配置界面。请用 200字以内的文字说明要实现题干的配置要求,应如何在图5
8、-14所示的界面中做相应的配置。8 可以采用 Windows操作系统的命令来测试 “问题 4”的配置是否成功,以下 (9)命令不能完成此任务。 若想通过域名 “”也能访问到 IP地址为 “192.168.1.1”的主机,应在“正向搜索区域 ”中添加 (10)的资源记录类型。 【供选择的答案】 (9) A ping B netstat C nslookup D ping (10) A NS B SOA C PTR D CNAME 三、试题三( 15分) 9 认真阅 读以下关于 PGP软件的使用说明,根据要求回答问题 1至问题 4。 【说明】 在 Internet网络中,安全认证和保密业务
9、的需求随着通信量、业务种类的增加而增加。广泛应用于 Internet网络的 E-mail系统的 PGP(Pretty Good Privacy)软件,是一个十分小巧却又强而有力的加密软件,可以用它保护文件、邮件,磁盘空间等 9 PGP协议采用 RSA和 IDEA两种加密算法组成链式加密体系,这种方案的优点是 (1)。 PGP还可以对电子邮件进行认证,认证机制是用 MD5算法产生 (2)位的报文摘要 ,发送方用自己的 RSA私钥对 (3)进行加密,附加在邮件中进行传送。公钥只用来加密 (4),文件是用会话密钥加密的。其中, (5)是一次性使用的,避免了执行交换密钥的握手协议,提高了安全性。 【供
10、选择的答案】 (1) A可以组合成一种新的加密算法,从而避免专利技术的困扰 B两种算法互相取长补短,从而提高了信息的保密性 C既有 IDEA算法的保密性,又有 RSA体系的快捷性 D既有 IDEA算法的快捷性,又有 RSA体系的保密性 (2) A 512 B 256 C 128 D 64 (3) A会话密钥 B IDEA密钥 C报文摘要 D邮件明文 (4) A MD5报文 B会话密钥 C RSA密钥 D IDEA密钥 (5) A RSA密钥 B MD5报文 C IDEA密钥 D会话密钥 10 为了提高工作效率,郭工程师制定了一个密钥管理方案:默认使用 IDEA密钥进行加密,在 PGPkeys
11、关闭时自动备份密钥对且备份到默认的密钥环文件夹中。请结合图 6-15所示的配置界面,完成以上设置任务 。11 郭工程师与领导、朋友进行 E-mail交流时,要求自动使用安全查看器解密每条接收到的 E-mail信息,且总使用 PGP软件加密每封发送的电子邮件。请结合图 6-16所示的配置界面,完成相关的软件设置任务。12 用鼠标右键单击某一 Office文件,在弹出的菜单中选择 PGPEncrypt 命令,或者将文件拖到 PGPtools中,弹出如图 6-17所示的对话框。如果选择对话框中的“(6)”复选框,则可完成使用传统加密方式 (对称密钥 )加密文件的任务。如果要求接收者分屏显示解密后的文
12、件,且不允许 保存该文件,则需选中 “(7)”复选框。如果选中 “(8)”复选框,则可产生相应的自解密可执行文件,以适应接收者的系统上可能没有安装 PGP软件的情况。四、试题四( 15分) 13 认真阅读以下关于架构 Apache安全服务器的技术说明,根据要求回答问题 1至问题 5。 【说明】 某些商务公司要求其网站的部分信息资源只对经过身份认证后的用户开放。因此在 Linux+Apache架构 Web服务器方案中,需利用 mod-ss1模块给 Apache Web服务器提供的一项重要功能 加密通信的能力。该模块通过安全套接 字层 (SSL)和传输层安全 (TLS)协议为 Apache Web
13、服务器提供强大的加密能力。 13 SSL是一个协议独立的加密方案,在网络信息分组的应用层和传输层之间提供了安全的通道。 SSL主要包括 SSL修改密文协议、 SSL握手协议、 SSL告警协议、SSL记录协议等,其协议栈见图 7-16。请根据 SSL协议栈结构,将 (1) (4)处空缺的协议名称填写完整。14 要启用 Apache Web 安全服务器,用户至少需要安装 (5)、 mol_ssl、 openssl等 3个软件包。其中, mol_ssl模块是 Apache Web服务器的一个安全模块,它的配置文件位于 (6)目录。要载入这个文件而使 mol_ssl进程能够正常工作,必须在 (7)文件
14、中包括 include conf.7/*.conf这条声明。 15 如果用户以前使用了另一个安全服务器产品且申请了可以使用的钥匙 (httpsd.key)和证书 (httpsd.crt),现在用户想升级为 Apache Web安全服务器。用户可以转移并重命名用户的钥匙、证书以使 Apache Web安全服务器能使用它们。完成以上转移、重命名、重启 Apache Web安全服务器的操作命令分别是 : mv/etc/httpd/conf/httpsd.key (8) (9) (10) 16 如果想制作自签的证书且使用已有的钥匙,需要在 /usr/share/ssl/certs目录中键入(11)命令
15、,接着用户将会看到如图 7-17所示的输出信息。 当用户输入口令字后,系统就会要求输入所要制作的自签证书的用户信息。用户信息填写完成后,自签的证书将被创建在 (12)文件中。生成该证书后,重新启动安全服务器就可使该证书生效。 假设用户小郭的万维网服务器域名 www.wg_gcz.org,要测试自签的证书,需在浏览器中输入的 URL是 (13)。 17 为了维护网站正常运行,对网站进行监控是非常必要的。在 Apache安全服务器的多种日志中, (14)和 (15)被作为默认配置的日志。通过对 Web服务器的日志文件进行分析,可以有效掌握网站运行情况,加强对网站的维护和安全管理。 五、试题五( 1
16、5分) 18 阅读以下应用 L2TPv2协议实现 VPN安全接入的技术说明,根据要求回答问题1至问题 5。【说明】 某企业应用 L2TPv2协议部署企业的虚拟专用网 (VPN),以方便企业的 VIP用户及 出差员工通过公共 Internet安全地访问企业内部 LAN资源,其网络拓扑结构如图 8-16所示。该 VPN网络结构中,远程客户将访问唯一的节点,即安全远程访问服务器 (SRAS),该节点既是 NAS服务的 PPP终端,也是进入企业专用网的安全网关节点。18 在 Internet上捕获并分析图 8-16所示的网络中两个内部网络经由 Internet通信的L2TPv2数据帧,请从以下 4个选
17、项中选择正确的答案填写到图 8-17的 (1) (4)空缺处的相应位置。 【供选择的答案】 A L2TPv2头 B PPP头 C UDP头 D封装后 IP头 19 在图 8-16所示的拓扑结构中, LAC (L2TP Access Concentrator)和 LNS (L2TP Network Server)的功能分别在哪些设备上实现 ? 20 假设在 LAC路由器上运行 show vpdn命令,路由器软件系统输出的配置信息如图 8-18所示。结合图 8-16所示的网络拓扑结构,请将 (5) (9)空缺处填写完整,完成在 LAC上对 L2TPv2 协议的相关配置。 Router_LAC(co
18、nfig) #vpdn enable Router_LAC(config) # (5) (创建相应 vPdn组,并进入该组的配置模式 ) (6) (接受对端发起 L2TP通道连接请求,并根据 virtual-template 1创建 virtual-access接口 ) Router_LAC(config-vpdn1) # (7) (启用 L2TP通道验证功能 ) Router_LAC(config-vpdn1) #12tp tunnel password !abcd1234! (8) Router_LAC (config) # (9) (创建并进入相应的 L2TP虚接口模板 ) (其他 配置
19、略 ) 21 L2TPv2在控制连接建立过程中,在 tunnel的两个端点之间进行 CHAP安全认证。如果要对 PPPoE用户进行重认证,必须在哪个位置进行设置 ?通常使用哪条配置命令完成该设置 ? 22 对图 8-16所示的网络首次进行 L2TPv2协议配置后,发现 tunne1可以建立起来,而 session却始终建立不起来。此时应着重从哪些方面检查相关的网络配置 ? 软件水平考试(中级)网络工程师下午(应用技术)试题模拟试卷 15答案与解析 一、试题一( 15分) 1 【正确答案】 (1)PPP协议 (2)UDP (3)报义丢失重任机制 【试题解析】 这是一道要求读者掌握 L2TP 协议
20、特点的问答题。对于本题的解答需要读者掌握以下几个知识点: 1)L2TP协议是一种基于 PPP协议的二层隧道协议,其报文封装在 UDP之上,使用 UDP 1701端口。图 4-11示意了 L2TP数据帧的部分封装结构。2)在 L2TP构建的 VPN网络中,主要有 L2TP访问集中器 (LAC)和 L2TP网络服务器 (LNS)两种关键的网络设备。其中 LAC是一种附属在网络上的具有 PPP端系统和 L2TPv2协议处理能力的设备,它一般就是一个网络接入服务 器软件,在远程客户端完成网络接入服务的功能。在图 4-4所示的拓扑结构中,对于各子公司来说可以把 LNS 看成是一种在 PPP端系统上用于处
21、理 L2TP协议服务器端的软件,即路由器 Router完成 LNS 服务器接入功能。 3)在图 4-5所示的拓扑结构中, LAC与 LNS 之间采用数据触发来建立隧道 (tunnel)连接和会话 (session)连接。其中,session 连接复用在 tunnel 连接之上。 4)在 L2TP VPN网络中存在着两种 L2TP报文 控制报文和数据报文。其中 L2TP控制报文用于完成 L2TPtunnel 和 session的建立、维护与拆除等功能。 L2TP数据报文是指承载用户数据的 PPP会话数据包。 5)由于 L2TP协议建立在不可靠、无传送顺序的数据报协议 UDP之上,为了保证报文传输
22、的可靠性, L2TP对控制报文采取了报文丢失重传机制,并要求隧道 (tunne1)对端设备在 runne1 建立之后,定期交互 hello报文 (即 keepalive机制 )。 2 【正确答案】 (4)192.168.10.94 (5)255.255.255.224 (6)192.168.10.97 (7)192.168.10.126 (8)192.168.10.129 【试题解析】 这是一道要求读者掌握变长子网掩码 (VLSM)进行网络规划设计的分析理解题。试题中已给出了 VLSM的设计,读者只需依照子网掩码等信息填写可分配的主机地址范围。本题的解答思路如下。 1)由题干关键信息 “某软件
23、开发公司总部和子公司 A、子公司 B 分别位于 3个不同的省城 ”,且从表 4-4可知,公司总部和各子公司所拥有的主机数各不相同,因此需要对已给出的 C类地址块 192.168.10.0/24进行子网化。 2)试题中 192.168.10.0/24的 “/24”表示子网掩码为 24位掩码的 255.255.255.0。由于试题中有 “公司总部 ”、 “子公司 A”、 “子公司 B”等 3个子网,因此需将掩码扩展 2位 (共 26位,即 255.255.255.192),以产生 22=4个子网 (子网号分别为 00、 01、 10、 11)。因为子网号全 0、全 1的子网被保留,于是还剩下 2个
24、子网可供分配。在 “192.168.10.0/24”地址中用于表示主机部分的最右边 8位中剩下的 6位,由于 26=64,因此每个子网中独立的主机地址有 64个,其中全0的地址被保留标志子网本身,全 1的地址被保留用做该子网的 广播地址,这样剩余的 62个 IP地址能够满足该公司总部 50台主机的要求。而另一个子网地址可按同样的分析思路再次划分,以分配给子公司 A、子公司 B。 3)公司总部可分配的主机地址范围求解过程见表 4-7示。4)由以上分析可知, 公司总部使用的子网号为 “10”,可分配的主机地址范围为 192.168.10.129 192.168.10.190,又由于该公司总部有 5
25、0台主机,需要使用的主机位为 6位 (25=32 50 26=64),因此 (8)空缺处应填入 192.168.10.129。 5)由于公司总部的网段地址为 192.168.10.128,因此各子公司只能在网段地址为192.168.10.64的子网中再进行划分,即对于子网掩码为 255.255.255.192的另一个可用的子网号为 “01”,子公司 A、子公司 B 的子网掩码需要在 255.255.255.192基础上扩展一位,也就是说,子公司 A或子公司 B 需要使用的子网号为 “010”或“011”。 6)由试题中已给出的子公司 B 的子网掩码 “255.255.255.224”可知,该掩
26、码将掩码扩展了 3位,每一个子网可供分配的主机数为 25-2=30 台。由于 24-2=14 20 25 25-2=30,因此每个子网可供分配的 30个主机地址能够满足了公司 A的 25台主机、子公司 B的 20台主机的要求。由此可推理出 (5)空缺处所填写的内容是 “255.255.255.224”。 7)子公司 A可分配的主机地址范围求解过程见表4-8。8)由以上分析可知,子公司 A使用的子网号为 “010”,可分配的主机地址范围为 192.168.10.65 192.168.10.94,因此 (4)空缺处应填入的内容是 “192.168.10.94”。 9)由题干的关键信息 “各子公司指
27、定网段的主机可以通过 VPN接入到公司 总部的网段 (192.168.10.0/24)进行软件的协同开发 ”可知,子公司 B 在 VPN 专用虚拟网中的IP地址也应处于 192.168.10.0/24网段。 10)子公司 B可分配的主机地址范围求解过程见表 4-9。11)由以上分析可知,子公司 B 使用的子网号为 “011”,可分配的主机地址范围为 192.168.10.97 192.168.10.126,因此 (6)空缺处应填入的内容是 “192.168.10.97”, (7)空缺处应填入的内容是 “192.168.10.126”。 3 【正确答案】 (9)D,或 tracert (10)
28、C,或 TELNET (11) 地址解析协议 (12) 子接口配置 (13) B,或 IP 地址与 MAC地址进行绑定 (14)show access-list (15) D,或路由器对该 PC机访问 web服务器的权限进行了限制 【试题解析】 这是一道要求读者根据网络故障现象进行故障排除的分析理解题。本题的解答思路如下。 1)在安装有 Windows 98/2000/XP/2003 系列的操作系统中, tracert 是系统中一个路由跟踪命令。通过该命令的返回结果 ,可以获得本地到达目标主机所经过的路由器数目。其命令语法是: tracert -d -h maximum_hops -j hos
29、t-list-w timeout target_name。其中,选项 “-d”表示不需要把 IP地址转换成域名;选项 “-h maximum_hops”用于设置允许跟踪的最大跳数;选项 “-j host-list”可列出所经过的主机列表;选项 “-w timeout”用于设置每次回复的最大允许延时。 2)执行 tracert 命令可测试出从主机 PCI到 网站的IP数据报转发路径,也可间接检查与路由器内网接 U的连通性。 (9)空缺处的选项 C“nslookup ”可用于查看域名为网站所对应的 IP地址。选项 A(arp )和选项 B(netstat )的命令语法 (格式 )是错误的。 3)在
30、主机 PC1上使用 telnet协议登录到路由器,并进入路由器的配置模式,以查看路由器的配置信息。 4)如果在路由器的配置模式下用 show arp查看地址解析协议表,发现路由器的MAC地址与工作人员以前保存在该表中的 MAC地址不同,而是公司内部某个用户的 MAC地址。进入到路由器的子接口配置模式,将该接口关闭后重新激活,路山器新的 ARP表更新了到路由器的子接口 MAC地址,随后主机 PCI能正常登录Intenet网的 网站,故障排除。 5)在进行网络管理时,通常可以采用 IP地址与 MAC地址进行绑定的方法以防止 IP地址被盗用。 6)在路由器的配置模式下,可以使用 show ip ro
31、ute观察路由表,或使用 show access-list命令检查路由器的访问控制列表。 试题中已给出关键信息 “可以访问子公司 A内其他主机 ”,说明主机 PC1的 IP地址、子网掩码均已正确配置。由于试题假设了 “主机 PC1可以通过域名访问位于Internet网中的某台 FTP服务器 ”,因此间接说明了主机 PC1的网关地址、 DNS服务器地址也都正确配置了。因此造成该 PC 机无法访问 网站的原因可能足路由器对主机 PC1访问 Web 服务器的权限进行了限制等。 二、试题二( 15分) 4 【正确答案】 (1)静态的 (2)192.168.1.1 (3)附加主 DNS后缀的父后缀 (X
32、) (4) 在 DNS中注册此连接的地址 ? 【试题解析】 这是一道要求读者掌握 DNS服务器 TCP/IP配置的分析理解题。本题的解答思路如下。 1)配置 Windows 2003 DNS 服务器的第一步是,为该服务器分配一个静态的 IP地址。因为地址的动态更改会使客户端与 DNS 服务器失去联系,所以 DNS 服务器不能使用动态分配的 IP地址。 2)打开网络连接,然后使用右键查看本地连接的属性。接着选中 “internet协议 (TCP/IP)”,并查看其 属性,然后单击鼠标 高级 按钮,并选中 “DNS”选项卡,系统将弹出如图 5-13所示的配置界面。在此界面中可点击 “DNS服务器地
33、址 ”栏中的添加 按钮,在弹出的对话框中输入 DNS 地址为 192.168.1.1,即 (2)空缺处的答案是 “192.168.1.1”。此空缺处所填写的内容来源于图 5-12所示的 DNS控制台窗口中“WWW”主机的 IP地址 (192.168.1.1)。 3)另外,还需要选中图 5-13所示界面中 “附加主要的和连接特定的 DNS 后缀 (P)”这一单选按钮,然后选中 “附加主 DNS后缀的父后缀 (X)”和 “在 DNS中注册此连接的地址 (R)”等复选框。 4)提醒注意的是,这台运行 Windows Server2003 的 DNS 服务器必须将 “TCP/IP协议 ”配置中将其 D
34、NS地址指定为它本身。 5 【正确答案】 (5)主要区域 (6)资源记录 (7)反向搜索区域 【试题解析】 这是一道要求读者掌握 DNS服务器新建区域配置过程的分析理解题。本题的解答思路如下。 1)依次单击 “开始 程序 管理工具 DNS” ,进入如图 5-12所示的 DNS 控制台窗口。接着用鼠标右键单击 “正向搜索区域 ”,然后选择 “新建区域 ”。当 “新建区域向导 ”启动后,单击 下一步 按钮。 2)接着系统将提示选择区域类型。区域类型包括主要区域、辅助区域、存根区域等。其中,主要区域可以创建直接在此服务器上更新的区域的副本,此区域信息存储在一个 .dns文本文件中。而标准辅助区域从它
35、的主 DNS服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录, 这些资源记录包括邮件交换机 (MX)、名称服务器 (NS)、起始授权机构 (SOA)、主机资源记录 (A)和别名资源记录 (CNAME)等。 3)如果要创建可以直接在此服务器上更新区域的副本,则区域类型应选择 “主要区域 ”,即 (5)空缺处的答案是 “主要区域 ”。提醒注意的是,如果选择 “辅助区域 ”类型,则用户无法修改辅助 DNS 服务器上的区域数据,所有数据都是从主 DNS 服务器复制而来
36、的。 4)Windows 2003 的 DNS 服务器中有 “正向搜索区域 ”和 “反向搜索区域 ”等两种类型的搜索区域。其中 “正向搜索区域 ”用来 处理正向解析,即把主机名解析为 IP地址;而 “反向搜索区域 ”用来处理反向解析,即把 IP地址解析为主机名。因此 (7)空缺处所填写的内容是 “反向搜索区域 ”。 6 【正确答案】 DNS转发器 【试题解析】 这是一道要求读者掌握 DNS转发器基本概念的分析理解题。本题所涉及到的知识点有: 1)在 Windows Server 2003 操作系统中可以充分利用 DNS转发器,即该功能用于实现将本 DNS服务器无法在其区域中找到资源记录的请求发
37、送给另一台 DNS 服务器的功能,以进 步尝试性地进行 DNS 解析。 2)配置 DNS 服务器的转发器功能的操作步骤是, 在如图 5-12所示的 DNS 控制台窗口中,用鼠标右键单击 DNS 服务器 (ServerName)并在所弹出的右健菜单中选中 属性 命令,然后单击 “转发器 ”选项卡; 单击 “DNS域 ”列表中的一个 DNS 域(或者单击 新建 按钮,在 DNS“域框 ”中键入希望转发查询的 DNS域的名称,然后单击 确定 按钮 )。 在所选域的转发器 IP地址框中,键入希望转发到的第一个DNS 服务器的 IP地址,然后单击 添加 按钮 (可重复此步骤用于添加多个希望转发到的 DN
38、S 服务器地址 )。 最后单击 确 定 按钮完成 DNS 转发器配置工作。 7 【正确答案】 在 “别名 ”栏输入 “ftp”, “目标主机的完全合格的名称 ”栏输入“”,单击 确定 按钮创建一个名为 “”的别名记录 “别名 ”栏保持为空, “目标主机的完全合格的名称 ”栏输入 “”,但2击 确定 按钮创建一个名为 “”的别名记录 【试题解析】 这是一道要求读者根据实际应用要求进行 DNS 服务器 “别名 ”资源记录配置的实践操作题。本题的解答思路如下 。 1)题干所给出的配置要求是,能将该 DNS服务器 192.168.1.1的 IP地址与“”、 “”和 3 个域名对应起来。 2)在图 5
39、-12所示的 DNS控制台窗口中,已在正向搜索区域建立了主机“”域名与 192.168.1.1地址的映射关系,即已成功创建了 个主机记录 。 3)在图 5-14所示的 “别名 CNAME”配置界面中, “别名 ”栏输入 “ftp”, “目标主 机的完全合格的名称 ”栏输入 “”(或用 “浏览 ”逐步选择 ),最后单击 确定 按钮即可为 “”建立一个名为 “”的别名记录。 4)如果在图 5-14所示的 “别名 CNAME”配置界面中, “别名 ”栏不填写任何内容(保持为空 ), “目标主机的完全合格的名称 ”栏输入 “”(或用 “浏览 ”逐步选择 ),最后单击 确定 按钮即可为 “”建立一个名为
40、“”的别名记录。 8 【正确答案】 (9)B,或 netstat (10)D,或 CNAME 【试题解析】 这是一道要求读者掌握 Windows 操作系统的命令测试 DNS 服务器配置的实践操作题。本题的解答思路如下。 1)由 “问题 4”的要求分析可知,该问题主要完成主机别名的配置任务。 2)ping命令可用于检查网络上的 DNS 服务器是否正在工作。通过 “ping ”、 “ping ”命令可检查该 DNS 服务器的别名资源记录“”、 “”是否正确配置。 3)nslookup 命令用于完成将 “”这一域名到其所对应的 IP地址的查询,它也可检查该 DNS 服务器的别名资源记录 “”是否
41、正确配置。 4)使用 netstat -an 命令可以数字格式显示所测试网络的所有连接、地址及端口;使用 netstat -s命令可以显示 IP、 ICMP、 TCP、 UDP协议的统计信息;使用netstat -s命令可以显示以太网统计信息;使用 netstat -o命令可以显示与每个连接相关所属进程 ID。而选项 B的 “netstat ”的命令语法是错误的。 5)在实际应用中,一台 DNS 服务器可以同时拥有多个不同的主机名称,而这种应用需求是通过创建别名资源记录 (CNAME)的方法来实现的。所谓别名 (Alias)是指可通过另外一个主机名称访问该计算机。 CNAME 资源记录是 DN
42、S 中的规范名(Criterion NAME)资源记录,它可以为其他记录 (例如主机地址 (A)记录 )建立一个别名。 三、试题三( 15分) 9 【正确答案】 (1)D,或既有 RSA体系的保密性,又有 IDEA算法的快捷性 (2)C,或 128 (3)C,或报文摘要 (4)B,或会话密钥 (5)D,或会话密钥 【试题解析】 这是一道要求读者掌握 PGP混合加密体系原理的分析理解题。本题所涉及的知识点有: 1)基于数论原理的公钥加密算法 (RSA)的安全性建立在大数难以分解因子的基础上。 PGP协议采用 RSA和 IDEA两种加密算法组成链式加密体系,使得报文的加密时间大大缩短 (IDEA算
43、法的快捷性 ),又有 RSA体系的保密性。 2)PGP软件可以对电子邮件进行认证 ,认证机制是用 MD5算法产生 128位的报文摘要,发送方用自己的 RSA私钥对报文摘要进行加密,附加在邮件中进行传送。 3)如果发送方要向一个陌生人发送保密信息,又没有对方的公钥,那么他可以从权威认证机构 (CA)获取对方的公钥。公钥只用来加密会话密钥,文件是用会话密钥加密的。其中,会话密钥是一次性使用的,从而避免了执行交换密钥的握手协议,提高了安全性。 10 【正确答案】 选中 “IDEA”复选框;再选中 “Automatic keying backup when PGPkeys closess”复选框; 接
44、着选中 “Backup to keying folder”复选框;最后单击 确定 按钮 【试题解析】 要完成 “默认使用 IDEA密钥进行加密,在 PGPkeys 关闭时自动备份密钥对且备份到默认的密钥环文件夹中 ”的设置任务,需在图 6-15所示的配置界面中的 “Allowed Algorithms”栏中选中 “IDEA”复选框完成 “默认使用 IDEA密钥 ”任务:接着选中 “Automatic keying backup when PGPkeys closes”复选框完成 “在PGPkeys关闭时自动备份密钥对 ”任务;再 选中 “Backup to keying folder”复选框完
45、成 “备份到默认的密钥环文件夹中 ”任务;最后单击 确定 按钮即可完成郭工程师要求的配置任务。 11 【正确答案】 在图中选中 “Use PGP/MIME when sending email”复选框; 再选中 “Encrypt new messages by default”复选框; 接着选中 “Automatically decrypt/verify when opening messages”复选框; 再选中 “Always use Secure Viewer when decrypting”复选框; 最后单击 确定 按钮 【试题解析】 要完成 “自动使用安全查看器解密每条接收到的 E-
46、mail 信息,且总使用 PGP软件加密每封发送的电子邮件 ”的设置任务,需在图 6-16所示的配置界面中选中 “Use PGP/MIME when sending email”复选框完成 “在发送 E-mail 时使用PGP软件 ”任务;再选中 “Encrypt new messages by default”复选框完成 “默认加密每封电子邮件 ”任务:接着选中 “Automatically decrypt/verify when opening messages”复选框完成 “打开信息时自动解密 /校验每条 E-mail 信息 ”任务:然后再选中 “Always use Secure Vi
47、ewer when decrypting”复选框完成 “解密时总是使用安全查看器 ”任务,最后单击 确定 按钮。 12 【正确答案】 (6)conventional Encryption(7)Secure Viewer (8)Self Decrypting Archive 【试题解析】 在 PGPmail 对话框 (见图 6-17)中,选中 “Conventional Encryption”复选框,可完成使用传统加密方式 (对称密钥 )加密文件的任务。 “Secure Viewer”复选框 (相当于命令行 “-m”选项 )用于实现分屏显示解密后的文件的功能,但它不允许接收者保存所查看的消息。 如果接收者的系统上没有安装 PGP软件,则需选中 “Self Decrypting Archive”复选框产生相应自解密的可执行文件。 “Text Output”复
