试题一 阅读以下说明,回答问题1~5,将答案填入对应的解答栏内。
某校园网结构如图1-1所示,用户可以通过有线接入,也可以通过无线接入。用户接入采用web+DHCP方式,当用户连上校园网后,由DHCP服务器为用户自动分配IP地址,基于web的认证成功后即可访问Internet。认证过程采用SSL与RADIUS相结合的方式,以防止非法用户的盗用。 2. 当区域网络扩大时,网络安全就成为重点,该校园采用RADIUS技术,对校园每个用户进行认证,保证每个终端接入的合法性。其中RADIUS认证主要使用
2 和
3 认证方式。
(2)口令验证协议(PAP) (3)质询握手协议(CHAP)
RADIUS主要使用口令验证协议PAP(Password Authentication Protocol)和质询握手协议CHAP(Challenge Handshake Authentication Protocol)。CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。
3. 在图1-1中,教师办公室的计算机能否直接从DHCP服务器租约IP地址?若能,如何查看租约的IP地址?若不能,需要对哪台设备进行如何配置?
不能,应把路由器配置成DHCP中继代理
DHCP协议的报文都是通过广播形式传播的,因此当跨越多个网段时,这个广播报文将被第三层设备(如路由器)过滤掉了,因此要想在DHCP客户机和服务器之间转发DHCP报文,路由器必须要支持DHCP中继代理。
4. SSL是一个协议独立的加密方案,在应用层和传输层之间提供了安全的通道。SSIL主要包括
4 、
5 、
6 、SSIL修改密文协议等。其中
7 的主要功能是用于在通信双方建立安全传输通道;
8 从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去,从而保证了数据的机密性和报文完整性。
(4)SSL记录协议 (5)SSL握手协议
SSL是一个协议独立的加密方案,在应用层和传输层之间提供了安全的通道。SSL主要包括SSL记录协议、SSL握手协议、SSL告警协议、SSL修改密文协议等。在SSL协议中,SSL握手协议的主要功能是用于在通信双方建立安全传输通道;SSL记录协议的主要功能是从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去,从而保证了数据的机密性和报文完整性。
5. SSIL协议数据封装过程包括:(下面①到⑤未按顺序排列)
①附加首部数据,包括内容类型、主要版本、次要版本、压缩长度。
②使用共享密钥计算报文鉴别代码(MAC);
③可选地应用压缩;
④分片,将上层交付的报文分成214字节或更小的数据块;
⑤使用同步算法加密报文;
将①~⑤按照应答过程重新排序为
。
④、③、②、⑤、①
SSL数据封装如下: 14 字节或更小的数据块;
试题二 阅读以下说明,回答问题1~4,将答案填入对应的解答栏内。
某公司的域名为yinfu.edu.cn,所使用的网络地址为222.78.68.0/24,共有两台服务器,一台IP地址是222.78.68.10,名字是server1,它用作域名服务器、电子邮件服务器,另一台IP地址是222.78.68.11,名字是server2,它用作Web服务器。1. 下面是服务器server1中的三个文件。
/etc/named.conf文件的内容:
options {
directory"/var/named";
};
zone"."IN {
type
1 ;
file"named.ca";
};
zone"0.0.127.in-addr.arpa"IN{
type master;
file"named.local";
allow-update{none;};
};
zone"yinfu.edu.cn"IN{
type master;
file"named.hosts";
allow-update{none;};
};
zone"
2 "IN{
type master;
file"named.rev";
allow-update{none;};
};
/var/named/named.hosts文件的内容:
$TTL 86400
@ IN SOA server1.yinfu.edu.cn. root.yinfu.edu.cn.(
2001110600;serial
28800;refresh
14400;retry
3600000;expire
86400;minimum
)
IN NS server1.yinfu.edu.cn.
IN MS 10 server1.yinfu.edu.cn. localhost.IN A 127.0.0.1
server1 IN A 222.78.68.10
server2 IN A 222.78.68.11
WWW IN
3 /var/named/named.rev文件的内容:
$TTL 86400
@ IN SOA server1.yinfu.edu.cn.root.yinfu.edu.cn.(
2001110600;serial
28800;refresh
14400;retry
3600000;expire
86400;minimum
)
IN NS yinfu.edu.cn.
10 IN
4 11 IN PTR server2.yinfu.edu.cn.
(1)hint (2)68.78.222.in-addr.arpa
不管是主域名服务器、辅助域名服务器还是缓存域名服务器,在根域名区声明时,类型type型必须为hint,即为一个区的高速缓冲文件,因此空(1)处应当填写“hint”。空(2)处所在位置是反向域名解析区声明,应当填写反向域名。反向域名由两部分组成,域名前半段是其网络ID反向书写,而区域后半段必须是“in-addr.arpa”。因此(2)处应当填写“68.78.222.in-addr.arpa”。空(3)处应当是定义一条别名记录。根据说明,该单位的www服务在server2上,即“www.yinfu.edu.cn”和“server2.yinfu.edu.cn”表示同一台主机,因此(3)处应当填写“IN CNAME server2.yinfu.edu.cn.”,也可以只填写“CNAME server2”(注:若要填写“A 222.78.68.11”也可实现解析,但违背出题的初衷了)。空(4)处应当填写一条反向指针(PTR)资源记录,用来记录在反向搜索区域内的IP地址及主机,用户可通过该类型资源记录把IP地址映射成主机域名,此处应当填写“PTR serverl.yinfu.edu.cn”。
3. /var/named/named.hosts文件中下划线一行的含义是
。
指明了该单位的邮件交换器是serverl.yinfu.edu.cn,它负责处理邮件地址的主机部分为“@yinfu.edu.ca”的邮件,“10”表示优先级。
下划线一行是一条邮件交换器(MX)记录,指定哪些主机负责接收该区域的电子邮件。此处作用是指明了该单位的邮件交换器是serverl.yinfu.edu.cn,它负责处理邮件地址的主机部分为“@yinfu.edu.cn”的邮件,“10”表示优先级。
4. 在Windows 2003下,测试DNS服务器的程序的命令是
4 。若要测试邮件交换器设置是否正确,需要使用的子命令是
5 。
(7)nslookup (8)set type=MX
在域名测试工具中,有许多子命令,但使用最多是的set type子命令,它是用来改变测试的资源记录的类型,使用方法如下表所示。
子命令
用途
子命令
用途
set type=A
查询主机IP地址
set type=MX
查询邮件交换器
set type=CNAME
查询别名的真正名称
set type=PTR
如果查询是IP地址,则指定计算机名;否则指定指向信息的指针
set type=NS
查询命名区域的DNS名称服务器
set type=SOA
查询DNS区域的起始授权机构
set type=ANY
指定查询所有数据类型
试题三 阅读以下说明,回答问题1到问题5。将答案填入对应的解答栏内。
某企业采用Windows 2003操作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet安全地互联起来。微软Windows 2003操作系统当中对IPSec具备完善的支持,图3-1给出了基于Windows 2003系统部署IPSec VPN的网络结构图。 1. IPSec工作在
1 ,它的两种工作模式是
2 和
3 。
1 备选答案:
A.表示层 B.会话层 C.传输层 D.网络层
(1)D (2)、(3)传输模式和隧道模式
IPsec,即IP安全,它是在IP层来保证数据的安全性和完整性,因此它工作在网络层。IPsec有两种工作模式:传输模式和隧道模式。在传输模式下,VPN服务器只对IP数据报中TCP/LIDP报文段部分进行加密和验证,而IP报头仍采用原始明文IP报头,只是做适当的修改;但在隧道模式下,VPN服务器会对整个IP数据报进行加密和验证,即将原IP数据报看做一个整体进行加密和验证,为了能在Internet正确传送,VPN服务器还需要重新生成IP报头。
2. 图3-2所示的是“自定义安全措施设置”对话框。如果在VPN中传输的非机密数据,仅需确保收到的数据在传输过程不被篡改,在图3-2中我们只需选择
2 ;如果在VPN中传输的是机密数据,不仅需要保证数据在传输过程不被篡改,而且还需要对数据进行加密,在图3-2中选择
3 。
2 3 备选答案:
A.数据和地址不加密的完整性(AH)
B.数据完整性和加密(ESP)
C.生成新密钥间隔(G)
D.生成新密钥间隔(R)
(4)A (5)B
传输非机密数据只需要使用AH安全机制,因此在图3-2中只需选中“数据和地址不加密的完整性(AH)(A)”复选框,并选择合适的“完整性算法”即可。对于机密数据,需要使用ESP安全机制,因此可在图3-2中选中“数据完整性和加密(ESP)(C)”,并选择合适的“完整性算法”和“加密算法”。
3. 在IKE执行密钥交换时(建立主要模式SA的阶段),通信双方需要验证对方的身份,Windows 2003中支持
3 、
4 和
5 验证。
(6)Kerberos (7)数字证书 (8)预共享密钥
在IKE执行密钥交换时(建立主要模式SA的阶段),通信双方需要验证对方的身份,Windows 2003中支持3种验证方法,即Kerberos、数字证书和预共享密钥。
4. VPN中的数据加密所使用的方法有DES和3DES,其中3DES是执行三次DES算法,图3-3所示的是3DES加密过程。若用E和D分别表示执行加密和解密算法,则图3-3方框中分别按顺序填写
4 、
5 和
6 。
(9)E (10)D (11)E
三重DES使用两个密钥,执行三次DES算法,如下图所示,图中方框E和D分别表示执行加密和解密算法。
加密时是E-D-E,解密时是D-E-D,其密钥长度是112位,这个长度对于商业用户已经足够了。加密时是E-D-E而不使用E-E-E的目的是,为了与现有DES系统的向后兼容,当K
1 =K
2 时,三重DES的效果与现在DES的效果完全一样。
5. 在整个VPN通信中,主要有
5 和
6 两种VPN通信方式,而后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联VPN)”。
(12)远程访问VPN (13)路由器到路由器VPN
在整个VPN通信中,主要有两种VPN通信方式,适用于两类不同用户选择使用,满足各方面用户与企业VPN服务器进行通信的需求。这两利WPN通信方式就是俗称的“远程访问VPN”和“路由器到路由器VPN”,前者也称之为“Access VPN”(远程访问VPN),后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联VPN)”。前者是采用Client-to-LAN(客户端到局域网)的模式,而后者所采用的是LAN-to-LAN(局域网到局域网)模式。前者适用于单机用户与企业VPN服务器之间的VPN通信连接,而后者适用于两个企业局域网VPN服务器之间的VPN通信连接。
试题四 阅读以下说明,回答问题1~3,将答案填入对应的解答栏内。
网络地址转换(NAT)的主要目的是解决IP地址短缺问题以及实现TCP负载均衡等。在图4-1的设计方案中,与Internet连接的路由器采用网络地址转换。 1. 某学校通过专线上网,申请的合法Internet IP地址202.168.10.1~202.168.10.10,使用路由器的NAT功能进行地址转换,具体配置如下,解释配置命令含义。
version 11.3
no service password-encryption
!
hostname 2601 1 !
enable password cisc02006 2 ip nat pool aaa 202.168.10.2 202.168.10.10 netmask 255.255.255.240 3 ip nat inside source list 1 pool aaa overload 4 !
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside 5 !
interface Serial0
ip address 202.1 68.10.1 255.255.255.240
ip nat outside 6 bandwidth 2000 7 clockrate 2000000
!
no ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 8 access-list 1 permit 10.1.1.0 0.0.0.255 9 !
!
end
(1)指定路由器的主机名
该题主要考查NAT及NAT在Cisco路由器的配置。
2. NAT按技术类型分为
2 、
3 、
4 三种转换方式。
(10)、(11)、(12)静态地址转换、动态地址转换、复用动态地址转换
NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
试题五 阅读以下说明,回答问题1~5,将解答填入对应的解答栏内。
如图5-1所示,为了实现交换机SW1和SW2之间的冗余连接以提高传输速度和可靠性,在这两台交换机使用两条双绞线互连。为了避免网络环路的出现,在两台交换机之间使用了生成树协议(Spanning Tree Protocol,STP),通过修改Trunk(干道)端口的属性,使不同的VLAN数据从不同的端口中传输。 1. 交换机SW1和SW2之间使用生成树协议之后,该交换机上的端口总是处于(1)、(2)、(3)和(4)4种状态中的一种。
(1)阻塞 (2)监听 (3)学习 (4)转发
运行生成树协议的交换机上的端口,总是处于下面四个状态中的一个。在正常操作期间,端口处于转发或阻塞状态。当设备识别网络拓扑结构变化时,交换机自动进行状态转换,在这期间端口暂时处于监听和学习状态。
2. 阅读下面配置信息,将
2 ~
5 处空缺的内容填写在相应位置。
SW1>enable (进入特权模式)
SW1#
2 (进入VLAN配置子模式)
SW1(vlan)#vtp server (设置本交换机为Server模式)
SW1(vlan)#vtp domain ABC (设置域名)
SW1(vlan)#
3 (启动修剪功能)
SW1(vlan)#
4 (设置VTP的版权为2)
SW1(vlan)#
5 (创建VLAN2,并命名为v2)
SW1(vlan)#…….. (创建VLAN3-VLAN6)
SW1(vlan)#exit (退出VLAN配置模式)
SW1#show vtp status (查看VTP设置信息)
(5)vlan database (6)vtp pruning (7)vtp version 2 (8)vlan 2 name v2
进入VLAN配置子模式的命令是“vlan database”:启动VTP修剪功能的命令是“vtp pruning”;设置VTP的版权的命令是“vtp version<版本号designtimesp=31676>”;在VLAN配置子模式下创建VLAN的命令是“vlanname”。
3. 阅读下面配置信息,解释
3 ~
5 处的命令,将答案填写在相应的位置。
SW1>enable (进入特权模式)
SW1(config)#interface f0/23 (进入接口23配置模式)
SW1(config-if)#switchport mode trunk
3 SW1(config-if)#switchport trunk encaps isl
4 SW1(config-if)#spanning-tree vlan 1 port-priority 10
5 SW1(config-if)#spanning-tree vlan 2 port-priority 10
SW1(config-if)#spanning-tree vlan 3 port-priority 10
SW1(config-if)#interface f0/24 (进入接口24配置模式)
SW1(config-if)#…….. (对端口24进行配置)
SW1(config-if)#end
SW1#copy run start
(9)将当前端口设置为trunk(干道)模式
命令“switchport mode trunk”的功能是将当前端口设置为trunk(干道)模式;命令“switchport trunk encaps is1”的功能是设置trunk中数据帧的封装形式为is1;命令“spanning-tree vlan 1 port-priority 10”的功能是设置VLAN1在当前端口的优先级为10。
4. 在[问题3]中,是通过修改VLAN的port-priority来实现负载均衡。除此之外,还可以修改STP的
来实现。
路径值(cost)
要实现负载均衡,又要防止环路产生,可以通过修改VLAN的port-priority(端口优先级)来实现,还可以修改端口的STP路径值(cost)来实现。
5. 在图5-1中,如果把这两条平行链路看成一条物理链路,从而提高了交换机之间的带宽,同时还提供了负载均衡和冗余性,这种技术称为
。
快速以太通道(Fast EtherChannel)(注:答“端口聚合”也算对)
Cisco为生成树环境中的冗余链路提供了另一条被称为快速以太通道(Fast EtherChannel)技术。它是建立在基于802.3全双式的快速以太网之上。快速以太通道使平行链路可以被生成树STP看成是一条物理链路,从而提高了交换机之间的带宽,同时还提供了负载均衡和冗余性,这就是通常所称的“端口聚合”技术。
深色:已答题 浅色:未答题
深色:已答题 浅色:未答题