某企业采用Windows2000 操作系统部署企业虚拟专用网(VPN),将企 Http://www.ccidedu.com
业的两个异地网络通过公共Internet 安全的互联起来。微软
Windows2000 操作系统当中对IPSec 具备完善的支持,下图给出了基于 Windows2000 系统部署IPSec VPN 的网络结构图。 下午考试 【问题1】(2 分)
IPSec 是IETE 以RFC 形式公布的一组安全协议集,它包括AH 与ESP 两个安全机制,其中(1) 不支持保密服务。 答: AH:认证头-提供认证和数据完整性 【问题2】(4 分)
IPSec 的密钥管理包括密钥的确定和分发。IpSec 支持(2)和(3) 两种密钥管理方式。试比较这两种方式的优缺点。 答: (2)手工(3)自动
手工:适合规模小,机器相对稳定的环境 自动:适合大规模网络环境
【问题3】(4 分)
如果按照图中所示的网络结构配置IPSecVPN,安全机制选择的是ESP, 那么IPSec 工作在隧道模式。一般情况下,在图中所示的四个网络接口 中,将(4)和(5)配置为公网IP,将(6)和(7)配置为内网IP。 答: (4)NIC 2 (5)NIC3 (6) NIC1 (7) NIC4
【问题4】(3 分)
在Internet 上捕获并分析两个内部网络经由Internet 通信的IP 包, 在下列三个选项中选择正确选项填写到图3-2 中相应空缺处。 (a) ESP 头(b)封装后的IP 包头(C)封装前的IP 头 答: (8) B (9)A (10)C 【问题5】(2 分)
IpSec VPN 与L2TPVPN 分别工作在OSI/RM 的哪个协议层? 答: IpSec VPN 在第三层网络层 L2TPVPN 在第二层数据链路层 Http://www.ccidedu.com 试题三(15 分) 关于IPSEC 该题评价: 1 难度低
2 实际要求:无
3 基本知识:有(IPSec 协议组成、功能) 4 工作原理:无 下午考试
试题四(15 分)
【说明】某单位的内部局域网通过防火墙与外部网络的连接方式及相 关的网络参数如图4-1 所示。 【问题2】(4 分)
与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出
口IP 地址。根据网络连接示意图4-1 提供的网络参数,完成下列命令 行的配置内容,以实现整个内部网络段的多个用户共享一个IP 地址。 firewall(config)# global(outside) (5) netmask (6) firewall(config)#nat(inside) (7) (8) 答:ciasco PIX 配置命令
(5) 202.117.12.37 外部可使用的地址 (6) 255.255.255.252
(7)192.168.0.0 内部网络段(地址池) Http://www.ccidedu.com (8) 255.255.255.0 【问题3】(2 分)
如果允许内部任意IP 地址都可以转换出去,则: firewall (config )# nat (inside) (9) (10) 答:(9)0.0.0.0 (10) 0.0.0.0 表示所有内部主机都可访 问
【问题4】(2 分)
访问控制表是防火墙实现安全管理的重要手段。完成下列访问控制列 表(access-control-list)的配置内容,使内部所有主机不能访问 外部IP 地址段为202.117.12.0/24 的Web 服务器。 Firewall(config)#access-list 100 deny tcp (11)
202.117.12.0 255.255.255.0 eq (12) 答: (11) any host (12) www 【问题5】(3 分)
如果使外部所有主机不能访问内部IP 地址为192.168.0.10 的FTP 服 务器,仿照上一个访问控制列表的命令行格式,给出访问控制表的命令 行。
答: Firewall(config)#access-list 100 deny tcp anyhost 192.168.0.10 255.255.255.0 eq ftp 试题四(15 分) 防火墙配置 该题评价: 1 难度低-高
2 实际要求:特别需要 3 基本知识:有(NAT, 访问列表) 4 工作原理:无 试题五(15 分) 【说明】
利用VLAN 技术可以把物理上连接的网络从逻辑上划分为多个不同的虚 拟子网,可以对各个子网实施不同的管理策略。图5-1 标书两个交换 机相连,把6 台计算机配置成连个VLAN。
Http://www.ccidedu.com 【问题1】(2 分)
双绞线可以制作成直连线和交叉线两种形式,在图5-1 中,两个交换 机的UPLINK 口相连,使用的双绞线制作成什么形式?连接交换机和计
算机的双绞线制作成什么形式? 答:交换机之间采用交叉线 计算机-交换机采用直连线 下午考试 【问题2】(7 分)
阅读一下的配置信息,将(1)~(4)处空缺的内容填写在答题纸相 应位置。
SW1>enable (进入特权模式)
SW1#valn database (设置VLAN 配置子模式) SW1(valn )#vtp server (设置本交换机为Server 模式) SW1(valn) #vtp domain (1) (设置域名) SW1(valn) # (2) (启动修剪功能) SW1(valn) # exit (退出VLAN 配置模式) 下午考试
【问题2】(7 分)
SW1#show (3) (查看VTP 设置信息) VTP version : 2
Configuration Revision : 0 Http://www.ccidedu.com
Maximum VLANs supported locally :64 Number of existing VLANs :1 VTP Operating Mode :Server VTP domain Name :Server1 VTP Pruning Mode :Enable VTP V2 Mode :Disabled
VTP Traps Generation :Disabled
MD5 digest :0x82 0x6B 0xFB 0x94 0x41 0xEF 0x92 0x30
Configuration last modified by 0.0.0.0 at 7-1-05 00:07:51 (1) Server1 (2) VTP Pruning (3) VTP status P508 下午考试
SW2 #valn database
SW2(valn) #vtp domain NULL SW2(vlan) # (4)
Setting device to VTP CLIENT mode SW2 (vlan) # exit (4) 答: vtp client 下午考试 【问题3】(2 分)
阅读一下的配置信息,解释(5)处的命令,将答案填写在答题纸上相 应的位置。
Switch#
Switch#config
Switch(config) # interface f0/1 (进入接口1
配置模式)
Switch(config-if) #switchport mode trunk (5)
Switch(config-if)#switchport trunk allowed vlan all (设置允许 从该接口交换数据的vlan) Switch(config-if) # exit Switch(config) # exit
Switch#
(5) 答:设置该端口为Trunk 端口 Http://www.ccidedu.com 下午考试
【问题4】(2 分) 阅读一下的配置信息,解释(6)处的命令,将答案 填写在答题纸上相应的位置。 Switch#vlan d
Switch(vlan) #vlan 2 (创建一个VLAN2) VLAN 2 added
Name:VLAN0002 (系统自动命名) Switch(vlan)#valn 3 name vlan3 (6) VLAN3 added: Name:valn3
Switch(vlan) #exit
(6) 创建VLAN3 命名为vlan3
下午考试 【问题5】(2 分)阅读一下的配置信息,解释(7)处的命令,将答案 填写在答题纸上相应的位置。
Switch # config t
Switch (config) #interface f0/5 进入端口5 配 置模式
Switch (config-if)#Switchport mode access (7)
Switch (config-if)#Switchport access vlan2 (把端口5 分配给相 信的vlan2)
Switch (config-if)#exit
Switch (config-if)#interface f0/6
Switch (config-if)#switchport mode access Switch (config-if)#swithport access vlan3 Switch (config-if)#exit Switch (config)# exit Switch#
(7) 设置端口为静态VLAN 访问模式 下午考试 试题五(15 分) VLAN 配置
该题评价:
1 难度低(书上P508-P510) Http://www.ccidedu.com
2 实际要求:无
3 基本知识:有(NAT, 访问列表) 4 工作原理:无
下午考试对比(04 05 上下) 04 难度
无线接入与配置高 ADSL 接入低 Mail 服务器配置低 故障排除、NAT 中高 VPN (L2TP)低