的、私人的信息可以安全地存放入内网中,即dmz的后面。dmz中服务器不应包含任何商业机密、资源代码或是私人信息。
注:dmz
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示。
网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。
7、阅读以下说明和交换机的配置信息,回答问题1至问题3,将解答填入答题纸的对应栏内。
16
[说明] 某公司下设三个部门,为了便于管理,每个部门组成一个vlan,公司网络结构如下图所示。
[交换机switch1的部分配置信息]
switch 1(config)#finterface fo/9
switchl(config-if)#switchport mode access switchl(config-if)#switchport access vlan 11 switch 1(config)#interface fo/lo
switch 1(config-if)#switchport mode access switchl(config-if)#switchport access vlan 12 switch 1(config)#interface fo/17
switchl(config-if)#switchport mode access switchl(config-if)#switchport access vlan 13
[交换机switch2的部分配置信息]
switch2(config)#interface fo/6
switch2(config-if)#switchport mode access switch2(config-if)#switchport access vlan 11 switch2(config)#interface fo/8
switch2(config-if)#switchport mode access switch2(config-if)#switchport access vlan 12 switch2(config)#intefface fo/11
switch2(config-if)#switchport mode access switch2(config-if)#switchport access vlan 13
[交换机switch3的部分配置信息]
switch3(config)#interface fo/3
17
switch3(config-if)#switchport mode access switch3(config-if)#switchport access vlan 11 switch3(config-if)#exit
switch3(config)#interface fo/7
switch3(config-if)#switchport mode access switch3(config-if)#switchport access vlan 12 switch3(config)#interface fo/13
switch3(config-if)#switchport mode access switch3(config-if)#switchport access vlan 13
[问题1] 通常vlan有静态和动态两种实现方式,这两种方式分别是如何实现的?
各有什么特点? switchl采用的是哪种实现方式? (5分)
[问题2] 在vlan中,stp和vtp是什么协议?各有什么作用? (4分)
[问题3] 填充vlan信息表(表3),将答案填写在答题纸相应位置。(6分)
表3 vlan信息表
部门 行政部 市场部 财务部 答:
[问题1] 在静态实现方式中,网络管理员将交换机端口静态地分配给某一个vlan,这是经常使用的一种配置方式,容易实现和监视,比较安全。在动态实现方式中,管理员必须先建立一个较复杂的数据库,例如输入要连接的网络设备的mac地址及相应的vlan号,这样,当网络设备接到交换机端口时,交换机自动把这个网络设备所连接的端口分配给相应的vlan。动态vlan的配置可以基于网络设备的mac地址、ip.地址、应用的协议来实现。动态vlan一般通过管理软件来进行管理。switch1采用静态实现方式。
vlan编号 包括的服务器及主机名称 11 12 13 (1) (2) (3) 18
[问题2] stp(spanningtreeprotocol,生成树协议)是一个既能够防止环路、又能够提供冗余线路的第二层的管理协议。为了使交换网络正常运行,stp网络上的任何两个终端之间只有一条有效路径。stp使用生成树算法求解没有环路的最佳路径,使一些备用路径处于阻塞状态。大型交换网络中尤其是有多个vlan的时候,配置stp很重要。
vtp(vlan trunkprotocol,vlan中继协议)保持vlan的删除、添加、修改等管理操作的一致性。在同一个vtp域内,vtp通过中继端口在交换机之间传送vtp信息,从而使一个vtp域内的交换机能共享vlan信息。
[问题3]
(1) server3+computer2+computer5; (2) server2+computer3+computer6; (3) serverl+computerl+computer4
19
8、下面是某路由器的部分配置信息,解释__(n)__ 处标有下划线部分的含义,将解答填入答题纸的对应栏内。
[配置路由器信息]
current configuration: !
version 11.3
no service password-encryption !
hostname router1 第(__1__)处 (1分) !
enable password nwdl2345 第(__2__)处 (2分) !
interface ethemet0
ip address 192.4.1.1.255.255.255.0 1
interface seria10
ip address 192.3.1.1 255.255.255.0
encansulation frame-relay ietf 第(__3__)处 (2分) no ip mroute-cache
bandwidth 2000 第(__4__)处 (2分) frame-relaymanin l92.3.1.2100 broadcast 第(__5__)处 (2分) frame-relaylmi-typecisco !
router ospf1 第(__6__)处 (2分) network l92.1.1.0.0.0.0.255 area0 第(__7__)处 (2分) network 192.3.1.0.0.0.0.255 area0 network l92.4.1.0.0.0.0.255 area0
neighbor l92.1.1.2 第(__8__)处 (2分) ! end
答:
(1) 路由器名为router1 (2) 特权密码为pwdl2345
(3) 在端口配置中封装帧中继,帧中继数据包封装格式为ietf (4) 带宽为2m
20
(5) 映射ip地址与帧中继地址。对方路由器的ip地址为192.3.1.2,本端口的帧中继号码为100,并且允许在帧中继线路上传送路由广播信息。
(6) 指定使用ospf协议,路由进程id为1。
(7) 指定与该路由器相连的网络ip为192.1.1.0,子网掩码的反码为0.0.0.255(或子网掩码为255.255.255.0),网络区域id为0。
(8) 指定与该路由器相邻的节点地址为192.1.1.2。
21