【计算机类职业资格】初级网络管理员下午试题-132及答案解析.doc

1、初级网络管理员下午试题-132 及答案解析(总分：28.00，做题时间：90 分钟)一、试题一(总题数：1，分数：3.00)1.建立 Web 主机的方式有几种?（分数：3.00）_二、试题二(总题数：1，分数：4.00)2.如果以端口方式划分 VLAN，网管员将一台笔记本直接接入三楼交换机的 23 端口(注 23 端口没有进行任何设置)，该笔记本应如何设置才能上网?（分数：4.00）_三、试题三(总题数：1，分数：3.00)3.安装 Linux 之前需要知道哪些必要的数据信息?（分数：3.00）_四、试题四(总题数：1，分数：15.00)【说明】某企业采用 Windows Server2003

2、 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共Internet 安全的互联起来。微软 Windows Server 2003 操作系统中对 IPSec 具备完善的支持，图 1-16 示出了基于 Windows Server 2003 系统部署 IPSec VPN 的网络结构图。（分数：15.00）(1).【问题 1】使用 VPN 技术，是为了保证内部数据通过 Internet 安全传输。VPN 技术主要采用哪些技术来保证数据安全?（分数：3.00）_(2).【问题 2】IPSec IETE 以 RFC 形式公布的一组安全协议集，它工作在 OSI/RM 的 。该协议的 机制

3、不支持保密服务。IPSec 的密钥管理包括密钥的确定和分发，其支持的密钥管理方式是 。A数据链路层 B网络层 C 传输层 D应用层AAH BESP CSA DIKEA手工密钥分配 B自动密钥分配C动态密钥分配 D手工密钥分配和自动密钥分配（分数：3.00）_(3).【问题 3】如果按照如图 1-16 所示的网络结构配置 IPSec VPN，安全机制选择的是 ESP，那么 IPSec 工作在隧道模式。通常，在图 1-16 所示的 4 个网络接口(NICINIC4)中，应将 和 接口的 IP 地址配置为公网 IP，将 和 接口的 IP 地址配置为内网 IP。ANIC1 BNIC2 CNIC3 DN

4、IC4（分数：3.00）_(4).【问题 4】利用 Windows 2000 建立 VPN 服务器，接受远程 VPN 访问。默认情况下，_接入到 VPN 服务器上。A拒绝任何用户 B允许任何用户C除了 GUEST 用户，允许任何用户 D除了管理用户，拒绝任何用户（分数：3.00）_(5).【问题 5】在 Internet 上捕获并分析两个内部网络经由 Internet 通信的 IP 包，在下列选项中选择正确选项填写到图 1-17 中相应空缺处。*（分数：3.00）_五、试题五(总题数：1，分数：3.00)4.如何屏蔽来自某个 Internet 地址的用户访问 Apache 服务器?（分数：3.

5、00）_初级网络管理员下午试题-132 答案解析(总分：28.00，做题时间：90 分钟)一、试题一(总题数：1，分数：3.00)1.建立 Web 主机的方式有几种?（分数：3.00）_正确答案：(有两种方式：(1)主机托管：就是将用户的网络服务器主机，委托给一些网络服务机构管理，每年支付一定数额的委托管理费用。(2)虚拟主机：就是在专业网络公司的主机上，租用一定容量的网站空间，用以容纳自己的网站。)解析：二、试题二(总题数：1，分数：4.00)2.如果以端口方式划分 VLAN，网管员将一台笔记本直接接入三楼交换机的 23 端口(注 23 端口没有进行任何设置)，该笔记本应如何设置才能上网?（

6、分数：4.00）_正确答案：(默认情况下交换机的端口为 VLAN1，对 TCM/IP 协议进行配置，设置一个 VLAN1 没有使用的 IP地址(如 210.45.12.100)，子网掩码设置为 255.255.255.0、网关设置为 210.45.12.1、DNS 设置为210.45.12.10，即可连通网络。)解析：三、试题三(总题数：1，分数：3.00)3.安装 Linux 之前需要知道哪些必要的数据信息?（分数：3.00）_正确答案：(在安装 Linux 之前，要做好以下两方面的准备工作：(1)准备硬件，Linux 对硬件的要求比较低，安装所需硬件包括：硬盘、内存、CD-ROM、 SCS

7、I 卡、网卡、显示卡和显示器。(2)确认网络信息：为了保证 Linux 的网络功能，必须要明确地知道以下信息：主机 IP 地址、主机所在子网的子网掩码、网关的 IP 地址、主机所在域名的域名服务器 IP 地址、主机的域名和主机名。)解析：四、试题四(总题数：1，分数：15.00)【说明】某企业采用 Windows Server2003 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共Internet 安全的互联起来。微软 Windows Server 2003 操作系统中对 IPSec 具备完善的支持，图 1-16 示出了基于 Windows Server 2003 系统部署

8、 IPSec VPN 的网络结构图。（分数：15.00）(1).【问题 1】使用 VPN 技术，是为了保证内部数据通过 Internet 安全传输。VPN 技术主要采用哪些技术来保证数据安全?（分数：3.00）_正确答案：(隧道技术 加解密技术密钥管理技术 使用者与设备身份认证技术)解析：解析 这是一道要求读者掌握 VPN 安全关键技术的基本常识题。本题所涉及的知识点如下。虚拟专用网(VPN)指的是依靠 Internet 服务提供商(ISP)和其他网络服务提供商(NSP)，在公用网络中建立专用的数据通信网络的技术。其中，“虚拟”是指用户不再需要拥有实际的长途数据线路，而是使用公共Interne

9、t 网的数据线路。“专用网”是指用户可以为自己制定一个最符合自己需求的网络。目前 VPN 技术主要采用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等来保证内部数据在 Internet 网上的安全传输。隧道技术是 VPN 的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三、四层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP 帧中，再把整个数据包装入隧道协议

10、中。第二层隧道协议有 L2F、PPTP、 L2TP 等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。IPSec协议是第三层隧道协议的典型代表。SSL 协议是第四层隧道协议的典型代表。加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有的对称密码和非对称密码加解密技术。通过公共 Internet 网络传递的数据经过加密后，以确保网络其他未授权的用户无法读取该信息。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。使用者与设备身份认证技术，通常使用用户名和密码认证、卡片式认证或 USB 加密狗认证等方式。(2).【问题 2】IP

11、Sec IETE 以 RFC 形式公布的一组安全协议集，它工作在 OSI/RM 的 。该协议的 机制不支持保密服务。IPSec 的密钥管理包括密钥的确定和分发，其支持的密钥管理方式是 。A数据链路层 B网络层 C 传输层 D应用层AAH BESP CSA DIKEA手工密钥分配 B自动密钥分配C动态密钥分配 D手工密钥分配和自动密钥分配（分数：3.00）_正确答案：(B，或网络层 A，或 AHD，或手工密钥分配和自动密钥分配)解析：解析 IPSec 是 IETE 以 RFC 形式公布的一组安全协议集，提供访问控制、数据源认证、拒绝重放包、无连接完整性、保密性的服务。IPSec 安全体系结构包括

12、 AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议、密钥管理协议(ISAKMP)等 3 个最基本的协议。其中，AH 协议为 IP 包提供信息源验证和完整性保证，但不支持保密服务；ESP 协议提供加密保证；密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。IPSec 体系结构文档要求支持手工密钥分配和自动密钥分配这两种密钥管理方式。其中手工密钥分配的优点是简单，缺点是安全性较低，应用于小规模、相对静止的环境：自动密钥分配的优点是安全性较高，缺点是算法实现、密钥管理等较复杂。L2F、PPTP、L2TP 等 V

13、PN 协议工作在 OSI/RM 参考模型的数据链路层，IPSec 协议工作在 OSI/RM 的网络层，SSL/TLS VPN 协议工作在 OSI/RM 的传输层。(3).【问题 3】如果按照如图 1-16 所示的网络结构配置 IPSec VPN，安全机制选择的是 ESP，那么 IPSec 工作在隧道模式。通常，在图 1-16 所示的 4 个网络接口(NICINIC4)中，应将 和 接口的 IP 地址配置为公网 IP，将 和 接口的 IP 地址配置为内网 IP。ANIC1 BNIC2 CNIC3 DNIC4（分数：3.00）_正确答案：(B(或 NIC2)，或者 C(或 NIC3)C(或 NIC

14、3)，或者 B(或 NIC2)，但要与(4)所填写的内容不同A(或 NIC1)，或者 D(或 NIC4)D(或 NIC4)，或者 A(或 NIC1)，但要与(6)所填写的内容不同)解析：解析 隧道化技术是一种将分组封装化的技术，它要求发送方和接收方的 VPN 设备的认证方式、加密和封装化规程必须相同；它在 Internet 中建立一条数据通道，让数据包通过这条通道传输。在图 1-16 中拓扑结构中，通常需将公网地址分配给网络接口 NIC2、NIC3，将私网 IP 地址分配给 NIC1、NIC4。(4).【问题 4】利用 Windows 2000 建立 VPN 服务器，接受远程 VPN 访问。默

15、认情况下，_接入到 VPN 服务器上。A拒绝任何用户 B允许任何用户C除了 GUEST 用户，允许任何用户 D除了管理用户，拒绝任何用户（分数：3.00）_正确答案：(A，或拒绝任何用户)解析：解析 这是一道要求读者掌握利用 Windows 操作系统远程访问策略的基本常识题。本题的解答思路如下。由于 Windows 2000 操作系统默认对 VPN 拨入是进行 Windows 身份验证，即每个客户端拨入 VPN 服务器都需要有一个账号，因此在 VPN 服务器上要为每个需要拨入的客户设置一个专用的用户账号。依次进入“控制面板/管理工具/计算机管理/本地用户和组/用户”，右击管理员用户“Admin

16、istrator”后单击“属性”选项，在“拨入”选项卡中可以查看到管理员用户在默认情况下“远程访问权限(拨入或 VPN)”为“通过远程访问策略控制访问(P)”，如图 1-19 所示。接着，在“管理工具”中双击“路由和远程访问”图标，在所列出的本地服务器上单击鼠标右键，从弹出的菜单中选择“配置并启用路由和远程访问”命令，接着通过“路由和远程访问服务器安装向导”来建立VPN 服务器。安装完成后，通过“管理工具/路由和远程访问”进入“路由和远程访问”控制台。在控制台左边目录树中点中“远程访问策略”，接着双击位于控制台右边“到 Microsoft 路由选择和远程访问服务器的连接”，系统将弹出如图 1-

17、20 所示的属性界面。从该配置界面可以得知，操作系统将“远程访问权限”默认设置为“拒绝”。(5).【问题 5】在 Internet 上捕获并分析两个内部网络经由 Internet 通信的 IP 包，在下列选项中选择正确选项填写到图 1-17 中相应空缺处。*（分数：3.00）_正确答案：(9)B，或“封装后的 IP 包头” (10)C，或“封装前的 IP 头”)解析：解析 IPSec VPN 工作在 OSI/RM 的网络层，当应用 ESP 协议的隧道模式时，原 IP 数据包(源/目的 IP 地址使用内网 IP 地址)前将插入一个 ESP 头标，原 IP 数据包后插入 ESP 尾、ESP 认证；最后再封装一个源/目的 IP地址使用公网 IP 地址的新 IP 头。因此，(9)空缺处需填入“封装后的 IP 包头”，(10)空缺处需填入“封装前的 IP 头”。五、试题五(总题数：1，分数：3.00)4.如何屏蔽来自某个 Internet 地址的用户访问 Apache 服务器?（分数：3.00）_正确答案：(可以使用 deny 和 allow 来限制访问，比如要禁止 202.202.202.xx 网络的用户访问：Directory/www/htdocsorder deny, allowdeny from 202.202.202.0/24/Directory)解析：