【计算机类职业资格】网络工程师-网络工程师案例分析及答案解析.doc

1、网络工程师-网络工程师案例分析及答案解析(总分：100.02，做题时间：90 分钟)一、试题一(总题数：1，分数：20.00)阅读以下说明，根据要求回答下面问题。说明某校园无线网络拓扑结构如图所示。（分数：20.01）(1).根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线 AP 的是_交换机，它可以通过交换机的_口为 AP 提供直流电。（分数：6.67）填空项 1:_(2).1根据需求在图书馆报告厅安装无线 AP，如果采用符合 IEEE 802.11b 规范的 AP，理论上可以提供_Mb/s 的传输速率；如果采用符合 IEEE 802.11g 规范的 AP，理论上可以提供最高_Mb/

2、s 的传输速率。如果采用符合_规范的 AP，由于将 MIMO 技术和_调制技术结合在一起，理论上最高可以提供 600Mbps 的传输速率。AIEEE 802.11aBIEEE 802.11eCIEEE 802.11iDIEEE 802.11nABFSKBOAMCOFDMDMFSK2图书馆报告厅需要部署 10 台无线 AP，在配置过程中发现信号相互干扰严重，这时应调整无线 AP 的_设置，用户在该报告厅内应选择_，接入不同的无线 AP。A频道B功率C加密模式D操作模式ESSID（分数：6.67）填空项 1:_(3).若在学校内一个专项实验室配置无线 AP，为了保证只允许实验室的 PC 机接入该无

3、线 AP，可以在该无线 AP 上设置不广播_，对客户端的_地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有三种方式：_、WPA/WPA2、WPA-PSK/WPA2-PSK。在这三种模式中，安全性最好的是_，其加密过程采用了 TKIP 和_算法。AAESBDESCIDEADRSA（分数：6.67）填空项 1:_二、试题二(总题数：1，分数：20.00)阅读以下说明，根据要求回答问题说明网络拓扑结构如图所示。（分数：20.00）(1).网络 A 的 WWW 服务器上建立了一个 Web 站点，对应的域名是 www.abc.edu。DNS 服务器 1 上安装Windows Setnv

4、er 2003 操作系统并启用 DNS 服务。为了解析 WWW 服务器的域名，在图 1 所示的对话框中，新建一个区域的名称是_；在图 2 所示的对话框中，添加的对应的主机“名称”为_。图 1图 2（分数：4.00）填空项 1:_(2).在 DNS 系统中反向查询(Reverse Query)的功能是_。为了实现网络 A 中 WWW 服务器的反向查询，在图 3 和图 4 中进行配置，其中网络 ID 应填写为_。主机名应填写为_。图 3图 4（分数：4.00）填空项 1:_(3).DNS 服务器 1 负责本网络区域的域名解析，对于非本网络的域名，可以通过设置“转发器”，将自己无法解析的名称转到网络

5、 C 中的 DNS 服务器 2 进行解析。设置步骤：首先在“DNS 管理器”中选中 DNS 服务器，单击鼠标右键，选择“属性”对话框中的“转发器”选项卡，在弹出的如图 5 所示的对话框中应如何配置?图 5*（分数：4.00）_(4).网络 C 的 Windows Server 2003 Server 服务器上配置了 DNS 服务，在该服务器上两次使用 nslookup 命令得到的结果如图 6 所示，由结果可知，该 DNS 服务器_。图 6A启用了循环功能B停用了循环功能C停用了递归功能D启用了递归功能 （分数：4.00）填空项 1:_(5).在网络 B 中，除 PC5 计算机以外，其他的计算

6、机都能访问网络 A 的 WWW 服务器，而 PC5 计算机与网络B 内部的其他 PC 机器都是连通的。分别在 PC5 和 PC6 上执行命令 ipconfig，结果信息如图 7 和图 8 所示：请问 PC5 的故障原因是什么?如何解决?图 7*图 8*（分数：4.00）_三、试题三(总题数：1，分数：20.00)阅读以下说明，根据要求回答问题说明某公司总部和分支机构的网络配置如图所示。在路由器 R1 和 R2 上配置 IPSec 安全策略，实现分支机构和总部的安全通信。（分数：20.00）(1).下图中(a)、(b)、(c)、(d)为不同类型 IPSec 数据包的示意图，其中_和_工作在隧道模

7、式；_和_支持报文加密。（分数：5.00）填空项 1:_(2).下面的命令在路由器 R1 中建立 IKE 策略，请补充完成命令或说明命令的含义。R1(config) # crypto isakmp policy 110 进入 ISAKMP 配置模式R1(config-isakmp) # encryption des_R1(config-isakmp) # _采用 MD5 散列算法R1(config-isakmp) # authentication pre-share_R1(config-isakmp) # group 1R1(config-isakmp) # lifetime _安全关联生存期

8、为 1 天（分数：5.00）填空项 1:_(3).R2 与 R1 之间采用预共享密钥“12345678”建立 IPSec 安全关联，请完成下面配置命令。R1(config) # crypt isakmp key 12345678 address _R2(config) # crypt isakmp key 12345678 address _（分数：5.00）填空项 1:_(4).完成以下 ACL 配置，实现总部主机 10.0.1.3 和分支机构主机 10.0.2.3 的通信。R1(config) # access-1ist 110 permit ip host _ host _R2(conf

9、ig) # access-list 110 permit ip host _ host 10.0.1.3（分数：5.00）填空项 1:_四、试题四(总题数：1，分数：20.00)阅读以下说明，根据要求回答问题说明某公司通过 PIX 防火墙接入 Internet，网络拓扑如图所示。（分数：20.00）(1).解释画线语句的含义。（分数：5.00）填空项 1:_(2).根据配置信息，填写下表。域名称 接口名称 IP 地址 IP 地址掩码inside eth1 _ 255.255.255.0outsideeth2 61.144.51.42_dmz _ _ 255.255.255.0（分数：5.00）

10、填空项 1:_(3).根据所显示的配置信息，由 inside 域发往 Intemet 的 IP 分组，在到达路由器 R1 时的源 IP 地址是_。（分数：5.00）填空项 1:_(4).如果需要在 dmz 域的服务器(IP 地址为 10.10.0.100)对 Internet 用户提供 Web 服务(对外公开 IP 地址为 61.144.51.43)，请补充完成下列配置命令。PIX(config)#static(dmz, outside)_ _PIX(config)#conduit permit tcp host(10)eq www any（分数：5.00）填空项 1:_五、试题五(总题数：1

11、，分数：20.00)阅读以下说明，根据要求回答问题说明在大型网络中，通常采用 DHCP 完成基本网络配置会更有效率。（分数：20.01）(1).在 Linux 系统中，DHCP 服务默认的配置文件为_。A/etc/dhcpd.confB/etc/dhcpd.configC/etc/dhcp.confD/etc/dhcp.config（分数：6.67）填空项 1:_(2).管理员可以在命令行通过_命令启动 DHCP 服务；通过_命令停止 DHCP 服务。Aservice dhcpd startBservice dhcpd upCservice dhcpd stopDservice dhcpd d

12、own（分数：6.67）填空项 1:_(3).在 Linux 系统中配置 DHCP 服务器，该服务器配置文件的部分内容如下：subnet 192.168.1.0 netmask 255.255.255.0option routers 192.168.1.254;option subnet-mask 255.255.255.0;option broadcast-address 192.168.1.255;option domain-name-servers 192.168.1.3;range 192.168.1.100 192.168.1.200;default-lease-time 21600

13、;max-lease-time 43200;host webseryerhardware ethernet 52:54:AB:34:5B:09;fixed-address 192.168.1.100;在主机 webserver 上运行 ifconfig 命令时显示如下图所示，根据 DHCP 配置，填写空格中缺少的内容。该网段的网关 IP 地址为_，域名服务器 IP 地址为_。 （分数：6.67）填空项 1:_网络工程师-网络工程师案例分析答案解析(总分：100.02，做题时间：90 分钟)一、试题一(总题数：1，分数：20.00)阅读以下说明，根据要求回答下面问题。说明某校园无线网络拓扑结构如

14、图所示。（分数：20.01）(1).根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线 AP 的是_交换机，它可以通过交换机的_口为 AP 提供直流电。（分数：6.67）填空项 1:_ （正确答案：PoE 或者 802.3af 以太或者 Ethernet）解析：解析 根据学校无线网络的需求在学校操场要求部署 AP，该操场区域不能提供外接电源，由此可以判断连接学校操场无线 AP 的是 POE(Power over Emernet)交换机，是一种可以在以太网中通过双绞线来为连接设备提供电源的技术。它可以通过交换机的以太口为 AP 提供直流电。(2).1根据需求在图书馆报告厅安装无线 AP，如

15、果采用符合 IEEE 802.11b 规范的 AP，理论上可以提供_Mb/s 的传输速率；如果采用符合 IEEE 802.11g 规范的 AP，理论上可以提供最高_Mb/s 的传输速率。如果采用符合_规范的 AP，由于将 MIMO 技术和_调制技术结合在一起，理论上最高可以提供 600Mbps 的传输速率。AIEEE 802.11aBIEEE 802.11eCIEEE 802.11iDIEEE 802.11nABFSKBOAMCOFDMDMFSK2图书馆报告厅需要部署 10 台无线 AP，在配置过程中发现信号相互干扰严重，这时应调整无线 AP 的_设置，用户在该报告厅内应选择_，接入不同的无线

16、 AP。A频道B功率C加密模式D操作模式ESSID（分数：6.67）填空项 1:_ （正确答案：11 54 D C A E）解析：解析 IEEE 802.11 先后提出了以下多个标准，最早的 802.11 标准只能够达到 12Mbps 的速度，在制订更高速度的标准时，就产生了 802.11a 和 802.11b 两个分支，后来又推出了 802.11g 的新标准，如下表所示。无线局域网标准标准 运行频段 主要技术 数据速率802.11 2.4GHz 的 ISM 频段 扩频通信技术 1Mbps 和 2Mbps802.11b2.4GHz 的 ISM 频段 CCK 技术 11Mbps802.11a5G

17、Hz U-NII 频段 OFDM 调制技术 54Mbps802.11g2.4GHz 的 ISM 频段 OFDM 调制技术 54Mbps802.11n支持双频段 MIMO(多入多出)与 OFDM 技术 600Mbps注：ISM 是指可用于工业、科学、医疗领域的频段；U-NII 是指用于构建国家信息基础的无限制频段。图书馆报告厅需要部署 10 台无线 AP，在配置过程中发现信号相互干扰严重，这时应调整无线 AP 的频道设置，用户在该报告厅内应选择 SSID，接入不同的无线 AP。其中 SSID 为用来标识不同的无线网络信号。如图所示：(3).若在学校内一个专项实验室配置无线 AP，为了保证只允许实

18、验室的 PC 机接入该无线 AP，可以在该无线 AP 上设置不广播_，对客户端的_地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有三种方式：_、WPA/WPA2、WPA-PSK/WPA2-PSK。在这三种模式中，安全性最好的是_，其加密过程采用了 TKIP 和_算法。AAESBDESCIDEADRSA（分数：6.67）填空项 1:_ （正确答案：SSID MAC WEP WPA-PSK/WPA2-PSK A）解析：解析 若在学校内一个专项实验室配置无线 AP，为了保证只允许实验室的 PC 机接入该无线 AP，可以在该无线 AP 上设置不广播 SSID。通常无线 AP 默认开启

19、 SSID 广播，在其覆盖范围内，所有具备无线网卡的计算机都可以查看并连接到该网络，如将其 SSID 广播禁用，则只有知道正确 SSID 的计算机才能连接至该无线网络，这样可达到安全限制的目的。同时对客户端的 MAC 地址进行过滤，如图所示：单击“添加新条目”：如图：无线网络加密主要有三种方式：WEP、WPA/WPA2、wPA-PSK/WPA2-PSK。在这三种模式中，安全性最好的是WPA-PSK/WPA2-PSK，其加密过程采用了 TKIP 和 AES 算法。如图所示：二、试题二(总题数：1，分数：20.00)阅读以下说明，根据要求回答问题说明网络拓扑结构如图所示。（分数：20.00）(1)

20、.网络 A 的 WWW 服务器上建立了一个 Web 站点，对应的域名是 www.abc.edu。DNS 服务器 1 上安装Windows Setnver 2003 操作系统并启用 DNS 服务。为了解析 WWW 服务器的域名，在图 1 所示的对话框中，新建一个区域的名称是_；在图 2 所示的对话框中，添加的对应的主机“名称”为_。图 1图 2（分数：4.00）填空项 1:_ （正确答案：abc.eduwww）解析：解析 本题考查的为 Windows 2003 平台下 DNS 服务器的配置，Windows 2003 中新建区域，是为了让域名能和指定的 IP 地址建立起对应关系。这个时候应该填写其

21、根域名，因此应该填写 abc.edu。根据问题 1 的要求，要能够正确解析本地 Web 站点的域名，因此图 2 中添加的主机的名称即空应该为 www。(2).在 DNS 系统中反向查询(Reverse Query)的功能是_。为了实现网络 A 中 WWW 服务器的反向查询，在图 3 和图 4 中进行配置，其中网络 ID 应填写为_。主机名应填写为_。图 3图 4（分数：4.00）填空项 1:_ （正确答案：用 IP 地址查询对应的域名210.43.16www.abc.edu）解析：解析 DNS 的反向查询就是用户用 IP 地址查询对应的域名。在图 3 的网络 ID 中，要以 DNS 服务器所使

22、用的 IP 地址前三个部分来设置反向搜索区域。题图中，网络 A 中的 DNS 服务器的 IP 地址是“210.43.16.4”，则取用前三个部分就是“210.43.16”。因此，填入 210.43.16而主机名填写相应的域名即可，即 www.abc.edu。(3).DNS 服务器 1 负责本网络区域的域名解析，对于非本网络的域名，可以通过设置“转发器”，将自己无法解析的名称转到网络 C 中的 DNS 服务器 2 进行解析。设置步骤：首先在“DNS 管理器”中选中 DNS 服务器，单击鼠标右键，选择“属性”对话框中的“转发器”选项卡，在弹出的如图 5 所示的对话框中应如何配置?图 5*（分数：4

23、.00）_正确答案：(选中“启用转发器”，在 IP 地址栏输入“51.202.22.18”，单击“添加”按钮，然后单击“确定”按钮关闭对话框。)解析：解析 DNS 服务器 1 负责本网络区域的域名解析，对于非本网络的域名，可以通过设置“转发器”，将自己无法解析的名称转到网络 C 中的 DNS 服务器 2 进行解析。设置步骤：首先在“DNS 管理器”中选中 DNS 服务器，单击鼠标右键，选择“属性”对话框中的“转发器”选项卡，在选项卡中选中“启用转发器”，在 IP 地址栏输入“51.202.22.18”，单击“添加”按钮，然后单击“确定”按钮关闭对话框。(4).网络 C 的 Windows Se

24、rver 2003 Server 服务器上配置了 DNS 服务，在该服务器上两次使用 nslookup 命令得到的结果如图 6 所示，由结果可知，该 DNS 服务器_。图 6A启用了循环功能B停用了循环功能C停用了递归功能D启用了递归功能 （分数：4.00）填空项 1:_ （正确答案：A 或启用了循环功能）解析：解析 如图 6 所示，如 对应于多个 IP 地址时 DNS 每次解析的顺序都不同，则表示其启用了循环功能。(5).在网络 B 中，除 PC5 计算机以外，其他的计算机都能访问网络 A 的 WWW 服务器，而 PC5 计算机与网络B 内部的其他 PC 机器都是连通的。分别在 PC5

25、和 PC6 上执行命令 ipconfig，结果信息如图 7 和图 8 所示：请问 PC5 的故障原因是什么?如何解决?图 7*图 8*（分数：4.00）_正确答案：(PC5 的默认网关配置错误，将默认网关 lP 地址修改为“192.168.0.3”。)解析：解析 由网络拓扑图可知，PC5 和 PC6 属于同一网段，导致 PC5 不能正确访问 WWW 服务器的原因在于的默认网关配置错误，导致数据包到达不了正确的网关，将默认网关 IP 地址修改为正确网关地址“192.168.0.3”即可。三、试题三(总题数：1，分数：20.00)阅读以下说明，根据要求回答问题说明某公司总部和分支机构的网络配置如图

26、所示。在路由器 R1 和 R2 上配置 IPSec 安全策略，实现分支机构和总部的安全通信。（分数：20.00）(1).下图中(a)、(b)、(c)、(d)为不同类型 IPSec 数据包的示意图，其中_和_工作在隧道模式；_和_支持报文加密。（分数：5.00）填空项 1:_ （正确答案：c、d(顺序可交换)b、d(顺序可交换)）解析：解析 IPSec 有隧道和传送两种工作方式。在隧道方式中，用户的整个 IP 数据包被用来计算 ESP头，且被加密，ESP 头和加密用户数据被封装在一个新的 IP 数据包中；在传送方式中，只是传输层(如TCP、UDP、ICMP)数据被用来计算 ESP 头，ESP 头

27、和被加密的传输层数据被放置在原 IP 包头后面。当IPSec 通信的一端为安全网关时，必须采用隧道方式。IPSec 使用两种协议来提供通信安全身份验证报头(AH)和封装式安全措施负载(ESP)。身份验证报头(AH)可对整个数据包(IP 报头与数据包中的数据负载)提供身份验证、完整性与抗重播保护。但是它不提供保密性，即它不对数据进行加密。数据可以读取，但是禁止修改。封装式安全措施负载(ESP)不仅为 IP 负载提供身份验证、完整性和抗重播保护，还提供机密性。传输模式中的 ESP 不对整个数据包进行签名。只对 IP 负载(而不对 IP 报头)进行保护。ESP 可以独立使用，也可与AH 组合使用。(

28、2).下面的命令在路由器 R1 中建立 IKE 策略，请补充完成命令或说明命令的含义。R1(config) # crypto isakmp policy 110 进入 ISAKMP 配置模式R1(config-isakmp) # encryption des_R1(config-isakmp) # _采用 MD5 散列算法R1(config-isakmp) # authentication pre-share_R1(config-isakmp) # group 1R1(config-isakmp) # lifetime _安全关联生存期为 1 天（分数：5.00）填空项 1:_ （正确答案：加

29、密算法为 DEShashmd5认证采用预共享密钥86400）解析：解析 VPN 的基本配置：配置信息描述：一端服务器的网络子网为 10.0.1.0/24，路由器为 172.30.1.2；另一端服务器为 10.0.2.0/24，路由器为172.30.2.2。主要步骤：1确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为 testpwd)。2为 SA 协商过程配置 IKE。3配置 IPSec。(1)配置 IKECsaiR(config)#crypto isakmp policy 1/policy 1 表示策略 1，假如想多配几 VPN，可以写成 policy 2、policy 3.Csai

30、R(config-isakmp)#group 1 /group 命令有两个参数值：1 和 2。参数值 1 表示密钥使用 768 位密钥，参数值 2 表示密钥使用 1024 位密钥，显然后一种密钥安全性高，但消耗更多的 CPU 时间。在通信比较少时，最好使用 group 1 长度的密钥。CsaiR(config-isakmp)#authentication pre-share /告诉路由器要使用预先共享的密码。CsaiR(config-isakmp)#lifetime 3600 /对生成新 SA 的周期进行调整。这个值以秒为单位，默认值为86400(24 小时)。值得注意的是两端的路由器都要设置

31、相同的 SA 周期，否则 VPN 在正常初始化之后，将会在较短的一个 SA 周期到达中断。CsaiR(config)#crypto isakmp key test address 200.20.25.1/返回到全局设置模式确定要使用的预先共享密钥和指归 VPN 另一端路由器 IP 地址，即目的路由器 IP 地址。相应地在另一端路由器配置也和以上命令类似，只不过把 IP 地址改成 100.10.15.1。(2)配置 IPSecCsaiR(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.1 0.0 0.0.0.255/在

32、这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识 VPN 规则。CsaiR(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac这里在两端路由器唯一不同的参数是 vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的 IPSec 参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义 DES 作为保密密码钥加密算法。CsaiR(config

33、)#crypto map shortsec 60 ipsecisakmp /Map 优先级，取值范围 165535，值越小，优先级越高。参数 shortsec 是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。CsaiR (config-crypto-map)#set peer 200.20.25.1/这是标识对方路由器的合法 IP 地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是 100.10.15.1。CsaiR(config-crypto-map)#set transform-set vpn1CsaiR fconfig-crypto-map)#match

34、address 130 /这两个命令分别标识用于 VPN 连接的传输设置和访问列表。CsaiR(config)#interface sOCsaiR (config-if)#crypto map shortsec/将刚才定义的密码图应用到路由器的外部接口。最后一步保存运行配置，最后测试这个 VPN 的连接，并且确保通信是按照预期规划进行的。(3).R2 与 R1 之间采用预共享密钥“12345678”建立 IPSec 安全关联，请完成下面配置命令。R1(config) # crypt isakmp key 12345678 address _R2(config) # crypt isakmp k

35、ey 12345678 address _（分数：5.00）填空项 1:_ （正确答案：30.2.2172-30.1.2）解析：(4).完成以下 ACL 配置，实现总部主机 10.0.1.3 和分支机构主机 10.0.2.3 的通信。R1(config) # access-1ist 110 permit ip host _ host _R2(config) # access-list 110 permit ip host _ host 10.0.1.3（分数：5.00）填空项 1:_ （正确答案：0.1.310.0.2.310.0.2.3）解析：四、试题四(总题数：1，分数：20.00)阅读以

36、下说明，根据要求回答问题说明某公司通过 PIX 防火墙接入 Internet，网络拓扑如图所示。（分数：20.00）(1).解释画线语句的含义。（分数：5.00）填空项 1:_ （正确答案：启用 ftp 服务设置 eth0 口的默认路由，指向 61.144.51.45，且跳步数为 1）解析：解析 fixup 命令作用是启用，禁止，改变一个服务或协议通过 pix 防火墙，由 fixup 命令指定的端口是 PIX 防火墙要侦听的服务。见下面例子：例：Pix525(config)#fixup protoco1 ftp21启用 FTP 协议，并指定 FTP 的端口号为 21。设置指向内网和外网的静态路

37、由采用 route 命令：定义一条静态路由。route 命令配置语法：route (if_name)0 0 gateway_ipmetric其中参数解释如下：if name 表示接口名字，例如 inside，outside；Gateway_ip 表示网关路由器的 ip 地址；metric表示到 gateway_ip 的跳数，通常缺省是 1。例：Pix525(config)#route outside 0 0 61.144.51.168 1设置 eth0 口的默认路由，指向 61.144.51.168，且跳步数为 1。(2).根据配置信息，填写下表。域名称 接口名称 IP 地址 IP 地址掩码i

38、nside eth1 _ 255.255.255.0outsideeth2 61.144.51.42_dmz _ _ 255.255.255.0（分数：5.00）填空项 1:_ （正确答案：168.0.1255.255.255.248eth210.10.0.1）解析：解析 防火墙通常具有一般有 3 个接口，使用防火墙时，就至少产生了 3 个网络，描述如下：内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。外部区域(外网)。外部区域通常指 Internet 或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问

39、内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。非军事区(DMZ，又称停火区)。是一个隔离的网络，或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置 Web、Mail 服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许它们访问企业内部网络。由配置信息，ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0ip address dmz 10.10.0.1 255.255.255.0可知 e

40、th1 的 IP 地址为 192.168.0.1，eth0 的 IP 地址为 61.144.51.42，子网掩码为255.255.255.248，dmz 接口的名称为 eth2，IP 地址为 10.10.0.1。(3).根据所显示的配置信息，由 inside 域发往 Intemet 的 IP 分组，在到达路由器 R1 时的源 IP 地址是_。（分数：5.00）填空项 1:_ （正确答案：144.51.46）解析：解析 Global 命令把内网的 IP 地址翻译成外网的 IP 地址或一段地址范围。Global 命令的配置语法：global (if_name) nat_id ip_address-

41、ip_address netmark global_mask其中参数解释如下：if_name 表示外网接口名字，例如 outside；Nat_id 用来标识全局地址池，使它与其相应的 nat 命令相匹配；ip_address-ip_address 表示翻译后的单个 ip 地址或一段 ip 地址范围；netmark global_mask表示全局 ip 地址的网络掩码。由配置命令：global (outside)1 61.144.51.46nat (inside)1 0.0.0.0 0.0.0.000可以看出由 inside 域发往 Internet 的 IP 分组，在到达路由器 R1 时的源

42、IP 地址是 61.144.51.46。(4).如果需要在 dmz 域的服务器(IP 地址为 10.10.0.100)对 Internet 用户提供 Web 服务(对外公开 IP 地址为 61.144.51.43)，请补充完成下列配置命令。PIX(config)#static(dmz, outside)_ _PIX(config)#conduit permit tcp host(10)eq www any（分数：5.00）填空项 1:_ （正确答案：144.51.4310.10.0.10061.144.51.43）解析：解析 配置静态 IP 地址翻译(static)如果从外网发起一个会话，会话

43、的目的地址是一个内网的 ip 地址，static 就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static 命令配置语法：static (internal_if_nameexternal_if_name) outside_ip_address inside_ip_address其中参数解释如下：internal_if_name 表示内部网络接口，安全级别较高。如 inside；external_if_name 为外部网络接口，安全级别较低。如 outside 等；outside_ip_address 为正在访问的较低安全级别的接口上的 ip 地址；inside_ip_address

44、 为内部网络的本地 ip 地址。例：Pix525(config)#static(inside, outside)61.144.51.62 192.168.0.8表示 IP 地址为 192.168.0.8 的主机，对于通过 PIX 防火墙建立的每个会话，都被翻译成 61.144.51.62 这个全局地址，也可以理解成 static 命令创建了内部 IP 地址 192.168.0.8 和外部 ip 地址 61.144.51.62 之间的静态映射。管道命令(conduit 用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到 DMZ 或内部接口的入方向的会话。对于向内部

45、接口的连接，static 和 conduit 命令将一起使用，来指定会话的建立。conduit 命令配置语法：conduit permit | deny global_ip port -port protocol foreign_ip netmask其中参数说明解释如下：permit|deny：允许|拒绝访问。global_ip 指的是先前由 global 或 static 命令定义的全局 ip 地址，如果 global_ip 为 0，就用 any 代替0；如果 global_ip 是一台主机，就用 host 命令参数。port 指的是服务所作用的端口，例如 www 使用 80，smtp 使用 25 等等，我们可以通过服务名称或端口