【计算机类职业资格】软件水平考试（高级）网络规划设计师下午（案例分析）试题-试卷3及答案解析.doc

1、软件水平考试（高级）网络规划设计师下午（案例分析）试题-试卷3及答案解析(总分：34.00，做题时间：90 分钟)一、试题一(总题数：1，分数：8.00)阅读以下技术说明，根据要求回答问题 1问题 4。说明 某学校新建一栋 21层教学综合大楼，楼层两端相距 100m，距一端 50m处有一弱电竖井，弱电竖井贯穿每层的弱电室。每层楼均有 100个信息点(所有信息点要求具有 100Mb/s的数据传输率)。教学综合大楼距离原校园一期网络工程的核心交换机(布置在图书馆)约 650m。 随着不同的网络应用系统在网络工程的深入应用，网络数据的安全性越来越重要。网络系统的数据备份策略、网络安全策略的作用也日益

2、突显。一个实用的网络工程项目的应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划等。（分数：8.00）(1).该 21层教学综合大楼网络规划方案不仅要体现所设计的网络能满足现有及未来几年信息系统的应用需求，还需具有较高的平均无故障时间和尽可能低的平均故障率。该 21层教学综合大楼网络规则方案中除了实用性和高可靠性之外，还有哪些特性需要考虑?（分数：2.00）_(2).根据你的网络工程经验，请用 250字以内的文字简要描述该 21层教学综合大楼网络层次结构的设计要点。(不要求画图)（分数：2.00）_(3).请用 300字以内的文字，以提纲形式描述该 21层教学综合大楼综合布线设计的方案设

3、计要点。（分数：2.00）_(4).网络规划设计师必须能够与具有不同背景的利益相关者(如政府各个部门、企事业单位、业务工作人员、网络管理人员等)进行沟通交流，以提取和细化各方面的需求，并向这些利益相关者描述网络系统的体系结构。请用 100字以内文字简要叙述在网络规划设计过程中常用的沟通交流技巧。（分数：2.00）_二、试题二(总题数：1，分数：10.00)阅读下列技术说明，根据要求回答问题 1问题 5。说明 为了保障内部网络的安全，某公司在Internet的连接处安装了 CiscoPIX525防火墙。该防火墙带有 3个网络接口，其网络拓扑如图 4-13所示。（分数：10.00）(1).在网络工

4、程规划与设计过程中，选择防火墙之前应该考虑的因素有哪些?请用 300字以内的文字简要回答。（分数：2.00）_(2).请为图 4-13拓扑结构中 PIX 525防火墙各接口命名，并指定相应的安全级别和 IP地址的配置语句。（分数：2.00）_(3).该公司允许内部网段 192.168.1.0/26的所有主机对外访问 Internet。请写出 PIX 525防火墙与之相关的配置语句。（分数：2.00）_(4).在图 4-13拓扑结构中 PIX 525防火墙有如下配置语句，请写出每条配置语句的功能注释。 Pix525(config)# route outside 0 0 211.156.169.1

5、 (1) Pix525(config)# static(inside，outside) 211.156.169.2 211.156.169.5 (2) Pix525(config)# conduit deny icmp any any (3) Pix525(config)# fixup protocol http 8080 (4)（分数：2.00）_(5).只封禁一台地址为 192.168.1.230主机的 access-list正确配置是 (5) 。 Aaccess-list 110 permit中 anyany access-list 110 deny中 host 192.168.1.23

6、0 any access-list 110 deny ip anyhost 192.168.1.230 Baccess-list 110 deny 中 host 192.168.1.230 any access-list 110 deny中 any host 192.168.1.230 access-list 110 permit ip anyany Caccess-list 110 deny ip host 192.168.1.230 any access-list 110 deny ip any host 192.168.1.230 Daccess-list 110 deny ip hos

7、t 192.168.1.230 any access-list 110 permit ip anyany access-list 110 deny ip any host 192.168.1.230（分数：2.00）_三、试题三(总题数：1，分数：8.00)阅读下列关于系统运行的叙述，根据要求回答问题 1问题 4。说明 A 公司准备建立一个合同管理和查询系统。该系统由 1台服务器和 100台客户机构成，服务器和客户机之间通过局域网进行通信，服务器通过专线连接到两个交易网关 A和 B。系统构成如图 5-14所示。 服务器是对称多处理器系统，操作系统使用虚拟存储。操作系统需要 60MB的主存(假设

8、与 CPU的数量无关)。 系统需要处理 4种类型的操作：从交易网关接收数据，完成应用 1到应用 3的操作。 服务器直接从交易网关接收数据(该操作被称为接收任务)。应用 l至应用 3需要客户机与服务器协作完成，其中由服务器执行的部分被分别称为应用任务1、应用任务 2和应用任务 3(如表 5-9所示)。对于接收任务，即便是在峰值时间，也必须在 10s内完成，否则数据会丢失。 （分数：8.00）(1).要保证在峰值时间应用任务的处理速度仍可接受，服务器所需的最小主存是多少?(单位：MB)（分数：2.00）_(2).在峰值时间，使用单独的 CPU无法保证在规定的时间内完成各种应用。为了解决这个问题，需

9、要增加CPU的数量。计算在这种情况下，服务器上安装的 CPU的最小数量。(注：假设处理速度与 CPU的数量成正比。)（分数：2.00）_(3).如果在服务器和客户机之间采用 TCP/IP协议通信，则在峰值时间，局域网上传输的数据的最小流量是多少?（分数：2.00）_(4).在该系统中是否适合采用 UDP作为服务器与客户机的通信协议?用 150字以内的文字说明原因(可针对不同应用进行讨论)。（分数：2.00）_四、试题四(总题数：1，分数：8.00)阅读以下技术说明，根据要求回答问题 1问题 4。说明 随着网络规模扩大，网络带宽增加，异构性和复杂性不断提高，网络新业务不断出现，网络运行质量的问题

10、日益突出。网络运行质量的好坏直接关系到网络能否正常运行及用户体验，因此在网络建设初期及网络运行过程中有必要进行网络测试。假设网络工程项目 P包括 AH 8 个网络应用子系统，其结构如图 6-17 所示，其中子系统 D与 G的业务运行依赖于公共模块 E。 现计划采用自顶向下的方法执行网络工程 P的测试项目，该项目包括多个作业。设作业 A的任务是对模块 A进行测试，作业 B的任务是对模块 B进行测试依次类推。作业 P的任务是对项目 P进行整体测试。表 6-11列出了该项目各作业计划所需的天数、至少必须的天数(即再增大花费也不能缩短的天数)，以及每缩短 1天测试所需增加的费用。图 6-18是尚未完成

11、的该项目计划图，其中，每条箭线表示一个测试作业，箭线上标注的字母表示作业名，数字表示计划测试天数。 （分数：8.00）(1).请通过填补箭线完成图 6-18所示的该网络工程项目计划图。若为虚作业，请画成虚箭线；若为实箭线，则请在箭线上注明作业名及计划测试天数。（分数：2.00）_(2).完成该网络工程测试项目的工期是多少天?（分数：2.00）_(3).(1)如果要求该网络工程测试项目比原计划提前 1天完成，则至少应增加多少费用?应将哪些测试作业缩短 1天? (2)如果要求该网络工程测试项目在(1)的基础上提前 1天完成，则至少应再增加多少费用，应再将哪些测试作业缩短 1天?（分数：2.00）_

12、(4).假设该网络工程测试项目已按原计划部署，到了第 7天末，发现模块 A与模块 B已按计划测试完成，但模块 F却刚测试完，比原计划延迟了 2天。为了保证该项目仍能在原计划总天数内完成，则至少应增加多少费用?应缩短哪些作业多少天?（分数：2.00）_软件水平考试（高级）网络规划设计师下午（案例分析）试题-试卷3答案解析(总分：34.00，做题时间：90 分钟)一、试题一(总题数：1，分数：8.00)阅读以下技术说明，根据要求回答问题 1问题 4。说明 某学校新建一栋 21层教学综合大楼，楼层两端相距 100m，距一端 50m处有一弱电竖井，弱电竖井贯穿每层的弱电室。每层楼均有 100个信息点(

13、所有信息点要求具有 100Mb/s的数据传输率)。教学综合大楼距离原校园一期网络工程的核心交换机(布置在图书馆)约 650m。 随着不同的网络应用系统在网络工程的深入应用，网络数据的安全性越来越重要。网络系统的数据备份策略、网络安全策略的作用也日益突显。一个实用的网络工程项目的应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划等。（分数：8.00）(1).该 21层教学综合大楼网络规划方案不仅要体现所设计的网络能满足现有及未来几年信息系统的应用需求，还需具有较高的平均无故障时间和尽可能低的平均故障率。该 21层教学综合大楼网络规则方案中除了实用性和高可靠性之外，还有哪些特性需要考虑?（分

14、数：2.00）_正确答案：(正确答案：可扩展性原则，既要考虑到近期目标，也要为网络的进一步发展留有扩展的余地 先进性原则，尽可能采用先进而成熟的技术，应在一段时间内保证其主流地位 开放性原则，采用开放的 IEEE 802系列标准、TCP/IP 协议等技术，利于与外部网络的互联互通 易用性原则，具有良好的可管理性，易于管理、安装和使用，较高的资源利用率等 安全性原则，以确保网络系统和内部数据的安全运行)解析：解析：这是一道要求读者掌握大型网络系统方案设计原则的简答题，本题所涉及的知识点如下。 完成该 21层教学综合大楼网络建设的需求分析之后，接着进入的是网络系统方案的设计阶段。首先应明确采用哪些

15、网络技术和网络标准，以及构筑一个满足哪些应用的多大规模的网络。同时网络设计中不仅要考虑网络实施的成本，而且还要考虑网络运行成本。如果网络工程分期实施，应明确分期工程的目标、建设内容、所需工程费用、时间和进度计划等。 该 21层教学综合大楼网络建设，关系到现在和将来学校网络信息化水平、网上应用系统的成败，在设计前对主要设计原则进行选择和平衡，并排定其在方案设计中的优先级。 试题中已给出了总体设计原则的“实用性原则”，即该 21层教学综合大楼网络规则方案，要体现所设计的网络能满足现有及未来几年信息系统的应用需求，但计算机设备、服务器设备和网络设备在技术性能逐步提升的同时，其价格却在逐年下降，因此在

16、该 21层教学综合大楼网络建设中不可能也没必要实现所谓“一步到位”。因此，网络方案设计中应把握“够用”和“实用”原则，网络系统应采用成熟可靠的技术和设备，达到实用、经济和有效的结果。 在试题中已给出了总体设计原则的“高可靠性原则”，即要求该 21层教学综合大楼网络建设具有较高的平均无故障时间和尽可能低的平均故障率。由于网络总体设计不仅要考虑到近期目标，也要为网络的进一步发展留有扩展的余地，因此该 21层教学综合大楼网络建设中应要求在规模和性能两方面具有良好的可扩展性，即“可扩展性原则”。 建设一个现代化的网络系统，应尽可能采用先进而成熟的技术，应在一段时间内保证其主流地位。因此该 21层教学综

17、合大楼网络应采用当前较先进的技术(如干兆位以太网和全交换以太网技术)和设备，符合网络未来发展的潮流，即“先进性原则”。 现阶段对校园网等网络建设中通常采用开放的 IEEE802.3系列标准、TCP/IP 协议等技术，从而有利于未来网络系统扩充，同时也利于与外部网络(例如 Internet网等)互联互通。 通常对于大型校园网要求具有“易用性”，即所建设的网络系统必须具有良好的可管理性，易于管理、安装和使用，并且在满足现有网络应用的同时为以后的应用升级奠定基础。同时网络系统还应具有较高的资源利用率。 现阶段校园网等网络建设中通常还会考虑“网络的安全性”，以确保网络系统和内部数据的安全运行。(2).

18、根据你的网络工程经验，请用 250字以内的文字简要描述该 21层教学综合大楼网络层次结构的设计要点。(不要求画图)（分数：2.00）_正确答案：(正确答案：各楼层的信息点与各楼层交换机的连接构成该网络结构的接入层 各楼层交换机通过其上连端口与中间层交换机连接构成该网络结构的汇聚层 各汇聚层交换机通过其上连的光纤端口与该大楼核心交换机连接，以及与图书馆机房中原核心交换机进行连接，两台核心交换机通过光纤链路进行聚合连接从而构成该网络的核心层的连接成为该网络结构的核心层(答案类似即可)解析：解析：这是一道要求读者掌握大型校园网网络方案设计要点的简答题，本试题所涉及的知识点如下。通常从逻辑设计的角度来

19、看，该 21层教学综合大楼网络结构可分为接入层、汇聚层和核心层 3个层次。各楼层的信息点与各楼层交换机的连接构成该网络的接入层。 各楼层交换机通过其上连端口，与中间层交换机连接构成该网络的汇聚层。 各汇聚层交换机通过其上连的光纤端口与该大楼核心交换机连接，以及与图书馆机房中原核心交换机进行连接；两台核心交换机通过光纤链路进行聚合连接从而构成该网络的核心层的连接构成该网络结构的核心层。(3).请用 300字以内的文字，以提纲形式描述该 21层教学综合大楼综合布线设计的方案设计要点。（分数：2.00）_正确答案：(正确答案：在该 21层教学综合大楼的一楼(或其他楼层)设置一主配线间 其余各楼层弱电

20、室均设为本楼层的配线间 水平布线采用超 5类 UTP(或 6类 UTP)及其相应的连接模块与配线架 垂直干线采用多模光纤把各配线间连接到主配线间 采用单模光纤连接主配线间与图书馆的原核心交换机)解析：解析：这是一道要求读者掌握大型校园网综合布线方案设计要点的简答题，本题所涉及的知识点如下。 在该 21层教学综合大楼的一楼(或其他楼层)设置一主配线间。 其余各楼层弱电室均设为本楼层的配线间。 水平布线采用超 5类 UTP(或 6类 UTP)及其相应的连接模块与配线架。 垂直干线采用多模光纤把各配线间连接到主配线间。 采用单模光纤连接主配线间与图书馆上的原核心交换机。(4).网络规划设计师必须能够

21、与具有不同背景的利益相关者(如政府各个部门、企事业单位、业务工作人员、网络管理人员等)进行沟通交流，以提取和细化各方面的需求，并向这些利益相关者描述网络系统的体系结构。请用 100字以内文字简要叙述在网络规划设计过程中常用的沟通交流技巧。（分数：2.00）_正确答案：(正确答案：观察与问卷调查、访谈、演示、组交互(会议)、采访关键人物和书面交流(电子邮件)等)解析：解析：网络规划设计师必须能够与具有高度复杂背景的利益相关者进行沟通交流，以提取和细化需求，并向这些利益相关者描述系统的网络体系结构。在交流之前，需要先确定这个组织的关键人员和关键群体，再实施交流。在整个设计和实施阶段，应始终保持与关

22、键人员之间的交流，以确保网络工程建设不偏离用户需求。 在网络规划、设计与实施过程中，都要注意与用户群交流的方法和技巧，应避免交流不充分和交流过于频繁。避免交流不充分的关键是，没有注意交流的对象和方式。找到正确、对业务非常清晰的人(即行业专家)既可以减少交流的工作量，也可以避免由于过量而无用的信息导致设计出现的偏差。应针对不同的人员采用不同的交流方式，例如对于一线工作人员，可采用先下发调查问卷，再依据调查问卷进行访谈的方式。避免交流过于频繁的关键在于，每次交流前都要有明确的交流目标，同时交流后的归纳和总结同样可以提高交流的效率，否则就会使管理层和用户群体在项目结束前就厌烦听到有关网络开发的细节，

23、从而产生抵触情绪，给工作带来麻烦。常见的沟通、交流技巧主要包括如下几个方面。 组交互：与不同组中的成员进行交流，而这些人具有不同的背景、技能和日程安排。通常，这包括与各种参与者开会，所有的人一起或者集中部分人。 演示：向听众介绍所提出的网络体系结构。创建清楚且有效的 PPT演示文档，该文档需要避免使用填满了项目符号的大量幻灯片，力求使用图表的表示方法，并围绕相关的图表展开介绍。 观察与问卷调查：通过各种调查来发现需求。调查的问题应该是清楚的、明确的，并且是具有启发性的。问卷的制作应简单、可操作性强，尽量使用选择方式，而不是让用户填写大段的文字；而观察工作，重点是注意用户对各类信息、报表、文件的

24、处理。另外，问卷调查的方式还可以根据用户的情况进行调整。对于计算机操作能力不强的用户群，只能采用下发调查问卷，并录入调查结构的方式；对于计算机操作能力很强的用户群，可以采用下发电子文档或者开发调查网页的方式，简化调查结果录入工作。 集中访谈：与组织中来自于不同的技术和业务部门、各个级别的利益相关者进行访谈，就问卷形式无法解决的问题进行讨论，从而发现深层次的问题。 书面方式：通常，书面交流需要比口头交流更加小心。与面对面的直接交流相比，它无法(表情图标除外)通过面部的表情和身体语言来传达微妙的暗示。这在电子邮件消息中尤其困难，它很容易就会被误解。 采访关键人物：通常，这些关键人物主要是各级领导和

25、行业专家。各级领导主要从管理角度明确需求，而行业专家则明确的是业务需求。采访关键人物之前，一定要有针对地制订问题提纲，并最好先将提纲发给被采访人员：在采访过程开始前，应首先获取联系方式，最好和访谈者约定邮件、电话、即时通信机制；对关键人物不可能一次访谈就明确了所有需求，但是第一次访谈一定要形成需求的大致框架，以便于后期访谈工作的开展。二、试题二(总题数：1，分数：10.00)阅读下列技术说明，根据要求回答问题 1问题 5。说明 为了保障内部网络的安全，某公司在Internet的连接处安装了 CiscoPIX525防火墙。该防火墙带有 3个网络接口，其网络拓扑如图 4-13所示。（分数：10.0

26、0）(1).在网络工程规划与设计过程中，选择防火墙之前应该考虑的因素有哪些?请用 300字以内的文字简要回答。（分数：2.00）_正确答案：(正确答案：预算方面的考虑，应在保持经济、有效的同时提供尽可能高级别的服务，避免因成本限制而对网络服务造成的潜在损失。 现有设备的考察。例如，是否有可以安装防火墙功能模块的路由器等。 可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用?是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。 可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口，避免因网络流量快速增长而成为网络的瓶颈等。 所需功能的考虑。例如，是否支持防御 DoS/DDo

27、S，是否支持 VPN，能否保护特定主机的特定服务等)解析：解析：在选择防火墙之前应该考虑的因素包括预算、现有设备、可用性、可扩展性和所需的功能等。预算方面的考虑。网络环境中的每个防火墙应该在保持经济、有效的同时提供尽可能高级别的服务，但是如果防火墙过分受成本限制，则可能会对企业造成潜在的损失。例如，考虑网络服务因遭受拒绝服务攻击而被中断时的停机时间成本。 现有设备的考察。主要考虑企事业单位中是否有可利用的现有设备。例如，是否有可以重新利用的防火墙，是否有可以安装防火墙功能模块的路由器。 可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用、如何减少防火墙的故障修复时间、是否需要考虑采用冗余组

28、件或备用设备的方法增强防火墙的可用性等。 可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口。当企事业单位网络需要增加新的网络出口时，防火墙是否能通过增加模块来支持更多的接口；当网络流量快速增长时，防火墙会不会成为网络的瓶颈。此类利于未来发展的需求也应纳入可扩展性的考虑范畴。 所需功能的考虑。主要是指需要哪一种具体的防火墙功能。例如，是否支持防御DoS/DDoS，是否支持 VPN，是否支持 SNMPv3，能否保护特定主机的特定服务等。(2).请为图 4-13拓扑结构中 PIX 525防火墙各接口命名，并指定相应的安全级别和 IP地址的配置语句。（分数：2.00）_正确答案：(正确答案

29、：Pix525(config)#nameif ethernet0 E1 security100 Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 Pix525(config)#ip addressE3 210.156.169.6 255.255.255.240 Pix525(config)#ip addressE1 192.168.10.1 255.255.255.0 Pix525(config)#ip addressE2 211.156.169.2 255.25

30、5.255.252)解析：解析：在如图 4-13所示的网络拓扑中，PIX 525 防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制，实现内外网的物理分隔。它使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等 3个接口，分别与外网、内网、DMZ 区相连。DMZ区是放置公共信息的最佳位置，它对外网或内网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。在图 4，13 中防火墙的 DMZ区就是区域 B的服务器群网段。 公司中机密的、私人的

31、信息则需安全地存放在内部局域网中，即 DMZ的后面。DMZ 中服务器不应包含任何商业机密、资源代码或私人信息。内部局域网的安全级别最高，DMZ 区域次之，Internet 网的安全级别最低。 PIX 525 防火墙的基本配置命令 nameif用于配置防火墙接口的名字，并指定安全级别。安全级别取值范围为 199，数字越大安全级别越高。根据如图 4-13所示的网络拓扑，结合试题中己给出的配置信息可得，PIX 防火墙的 ethernet0端口被命名为 E1，安全级别为 100；ethernet1 端口被命名为 E3，安全级别为 60：ethernet2 端口被命名为 E2，安全级别为 0。相比之下，

32、E1 端口安全级别最高，适合作为内部接口： E2 端口安全级别最低，适合作为外部接口；E3 端口适合作为 DMZ接口。 PIX 525防火墙配置接口名字，并指定安全级别的相关配置语句示例如下： Pix525(config)#nameif ethernet0 E1 security100 (配置接口名字，并指定安全级别) Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 对 PIX防火墙网络接口进行地址初始化配置时，需要指明网络接口的名字、IP 地址和子网掩码等参数

33、。根据如图 4-13所示的网络结构中防火墙各网络接口的名字和 IP地址配置信息可得如下相关配置语句： Pix525(config)#ip address E3 210.156.169.6 255.255.255.240 (为 DMZ接口进行 IP地址配置) Pix525(config)#ip address E1 192.168.10.1 255.255.255.0 (为内网口 E1进行 IP地址配置) Pix525(config)#ip address E2 211.156.169.2 255.255.255.252 (为外网口 E2进行 IP地址配置)(3).该公司允许内部网段 192.1

34、68.1.0/26的所有主机对外访问 Internet。请写出 PIX 525防火墙与之相关的配置语句。（分数：2.00）_正确答案：(正确答案：Pix525(config)#global(outside)1 211.156.169.2 Pix525(config)#nat(inside)1 192.168.1.0 255.255.255.192)解析：解析：Cisco PIX 525 防火墙的“nat”命令用于指定要进行转换的内部地址，“global”命令用于指定外部 IP地址范围(地址池)。“nat”命令总是与“global”命令起使用，因为“nat”命令可以指定一台主机或一段 IP地址范

35、围的主机访问外网，访问外网时需要利用“global”所指定的地址池进行对外访问。 “nat”命令格式如下： nat(if_name) nat_id local_ipnetmask 其中，“if_name”是内网接口名字，例如 inside；“nat_id”是全局地址池标识，使它与其相应的“global”命令相匹配；“local_ip”是内网被分配的 IP地址；“netmask”是内网 IP地址的子网掩码。 “global”命令格式如下： global (if_name) nat_id ip_address-ip_address netmask global_mask 其中，“if name”是

36、外网接口名字，例如 outside：“nat_id”是全局地址池标识；“ip_address-ip address”是 NAT转换后的单个 IP地址或某段 IP地址范围；“netmaskglobal mask”是全局 IP地址的子网掩码。 若某公司允许内部网段 192.168.1.0/26的所有主机对外访问 Internet，则在其网络边界防火墙 Cisco PIX525可能执行的配置语句示例如下： Pix525(config)# global(outside)1 211.156.169.2 Pix525(eonfig)# nat(inside) 1 192.168.1.0 255.255.2

37、55.192(4).在图 4-13拓扑结构中 PIX 525防火墙有如下配置语句，请写出每条配置语句的功能注释。 Pix525(config)# route outside 0 0 211.156.169.1 (1) Pix525(config)# static(inside，outside) 211.156.169.2 211.156.169.5 (2) Pix525(config)# conduit deny icmp any any (3) Pix525(config)# fixup protocol http 8080 (4)（分数：2.00）_正确答案：(正确答案：(1) 定义一条指

38、向边界路由器(或下一跳 IP地址为 211.156.169.1的路由器)的默认路由。 (2) 建立内部 IPDMZ区地址 172.30.98.56 211.156.169.5 与外部 IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3) 禁止 icmp消息任意方向通过防火墙。 (4) 启用 HTTP协议，并指定 HTTP的端口号为 8080)解析：解析：(1)在配置模式下命令“route”用于设置指向内网和外网的静态路由。其语法格式如下： routeif_name0 0 gateway_ipmetric 其中，“if_name”是接口名字，例如inside、o

39、utside；“gateway_ip”是网关路由器的 IP地址；“metric”是到 gateway_ip的跳数，其默认值为 1。 配置语句 route outside 0 0 211.156.169.1表示一条指向边界路由器(或下一跳 IP地址为211.156.169.1的路由器)的默认路由。 (2)在配置模式下，命令“static”用于配置静态 NAT功能。如果从外网发起一个会话，会话的目的地址是一个内网的 IP地址，“static”命令就把内部地址翻译成一个指定的全局地址，允许这个会话建立。其命令格式如下： static(internal_if_name.external_if_name

40、)outside_ip_address inside_ip_address 其中，“internal if name”是内部网络接口名字，如 inside等；“extemal_if_name”是外部网络接口名字，如 outside等；“outside 中 address”是外部 IP地址；“inside_ip_address”是内部 IP地址。 配置语句 static(inside,outside)211.156.169.2211.156.169.5用于建立 DMZ区地址 211.156.169.5与外部 IP地址 211.156.169.2之间的静态映射。 (3)管道命令(conduit)用

41、于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从 Internet网到 DMZ(或内部接口)方向的会话。“conduit”命令的配置语法如下： conduit permit | deny global_ip port-port protocol foreign_ip 其中，“permit”为允许访问策略，“deny”为拒绝访问策略；“global_ip”是指由“global”或“static”命令定义的全局 IP地址，如果“global_ip”为 0，可用 any来代替 0，如果“global_ip”为某台主机，则需使用 host命令参数；“port”是指服务所作用的

42、端口，可以通过服务名称或端口数字来指定端口；“protocol”是指连接协议，例如 TCP、UDP、ICMP 等；“foreign_ip”表示可访问“global_ip”的外部 IP地址，对于任意主机，可以用 any表示，如果“foreign_ip”是一台主机，则需使用 host命令参数。 配置语句 conduit deny icmp any any表示禁止 icmp消息(如 ping的回声请求/响应消息)的任意方向通过防火墙。 (4)“fixup”命令用于启用、禁止、改变一个服务或协议通过PIX防火墙。由“fixup”命令指定的端口是 PIX防火墙要侦听的服务。配置语句 fix up protocol http 8080表示，启用 HTTP协议，并指定 HTTP的端口号为 8080。(5).只封禁一台地址为 192.168.1.230主机的 access-list正确