【计算机类职业资格】中级网络工程师下午试题-108及答案解析.doc

《【计算机类职业资格】中级网络工程师下午试题-108及答案解析.doc》由会员分享，可在线阅读，更多相关《【计算机类职业资格】中级网络工程师下午试题-108及答案解析.doc（15页珍藏版）》请在麦多课文档分享上搜索。

1、中级网络工程师下午试题-108 及答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：26.00)阅读以下说明，根据要求回答问题。说明某省级重点中学欲构建一个局域网，考虑到该中学的很多现代化教学业务依托于网络，要求中学内部用户能够高速访问相关的 5 台内部高性能服务器，并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。某系统集成公司根据该中学的相关需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图 7-10 所示。（分数：26.00）(1).根据用户需求和设计要求，请指出图 7-10 中至少 5 个不合理之处。（分数：6.50

2、）_(2).(1)假设平均每天经常浏览网页的用户数为 300 个，每用户每分钟平均产生 12 个事务处理任务，事务量大小为 0.05MB，则该校园网浏览网页需要的信息传输速率约为 (1) Mbps。(2)假设该校园网共有 20 间多媒体教室，平均每间多媒体教室有 4 个摄像机，每台摄像机采用 CIF 格式(分辨率为 352288)实时采集视频流，码流为 512Kbps，则该校园网多媒体教室视频监控的应用业务流量约为 (2) Mbps。（分数：6.50）_(3).该校园网在进行 IP 地址部署时，给某幢教研综合楼分配了一个地址块 10.2.3.0/24，该教研综合楼内的计算机数量分布如表 7-4

3、 所示。要求各部门处于不同的网段，请将表 7-5 中的(3)(8)处空缺的主机地址(或范围)和子网掩码填写完整。表 7-4 某教研综合楼计算机数量分布表部门 主机数量/台 部门 主机数量/台多媒体教室 180 教研室 A22多媒体教室 250 教研室 B180表 7-5 各部门 IP 地址规划表部门 可分配的地址范围 子网掩码多媒体教室 110.2.3.1 (3) (4) 多媒体教室 2(5) (6) 教研室 A (7) 255.255.255.224教研室 B 10.2.3.19310.2.3.222 (8) （分数：6.50）_(4).该中学在校外住宿的教职工要求能够访问校内的相关应用资源

4、。可以采用 L2TP、MPLS VPN、IPSec 三类 VPN 技术实现这一应用需求。请对三种 VPN 技术进行比较，将有关内容填入表 7-6 的空缺处。表 7-6 VPN 技术比较比较项目 L2TP MPLS VPNIPSec隧道协议层次 第二层 (9) (10) 是否支持数据加密 (11) (12) 支持是否支持移动 VPN 客户端 支持 (13) (14)（分数：6.50）_二、试题二(总题数：1，分数：16.00)阅读以下说明，根据要求回答问题。说明某公司欲采用 Windows Server 2003 操作系统构建一个企业网站，要求用户输入https：/ 或 https:/202.1

5、01.96.18/product/index.html 均可访问该网站。index.html 文件存放在服务器 D:/software 目录中。在完成 IIS 6.0 的安装后，网站的属性窗口网站、主目录选项卡分别如图 7-11 和图 7-12 所示。（分数：16.00）(1).在本案例中，图 7-11 中“IP 地址”选择文本框中的内容应为 (1) ；“TCP 端口”文本框中的内容应为 (2) ；“SSL 端口”文本框中的内容应为 (3) 。（分数：3.20）_(2).在图 7-12 中，“本地路径”选择文本框中的内容应为 (4) ；同时应至少勾选 (5) 复选框来保障客户端对网站的访问。I

6、IS 的发布目录 (6) 。(5) A脚本资源访问 B读取 C写入 D目录浏览(6) A只能够配置在 C:/inetpub/wwwroot 上B只能够配置在本地磁盘上C只能够配置在联网的其他计算机上D既能够配置在本地的磁盘，也能配置在联网的其他计算机上（分数：3.20）_(3).配置 Web 网站时，需要在图 7-13 所示的目录安全性选项卡中单击服务器证书按钮，来获取服务器证书。获取服务器证书共有以下 4 个步骤，正确的排序为 (7) 。客户端通过数字证书来 (8) 。CA 颁发给此 Web 网站的数字证书中不包括 (9) 。*(7) ACA 颁发证书 B在 IIS 服务器上导入并安装证书C

7、从 CA 导出证书文件 D生成证书请求文件(8) A验证网站的真伪 B判断用户的权限C加密发往服务器的数据 D解密所接收的客户端数据(9) A证书的有效期 BCA 的签名C网站的私钥 D证书序列号（分数：3.20）_(4).配置 Web 网站时，在图 7-13 所示的窗口中单击安全通信栏中的编辑按钮，弹出如图 7-14 所示的窗口。要求客户只能使用 HTTPS 服务访问此 Web 站点，在图 7-14 中应如何操作？（分数：3.20）_(5).Web 网站建成后，需要在 DNS 服务器中添加其 DNS 记录。为图 7-15 所示的“新建主机”对话框填写缺失的内容。*位置： (10) 名称： (

8、11) IP 地址： (12) （分数：3.20）_三、试题三(总题数：1，分数：18.00)阅读以下说明，根据要求回答问题。说明某企业内部网(网络域名为 )由 3 台 Linux 服务器提供服务，其中 DNS、FTP、SMTP 和 POP3 这 4种服务由一台服务器共同承担，Web 服务由两台 Linux 服务器采用负载均衡技术承担。如图 7-16 所示的是基于硬件的负载均衡方案，其中 WSD Pro 被称为导向器，通过导向器的调度，实现服务的负载均衡。主机 、、 和 WSD Pro 都配置了双网卡，各网卡IP 地址配置见图 7-16。（分数：18.00）(1).Linux 操作系统安装后，

9、其默认的主机名是 localhost。若要将提供 DNS、FTP、SMTP 和 POP3 这 4 种服务的 Linux 服务器主机名修改为 ，则需要进行以下 3 个操作步骤。使用“ (1) ”命令修改当前主机名。修改/etc/sysconfig/network 配置文件中的 HOSTNAME 的值，该文件修改后的相关项信息如下：NETWORKING= (2) HOSTNAME=修改本机的域名解析文件/etc/hosts。修改后的/etc/hosts 文件如下：127.0.0.1 localhost. localdomain localhost127.0.0.1 .localdomain (3)

10、 （分数：4.50）_(2).图 7-16 中的各个服务器必须进行恰当的配置。主机 的/etc/sysconfig/network 文件部分配置如下：FORWARD_IPV4= (4) HOSTNAME=DOMAINNAME= (5) GATEWAY= (6) GATEWAYDEV=eth0将以上文件(4)(6)空缺处的内容填写完整，完成相关文件的配置。（分数：4.50）_(3).请将主机 的/etc/sysconfig/network-scripts/ifcfg-eth0 文件的(7)(9)空缺处的配置内容填写完整，并回答相关问题。DEVICE=eth0IPADDR= (7) NETMA

11、SK= (8) NETMASK= (9) BROADCAST=255.255.255.255ONBOOT=yes若将“BROADCAST=255.255.255.255”语句修改为“BROADCAST=192.168.1.255”，则对网络有什么影响？(请简要说明理由)（分数：4.50）_(4).假定提供 Web 服务的两台 Linux 服务器的 IP 地址分别为 192.168.1.10 和 192.168.1.20。为了使用DNS 循环机制，由主机名 对外提供一致的服务，需要在 DNS 服务器的 区域文件中增加下列内容：www1 IN (10) 192.168.1.10www2 (10

12、) 192.168.1.20www IN (11) www1www IN (11) www2通过 DNS 的循环机制，客户访问主机 时，会依次访问 IP 地址为 192.168.1.10 和192.168.1.20 的 WWW 主机。请将以上文件(10)、(11)空缺处的内容填写完整，完成对 文件的配置。启动域名服务后，在客户机上可以通过 (12) 命令测试以上 DNS 配置是否达到了应用需求。（分数：4.50）_四、试题四(总题数：1，分数：15.00)阅读以下说明，根据要求回答问题。说明某电子商务公司在部署其计算机网络时采用了一款硬件防火墙，该防火墙带有 3 个网络接口，其网络设备连接

13、情况如图 7-17 所示。（分数：15.00）(1).防火墙支持三种工作模式：透明网桥模式、路由模式和混杂模式。在 (1) 模式下，防火墙各个网口设备的 IP 地址都位于不同的网段。在图 7-17 中， (2) 适合设置为 DMZ 区。A区域 A B区域 B C区域 C（分数：3.75）_(2).防火墙包过滤规则的默认策略为拒绝，图 7-18 给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用 IE 浏览器访问外部 IP 地址 202.117.118.23 的 Web 服务器，为图 7-18 中(3)(7)空缺处选择或填入正确内容。*(3) A允许 B拒绝 C高优先 D不操作(7) AE

14、3E2 BE1E3 CE1E2 DE2E3（分数：3.75）_(3).内部网络经由防火墙采用 NAT 方式与外部网络通信，为图 7-19 中(8)(11)空缺处选择或填入正确内容。*(8) Aany B211.156.169.0/28C210.156.169.0/28 D192.168.1.0/24(9) Aany B211.156.169.0/28C210.156.169.0/28 D192.168.1.0/24(10) AE1 BE2 CE3 D任意(11) A192.168.1.1 B210.156.169.6C211.156.169.2 D211.156.169.1（分数：3.75）_

15、(4).根据该单位防火墙与外部网络相关的网络连接参数，请将以下命令行中(12)(15)空缺处的内容填写完整，以完成对防火墙相应的网络接口进行地址初始化的配置。FireWall (config) #ip address inside (12) (13) FireWall (config) #ip address outside (14) (15) （分数：3.75）_中级网络工程师下午试题-108 答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：26.00)阅读以下说明，根据要求回答问题。说明某省级重点中学欲构建一个局域网，考虑到该中学的很多现代化教学业务依托于网

16、络，要求中学内部用户能够高速访问相关的 5 台内部高性能服务器，并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。某系统集成公司根据该中学的相关需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图 7-10 所示。（分数：26.00）(1).根据用户需求和设计要求，请指出图 7-10 中至少 5 个不合理之处。（分数：6.50）_正确答案：(核心交换机 2 直接上连至边界路由器，其通信数据无法得到防火墙的安全防护；两台核心交换机之间没有进行双高速链路相互连接；汇聚交换机 3 缺少了一条与核心交换机 1 连接的高速通信链路；内部服务器区不能连接在接入交换机

17、4 上，应该直接连接到两台核心交换机，保证高速访问；有一个桌面用户同时连接至接入交换机 2 和接入交换机 3；双网卡用户同时通过该校园网和 ADSL 宽带接入方式访问 Internet，形成了接入层的“后门”现象。)解析：依题意，图 7-10 所示的网络设备连接结构图中，存在以下几点不合理之处及相应的改进方案。(1)图 7-10 中核心交换机 2 错误地直接上连至边界路由器，核心交换机 2 的相关通信数据无法得到防火墙的相关安全防护。改进方案：将核心交换机 2 上连至防火墙，如图 7-20 中虚线所示。(2)图 7-10 中两台核心交换机之间没有相互连接。改进方案：将两台核心交换机之间进行双千

18、兆(或万兆)链路连接，并通过应用链路聚合技术(如 LCAP 等)，提高主干道的吞吐量，并实现负载分担，以提高核心层的高速数据转发，如图 7-20 所示。(3)该中学 5 台内部高性能服务器连接在接入交换机 4 上，增大了服务延迟时间，无法实现题意中“中学内部用户能够高速的访问”的性能要求。改进方案：去掉接入交换机，将汇聚交换机 3 更换成较高性能的汇聚交换机，新汇聚交换机与核心交换机之间实现双千兆链路冗余连接，然后将 5 台服务器连接在新汇聚交换机上，如图 7-20 所示。改进方案：若两台核心交换机分别有 5 个可供使用的高速以太端口，则在 5 台内部服务器上分别安装(或替换)两块高速以太网卡

19、，两块网卡分别连接到两台核心交换机的高速以太端口，以保证服务器的高速访问，如图 7-21 所示。(2).(1)假设平均每天经常浏览网页的用户数为 300 个，每用户每分钟平均产生 12 个事务处理任务，事务量大小为 0.05MB，则该校园网浏览网页需要的信息传输速率约为 (1) Mbps。(2)假设该校园网共有 20 间多媒体教室，平均每间多媒体教室有 4 个摄像机，每台摄像机采用 CIF 格式(分辨率为 352288)实时采集视频流，码流为 512Kbps，则该校园网多媒体教室视频监控的应用业务流量约为 (2) Mbps。（分数：6.50）_正确答案：(1)25.17 或 24 (2)40.

20、96)解析：某个应用业务的网络流量计算公式如下：应用的数据传输速率=平均事务量大小每字节位数每个会话事务数平均用户数/平均会话长度依题意，该校园网经常浏览网页的用户数为 300 个，每用户每分钟(60 s)平均产生 12 个事务处理任务，事务量大小为 0.05MB(即 0.05102410248bit)，则浏览网页需要的信息传输速率为 25.17Mbps。具体计算过程如下：0.0510241024812300/(60)=25165824bps25.17Mbps若考试不允许带计算器，则该校园网浏览网页应用的流量估算值也可按下式近似计算：300120.058/60=24Mbps。在实际网络工程规划

21、与设计过程中，为了保证峰值情况下所设计的网络能够正常运行，在考虑峰值用户数等因素的情况下，应用的数据传输速率=平均事务量大小每字节位数每个会话事务数峰值用户数/平均会话长度。对于该校园网多媒体教室视频监控的应用业务，峰值用户数为 20x4=80 个，每个会话的事务数为 1 个。因此，该应用的流量约为 5121000180bps=40960000bps=40.96Mbps。(3).该校园网在进行 IP 地址部署时，给某幢教研综合楼分配了一个地址块 10.2.3.0/24，该教研综合楼内的计算机数量分布如表 7-4 所示。要求各部门处于不同的网段，请将表 7-5 中的(3)(8)处空缺的主机地址(

22、或范围)和子网掩码填写完整。表 7-4 某教研综合楼计算机数量分布表部门 主机数量/台 部门 主机数量/台多媒体教室 180 教研室 A22多媒体教室 250 教研室 B180表 7-5 各部门 IP 地址规划表部门 可分配的地址范围 子网掩码多媒体教室 110.2.3.1 (3) (4) 多媒体教室 2(5) (6) 教研室 A (7) 255.255.255.224教研室 B 10.2.3.19310.2.3.222 (8) （分数：6.50）_正确答案：(10.2.3.126 (4)255.255.255.128(5)10.2.3.12910.2.3.190 (6)255.255.255

23、.192(7)10.2.3.25510.2.3.254 (8)255.255.255.224)解析：该教研综合楼所分配到的地址块 10.2.3.0/24 中，“/24”表示子网掩码为 24 位掩码，即255.255.255.0。表 74 给出了该单位多媒体教室 1 的计算机数量为 80 台。由于 26-2=62802 7-2=126，其中，“-2”表示保留全 0 的 IP 地址(被保留标志子网本身)和全 1 的 IP 地址(被保留用做该子网的广播地址)，因此对已给出的 A 类地址块 10.2.3.0/24 进行子网化时，对于“多媒体教室 l”这个子网所用的主机地址位数至少需要 7 位，则 A

24、类地址块 10.2.3.0 的最后一个字节的最高位可用做子网号，用于标识“多媒体教室 1”子网和其他子网。由此也可推知，多媒体教室 1 的新子网掩码为 25 位掩码，即(4)空缺处为 255.255.255.128。由于表 7-5 中已给出多媒体教室 1 子网可实际分配的 IP 地址范围中的起始 IP 地址(即 10.2.3.1)，将它与子网掩码 255.255.255.0 进行与(AND)运算，即可得到多媒体教室 1 子网的网段地址为 10.2.3.0。由此可知，多媒体教室 1 的子网号为 0。此多媒体教室 1 的子网号同时决定了多媒体教室 2、教研室 A 和教研室 B 的 IP 地址中最后

25、一个字节的最高位为 1。换言之，其他子网的 IP 地址中最后一个字节用于标识子网的最高位为 1。多媒体教室 1 子网可分配的主机地址范围求解过程见表 7-7。由以上分析可知，多媒体教室 1 子网使用的子网号为 O，可实际分配的主机地址范围为10.2.3.110.2.3.126，因此表 7-5 中(3)空缺处所填写的内容可以是 10.2.3.126。由于 25-2=30502 6-2=62，因此对于“多媒体教室 2”这个子网所用的主机地址位数至少需要 6 位，则A 类地址块 10.2.3.0 的最后一个字节的最高位、次高位可用作子网号，即用于标识“多媒体教室 2”子网。由此也可推知，多媒体教室

26、2 的新子网掩码为 26 位掩码，即(6)空缺处的子网掩码为 255.255.255.192。由于 24-2=1418222 5-2=30，因此对于“教研室 A”、“教研室 B”这两个子网所用的主机地址位数至少需要 5 位，这两个子网的子网号为 3 位。因此，这两个子网的新子网掩码为 27 位掩码，即(8)空缺处的子网掩码为 255.255.255.224。将子网掩码 255.255.255.224 与表 7-5 中已给出的教研室 B 可分配的地址范围 10.2.3.19310.2.3.222进行与(AND)运算，即可得到教研室 B 所使用的子网号为 110。由于“多媒体教室 2”的子网号为两

27、位，因此由教研室 B 所使用的子网号 110 可得，“多媒体教室 2”的子网号为 10。同理，可得教研室 A 的子网号为 111。由表 7-8 所示的分析过程可知，多媒体教室 2 可实际分配的主机地址范围为 10.2.3.12910.2.3.190，即(5)空缺处应填入 10.2.3.12910.2.3.190。由表 7-9 所示的分析过程可知，教研室 A 可实际分配的主机地址范围为 10.2.3.22510.2.3.254，即(7)空缺处应填入 10.2.3.22510.2.3.254。(4).该中学在校外住宿的教职工要求能够访问校内的相关应用资源。可以采用 L2TP、MPLS VPN、IP

28、Sec 三类 VPN 技术实现这一应用需求。请对三种 VPN 技术进行比较，将有关内容填入表 7-6 的空缺处。表 7-6 VPN 技术比较比较项目 L2TP MPLS VPNIPSec隧道协议层次 第二层 (9) (10) 是否支持数据加密 (11) (12) 支持是否支持移动 VPN 客户端 支持 (13) (14)（分数：6.50）_正确答案：(9)介于第二层和第三层之间(或两层半) (10)第三层(或网络层)(11)不支持 (12)不支持(13)不支持 (14)支持)解析：虚拟专用网(VPN)技术主要采用隧道技术(tunneling)、加解密技术(Encryption&Decrypti

29、on)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)来保证内部数据通过Internet 的安全传输。其中，隧道技术是 VPN 的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道(隧道)，让数据包通过这条隧道传输。它是一种是利用隧道协议对隧道两端的数据进行封装的技术。隧道是由隧道协议形成的，而隧道协议可以分为第二层隧道协议和第三层隧道协议。第二层隧道协议是先将各种网络协议封装到 PPP 中，再将整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议主要有 L2F、PPTP、L2TP 等。L2T

30、P 是目前 IETF 的标准协议，由 IETF 融合 PPTP 与 L2F 而形成。L2TP 与 PPTP 之间的主要区别在于：PPTP 只适于 IP 网络，L2TP 只要求隧道提供点对点的连接(既适于 IP 网，也适于非 IP 网)；PPTP 只能在两端点间建立单一隧道，L2TP 支持在两端点间使用多隧道；PPTP 不支持隧道验证，L2TP 可以提供隧道验证；PPTP 不支持首部压缩，L2TP 可以提供首部压缩。利用某种协议来传输另一种协议的技术，共涉及乘客协议、隧道协议和承载协议三种协议。L2TP 封装的乘客协议是位于第二层的 PPP 协议，而承载协议可以是 IP、ATM 和帧中继等。L2

31、TP 在数据封装、数据传输过程中并没有采取对数据进行加密的措施。L2TP 是一种典型的被动式隧道协议，它可从客户端或访问服务器端发起 VPN 连接，支持移动 VPN 客户端，可以随时随地进行访问接入。由 L2TPv2 构建的 VPN 网络中，只要求网络边缘设备支持 L2TP。它主要由L2TP 访问集中器(LAC)和 L2TP 网络服务器(LNS)两种类型的服务器构成。其中，LAC 支持客户端的 L2TP，用于发起呼叫、接收呼叫和建立隧道，是一种附属在网络上的具有 PPP 端系统和 L2TPv2 协议处理能力的设备。LNS 是 PPP 端系统上用于处理 L2TP 服务器端部分的软件，是所有隧道的

32、终点，LNS 终止所有的 PPP流。在传统的 PPP 连接中，用户拨号连接的终点是 LAC，L2TP 使得 PPP 的终点延伸到 LNS。第三层隧道协议是将各种网络协议直接装入隧道协议中，封装形成的数据包依靠第三层协议进行传输，其典型代表是 IP 安全协议(IPSec)。IPSec 是在网络层提供安全的一组协议，主要有两个主要的协议：身份认证头(AH)协议和封装安全负载(ESP)协议。其中，AH 协议提供了源身份认证和数据完整性，但是没有提供加密服务。ESP 提供了数据完整性、身份认证和数据加密等服务。换而言之，IPSec 在传输数据过程中，可以对被封装的数据包进行加密和摘要等操作，以进一步提

33、高数据传输的安全性。由于 IPSec 只能工作在网络层，因此其要求乘客协议和承载协议都是 IP 协议。由 IPSec 构建的 VPN 网络中，只要求网络边缘设备支持 IPSec。IPSec 支持移动 VPN 客户端，可以随时随地进行访问接入。通常，IPSec VPN 需要先安装客户端并完成相关配置之后才能建立通信信道，其连接性还可能会受到网络地址转换(NAT)的影响。IPSec VPN 技术本身的特性决定了它一般不适合在结构复杂的网络中应用，这是因为它需要解决穿越防火墙、IP 地址冲突等问题。IPSec VPN 在部署时，要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新

34、的 IPSec VPN 设备时，往往需要修改网络拓扑结构，从而造成IPSec VPN 的可扩展性比较差。多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。它将 IP 地址映射为简单的、具有固定长度的标签，用于不同的包转发和包交换技术。基于 MPLS 的 VPN 是一种基于网络的新型 VPN 解决方案，它利用 MPLS 的标记交换技术在广域网络上为 VPN用户提供虚拟连接。MPLS VPN 是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的 MPLS 域，在入口边缘路由器为每个 IP 包添加 MPLS 标签，核心路由器根据

35、标签值进行转发，出口边缘路由器再去除MPLS 标签，恢复原来的 IP 包。MPLS 标签位于第二层和第三层之间。与 IPSec VPN 相比，在安全性能方面，MPLS VPN 略显劣势。虽然 MPLS VPN 采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等，但它所传输的数据是明文的，存在较大的安全漏洞。并且 MPLS VPN 不支持移动 VPN 客户端。但是 MPLS VPN 在支持网络服务质量(QoS)方面具有天然的优势，能够帮助网络服务提供商(ISP)区分出各种业务流量，并准许它们各自拥有不同的优先权。基于 MPLS 构建的 VPN 网络中，要求网络边缘设备(PE)和核心路由设备(P

36、)都支持 MPLS。MPLS VPN 必须依赖路由协议来准确地传播可达性信息，完成与标记分发等相关工作。根据以上分析，L2TP、IPSec、MPLS VPN 这三类 VPN 各具特色，互有优缺点。它们在隧道协议层次、是否支持数据加密、网络核心设备和边缘设备的协议支持要求、是否支持移动 VPN 客户端等方面的异同点见表7-10。在实践应用中，需要结合具体的用户需求因地制宜地选择使用哪种或哪几种组合的 VPN 接入方式。表 7-10 主要 VPN 技术比较比较项目 L2TP MPLS VPN IPSec隧道协议层次 第二层介于第二层和第三层之间(或两层半)第三层是否支持数据加密 不支持 不支持 支

37、持设备的要求只要求边缘设备支持L2TP要求边缘和核心设备都支持MPLS只要求边缘设备支持IPSec是否支持移动 VPN客户端 支持 不支持 支持二、试题二(总题数：1，分数：16.00)阅读以下说明，根据要求回答问题。说明某公司欲采用 Windows Server 2003 操作系统构建一个企业网站，要求用户输入https：/ 或 https:/202.101.96.18/product/index.html 均可访问该网站。index.html 文件存放在服务器 D:/software 目录中。在完成 IIS 6.0 的安装后，网站的属性窗口网站、主目录选项卡分别如图 7-11 和图 7-1

38、2 所示。（分数：16.00）(1).在本案例中，图 7-11 中“IP 地址”选择文本框中的内容应为 (1) ；“TCP 端口”文本框中的内容应为 (2) ；“SSL 端口”文本框中的内容应为 (3) 。（分数：3.20）_正确答案：(1)202.101.96.18(或全部未分配) (2)80 (3)443)解析：在图 7-11 中，可从IP 地址下拉列表框中指定一个 IP 地址或输入用于访问该站点的 IP 地址。对于本案例可选择其下拉列表中的地址 202.101.96.18。如果没有分配指定的 IP 地址，即选中全部未分配选项，那么此站点将响应分配给该服务器但没有分配给其他站点的所有 IP

39、 地址，并使它成为默认网站的 IP地址。TCP 端口文本框是必填项目，用于指派运行 Web 服务的 TCP 端口号(默认值是 80)。SSL 端口文本框是可选项目，用于指派与该网站标识相关联的 SSL 端口。默认 SSL 端口号是 443。只有使用 SSL 加密时才需要 SSL 端口号。单击高级按钮，可以进一步配置用来访问站点的 IP 地址、TCP 端口号以及主机头值。由题干关键信息“构建了一个企业网站，要求用户输入https：/ 或 https:/202.101.96.18/product/index.html 均可访问该网站”(注意：该 URL 中使用的是“https:/”，而不是“htt

40、p:/”)可知，在图 7-11 所示网站选项卡中，“IP 地址”选择文本框中的内容应为 202.101.96.18(或全部未分配)；“TCP 端口”文本框中应填入 80；“SSL 端口”文本框中应填入 443。(2).在图 7-12 中，“本地路径”选择文本框中的内容应为 (4) ；同时应至少勾选 (5) 复选框来保障客户端对网站的访问。IIS 的发布目录 (6) 。(5) A脚本资源访问 B读取 C写入 D目录浏览(6) A只能够配置在 C:/inetpub/wwwroot 上B只能够配置在本地磁盘上C只能够配置在联网的其他计算机上D既能够配置在本地的磁盘，也能配置在联网的其他计算机上（分数

41、：3.20）_正确答案：(4)D:/software (5)B 或读取 (6)D)解析：由题干关键信息“index.html 文件存放在服务器 D:/software 目录中”可知，在图 7-12 所示的主目录选项卡中“本地路径”文本选择框中内容为 D:/software，以指明网站首页文档的物理存放路径。为保障客户端对该企业网站的访问，在图 7-12 中应至少勾选读取复选框，并单击确定(或应用)按钮。在配置 IIS 的发布目录时，可以将其配置在本地的磁盘目录中，也可配置在联网的其他计算机共享目录上以及重定向到 URL 上。(3).配置 Web 网站时，需要在图 7-13 所示的目录安全性选项卡中单击服务器证书按钮，来获取服务器证书。获取服务器证书共有以下 4 个步骤，正确的排序为 (7) 。客户端通过数字证书来 (8) 。CA 颁发给此 Web 网站的数字证书中不包括 (9) 。*(7) ACA 颁发证书 B在 IIS 服务器上导入并安装证书C从 CA 导出证书文件 D生成证书请求文件(8) A验证网站的真伪 B判断用户的权限C加密发往服务器的数据 D解密所