【计算机类职业资格】网络规划设计师-VPN技术及答案解析.doc

《【计算机类职业资格】网络规划设计师-VPN技术及答案解析.doc》由会员分享，可在线阅读，更多相关《【计算机类职业资格】网络规划设计师-VPN技术及答案解析.doc（9页珍藏版）》请在麦多课文档分享上搜索。

1、网络规划设计师-VPN 技术及答案解析(总分：14.00，做题时间：90 分钟)一、单项选择题(总题数：11，分数：14.00)1.某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Inlernet 上的机器随意访问公司局域网。虚拟专用网使用_协议可以解决这一需求。APPTP BRC-5 CLJDP DTelnet（分数：1.00）A.B.C.D.L2TP 协议是一种二层 VPN 隧道协议，它结合了 Cisco 公司的 L2F 和 Microsoft 等公司的 PPTP 的优点。L2TP 协议报文封装在_协议之上，它与

2、 PPTP 的区别之一是_。（分数：2.00）(1).APAP BIPX CTCP DUDP（分数：1.00）A.B.C.D.(2).AL2TP 只能在两端点间创建单一隧道，而 PPTP 可以创建多个隧道BL2TP 可以提供首部压缩，而 PPTP 不支持首部压缩CPPTP 可以提供隧道验证，而 L2TP 不支持隧道验证DPPTP 可以针对不同的服务质量创建不同的隧道，而 L2TP 必须由 IPSec 提供隧道验证（分数：1.00）A.B.C.D.2.由 L2TPv2 构建的 VPN 网络中，主要由 LAC 和 LNS 两种网络设备构成。以下说法错误的是_。AL2TP 是一种主动式隧道协议，它可

3、从客户端或访问服务器端发起 VPN 连接BLAC 支持客户端的 L2TP，用于发起呼叫、接收呼叫和建立隧道CLNS 是 PPP 端系统用于处理 L2TP 服务器端部分的软件，是所有隧道的终点DLAC 是一种附属在网络上的具有 PPP 端系统和 L2TPv2 协议处理能力的设备（分数：1.00）A.B.C.D.3.某企业总部及各个分支机构网络都运行着 IP、IPX 两种协议。现需要通过 Internet 建立起总部及各个分支机构网络之间的安全互连。规划师最可能选用的是_。A基于 PPTP 的 VPN 解决方案 B基于 IPSec 的 VPN 解决方案C基于 GRE 的 VPN 解决方案 D基于

4、MPLS 的 VPN 解决方案（分数：1.00）A.B.C.D.某电子商务公司除了有 1 台为用户提供在线购买商品的 Web 服务器之外，还有许多业务服务器，这些内部业务数据的安全性非常重要。为保证内部业务数据的安全，该企业采用 IPSecVPN 技术部署企业虚拟专用网，将企业总部的 Intranet 网与异地分部 1 的 Intranet 网通过公共 Internet 安全地互连起来。在该企业 IPSec VPN 网络架构会议中，有两名网络规划设计师分别提出了图 22-13(a)、(b)两种设备部署方案。根据该电子商务公司的实际情况，规划师最可能采用的部署方案和理由是_。规划师所选用的部署方

5、案可能带来的新问题及其相应的解决措施是_。（分数：2.00）(1).A方案(a)，能够利用防火墙的访问控制功能来保护公司内部业务数据的安全B方案(b)，能够提供所有的 TCP/IP 应用服务来保证公司内部业务数据的及时交互C方案(b)，能够利用防火墙的访问控制功能来保护公司内部业务数据的安全D方案(a)，能够提供所有的 TCP/IP 应用服务来保证公司内部业务数据的及时交互（分数：1.00）A.B.C.D.(2).A内部业务数据失密问题，在防火墙 1 和防火墙 2 的连接 Intranet 侧各增加一台网闸设备B网络广播风暴问题，在防火墙 1 和防火墙 2 的连接 Internet 侧各增加一

6、台路由器CIP 地址冲突问题，在防火墙 1(或防火墙 2)上启用 NAT 功能DInternet 黑客攻击问题，在防火墙 1 和防火墙 2 的连接 Intranet 侧各增加一台上网行为管理设备（分数：1.00）A.B.C.D.图 22-14 给出了不同类型 IPSec 数据包的封装示意图。其中，_工作在隧道模式；_只支持报文源身份认证和数据完整性服务，不支持报文加密服务。（分数：2.00）(1).Aa.和 c. Bb.和 d.Ca.和 b. Dc.和 d.（分数：1.00）A.B.C.D.(2).A仅 a.和 b. B仅 b.Ca.和 c. Db.和 d.（分数：1.00）A.B.C.D.4

7、.IPSec 提供了在局域网、广域网和因特网中安全通信的能力。以下关于 IPSec 说法错误的是_。AIPSec 将因特层改造为有逻辑连接的层BIPSec 可以手工静态配置 SA，也可利用 Internet 密钥交换(IKE)动态建立 SACIPSec 协议同时支持 IPv4/IPv6 两种应用环境，IPSec 对于 IPv6 是可选的DIPSec 协议在发起者和应答者之间可定义预先共享密钥、数字签名、公共密钥 PKE 等相互认证方式（分数：1.00）A.B.C.D.5.以下关于利用 MPLS VPN 组网技术解决多个用户网络接入的描述中，错误的是_。A可以将 PE 路由器同时和多个 CE 路

8、由器建立物理连接B必须依赖路由协议来准确地传播可达性信息，完成标签分发等工作C为了不影响原有业务系统的使用，互连后需要重新进行 IP 地址规划及配置D可以借助于支持 MPLS 协议的交换机，通过 VLAN 技术实现 PE 路由器和多个 CE 路由器的互连（分数：1.00）A.B.C.D.6.以下关于 MPLS VPN 的相关叙述中，错误的是_。A利用标签交换取代复杂的路由运算和路由交换B利用 LDP 协议使 MPLS 节点为每个流加上标记C能从 IP 路由协议和控制协议中得到支持，还支持基于策略的约束路由D为了安全地传输数据，可以对被封装的数据包进行加密和摘要等操作（分数：1.00）A.B.C

9、.D.7.以下关于客户发起的 VPDN 的相关叙述中，正确的是_。A对拨号用户透明，客户端无须安装专用的拨号软件B远程用户能同时与多个 CPE 设备建立隧道，无须重新拨号就能进入另一网络C由网络服务提供商初始化隧道，可以提供优先数据传送等服务D具有较好的可扩展性和管理性，适合全国或全球的大规模部署使用（分数：1.00）A.B.C.D.8.以下关于 VPDN 的相关描述中，错误的是_。AVPDN 没有固定的物理连接，专用网络只是在用户需要时才建立B网络访问服务器(NAS)作为 VPDN 的接入服务器，需要支持各种 LAN 协议C带 CDMA1X 无线上网卡的笔记本计算机可以作为 VPDN 的用户

10、终端D用户端设备(CPE)用于对登录用户进行鉴权认证（分数：1.00）A.B.C.D.网络规划设计师-VPN 技术答案解析(总分：14.00，做题时间：90 分钟)一、单项选择题(总题数：11，分数：14.00)1.某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Inlernet 上的机器随意访问公司局域网。虚拟专用网使用_协议可以解决这一需求。APPTP BRC-5 CLJDP DTelnet（分数：1.00）A. B.C.D.解析：解析 在本试题 4 个选项中，选项 A 的“PPTP”是一种基于 PPP 的二层

11、VPN 隧道协议；选项 B 的“RC-5”是一种基于 RSA 算法开发的对称加密算法；选项 C 的“UDP”是用户数据报协议的英文缩写；选项 D 的“Telnet”是一种基于客户机/服务器模式的远程登录协议，它将用户计算机与远程主机连接起来，并将本地的输入送给远程计算机，在远程计算机上运行相应程序，然后将相应的屏幕显示传送到本地机器，它可以用于。Internet 信息服务器远程管理。由以上分析可知，4 个选项中只有选项 A 的“PPTP”与试题讨论的主题“虚拟专用网”相关。因此，选项A 的“PPTP”是该空缺处所填内容的正确答案。L2TP 协议是一种二层 VPN 隧道协议，它结合了 Cisco

12、 公司的 L2F 和 Microsoft 等公司的 PPTP 的优点。L2TP 协议报文封装在_协议之上，它与 PPTP 的区别之一是_。（分数：2.00）(1).APAP BIPX CTCP DUDP（分数：1.00）A.B.C.D. 解析：解析 L2TP 协议是一种基于 PPP 的二层隧道协议，其报文封装在 UDP 协议之上，使用 UDP1701 端口。PPTP 不支持首部压缩(需占用 6B)，L2TP 可以提供首部压缩(压缩时占用 4B)。(2).AL2TP 只能在两端点间创建单一隧道，而 PPTP 可以创建多个隧道BL2TP 可以提供首部压缩，而 PPTP 不支持首部压缩CPPTP 可

13、以提供隧道验证，而 L2TP 不支持隧道验证DPPTP 可以针对不同的服务质量创建不同的隧道，而 L2TP 必须由 IPSec 提供隧道验证（分数：1.00）A.B. C.D.解析：2.由 L2TPv2 构建的 VPN 网络中，主要由 LAC 和 LNS 两种网络设备构成。以下说法错误的是_。AL2TP 是一种主动式隧道协议，它可从客户端或访问服务器端发起 VPN 连接BLAC 支持客户端的 L2TP，用于发起呼叫、接收呼叫和建立隧道CLNS 是 PPP 端系统用于处理 L2TP 服务器端部分的软件，是所有隧道的终点DLAC 是一种附属在网络上的具有 PPP 端系统和 L2TPv2 协议处理能

14、力的设备（分数：1.00）A. B.C.D.解析：解析 L2TP 是一种基于 PPP(点对点协议)的第二层隧道协议，是典型的被动式隧道协议(非主动式)，它可从客户端或访问服务器端发起 VPN 连接。3.某企业总部及各个分支机构网络都运行着 IP、IPX 两种协议。现需要通过 Internet 建立起总部及各个分支机构网络之间的安全互连。规划师最可能选用的是_。A基于 PPTP 的 VPN 解决方案 B基于 IPSec 的 VPN 解决方案C基于 GRE 的 VPN 解决方案 D基于 MPLS 的 VPN 解决方案（分数：1.00）A.B.C. D.解析：解析 依题意，由于 PPTP、IPSec

15、 协议只适于 IP 网络，而该企业网络中存在着 IP、IPX 两种协议，因此可先排除选项 A 和选项 B。基于 MPLS 构建的 VPN 网络中，要求网络边缘设备(PE)和核心路由设备(P)都支持 MPLS 的基本功能，其网络建设初期的综合成本大于基于 GRE 的 VPN 解决方案。因此，在试题所提供的 4 个选项中，规划师最可能选用的是基于 GRE 的 VPN 解决方案。某电子商务公司除了有 1 台为用户提供在线购买商品的 Web 服务器之外，还有许多业务服务器，这些内部业务数据的安全性非常重要。为保证内部业务数据的安全，该企业采用 IPSecVPN 技术部署企业虚拟专用网，将企业总部的 I

16、ntranet 网与异地分部 1 的 Intranet 网通过公共 Internet 安全地互连起来。在该企业 IPSec VPN 网络架构会议中，有两名网络规划设计师分别提出了图 22-13(a)、(b)两种设备部署方案。根据该电子商务公司的实际情况，规划师最可能采用的部署方案和理由是_。规划师所选用的部署方案可能带来的新问题及其相应的解决措施是_。（分数：2.00）(1).A方案(a)，能够利用防火墙的访问控制功能来保护公司内部业务数据的安全B方案(b)，能够提供所有的 TCP/IP 应用服务来保证公司内部业务数据的及时交互C方案(b)，能够利用防火墙的访问控制功能来保护公司内部业务数据的

17、安全D方案(a)，能够提供所有的 TCP/IP 应用服务来保证公司内部业务数据的及时交互（分数：1.00）A. B.C.D.解析：(2).A内部业务数据失密问题，在防火墙 1 和防火墙 2 的连接 Intranet 侧各增加一台网闸设备B网络广播风暴问题，在防火墙 1 和防火墙 2 的连接 Internet 侧各增加一台路由器CIP 地址冲突问题，在防火墙 1(或防火墙 2)上启用 NAT 功能DInternet 黑客攻击问题，在防火墙 1 和防火墙 2 的连接 Intranet 侧各增加一台上网行为管理设备（分数：1.00）A.B.C. D.解析：解析 通常在企业内联网 Intranet 与

18、 Internet 网的连接点上同时配置防火墙和 VPN 设备。如果把防火墙作为区分内外网的安全边界，那么将 VPN 设备置于此逻辑边界的内侧或外侧，将会使其安全性能发生很大变化。在图 22-13(a)中将 IPSec VPN 设备配置在防火墙与 Internet 网的中间，两台 IPSec VPN设备所建立的隧道称为“外侧型隧道(Outside Tunnel)”。而在图 22-13(b)中将 IPSec VPN 设备配置在企业内联网 Intranet 与防火墙的中间，两台 IPSec VPN 设备所建立的隧道称为“内侧型隧道(Inside Tunnel)。对于图 22-13(a)的部署方案，

19、在外侧型隧道的情况下，以 IPSec VPN 设备作为端点(加/解密及隧道化)的IP 分组要进入企业内联网 Intranet 就必须穿过防火墙。这种部署方案的优点是能够利用防火墙的访问控制和过滤等安全功能，但其缺点是只能提供防火墙所规定的应用业务。对于图 22-13(b)的部署方案，配置在防火墙内侧的 IPSec VPN 设备之间将不利用防火墙的安全功能，在两端点间建立透明的隧道连接。这种部署方案的优点是只要是 TCP/IP 的应用服务，就能提供任何业务服务。其缺点是旁路了防火墙的安全功能，不能对通过 IPSec VPN 隧道的 IP 分组进行过滤。结合题干中给出的“这些内部业务数据的安全性非

20、常重要”等关键信息。在图 22-13 拓扑结构中，该电子商务公司的内联网 Intranet 连接到的是公共的 Internet 网，基于 Internet 网的特点并结合(a)、(b)两种部署方案的优、缺点，建议采用图 22-13(a)的部署方案。而对于图 22-13(b)的部署方案通常适用在统一管理、统一安全策略下的网点间互连的场合。在图 22-13(a)的拓扑结构中，如果两个企业内联网 Intranet 的内部 IP 地址块分配相同，例如企业总部Intranet 内部 IP 地址采用 192.168.0.0/24，而企业分部 1 的 Intranet 内部 IP 地址也采用192.168.

21、0.0/24，那么经过两台 IPSec VPN 设备互连后将会产生地址冲突问题。解决这种地址冲突问题的一种方法是，对图 22-13(a)结构中的防火墙上启用 NAT 地址变换功能，即利用防火墙的 NAT 地址变换功能屏蔽两个 Intranet 网的内部地址。图 22-14 给出了不同类型 IPSec 数据包的封装示意图。其中，_工作在隧道模式；_只支持报文源身份认证和数据完整性服务，不支持报文加密服务。（分数：2.00）(1).Aa.和 c. Bb.和 d.Ca.和 b. Dc.和 d.（分数：1.00）A.B.C.D. 解析：(2).A仅 a.和 b. B仅 b.Ca.和 c. Db.和 d

22、.（分数：1.00）A.B.C. D.解析：解析 IPSec 主要有传输模式和隧道模式两种工作模式。其中，传输模式是系统默认的 IPSec 工作模式，主要应用于两台主机之间(即端对端之间)数据安全通信的场合。此时 AH 头或 ESP 头被插入在原始 IP 头和传输层报头(TCP 头或 UDP 头)之间，其报文结构如图 22-14(a)、(b)所示。隧道模式主要应用于在两个网络之间进行数据安全通信的场合，如将两台路由器(或网关、防火墙等)分别指派为隧道终节点。此时整个原始 IP 包被封装在一个新的 IP 包中，并在新 IP 头和原始 IP 头之间 AH 头或 ESP 头，其报文结构如图 22-1

23、4(C)、(d)所示。AH 协议为 IP 包提供数据源认证、数据完整性和抵抗重放攻击保护，但不提供保密性，即图 22-14(a)、(C)的数据封装不支持报文加密服务。4.IPSec 提供了在局域网、广域网和因特网中安全通信的能力。以下关于 IPSec 说法错误的是_。AIPSec 将因特层改造为有逻辑连接的层BIPSec 可以手工静态配置 SA，也可利用 Internet 密钥交换(IKE)动态建立 SACIPSec 协议同时支持 IPv4/IPv6 两种应用环境，IPSec 对于 IPv6 是可选的DIPSec 协议在发起者和应答者之间可定义预先共享密钥、数字签名、公共密钥 PKE 等相互认

24、证方式（分数：1.00）A.B.C. D.解析：解析 对于 AH 或 ESP 协议，源主机在向目标主机发送安全数据报之前，需要先进行握手且建立网络层逻辑连接，该逻辑通道称为安全协定(SA)。这样，IPSec 将因特网传统的无连接网络层改造成了有逻辑连接的层。IPSec 协议同时支持 IPv4/IPv6 两种应用环境。IPSec 对于 IPv4 是可选的，对于 IPv6 是强制性的。5.以下关于利用 MPLS VPN 组网技术解决多个用户网络接入的描述中，错误的是_。A可以将 PE 路由器同时和多个 CE 路由器建立物理连接B必须依赖路由协议来准确地传播可达性信息，完成标签分发等工作C为了不影响

25、原有业务系统的使用，互连后需要重新进行 IP 地址规划及配置D可以借助于支持 MPLS 协议的交换机，通过 VLAN 技术实现 PE 路由器和多个 CE 路由器的互连（分数：1.00）A.B.C. D.解析：解析 采用 MPLS VPN 技术组网，对于原来各业务系统的 IP 地址规划和各 CE 设备以下网络不需要做任何的改动。在 MPLS 骨干网络建设完成后，只需调整各系统的 CE 设备就可以实现各业务系统的平滑割接入网。6.以下关于 MPLS VPN 的相关叙述中，错误的是_。A利用标签交换取代复杂的路由运算和路由交换B利用 LDP 协议使 MPLS 节点为每个流加上标记C能从 IP 路由协

26、议和控制协议中得到支持，还支持基于策略的约束路由D为了安全地传输数据，可以对被封装的数据包进行加密和摘要等操作（分数：1.00）A.B.C.D. 解析：解析 MPLS 技术的核心思想是：利用标签交换取代复杂的路由运算和路由交换。MPLS 技术能够采用标签进行快速交换的关键在于 MPLS 网络中存在着标签通道机制，而标签通道是由三层路由协议一一标签分发协议(LDP)建立的。可以把 LDP 理解成沿着 IP 寻路协议确定的路径自动建立标签通道的协议，它由一组相应的规程组成。通过这些规程，标签交换路由器(LSR)能够向另一个 LSR 通知它所绑定的“标记/转发等价类 FEC”。MPLS 能从 IP

27、路由协议和控制协议中得到支持，同时还支持基于策略的约束路由，路由功能强大、灵活，可以满足各种新应用对网络的要求。与 IPSec VPN 相比，在安全性能方面，MPLS VPN 略显劣势。虽然 MPLS VPN 采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等，但它所传输的数据是明文的，存在较大的安全漏洞。并且 MPLS VPN 不支持移动 VPN 客户端。7.以下关于客户发起的 VPDN 的相关叙述中，正确的是_。A对拨号用户透明，客户端无须安装专用的拨号软件B远程用户能同时与多个 CPE 设备建立隧道，无须重新拨号就能进入另一网络C由网络服务提供商初始化隧道，可以提供优先数据传送等服务D

28、具有较好的可扩展性和管理性，适合全国或全球的大规模部署使用（分数：1.00）A.B. C.D.解析：解析 客户发起的 VPDN 的优点是：远程用户能够同时与多个用户端设备(CPE)建立隧道；远程用户不必重新拨号，就可以进入另一网络；VPDN 的建立和管理与网络服务提供商无关。其缺点是：加密的VPDN 隧道对于网络服务提供商而言是透明的，在客户端需要专用的拨号软件，而且管理移动终端上的客户端软件的工作量较大。选项 A、选项 C、选项 D 是属于 NAS 发起的 VPDN 的特点。8.以下关于 VPDN 的相关描述中，错误的是_。AVPDN 没有固定的物理连接，专用网络只是在用户需要时才建立B网络访问服务器(NAS)作为 VPDN 的接入服务器，需要支持各种 LAN 协议C带 CDMA1X 无线上网卡的笔记本计算机可以作为 VPDN 的用户终端D用户端设备(CPE)用于对登录用户进行鉴权认证（分数：1.00）A.B.C.D. 解析：解析 用户端认证服务器用于对登录用户进行鉴权认证。用户端设备(2PE)是具有 VPDN 网关功能的网络设备，负责与 NAS 之间建立通信隧道。