试题四(15分)
请认真阅读下列关于计算机网络防火墙的说明信息,回答问题1-5。将答案填入答题纸对应的解答栏内。
【说明】
某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图 C3-4-1所示。
图 C3-4-1
【问题1】(4分)
完成下列命令行,对网络接口进行地址初始化的配置:
firewall (config)#ip address inside (1) (2)
firewall (config)#ip address outside (3) (4)
答案:
(1)192.168.0.1 (2)255.255.255.0
(3)202.117.12.37 (4)255.255.255.252
【问题2】(4分)
与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出口 IP 地址。根据网络连接示意图4-1提供的网络参数,完成下列命令行的配置内容,以实现整个内部网络段的多个用户共享一个 IP 地址。
firewall(config)# global(outside) (5) netmask (6)
firewall(config) # nat(outside) (7) (8)
答案:
(5)202.117.12.37 (6)255.255.255.252
(7)192.168.0.0 (8)255.255.255.0
【问题3】(2分)
如果允许内部任意 IP 地址都可以转换出去,则:
firewall (config)# nat (outside)(9) (10)
答案:
(9)0.0.0.0 (10)0.0.0.0
【问题4】(2分)
访问控制列表是防火墙实现安全管理的重要手段。完成下列访问控制列表(access-control-list)的配置内容,使内部所有主机不能访问外部 IP 地址段为202.117.12.0/24 的Web服务器。
Firewall(config)#access-list 100 deny tcp (11) 202.197.12.0 255.255.255.0 eq (12)
答案:
(11)any(all也给分) (12)www(或80)
【问题5】(3分)
如果使外部所有主机不能访问内部 IP 地址为 192.168.0.10的FTP服务器,仿照上一个访问控制列表的命令行格式,给出访问控制表的命令行。
试题解析:
CISCO公司IOS系统ACL命令的格式是这样的:
access-list acl_id {deny|permit} protocol source [source-wildcard] destination [destination-wildcard] [operator port] [established]
问题4的例子是这样写的:
内部所有主机不能访问外部 IP 地址段为202.117.12.0/24 的Web服务器
access-list 100 deny tcp any 202.197.12.0 255.255.255.0 eq www
从这个命令看,它符合source在前,destination的特点,但是没有使用通配符掩码wildcard。如果使用通配符掩码,则应该是
access-list 100 deny tcp any 202.197.12.0 0.0.0.255 eq www
所以,问题4的例子使用的不是CISCO的命令格式,可能是其他厂商的格式。
其格式有两种可能:
一:access-list acl_id {deny|permit} protocol source [subnet-mask] destination [subnet-mask] [operator port]
二:access-list acl_id {deny|permit} protocol inside [subnet-mask] outside [subnet-mask] [operator port]
问题5的要求是使外部所有主机不能访问内部 IP 地址为 192.168.0.10的FTP服务器,并仿照上一个访问控制列表的命令行格式,给出访问控制表的命令行。
如果按照第一种格式,答案应该是
access-list 101 deny tcp any 192.168.0.10 255.255.255.0 eq 21(或ftp)
如果按照第二种格式,答案应该是
access-list 101 deny tcp any 192.168.0.10 0.0.0.255 any eq 21(或ftp)
标准答案是access-list 101 deny tcp 192.168.0.10 255.255.255.0 any eq 21(或ftp)
因此判断该设备使用的是第二种格式。
应该说这个小题确实容易误导,而且该厂商的设备可能也非主流。所幸后来历届考题都没有再这样出题。
答案:
firewall(config)#access-list 101 deny tcp 192.168.0.10 255.255.255.0 any eq 21(或ftp)
试题五(15分)
阅读以下说明,回答问题1~5,将答案填入答题纸对应的解答栏内。
【说明】
利用 VLAN 技术可以把物理上连接的网络从逻辑上划分为多个虚拟子网,可以对各个子网实施不同的管理策略。图C3-5-1表示两个交换机相连,把 6 台计算机配置成连个 VLAN 。
图 C3-5-1
【问题1】(2分)
双绞线可以制作成直连线和交叉线两种形式,在图5-1中,两个交换机的 UPLINK口相连,使用的双绞线制作成什么形式?连接交换机和计算机的双绞线制作成什么形式?
答案:
两个交换机的UPLINK口相连,使用的双绞线制作成交叉线。
连接交换机和计算机的双绞线制作成直连线。
【问题2】(7分)
阅读一下的配置信息,将(1)~(4)处空缺的内容填写在答题纸相应位置。
SW1>enable (进入特权模式)
SW1#vlan database (设置 VLAN 配置子模式)
SW1(vlan)#vtp server (设置本交换机为 Server 模式)
SW1(vlan)#vtp domain (1) (设置域名)
SW1(vlan)# (2) (启动修剪功能)
SW1(vlan) exit (退出 VLAN 配置模式)
SW1#show (3) (查看 VTP 设置信息)
VTP version : 2