试题四(15分)
     请认真阅读下列关于计算机网络防火墙的说明信息,回答问题1-5。将答案填入答题纸对应的解答栏内。
【说明】
     某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图 C3-4-1所示。
图 C3-4-1
【问题1】(4分)
     完成下列命令行,对网络接口进行地址初始化的配置:
     firewall (config)#ip address inside (1)    (2)
     firewall (config)#ip address outside (3)    (4)
答案:
     (1)192.168.0.1                (2)255.255.255.0
     (3)202.117.12.37            (4)255.255.255.252
【问题2】(4分)
     与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出口 IP 地址。根据网络连接示意图4-1提供的网络参数,完成下列命令行的配置内容,以实现整个内部网络段的多个用户共享一个 IP 地址。
     firewall(config)# global(outside) (5)  netmask  (6)
     firewall(config) # nat(outside) (7)    (8)
答案:
     (5)202.117.12.37            (6)255.255.255.252
     (7)192.168.0.0                (8)255.255.255.0
【问题3】(2分)
     如果允许内部任意 IP 地址都可以转换出去,则:
     firewall (config)# nat (outside)(9)   (10)
答案:
    (9)0.0.0.0                    (10)0.0.0.0
【问题4】(2分)
     访问控制列表是防火墙实现安全管理的重要手段。完成下列访问控制列表(access-control-list)的配置内容,使内部所有主机不能访问外部 IP 地址段为202.117.12.0/24 的Web服务器。
     Firewall(config)#access-list 100 deny tcp (11) 202.197.12.0 255.255.255.0 eq (12)
答案:
    (11)any(all也给分)  (12)www(或80)
【问题5】(3分)
     如果使外部所有主机不能访问内部 IP 地址为 192.168.0.10的FTP服务器,仿照上一个访问控制列表的命令行格式,给出访问控制表的命令行。
试题解析:
  CISCO公司IOS系统ACL命令的格式是这样的:
  access-list acl_id {deny|permit} protocol source [source-wildcard] destination [destination-wildcard] [operator port] [established]
  问题4的例子是这样写的:
  内部所有主机不能访问外部 IP 地址段为202.117.12.0/24 的Web服务器
  access-list 100 deny tcp any 202.197.12.0 255.255.255.0 eq www
  从这个命令看,它符合source在前,destination的特点,但是没有使用通配符掩码wildcard。如果使用通配符掩码,则应该是
  access-list 100 deny tcp any 202.197.12.0 0.0.0.255 eq www
  所以,问题4的例子使用的不是CISCO的命令格式,可能是其他厂商的格式。
  其格式有两种可能:
  一:access-list acl_id {deny|permit} protocol source [subnet-mask] destination [subnet-mask] [operator port]
  二:access-list acl_id {deny|permit} protocol inside [subnet-mask] outside [subnet-mask] [operator port]
 
  问题5的要求是使外部所有主机不能访问内部 IP 地址为 192.168.0.10的FTP服务器,并仿照上一个访问控制列表的命令行格式,给出访问控制表的命令行。
  如果按照第一种格式,答案应该是
  access-list 101 deny tcp any 192.168.0.10 255.255.255.0 eq 21(或ftp)
  如果按照第二种格式,答案应该是
  access-list 101 deny tcp any 192.168.0.10 0.0.0.255 any eq 21(或ftp)
  标准答案是access-list 101 deny tcp 192.168.0.10 255.255.255.0 any eq 21(或ftp)
  因此判断该设备使用的是第二种格式。
 
  应该说这个小题确实容易误导,而且该厂商的设备可能也非主流。所幸后来历届考题都没有再这样出题。
答案:
    firewall(config)#access-list 101 deny tcp 192.168.0.10 255.255.255.0 any eq 21(或ftp)
试题五(15分)
     阅读以下说明,回答问题1~5,将答案填入答题纸对应的解答栏内。
【说明】
     利用 VLAN 技术可以把物理上连接的网络从逻辑上划分为多个虚拟子网,可以对各个子网实施不同的管理策略。图C3-5-1表示两个交换机相连,把 6 台计算机配置成连个 VLAN 。
图 C3-5-1
【问题1】(2分)
     双绞线可以制作成直连线和交叉线两种形式,在图5-1中,两个交换机的 UPLINK口相连,使用的双绞线制作成什么形式?连接交换机和计算机的双绞线制作成什么形式?
答案:
     两个交换机的UPLINK口相连,使用的双绞线制作成交叉线。
     连接交换机和计算机的双绞线制作成直连线。
【问题2】(7分)
     阅读一下的配置信息,将(1)~(4)处空缺的内容填写在答题纸相应位置。
     SW1>enable                                       (进入特权模式)
     SW1#vlan database                           (设置 VLAN 配置子模式)
     SW1(vlan)#vtp server                         (设置本交换机为 Server 模式)
     SW1(vlan)#vtp domain (1)            (设置域名)
     SW1(vlan)# (2)                               (启动修剪功能)
     SW1(vlan) exit                                    (退出 VLAN 配置模式)
     SW1#show (3)                                (查看 VTP 设置信息)
     VTP version                                          : 2
     Configuration Revision                       : 0
     Maximum VLANs supported locally   :64
     Number of existing VLANs :1
     VTP Operating Mode                          :Server
     VTP Domain Name                             :Server1
     VTP Pruning Mode                             :Enable
     VTP V2 Mode                                      :Disabled
     VTP Traps Generation                         :Disabled
     MD5 digest                                          :0x82 0x6B 0xFB 0x94 0x41 0xEF 0x92 0x30
     Configuration last modified by 0.0.0.0 at 7-1-05 00:07:51

     SW2 #vlan database
     SW2(vlan) #vtp domain NULL
     SW2(vlan) # (4)
     Setting device to VTP CLIENT mode
     SW2 (vlan) # exit
答案:
     (1)Server1(2分)        (2)vtp pruning(1分)    
     (3)vtp status(2分)    (4)vtp client(2分)
【问题3】(2分)
     阅读以下的配置信息,解释(5)处的命令,将答案填写在答题纸上相应的位置。
     Switch#
     Switch#config
     Switch(config) #interface f0/1                                  (进入接口1配置模式)
     Switch(config-if)#switchport mode trunk                    (5)
     Switch(config-if)#switchport trunk allowed vlan all  (设置允许从该接×××换数据的vlan)
     Switch(config-if)#exit
     Switch(config)#exit
     Switch#
答案:
     (5)设置当前端口为Trunk模式
【问题4】(2分)
     阅读以下的配置信息,解释(6)处的命令,将答案填写在答题纸上相应的位置。
     Switch #vlan d
     Switch(vlan)#vlan 2                                     (创建一个VLAN2)
     VLAN 2 added
       Name:VLAN0002                                     (系统自动命名)
     Switch(vlan)#vlan 3 name vlan3                             (6)
     VLAN3 added:
        Name:vlan3
     Switch(vlan) #exit
答案:
     (6)创建一个VLAN3,并命名为vlan3
【问题5】(2分)
     阅读以下的配置信息,解释(7)处的命令,将答案填写在答题纸上相应的位置。
     Switch #config t
     Switch (config) #interface f0/5                 (进入端口 5 配置模式)
     Switch(config-if) #Switchport access vlan2         (把端口5分配给vlan2)
     Switch(config-if) #exit
     Switch(config) #interface f0/6
     Switch(config-if) #switchport mode access                  (7)
     Switch(config-if) #swithport access vlan3
     Switch(config-if) #exit
     Switch(config) #exit
     Switch #
答案:
     (7)设置端口为静态VLAN访问模式