试题四(共15分)
  阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
  某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。
 

2009年下半年网工考试下午试卷标准答案与解析(二)_下午试卷 

图4-1


在防火墙上利用show命令查询当前配置信息如下:
PIX# show config

nameif eth0 outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40

fixup protocol ftp 21            (1) 
fixup protocol http 80

ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0

global(outside) 1 61.144.51.46
nat(inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 61.144.51.45 1       (2) 

 

【问题1】(4分)
  解析(1)、(2)处画线语句的含义。
标准答案:

  (1)启用ftp服务
  (2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1

 

【问题2】(6分)
  根据配置信息,在填充表4-1。
 

2009年下半年网工考试下午试卷标准答案与解析(二)_下午试卷_02

表4-1
 

标准答案:
  (3)192.168.0.1    (4)255.255.255.248
  (5)eth2     (6)10.10.0.1

 

【问题3】(2分)
  根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是  (7) 
标准答案:
  (7)61.144.51.46

 

【问题4】(3分)
  如果需要在DMZ域的服务器(IP地址为10.10.0.100)对Internet用户提供web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
  PIX(config)# static(dmz, outside)  (8)     (9) 
  PIX(config)# conduit permit tcp host   (10)   eq www any
说明:

  static命令的格式是:static(nameif,outside) ip-outside, ip-nameif

  第(10)空要填写一个主机地址,这里填写的是对外公开的那个IP地址。

标准答案:
  (8)61.144.51.43  (9)10.10.0.100  (10)61.144.51.43

 

试题五(共15分)
  阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
 

【说明】
  某单位网络拓扑结构如图5-1所示,要求配置IPSec ×××使10.10.20.1/24网段能够连通10.10.10.2/24网段,但10.10.30.1/24网段不能连通10.10.10.2/24网段。
 

 

2009年下半年网工考试下午试卷标准答案与解析(二)_ 2009年下半年_03

图5-1
 

【问题1】(4分)
  根据网络拓扑和要求,解释并完成路由器R1上的部分配置。
R1(config)# crypto isakmp enable      (启用IKE)
R1(config)# crypto isakmp   (1)   20    (配置IKE策略20)
R1(config-isakmp)# authentication pre-share      (2) 
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2 (配置预共享密钥为378)
R1(config)# access-list 101 permit ip   (3)   0.0.0.255   (4)   0.0.0.255
             (设置ACL)
……
说明:

  “access-list 101 permit ip   (3)   0.0.0.255   (4)   0.0.0.255”的意思是“从本地站点(3)发出的和来自远点站点(4)的数据将得到保护。”

标准答案:
  (1)policy
  (2)在IKE协商过程中使用预共享密钥认证方式
  (3)10.10.20.0
  (4)10.10.10.0

扩展答案:
  (2)验证方法为使用预共享密钥

【问题2】(4分)
  根据网络拓扑和要求,完成路由器R2上的静态路由配置。
R2(config)# ip route   (5)   255.255.255.0 192.168.1.1
R2(config)# ip route 10.10.30.0 255.255.255.0   (6) 
R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2
标准答案:
  (5)10.10.20.0
  (6)192.168.1.1

 

【问题3】(空(9)1分,其他2分,共7分)
  根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。
……
R3(config)# crypto isakmp key   (7)   address   (8)   
R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac   (9) 
R3(cfg-crypto-trans)# exit
R3(config)# crypto map test 20 ipsec-isakmp
R3(config-crypto-map)# set peer 192.168.1.1
R3(config-crypto-map)# set transform-set   (10) 
……
标准答案:
(7)378
(8)192.168.1.1
(9)设置名为testvpn的×××,采用MD5认证、DES进行数据加密
(10)testvpn

扩展答案:
(9)设置IPSec变换集testvpn,AH鉴别采用ah-md5-hmac,ESP加密采用esp-des,ESP认证采用esp-md5-hmac。