管道命令的作用是允许数据流从较低安全级别的接口流向较高安全级别的接口。解释或完成以下配置命

阅读以下防火墙配置命令，为每条命令选择正确的解释。 firewall(config)global(outside)1 61.144.51.46(5)firewall(config)nat(inside)1 0.0.0.0 0.0.0.0(6)firewall(config)static(inside，outside)192.168.0.861.144.51.43(7)(5)A．当内网的主机访问外网时，将地址统一映射为61.144.51.46 B．当外网的主机访问内网时，将地址统一映射为61.144.51.46 C．设定防火墙的全局地址为61.144.51.46 D．设定交换机的全局地址为61.144.51.46(6)A．启用NAT，设定内网的0.0.0.0主机可访问外网0.0.0.0主机 B．启用NAT，设定内网的所有主机均可访问外网 C．对访问外网的内网主机不作地址转换 D．对访问外网的内网主机进行任意的地址转换(7)A．地址为61.144.51.43的外网主机访问内网时，地址静态转换为192.168.0.8

B．地址为61.144.51.43的内网主机访问外网时，地址静态转换为192.168.0.8

C．地址为192.168.0.8的外网主机访问外网时，地址静态转换为61.144.51.43

D．地址为192.168.0.8的内网主机访问外网时，地址静态转换为61.144.51.43

阅读以下说明，回答问题1至问题4。

【说明】

某学校欲构建校园网，根据实际情况，计划在校园总部采用有线网络和无线网络相结合的接入方式，校园分部通过Internet采用VPN技术与校园总部互联，该校园网的网络拓扑结构如图1-1所示。

从网络拓扑图中可以看出该校园网采用了分层设计结构，回答以下问题： 1．交换机按照所处的层次和完成的功能分为三种类型：核心交换机、汇聚交换机和接入交换机。下表是学校采购的三种交换机，请根据交换机的技术指标确定交换机的类型。 在答题纸对应的解答栏内填写表1-1中(1)、(2)、(3)处对应的交换机类型(3分)。

2．该校园网根据需求使用ACL实现各个单位之间的访问控制，在能够实现预定功能的前提下，应将ACL交给(4)交换机实现，原因是(5)。(4)A．核心层 B．汇聚层 C．接入层(5)A．核心层提供高速数据转发

B．汇聚层提供访问控制功能

C．接入层连接用户设备

阅读以下说明，回答问题1至问题3。

【说明】Linux环境下L2TP的配置过程如下：

①从http://www.12tpd.org/download.html上下载12tpd-0.69.tar.gz软件包。

②将12tpd-0.69.tar.gz拷到你所希望的安装目录下(比如：/tmp/目录)。

③解压安装包：

tar-xvzf l2tpd-0.69.tar.gz/*此时会生成一个l2tpd-0.69文件包*/

④编译：

make/*当前目录是/tmp/l2tpd-0.69*/

执行完此命令后，将会在在/tmp/l2tpd-0.69下生成可执行文件l2tpd。

⑤创建L2TPD的配置文件：

mkdir/etc/l2tp

cp/tmp/l2tpd-0.69/l2tpd.conf.sample/etc/l2tp/l2tpd.conf

cp/tmp/l2tpd-0.69/l2tp-secrets.sample/etc/l2tp/l2tp-secrets

cp/etc/ppp/options/etc/ppp/options.l2tp

其中/etc/l2tp/l2tpd.conf配置文件的内容如下：

[global]

port＝1701 auth file＝/etc/ppp/chap-secrets

[lns vpnserver]

exclusive = yes

ip range＝192.168.254.202-192.168.254.210

lac＝0.0.0.0-255.255.255.255

local ip＝192.168.10.1

length bit=yes

require chap ＝ yes

require authentication ＝ yes

name = vpnserver

PPP debug ＝ yes

pppoptfile = /ete/ppp/options.l2tp

用户账号的配置文件采用什么验证方法?

阅读以下说明，回答【问题1】和【问题2】。

【说明】VPN是通过公用网络Internet将分布在不同地点的终端连接在一起的专用网络。目前大多采用IPSec来实现IP网络上端点间的认证和加密服务(见图3)。

VPN的基本配置如下：

.公司总部网络子网为192.168.1.0/24。

.路由器为100.10.15.1。

.公司分部服务器为192.168.10.0/24。

.路由器为200.20.25.1。

执行下列步骤：

(1)确定一个预先共享的密钥(保密密码)(保密密码假设为csai)；

(2)为SA协商过程配置IKE；

(3)配置IPSec:

Router(config) crypto isakmp policy1

//policy1表示策略1，假如想多配几个VPN，可以写成policy2、policy3

Router(config-isakmp) group1

//使用group1长度的密钥，group命令有两个参数值：1和2

//参数1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥

Router(config-isakm)authentication pre-share(1)

Router(config-isakm) ifetime 3600

//对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是，两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期内到达中断

Router(config) crypto isakmp key csai address 200.20.25.1

//返回到全局设置模式，确定要使用的预先共享密钥，指定VPN另一端路由器IP地址，即目的路由器IP地址。相应地，另一端路由器的配置也和以上命令类似，只不过把IP地址改成100.10.15.1

Router(config) access-list 130 permit ip 192.168.1.00.0.0.255172.16.10.00.0.0.255(2)

Router(config) crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac(3)

Router(config) crypto map shortsec 60 ipsec-isakmp

//为定义生成新保密密钥的周期，如果攻击者破解了保密密钥，则他能够使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期，比如，每分钟生成一个新密钥，这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联

Router(config-crypto-map)setpeer200.20.25.(4)

Router(config-crypto-map)set transform-set vpn1(5)

Router(config-crypto-map)match address 130

Router(config)interface s0

Router(config-if) crypto map shortsec //将刚才定义的密码图应用到路由器的

//外部接口

请简述IPSec协议。

认真阅读下列有关移动用户身份认证技术的说明，根据要求回答问题1至问题4。

【说明】

随着无线局域网技术、3G移动通信技术的不断发展，网络资源得到了更广泛的利用。由于移动环境下的通信链路比较容易受到恶意攻击或窃听，因此在移动节点与本地代理1之间交换的登录信息需要进行较强的安全认证。图5-15示意了面向3G移动电话的电子商务网站中对用户身份进行认证的过程。

由于面向3G移动电话的电子商务网站看不到用户进行销售服务，因此，对用户身份进行认证是必要。通常，在Internet中进行电子签名的认证过程如下：

①文件的发送者将要发送的文件生成(1)；

②用发送者的(2)对摘要加密后，将其添加到文件中；

③接收方利用发送者的(3)对接收到的报文进行解密，得到的(4)；

④接着将此摘要与所接收文件的原始摘要进行比较，从而验证此文件的电子签名是否真实、可靠。

随着利用移动电话进行商务活动的普及，要求移动电话必须具备移动认证功能。通常移动身份认证分为分阶段的身份认证模型和端到端的身份认证模型。对于图5-15所示的用户身份的认证过程属于(5)身份认证模型。

行(9)命令来重启stub服务。

阅读以下关于OSPF动态路由协议的技术说明，结合网络拓扑图回答相关问题1至问题4。

【说明】

最短路径优先(SPF)算法(也称为Dijkstra算法)是OSPF路由协议的基础。SPF算法将每一个路由器作为根(root)来计算其到每一个目的路由器的距离，每一个路由器根据一个统一的数据库计算出路由区域的拓扑结构图(最短路径树)。为提高网络的通信安全，需在路由广播时采用相应的安全授权机制。在图4-10所示的网络拓扑图中，在Router1和Router2的区域0上使用了基于MD5算法的身份验证技术。

当路由器Router1启用OSPF协议后，将每10秒钟向它的各个接口发送Hello分组，接收到Hello分组的路由器就知道了邻居的存在。如果在40秒内没有从特定的邻居接收到这种分组，路由器就认为那个邻居不存在了。

OSPF邻接建立过程主要经过关闭(Down)、尝试(Attempt)、初始(Init)、双向(Two-Way)、启动 (ExStart)、交换(Exchange)、装入(Loading)、完成(Full)等状态。请用试题中的相关术语将图4-11中(1)～(5)空缺处的内容填写以形成一张完整的OSPF邻居状态机图。

示的拓扑结构图，将(3)～(7)空缺处的内容填写完整，以实现相应的配置任务。

Router＞enable (进入特权模式)

Routerconfig terminal

Router (config) interface fastethernet 0/0

Router (config-if) ip address (3)

Router (config-if) no shutdown

Router (config-if) (4)

Router (config-subif) encapsulation dotlq2

Router (config-subif) ip address (5)

Router (config-sobif) interface fastethemet 0/0.2

Router (config-subif) (6)

Router (config-subif) ip address (7)

Router (config-subif) end

Router

VPN路由器配置如下：请解释画线部分含义：

Vpdh-groupl- (1)

Accept-dialin protocol 12tp virtual-template 1 terminate-from hostname a801. (2)

Local name keith

Lcp renegotiation always (3)

No 12tp tunnel authentication

请回答以下关于Internet的问题1～5。

Internet的服务有哪几种?