2023年網(wǎng)絡工程師案例分析

13．２

強化練習以下列舉了歷年網(wǎng)絡工程師考試中出題頻率較高的試題類型，分別是涉及到網(wǎng)絡系統(tǒng)分析與設計類、應用服務器、網(wǎng)絡設備配置(路由器、互換機）、網(wǎng)絡安全等考點。試題一(共15分）閱讀以下說明，回答問題1至問題3，將解答填入答題紙相應的解答欄內?！菊f明】某校園無線網(wǎng)絡拓撲結構如圖１3-１所示。圖13-1該網(wǎng)絡中無線網(wǎng)絡的部分需求如下：1.學校操場規(guī)定部署AP,該操場區(qū)域不能提供外接電源。２．學校圖書館報告廳規(guī)定高帶寬、多接入點。3.無線網(wǎng)絡接入規(guī)定有必要的安全性。【問題1】（4分)根據(jù)學校無線網(wǎng)絡的需求和拓撲圖可以判斷,連接學校操場無線AP的是(1)互換機,它可以通過互換機的（2）口為AＰ提供直流電。【問題2】(6分)1.根據(jù)需求在圖書館報告廳安裝無線AＰ,假如采用符合IＥEＥ８0２.1１b規(guī)范的AP，理論上可以提供(3)Ｍb/s的傳輸速率；假如采用符合IEＥE802．１1g規(guī)范的ＡＰ,理論上可以提供最高（4）Mb/s的傳輸速率。假如采用符合(5)規(guī)范的ＡＰ,由于將MＩＭＯ技術和(6)調制技術結合在一起,理論上最高可以提供600Ｍbps的傳輸速率。（5)備選答案Ａ．IEEE802.11aB．ＩEEE８02．11ｅC.IEEE８0２.１1iD.IＥEE802．11n（6）備選答案A．BFＳKB.QAMＣ．OFDＭＤ.MFＳK2.圖書館報告廳需要部署1０臺無線AP,在配置過程中發(fā)現(xiàn)信號互相干擾嚴重,這時應調整無線ＡP的(７）設立,用戶在該報告廳內應選擇（８），接入不同的無線AP．（7)～(8）備選答案Ａ.頻道B.功率Ｃ.加密模式Ｄ.操作模式E．SSID【問題3】(5分）若在學校內一個專項實驗室配置無線AP，為了保證只允許實驗室的PＣ機接入該無線ＡP,可以在該無線AP上設立不廣播(9)，對客戶端的（10）地址進行過濾,同時為保證安全性,應采用加密措施。無線網(wǎng)絡加密重要有三種方式：(１１）、WPA／ＷPA2、WPA-PSＫ/WPＡ２-ＰSK.在這三種模式中,安全性最佳的是(12),其加密過程采用了TＫIP和（1３）算法。（１3)備選答案A.AEＳB.ＤESC．IDＥAD.RSA試題二（共15分）閱讀下列說明，回答問題1至問題５,將解答填入答題紙相應的解答欄內?！菊f明】網(wǎng)絡拓撲結構如圖13-２所示。圖1３-２【問題1】(4分）網(wǎng)絡A的WWW服務器上建立了一個Web站點,相應的域名是.edｕ＜>．DNＳ服務器1上安裝ＷinｄoｗｓSｅrver２0２3操作系統(tǒng)并啟用DＮS服務。為了解析WWＷ服務器的域名,在圖１3-3所示的對話框中,新建一個區(qū)域的名稱是（1）；在圖13-４所示的對話框中,添加的相應的主機＂名稱"為（2)。圖1３－3圖13－4【問題2】(3分)在DNS系統(tǒng)中反向查詢(RｅverseＱuｅry）的功能是（３)。為了實現(xiàn)網(wǎng)絡A中WＷＷ服務器的反向查詢,在圖13-５和13－6中進行配置,其中網(wǎng)絡IＤ應填寫為(4)。主機名應填寫為（５)。圖13－5圖13－6【問題3】（３分)DNS服務器1負責本網(wǎng)絡區(qū)域的域名解析，對于非本網(wǎng)絡的域名，可以通過設立"轉發(fā)器＂，將自己無法解析的名稱轉到網(wǎng)絡Ｃ中的DＮS服務器2進行解析。設立環(huán)節(jié):一方面在"DNS管理器"中選中DNＳ服務器，單擊鼠標右鍵，選擇"屬性"對話框中的"轉發(fā)器＂選項卡，在彈出的如圖13－7所示的對話框中應如何配置圖13-7【問題4】（2分）網(wǎng)絡C的WindowsSerｖer2０２3Ｓeｒver服務器上配置了DNＳ服務，在該服務器上兩次使用ｎｓlookｕp.ｃｏｍ命令得到的結果如圖13－8所示，由結果可知,該DＮＳ服務器（６)。圖１３-8（6）的備選答案：Ａ．啟用了循環(huán)功能Ｂ.停用了循環(huán)功能C.停用了遞歸功能D.啟用了遞歸功能【問題５】（3分)在網(wǎng)絡B中,除PＣ5計算機以外，其它的計算機都能訪問網(wǎng)絡A的WＷW服務器,而ＰC5計算機與網(wǎng)絡B內部的其它PC機器都是連通的。分別在ＰC5和PC6上執(zhí)行命令iｐconfig,結果信息如圖1３－9和圖13-１0所示:圖13-9圖１３-10請問ＰC5的故障因素是什么如何解決試題三（共15分)閱讀以下說明,回答問題1至問題４,將解答填入答題紙相應的解答欄內?！菊f明】某公司總部和分支機構的網(wǎng)絡配置如圖１3-11所示。在路由器R１和R2上配置ＩＰSec安全策略，實現(xiàn)分支機構和總部的安全通信。圖1３-11【問題1】（4分）圖13-12中(ａ）、(b）、（c)、（ｄ）為不同類型IPSec數(shù)據(jù)包的示意圖，其中（1）和（2)工作在隧道模式;（3)和（4)支持報文加密。圖13－12【問題2】（４分）下面的命令在路由器R1中建立IＫE策略，請補充完畢命令或說明命令的含義。R１（conｆｉg)#crｙptoiｓａkmｐpolicy1１0

進入IＳAKＭP配置模式R1(coｎfiｇ－isaｋmp）#encrｙptiondｅs（５）Ｒ1(conｆｉg－iｓaｋmp)#

（６）采用MD５散列算法R１(coｎfiｇ-ｉｓakmp)#ａｕｔhenｔiｃaｔｉonpre-share

（7)R1(config-isａkmp）#grｏup1R1(ｃoｎfiｇ－isakmp)#liｆetime

（８)安全關聯(lián)生存期為１天【問題3】（4分）R2與R1之間采用預共享密鑰"1234５6７8＂建立IPSeｃ安全關聯(lián)，請完畢下面配置命令。R1(ｃonfig)#crｙpｔｉｓakmｐkｅy１２3４5678adｄｒess

(９）R2（config)＃cryｐtisakｍpkｅy12345678adｄｒｅss

(１0)【問題４】（3分）完畢以下ＡCL配置，實現(xiàn)總部主機10.0．1.３和分支機構主機1０.0.2．３的通信。R1（confｉg）#accesｓ-ｌｉst110pｅrmiｔiｐhost

（11)

host

(12）R2(conｆiｇ）＃acceｓs－lｉst1１０peｒmitiphｏｓt

（13)

host10.0.1.３試題四(共１5分)閱讀以下說明,回答問題1至問題4,將解答填入答題紙相應的解答欄內。【說明】某公司通過PIＸ防火墻接入Inteｒneｔ,網(wǎng)絡拓撲如圖1３－13所示。圖1３－13在防火墻上運用shoｗ命令杳詢當前配置信息如下：PIX#sｈowconfig…nameｉfｅtｈ０ｏutｓidesecurｉty０nameiｆethliｎsｉｄｅsｅｃｕｒity100nａmeifeth2ｄmzsｅcuritｙ4０…fixｕtｏcｏｌftp２１（１）ｆixｕｐpｒotocoｌhtｔｐ８0ipaddressoutｓide61.1４4.５１．4225５.255.255．24８iｐaｄdresｓｉnsidｅ19２.1６8．0.1２55.255.25５.0ipaｄdresｓdmｚ．125５．255.2５5.0…globａl(outsｉde）1６1.144.51．46nat（inｓｉｄe)10.0．0.00．0．0.０0０…roｕteoutｓiｄe０.0.０.0０.０.0.０６1.144.５1.451(２）…【問題1】（４分)解釋(1）、（2)處畫線語句的含義?！締栴}2】（6分)根據(jù)配置信息,填寫表１３-1.表13-1【問題3】(2分)根據(jù)所顯示的配置信息，由iｎｓiｄe域發(fā)往Ｉｎterｎeｔ的ＩP分組,在到達路由器Ｒ1時的源IＰ地址是（7)?！締栴}４】（3分）假如需要在ｄｍz域的服務器（IP地址為.100）對Ｉnｔernｅt用戶提供Web服務(對外公開IP地址為６1．144.51.43），請補充完畢下列配置命令。ＰIX(confiｇ）#staｔｉc(dｍz,ouｔside）（８)（9）PIX（config）＃ｃonｄuｉｔpermittcｐhoｓt(1０)eqwwwany試題五(共15分）閱讀以下說明,回答問題1至問題3,將解答填入答題紙相應的解答欄內?！菊f明】在大型網(wǎng)絡中，通常采用ＤＨCP完畢基本網(wǎng)絡配置會更有效率?！締栴}1】（1分）在Linux系統(tǒng)中,ＤHCP服務默認的配置文獻為（1）。(1)備選答案：A．/ｅtc／dhcpd.confB．/etc/dｈcpｄ．confｉgＣ.／ｅtｃ/dhｃp.ｃoｎfＤ．/etc/dhcp.ｃonｆig【問題２】(共4分)管理員可以在命令行通過（２）命令啟動DHCP服務；通過(3）命令停止DHＣP服務。(2)、（3）備選答案:A.servicedhcpdstａrtB.sｅrvｉcｅdhcpｄupC.servicｅｄｈcpdｓtoｐD.sｅrviceｄhcｐddown【問題3】(10分）在Linｕx系統(tǒng)中配置ＤHCP服務器，該服務器配置文獻的部分內容如下:ｓubｎeｔ１92．168.1.0netmａsk2５5.２55.２5５.0{oｐｔioｎｒｏｕters19２.1６8.1.2５4;optｉonｓubnet-mask２55.255.２55．0;ｏptｉonbrｏadcast-addｒess１92．168.1.255；ｏｐｔionｄoｍaｉn－ｎａme-sｅrverｓ19２.168．１.3；ｒａnge192.1６８．1.100

０0;deｆauｌt-leａse-time216００；max-lｅａse－ｔｉme43200；hostwebｓervｅr{hardwａreetｈernｅt5２:54:ＡＢ：3４:5B:09；ｆiｘeｄ-address１92.１6８.1.1０0;｝}在主機webserver上運營ifｃonfiｇ命令時顯示如圖１3-1４所示，根據(jù)DHＣP配置，填寫空格中缺少的內容。圖13-14

ifconfig命令運營結果該網(wǎng)段的網(wǎng)關ＩP地址為（７),域名服務器IＰ地址為（８)。試題一分析問題1解析：根據(jù)學校無線網(wǎng)絡的需求在學校操場規(guī)定部署ＡP,該操場區(qū)域不能提供外接電源，由此可以判斷連接學校操場無線AP的是ＰOＥ（PoweroveｒＥtｈｅrnｅt）互換機，是一種可以在以太網(wǎng)＜>中通過雙絞線<＞來為連接設備提供電源的技術。它可以通過互換機的以太口為AＰ提供直流電。問題2解析：IEEE802.１１先后提出了以下多個標準，最早的80２.11標準只可以達成１~２Ｍｂps的速度,在制訂更高速度的標準時，就產(chǎn)生了8０2.11a和802．11b兩個分支,后來又推出了８02.11ｇ的新標準,如表13-2所示。表1３-2

無線局域網(wǎng)標準注:ISM是指可用于工業(yè)、科學、醫(yī)療領域的頻段;U－NII是ａ指用于構建國家信息基礎的無限制頻段。圖書館報告廳需要部署10臺無線AP,在配置過程中發(fā)現(xiàn)信號互相干擾嚴重，這時應調整無線AP的頻道設立，用戶在該報告廳內應選擇ＳＳＩD,接入不同的無線AP.其中SSID為用來標記不同的無線網(wǎng)絡信號。如圖1３-1５所示:圖13-1５問題３解析：若在學校內一個專項實驗室配置無線AP，為了保證只允許實驗室的PC機接入該無線AP,可以在該無線AP上設立不廣播ＳSID．通常無線AP默認啟動SＳID廣播，在其覆蓋范圍內,所有具有無線網(wǎng)卡的計算機都可以查看并連接到該網(wǎng)絡，如將其SSID廣播禁用,則只有知道對的SＳID的計算機才干連接至該無線網(wǎng)絡，這樣可達成安全限制的目的。同時對客戶端的MAC地址進行過濾,如圖13－16所示：圖13-16單擊"添加新條目"：如圖13-17圖１3-17無線網(wǎng)絡加密重要有三種方式:WEP、WＰA/ＷPＡ2、WPA-PSK/WＰA2－PSK．在這三種模式中,安全性最佳的是WＰA－PSK／WPA2-ＰSK,其加密過程采用了ＴＫIP和ＡES算法。如圖１3-18所示：圖１3-18其中WEP加密是無線加密中最早使用的加密技術，也是目前最常用的,大部分網(wǎng)卡都支持該種加密。但是后來發(fā)現(xiàn)WEP是很不安全的,80２．１1組織開始著手制定新的安全標準，也就是后來的802.11i協(xié)議。IEEＥ802.１１i規(guī)定使用802.1x認證和密鑰管理方式,在數(shù)據(jù)加密方面，定義了TＫIP(TeｍｐoｒalKeｙIntegriｔyProｔｏcol）、ＣCMP（Counｔｅr-Moｄe/CBC-MＡCPrｏｔｏcol)和ＷＲAＰ（WｉrelessRobustＡutｈentｉcatｅdＰrotoｃol)三種加密機制。其中TKIＰ采用WEP機制里的RＣ4作為核心加密算法,可以通過在現(xiàn)有的設備上升級固件和驅動程序的方法達成提高ＷLＡN安全的目的。CＣMP機制基于AES加密算法和CＣＭ(Counter-Ｍode/CBＣ-ＭＡC）認證方式,使得ＷLAN的安全限度大大提高，是實現(xiàn)ＲSN的強制性規(guī)定。由于ＡES對硬件規(guī)定比較高，因此,CCMＰ無法通過在現(xiàn)有設備的基礎上進行升級實現(xiàn)。ＷＲＡP機制基于AＥS加密算法和OＣB（ＯfｆsetCodeboｏk），是一種可選的加密機制。試題一參考答案【問題1】（4分)(1)PoE或者802.３af

（2)以太或者Eｔｈerneｔ【問題2】(6分)(３)11

(4)54

(5)D

(６）C

(7)A

（8)E.【問題3】(5分）（9)SＳID

（１0)MAC

（11）ＷEＰ

（1２）WＰA-PＳＫ/WPA2－PＳＫ

(13）Ａ.試題二分析問題1解析：本題考察的為Windows２02３平臺下ＤNＳ服務器的配置，Wiｎdｏws2023中新建區(qū)域,是為了讓域名能和指定的IP地址建立起相應關系。這個時候應當填寫其根域名,因此（1)應當填寫．根據(jù)問題1的規(guī)定，要可以對的解析本地Web站點的域名,因此圖１3-４中添加的主機的名稱即空(2）應當為wwｗ.問題2解析:ＤＮS的反向查詢就是用戶用ＩP地址查詢相應的域名。在圖13-5的網(wǎng)絡ID中，要以DＮS服務器所使用的IＰ地址前三個部分來設立反向搜索區(qū)域。圖13-２中,網(wǎng)絡A中的ＤNS服務器的IP地址是"２＂,則取用前三個部分就是"210.4３．16".因此，（4)填入210.4３.16而主機名填寫相應的域名即可,即.edｕ<>.問題3解析：DＮＳ服務器1負責本網(wǎng)絡區(qū)域的域名解析，對于非本網(wǎng)絡的域名，可以通過設立"轉發(fā)器＂,將自己無法解析的名稱轉到網(wǎng)絡C中的DNＳ服務器2進行解析。設立環(huán)節(jié)：一方面在"DＮS管理器"中選中DNS服務器，單擊鼠標右鍵,選擇"屬性"對話框中的＂轉發(fā)器＂選項卡，在選項卡中選中＂啟用轉發(fā)器",在IP地址欄輸入"5１．２0２.2２.18＂,單擊"添加＂按鈕,然后單擊＂擬定"按鈕關閉對話框。問題４解析:如圖13－8所示,如．com<>相應于多個IP地址時DNＳ每次解析的順序都不同，則表達其啟用了循環(huán)功能。問題５解析:由網(wǎng)絡拓撲圖可知，PC5和ＰC6屬于同一網(wǎng)段,導致PC５不能對的訪問WWW服務器的因素在于的默認網(wǎng)關配置錯誤,導致數(shù)據(jù)包到達不了對的的網(wǎng)關,將默認網(wǎng)關IP地址修改為對的網(wǎng)關地址"１92.168.0.３"即可。試題二參考答案【問題1】(5分）(1）ａｂ（２）wｗw【問題2】(3分）(３)用IP地址查詢相應的域名(4)21０．43．1６(5).ｅdｕ<>【問題3】（3分）選中＂啟用轉發(fā)器",在IP地址欄輸入＂51.20２．22.１8",單擊"添加＂按鈕,然后單擊＂擬定"按鈕關閉對話框。【問題４】（2分）(6)A或啟用了循環(huán)功能【問題5】(３分)ＰC５的默認網(wǎng)關配置錯誤（2分)，將默認網(wǎng)關ＩＰ地址修改為＂1９".試題三分析問題1解析:IＰSec有隧道和傳送兩種工作方式。在隧道方式中，用戶的整個ＩＰ數(shù)據(jù)包被用來計算ESP頭，且被加密，EＳP頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳送方式中,只是傳輸層（如TＣP、UDP、ICMP)數(shù)據(jù)被用來計算ESP頭,EＳP頭和被加密的傳輸層數(shù)據(jù)被放置在原IP包頭后面。當ＩPSｅc通信的一端為安全網(wǎng)關時,必須采用隧道方式。IPseｃ使用兩種協(xié)議來提供通信安全――身份驗證報頭(AH）和封裝式安全措施負載(ESＰ）。身份驗證報頭（ＡH）可對整個數(shù)據(jù)包（ＩP報頭與數(shù)據(jù)包中的數(shù)據(jù)負載）提供身份驗證、完整性與抗重播保護。但是它不提供保密性，即它不對數(shù)據(jù)進行加密。數(shù)據(jù)可以讀取，但是嚴禁修改。封裝式安全措施負載（ESP)不僅為IP負載提供身份驗證、完整性和抗重播保護，還提供機密性。傳輸模式中的ESＰ不對整個數(shù)據(jù)包進行署名。只對ＩP負載(而不對IP報頭）進行保護。EＳP可以獨立使用，也可與AH組合使用。問題2解析:VPN的基本配置：配置信息描述：一端服務器的網(wǎng)絡子網(wǎng)為10.０.1．0／24,路由器為1７2.30.１.2；另一端服務器為1０.0.２.0/24,路由器為17２.3０.2.2.重要環(huán)節(jié):1.擬定一個預先共享的密鑰(保密密碼)（以下例子保密密碼假設為testpwｄ）2.為ＳA協(xié)商過程配置IKE.3.配置ＩPＳｅc.(1）配置IKECsａiＲ(cｏnfｉg）#cryptｏisakmppolicｙ1

//polｉcy1表達策略1,假如想多配幾ＶPＮ,可以寫成poliｃｙ2、policy３…CｓaiR(conｆig-isakmp)#ｇｒoup1

／/group命令有兩個參數(shù)值：1和2.參數(shù)值1表達密鑰使用768位密鑰,參數(shù)值2表達密鑰使用10２4位密鑰，顯然后一種密鑰安全性高,但消耗更多的CPＵ時間。在通信比較少時，最佳使用ｇｒouｐ1長度的密鑰。ＣｓaiR（config-isａkmp)#aｕｔhenticaｔｉonprｅ-shaｒe

／/告訴路由器要使用預先共享的密碼。CｓaｉR(coｎfig-isakmｐ）＃ｌifetｉｍe3６00

//對生成新SA的周期進行調整。這個值以秒為單位,默認值為８640０（２4小時）。值得注意的是兩端的路由器都要設立相同的SA周期,否則ＶＰＮ在正常初始化之后，將會在較短的一個SA周期到達中斷。CｓaiＲ（confｉg）#cryptｏisaｋmｐkeytｅｓtaｄｄrｅss200．20.２５.1

//返回到全局設立模式擬定要使用的預先共享密鑰和指歸ＶPN另一端路由器IＰ地址,即目的路由器IP地址。相應地在另一端路由器配置也和以上命令類似,只但是把IP地址改成100．10.１5.1.(2）配置IPSecＣsaiR(ｃonfｉｇ）#acceｓs-ｌist1３0ｐermitiｐ19２.168.1.0０.0.０．255172.16.10.００．0.0.２55

//在這里使用的訪問列表號不能與任何過濾訪問列表相同,應當使用不同的訪問列表號來標記VPN規(guī)則。ＣsaｉR（conｆig）#crｙptoiｐsectranｓfｏrｍ-seｔvpn1ａｈ-ｍd5-hmａcesｐ－desesp-md５-ｈｍaｃ

//這里在兩端路由器唯一不同的參數(shù)是vｐｎ1,這是為這種選項組合所定義的名稱。在兩端的路由器上，這個名稱可以相同，也可以不同。以上命令是定義所使用的IPSｅc參數(shù)。為了加強安全性，要啟動驗證報頭。由于兩個網(wǎng)絡都使用私有地址空間，需要通過隧道傳輸數(shù)據(jù),因此還要使用安全封裝協(xié)議。最后，還要定義DES作為保密密碼鑰加密算法。CsaiR（ｃｏnｆig）#cryptomapshortsec６0ｉpsec-iｓａkmp

/／Map優(yōu)先級,取值范圍1～65535，值越小，優(yōu)先級越高。參數(shù)shoｒtsec是我們給這個配置定義的名稱，稍后可以將它與路由器的外部接口建立關聯(lián)。CsａiR(conｆig-cｒypｔo-map)#ｓｅtpeer2０0.２0.25．1

/／這是標記對方路由器的合法IP地址。在遠程路由器上也要輸入類似命令,只是對方路由器地址應當是１00.10．15.1.CｓaiＲ(coｎｆiｇ-crypｔo-map)＃seｔｔransform-sｅtvpｎ1CsaiR（confｉｇ-crｙpto－mａp）#matｃhaddrｅss130

／/這兩個命令分別標記用于ＶPN連接的傳輸設立和訪問列表。CsａiR（ｃｏnfiｇ）＃ｉnterfaｃes0ＣsaiR(config-if）＃crｙpｔomapshortｓec

/／將剛才定義的密碼圖應用到路由器的外部接口。最后一步保存運營配置,最后測試這個VPN的連接,并且保證通信是按照預期規(guī)劃進行的。問題３解析:詳見問題2解析。問題4解析:詳見問題2解析。試題三參考答案【問題1】（４分，各1分)（1)(２）c、d(順序可互換）(３)(4)b、d（順序可互換）【問題2】（4分，各１分)（５）加密算法為ＤES(6)hasｈmd5(７)認證采用預共享密鑰（8)８640０【問題3】（４分，各２分）（9)172.３0.2.２（１0)１72.30.1.２【問題4】（3分,各1分)(１1）1０.0.1.3(12)10.０.２．3(１3）10．0.２．3試題四分析問題1解析:fixup命令作用是啟用,嚴禁，改變一個服務或協(xié)議通過ｐix防火墻,由fｉxup命令指定的端口是PIX防火墻要偵聽的服務。見下面例子：

例:Pix525（conｆig）＃fiｘｕｐpｒotｏcolｆtｐ21啟用ＦＴＰ協(xié)議,并指定ＦＴP的端標語為21．

設立指向內網(wǎng)和外網(wǎng)的靜態(tài)路由采用ｒoute命令：定義一條靜態(tài)路由。rouｔe命令配置語法:ｒｏute(if_nａｍe)00gaｔｅｗaｙ_ip[meｔric]

其中參數(shù)解釋如下:if＿name表達接口名字，例如insidｅ,outside；Gａt(yī)eway＿ip表達網(wǎng)關路由器的ip地址;［metric]表達成ｇaｔeway_iｐ的跳數(shù)，通常缺省是1.例:Ｐｉｘ525（ｃｏnfiｇ）#rｏutｅoutsidｅ0061.144.５1．168１設立ｅｔh０口的默認路由,指向61.144.５１.168,且跳步數(shù)為1．問題2解析：防火墻通常具有一般有３個接口，使用防火墻時,就至少產(chǎn)生了3個網(wǎng)絡，描述如下:內部區(qū)域（內網(wǎng))。內部區(qū)域通常就是指公司內部網(wǎng)絡或者是公司內部網(wǎng)絡的一部分。它是互連網(wǎng)絡的信任區(qū)域,即受到了防火墻的保護。外部區(qū)域（外網(wǎng))。外部區(qū)域通常指Ｉnteｒnet或者非公司內部網(wǎng)絡。它是互連網(wǎng)絡中不被信任的區(qū)域,當外部區(qū)域想要訪問內部區(qū)域的主機和服務,通過防火墻,就可以實現(xiàn)有限制的訪問。非軍事區(qū)(DMZ,又稱?；饏^(qū)）。是一個隔離的網(wǎng)絡,或幾個網(wǎng)絡。位于區(qū)域內的主機或服務器被稱為堡壘主機。一般在非軍事區(qū)內可以放置Weｂ、Mail服務器等。停火區(qū)對于外部用戶通常是可以訪問的,這種方式讓外部用戶可以訪問公司的公開信息，但卻不允許它們訪問公司內部網(wǎng)絡。由配置信息，ipadｄrｅｓｓoｕtsiｄｅ61.144．5１.４２２55．２5５.255．248ipadｄreｓsinｓｉde19２.1６8.0.1255．255.25５.０ipaddｒessdmz1０.１0．0.1255.255．25５.0可知eth1的IＰ地址為１9２．16８.0.1,eth0的ＩＰ地址為61.１44.51．42,子網(wǎng)掩碼為48,dmｚ接口的名稱為eth2,IP地址為1０．10.0.1.問題3解析:Glｏbal命令把內網(wǎng)的IP地址翻譯成外網(wǎng)的IP地址或一段地址范圍。Gｌｏｂaｌ命令的配置語法：global(if_ｎame）nat＿ｉｄiｐ＿address-ip＿aｄdreｓs［nｅtmａrkｇｌｏｂal＿mａｓk]

其中參數(shù)解釋如下：if_name表達外網(wǎng)接口名字，例如ｏuｔｓiｄe;Nat_ｉd用來標記全局地址池,使它與其相應的ｎaｔ命令相匹配；ip＿aｄｄrｅｓs-iｐ＿addresｓ表達翻譯后的單個ｉp地址或一段ip地址范圍；[nｅtmａrkgｌobal_masｋ]表達全局ｉp地址的網(wǎng)絡掩碼。由配置命令:gloｂaｌ（ｏuｔsidｅ）１６１．１44．51.46nat(ｉnsｉde)10.0．０．00.０.０.００0可以看出由inｓｉde域發(fā)往Inｔerｎet的IP分組,在到達路由器Ｒ1時的源IＰ地址是６１.144．51．4６.問題４解析：配置靜態(tài)IP地址翻譯(static）假如從外網(wǎng)發(fā)起一個會話,會話的目的地址是一個內網(wǎng)的ip地址，static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。ｓｔatic命令配置語法：ｓtatｉc(inteｒnal_if_nameexｔｅrｎal_ｉf_nａｍｅ）oｕtside_ip＿aｄｄressinside＿ip_addrｅss

其中參數(shù)解釋如下:ｉｎteｒnal＿ｉf＿nａme表達內部網(wǎng)絡接口，安全級別較高。如iｎside;external_if_ｎame為外部網(wǎng)絡接口，安全級別較低。如outｓide等；oｕtｓｉde_iｐ_address為正在訪問的較低安全級別的接口上的iｐ地址;ｉｎｓide_ip＿address為內部網(wǎng)絡的本地ip地址。例:Pix5２5（ｃonｆig)#staｔic(insｉｄe,outｓide)61.１44.51.62192.１６8.０.8表達IP地址為1９2．1６8．0.8的主機,對于通過PＩＸ防火墻建立的每個會話,都被翻譯成6１.１4４．５1.6２這個全局地址，也可以理解成ｓtatｉc命令創(chuàng)建了內部IP地址１９2.１68.0．8和外部ｉp地址6１.144.51.62之間的靜態(tài)映射。管道命令(ｃonduit用來允許數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口，例如允許從外部到DMZ或內部接口的入方向的會話。對于向內部接口的連接，static和ｃonduiｔ命令將一起使用,來指定會話的建立。conduit命令配置語法：conduiｔpeｒmit|dｅnyglobａl_ｉppｏrｔ[－ｐorｔ]ｐrotoｃolｆoreｉgn_ip[ｎｅtmａsk]

【參數(shù)說明】perｍit|dｅnｙ:允許|拒絕訪問.gｌobal_iｐ指的是先前由