试题四(共15分)
  阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
  某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。
  2009年下半年网工考试下午试卷参考答案与解析(二)_第1张图片
图4-1(图不清晰,后补)

在防火墙上利用show命令查询当前配置信息如下:
PIX# show config

nameif eth0 outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40

fixup protocol ftp 21                     (1) 
fixup protocol http 80

ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0

global(outside) 1 61.144.51.46
nat(inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 61.144.51.45 1           (2) 
 
【问题1】(4分)
  解析(1)、(2)处画线语句的含义。
答案:
  (1)添加可监听的FTP服务端口21
  (2)定义外部默认路由61.144.51.45,跳数为1
 
【问题2】(6分)
  根据配置信息,在填充表4-1。
2009年下半年网工考试下午试卷参考答案与解析(二)_第2张图片 
表4-1(图不清晰,后补)
答案:
  (3)192.168.0.1    (4)255.255.255.248
  (5)eth2     (6)10.10.0.1
 
【问题3】(2分)
  根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是   (7) 
答案:
  (7)61.144.51.46
 
【问题4】(3分)
  如果需要在DMZ域的服务器(IP地址为10.10.0.100)对Internet用户提供web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
  PIX(config)# static(dmz, outside)  (8)       (9) 
  PIX(config)# conduit permit tcp host    (10)    eq www any
说明:
  static命令的格式是:static(nameif,outside) ip-outside, ip-nameif
  第(10)空要填写一个主机地址,这里填写的是DMZ内的那个主机的IP地址,而不是对外的那个地址。以免出现修改NAT配置后,开放的内网主机服务的命令也要跟随改动。
答案:
  (8)61.144.51.43  (9)10.10.0.100  (10)10.10.0.100
 
试题五(共15分)
  阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
  某单位网络拓扑结构如图5-1所示,要求配置IPSec ×××使10.10.20.1/24网段能够连通10.10.10.2/24网段,但10.10.30.1/24网段不能连通10.10.10.2/24网段。
  2009年下半年网工考试下午试卷参考答案与解析(二)_第3张图片
图5-1(图不清晰,后补)
【问题1】(4分)
  根据网络拓扑和要求,解释并完成路由器R1上的部分配置。
R1(config)# crypto isakmp enable            (启用IKE)
R1(config)# crypto isakmp    (1)    20        (配置IKE策略20)
R1(config-isakmp)# authentication pre-share         (2) 
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2  (配置预共享密钥为378)
R1(config)# access-list 101 permit ip    (3)    0.0.0.255    (4)    0.0.0.255
                          (设置ACL)
……
说明:
  “access-list 101 permit ip   (3)   0.0.0.255   (4)   0.0.0.255”的意思是“从本地站点(3)发出的和来自远点站点(4)的数据将得到保护。”
答案:
  (1)policy
  (2)验证方法为使用预共享密钥
  (3)10.10.20.0
  (4)10.10.10.0
 
【问题2】(4分)
  根据网络拓扑和要求,完成路由器R2上的静态路由配置。
R2(config)# ip route    (5)    255.255.255.0 192.168.1.1
R2(config)# ip route 10.10.30.0 255.255.255.0    (6) 
R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2
答案:
  (5)10.10.20.0
  (6)192.168.1.1
 
【问题3】(空(9)1分,其他2分,共7分)
  根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。
……
R3(config)# crypto isakmp key    (7)    address    (8)   
R3(config)# crypto transform-set test*** ah-md5-hmac esp-des esp-md5-hmac    (9) 
R3(cfg-crypto-trans)# exit
R3(config)# crypto map test 20 ipsec-isakmp
R3(config-crypto-map)# set peer 192.168.1.1
R3(config-crypto-map)# set transform-set    (10) 
……
答案:
(7)378
(8)192.168.1.1
(9)设置IPSec变换集test***,AH鉴别采用ah-md5-hmac,ESP加密采用esp-des,ESP认证采用esp-md5-hmac。
(10)test***