某单位采用DHCP进行IP地址自动分配,经常因获取不到地址受到用户的抱怨,网管中心决定采用Networking Monitor来监视客户端和服务器之间的通信。为了寻找解决问题的方法,重点要监视(C)DHCP消息。

    A.  Dhcp Discover  B.  Dhcp Offer    C.  Dhcp Nack  D.  Dhcp Ack

    本题考査DHCP服务器及其原理。
    由于用户获取不到地址,说明服务器没能正常的提供Offer,因此需要从DhcpNack报文中查找原因。


    FTP需要建立两个连接,当工作于Passive模式时,其数据连接的端口号是(D)。

    A.  20  B.  21  C.  由用户确定的一个整数      D.  由服务器确定的一个整数

    本题考査FTP协议的基本知识。
    FTP支持两种模式,一种叫做Standard(也就是PORT方式,主动方式),一种叫Passive(也就是PASV,被动方式)。
    (1)Standard模式(PORT模式)
    Standard模式是FTP的客户端发送PORT命令到FTP服务器。FTP客户端首先和FTP服务器的TCP21端口建立连接,通过这个连接发送命 令,客户端需要接收数据的时候在这个连接上发送PORT命令,其中包含了客户端用于接收数据的端口。服务器端通过自己的TCP20端口连接至客户端指定的 端口建立数据连接发送数据。
    (2)Passive模式(PASV模式)
    Passive模式是FTP的客户端发送PASV命令到FTP服务器。在建立控制连接的时候和Standard模式类似,但建立连接后发送的不是PORT 命令,而是PASV命令。FTP服务器收到PASV命令后,随机打开一个高端端口(端口号大于1024)并且通知客户端在这个端口上传送数据,客户端连接 FTP服务器此端口(非20)建立数据连接进行数据的传送。


    下列访问控制模型中,对象的访问权限可以随着执行任务的上下文环境发生变化的是(B)的控制模型。

     A.  基于角色   B.  基于任务   C.  基于对象   D.  强制型

    本题考查网络安全方面关于访问控制模型的基础知识。
    强制型访问控制(MAC)模型是一种多级访问控制策略,它的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同 的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。
    基于角色的访问控制(RBAC Model,Role-based Access):RBAC模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。
    基于任务的访问控制模型(TBACModel,Task-basedAccessControlModel)是从应用和企业层角度来 解决安全问题,以面向 任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。在TBAC中,对象的访问权限控制并不是静 止不变的,而是随着执行任务的上下文环境发生变化。
    基于对象的访问控制模型(OBAC Model:Object-based Access Control Model)中,将访问控制列表与受控对象或受控对象的属性相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合;同时允许对策略和规则进 行重用、继承和派生操作。


    TCP协议在建立连接的过程中可能处于不同的状态,用netstat命令显示出TCP连接的状态为SYN—SEND,则这个连接正处于(B)。

     A.  监听对方的建立连接请求  B.  已主动发出连接建立请求

     C.  等待对方的连接释放请求   D.  收到对方的连接建立请求

    TCP的连接状态如图1所示,由图看出,当TCP实体主动发出连接请求(SYN)后处于SYN_SEND状态。(详见教材TCP连接状态图)


    按照M络分级设计模型,通常把局域网设计为3层,即核心层、汇聚层和接入层,以下关于分级网络功能的描述中,不正确的是(A)。

     A.  核心层承担访问控制列表检查    B.  汇聚层定义了网络的访问策略

     C.  接入层提供网络接入功能          D.  在接入层可以使用集线器代替交换机

    层次型局域网结构将局域网络划分成不同的功能层次,例如划分成核心层、汇聚层和接入层,通过与核心设备互连的路由器接入广域网,层次结构的特点如下:
    (1) 网络功能划分清晰,有利发挥联网设备的最大效率;
    (2) 网络拓扑结构使得故障定位可分级进行,便于维护;
    (3) 便于网络拓扑的后续扩展。
    在三层模型中,核心层提供不同区域之间的高速连接和最优传输路径,汇聚层提供网络业务接入,并实现与安全、流量和路由相关的控制策略,接入层为终端用户提供接入服务。
①核心层设计要点
    核心层是互连网络的高速主干网,在设计中应增加冗余组件,使其具备高可靠性,能快速适应通信流量的变化。
    在设计核心层设备的功能时应避免使用数据包过滤、策略路由等降低转发速率的功能特性,使得核心层具有高速率、低延迟和良好的可管理性。
    核心层设备覆盖的地理范围不宜过大,连接的设备不宜过多,否则会使得网络的复杂度增大,导致网络性能降低。
    核心层应包括一条或多条连接外部网络的专用链路,使得可以高效地访问互联网。
    ②汇聚层设计要点
    汇聚层是核心层与接入层之间的分界点,应实现资源访问控制和流量控制等功能。汇聚层应该对核心层隐藏接入层的详细信息,不管划分了多少个子网,汇聚层向核心路由器发布路由通告时,只通告各个子网汇聚后的超网地址。
    如果局域网中运行了以太网和弹性分组环等不同类型的子网,或者运行了八同路由算法的区域网络,可以通过汇聚层设备完成路由汇总和协议转换功能。
    ③接入层设计要点
    接入层提供网络接入服务,并解决本地网段内用户之间互相访问的需求,要提供足够的带宽,使得本地用户之间可以高速访问;
    接入层还应提供一部分管理功能,例如MAC地址认证、用户认证、计费管理等;
    接入层要负责收集用户信息(例如用户IP地址、MAC地址、访问日志等),作为计费和排错的依据。