計算機(jī)軟件資格網(wǎng)絡(luò)工程師題庫三第十一章網(wǎng)絡(luò)管理1[單選題]某銀行為用戶提供網(wǎng)上服務(wù)，允許（江南博哥）用戶通過瀏覽器管理自己的銀行賬戶信息。為保障通信的安全，該Web服務(wù)器可選的協(xié)議是()。A.POPB.SNMPC.HTTPD.HTTPS正確答案：D參考解析：POP是郵局協(xié)議，用于接收郵件；SNMP是簡單網(wǎng)絡(luò)管理協(xié)議，用于網(wǎng)絡(luò)管理：HTTP是超文本傳輸協(xié)議，眾多Web服務(wù)器都使用HTTP，但是它不是安全的協(xié)議：HTTPS是安全的超文本傳輸協(xié)議。2[單選題]Needham-Schroeder協(xié)議是基于(??)的認(rèn)證協(xié)議。A.共享密鑰B.公鑰C.報文摘要D.數(shù)字證書正確答案：A參考解析：本題考查有關(guān)Needham-Schroeder協(xié)議的基礎(chǔ)知識。應(yīng)該知道Needham-Schroeder協(xié)議是基于共享密鑰進(jìn)行認(rèn)證的協(xié)議。3[單選題]實現(xiàn)VPN的關(guān)鍵技術(shù)主要有隧道技術(shù)、加解密技術(shù)、()和身份認(rèn)證技術(shù)。A.入侵檢測技術(shù)B.病毒防治技術(shù)C.安全審計技術(shù)D.密鑰管理技術(shù)正確答案：D參考解析：本題考查VPN方面的基礎(chǔ)知識。應(yīng)該知道實現(xiàn)VPN的關(guān)鍵技術(shù)主要有隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。4[單選題]如果需要在傳輸層實現(xiàn)VPN，可選的協(xié)議是()。A.L2TPB.PPTPC.TLSD.IPSec正確答案：C參考解析：L2TP、PPTP是兩種鏈路層的VPN協(xié)議，TLS是傳輸層VPN協(xié)議，IPSec是網(wǎng)絡(luò)層VPN協(xié)議。5[單選題]采用Kerberos系統(tǒng)進(jìn)行認(rèn)證時，可以在報文中加入()來防止重放攻擊。A.會話密鑰B.時間戳C.用戶IDD.私有密鑰正確答案：B參考解析：Kerberos認(rèn)證是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心的身份認(rèn)證系統(tǒng)?？蛻舴叫枰蚍?wù)器方遞交自己的憑據(jù)來證明自己的身份，該憑據(jù)是由KDC專門為客戶和服務(wù)器方在某一階段內(nèi)通信而生成的。憑據(jù)中包括客戶和服務(wù)器方的身份信息和在下一階段雙方使用的臨時加密密鑰，還有證明客戶方擁有會話密鑰的身份認(rèn)證者信息。身份認(rèn)證信息的作用是防止攻擊者在將來將同樣的憑據(jù)再次使用。時間標(biāo)記是檢測重放攻擊。6[單選題]目前在網(wǎng)絡(luò)上流行的“熊貓燒香”病毒屬于(??)類型的病毒。A.目錄B.引導(dǎo)區(qū)C.蠕蟲D.DoS正確答案：C參考解析：熊貓燒香是一種感染型的蠕蟲病毒，它能感染系統(tǒng)中exe、com、pif、src、htm和asp等文件，還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有．exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。7[單選題]公司面臨的網(wǎng)絡(luò)攻擊來自多方面，安裝用戶認(rèn)證系統(tǒng)來防范()。A.外部攻擊B.內(nèi)部攻擊C.網(wǎng)絡(luò)監(jiān)聽D.病毒入侵正確答案：B參考解析：企業(yè)安裝用戶認(rèn)證系統(tǒng)是為了防范內(nèi)部攻擊。8[單選題]支持安全WEB服務(wù)的協(xié)議是()。A.HTTPB.WINSC.SOAPD.HTTPS正確答案：D參考解析：HTTPS是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。9[單選題]IPSecVPN安全技術(shù)沒有用到(??)。A.隧道技術(shù)B.加密技術(shù)C.身份認(rèn)證技術(shù)D.入侵檢測技術(shù)正確答案：D參考解析：IPSecVPN包含了認(rèn)證頭(AH)和封裝安全載荷(ESP)。AH主要用以提供身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、防重放攻擊。ESP則可以提供數(shù)據(jù)加密、數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、防重放攻擊多項功能。IPSecVPN可提供傳輸模式和隧道模式兩種工作方式。但沒有入侵檢測功能。10[單選題]()不屬于PKICA(認(rèn)證中心)的功能。A.接收并驗證最終用戶數(shù)字證書的申請B.向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書C.業(yè)務(wù)受理點(diǎn)LRA的全面管理D.產(chǎn)生和發(fā)布證書廢止列表(CRL)，并驗證證書狀態(tài)正確答案：C參考解析：PKl是一組規(guī)則、過程、人員、設(shè)施、軟件和硬件的集合，可用來發(fā)放、分發(fā)和管理公鑰證書。通過管理和控制密鑰和證書的使用，PKl可以在分布式環(huán)境中建立一個信任體系。

CA為主體的公鑰簽名并發(fā)放證書，主要有以下幾種功能。

(1)證書更新：主體當(dāng)前的證書過期后發(fā)行新的證書。

(2)證書作廢：使得證書從該時刻起非法。

(3)證書發(fā)布：PKl用戶可以搜索并取得該證書。

(4)維護(hù)證書作廢列表：使得PKl用戶可以訪問作廢列表。

(5)維護(hù)證書作廢列表：使得PKl用戶可以訪問作廢列表。

若CA由業(yè)務(wù)受理點(diǎn)LRA全面管理，是不現(xiàn)實的。11[單選題]IPSec的加密和認(rèn)證過程中所使用的密鑰由()機(jī)制來生成和分發(fā)。A.ESPB.IKEC.TGSD.AH正確答案：B參考解析：本題考查IPSec相關(guān)知識。

IPSec密鑰管理利用IKE(Internet密鑰交換協(xié)議)機(jī)制實現(xiàn)，IKE解決了在不安全的網(wǎng)絡(luò)環(huán)境(如Intemet)中安全地建立或更新共享密鑰的問題。12[單選題]SSL協(xié)議使用的默認(rèn)端口是()。A.80B.445C.8080D.443正確答案：D參考解析：本題屬于記憶題。80端口是Web服務(wù)默認(rèn)端口。8080端口一般用于局域網(wǎng)內(nèi)部提供Web服務(wù)。445端口和139端口一樣，用于局域網(wǎng)中共享文件夾或共享打印機(jī)。13[單選題]Ping命令用的是ICMP的()報文。A.目的不可達(dá)B.源點(diǎn)抑制C.時間超時D.回送請求和應(yīng)答正確答案：D參考解析：ICMP報文應(yīng)用有Ping命令(使用回送應(yīng)答和回送請求報文)和Traceroute命令(使用時間超時報文和目的不可達(dá)報文)。14[單選題]實現(xiàn)RAID3至少需要()塊硬盤。實現(xiàn)RAID5至少需要()塊硬盤。實現(xiàn)RAID10至少需要(請作答此空)塊硬盤。A.2B.3C.4D.5正確答案：C參考解析：RAID分為很多級別，常見的RAID如下:(1)RAID0。無容錯設(shè)計的條芾磁盤陣列(StripedDiskArraywithoutFaultTolerance)。數(shù)據(jù)并不是保存在一個硬盤上，而是分成數(shù)據(jù)塊保存在不同驅(qū)動器上。因為將數(shù)據(jù)分布在不同驅(qū)動器上，所以數(shù)據(jù)吞吐率大大提高。如果是n塊硬盤，則讀取相同數(shù)據(jù)時間減少為1/n。由于不具備冗余技術(shù)，如果壞了一塊盤，則陣列數(shù)據(jù)全部丟失。實現(xiàn)RAID0至少需要2塊硬盤(2)RAID1。磁盤鏡像，可并行讀數(shù)據(jù)，由于在不同的兩塊磁盤寫入相同數(shù)據(jù)，寫入數(shù)據(jù)比RAID0慢點(diǎn)。安全性最好，但空間利用率為50%，利用率最低。實現(xiàn)RAID1至少需要2塊硬盤。(3)RAID2。使用了海明碼校驗和糾錯。將數(shù)據(jù)條塊化分布于不同硬盤上，現(xiàn)在幾乎不再使用。實現(xiàn)RAID2至少需要2塊硬盤。(4)RAID3。使用單獨(dú)的一塊校驗盤進(jìn)行奇偶校驗。磁盤利用率=n-1/n，其中n為RAID3中的磁盤總數(shù)。實現(xiàn)RAID3至少需要2塊硬盤(5)RAID5。具有獨(dú)立的數(shù)據(jù)磁盤和分布校驗塊的磁盤陣列，無專門的校驗盤。RAID5常用于I/O較頻繁的事務(wù)處理上。RAID5可以為系統(tǒng)提供數(shù)據(jù)安全保障，雖然可靠性比RAID1低，但是磁盤空間利用率要比RAID1高。RAID5具有和RAID0近似的數(shù)據(jù)讀取速度，只是多了一個奇偶校驗信息，寫入數(shù)據(jù)的速度比對單個磁盤進(jìn)行寫入操作的速度稍慢。磁盤利用率=n-1/n，其中n為RAID3中的磁盤總數(shù)。實現(xiàn)RAID5至少需要3塊硬盤(6)RAID6。具有獨(dú)立的數(shù)據(jù)硬盤與兩個獨(dú)立的分布校驗方案，即存儲兩套奇偶校驗碼。因此安全性更高，但構(gòu)造更復(fù)雜。磁盤利用率=n-2/n，其中n為RAID3中磁盤總數(shù)。實現(xiàn)RAID6至少需要4塊硬盤。(7)RAID10。高可靠性與高性能的組合。RAID10是建立在RAID0和RAID1基礎(chǔ)上的，即為一個條帶結(jié)構(gòu)加一個鏡像結(jié)構(gòu)，這樣即利用了RAID0極高的讀寫效率，又利用了RAID1的高可靠性。磁盤利用率為50%。實現(xiàn)RAID10至少需要4塊硬盤。15[單選題]在網(wǎng)絡(luò)管理五大功能中，()對網(wǎng)絡(luò)中被管對象故障的檢測、定位和排除。A.配置管理B.故障管理C.安全管理D.性能管理正確答案：B參考解析：故障管理對網(wǎng)絡(luò)中被管對象故障的檢測、定位和排除。故障管理的功能有故障檢測、故障告警、故障分析與定位、故障恢復(fù)與排除、故障預(yù)防。16[單選題]實現(xiàn)RAID3至少需要()塊硬盤。實現(xiàn)RAID5至少需要(請作答此空)塊硬盤。實現(xiàn)RAID10至少需要()塊硬盤。A.2B.3C.4D.5正確答案：B參考解析：RAID分為很多級別，常見的RAID如下:(1)RAIDO。無容錯設(shè)計的條帶磁盤陣列(StripedDiskArraywithoutFaultTolerance)。數(shù)據(jù)并不是保存在一個硬盤上，而是分成數(shù)據(jù)塊保存在不同驅(qū)動器上。因為將數(shù)據(jù)分布在不同驅(qū)動器上，所以數(shù)據(jù)吞吐率大大提高。如果是n塊硬盤，則讀取相同數(shù)據(jù)時間減少為1/n。由于不具備冗余技術(shù)，如果壞了一塊盤，則陣列數(shù)據(jù)全部丟失。實現(xiàn)RAID0至少需要2塊硬盤(2)RAID1。磁盤鏡像，可并行讀數(shù)據(jù)，由于在不同的兩塊磁盤寫入相同數(shù)據(jù)，寫入數(shù)據(jù)比RAID0慢點(diǎn)。安全性最好，但空間利用率為50%，利用率最低。實現(xiàn)RAID1至少需要2塊硬盤。(3)RAID2。使用了海明碼校驗和糾錯。將數(shù)據(jù)條塊化分布于不同硬盤上，現(xiàn)在幾乎不再使用。實現(xiàn)RAID2至少需要2塊硬盤。(4)RAID3。使用單獨(dú)的一塊校驗盤進(jìn)行奇偶校驗。磁盤利用率=n-1/n，其中n為RAID3中的磁盤總數(shù)。實現(xiàn)RAID3至少需要2塊硬盤。(5)RAID5。具有獨(dú)立的數(shù)據(jù)磁盤和分布校驗塊的磁盤陣列，無專門的校驗盤。RAID5常用于I/O較頻繁的事務(wù)處理上。RAID5可以為系統(tǒng)提供數(shù)據(jù)安全保障，雖然可靠性比RAID1低，但是磁盤空間利用率要比RAID1高。RAID5具有和RAID0近似的數(shù)據(jù)讀取速度，只是多了一個奇偶校驗信息，寫入數(shù)據(jù)的速度比對單個磁盤進(jìn)行寫入操作的速度稍慢。磁盤利用率=n-1/n，其中n為RAID3中的磁盤總數(shù)。實現(xiàn)RAID5至少需要3塊硬盤。(6)RAID6。具有獨(dú)立的數(shù)據(jù)硬盤與兩個獨(dú)立的分布校驗方案，即存儲兩套奇偶校驗碼。因此安全性更高，但構(gòu)造更復(fù)雜。磁盤利用率=n-2/n，其中n為RAID3中磁盤總數(shù)。實現(xiàn)RAID6至少需要4塊硬盤。(7)RAID10。高可靠性與高性能的組合。RAID10是建立在RAID0和RAID1基礎(chǔ)上的，即為一個條芾結(jié)構(gòu)加一個鏡像結(jié)構(gòu)，這樣即利用了RAID0極高的讀寫效率，又利用了RAID1的高可靠性。磁盤利用率為50%。實現(xiàn)RAID10至少需要4塊硬盤。17[單選題]實現(xiàn)RAID3至少需要(請作答此空)塊硬盤。實現(xiàn)RAID5至少需要()塊硬盤。實現(xiàn)RAID10至少需要（）塊硬盤。A.2B.3C.4D.5正確答案：B參考解析：RAID分為很多級別，常見的RAID如下:(1)RAIDO。無容錯設(shè)計的條芾磁盤陣列(StripedDiskArraywithoutFaultTolerance)。數(shù)據(jù)并不是保存在一個硬盤上，而是分成數(shù)據(jù)塊保存在不同驅(qū)動器上。因為將數(shù)據(jù)分布在不同驅(qū)動器上，所以數(shù)據(jù)吞吐率大大提高。如果是n塊硬盤，則讀取相同數(shù)據(jù)時間減少為1/n。由于不具備冗余技術(shù)，如果壞了一塊盤，則陣列數(shù)據(jù)全部丟失。實現(xiàn)RAID0至少需要3塊硬盤(2)RAID1。磁盤鏡像，可并行讀數(shù)據(jù)，由于在不同的兩塊磁盤寫入相同數(shù)據(jù)，寫入數(shù)據(jù)比RAID0慢點(diǎn)。安全性最好，但空間利用率為50%，利用率最低。實現(xiàn)RAID1至少需要2塊硬盤。(3)RAID2。使用了海明碼校驗和糾錯。將數(shù)據(jù)條塊化分布于不同硬盤上，現(xiàn)在幾乎不再使用。實現(xiàn)RAID2至少需要2塊硬盤。(4)RAID3。使用單獨(dú)的一塊校驗盤進(jìn)行奇偶校驗。磁盤利用率=n-1/n，其中n為RAID3中的磁盤總數(shù)。實現(xiàn)RAID3至少需要3塊硬盤。(5)RAID5。具有獨(dú)立的數(shù)據(jù)磁盤和分布校驗塊的磁盤陣列，無專門的校驗盤。RAID5常用于I/O較頻繁的事務(wù)處理上。RAID5可以為系統(tǒng)提供數(shù)據(jù)安全保障，雖然可靠性比RAID1低，但是磁盤空間利用率要比RAID1高。RAID5具有和RAID0近似的數(shù)據(jù)讀取速度，只是多了一個奇偶校驗信息，寫入數(shù)據(jù)的速度比對單個磁盤進(jìn)行寫入操作的速度稍慢。磁盤利用率=n-1/n，其中n為RAID3中的磁盤總數(shù)。實現(xiàn)RAID5至少需要3塊硬盤。(6)RAID6。具有獨(dú)立的數(shù)據(jù)硬盤與兩個獨(dú)立的分布校驗方案，即存儲兩套奇偶校驗碼。因此安全性更高，但構(gòu)造更復(fù)雜。磁盤利用率=n-2/n，其中n為RAID3中磁盤總數(shù)。實現(xiàn)RAID6至少需要4塊硬盤。(7)RAID10。高可靠性與高性能的組合。RAID10是建立在RAID0和RAID1基礎(chǔ)上的，即為一個條帶結(jié)構(gòu)加一個鏡像結(jié)構(gòu)，這樣即利用了RAID0極高的讀寫效率，又利用了RAID1的高可靠性。磁盤利用率為50%。實現(xiàn)RAID10至少需要4塊硬盤。第十二章網(wǎng)絡(luò)規(guī)劃和設(shè)計1[單選題]IIS服務(wù)支持的身份驗證方法中，需要利用明文在網(wǎng)絡(luò)上傳遞用戶名和密碼的是()。A.NETPassport身份驗證B.集成Windows身份驗證C.基本身份驗證D.摘要式身份驗證正確答案：C參考解析：Passport驗證是微軟公司提供的一種集中式驗證服務(wù)，與集成的Windows身份驗證類似，用戶名和密碼都不采用明文傳送。摘要式身份驗證傳送的用戶和密碼信息是信息的摘要，而不是明文的信息。只有基本身份驗證采用的明文的形式。2[單選題]在WindowsServer2003上啟用IIS6．0提供Web服務(wù)，創(chuàng)建一個Web站點(diǎn)并將主頁文件index.asp拷貝到該Web站點(diǎn)的主目錄下。在客戶機(jī)的瀏覽器地址欄內(nèi)輸入網(wǎng)站的域名后提示沒有權(quán)限訪問該網(wǎng)站，則可能的原因是(??)。A.沒有重新啟動Web站點(diǎn)B.沒有在瀏覽器上指定該Web站點(diǎn)的服務(wù)端口80C.沒有將index.asp添加到該Web站點(diǎn)的默認(rèn)啟動文檔中D.客戶機(jī)安裝的不是Windows操作系統(tǒng)正確答案：C參考解析：默認(rèn)文檔是Web服務(wù)器收到一個請求時發(fā)送的一個文件。默認(rèn)文檔可以是一個網(wǎng)站，也可以是顯示站點(diǎn)或文件夾內(nèi)容的超文本列表的一個索引頁面的主頁。配置Web服務(wù)器時，可以指定多個Web站點(diǎn)或文件夾為默認(rèn)文檔。ⅡS搜索時，依據(jù)默認(rèn)文檔的順序，返回它所發(fā)現(xiàn)的第一個文檔。如果找到匹配項，ⅡS將激活該站點(diǎn)或文件夾，返回文件夾列表。如果文件夾瀏覽未被激活，ⅡS向瀏覽器返回“HTTPError403．禁止訪問”消息。默認(rèn)文檔名稱示例包括default．htm、default．a(chǎn)sp和index．htm等。3[單選題]通過代理服務(wù)器使內(nèi)部局域網(wǎng)中的客戶機(jī)訪問Internet時，(??)不屬于代理服務(wù)器的功能。A.共享IP地址

B.信息緩存C.信息轉(zhuǎn)發(fā)D.信息加密正確答案：D參考解析：代理服務(wù)器就是在計算機(jī)客戶端和訪問的計算機(jī)網(wǎng)絡(luò)(通常是訪問互聯(lián)網(wǎng))之間安裝有相應(yīng)代理服務(wù)器軟件的一臺計算機(jī)，客戶端對網(wǎng)絡(luò)的所有訪問請求都通過代理服務(wù)器實現(xiàn)。而被訪問的網(wǎng)絡(luò)計算機(jī)對請求的回答，也通過代理服務(wù)器轉(zhuǎn)達(dá)到客戶端。代理服務(wù)器的主要作用有四個：

(1)代理服務(wù)器提供遠(yuǎn)程信息本地緩存功能，減少信息的重復(fù)傳輸。

(2)所有使用代理服務(wù)器用戶都必須通過代理服務(wù)器訪問遠(yuǎn)程站點(diǎn)，因此在代理服務(wù)器上就可以設(shè)置相應(yīng)的限制，以過濾或屏蔽掉某些信息。因此代理服務(wù)器可以起到防火墻的作用。

(3)通過代理服務(wù)器可訪問一些不能直接訪問的網(wǎng)站?；ヂ?lián)網(wǎng)上有許多開放的代理服務(wù)器，客戶在訪問權(quán)限受到限制時，而這些代理服務(wù)器的訪問權(quán)限是不受限制的，剛好代理服務(wù)器在客戶的訪問范圍之內(nèi)，那些么客戶通過代理服務(wù)器訪問目標(biāo)網(wǎng)絡(luò)就成為可能。國內(nèi)的高校多使用教育網(wǎng)，不能訪問一些國外的互聯(lián)網(wǎng)站點(diǎn)，但通過代理服務(wù)器，就能實現(xiàn)訪問，這也是高校內(nèi)代理服務(wù)器熱的原因所在。

(4)安全性得到提高。無論是上聊天室還是瀏覽網(wǎng)站。目的網(wǎng)站只能知道你來自于代理服務(wù)器，而你的真實IP就無法測知，這就使得使用者的安全性得以提高。4[單選題]以下關(guān)于代理服務(wù)器功能描述最為正確的是(??)。A.提高客戶端訪問外網(wǎng)的效率B.隱藏企業(yè)內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)C.節(jié)省IP開銷D.以上答案都正確正確答案：D參考解析：代理服務(wù)器的主要功能如下：

(1)設(shè)置用戶驗證和記賬功能，可按用戶進(jìn)行記賬，沒有登記的用戶無權(quán)通過代理服務(wù)器訪問Intemet網(wǎng)。并對用戶的訪問時間、訪問地點(diǎn)、信息流量進(jìn)行統(tǒng)計。

(2)對用戶進(jìn)行分級管理，設(shè)置不同用戶的訪問權(quán)限，對外界或內(nèi)部的Intemet地址進(jìn)行過濾，設(shè)置不同的訪問權(quán)限。

(3)增加緩沖器(Cache)，提高訪問速度，對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點(diǎn)的訪問效率。通常代理服務(wù)器都設(shè)置一個較大的硬盤緩沖區(qū)(可能高達(dá)幾個吉字節(jié)(GB)或更大)，當(dāng)有外界的信息通過時，同時也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。

(4)連接內(nèi)網(wǎng)與Internet，充當(dāng)防火墻(Firewall)：因為所有內(nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時，只映射為一個IP地址，所以外界不能直接訪問到內(nèi)部網(wǎng)；同時可以設(shè)置IP地址過濾，限制內(nèi)部網(wǎng)對外部的訪問權(quán)限。

(5)節(jié)省IP開銷：代理服務(wù)器允許使用大量的偽IP地址，節(jié)約網(wǎng)上資源，即用代理服務(wù)器可以減少對IP地址的需求，對于使用局域網(wǎng)方式接入Intemet，如果為局域網(wǎng)(LAN)內(nèi)的每一個用戶都申請一個IP地址，其費(fèi)用可想而知。但使用代理服務(wù)器后，只需代理服務(wù)器上有一個合法的IP地址，LAN內(nèi)其他用戶可以使用10．*．*．*這樣的私有IP地址，這樣可以節(jié)約大量的IP，降低網(wǎng)絡(luò)的維護(hù)成本。5[單選題]為保障Web服務(wù)器的安全運(yùn)行，對用戶要進(jìn)行身份驗證。關(guān)于WindowsServer2003中的“集成Windows身份驗證”，下列說法中錯誤的是(??)。A.在這種身份驗證方式中，用戶名和密碼在發(fā)送前要經(jīng)過加密處理，所以是一種安全的身份驗證方案B.這種身份驗證方案結(jié)合了WindowsNT質(zhì)詢／響應(yīng)身份驗證和Kerberosv5身份驗證兩種方式C.如果用戶系統(tǒng)在域控制器中安裝了活動目錄服務(wù)，而且瀏覽器支持Kerberosv5身份認(rèn)證協(xié)議，則使用Kerberosv5身份驗證D.客戶機(jī)通過代理服務(wù)器建立連接時，可采用集成Windows身份驗證方案進(jìn)行驗證正確答案：D參考解析：在集成Windows身份驗證方式中，用戶名和密碼在發(fā)送前要經(jīng)過加密處理，所以是一種安全的身份驗證方案。這種身份驗證方案結(jié)合了WindowsNT質(zhì)詢／響應(yīng)身份驗證(NTLM)和Kerberosv5身份驗證兩種方式。Kerberosv5是Windows2000分布式服務(wù)架構(gòu)的重要功能，為了進(jìn)行Kerberosv5身份驗證，客戶端和服務(wù)器都必須與密鑰發(fā)行中心(KDC)建立可信任的連接。如果用戶系統(tǒng)在域控制器中安裝了ActiveDirectory服務(wù)，而且瀏覽器支持Kerberosv5身份認(rèn)證協(xié)議，則使用Kerberosv5身份驗證，否則使用NTLM身份驗證。

集成Windows身份驗證的過程如下：

(1)在這種認(rèn)證方式下，用戶不必輸入憑據(jù)，而是使用客戶端上當(dāng)前的Windows用戶信息作為輸入的憑據(jù)；

(2)如果最初的信息交換未能識別用戶的合法身份，則瀏覽器將提示用戶輸入賬號和密碼，直到用戶輸入了有效的賬號和密碼，或者關(guān)閉了提示對話框。集成Windows身份驗證方案雖然比較安全，但是通過代理服務(wù)器建立連接時這個方案就行不通了。所以集成Windows身份驗證最適合于Intranet環(huán)境，這樣用戶和Web服務(wù)器都在同一個域內(nèi)，而且管理員可以保證每個用戶瀏覽器都在IE2．0版本以上，保證支持這種身份驗證方案。6[單選題]在Linux中該地址記錄的配置信息如下，請補(bǔ)充完整。

A.WebNameB.HostNameC.ServerNameD.WWW正確答案：C參考解析：基于名字的虛擬主機(jī)只需要在apache的配置文件中，對NameVirtualHost域中DocumentRoot和ServerName分別設(shè)定其對應(yīng)的虛擬主機(jī)的文檔路徑即可。7[單選題]在一臺Apache服務(wù)器上通過虛擬主機(jī)可以實現(xiàn)多個w曲站點(diǎn)。虛擬主機(jī)可以是基于()的虛擬主機(jī)，也可以是基于名字的虛擬主機(jī)。A.IPB.TCPC.UDPD.HTTP正確答案：A參考解析：apache服務(wù)器可以實現(xiàn)基于IP和基于名字的虛擬主機(jī)。基于IP的虛擬主機(jī)方式需要在機(jī)器上設(shè)置IP別名，如在一臺機(jī)器的網(wǎng)卡上綁定多個IP地址去服務(wù)多個虛擬主機(jī)。這種基于IP的虛擬主機(jī)有一個缺點(diǎn)，就是你需要更多的IP地址去服務(wù)各自的虛擬主機(jī)，若IP地址不夠，則不可采用此方式。基于名字的虛擬主機(jī)只需要在apache的配置文件中，對NameVirtualHost域中DocumentRoot和ServerName分別設(shè)定其對應(yīng)的虛擬主機(jī)的文檔路徑即可。8[單選題]IIS6．0將多個協(xié)議結(jié)合起來組成一個組件，其中不包括()。A.POP3B.SMTPC.FTPD.DNS正確答案：D參考解析：本試題考查考生對ⅡS6．0組件的了解程度。

可以利用因特網(wǎng)信息服務(wù)器(IntemetInformationServer，IIS)來構(gòu)建wwW服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器和POP3服務(wù)器等。IIS服務(wù)將HTTP協(xié)議、FTP協(xié)議與WindowsServer2000出色的管理功能和安全特性結(jié)合起來，提供了一個功能全面的軟件包，面向不同的應(yīng)用領(lǐng)域給出了Intemet／Intranet服務(wù)器解決方案。9[單選題]在下列選項中，屬于IIS6．0提供的服務(wù)組件是()。A.SambaB.FTPC.DHCPD.DNS正確答案：B參考解析：IIS(InternetInformationServer，互聯(lián)網(wǎng)信息服務(wù))是一種Web(網(wǎng)頁)服務(wù)組件，其中包括Web服務(wù)器、FTP服務(wù)器、NNTP服務(wù)器和SMTP服務(wù)器，分別用于網(wǎng)頁瀏覽、文件傳輸、新聞服務(wù)和郵件發(fā)送等方面。10[單選題]ⅡS6．0支持的身份驗證安全機(jī)制有4種驗證方法，其中安全級別最高的驗證方法是()。A.匿名身份驗證B.集成Windows身份驗證C.基本身份驗證D.摘要式身份驗證正確答案：B參考解析：微軟IIS服務(wù)是一項經(jīng)典的W曲服務(wù)，可以為廣大用戶提供信息發(fā)布和資源共享功能。身份認(rèn)證是保證IIS服務(wù)安全的基礎(chǔ)機(jī)制，IIS支持以下4種Web身份認(rèn)證方法：

(1)匿名身份認(rèn)證

如果啟用了匿名訪問，訪問站點(diǎn)時，不要求提供經(jīng)過身份認(rèn)證的用戶憑據(jù)。當(dāng)需要讓大家公開訪問那些沒有安全要求的信息時，使用此選項最合適。

(2)基本身份認(rèn)證

使用基本身份認(rèn)證可限制對NTFS格式的Web服務(wù)器上文件的訪問。使用基本身份認(rèn)證，用戶必須輸入憑據(jù)，而且訪問是基于用戶ID的。用戶ID和密碼都以明文形式在網(wǎng)絡(luò)問進(jìn)行發(fā)送。

(3)摘要式身份認(rèn)證

摘要式身份認(rèn)證需要用戶ID和密碼，可提供中等的安全級別，如果用戶要允許從公共網(wǎng)絡(luò)訪問安全信息，則可以使用這種方法。這種方法與基本身份認(rèn)證提供的功能相同。摘要式身份認(rèn)證克服了基本身份認(rèn)證的許多缺點(diǎn)。在使用摘要式身份認(rèn)證時，密碼不是以明文形式發(fā)送的。

(4)Windows集成身份認(rèn)證

Windows集成身份認(rèn)證比基本身份認(rèn)證安全，而且在用戶具有Windows域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成Windows身份認(rèn)證中，瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù)，如果此嘗試失敗，就會提示該用戶輸入用戶名和密碼。如果用戶使用集成Windows身份認(rèn)證，則用戶的密碼將不傳送到服務(wù)器。如果用戶作為域用戶登錄到本地計算機(jī)，則此用戶在訪問該域中的網(wǎng)絡(luò)計算機(jī)時不必再次進(jìn)行身份認(rèn)證。11[單選題]當(dāng)使用時間到達(dá)租約期的()時，DHCP客戶端和DHCP服務(wù)器將更新租約。A.50％B.75％C.87．5％D.100％正確答案：A參考解析：關(guān)于IP地址租約的問題，需要注意的是當(dāng)DHCP客戶機(jī)租期達(dá)50％時，重新更新租約，客戶機(jī)發(fā)送DHCPRequest包。當(dāng)租約達(dá)到87．5％時，進(jìn)入重新申請狀態(tài)，客戶機(jī)發(fā)送DHCPDiscover包。12[單選題]Linux系統(tǒng)中，默認(rèn)安裝DHCP服務(wù)的配置文件為()。A.／etc／dhcpd．confB.／etc／dhcp．confC.／etc／dhcpd．configD.／etc／dhcp．config正確答案：A參考解析：本題考查linux系統(tǒng)下DHCP服務(wù)的配置文件存放位置。13[單選題]()將軟件生命周期分為制定計劃、需求分析、軟件設(shè)計、程序編寫、軟件測試和運(yùn)行維護(hù)六個基本活動A.瀑布模型B.增量模型C.螺旋模型D.快速原型模型正確答案：A參考解析：瀑布模型是最早出現(xiàn)的軟件開發(fā)模型，它將軟件生命周期分為制定計劃、需求分析、軟件設(shè)計、程序編寫、軟件測試和運(yùn)行維護(hù)六個基本活動，并且規(guī)定了它們自上而下、相互銜接的固定次序，如同瀑布流水，逐級落下，因此形象地稱為瀑布模型。在瀑布模型中，軟件開發(fā)的各項活動嚴(yán)格按照線性方式組織，當(dāng)前活動依據(jù)上一項活動的工作成果完成所需的工作內(nèi)容。當(dāng)前活動的工作成果需要進(jìn)行驗證，若驗證通過，則該成果作為下一項活動的輸入繼續(xù)進(jìn)行下一項活動；否則返回修改。尤其要注意的是瀑布模型強(qiáng)調(diào)文檔的作用，并在每個階段都進(jìn)行仔細(xì)驗證。由于這種模型的線性過程太過理想化，已不適合現(xiàn)代的軟件開發(fā)模式。14[單選題]以太網(wǎng)的最小幀長為（）字節(jié)，這個幀長是指(請作答此空)的長度。A.源地址到校驗和B.目的地址到校驗和C.前導(dǎo)字段到校驗和D.數(shù)據(jù)字段正確答案：B參考解析：幀由8個字段組成，每個字段有一定含義和用途。每個字段長度不等，下面分別加以簡述。前導(dǎo)字段:形為010...1010，長度為7個字節(jié)。幀起始符字段：固定格式為10101011，長度為1個字節(jié)。目的地址、源地址字段:可以是6個字節(jié)。最高位為0，代表普通地址；最高位為1，代表組地址；全1的目標(biāo)地址是廣播地址。類型字段：標(biāo)識上一層使用什么協(xié)議，以便把收到的MAC幀數(shù)據(jù)上交給上一層協(xié)議，也可以表示長度。類型字段是DIX以太網(wǎng)幀的說法，而IEEE802.3幀中的該字段被稱為長度字段。由于該字段有兩個字節(jié)，可以表示0~65535，因此該字段可以賦予多個含義，0~1500可以表示長度值，1536~65535(0x0600~0xFFFF)被用于描述類型值。考試中，該字段常標(biāo)識為長度字段。數(shù)據(jù)字段:上一層的協(xié)議數(shù)據(jù)，長度為0~1500字節(jié)。填充字段:確保最小幀長為64個字節(jié)，長度為0~46字節(jié)。校驗和字段:32位的循環(huán)冗余碼，檢驗算法見本書的CRC部分。注意:以太網(wǎng)的最小幀長為64字節(jié)，這個幀長是指從目的地址到校驗和的長度。15[單選題]綜合布線系統(tǒng)中，()是連接用戶終端設(shè)備到信息插座之間的子系統(tǒng)，(請作答此空)是用來連接管理間和設(shè)備間的子系統(tǒng)。A.水平子系統(tǒng)B.干線子系統(tǒng)C.管理子系統(tǒng)D.設(shè)備間子系統(tǒng)正確答案：B參考解析：綜合布線系統(tǒng)通常由工作區(qū)子系統(tǒng)、水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群主干子系統(tǒng)6個部分組成。(1)工作區(qū)子系統(tǒng):是連接用戶終端設(shè)備到信息插座之間的子系統(tǒng)，簡單地說就是指電腦和墻上網(wǎng)線插口之間的部分(2)水平子系統(tǒng):是連接工作區(qū)與主干的子系統(tǒng)，簡單來說就是指從樓層弱電井里的配線架到每個房間的墻上網(wǎng)線插口之間的部分，由于其布線是在天花板上，與樓層平行，所以叫水平子系統(tǒng)。

(3)管理子系統(tǒng):就是對布線電纜進(jìn)行端接及配置管理的部分。

(4)干線子系統(tǒng):是用來連接管理間和設(shè)備間的子系統(tǒng)。簡單來說就是將接入層交換機(jī)連接到匯聚層或核心層交換機(jī)的網(wǎng)絡(luò)線纜，因為其往往在大樓的弱電井里面垂直上下，因此稱為垂直子系統(tǒng)。(5)設(shè)備間子系統(tǒng):是安裝在設(shè)備間內(nèi)的子系統(tǒng)，或者說是大樓中集中安裝設(shè)備的場所。(6)建筑群主干子系統(tǒng):是用來連接園區(qū)內(nèi)不同樓群之間的子系統(tǒng)，因為這一部分在戶外，也稱為戶外子系統(tǒng)。通常包括地下管道、直埋溝、架空線三種方式。16[單選題]在網(wǎng)絡(luò)生命周期，()階段的目的是進(jìn)行網(wǎng)絡(luò)需求分析，(請作答此空)階段的目的是進(jìn)行網(wǎng)絡(luò)設(shè)備安裝、調(diào)試及網(wǎng)絡(luò)運(yùn)行時的維護(hù)工作。A.需求規(guī)范階段B.通信規(guī)范階段C.物理網(wǎng)絡(luò)設(shè)計D.實施階段正確答案：D參考解析：網(wǎng)絡(luò)生命周期就是網(wǎng)絡(luò)系統(tǒng)從思考、調(diào)查、分析、建設(shè)到最后淘汰的總過程。常見的網(wǎng)絡(luò)生命周期是五階段周期，該模型分為5個階段:需求規(guī)范、通信規(guī)范、邏輯網(wǎng)絡(luò)設(shè)計、物理網(wǎng)絡(luò)設(shè)計、實施階段。(1)需求規(guī)范階段的任務(wù)就是進(jìn)行網(wǎng)絡(luò)需求分析。(2)通信規(guī)范階段的任務(wù)就是進(jìn)行網(wǎng)絡(luò)體系分析。(3)邏輯網(wǎng)絡(luò)設(shè)計階段的任務(wù)就是確定邏輯的網(wǎng)絡(luò)結(jié)構(gòu)。(4)物理網(wǎng)絡(luò)設(shè)計階段的任務(wù)就是確定物理的網(wǎng)絡(luò)結(jié)構(gòu)。(5)實施階段的任務(wù)就是進(jìn)網(wǎng)絡(luò)設(shè)備安裝、調(diào)試及網(wǎng)絡(luò)運(yùn)行時的維護(hù)工作。17[單選題]在網(wǎng)絡(luò)生命周期，(請作答此空)階段的目的是進(jìn)行網(wǎng)絡(luò)需求分析，()階段的目的是進(jìn)行網(wǎng)絡(luò)設(shè)備安裝、調(diào)試及網(wǎng)絡(luò)運(yùn)行時的維護(hù)工作。A.需求規(guī)范階段B.通信規(guī)范階段C.物理網(wǎng)絡(luò)設(shè)計D.實施階段正確答案：A參考解析：網(wǎng)絡(luò)生命周期就是網(wǎng)絡(luò)系統(tǒng)從思考、調(diào)查、分析、建設(shè)到最后淘汰的總過程。常見的網(wǎng)絡(luò)生命周期是五階段周期，該模型分為5個階段:需求規(guī)范、通信規(guī)范、邏輯網(wǎng)絡(luò)設(shè)計、物理網(wǎng)絡(luò)設(shè)計、實施階段。(1)需求規(guī)范階段的任務(wù)就是進(jìn)行網(wǎng)絡(luò)需求分析。(2)通信規(guī)范階段的任務(wù)就是進(jìn)行網(wǎng)絡(luò)體系分析。(3)邏輯網(wǎng)絡(luò)設(shè)計階段的任務(wù)就是確定邏輯的網(wǎng)絡(luò)結(jié)構(gòu)。(4)物理網(wǎng)絡(luò)設(shè)計階段的任務(wù)就是確定物理的網(wǎng)絡(luò)結(jié)構(gòu)。(5)實施階段的任務(wù)就是進(jìn)網(wǎng)絡(luò)設(shè)備安裝、調(diào)試及網(wǎng)絡(luò)運(yùn)行時的維護(hù)工作。18[單選題]綜合布線系統(tǒng)中，(請作答此空)是連接用戶終端設(shè)備到信息插座之間的子系統(tǒng)。A.工作區(qū)子系統(tǒng)B.干線子系統(tǒng)C.管理子系統(tǒng)D.設(shè)備間子系統(tǒng)正確答案：A參考解析：綜合布線系統(tǒng)通常由工作區(qū)子系統(tǒng)、水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群主干子系統(tǒng)6個部分組成。(1)工作區(qū)子系統(tǒng)：是連接用戶終端設(shè)備到信息插座之間的子系統(tǒng)，簡單地說就是指電腦和墻上網(wǎng)線插口之間的部分。(2)水平子系統(tǒng)：是連接工作區(qū)與主干的子系統(tǒng)，簡單來說就是指從樓層弱電井里的配線架到每個房間的墻上網(wǎng)線插口之間的部分，由于其布線是在天花板上，與樓層平行，所以叫水平子系統(tǒng)。(3)管理子系統(tǒng)：就是對布線電纜進(jìn)行端接及配置管理的部分。(4)干線子系統(tǒng)：是用來連接管理間和設(shè)備間的子系統(tǒng)。簡單來說就是將接入層交換機(jī)連接到匯聚層或核心層交換機(jī)的網(wǎng)絡(luò)線纜，因為其往往在大樓的弱電井里面垂直上下，因此稱為垂直子系統(tǒng)。(5)設(shè)備間子系統(tǒng)：是安裝在設(shè)備間內(nèi)的子系統(tǒng)，或者說是大樓中集中安裝設(shè)備的場所。(6)建筑群主干子系統(tǒng)：是用來連接園區(qū)內(nèi)不同樓群之間的子系統(tǒng)，因為這一部分在戶外，也稱為戶外子系統(tǒng)。通常包括地下管道、直埋溝、架空線三種方式。第十三章案例分析1[簡答題]某校園無線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖13．1所示。

該網(wǎng)絡(luò)中無線網(wǎng)絡(luò)的部分需求如下：

?1．學(xué)校操場要求部署AP，該操場區(qū)域不能提供外接電源。

?2．學(xué)校圖書館報告廳要求高帶寬、多接入點(diǎn)。

?3．無線網(wǎng)絡(luò)接入要求有必要的安全性。

【問題1】

根據(jù)學(xué)校無線網(wǎng)絡(luò)的需求和拓?fù)鋱D可以判斷，連接學(xué)校操場無線AP的是(1)交換機(jī)，它可以通過交換機(jī)的(2)口為AP提供直流電。

【問題2】

?1．根據(jù)需求在圖書館報告廳安裝無線AP，如果采用符合IEEE802．11b規(guī)范的AP，理論上可以提供(3)Mb／s的傳輸速率；如果采用符合IEEE802．119規(guī)范的AP，理論上可以提供最高(4)Mb／s的傳輸速率。如果采用符合(5)規(guī)范的AP，由于將MIMO技術(shù)和(6)調(diào)制技術(shù)結(jié)合在一起，理論上最高可以提供600Mbps的傳輸速率。

(5)備選答案

A．IEEE802．11a

B．IEEE802．11e

C．IEEE802．11i

D．IEEE802．1ln

(6)備選答案

A．BFSK

B．OAM

C．OFDM

D．MFSK

?2．圖書館報告廳需要部署l0臺無線AP，在配置過程中發(fā)現(xiàn)信號相互干擾嚴(yán)重，這時應(yīng)調(diào)整無線AP的(7)設(shè)置，用戶在該報告廳內(nèi)應(yīng)選擇(8)，接入不同的無線AP。(7)～(8)備選答案

A．頻道

B．功率

C．加密模式

D．操作模式

E．SSID

【問題3】

若在學(xué)校內(nèi)一個專項實驗室配置無線AP，為了保證只允許實驗室的PC機(jī)接入該無線AP，可以在該無線AP上設(shè)置不廣播(9)，對客戶端的(10)地址進(jìn)行過濾，同時為保證安全性，應(yīng)采用加密措施。無線網(wǎng)絡(luò)加密主要有三種方式：(11)、WPA／WPA2、WPA-PSK／WPA2-PSK。在這三種模式中，安全性最好的是(12)，其加密過程采用了TKIP和(13)算法。

(13)備選答案

A．AES

B．DES

C．IDEA

D．RSA參考解析：【問題1】

根據(jù)學(xué)校無線網(wǎng)絡(luò)的需求在學(xué)校操場要求部署AP，該操場區(qū)域不能提供外接電源，

由此可以判斷連接學(xué)校操場無線AP的是POE(PoweroverEthemet)交換機(jī)，是一種可

以在以太網(wǎng)中通過雙絞線來為連接設(shè)備提供電源的技術(shù)。它可以通過交換機(jī)的以太口為

AP提供直流電。

【問題2】

IEEE802．11先后提出了以下多個標(biāo)準(zhǔn)，最早的802．11標(biāo)準(zhǔn)只能夠達(dá)到1～2Mbps

的速度，在制訂更高速度的標(biāo)準(zhǔn)時，就產(chǎn)生了802．11a和802．11b兩個分支，后來又推出了802．11g的新標(biāo)準(zhǔn)，如表13．2所示。

圖書館報告廳需要部署10臺無線AP，在配置過程中發(fā)現(xiàn)信號相互干擾嚴(yán)重，這時應(yīng)調(diào)整無線AP的頻道設(shè)置，用戶在該報告廳內(nèi)應(yīng)選擇SSID，接入不同的無線AP。其中SSID為用來標(biāo)識不同的無線網(wǎng)絡(luò)信號。如圖13-15所示：

【問題3】

若在學(xué)校內(nèi)一個專項實驗室配置無線AP，為了保證只允許實驗室的PC機(jī)接入該無線AP，可以在該無線AP上設(shè)置不廣播SSID。通常無線AP默認(rèn)開啟SSID廣播，在其覆蓋范圍內(nèi)，所有具備無線網(wǎng)卡的計算機(jī)都可以查看并連接到該網(wǎng)絡(luò)，如將其SSID廣播禁用，則只有知道正確SSID的計算機(jī)才能連接至該無線網(wǎng)絡(luò)，這樣可達(dá)到安全限制的目的。同時對客戶端的MAC地址進(jìn)行過濾，如圖13—16所示：

單擊“添加新條目”：如圖13—17：

無線網(wǎng)絡(luò)加密主要有三種方式：WEP、WPA／WPA2、WPA-PSK／WPA2-PSK。在這三種模式中，安全性最好的是WPA-PSK／WPA2-PSK，其加密過程采用了TKIP和AES算法。如圖13—18所示：

其中WEP加密是無線加密中最早使用的加密技術(shù)，也是目前最常用的，大部分網(wǎng)卡都支持該種加密。但是后來發(fā)現(xiàn)WEP是很不安全的，802．11組織開始著手制定新的安全標(biāo)準(zhǔn)，也就是后來的802．11i協(xié)議。IEEE802．11i規(guī)定使用802．1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP(TemporalKeyIntegrityProtocol)、CCMP(Counter-Mode／CBC—MACProtocol)和WRAP(WirelessRobustAuthenticatedProtocol)三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級固件和驅(qū)動程序的方法達(dá)到提高WLAN安全的目的。CCMP機(jī)制基于AES加密算法和CCM(Counter-Mode／CBC-MAC)認(rèn)證方式，使得WLAN的安全程度大大提高，是實現(xiàn)RSN的強(qiáng)制性要求。由于AES對硬件要求比較高，因此，CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級實現(xiàn)。WRAP機(jī)制基于AES加密算法和OCB(OffsetCodebook)，是一種可選的加密機(jī)制。

試題一參考答案

【問題1】

(1)PoE或者802．3af

(2)以太或者Ethernet

【問題2】

(3)11

(4)54

(5)D

(6)C

(7)A

(8)E

【問題3】

(9)SSID

(10)MAC

(11)WEP

(12)WPA-PSK／WPA2一PSK

(13)A2[簡答題]網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖13—2所示。

【問題1】

網(wǎng)絡(luò)A的WWW服務(wù)器上建立了一個Web站點(diǎn)，對應(yīng)的域名是www．a(chǎn)bc．edu。DNS服務(wù)器1上安裝WindowsServer2003操作系統(tǒng)并啟用DNS服務(wù)。為了解析WWW服務(wù)器的域名，在圖13—3所示的對話框中，新建一個區(qū)域的名稱是(1)；在圖13-4所示的對話框中，添加的對應(yīng)的主機(jī)“名稱”為(2)。

【問題2】

在DNS系統(tǒng)中反向查詢(ReverseQuery)的功能是(3)。為了實現(xiàn)網(wǎng)絡(luò)A中WWW服務(wù)器的反向查詢，在圖13-5和圖13-6中進(jìn)行配置，其中網(wǎng)絡(luò)ID應(yīng)填寫為(4)。主機(jī)名應(yīng)填寫為(5)。

【問題3】

DNS服務(wù)器1負(fù)責(zé)本網(wǎng)絡(luò)區(qū)域的域名解析，對于非本網(wǎng)絡(luò)的域名，可以通過設(shè)置“轉(zhuǎn)發(fā)器”，將自己無法解析的名稱轉(zhuǎn)到網(wǎng)絡(luò)C中的DNS服務(wù)器2進(jìn)行解析。設(shè)置步驟：首先在“DNS管理器”中選中DNS服務(wù)器，單擊鼠標(biāo)右鍵，選擇“屬性”對話框中的“轉(zhuǎn)發(fā)器”選項卡，在彈出的如圖13-7所示的對話框中應(yīng)如何配置?

【問題4】

網(wǎng)絡(luò)C的WindowsServer2003Server服務(wù)器上配置了DNS服務(wù)，在該服務(wù)器上兩次使用nslookupwww．sohu．com命令得到的結(jié)果如圖13-8所示，由結(jié)果可知，該DNS服務(wù)器(6)。

(6)備選答案：

A．啟用了循環(huán)功能

B．停用了循環(huán)功能

C．停用了遞歸功能

D．啟用了遞歸功能

【問題5】

在網(wǎng)絡(luò)B中，除PC5計算機(jī)以外，其他的計算機(jī)都能訪問網(wǎng)絡(luò)A的www服務(wù)器，而PC5計算機(jī)與網(wǎng)絡(luò)8內(nèi)部的其他PC機(jī)器都是連通的。分別在PC5和PC6上執(zhí)行命令ipconfig，結(jié)果信息如圖13-9和圖13-10所示：

請問PC5的故障原因是什么?如何解決?參考解析：【問題1】

本題考查的為Windows2003平臺下DNS服務(wù)器的配置，Windows2003中新建區(qū)域，是為了讓域名能和指定的IP地址建立起對應(yīng)關(guān)系。這個時候應(yīng)該填寫其根域名，因此(1)應(yīng)該填寫abc．edu。根據(jù)問題1的要求，要能夠正確解析本地Web站點(diǎn)的域名，因此圖13-4中添加的主機(jī)的名稱即空(2)應(yīng)該為www。

【問題2】

DNS的反向查詢就是用戶用IP地址查詢對應(yīng)的域名。在圖13-5的網(wǎng)絡(luò)ID中，要以DNS服務(wù)器所使用的IP地址前三個部分來設(shè)置反向搜索區(qū)域。圖13-2中，網(wǎng)絡(luò)A中的DNS服務(wù)器的IP地址是“210．43．16．4”，則取用前三個部分就是“210．43．16”。因此，(4)填入210．43．16

而主機(jī)名填寫相應(yīng)的域名即可，即www．a(chǎn)bc．edu。

【問題3】

DNS服務(wù)器1負(fù)責(zé)本網(wǎng)絡(luò)區(qū)域的域名解析，對于非本網(wǎng)絡(luò)的域名，可以通過設(shè)置“轉(zhuǎn)發(fā)器”，將自己無法解析的名稱轉(zhuǎn)到網(wǎng)絡(luò)C中的DNS服務(wù)器2進(jìn)行解析。設(shè)置步驟：首先在“DNS管理器”中選中DNS服務(wù)器，單擊鼠標(biāo)右鍵，選擇“屬性”對話框中的“轉(zhuǎn)發(fā)器”選項卡，在選項卡中選中“啟用轉(zhuǎn)發(fā)器”，在IP地址欄輸入“51．202．22．18”，單擊“添加”按鈕，然后單擊“確定”按鈕關(guān)閉對話框。

【問題4】

如圖13-8所示，如對應(yīng)于多個IP地址時DNS每次解析的順序都不同，則表示其啟用了循環(huán)功能。

【問題5】

由網(wǎng)絡(luò)拓?fù)鋱D可知，PC5和PC6屬于同一網(wǎng)段，導(dǎo)致PC5不能正確訪問WWW服務(wù)器的原因在于的默認(rèn)網(wǎng)關(guān)配置錯誤，導(dǎo)致數(shù)據(jù)包到達(dá)不了正確的網(wǎng)關(guān)，將默認(rèn)網(wǎng)關(guān)IP地址修改為正確網(wǎng)關(guān)地址“192．168．0．3”即可。

試題二參考答案

【問題1】

(1)abc．edu

(2)www

【問題2】

(3)用IP地址查詢對應(yīng)的域名

(4)210．43．16

(5)www．a(chǎn)bc．edu

【問題3】

選中“啟用轉(zhuǎn)發(fā)器”，在IP地址欄輸入“51．202．22．18”，單擊“添加”按鈕，然后單擊“確定”按鈕關(guān)閉對話框。

【問題4】

(6)A或啟用了循環(huán)功能

【問題5】

PC5的默認(rèn)網(wǎng)關(guān)配置錯誤，將默認(rèn)網(wǎng)關(guān)IP地址修改為“192．168．0．3”。3[簡答題]某公司總部和分支機(jī)構(gòu)的網(wǎng)絡(luò)配置如圖13．11所示。在路由器R1和R2上配置IPSec安全策略，實現(xiàn)分支機(jī)構(gòu)和總部的安全通信。

【問題1】

圖13—12中：(a)、(b)、(c)、(d)為不同類型IPSec數(shù)據(jù)包的示意圖，其中(1)和(2)工作在隧道模式：(3)和(4)支持報文加密。

【問題2】

下面的命令在路由器Rl中建立IKE策略，請補(bǔ)充完成命令或說明命令的含義。

【問題3】

R2與R1之間采用預(yù)共享密鑰“12345678”建立IPSec安全關(guān)聯(lián)，請完成下面配置命令。

【問題4】

完成以下ACL配置，實現(xiàn)總部主機(jī)10．0．1．3和分支機(jī)構(gòu)主機(jī)10．0．2．3的通信。

參考解析：【問題1】

IPSec有隧道和傳送兩種工作方式。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計算ESP頭，且被加密，ESP頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳送方式中，只是傳輸層(如TCP、UDP、ICMP)數(shù)據(jù)被用來計算ESP頭，ESP頭和被加密的傳輸層數(shù)據(jù)被放置在原IP包頭后面。當(dāng)IPSec通信的一端為安全網(wǎng)關(guān)時，必須采用隧道方式。IPSec使用兩種協(xié)議來提供通信安全——身份驗證報頭(AH)和封裝式安全措施負(fù)載(ESP)。身份驗證報頭(AH)可對整個數(shù)據(jù)包(IP報頭與數(shù)據(jù)包中的數(shù)據(jù)負(fù)載)提供身份驗證、完整性與抗重播保護(hù)。但是它不提供保密性，即它不對數(shù)據(jù)進(jìn)行加密。數(shù)據(jù)可以讀取，但是禁止修改。封裝式安全措施負(fù)載(ESP)不僅為IP負(fù)載提供身份驗證、完整性和抗重播保護(hù)，還提供機(jī)密性。傳輸模式中的ESP不對整個數(shù)據(jù)包進(jìn)行簽名。只對IP負(fù)載(而不對IP報頭)進(jìn)行保護(hù)。ESP可以獨(dú)立使用，也可與AH組合使用。

【問題2】

VPN的基本配置：

配置信息描述：

一端服務(wù)器的網(wǎng)絡(luò)子網(wǎng)為10．0．1．0／24，路由器為172．30．1．2；另一端服務(wù)器為10．0．2．0／24，路由器為172．30．2．2。

主要步驟：

?1．確定一個預(yù)先共享的密鑰(保密密碼)(以下例子保密密碼假設(shè)為testpwd)。

?2．為SA協(xié)商過程配置IKE。

?3．配置IPSec。

(1)配置IKE

CsaiR(config)#cryptoisakmppolicy1

／／policy1表示策略1，假如想多配幾VPN，可以寫成policy2、policy3…

CsaiR(config-isakmp)#group1

／／group命令有兩個參數(shù)值：1和2。參數(shù)值1表示密鑰使用768位密鑰，參數(shù)值2表示密鑰使用1024位密鑰，顯然后一種密鑰安全性高，但消耗更多的CPU時間。在通信比較少時，最好使用group1長度的密鑰。

CsaiR(config-isakmp)#authenticationpre-share

／／告訴路由器要使用預(yù)先共享的密碼。

CsaiR(config-isakmp)#lifetime3600

／／對生成新SA的周期進(jìn)行調(diào)整。這個值以秒為單位，默認(rèn)值為86400(24小時)。值得注意的是兩端的路由器都要設(shè)置相同的SA周期，否則VPN在正常初始化之后，將會在較短的一個SA周期到達(dá)中斷。CsaiR(config)#cryptoisakmpkeytestaddress200．20．25．1／／返回到全局設(shè)置模式確定要使用的預(yù)先共享密鑰和指歸VPN另一端路由器IP地址，即目的路由器IP地址。相應(yīng)地在另一端路由器配置也和以上命令類似，只不過把IP地址改成100．10．15．1。

(2)配置IPSec

CsaiR(config)#access-list130permitip192．168．1．0

0．0．0．255172．16．10．00．0．0．255／／在這里使用的訪問列表號不能與任何過濾訪問列表相同，應(yīng)該使用不同的訪問列表號來標(biāo)識VPN規(guī)則。

CsaiR(config)#cryptoipsectransform-setvpn1ah-md5-hmacesp—desesp-md5-hmac／／這里在兩端路由器唯一不同的參數(shù)是vpn1，這是為這種選項組合所定義的名稱。在兩端的路由器上，這個名稱可以相同，也可以不同。以上命令是定義所使用的IPSec參數(shù)。為了加強(qiáng)安全性，要啟動驗證報頭。由于兩個網(wǎng)絡(luò)都使用私有地址空間，需要通過隧道傳輸數(shù)據(jù)，因此還要使用安全封裝協(xié)議。最后，還要定義DES作為保密密碼鑰加密算法。CsaiR(config)#cryptomapshortsec60ipsec-isakmp

／／Map優(yōu)先級，取值范圍1～65535，值越小，優(yōu)先級越高。參數(shù)shortsec是我們給這個配置定義的名稱，稍后可以將它與路由器的外部接口建立關(guān)聯(lián)。CsaiR(config-crypt0-map)#setpeer200．20．25．1／／這是標(biāo)識對方路由器的合法IP地址。在遠(yuǎn)程路由器上也要輸入類似命令，只是對方路由器地址應(yīng)該是100．10．15．1。

CsaiR(config-crypt0-map)#settransform-setvpn1

CsaiR(config-crypt0-map)#matchaddress130

／／這兩個命令分別標(biāo)識用于VPN連接的傳輸設(shè)置和訪問列表。

CsaiR(config)#interfaces0

CsaiR(config-if)#cryptomapshortsec／／將剛才定義的密碼圖應(yīng)用到路由器的外部接口。最后一步保存運(yùn)行配置，最后測試這個VPN的連接，并且確保通信是按照預(yù)期規(guī)劃進(jìn)行的。

【問題3】

詳見問題2。

【問題4】

詳見問題2。

試題三參考答案

【問題1】

(1)(2)c、d(順序可交換)

(3)(4)b、d(順序可交換)

【問題2】

(5)加密算法為DES

(6)hashmd5

(7)認(rèn)證采用預(yù)共享密鑰

(8)86400

【問題3】

(9)172．30．2．2

(10)172．30．1．2

【問題4】

(11)10．0．1．3

(12)10．0．2．3

(13)10．0．2．34[簡答題]閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。[說明]某公司在WindowsServer2003中安裝IIS6.0來配置Web服務(wù)器，域名為。

[問題1]以下()不是IIS包含的服務(wù)。A.WebB.FTPC.SMTPD.DNS[問題2]為了禁止IP地址為39~54的主機(jī)訪問該網(wǎng)站，在圖26-4所示的“IP地址和域名限制”對話框中點(diǎn)擊“添加”按鈕，增加兩條記錄，如表26-1所示。填寫表中的(2)~(4)處內(nèi)容

[問題3]安全超文本傳輸協(xié)議HTTPS是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。它使用(5)協(xié)議來對信息內(nèi)容進(jìn)行加密，使用TCP的(6)號端口發(fā)送和接收報文。如果用戶需要通過安全通道訪問該網(wǎng)站，應(yīng)該在E的地址欄中輸入(7)。

[問題4]在具體訪問網(wǎng)站的時候，一般用Host表、網(wǎng)絡(luò)信息服務(wù)系統(tǒng)(NIS)和域名服務(wù)(DNS)等多種技術(shù)來實現(xiàn)主機(jī)和IP地址之間的轉(zhuǎn)換。Host表是簡單的文本文件，而DNS是應(yīng)用最廣泛的主機(jī)名和IP地址的轉(zhuǎn)換機(jī)制，它使用(8)來處理網(wǎng)絡(luò)中成千上萬個主機(jī)和IP地址的轉(zhuǎn)換。在Linux中，DNS是由BIND軟件來實現(xiàn)的。BIND是一個(9)系統(tǒng)，其中的resolvei程序負(fù)責(zé)產(chǎn)生域名信息的查詢，一個稱為(10)的守護(hù)進(jìn)程，負(fù)責(zé)回答查詢，這個過程稱為域名解析。(8)A.集中式數(shù)據(jù)庫B.分布式數(shù)據(jù)庫(9)A.C/SB.B/S(10)A.namedB.bindC.nameserver參考解析：[問題1]Web服務(wù)是Internet/Intranet中最為常見的服務(wù)，在WindowsServer2003中集成的IIS包含了Web服器、FTP服務(wù)器及虛擬的SMTP服務(wù)器等。

[問題2]為了禁止IP地址為39~54的主機(jī)訪問該網(wǎng)站，但是表1只允許兩條記錄，所以我們40-54作為一組進(jìn)行路由匯聚,匯聚的結(jié)果就是40/28，而把39單獨(dú)添加一條記錄即可。

[問題3]安全超文本傳輸協(xié)議(HypertextTransferProtocoloverSecureSocketLayer,HTTPS)，是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。它使用SSL來對信息內(nèi)容進(jìn)行加密，使用TCP的443端口發(fā)送和接收報文。其使用語法與HTTP類似，使用"HTTPS://+URL"形式。

[問題4]在訪問網(wǎng)站的時候，一般用Host表、網(wǎng)絡(luò)信息服務(wù)系統(tǒng)(NIS)和域名服務(wù)(DNS)等多種技術(shù)來實現(xiàn)主機(jī)和IP地址之間的轉(zhuǎn)換。Host表是簡單的文本文件，而DNS是應(yīng)用最廣泛的主機(jī)名和IP地址的轉(zhuǎn)換機(jī)制，它使用分布式數(shù)據(jù)庫來處理網(wǎng)絡(luò)中成千上萬個主機(jī)和IP地址的轉(zhuǎn)換。在Linux中，DNS是由BIND軟件來實現(xiàn)的。BIND是一個C/S系統(tǒng)，其中的resolvei程序負(fù)責(zé)產(chǎn)生域名信息的查詢，一個稱為named的守護(hù)進(jìn)程，負(fù)責(zé)回答查詢，這個過程稱為域名解析。

答案:[問題1](1)D[問題2](2)40(3)40(4)39[問題3](5)SSL(6)443(7)[問題4](8)B(9)A(10)A5[簡答題]閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)，[說明]在大型網(wǎng)絡(luò)中，通常采用DHCP完成基本網(wǎng)絡(luò)配置會更有效率。下面是一個dhcp.conf文件的實例：default-lease-time1200;max-lease-time9200;optionsubnet-mask;optionbroadcest-address55;optionrouter54;optiondomain-name-serves;optiondomain-name“”subnetnetmask{range000;}hostfixed{optionhost-name“”;hardwareEthernet00:19:21:D3:3B:05;fixed-address7;}[問題1]在Linux系統(tǒng)中，DHCP服務(wù)默認(rèn)的配置文件為(1)。

[問題2]管理員可以在命令行通過(2)命令啟動DHCP服務(wù);通過(3)命令停止DHCP服務(wù)。[問題3]該DHCP服務(wù)器可分配的IP地址有多少個?[問題4]該DHCP服務(wù)器指定的默認(rèn)網(wǎng)關(guān)、域名及指定的DNS服務(wù)器分別是什么?[問題5]hostfixed{optionhost-name";hardwareEthernet00:19:21:D3:3B:05;fixed-address7;}這段實現(xiàn)的功能是什么?參考解析：[問題1]

Linux中關(guān)于DHCP服務(wù)器的配置文件是/etc/dhcpd.conf文件。此配置文件包括兩個部分:全局參數(shù)配置和局部參數(shù)配置。全局參數(shù)配置的內(nèi)容對整個DHCP服務(wù)器起作用，如組織的域名、DNS服務(wù)器的地址等局部參數(shù)配置只針對相應(yīng)的子網(wǎng)段或主機(jī)等局部對象起作用。所有配置的格式通常都包括三部分：parameters、declarations、option。[問題2]

啟動和停止DHCP服務(wù)的命令為？service？Dhcpd？Start和service？Dhcpd？Stop。

[問題3]range000;說明可分配的IP地址是181個(包括自動分配和固定分配)[問題4]？Optionrouter54;optiondomian-name-servesoptiondomain-name“”

說明默認(rèn)網(wǎng)關(guān)是54，域名是，而域名服務(wù)器地址是。[問題5]主要實現(xiàn)MAC地址和IP地址的綁定，為00:19:21：D3:3B：05此MAC的主機(jī)分配固定的IP地址7。答案：

[問題1](1)/etc/dhcpd.conf

[問題2](2)servicedhcpdstart

(3)servicedhcpdstop

[問題3]181個

[問題4]

54、、

[問題5]為00:19:21:D3:3B:05此MAC的主機(jī)分配固定的IP地址76[簡答題]閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。[說明]某企業(yè)組網(wǎng)方案如圖1-1所示，網(wǎng)絡(luò)接口規(guī)劃如表1-1所示。公司內(nèi)部員工和外部訪客均可通過無線網(wǎng)絡(luò)訪問企業(yè)網(wǎng)絡(luò)，內(nèi)部員工無線網(wǎng)絡(luò)的SSID為Employee，訪客無線網(wǎng)絡(luò)的SSID為Visitor.

[問題1]防火墻上配置NAT功能，用于公私網(wǎng)地址轉(zhuǎn)換。同時配置安全策略，將內(nèi)網(wǎng)終端用戶所在區(qū)域劃分為Trust區(qū)域，外網(wǎng)劃分為Untrust區(qū)域，保護(hù)企業(yè)內(nèi)網(wǎng)免受外部網(wǎng)絡(luò)攻擊。補(bǔ)充防火墻數(shù)據(jù)規(guī)劃表1-2內(nèi)容中的空缺項。

注意:local表示防火墻本地區(qū)域；SRCIP表示源IP[問題2]在點(diǎn)到點(diǎn)的環(huán)境下，配置IPSecVPN隧道需要明確()和()[問題3]在S