网络工程师案例分析

13.2强化练习

以下列举了历年网络工程师考试中出题频率较高的试题类型，分别是涉及到网络系统分析与设计类、应用服务

器、网络设备配置（路由器、交换机）、网络安全等考点。

试题一（共15分）阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

【说明】某校园无线网络拓扑结构如图13-1所示。

图13-1

该网络中无线网络的部分需求如下：1.学校操场要求部署AP,该操场区域不能提供外接电源。

2.学校图书饵报告厅要求高带宽、多接入点。3.无线网络接入要求有必要的安全性。

【问题1】（4分）

根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线AP的是（1）交换机，它可以通过交换机的（2）

口为AP提供直流电。

【问题2】（6分）

1.根据需求在图书馆报告厅安装无线A?如果采用符合IEEE802.11b规范的AP,理论上可以提供（3）Mb/s的传

输速率；如果采用符合IEEE802.11g规范的AP,理论上可以提供最高（4）Mb/s的传输速率。如果采用符合（5）规

范的AP,由于将MIM。技术和（6）调制技术结合在一起，理论上最高可以提供600Mbps的传输速率。

（5）备选答案A.IEEE802.11aB.IEEE802.11eC.IEEE802.11!D.IEEE802.11n

（6）备选答案A.BFSKB.QAMC.OFDMD.MFSK

2.图书馆报告厅需要部署10台无线AP,在配置过程中发现信号相互干扰严重，这时应调整无线AP的（7）设置,

用户在该报告厅内应选择（8）,接入不同的无线AP.

（7）~（8）备选答案A濒道B.功率C.加密模式D.操作模式E.SSID

【问题3】（5分）

若在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设置

不广播（9）,对客户端的（10）地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有三种方

式：（11）、WPA/WPA2,WPA-PSK/WPA2-PSK.在这三种模式中，安全性最好的是（12）,其加密过程采用了TKIP和（13）

算法。（13）备选答案A.AESB.DESC.IDEAD.RSA

试题二（共15分）

阅读下列说明，回答问题1至问题5,将解答填入答题纸对应的解答栏内。

【说明】

网络拓扑结构如图13-2所示。

图13-2

【问题1】（4分）

网络A的WWW服务器上建立了一个Web站点，对应的域名是<>.DNS服务器

1上安装WindowsServer2003操作系统并启用DNS服务。为了解析WWW服务器的域名，在图13-3所示的对话框

中，新建一个区域的名称是（1）;在图13-4所示的对话框中，添加的对应的主机"名称"为（2）。

区域名春

的名次，什么？

.这可能是名堀吸单

滕r矗曲牒鬻船舜哪髀

蒲关区域名M瞬阳值■，谓单击“超助”.

|<上一涉0"|里浦|一助|

图13-3

图13-4

【问题2】（3分）

在DNS系统中反向查询（ReverseQuery）的功能是（3）。为了实现网络A中WWW服务器的反向查询，在图

13-5和13-6中进行配置，其中网络ID应填写为（4）。主机名应填写为（5）。

图13-5

图13-6

【问题3】（3分）

DNS服务器1负责本网络区域的域名解析，对于非本网络的域名，可以通过设置"转发器"，将自己无法解析的名

称转到网络C中的DNS服务器2进行解析。设置步骤：首先在"DNS管理器"中选中DNS服务器，单击鼠标右键，选

择"属性"对话框中的"转发器"选项卡，在弹出的如图13-7所示的对话框中应如何配置

图13-7

【问题4］（2分）

网络C的WindowsServer2003Server服务器上配置了DNS服务，在该服务器上两次使用nslookup

命令得到的结果如图所示，由结果可知，该服务器

13-8DNS(6)o

I'^DocumentsandSettings\Administnuor>nslookupwww.sohHeom

Server

Address:5120222.18

Non-authorititivcanswer

Name:pgcnbjtOI.a.sohu.co<n

Addresses:222.35250J37.222.35250.138,39,222.35,250.132

33,222.355.250.135,36

Aliases:,d7a$ohacora

C:\DocumcntsandScftingsl^dministrator>miookup

Server

Address:5UO2.22.I8

Non-authohutiveanswer:

Name:

Addresses:222.35250.135,22235.250.136,222.35250.137,222.35.250,138

2232.222355250.134

Aliases:,

图13-8

(6)的备选答案：A.启用了循环功能B.停用了循环功能C.停用了递归功能D.启用了递归功能

【问题5】(3分)

在网络B中，除PC5计算机以外，其它的计算机都能访问网络A的WWW服务器，而PC5计算机与网络B内

部的其它PC机器都是连通的。分别在PC5和PC6上执行命令ipconfig,结果信息如图13-9和图13-10所示：

Ethernetadapter本地连接：

Connection-specificDNSSuffix・：

!PAddress......................•x00

SubnetMask..........................：255.255255.0

DefaultGateway................：192.168.13

图13-9

Ethernetadapter本地连接，

Connection-specificDNSSuffix・:

IPAddress..................t47

SubnetMask.............................

DefaultGateway...................

图13-10

请问PC5的故障原因是什么如何解决

试题三(共15分)

阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏内。

【说明】

某公司总部和分支机构的网络配置如图13-11所示。在路由器R1和R2上配置IPSec

安全策略，实现分支机构和总部的安全通信。

图13-11

【问题1】(4分)

图13-12中(a)、(b)、(c)、(d)为不同类型IPSec数据包的示意图，其中(1)和(2)工作在隧道模式；(3)

和(4)支持报文加密。

原始TP头AH头数据

原始IP头ESP头数据

新IP头AH头原始IP头数据

新IP头ESP头原始IP头数据ESP尾

图13-12

【问题2】(4分)

下面的命令在路由器R1中建立IKE策略，请补充完成命令或说明命令的含义。

RI(config)#cryptoisakmppolicy110进入ISAKMP配置模式

RI(config-isakmp)#encryptiondes(5)

RI(config-isakmp)#(6)采用MD5散列算法

RI(config-isakmp)ttauthenticationpre-share(7)

RI(config-isakmp)#group1

RI(config-isakmp)ttlifetime(8)安全关联生存期为1天

【问题3】(4分)

R2与R1之间采用预共享密钥"12345678"建立IPSec安全关联，请完成下面配置命令。

RI(config)ttcryptisakmpkey12345678address(9)

R2(config)ttcryptisakmpkey12345678address(10)

【问题4】(3分)

完成以下ACL配置，实现总部主机和分支机构主机的通信。RI(config)#access-list110permit

iphost(11)host(12)R2(config)#access-list110permitiphost(13)host

试题四(共15分)

阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏内。

【说明】

某公司通过PIX防火墙接入Internet,网络拓扑如图13-13所示。

图13-13

在防火墙上利用show命令杳询当前配置信息如下:

PIX#showconfig

nameifethOoutsidesecurityO

nameifethIinsidesecuritylOO

nameifeth2dmzsecurity40

fixupprotocolftp21(1)

fixupprotocolhttp80

ipaddressoutside248

ipaddressinside

ipaddressdmz

global(outside)16

nat(inside)100

routeoutside51（2）

【问题1】（4分）解释（1）、（2）处画线语句的含义。

【问题2］（6分）根据配置信息，填写表13-1.

表13-1

域名称接口名称IP地址IP地址掩码

mstdeedil(3)

outsideeth：2(4)

痴7(5)(6)

【问题3】（2分）

根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是（7）。

【问题4】（3分）

如果需要在dmz域的服务器（IP地址为10.10.0,100）对Internet用户提供Web服务（对外公开IP地址为

3）,请补充完成下列配置命令。

PIX（config）#static（dmz,outside）（8）（9）

PIX（config）#conduitpermittcphost（10）eqwwwany

试题五（共15分）

阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

【说明】在大型网络中，通常采用DHCP完成基本网络配置会更有效率。

【问题1】(1分)

在Linux系统中,DHCP服务默认的配置文件为(1)„

(1)备选答案：

A./etc/dhcpd.confB./etc/dhcpd.configC./etc/dhcp.confD./etc/dhcp.config

【问题2】(共4分)

管理员可以在命令行通过(2)命令启动DHCP服务；通过(3)命令停止DHCP服务。

(2)、(3)备选答案：

A.servicedhcpdstartB.servicedhcpdupC.servicedhcpdstopD.servicedhcpddown

【问题3】(10分)

在Linux系统中配置DHCP服务器，该服务器配置文件的部分内容如下：

subnetnetmask{

optionrouters54;

optionsubnet-mask;

optionbroadcast-address55;

optiondomain-name-servers;

range0000;

default-lease-time21600;

max-lease-time43200;

hostwebserver{

hardwareethernet52:54:AB:34:5B:09;

fixed-address00;

}

)

在主机webserver上运行ifconfig命令时显示如图13-14所示，根据DHCP配置，填写空格中缺少的内容。

cthOLinkcnc«pEthernetHWiddr(4)

metad4r:CS)BcMt：l91l68.L25SNUik：(6)

UPBROADCASTRUNNINGMULTICASTMTU1500Metnc:1

RXpckcts-0CTree**0dropped：0overruns0frameX)

TXpackeu：4errors：。dropped:。ovenuns：。camerO

colli$iom:0(xqvcvekn100

RXbxtesO(OOb)TXbyte168(168.0b)

IntcnupdOBaseaddress^>xl0a4

IoLinkcncapLocalLoopback

inct>ddrMask255.OQQ

UPLOOPBACKRUNNINGMTO16436Mctncl

RXpickets'397errors:。dropped:。<ncnuns:0frame:。

TXpockcts:397crrorsX)dropped0cncrrunsX)earner;。

colliS3om;0uqueuelcn：0

RXbyte26682(26.0Kb)TXbytes26682(260Kb)

图13-14ifconfig命令运行结果

该网段的网关IP地址为(7),域名服务器IP地址为(8)。

试题一分析

问题1解析：

根据学校无线网络的需求在学校操场要求部署AP,该操场区域不能提供外接电源，由此可以判断连接学校操场

无线AP的是POE(PoweroverEthernet)交换机，是一种可以在以太网

</zh-tw/%E4%B9%99%E5%A4%AA%E7%B6%B2%E8%B7%AF>中通过双绞线

<http:〃/zh-tw/%E5%8F%8C%E7%BB%9E%E7%BA%BF>来为连接设备提供电源的技术。它可以通过交换

机的以太口为AP提供直流电。

问题2解析：

IEEE802.il先后提出了以下多个标准，最早的802.11标准只能够达到l~2Mbps的速度，在制订更高速度的标准

时，就产生了802.11a和802.11b两个分支,后来又推出了802.11g的新标准,如表13-2所示。

表13-2无线局域网标准

标准运行都斐数据速率

802.112.4GHz的ISM频段扩频通信技术1Mbps和2Mbps

802.11b2.4GHz的ISM频段CCK技术11Mbps

802.11a5GHzU-NH频段0FDM调制技术54Mbps

802.11g2.4GHz的ISM频段OFDM调制技术54Mbps

MIMO（多入多出）与OFDM

802.Un支持双频段600Mbps

技术

注：ISM是指可用于工业、科学、医疗领域的频段；U-NII是a指用于构建国家信息基础的无限制频段。

图书馆报告厅需要部署10台无线AP,在配置过程中发现信号相互干扰严重，这时应调整无线AP的频道设置,

用户在该报告厅内应选择SSID,接入不同的无线AP.其中SSID为用来标识不同的无线网络信号。如图13-15所示：

无线网络基本设置

本页面设置路由器无线网络的基本参数和安全认证选项.

SSID号：|TP-LIHK_717948

频段：|6▼]

模式：54Mbps(802.11g)▼

也开启无线功能

21允许SS1D广播

图13-15

问题3解析：

若在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设置

不广播SSID.通常无线AP默认开启SSID广播，在其覆盖范围内，所有具备无线网卡的计算机都可以查看并连接到该

网络，如将其SSID广播禁用，则只有知道正确SSID的计算机才能连接至该无线网络，这样可达到安全限制的目的。

同时对客户端的MAC地址进行过滤，如图13-16所示：

无线网络地址过泥设置

本页设置MAC地址过滤来控制计算机对本无线网络的访问.

注意：64位密钥、128位密钥和152位密钥（16进制形式）只有在安全认证方式为开

放系统、共享密钥或自动选择而且设置默式密钥时才有效（否则视为允许通过）.

MAC地址过滤功能：已关闭|启用过滤|

过滤规则显示内容：

©允许列表中生效规则之外的MAC地址访问本无线网络与描述

您禁止列表中生效规则之外的MAC地址访问本无线网络。密钥

「IDMAC地址1状态/类型；描述编辑

|添加新条目|所添―|一：，~~||~|

|上一贯|贵T|»]

图13-16

单击"添加新条目":如图13-17

无线网络MAC地址过谑设置

本页设置MK地址过滤来控制计算机对本无线网络的访问。

注意：64位密钥、128位密钥和152位密钥（16进制形式）只有在安全认证方式为开

放系统、共享密钥或自动选择而且设置默认密钥时才有效（否则视为允许通过）。

MAC地址：00-0A-EB-00-07-5F|

描述：实验室PC1

类型：128位密钥▼

密钥：叩J

状态：生效▼

图13-17

无线网络加密主要有三种方式：WEP、WPA/WPA2,WPA-PSK/WPA2-PSK.在这三种模式中，安全性最好的是

WPA-PSK/WPA2-PSK,其加密过程采用了TKIP和AES算法。如图13-18所示：

®开启安全设置

安全类型：^EP7

安全选项：'A'EF

WPA/WPA2

密钥格式选择：WPA-PSK/WPA2-FSK

选择64位密钥需输入16进制数字符10个，或者ASCII

码字符5个.选择128位密钥需输入16进制数字符26

密码长度说明：

个，或者ASCII码字符13个.选择152位密钥需输入16

进制数字符32个，或者ASCII码字符16个.

图13-18

其中WEP加密是无线加密中最早使用的加密技术，也是目前最常用的，大部分网卡都支持该种加密。但是后

来发现WEP是很不安全的，802.11组织开始着手制定新的安全标准，也就是后来的802.11i协议。IEEE802.11i规

定使用802.lx认证和密钥管理方式，在数据加密方面，定义了TKIP（TemporalKeyIntegrityProtocol）,CCMP

（Counter-Mode/CBC-MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三种加密机制。其中TKIP采

用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安

全的目的。CCMP机制基于AES加密算法和CCM（Counter-Mode/CBC-MAC）认证方式，使得WLAN的安全程度大大

提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此，CCMP无法通过在现有设备的基础上进行升

级实现。WRAP机制基于AES加密算法和OCB（OffsetCodebook）,是一种可选的加密机制。

试题一参考答案

【问题1］（4分）(1)PoE或者802.3af(2)以太或者Ethernet

【问题2］（6分）(3)11(4)54(5)D(6)C(7)A(8)E.

【问题3］（5分）(9)SSID(10)MAC(11)WEP(12)WPA-PSK/WPA2-PSK(13)A.

试题二分析

问题1解析：本题考查的为Windows2003平台下DNS服务器的配置，Windows2003中新建区域，是为了

让域名能和指定的IP地址建立起对应关系。这个时候应该填写其根域名，因此（1）应该填写.根据问题1

的要求，要能够正确解析本地Web站点的域名，因此图13-4中添加的主机的名称即空（2）应该为www.

问题2解析：DNS的反向查询就是用户用IP地址查询对应的域名。在图13-5的网络ID中，要以DNS服务

器所使用的IP地址前三个部分来设置反向搜索区域。图13-2中，网络A中的DNS服务器的IP地址是"”,

则取用前三个部分就是"210.43.16".因此，（4）填入210.43.16

而主机名填写相应的域名即可，即<>.

问题3解析：DNS服务器1负责本网络区域的域名解析，对于非本网络的域名，可以通过设置"转发器",

将自己无法解析的名称转到网络C中的DNS服务器2进行解析。设置步骤:首先在"DNS管理器"中选中DNS服务器，

单击鼠标右键，选择"属性"对话框中的"转发器"选项卡，在选项卡中选中"启用转发器"，在IP地址栏输入"8",

单击"添加"按钮，然后单击"确定"按钮关闭对话框。

问题4解析：如图13-8所示，如<http:〃/>对应于多个IP地址时DNS每次解析

的顺序都不同，则表示其启用了循环功能。

问题5解析：由网络拓扑图可知，PC5和PC6属于同一网段，导致PC5不能正确访问WWW服务器的原因在于

的默认网关配置错误，导致数据包到达不了正确的网关，将默认网关IP地址修改为正确网关地址""即可。

试题二参考答案

【问题1](5分)(1)(2)www

【问题2](3分)(3)用IP地址查询对应的域名(4)210.43.16(5)<>

【问题3】(3分)选中"启用转发器，在IP地址栏输入"8",单击"添加"按钮，然后单击"确定"按钮关

闭对话框。

【问题4](2分)(6)A或启用了循环功能

【问题5](3分)PC5的默认网关配置错误(2分)，将默认网关IP地址修改为"".

试题三分析

问题1解析：

IPSec有隧道和传送两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算ESP头，且被加密，ESP

头和加密用户数据被封装在一个新的IP数据包中；在传送方式中，只是传输层(如TCP、UDP、ICMP)数据被用

来计算ESP头，ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时，必须采

用隧道方式。

IPsec使用两种协议来提供通信安全一一身份验证报头(AH)和封装式安全措施负载(ESP)o

身份验证报头(AH)可对整个数据包(IP报头与数据包中的数据负载)提供身份验证、完整性与抗重播保护。

但是它不提供保密性，即它不对数据进行加密。数据可以读取，但是禁止修改。

封装式安全措施负载(ESP)不仅为IP负载提供身份验证、完整性和抗重播保护，还提供机密性。传输模式中

的ESP不对整个数据包进行签名。只对IP负载(而不对IP报头)进行保护。ESP可以独立使用，也可与AH组合使

用。

问题2解析：

VPN的基本配置：

配置信息描述：

一端服务器的网络子网为/24,路由器为;另一端服务器为/24,路由器为.

主要步骤：

1.确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为testpwd)

2.为SA协商过程配置IKE.

3.配置IPSec.

(1)配置IKE

CsaiR(config)#cryptoisakmppolicy1"policy1表示策略1,假如想多配几VPN,可以写成policy2、policy3--

CsaiR(config-isakmp)#group1〃group命令有两个参数值：1和2.参数值1表示密钥使用768位密钥，参数

值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。在通信比较少时，最好使用

group1长度的密钥。

CsaiR(config-isakmp)#authenticationpre-share〃告诉路由器要使用预先共享的密码。

CsaiR(config-isakmp)#lifetime3600〃对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400

(24小时)。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一

个SA周期到达中断。

CsaiR(config)#cryptoisakmpkeytestaddress〃返回到全局设置模式确定要使用的预先共享密钥

和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过

把IP地址改成.

(2)配置IPSec

CsaiR(config)#access-list130permitip5555〃在这里使用的访问列表

号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。

CsaiR(config)#cryptoipsectransform-setvpnlah-md5-hmacesp-desesp-md5-hmac〃这里在两端路由器唯一

不同的参数是vpnl,这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以

上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要

通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。

CsaiR(config)#cryptomapshortsec60ipsec-isakmp〃Map优先级，取值范围1~65535,值越小，优先级越高。

参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。

CsaiR(config-crypto-map)#setpeer〃这是标识对方路由器的合法IP地址。在远程路由器上也

要输入类似命令，只是对方路由器地址应该是.

CsaiR(config-crypto-map)#settransform-setvpnl

CsaiR(config-crypto-map)#matchaddress130〃这两个命令分别标识用于VPN连接的传输设置和访问列表。

CsaiR(config)#interfaces0

CsaiR(config-if)#cryptomapshortsec〃将刚才定义的密码图应用到路由器的外部接口。

最后一步保存运行配置，最后测试这个VPN的连接，并且确保通信是按照预期规划进行的。

问题3解析：

详见问题2解析。

问题4解析：

详见问题2解析。

试题三参考答案

【问题1】(4分,各1分)(1)(2)c、d(顺序可交换)(3)(4)b、d(顺序可交换)

【问题2】(4分,各1分)(5)加密算法为DES(6)hashmd5(7)认证采用预共享密钥

(8)86400

【问题3】(4分,各2分)(9)(10)

【问题4】(3分,各1分)(11)(12)(13)

试题四分析

问题1解析：

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是PIX防火墙要侦

听的服务。见下面例子：

例：Pix525(config)#fixupprotocolftp21

启用FTP协议，并指定FTP的端口号为21.

设置指向内网和外网的静态路由采用route命令:

定义一条静态路由。route命令配置语法：

route(if_name)00gateway_ip[metric]

其中参数解释如下：

if_name表示接口名字，例如inside,outside;

Gateway_ip表示网关路由器的ip地址；

[metric]表示到gateway_ip的跳数，通常缺省是1.

例：Pix525(config)#routeoutside00681

设置ethO口的默认路由，指向68，且跳步数为1.

问题2解析：

防火墙通常具有一般有3个接口，使用防火墙时，就至少产生了3个网络，描述如下：

内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区

域，即受到了防火墙的保护。

外部区域(外网)•外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区

域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

非军事区(DMZ,又称停火区)。是一个隔离的网络，或几个网络。位于区域内的主机或服务器被称为堡垒主机。

一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可

以访问企业的公开信息，但却不允许它们访问企业内部网络。

由配置信息，ipaddressoutside248

ipaddressinside

ipaddressdmz

可知ethl的IP地址为,ethO的IP地址为2,子网掩码为48,dmz接口的名称

为eth2,IP地址为.

问题3解析：

Global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。

Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中参数解释如下：

if_name表示外网接口名字，例如outside;

Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配；

ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围；

[netmarkglobal_mask]表示全局ip地址的网络掩码。

由配置命令：

global(outside)16

nat(inside)100

可以看出由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是6.

问题4解析：

配置静态IP地址翻译(static)

如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局

地址，允许这个会话建立。

static命令配置语法：

static(internal_if_nameexternal_if_name)outside_ip_addressinside_ip_address

其中参数解释如下：

internal_if_name表示内部网络接口，安全级别较高。如inside;

external_if_name为外部网络接口，安全级别较低。如outside等；

outside_ip_address为正在访问的较低安全级别的接口上的ip地址；

inside_ip_address为内部网络的本地ip地址。

例：Pix525(config)#static(inside,outside)2

表示IP地址为的主机，对于通过PIX防火墙建立的每个会话，都被翻译成2这个全局地

址，也可以理解成static命令创建了内部IP地址和外部ip地址2之间的静态映射。

管道命令(conduit用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部

到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建

立。

conduit命令配置语法：

conduitpermit|denyglobaljpport[-port]protocolforeignjp[netmask]

【参数说明】

permit|deny:允许|拒绝访问.

globaljp指的是先前由global或static命令定义的全局ip地址,如果globaljp为0,就用any代替0;如果globaljp

是一台主机，就用host命令参数。

port指的是服务所作用的端口，例如www使用80,smtp使用25等等，我们可以通过服务名称或端口数字来指

定端口。

protocol指的是连接协议，比如：TCP>UDP、ICMP等。

foreignjp表示可访问globaljp的外部ip.对于任意主机，可以用any表示。如果foreignjp是一台主机，就用

host命令参数。

试题四参考答案

【问题1】(4分)

(1)启用ftp服务(2)设置ethO口的默认路由，指向5,且跳步数为1

【问题2】(6分)(3)(4)48(5)eth2(6)

【问题3】(2分)(7)6

【问题4](3分)(8)3(9)00(10)3

试题五分析

问题1解析：

在Linux下配置DHCP,主要工作是对相关文件进行解析。在Linux系统中，DHCP服务默认的配置文件为

/etc/dhcpd.conf,它是一个递归下降格式的配置文件，有点像C的源程序风格，由参数和声明两大类语句构成，参数

类语句主要告诉DHCPd网络参数，如租约时间、网关、DNS等；而声明语句则用来描述网络的拓扑，表明网络上的

客户，要提供给客户的IP地址，提供一个参数组给一组声明等。

问题2解析：

可以使用以下命令来启动、停止和重启DHCP服务器程序：

[root@liblroot]#servicedhcpd[start|stop|restart]

或[root@liblroot]#etc/init.d/dhcpd