软件水平考试（中级）网络工程师下午（应用技术）试题模拟试卷15

软件水平考试(中级)网络工程师下午

(应用技术)试题模拟试卷15

一、试题一(本题共3题，每题1.0分，共3分。)

阅读以下基于VPN网络互连的网络规划设计的技术说明，根据要求回答问题I至

问题3。【说明】某软件开发公司总部和子公司A、子公司B分别位于3个不同

的省城，公司总部通过一台带VPN功能的防火墙与Internet连接。该防火墙支持

PPTP、L2TP、IPsec,SSL等VPN接入协议，各子公司指定网段的主机可以通过

VPN接入到公司总部的网段(/24)进行软件的协同开发，其VPN网络互

连的网络拓扑结构如图4-4所示。

PCIVCn内部附务以

公司总部/24

图4YVPN网络4连的网络拓扑结构图

1、L2Tp协议是一种基于(1)协议的二层隧道协议，它结合了Cisco的L2F和

MicrosoftPPTP的优点。该协议报文在传输层封装⑵协议之上，为了保证传输的可

靠性，L2Tp协议对控制报文采取了⑶机制，并要求tunnel对端设备在隧道

(lunnel)建立之后，定期交互hello报文。

标准答案：(l)PPP协议(2)UDP(3)报义丢失重任机制

知识点解析：这是一道要求读者掌握L2Tp协议特点的问答题。对于本题的解答需

要读者掌握以下几个知深点：1)L2Tp协议是一种基于PPP协议的二层隧道协一义，

其报文封装在UDP之上，使用UDP1701端口。图4-11示意了L2Tp数据帧的部

分封装结构。

封装后的IP封装前的IP

DMACSMAC0x0800UDP头L2Tp头PPPProID

头头

图4-12L21P数据帧部分封装结构图

2)在L2Tp构建的VPN网络中，主要有L2Tp访问集中器(LA。和L2Tp网络服务

器（LNS）两种关键的网络设备。其中LAC是一种附属在网络上的具有PPP端系统

和L2TPv2协议处理能力的设备，它一般就是一个网络接入服务器软件，在远程客

户端完成网络接入服务的功能。在图4-4所示的拓扑结构中，对于各子公司来说可

以把LNS看成是一种在PPP端系统上用于处理L2Tp协议服务器端的软件，即路

由器Router完成LNS服务器接入功能。3）在图4-5所示的拓扑结构中，LAC与

LNS之间采用数据触发来建立隧道（tunnel）连接和会话（session）连接。其中，session

连接复用在tunnel连接之上。4）在L2TPVPN网络中存在着两种L2Tp报文—控

制报文和数据报文。其中L2Tp控制报文用于完成L2TPtunnel和session的建立、

维护与拆除等功能。L2Tp数据报文是指承载用户数据的PPP会话数据包。5）由于

L2Tp协议建立在不可靠、无传送顺序的数据报协议UDP之上，为了保证报文传输

的可靠性，L2Tp对控制报文采取了报文丢失重传机制，并要求隧道（tunnel）对端

设备在runnel建立之后，定期交互hello报文（即keepalive机制）。

2、公司总部和各子公司在VPN特定网段的主机数如表4-4所示。

表4-4公司总部和各子公司VPN网段主机数表

部门主机数量部门主机数量

公司总部50台子公司B20台

子公司A25台该公司采用一个C

类地址块/24米组建VPN虚拟专用网，请将表4-5中的（4）〜⑻处空缺

的可分配的主机地址范围或子网掩码填写完整。

M4-5公司总部和各子公司VPN网段的主机地址、子网撞码赛

部n可分配的主机境址范BD子网冷码

子公司A102.16810.65-(4)⑸

子公"IB(6)-(7)255.255.255,224

公司总部(8)-192.16810.19092

标准答案:(4)4(5)24(6)7(7)26

(8)29

知识点解析：这是一道要求读者掌握变长子网掩码（VLSM）进行网络规划设计的分

析理解题。试题中已给出了VLSM的设计，读者只需依照子网掩码等信息填写可

分配的主机地址范围。本题的解答思路如下。1）由题干关键信息“某软件开发公司

总部和子公司A、子公司B分别位于3个不同的省城”，且从表4-4可知，公司总

部和各子公司所拥有的主机数各不相同，因此需要对已给出的C类地址块一

/24进行子网化。2）试题中/24的“/24”表示子网掩码为24

位掩码的255.255.2550由于试题中有“公司总部”、“子公司A”、“子公司B”等3

个子网，因此需将掩码于展2位（共26位，即92）,以产生22=4个子

网（子网号分别为00、01、10、11）。因为子网号全0、全1的子网被保留，于是还

剩下2个子网可供分配,在“/24”地址中用于表示主机部分的最右边8

位中剩下的6位，由于26=64,因此每个子网中独立的主机地址有64个，其中全0

的地址被保留标志子网本身，全1的地址被保留用做该子网的广播地址，这样剩余

的62个IP地址能够满足该公司总部50台主机的要求。而另一个子网地址可按同

样的分析思路再次划分，以分配给子公司A、子公司B。3）公司总部可分配的主机

地址范围求解过程见表4-7示。

表4-7公司总部可分配的主机地址范围分析表

步骤项目数值

①已知的子网掩码255.255.255.192

②该子网掩码转化为二进制敷形式11111111.11111111.11111111.11000000

③已知的工P地址90

④该IP地址转化为二进制数形式11000000.10101000.00001010.10111110

⑤将以上2个二进制数进行AND运算11000000.10101000.00001010.10000000

⑥故网段地址为28/26

⑦该子网中独立的主机地址范围192.168.10,128—91

⑧子网中可分配的主机地址范围29〜90

4)由以上分析可知，公司总部使用的子网号为“10”，可分配的主机地址范围为

29-90,又由于该公司总部有50台主机，需要使用的主机

位为6位(25=32V50V26=64),因此(8)空缺处应填入29o5)由于

公司总部的网段地址为28,因此各子公司只能在网段地址为

4的子网中再进行划分，即对于子网掩码为92的另一个

可用的子网号为“01”,子公司A、子公司B的子网掩码需要在92基

础上扩展一位，也就是说，子公司A或子公司B需要使用的子网号为“010”或

“011”。6)由试题中已给出的子公司B的子网掩码“24”可知，该

掩码将掩码扩展了3位，每一个子网可供分配的主机数为25-2=30台。由于24-

2=14<20<25<25-2=30,因此每个子网可供分配的30个主机地址能够满足了公司

A的25台主机、子公司B的20台主机的要求。由此可推理出(5)空缺处所填写的

内容是“24”。7)子公司A可分配的主机地址范围求解过程见表4-

8o

表4-8于公司A可分配的主机地址范围分析表

步骤项目数值

①推理得到的子网掩码255.255.255.224

②该子屈掩码转化为二进制数形式11111111.11111111.11111111.11100000

③已知的IP地址5

④该IP地址转化为二进制数形式11000000.10101000.00001010.01000001

⑤将以上2个二进制数进行AND运算11000000.10101000.00001010.01000000

⑥故网段地址为4/27

©该子圈中独立的主机地址范围4〜5

⑧子掰中可分配的主机地址范围5〜4

8)由以上分析可知，子公司A使用的子网号为“010”，可分配的主机地址范围为

5〜4,因此(4)空缺处应填入的内容是“4”。

9)由题干的关键信息、“各子公司指定网段的主机可以通过VPN接入到公司总部的网

段(/24)进行软件的协同开发”可知，子公司B在VPN专用虚拟网中的

IP地址也应处于/24网段。10)子公司B可分配的主机地址范围求

解过程见表4-9o

表4-9子公司B可分配的主机地址范围分析表

步骤项目数值

①子公司B所处的VPN刖段地址/24

②该IP地址转化为二进制数形式11000000.19101000.00001010.00000000

③已知子公司B的子网掩码255.255.255.224

④该子网掩码转化为二进制数形式11111111.11111111.11111111.11100000

⑤子公司B可使用的子网号011

⑥子公司B的二进制网段地址为11000000.19101000.00001010.01100000

©子公司B的十进制网段地址为6/27

⑧该子网中独立的主机地址范围6〜227

⑨子网中可分配的主机地址范围7—26

11)由以上分析可知，子公司B使用的子网号为“011”，可分配的主机地址范围为

7〜26,因此⑹空缺处应填入的内容是力因.168.10.97”,(7)

空缺处应填入的内容是“26”。

3、在图4-4所示的网络拓扑结构中，公司总部的主机PC1无法访问位于Internel

网的等网站，做如下检查：1)查看网上邻居，发现该PC机可以访问

子公司A内其他主机。2)在主机PC1上使用(9)命令来检查与路由器内网接口的连

通性，结果正常。3)在主机PC1上使用(10)协议登录到路由器的配置模式，以查看

路由器的配置信息。4)如果在路由器的配置模式下用showarp直看(11)表，发现路

由器的MAC地址与工作人员以前保存在该表中的MAC地址不同，而是公司内部

某个用户的MAC地址。进入到路由器的(12)模式，将该接口关闭后重新激活，路

由器新的ARP表更新了到路由器的子接口MAC地址，随后主机PCI能正常登录

Internet的网站。可以采用(13)方法防止IP地址被盗用。5)如果主机

PC1可以通过域名访问位于Internet网中的某台FTP服务器，但该PC机无法访问

网站。在路由器的配置模式下用(14)命令检查路由器的访问控制列

表，发现有问题，那么造成该现象的故障原因可能是(15)。【可供选择的答案】

(9)A.arpB.netstatC.nslookup

D.irauerlwww.lesl.uoni(10)A.ARPB.FTPC.TELNETD.SSL(13)A.设置

包访问过滤规则B.IP地址与MAC地址进行绑定C.IP地址与子网掩码进行绑定

D.IP地址与路由器地址进行绑定(15)A.主机PC1的网关配置错误B.主机PC1

的DNS服务器地址配置错误C.主机PC1的子网掩码配置错误D.路由器对主机

PC1访问Web服务器的权限进行了限制

标准答案：(9)D,或tracert(10)C,或TELNET(11)地址解析协议

(12)子接口配置(13)B,或IP地址与MAC地址进行绑定(14)showaccess-list(15)

D,或路由器对该PC机访问web服务器的权限进行了限制

知识点解析：这是一道要求读者根据网络故障现象进行故障排除的分析理解题。本

题的解答思路如下。1)在安装有Windows98/2000/XP/2003系列的操作系统中，

tracert是系统中一个路日跟踪命令。通过该命令的返回结果，可以获得本地到达目

标主机所经过的路由器数目。其命令语法是：tracer][-d][-hmaximum_hops][-j

host-list][-wtimeout]target_nameo其中，选项"-d”表示不需要把IP地址转换成域

名；选项“-hmaximumhops”用于设置允许跟踪的最大跳数；选项”-jhost-list”可列

出所经过的主机列表；选项”・wtimeout”用于设置每次回复的最大允许延时。2）执

行tracert命令可测试出从主机PCI到网站的IP数据报

转发路径，也可间接检查与路由器内网接U的连通性。（9）空缺处的选项C——

“nslookup”可用于查看域名为网站所对应的IP地址。

选项A（arp）和选项B（netstat）的命令语法（格式）是错误

的。3）在主机PC1上使用telnet协议登录到路由器，并进入路由器的配置模式，以

查看路由器的配置信息。4汝口果在路由器的配置模式下用showarp查看地址解析

协议表，发现路由器的MAC地址与工作人员以前保存在该表中的MAC地址不

同，而是公司内部某个用户的MAC地址。进入到路由器的子接口配置模式，将该

接口关闭后重新激活，路山器新的ARP表更新了到路由器的子接口MAC地址，

随后主机PCI能正常登录Intenet网的网站，故障排除。5）在进行网

络管理时，通常可以采用IP地址与MAC地址进行绑定的方法以防止IP地址被盗

用。6）在路由器的配置模式下，可以使用showipirnne观察路由表，或使用show

access-list命令检查路由器的访问控制列表。试题中已给出关键信息“可以访问子

公司A内其他主机”，说明主机PC1的IP地址、子网掩码均已正确配置。由于试

题假设了“主机PC1可以通过域名访问位于Inlemet网中的某台FTP服务器”，因此

间接说明了主机PC1的网关地址、DNS服务器地址也都正确配置了。因此造成该

PC机无法访问网站的原因可能足路由器对主机PC1访问Web服务

器的权限进行了限制等。

二、试题二（本题共5题，每题1.0分，共5分。）

阅读以下基于Windows2003操作系统架构DNS服务器的技术说明，根据要求回答

问题1至问题5。【说明】域名系统（DNS）负责主机名称与其所对应的IP地址之

间的解析。在一台已安装有Windows2003操作系统的服务器上开启DNS服务，并

已分别创建“正向搜索区域''和"反向搜索区域“，其DNS控制台窗口如图5-12所

示。该服务器1000Mb/s网卡配置了一个力的IP地址,现在要求能将该

IP地址与“.crT、“”和3个域名对应起来。

图5-12DNS控制介窗H

4、配置Windows2003DNS服务器的第一步是，为该服务器分配一个(1)IP地址，

然后在“高级TCP/IP设置”的配置界面(如图5-13所示)中，单击“DNS服务播地址”

栏中的【添加】按钮，在弹出的对话框中输入DNS地址为(2)。另外，还需要选中

图5-13中“附加主要的和连接特定的DNS后缀(P)”这一单选按钮，并同时选中“(3)”

肉袋TCP/IP设量，.蝌

"设置g|ras|透段|

iDXS*若题地址的使用修序桂列)0P：

।一—H一」■

—⑥...I匚・吃上I-」II

下列三个&式应用TMTTJB用TCP/IFm».要解析不合格的

名稀：

r用加主要的就王接I♦定的DMS后绢9

F*城：，的，赢硒攵/第3)；

"附加这砧DKS后爆05联序)00：

h―一■2J

画菽31.&I苗心」I

此连攫的D史后螺6：

厂在DMS中注用比连覆的地址电)

「在泗《惋中使用比直接的Q修徉―

"定|一帚

和“(4)”等复选框。图5-13”高级TCP/IP设置”闻置界血

标准答案：⑴静态的⑵(3)附加主DNS后缀的父后缀(X)(4)在DNS中

注册此连接的地址？

知识点解析：这是一道要求读者掌握DNS服务器TCP/IP配置的分析理解题。本题

的解答思路如下。1)配置Windows2003DNS服务器的第一步是，为该服务器分配

一个静态的IP地址。因为地址的动态更改会使客户端与DNS服务器失去联系，所

以DNS服务器不能使用动态分配的IP地址。2)打开网络连接，然后使用右键杳看

本地连接的属性。接着选中“internet协议(TCP/IP)”，并查看其属性，然后单击鼠

标［高级］按钮，并选中“DNS”选项卡，系统将弹出如图5-13所示的配置界面。在此

界面中可点击“DNS服务器地址”栏中的［添力H］按钮，在弹出的对话框中输入DNS

地址为,即⑵空缺处的答案是“”。此空缺处所填写的内容来

源于图5-12所示的DNS控制台窗口中“WWW”主机的IP地址()。3)另

外，还需要选中图5・13所示界面中“附加主要的和连接特定的DNS后缀(P户这一单

选按钮，然后选中“附加主DNS后缀的父后缀(X)”和“在DNS中注册此连接的地址

(R)”等复选框。4)提醒注意的是，这台运行WindowsServer2003的DNS服务器必

须将“TCP/IP协议”配置中将其DNS地址指定为它本身。

5、在DNS服务器的“新建区域”配置过程中，区域类型主要有主要区域、辅助区

域、存根区域等。如果要创建可以直接在此服务器上更新区域的副本，则区域类型

应选择“(5)”。存根区域只包含标识该区域的权威DNS服务器所需的(6)。如果已

知主机的IP地址，可以从图5-12所示的DNS控制台窗口中的“⑺”获得该主机的

域名。

标准答案：(5)主要区域(6)资源记录⑺反向搜索区域

知识点解析：这是一道要求读者掌握DNS服务器新建区域配置过程的分析理解

题。本题的解答思路如下。1)依次单击“开始-程序-管理工具-DNS”，进入如图

5-12所示的DNS控制台窗口。接着用鼠标右键单击”正向搜索区域”，然后选择“新

建区域”。当“新建区域向导”启动后，单击【下一步］按钮。2)接着系统将提示选择

区域类型。区域类型包话主要区域、辅助区域、存根区域等。其中，主要区域可以

创建直接在此服务器上更新的区域的副本，此区域信息存储在一个.dns文本文件

中。而标准辅助区域从它的主DNS服务器复制所有信息。主DNS服务器可以是为

区域复制而配置的ActiveDirectory区域、主要区域或辅助区域。存根区域只包含

标识该区域的权威DNS服务器所需的资源记录，这些资源记录包括邮件交换机

(MX)、名称服务器(NS)、起始授权机构(SOA)、主机资源记录(A)和别名资源记录

(CNAME)等。3)如果要创建可以直接在此服务器上更新区域的副本，则区域类型

应选择“主要区域”，即(5)空缺处的答案是“主要区域”。提醒注意的是，如果选择

“辅助区域”类型，则用户无法修改辅助DNS服务器上的区域数据，所有数据都是

从主DNS服务器复制而来的。4)Windows2003的DNS服务器中有“正向搜索区

域''和"反向搜索区域''等两种类型的搜索区域。其中“正向搜索区域”用来处理正向

解析，即把主机名解析为IP地址；而“反向搜索区域”用来处理反向解析，即把IP

地址解析为主机名。因此⑺空缺处所填写的内容是，反向搜索区域”。

6、如果该服务器需要解析来自它的Internet服务提供商的名称，则必须进行⑻的

配置。

标准答案：DNS转发器

知识点解析；这是一道要求读者掌握DNS转发器基本概念的分析理解题。本题所

涉及到的知识点有：1)在WindowsServer2003操作系统中可以充分利用DNS转发

器，即该功能用于实现将本DNS服务器无法在其区域中找到资源记录的请求发送

给另一台DNS服务器的功能，以进一步尝试性地进行DNS解析。2)配置DNS服

务器的转发器功能的操作步骤是，①在如图5-12所示的DNS控制台窗口中，用鼠

标右键单击DNS服务器(ServerName)并在所弹出的右健菜单中选中［属性］命令，然

后单击“转发器”选项卡；②单击“DNS域”列表中的一个DNS域(或者单击|新剧按

钮，在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击［确定］按钮)。

③在所选域的转发器IP地址框中，键入希望转发到的第•个DNS服务器的IP地

址，然后单击［添加|按钮(可重复此步骤用于添加多个希望隹发到的DNS服务器地

址)。④最后单击［确定］按钮完成DNS转发器配置工作。

7、在图5-12所示的DNS控制台窗口中，用鼠标右键单击“”区域，并在

所弹出的菜单中选择【新建别名】命令，系统将弹出一个如图5-14所示的“别名”

资源记录配置界面。请用200字以内的文字说明耍实现题干的配置要求，应如何在

图5-14所示的界面中做相应的配置。

■建蜜・记录

别53皿）|

别名g果为生则使用其父域）（S）

I

亮全合格的域名（FQDI）Q!）：

eoacn

目标主机6院全合格的域名（TQDM）Q）:

「_|；郦8•

r当他记录过时时删除它@）

记录时间数6）：

生存时间CTTL)a)：P：1：。0(DDDDDKXMMSS)

喻|取消|

1*15-14”别名CNAME”旭置界的

标准答案：①在“别名”栏输入“ftp”，“目标主机的完全合格的名称”栏输入

“"，单击［确定］按钮创建一个名为“''的别名记录

②“别名”栏保持为空，“目标主机的完全合格的名称”栏输入“"，但

2击［确定］按钮创建一个名为“”的别名记录

知识点解析：这是一道要求读者根据实际应用要求进行DNS服务器“别名”资源记

录配置的实践操作题。本题的解答思路如下。1）题干所给出的配置要求是，能将

该DNS服务器的IP地址与“"、“”和

3个域名对应起来。2）在图5-12所示的DNS控制台窗口中，已在正

向搜索区域建立了主机“”域名与地址的映射关系，即

已成功创建了一个主机汜录o3）在图5-14所示的“别名CNAME”

配置界面中，“别名”栏输入“即”，”目标主机的完全合格的名称”栏输入

“"（或用济浏览”逐步选择），最后单击［确定］按钮即可为

“”建立一个名为“”的别名记录。4）如果在图5-14所

示的“别名CNAME”配置界面中，“别名”栏不填写任何内容（保持为空），“目标主机

的完全合格的名称”栏输入“WWW."（或用“浏览”逐步选择），最后单击［确

定I按钮即可为“”建立一个名为“”的别名记录。

8、可以采用Windows操作系统的命令来测试响题4”的配置是否成功，以下（9）命

令不能完成此任务。若想通过域名“”也能访问到IP地址为

“”的主机，应在“正向搜索区域”中添加(10)的资源记录类型。【供选择

的答案】(9)A.pingB.netstatC.nslookup

D.ping(10)A.NSB.SOAC.PTRD.CNAME

标准答案：(9)B,gcnetstat(10)D,或CNAME

知识点解析：这是一道耍求读者掌握Windows操作系统的命令测试DNS服务器配

置的实践操作题。本题的解答思路如下。1)由“问题4”的要求分析可知，该问题主

要完成主机别名的配置任务。2)ping命令可用于检查网络上的DNS服务器是否正

在工作。通过"ping"、“ping”命令可检查该DNS服务器的

别名资源记录“"、“”是否正确配置。3)nslookup

命令用于完成将“”这一域名到其所对应的IP地址的番询，它也可检查该

DNS服务器的别名资源记录“.crT是否正确配置。4)使用netstat-an命令可

以数字格式显示所测试网络的所有连接、地址及端口；使用netstat-s命令可以显

示IP、ICMP、TCP、UDP协议的统计信息；使用nelslat-s命令可以显示以太网统

计信息；使用netstat-o命令可以显示与每个连接相关所属进程ID。而选项B的

“netstat代.crT的命令语法是错误的。5)在实际应用中，一台DNS服务器

可以同时拥有多个不同的主机名称，而这种应用需求是通过创建别名资源记录

(CNAME)的方法来实现的。所谓别名(Alias)是指可通过另外一个主机名称访问该

计算机。CNAME资源记录是DNS中的规范名(CrilcrionNAME)资源记录，它可以

为其他记录(例如主机地址(A)记录)建立一个别名。

三、试题三(本题共4题，每题1.0分，共4分。)

认真阅读以下关于PGP软件的使用说明，根据要求回答问题1至问题4。【说

明】在Internet网络中，安全认证和保密业务的需求随着通信量、业务种类的增加

而增加。广泛应用于Iniernet网络的E-mail系统的PGP(PrettyGoodPrivacy)软件，

是一个十分小巧却又强而有力的加密软件，可以用它保护文件、邮件，磁盘空间

等.

9、PGP协议采用RSA和IDEA两种加密算法组成链式加密体系，这种方案的优点

是(1)。PGP还可以对电子邮件进行认证，认证机制是用MD5算法产生(2)位的报文

摘要，发送方用自己的RSA私钥对(3)进行加密，附加在邮件中进行传送。公钥只

用来加密(4),文件是用会话密钥加密的。其中，(5)是一次性使用的，避免了执行

交换密钥的握手协议，提高了安全性。【供选择的答案［(1)A.可以组合成一种

新的加密算法，从而避免专利技术的困扰B.两种算法互相取长补短，从而提高了

信息的保密性C.既有【DEA算法的保密性，又有RSA体系的快捷性D.既有

IDEA算法的快捷性，又有RSA体系的保密性(2)A.512B.256C.128D.64

⑶A.会话密钥B.IDEA密钥C.报文摘要D.邮件明文(4)A.MD5报文

B.会话密钥C.RSA密钥D.IDEA密钥(5)A.RSA密钥B.MD5报文

C.IDEA密钥D.会话密钥

标准答案：(1)D,或既有RSA体系的保密性，乂有IDEA算法的快捷性(2)C,或

128(3)C,或报文摘要(4)B,或会话密钥(5)D,或会话密钥

知识点解析：这是一道要求读者掌握PGP混合加密体系原理的分析理解题。本题

所涉及的知识点有：1)基于数论原理的公钥加密算法(RSA)的安全性建立在大数难

以分解因子的基础上。PGP协议采用RSA和IDEA两种加密算法组成链式加密体

系，使得报文的加密时间大大缩短(IDEA算法的快捷性)，又有RSA体系的保密

性。2)PGP软件可以对电子邮件进行认证，认证机制是用MD5算法产生128位的

报文摘要，发送方用自己的RSA私钥对报文摘要进行加密，附加在邮件中进行传

送。3)如果发送方要向一个陌生人发送保密信息，又没有对方的公钥，那么他可

以从权威认证机构(CA)获取对方的公钥。公钥只用来加密会话密钥，文件是用会

话密钥加密的。其中，会话密钥是一次性使用的，从而避免了执行交换密钥的握手

协议，提高了安全性。

10、为了提高工作效率，郭工程师制定了一个密钥管理方案：默认使用IDEA密钥

进行加密，在PGPkeys关闭时自动备份密钥对且备份到默认的密钥环文件夹中。

请结合图6-15所示的配置界面，完成以上设置任务。

C«Mrd|Fila*|IMII1|S«v・r.|C田|

Wgcrtfwipis

---------耳七.-------..-g：

pMSrCASTrIMCS厂IDEArrMh

----；2,T—；—'**—:-I

7MlM1---•…:一］---3联™一：

・，—]MlMBbJ

图6・I5Advanced选项卜配西界而

标准答案：选中“IDEA”复选框；再选中"AutomatickeyingbackupwhenPGPkeys

closcss”复选框；接着选中"Backuptokeyingfolder”复选框；最后单击［确定］按钮

知识点解析：要完成“默认使用IDEA密钥进行加密，在PGPkeys关闭时自动各份

密钥对且备份到默认的密钥环文件夹中”的设置任务，需在图6-15所示的配置界面

中的“AllowedAlgorithms”栏中选中“IDEA”复选框完成默认使用IDEA密钥”任

务：接着选中“AutomatickeyingbackupwhenPGPkeyscloses”复选框完成“在

PGPkeys关闭时自动备份密钥对“任务；再选中“Backuptokeyingfolder”复选框完成

“备份到默认的密钥环文件夹中”任务；最后单击的定］按钮即可完成郭工程师要求

的配置任务。

11、郭工程师与领导、朋友进行E-mail交流时，要求自动使用安全查看器解密每

条接收到的E-mail信息，且总使用PGP软件加密每封发送的电子邮件。请结合图

6-16所示的配置界面，完成相关的软件设置任务。

R16-I6Email选项K配置界面

标准答案：在图中选中“UsePGP/MIMEwhensendingemail”复选框；再选中

“Encryptnewmessagesbydefault''复选框；接着选中“Automaticallydecrypt/verify

whenopeningmessages”复选框；再选中“AlwaysUS3SecureViewerwhendecrypting^^

复选框；最后单击［确定］按钮

知识点解析：要完成“自动使用安全查看器解密每条接收到的E-mail信息，且总使

用PGP软件加密每封发送的电子邮件”的设置任务，需在图6・16所示的配置界面

中选中“UsePGP/MIMEwhensendingemail”复选框完成“在发送E-mail时使用PGP

软件”任务；再选中“Encryptnewmessagesbydefault”复选框完成“默认加密每封电

子邮件''任务：接着选中“Automaticallydecrypt/verifywhenopeningmessages”复选框

完成“打开信息时自动解密/校验每条E-mail信息”任务：然后再选中“Alwaysuse

SecureV沁wcrwhendecrypting”复选框完成“解密时总是使用安全查看器”任务，最

后单击［确定］按钮。

12、用鼠标右键单击某一Office文件，在弹出的菜单中选择[PGP]T[Encrypt]命

令，或者将文件拖到PGPtools中，弹出如图6-17所示的对话框。如果选择对话框

中的“(6)”复选框，则可完成使用传统加密方式(对称密钥)加密文件的任务。如果要

求接收者分屏显示解密后的文件，且不允许保存该文件，则需选中“(7)”复选框。

如果选中“(8)”复选框，则可产生相应的自解密可执行文件，以适应接收者的系统

W6-I7PGPmail对话枢

标准答案：(6)conventionalEncryption(7)SecureViewer(8)SclfDecryptingArchive

知识点解析：在PGPmail对话框(见图6-17)中，选中“ConventionalEncryption”复选

框，可完成使用传统加密方式(对称密钥)加密文件的任务。“SecureViewer”复选框

(相当于命令行“-m”选项)用于实现分屏显示解密后的文件的功能，但它不允许接收

者保存所查看的消息。如果接收者的系统上没有安装PGP软件，则需选中“Self

DecryptingArchive”复选框产生相应自解密的可执行文件。“TextOutput”复选框(相

当于命令行”-屋选项)用于将加密后的二进制文件(.pgp)转换为ASCII编码格式

(.asc)o其目的是让加密后的文件能通过某些只允许传送文本文件的邮件系统。

“WipeOrigina『复选框用于清除原文件，相当于命令行“-w”选项。

四、试题四(本题共5题，每题1.0分，共5分。)

认真阅读以下关于架构Apache安全服务器的技术说明，根据要求回答问题1至问

题5。【说明】某些商务公司要求其网站的部分信息资源只对经过身份认证后的

用户开放。因此在Linux+Apache架构Web服务器方案中，需利用mod-ssl模块给

ApacheWeb服务器提供的一项重要功能——加密通信的能力。该模块通过安全套

接字层(SSL)和传输层安全(TLS)协议为ApacheWeb服务器提供强大的加密能力。

13、SSL是一个协议独立的加密方案，在网络信息分组的应用层和传输层之间提供

了安全的通道。SSL主要包括SSL修改密文协议、SSL握手协议、SSL告警协议、

SSL记录协议等，其协议栈见图7-16。请根据SSL协议栈结构，将(1)〜(4)处空缺

的协议名称填写完整。

(1)|SSL修改需文协议|SSL告警协议[HTTP/FTP等应用协议

_____________⑵

_______________________________⑶

⑷

网络接口层

07-16SSL协议栈

标准答案：(1)SSL握手协议(2)SSL记录协议⑶TCP协议(4)TP协议

知识点解析：这是一道要求读者熟悉SSL协议栈的基本概念题。本题所涉及的知

识点有：1)SSL是一个协议独立的加密方案，在网络信息包的应用层和传输层之

间提供了安全的通道。安全的HTTPS协议是SSL应用的一个范例，该应用协-义使

用TCP协议的443端口来安全发送和接受报文。2)SSL主要包括SSL修改密又协

议、SSL握手协议、SSL告警协议、SSL记录办议等，其协议栈见图7-22o

SSL握手协议|SSL修改密文协议|SSL告警协议|HTTP

SSL记录协议

TCP

______________________________IP______________________________

网络接嘤

用7-22SSL协议栈3)由图7-22可

知，SSL协议包括两个子协议：SSL记录协议和SSL握手协议，其中记录协议位

于握手协议之下，主要为SSL连接提供两种服务——机密性和报文完整性。SSL

记录协议字段主要包括4个必选字段，分别是①内容类型(占8b),用于指明所封

装的高层协议类型；②主要版本(占8b),即所使用的SSL主要版本。对于

SSLv3.0,值为3；③次要版本(占8b),即所使用的SSL次要版本。对于

SSLv3.0,值为0；④压缩长度(占16b),即明文数据或压缩数据的长度，以字节为

单位。4)同理由图7-22可知，SSL握手协议被封装在SSL记录协议中，它允许服

务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。其

报文头部包括3个字段：①类型字段(占1字节)，用于指明所使用的SSL握手协议

报文类型；②长度字段(占3字节)，即SSL握手协议报文的长度，以字节为单位。

③内容字段(21字节)，用于设置所使用的SSL握手报文的有关参数。

14、要启用ApacheWeb安全服务器,用户至少需要安装(5)、mol_ssl、openssl等3

个软件包。其中，mol_ssl模块是ApacheWeb服务器的一个安全模块，它的配置文

件位于(6)目录。要载入这个文件而使mol_ssl进程能够正常工作，必须在⑺文件中

包括includeconf.7/*.conf这条声明。

标准答案:(5)httpd(6)/ctc/httpd/conf.d/ssl.conf(7)/etc/httpd/conf/httpd.conf

知识点解析：这是一道要求读者熟悉ApacheWeb安全服务器软件包的简答题。在

Linux系统中，与ApacheWeb安全服务器有关的软件包及其功能见表7-13。要启

用ApacheWeb安全服务器，用户至少需要安装httpd、mod_ss1>opcnssl等3个软

件包。

表7T3Apache,eb安全服务器各软件包对比表

软件包选项功能

它包含httpd守护进程和相关的工具、配苴文件、图标、

①httph

ApacheWeb服务器模块、说明书(man)等文件

它包括mod_ssl模块，它通过安全套接字层(SSL)和传输层

@mod_ssl必选

安全(TLS)协议为ApacheWeb服务器提供加密功能

包含实现SSL和TLS协议的OpenSSL工具包及一个常规目的的

©openssl

加密库

它包含ApacheWeb服务器的包含文件、头文件和APXS工具

@httpd_devel

程序

它包含HTML格式的Ap2che计划的ApacheUser'sGuide说明

Ohttpd-manual

指南

它包括OpenSSH客户程序和服务器都需要的核心文件，提供

了一组用来在远程主机上登录和执行命令的网络连接工具。

©OpenSSH其中，OpenSSHl具可以加密所有通信报文(包括口令)，以防

范窃听等网络攻击行为.另外，SCP协议可作为文件复制办议

(RCP)和文件传输协议(FTP)的安全替换

它包括安全shell守护进程ssh破其相关文件。sshd是

©openssh-serverOpenSSH会件的服务器方，用来接受并响应SS喀户的服务请

求

可选它包含进行加密SSHfl艮务器连接所需的客户程序，包括ssh

@openssh-clientsGsh的安全替换)、sfr(ftp的安全替换)、slogin(远程登录

r1ogi工南1teInet协议的安全替换)

它支持对话框窗口的显示，使用OpenSSH代理时用于提示用

©openssh-askpass

户输入口令

它可以在OpenSSH程序提示用户输入口令时与GNOME桌面环

®penssh-askpass-gnome

境起使用来显示图形化对话窗口

它包含编译带有各类加密算式、协议支持的应用程序所需

ODopenssl-devel的静态库和包含文件，王要用于应用程序的开发。用户仅使

用SSL时，可不必安装该软件包

它提供StunnelSSL会绕程序以支持TCP连接的SSL加密，可

⑫stunnel无须重新编深守护进程而为无SSL的守护进程和协议(如R)P、

IMAP和LDAP等)提供加密

其中，mod_ssl模块是ApacheWeb服务器的一个安全模块，它通过安全套接字层

(SSL)或传输层安全(TLS)协议为ApacheWeb服务器提供强大的加密功能。其配置

文件是/etc/httpd/conf.d/ssl.conf。要载入这个文件而使mod_ssl进程能够工作，必须

在/eic/hHpd/conf/hupd.conf文件中包括"includeconf.d/*.con『这条声明。

15、如果用户以前使用了另一个安全服务器产品且申请了可以使用的钥匙

(httpsd.key)和证书(),现在用户想升级为ApacheWeb安全服务器。用户可

以转移并重命名用户的钥匙、证书以使ApacheWeb安全服务器能使用它们。完成

以上转移、重命名、重启ApacheWeb安全服务器的操作命令分别是：

mv/etc/httpd/conf/httpsd.key(8)(9)(10)

标准答案：(8)/etc/httpd/conf/ssLkey/server.key(9)

mv/etc/httpd/conf7httpsd.crt/etc/httpd/conf7ssl.crt/server.crt(10)/sbin/serviehttpdrestart

知识点解析：如果用户以前使用了另一个安全服务器产品且申请了可以使用的钥匙

(hupsd.key)和证书(),在用户升级Web安全服务器时可不必重新生成新钥

匙或获取新证书。在ApacheWeb安全服务器升级成功后，用户的旧钥匙

(httpsd.key)和旧证书(hltpsd.crt)将会位于/elc/httpd/conf/目录下。此时需要将旧钥匙

文件转移到/etc/httpd/conf/ssl.key/server.key,将旧证书文件转移到

/etc/httpd/conf/ssl.crt/server.crto实现I日钥匙、IFl证书转移并重命名成新钥匙和新证

书文件的命令分别是：mv/etc/httpd/conf/htlpsd.key/etc/hltpd/conf/ss1.key/server.key

mv/etc/httpd/conf7httpsd.crt/etc/httpd/conf7ssl.crt/server.crt然后，使用/sbin/service

httpdrestart命令来启动Apache安全服务器使其重新读取配置文件。注意这个重启

过程系统将提示用户输入口令字，当用户键入口令字后按［Emer］键，服务器就会启

动。

16、如果想制作自签的证书且使用已有的钥匙，需要在/usr/share/ssl/ccrts目录中键

入(11)命令，接着用户将会看到如图7-17所示的输出信息。

umask77;\

/usr/bin/opcnsslreq-new-key/ctc/httpd/conf/ssl.key/server.key

-x509-days365-out/etc/httpd/conf/ssl.crt/scrvcr.crt

Usingconfigurationfrom/usr/share/ssl/f

EnterPEMpassphrases

图7/7系统提示信息

当用户愉入口令字后，系统就会要求输入所要制作的自签证书的用户信息用户信

息填写完成后，自签的证书将被创建在(12)文件中。生成该证书后，重新启动安全

服务器就可使该证书生效。假设用户小郭的万维网服务器域名www.wg_,

要测试自签的证书，需在浏览器中输入的URL是(13)。

标准答案：(11)maketestcert(12)/etc/httpd/conf/ssl.crt/server.crt(13)

https://www.wg_

知识点解析：血果用户想制作自签的证书且使用已有的钥匙，需要进行以下的操作

步骤。1)首先使用cd命令转换至l」/elc/hllpd/conf目录，使用rmssl.key/server.key和

rmssl.crt/server.crt命令删除在系统安装系生成的假钥匙和假证书。2)改换到

/ust/share/ssl/certs0录中，键入makegenkey命令生成用户自己的随机钥匙。3)接

着在提示符下键入口令字。系统将创建一个包括用户的钥匙的

/etc/httpd/conf/ssl.key/server.key文件。4)在/usr/share/ssl/certs目录中键入make

lesicert命令，也可得到与上一步类似的系统输出信息。5)在提示符下键入口令字

后，系统就会要求输入所要制作的自签证书的用户信息。6)完成用户信息输入

后，自签的证书将被创建在/etc/httpd/conf7sslcrt/scrvcr.crt文件中。7)牛.成证竹后，

用户需要使用/sbin/servicehttpdrestart命令来启动Apache安全服务器使其重新读取

配置文件。如果用户小郭的万维网服务器域名为www.wg_,测试用户的自

签证书，则需在浏览器的地址栏内输入的URL为https://www.wg_o

17、为了维护网站正常运行，对网站进行监控是非常必要的。在Apache安全服务

器的多种日志中，(14)和(15)被作为默认配置的日志。通过对Web服务器的日志文

件进行分析，可以有效掌握网站运行情况，加强对网站的维护和安全管理。

标准答案：(14)错误日志(15)访问日志

知识点解析：为了维护网站正常运行，对网站进行监控是非常必要的。在Apache

安全服务帑的多种日志中，默认配置的日志是错误日志和访问日志。通过对Web

服务器的日志文件进行分析，可以有效掌握网站运行情况，加强对网站的维护和安

全管理。

五、试题五(本题共5题，每题1.0分，共5分。)

阅读以下应用L2TPv2协议实现VPN安全接入的技术说明，根据要求回答问题1

至问题5。【说明】某企业应用L2TPv2协议部署企业的虚拟专用网(VPN),以方

便企业的VIP用户及出差员工通过公共Inlernel安全地访问企业内部LAN资源，

其网络拓扑结构如图8-16所示。该VPN网络结构中，远程客户将访问唯一的节

点，即安全远程访问服务器(SRAS),该节点既是NAS服务的PPP终端，也是进入

企业专用网的安全网关节点。

WebServerE-mailServer

图8/6某企业VPN接入的网络拓扑图

18、在Internet上捕获并分析图8-16所示的网络中两个内部网络经由Internet通信

的L2TPv2数据帧，请从以下4个选项中选择正确的答案填写到图8/7的(1)〜(4)

空缺处的相应位置。

DMACSMAC0x0800_£D_(3)⑷封装前的IP头•...

IH8-17L2TPv2数据帧部分封装仿构图

【供选择的答案】A.L2TPV2头B.PPP头C.UDP头D.封装后IP头

标准答案：(1)D,或封装后IP头⑵C,或UDP头⑶A,或L2TPv2头(4)B,或

PPP头

知识点解析：这是一道要求读者掌握L2TPv2数据帧封装原理的分析推理题。本题

的解答思路如下。D阅读题目所提供的信息后可知，图8-17所示的1^^丫2数据

帧是在Inlernel网络中被捕获的，该报文内容是LAC与