ACL一般在()上运行。
A.内部网络和外部网络之间的设备
B.网络两个部分交界的设备
C.接入控制端口的设备
D.以上皆对
D、以上皆对
A.内部网络和外部网络之间的设备
B.网络两个部分交界的设备
C.接入控制端口的设备
D.以上皆对
D、以上皆对
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业的网络结构如图3-1所示。
【问题1】(4分)
企业网络中使用私有地址,如果内网用户要访问互联网,一般使用(1)技术将私有网络地址转换为公有地址。在使用该技术时,往往是用(2)技术指定允许转换的内部主机地址范围。
一般来说,企业内网服务器需要被外部用户访问,就必须对其做NAT转换,内部
服务器映射的公共地址不能随意更换,需要使用(3) NAT技术。但是对于企业内部
用户来讲,使用一一映射的技术为每个员工配置一个地址很不现实,一般使用(4) NAT
技术以提高管理效率。
【问题2】(7分)
一般企业用户可能存在于任何一家运营商的网络中,为了确保每个运营商网络中的
客户都可以高效地访问本企业所提供的网络服务,企业有必要同时接入多个运营商网络。
根据企业网络的拓扑图和网络地址规划表,实现该企业出口NAT的双线接入。
首先,为内网用户配置NAT转换,其中以61.192.93.0/24代表ISP-A所有网段:其
次为外网用户访问内网服务器配置NAT转换。根据需求,完成以下Route-NAT的部分
配置命令。
【问题3】(6分)
在路由器的内部和外部接口启用NAT,同时为了确保内网可以访问外部网络,在出
口设备配置静态路由。根据需求,完成(或解释)Route-NAT的部分配置命令。
【问题4】(3分)
常用的网络流量控制技术除了ACL(访问控制列表)外还有QoS(服务质量)。Qos
是网络的一种安全机制,主要用来解决网络延迟和阻塞等问题,它主要有三种工作模式,
分别为 (18)模型、Integrated service(或综合服务)模型及_(19)_模型,其中使用比较普遍的方式是(20)模型。
【问题1】(每空1分,共7分) 常用的 IP 访问控制列表有两种,它们是编号为(1)和 1300~1399 的标准访问控制列表和编为(2)和 2000~2699 的扩展访问控制列表、其中,标准访问控制列表是根据 IP 报的(3)来对 IP 报文进行过滤,扩展访问控制列表是根据 IP 报文的(4)、(5)、上层协议和时间等来对 IP 报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩展访问控制列表放置在靠近(7)的位置。 【问题2】(每空1分,共10分) 为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下: (1)家属区不能访问财务服务器,但可以访问互联网; (2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网; (3)办公区可以访问财务服务器和互联网; (4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。 1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。 R1(config)access-list 1 (8) (9) 0.0.0.255 R1(config)access-Iist 1 deny 172.16.10.0 0.0.0.255 R1(config)access-list 1 deny 172.16.20.0 0.0.0.255 R1(config)access-Iist 1 deny (10) 0.0.0.255 Rl(config)mterface (11) R1(config-if)ip access-group 1 (12) 2.使用ACL对Internt进行访问控制,请将下面配置补充完整。 Route-Switch(config)time-range jxq ∥定义教学区时间范围 Route-Switch(config-tune-range) periodic daily (13) Route-Switch(config)time-range xsssq //定义学生宿舍区时间范围 Route-Switch(config-time-range)periodic (14) 18:00 t0 24:00 Route-Switch(config-time-range)exit Route-Switch(config)access-list 100 permit ip 172.16.10.0 0.0.0.255 any Route-Switch(config)access-list 100 permit ip 172.16.40.0 0.0.0.255 any Route-Switch(config)access-list 100 deny ip (15) 0.0.0.255 time-range jxq Route-Switch(corffig)access-list 100 deny ip (16) 0.0.0.255 time-range xsssq Route-Switch (config)interface (17) Route-Switch(config-if)ip access-group 100out 【问题3】(每空1分,共3分) 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。 采用自反访问列表实现访问控制,请解释配置代码。 Route-Switch(config)ip access-hst extended infilter Route-Switch(config-ext-nacl)permit ip any 172.16.20.0 0.0.0.255 refiect jsq (18) Route-Switch(config-ext-nacl)exit Route-Switch(config)ip access-list extended outfilter Route-Switch(config-ext-nacl) evaluate jsq (19) Route-Switch(config-ext-nacl)exit Route-Switch(config)interface fastethernet 0/1 Route-Switch(config-if)ip access-group infilter in Route-Switch(config-if)ip access-group outfilter out //(20)
防火墙是建立在内外网边界上的一类安全保护机制,它的安全架构基于(45)。堡垒主机(双端口主机)防火墙装有(46),其上运行的是(47)。在ISO OSI/RM中对网络安全服务所属的协议层次进行分析,要求每个协议层都能提供网络安全服务。其中用户身份认证在(48)进行,而IP过滤型防火墙在(49)通过控制网络边界的信息流动,来强化内部网络的安全性。
A.流量控制技术
B.加密技术
C.信息流填充技术
D.访问控制技术
网络管理是网络得以正常运行的保证。下列说法中,()是正确的。
A.一个好的网络管理员可以保证一个与开放的Internet连接的网络不被攻击。
B.实际网络系统的漏洞主要在用户自己开发的应用软件上。
C.网络中的数据的安全一般是由操作系统、数据库管理系统、应用软件与网络管理软件、网络设备与防火墙共同保证。
D.网络防病毒软件的主要功能是对文件服务器进行查毒、扫描、检查。
下列关于帧中继网和因特网关系的描述中,错误的是()。
A.帧中继网络与因特网是两个并列的网络体系结构,两个网络之间的互通一般采用网关在两网络之间实现协议报头信息的交换 B.帧中继可以承载因特网的IP数据报,也可以承载非IP数据 C.只需要规定一种帧中继网络封装IP数据报的方法,因特网上的所有应用层协议软件都可以在帧中继网络上运行 D.帧中继协议的设计不需要考虑IPV4和IPV6的地址分配方案
A.对uni端口的arp协议关闭协议上送处理
B.对uni端口的arp协议配置静态ARP处理
C.配置ACL规则,拒绝接收进入的ARP报文
D.对uni端口的arp协议配置静态MAC处理
下列关于帧中继网与英特网的关系的描述中,错误的是()
A.帧中继网与英特网是两个并列的网络体系结构,两个网络之间的互通一般采用网关在两网络之间实现协议报头信息的转换
B.帧中继可以承载因特网的IP数据报,也可以承载非IP数据
C.只需要规定一种帧中继网络封装IP数据报的方法,因特网上所有应用层协议软件都可以在帧中继网络上运行
D.帧中继的设计不需要考虑IPV4或IPV6地址分配方案。
在自治系统内部的各个路由器之间,运行的是内部网关协议IGP。早期的IGP叫作(56),它执行(57)。当网络规模扩大时,该算法传送的路由信息太多,增加了网络负载,后来又出现了执行最短路径优先算法的IGP。按照这种协议,每个路由器向网络中的其他路由器发布(58),当路由信息改变后,路由器按照(59)算法更新路由表。在不同自治系统的路由器之间,运行外部网关协议EGP,典型的EGP是(60);
A.RIP
B.GGP
C.BGP
D.OSPF