中級網(wǎng)絡(luò)工程師2009下半年下午試題試題一閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應(yīng)的解答欄內(nèi)。[說明]某校園網(wǎng)中的無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1-1所示。該網(wǎng)絡(luò)中無線網(wǎng)絡(luò)的部分需求如下：1．學(xué)校

中級網(wǎng)絡(luò)工程師2009下半年下午試題

試題一

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

[說明]

某校園網(wǎng)中的無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1-1所示。

該網(wǎng)絡(luò)中無線網(wǎng)絡(luò)的部分需求如下：

1．學(xué)校操場要求部署AP ，該操場區(qū)域不能提供外接電源。

2．學(xué)校圖書館報告廳要求高帶寬、多接入點。

3．無線網(wǎng)絡(luò)接入要求有必要的安全性。

[問題1]

根據(jù)學(xué)校無線網(wǎng)絡(luò)的需求和拓撲圖可以判斷，連接學(xué)校操場無線AP 的是 1 交換機，它可以通過交換機的 2 口為AP 提供直流電。

[問題2]

根據(jù)需求在圖書館報告廳安裝無線AP 。如果采用符合IEEE 802.11b規(guī)范的AP ，理論上最高可以提供 3 Mb/s的傳輸速率；如果采用符合IEEE 802.11g 規(guī)范的AP ，理論上最高可以提供 4 Mb/s的傳輸速率。如果采用符合 5 規(guī)范的AP ，由于將MIMO 技術(shù)和 6 調(diào)制技術(shù)結(jié)合在一起，理論上最高可以提供600Mbps 的傳輸速率。

5、備選答案

A ．IEEE 802.11a B ．IEEE 802.11e

C ．IEEE 802.11i D ．IEEE 802.11n

6、備選答案

A ．BFSK B ．QAM C ．OFDM D ．MFSK

圖書館報告廳需要部署10臺無線AP ，在配置過程中發(fā)現(xiàn)信號相互干擾嚴重，這時應(yīng)調(diào)整無線AP 的 7 設(shè)置，用戶在該報告廳內(nèi)應(yīng)選擇 8 ，接入不同的無線AP 。

7～8備選答案

A ．頻道 B ．功率 C ．加密模式

D ．操作模式 E ．SSID

[問題3]

若在學(xué)校內(nèi)一個專項實驗室配置無線AP ，為了保證只允許實驗室的PC 機接入該無線 AP，可以在該無線AP 上設(shè)置不廣播 9 ，對客戶端的 10 地址進行過濾，同時為保證安全性，應(yīng)采用加密措施。無線網(wǎng)絡(luò)加密主要有三種方式： 11 、WPA/WPA2、WPA- PSK/WPA2-PSK。在這三種模

式中，安全性最好的是

12 ，其加密過程采用了TKIP 和 13 算法。

13、備選答案

A ．AES B ．DES C ．IDEA D ．RSA

試題二

閱讀下列說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

[說明]

網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2-1所示。

[問題1]

網(wǎng)絡(luò)A 的WWW 服務(wù)器上建立了一個Web 站點，對應(yīng)的域名是www.abc.edu 。DNS 服務(wù)器1上安裝WindowsServer2003操作系統(tǒng)并啟用DNS 服務(wù)。為了解析WWW 服務(wù)器的域名，在圖

2-2所示的對話框中，新建一個區(qū)域的名稱是 14 ；在圖2-3所示的對話框中，添加的對應(yīng)的主機“名稱”為 15 。

[問題2]

在DNS 系統(tǒng)中反向查詢(Reverse Query) 的功能是 16 。為了實現(xiàn)網(wǎng)絡(luò)A 中www 服務(wù)器的反向查詢，在圖2-4和2-5中進行配置，其中網(wǎng)絡(luò)ID 應(yīng)填寫為 17 ，主機名應(yīng)填寫為 18 。

19、[問題3]

DNS 服務(wù)器1負責(zé)本網(wǎng)絡(luò)區(qū)域的域名解析，對于非本網(wǎng)絡(luò)的域名，可以通過設(shè)置“轉(zhuǎn)發(fā)器”，將自己無法解析的名稱轉(zhuǎn)到網(wǎng)絡(luò)C 中的DNS 服務(wù)器2進行解析。設(shè)置步驟：首先在“DNS 管理器”中選中DNS 服務(wù)器，單擊鼠標右鍵，選擇“屬性”對話框中的“轉(zhuǎn)發(fā)器”選項卡，在彈出的如圖2-6所示的對話框中應(yīng)如何配置?

20、[問題4]

網(wǎng)絡(luò)C 的Windows Server 2003服務(wù)器上配置了DNS 服務(wù)，在該服務(wù)器上兩次使用nslookup www. sohu. com命令得到的結(jié)果如圖2-7所示，由結(jié)果可知，該DNS 服務(wù)器 (6) 。

(6)的備選答案：

A ．啟用了循環(huán)功能 B ．停用了循環(huán)功能

C ．停用了遞歸功能 D ．啟用了遞歸功能

21、[問題5]

在網(wǎng)絡(luò)B 中，除PC5計算機以外，其他的計算機都能訪問網(wǎng)絡(luò)A 的WWW 服務(wù)器，而 PC5計算機與網(wǎng)絡(luò)B 內(nèi)部的其它PC 機器都是連通的。分別在PC5和PC6上執(zhí)行命令ipconfig ，結(jié)果信息如圖2-8和圖2-9所示：

請問PC5的故障原因是什么? 如何解決

?

試題三

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

[說明]

在大型網(wǎng)絡(luò)中，通常采用DHCP 完成基本網(wǎng)絡(luò)配置會更有效率。

22、[問題1]

(1)在Linux 系統(tǒng)中，DHCP 服務(wù)默認的配置文件為 (1) 。

備選答案：

A ．/etc/dhcpd. conf B ．/etc/dhcpd. config

C ．/etc/dhcp. conf D ．/etc/dhcp. config

[問題2]

管理員可以在命令行通過 23 命令啟動DHCP 服務(wù)；通過 24 命令停止DHCP 服務(wù)。 23、24備選答案：

A ．service dhcpd start B ．service dhcpd up

C ．service dhcpd stop D ．service dhcpd down

[問題3]

在Linux 系統(tǒng)中配置DHCP 服務(wù)器，該服務(wù)器配置文件的部分內(nèi)容如下：

subnet 192.168.1.0 netmask 255.255.255.0 {

option routers 192.168.1.254;

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.1.255;

option domain-name-servers 192.168.1.3;

range 192.168.1.100 192.168.1.200;

default-lease-time 21600;

max-lease-time 43200;

host webserver {

hardware ethernet 52:54:AB:34:5B:09;

fixed-address 192.168.1.100;

}

}

在主機webserver 上運行ifonfig 命令時顯示如下，根據(jù)DHCP 配置，填寫空格中缺少的內(nèi)容。

該網(wǎng)段的網(wǎng)關(guān)IP 地址為 25 ，域名服務(wù)器IP 地址為 26 。

試題四

閱讀以下說明，回答問題1至問題4，將解答填入對應(yīng)的解答欄內(nèi)。

某公司通過PIX 防火墻接入Internet ，網(wǎng)絡(luò)拓撲如圖4-1所示。

在防火墻上利用show 命令查詢當(dāng)前配置信息如下：

PIX#show config

?

nameif eth0 outside security0

nameif eth1 inside security100

nameif eth2 dmz security40

?

fixup protocol ftp 21 30

fixup protocol http 80

?

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 10.10.O.1 255.255.255.0

?

global (outside) 1 61.144.51.46

nat (inside) 10.0.0.00.0.0.0 0 0

?

route outside 0.0.0.00.0.0.0 61.144.51.45 1 31

?

30、(1)、(2)處畫線語句的含義。

31

32、根據(jù)所顯示的配置信息，由inside 域發(fā)往Internet 的IP 分組，在到達路由器R1時的源 IP地址是 (7) 。

33、如果需要在dmz 域的服務(wù)器(1P地址為10.10.0.100) 對Internet 用戶提供Web 服務(wù) (對外公開IP 地址為61.144.51.43) ，請補充完成下列配置命令。

PIX(config)#static(dmz, outside) (8) (9)

PIX(config)#conduit permit tcp host (10) eq WWW any

試題五

閱讀以下說明，回答問題1至問題3，將解答填入對應(yīng)的解答欄內(nèi)。

某單位網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖5-1所示，要求配置IPsec VPN 使10.10.20.1/24網(wǎng)段能夠連通10.10.10.2/24網(wǎng)段，但10.10.30.1/24網(wǎng)段不能連通10.10.10.2/24網(wǎng)段。

34、根據(jù)網(wǎng)絡(luò)拓撲和要求，解釋并完成路由器R1上的部分配置。

R1(config)#crypto isakmp enable (啟用IKE.

R1(config)#crypto isakmp (1) 20 (配置IKE 策略20)

R1(config-isakmp)#authentication pre-share (2)

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 378 address 192.168.2.2 (配置預(yù)共享密鑰為378) R1(config)#access-list 101 permit ip (3) 0.0.0.255 (4) 0.0.0255

(設(shè)置ACL)

??

35、根據(jù)網(wǎng)絡(luò)拓撲和要求，完成路由器R2上的靜態(tài)路由配置。

R2(config)#ip route (5) 255.255.255.0192.168.1.1

n2(config)#ip route 10.10.30.0 255.255.255.0 (6)

R2(config)#ip route 10.10.10.0 255.255.255.0 192.168.2.2

36、根據(jù)網(wǎng)絡(luò)拓撲和R1的配置，解釋并完成路由器R3的部分配置。

R3(config)#crypto isakmp key (7) address (8)

R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac (9) R3(cfS-crypto-trans)#exit

R3(config)#crypto map test 20 ipsec-isakmp

R3(config-crypto-map)#setpeer192.168.1.1

R3(config-erypto-map)#settransform-set (10)

??

答案:

試題一

1、接入層

2、POE 或以太端口

[解析] 通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，將位于接入層和核心層之間的部分稱為分布層或匯聚層，接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機具有低成本和高端口密度特性；匯聚層交換機是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設(shè)備的

所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。而將網(wǎng)絡(luò)主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化、可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機應(yīng)擁有更高的可靠性、性能和吞吐量。 PoE 是一個可以在以太網(wǎng)路中透過雙絞線來傳輸電力到裝置上的技術(shù)。透過這項技術(shù)，我們可以供電給網(wǎng)絡(luò)電話、無線基地臺、網(wǎng)絡(luò)攝影機、集線器、電腦等不方便另外架設(shè)電源線的裝置。這項技術(shù)常常被跟同樣也是在同一條電纜上接收電源與資料(雖然是類比資料) 的傳統(tǒng)電話網(wǎng)絡(luò)(POTS)來進行對照。PoE 不需要更改以太網(wǎng)路的纜線架構(gòu)即可運作。3、11 4、54 5、D 6、

C 7、A

8、E

[解析] IEEE 802.11b 無線局域網(wǎng)的帶寬最高可達11Mbps ，比兩年前剛批準的IEEE 802.11標準快5倍，擴大了無線局域網(wǎng)的應(yīng)用領(lǐng)域。

IEEE 802.11g在2003年7月被通過。其載波的頻率為2.4GHz (跟802.1lb 相同) ，原始傳送速度為54Mbit/s，凈傳輸速度約為 24.7Mbit/s(跟802.11a 相同) 。802.11g 的設(shè)備向下與802.11b 兼容。 多進制數(shù)字頻率調(diào)制(MFSK)簡稱多頻制，是2FSK 方式的推廣。

OFDM ——OFDM(Orthogonal Frequency Division Multiplexing) 即正交頻分復(fù)用技術(shù)，實際上OFDM 是MCM Multi-CarrierModulation多載波調(diào)制的一種。其主要思想是：將信道分成若干正交子信道，將高速數(shù)據(jù)信號轉(zhuǎn)換成并行的低速子數(shù)據(jù)流，調(diào)制到在每個子信道上進行傳輸。正交信號可以通過在接收端采用相關(guān)技術(shù)來分開，這樣可以減少子信道之間的相互干擾ICI 。每個子信道上的信號帶寬小于信道的相關(guān)帶寬，因此每個子信道上的可以看成平坦性衰落，從而可以消除符號間干擾。而且由于每個子信道的帶寬僅僅是原信道帶寬的一小部分，信道均衡變得相對容易。

SSID 是Service Set Identifier 的縮寫，意思是服務(wù)集標識。SSID 技術(shù)可以將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng)絡(luò)，每一個子網(wǎng)絡(luò)都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進入本網(wǎng)絡(luò)。

9、SSID 或服務(wù)集標識符 10、MAC 或以太網(wǎng)網(wǎng)卡物理地址 11、WEP 12、WPA-PSK/WPA2-PSK

13、A

[解析] SSID，無線LAN 中經(jīng)常用到的一個特性是稱為SSID 的命名編號，它提供低級別上的訪問控制。SSID 通常是無線LAN 子系統(tǒng)中設(shè)備的網(wǎng)絡(luò)名稱；它用于在本地分割子系統(tǒng)。

WEP,IEEE 802.11b標準規(guī)定了一種稱為有線等效保密(或稱為WEP) 的可選加密方案，提供了確保無線LAN 數(shù)據(jù)流的機制。 WEP利用一個對稱的方案，在數(shù)據(jù)的加密和解密過程中使用相同的密鑰和算法。

Wi-Fi 保護接入(WPA)是改進WEP 所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。WPA 的功能是替代現(xiàn)行的WEP(Wired Equivalent Privacy) 協(xié)議。過去的無線LAN 之所以不太安全，是因為在標準加密技術(shù)“WEP ”中存在一些缺點。

WPA 是繼承了WEP 基本原理而又解決了WEP 缺點的一種新技術(shù)。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。

WPA 還追加了防止數(shù)據(jù)中途被篡改的功能和認證功能。

在802.11i 頒布之后，Wi —Fi 聯(lián)盟推出了WPA2，它支持AES (高級加密算法) ，因此它需要新的硬件支持，它使用CCMP(計數(shù)器模式密碼塊鏈消息完整碼協(xié)議) 。在WPA/WPA2中，PTK 的生成依賴PMK ，而PMK 的獲得有兩種方式，一個是PSK 的形式就是預(yù)共享密鑰，在這種方式中PMK=PSK，而另一種方式中，需要認證服務(wù)器和站點進行協(xié)商來產(chǎn)生PMK 。

試題二

14、(1)abc.edu

15、www

[解析] DNS服務(wù)配置問題，平時多加操作即可。

16、用IP 地址查詢對應(yīng)的域名，或者根據(jù)IP 地址查詢相應(yīng)的域名 17、210.43.16

18、WWW.abc.edu

[解析] 所謂DNS 服務(wù)器反向查詢，就是輸入IP 地址，可以查出域名。某些DNS 服務(wù)器支持的反向查詢(iquery)功能可使攻擊者獲得區(qū)域傳輸。識別出注冊到您的DNS 服務(wù)器的每臺計算機，并且可能被攻擊者用來更方便地了解您的網(wǎng)絡(luò)。甚至當(dāng)您在DNS 服務(wù)器上禁用了區(qū)域傳輸時，iquery 功能仍舊可以允許區(qū)域傳輸發(fā)生。由網(wǎng)絡(luò)A 中的IP 地址210.43.16.4得到網(wǎng)絡(luò)ID 。而主機名就是WWW.abc.edu 。

19、選中“啟用轉(zhuǎn)發(fā)器”復(fù)選框，在“IP 地址”文本框中輸入 51.202.22.18，單擊“添加”按鈕，再單擊“確認”或“應(yīng)用”按鈕。

[解析] DNS服務(wù)配置問題，平時多加操作即可。

20、A

[解析] 循環(huán)復(fù)用是DNS 服務(wù)器用于共享和分配網(wǎng)絡(luò)資源負載的本地平衡機制。如果發(fā)現(xiàn)主機名的多個ARR ，則可用它循環(huán)使用包含在查詢應(yīng)答中的主機(A)資源記錄(RR)。

在默認情況下，DNS 服務(wù)器的服務(wù)使用循環(huán)復(fù)用對資源記錄進行排序，這些資源記錄是在解析為多個映射RR 的主機名應(yīng)答中返回的。該功能提供了一種非常簡便的方法，用于對客戶機使用Web 服務(wù)器和其他頻繁查詢的多宿主計算機的負載平衡。

要使循環(huán)復(fù)用正常工作，必須首先在該區(qū)域中注冊所查詢名稱的多個ARR 。如果DNS 服務(wù)器禁用循環(huán)復(fù)用，那么這些查詢的響應(yīng)順序以應(yīng)答列表中RR 在區(qū)域(或者是它的區(qū)域文件，或者是Active Directory) 中存儲時的靜態(tài)排序為基礎(chǔ)。

21、故障原因：計算機PC5的默認網(wǎng)關(guān)地址參數(shù)沒置有誤

解決辦法：將計算機PC5的默認網(wǎng)關(guān)修改為192.168.0.3

[解析] 比較兩圖，不同的地力在在于IP 地址和默認網(wǎng)關(guān)，可以看出兩者的IP 地址是小于同一子網(wǎng)中，所以沒有問題，所以問題是出在默認網(wǎng)關(guān)上，即PC5的默認網(wǎng)關(guān)地址參數(shù)設(shè)置有誤，參照PC6的默認網(wǎng)關(guān)修改即可。

試題三

22、A

[解析] DHCP(Dynamic Host Configuration Protocol)動態(tài)主機配置協(xié)議為在同一網(wǎng)絡(luò)的主機自動分配動態(tài)IP 。在Linux 中/etc/dhcpd.conf即DHCP 服務(wù)默認的配置文件。

23、A

24、C

[解析] 建立dhcpd.conf 配置文件

#cp/eat/usr/share/doc/dhcp-3.0pll/dhcpd.conf.sample/etc/dhcpd.conf

dhcp 服務(wù)的啟動

#service dhcpd start

服務(wù)的停止

#service dhcpd stop

服務(wù)器重新啟動

#service dhcpd restart

25、52:54:AB:34:5B:09 26、192.168.1.100 27、255.255.255.0

28、192.168.1.254

29、192.168.1.3

[解析] 由hardware ethernet 52:54:AB:34:5B:09得出(4)題答案；

由fixed-address 192.168.1.100得出(5)題答案；

由option subnet-mask 255.255.255.0得出(6)題答案；

由option routers 192.168.1.254得出(7)題答案；

由option domain-name-servers 192.168.1.3得出(8)題答案。

試題四

30、(1)添加可監(jiān)聽的FTP 服務(wù)端口21

(2)定義外部默認路由61.144.51.45，跳數(shù)為1

[解析] fixup相當(dāng)于對某種fixup 后面的協(xié)議進行檢查，會根據(jù)該協(xié)議的要求檢查傳輸?shù)臄?shù)據(jù)是否符合標準。比如fixup smtp 之后，所有目的地是tcp 25端口的數(shù)據(jù)都會被當(dāng)作smtp 命令來進行檢查，如果傳輸?shù)臄?shù)據(jù)不是合法的smtp 命令，那么pix 會把可能有害的非法的指令修改成對服務(wù)器無害的命令送出。

防火墻route inside route outside是指路由的去向。route outside就是去外網(wǎng)的路由，反之，就是去內(nèi)網(wǎng)的路由。

31、(3)192.168.0.1 (4)255.255.255.248 (5)eth2

(6)10.10.10.1

[解析] 由此六句配置信息叮得答案：

nameif eth0 outside securlty0

nameif eth1 inside security100

nameif eth2 dmz security40

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 10.10.0.1 255.255.255.0。

32、61．144．51．46

[解析] 由global(outside)1 61.144.51.46此句可得答案。

33、(8)61.144.51.43 (9)10.10.0.100 (10)61.144.51.43

[解析] static命令配置語法：static(internal_if_name,external_if_name)outside_ip_address inside_ip_address，其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級別較高，如inside 。

external_if_name為外部網(wǎng)絡(luò)接口，安全級別較低，如outside 等。outside_ip_address為正在訪問的較低安全級別的接口上的ip 地址，inside_ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip 地址。

conduit permit | deny global_ip port<-port>protocol foreign_ip

permit | deny允許 | 拒絕訪問

global_ip指的是先前由global 或static 命令定義的全局IP 地址，如果global_ip為0，就用any 代替0；如果global_ip是一臺主機，就用host 命令參數(shù)。

port 指的是服務(wù)所作用的端口，例如www 使用80，smtp 使用25等，我們可以通過服務(wù)名稱或端口數(shù)字來指定端口。

protocol 指的是連接協(xié)議，比如TCP 、UDP 、ICMP 等。

foreign_ip表示可訪問global_ip的外部IP 。對于任意主機，可以用any 表示。如foreign_ip是一臺主機，就用host 命令參數(shù)。

試題五

34、policy (2)采用預(yù)共享密鑰認證方法 (3)10.10.20.0

(4)10.10.10.0

[解析] 一旦ISAKMP 被激活，我們需要為每一個策略實體定義五個策略參數(shù)。如果沒有定義策略，一個使用所有默認值的策略將會被使用。當(dāng)創(chuàng)建一個策略時，如果沒有顯式定義策略參數(shù)，默認的參數(shù)將會被使用。策略的參數(shù)及其默認值如下：

1．IKE 策略加密，默認值為數(shù)據(jù)加密標準(Data Encryption Standard, DES)；

2．IKE 策略哈希，默認值為Secure Hash Standard-1(SHA-1)；

3．IKE 密鑰交換，默認值為Diffie-Hellman Group 1(768-Bit)；

4．IKE 壽命，默認值為一天(86，400秒) ；

5．IKE 認證方式，默認值為RSA 公鑰。

你可能已經(jīng)知道節(jié)點是需要與一個通用ISAKMP 策略協(xié)商，以建立一個IPses 節(jié)點聯(lián)系。所以根據(jù)你想要連接的設(shè)備，你可能需要多個ISAKMP 策略。每一個ISAKMP 策略被賦予一個唯一的1～10 000之間的優(yōu)先級數(shù)。優(yōu)先級數(shù)為1的策略被認為是最高優(yōu)先級的策略。策略協(xié)商從策略數(shù)最接近于1的開始。通常的做法是從策略數(shù)為10的開始創(chuàng)建，這樣做的話當(dāng)你需要往生產(chǎn)環(huán)境的路由器中插入一個優(yōu)先級更高的策略時，你才有位置可以用。

下面是預(yù)共享密鑰的配置方法的標準的配置：router(config-isakmp) #authentication

pre-share 。

ACL 防問表。由Cisco 路由器保存用來為許多服務(wù)控制出/入此路由器的表(例如，為防止具有某一IP 地址的數(shù)據(jù)包停留在路由器某一特殊的接口上) 。

訪問表是管理者加入的一系列控制數(shù)據(jù)包在路由器中輸入、輸出的規(guī)則。它不是由路由器自己產(chǎn)生的。訪問表能夠允許或禁止數(shù)據(jù)包進入或輸出到日的地。

access-list acl-name{permit | deny} protocol sro_addr src_mask [operator port[port]]dest_addr dest_mask[operator prot[port]]

35、10.10.20.0 (6)192.168.1.1

[解析] 由拓撲圖可以看出n2通過R1的E0：192.168.1.1連接 10.10.20.0和10.10.30.0網(wǎng)絡(luò)，通過R3的E0：192.168.2.2連接 10.10.10.0網(wǎng)絡(luò)。

36、378 (8)192.168.1.1

(9)設(shè)置IPSec 變換集testvpn ，AH 鑒別采用ah-md5-hmac ， ESP加密采用esp-des ，ESP 認證采用esp-md5-hmac 。

(10)testvpn

[解析] 由R1 (config)# crypto isakmp key 378 address 192.168.2.2得(7)(8)題答案。 用crypto ipsec transform-set命令配置變換集；

例如：crypto ipsec transform-set transform-set-name transform1

[transform2[transfonrk3]]。

setpeer ××. ××. ××. ××(指定此VPN 鏈路，對端的IP 地址) 。

routerA(config-crypto-map)#set transform-set test(IPSec傳輸模式的名字)