軟件水平考試(中級(jí))網(wǎng)絡(luò)工程師下午

(應(yīng)用技術(shù))試題模擬試卷15

一、試題一(本題共3題，每題1.0分，共3分。)

閱讀以下基于VPN網(wǎng)絡(luò)互連的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的技術(shù)說(shuō)明，根據(jù)要求回答問(wèn)題I至

問(wèn)題3。【說(shuō)明】某軟件開(kāi)發(fā)公司總部和子公司A、子公司B分別位于3個(gè)不同

的省城，公司總部通過(guò)一臺(tái)帶VPN功能的防火墻與Internet連接。該防火墻支持

PPTP、L2TP、IPsec,SSL等VPN接入?yún)f(xié)議，各子公司指定網(wǎng)段的主機(jī)可以通過(guò)

VPN接入到公司總部的網(wǎng)段(/24)進(jìn)行軟件的協(xié)同開(kāi)發(fā)，其VPN網(wǎng)絡(luò)互

連的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4-4所示。

PCIVCn內(nèi)部附務(wù)以

公司總部/24

圖4YVPN網(wǎng)絡(luò)4連的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

1、L2Tp協(xié)議是一種基于(1)協(xié)議的二層隧道協(xié)議，它結(jié)合了Cisco的L2F和

MicrosoftPPTP的優(yōu)點(diǎn)。該協(xié)議報(bào)文在傳輸層封裝⑵協(xié)議之上，為了保證傳輸?shù)目?/p>

靠性，L2Tp協(xié)議對(duì)控制報(bào)文采取了⑶機(jī)制，并要求tunnel對(duì)端設(shè)備在隧道

(lunnel)建立之后，定期交互hello報(bào)文。

標(biāo)準(zhǔn)答案：(l)PPP協(xié)議(2)UDP(3)報(bào)義丟失重任機(jī)制

知識(shí)點(diǎn)解析：這是一道要求讀者掌握L2Tp協(xié)議特點(diǎn)的問(wèn)答題。對(duì)于本題的解答需

要讀者掌握以下幾個(gè)知深點(diǎn)：1)L2Tp協(xié)議是一種基于PPP協(xié)議的二層隧道協(xié)一義，

其報(bào)文封裝在UDP之上，使用UDP1701端口。圖4-11示意了L2Tp數(shù)據(jù)幀的部

分封裝結(jié)構(gòu)。

封裝后的IP封裝前的IP

DMACSMAC0x0800UDP頭L2Tp頭PPPProID

頭頭

圖4-12L21P數(shù)據(jù)幀部分封裝結(jié)構(gòu)圖

2)在L2Tp構(gòu)建的VPN網(wǎng)絡(luò)中，主要有L2Tp訪問(wèn)集中器(LA。和L2Tp網(wǎng)絡(luò)服務(wù)

器（LNS）兩種關(guān)鍵的網(wǎng)絡(luò)設(shè)備。其中LAC是一種附屬在網(wǎng)絡(luò)上的具有PPP端系統(tǒng)

和L2TPv2協(xié)議處理能力的設(shè)備，它一般就是一個(gè)網(wǎng)絡(luò)接入服務(wù)器軟件，在遠(yuǎn)程客

戶端完成網(wǎng)絡(luò)接入服務(wù)的功能。在圖4-4所示的拓?fù)浣Y(jié)構(gòu)中，對(duì)于各子公司來(lái)說(shuō)可

以把LNS看成是一種在PPP端系統(tǒng)上用于處理L2Tp協(xié)議服務(wù)器端的軟件，即路

由器Router完成LNS服務(wù)器接入功能。3）在圖4-5所示的拓?fù)浣Y(jié)構(gòu)中，LAC與

LNS之間采用數(shù)據(jù)觸發(fā)來(lái)建立隧道（tunnel）連接和會(huì)話（session）連接。其中，session

連接復(fù)用在tunnel連接之上。4）在L2TPVPN網(wǎng)絡(luò)中存在著兩種L2Tp報(bào)文—控

制報(bào)文和數(shù)據(jù)報(bào)文。其中L2Tp控制報(bào)文用于完成L2TPtunnel和session的建立、

維護(hù)與拆除等功能。L2Tp數(shù)據(jù)報(bào)文是指承載用戶數(shù)據(jù)的PPP會(huì)話數(shù)據(jù)包。5）由于

L2Tp協(xié)議建立在不可靠、無(wú)傳送順序的數(shù)據(jù)報(bào)協(xié)議UDP之上，為了保證報(bào)文傳輸

的可靠性，L2Tp對(duì)控制報(bào)文采取了報(bào)文丟失重傳機(jī)制，并要求隧道（tunnel）對(duì)端

設(shè)備在runnel建立之后，定期交互hello報(bào)文（即keepalive機(jī)制）。

2、公司總部和各子公司在VPN特定網(wǎng)段的主機(jī)數(shù)如表4-4所示。

表4-4公司總部和各子公司VPN網(wǎng)段主機(jī)數(shù)表

部門主機(jī)數(shù)量部門主機(jī)數(shù)量

公司總部50臺(tái)子公司B20臺(tái)

子公司A25臺(tái)該公司采用一個(gè)C

類地址塊/24米組建VPN虛擬專用網(wǎng)，請(qǐng)將表4-5中的（4）?⑻處空缺

的可分配的主機(jī)地址范圍或子網(wǎng)掩碼填寫(xiě)完整。

M4-5公司總部和各子公司VPN網(wǎng)段的主機(jī)地址、子網(wǎng)撞碼賽

部n可分配的主機(jī)境址范BD子網(wǎng)冷碼

子公司A102.16810.65-(4)⑸

子公"IB(6)-(7)255.255.255,224

公司總部(8)-192.16810.19092

標(biāo)準(zhǔn)答案:(4)4(5)24(6)7(7)26

(8)29

知識(shí)點(diǎn)解析：這是一道要求讀者掌握變長(zhǎng)子網(wǎng)掩碼（VLSM）進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的分

析理解題。試題中已給出了VLSM的設(shè)計(jì)，讀者只需依照子網(wǎng)掩碼等信息填寫(xiě)可

分配的主機(jī)地址范圍。本題的解答思路如下。1）由題干關(guān)鍵信息“某軟件開(kāi)發(fā)公司

總部和子公司A、子公司B分別位于3個(gè)不同的省城”，且從表4-4可知，公司總

部和各子公司所擁有的主機(jī)數(shù)各不相同，因此需要對(duì)已給出的C類地址塊一

/24進(jìn)行子網(wǎng)化。2）試題中/24的“/24”表示子網(wǎng)掩碼為24

位掩碼的255.255.2550由于試題中有“公司總部”、“子公司A”、“子公司B”等3

個(gè)子網(wǎng)，因此需將掩碼于展2位（共26位，即92）,以產(chǎn)生22=4個(gè)子

網(wǎng)（子網(wǎng)號(hào)分別為00、01、10、11）。因?yàn)樽泳W(wǎng)號(hào)全0、全1的子網(wǎng)被保留，于是還

剩下2個(gè)子網(wǎng)可供分配,在“/24”地址中用于表示主機(jī)部分的最右邊8

位中剩下的6位，由于26=64,因此每個(gè)子網(wǎng)中獨(dú)立的主機(jī)地址有64個(gè)，其中全0

的地址被保留標(biāo)志子網(wǎng)本身，全1的地址被保留用做該子網(wǎng)的廣播地址，這樣剩余

的62個(gè)IP地址能夠滿足該公司總部50臺(tái)主機(jī)的要求。而另一個(gè)子網(wǎng)地址可按同

樣的分析思路再次劃分，以分配給子公司A、子公司B。3）公司總部可分配的主機(jī)

地址范圍求解過(guò)程見(jiàn)表4-7示。

表4-7公司總部可分配的主機(jī)地址范圍分析表

步驟項(xiàng)目數(shù)值

①已知的子網(wǎng)掩碼255.255.255.192

②該子網(wǎng)掩碼轉(zhuǎn)化為二進(jìn)制敷形式11111111.11111111.11111111.11000000

③已知的工P地址90

④該IP地址轉(zhuǎn)化為二進(jìn)制數(shù)形式11000000.10101000.00001010.10111110

⑤將以上2個(gè)二進(jìn)制數(shù)進(jìn)行AND運(yùn)算11000000.10101000.00001010.10000000

⑥故網(wǎng)段地址為28/26

⑦該子網(wǎng)中獨(dú)立的主機(jī)地址范圍192.168.10,128—91

⑧子網(wǎng)中可分配的主機(jī)地址范圍29?90

4)由以上分析可知，公司總部使用的子網(wǎng)號(hào)為“10”，可分配的主機(jī)地址范圍為

29-90,又由于該公司總部有50臺(tái)主機(jī)，需要使用的主機(jī)

位為6位(25=32V50V26=64),因此(8)空缺處應(yīng)填入29o5)由于

公司總部的網(wǎng)段地址為28,因此各子公司只能在網(wǎng)段地址為

4的子網(wǎng)中再進(jìn)行劃分，即對(duì)于子網(wǎng)掩碼為92的另一個(gè)

可用的子網(wǎng)號(hào)為“01”,子公司A、子公司B的子網(wǎng)掩碼需要在92基

礎(chǔ)上擴(kuò)展一位，也就是說(shuō)，子公司A或子公司B需要使用的子網(wǎng)號(hào)為“010”或

“011”。6)由試題中已給出的子公司B的子網(wǎng)掩碼“24”可知，該

掩碼將掩碼擴(kuò)展了3位，每一個(gè)子網(wǎng)可供分配的主機(jī)數(shù)為25-2=30臺(tái)。由于24-

2=14<20<25<25-2=30,因此每個(gè)子網(wǎng)可供分配的30個(gè)主機(jī)地址能夠滿足了公司

A的25臺(tái)主機(jī)、子公司B的20臺(tái)主機(jī)的要求。由此可推理出(5)空缺處所填寫(xiě)的

內(nèi)容是“24”。7)子公司A可分配的主機(jī)地址范圍求解過(guò)程見(jiàn)表4-

8o

表4-8于公司A可分配的主機(jī)地址范圍分析表

步驟項(xiàng)目數(shù)值

①推理得到的子網(wǎng)掩碼255.255.255.224

②該子屈掩碼轉(zhuǎn)化為二進(jìn)制數(shù)形式11111111.11111111.11111111.11100000

③已知的IP地址5

④該IP地址轉(zhuǎn)化為二進(jìn)制數(shù)形式11000000.10101000.00001010.01000001

⑤將以上2個(gè)二進(jìn)制數(shù)進(jìn)行AND運(yùn)算11000000.10101000.00001010.01000000

⑥故網(wǎng)段地址為4/27

?該子圈中獨(dú)立的主機(jī)地址范圍4?5

⑧子掰中可分配的主機(jī)地址范圍5?4

8)由以上分析可知，子公司A使用的子網(wǎng)號(hào)為“010”，可分配的主機(jī)地址范圍為

5?4,因此(4)空缺處應(yīng)填入的內(nèi)容是“4”。

9)由題干的關(guān)鍵信息、“各子公司指定網(wǎng)段的主機(jī)可以通過(guò)VPN接入到公司總部的網(wǎng)

段(/24)進(jìn)行軟件的協(xié)同開(kāi)發(fā)”可知，子公司B在VPN專用虛擬網(wǎng)中的

IP地址也應(yīng)處于/24網(wǎng)段。10)子公司B可分配的主機(jī)地址范圍求

解過(guò)程見(jiàn)表4-9o

表4-9子公司B可分配的主機(jī)地址范圍分析表

步驟項(xiàng)目數(shù)值

①子公司B所處的VPN刖段地址/24

②該IP地址轉(zhuǎn)化為二進(jìn)制數(shù)形式11000000.19101000.00001010.00000000

③已知子公司B的子網(wǎng)掩碼255.255.255.224

④該子網(wǎng)掩碼轉(zhuǎn)化為二進(jìn)制數(shù)形式11111111.11111111.11111111.11100000

⑤子公司B可使用的子網(wǎng)號(hào)011

⑥子公司B的二進(jìn)制網(wǎng)段地址為11000000.19101000.00001010.01100000

?子公司B的十進(jìn)制網(wǎng)段地址為6/27

⑧該子網(wǎng)中獨(dú)立的主機(jī)地址范圍6?227

⑨子網(wǎng)中可分配的主機(jī)地址范圍7—26

11)由以上分析可知，子公司B使用的子網(wǎng)號(hào)為“011”，可分配的主機(jī)地址范圍為

7?26,因此⑹空缺處應(yīng)填入的內(nèi)容是力因.168.10.97”,(7)

空缺處應(yīng)填入的內(nèi)容是“26”。

3、在圖4-4所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，公司總部的主機(jī)PC1無(wú)法訪問(wèn)位于Internel

網(wǎng)的等網(wǎng)站，做如下檢查：1)查看網(wǎng)上鄰居，發(fā)現(xiàn)該P(yáng)C機(jī)可以訪問(wèn)

子公司A內(nèi)其他主機(jī)。2)在主機(jī)PC1上使用(9)命令來(lái)檢查與路由器內(nèi)網(wǎng)接口的連

通性，結(jié)果正常。3)在主機(jī)PC1上使用(10)協(xié)議登錄到路由器的配置模式，以查看

路由器的配置信息。4)如果在路由器的配置模式下用showarp直看(11)表，發(fā)現(xiàn)路

由器的MAC地址與工作人員以前保存在該表中的MAC地址不同，而是公司內(nèi)部

某個(gè)用戶的MAC地址。進(jìn)入到路由器的(12)模式，將該接口關(guān)閉后重新激活，路

由器新的ARP表更新了到路由器的子接口MAC地址，隨后主機(jī)PCI能正常登錄

Internet的網(wǎng)站。可以采用(13)方法防止IP地址被盜用。5)如果主機(jī)

PC1可以通過(guò)域名訪問(wèn)位于Internet網(wǎng)中的某臺(tái)FTP服務(wù)器，但該P(yáng)C機(jī)無(wú)法訪問(wèn)

網(wǎng)站。在路由器的配置模式下用(14)命令檢查路由器的訪問(wèn)控制列

表，發(fā)現(xiàn)有問(wèn)題，那么造成該現(xiàn)象的故障原因可能是(15)。【可供選擇的答案】

(9)A.arpB.netstatC.nslookup

D.irauerlwww.lesl.uoni(10)A.ARPB.FTPC.TELNETD.SSL(13)A.設(shè)置

包訪問(wèn)過(guò)濾規(guī)則B.IP地址與MAC地址進(jìn)行綁定C.IP地址與子網(wǎng)掩碼進(jìn)行綁定

D.IP地址與路由器地址進(jìn)行綁定(15)A.主機(jī)PC1的網(wǎng)關(guān)配置錯(cuò)誤B.主機(jī)PC1

的DNS服務(wù)器地址配置錯(cuò)誤C.主機(jī)PC1的子網(wǎng)掩碼配置錯(cuò)誤D.路由器對(duì)主機(jī)

PC1訪問(wèn)Web服務(wù)器的權(quán)限進(jìn)行了限制

標(biāo)準(zhǔn)答案：(9)D,或tracert(10)C,或TELNET(11)地址解析協(xié)議

(12)子接口配置(13)B,或IP地址與MAC地址進(jìn)行綁定(14)showaccess-list(15)

D,或路由器對(duì)該P(yáng)C機(jī)訪問(wèn)web服務(wù)器的權(quán)限進(jìn)行了限制

知識(shí)點(diǎn)解析：這是一道要求讀者根據(jù)網(wǎng)絡(luò)故障現(xiàn)象進(jìn)行故障排除的分析理解題。本

題的解答思路如下。1)在安裝有Windows98/2000/XP/2003系列的操作系統(tǒng)中，

tracert是系統(tǒng)中一個(gè)路日跟蹤命令。通過(guò)該命令的返回結(jié)果，可以獲得本地到達(dá)目

標(biāo)主機(jī)所經(jīng)過(guò)的路由器數(shù)目。其命令語(yǔ)法是：tracer][-d][-hmaximum_hops][-j

host-list][-wtimeout]target_nameo其中，選項(xiàng)"-d”表示不需要把IP地址轉(zhuǎn)換成域

名；選項(xiàng)“-hmaximumhops”用于設(shè)置允許跟蹤的最大跳數(shù)；選項(xiàng)”-jhost-list”可列

出所經(jīng)過(guò)的主機(jī)列表；選項(xiàng)”?wtimeout”用于設(shè)置每次回復(fù)的最大允許延時(shí)。2）執(zhí)

行tracert命令可測(cè)試出從主機(jī)PCI到網(wǎng)站的IP數(shù)據(jù)報(bào)

轉(zhuǎn)發(fā)路徑，也可間接檢查與路由器內(nèi)網(wǎng)接U的連通性。（9）空缺處的選項(xiàng)C——

“nslookup”可用于查看域名為網(wǎng)站所對(duì)應(yīng)的IP地址。

選項(xiàng)A（arp）和選項(xiàng)B（netstat）的命令語(yǔ)法（格式）是錯(cuò)誤

的。3）在主機(jī)PC1上使用telnet協(xié)議登錄到路由器，并進(jìn)入路由器的配置模式，以

查看路由器的配置信息。4汝口果在路由器的配置模式下用showarp查看地址解析

協(xié)議表，發(fā)現(xiàn)路由器的MAC地址與工作人員以前保存在該表中的MAC地址不

同，而是公司內(nèi)部某個(gè)用戶的MAC地址。進(jìn)入到路由器的子接口配置模式，將該

接口關(guān)閉后重新激活，路山器新的ARP表更新了到路由器的子接口MAC地址，

隨后主機(jī)PCI能正常登錄Intenet網(wǎng)的網(wǎng)站，故障排除。5）在進(jìn)行網(wǎng)

絡(luò)管理時(shí)，通常可以采用IP地址與MAC地址進(jìn)行綁定的方法以防止IP地址被盜

用。6）在路由器的配置模式下，可以使用showipirnne觀察路由表，或使用show

access-list命令檢查路由器的訪問(wèn)控制列表。試題中已給出關(guān)鍵信息“可以訪問(wèn)子

公司A內(nèi)其他主機(jī)”，說(shuō)明主機(jī)PC1的IP地址、子網(wǎng)掩碼均已正確配置。由于試

題假設(shè)了“主機(jī)PC1可以通過(guò)域名訪問(wèn)位于Inlemet網(wǎng)中的某臺(tái)FTP服務(wù)器”，因此

間接說(shuō)明了主機(jī)PC1的網(wǎng)關(guān)地址、DNS服務(wù)器地址也都正確配置了。因此造成該

PC機(jī)無(wú)法訪問(wèn)網(wǎng)站的原因可能足路由器對(duì)主機(jī)PC1訪問(wèn)Web服務(wù)

器的權(quán)限進(jìn)行了限制等。

二、試題二（本題共5題，每題1.0分，共5分。）

閱讀以下基于Windows2003操作系統(tǒng)架構(gòu)DNS服務(wù)器的技術(shù)說(shuō)明，根據(jù)要求回答

問(wèn)題1至問(wèn)題5。【說(shuō)明】域名系統(tǒng)（DNS）負(fù)責(zé)主機(jī)名稱與其所對(duì)應(yīng)的IP地址之

間的解析。在一臺(tái)已安裝有Windows2003操作系統(tǒng)的服務(wù)器上開(kāi)啟DNS服務(wù)，并

已分別創(chuàng)建“正向搜索區(qū)域''和"反向搜索區(qū)域“，其DNS控制臺(tái)窗口如圖5-12所

示。該服務(wù)器1000Mb/s網(wǎng)卡配置了一個(gè)力的IP地址,現(xiàn)在要求能將該

IP地址與“.crT、“”和3個(gè)域名對(duì)應(yīng)起來(lái)。

圖5-12DNS控制介窗H

4、配置Windows2003DNS服務(wù)器的第一步是，為該服務(wù)器分配一個(gè)(1)IP地址，

然后在“高級(jí)TCP/IP設(shè)置”的配置界面(如圖5-13所示)中，單擊“DNS服務(wù)播地址”

欄中的【添加】按鈕，在彈出的對(duì)話框中輸入DNS地址為(2)。另外，還需要選中

圖5-13中“附加主要的和連接特定的DNS后綴(P)”這一單選按鈕，并同時(shí)選中“(3)”

肉袋TCP/IP設(shè)量，.蝌

"設(shè)置g|ras|透段|

iDXS*若題地址的使用修序桂列)0P：

?一—H一」■

—⑥...I匚?吃上I-」II

下列三個(gè)&式應(yīng)用TMTTJB用TCP/IFm?.要解析不合格的

名稀：

r用加主要的就王接I?定的DMS后絹9

F*城：，的，贏硒攵/第3)；

"附加這砧DKS后爆05聯(lián)序)00：

h―一■2J

畫(huà)菽31.&I苗心」I

此連攫的D史后螺6：

廠在DMS中注用比連覆的地址電)

「在泗《惋中使用比直接的Q修徉―

"定|一帚

和“(4)”等復(fù)選框。圖5-13”高級(jí)TCP/IP設(shè)置”聞置界血

標(biāo)準(zhǔn)答案：⑴靜態(tài)的⑵(3)附加主DNS后綴的父后綴(X)(4)在DNS中

注冊(cè)此連接的地址？

知識(shí)點(diǎn)解析：這是一道要求讀者掌握DNS服務(wù)器TCP/IP配置的分析理解題。本題

的解答思路如下。1)配置Windows2003DNS服務(wù)器的第一步是，為該服務(wù)器分配

一個(gè)靜態(tài)的IP地址。因?yàn)榈刂返膭?dòng)態(tài)更改會(huì)使客戶端與DNS服務(wù)器失去聯(lián)系，所

以DNS服務(wù)器不能使用動(dòng)態(tài)分配的IP地址。2)打開(kāi)網(wǎng)絡(luò)連接，然后使用右鍵杳看

本地連接的屬性。接著選中“internet協(xié)議(TCP/IP)”，并查看其屬性，然后單擊鼠

標(biāo)［高級(jí)］按鈕，并選中“DNS”選項(xiàng)卡，系統(tǒng)將彈出如圖5-13所示的配置界面。在此

界面中可點(diǎn)擊“DNS服務(wù)器地址”欄中的［添力H］按鈕，在彈出的對(duì)話框中輸入DNS

地址為,即⑵空缺處的答案是“”。此空缺處所填寫(xiě)的內(nèi)容來(lái)

源于圖5-12所示的DNS控制臺(tái)窗口中“WWW”主機(jī)的IP地址()。3)另

外，還需要選中圖5?13所示界面中“附加主要的和連接特定的DNS后綴(P戶這一單

選按鈕，然后選中“附加主DNS后綴的父后綴(X)”和“在DNS中注冊(cè)此連接的地址

(R)”等復(fù)選框。4)提醒注意的是，這臺(tái)運(yùn)行WindowsServer2003的DNS服務(wù)器必

須將“TCP/IP協(xié)議”配置中將其DNS地址指定為它本身。

5、在DNS服務(wù)器的“新建區(qū)域”配置過(guò)程中，區(qū)域類型主要有主要區(qū)域、輔助區(qū)

域、存根區(qū)域等。如果要?jiǎng)?chuàng)建可以直接在此服務(wù)器上更新區(qū)域的副本，則區(qū)域類型

應(yīng)選擇“(5)”。存根區(qū)域只包含標(biāo)識(shí)該區(qū)域的權(quán)威DNS服務(wù)器所需的(6)。如果已

知主機(jī)的IP地址，可以從圖5-12所示的DNS控制臺(tái)窗口中的“⑺”獲得該主機(jī)的

域名。

標(biāo)準(zhǔn)答案：(5)主要區(qū)域(6)資源記錄⑺反向搜索區(qū)域

知識(shí)點(diǎn)解析：這是一道要求讀者掌握DNS服務(wù)器新建區(qū)域配置過(guò)程的分析理解

題。本題的解答思路如下。1)依次單擊“開(kāi)始-程序-管理工具-DNS”，進(jìn)入如圖

5-12所示的DNS控制臺(tái)窗口。接著用鼠標(biāo)右鍵單擊”正向搜索區(qū)域”，然后選擇“新

建區(qū)域”。當(dāng)“新建區(qū)域向?qū)А眴?dòng)后，單擊【下一步］按鈕。2)接著系統(tǒng)將提示選擇

區(qū)域類型。區(qū)域類型包話主要區(qū)域、輔助區(qū)域、存根區(qū)域等。其中，主要區(qū)域可以

創(chuàng)建直接在此服務(wù)器上更新的區(qū)域的副本，此區(qū)域信息存儲(chǔ)在一個(gè).dns文本文件

中。而標(biāo)準(zhǔn)輔助區(qū)域從它的主DNS服務(wù)器復(fù)制所有信息。主DNS服務(wù)器可以是為

區(qū)域復(fù)制而配置的ActiveDirectory區(qū)域、主要區(qū)域或輔助區(qū)域。存根區(qū)域只包含

標(biāo)識(shí)該區(qū)域的權(quán)威DNS服務(wù)器所需的資源記錄，這些資源記錄包括郵件交換機(jī)

(MX)、名稱服務(wù)器(NS)、起始授權(quán)機(jī)構(gòu)(SOA)、主機(jī)資源記錄(A)和別名資源記錄

(CNAME)等。3)如果要?jiǎng)?chuàng)建可以直接在此服務(wù)器上更新區(qū)域的副本，則區(qū)域類型

應(yīng)選擇“主要區(qū)域”，即(5)空缺處的答案是“主要區(qū)域”。提醒注意的是，如果選擇

“輔助區(qū)域”類型，則用戶無(wú)法修改輔助DNS服務(wù)器上的區(qū)域數(shù)據(jù)，所有數(shù)據(jù)都是

從主DNS服務(wù)器復(fù)制而來(lái)的。4)Windows2003的DNS服務(wù)器中有“正向搜索區(qū)

域''和"反向搜索區(qū)域''等兩種類型的搜索區(qū)域。其中“正向搜索區(qū)域”用來(lái)處理正向

解析，即把主機(jī)名解析為IP地址；而“反向搜索區(qū)域”用來(lái)處理反向解析，即把IP

地址解析為主機(jī)名。因此⑺空缺處所填寫(xiě)的內(nèi)容是，反向搜索區(qū)域”。

6、如果該服務(wù)器需要解析來(lái)自它的Internet服務(wù)提供商的名稱，則必須進(jìn)行⑻的

配置。

標(biāo)準(zhǔn)答案：DNS轉(zhuǎn)發(fā)器

知識(shí)點(diǎn)解析；這是一道要求讀者掌握DNS轉(zhuǎn)發(fā)器基本概念的分析理解題。本題所

涉及到的知識(shí)點(diǎn)有：1)在WindowsServer2003操作系統(tǒng)中可以充分利用DNS轉(zhuǎn)發(fā)

器，即該功能用于實(shí)現(xiàn)將本DNS服務(wù)器無(wú)法在其區(qū)域中找到資源記錄的請(qǐng)求發(fā)送

給另一臺(tái)DNS服務(wù)器的功能，以進(jìn)一步嘗試性地進(jìn)行DNS解析。2)配置DNS服

務(wù)器的轉(zhuǎn)發(fā)器功能的操作步驟是，①在如圖5-12所示的DNS控制臺(tái)窗口中，用鼠

標(biāo)右鍵單擊DNS服務(wù)器(ServerName)并在所彈出的右健菜單中選中［屬性］命令，然

后單擊“轉(zhuǎn)發(fā)器”選項(xiàng)卡；②單擊“DNS域”列表中的一個(gè)DNS域(或者單擊|新劇按

鈕，在DNS“域框”中鍵入希望轉(zhuǎn)發(fā)查詢的DNS域的名稱，然后單擊［確定］按鈕)。

③在所選域的轉(zhuǎn)發(fā)器IP地址框中，鍵入希望轉(zhuǎn)發(fā)到的第?個(gè)DNS服務(wù)器的IP地

址，然后單擊［添加|按鈕(可重復(fù)此步驟用于添加多個(gè)希望隹發(fā)到的DNS服務(wù)器地

址)。④最后單擊［確定］按鈕完成DNS轉(zhuǎn)發(fā)器配置工作。

7、在圖5-12所示的DNS控制臺(tái)窗口中，用鼠標(biāo)右鍵單擊“”區(qū)域，并在

所彈出的菜單中選擇【新建別名】命令，系統(tǒng)將彈出一個(gè)如圖5-14所示的“別名”

資源記錄配置界面。請(qǐng)用200字以內(nèi)的文字說(shuō)明耍實(shí)現(xiàn)題干的配置要求，應(yīng)如何在

圖5-14所示的界面中做相應(yīng)的配置。

■建蜜?記錄

別53皿）|

別名g果為生則使用其父域）（S）

I

亮全合格的域名（FQDI）Q!）：

eoacn

目標(biāo)主機(jī)6院全合格的域名（TQDM）Q）:

「_|；酈8?

r當(dāng)他記錄過(guò)時(shí)時(shí)刪除它@）

記錄時(shí)間數(shù)6）：

生存時(shí)間CTTL)a)：P：1：。0(DDDDDKXMMSS)

喻|取消|

1*15-14”別名CNAME”旭置界的

標(biāo)準(zhǔn)答案：①在“別名”欄輸入“ftp”，“目標(biāo)主機(jī)的完全合格的名稱”欄輸入

“"，單擊［確定］按鈕創(chuàng)建一個(gè)名為“''的別名記錄

②“別名”欄保持為空，“目標(biāo)主機(jī)的完全合格的名稱”欄輸入“"，但

2擊［確定］按鈕創(chuàng)建一個(gè)名為“”的別名記錄

知識(shí)點(diǎn)解析：這是一道要求讀者根據(jù)實(shí)際應(yīng)用要求進(jìn)行DNS服務(wù)器“別名”資源記

錄配置的實(shí)踐操作題。本題的解答思路如下。1）題干所給出的配置要求是，能將

該DNS服務(wù)器的IP地址與“"、“”和

3個(gè)域名對(duì)應(yīng)起來(lái)。2）在圖5-12所示的DNS控制臺(tái)窗口中，已在正

向搜索區(qū)域建立了主機(jī)“”域名與地址的映射關(guān)系，即

已成功創(chuàng)建了一個(gè)主機(jī)汜錄o3）在圖5-14所示的“別名CNAME”

配置界面中，“別名”欄輸入“即”，”目標(biāo)主機(jī)的完全合格的名稱”欄輸入

“"（或用濟(jì)瀏覽”逐步選擇），最后單擊［確定］按鈕即可為

“”建立一個(gè)名為“”的別名記錄。4）如果在圖5-14所

示的“別名CNAME”配置界面中，“別名”欄不填寫(xiě)任何內(nèi)容（保持為空），“目標(biāo)主機(jī)

的完全合格的名稱”欄輸入“WWW."（或用“瀏覽”逐步選擇），最后單擊［確

定I按鈕即可為“”建立一個(gè)名為“”的別名記錄。

8、可以采用Windows操作系統(tǒng)的命令來(lái)測(cè)試響題4”的配置是否成功，以下（9）命

令不能完成此任務(wù)。若想通過(guò)域名“”也能訪問(wèn)到IP地址為

“”的主機(jī)，應(yīng)在“正向搜索區(qū)域”中添加(10)的資源記錄類型。【供選擇

的答案】(9)A.pingB.netstatC.nslookup

D.ping(10)A.NSB.SOAC.PTRD.CNAME

標(biāo)準(zhǔn)答案：(9)B,gcnetstat(10)D,或CNAME

知識(shí)點(diǎn)解析：這是一道耍求讀者掌握Windows操作系統(tǒng)的命令測(cè)試DNS服務(wù)器配

置的實(shí)踐操作題。本題的解答思路如下。1)由“問(wèn)題4”的要求分析可知，該問(wèn)題主

要完成主機(jī)別名的配置任務(wù)。2)ping命令可用于檢查網(wǎng)絡(luò)上的DNS服務(wù)器是否正

在工作。通過(guò)"ping"、“ping”命令可檢查該DNS服務(wù)器的

別名資源記錄“"、“”是否正確配置。3)nslookup

命令用于完成將“”這一域名到其所對(duì)應(yīng)的IP地址的番詢，它也可檢查該

DNS服務(wù)器的別名資源記錄“.crT是否正確配置。4)使用netstat-an命令可

以數(shù)字格式顯示所測(cè)試網(wǎng)絡(luò)的所有連接、地址及端口；使用netstat-s命令可以顯

示IP、ICMP、TCP、UDP協(xié)議的統(tǒng)計(jì)信息；使用nelslat-s命令可以顯示以太網(wǎng)統(tǒng)

計(jì)信息；使用netstat-o命令可以顯示與每個(gè)連接相關(guān)所屬進(jìn)程ID。而選項(xiàng)B的

“netstat代.crT的命令語(yǔ)法是錯(cuò)誤的。5)在實(shí)際應(yīng)用中，一臺(tái)DNS服務(wù)器

可以同時(shí)擁有多個(gè)不同的主機(jī)名稱，而這種應(yīng)用需求是通過(guò)創(chuàng)建別名資源記錄

(CNAME)的方法來(lái)實(shí)現(xiàn)的。所謂別名(Alias)是指可通過(guò)另外一個(gè)主機(jī)名稱訪問(wèn)該

計(jì)算機(jī)。CNAME資源記錄是DNS中的規(guī)范名(CrilcrionNAME)資源記錄，它可以

為其他記錄(例如主機(jī)地址(A)記錄)建立一個(gè)別名。

三、試題三(本題共4題，每題1.0分，共4分。)

認(rèn)真閱讀以下關(guān)于PGP軟件的使用說(shuō)明，根據(jù)要求回答問(wèn)題1至問(wèn)題4。【說(shuō)

明】在Internet網(wǎng)絡(luò)中，安全認(rèn)證和保密業(yè)務(wù)的需求隨著通信量、業(yè)務(wù)種類的增加

而增加。廣泛應(yīng)用于Iniernet網(wǎng)絡(luò)的E-mail系統(tǒng)的PGP(PrettyGoodPrivacy)軟件，

是一個(gè)十分小巧卻又強(qiáng)而有力的加密軟件，可以用它保護(hù)文件、郵件，磁盤空間

等.

9、PGP協(xié)議采用RSA和IDEA兩種加密算法組成鏈?zhǔn)郊用荏w系，這種方案的優(yōu)點(diǎn)

是(1)。PGP還可以對(duì)電子郵件進(jìn)行認(rèn)證，認(rèn)證機(jī)制是用MD5算法產(chǎn)生(2)位的報(bào)文

摘要，發(fā)送方用自己的RSA私鑰對(duì)(3)進(jìn)行加密，附加在郵件中進(jìn)行傳送。公鑰只

用來(lái)加密(4),文件是用會(huì)話密鑰加密的。其中，(5)是一次性使用的，避免了執(zhí)行

交換密鑰的握手協(xié)議，提高了安全性。【供選擇的答案［(1)A.可以組合成一種

新的加密算法，從而避免專利技術(shù)的困擾B.兩種算法互相取長(zhǎng)補(bǔ)短，從而提高了

信息的保密性C.既有【DEA算法的保密性，又有RSA體系的快捷性D.既有

IDEA算法的快捷性，又有RSA體系的保密性(2)A.512B.256C.128D.64

⑶A.會(huì)話密鑰B.IDEA密鑰C.報(bào)文摘要D.郵件明文(4)A.MD5報(bào)文

B.會(huì)話密鑰C.RSA密鑰D.IDEA密鑰(5)A.RSA密鑰B.MD5報(bào)文

C.IDEA密鑰D.會(huì)話密鑰

標(biāo)準(zhǔn)答案：(1)D,或既有RSA體系的保密性，乂有IDEA算法的快捷性(2)C,或

128(3)C,或報(bào)文摘要(4)B,或會(huì)話密鑰(5)D,或會(huì)話密鑰

知識(shí)點(diǎn)解析：這是一道要求讀者掌握PGP混合加密體系原理的分析理解題。本題

所涉及的知識(shí)點(diǎn)有：1)基于數(shù)論原理的公鑰加密算法(RSA)的安全性建立在大數(shù)難

以分解因子的基礎(chǔ)上。PGP協(xié)議采用RSA和IDEA兩種加密算法組成鏈?zhǔn)郊用荏w

系，使得報(bào)文的加密時(shí)間大大縮短(IDEA算法的快捷性)，又有RSA體系的保密

性。2)PGP軟件可以對(duì)電子郵件進(jìn)行認(rèn)證，認(rèn)證機(jī)制是用MD5算法產(chǎn)生128位的

報(bào)文摘要，發(fā)送方用自己的RSA私鑰對(duì)報(bào)文摘要進(jìn)行加密，附加在郵件中進(jìn)行傳

送。3)如果發(fā)送方要向一個(gè)陌生人發(fā)送保密信息，又沒(méi)有對(duì)方的公鑰，那么他可

以從權(quán)威認(rèn)證機(jī)構(gòu)(CA)獲取對(duì)方的公鑰。公鑰只用來(lái)加密會(huì)話密鑰，文件是用會(huì)

話密鑰加密的。其中，會(huì)話密鑰是一次性使用的，從而避免了執(zhí)行交換密鑰的握手

協(xié)議，提高了安全性。

10、為了提高工作效率，郭工程師制定了一個(gè)密鑰管理方案：默認(rèn)使用IDEA密鑰

進(jìn)行加密，在PGPkeys關(guān)閉時(shí)自動(dòng)備份密鑰對(duì)且備份到默認(rèn)的密鑰環(huán)文件夾中。

請(qǐng)結(jié)合圖6-15所示的配置界面，完成以上設(shè)置任務(wù)。

C?Mrd|Fila*|IMII1|S?v?r.|C田|

Wgcrtfwipis

---------耳七.-------..-g：

pMSrCASTrIMCS廠IDEArrMh

----；2,T—；—'**—:-I

7MlM1---?…:一］---3聯(lián)?一：

?，—]MlMBbJ

圖6?I5Advanced選項(xiàng)卜配西界而

標(biāo)準(zhǔn)答案：選中“IDEA”復(fù)選框；再選中"AutomatickeyingbackupwhenPGPkeys

closcss”復(fù)選框；接著選中"Backuptokeyingfolder”復(fù)選框；最后單擊［確定］按鈕

知識(shí)點(diǎn)解析：要完成“默認(rèn)使用IDEA密鑰進(jìn)行加密，在PGPkeys關(guān)閉時(shí)自動(dòng)各份

密鑰對(duì)且備份到默認(rèn)的密鑰環(huán)文件夾中”的設(shè)置任務(wù)，需在圖6-15所示的配置界面

中的“AllowedAlgorithms”欄中選中“IDEA”復(fù)選框完成默認(rèn)使用IDEA密鑰”任

務(wù)：接著選中“AutomatickeyingbackupwhenPGPkeyscloses”復(fù)選框完成“在

PGPkeys關(guān)閉時(shí)自動(dòng)備份密鑰對(duì)“任務(wù)；再選中“Backuptokeyingfolder”復(fù)選框完成

“備份到默認(rèn)的密鑰環(huán)文件夾中”任務(wù)；最后單擊的定］按鈕即可完成郭工程師要求

的配置任務(wù)。

11、郭工程師與領(lǐng)導(dǎo)、朋友進(jìn)行E-mail交流時(shí)，要求自動(dòng)使用安全查看器解密每

條接收到的E-mail信息，且總使用PGP軟件加密每封發(fā)送的電子郵件。請(qǐng)結(jié)合圖

6-16所示的配置界面，完成相關(guān)的軟件設(shè)置任務(wù)。

R16-I6Email選項(xiàng)K配置界面

標(biāo)準(zhǔn)答案：在圖中選中“UsePGP/MIMEwhensendingemail”復(fù)選框；再選中

“Encryptnewmessagesbydefault''復(fù)選框；接著選中“Automaticallydecrypt/verify

whenopeningmessages”復(fù)選框；再選中“AlwaysUS3SecureViewerwhendecrypting^^

復(fù)選框；最后單擊［確定］按鈕

知識(shí)點(diǎn)解析：要完成“自動(dòng)使用安全查看器解密每條接收到的E-mail信息，且總使

用PGP軟件加密每封發(fā)送的電子郵件”的設(shè)置任務(wù)，需在圖6?16所示的配置界面

中選中“UsePGP/MIMEwhensendingemail”復(fù)選框完成“在發(fā)送E-mail時(shí)使用PGP

軟件”任務(wù)；再選中“Encryptnewmessagesbydefault”復(fù)選框完成“默認(rèn)加密每封電

子郵件''任務(wù)：接著選中“Automaticallydecrypt/verifywhenopeningmessages”復(fù)選框

完成“打開(kāi)信息時(shí)自動(dòng)解密/校驗(yàn)每條E-mail信息”任務(wù)：然后再選中“Alwaysuse

SecureV沁wcrwhendecrypting”復(fù)選框完成“解密時(shí)總是使用安全查看器”任務(wù)，最

后單擊［確定］按鈕。

12、用鼠標(biāo)右鍵單擊某一Office文件，在彈出的菜單中選擇[PGP]T[Encrypt]命

令，或者將文件拖到PGPtools中，彈出如圖6-17所示的對(duì)話框。如果選擇對(duì)話框

中的“(6)”復(fù)選框，則可完成使用傳統(tǒng)加密方式(對(duì)稱密鑰)加密文件的任務(wù)。如果要

求接收者分屏顯示解密后的文件，且不允許保存該文件，則需選中“(7)”復(fù)選框。

如果選中“(8)”復(fù)選框，則可產(chǎn)生相應(yīng)的自解密可執(zhí)行文件，以適應(yīng)接收者的系統(tǒng)

W6-I7PGPmail對(duì)話樞

標(biāo)準(zhǔn)答案：(6)conventionalEncryption(7)SecureViewer(8)SclfDecryptingArchive

知識(shí)點(diǎn)解析：在PGPmail對(duì)話框(見(jiàn)圖6-17)中，選中“ConventionalEncryption”復(fù)選

框，可完成使用傳統(tǒng)加密方式(對(duì)稱密鑰)加密文件的任務(wù)。“SecureViewer”復(fù)選框

(相當(dāng)于命令行“-m”選項(xiàng))用于實(shí)現(xiàn)分屏顯示解密后的文件的功能，但它不允許接收

者保存所查看的消息。如果接收者的系統(tǒng)上沒(méi)有安裝PGP軟件，則需選中“Self

DecryptingArchive”復(fù)選框產(chǎn)生相應(yīng)自解密的可執(zhí)行文件。“TextOutput”復(fù)選框(相

當(dāng)于命令行”-屋選項(xiàng))用于將加密后的二進(jìn)制文件(.pgp)轉(zhuǎn)換為ASCII編碼格式

(.asc)o其目的是讓加密后的文件能通過(guò)某些只允許傳送文本文件的郵件系統(tǒng)。

“WipeOrigina『復(fù)選框用于清除原文件，相當(dāng)于命令行“-w”選項(xiàng)。

四、試題四(本題共5題，每題1.0分，共5分。)

認(rèn)真閱讀以下關(guān)于架構(gòu)Apache安全服務(wù)器的技術(shù)說(shuō)明，根據(jù)要求回答問(wèn)題1至問(wèn)

題5。【說(shuō)明】某些商務(wù)公司要求其網(wǎng)站的部分信息資源只對(duì)經(jīng)過(guò)身份認(rèn)證后的

用戶開(kāi)放。因此在Linux+Apache架構(gòu)Web服務(wù)器方案中，需利用mod-ssl模塊給

ApacheWeb服務(wù)器提供的一項(xiàng)重要功能——加密通信的能力。該模塊通過(guò)安全套

接字層(SSL)和傳輸層安全(TLS)協(xié)議為ApacheWeb服務(wù)器提供強(qiáng)大的加密能力。

13、SSL是一個(gè)協(xié)議獨(dú)立的加密方案，在網(wǎng)絡(luò)信息分組的應(yīng)用層和傳輸層之間提供

了安全的通道。SSL主要包括SSL修改密文協(xié)議、SSL握手協(xié)議、SSL告警協(xié)議、

SSL記錄協(xié)議等，其協(xié)議棧見(jiàn)圖7-16。請(qǐng)根據(jù)SSL協(xié)議棧結(jié)構(gòu)，將(1)?(4)處空缺

的協(xié)議名稱填寫(xiě)完整。

(1)|SSL修改需文協(xié)議|SSL告警協(xié)議[HTTP/FTP等應(yīng)用協(xié)議

_____________⑵

_______________________________⑶

⑷

網(wǎng)絡(luò)接口層

07-16SSL協(xié)議棧

標(biāo)準(zhǔn)答案：(1)SSL握手協(xié)議(2)SSL記錄協(xié)議⑶TCP協(xié)議(4)TP協(xié)議

知識(shí)點(diǎn)解析：這是一道要求讀者熟悉SSL協(xié)議棧的基本概念題。本題所涉及的知

識(shí)點(diǎn)有：1)SSL是一個(gè)協(xié)議獨(dú)立的加密方案，在網(wǎng)絡(luò)信息包的應(yīng)用層和傳輸層之

間提供了安全的通道。安全的HTTPS協(xié)議是SSL應(yīng)用的一個(gè)范例，該應(yīng)用協(xié)-義使

用TCP協(xié)議的443端口來(lái)安全發(fā)送和接受報(bào)文。2)SSL主要包括SSL修改密又協(xié)

議、SSL握手協(xié)議、SSL告警協(xié)議、SSL記錄辦議等，其協(xié)議棧見(jiàn)圖7-22o

SSL握手協(xié)議|SSL修改密文協(xié)議|SSL告警協(xié)議|HTTP

SSL記錄協(xié)議

TCP

______________________________IP______________________________

網(wǎng)絡(luò)接嚶

用7-22SSL協(xié)議棧3)由圖7-22可

知，SSL協(xié)議包括兩個(gè)子協(xié)議：SSL記錄協(xié)議和SSL握手協(xié)議，其中記錄協(xié)議位

于握手協(xié)議之下，主要為SSL連接提供兩種服務(wù)——機(jī)密性和報(bào)文完整性。SSL

記錄協(xié)議字段主要包括4個(gè)必選字段，分別是①內(nèi)容類型(占8b),用于指明所封

裝的高層協(xié)議類型；②主要版本(占8b),即所使用的SSL主要版本。對(duì)于

SSLv3.0,值為3；③次要版本(占8b),即所使用的SSL次要版本。對(duì)于

SSLv3.0,值為0；④壓縮長(zhǎng)度(占16b),即明文數(shù)據(jù)或壓縮數(shù)據(jù)的長(zhǎng)度，以字節(jié)為

單位。4)同理由圖7-22可知，SSL握手協(xié)議被封裝在SSL記錄協(xié)議中，它允許服

務(wù)器與客戶機(jī)在應(yīng)用程序傳輸和接收數(shù)據(jù)之前互相認(rèn)證、協(xié)商加密算法和密鑰。其

報(bào)文頭部包括3個(gè)字段：①類型字段(占1字節(jié))，用于指明所使用的SSL握手協(xié)議

報(bào)文類型；②長(zhǎng)度字段(占3字節(jié))，即SSL握手協(xié)議報(bào)文的長(zhǎng)度，以字節(jié)為單位。

③內(nèi)容字段(21字節(jié))，用于設(shè)置所使用的SSL握手報(bào)文的有關(guān)參數(shù)。

14、要啟用ApacheWeb安全服務(wù)器,用戶至少需要安裝(5)、mol_ssl、openssl等3

個(gè)軟件包。其中，mol_ssl模塊是ApacheWeb服務(wù)器的一個(gè)安全模塊，它的配置文

件位于(6)目錄。要載入這個(gè)文件而使mol_ssl進(jìn)程能夠正常工作，必須在⑺文件中

包括includeconf.7/*.conf這條聲明。

標(biāo)準(zhǔn)答案:(5)httpd(6)/ctc/httpd/conf.d/ssl.conf(7)/etc/httpd/conf/httpd.conf

知識(shí)點(diǎn)解析：這是一道要求讀者熟悉ApacheWeb安全服務(wù)器軟件包的簡(jiǎn)答題。在

Linux系統(tǒng)中，與ApacheWeb安全服務(wù)器有關(guān)的軟件包及其功能見(jiàn)表7-13。要啟

用ApacheWeb安全服務(wù)器，用戶至少需要安裝httpd、mod_ss1>opcnssl等3個(gè)軟

件包。

表7T3Apache,eb安全服務(wù)器各軟件包對(duì)比表

軟件包選項(xiàng)功能

它包含httpd守護(hù)進(jìn)程和相關(guān)的工具、配苴文件、圖標(biāo)、

①httph

ApacheWeb服務(wù)器模塊、說(shuō)明書(shū)(man)等文件

它包括mod_ssl模塊，它通過(guò)安全套接字層(SSL)和傳輸層

@mod_ssl必選

安全(TLS)協(xié)議為ApacheWeb服務(wù)器提供加密功能

包含實(shí)現(xiàn)SSL和TLS協(xié)議的OpenSSL工具包及一個(gè)常規(guī)目的的

?openssl

加密庫(kù)

它包含ApacheWeb服務(wù)器的包含文件、頭文件和APXS工具

@httpd_devel

程序

它包含HTML格式的Ap2che計(jì)劃的ApacheUser'sGuide說(shuō)明

Ohttpd-manual

指南

它包括OpenSSH客戶程序和服務(wù)器都需要的核心文件，提供

了一組用來(lái)在遠(yuǎn)程主機(jī)上登錄和執(zhí)行命令的網(wǎng)絡(luò)連接工具。

?OpenSSH其中，OpenSSHl具可以加密所有通信報(bào)文(包括口令)，以防

范竊聽(tīng)等網(wǎng)絡(luò)攻擊行為.另外，SCP協(xié)議可作為文件復(fù)制辦議

(RCP)和文件傳輸協(xié)議(FTP)的安全替換

它包括安全shell守護(hù)進(jìn)程ssh破其相關(guān)文件。sshd是

?openssh-serverOpenSSH會(huì)件的服務(wù)器方，用來(lái)接受并響應(yīng)SS喀戶的服務(wù)請(qǐng)

求

可選它包含進(jìn)行加密SSHfl艮務(wù)器連接所需的客戶程序，包括ssh

@openssh-clientsGsh的安全替換)、sfr(ftp的安全替換)、slogin(遠(yuǎn)程登錄

r1ogi工南1teInet協(xié)議的安全替換)

它支持對(duì)話框窗口的顯示，使用OpenSSH代理時(shí)用于提示用

?openssh-askpass

戶輸入口令

它可以在OpenSSH程序提示用戶輸入口令時(shí)與GNOME桌面環(huán)

?penssh-askpass-gnome

境起使用來(lái)顯示圖形化對(duì)話窗口

它包含編譯帶有各類加密算式、協(xié)議支持的應(yīng)用程序所需

ODopenssl-devel的靜態(tài)庫(kù)和包含文件，王要用于應(yīng)用程序的開(kāi)發(fā)。用戶僅使

用SSL時(shí)，可不必安裝該軟件包

它提供StunnelSSL會(huì)繞程序以支持TCP連接的SSL加密，可

?stunnel無(wú)須重新編深守護(hù)進(jìn)程而為無(wú)SSL的守護(hù)進(jìn)程和協(xié)議(如R)P、

IMAP和LDAP等)提供加密

其中，mod_ssl模塊是ApacheWeb服務(wù)器的一個(gè)安全模塊，它通過(guò)安全套接字層

(SSL)或傳輸層安全(TLS)協(xié)議為ApacheWeb服務(wù)器提供強(qiáng)大的加密功能。其配置

文件是/etc/httpd/conf.d/ssl.conf。要載入這個(gè)文件而使mod_ssl進(jìn)程能夠工作，必須

在/eic/hHpd/conf/hupd.conf文件中包括"includeconf.d/*.con『這條聲明。

15、如果用戶以前使用了另一個(gè)安全服務(wù)器產(chǎn)品且申請(qǐng)了可以使用的鑰匙

(httpsd.key)和證書(shū)(),現(xiàn)在用戶想升級(jí)為ApacheWeb安全服務(wù)器。用戶可

以轉(zhuǎn)移并重命名用戶的鑰匙、證書(shū)以使ApacheWeb安全服務(wù)器能使用它們。完成

以上轉(zhuǎn)移、重命名、重啟ApacheWeb安全服務(wù)器的操作命令分別是：

mv/etc/httpd/conf/httpsd.key(8)(9)(10)

標(biāo)準(zhǔn)答案：(8)/etc/httpd/conf/ssLkey/server.key(9)

mv/etc/httpd/conf7httpsd.crt/etc/httpd/conf7ssl.crt/server.crt(10)/sbin/serviehttpdrestart

知識(shí)點(diǎn)解析：如果用戶以前使用了另一個(gè)安全服務(wù)器產(chǎn)品且申請(qǐng)了可以使用的鑰匙

(hupsd.key)和證書(shū)(),在用戶升級(jí)Web安全服務(wù)器時(shí)可不必重新生成新鑰

匙或獲取新證書(shū)。在ApacheWeb安全服務(wù)器升級(jí)成功后，用戶的舊鑰匙

(httpsd.key)和舊證書(shū)(hltpsd.crt)將會(huì)位于/elc/httpd/conf/目錄下。此時(shí)需要將舊鑰匙

文件轉(zhuǎn)移到/etc/httpd/conf/ssl.key/server.key,將舊證書(shū)文件轉(zhuǎn)移到

/etc/httpd/conf/ssl.crt/server.crto實(shí)現(xiàn)I日鑰匙、IFl證書(shū)轉(zhuǎn)移并重命名成新鑰匙和新證

書(shū)文件的命令分別是：mv/etc/httpd/conf/htlpsd.key/etc/hltpd/conf/ss1.key/server.key

mv/etc/httpd/conf7httpsd.crt/etc/httpd/conf7ssl.crt/server.crt然后，使用/sbin/service

httpdrestart命令來(lái)啟動(dòng)Apache安全服務(wù)器使其重新讀取配置文件。注意這個(gè)重啟

過(guò)程系統(tǒng)將提示用戶輸入口令字，當(dāng)用戶鍵入口令字后按［Emer］鍵，服務(wù)器就會(huì)啟

動(dòng)。

16、如果想制作自簽的證書(shū)且使用已有的鑰匙，需要在/usr/share/ssl/ccrts目錄中鍵

入(11)命令，接著用戶將會(huì)看到如圖7-17所示的輸出信息。

umask77;\

/usr/bin/opcnsslreq-new-key/ctc/httpd/conf/ssl.key/server.key

-x509-days365-out/etc/httpd/conf/ssl.crt/scrvcr.crt

Usingconfigurationfrom/usr/share/ssl/f

EnterPEMpassphrases

圖7/7系統(tǒng)提示信息

當(dāng)用戶愉入口令字后，系統(tǒng)就會(huì)要求輸入所要制作的自簽證書(shū)的用戶信息用戶信

息填寫(xiě)完成后，自簽的證書(shū)將被創(chuàng)建在(12)文件中。生成該證書(shū)后，重新啟動(dòng)安全

服務(wù)器就可使該證書(shū)生效。假設(shè)用戶小郭的萬(wàn)維網(wǎng)服務(wù)器域名www.wg_,

要測(cè)試自簽的證書(shū)，需在瀏覽器中輸入的URL是(13)。

標(biāo)準(zhǔn)答案：(11)maketestcert(12)/etc/httpd/conf/ssl.crt/server.crt(13)

https://www.wg_

知識(shí)點(diǎn)解析：血果用戶想制作自簽的證書(shū)且使用已有的鑰匙，需要進(jìn)行以下的操作

步驟。1)首先使用cd命令轉(zhuǎn)換至l」/elc/hllpd/conf目錄，使用rmssl.key/server.key和

rmssl.crt/server.crt命令刪除在系統(tǒng)安裝系生成的假鑰匙和假證書(shū)。2)改換到

/ust/share/ssl/certs0錄中，鍵入makegenkey命令生成用戶自己的隨機(jī)鑰匙。3)接

著在提示符下鍵入口令字。系統(tǒng)將創(chuàng)建一個(gè)包括用戶的鑰匙的

/etc/httpd/conf/ssl.key/server.key文件。4)在/usr/share/ssl/certs目錄中鍵入make

lesicert命令，也可得到與上一步類似的系統(tǒng)輸出信息。5)在提示符下鍵入口令字

后，系統(tǒng)就會(huì)要求輸入所要制作的自簽證書(shū)的用戶信息。6)完成用戶信息輸入

后，自簽的證書(shū)將被創(chuàng)建在/etc/httpd/conf7sslcrt/scrvcr.crt文件中。7)牛.成證竹后，

用戶需要使用/sbin/servicehttpdrestart命令來(lái)啟動(dòng)Apache安全服務(wù)器使其重新讀取

配置文件。如果用戶小郭的萬(wàn)維網(wǎng)服務(wù)器域名為www.wg_,測(cè)試用戶的自

簽證書(shū)，則需在瀏覽器的地址欄內(nèi)輸入的URL為https://www.wg_o

17、為了維護(hù)網(wǎng)站正常運(yùn)行，對(duì)網(wǎng)站進(jìn)行監(jiān)控是非常必要的。在Apache安全服務(wù)

器的多種日志中，(14)和(15)被作為默認(rèn)配置的日志。通過(guò)對(duì)Web服務(wù)器的日志文

件進(jìn)行分析，可以有效掌握網(wǎng)站運(yùn)行情況，加強(qiáng)對(duì)網(wǎng)站的維護(hù)和安全管理。

標(biāo)準(zhǔn)答案：(14)錯(cuò)誤日志(15)訪問(wèn)日志

知識(shí)點(diǎn)解析：為了維護(hù)網(wǎng)站正常運(yùn)行，對(duì)網(wǎng)站進(jìn)行監(jiān)控是非常必要的。在Apache

安全服務(wù)帑的多種日志中，默認(rèn)配置的日志是錯(cuò)誤日志和訪問(wèn)日志。通過(guò)對(duì)Web

服務(wù)器的日志文件進(jìn)行分析，可以有效掌握網(wǎng)站運(yùn)行情況，加強(qiáng)對(duì)網(wǎng)站的維護(hù)和安

全管理。

五、試題五(本題共5題，每題1.0分，共5分。)

閱讀以下應(yīng)用L2TPv2協(xié)議實(shí)現(xiàn)VPN安全接入的技術(shù)說(shuō)明，根據(jù)要求回答問(wèn)題1

至問(wèn)題5。【說(shuō)明】某企業(yè)應(yīng)用L2TPv2協(xié)議部署企業(yè)的虛擬專用網(wǎng)(VPN),以方

便企業(yè)的VIP用戶及出差員工通過(guò)公共Inlernel安全地訪問(wèn)企業(yè)內(nèi)部LAN資源，

其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖8-16所示。該VPN網(wǎng)絡(luò)結(jié)構(gòu)中，遠(yuǎn)程客戶將訪問(wèn)唯一的節(jié)

點(diǎn)，即安全遠(yuǎn)程訪問(wèn)服務(wù)器(SRAS),該節(jié)點(diǎn)既是NAS服務(wù)的PPP終端，也是進(jìn)入

企業(yè)專用網(wǎng)的安全網(wǎng)關(guān)節(jié)點(diǎn)。

WebServerE-mailServer

圖8/6某企業(yè)VPN接入的網(wǎng)絡(luò)拓?fù)鋱D

18、在Internet上捕獲并分析圖8-16所示的網(wǎng)絡(luò)中兩個(gè)內(nèi)部網(wǎng)絡(luò)經(jīng)由Internet通信

的L2TPv2數(shù)據(jù)幀，請(qǐng)從以下4個(gè)選項(xiàng)中選擇正確的答案填寫(xiě)到圖8/7的(1)?(4)

空缺處的相應(yīng)位置。

DMACSMAC0x0800_￡D_(3)⑷封裝前的IP頭?...

IH8-17L2TPv2數(shù)據(jù)幀部分封裝仿構(gòu)圖

【供選擇的答案】A.L2TPV2頭B.PPP頭C.UDP頭D.封裝后IP頭

標(biāo)準(zhǔn)答案：(1)D,或封裝后IP頭⑵C,或UDP頭⑶A,或L2TPv2頭(4)B,或

PPP頭

知識(shí)點(diǎn)解析：這是一道要求讀者掌握L2TPv2數(shù)據(jù)幀封裝原理的分析推理題。本題

的解答思路如下。D閱讀題目所提供的信息后可知，圖8-17所示的1^^丫2數(shù)據(jù)

幀是在Inlernel網(wǎng)絡(luò)中被捕獲的，該報(bào)文內(nèi)容是LAC與