2012年上半年5月份 网络工程师 答案详解 - 图文

（2）www

（3）61.153. 172.31

DNS服务器为WebServer1配置域名记录时，添加的主机“名称”栏对应的是主机名，即WWW, “IP地址”栏应填入提供Web服务的IP地址，即61.153.172.31。 【问题4】

在DNS系统中，反向查询（Reverse Query)的功能是（4)。若不希望对域名www.abc.com进行反向査询，在图3-2所示的窗体中应如何操作？

（4）用IP地址查询对应的域名 去掉“创建相关的指针（PTR)记录”

在DNS系统中，反向查询的功能是用IP地址查询对应的域名。若新建一条DNS记录时希望同时创建它的反句查询记录，需勾选“创建相关的指针（PTR)记录”。若不希望对域名www.abc.com进行反向查询，需“创建相关的指针（PTR)记录”。 【问题5】

在图3-3中所示的DNS服务器属性窗口中应如何配置，才使得两次使用nslookup www.abc.com命令得到如图3-4所示结果？

勾选“启用循环”

从结果图中可以看出，在解析www.abc.com时，循环对应到了61.153.172.31和61.153. 172.32两个主机，故在DNS服务器中应该配置循环功能。 【问题6】

要测试DNS服务器是否正常工作，在客户端可以采用的命令是（5)或（6)。 (5)、(6)备选答案：

A. ipconfig B. nslookup C. ping D. netstat

(5) B. Nslookup (6) C. ping

注意：（5)、(6)答案可以互换

测试DNS服务器是否正常工作，可以采用两种方式：第一种通过ping域名来测试；第二种采用nslookup来查看提供服务的DNS服务器。

试题四

某企业在部门A和部门B分别搭建了局域网，两局域网通过两台Windows Server 2003服务器连通，如图4-1所示，要求采用IPSec安全机制，使得部门A的主机PC1可以安全访问部门B的服务器S1。

【问题1】

IPSec工作在TCMP协议栈的（1)层，为TCP/IP通信提供访问控制、数据完整性、数据源验证、抗重放攻击、机密性等多种安全服务。IPSec包括AH、ESP和ISAKMP/Oakley等协议，其中，(2)为IP包提供信息源和报文完整性验证，但不支持加密服务；（3)提供加密服务。

(1) IP （网络） (2) AH (3) ESP

IPsec (IP Security)是IETF定义的一组协议，用于增强IP网络的安全性。其功能可以划分为下面三类：

?认证头（AuthenticationHeader，AH)：用于数据完整性认证和数据源认证。

?封装安全负荷（Encapsulating Security Payload，ESP)：提供数据保密性和数据完整性认证。ESP也包括了防止重放攻击的顺序号。

? Internet密钥交换协议（Internet Key Exchange，IKE)：用于生成和分发在ESP和AH中使用的密钥。IKE也对远程系统进行初始认证。

因此，IPSec工作在TCP/IP协议栈的IP层，AH为IP包提供信息源和报文完整性验证，但不支持加密服务，ESP提供加密服务。 【问题2】

IPSec支持传输和隧道两种工作模式，如果要实现PC1和S1之间端到端的安全通信， 则应该采用（4)模式。 (4) 传输

IPSec支持传输和隧道两种工作模式，其中传输模式一般用于主机到主机之间端到端的安全通信，隧道模式用于网关到网关之间的安全通信。 【问题3】

如果IPSec采用传输模式，则需要在PC1和(5)上配置IPSec安全策略。在PC1 的IPSec筛选器属性窗口页中（见图4-2)，源IP地址应设为（6),目标IP地址应设为（7)。

(5) S1 或 192.168.2.2 (6) 192.168.1.2 (7) 192.168.2.2

如果IPSec采用传输模式，则需要在通信的两个端点PC1和S1上配置IPSec安全策略。在PC1的IPSec筛选器属性窗口页中，源IP地址应设为PC1自身的IP地址192.168.1.2，目标IP地址应设为S1的IP地址192.168.2.2。 【问题4】

如果要保护部门A和部门B之间所有的通信安全，则应该采用隧道模式，此时需要在ServerA和(8)上配置IPSec安全策略。

在ServerA的IPSec筛选器属性窗口页中（见图4-3)，源IP子网的IP地址应设为(9),目标子网IP地址应设为（10),源地址和目标地址的子网掩码均设为255.255.255.0。 ServerA的IPSec规则设置中（见图4-4)，指定的隧道端点IP地址应设为（11）。