1、项目一 网络安全与接入控制配置习题及解答任务一 网络安全概念及演示1)、Vmware WorkStation的网络设置方式Bridged、Nat、Host Only有何区别?解答:Vmware WorkStation在物理主机上创建虚拟机,物理主机称为宿主机,虚拟机称为客户机,宿主机与客户机之间网络设置有三种方式:Bridged、Host Only、Nat,分别对应宿主机上三个虚拟网卡:VMnet0、VMnet1、VMnet8。Bridged为桥接方式,通过VMnet0虚拟交换机桥接客户机与宿主机,相当于两者共同使用物理网卡,可分别对网卡设置IP地址信息,能与外界网络建立通信; Host-On
2、ly模式下,虚拟网络是一个全封闭的网络,宿主机与客户机之间通过VMnet1虚拟网卡进行通信,客户机唯一能够访问的就是宿主机,不能与外界网络建立通信,在该模式下客户机不能连接到Internet;Nat模式下,宿主机提供地址转换服务,宿主机与客户机之间通过VMnet8虚拟网卡进行通信,客户机可以通过宿主机提供的NAT服务连接到Internet。分析:在IPV4抓包任务中,虚拟机可统一设置为Bridged或Host Only模式。2)、Sniffer捕获到Telnet交互数据用户名部分为何每个字母都被捕获到两次?解答:Telnet服务中默认开启了信息回显功能,所以在Telnet会话过程中能捕获到两次
3、数据。分析:通过wireShark抓包时也可看到捕获了两次。3)、Telnet交互中如果在客户端录入中文用户名和密码,Sniffer可以正常捕获到Telnet交互数据吗,数据是什么形式?解答:Sniffer可以捕获到乱码字符,这是因为在Telnet客户端输入中文后,系统会采用默认编码对其进行编码转换为字节流,Sniffer捕获到传输过程中的字节流后,采用Sniffer默认的字符编码对字节流进行解码,因两边默认的字符编码不一致导致Sniffer不能正常的识别中文字符。分析:Windows 7中文操作系统默认采用GBK编码,而Sniffer默认识别ASCII,两者间编码不一致。任务二 交换机端口接
4、入安全配置1)、为什么在配置端口安全时建议关闭端口,结合实例进行说明?解答:思科交换机端口安全默认关闭,端口安全启用后违规处理方式默认为关闭端口,所以在端口安全应用中建议先关闭端口,之后启用端口安全,端口安全设置完毕后再开启端口,免得触发违规后端口自动关闭,产生网络故障。在本节任务中,如果不先关闭端口,启动C1的端口安全并设置最大MAC数为3后,C1 F0/3端口会自动关闭从而影响任务配置。分析:启动C1的端口安全并设置最大MAC数为3后,C1 F0/3端口能学习的MAC地址包括PC0 、PC1 、VLAN1下的S1 FA0/3、VLAN2下的S1 FA0/3 四个MAC,会触发违规,自动关闭
5、端口,所以在使用中建议先关闭端口,之后根据需要更改违规处理行为。2)、任务中为何C1 Fa0/1接口最大安全MAC地址数设为3,而Fa0/2接口为6?解答:任务要求只允许PC1 SSH C1, C1上启用端口安全实现这个要求只能在FA0/1采用如下组合:最大MAC数为3 + 静态MAC为PC1 MAC;这样可保证C1首先能学到PC1的MAC,其次可学习到S1 下VLAN1、2 FA0/3端口的MAC地址;Fa0/2端口下可学习的MAC包括:S2 下VLAN1、2 FA0/3端口的MAC地址、S2 VLAN1 、PC3的MAC共4个,设置6可满足要求。分析:从上述设置可看到利用端口安全来实现对接
6、入设备的访问控制不是很合理,一旦要求有所有变化,就得更改端口安全的设置策略。3)、图1- 24中C1Fa0/2接口下对应4个MAC,为何进行PC2、PC3互Ping后,Fa0/2接口下会出现6个MAC地址?解答:Fa0/2端口下可学习的MAC包括:S2 下VLAN1、2 FA0/3端口的MAC地址、S2 VLAN1 、PC3 VLAN1的MAC共4个,当PC2 PING PC3后,C1通过Fa0/2会学到PC2的MAC和PC3 VLAN2的MAC。分析:交换机学习MAC时,每个端口起始都处于VLAN1下,交换机启动后若有通信,交换机都能学到VLAN1下各PC的MAC,划分VLAN后交换机也会学
7、习到VLAN下对应的MAC,所有可以看到C1可以学习到PC3 VLAN1和VLAN2下的MAC地址信息。任务三 PPPOE接入配置1)、AC设备上的IP地址池是否需与其fa0/0接口IP地址处于同一个子网,若不必在同一子网如何对任务的配置进行更改?解答:AC设备的地址池是通过拨号接口和物理接口分配给PPPOE接入用户的,PPPOE配置时可使得拨号接口(绑定于Virtual-Template接口)与物理接口(任务中为fa0/0)、地址池处于同一网段,也可不属于同一网段,看具体需求;任务中配置时处于同一网段,目的是方便理解;若要设置为不同网段,须为AC的拨号接口设置与fa0/0不同网段的IP地址,
8、地址池与拨号接口地址处于同一网段。分析:PPPOE用户通过拨号接口接入并建立通道,拨号接口是AC设备上实现PPPOE接入的关键接口。2)、AC设备上配置默认路由时为何须采用下一跳IP地址形式?解答:任务中AC设备通过交换机与其它网络设备连接,是一个广播式网络(非点对点),如果使用出口形式制定路由,路由器无法准确的把数据送给下一个路由器,要准确指定数据包送出的下一个设备只能使用下一跳IP地址形式。分析:在思科路由器配置中,当使用出口配置静态路由时,系统都会提示该配置方式不适用于非点对点网络。3)、Virtual-Access虚拟接口在PPPoE 实现中取得什么作用?解答:Virtual-Access接口分为两类:一类是母接口,一类是子接口,母接口是配置VPDN时生成,子接口是AC设备在PPPoE用户成功接入后动态产生的虚拟接口,无IP地址,每个PPPoE接入用户对应一个唯一编号的Virtual-Access子接口,PPPoE使用该接口来管理PPPOE会话。分析:Virtual-Access虚拟子接口是Virtual-Access母接口派生出的PPPOE会话接口,用于标识一个唯一的PPPOE用户。
