思科第4学期第7章答案

1

网络设计工程师正在规划实施经济高效的方法以便通过 Internet 实现多个网络的安全互连。种类型的技术？

GRE IP 隧道

租用线路

VPN 网关

专用 ISP

答案 说明 最高分值

correctness of response Option 3

2

GRE IP 隧道不提供身份验证或安全性。与使用 VPN 的高速宽带技术相比，租用线路并不经济有效。当多个站点之间使用 VPN 时，则不需要专用 ISP 。

2

使用 VPN 进行远程访问的一个优点是什么？

协议开销更低

故障排除简单

有可能降低连接成本

服务质量提升

答案 说明 最高分值

correctness of response Option 3

2

通过经济有效的第三方公共网络连接使用 VPN ，例如 DSL 互联网接入，公司可以避免传统专用租用线路 WAN 所产生的成本。VPN 要求用一个或多个额外的隧道协议传输流量，这不仅增加了每个数据包的负载，也增加了网络的复杂程度，从而使得故障排除更加复杂。

3

在 VPN 中如何完成“隧道”？

来自一个或多个 VPN 协议的新报头会封装原始数据包。

两台主机之间的所有数据包都会分配到单个物理介质以确保数据包得到保密。

将数据包伪装得像其他类型的流量，以使潜在攻击者忽略这些数据包。

在连接过程中源设备和目的设备之间将建立专用电路。

答案 说明 最高分值

correctness of response Option 1

2

VPN 中的数据包在通过第三方网络发送之前，会用一个或多个 VPN 协议的报头进行封装。这被称为“隧道”。这些外部报头可用于路由数据包、验证源和防止未授权用户读取数据包的内容。

4

两家企业刚刚完成合并。网络工程师需要在不增加租用线路费用的条件下连接 两家企业的网络。要在两家企业网络之间提供适当且安全的连接，哪种解决方 案是最经济高效的方法？

Cisco AnyConnect 安全移动客户端

(SSL)

思科安全移动无客户端

SSL VPN

帧中继

使用 IPsec 的远程访问

VPN

站点到站点 VPN

答案 说明 最高分值

correctness of response Option 5

2

站点到站点 VPN 是传统 WAN 网络的延伸，它提供整个网络的静态互联。帧中继比租用线路更好，但是实施站点到站点 VPN 较为昂贵。其他选项是指相比于互联两个或更多网络来说，远程访问 VPN 更适合于连接用户与企业网络。

5

哪两种场景是远程访问 VPN 的示例？（请选择两项。）

一个玩具制造商与它的一个零件供应商有一个永久 VPN 连接。

大型分支机构中的所有用户都通过一个 VPN 连接访问公司资源。

一个移动办公的销售代理通过酒店的 Internet 连接访问公司网络。

拥有三个员工的小型分支机构使用 Cisco ASA 创建与 HQ 的 VPN 连接。

在家工作的员工使用笔记本电脑上的 VPN 客户端软件连接到公司网络。

答案 说明 最高分值

correctness of response Option 3 and Option 5 are correct.

2

远程访问 VPN 通过安装在用户设备上的 VPN 客户端将各个用户连接到另一个网络。站点到站点 VPN 是“始终联网”连接，使用 VPN 网关将两个站点连接起来。每个站点的用户可以访问另一个站点的网络，无需在他们的个人设备上使用任何特殊的客户端或配置。

6

哪种陈述正确描述了站点到站点 VPN 的功能？

VPN 连接不是静态定义的。

VPN 客户端软件安装在每台主机上。

内部主机会发送正常的未封装数据包。

单个主机可以启用和禁用 VPN 连接。

答案 说明 最高分值

correctness of response Option 3

2

站点到站点 VPN 是在使用 VPN 网关的两个站点之间静态定义的 VPN 连接。内部主机不需要使用 VPN 客户端软件而且不会将正常的未封装数据包发送到网络上，由 VPN 网关在网络上对其进行封装。

7

通用路由封装隧道协议的作用是什么？

在远程站点之间提供 IP 流量数据包级别的加密

管理远程站点之间 IP 组播和多协议流量的传输

在远程站点之间使用多供应商路由器支持基本的未加密 IP 隧道

通过远程站点之间的 IP 隧道提供固定的流量控制机制

答案 说明 最高分值

correctness of response Option 2

2

GRE 隧道协议是思科专有协议，默认情况下不包括任何流量控制机制。GRE 不支持加密，可用于管理 IP 组播和多协议流量的传输。

8

哪种远程访问实施场景将支持通用路由封装隧道的使用？

连接到位于中心站点的路由器的移动用户

安全连接到中心站点的分支机构

连接到 SOHO 站点的移动用户

连接到 SOHO 站点且未使用加密的中心站点

答案 说明 最高分值

correctness of response Option 4

2

GRE 隧道协议用于站点到站点 VPN ，而不用于移动用户的远程访问 VPN 。GRE 本身不提供任何加密，因此端点之间的流量并不安全。

9

请参见图示。路由器 R1 和 R2 之间实施了隧道。从 R1 命令的输出可得出哪两个结论？ （请选择两项。）

此隧道模式不是 Cisco IOS 软件的默认隧道接口模式。

此隧道模式提供加密。

通过此隧道发送的数据并不安全。

此隧道模式不支持 IP 组播隧道。

使用了 GRE 隧道。

答案 说明 最高分值

correctness of response Option 3 and Option 5 are correct.

2

根据 R1 的输出，将 GRE 隧道模式指定为隧道接口模式。GRE 是 Cisco IOS 软件的默认隧道接口模式。GRE 不提供加密或任何其他安全机制。因此，通过 GRE 隧道传输的数据并不安全。GRE 支持 IP 组播隧道。

10

请参见图示。目的路由器的隧道接口上将配置哪个 IP 地址？

172.16.1.1

172.16.1.2

209.165.200.225

209.165.200.226

答案 说明 最高分值

correctness of response Option 2

2

分配给本地路由器的隧道接口的 IP 地址为 172.16.1.1，前缀掩码为 /30。另一个地址 172.16.1.2 则是目的隧道接口的 IP 地址。虽然 209.165.200.226 在输出中列为目的地址，但这是目的地的物理接口地址，而不是隧道接口地址。

11

哪种说法正确描述了 IPsec ？

IPsec 在第 3 层运行，但可以保护来自第 4 层到第 7 层的流量。

IPsec 将使用专门为该协议开发的算法。

IPsec 将实施自己的身份验证方法。

IPsec 是思科专有标准。

答案 说明 最高分值

correctness of response Option 1

2

IPsec 依靠现有算法来实现安全通信。它由开放标准框架构成。虽然它在第 3 层实施，但它能为第 4 层到第 7 层提供保护。

12

IPsec 安全服务的哪项功能将允许接收方检验数据传输时没有以任何方式更改或篡改过？

反重播保护

身份验证

数据完整性

保密性

答案 说明 最高分值

correctness of response Option 3

2

反重播保护能够检测并拒绝重播的数据包以防止被欺骗。身份验证将检验数据来源的身份。IPsec 可确保数据完整性，因为接收方可以检验通过 Internet 传输的数据是否没有以任何方式更改或篡改过。机密性是指收集一台计算机发往另一台计算机的所有数据并将其编码为只有另一台计算机能够解码的形式。

13

哪项陈述正确描述了 IPsec VPN 的特征？

IPsec 是思科专有协议的框架。

IPsec 可以保护第 1 层到第 3 层的流量。

IPSec 加密会导致路由问题。

IPsec 适用于所有第 2 层协议。

答案 说明 最高分值

correctness of response Option 4

2

IPsec 是开放标准协议框架，可以保护第 4 层至第 7 层的应用流量。 IPsec 使用明文第 3 层报头，因此不存在路由问题。 IPsec 适用于任何第 2 层协议。

14

什么是针对 IP 数据包提供数据机密性和身份验证的 IPSec 协议？

AH

ESP

RSA

IKE

答案 说明 最高分值

correctness of response Option 2

2

AH （验证报头）不针对 IP 数据包提供机密性，而是提供数据验证和完整性。ESP （封装安全负载）通过加密 IP 数据包提供机密性和身份验证。RSA 是用于 IKE （互联网密钥交换）的加密系统。

15

在 IPsec VPN 中使用的两种加密算法是什么？（请选择两项。）

DH

PSK IKE AES

3DES

答案 说明 最高分值

correctness of response Option 4 and Option 5 are correct.

2

高级加密标准 (AES)

和三重 DES (3DES) 是用于

IPsec 的加密算法。

Diffie-Hellman (DH)

、预共享密钥 (PSK) 和互联网密钥交换 (IKE) 都是加密密钥机制。

16

哪种算法是非对称密钥的加密系统？

RSA

AES 3DES

DES

答案 说明 最高分值

correctness of response

Option 1

2

RSA 是非对称密钥的加密系统。

AES 、DES 和 3DES 都是对称密钥加密系统。

17

哪两种算法使用基于哈希算法的消息验证代码进行消息验证？（请选择两项。） 3DES

DES

MD5

SHA

答案说明最高分值

correctness of response Option 4 and Option 5 are correct. 2

MD5 和 SHA 均使用基于哈希算法的消息验证代码进行消息验证。DES、3DES 和

AES 是提供消息机密性的加密算法。

18

哪三项陈述正确描述了构成 IPSec 协议框架的构建基块？（请选择三项。）

IPsec 使用加密算法和密钥来提供安全的数据传输。

IPsec 使用 Diffie-Hellman 算法来加密通过 VPN 传输的数据。

IPsec 使用 3DES 算法为通过 VPN 传输的数据提供最高级别的安全性。

IPsec 使用密钥加密为通过 VPN 发送的消息加密。

IPsec 使用 Diffie-Hellman 作为哈希算法来确保通过 VPN 传输的数据的完整性。

IPsec 使用 ESP 通过加密 IP 数据包来提供数据的保密传输。

答案说明

最高分

值

correctness of

response

Option 1, Option 4, and Option 6 are

correct. 3

VPN 使用加密算法和密钥来保持通过 Internet 发送的数据机密性和安全性。

Diffie-Hellman 算法是用于安全交换加密数据所用密钥的一种方法。它通常不

用于加密数据。3DES 算法不再被视为是安全的，而 AES 为通过 VPN 传输的数

据提供更高级别的加密。对称算法（例如 AES）使用密钥加密来为 VPN 数据加

密（使用共享密钥）。哈希算法（例如 MD5 和 SHA）通过确保数据不被未授权

用户篡改来提供数据完整性和身份验证。ESP 是通过加密 IP 数据包来提供机密

性和身份验证的 IPSec 协议。

19 网络设计工程师正在规划 IPsec VPN 的实施。哪种哈希算法将提供最高级别的消息完整性？

MD5

AES

512 位 SHA

答案 说明 最高分值

correctness of response Option 4

2

MD5 和 SHA 均是哈希算法，可用于保护通过 VPN 的消息的完整性。MD5 采用 128 位密钥，而 SHA-1 采用 160 位密钥。MD5 和 SHA-1 均存在加密缺陷，目前推荐使用有 256 位或 512 位密钥的 SHA 算法。AES 是一种加密协议类型。

20

作为 IPsec 标准的一部分，使用 Diffie-Hellman (DH) 算法的作用是什么？

DH 算法不限制由哪一方建立可供加密和哈希算法使用的共享公钥。

DH 算法允许双方建立可供加密和哈希算法使用的共享密钥。

DH 算法不限制由哪一方建立可供加密和哈希算法使用的共享密钥。

DH 算法允许双方建立可供加密和哈希算法使用的共享公钥。

答案 说明 最高分值

correctness of response Option 2

2

DH 算法指定公钥交换方法，让两个对等设备建立只有双方知道的共享密钥，尽管它们通过不安全的通道通信。

21

VPN 连接中消息哈希值的作用是什么？

它将确保数据无法以明文解读。

它将确保数据在传输中不被更改。

它将确保数据来自正确的源地址。

它将确保数据在发往目的地过程中无法被复制或重播。

答案 说明 最高分值

correctness of response Option 2

2

哈希消息通过确保数据包中的数据在源节点和目的节点之间不被更改，从而确保数据完整性。通过哈希算 法运行数据可以得出哈希值。在通过链路发送数据之前，此哈希值附加到数据。接收节点计算所接收数据的哈希值，如果接收到的哈希与附加的哈希不匹配，则说明 数据在传输过程中已被更改。

22

哪种 Cisco VPN 解决方案通过使用 Cisco ASA 提供对内部网络资源的 有限访问并只提供基于浏览器的访问？

无客户端

SSL VPN 基于客户端的

SSL VPN

SSL

IPSec

答案 说明 最高分值

correctness of response 2 points for Option 1

0 points for any other option

2

在基本的 Cisco ASA 无客户端 SSL VPN 解决方案中，客户可以通过 Web 浏览器访问有限的服务。

23

哪个关键问题将帮助确定组织应当使用 SSL VPN 还是 IPsec VPN 作为组织的 远程访问方案？

是否在远程访问隧道的目的地使用思科路由器？

用户需要访问什么应用程序或网络资源？

是否同时需要加密和身份验证？

用户是否需要能够不使用特殊 VPN 软件即可建立连接？

答案 说明 最高分值

答案 说明 最高分值

correctness of response Option 4

2

IPsec 和 SSL VPN 几乎提供对任何网络应用或资源的访问，支持加密和用户身份验证，并且可以在思科路由器上配置终止。主要区别在于，SSL VPN 连接使用 Web 浏览器即可建立，无需用户计算机上安装专门的 VPN 软件。

24

The PT initialization was skipped. You will not be able to view the PT activity. 打开 PT 练习。执行练习说明中的任务，然后回答问题。

什么问题导致主机无法通过 VPN 隧道通信？

EIGRP 配置不正确。

隧道 IP 地址不正确。

隧道源接口不正确。

隧道目的地址不正确。

答案 说明 最高分值

correctness of response Option 2

2

B 网关上隧道接口的 IP 地址不正确。它应位于 172.16.1.0/24 网络。更改此地址将启用隧道接口并使主机能够彼此执行 ping 操作。