如果按照图3-1所示的网络结构配置L2TP，则数据是通过二层协议(10)来封装，身份认证方法是(11)。

正确答案：1．①LAC(L2TP Access Concentrator或L2TP访问集中器) ②LNS(L2TP Network Server或L2TP网络服务器) 2．LAC是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备LAC一般就是一个网络接入服务器用于为用户提供网络接入服务。 LNS是PPP端系统上用于处理L2TP协议服务器端部分的软件。
1．①LAC(L2TP Access Concentrator或L2TP访问集中器) ②LNS(L2TP Network Server或L2TP网络服务器) 2．LAC是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务。 LNS是PPP端系统上用于处理L2TP协议服务器端部分的软件。 解析：对于构建VPN来说，网络隧道(Tunneling)技术是关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，也就是将现有的透明网络信息进行再次封装，从而保证网络信息传输的安全性。它主要利用网络隧道协议来实现这种功能，具体包括二层隧道协议(用于传输二层网络协议)和三层隧道协议(用于传输三层网络协议)。第二层隧道协议有L2F、PPTP和L2TP等，是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层隧道协议有GRE、IPSEC等。第二层隧道协议和第三层隧道协议的本质区别在于在隧道内用户的数据包是被封装在哪种数据包中进行传输的。
二层隧道协议L2TP (Layer 2 Tunneling Protocol)是一种基于点对点协议PPP的二层隧道协议，是典型的被动式隧道协议，它结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施 (如IP、ATM、帧中继)中进行隧道传输的封装协议。在由L2TP构建的VPN中，有两种类型的服务器，一种是L2TP访问集中器LAC (L2TP Access Concentrator)，它是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是L2TP网络服务器LNS(L2TP Network Server)，是PPP端系统上用于处理L2TP协议服务器端部分的软件。
在LNS和LAC之间存在着两种类型的连接，一种是隧道(tunnel)连接，它定义了一个LNS和LAC对；另一种是会话(session)连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。
L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的， L2TP消息可以分为两种类型，一种是控制消息，另一种是数据消息。控制消息用于隧道连接和会话连接的建立与维护，数据消息用于承载用户的PPP会话数据包。这些消息都通过UDP的1701端口承载于TCP/IP之上。
L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS (Network Access Server)，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP还支持信道认证，并提供了差错和流量控制。L2TP层的数据传输具有非常强的扩展性和可靠性。控制消息中的参数用AVP值对(Attribute Value Pair)来表示，使得协议具有很好的扩展性；控制消息的传输过程中应用了消息丢失重传和定时检测通道连通性等机制来保证L2TP层传输的可靠性。数据消息用于承载用户的PPP会话数据包。虽然L2TP数据消息的传输不采用重传机制，无法保证传输的可靠性，但这一点可以通过上层协议如TCP等得到保证；数据消息的传输可以根据应用的需要灵活地采用流控或不流控机制，可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流量控制功能；在采用流量控制的过程中，对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构成， LAC支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点，LNS终止所有的PPP流。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

正确答案：1．(6)根认证中心或根CA 或RootCA 或RCA (7)品牌认证中心或品牌CA或BrandCA 或BCA (8)地域政策认证中心或地域政策CA或Geopolitical CA或GCA 2．(9)地域政策或地域政策CA或Geopolitical CA 或 GCA 3．(10)证书颁发 (11)证书更新 (12)证书废除 4．(13)根认证中心或根CA 或RootCA 或RCA
1．(6)根认证中心或根CA 或RootCA 或RCA (7)品牌认证中心或品牌CA或BrandCA 或BCA (8)地域政策认证中心或地域政策CA或Geopolitical CA或GCA 2．(9)地域政策或地域政策CA或Geopolitical CA 或 GCA 3．(10)证书颁发 (11)证书更新 (12)证书废除 4．(13)根认证中心或根CA 或RootCA 或RCA

正确答案：
●试题一［问题1］【答案】1．(1)LAC(L2TPAccessConcentrator或L2TP访问集中器)(2)LNS(L2TPNetworkSetver或L2TP网络服务器)2．由IPsec构建［问题2］【答案】(1)启用VPDN功能(2)创建VPDN组1，并进入VPDN组1配置模式(3)接受L2TP通道连接请求，并根据virtual-templatel创建virtual-access接口，远端主机为splac(4)指定隧道本端名称为Bob(5)LNS与client之间重新协商(6)取消L2TP通道验证功能

正确答案：
（1）Telnet、SMTP
（2）ICMP、IPv6
（3）IEEE802.3、IEEE802.11

正确答案：PPTPPPP
PPTP,PPP 解析：问题一中，在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务：PPTP和L2TP，L2TP协议将数据封装在PPP协议帧中进行传输。点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术，它工作在第二层。通过该协议，远程用户能够通过Microsoft Windows NT工作站、Windows 95和Windows98操作系统以及其他装有点对点协议的系统安全访问公司网络，并能拨号连人本地ISP，通过Internet安全链接到公司网络。L2TP协议是一种工业标准的Intemet隧道协议，功能大致和PPlrP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

正确答案：D

正确答案：(4)b (5)a (6)c
(4)b (5)a (6)c 解析：传输模式下，VPN服务器只对IP数据报中TCP/UDP报文段部分进行加密和验证，而IP报头仍采用原始明文IP报头，只是做适当的修改；但在隧道模式下，VPN服务器会对整个IP数据报进行加密和验证，即将原IP数据报看做一个整体进行加密和验证，为了能在Internet正确传送，VPN服务器还需要重新生成IP报头。由此可见，空(1)处，应是重新生成IP报头，空(2)处是用于验证的AH报头，空(3)处是原IP数据报的报头。

答案：A

解析：