在Internet上捕获并分析两个内部网络经由Internet通信的IP包,在下列选项中选择正确选项填写到图1-17中相应空缺处。

题目

在Internet上捕获并分析两个内部网络经由Internet通信的IP包,在下列选项中选择正确选项填写到图1-17中相应空缺处。


相似考题
参考答案和解析
正确答案:(9)B或“封装后的IP包头” (10)C或“封装前的IP头”
(9)B,或“封装后的IP包头” (10)C,或“封装前的IP头” 解析:IPSec VPN工作在OSI/RM的网络层,当应用ESP协议的隧道模式时,原IP数据包(源/目的IP地址使用内网IP地址)前将插入一个ESP头标,原IP数据包后插入ESP尾、ESP认证;最后再封装一个源/目的IP地址使用公网IP地址的新IP头。因此,(9)空缺处需填入“封装后的IP包头”,(10)空缺处需填入“封装前的IP头”。
更多“ 在Internet上捕获并分析两个内部网络经由Internet通信的IP包,在下列选项中选择正确选项填写到图1-17中相应空缺处。 ”相关问题
  • 第1题:

    在图4-6所示的MPLS网络上捕获并分析省直机关A总部网点及其分部网点经由MPLS网通信的PPP数据帧,该PPP帧结构如图4-7所示,请在下列供选择的答案中选择正确选项填入到图4-7相应的空缺处。

    (a) IP头 (b) PPP头 (C) ICMP头 (d) UDP头 (e) MPLS标记


    正确答案:(5) PPP头 (6) MPLS标记 (7) IP头
    (5) PPP头 (6) MPLS标记 (7) IP头 解析:这是一道要求读者掌握MPLS分组封装结构的分析推理题。本题的解答思路如下。
    1)通过阅读题目可以判断该问题属于一道5选3的选择题,需要从5个选项中排除2个,然后再根据TCP/IP协议族层次结构对所剩余的3个选项进行排序。
    2)TCP/IP协议族层次结构由高到低可表达成“应用层传输层网络层网络接口层”,其中传输层主要有2个并列的协议,即传输控制协议(TCP)和用户数据报协议(UDP)。图4-7已给出了TCP头,说明该PPP数据帧在传输层使用的是传输控制协议(TCP),因此可排除“选项(d)UDP头”。
    3)测试网络通不通、主机是否可达、路由是否可用等问题将会使用到Internet控制消息协议(ICMP),该协议是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。由于本试题讨论的是 MPLS网络,因此可排除“选项(c)ICMP头”。
    4)在图4-7中,循环冗余校验码(CRC)是在数据链路层完成差错控制的一种机制,它一般添加在一个数据帧的帧尾,与之对应的是在IP分组之前有个帧头,题目中已说明捕获的是PPP数据帧,选项(b)也给出“PPP头”,再根据图4-7中“TCP头”和“用户数据”的排列顺序,可知(5)空缺处可填入“选项(b)PPP头”。
    5)MPLS把固定长度(32位)的标记附加在IP头之前作为转发的依据,即在第二层头标和IP头标之间插入一个MPLS头标,头标的长度为32比特。因此,MPLS也被称为第2.5层协议。根据这一知识点及图4-7中“TCP头”和“用户数据”的排列顺序可知,(6)空缺处应填入“选项(e)MPLS标记”,(7)空缺处应填入“选项(a)IP头”。

  • 第2题:

    在Internet上捕获并分析两个内部网络经由Internet通信的IP包,在下列三个选项中选择正确选项填写到下图中的相应空缺处。

    A.ESP头 B.封装后的IP报头 C.封装前的IP头


    正确答案:(8)B(9)A(10)C
    (8)B(9)A(10)C

  • 第3题:

    下列选项中,关于全局IP地址与专用IP地址的描述不正确的是( )。

    A.全局IP地址必须保证在Internet上是唯一的

    B.使用全局IP地址是需要申请的,而使用专用IP地址是不需要申请的

    C.专用IP地址只能用于一个机构、公司的内部网络,而不能用在Internet上

    D.专用IP地址在某一个网络内部不是唯一的,但在Internet中是唯一的


    正确答案:D
    解析:专用IP地址只能用于一个机构、公司内部网络,而不能用于Internet上。全局IP地址与专用IP地址的区别在于:①使用IP地址的网络可以分为两种情况:一种是将网络直接连接到Internet;另—种需要运行TCP/IP协议,但它是内部网络,并不直接连接到Internet,即使需要连接到Internet,网络内部用户访问Internet也要受到严格控制;②使用全局IP地址是需要申请的,而使用专用IP地址是不需要申请的;③全局IP地址必须保证在Internet上是唯一的;而专用IP地址在某一个网络内部是唯一的,但在Internet中并不是唯一的。

  • 第4题:

    某企业采用Windows 2000操作系统部署企业虚拟专用网,将企业的两个异地网络通过公共Internet安全的互联起来。微软Windows 2000操作系统当中对IPSec具备完善的支持,图10-1给出了基于Windows 2000系统部署IPSec VPN的网络结构图。

    (1)IPSec是IEEE以RFC形式公布的—组安全协议集,它包括AH与ESP两个安全机制,其中哪一种不支持保密服务。

    (2)IPSec的密钥管理包括密钥的确定和分发。IPSec支持哪两种密钥管理方式。试比较这两种方式的优缺点。

    (3)如果按照以下网络结构配置IPSecVPN,安全机制选择的是ESP,那么IPSec工作隧道模式,一般情况下,在图中所示的四个网络接口中,将哪两个网络接口配置为公网IP,哪两个网络接口配置为内网IP。

    (4)在Internet上捕获并分析两个内部网络经由Internet通信的IP数据报,在下列3个选项中选择正确选项填写到相应空缺处。A.ESP头B.封装后的IP包头C.封装前的IP包头

    (5)IPSecVPN与L2TPVPN分别工作在OSI/RM的哪个协议层?


    正确答案:(1)AH (2) 手工密钥分配 自动密钥分配 手工方式是系统管理员手工配置每个系统与其他系统进行通信时使用的密钥适用于规模小、机器分布相对固定的环境。自动密钥管理系统可按需自动建立SA密钥特别适用于规模大、结构多变的分布式系统的密钥使用。自动密钥管理灵活方便但配置复杂且需要软件协议的支持规模小的系统没必要采用。 (3) NIC2和NIC3; NIC1和NIC4 (4) ①B ②A ③C (5) IPSec VPN网络层;L2TP VPN数据链路层
    (1)AH (2) 手工密钥分配 自动密钥分配 手工方式是系统管理员手工配置每个系统与其他系统进行通信时使用的密钥,适用于规模小、机器分布相对固定的环境。自动密钥管理系统可按需自动建立SA密钥,特别适用于规模大、结构多变的分布式系统的密钥使用。自动密钥管理灵活方便,但配置复杂,且需要软件协议的支持,规模小的系统没必要采用。 (3) NIC2和NIC3; NIC1和NIC4 (4) ①B ②A ③C (5) IPSec VPN网络层;L2TP VPN数据链路层 解析:(1) IPSec包括AH与ESP两个安全机制,其中AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。
    (2) IPSec在两个端点之间通过建立安全联盟SA进行数据传输的。安全联盟可以通过手工配置的方式建立,但是当网络中节点增多时,手工配置将非常困难,而且难以保证安全性。这时就要使用IKE自动地进行安全联盟的建立与密钥交换的过程。
    (3) IPSec工作模式支持传输模式知隧道模式2种,但在公共IP网上建立私有IP地址的VPN就只能使用隧道模式。在隧道模式中,VPN服务器与互联网一端相连的网卡的IP地址应设置为公网地址,与内网相连的网卡的IP地址应设置为私有地址。IP数据包由内网流入VPN服务器后,VPN服务器要根据双方所协商的安全模式进行重新封装,最后经Internet传送到对方。
    (4) 传输模式下,VPN服务器只对IP数据包中TCP/IP报文段部分进行加密和验证,而IP包头仍采用原始明文IP包头,只是做适当的修改。但在隧道模式下,VPN服务器会对整个IP数据包进行加密和验证,即将原IP数据包看做一个整体进行加密和验证,为了能在Internet上正确传送,VPN服务器还需要重新生成IP包头。由此可见,空①处,应是重新生成IP包头,空②处是用于加密和验证的ESP包头,空③处是原 IP数据包的报头。
    (5) 道技术是VPN的基本技术,类似于点对点连接技术,它在公网建立一条数据通道(隧道),让数据包通过主隧道传输。隧道是由隧道协议形成的,分为第2、3层隧道协议。第2层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第2层协议进行传输。第2层隧道协议有L2F,PPTP,L2TP等。第3层隧道是把各种网络协议直接装入隧道协议中,形成的数据包依靠第3层协议进行传输。第3层隧道协议有GER,IPSec等。

  • 第5题:

    如果按照图3-1所示的网络结构配置IPSecVPN,它有隧道和传输两种工作方式。若IPSec工作在隧道模式,采用安全机制选择的是AH。在下列三个选项中选择正确选项填写到图3-2中相应空缺处。

    (a)AH头 (b)封装后的IP包头 (c)封装前的IP头


    正确答案:(4)b (5)a (6)c
    (4)b (5)a (6)c 解析:传输模式下,VPN服务器只对IP数据报中TCP/UDP报文段部分进行加密和验证,而IP报头仍采用原始明文IP报头,只是做适当的修改;但在隧道模式下,VPN服务器会对整个IP数据报进行加密和验证,即将原IP数据报看做一个整体进行加密和验证,为了能在Internet正确传送,VPN服务器还需要重新生成IP报头。由此可见,空(1)处,应是重新生成IP报头,空(2)处是用于验证的AH报头,空(3)处是原IP数据报的报头。