访问列表ACL及网络地址转换NAT案例

2013年12月6日 作者： 来源：

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。
【说明】
如图C7-5-1所示，某单位通过2M的DDN专线接入广域网，该单位内网共分为三个子网。服务器放置在子网192.168.5.0/24中，财务部工作站放置在子网192.168.10.0/24，销售部工作站放置在子网192.168.50.0/24。该单位申请的公网IP地址为61.124.100.96/29。
 
图C7-5-1
【问题1】（3分）
该单位的公网IP地址范围是   （1）61.124.100.96   到61.124.100.103  （2）   ；其中该单位能够使用的有效公网地址有   （3） 6  个。
答案： （1）61.246.100.96 或 61.124.100.96  （1分）  之所以两个答案都对是因为试卷上出现印刷错误，导致歧义。
（2）61.246.100.103 或 61.124.100.103 （1分） 之所以两个答案都对是因为试卷上出现印刷错误，导致歧义。
（3）5 或 6 （1分） 真正的答案应该是6，因为题目问的是“该单位能够使用的有效公网地址”。但考虑到某些考生将61.246.100.97（路由器占用）排除在外，因此选5也可以接受。
【问题2】（6分）
为保证路由器的安全，网络管理员做了如下设置，请阅读下列三段路由配置信息，并在（4）~（6）处填写该段语句的作用。
1．Router(config)# no ip http-server       （4）  
2．Router(config)# snmp-server community admin RW     （5）  
3．Router(config)# access-list 1 permit 192.168.5.1
   Router(config)# line con 0
   Router(config-line)# transport input none
   Router(config-line)# login local
   Router(config-line)# exec-timeout 5 0
   Router(config-line)# access-class 1 in         （6）  
试题解析： 关于路由器和访问控制列表的配置命令及用例，可以参看《网络工程师考前辅导》中的内容。
答案： 
（4）禁用Router的http服务，以提高安全性    （2分）
（5）设置路由器读写团体字符串为admin （2分） “设置admin团体具有snmp读写权限”更准确。
（6）设置ACL，允许192.168.5.1进入（或访问）CON0 （2分） “设置con0的输入方向使用access-list 1”也可以
【问题3】（6分）
请参考图C7-5-1，在路由器上完成销售部网段NAT的部分配置。
……
Router(config)# ip nat pool xiaoshou 61.246.100.99 61.246.100.99 netmask  （7）  
! 设置地址池
!
Router(config)# access-list 2 permit    （8）    （9）  
！定义访问控制列表
！
Router(config)# ip nat inside source list 2 pool xiaoshou
! 使用访问控制列表完成地址映射
试题解析：
关于防火墙设备的配置命令及用例，可以参看《网络工程师考前辅导》中的内容。
答案：
（7）255.255.255.248   （2分）
（8）192.168.50.0   （2分）
（9）0.0.0.255    （2分）