【答案解析】(1)修改主机名为SwitchA (2)进入VLAN配置子模式 (3)设置本交换机为Server模式 (4)设置域名为vtpserver (5)启动修剪功能 [分析] 本问题考查的是PIX防火墙中配置内外网卡的IP地址(ip address)命令。 例如： firewall(config)#ip address outside 61.144.51.42255.255.255.248 firewall(config)#ip address inside 192.168.0.1 255.255.255.0 表明防火墙在外网的IP地址是61.144.51.42，内网IP地址是192.168.0.1。

【答案解析】(6)mode trunk (7)vlan all [分析] 本问题考查的是PIX防火墙中配置地址转换、外部地址范围和静态地址翻译的命令 1．指定要进行转换的内部地址(nat) 网络地址翻译(nat)作用是将内网的私有IP转换为外网的公有ip.Nat命令总是与 global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name)nat_id local_ip[netmark]。 其中(if name)表示内网接口名字，例如inside.Nat id用来标识全局地址池，使它与其相应的global命令相匹配，local中表示内网被分配的IP地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网IP地址的子网掩码。 例1．Pix525(config)#nat(inside)1 00 表示启用nat，内网的所有主机都可以访问外网，用0可以代表0.0.0.0。 例2．Pix525(config)#nat(inside)1 172.16.5.0255.255.0.0 表示只有172.16.5.0这个网段内的主机可以访问外网。 2．指定外部地址范围(global) global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。Global命令的配置语法：global(if_name)nat_id ip_address-ip_address [netmark global_mask]。 其中(if name)表示外网接口名字，例如outside.。Nat id用来标识全局地址池，使它与其相应的nat命令相匹配，ip address-ip address 表示翻译后的单个IP地址或一段 IP地址范围。[natmark global_mask]表示全局IP地址的网络掩码。 例1．Pix525(config)#global(outside)1 61.144.51.42-61.144.51.48 表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61. 144.51.48这段IP地址池为要访问外网的主机分配一个全局IP地址。 例2．Pix525(config)#global(outside)1 61.144.51.42 表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一IP地址。 例3．Pix525(config)#noglobal(outside)1 61.144.51.42 表示删除这个全局表项。 3．配置静态IP地址翻译(static) 如果从外网发起一个会话，会话的目的地址是一个内网的IP地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (intemal_if_name，extemal_if name)outside_ip_address inside_ip_address。其中internal_ if name表示内部网络接口，安全级别较高。inside. external if name为外部网络接口，安全级别较低，如outside等。outside中address为正在访问的较低安全级别的接口上的 IP地址。inside ip address为内部网络的本地IP地址。 例1．Pix525(config)#static(inside，outside)61.144.51.62192.168.0.8 表示IP地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部IP地址192.168.0.8和外部IP地址61.144.51.62之间的静态映射。 例2．Pix525(config)#static(inside，outside)192.168.0.210.0.1.3 例3．Pix525(config)#static(dmz，outside)211.48.16.2172.16.10.8 注释同例1。通过以上几个例子说明使用static命令可以让用户为一个特定的内部IP地址设置一个永久的全局IP地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。

【答案解析】(8)switchport mode access (9)switchport access vlan 10 [分析] 本问题考查的是PIX防火墙中的管道命令(conduit)。 前面讲过使用static命令可以在一个本地IP地址和一个全局IP地址之间创建一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的进入方向的会话。对于向内部接口的连接， static和conduit命令将一起使用，来指定会话的建立。 conduit命令配置语法： conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask] permit | deny 允许 | 拒绝访问 global_ip指的是先前由global或static命令定义的全局IP地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。 指的是服务所作用的端口，例如www使用80，smtp使用25等，用户可以通过服务名称或端口数字来指定端口。 protocol指的是连接协议，如TCP、UDP和ICMP等。 foreign_ip表示可访问global_ip的外部IP。对于任意主机，可以用any表示。如果 foreign ip是一台主机，就用host命令参数。 例1．Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any 这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对 ftp的访问。 例2．Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 表示不允许外部主机61.144.51.89对任何全局地址进行卸访问。 例3．Pix525(config)#conduit permit icmp any any 表示允许icmp消息向内部和外部通过。 例4．Pix525(confiS)#static(inside，outside)61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any 这个例子说明stmic和conduit的关系。192.168.0.3在内网是一台Web服务器，现在希望外网的用户能够通过pix防火墙得到Web服务。所以先做static静态映射：192.168.0.3 -＞61.144.51.62(全局)，然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

【答案解析】(10)128 (11)e0/3(答f0/3或端口 3也正确) [分析] 本问题考查的是PIX防火墙中的配置fixup协议命令。 fixup命令的作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子。 例1．Pix525(config)#fixup protocol ftp 21 启用卸协议，并指定卸的端口号为21。 例2．Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol http 1080 为HTTP协议指定80和1080两个端口。 例 3．Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。