NO.7151

（经典试题，请认真学习）

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。
【说明】
通过SNMP可以获得网络中各种设备的状态信息，还能对网络设备进行控制。在Windows Server 2003中可以采用IPSec来保护SNMP通信，配置管理站的操作步骤为：先创建筛选器，对输入的分组进行筛选，然后创建IPSec策略。

【问题1】（7分）
在“管理工具”中运行“管理 IP 筛选器列表”，创建一个名为“SNMP 消息”的筛选器。在如图C5-3-1所示的“IP 筛选器向导”中指定IP通信的源地址，下拉框中应选择（1）；在如图C5-3-2 中指定 IP 通信的目标地址，下拉框中应选择（2）。

对 SNMP 协议，在图C5-3-4 中设置“从此端口”项的值为（4），“到此端口”项的值为（5）；对 SNMP TRAP 协议，在图C5-3-4 中设置“从此端口”项的值为（6），“到此端口”项的值为（7）。
【问题2】（2分）
在创建 IPSec 安全策略时，规则属性窗口如图C5-3-5 所示。在“IP 筛选器列表”中应选择（8）。
【问题3】（2分）
在“新规则属性”对话框中点击“筛选器操作”选项卡，选择“Permit”，在图C5-3-6中应选择（9），同时勾选“接受不安全的通讯，但总是使用 IPSec 响应（C）”和“使用会话密钥完全向前保密（PFS）（K）”。
（9）的备选答案：
A．许可
B．阻止
C．协商安全
【问题4】（2分）在图C5-3-7所示的密钥交换设置对话框中，勾选“密钥完全向前保密（PFS）（P）”，则“身份验证和生成新密钥间隔”默认值为 480 分钟和（10）个会话。

【问题5】（2分）
为保证 SNMP 正常通信，被管理的其它计算机应如何配置？

参考答案:

【问题1】（7分）
（1）任何IP地址
（2）我的IP地址
（3）UDP
（4）161　
（5）161
（6）162　
（7）162
【问题2】（2分）
（8）SNMP消息
【问题3】（2分）
（9）C
【问题4】（2分）
（10）1　
【问题5】（2分）
其他计算机上必须配置相应的IPSec安全策略

详细解析:

在SNMP的管理操作中，Set和Get操作属于轮询方式，由管理者发出，使用端口为UDP 161；Trap操作属于基于中断的方式，由被管代理发出，使用端口为UDP 162。
题目要求采用 IPSec 来保护 SNMP 通信，则（8）的答案自然是SNMP消息。
由通讯双方使用IPSec来协商安全，因此（9）的答案是C。
主密钥完全向前保密，每次都强调重新生成密钥、若选“主密钥完全向前保密（PFS）（P）”，则“身份验证和生成密钥间隔”的默认值为480分钟和1个会话。
保证SNMP正常通信首先要保证IPSec的正常工作，因此（11）的答案是“其他计算机上必须配置相应的IPSec安全策略”。