2013年上半年（下午）《网络工程师》案例分析真题

试卷预览

1 问答题 1分

某企业的网络结构如图4-1所示。

按照网络拓扑结构为该企业网络进行IP地址和VLAN规划，具体规划如表4-1所示。

按照网络拓扑结构为该企业网络进行IP地址和VLAN规划，具体规划如表4-1所示。

表4-1网络规划地址表

【问题1】（3分）

访问控制列表ACL可以通过编号或（1）来引用。ACL分为两种类型，其中（2），ACL只能根据源地址进行过滤，（3）ACL使用源地址、目标地址、上层协议以及协议信息进行过滤。

【问题2】（6分）

在网络使用中，该企业要求所有部门都可以访问FTP和Web服务器，只有财务部可以访问DataBase服务器；同时，网络管理员可以访问所有络资源，禁止非网络管理员访问交换

设备。根据需求，完成核心交换机Route-Switch一下配置命令。

Route-Switch（config）#access-list 101 permit ip host 192.168.100.10 any

Route-Switch（config）#access-list 101 permit tcp any host 192.168.10.10 eq ftp

Route-Switch（config）#access-list 101（4）eq www

//允许所有主机访问Web服务器

Route-Switch（config）#access-list 101（5）

//允许财务部访问DataBase服务器

Route-Switch（config）#access-list 101 deny any any

Route-Switch（config）#int VLAN 10

Route-Switch（config-if）#ip access-group 101 in//在VLAN10的入方向应用acl 101

Route-Switch（config）#access-list 102 deny any any

Route-Switch（config）#int VLAN 1

Route-Switch（config-if）#（6）//禁止非网管员用户访问网络设备和网管服务器等

【问题3】（8分）

企业员工访问互联网时，为了财务部门的安全，必须限制财务部门的互联网访问请求；要求员工只能在周一至周五08:00~18:00和周末08:00~12:00这两个时间段访问互联网。根据需求，完成（或解释）核心交换机Route-Switch的部分配置命令。

Route-Switch（config）#time-range telnettime//定义时间范围

Route-Switch（config-time-range）#periodic weekday（7）

//定制周期性执行时间为工作日的08:00~18:00

Route-Switch（config-time-range）#periodic weekend 08:00 to 12:00

//（8）

Route-Switch（config-time-range）#exit

Route-Switch（config）#access-list 104 deny ip 192.168.3.0 0.0.0.255 any

//（9）

Route-Switch（config）#access-list 104 permit ip any any time-range telnettime

//应用访问控制时间，定义流量筛选条件

Route-Switch（config）#int f0/6

Route-Switch（config-if）#（10）

//在接口F0/6的出方向应用acl 104规则

【问题4】（3分）

随着企业业务的不断扩大，企业新建了很多分支机构，为了满足各地新建分支机构和移动办公人员使用企业网络的需求，比较经济快捷的做法是选择VPN技术来实现这种办公需求。该技术根据连接主体的不同，针对移动办公和家庭用户可以采用的连接方式为（11）连接方式。针对分支机构长期性的使用可以采用（12）连接方式。

空（11）、（12）备选答案：

A．远程访问的VPN

B．站点到站点的VPN

查看答案 开始考试

正确答案：

本题解析：

【问题1】（3分，每空1分）

（1）名字

（2）标准

（3）扩展

【问题2】（6分，每空2分〉

（4）permit tcp any host 192.168.10.30

（5）permit tcp 192.168.3.0 0.0.0.255 host 192.168.10.20

（6）ip access-group 102 in

【问题3】（8分，每空2分）

（7）08:00 to 18:00

（8）定制周期性执行时间为周末的08:00—12:00

（9）禁止财务部访问互联网

（10）ip access-group 104 out

【问题4】（3分，每空1.5分）

（11）A

（12）B

【问题1】

访问控制列表（ACL）可以用编号和名字（名称）来引用。通常用名字引用的ACL我们称为命名ACL。对于用编号引用的ACL可以分为两种类型。一种类型只能对数据包的源IP地址进行条件判断的，其编号的取值范围是1~99，该类型ACL属于标准ACL。另一种类型则可以对数据包的源IP、目的IP、上层协议、以及协议信息进行过滤，其编号的取值范围是100~199，该类型ACL属于扩展ACL。

【问题2】

关于ACL的编写规则，通常是先写符合小范围的访问规则，再编写大范围的访问规则。

根据题干要求，对内网服务器VLAN10内部的FTP、Web、DataBase都有不同的访问规则，而符合该访问规则的流量都可以通过一个嵌套在核心交换机上的VLAN10接口的入方向的ACL予以判断和控制。同样对于网络管理员可以访问所有络资源，禁止非网络管理员访问交换设备的流量可以通过编写另一个扩展ACL，并嵌套在核心交换机vlan1接口的入方向予以时间。具体ACL编写命令如下：

Route-Switch（config）#access-list 101 permit ip host 192.168.100.10 any//允许网管服务器访问任何网络资源

Route-Switch（config）#access-list 101 permit tcp any host 192.168.10.10 eq ftp

//允许所有主机访问FTP服务器

Route-Switch（config）#access-list 101 permit tcp any host 192.168.10.30 eq www

//允许所有主机访问Web服务器

Route-Switch（config）#access-list 101 permit tcp 192.168.3.0 0.0.0.255 host 192.168.10.20

//允许财务部访问DataBase服务器（此处对于第5空，填入permit ip 192.168.3.0 0.0.0.255 host 192.168.10.20也算对，因为题干并未指出Database服务器用的是什么数据库系统）。

Route-Switch（config）#access-list 101 deny any any//拒绝所有

Route-Switch（config）#int VLAN 10//进入VLAN10虚拟接口

Route-Switch（config-if）#ip access-group 101 in//在VLAN10的入方向应用acl 101

Route-Switch（config）#access-list 102 deny any any//拒绝所有

Route-Switch（config）#int VLAN 1//进入VLAN10虚拟接口

Route-Switch（config-if）#ip access-group 102 in//禁止非网管员用户访问网络设备和网管服务器等

【问题3】

此题考查时间访问控制列表（时间ACL），此知识点是第一次出现在软考考试中。若考试没有相关知识基础，在结合第三小问的整个题干，也是可以做出答案来的。

Route-Switch（config）#time-range telnettime//定义时间范围

Route-Switch（config-time-range）#periodic weekday 08:00 to 18:00

//定制周期性执行时间为工作日的08:00~18:00

Route-Switch（config-time-range）#periodic weekend 08:00 to 12:00

//定制周期性执行时间为周末的08:00~12:00

Route-Switch（config-time-range）#exit

Route-Switch（config）#access-list 104 deny ip 192.168.3.0 0.0.0.255 any

//禁止财务部访问互联网或则禁止财务部访问任何网络

Route-Switch（config）#access-list 104 permit ip any any time-range telnettime

//应用访问控制时间，定义流量筛选条件

Route-Switch（config）#int f0/6

Route-Switch（config-if）#ip access-group 104 out

//在接口F0/6的出方向应用acl 104规则

【问题4】

对于VPN，按照连接方式可以分为远程接入（远程访问）VPN和站点到站点的VPN。针对移动办公和家庭用户可以采用的连接方式为远程接入VPN连接方式。针对分支机构长期性的使用可以采用站点到站点VPN连接方式

2 问答题 1分

某学校的图书馆电子阅览室已经连接为局域网（局域网段192.168.1.0/24），在原有接入校园网的基础上又租用了—条电信ADSL宽带接入来满足用户的上网需求。其中，校园网网段为210.27.176.0~210.27.191.255，DNS为210.27.176.3，子网按照C类网络划分，每个子网的网关都为210.27.xxx.1。ADSL宽带的网络地址由电信自动分配。具体网络结构如图3-1所示。

图3-1

【问题1】（6分）

根据图3-1，在该电子阅览室网络的出口利用了一台安装Windows Server 2003的服务器实现客户机既能访问本校和本馆内的电子资源，又能够通过ADSL访问外部资源。现计划在Server1上安装3块网卡来实现这个功能，三块网卡首先需要在如图3-2所示的界面配置IP地址等信息。按照题目要求选择（1）~（6）中的正确选项。

网卡1：连接电子阅览室内网，IP地址：192.168.1.1，子网掩码：255.255.255.0，网关：（1），DNS：（2）。

网卡2：连接ADSL电信网，IP地址：（3），DNS：（4）。

网卡3：连接校园网，IP地址：（5），子网掩码：255.255.255.0，网关：（6），DNS：210.27.176.3。

空（1）~（6）备选答案：

A．192.168.1.1

B．自动获取

C．192.168.1.2

D．不指定，保持为空

E.210.27.179.2

F.210.27.179.1

G.255.255.255.0

【问题2】（8分）

在Server1上开启路由和远程访问服务，出现如图3-3所示的窗口，在继续配置“网络接口”时，出现如图3-4所示的对话框，应该选择“（7）”，然后输入ADSL账号和密码完成连接建立过程。

为了使客户机自动区分电子阅览室内网、校园网和ADSL电信网，还需新建一个批处理文件route.bat，并把路由功能加入到服务器中，route.bat文件内容如下所示，完成相关配置。

cd\

route delete（8）//删除默认路由

route add（9）mask 255.255.255.0 192.168.1.1//定义内网路由

route add（10）mask 255.255.255.0 210.27.176.1

//定义校园网一个网段路由

......//依次定义校园网其他各网段路由

【问题3】（2分）

因为电子阅览室的DHCP服务器设备老化需要更换，原有DHCP服务器内容需要转移到新的服务器设备上，这时采用导入导出方式进行配置的迁移，采用的步骤如下：

1.在原有的DHCP服务器命令行模式下输“netsh dhcp server export c:\dhcpbackup.txt”命令，将该文件拷贝到新服务器的相同位置。

2.在新的服务器上安装好DHCP服务后，在命令行模式下输入“(11)”命令，即可完成DHCP服务器的迁移。

3.在迁移操作时，一定要使用系统（12）组的有效账户。

【问题4】（4分）

1.若电子阅览室的客户机访问Web服务器时，出现“HTTP错误401.1-未经授权：访问由于凭据无效被拒绝。”现象，则需要在控制面板一>管理工具一>计算机管理—>本地用户和组，将（13)账号启用来解决此问题。

2.若出现“HTTP错误401.2-未经授权：访问由于服务器配置被拒绝。”的现象，造成错误的原因是身份验证设置的问题，一般应将其设置为（14）身份认证.

空（13）、（14）备选答案：

A．IUSR_机器名

B．Administrator

C．Guest

D．匿名

查看答案 开始考试

正确答案：

本题解析：

【问题1】（6分，每空1分）

（1）D

（2）D

（3）B

（4）B

（5）E

（6）F

【问题2】（8分，每空2分）

（7）使用以太网上的PPP(PPPoE)连接

（8）0.0.0.0

（9）192.168.1.0

（10）210.27.176.0

【问题3】（2分，每空1分）

（11）netsh dhcp server import c:\dhcpbackup.txt

（12）Administrators或系统管理员

【问题4】（4分，每空2分）

（13）A

（14）D

【问题1】

根据网络拓扑，Server1网卡1连接电子阅览室内网，本身是作为电子阅览室连接校园网和电信网的接入服务器，网卡1配置的IP地址192.168.1.1/24就是电子阅览室内网的网关地址。所以在该网卡参数上不需要配置网关地址。由于该机器会从电信网自动获取DNS服务器地址，所以该网卡参数上也不需要配置DNS地址。

网卡2连接了ADSL电信网，其IP地址、DNS服务器地址等网卡参数都会由运营商网络自动获取。

网卡3连接校园网，根据拓扑图可以知道其IP地址为202.27.179.2/24，题干也指出校园网每个子网的网关都为“210.27.xxx.1”，所以该网卡的网关地址为210.27.179.1。

【问题2】

考查Windows下远程访问服务器要实现ADSL拨号功能的配置以及Windows环境下如何添加、删除路由的配置命令。

由于题干明确指出Server1采用ADSL拨号上网，该接入方式需要以PPPOE方式拨号，并输入运营商提供的拨号用户名和密码方能实现Internet接入，所以选择“使用以太网上的PPP(PPPoE)连接”。

对于Windows环境下添加/删除静态或默认路由命令格式如下：

route add 0.0.0.0 mask 0.0.0.0网关地址//添加默认路由

route delete 0.0.0.0//删除默认路由

route delete 0.0.0.0 mask 0.0.0.0//删除默认路由

route add 192.168.1.0?mask 255.255.255.0下一跳地址（网关地址）//添加静态路由

route delete 192.168.1.0//删除一条静态路由

【问题3】

考查windows下DHCP用命令行的方式导入导出DHCP数据库的命令以及操作所需的条件。

DHCP数据库导出：“netsh dhcp server export c:\dhcpbackup.txt”（从旧服务器导出）

DHCP数据库导入：“netsh dhcp server import c:\dhcpbackup.txt”（导入到新服务器）

注意：必须具有本地管理员组（administrators组）权限才能导出数据。

【问题4】

考查WEB客户端出现访问异常时，如何排错。

（1）错误号401.1

症状：HTTP错误401.1-未经授权：访问由于凭据无效被拒绝。

分析：

由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用，或者没有权限访问计算机，将造成用户无法访问。

解决方案：

a、查看IIS管理器中站点安全设置的匿名帐户是否被禁用，如果是，请尝试用以下办法启用：

控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。如果还没有解决，请继续下一步。

b、查看本地安全策略中，IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限，如果没有尝试用以下步骤赋予权限：

开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配，双击“从网络访问此计算机”，添加IIS默认用户或者其所属的组。

注意：一般自定义IIS默认匿名访问帐号都属于组，为了安全，没有特殊需要，请遵循此规则。

（2）错误号401.2

症状：HTTP错误401.2-未经授权：访问由于服务器配置被拒绝。

原因：关闭了匿名身份验证

解决方案：

运行inetmgr，打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”，输入用户名，或者点击“浏览”选择合法的用户，并两次输入密码后确定。

（3）错误号：401.3

症状：HTTP错误401.3-未经授权：访问由于ACL对所请求资源的设置被拒绝。

原因：IIS匿名用户一般属于Guests组，而我们一般把存放网站的硬盘的权限只分配给administrators组，这时候按照继承原则，网站文件夹也只有administrators组的成员才能访问，导致IIS匿名用户访问该文件的NTFS权限不足，从而导致页面无法访问。

解决方案：

给IIS匿名用户访问网站文件夹的权限，方法：进入该文件夹的安全选项，添加IIS匿名用户，并赋予相应权限，一般是读、写。

3 问答题 1分

某公司搭建一个小型局域网，局域网内有200台PC机，网络中配置一台linux服务器作为Internet接入服务器，Linux服务器E0网卡的IP地址为192.168.1.1，E1网卡的IP地址为202.100.20.30，该网络结构如图2-1所示。

为了方便局域网IP地址管理，决定在Linux Server中配置DHCP服务，要求DHCP服务的配置满足几个条件：

1.考虑今后扩展需求，当前只使用从192.168.1.1到192.168.1.201的IP地址；

2.PC100（MAC地址为00:A0:78:8E:9E:AA）作为内部文件服务器，需要使用固定的IP地址192.168.1.100；

3.在Linux Server上配置DNS服务；

【问题1】（9分）

根据题目要求补充完成DHCP服务器配置文件dhcpd.conf的配置项

【问题2】（4分）

依据DHCP协议约定和问题1的配置，DHCP客户端PC1从获取IP地址后经过（10）分钟需要到DHCP服务器申请租约更新。此时PC1发送到DHCP服务器的消息是(11)，如果DHCP服务器同意租约更新，响应的消息是(12)，如果DHCP服务器不同意租约更新，响应的消息是（13）。

【问题3】（2分）

在DHCP客户端，还可以通过Windows命令（14）来释放申请到IP地址，通过命令（15）来立即重新申请租约。

查看答案 开始考试

正确答案：

本题解析：

【问题1】（共9分，每空1分）

（1）192.168.1.255

（2）192.168.1.1

（3）192.168.1.1

（4）192.168.1.0

（5）255.255.255.0

（6）192.168.1.2

（7）192.168.1.201

（8）00:A0:78:8E:9E:AA

（9）192.168.1.100

【问题2】（4分，每空1分）

（10）10

（11）DHCPREQUEST

（12）DHCPACK

（13）DHCPNACK

【问題3】（2分，每空1分）

（14）ipconfig/release

（15）ipconfig/renew

【问题1】

考查Linux下DHCP服务器的配置命令。需要注意的是在Linux下DHCP服务可以配置诸如租约时间、网络ID、广播地址、网关地址、DNS服务器、地址池范围、特定服务器MAC地址与IP地址的绑定等内容。

default-lease-time 1200；//默认租约时间为1200秒（20分钟）

max-lease-time 9200；//最大租约时间为9200秒（153.33分钟）

option subnet-mask 255.255.255.0；//配置子网掩码

option broadcast-address 192.168.1.255；//配置广播地址

option routers 192.168.1.1；//配置网关地址为Linux服务器的内网卡地址

option domain-name-servers 192.168.1.1；//指定DHCP服务器本身也是DNS服务器

subnet 192.168.1.0?netmask?255.255.255.0//子网申明（地址池）

{

range 192.168.1.2 192.168.1.201//配置地址申明范围

}

host fixed{//host申明一台特定主机

hardware ethernet 00:A0:78:8E:9E:AA；//指定特定主机的MAC（物理）地址

fixed-address 192.168.1.100；//特定主机绑定一个固定的IP地址

}

【问题2】

考查Linux下地址租约的内容。当客户端地址租约时间到达默认租约时间的50%时（题干中配置命令“default-lease-time 1200”已经指明其默认租约时间为20分钟，其50%为10分钟）DHCP客户端会向DHCP服务器单播DHCP Request包，实现续约请求。若服务器同意则直接单播回复DHCP ACK，若服务器不同意租约则回复DHCP NACK包。

【问题3】

windows下DHCP客户端释放IP地址的命令是“ipconfig/release”。

重新申请租约的命令是“ipconfig/renew”。

4 问答题 1分

某学校计划部署园区网络，本部与分校区地理分布如图1-1所示。

根据需求分析结果，网络规划部分要求如下：

1.网络中心机房在信息中心。

2.要求汇聚交换机到核心交换机以千兆链路聚合。，

3.核心交换机要求电源、引擎双冗余。

4.信息中心与分校区实现互通。

【问题1】（4分）

网络分析与设计过程一般采用五个阶段：需求分析、通信规范分析、逻辑网络设计、物理网络设计与网络实施。其中，确定新网络所需的通信量和通信模式属于（1）阶段；确定IP地址分配方案属于（2）阶段；明确网络物理结构和布线方案属于（3）阶段；确定网络投资规模属于（4）阶段。

【问题2】（9分)

根据需求分析，规划该网络拓扑如图1-2所示。

1.核心交换机配置如表1-1所示，确定核心交换机所需配置的模块最低数量。

表1-1

2.根据网络需求描述、网络拓扑结构、核心交换机设备表，图1-2中的介质1应选用（9）；介质2应选用（10）；介质3应选用（11）。

问题（9）~（11）备选答案：（注：每项只能选择一次）

A．单模光纤B．多模光纤C．6类双绞线D．同轴电缆

3.为了网络的安全运行，该网络部署了IDS设备。在图1-2中的设备1、2、3、4上，适合部署IDS设备的是（12）及（13）。

【问题3】(4分)

该校园根据需要部署了两处无线网络。一处位于学校操场；一处位于科研楼。其中操场的无线AP只进行用户认证，科研楼的无线AP中允许指定的终端接入。

1.无线AP分为FIT AP和FAT AP两种。为了便于集中管理，学校操场的无线网络采用了无线网络控制器，所以该学校操场的无线AP为（14）AP。天线通常分为全向天线和定向天线，为保证操场的无线覆盖范围，此时应配备（15）天线。

2.为了保证科研楼的无线AP的安全性，根据需求描述，一方面需要进行用户认证，另一方面还需要对接入终端的（16）地址进行过滤，同时为保证信息传输的安全性，应釆用加密措施。无线网络加密主要有WEP、WPA和WPA2三种方式。目前，安全性最好的是（17）。

【问题4】（3分）

学校计划采用VPN方式实现分校区与本部的互通。VPN的隧道协议主要有三种：PPTP，L2TP和IPSec，其中（18)和(19)协议工作在OSI模型的第二层，又称为二层隧道协议；（20）是第三层隧道协议。

查看答案 开始考试

正确答案：

本题解析：

【问题1】（4分，每空1分）

（1）通信规范分析

（2）逻辑网络设计

（3）物理网络设计

（4）需求分析

【问题2】（9分，每空1分）

（5）2

（6）2

（7）1

（8）8

（9）C

（10）A

（11）B

（12）设备1或设备2

（13）设备2或设备1

【问题3】（4分，每空1分）

（14）FIT

（15）全向

（16）MAC（或物理）

（17）WPA2

【问题4】（3分，每空1分）

（18）PPTP

（19）L2TP（或物理）

（20）IPSEC

【问题1】

一个网络拓扑的过程包含了需求分析、通信规范分析、逻辑网络设计、物理网络设计与网络实施五个阶段。

在需求分析过程中，主要包括业务需求、用户需求、应用需求、计算机平台需求、网络需求等方面的内容。

在通信规范分析中，主要包括通讯模式分析、通信边界分析、通信流分布分析、通信量分析网络基准分析、编写通信规范等方面的内容。

在逻辑网络设计中，主要包括网络结构的设计、物理层技术选择、局域网技术选择与应用、广域网技术选择与应用、地址设计和命名模型、路由选择协议、网络管理、网络安全、逻辑网络设计文档等方面的内容。

在物理网络设计中，主要包括PDS综合布线系统设计、布线系统设备清单、机房设计、物理设计文档（工程概述、物理设计图标、资产说明、最终费用估算）等方面的内容。

网络实施是指根据用户网络应用需求和用户投资情况，分期分批制定网络基础设施建设和应用系统开发的工作安排。

【问题2】

（1）企业核心层交换机可以分为路由引擎模块、交流电源模块、RJ45接口以太电接口板、SFP以太光接口模块、SFP-GE模块等子部件。可以根据网络拓扑图分析连接在核心交换机上的设备、所用介质在接口模块间作取舍。根据题干要求，核心交换机需要电源、引擎双冗余，此为设备可靠性的考虑，我们需要在核心设备上配置两个电源模块、两个核心引擎模块。同时题干要求汇聚交换机到核心交换机以千兆链路聚合，从拓扑图中可以看到汇聚交换机到核心交换机有八根物理链路连接到核心交换机，则在核心交换机上需要一个12端口千兆以太网光接口板，该接口板至少需要8个SFP-GE模块用以连接汇聚交换机与核心交换机之间的八根物理链路。

（2）关于介质选型。以下列出了针对传输介质选用和网络设备选型提供一些考题汇总信息，供考生参考：

双绞线（5、5e、6类别）：双绞线的传输距离理论值在100m之类，大于100m的距离不用考虑双绞线介质；

多模光纤：符合1000BASE-SX标准，其传输距离在100m-550m之间。

单模光纤：符合1000BASE-LX标准，其传输距离在500m以上。

在拓扑图中介质1位于防火墙和核心交换机之间，它们都处于信心中心内部，所以用用双绞线即可，同时要能够承载核心交换机上千兆的流量，则采用6类双绞线比较合适（6类双绞线支持1000M速率传输）。介质2要承载200米、300米、400米、2000米的传输距离，只能采用单模光纤，介质3承载300米的传输距离，出于成本的考虑，用多模光纤比较合适。

（3）IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源。这些位置通常是：

a、服务器区域的交换机上

b、Internet接入路由器之后的第一台交换机上

c、重点保护网段的局域网交换机上

【问题3】

WLAN是对LAN的延伸。WLAN的核心设备是AP，按照功能来划分FIT AP（瘦AP）和FAT AP（胖AP）。瘦AP一般指无线网关或网桥，胖AP一般指无线路由。瘦AP需要专用无线控制器的，通过无线控制器下发配置才能用，里面本身不能进行相关配置，多用于要求较高的场合，要实现认证一般需要认证服务器或者支持认证功能的交换机配合。胖AP多用于家庭和小型网络，功能比较全，一般一台设备就能实现接入、认证、路由、DHCP、DNS、VPN、地址翻译甚至防火墙功能。出于安全的考虑，AP可以配置用户认证、MAC地址过滤，配置加密措施（常见的有WEP、WPA、WPA2是三种方式，其中WPA2的安全性最好）。

出于延伸无线信号辐射面，可以在AP上增加天线。如果是空旷的环境，在各个方向都有无线终端则应该用全向天线。如果是室内且无线终端集中在某一个方向则可以考虑用定向天线。

【问题4】

关于VPN分类常见的如L2F、L2TP、PPTP属于二层VPN，IPSEC、GRE属于三层VPN。