第一篇：中級網(wǎng)絡(luò)工程師2015上半年下午試題

2015年5月軟考網(wǎng)絡(luò)工程師真題下午題

附參考答案 試題一(共20分)閱讀以下說明，回答問題1至問題5，講解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】 某企業(yè)網(wǎng)絡(luò)拓?fù)鋱D如圖1-1所示。工程師給出了該網(wǎng)絡(luò)的需求：

1.用防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)地址轉(zhuǎn)換和訪問控制策略；

2.核心交換機(jī)承擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)，并且與匯聚層兩臺交換機(jī)實(shí)現(xiàn)OSPF功能； 3.接入層到匯聚層采用雙鏈路方式組網(wǎng)； 4.接入層交換機(jī)對地址進(jìn)行VLAN劃分； 5.對企業(yè)的核心資源加強(qiáng)安全防護(hù) 【問題1】(4分)該企業(yè)計(jì)劃在①、②或③的位置部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS），將NIDS部署 在①的優(yōu)勢是_(1)_；將NIDS部署在②的優(yōu)勢是(2)_、_(3)_；將NIDS部署在③的優(yōu) 勢是_(4)___。

（1）~（4）備選答案：

A．檢測外部網(wǎng)絡(luò)攻擊的數(shù)量和類型 B．監(jiān)視針對DMZ中系統(tǒng)的攻擊

C．監(jiān)視針對關(guān)鍵系統(tǒng)、服務(wù)和資源的攻擊 D．能減輕拒絕服務(wù)攻擊的影響 【解析】：

①位置，是邊界接入防火墻的一個(gè)區(qū)域，根據(jù)拓?fù)渲兴?，連接Internet側(cè)為outside 區(qū)域，連接核心交換機(jī)側(cè)為inside區(qū)域，①位置則為DMZ區(qū)域?？捎糜谶B接對外提供服務(wù)的服務(wù)器，如WWW服務(wù)器等。在①位置部署NIDS用于監(jiān)視針對DMZ中系統(tǒng)的攻擊。

②位置是直接在接入防火墻外面，即廣域網(wǎng)邊界，NIPS部署在這里的主要作用是：檢測 外部網(wǎng)絡(luò)攻擊的數(shù)量和類型。

③位置是在企業(yè)網(wǎng)核心資源相關(guān)服務(wù)器的防火墻與核心交換機(jī)之間，NIPS部署在這里的主要作用是對內(nèi)網(wǎng)服務(wù)器群的加強(qiáng)安全保護(hù)。本題中CD選項(xiàng)不好嚴(yán)格區(qū)分在不同部署區(qū)域的優(yōu)勢。從字面意思來說，部署在③位置可對內(nèi)網(wǎng)的核心資源進(jìn)行保護(hù)。但是部署在②位置可以對企業(yè)網(wǎng)全部內(nèi)網(wǎng)的關(guān)鍵系統(tǒng)、服務(wù)和資源進(jìn)行保護(hù)。爭議較大。【參考答案】：（1）B（2）A（3）C（4）D 【問題2】（4分）

OSPF主要用于大型、異構(gòu)的IP網(wǎng)絡(luò)中，是對_(5)_路由的一種實(shí)現(xiàn)。若網(wǎng)絡(luò)規(guī)模較小，可以考慮配置靜態(tài)路由或_(6)___協(xié)議實(shí)現(xiàn)路由選擇。（5）備選答案：A.鏈路狀態(tài) B.距離矢量 C.路徑矢量（6）備選答案：A.EGP B.RIP C.BGP 【參考答案】：(5)A(6)B 【問題3】（4分）

對匯聚層兩臺交換機(jī)的F0/3，F(xiàn)0/4端口進(jìn)行端口聚合，F(xiàn)0/3，F(xiàn)0/4端口默認(rèn)模式是_(7)_，進(jìn)行端口聚合時(shí)應(yīng)配置為_(8)_模式。(7)，(8)備選答案： A.multi B.trunk C.access 【參考答案】：(7)C(8)B 【問題4】（6分）

為了在匯聚層交換機(jī)上實(shí)現(xiàn)虛擬路由冗余功能，需配置_(9)_，可以采用競爭的方式選 擇主路由設(shè)備，比較設(shè)備優(yōu)先級大小，優(yōu)先級大的為主路由設(shè)備。若備份路由設(shè)備長時(shí)間沒 有收到主路由設(shè)備發(fā)送的組播報(bào)文，則將自己的狀態(tài)轉(zhuǎn)為_(10)_。為了避免二層廣播風(fēng)暴，需要在接入與匯聚設(shè)備上配置_(11)_。（10），（11）備選答案： A.master B.backup C.VTP server D.MSTP 【解析】：

虛擬路由冗余功能有三種協(xié)議可以配置實(shí)現(xiàn)： 1）熱備份路由器協(xié)議 HSRP 2）虛擬路由器冗余協(xié)議 VRRP 3）網(wǎng)關(guān)負(fù)載均衡協(xié)議 GLBP 其中HSRP和GLBP是Cisco的私有協(xié)議，VRRP是標(biāo)準(zhǔn)協(xié)議，無廠商限制。根據(jù)【問題5】給出的配置命令，可判斷采用的協(xié)議是HSRP，（9）題填寫HSRP更合 適。但是：HSRP的主備狀態(tài)分別是active和standby，VRRP的主備狀態(tài)分別是master和 backup，根據(jù)（11）的選項(xiàng)，則判斷協(xié)議應(yīng)該是VRRP。此題有爭議 【參考答案】：（9）HSRP/VRRP（10）A(11)D 【問題5】（2分）

閱讀匯聚交換機(jī)Switch1的部分配置命令，回答下面的問題。Switch1(config)#interface vlan 20 Switch1(config-if)#ip address 192.168.20.253 255.255.255.0 Switch1(config-if)#standby 2 ip 192.168.20.250 Switch1(config-if)#standby 2 preempt Switch1(config-if)#exit VLAN20的standby 默認(rèn)優(yōu)先級的值是_(12)_。VLAN20設(shè)置preempt的含義是_(13)_。【參考答案】：（12）100（13）開啟搶占模式 試題二（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】

某公司內(nèi)部搭建了一個(gè)小型的局域網(wǎng)，拓?fù)鋱D如圖2-1所示。公司內(nèi)部擁有主機(jī)約120 臺，用C類地址段192.168.100.0/24，采用一臺Linux服務(wù)器作為接入服務(wù)器，服務(wù)器內(nèi)部局域網(wǎng)接口地址為192.168.100.254，ISP提供的地址為202.202.212.62。

【問題 1】（2分）

在 Linux 中，DHCP的配置文件是（1）。【參考答案】：dhcpd.conf 【問題 2】（8分）

內(nèi)部郵件服務(wù)器 IP 地址為 192.168.100.253，MAC地址為01:AA:71:8C:9A:BB,內(nèi)部文件服務(wù)器 IP 地址為 192.168.100.252，MAC 地址為 01:15:71:8C:77:BC，公司內(nèi)部網(wǎng)絡(luò)分為 4個(gè)網(wǎng)段。為方面管理，公司使用 DHCP 服務(wù)器為客戶機(jī)動(dòng)態(tài)配置 IP 地址，下面是Linux 服務(wù)器為192.168.100.192/26子網(wǎng)配置DHCP的代碼，將其補(bǔ)充完整。Subnet(2)netmask(3){ option router 192.168.100.254； option subnet-mask(4)；

option broadcast-address（5）； option time-offset-18000； range（6）（7）； default-lease-time 21600； max-lease-time43200； host servers { hardware ethernet(8)；

fixed-address 192.168.100.253；

hardware ethernet 01:15:71:8C:77:BC； fixed-address(9)； 【參考答案】：

（2）192.168.100.192（3）255.255.255.192（4）255.255.255.192（5）192.168.100.255（6）192.168.100.193（7）192.168.100.251（8）01:AA:71:8C:9A:BB（9）192.168.100.252 【問題 3】（2分）

配置代碼中“option time-offset-18000”的含義是（10），“default-lease-time 21600”表明，租約期為（11）小時(shí)。（10）備選答案：

A.將本地時(shí)間調(diào)整為格林威治時(shí)間 B.將格林威治時(shí)間調(diào)整為本地時(shí)間 C.設(shè)置最長租約期 【參考答案】：（10）A（11）6 【問題 4】（3 分）

在一臺客戶機(jī)上使用ipconfig命令輸出如圖 2-2所示，正確說法是（12）

此時(shí)可使用（13）命令釋放當(dāng)前IP地址，然后使用（14）命令向 DHCP 服務(wù)器重 新申請IP地址。（12）備選答案： A.本地網(wǎng)卡驅(qū)動(dòng)未成功安裝

B.未收到DHCP服務(wù)器分配的地址

C.DHCP服務(wù)器分配給本機(jī)的IP地址為169.254.146.48 D.DHCP服務(wù)器的IP地址為169.254.146.48 【參考答案】：

（12）B（13）ipconfig/release(14)ipconfig/renew 試題三（共 20 分）

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應(yīng)的解答欄內(nèi)。【說明】 某企業(yè)在采用 Windows Server 2003 配置了共享打印、FTP和DHCP服務(wù)。

【問題 1】（8 分）

1.Internet 共享打印使用的協(xié)議（1）。（1 分）（1）備選答案： A.PPI B.IPP C.TCP D.IP 2.Internet共享打印配置完成后，需在如圖 3-1 所示的Web 服務(wù)擴(kuò)展選項(xiàng)卡中的“Active ServerPages”設(shè)置為“允許”，其目的是（2）。（2 分）

3.檢驗(yàn)Internet打印服務(wù)是否安裝正確的方法是在Web瀏覽器的地址欄輸入U(xiǎn)RL是（3）。（2 分）（3）備選答案：

A.HTTP://127.0.0.1/PRINTERS B.FTP://127.0.0.1/PRINTERS C.HTTP://PRINTERS D.FTP://PRINTERS 4.使用 Internet共享打印流程為6個(gè)步驟： ①在終端上輸入打印設(shè)備的 URL ②服務(wù)器向用戶顯示打印機(jī)狀態(tài)信息 ③客戶端向打印服務(wù)器發(fā)送身份驗(yàn)證信息 ④用戶把要打印的文件發(fā)送到打印服務(wù)器

⑤打印服務(wù)器生成一個(gè) cabinet 文件，下載到客戶端 ⑥通過 Internet 把 HTTP 請求發(fā)送到打印服務(wù)器 對以上步驟進(jìn)行正確的排序（4）。（3 分）【解析】：

使用 Internet 打印時(shí)，可以通過 Web 瀏覽器來打印或管理文檔。在基于 Windows Server 2003 的計(jì)算機(jī)上，當(dāng)您安裝 Microsoft Internet 信息服務(wù)(IIS)，然后通過“IIS 安全 鎖定向?qū)А眴⒂?Internet 打印時(shí)，Internet 打印會(huì)自動(dòng)啟用。打印是通過 Internet 打印協(xié)議(IPP)實(shí)現(xiàn)的，此協(xié)議封裝在超文本傳送協(xié)議(HTTP)中。通過 Internet 打印，可以從瀏覽器來管理打印服務(wù)器上的任何共享打印機(jī)。通過在瀏 覽器“地址”框中鍵入打印服務(wù)器的地址，可以通過 Intranet 或 Internet 打印到打印機(jī)。例如，鍵入 http://myprintserver/printers/。當(dāng)您在打印機(jī)網(wǎng)頁上單擊“連接”時(shí)，服務(wù)器會(huì)生成一個(gè)包含相應(yīng)打印機(jī)驅(qū)動(dòng)程序文件的.cab 文件，并將其下載到客戶端計(jì)算機(jī)。安裝的打印機(jī)顯示在客戶端的 Printers 文件夾中。Internet 打印過程包括以下步驟：

1.有人通過鍵入打印設(shè)備的 URL 在Internet上連接打印服務(wù)器。2.HTTP請求會(huì)通過Internet發(fā)送至打印服務(wù)器。

3.打印服務(wù)器會(huì)要求客戶端提供身份驗(yàn)證信息。這樣可確保只有授權(quán)用戶才能在打印 服務(wù)器上打印文檔。

4.在服務(wù)器對用戶進(jìn)行身份驗(yàn)證后，會(huì)使用其中包含有關(guān)當(dāng)前可用的打印機(jī)信息的 Active Server Pages(ASP)向用戶顯示狀態(tài)信息。

5.當(dāng)用戶連接 Internet 打印網(wǎng)頁中的任何打印機(jī)時(shí)，客戶端（例如，運(yùn)行 Windows Vista 或 Windows Server 2008）首先會(huì)嘗試在本地查找打印機(jī)的驅(qū)動(dòng)程序。如果找不到合適的驅(qū)動(dòng)程序，打印服務(wù)器會(huì)生成包含相應(yīng)的打印機(jī)驅(qū)動(dòng)程序文件的 Cabinet 文件（.cab 文件，也稱為安裝文件）。打印服務(wù)器會(huì)將.cab文件下載至客戶端計(jì)算機(jī)。系統(tǒng)將提示客戶端計(jì)算機(jī)上的用戶需要輸入權(quán)限才能下載.cab文件。

客戶端計(jì)算機(jī)根據(jù)打印共享所在的安全區(qū)域下載打印機(jī)驅(qū)動(dòng)程序，并使用Internet 打印協(xié)議(IPP)或遠(yuǎn)程過程調(diào)用(RPC)連接打印機(jī)。安全區(qū)域是通過控制面板中的 Internet選項(xiàng)在客戶端計(jì)算機(jī)上配置的。對于級別為“中高”或“中等”的安全區(qū)域，使 用 IPP；對于級別為“中低”的安全區(qū)域，使用 RPC。

6.用戶連接到 Internet打印機(jī)后，就可以向打印服務(wù)器發(fā)送文檔?！緟⒖即鸢浮浚海?）B（2）支持 ASP 頁面功能（3）A（4）①⑥③②⑤④ 【問題 2】（8 分）FTP的配置如圖 3-2,、圖 3-3 所示。

1.默認(rèn)情況下，用戶登錄FTP服務(wù)器時(shí)，服務(wù)器端建立的 TCP 端口號為（5）。2.如果只允許一臺主機(jī)訪問FTP服務(wù)器，參考圖 3-2 給出具體的操作步驟（6）。3.參考圖 3-3，在一臺服務(wù)器上搭建多個(gè)FTP站點(diǎn)的方法是（7）。4.如點(diǎn)擊圖 3-3 中“當(dāng)前會(huì)話”按鈕，顯示的信息是（8）?！緟⒖即鸢浮浚海?）21（6）選中：默認(rèn)情況下，所有計(jì)算機(jī)將被“拒絕訪問”，然后選擇“一臺計(jì)算機(jī)”

（7）選擇不同的 IP 地址或者使用不同的端口號（8）當(dāng)前連接到 FTP 服務(wù)器的會(huì)話信息【 問題 3】（4 分）

DHCP 的配置如圖 3-4 和 3-5 所示。

1.圖 3-4 中填入的IP地址是（9）。

2.圖 3-5 中配置 DHCP中繼代理程序，可以實(shí)現(xiàn)（10）。（9）備選答案：

A.分配給客戶端的 IP 地址 B.默認(rèn)網(wǎng)關(guān)的IP地址 C.DHCP 服務(wù)器的IP地址（10）備選答案： A.是普通客戶機(jī)獲取IP等信息 B.跨網(wǎng)段的地址分配 C.特定用戶組訪問特定網(wǎng)絡(luò) 【參考答案】：（9）B(10)B 試題四（共 20 分）

閱讀以下說明，回答問題 1 至問題 4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。（說明）某企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖 4-1 所示。

由于該企業(yè)路由設(shè)備數(shù)量較少，為提高路由效率，要求為該企業(yè)構(gòu)建基于靜態(tài)路由的多層安全交換網(wǎng)絡(luò)。根據(jù)要求創(chuàng)建 4 個(gè) VLAN 分別屬于網(wǎng)管中心，生產(chǎn)部，銷售部以及研發(fā)中心，各部門的 VLAN 號及 IP 地址規(guī)劃如圖 4-1 所示。該企業(yè)網(wǎng)采用三層交換機(jī) Switch-core為核心交換機(jī)，Switch-core 與網(wǎng)管中心交換機(jī) Switch1 和研發(fā)中心交換機(jī) Switch4 采用三層連接，Switch-core 與生產(chǎn)部交換機(jī) Switch2 及銷售部的交換機(jī) Switch3 采用二層互聯(lián)。各交換機(jī)之間的連接以及接口 IP 地址如表 4-1 所示。

（問題 1）（4 分）

隨著企業(yè)網(wǎng)絡(luò)的不斷發(fā)展，研發(fā)中心的上網(wǎng)計(jì)算機(jī)數(shù)急劇增加，在高峰時(shí)段研發(fā)中心和核心交換機(jī)之間的網(wǎng)絡(luò)流量非常大，在不對網(wǎng)絡(luò)進(jìn)行大的升級改造前提下，網(wǎng)管人員采用了以太信道或端口聚合技術(shù)來增加帶寬，同時(shí)也起到了（1）和（2）的作用，保證了研發(fā)中心網(wǎng)絡(luò)的穩(wěn)定性和安全性。

在兩臺交換機(jī)之間是否形成以太信道，可以用協(xié)議自動(dòng)協(xié)商。目前有兩種協(xié)商協(xié)議：一 種是__(3)__，是 Cisco 私有的協(xié)議，另一種是 __(4)___，是基于 IEEE802.3ad 標(biāo)準(zhǔn)的協(xié)議。（3）、（4）備選答案：

A、端口聚合協(xié)議（PAgP）B、多生成樹協(xié)議（MSTP）C、鏈路聚合控制協(xié)議（LACP）【解析】：

以太信道或端口聚合技術(shù)是將多條物理鏈路捆綁成一條邏輯鏈路的方式，各物理鏈路通過負(fù)載均衡的方式，可以成倍的提高帶寬。同時(shí)若部分物理鏈路失效，以太通道會(huì)動(dòng)態(tài)適應(yīng)，轉(zhuǎn)發(fā)任務(wù)由其他鏈路分擔(dān)（但是總帶寬會(huì)降低）。

由于以太通道技術(shù)將多條物理鏈路聚合成一條邏輯鏈路，從二層的角度來看，STP 將認(rèn)為僅僅是一條鏈路，不存在環(huán)路。

以太信道的協(xié)商方式分為靜態(tài)和動(dòng)態(tài)協(xié)商兩種。目前動(dòng)態(tài)有兩種協(xié)商協(xié)議：一種是端口聚合協(xié)議（PAgP），是 Cisco 私有的協(xié)議，另一種是鏈路聚合控制協(xié)議（LACP），是基于IEEE802.3ad 標(biāo)準(zhǔn)的協(xié)議?！緟⒖即鸢浮浚海海?）鏈路冗余（2）消除環(huán)路負(fù)載均衡其中：（1）和（2）位置可互換，另外，如果出現(xiàn)【負(fù)載 均衡、】、【鏈路備份】等答案，我認(rèn)為也可以。（3）A（4）C（問題 2）

核心交換機(jī) Switch-core 與網(wǎng)管中心交換機(jī) Switch1 通過靜態(tài)路由進(jìn)行連接。根據(jù)需求，完成或解釋 Switch-core 與 Switch1 的部分配置命令。（1）配置核心交換 Switch-core Switch-core#config terminal Switch-core(config)#interface gigabitEthernet 0/2 Switch-core(config-if)#description wgsw-g0/1 //____(5)____ Switch-core(config-if)#no switchport //____(6)_____ Switch-core(config-if)#ip address___(7)_____ Switch-core(config-if)#no shutdown Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.101.2 Switch-core(config)#exit ??

(2)配置網(wǎng)管中心交換機(jī) Switch1 Switch1#config terminal Switch1(config)#no ip domain lookup //___(8)____ Switch1(config)#interface gigabitEthernet 0/1 Switch1(config-if)#description core-g0/2 Switch1(config-if)#no switchport Switch1(config-if)#ip address____(9)______ Switch1(config-if)#exit Switch1(config)#vlan 10 Switch1(config-vlan)#name wg10 Switch1(config-vlan)#exit Switch1(config)#interface vlan 10 Switch1(config-if)#ip address____(10)______ Switch1(config-if)#exit Switch1(config)#interface range f0/2-20 Switch1(config-if-range)#switchport mode access //設(shè)置端口模式為 access 模式 Switch1(config-if-range)#switchport access ___(11)____//設(shè)置端口所屬的 VLAN Switch1(config-if-range)#no shutdown Switch1(config-if-range)#exit Switch1(config)#ip route 192.168.20.0 255.255.255.0 192.168.101.1 Switch1(config)#ip route 192.168.30.0 255.255.255.0 192.168.101.1 ??

【參考答案】：

（5）設(shè)置端口描述 wgsw-g0/1（6）開啟三層接口（7）192.168.101.1 255.255.255.0（8）關(guān)閉 DNS 查詢/ 關(guān)閉域名查詢（9）192.168.101.2 255.255.255.0（10）192.168.10.1 255.255.255.0（11）vlan 10(問題 3)（7 分）

為確保研發(fā)中心的網(wǎng)絡(luò)的穩(wěn)定性，在現(xiàn)有條件下盡量保證帶寬，要求實(shí)現(xiàn)核心交換機(jī) Switch-core 與研發(fā)中心交換機(jī) Switch4 的三層端口聚合，然后通過靜態(tài)路由進(jìn)行連接。根據(jù)需求，完成或解釋一下配置命令。

（1）繼續(xù)配置核心交換機(jī) Switch-core Switch-core#confg terminal Switch-core(config)#interface port-channel 10 //____(12)____ Switch-core(config-if)#no switchport Switch-core(config-if)#ip address ___(13)_____ Switch-core(config-if)#no shutdown Switch-core(config-if)#exit Switch-core(config)#interface range fastEthernet0/1-4 //選擇配置的物理接口 Switch-core(config-if-range)#no switchport Switch-core(config-if-range)#no ip address //確保該物理接口沒有指定的 IP 地址 Switch-core(config-if-range)#switchport Switch-core(config-if-range)#channel-group 10 mode on //_____(14)_____ Switch-core(config-if-range)#no shutdown Switch-core(config-if-range)#exit Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.102.2 ??(2)配置研發(fā)中心交換機(jī) Switch4 Switch4#config terminal Switch4(config)#interface port-channel 10 Switch4(config-if)#no switchport Switch4(config-if)#ip address____(15)____ Switch4(config-if)#no shutdown Switch4(config-if)#exit Switch4(config)#interface range fastEthernet0/1-4 Switch4(config-if-range)#no switchport Switch4(config-if-range)#no ip address ??

Switch4(config-if-range)#no shutdown Switch4(config-if-range)#exit Switch4(config)#____(16)_____ //配置默認(rèn)路由 Switch4(config)#vlan 40 Switch4(config-vlan)#name yf10 Switch4(config-vlan)#exit Switch4(config)# _____(17)____ //開啟該交換機(jī)的三層路由功能 Switch4(config)#interface vlan 40 Switch4(config-if)#ip address 192.168.40.1 255.255.255.0 Switch4(config-if)#exit Switch4(config)#interface range fastEthernet0/5-20 Switch4(config-if-range)#switchport mode access ?

Switch4(config-if-range)#____(18)_____ //退回到特權(quán)模式 Switch4# ?（問題 4）（2 分）

為了保障局域網(wǎng)用戶的網(wǎng)絡(luò)安全，防范欺騙攻擊，以生產(chǎn)部交換機(jī) Switch2 為例，配 置 DHCP 偵聽。根據(jù)需求完成或解釋 Switch2 的部分配置命令。Switch2#config terminal Switch2(config)#ipdhcp snooping //____(19)____ Switch2(config)#ipdhcp snooping vlan 20 Switch2(config)#interface gigabitEthernet1/1 Switch2(config-if)#ipdhcp snooping trust //____(20)____ Switch2(config-if)#exit ? 【參考答案】：

（12）創(chuàng)建聚合端口10（13）192.168.102.1 255.255.255.0（14）設(shè)置端口為聚合模式為 on（15）192.168.102.2 255.255.255.0（16）ip route 0.0.0.0 0.0.0.0 192.168.102.1（17）ip routing（18）end（19）開啟dhcp snooping功能或開啟dhcp偵聽功能（20）設(shè)置為dhcp snooping信任端口

第二篇：中級網(wǎng)絡(luò)工程師2017下半年下午試題

2017下半年網(wǎng)絡(luò)工程師考試下午真題

試題一（共 20 分）

閱讀以下說明，回答問題 1至問題 4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

【說明】

某企業(yè)組網(wǎng)方案如圖1-1所示，網(wǎng)絡(luò)接口規(guī)劃如表1-1所示。公司內(nèi)部員工和外部訪客均可通過無線網(wǎng)絡(luò)訪問企業(yè)網(wǎng)絡(luò)，內(nèi)部員工無線網(wǎng)絡(luò)的SSID為 Employee，訪客無線網(wǎng)絡(luò)的SSID為Visitor。

【問題1】（6分）

防火墻上配置NAT功能，用于公私網(wǎng)地址轉(zhuǎn)換。同時(shí)配置安全策略，將內(nèi)網(wǎng)終端用戶所在區(qū)域劃分為Trust區(qū)域，外網(wǎng)劃分為Untrust區(qū)域，保護(hù)企業(yè)內(nèi)網(wǎng)免受外部網(wǎng)絡(luò)攻擊。

補(bǔ)充防火墻數(shù)據(jù)規(guī)劃表1-2內(nèi)容中的空缺項(xiàng)。

【問題2】（4分）

在點(diǎn)到點(diǎn)的環(huán)境下，配置 IPSec VPN 隧道需要明確（）和（）

【問題3】（6分）

在 Switch1上配置 ACL禁止訪客訪問內(nèi)部網(wǎng)絡(luò)，將Switch1 數(shù)據(jù)規(guī)劃表1-3內(nèi)容中的空缺項(xiàng)補(bǔ)充完整。

【問題4】（4分）

AP控制器上部署WLAN業(yè)務(wù)，采用直接轉(zhuǎn)發(fā)，AP跨三層上線。認(rèn)證方式：無線用戶通過預(yù)共享密鑰方式接入。

在Switch1上GEO/O/2連接AP控制器，該接口類型配置為（）模式，所在VLAN是（）。

試題二（共 20分）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。

【說明】圖2-1是某企業(yè)網(wǎng)絡(luò)拓?fù)?，網(wǎng)絡(luò)區(qū)域分為辦公區(qū)域、服務(wù)器區(qū)域和數(shù)據(jù)區(qū)域，線上商城系統(tǒng)為公司提供產(chǎn)品在線銷售服務(wù)。公司網(wǎng)絡(luò)保障部負(fù)責(zé)員工辦公電腦和線上商城的技術(shù)支持和保障工作。

【問題1】（6分）

某天，公司有一臺電腦感染“勒索”病毒，網(wǎng)絡(luò)管理員應(yīng)采?。ǎ?、（）、（）措施。

（1）~（3）備選答案：

A.斷開已感染主機(jī)的網(wǎng)絡(luò)連接

B.更改被感染文件的擴(kuò)展名

C.為其他電腦升級系統(tǒng)漏洞補(bǔ)丁 D.網(wǎng)絡(luò)層禁止135/137/139/445 端口的TCP連接

E.刪除已感染病毒的文件

【問題2】（8分）

圖 2-1 中，為提高線上商城的并發(fā)能力，公司計(jì)劃增加兩臺服務(wù)器，三臺服務(wù)器同時(shí)對外提供服務(wù)，通過在圖中（）設(shè)備上執(zhí)行一豆_）策略，可以將外部用戶的訪問負(fù)載平均分配到三臺服務(wù)器上。

（5）備選答案：

A.散列

B.輪詢

C.最少連接

D.工作-備份

其中一臺服務(wù)器的IP地址為192.168.20.5/27，請將配置代碼補(bǔ)充完整。

ifcfg-eml配置片段如下：

DEVICE =eml

TYPE=Ethernet

UUID=36878246-2a99-43b4-81df-2db1228eea4b

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=none

HWADDR=90:B1:1C:51:F8:25

IPADDR=192.168.20.5

NETMASK=（）

GATEWAY=192.168.20.30

DEFROUTE= yes

IPV4_FAILURE_FATAL=yes

IPV6INTI=no

配置完成后，執(zhí)行systemct1（）network命令重啟服務(wù)。

【問題3】（4分）

網(wǎng)絡(luò)管理員發(fā)現(xiàn)線上商城系統(tǒng)總是受到SQL注入、跨站腳本等攻擊，公司計(jì)劃購置（）設(shè)備/系統(tǒng)，加強(qiáng)防范；該設(shè)備應(yīng)部署在圖2-1中設(shè)備①~④的（）處。

A.殺毒軟件

B.主機(jī)加固

C.WAF（Web應(yīng)用防護(hù)系統(tǒng)）

D.漏洞掃描

【問題4】（2分）

圖2-1中，存儲(chǔ)域網(wǎng)絡(luò)采用的是（）網(wǎng)絡(luò)。試題三（共20分）

閱讀以下說明，回答問題1至問題 4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

【說明】某公司有兩個(gè)辦事處，分別利用裝有Windows Server 2008 的雙宿主機(jī)實(shí)現(xiàn)路由功能，此功能由Wmdows Server 2008中的路由和遠(yuǎn)程訪問服務(wù)來完成。管理員分別為這兩臺主機(jī)其中一個(gè)網(wǎng)卡配置了不同的IP地址，如圖3-1所示。

【問題1】（4分）

在“管理您的服務(wù)器”中點(diǎn)擊“添加或刪除角色”，此時(shí)應(yīng)當(dāng)在服務(wù)器角色中選擇（）來完成路由和遠(yuǎn)程訪問服務(wù)的安裝。在下列關(guān)于路由和遠(yuǎn)程訪問服務(wù)的選項(xiàng)中，不正確的是（）

（1）備選答案：

A.文件服務(wù)器

B.應(yīng)用程序服務(wù)器（IIS，ASP.NET）

C.終端服務(wù)器

D.遠(yuǎn)程訪問/VPN 服務(wù)

（2）備選答案：

A.可連接局域網(wǎng)的不同網(wǎng)段或子網(wǎng)，實(shí)現(xiàn)軟件路由器的功能

B.把分支機(jī)構(gòu)與企業(yè)網(wǎng)絡(luò)通過Intranet連接起來，實(shí)現(xiàn)資源共享

C.可使遠(yuǎn)程計(jì)算機(jī)接入到企業(yè)網(wǎng)絡(luò)中訪問網(wǎng)絡(luò)資源

D.必須通過VPN才能使遠(yuǎn)程計(jì)算機(jī)訪問企業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)資源

【問題2】（4分）

兩個(gè)辦事處子網(wǎng)的計(jì)算機(jī)安裝Win7操作系統(tǒng)，要實(shí)現(xiàn)兩個(gè)子網(wǎng)間的通信，子網(wǎng)A和子網(wǎng)B中計(jì)算機(jī)的網(wǎng)關(guān)分別為（）和（）。子網(wǎng) A 中的計(jì)算機(jī)用ping命令來驗(yàn)證數(shù)據(jù)包能否路由到子網(wǎng)B中，圖3-2中參數(shù)使用默認(rèn)值，從參數(shù)（）可以看出數(shù)據(jù)包經(jīng)過了（）個(gè)路由器。

（3）備選答案：

A.192.168.0.0 B.192.168.0.1 C.192.168.0.3D.無須配置網(wǎng)關(guān)

（4）備選答案：

A.10.0.0.0 B.10.0.0.1 C.10.0.0.2 D.無須配置網(wǎng)關(guān)

（5）備選答案：

A.bytes B.time C.TTL D.Lost

【問題3】（8分）

Windows Server 2008支持RIP動(dòng)態(tài)路由協(xié)議。在RIP接口屬性頁中，如果希望路由器每隔一段時(shí)間向自己的鄰居廣播路由表以進(jìn)行路由信息的交換和更新，則需要在“操作模式”中選擇（）。在“傳出數(shù)據(jù)包協(xié)議”中選擇（），使網(wǎng)絡(luò)中其它運(yùn)行不同版本的鄰居路由器都可接受此路由器的路由表：在“傳入數(shù)據(jù)包協(xié)議”中選擇（），使網(wǎng)絡(luò)中其他運(yùn)行不同版本的鄰居路由器都可向此 廣播路由表。

（7）備選答案：

A.周期性是更新模式

B.自動(dòng)-靜態(tài)更新模式

（8）備選答案：

A.RIPv1廣播

B.RIPv2多播

C.RIPv2廣播

（9）備選答案：

A.只是RIPv1 B.只是RIPv2 C.RIPv1和v2 D.忽略傳入數(shù)據(jù)包

為了保護(hù)路由器之間的安全通信，可以為路由器配置身份驗(yàn)證。選中“激活身份驗(yàn)證”復(fù)選框，并在“密碼”框中鍵入一個(gè)密碼。所有路由器都要做此配置，所配置的密碼（）。

（10）備選答案：

A.可以不同

B.必須相同

【問題4】（4分）

由于在子網(wǎng)A中出現(xiàn)病毒，需在路由接口上啟動(dòng)過濾功能，不允許子網(wǎng)B接收來自子網(wǎng)A的數(shù)據(jù)包，在選擇入站篩選器且篩選條件是“接收所有除符合下列條件以外的數(shù)據(jù)包”時(shí)，如圖3-3所示，由源網(wǎng)絡(luò)IP地址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是（），由目標(biāo)網(wǎng)絡(luò)IP地址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是（），需要選擇協(xié)議（）。如果選擇協(xié)議（），則會(huì)出現(xiàn)子網(wǎng)A和子網(wǎng)B之間ping不通但是子網(wǎng)B能接受來自子網(wǎng)A的數(shù)據(jù)包的情況。

（11）備選答案：

A.192.168.0.0 B.192.168.0.1 C.192.168.0.3 D.192.168.0.8

（12）備選答案：

A.10.0.0.0 B.10.0.0.1 C.10.0.0.3 D.10.0.0.4

（13）~（14）備選答案：

A.ICMP B.TCP C.UDP D.任何

試題四（共15分）

閱讀以下說明，回答問題 1至問題2，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

【說明】

某公司網(wǎng)絡(luò)拓?fù)鋱D如圖4-1所示。

【問題1】（5分）

為了便于管理公司網(wǎng)絡(luò)，管理員根據(jù)不同部門對公司網(wǎng)絡(luò)劃分了VLAN，VLAN編號及IP地址規(guī)劃如表4-1所示，考慮到公司以后的發(fā)展，每個(gè)部門的IP地址規(guī)劃均留出了一定的余量，請根據(jù)需求，將下表補(bǔ)充完整。

公司計(jì)劃使用24接口的二層交換機(jī)作為接入層交換機(jī)，根據(jù)以上主機(jī)數(shù)量在不考慮地理位置的情況下，最少需要購置（）臺接入層交換機(jī)。

【問題二】（10分）

公司申請了14個(gè)公網(wǎng)IP地址，地址范圍為202.119.25.209-202.119.25.222,其中，202.119.25.218-202.119.25.222作為服務(wù)器和接口地址保留，其他公網(wǎng)IP地址用于公司訪問 Internet。公司使用PAT為營銷部門提供互聯(lián)網(wǎng)訪問服務(wù)。請根據(jù)描述，將下面配置代碼補(bǔ)充完整。

system-view

[Huawei]（6）R1

[R1]user-interface（7）//進(jìn)入console用戶界面視圖

[R1-ui-console0]authentication-mode（8）

Please configure the login password（maximum length 16）：huawei

[R1-ui-console0]quit

[R1]int GigabitEthernet，0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.100.242 255.255.255.252

[R1-GigabitEthernet0/0/0]（9）

[R1]（10）2000

[R1-acl-2000]（11）5 permit source 192.168.100.0（12）

[R1-acl-basic-2000]quit

[R1]nat address-group 1（13）202.119.25.217

[R1]interrface GigabitEthemet 0/0/1

[R1-GigabitEthemet 0/0/1]ip address（14）255.255.255.240

[R1-GigabitEthemet 0/0/1]（15）outbound 2000 address-group 1

[R1]rip

[R1-rip-1]version 2

[R1-rip-1]network 192.168.100.0

交換機(jī)配置略……

2017 年 11 月軟考網(wǎng)絡(luò)工程師案例分析答案

試題一： 問題 1

（1）200.1.1.1/32（2）200.1.1.1/32（3）Any 問題 2 問題 3

（7）Any（8）Deny

（5）隧道名稱雙方的密鑰（4）IP 地址

（6）VLAN 99

問題 4

（10）VLAN 10

（9）Access 試題二：

問題

1、問題 2（4）負(fù)載均衡（5）B（6）255.255.255.224（7）Restart（1）（1）A（2）C（3）D 問題 3（8）C（9）4（10）FC-SAN

試題三： 問題 1（1）D（2）D（3）C（4）C（5）C（6）6（12）A（13）D（14）A 試題四： 問題 1

（1）192.168.100.190（2）255.255.255.192（3）255.255.255.224（4）192.168.100.225（5）6（6）sysnae（7）console（8）password

7）A（8）A 9）C（10）B 11）A（（（

第三篇：杏花亭_中級網(wǎng)絡(luò)工程師2009上半年下午試題剖析

中級網(wǎng)絡(luò)工程師2009上半年下午試題

試題一

閱讀以下說明，回答問題1至問題4，將解答填入對應(yīng)的解答欄內(nèi)。[說明]

某公司有1個(gè)總部和2個(gè)分部，各個(gè)部門都有自己的局域網(wǎng)。該公司申請了4個(gè)C類IP地址塊202.114.10.0/24～202.114.13.0/24。公司各部門通過幀中繼網(wǎng)絡(luò)進(jìn)行互聯(lián)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1-1所示。

1、[問題1]

請根據(jù)圖1-1完成R0路由器的配置：

R0(config)# interface s0/0

(進(jìn)入串口配置模式)

R0(config-if)# ip address 202.114.13.1(1)(設(shè)置IP地址和掩碼)

R0(config)# encapsulation(2)

(設(shè)置串口工作模式)

2、[問題2]

Switch0、Switch1、Switch2和Switch3均為二層交換機(jī)?？偛繐碛械腎P地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R/的端口e0/0相連，請根據(jù)圖1-1完成路由器R2及Switch0的配置。

R2(config)# interface fastethernet 0/0.1

R2(config—subif)# encapsulation dotlq(3)

R2(config—subif)# ip address 202.114.12.1 255.255.255.192

R2(config—subif)# no shutdown

R2(config—subif)# exit

R2(config)# interface fastethernet 0/0.2

R2(config—subif)# encapsulation dotlq(4)

R2(config—subif)# ip address 202.114.12.65 255.255.255.192

R2(config—subif)# no shutdown

R2(config—subif)# exit

R2(config)# interface fastethernet 0/0.3

R2(config—subif)#encapsulation dotlq(5)

R2(config—subif)# ip address 202.114.12.129 255.255.255.192

R2(config—subif)# no shutdown

R2(config—subif)# exit

R2(config)# interface fastether0/0

R2(config—if)# no shutdown

Switch0(config)# interface f0/24

Switch0(config—if)# switchport mode(6)

Switch0(config—if)# switchport trunk encapsulation(7)

Switch0(config—if)# switchport trunk allowed all

Switch0(config—if)# exit

3、[問題3]

若主機(jī)A與Switchl的e0/2端口相連，請完成Switch1相應(yīng)端口設(shè)置。

Switchl(config)#interface e0/2

Switchl(config—if)#(8)(設(shè)置端口為接入鏈路模式)

Switchl(config—if)#(9)(把e0/2分配給VLAN 100)

Switchl(config—if)# exit

若主機(jī)A與主機(jī)D通信，請?zhí)顚懼鳈C(jī)A與D之間的數(shù)據(jù)轉(zhuǎn)發(fā)順序。

主機(jī)A→(10)→主機(jī)D。

(10)備選答案

A．Switch1→Switch0→R2(s0/0)→Switch0→Switch2

B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2

C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2

D．Switch1→Switch0→Switch2

4、[問題4]

為了部門A中用戶能夠訪問服務(wù)器Server1，請?jiān)赗0上配置一條特定主機(jī)路由。

R0(config)#iproute202.114.10.253(11)(12)

試題二

閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應(yīng)的解答欄內(nèi)。[說明]

某公司總部服務(wù)器1的操作系統(tǒng)為Windows Server 2003，需安裝虛擬專用網(wǎng)(VPN)服務(wù)，通過Internet與子公司實(shí)現(xiàn)安全通信，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)參數(shù)如圖2-1所示。

5、[問題1]

在Windows Server 2003的“路由和遠(yuǎn)程訪問”中提供兩種隧道協(xié)議來實(shí)現(xiàn)VPN服務(wù)：(1)和L2TP，L2TP協(xié)議將數(shù)據(jù)封裝在(2)協(xié)議幀中進(jìn)行傳輸。

6、[問題2]

在服務(wù)器1中，利用Windows Server 2003的管理工具打開“路由和遠(yuǎn)程訪問”，在所列出的本地服務(wù)器上選擇“配置并啟用路由和遠(yuǎn)程訪問”，然后選擇配置“遠(yuǎn)程訪問(撥號或VPN)”服務(wù)，在圖2-2所示的界面中，“網(wǎng)絡(luò)接口”應(yīng)選擇(3)。

(3)備選答案：

A．連接1 B．連接2

7、[問題3]

為了加強(qiáng)遠(yuǎn)程訪問管理，新建一條名為“SubInc”的訪問控制策略，允許來自子公司服務(wù)器2的VPN訪問。在圖2-3所示的配置界面中，應(yīng)將“屬性類型A.”的名稱為(4)的值設(shè)置為“Layer Two Tunneling Protocol”，名稱為(5)的值設(shè)置為“Virtual(VPN)”。

編輯SubInc策略的配置文件，添加“入站IP篩選器”，在如圖2-4所示的配置界面中，IP地址應(yīng)填為(6)，子網(wǎng)掩碼應(yīng)填為(7)。

8、[問題4]

子公司PC1安裝Windows XP操作系統(tǒng)，打開“網(wǎng)絡(luò)和Internet連接”。若要建立與公司總部服務(wù)器的VPN連接，在如圖2-5所示的窗口中應(yīng)該選擇(8)，在圖2-6所示的配置界面中填寫(9)。

(8)備選答案：

A．設(shè)置或更改您的Internet連接

B．創(chuàng)建一個(gè)到您的工作位置的網(wǎng)絡(luò)連接

C．設(shè)置或更改您的家庭或小型辦公網(wǎng)絡(luò)

D．為家庭或小型辦公室設(shè)置無線網(wǎng)絡(luò)

E．更改Windows防火墻設(shè)置

9、[問題5]

用戶建立的VPN連接xd2的屬性如圖2-7所示，啟動(dòng)該VPN連接時(shí)是否需要輸入用戶名和密碼?為什么?

10、[問題6]

圖2-8所示的配置窗口中所列協(xié)議“不加密的密碼(PAP)”和“質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)”有何區(qū)別?

試題三

閱讀以下關(guān)于Linux文件系統(tǒng)和Samba服務(wù)的說明，回答問題1至問題3。[說明]

Linux系統(tǒng)采用了樹型多級目錄來管理文件，樹型結(jié)構(gòu)的最上層是根目錄，其他的所有目錄都是從根目錄生成的。

通過Samba可以實(shí)現(xiàn)基于Linux操作系統(tǒng)的服務(wù)器和基于Windows操作系統(tǒng)的客戶機(jī)之間的文件、目錄及共享打印服務(wù)。[問題1]

Linux在安裝時(shí)會(huì)創(chuàng)建一些默認(rèn)的目錄，如下表所示：

依據(jù)上述表格，在空11～16中填寫恰當(dāng)?shù)膬?nèi)容(其中空11在候選答案中選擇)。

①對于多分區(qū)的Linux系統(tǒng)，文件目錄樹的數(shù)目是 11。

②Linux系統(tǒng)的根目錄是 12，默認(rèn)的用戶主目錄在 13 目錄下，系統(tǒng)的設(shè)備文件(如打印驅(qū)動(dòng))存放在 14 目錄中，15 目錄中的內(nèi)容關(guān)機(jī)后不能被保存。

③如果在工作期間突然停電，或者沒有正常關(guān)機(jī)，在重新啟動(dòng)機(jī)器時(shí)，系統(tǒng)將要復(fù)查文件系統(tǒng)，系統(tǒng)將找到的無法確定位置的文件放到目錄 16 中。

11備選答案：

A．1 B．分區(qū)的數(shù)目

C．大于1 [問題2]

默認(rèn)情況下，系統(tǒng)將創(chuàng)建的普通文件的權(quán)限設(shè)置為-rw-r--r--，即文件所有者對文件 17，同組用戶對文件 18，其他用戶對文件 19。文件的所有者或者超級用戶，采用 20 命令可以改變文件的訪問權(quán)限。[問題3]

Linux系統(tǒng)中Samba的主要配置文件是/etc/samba/smb.conf請根據(jù)以下的smb.conf配置文件，在空21～25中填寫恰當(dāng)?shù)膬?nèi)容。

Linux服務(wù)器啟動(dòng)Samba服務(wù)后，在客戶機(jī)的“網(wǎng)絡(luò)鄰居”中顯示提供共享服務(wù)的Linux主機(jī)名為 21，其共享的服務(wù)有 22，能夠訪問Samba共享服務(wù)的客戶機(jī)的地址范圍 23 ；能夠通過Samba服務(wù)讀寫/home/samba中內(nèi)容的用戶是 24 ；該Samba服務(wù)器的安全級別是 25。

[global]

workgroup = MYGROUP

netbios name = smb-server

server string = Samba Server

;hosts allow = 192.168.1.192.168.2.127.load printers = yes

security = user

[printers]

comment = My Printer

browseable = yes

path = /usr/spool/samba

guest ok = yes

writable = no

printable = yes

[public]

comment = Public Test

browseable = no

path = /home/samba

public = yes

writable = yes

printable = no

write list = @test

[userldir]

comment = Userl's Service

browseable = no

path = /usr/usr1

valid users = user1

public = no

writable = yes

printable = no

試題四

閱讀以下說明，回答問題1至問題4，將解答填入對應(yīng)的解答欄內(nèi)。[說明]

某公司總部和分支機(jī)構(gòu)的網(wǎng)絡(luò)配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略，實(shí)現(xiàn)分支機(jī)構(gòu)和總部的安全通信。

26、[問題1]

圖4-2中a.、b.、c.、d.為不同類型IPSec數(shù)據(jù)包的示意圖，其中(1)和(2)工作在隧道模式：(3)和(4)支持報(bào)文加密。

27、[問題2]

下面的命令在路由器R1中建立IKE策略，請補(bǔ)充完成命令或說明命令的含義。

R1(config)# crypto isakmp policy 110 進(jìn)入ISAKMP配置模式

R1(config-isakmp)# encryption des(5)

R1(config-isakmp)#(6)采用MD5散列算法

R1(config-isakmp)# authentication pre-share(7)

R1(config-isakmp)# group 1

R1(config-isakmp)# lifetime(8)安全關(guān)聯(lián)生存期為1天

28、[問題3]

R2與R1之間采用預(yù)共享密鑰“12345678”建立IPSec安全關(guān)聯(lián)，請完成下面配置命令。

R1(config)# crypt isakmp key 12345678 address(9)

R2(config)# crypt isakmp key 12345678 address(10)

29、[問題4]

完成以下ACL配置，實(shí)現(xiàn)總部主機(jī)10.0.1.3和分支機(jī)構(gòu)主機(jī)10.0.2.3的通信。

R1(config)# access-list 110 permit ip host(11)host(12)

R2(config)# access-list 110 permit ip host(13)host 10.0.1.3

試題五

閱讀以下說明，回答問題1至問題3，將解答填入對應(yīng)的解答欄內(nèi)。[說明]

某單位采用雙出口網(wǎng)絡(luò)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5-1所示。

該單位根據(jù)實(shí)際需要，配置網(wǎng)絡(luò)出口實(shí)現(xiàn)如下功能：

1．單位網(wǎng)內(nèi)用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時(shí)，出口經(jīng)ISP2：

2．單位網(wǎng)內(nèi)用戶訪問其他IP地址時(shí)，出口經(jīng)ISP1：

3．服務(wù)器通過ISP2線路為外部提供服務(wù)。30、[問題1]

在該單位的三層交換機(jī)S1上，根據(jù)上述要求完成靜態(tài)路由配置。

ip route(1)

(設(shè)置默認(rèn)路由)

ip route 158.124.0.0(2)(3)

(設(shè)置靜態(tài)路由)

ip route 158.153.208.0(4)(5)

(設(shè)置靜態(tài)路由)

31、[問題2]

1．根據(jù)上述要求，在三層交換機(jī)S1上配置了兩組ACL，請根據(jù)題目要求完成以下配置。

access-list 10 permit ip host 10.10.30.1 any

access-list 10 permit ip host(6)any

access-list 12 permit ip any 158.124.0.0(7)

access-list 12 permit ip any 158.153.208.0(8)

access-list 12 deny ip any any

2．完成以下策略路由的配置。

route-map test permit 10

(9)ip address 10

(10)ip next-hop(11)

32、[問題3]

以下是路由器R1的部分配置。請完成配置命令。

R1(config)# interface fastethernet0/0

R1(config-if)# ip address(12)(13)

R1(config-if)ip nat inside

…

R1(config)# interface fastethernet01

R1(config-if)# ip address(14)(15)

R1(config-if)ip nat outside

…

答案:

試題一

1、(1)225.255.255.0(2)frame-relay

2、(3)100

(4)200

(5)300

(6)trunk

(7)dot1q

3、(8)switchport mode access

(9)switch access vlan 100

(10)B

4、(11)255.255.255.255

(12)202.114.13.2 試題二

5、(1)PPTP(點(diǎn)對點(diǎn)隧道協(xié)議)

(2)PPP(點(diǎn)對點(diǎn)協(xié)議)[解析] 本題考查的是VPN及其配置問題。

[問題1]考查的是“路由和遠(yuǎn)程訪問”提供的兩種用于創(chuàng)建路由器到路由器的VPN連接的隧道協(xié)議：點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)。PPTP是一種 VPN隧道協(xié)議，是點(diǎn)對點(diǎn)協(xié)議(PPP)的擴(kuò)展，并利用PPP的身份驗(yàn)證、壓縮和加密機(jī)制。L2TP是一個(gè)工業(yè)標(biāo)準(zhǔn)Internet隧道協(xié)議，它先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。與PPTP一樣，L2TP也利用PPP的身份驗(yàn)證和壓縮機(jī)制。但與PPTP不同的是，L2TP不采用“Microsoft點(diǎn)對點(diǎn)加密(MPPE)”來加密PPP幀。L2TP依賴于加密服務(wù)的Internet協(xié)議安全性(IPSec)。

6、B [解析] [問題2]考查的是遠(yuǎn)程訪問VPN服務(wù)的部署。在VPN連接頁，應(yīng)選擇連接到Internet的網(wǎng)絡(luò)接口，因此應(yīng)選擇對應(yīng)的接口連接2。

7、(4)Tunnel-Type

(5)NAS-Port-Type

(6)202.115.12.34

(7)255.255.255.255 [解析] [問題3]考查的是遠(yuǎn)程訪問策略的配置。要配置遠(yuǎn)程訪問策略以控制VPN連接的身份驗(yàn)證和加密選項(xiàng)，要使用以下設(shè)置創(chuàng)建遠(yuǎn)程訪問策略：將NAS-Port-Type條件設(shè)置為“Virtual(VPN)”，并將Tunnel-Type條件設(shè)置為“Layer Two Tunneling Protocol”。在配置數(shù)據(jù)包篩選器時(shí)，要鍵入外部接口的p地址。在“子網(wǎng)掩碼”框中，鍵入255.255.255.255。

8、(8)B

(9)61.134.1.37 [解析] [問題4]考查的是VPN客戶端的配置?？蛻舳松蠎?yīng)新建一個(gè)“到您的工作位置的網(wǎng)絡(luò)連接”，在VPN服務(wù)器選擇時(shí)，要鍵入VPN服務(wù)器計(jì)算機(jī)的IP地址或主機(jī)名。

9、不需要。因?yàn)檫x中“自動(dòng)使用我的Windows登錄名和密碼”，此時(shí)用本機(jī)Windows登錄的用戶名和密碼進(jìn)行VPN連接。[解析] [問題5]考查的是VPN身份驗(yàn)證。該VPN連接時(shí)是不需要輸入用戶名和密碼的，因?yàn)檫x中了“自動(dòng)使用我的Windows登錄名和密碼”，此時(shí)用本機(jī)Windows登錄的用戶名和密碼進(jìn)行VPN連接。

10、PAP使用明文身份驗(yàn)證。

CHAP通過使用MD5和質(zhì)詢—響應(yīng)機(jī)制提供一種加密身份驗(yàn)證。

[解析] [問題6]考查的是PPP協(xié)議定義的兩種類型的認(rèn)證。握手認(rèn)證協(xié)議(CHAP)使用一種算法(MD-5)來計(jì)算只有認(rèn)證系統(tǒng)和遠(yuǎn)程設(shè)備知道的值。它總是對用戶m和密碼進(jìn)行加密，所以該協(xié)議比PAP更安全。此協(xié)議對回放和試錯(cuò)法訪問企圖有效?？梢栽谶B接期間執(zhí)行多次CHAP認(rèn)證。認(rèn)證系統(tǒng)向正在嘗試連接到網(wǎng)絡(luò)的遠(yuǎn)程設(shè)備發(fā)送一個(gè)握手信號。遠(yuǎn)程設(shè)備通過由兩個(gè)設(shè)備使用的公共算法(MD-5)所算出的值進(jìn)行響應(yīng)。認(rèn)證系統(tǒng)對照自己的計(jì)算結(jié)果檢查該響應(yīng)。當(dāng)這些值匹配時(shí)，認(rèn)證被認(rèn)可：否則，結(jié)束連接。不加密的密碼(PAP)使用雙向握手為同級系統(tǒng)提供鑒別其身份的簡單方法，也就是普通的口令認(rèn)證，要求將密鑰信息在通信信道中明文傳輸。在建立鏈接時(shí)進(jìn)行握手。在建立鏈接之后，遠(yuǎn)程設(shè)備將一個(gè)用戶ID/密碼對發(fā)送到認(rèn)證系統(tǒng)。根據(jù)用戶ID/密碼對的正確與否，認(rèn)證系統(tǒng)繼續(xù)連接或結(jié)束連接。試題三

11、A12、13、/home

14、/dev

15、/proc

16、/lost+found

17、可讀、可寫

18、僅可讀

19、僅可讀

20、chmod

21、smb-server

22、printers或My Printer

23、無限制(因?yàn)閔osts allow被分號注釋掉了)

24、Linux系統(tǒng)的test組中用戶(僅回答test用戶不給分)

25、用戶安全級

[解析] Linux系統(tǒng)中每個(gè)分區(qū)都是一個(gè)文件系統(tǒng)，Linux將這些分屬不同分區(qū)、單獨(dú)的文件系統(tǒng)按一定的方式形成一個(gè)系統(tǒng)的總目錄層次結(jié)構(gòu)，即一個(gè)目錄樹。

Linux使用樹型目錄結(jié)構(gòu)管理文件和目錄。樹型結(jié)構(gòu)由一個(gè)根目錄(root)和根目錄下的子目錄構(gòu)成，每一個(gè)目錄內(nèi)可以包含下一級目錄、文件、指向其他文件系統(tǒng)的符號鏈接、表示設(shè)備的設(shè)備名(如/dev/had)。

Linux系統(tǒng)主要的目錄項(xiàng)包括：

Linux文件的訪問權(quán)限有4種：讀(r)、寫(w)、執(zhí)行(x)和無權(quán)(-)。對于目錄來說，執(zhí)行權(quán)限允許用戶進(jìn)入該目錄。對每個(gè)文件可以指定三種存取控制權(quán)限：文件所有者對文件所擁有的存取權(quán)限，文件所有者所在組對文件所擁有的存取權(quán)限，其他任意用戶對文件所擁有的存取權(quán)限。根用戶(root)具有對一切目錄和文件的控制權(quán)限并可以指定對任何一個(gè)文件和目錄的存取權(quán)限，一般用戶只能對自己建立的文件和目錄制定存取權(quán)限。默認(rèn)情況下，系統(tǒng)將創(chuàng)建的普通文件的權(quán)限設(shè)置為-rw-r-r--，即文件所有者對該文件可讀可寫(rw)，而同組用戶和其他用戶都只可讀；同樣，在默認(rèn)配置中，將每一個(gè)用戶所有者目錄的權(quán)限都設(shè)置為drwx------，即只有文件所有者對該目錄可讀、寫和可查詢，也意味著用戶不能讀其他用戶目錄中的內(nèi)容。

chmod(change mode的簡寫)命令用于改變文件或目錄的訪問權(quán)限。只有文件所有者或超級用戶root才有權(quán)用chmod改變文件或目錄的訪問權(quán)限。

Samba是一個(gè)基于SMB(Server Message Block)協(xié)議的功能強(qiáng)大的軟件工具，可以實(shí)現(xiàn)基于Linux操作系統(tǒng)的文件/目錄及打印機(jī)共享服務(wù)。SMB是一種客戶端/服務(wù)器協(xié)議，SMB客戶端使用TCP/IP、NetBEUI或IPX/SPX與服務(wù)器連接。當(dāng)工作在TCP/IP網(wǎng)絡(luò)上時(shí)，通過NetBIOS nameserver 使網(wǎng)絡(luò)中Linux系統(tǒng)用戶的機(jī)器可以在Windows系統(tǒng)的網(wǎng)絡(luò)鄰居上被看到。

Samba安裝完成后，通過配置/etc/samba/smb.conf文件，才能使其有效工作，該配置文件的部分重要參數(shù)說明如下。

● [global]：配置文件中關(guān)于全局參數(shù)的設(shè)置部分。

● workgroup=MYGROUP：這是設(shè)置服務(wù)器所要加入的工作組的名稱。

● netbios name =smb-server：設(shè)置出現(xiàn)在“網(wǎng)上鄰居”中的主機(jī)名。

● server string=Samba Server：設(shè)置服務(wù)器主機(jī)的說明信息。

hosts allow=192.168.1.192.168.2.127．：用于限制可以訪問samba服務(wù)器的客戶端的IP地址范圍。默認(rèn)情況下，這行配置被注釋掉了(左邊是；號的是注釋行)，表示允許所有IP地址的主機(jī)都可以訪問這臺samba服務(wù)器。

● security=user：設(shè)置samba服務(wù)器的安全等級。Samba服務(wù)器一共有4種安全等級，分別是share(共享安全級)、user(用戶安全級)、server(服務(wù)器安全級)和domain(域安全級)。

● [public]等：共享資源的名稱。

● comment=：針對共享資源所作的說明、注釋部分。

● browseable=：設(shè)置用戶是否可以看到此共享資源，默認(rèn)值是yes。

● writable=：共享的資源是否可以寫入。

● valid users=：指定允許使用服務(wù)的用戶列表。

● write list=：設(shè)置讀寫訪問用戶列表，參數(shù)@后的名稱表示用戶組。試題四

26、(1)、(2)c、d(順序可交換)(3)、(4)b、d(順序可交換)

[解析] 本題考查考生在路由器上配置IPSec安全策略的實(shí)際操作能力。考點(diǎn)涉及到IPSec的基本概念和相關(guān)的配置命令。

考查IPSec的基本概念，IPSec支持認(rèn)證頭(AH)協(xié)議和封裝安全有效載荷(ESP)協(xié)議，其中認(rèn)證頭協(xié)議僅支持認(rèn)證，不支持加密；封裝安全有效載荷協(xié)議既支持認(rèn)證又支持加密。IPSec有兩種工作模式，分別是傳輸模式和隧道模式，工作在傳輸模式時(shí)，AH或ESP被插入到IP頭和有效載荷之間；工作在隧道模式時(shí)，在AH或ESP前面會(huì)生成一個(gè)新的IP頭。從圖4-2中可以看出，(a)、(c)支持的是AH協(xié)議，(b)、(d)支持的是ESP協(xié)議，(a)、(b)工作在傳輸模式，(c)、(d)工作在隧道模式。所以(1)、(2)答案為c和d；(3)、(4)答案為b和d。

27、(5)加密算法為DES

(6)hash md5

(7)認(rèn)證采用預(yù)共享密鑰

(8)86400 [解析] 考查IKE策略的建立步驟和命令。配置IKE的策略配置主要包含以下方面：

● 加密算法encryption默認(rèn)DES。

● 散列算法hash默認(rèn)SHA。

● 密鑰交換group默認(rèn)1。

● 驗(yàn)證方法authentication默認(rèn)rsa-si，如果使用pre-share則在路由器中配置key。

● IKE SA生命周期lefttime默認(rèn)86400s(1天)。

空(5)對應(yīng)命令的解釋為“加密算法為DES”；空(6)提示要求采用MD5散列算法，對應(yīng)命令為“hash md5”；空(7)對應(yīng)命令為采用預(yù)共享密鑰認(rèn)證；空(8)要求安全關(guān)聯(lián)生存期為1天，對應(yīng)命令為lifetime 86400(單位為秒：1天=24×3600秒)。

28、(9)172.30.2.2

(10)172.30.1.2 [解析] 考查預(yù)共享密鑰的設(shè)置，在路由器R1與R2之間需要分別配置對方的預(yù)共享密鑰，路由器R1與R2的對方分別是R2和R1，所以(9)、(10)分別是R2和R1的IP地址172.30.2.2和172.30.1.2。

29、(11)10.0.1.3

(12)10.0.2.3

(13)10.0.2.3 [解析] 考查ACL配置，為了實(shí)現(xiàn)10.0.1.3和10.0.2.3的通信，需要分別在路由器 R1和R2上作相應(yīng)的AC1配置，R1的配置為允許10.0.1.3到10.0.2.3的IP包，R2的配置為允許10.0.2.3到10.0.1.3的IP包。根據(jù)擴(kuò)展ACL配置命令語法：

Router(config)#access-list access-list-number {permit | deny} protocol

[source source-wildcard destination destination-wildcard] [operator port]

[established] [log]

空(11)為源主機(jī)IP地址10.0.1.3，空(12)為目標(biāo)主機(jī)IP地址10.0.2.3，空(13)為源主機(jī)IP地址10.0.2.3。試題五

30、(1)0.0.0.00.0.0.0 10.10.10.1

(2)255.254.0.0

(3)10.10.20.1

(4)255.255.240.0

(5)10.10.20.1 [解析] 本題目考查的是局域網(wǎng)雙出口的配置及ACL設(shè)置問題。

[問題1]考查的是路由器靜態(tài)路由的設(shè)置方法。根據(jù)題目要求，該網(wǎng)絡(luò)內(nèi)用戶訪問

IP地址158.124.0.0/15和158.153.208.0/20時(shí)，出口經(jīng)ISP2，由圖5-1可知，其端口地址為10.10.20.1/24，網(wǎng)內(nèi)用戶訪問其他IP地址時(shí)，出口經(jīng)ISP1由圖5-1可知，其端口地址為10.10.10.1/24。所以，在該單位的三層交換機(jī)S1上，靜態(tài)路由配置如下：

ip route 0.0.0.0 0.0.0.0 10.10.10.1

ip route 158.124.0.0 255.254.0.0 10.10.20.1

ip route 158.153.208.0 255.255.240.0 10.10.20.1

31、(6)10.10.30.2

(7)0.1.255.255

(8)0.0.15.255

(9)match

(10)set

(11)10.10.20.1 [解析] [問題2]考查的是ACL設(shè)置及策略路由配置問題。根據(jù)題目要求可知，服務(wù)器通過ISP2線路為外部提供服務(wù)，另外單位網(wǎng)內(nèi)用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時(shí)，出口經(jīng)ISP2。

access-listl0結(jié)合策略路由，保證服務(wù)器通過ISP2線路為外部提供服務(wù)，所以access-list 10內(nèi)容如下：

access-list 10 permit ip host 10.10.30.1 any

access-list 10 permit ip host 10.10.30.2 any

對應(yīng)的策略路由為：

route-map test permit 10

match ip address 10

set ip next-hop 10.10.20.1

access-list 12配置網(wǎng)內(nèi)用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時(shí)，出口經(jīng)ISP2，所以配置如下：

access-list 12 permit ip any 158.124.0.0 0.1.255.255

access-list 12 permit ip any 158.153.208.0 0.0.15.255

access-list 12 deny ip any any

32、(12)10.10.10.1

(13)255.255.255.0

(14)55.23.12.98

(15)255.255.255.252 [解析] [問題3]考查的是路由器的配置問題。由圖5-1可知，路由器R1的內(nèi)網(wǎng)IP為10.10.10.1/24，外網(wǎng)IP地址為55.23.12.98/30，所以其地址配置如下：

R1(config)# interface fastethernet0/0

R1(config-if)# ip address 10.10.10.1 255.255.255.0

Rl(config-if)ip nat inside

R1(config)# interface fastethernet0/1

R1(config-if)# ip address 55.23.12.98 255.255.255.252

R1(config-if)ip nat outside

第四篇：2009上半年網(wǎng)絡(luò)工程師下午試題和答案

試題一（15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】

某公司有1個(gè)總部和2個(gè)分部，各個(gè)部門都有自己的局域網(wǎng)。該公司申請了4個(gè)C類IP地址塊202.114.10.0/24~202.114.13.0/24。公司各部門通過幀中繼網(wǎng)絡(luò)進(jìn)行互聯(lián)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1-1所示。

圖1-1 【問題1】（4分）

請根據(jù)圖1-1完成R0路由器的配置：

R0(config)#interface s0/0

（進(jìn)入串口配置模式）

R0(config-if)# ip address 202.114.13.1（1）（設(shè)置IP地址和掩碼）

R0(config)# encapsulation（2）

（設(shè)置串口工作模式）答案：

（1）255.255.255.0（2）frame-relay 【問題2】（5分）

Switch0、Switch1、Switch2和Switch3均為二層交換機(jī)?？偛繐碛械腎P地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R2的端口e0/0相連，請根據(jù)圖1-1路由器完成R2及Switch0的配置。

R2(config)#interface fastethernet 0/0.1

R2(config-subif)#encapsulation dot1q（3）

R2(config-subif)#ip address 202.114.12.1 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0.2

R2(config-subif)#encapsulation dot1q（4）

R2(config-subif)#ip address 202.114.12.65 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0.3

R2(config-subif)#encapsulation dot1q（5）

R2(config-subif)#ip address 202.114.12.129 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0

R2(config-if)#no shutdown

Switch0(config)#interface f0/24

Switch0(config-if)# switchport mode（6）

Switch0(config-if)#switchport trunk encapsulation（7）

Switch0(config-if)# switchport trunk allowed all

Switch0(config-if)#exit 答案：

（3）100（4）200（5）300

（6）trunk（7）dot1q 【問題3】（3分）

若主機(jī)A與Switch1的e0/2端口相連，請完成Switch1相應(yīng)端口設(shè)置。

Switch1(config)#interface e0/2

Switch1(config-if)#（8）（設(shè)置端口為接入鏈路模式）

Switch1(config-if)#（9）（把e0/2分配給VLAN 100）

Switch1(config-if)#exit

若主機(jī)A與主機(jī)D通信，請?zhí)顚懼鳈C(jī)A與D之間的數(shù)據(jù)轉(zhuǎn)發(fā)順序。

主機(jī)A→（10）→主機(jī)D。

（10）備選答案

A．Switch1→Switch0→R2(s0/0)→Switch0→Switch2

B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2

C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2

D．Switch1→Switch0→Switch2 答案：

（8）switchport mode access

（9）switchport access vlan 100

（10）B 【問題4】（3分）

為了部門A中用戶能夠訪問服務(wù)器Server1，請?jiān)赗0上配置一條特定主機(jī)路由。

R0(config)#ip route 202.114.10.253（11）（12）答案：

（11）255.255.255.255（2分）

（12）202.114.13.2

（1分）

試題二（共15分）

閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】

某公司總部服務(wù)器1的操作系統(tǒng)為Windows Server 2003，需安裝虛擬專用網(wǎng)（VPN）服務(wù)，通過Internet與子公司實(shí)現(xiàn)安全通信，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)參數(shù)如圖2-1所示。

圖2-1 【問題1】（2分）

在Windows Server 2003的“路由和遠(yuǎn)程訪問”中提供兩種隧道協(xié)議來實(shí)現(xiàn)VPN服務(wù)：（1）和L2TP，L2TP協(xié)議將數(shù)據(jù)封裝在（2）協(xié)議幀中進(jìn)行傳輸。答案：

（1）PPTP（2）PPP 【問題2】（1分）

在服務(wù)器1中，利用Windows Server 2003的管理工具打開“路由和遠(yuǎn)程訪問”，在所列出的本地服務(wù)器上選擇“配置并啟用路由和遠(yuǎn)程訪問”，然后選擇配置“遠(yuǎn)程訪問（撥號或VPN）”服務(wù)，在圖2-2所示的界面中，“網(wǎng)絡(luò)接口”應(yīng)選擇（3）。

（3）備選答案：

A．連接1

B．連接2 答案：

（3）B

圖2-2 【問題3】（4分）

為了加強(qiáng)遠(yuǎn)程訪問管理，新建一條名為“SubInc”的訪問控制策略，允許來自子公司服務(wù)器2的VPN訪問。在圖2-3所示的配置界面中，應(yīng)將“屬性類型（A）”的名稱為（4）的值設(shè)置為“Layer Two Tunneling Protocol”，名稱為（5）的值設(shè)置為“Virtual(VPN)”。

編輯SubInc策略的配置文件，添加“入站IP篩選器”，在如圖2-4所示的配置界面中，IP地址應(yīng)填為（6），子網(wǎng)掩碼應(yīng)填為（7）。

圖2-3

圖2-4 答案：

（4）Tunnel-Type（5）NAS-Port-Type

（6）202.115.12.34（7）255.255.255.255

【問題4】（4分）

子公司PC1安裝Windows XP操作系統(tǒng)，打開“網(wǎng)絡(luò)和Internet連接”。若要建立與公司總部服務(wù)器的VPN連接，在如圖2-5所示的窗口中應(yīng)該選擇（8），在圖2-6所示的配置界面中填寫（9）。

（8）備選答案：

A．設(shè)置或更改您的Internet連接

B．創(chuàng)建一個(gè)到您的工作位置的網(wǎng)絡(luò)連接

C．設(shè)置或更改您的家庭或小型辦公網(wǎng)絡(luò)

D．為家庭或小型辦公室設(shè)置無線網(wǎng)絡(luò)

E．更改Windows防火墻設(shè)置 答案：

（8）B

（9）61.134.1.37

圖2-5

圖2-6 【問題5】（2分）

用戶建立的VPN連接xd2的屬性如圖2-7所示，啟動(dòng)該VPN連接時(shí)是否需要輸入用戶名和密碼？為什么？

圖2-7 答案：

不需要，因?yàn)檫x中“自動(dòng)使用我的Windows登錄名和密碼”，此時(shí)用本機(jī)Windows登錄的用戶名和密碼進(jìn)行VPN連接?！締栴}6】（2分）

圖2-8所示的配置窗口中所列協(xié)議“不加密的密碼（PAP）”和“質(zhì)詢握手身份驗(yàn)證協(xié)議（CHAP）”有何區(qū)別？

圖2-8 答案：

PAP使用明文身份驗(yàn)證（1分）

CHAP通過使用MD5和質(zhì)詢-相應(yīng)機(jī)制提供一種安全身份驗(yàn)證（1分）

（采用以下方式或相近方式回答也正確）

PAP以明文的方式在網(wǎng)上傳輸?shù)卿浢兔艽a，因此不安全；（1分）

CHAP使用挑戰(zhàn)消息及摘要技術(shù)處理驗(yàn)證消息，不在網(wǎng)上直接傳輸明文密碼，因此具有較好的安全性，也具有防重發(fā)性。（1分）試題三（共15分）

閱讀以下關(guān)于Linux文件系統(tǒng)和Samba服務(wù)的說明，回答問題1至問題3?！菊f明】

Linux系統(tǒng)采用了樹型多級目錄來管理文件，樹型結(jié)構(gòu)的最上層是根目錄，其他的所有目錄都是從根目錄生成的。

通過Samba可以實(shí)現(xiàn)基于Linux操作系統(tǒng)的服務(wù)器和基于Windows操作系統(tǒng)的客戶機(jī)之間的文件、目錄及共享打印服務(wù)。【問題1】（6分）

Linux在安裝時(shí)會(huì)創(chuàng)建一些默認(rèn)的目錄，如下表所示：

依據(jù)上述表格，在空（1）~（6）中填寫恰當(dāng)?shù)膬?nèi)容（其中空1在候選答案中選擇）。

①對于多分區(qū)的Linux系統(tǒng)，文件目錄樹的數(shù)目是（1）。

②Linux系統(tǒng)的根目錄是（2），默認(rèn)的用戶主目錄在（3）目錄下，系統(tǒng)的設(shè)備文件（如打印驅(qū)動(dòng)）存放在（4）目錄中，（5）目錄中的內(nèi)容關(guān)機(jī)后不能被保存。

③如果在工作期間突然停電，或者沒有正常關(guān)機(jī)，在重新啟動(dòng)機(jī)器時(shí)，系統(tǒng)將要復(fù)查文件系統(tǒng)，系統(tǒng)將找到的無法確定位置的文件放到目錄（6）中。

（1）備選答案：

A．1 B．分區(qū)的數(shù)目 C．大于1 答案：

（1）A

（2）/（3）/home（4）/dev（5）/proc（6）/lost+found 【問題2】（4分）

默認(rèn)情況下，系統(tǒng)將創(chuàng)建的普通文件的權(quán)限設(shè)置為-rw-r--r--，即文件所有者對文件（7），同組用戶對文件（8），其他用戶對文件（9）。文件的所有者或者超級用戶，采用（10）命令可以改變文件的訪問權(quán)限。答案：

（7）可讀可寫不可執(zhí)行

（8）可讀不可寫不可執(zhí)行

（9）可讀不可寫不可執(zhí)行

（10）chmod 【問題3】（5分）

Linux系統(tǒng)中Samba的主要配置文件是/etc/samba/smb.conf。請根據(jù)以下的smb.conf配置文件，在空（11）~（15）中填寫恰當(dāng)?shù)膬?nèi)容。

Linux服務(wù)器啟動(dòng)Samba服務(wù)后，在客戶機(jī)的“網(wǎng)絡(luò)鄰居”中顯示提供共享服務(wù)的Linux主機(jī)名為（11），其共享的服務(wù)有（12），能夠訪問Samba共享服務(wù)的客戶機(jī)的地址范圍（13）；能夠通過Samba服務(wù)讀寫/home/samba中內(nèi)容的用戶是（14）；該Samba服務(wù)器的安全級別是（15）。

[global]

workgroup = MYGROUP

netbios name=smb-server

server string = Samba Server

;hosts allow = 192.168.1.192.168.2.127.load printers = yes

security = user

[printers]

comment = My Printer

browseable = yes

path = /usr/spool/samba

guest ok = yes

writable = no

printable = yes

[public]

comment = Public Test

browseable = no

path = /home/samba

public = yes

writable = yes

printable = no

write list = @test

[user1dir]

comment = User1's Service

browseable = no

path = /usr/usr1

valid users = user1

public = no

writable = yes

printable = no 答案：

（11）smb-server

（12）printers 或 My Printer

（13）無限制（因?yàn)閔ost allow被分號注釋掉了）

（14）test用戶組或 Linux系統(tǒng)的test組中用戶（僅僅回答test用戶不給分）

（15）user 或用戶安全級 概要說明：

（12）的答案是“printers 或 My Printer”，而不是“文件及打印共享”。這是因?yàn)閡ser1dir被設(shè)置為public=no，因此在“網(wǎng)絡(luò)鄰居”中顯示不出來。試題四（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】

某公司總部和分支機(jī)構(gòu)的網(wǎng)絡(luò)配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略，實(shí)現(xiàn)分支機(jī)構(gòu)和總部的安全通信。

圖4-1 【問題1】（4分）

圖4-2中（a）（b）、（c）、（d）、為不同類型IPSec數(shù)據(jù)包的示意圖，其中（1）和（2）工作在隧道模式；（3）和（4）支持報(bào)文加密。

圖4-2 參考答案：

（1）c 或 d

（2）d 或 c(不能與1相同)

（3）b 或 d

（4）d 或 b(不能與3相同)【問題2】（4分）

下面的命令在路由器R1中建立IKE策略，請補(bǔ)充完成命令或說明命令的含義。

R1(config)# crypto isakmp policy 110 進(jìn)入ISAKMP配置模式

R1(config-isakmp)# encryption des（5）

R1(config-isakmp)#（6）采用MD5散列算法

R1(config-isakmp)# authentication pre-share（7）

R1(config-isakmp)# group 1

R1(config-isakmp)# lifetime（8）安全關(guān)聯(lián)生存期為1天 參考答案：

（5）使用DES加密算法

（6）hash md5

（7）使用預(yù)共享密鑰認(rèn)證方式

（8）86400 【問題3】（4分）

R2與R1之間采用預(yù)共享密鑰“12345678”建立IPSec安全關(guān)聯(lián)，請完成下面配置命令。

R1(config)# crypt isakmp key 12345678 address（9）

R2(config)# crypt isakmp key 12345678 address（10）參考答案：

（9）172.30.2.2

（10）172.30.1.2 【問題4】（3分）

完成以下ACL配置，實(shí)現(xiàn)總部主機(jī)10.0.1.3和分支機(jī)構(gòu)主機(jī)10.0.2.3的通信。

R1(config)# access-list 110 permit ip host（11）host（12）

R2(config)# access-list 110 permit ip host（13）host 10.0.1.3 參考答案：

（11）10.0.1.3

（12）10.0.2.3

（13）10.0.2.3

試題五（共15分）

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】

某單位采用雙出口網(wǎng)絡(luò)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5-1所示。

圖5-1

該單位根據(jù)實(shí)際需要，配置網(wǎng)絡(luò)出口實(shí)現(xiàn)如下功能：

1．單位網(wǎng)內(nèi)用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時(shí)，出口經(jīng)ISP2；

2．單位網(wǎng)內(nèi)用戶訪問其他IP地址時(shí)，出口經(jīng)ISP1；

3．服務(wù)器通過ISP2線路為外部提供服務(wù)?！締栴}1】（5分）

在該單位的三層交換機(jī)S1上，根據(jù)上述要求完成靜態(tài)路由配置。

ip route（1）（設(shè)置默認(rèn)路由）

ip route 158.124.0.0（2）（3）（設(shè)置靜態(tài)路由）

ip route 158.153.208.0（4）（5）（設(shè)置靜態(tài)路由）參考答案：

（1）0.0.0.0 0.0.0.0 10.10.10.1

（2）255.254.0.0

（3）10.10.20.1

（4）255.255.240.0

（5）10.10.20.1 【問題2】（6分）

1．根據(jù)上述要求，在三層交換機(jī)S1上配置了兩組ACL，請根據(jù)題目要求完成以下配置。

access-list 10 permit ip host 10.10.30.1 any

access-list 10 permit ip host（6）any

access-list 12 permit ip any 158.124.0.0（7）

access-list 12 permit ip any 158.153.208.0（8）

access –list 12 deny ip any any

2．完成以下策略路由的配置。

route-map test permit 10

（9）ip address 10

（10）ip next-hop（11）參考答案：

（6）10.10.30.2

（7）0.1.255.255

（8）0.0.15.255

（9）match

（10）set

（11）10.10.20.1 【問題3】（4分）

以下是路由器R1的部分配置。請完成配置命令。

R1(config)#interface fastethernet0/0

R1(config-if)#ip address（12）（13）

R1(config-if)ip nat inside

??

R1(config)#interface fastethernet0/1

R1(config-if)#ip address（14）（15）

R1(config-if)ip nat outside

?? 參考答案：

（12）10.10.10.1

（13）255.255.255.0

（14）55.23.12.98

（15）255.255.255.252

第五篇：網(wǎng)絡(luò)工程師第02套下午試題及解析

網(wǎng)絡(luò)工程師第02套

第 1 題

某公司網(wǎng)絡(luò)管理員使用DHCP服務(wù)器對公司內(nèi)部主機(jī)的IP地址進(jìn)行管理。在某DHCP客戶機(jī)上執(zhí)行“ipconfig/all”得到的部分信息如圖2所示，在該客戶機(jī)捕獲的部分報(bào)文及相關(guān)分析如圖3所示。請分析圖中的信息，補(bǔ)全圖中【1】到【5】的內(nèi)容。

參考答案：

【1】0.0.0.0

[3分] 【2】192.168.0.100

[3分] 【3】255.255.255.255

[3分] 【4】offer

[3分] 【5】192.168.0.20

[3分]

試題分析：（1）（2）（3）從報(bào)文中可以看出，第一行報(bào)文為客戶機(jī)發(fā)送的DHCP discover報(bào)文。在發(fā)送此報(bào)文的時(shí)候，客戶機(jī)沒有IP地址，也不知道DHCP服務(wù)器的IP地址。所以，該報(bào)文以廣播的形式發(fā)送，源IP地址為0.0.0.0，代表網(wǎng)絡(luò)中本主機(jī)的地址；目的IP地址為255.255.255.255，代表廣播地址，對當(dāng)前網(wǎng)絡(luò)進(jìn)行廣播。

（4）第二行報(bào)文是DHCP服務(wù)器發(fā)送DHCP offer作為對DHCP discover報(bào)文的響應(yīng)，源IP地址為DHCP服務(wù)器192.168.0.100；目的IP地址為255.255.255.255，代表廣播地址，對當(dāng)前網(wǎng)絡(luò)進(jìn)行廣播。

（5）從“DHCP：Client hardware address=11-22-33-44-55-66”可以看出，客戶端的MAC地址為11-22-33-44-55-66，該MAC地址是圖2中用戶的MAC地址，其IP地址為192.168.0.20。

第 2 題

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi) 【說明】

某公司搭建了一個(gè)小型局域網(wǎng)，網(wǎng)絡(luò)中配置一臺Linux服務(wù)器作為公司內(nèi)部文件服務(wù)器和Internet接入服務(wù)器，該網(wǎng)絡(luò)結(jié)構(gòu)如圖2-1所示。

【問題1】（5分）

Linux的文件傳輸服務(wù)是通過vsftpd提供的，該服務(wù)使用的應(yīng)用層協(xié)議是(1)協(xié)議，傳輸層協(xié)議是(2)協(xié)議，默認(rèn)的傳輸層端口號為(3)vsftpd服務(wù)可以通過命令行啟動(dòng)或停止，啟動(dòng)該服務(wù)的命令是(4)，停止該服務(wù)的命令是(5)?！締栴}2】（5分）

vsftpd程序主配置文件的文件名是(6)。若當(dāng)前配置內(nèi)容如下所示，請給出對應(yīng)配置項(xiàng)和配置值的含義。

...listen_address=192.168.1.1

#listen_port=21

#max_per_ip=10

#max_clients=1000

anonymous_enable=YES(7)

local_enable=YES

(8)

write_enable=YES

(9)

userlist_enable=YES

(10)

...【問題3】(2分)為了使因特網(wǎng)上的用戶也可以訪問vsftpd提供的文件傳輸服務(wù)，可以通過簡單的修改上述主配置文件實(shí)現(xiàn)，修改的方法是(11)?！締栴}4】（3分）

由于Linux服務(wù)器的配置較低，希望限制同時(shí)使用FTP服務(wù)的并發(fā)用戶數(shù)為10，每個(gè)用戶使用FTP服務(wù)時(shí)可以建立的連接數(shù)為5，可以通過簡單的修改上述主配置文件實(shí)現(xiàn)，修改的方法是(12)。

參考答案：

【問題1】

[5分](1)FTP(2)TCP(3)21(4)service vsftpd start(5)service vsftpd stop 【問題2】

[5分](6)vsftpd.conf(7)允許匿名用戶訪問(8)允許本地用戶訪問(9)允許用戶上傳文件

(10)禁止用戶列表文件中的用戶訪問 【問題3】

[2分](11)注釋或刪除“l(fā)isten_address=192.168.1.1”配置項(xiàng) 【問題4】

[3分](12)改“#max-per-ip=10”為“max_per_ip=5”，改?！?max_clients=1000”為“max_clients=10”

試題分析： 【問題1】

考查linux下ftp服務(wù)器的基本知識。對于FTP服務(wù)，它采用的應(yīng)用層協(xié)議為FTP協(xié)議，該協(xié)議對應(yīng)的數(shù)據(jù)包需要封裝在傳輸層TCP包頭中，開放的端口為TCP的21號端口。linux下用得較多的是vsftpd服務(wù)程序，該程序安裝后，可以通過service vsftpd start |restart 或者/etc/rc.d/init.d/vsftpd start |restart實(shí)現(xiàn)FTP啟動(dòng)和重啟。同樣可以service vsftpd stop 或者/etc/rc.d/init.d/vsftpd stop實(shí)現(xiàn)關(guān)閉FTP服務(wù)?！締栴}2】 本題考查linux下vsftpd程序搭建ftp服務(wù)器時(shí)，其配置文件/etc/vsftpd/vsftpd.conf下的常規(guī)配置項(xiàng)。

常用的全局配置項(xiàng)

listen=YES：是否以獨(dú)立運(yùn)行的方式監(jiān)聽服務(wù) listen_address=x.x.x.x：設(shè)置監(jiān)聽的IP地址 listen_port=21： 設(shè)置監(jiān)聽FTP服務(wù)的端口號 write_enable=YES：是否啟用寫入權(quán)限

download_enable＝Y(jié)ES：是否允許下載文件

userlist_enable=YES：是否啟用user_list列表文件 userlist_deny=YES：是否禁用user_list中的用戶 max_clients=0：限制并發(fā)客戶端連接數(shù)

max_per_ip=0：限制同一IP地址的并發(fā)連接數(shù) 常用的匿名FTP配置項(xiàng)

anonymous_enable=YES：啟用匿名訪問

anon_umask=022：匿名用戶所上傳文件的權(quán)限掩碼 anon_root=/var/ftp：匿名用戶的FTP根目錄 anon_upload_enable=YES：允許上傳文件

anon_mkdir_write_enable=YES：允許創(chuàng)建目錄 anon_other_write_enable=YES：開放其他寫入權(quán) anon_max_rate=0：限制最大傳輸速率，單位為字節(jié) 常用的本地用戶FTP配置項(xiàng)

local_enable=YES：是否啟用本地系統(tǒng)用戶

local_umask=022：本地用戶所上傳文件的權(quán)限掩碼 local_root=/var/ftp：設(shè)置本地用戶的FTP根目錄 chroot_local_user=YES：是否將用戶禁錮在主目錄 local_max_rate=0：限制最大傳輸速率（字節(jié)/秒）【問題3】

其配置文件中配置項(xiàng)“l(fā)isten_address=x.x.x.x”功能是設(shè)置監(jiān)聽的IP地址，若注釋改行或則刪除該項(xiàng)，則FTP服務(wù)器可以監(jiān)聽來自任何主機(jī)的FTP請求，使因特網(wǎng)上的用戶也可以訪問vsftpd提供的文件傳輸服務(wù)?！締栴}4】

參考問題2的解析

第 3 題

閱讀以下說明，回答問題，講解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】

某網(wǎng)絡(luò)方案如圖a所示，該網(wǎng)絡(luò)原先使用的是國外某品牌的交換機(jī)，隨著業(yè)務(wù)的發(fā)展以及經(jīng)費(fèi)的限制,增添了7臺

國產(chǎn)品牌的交換機(jī)，其中交換機(jī)1至交換機(jī)5均是國產(chǎn)普通2層交換機(jī)交換機(jī)，交換機(jī)6和交換機(jī)7是三層交換機(jī)。

圖a 例題的網(wǎng)絡(luò)解決方案

該網(wǎng)絡(luò)在運(yùn)行過程中出現(xiàn)以下故障： 故障1 使用“網(wǎng)絡(luò)故障一點(diǎn)通”測試新建密集小區(qū)用戶和三層交換機(jī)6之間的最大吞吐量，發(fā)現(xiàn)這些用戶的帶寬都不超過10Mbps 使用“在線型網(wǎng)絡(luò)萬用表”串連在三層交換機(jī)6和交換機(jī)4之間，測試數(shù)秒鐘后，發(fā)現(xiàn)它們之間的傳輸速率也是10Mbps。故障2 故障現(xiàn)象：VIP小區(qū)用戶不能上網(wǎng)，但能PING通路由器地址

分析：由于VIP小區(qū)用戶配置的靜態(tài)IP地址，而且處于同一網(wǎng)段，共用路由器上的一個(gè)地址作為網(wǎng)關(guān)地址。用戶能PING通路由器，說明從用戶到路由器的路徑是通的，因此需要重點(diǎn)檢查路由器。操作過程如下：

首先，在路由器上，觀察接口狀態(tài)，未見異常。然后，用show ip route觀察（1）表，未見異常。

最后，再使用show arp觀察（2）表，發(fā)現(xiàn)路由器接口的MAC地址以前保留再該表中的MAC地址不同，是VIP小區(qū)中某個(gè)用戶的MAC地址?！締栴}1】

造成故障1的原因是什么？如何解決？

(3分)【問題2】

將故障2中（1）和（2）兩處合適的答案添入答題紙相應(yīng)的解答欄內(nèi)。故障2如何解決。（4分）[問題3] 新交換機(jī)7與原有品牌交換0使用trunk連接,則正確的配置如下: switch0(config)#int fa 0/1 switch0(config-if)#switchport mode(3)

（2分）

switch0(config-if)#switchport trunk encapsulation(4)

（2分）switch0(config-if)#no shutdown [問題4] 若新交換機(jī)6與原有品牌三層交換10使用路由連接,則正確的配置如下: switch10(config)#int fa 0/1 switch10(config-if)#(5)switchport

（2分）switch10(config-if)#ip address 192.168.1.1 255.255.255.252 switch10(config-if)#no(6)

（2分）

參考答案：

【問題1】

[3分] 交換機(jī)的10M/100M自適應(yīng)在不同廠家的交換機(jī)之間可能會(huì)有細(xì)微的差別,可能會(huì)造成兩個(gè)交換機(jī)之間不能協(xié)商

到100M的情況,這時(shí)候,需要重新配置雙方交換機(jī),禁止其進(jìn)行協(xié)商,強(qiáng)制配置到100Mbps?！締栴}2】

[4分]（1）路由

（2）ARP（地址解析協(xié)議）

故障解決：進(jìn)入到路由器接口配置模式，將該接口關(guān)閉后重新激活，路由器新的ARP表更新了到路由器的接口MAC地址，隨后用戶接入Internet恢復(fù)正常,故障排除。[問題3]

[4分](3)trunk(4)dot1q [問題4]

[4分](5)no

(6)shutdown

試題分析： 【問題1】

交換機(jī)的10M/100M自適應(yīng)在不同廠家的交換機(jī)之間可能會(huì)有細(xì)微的差別，可能會(huì)造成兩個(gè)交換機(jī)之間不能協(xié)商到100M的情況，這時(shí)候，需要重新配置雙方交換機(jī)，禁止其進(jìn)行協(xié)商，強(qiáng)制配置到100Mbps。【問題2】（1）路由

（2）ARP（地址解析協(xié)議）

故障解決：進(jìn)入到路由器接口配置模式，將該接口關(guān)閉后重新激活，路由器新的ARP表更新了到路由器的接口MAC地址，隨后用戶接入Internet恢復(fù)正常，故障排除。[問題3](3)trunk(4)dot1q 本題主要考察trunk的封裝協(xié)議不同，dot1q是標(biāo)準(zhǔn)。[問題4](5)no(6)shutdown

第 4 題

(共15分)閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

【說明】

某單位有1個(gè)總部和6個(gè)分部，各個(gè)部門都有自己的局域網(wǎng)。該單位申請了6個(gè)C 類IP 地址202.115.10.0/24~202.115.15.0/24，其中總部與分部4共用一個(gè)C類地址?，F(xiàn)計(jì)劃將這些部門用路由器互聯(lián)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示。

【問題1】（4 分）

該網(wǎng)絡(luò)采用R1～R7共7臺路由器，采用動(dòng)態(tài)路由協(xié)議OSPF。由網(wǎng)絡(luò)拓?fù)鋱D可見，該網(wǎng)絡(luò)共劃分了3個(gè)OSPF區(qū)域，其主干區(qū)域?yàn)椋?），主干區(qū)域中，（2）為區(qū)域邊界路由器，（3）為區(qū)域內(nèi)路由器。

【問題2】（7 分）

下表是該系統(tǒng)中路由器的IP地址分配表。

請根據(jù)網(wǎng)絡(luò)拓?fù)鋱D完成以下R3路由器的配置：

R3(config)#interface e0/1

（進(jìn)入接口e0/1配置模式）

R3(config-if)#ip address 202.115.13.254

（4）

（設(shè)置IP 地址和掩碼）

R3(config)# interface s0/0

（進(jìn)入串口配置模式）

R3(config-if)#ip address __（5）__ 255.255.255.0

（設(shè)置IP 地址和掩碼）

R3(config)# interface s0/1

R3(config-if)#ip address __（6）__ 255.255.255.0

R3(config)# interface s0/2

R3(config-if)#ip address __（7）__ 255.255.255.0

R3(config)# interface s0/3

R3(config-if)#ip address __（8）__ 255.255.255.0

R3(config)# interface s0/4

R3(config-if)#ip address __（9）__ 255.255.255.0

R3(config)# interface s0/5

R3(config-if)#ip address __（10）__ 255.255.255.0

【問題3】（4 分）

該單位部門4共有110臺PC 機(jī)，通過交換機(jī)連接路由器R5接入網(wǎng)絡(luò)。其中一臺PC機(jī)IP 地址為202.115.13.5，則其子網(wǎng)掩碼應(yīng)為（11），網(wǎng)關(guān)地址應(yīng)為（12）。

參考答案：

【問題1】

[共4分]（1）Area 0

（2分）

（2）R3（1分）

（3）R1和R2（1分）

【問題2】

[共7分]（4）255.255.255.128（1分）

（5）10.0.2.2至10.0.2.254之間任意一個(gè)地址（1分）（6）10.0.1.2至10.0.1.254之間任意一個(gè)地址（1分）（7）10.0.8.2至10.0.8.254之間任意一個(gè)地址（1分）（8）10.0.7.2至10.0.7.254之間任意一個(gè)地址（1分）（9）10.0.4.2至10.0.4.254之間任意一個(gè)地址（1分）（10）10.0.5.2至10.0.5.254之間任意一個(gè)地址（1分）【問題3】

[共4分]（11）255.255.255.128（2分）（12）202.115.13.1（2分）

試題分析： 【問題1】

OSPF協(xié)議采用了“區(qū)域-area”的設(shè)計(jì)，提高了網(wǎng)絡(luò)可擴(kuò)展性，并且加快了網(wǎng)絡(luò)匯聚時(shí)間。也就是將網(wǎng)絡(luò)劃分成許多較小的區(qū)域，每個(gè)區(qū)域定義一個(gè)獨(dú)立的區(qū)域號并將此信息配置給網(wǎng)絡(luò)中的每個(gè)路由器。從理論上說，通常不應(yīng)該采用實(shí)際地域來劃分區(qū)域，而是應(yīng)該本著使不同區(qū)域間的通信量最小的原則進(jìn)行合理分配。OSPF協(xié)議配置命令如下： network 網(wǎng)碼地址 掩碼反碼 area 區(qū)域號

該命令指定與該路由器直接相連的網(wǎng)絡(luò)。掩碼反碼可以用255.255.255.255減去掩碼得到。區(qū)域號可以是數(shù)字，也可以是IP地址。ID為0表示是主干域，不同網(wǎng)絡(luò)區(qū)域的路由器通過主干域?qū)W習(xí)路由。區(qū)域邊界路由器(ABR)是位于一個(gè)或多個(gè)OSPF區(qū)域的一個(gè)路由器，其連接這個(gè)區(qū)域到骨干網(wǎng)絡(luò)。ABR被認(rèn)為既是OSPF骨干區(qū)域也是內(nèi)部區(qū)域的一部分，所以其既有骨干拓?fù)湟灿衅渌麉^(qū)域的拓?fù)渎酚杀?。在Area 0區(qū)域中，可以明顯地區(qū)分出，區(qū)域邊界路由器為：R3，區(qū)域內(nèi)路由器為：R1、R2。

【問題2】

本題考查的是為邊界路由器R3端口配置IP地址即子網(wǎng)掩碼。題中已指出，總部（使用E0端口與R3連接）與分部4（使用E0端口與R5連接）是共用同一子網(wǎng)，因此它們兩個(gè)使用的網(wǎng)段及掩碼是完全相同的。根據(jù)表1-1中指示的R5的E0端口配置信息為：202.115.13.1/25，因此，R3的E0端口掩碼配置為：255.255.255.128。

第（5）空處，要求配置R3的S0的IP地址信息。已知R3的S0的對端是R2的S1端口，兩者必須在同一網(wǎng)段，從表1-1中已知R2的S1端口IP為10.0.2.1/24，因此，R3的S0的IP地址配置范圍只能從10.0.2.2~10.0.2.254。第（6）~（10）空可按上述方法進(jìn)行推算。

【問題3】

前面提到過，分部4通過交換機(jī)接入，再通過R5的E0端口與路由器R5連接，從表1-1中可得知R5的E0端口IP為202.115.13.1，子網(wǎng)掩碼為255.255.255.128，來作為該分部的網(wǎng)關(guān)。那么該分部PC的子網(wǎng)掩碼應(yīng)與其網(wǎng)關(guān)一致，為255.255.255.128，網(wǎng)關(guān)地址即E0（R5）地址為202.115.13.1。

第 5 題

（共15分）

某公司內(nèi)部的網(wǎng)絡(luò)的工作站采用100Base-TX標(biāo)準(zhǔn)與交換機(jī)相連，并經(jīng)網(wǎng)關(guān)設(shè)備采用NAT技術(shù)共享同一公網(wǎng)IP地址接入互聯(lián)網(wǎng)，如圖所示。

【問題1】

連接交換機(jī)與工作站的傳輸介質(zhì)是什么？介質(zhì)需要做成直通線還是交叉線？最大長度限制為多少？（共3分）【問題2】

交換機(jī)1與交換機(jī)2之間相距20米，采用交換機(jī)堆疊方式還是交換機(jī)級聯(lián)方式？（共2分）【問題3】

在工作站A的網(wǎng)絡(luò)配置中，網(wǎng)關(guān)地址是什么？（共3分）【問題4】

從以下備選答案中選擇兩種能夠充當(dāng)網(wǎng)關(guān)的網(wǎng)絡(luò)設(shè)備。（共3分）

備選答案：A．路由器

B．集線器

C．代理服務(wù)器

D．網(wǎng)橋 【問題5】

若工作站A訪問外部Web服務(wù)器，發(fā)往Internet的IP包經(jīng)由（1）和（2）處時(shí)源IP地址分別是什么？（共4分）

參考答案：

【問題1】

[3分] 連接交換機(jī)與工作站的傳輸介質(zhì)是雙絞線，應(yīng)使用直通線，最大長度為100米?！締栴}2】

[3分] 交換機(jī)級聯(lián)方式。

【問題3】

[3分] 192.168.0.254 【問題4】

[3分] A、C 【問題5】

[3分] 在（1）處時(shí)源IP地址是202.117.112.20，到（2）處時(shí)源IP地址是192.168.0.34。

試題分析： 【問題1】

局域網(wǎng)有三種基本的拓?fù)浣Y(jié)構(gòu)：總線型、星型和環(huán)型。而星型拓?fù)渫ǔＪ且约€器或交換機(jī)為中心組網(wǎng)的，采用的傳輸介質(zhì)是無屏蔽雙絞線（UTP）。雙絞線分為直通線和交叉線兩種類型：

直通線：對于用來將PC機(jī)、服務(wù)器連接到交換機(jī)、集線器等網(wǎng)絡(luò)設(shè)備的雙絞線，我們通常稱其為直通線。直通線是連接網(wǎng)絡(luò)時(shí)最常用的線纜類型，它兩端的線序是完全一樣的，均為T568A線序或T568B線序。

交叉線：如果你需要對交換機(jī)、集線器之間進(jìn)行堆疊，或者直接用一根雙絞線連接2臺PC機(jī)，這時(shí)就需要使用交叉線。

在制作交叉線時(shí)，兩端的RJ-45接頭必須反跳（CrossOver，也稱為交叉），也就是左端1、2對應(yīng)到右端的3、6，左端的3、6對應(yīng)到右端的1、2，其余不變。因此，我們可以在一端使用T568A線序，另一端使用T568B線序。

而每種線纜在傳輸信號時(shí)都可能衰減，因此都有最大長度的限制。屏蔽雙絞線、非屏蔽雙絞線的最大段長度都是100米，細(xì)同軸電纜的最大段長度是185米，粗同軸電纜的最大段長度是500米，光纖的最大段長度則可達(dá)2000~5000米?！締栴}2】

堆疊和級聯(lián)是擴(kuò)展交換機(jī)端口的兩種常用方法。堆疊需要通過廠家提供的專用連接電纜（其長度一般不超過2米），它通常不會(huì)占用集線器上原有的普通端口，但需要交換機(jī)能夠支持堆疊。

級聯(lián)則是通過普通的端口、普通的雙絞線（最大長度是100米）完成集線器連接的。在具體連接時(shí)有兩種方式：一種是使用直通線連接集線器的UPLink端口；另一種是使用交叉線連接集線器的普通端口?！締栴}3】

在圖10-9中可知，整個(gè)局域網(wǎng)是通過網(wǎng)關(guān)設(shè)備連接Internet的，因此局域網(wǎng)中所有工作站的網(wǎng)關(guān)都應(yīng)該設(shè)置成該網(wǎng)關(guān)設(shè)備的IP地址，而該網(wǎng)關(guān)設(shè)備的局域網(wǎng)地址應(yīng)該是192.168.0.254?！締栴}4】

在本題中的網(wǎng)關(guān)設(shè)備將實(shí)現(xiàn)兩個(gè)不同邏輯子網(wǎng)連接，因此應(yīng)該使用網(wǎng)絡(luò)層以上的設(shè)備。而集線器工作在物理層，網(wǎng)橋工作在數(shù)據(jù)鏈路層，顯然是無法實(shí)現(xiàn)的。而路由器和代理服務(wù)器都能夠充當(dāng)此處的網(wǎng)關(guān)設(shè)備。【問題5】

作為實(shí)現(xiàn)局域網(wǎng)接入Internet的網(wǎng)關(guān)設(shè)備，在此還將完成地址轉(zhuǎn)換的工作，位置（2）處于局域網(wǎng)內(nèi)，還沒有經(jīng)過NAT轉(zhuǎn)換，因此從工作站A發(fā)送的數(shù)據(jù)包其源IP地址應(yīng)該就是工作站A的IP地址192.168.0.34。而位置（1）則已經(jīng)到了外網(wǎng)，對于外網(wǎng)而言局域網(wǎng)中的地址是不可見的，因此源IP地址就將改為網(wǎng)關(guān)設(shè)備的外網(wǎng)地址，即應(yīng)該是202.117.112.20。