第一篇:中級網絡工程師2015上半年下午試題
2015年5月軟考網絡工程師真題下午題
附參考答案 試題一(共20分)閱讀以下說明,回答問題1至問題5,講解答填入答題紙對應的解答欄內。【說明】 某企業網絡拓撲圖如圖1-1所示。工程師給出了該網絡的需求:
1.用防火墻實現內外網地址轉換和訪問控制策略;
2.核心交換機承擔數據轉發,并且與匯聚層兩臺交換機實現OSPF功能; 3.接入層到匯聚層采用雙鏈路方式組網; 4.接入層交換機對地址進行VLAN劃分; 5.對企業的核心資源加強安全防護 【問題1】(4分)該企業計劃在①、②或③的位置部署基于網絡的入侵檢測系統(NIDS),將NIDS部署 在①的優勢是_(1)_;將NIDS部署在②的優勢是(2)_、_(3)_;將NIDS部署在③的優 勢是_(4)___。
(1)~(4)備選答案:
A.檢測外部網絡攻擊的數量和類型 B.監視針對DMZ中系統的攻擊
C.監視針對關鍵系統、服務和資源的攻擊 D.能減輕拒絕服務攻擊的影響 【解析】:
①位置,是邊界接入防火墻的一個區域,根據拓撲中所示,連接Internet側為outside 區域,連接核心交換機側為inside區域,①位置則為DMZ區域。可用于連接對外提供服務的服務器,如WWW服務器等。在①位置部署NIDS用于監視針對DMZ中系統的攻擊。
②位置是直接在接入防火墻外面,即廣域網邊界,NIPS部署在這里的主要作用是:檢測 外部網絡攻擊的數量和類型。
③位置是在企業網核心資源相關服務器的防火墻與核心交換機之間,NIPS部署在這里的主要作用是對內網服務器群的加強安全保護。本題中CD選項不好嚴格區分在不同部署區域的優勢。從字面意思來說,部署在③位置可對內網的核心資源進行保護。但是部署在②位置可以對企業網全部內網的關鍵系統、服務和資源進行保護。爭議較大。【參考答案】:(1)B(2)A(3)C(4)D 【問題2】(4分)
OSPF主要用于大型、異構的IP網絡中,是對_(5)_路由的一種實現。若網絡規模較小,可以考慮配置靜態路由或_(6)___協議實現路由選擇。(5)備選答案:A.鏈路狀態 B.距離矢量 C.路徑矢量(6)備選答案:A.EGP B.RIP C.BGP 【參考答案】:(5)A(6)B 【問題3】(4分)
對匯聚層兩臺交換機的F0/3,F0/4端口進行端口聚合,F0/3,F0/4端口默認模式是_(7)_,進行端口聚合時應配置為_(8)_模式。(7),(8)備選答案: A.multi B.trunk C.access 【參考答案】:(7)C(8)B 【問題4】(6分)
為了在匯聚層交換機上實現虛擬路由冗余功能,需配置_(9)_,可以采用競爭的方式選 擇主路由設備,比較設備優先級大小,優先級大的為主路由設備。若備份路由設備長時間沒 有收到主路由設備發送的組播報文,則將自己的狀態轉為_(10)_。為了避免二層廣播風暴,需要在接入與匯聚設備上配置_(11)_。(10),(11)備選答案: A.master B.backup C.VTP server D.MSTP 【解析】:
虛擬路由冗余功能有三種協議可以配置實現: 1)熱備份路由器協議 HSRP 2)虛擬路由器冗余協議 VRRP 3)網關負載均衡協議 GLBP 其中HSRP和GLBP是Cisco的私有協議,VRRP是標準協議,無廠商限制。根據【問題5】給出的配置命令,可判斷采用的協議是HSRP,(9)題填寫HSRP更合 適。但是:HSRP的主備狀態分別是active和standby,VRRP的主備狀態分別是master和 backup,根據(11)的選項,則判斷協議應該是VRRP。此題有爭議 【參考答案】:(9)HSRP/VRRP(10)A(11)D 【問題5】(2分)
閱讀匯聚交換機Switch1的部分配置命令,回答下面的問題。Switch1(config)#interface vlan 20 Switch1(config-if)#ip address 192.168.20.253 255.255.255.0 Switch1(config-if)#standby 2 ip 192.168.20.250 Switch1(config-if)#standby 2 preempt Switch1(config-if)#exit VLAN20的standby 默認優先級的值是_(12)_。VLAN20設置preempt的含義是_(13)_。【參考答案】:(12)100(13)開啟搶占模式 試題二(共15分)
閱讀以下說明,回答問題1至問題4,將解答填入答題紙對應的解答欄內。【說明】
某公司內部搭建了一個小型的局域網,拓撲圖如圖2-1所示。公司內部擁有主機約120 臺,用C類地址段192.168.100.0/24,采用一臺Linux服務器作為接入服務器,服務器內部局域網接口地址為192.168.100.254,ISP提供的地址為202.202.212.62。
【問題 1】(2分)
在 Linux 中,DHCP的配置文件是(1)。【參考答案】:dhcpd.conf 【問題 2】(8分)
內部郵件服務器 IP 地址為 192.168.100.253,MAC地址為01:AA:71:8C:9A:BB,內部文件服務器 IP 地址為 192.168.100.252,MAC 地址為 01:15:71:8C:77:BC,公司內部網絡分為 4個網段。為方面管理,公司使用 DHCP 服務器為客戶機動態配置 IP 地址,下面是Linux 服務器為192.168.100.192/26子網配置DHCP的代碼,將其補充完整。Subnet(2)netmask(3){ option router 192.168.100.254; option subnet-mask(4);
option broadcast-address(5); option time-offset-18000; range(6)(7); default-lease-time 21600; max-lease-time43200; host servers { hardware ethernet(8);
fixed-address 192.168.100.253;
hardware ethernet 01:15:71:8C:77:BC; fixed-address(9); 【參考答案】:
(2)192.168.100.192(3)255.255.255.192(4)255.255.255.192(5)192.168.100.255(6)192.168.100.193(7)192.168.100.251(8)01:AA:71:8C:9A:BB(9)192.168.100.252 【問題 3】(2分)
配置代碼中“option time-offset-18000”的含義是(10),“default-lease-time 21600”表明,租約期為(11)小時。(10)備選答案:
A.將本地時間調整為格林威治時間 B.將格林威治時間調整為本地時間 C.設置最長租約期 【參考答案】:(10)A(11)6 【問題 4】(3 分)
在一臺客戶機上使用ipconfig命令輸出如圖 2-2所示,正確說法是(12)
此時可使用(13)命令釋放當前IP地址,然后使用(14)命令向 DHCP 服務器重 新申請IP地址。(12)備選答案: A.本地網卡驅動未成功安裝
B.未收到DHCP服務器分配的地址
C.DHCP服務器分配給本機的IP地址為169.254.146.48 D.DHCP服務器的IP地址為169.254.146.48 【參考答案】:
(12)B(13)ipconfig/release(14)ipconfig/renew 試題三(共 20 分)
閱讀以下說明,回答問題1至問題3,將解答填入答題紙對應的解答欄內。【說明】 某企業在采用 Windows Server 2003 配置了共享打印、FTP和DHCP服務。
【問題 1】(8 分)
1.Internet 共享打印使用的協議(1)。(1 分)(1)備選答案: A.PPI B.IPP C.TCP D.IP 2.Internet共享打印配置完成后,需在如圖 3-1 所示的Web 服務擴展選項卡中的“Active ServerPages”設置為“允許”,其目的是(2)。(2 分)
3.檢驗Internet打印服務是否安裝正確的方法是在Web瀏覽器的地址欄輸入URL是(3)。(2 分)(3)備選答案:
A.HTTP://127.0.0.1/PRINTERS B.FTP://127.0.0.1/PRINTERS C.HTTP://PRINTERS D.FTP://PRINTERS 4.使用 Internet共享打印流程為6個步驟: ①在終端上輸入打印設備的 URL ②服務器向用戶顯示打印機狀態信息 ③客戶端向打印服務器發送身份驗證信息 ④用戶把要打印的文件發送到打印服務器
⑤打印服務器生成一個 cabinet 文件,下載到客戶端 ⑥通過 Internet 把 HTTP 請求發送到打印服務器 對以上步驟進行正確的排序(4)。(3 分)【解析】:
使用 Internet 打印時,可以通過 Web 瀏覽器來打印或管理文檔。在基于 Windows Server 2003 的計算機上,當您安裝 Microsoft Internet 信息服務(IIS),然后通過“IIS 安全 鎖定向導”啟用 Internet 打印時,Internet 打印會自動啟用。打印是通過 Internet 打印協議(IPP)實現的,此協議封裝在超文本傳送協議(HTTP)中。通過 Internet 打印,可以從瀏覽器來管理打印服務器上的任何共享打印機。通過在瀏 覽器“地址”框中鍵入打印服務器的地址,可以通過 Intranet 或 Internet 打印到打印機。例如,鍵入 http://myprintserver/printers/。當您在打印機網頁上單擊“連接”時,服務器會生成一個包含相應打印機驅動程序文件的.cab 文件,并將其下載到客戶端計算機。安裝的打印機顯示在客戶端的 Printers 文件夾中。Internet 打印過程包括以下步驟:
1.有人通過鍵入打印設備的 URL 在Internet上連接打印服務器。2.HTTP請求會通過Internet發送至打印服務器。
3.打印服務器會要求客戶端提供身份驗證信息。這樣可確保只有授權用戶才能在打印 服務器上打印文檔。
4.在服務器對用戶進行身份驗證后,會使用其中包含有關當前可用的打印機信息的 Active Server Pages(ASP)向用戶顯示狀態信息。
5.當用戶連接 Internet 打印網頁中的任何打印機時,客戶端(例如,運行 Windows Vista 或 Windows Server 2008)首先會嘗試在本地查找打印機的驅動程序。如果找不到合適的驅動程序,打印服務器會生成包含相應的打印機驅動程序文件的 Cabinet 文件(.cab 文件,也稱為安裝文件)。打印服務器會將.cab文件下載至客戶端計算機。系統將提示客戶端計算機上的用戶需要輸入權限才能下載.cab文件。
客戶端計算機根據打印共享所在的安全區域下載打印機驅動程序,并使用Internet 打印協議(IPP)或遠程過程調用(RPC)連接打印機。安全區域是通過控制面板中的 Internet選項在客戶端計算機上配置的。對于級別為“中高”或“中等”的安全區域,使 用 IPP;對于級別為“中低”的安全區域,使用 RPC。
6.用戶連接到 Internet打印機后,就可以向打印服務器發送文檔。【參考答案】:(1)B(2)支持 ASP 頁面功能(3)A(4)①⑥③②⑤④ 【問題 2】(8 分)FTP的配置如圖 3-2,、圖 3-3 所示。
1.默認情況下,用戶登錄FTP服務器時,服務器端建立的 TCP 端口號為(5)。2.如果只允許一臺主機訪問FTP服務器,參考圖 3-2 給出具體的操作步驟(6)。3.參考圖 3-3,在一臺服務器上搭建多個FTP站點的方法是(7)。4.如點擊圖 3-3 中“當前會話”按鈕,顯示的信息是(8)。【參考答案】:(5)21(6)選中:默認情況下,所有計算機將被“拒絕訪問”,然后選擇“一臺計算機”
(7)選擇不同的 IP 地址或者使用不同的端口號(8)當前連接到 FTP 服務器的會話信息【 問題 3】(4 分)
DHCP 的配置如圖 3-4 和 3-5 所示。
1.圖 3-4 中填入的IP地址是(9)。
2.圖 3-5 中配置 DHCP中繼代理程序,可以實現(10)。(9)備選答案:
A.分配給客戶端的 IP 地址 B.默認網關的IP地址 C.DHCP 服務器的IP地址(10)備選答案: A.是普通客戶機獲取IP等信息 B.跨網段的地址分配 C.特定用戶組訪問特定網絡 【參考答案】:(9)B(10)B 試題四(共 20 分)
閱讀以下說明,回答問題 1 至問題 4,將解答填入答題紙對應的解答欄內。(說明)某企業的網絡拓撲結構如圖 4-1 所示。
由于該企業路由設備數量較少,為提高路由效率,要求為該企業構建基于靜態路由的多層安全交換網絡。根據要求創建 4 個 VLAN 分別屬于網管中心,生產部,銷售部以及研發中心,各部門的 VLAN 號及 IP 地址規劃如圖 4-1 所示。該企業網采用三層交換機 Switch-core為核心交換機,Switch-core 與網管中心交換機 Switch1 和研發中心交換機 Switch4 采用三層連接,Switch-core 與生產部交換機 Switch2 及銷售部的交換機 Switch3 采用二層互聯。各交換機之間的連接以及接口 IP 地址如表 4-1 所示。
(問題 1)(4 分)
隨著企業網絡的不斷發展,研發中心的上網計算機數急劇增加,在高峰時段研發中心和核心交換機之間的網絡流量非常大,在不對網絡進行大的升級改造前提下,網管人員采用了以太信道或端口聚合技術來增加帶寬,同時也起到了(1)和(2)的作用,保證了研發中心網絡的穩定性和安全性。
在兩臺交換機之間是否形成以太信道,可以用協議自動協商。目前有兩種協商協議:一 種是__(3)__,是 Cisco 私有的協議,另一種是 __(4)___,是基于 IEEE802.3ad 標準的協議。(3)、(4)備選答案:
A、端口聚合協議(PAgP)B、多生成樹協議(MSTP)C、鏈路聚合控制協議(LACP)【解析】:
以太信道或端口聚合技術是將多條物理鏈路捆綁成一條邏輯鏈路的方式,各物理鏈路通過負載均衡的方式,可以成倍的提高帶寬。同時若部分物理鏈路失效,以太通道會動態適應,轉發任務由其他鏈路分擔(但是總帶寬會降低)。
由于以太通道技術將多條物理鏈路聚合成一條邏輯鏈路,從二層的角度來看,STP 將認為僅僅是一條鏈路,不存在環路。
以太信道的協商方式分為靜態和動態協商兩種。目前動態有兩種協商協議:一種是端口聚合協議(PAgP),是 Cisco 私有的協議,另一種是鏈路聚合控制協議(LACP),是基于IEEE802.3ad 標準的協議。【參考答案】::(1)鏈路冗余(2)消除環路負載均衡其中:(1)和(2)位置可互換,另外,如果出現【負載 均衡、】、【鏈路備份】等答案,我認為也可以。(3)A(4)C(問題 2)
核心交換機 Switch-core 與網管中心交換機 Switch1 通過靜態路由進行連接。根據需求,完成或解釋 Switch-core 與 Switch1 的部分配置命令。(1)配置核心交換 Switch-core Switch-core#config terminal Switch-core(config)#interface gigabitEthernet 0/2 Switch-core(config-if)#description wgsw-g0/1 //____(5)____ Switch-core(config-if)#no switchport //____(6)_____ Switch-core(config-if)#ip address___(7)_____ Switch-core(config-if)#no shutdown Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.101.2 Switch-core(config)#exit ??
(2)配置網管中心交換機 Switch1 Switch1#config terminal Switch1(config)#no ip domain lookup //___(8)____ Switch1(config)#interface gigabitEthernet 0/1 Switch1(config-if)#description core-g0/2 Switch1(config-if)#no switchport Switch1(config-if)#ip address____(9)______ Switch1(config-if)#exit Switch1(config)#vlan 10 Switch1(config-vlan)#name wg10 Switch1(config-vlan)#exit Switch1(config)#interface vlan 10 Switch1(config-if)#ip address____(10)______ Switch1(config-if)#exit Switch1(config)#interface range f0/2-20 Switch1(config-if-range)#switchport mode access //設置端口模式為 access 模式 Switch1(config-if-range)#switchport access ___(11)____//設置端口所屬的 VLAN Switch1(config-if-range)#no shutdown Switch1(config-if-range)#exit Switch1(config)#ip route 192.168.20.0 255.255.255.0 192.168.101.1 Switch1(config)#ip route 192.168.30.0 255.255.255.0 192.168.101.1 ??
【參考答案】:
(5)設置端口描述 wgsw-g0/1(6)開啟三層接口(7)192.168.101.1 255.255.255.0(8)關閉 DNS 查詢/ 關閉域名查詢(9)192.168.101.2 255.255.255.0(10)192.168.10.1 255.255.255.0(11)vlan 10(問題 3)(7 分)
為確保研發中心的網絡的穩定性,在現有條件下盡量保證帶寬,要求實現核心交換機 Switch-core 與研發中心交換機 Switch4 的三層端口聚合,然后通過靜態路由進行連接。根據需求,完成或解釋一下配置命令。
(1)繼續配置核心交換機 Switch-core Switch-core#confg terminal Switch-core(config)#interface port-channel 10 //____(12)____ Switch-core(config-if)#no switchport Switch-core(config-if)#ip address ___(13)_____ Switch-core(config-if)#no shutdown Switch-core(config-if)#exit Switch-core(config)#interface range fastEthernet0/1-4 //選擇配置的物理接口 Switch-core(config-if-range)#no switchport Switch-core(config-if-range)#no ip address //確保該物理接口沒有指定的 IP 地址 Switch-core(config-if-range)#switchport Switch-core(config-if-range)#channel-group 10 mode on //_____(14)_____ Switch-core(config-if-range)#no shutdown Switch-core(config-if-range)#exit Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.102.2 ??(2)配置研發中心交換機 Switch4 Switch4#config terminal Switch4(config)#interface port-channel 10 Switch4(config-if)#no switchport Switch4(config-if)#ip address____(15)____ Switch4(config-if)#no shutdown Switch4(config-if)#exit Switch4(config)#interface range fastEthernet0/1-4 Switch4(config-if-range)#no switchport Switch4(config-if-range)#no ip address ??
Switch4(config-if-range)#no shutdown Switch4(config-if-range)#exit Switch4(config)#____(16)_____ //配置默認路由 Switch4(config)#vlan 40 Switch4(config-vlan)#name yf10 Switch4(config-vlan)#exit Switch4(config)# _____(17)____ //開啟該交換機的三層路由功能 Switch4(config)#interface vlan 40 Switch4(config-if)#ip address 192.168.40.1 255.255.255.0 Switch4(config-if)#exit Switch4(config)#interface range fastEthernet0/5-20 Switch4(config-if-range)#switchport mode access ?
Switch4(config-if-range)#____(18)_____ //退回到特權模式 Switch4# ?(問題 4)(2 分)
為了保障局域網用戶的網絡安全,防范欺騙攻擊,以生產部交換機 Switch2 為例,配 置 DHCP 偵聽。根據需求完成或解釋 Switch2 的部分配置命令。Switch2#config terminal Switch2(config)#ipdhcp snooping //____(19)____ Switch2(config)#ipdhcp snooping vlan 20 Switch2(config)#interface gigabitEthernet1/1 Switch2(config-if)#ipdhcp snooping trust //____(20)____ Switch2(config-if)#exit ? 【參考答案】:
(12)創建聚合端口10(13)192.168.102.1 255.255.255.0(14)設置端口為聚合模式為 on(15)192.168.102.2 255.255.255.0(16)ip route 0.0.0.0 0.0.0.0 192.168.102.1(17)ip routing(18)end(19)開啟dhcp snooping功能或開啟dhcp偵聽功能(20)設置為dhcp snooping信任端口
第二篇:中級網絡工程師2017下半年下午試題
2017下半年網絡工程師考試下午真題
試題一(共 20 分)
閱讀以下說明,回答問題 1至問題 4,將解答填入答題紙對應的解答欄內。
【說明】
某企業組網方案如圖1-1所示,網絡接口規劃如表1-1所示。公司內部員工和外部訪客均可通過無線網絡訪問企業網絡,內部員工無線網絡的SSID為 Employee,訪客無線網絡的SSID為Visitor。
【問題1】(6分)
防火墻上配置NAT功能,用于公私網地址轉換。同時配置安全策略,將內網終端用戶所在區域劃分為Trust區域,外網劃分為Untrust區域,保護企業內網免受外部網絡攻擊。
補充防火墻數據規劃表1-2內容中的空缺項。
【問題2】(4分)
在點到點的環境下,配置 IPSec VPN 隧道需要明確()和()
【問題3】(6分)
在 Switch1上配置 ACL禁止訪客訪問內部網絡,將Switch1 數據規劃表1-3內容中的空缺項補充完整。
【問題4】(4分)
AP控制器上部署WLAN業務,采用直接轉發,AP跨三層上線。認證方式:無線用戶通過預共享密鑰方式接入。
在Switch1上GEO/O/2連接AP控制器,該接口類型配置為()模式,所在VLAN是()。
試題二(共 20分)
閱讀下列說明,回答問題1至問題4,將解答填入答題紙的對應欄內。
【說明】圖2-1是某企業網絡拓撲,網絡區域分為辦公區域、服務器區域和數據區域,線上商城系統為公司提供產品在線銷售服務。公司網絡保障部負責員工辦公電腦和線上商城的技術支持和保障工作。
【問題1】(6分)
某天,公司有一臺電腦感染“勒索”病毒,網絡管理員應采取()、()、()措施。
(1)~(3)備選答案:
A.斷開已感染主機的網絡連接
B.更改被感染文件的擴展名
C.為其他電腦升級系統漏洞補丁 D.網絡層禁止135/137/139/445 端口的TCP連接
E.刪除已感染病毒的文件
【問題2】(8分)
圖 2-1 中,為提高線上商城的并發能力,公司計劃增加兩臺服務器,三臺服務器同時對外提供服務,通過在圖中()設備上執行一豆_)策略,可以將外部用戶的訪問負載平均分配到三臺服務器上。
(5)備選答案:
A.散列
B.輪詢
C.最少連接
D.工作-備份
其中一臺服務器的IP地址為192.168.20.5/27,請將配置代碼補充完整。
ifcfg-eml配置片段如下:
DEVICE =eml
TYPE=Ethernet
UUID=36878246-2a99-43b4-81df-2db1228eea4b
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none
HWADDR=90:B1:1C:51:F8:25
IPADDR=192.168.20.5
NETMASK=()
GATEWAY=192.168.20.30
DEFROUTE= yes
IPV4_FAILURE_FATAL=yes
IPV6INTI=no
配置完成后,執行systemct1()network命令重啟服務。
【問題3】(4分)
網絡管理員發現線上商城系統總是受到SQL注入、跨站腳本等攻擊,公司計劃購置()設備/系統,加強防范;該設備應部署在圖2-1中設備①~④的()處。
A.殺毒軟件
B.主機加固
C.WAF(Web應用防護系統)
D.漏洞掃描
【問題4】(2分)
圖2-1中,存儲域網絡采用的是()網絡。試題三(共20分)
閱讀以下說明,回答問題1至問題 4,將解答填入答題紙對應的解答欄內。
【說明】某公司有兩個辦事處,分別利用裝有Windows Server 2008 的雙宿主機實現路由功能,此功能由Wmdows Server 2008中的路由和遠程訪問服務來完成。管理員分別為這兩臺主機其中一個網卡配置了不同的IP地址,如圖3-1所示。
【問題1】(4分)
在“管理您的服務器”中點擊“添加或刪除角色”,此時應當在服務器角色中選擇()來完成路由和遠程訪問服務的安裝。在下列關于路由和遠程訪問服務的選項中,不正確的是()
(1)備選答案:
A.文件服務器
B.應用程序服務器(IIS,ASP.NET)
C.終端服務器
D.遠程訪問/VPN 服務
(2)備選答案:
A.可連接局域網的不同網段或子網,實現軟件路由器的功能
B.把分支機構與企業網絡通過Intranet連接起來,實現資源共享
C.可使遠程計算機接入到企業網絡中訪問網絡資源
D.必須通過VPN才能使遠程計算機訪問企業網絡中的網絡資源
【問題2】(4分)
兩個辦事處子網的計算機安裝Win7操作系統,要實現兩個子網間的通信,子網A和子網B中計算機的網關分別為()和()。子網 A 中的計算機用ping命令來驗證數據包能否路由到子網B中,圖3-2中參數使用默認值,從參數()可以看出數據包經過了()個路由器。
(3)備選答案:
A.192.168.0.0 B.192.168.0.1 C.192.168.0.3D.無須配置網關
(4)備選答案:
A.10.0.0.0 B.10.0.0.1 C.10.0.0.2 D.無須配置網關
(5)備選答案:
A.bytes B.time C.TTL D.Lost
【問題3】(8分)
Windows Server 2008支持RIP動態路由協議。在RIP接口屬性頁中,如果希望路由器每隔一段時間向自己的鄰居廣播路由表以進行路由信息的交換和更新,則需要在“操作模式”中選擇()。在“傳出數據包協議”中選擇(),使網絡中其它運行不同版本的鄰居路由器都可接受此路由器的路由表:在“傳入數據包協議”中選擇(),使網絡中其他運行不同版本的鄰居路由器都可向此 廣播路由表。
(7)備選答案:
A.周期性是更新模式
B.自動-靜態更新模式
(8)備選答案:
A.RIPv1廣播
B.RIPv2多播
C.RIPv2廣播
(9)備選答案:
A.只是RIPv1 B.只是RIPv2 C.RIPv1和v2 D.忽略傳入數據包
為了保護路由器之間的安全通信,可以為路由器配置身份驗證。選中“激活身份驗證”復選框,并在“密碼”框中鍵入一個密碼。所有路由器都要做此配置,所配置的密碼()。
(10)備選答案:
A.可以不同
B.必須相同
【問題4】(4分)
由于在子網A中出現病毒,需在路由接口上啟動過濾功能,不允許子網B接收來自子網A的數據包,在選擇入站篩選器且篩選條件是“接收所有除符合下列條件以外的數據包”時,如圖3-3所示,由源網絡IP地址和子網掩碼得到的網絡地址是(),由目標網絡IP地址和子網掩碼得到的網絡地址是(),需要選擇協議()。如果選擇協議(),則會出現子網A和子網B之間ping不通但是子網B能接受來自子網A的數據包的情況。
(11)備選答案:
A.192.168.0.0 B.192.168.0.1 C.192.168.0.3 D.192.168.0.8
(12)備選答案:
A.10.0.0.0 B.10.0.0.1 C.10.0.0.3 D.10.0.0.4
(13)~(14)備選答案:
A.ICMP B.TCP C.UDP D.任何
試題四(共15分)
閱讀以下說明,回答問題 1至問題2,將解答填入答題紙對應的解答欄內。
【說明】
某公司網絡拓撲圖如圖4-1所示。
【問題1】(5分)
為了便于管理公司網絡,管理員根據不同部門對公司網絡劃分了VLAN,VLAN編號及IP地址規劃如表4-1所示,考慮到公司以后的發展,每個部門的IP地址規劃均留出了一定的余量,請根據需求,將下表補充完整。
公司計劃使用24接口的二層交換機作為接入層交換機,根據以上主機數量在不考慮地理位置的情況下,最少需要購置()臺接入層交換機。
【問題二】(10分)
公司申請了14個公網IP地址,地址范圍為202.119.25.209-202.119.25.222,其中,202.119.25.218-202.119.25.222作為服務器和接口地址保留,其他公網IP地址用于公司訪問 Internet。公司使用PAT為營銷部門提供互聯網訪問服務。請根據描述,將下面配置代碼補充完整。
[Huawei](6)R1
[R1]user-interface(7)//進入console用戶界面視圖
[R1-ui-console0]authentication-mode(8)
Please configure the login password(maximum length 16):huawei
[R1-ui-console0]quit
[R1]int GigabitEthernet,0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.100.242 255.255.255.252
[R1-GigabitEthernet0/0/0](9)
[R1](10)2000
[R1-acl-2000](11)5 permit source 192.168.100.0(12)
[R1-acl-basic-2000]quit
[R1]nat address-group 1(13)202.119.25.217
[R1]interrface GigabitEthemet 0/0/1
[R1-GigabitEthemet 0/0/1]ip address(14)255.255.255.240
[R1-GigabitEthemet 0/0/1](15)outbound 2000 address-group 1
[R1]rip
[R1-rip-1]version 2
[R1-rip-1]network 192.168.100.0
交換機配置略……
2017 年 11 月軟考網絡工程師案例分析答案
試題一: 問題 1
(1)200.1.1.1/32(2)200.1.1.1/32(3)Any 問題 2 問題 3
(7)Any(8)Deny
(5)隧道名稱雙方的密鑰(4)IP 地址
(6)VLAN 99
問題 4
(10)VLAN 10
(9)Access 試題二:
問題
1、問題 2(4)負載均衡(5)B(6)255.255.255.224(7)Restart(1)(1)A(2)C(3)D 問題 3(8)C(9)4(10)FC-SAN
試題三: 問題 1(1)D(2)D(3)C(4)C(5)C(6)6(12)A(13)D(14)A 試題四: 問題 1
(1)192.168.100.190(2)255.255.255.192(3)255.255.255.224(4)192.168.100.225(5)6(6)sysnae(7)console(8)password
7)A(8)A 9)C(10)B 11)A(((
第三篇:杏花亭_中級網絡工程師2009上半年下午試題剖析
中級網絡工程師2009上半年下午試題
試題一
閱讀以下說明,回答問題1至問題4,將解答填入對應的解答欄內。[說明]
某公司有1個總部和2個分部,各個部門都有自己的局域網。該公司申請了4個C類IP地址塊202.114.10.0/24~202.114.13.0/24。公司各部門通過幀中繼網絡進行互聯,網絡拓撲結構如圖1-1所示。
1、[問題1]
請根據圖1-1完成R0路由器的配置:
R0(config)# interface s0/0
(進入串口配置模式)
R0(config-if)# ip address 202.114.13.1(1)(設置IP地址和掩碼)
R0(config)# encapsulation(2)
(設置串口工作模式)
2、[問題2]
Switch0、Switch1、Switch2和Switch3均為二層交換機。總部擁有的IP地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R/的端口e0/0相連,請根據圖1-1完成路由器R2及Switch0的配置。
R2(config)# interface fastethernet 0/0.1
R2(config—subif)# encapsulation dotlq(3)
R2(config—subif)# ip address 202.114.12.1 255.255.255.192
R2(config—subif)# no shutdown
R2(config—subif)# exit
R2(config)# interface fastethernet 0/0.2
R2(config—subif)# encapsulation dotlq(4)
R2(config—subif)# ip address 202.114.12.65 255.255.255.192
R2(config—subif)# no shutdown
R2(config—subif)# exit
R2(config)# interface fastethernet 0/0.3
R2(config—subif)#encapsulation dotlq(5)
R2(config—subif)# ip address 202.114.12.129 255.255.255.192
R2(config—subif)# no shutdown
R2(config—subif)# exit
R2(config)# interface fastether0/0
R2(config—if)# no shutdown
Switch0(config)# interface f0/24
Switch0(config—if)# switchport mode(6)
Switch0(config—if)# switchport trunk encapsulation(7)
Switch0(config—if)# switchport trunk allowed all
Switch0(config—if)# exit
3、[問題3]
若主機A與Switchl的e0/2端口相連,請完成Switch1相應端口設置。
Switchl(config)#interface e0/2
Switchl(config—if)#(8)(設置端口為接入鏈路模式)
Switchl(config—if)#(9)(把e0/2分配給VLAN 100)
Switchl(config—if)# exit
若主機A與主機D通信,請填寫主機A與D之間的數據轉發順序。
主機A→(10)→主機D。
(10)備選答案
A.Switch1→Switch0→R2(s0/0)→Switch0→Switch2
B.Switch1→Switch0→R2(e0/0)→Switch0→Switch2
C.Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2
D.Switch1→Switch0→Switch2
4、[問題4]
為了部門A中用戶能夠訪問服務器Server1,請在R0上配置一條特定主機路由。
R0(config)#iproute202.114.10.253(11)(12)
試題二
閱讀以下說明,回答問題1至問題6,將解答填入答題紙對應的解答欄內。[說明]
某公司總部服務器1的操作系統為Windows Server 2003,需安裝虛擬專用網(VPN)服務,通過Internet與子公司實現安全通信,其網絡拓撲結構和相關參數如圖2-1所示。
5、[問題1]
在Windows Server 2003的“路由和遠程訪問”中提供兩種隧道協議來實現VPN服務:(1)和L2TP,L2TP協議將數據封裝在(2)協議幀中進行傳輸。
6、[問題2]
在服務器1中,利用Windows Server 2003的管理工具打開“路由和遠程訪問”,在所列出的本地服務器上選擇“配置并啟用路由和遠程訪問”,然后選擇配置“遠程訪問(撥號或VPN)”服務,在圖2-2所示的界面中,“網絡接口”應選擇(3)。
(3)備選答案:
A.連接1 B.連接2
7、[問題3]
為了加強遠程訪問管理,新建一條名為“SubInc”的訪問控制策略,允許來自子公司服務器2的VPN訪問。在圖2-3所示的配置界面中,應將“屬性類型A.”的名稱為(4)的值設置為“Layer Two Tunneling Protocol”,名稱為(5)的值設置為“Virtual(VPN)”。
編輯SubInc策略的配置文件,添加“入站IP篩選器”,在如圖2-4所示的配置界面中,IP地址應填為(6),子網掩碼應填為(7)。
8、[問題4]
子公司PC1安裝Windows XP操作系統,打開“網絡和Internet連接”。若要建立與公司總部服務器的VPN連接,在如圖2-5所示的窗口中應該選擇(8),在圖2-6所示的配置界面中填寫(9)。
(8)備選答案:
A.設置或更改您的Internet連接
B.創建一個到您的工作位置的網絡連接
C.設置或更改您的家庭或小型辦公網絡
D.為家庭或小型辦公室設置無線網絡
E.更改Windows防火墻設置
9、[問題5]
用戶建立的VPN連接xd2的屬性如圖2-7所示,啟動該VPN連接時是否需要輸入用戶名和密碼?為什么?
10、[問題6]
圖2-8所示的配置窗口中所列協議“不加密的密碼(PAP)”和“質詢握手身份驗證協議(CHAP)”有何區別?
試題三
閱讀以下關于Linux文件系統和Samba服務的說明,回答問題1至問題3。[說明]
Linux系統采用了樹型多級目錄來管理文件,樹型結構的最上層是根目錄,其他的所有目錄都是從根目錄生成的。
通過Samba可以實現基于Linux操作系統的服務器和基于Windows操作系統的客戶機之間的文件、目錄及共享打印服務。[問題1]
Linux在安裝時會創建一些默認的目錄,如下表所示:
依據上述表格,在空11~16中填寫恰當的內容(其中空11在候選答案中選擇)。
①對于多分區的Linux系統,文件目錄樹的數目是 11。
②Linux系統的根目錄是 12,默認的用戶主目錄在 13 目錄下,系統的設備文件(如打印驅動)存放在 14 目錄中,15 目錄中的內容關機后不能被保存。
③如果在工作期間突然停電,或者沒有正常關機,在重新啟動機器時,系統將要復查文件系統,系統將找到的無法確定位置的文件放到目錄 16 中。
11備選答案:
A.1 B.分區的數目
C.大于1 [問題2]
默認情況下,系統將創建的普通文件的權限設置為-rw-r--r--,即文件所有者對文件 17,同組用戶對文件 18,其他用戶對文件 19。文件的所有者或者超級用戶,采用 20 命令可以改變文件的訪問權限。[問題3]
Linux系統中Samba的主要配置文件是/etc/samba/smb.conf請根據以下的smb.conf配置文件,在空21~25中填寫恰當的內容。
Linux服務器啟動Samba服務后,在客戶機的“網絡鄰居”中顯示提供共享服務的Linux主機名為 21,其共享的服務有 22,能夠訪問Samba共享服務的客戶機的地址范圍 23 ;能夠通過Samba服務讀寫/home/samba中內容的用戶是 24 ;該Samba服務器的安全級別是 25。
[global]
workgroup = MYGROUP
netbios name = smb-server
server string = Samba Server
;hosts allow = 192.168.1.192.168.2.127.load printers = yes
security = user
[printers]
comment = My Printer
browseable = yes
path = /usr/spool/samba
guest ok = yes
writable = no
printable = yes
[public]
comment = Public Test
browseable = no
path = /home/samba
public = yes
writable = yes
printable = no
write list = @test
[userldir]
comment = Userl's Service
browseable = no
path = /usr/usr1
valid users = user1
public = no
writable = yes
printable = no
試題四
閱讀以下說明,回答問題1至問題4,將解答填入對應的解答欄內。[說明]
某公司總部和分支機構的網絡配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略,實現分支機構和總部的安全通信。
26、[問題1]
圖4-2中a.、b.、c.、d.為不同類型IPSec數據包的示意圖,其中(1)和(2)工作在隧道模式:(3)和(4)支持報文加密。
27、[問題2]
下面的命令在路由器R1中建立IKE策略,請補充完成命令或說明命令的含義。
R1(config)# crypto isakmp policy 110 進入ISAKMP配置模式
R1(config-isakmp)# encryption des(5)
R1(config-isakmp)#(6)采用MD5散列算法
R1(config-isakmp)# authentication pre-share(7)
R1(config-isakmp)# group 1
R1(config-isakmp)# lifetime(8)安全關聯生存期為1天
28、[問題3]
R2與R1之間采用預共享密鑰“12345678”建立IPSec安全關聯,請完成下面配置命令。
R1(config)# crypt isakmp key 12345678 address(9)
R2(config)# crypt isakmp key 12345678 address(10)
29、[問題4]
完成以下ACL配置,實現總部主機10.0.1.3和分支機構主機10.0.2.3的通信。
R1(config)# access-list 110 permit ip host(11)host(12)
R2(config)# access-list 110 permit ip host(13)host 10.0.1.3
試題五
閱讀以下說明,回答問題1至問題3,將解答填入對應的解答欄內。[說明]
某單位采用雙出口網絡,其網絡拓撲結構如圖5-1所示。
該單位根據實際需要,配置網絡出口實現如下功能:
1.單位網內用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時,出口經ISP2:
2.單位網內用戶訪問其他IP地址時,出口經ISP1:
3.服務器通過ISP2線路為外部提供服務。30、[問題1]
在該單位的三層交換機S1上,根據上述要求完成靜態路由配置。
ip route(1)
(設置默認路由)
ip route 158.124.0.0(2)(3)
(設置靜態路由)
ip route 158.153.208.0(4)(5)
(設置靜態路由)
31、[問題2]
1.根據上述要求,在三層交換機S1上配置了兩組ACL,請根據題目要求完成以下配置。
access-list 10 permit ip host 10.10.30.1 any
access-list 10 permit ip host(6)any
access-list 12 permit ip any 158.124.0.0(7)
access-list 12 permit ip any 158.153.208.0(8)
access-list 12 deny ip any any
2.完成以下策略路由的配置。
route-map test permit 10
(9)ip address 10
(10)ip next-hop(11)
32、[問題3]
以下是路由器R1的部分配置。請完成配置命令。
R1(config)# interface fastethernet0/0
R1(config-if)# ip address(12)(13)
R1(config-if)ip nat inside
…
R1(config)# interface fastethernet01
R1(config-if)# ip address(14)(15)
R1(config-if)ip nat outside
…
答案:
試題一
1、(1)225.255.255.0(2)frame-relay
2、(3)100
(4)200
(5)300
(6)trunk
(7)dot1q
3、(8)switchport mode access
(9)switch access vlan 100
(10)B
4、(11)255.255.255.255
(12)202.114.13.2 試題二
5、(1)PPTP(點對點隧道協議)
(2)PPP(點對點協議)[解析] 本題考查的是VPN及其配置問題。
[問題1]考查的是“路由和遠程訪問”提供的兩種用于創建路由器到路由器的VPN連接的隧道協議:點對點隧道協議(PPTP)和第二層隧道協議(L2TP)。PPTP是一種 VPN隧道協議,是點對點協議(PPP)的擴展,并利用PPP的身份驗證、壓縮和加密機制。L2TP是一個工業標準Internet隧道協議,它先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。與PPTP一樣,L2TP也利用PPP的身份驗證和壓縮機制。但與PPTP不同的是,L2TP不采用“Microsoft點對點加密(MPPE)”來加密PPP幀。L2TP依賴于加密服務的Internet協議安全性(IPSec)。
6、B [解析] [問題2]考查的是遠程訪問VPN服務的部署。在VPN連接頁,應選擇連接到Internet的網絡接口,因此應選擇對應的接口連接2。
7、(4)Tunnel-Type
(5)NAS-Port-Type
(6)202.115.12.34
(7)255.255.255.255 [解析] [問題3]考查的是遠程訪問策略的配置。要配置遠程訪問策略以控制VPN連接的身份驗證和加密選項,要使用以下設置創建遠程訪問策略:將NAS-Port-Type條件設置為“Virtual(VPN)”,并將Tunnel-Type條件設置為“Layer Two Tunneling Protocol”。在配置數據包篩選器時,要鍵入外部接口的p地址。在“子網掩碼”框中,鍵入255.255.255.255。
8、(8)B
(9)61.134.1.37 [解析] [問題4]考查的是VPN客戶端的配置。客戶端上應新建一個“到您的工作位置的網絡連接”,在VPN服務器選擇時,要鍵入VPN服務器計算機的IP地址或主機名。
9、不需要。因為選中“自動使用我的Windows登錄名和密碼”,此時用本機Windows登錄的用戶名和密碼進行VPN連接。[解析] [問題5]考查的是VPN身份驗證。該VPN連接時是不需要輸入用戶名和密碼的,因為選中了“自動使用我的Windows登錄名和密碼”,此時用本機Windows登錄的用戶名和密碼進行VPN連接。
10、PAP使用明文身份驗證。
CHAP通過使用MD5和質詢—響應機制提供一種加密身份驗證。
[解析] [問題6]考查的是PPP協議定義的兩種類型的認證。握手認證協議(CHAP)使用一種算法(MD-5)來計算只有認證系統和遠程設備知道的值。它總是對用戶m和密碼進行加密,所以該協議比PAP更安全。此協議對回放和試錯法訪問企圖有效。可以在連接期間執行多次CHAP認證。認證系統向正在嘗試連接到網絡的遠程設備發送一個握手信號。遠程設備通過由兩個設備使用的公共算法(MD-5)所算出的值進行響應。認證系統對照自己的計算結果檢查該響應。當這些值匹配時,認證被認可:否則,結束連接。不加密的密碼(PAP)使用雙向握手為同級系統提供鑒別其身份的簡單方法,也就是普通的口令認證,要求將密鑰信息在通信信道中明文傳輸。在建立鏈接時進行握手。在建立鏈接之后,遠程設備將一個用戶ID/密碼對發送到認證系統。根據用戶ID/密碼對的正確與否,認證系統繼續連接或結束連接。試題三
11、A12、13、/home
14、/dev
15、/proc
16、/lost+found
17、可讀、可寫
18、僅可讀
19、僅可讀
20、chmod
21、smb-server
22、printers或My Printer
23、無限制(因為hosts allow被分號注釋掉了)
24、Linux系統的test組中用戶(僅回答test用戶不給分)
25、用戶安全級
[解析] Linux系統中每個分區都是一個文件系統,Linux將這些分屬不同分區、單獨的文件系統按一定的方式形成一個系統的總目錄層次結構,即一個目錄樹。
Linux使用樹型目錄結構管理文件和目錄。樹型結構由一個根目錄(root)和根目錄下的子目錄構成,每一個目錄內可以包含下一級目錄、文件、指向其他文件系統的符號鏈接、表示設備的設備名(如/dev/had)。
Linux系統主要的目錄項包括:
Linux文件的訪問權限有4種:讀(r)、寫(w)、執行(x)和無權(-)。對于目錄來說,執行權限允許用戶進入該目錄。對每個文件可以指定三種存取控制權限:文件所有者對文件所擁有的存取權限,文件所有者所在組對文件所擁有的存取權限,其他任意用戶對文件所擁有的存取權限。根用戶(root)具有對一切目錄和文件的控制權限并可以指定對任何一個文件和目錄的存取權限,一般用戶只能對自己建立的文件和目錄制定存取權限。默認情況下,系統將創建的普通文件的權限設置為-rw-r-r--,即文件所有者對該文件可讀可寫(rw),而同組用戶和其他用戶都只可讀;同樣,在默認配置中,將每一個用戶所有者目錄的權限都設置為drwx------,即只有文件所有者對該目錄可讀、寫和可查詢,也意味著用戶不能讀其他用戶目錄中的內容。
chmod(change mode的簡寫)命令用于改變文件或目錄的訪問權限。只有文件所有者或超級用戶root才有權用chmod改變文件或目錄的訪問權限。
Samba是一個基于SMB(Server Message Block)協議的功能強大的軟件工具,可以實現基于Linux操作系統的文件/目錄及打印機共享服務。SMB是一種客戶端/服務器協議,SMB客戶端使用TCP/IP、NetBEUI或IPX/SPX與服務器連接。當工作在TCP/IP網絡上時,通過NetBIOS nameserver 使網絡中Linux系統用戶的機器可以在Windows系統的網絡鄰居上被看到。
Samba安裝完成后,通過配置/etc/samba/smb.conf文件,才能使其有效工作,該配置文件的部分重要參數說明如下。
● [global]:配置文件中關于全局參數的設置部分。
● workgroup=MYGROUP:這是設置服務器所要加入的工作組的名稱。
● netbios name =smb-server:設置出現在“網上鄰居”中的主機名。
● server string=Samba Server:設置服務器主機的說明信息。
hosts allow=192.168.1.192.168.2.127.:用于限制可以訪問samba服務器的客戶端的IP地址范圍。默認情況下,這行配置被注釋掉了(左邊是;號的是注釋行),表示允許所有IP地址的主機都可以訪問這臺samba服務器。
● security=user:設置samba服務器的安全等級。Samba服務器一共有4種安全等級,分別是share(共享安全級)、user(用戶安全級)、server(服務器安全級)和domain(域安全級)。
● [public]等:共享資源的名稱。
● comment=:針對共享資源所作的說明、注釋部分。
● browseable=:設置用戶是否可以看到此共享資源,默認值是yes。
● writable=:共享的資源是否可以寫入。
● valid users=:指定允許使用服務的用戶列表。
● write list=:設置讀寫訪問用戶列表,參數@后的名稱表示用戶組。試題四
26、(1)、(2)c、d(順序可交換)(3)、(4)b、d(順序可交換)
[解析] 本題考查考生在路由器上配置IPSec安全策略的實際操作能力。考點涉及到IPSec的基本概念和相關的配置命令。
考查IPSec的基本概念,IPSec支持認證頭(AH)協議和封裝安全有效載荷(ESP)協議,其中認證頭協議僅支持認證,不支持加密;封裝安全有效載荷協議既支持認證又支持加密。IPSec有兩種工作模式,分別是傳輸模式和隧道模式,工作在傳輸模式時,AH或ESP被插入到IP頭和有效載荷之間;工作在隧道模式時,在AH或ESP前面會生成一個新的IP頭。從圖4-2中可以看出,(a)、(c)支持的是AH協議,(b)、(d)支持的是ESP協議,(a)、(b)工作在傳輸模式,(c)、(d)工作在隧道模式。所以(1)、(2)答案為c和d;(3)、(4)答案為b和d。
27、(5)加密算法為DES
(6)hash md5
(7)認證采用預共享密鑰
(8)86400 [解析] 考查IKE策略的建立步驟和命令。配置IKE的策略配置主要包含以下方面:
● 加密算法encryption默認DES。
● 散列算法hash默認SHA。
● 密鑰交換group默認1。
● 驗證方法authentication默認rsa-si,如果使用pre-share則在路由器中配置key。
● IKE SA生命周期lefttime默認86400s(1天)。
空(5)對應命令的解釋為“加密算法為DES”;空(6)提示要求采用MD5散列算法,對應命令為“hash md5”;空(7)對應命令為采用預共享密鑰認證;空(8)要求安全關聯生存期為1天,對應命令為lifetime 86400(單位為秒:1天=24×3600秒)。
28、(9)172.30.2.2
(10)172.30.1.2 [解析] 考查預共享密鑰的設置,在路由器R1與R2之間需要分別配置對方的預共享密鑰,路由器R1與R2的對方分別是R2和R1,所以(9)、(10)分別是R2和R1的IP地址172.30.2.2和172.30.1.2。
29、(11)10.0.1.3
(12)10.0.2.3
(13)10.0.2.3 [解析] 考查ACL配置,為了實現10.0.1.3和10.0.2.3的通信,需要分別在路由器 R1和R2上作相應的AC1配置,R1的配置為允許10.0.1.3到10.0.2.3的IP包,R2的配置為允許10.0.2.3到10.0.1.3的IP包。根據擴展ACL配置命令語法:
Router(config)#access-list access-list-number {permit | deny} protocol
[source source-wildcard destination destination-wildcard] [operator port]
[established] [log]
空(11)為源主機IP地址10.0.1.3,空(12)為目標主機IP地址10.0.2.3,空(13)為源主機IP地址10.0.2.3。試題五
30、(1)0.0.0.00.0.0.0 10.10.10.1
(2)255.254.0.0
(3)10.10.20.1
(4)255.255.240.0
(5)10.10.20.1 [解析] 本題目考查的是局域網雙出口的配置及ACL設置問題。
[問題1]考查的是路由器靜態路由的設置方法。根據題目要求,該網絡內用戶訪問
IP地址158.124.0.0/15和158.153.208.0/20時,出口經ISP2,由圖5-1可知,其端口地址為10.10.20.1/24,網內用戶訪問其他IP地址時,出口經ISP1由圖5-1可知,其端口地址為10.10.10.1/24。所以,在該單位的三層交換機S1上,靜態路由配置如下:
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip route 158.124.0.0 255.254.0.0 10.10.20.1
ip route 158.153.208.0 255.255.240.0 10.10.20.1
31、(6)10.10.30.2
(7)0.1.255.255
(8)0.0.15.255
(9)match
(10)set
(11)10.10.20.1 [解析] [問題2]考查的是ACL設置及策略路由配置問題。根據題目要求可知,服務器通過ISP2線路為外部提供服務,另外單位網內用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時,出口經ISP2。
access-listl0結合策略路由,保證服務器通過ISP2線路為外部提供服務,所以access-list 10內容如下:
access-list 10 permit ip host 10.10.30.1 any
access-list 10 permit ip host 10.10.30.2 any
對應的策略路由為:
route-map test permit 10
match ip address 10
set ip next-hop 10.10.20.1
access-list 12配置網內用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時,出口經ISP2,所以配置如下:
access-list 12 permit ip any 158.124.0.0 0.1.255.255
access-list 12 permit ip any 158.153.208.0 0.0.15.255
access-list 12 deny ip any any
32、(12)10.10.10.1
(13)255.255.255.0
(14)55.23.12.98
(15)255.255.255.252 [解析] [問題3]考查的是路由器的配置問題。由圖5-1可知,路由器R1的內網IP為10.10.10.1/24,外網IP地址為55.23.12.98/30,所以其地址配置如下:
R1(config)# interface fastethernet0/0
R1(config-if)# ip address 10.10.10.1 255.255.255.0
Rl(config-if)ip nat inside
R1(config)# interface fastethernet0/1
R1(config-if)# ip address 55.23.12.98 255.255.255.252
R1(config-if)ip nat outside
第四篇:2009上半年網絡工程師下午試題和答案
試題一(15分)
閱讀以下說明,回答問題1至問題4,將解答填入答題紙對應的解答欄內。【說明】
某公司有1個總部和2個分部,各個部門都有自己的局域網。該公司申請了4個C類IP地址塊202.114.10.0/24~202.114.13.0/24。公司各部門通過幀中繼網絡進行互聯,網絡拓撲結構如圖1-1所示。
圖1-1 【問題1】(4分)
請根據圖1-1完成R0路由器的配置:
R0(config)#interface s0/0
(進入串口配置模式)
R0(config-if)# ip address 202.114.13.1(1)(設置IP地址和掩碼)
R0(config)# encapsulation(2)
(設置串口工作模式)答案:
(1)255.255.255.0(2)frame-relay 【問題2】(5分)
Switch0、Switch1、Switch2和Switch3均為二層交換機。總部擁有的IP地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R2的端口e0/0相連,請根據圖1-1路由器完成R2及Switch0的配置。
R2(config)#interface fastethernet 0/0.1
R2(config-subif)#encapsulation dot1q(3)
R2(config-subif)#ip address 202.114.12.1 255.255.255.192
R2(config-subif)#no shutdown
R2(config-subif)#exit
R2(config)#interface fastethernet 0/0.2
R2(config-subif)#encapsulation dot1q(4)
R2(config-subif)#ip address 202.114.12.65 255.255.255.192
R2(config-subif)#no shutdown
R2(config-subif)#exit
R2(config)#interface fastethernet 0/0.3
R2(config-subif)#encapsulation dot1q(5)
R2(config-subif)#ip address 202.114.12.129 255.255.255.192
R2(config-subif)#no shutdown
R2(config-subif)#exit
R2(config)#interface fastethernet 0/0
R2(config-if)#no shutdown
Switch0(config)#interface f0/24
Switch0(config-if)# switchport mode(6)
Switch0(config-if)#switchport trunk encapsulation(7)
Switch0(config-if)# switchport trunk allowed all
Switch0(config-if)#exit 答案:
(3)100(4)200(5)300
(6)trunk(7)dot1q 【問題3】(3分)
若主機A與Switch1的e0/2端口相連,請完成Switch1相應端口設置。
Switch1(config)#interface e0/2
Switch1(config-if)#(8)(設置端口為接入鏈路模式)
Switch1(config-if)#(9)(把e0/2分配給VLAN 100)
Switch1(config-if)#exit
若主機A與主機D通信,請填寫主機A與D之間的數據轉發順序。
主機A→(10)→主機D。
(10)備選答案
A.Switch1→Switch0→R2(s0/0)→Switch0→Switch2
B.Switch1→Switch0→R2(e0/0)→Switch0→Switch2
C.Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2
D.Switch1→Switch0→Switch2 答案:
(8)switchport mode access
(9)switchport access vlan 100
(10)B 【問題4】(3分)
為了部門A中用戶能夠訪問服務器Server1,請在R0上配置一條特定主機路由。
R0(config)#ip route 202.114.10.253(11)(12)答案:
(11)255.255.255.255(2分)
(12)202.114.13.2
(1分)
試題二(共15分)
閱讀以下說明,回答問題1至問題6,將解答填入答題紙對應的解答欄內。【說明】
某公司總部服務器1的操作系統為Windows Server 2003,需安裝虛擬專用網(VPN)服務,通過Internet與子公司實現安全通信,其網絡拓撲結構和相關參數如圖2-1所示。
圖2-1 【問題1】(2分)
在Windows Server 2003的“路由和遠程訪問”中提供兩種隧道協議來實現VPN服務:(1)和L2TP,L2TP協議將數據封裝在(2)協議幀中進行傳輸。答案:
(1)PPTP(2)PPP 【問題2】(1分)
在服務器1中,利用Windows Server 2003的管理工具打開“路由和遠程訪問”,在所列出的本地服務器上選擇“配置并啟用路由和遠程訪問”,然后選擇配置“遠程訪問(撥號或VPN)”服務,在圖2-2所示的界面中,“網絡接口”應選擇(3)。
(3)備選答案:
A.連接1
B.連接2 答案:
(3)B
圖2-2 【問題3】(4分)
為了加強遠程訪問管理,新建一條名為“SubInc”的訪問控制策略,允許來自子公司服務器2的VPN訪問。在圖2-3所示的配置界面中,應將“屬性類型(A)”的名稱為(4)的值設置為“Layer Two Tunneling Protocol”,名稱為(5)的值設置為“Virtual(VPN)”。
編輯SubInc策略的配置文件,添加“入站IP篩選器”,在如圖2-4所示的配置界面中,IP地址應填為(6),子網掩碼應填為(7)。
圖2-3
圖2-4 答案:
(4)Tunnel-Type(5)NAS-Port-Type
(6)202.115.12.34(7)255.255.255.255
【問題4】(4分)
子公司PC1安裝Windows XP操作系統,打開“網絡和Internet連接”。若要建立與公司總部服務器的VPN連接,在如圖2-5所示的窗口中應該選擇(8),在圖2-6所示的配置界面中填寫(9)。
(8)備選答案:
A.設置或更改您的Internet連接
B.創建一個到您的工作位置的網絡連接
C.設置或更改您的家庭或小型辦公網絡
D.為家庭或小型辦公室設置無線網絡
E.更改Windows防火墻設置 答案:
(8)B
(9)61.134.1.37
圖2-5
圖2-6 【問題5】(2分)
用戶建立的VPN連接xd2的屬性如圖2-7所示,啟動該VPN連接時是否需要輸入用戶名和密碼?為什么?
圖2-7 答案:
不需要,因為選中“自動使用我的Windows登錄名和密碼”,此時用本機Windows登錄的用戶名和密碼進行VPN連接。【問題6】(2分)
圖2-8所示的配置窗口中所列協議“不加密的密碼(PAP)”和“質詢握手身份驗證協議(CHAP)”有何區別?
圖2-8 答案:
PAP使用明文身份驗證(1分)
CHAP通過使用MD5和質詢-相應機制提供一種安全身份驗證(1分)
(采用以下方式或相近方式回答也正確)
PAP以明文的方式在網上傳輸登錄名和密碼,因此不安全;(1分)
CHAP使用挑戰消息及摘要技術處理驗證消息,不在網上直接傳輸明文密碼,因此具有較好的安全性,也具有防重發性。(1分)試題三(共15分)
閱讀以下關于Linux文件系統和Samba服務的說明,回答問題1至問題3。【說明】
Linux系統采用了樹型多級目錄來管理文件,樹型結構的最上層是根目錄,其他的所有目錄都是從根目錄生成的。
通過Samba可以實現基于Linux操作系統的服務器和基于Windows操作系統的客戶機之間的文件、目錄及共享打印服務。【問題1】(6分)
Linux在安裝時會創建一些默認的目錄,如下表所示:
依據上述表格,在空(1)~(6)中填寫恰當的內容(其中空1在候選答案中選擇)。
①對于多分區的Linux系統,文件目錄樹的數目是(1)。
②Linux系統的根目錄是(2),默認的用戶主目錄在(3)目錄下,系統的設備文件(如打印驅動)存放在(4)目錄中,(5)目錄中的內容關機后不能被保存。
③如果在工作期間突然停電,或者沒有正常關機,在重新啟動機器時,系統將要復查文件系統,系統將找到的無法確定位置的文件放到目錄(6)中。
(1)備選答案:
A.1 B.分區的數目 C.大于1 答案:
(1)A
(2)/(3)/home(4)/dev(5)/proc(6)/lost+found 【問題2】(4分)
默認情況下,系統將創建的普通文件的權限設置為-rw-r--r--,即文件所有者對文件(7),同組用戶對文件(8),其他用戶對文件(9)。文件的所有者或者超級用戶,采用(10)命令可以改變文件的訪問權限。答案:
(7)可讀可寫不可執行
(8)可讀不可寫不可執行
(9)可讀不可寫不可執行
(10)chmod 【問題3】(5分)
Linux系統中Samba的主要配置文件是/etc/samba/smb.conf。請根據以下的smb.conf配置文件,在空(11)~(15)中填寫恰當的內容。
Linux服務器啟動Samba服務后,在客戶機的“網絡鄰居”中顯示提供共享服務的Linux主機名為(11),其共享的服務有(12),能夠訪問Samba共享服務的客戶機的地址范圍(13);能夠通過Samba服務讀寫/home/samba中內容的用戶是(14);該Samba服務器的安全級別是(15)。
[global]
workgroup = MYGROUP
netbios name=smb-server
server string = Samba Server
;hosts allow = 192.168.1.192.168.2.127.load printers = yes
security = user
[printers]
comment = My Printer
browseable = yes
path = /usr/spool/samba
guest ok = yes
writable = no
printable = yes
[public]
comment = Public Test
browseable = no
path = /home/samba
public = yes
writable = yes
printable = no
write list = @test
[user1dir]
comment = User1's Service
browseable = no
path = /usr/usr1
valid users = user1
public = no
writable = yes
printable = no 答案:
(11)smb-server
(12)printers 或 My Printer
(13)無限制(因為host allow被分號注釋掉了)
(14)test用戶組或 Linux系統的test組中用戶(僅僅回答test用戶不給分)
(15)user 或用戶安全級 概要說明:
(12)的答案是“printers 或 My Printer”,而不是“文件及打印共享”。這是因為user1dir被設置為public=no,因此在“網絡鄰居”中顯示不出來。試題四(共15分)
閱讀以下說明,回答問題1至問題4,將解答填入答題紙對應的解答欄內。【說明】
某公司總部和分支機構的網絡配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略,實現分支機構和總部的安全通信。
圖4-1 【問題1】(4分)
圖4-2中(a)(b)、(c)、(d)、為不同類型IPSec數據包的示意圖,其中(1)和(2)工作在隧道模式;(3)和(4)支持報文加密。
圖4-2 參考答案:
(1)c 或 d
(2)d 或 c(不能與1相同)
(3)b 或 d
(4)d 或 b(不能與3相同)【問題2】(4分)
下面的命令在路由器R1中建立IKE策略,請補充完成命令或說明命令的含義。
R1(config)# crypto isakmp policy 110 進入ISAKMP配置模式
R1(config-isakmp)# encryption des(5)
R1(config-isakmp)#(6)采用MD5散列算法
R1(config-isakmp)# authentication pre-share(7)
R1(config-isakmp)# group 1
R1(config-isakmp)# lifetime(8)安全關聯生存期為1天 參考答案:
(5)使用DES加密算法
(6)hash md5
(7)使用預共享密鑰認證方式
(8)86400 【問題3】(4分)
R2與R1之間采用預共享密鑰“12345678”建立IPSec安全關聯,請完成下面配置命令。
R1(config)# crypt isakmp key 12345678 address(9)
R2(config)# crypt isakmp key 12345678 address(10)參考答案:
(9)172.30.2.2
(10)172.30.1.2 【問題4】(3分)
完成以下ACL配置,實現總部主機10.0.1.3和分支機構主機10.0.2.3的通信。
R1(config)# access-list 110 permit ip host(11)host(12)
R2(config)# access-list 110 permit ip host(13)host 10.0.1.3 參考答案:
(11)10.0.1.3
(12)10.0.2.3
(13)10.0.2.3
試題五(共15分)
閱讀以下說明,回答問題1至問題3,將解答填入答題紙對應的解答欄內。【說明】
某單位采用雙出口網絡,其網絡拓撲結構如圖5-1所示。
圖5-1
該單位根據實際需要,配置網絡出口實現如下功能:
1.單位網內用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時,出口經ISP2;
2.單位網內用戶訪問其他IP地址時,出口經ISP1;
3.服務器通過ISP2線路為外部提供服務。【問題1】(5分)
在該單位的三層交換機S1上,根據上述要求完成靜態路由配置。
ip route(1)(設置默認路由)
ip route 158.124.0.0(2)(3)(設置靜態路由)
ip route 158.153.208.0(4)(5)(設置靜態路由)參考答案:
(1)0.0.0.0 0.0.0.0 10.10.10.1
(2)255.254.0.0
(3)10.10.20.1
(4)255.255.240.0
(5)10.10.20.1 【問題2】(6分)
1.根據上述要求,在三層交換機S1上配置了兩組ACL,請根據題目要求完成以下配置。
access-list 10 permit ip host 10.10.30.1 any
access-list 10 permit ip host(6)any
access-list 12 permit ip any 158.124.0.0(7)
access-list 12 permit ip any 158.153.208.0(8)
access –list 12 deny ip any any
2.完成以下策略路由的配置。
route-map test permit 10
(9)ip address 10
(10)ip next-hop(11)參考答案:
(6)10.10.30.2
(7)0.1.255.255
(8)0.0.15.255
(9)match
(10)set
(11)10.10.20.1 【問題3】(4分)
以下是路由器R1的部分配置。請完成配置命令。
R1(config)#interface fastethernet0/0
R1(config-if)#ip address(12)(13)
R1(config-if)ip nat inside
??
R1(config)#interface fastethernet0/1
R1(config-if)#ip address(14)(15)
R1(config-if)ip nat outside
?? 參考答案:
(12)10.10.10.1
(13)255.255.255.0
(14)55.23.12.98
(15)255.255.255.252
第五篇:網絡工程師第02套下午試題及解析
網絡工程師第02套
第 1 題
某公司網絡管理員使用DHCP服務器對公司內部主機的IP地址進行管理。在某DHCP客戶機上執行“ipconfig/all”得到的部分信息如圖2所示,在該客戶機捕獲的部分報文及相關分析如圖3所示。請分析圖中的信息,補全圖中【1】到【5】的內容。
參考答案:
【1】0.0.0.0
[3分] 【2】192.168.0.100
[3分] 【3】255.255.255.255
[3分] 【4】offer
[3分] 【5】192.168.0.20
[3分]
試題分析:(1)(2)(3)從報文中可以看出,第一行報文為客戶機發送的DHCP discover報文。在發送此報文的時候,客戶機沒有IP地址,也不知道DHCP服務器的IP地址。所以,該報文以廣播的形式發送,源IP地址為0.0.0.0,代表網絡中本主機的地址;目的IP地址為255.255.255.255,代表廣播地址,對當前網絡進行廣播。
(4)第二行報文是DHCP服務器發送DHCP offer作為對DHCP discover報文的響應,源IP地址為DHCP服務器192.168.0.100;目的IP地址為255.255.255.255,代表廣播地址,對當前網絡進行廣播。
(5)從“DHCP:Client hardware address=11-22-33-44-55-66”可以看出,客戶端的MAC地址為11-22-33-44-55-66,該MAC地址是圖2中用戶的MAC地址,其IP地址為192.168.0.20。
第 2 題
閱讀以下說明,回答問題1至問題4,將解答填入答題紙對應的解答欄內 【說明】
某公司搭建了一個小型局域網,網絡中配置一臺Linux服務器作為公司內部文件服務器和Internet接入服務器,該網絡結構如圖2-1所示。
【問題1】(5分)
Linux的文件傳輸服務是通過vsftpd提供的,該服務使用的應用層協議是(1)協議,傳輸層協議是(2)協議,默認的傳輸層端口號為(3)vsftpd服務可以通過命令行啟動或停止,啟動該服務的命令是(4),停止該服務的命令是(5)。【問題2】(5分)
vsftpd程序主配置文件的文件名是(6)。若當前配置內容如下所示,請給出對應配置項和配置值的含義。
...listen_address=192.168.1.1
#listen_port=21
#max_per_ip=10
#max_clients=1000
anonymous_enable=YES(7)
local_enable=YES
(8)
write_enable=YES
(9)
userlist_enable=YES
(10)
...【問題3】(2分)為了使因特網上的用戶也可以訪問vsftpd提供的文件傳輸服務,可以通過簡單的修改上述主配置文件實現,修改的方法是(11)。【問題4】(3分)
由于Linux服務器的配置較低,希望限制同時使用FTP服務的并發用戶數為10,每個用戶使用FTP服務時可以建立的連接數為5,可以通過簡單的修改上述主配置文件實現,修改的方法是(12)。
參考答案:
【問題1】
[5分](1)FTP(2)TCP(3)21(4)service vsftpd start(5)service vsftpd stop 【問題2】
[5分](6)vsftpd.conf(7)允許匿名用戶訪問(8)允許本地用戶訪問(9)允許用戶上傳文件
(10)禁止用戶列表文件中的用戶訪問 【問題3】
[2分](11)注釋或刪除“listen_address=192.168.1.1”配置項 【問題4】
[3分](12)改“#max-per-ip=10”為“max_per_ip=5”,改。“#max_clients=1000”為“max_clients=10”
試題分析: 【問題1】
考查linux下ftp服務器的基本知識。對于FTP服務,它采用的應用層協議為FTP協議,該協議對應的數據包需要封裝在傳輸層TCP包頭中,開放的端口為TCP的21號端口。linux下用得較多的是vsftpd服務程序,該程序安裝后,可以通過service vsftpd start |restart 或者/etc/rc.d/init.d/vsftpd start |restart實現FTP啟動和重啟。同樣可以service vsftpd stop 或者/etc/rc.d/init.d/vsftpd stop實現關閉FTP服務。【問題2】 本題考查linux下vsftpd程序搭建ftp服務器時,其配置文件/etc/vsftpd/vsftpd.conf下的常規配置項。
常用的全局配置項
listen=YES:是否以獨立運行的方式監聽服務 listen_address=x.x.x.x:設置監聽的IP地址 listen_port=21: 設置監聽FTP服務的端口號 write_enable=YES:是否啟用寫入權限
download_enable=YES:是否允許下載文件
userlist_enable=YES:是否啟用user_list列表文件 userlist_deny=YES:是否禁用user_list中的用戶 max_clients=0:限制并發客戶端連接數
max_per_ip=0:限制同一IP地址的并發連接數 常用的匿名FTP配置項
anonymous_enable=YES:啟用匿名訪問
anon_umask=022:匿名用戶所上傳文件的權限掩碼 anon_root=/var/ftp:匿名用戶的FTP根目錄 anon_upload_enable=YES:允許上傳文件
anon_mkdir_write_enable=YES:允許創建目錄 anon_other_write_enable=YES:開放其他寫入權 anon_max_rate=0:限制最大傳輸速率,單位為字節 常用的本地用戶FTP配置項
local_enable=YES:是否啟用本地系統用戶
local_umask=022:本地用戶所上傳文件的權限掩碼 local_root=/var/ftp:設置本地用戶的FTP根目錄 chroot_local_user=YES:是否將用戶禁錮在主目錄 local_max_rate=0:限制最大傳輸速率(字節/秒)【問題3】
其配置文件中配置項“listen_address=x.x.x.x”功能是設置監聽的IP地址,若注釋改行或則刪除該項,則FTP服務器可以監聽來自任何主機的FTP請求,使因特網上的用戶也可以訪問vsftpd提供的文件傳輸服務。【問題4】
參考問題2的解析
第 3 題
閱讀以下說明,回答問題,講解答填入答題紙對應的解答欄內。【說明】
某網絡方案如圖a所示,該網絡原先使用的是國外某品牌的交換機,隨著業務的發展以及經費的限制,增添了7臺
國產品牌的交換機,其中交換機1至交換機5均是國產普通2層交換機交換機,交換機6和交換機7是三層交換機。
圖a 例題的網絡解決方案
該網絡在運行過程中出現以下故障: 故障1 使用“網絡故障一點通”測試新建密集小區用戶和三層交換機6之間的最大吞吐量,發現這些用戶的帶寬都不超過10Mbps 使用“在線型網絡萬用表”串連在三層交換機6和交換機4之間,測試數秒鐘后,發現它們之間的傳輸速率也是10Mbps。故障2 故障現象:VIP小區用戶不能上網,但能PING通路由器地址
分析:由于VIP小區用戶配置的靜態IP地址,而且處于同一網段,共用路由器上的一個地址作為網關地址。用戶能PING通路由器,說明從用戶到路由器的路徑是通的,因此需要重點檢查路由器。操作過程如下:
首先,在路由器上,觀察接口狀態,未見異常。然后,用show ip route觀察(1)表,未見異常。
最后,再使用show arp觀察(2)表,發現路由器接口的MAC地址以前保留再該表中的MAC地址不同,是VIP小區中某個用戶的MAC地址。【問題1】
造成故障1的原因是什么?如何解決?
(3分)【問題2】
將故障2中(1)和(2)兩處合適的答案添入答題紙相應的解答欄內。故障2如何解決。(4分)[問題3] 新交換機7與原有品牌交換0使用trunk連接,則正確的配置如下: switch0(config)#int fa 0/1 switch0(config-if)#switchport mode(3)
(2分)
switch0(config-if)#switchport trunk encapsulation(4)
(2分)switch0(config-if)#no shutdown [問題4] 若新交換機6與原有品牌三層交換10使用路由連接,則正確的配置如下: switch10(config)#int fa 0/1 switch10(config-if)#(5)switchport
(2分)switch10(config-if)#ip address 192.168.1.1 255.255.255.252 switch10(config-if)#no(6)
(2分)
參考答案:
【問題1】
[3分] 交換機的10M/100M自適應在不同廠家的交換機之間可能會有細微的差別,可能會造成兩個交換機之間不能協商
到100M的情況,這時候,需要重新配置雙方交換機,禁止其進行協商,強制配置到100Mbps。【問題2】
[4分](1)路由
(2)ARP(地址解析協議)
故障解決:進入到路由器接口配置模式,將該接口關閉后重新激活,路由器新的ARP表更新了到路由器的接口MAC地址,隨后用戶接入Internet恢復正常,故障排除。[問題3]
[4分](3)trunk(4)dot1q [問題4]
[4分](5)no
(6)shutdown
試題分析: 【問題1】
交換機的10M/100M自適應在不同廠家的交換機之間可能會有細微的差別,可能會造成兩個交換機之間不能協商到100M的情況,這時候,需要重新配置雙方交換機,禁止其進行協商,強制配置到100Mbps。【問題2】(1)路由
(2)ARP(地址解析協議)
故障解決:進入到路由器接口配置模式,將該接口關閉后重新激活,路由器新的ARP表更新了到路由器的接口MAC地址,隨后用戶接入Internet恢復正常,故障排除。[問題3](3)trunk(4)dot1q 本題主要考察trunk的封裝協議不同,dot1q是標準。[問題4](5)no(6)shutdown
第 4 題
(共15分)閱讀以下說明,回答問題1至問題3,將解答填入答題紙對應的解答欄內。
【說明】
某單位有1個總部和6個分部,各個部門都有自己的局域網。該單位申請了6個C 類IP 地址202.115.10.0/24~202.115.15.0/24,其中總部與分部4共用一個C類地址。現計劃將這些部門用路由器互聯,網絡拓撲結構如圖所示。
【問題1】(4 分)
該網絡采用R1~R7共7臺路由器,采用動態路由協議OSPF。由網絡拓撲圖可見,該網絡共劃分了3個OSPF區域,其主干區域為(1),主干區域中,(2)為區域邊界路由器,(3)為區域內路由器。
【問題2】(7 分)
下表是該系統中路由器的IP地址分配表。
請根據網絡拓撲圖完成以下R3路由器的配置:
R3(config)#interface e0/1
(進入接口e0/1配置模式)
R3(config-if)#ip address 202.115.13.254
(4)
(設置IP 地址和掩碼)
R3(config)# interface s0/0
(進入串口配置模式)
R3(config-if)#ip address __(5)__ 255.255.255.0
(設置IP 地址和掩碼)
R3(config)# interface s0/1
R3(config-if)#ip address __(6)__ 255.255.255.0
R3(config)# interface s0/2
R3(config-if)#ip address __(7)__ 255.255.255.0
R3(config)# interface s0/3
R3(config-if)#ip address __(8)__ 255.255.255.0
R3(config)# interface s0/4
R3(config-if)#ip address __(9)__ 255.255.255.0
R3(config)# interface s0/5
R3(config-if)#ip address __(10)__ 255.255.255.0
【問題3】(4 分)
該單位部門4共有110臺PC 機,通過交換機連接路由器R5接入網絡。其中一臺PC機IP 地址為202.115.13.5,則其子網掩碼應為(11),網關地址應為(12)。
參考答案:
【問題1】
[共4分](1)Area 0
(2分)
(2)R3(1分)
(3)R1和R2(1分)
【問題2】
[共7分](4)255.255.255.128(1分)
(5)10.0.2.2至10.0.2.254之間任意一個地址(1分)(6)10.0.1.2至10.0.1.254之間任意一個地址(1分)(7)10.0.8.2至10.0.8.254之間任意一個地址(1分)(8)10.0.7.2至10.0.7.254之間任意一個地址(1分)(9)10.0.4.2至10.0.4.254之間任意一個地址(1分)(10)10.0.5.2至10.0.5.254之間任意一個地址(1分)【問題3】
[共4分](11)255.255.255.128(2分)(12)202.115.13.1(2分)
試題分析: 【問題1】
OSPF協議采用了“區域-area”的設計,提高了網絡可擴展性,并且加快了網絡匯聚時間。也就是將網絡劃分成許多較小的區域,每個區域定義一個獨立的區域號并將此信息配置給網絡中的每個路由器。從理論上說,通常不應該采用實際地域來劃分區域,而是應該本著使不同區域間的通信量最小的原則進行合理分配。OSPF協議配置命令如下: network 網碼地址 掩碼反碼 area 區域號
該命令指定與該路由器直接相連的網絡。掩碼反碼可以用255.255.255.255減去掩碼得到。區域號可以是數字,也可以是IP地址。ID為0表示是主干域,不同網絡區域的路由器通過主干域學習路由。區域邊界路由器(ABR)是位于一個或多個OSPF區域的一個路由器,其連接這個區域到骨干網絡。ABR被認為既是OSPF骨干區域也是內部區域的一部分,所以其既有骨干拓撲也有其他區域的拓撲路由表。在Area 0區域中,可以明顯地區分出,區域邊界路由器為:R3,區域內路由器為:R1、R2。
【問題2】
本題考查的是為邊界路由器R3端口配置IP地址即子網掩碼。題中已指出,總部(使用E0端口與R3連接)與分部4(使用E0端口與R5連接)是共用同一子網,因此它們兩個使用的網段及掩碼是完全相同的。根據表1-1中指示的R5的E0端口配置信息為:202.115.13.1/25,因此,R3的E0端口掩碼配置為:255.255.255.128。
第(5)空處,要求配置R3的S0的IP地址信息。已知R3的S0的對端是R2的S1端口,兩者必須在同一網段,從表1-1中已知R2的S1端口IP為10.0.2.1/24,因此,R3的S0的IP地址配置范圍只能從10.0.2.2~10.0.2.254。第(6)~(10)空可按上述方法進行推算。
【問題3】
前面提到過,分部4通過交換機接入,再通過R5的E0端口與路由器R5連接,從表1-1中可得知R5的E0端口IP為202.115.13.1,子網掩碼為255.255.255.128,來作為該分部的網關。那么該分部PC的子網掩碼應與其網關一致,為255.255.255.128,網關地址即E0(R5)地址為202.115.13.1。
第 5 題
(共15分)
某公司內部的網絡的工作站采用100Base-TX標準與交換機相連,并經網關設備采用NAT技術共享同一公網IP地址接入互聯網,如圖所示。
【問題1】
連接交換機與工作站的傳輸介質是什么?介質需要做成直通線還是交叉線?最大長度限制為多少?(共3分)【問題2】
交換機1與交換機2之間相距20米,采用交換機堆疊方式還是交換機級聯方式?(共2分)【問題3】
在工作站A的網絡配置中,網關地址是什么?(共3分)【問題4】
從以下備選答案中選擇兩種能夠充當網關的網絡設備。(共3分)
備選答案:A.路由器
B.集線器
C.代理服務器
D.網橋 【問題5】
若工作站A訪問外部Web服務器,發往Internet的IP包經由(1)和(2)處時源IP地址分別是什么?(共4分)
參考答案:
【問題1】
[3分] 連接交換機與工作站的傳輸介質是雙絞線,應使用直通線,最大長度為100米。【問題2】
[3分] 交換機級聯方式。
【問題3】
[3分] 192.168.0.254 【問題4】
[3分] A、C 【問題5】
[3分] 在(1)處時源IP地址是202.117.112.20,到(2)處時源IP地址是192.168.0.34。
試題分析: 【問題1】
局域網有三種基本的拓撲結構:總線型、星型和環型。而星型拓撲通常是以集線器或交換機為中心組網的,采用的傳輸介質是無屏蔽雙絞線(UTP)。雙絞線分為直通線和交叉線兩種類型:
直通線:對于用來將PC機、服務器連接到交換機、集線器等網絡設備的雙絞線,我們通常稱其為直通線。直通線是連接網絡時最常用的線纜類型,它兩端的線序是完全一樣的,均為T568A線序或T568B線序。
交叉線:如果你需要對交換機、集線器之間進行堆疊,或者直接用一根雙絞線連接2臺PC機,這時就需要使用交叉線。
在制作交叉線時,兩端的RJ-45接頭必須反跳(CrossOver,也稱為交叉),也就是左端1、2對應到右端的3、6,左端的3、6對應到右端的1、2,其余不變。因此,我們可以在一端使用T568A線序,另一端使用T568B線序。
而每種線纜在傳輸信號時都可能衰減,因此都有最大長度的限制。屏蔽雙絞線、非屏蔽雙絞線的最大段長度都是100米,細同軸電纜的最大段長度是185米,粗同軸電纜的最大段長度是500米,光纖的最大段長度則可達2000~5000米。【問題2】
堆疊和級聯是擴展交換機端口的兩種常用方法。堆疊需要通過廠家提供的專用連接電纜(其長度一般不超過2米),它通常不會占用集線器上原有的普通端口,但需要交換機能夠支持堆疊。
級聯則是通過普通的端口、普通的雙絞線(最大長度是100米)完成集線器連接的。在具體連接時有兩種方式:一種是使用直通線連接集線器的UPLink端口;另一種是使用交叉線連接集線器的普通端口。【問題3】
在圖10-9中可知,整個局域網是通過網關設備連接Internet的,因此局域網中所有工作站的網關都應該設置成該網關設備的IP地址,而該網關設備的局域網地址應該是192.168.0.254。【問題4】
在本題中的網關設備將實現兩個不同邏輯子網連接,因此應該使用網絡層以上的設備。而集線器工作在物理層,網橋工作在數據鏈路層,顯然是無法實現的。而路由器和代理服務器都能夠充當此處的網關設備。【問題5】
作為實現局域網接入Internet的網關設備,在此還將完成地址轉換的工作,位置(2)處于局域網內,還沒有經過NAT轉換,因此從工作站A發送的數據包其源IP地址應該就是工作站A的IP地址192.168.0.34。而位置(1)則已經到了外網,對于外網而言局域網中的地址是不可見的,因此源IP地址就將改為網關設備的外網地址,即應該是202.117.112.20。
點擊咨詢 