第一篇：2009年上半年網絡工程師下午試卷

試題一（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

【說明】

某公司有1個總部和2個分部，各個部門都有自己的局域網。該公司申請了4個C類IP 地址塊202.114.10.0/24~202.114.13.0/24。公司各部門通過幀中繼網絡進行互聯，網絡拓撲結構如圖1-1所示。

【問題1】（4 分）

請根據圖1-1完成R0路由器的配置：

R0(config)#interface s0/0（進入串口配置模式）

R0(config-if)# ip address 202.114.13.1（1）（設置IP地址和掩碼）

R0(config)# encapsulation（2）（設置串口工作模式）

【問題 2】（5 分）Switch0、Switch1、Switch2 和 Switch3 均為二層交換機。總部擁有的 IP 地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R2的端口e0/0相連，請根據圖1-1完成路由器R2及Switch0的配置。

R2(config)#interface fastethernet 0/0.1 R2(config-subif)#encapsulation dot1q（3）

R2(config-subif)#ip address 202.114.12.1 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.2 R2(config-subif)#encapsulation dot1q（4）

R2(config-subif)#ip address 202.114.12.65 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.3 R2(config-subif)#encapsulation dot1q（5）

R2(config-subif)#ip address 202.114.12.129 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastether0/0 R2(config-if)#no shutdown Switch0(config)#interface f0/24 Switch0(config-if)# switchport mode（6）

Switch0(config-if)#switchport trunk encapsulation（7）

Switch0(config-if)# switchport trunk allowed all Switch0(config-if)#exit 【問題 3】（3分）若主機A 與Switch1的e0/2端口相連，請完成Switch1相應端口設置。

Switch1(config)#interface e0/2 Switch1(config-if)#（8）（設置端口為接入鏈路模式）

Switch1(config-if)#（9）（把e0/2分配給VLAN 100）

Switch1(config-if)#exit 若主機A 與主機D 通信，請填寫主機A 與D 之間的數據轉發順序。

主機A→（10）→主機D。

（10）備選答案

A．Switch1→Switch0→R2(s0/0)→Switch0→Switch

2B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2

C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2

D．Switch1→Switch0→Switch2

【問題 4】（3 分）

為了部門A 中用戶能夠訪問服務器Server1，請在R0上配置一條特定主機路由。

R0(config)#ip route 202.114.10.253（11）（12）

試題二（共15分）

閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應的解答欄內。

【說明 】

某公司總部服務器1的操作系統為Windows Server 2003，需安裝虛擬專用網（VPN）服務，通過Internet與子公司實現安全通信，其網絡拓撲結構和相關參數如圖2-1所示。

【問題 1】（2 分）

在Windows Server 2003的“路由和遠程訪問”中提供兩種隧道協議來實現VPN服務：（1）

和L2TP，L2TP 協議將數據封裝在（2）協議幀中進行傳輸。

【問題 2】（1 分）

在服務器1中，利用Windows Server 2003的管理工具打開“路由和遠程訪問”，在所列出的本地服務器上選擇 “配置并啟用路由和遠程訪問”，然后選擇配置 “遠程訪問（撥號或VPN）”服務，在圖2-2所示的界面中，“網絡接口”應選擇（3）。

（3）備選答案：

A.連接1 B.連接2

【問題3】（4分）

為了加強遠程訪問管理，新建一條名為“SubInc”的訪問控制策略，允許來自子公司服務器 2 的 VPN 訪問。在圖 2-3 所示的配置界面中，應將“屬性類型（A）”的名稱為（4）的值設置為“Layer Two Tunneling Protocol”，名稱為（5）的值設置為“Virtual(VPN)”。

編輯SubInc策略的配置文件，添加“入站IP 篩選器”，在如圖2-4所示的配置界面中，IP 地址應填為（6），子網掩碼應填為（7）。

【問題4】（4分）

子公司PC1安裝Windows XP 操作系統，打開“網絡和Internet連接”。若要建立與公司總部服務器的 VPN 連接，在如圖 2-5 所示的窗口中應該選擇（8），在圖 2-6所示的配置界面中填寫（9）。

（8）備選答案：

A.設置或更改您的Internet連接

B.創建一個到您的工作位置的網絡連接

C.設置或更改您的家庭或小型辦公網絡

D.為家庭或小型辦公室設置無線網絡

E.更改Windows防火墻設置

【問題5】（2 分）

用戶建立的 VPN 連接 xd2 的屬性如圖 2-7 所示，啟動該 VPN 連接時是否需要輸入用戶名和密碼？為什么？

【問題6】（2 分）

圖2-8所示的配置窗口中所列協議“不加密的密碼（PAP）”和“質詢握手身份驗證協議（CHAP）”有何區別？

試題三（共 15 分）

閱讀以下關于Linux文件系統和Samba服務的說明，回答問題1至問題3。

【說明 】

Linux系統采用了樹型多級目錄來管理文件，樹型結構的最上層是根目錄，其他的所有目錄都是從根目錄生成的。通過Samba可以實現基于Linux操作系統的服務器和基于Windows操作系統的客戶機之間的文件、目錄及共享打印服務。

【問題 1】（6分）

Linux在安裝時會創建一些默認的目錄，如下表所示：

依據上述表格，在空（1）~（6）中填寫恰當的內容（其中空1在候選答案中選擇）。

① 對于多分區的Linux系統，文件目錄樹的數目是（1）。

② Linux系統的根目錄是（2），默認的用戶主目錄在（3）目錄下，系統的設備文件（如打印驅動）存放在（4）目錄中，（5）目錄中的內容關機后不能被保存。

③ 如果在工作期間突然停電，或者沒有正常關機，在重新啟動機器時，系統將要復查文件系統，系統將找到的無法確定位置的文件放到目錄（6）中。

（1）備選答案：

A．1 B．分區的數目 C．大于1

【問題 2】（4 分）

默認情況下，系統將創建的普通文件的權限設置為-rw-r--r--，即文件所有者對文件（7），同組用戶對文件（8），其他用戶對文件（9）。文件的所有者或者超級用戶，采用（10）命令可以改變文件的訪問權限。【問題 3】（5分）

Linux系統中Samba的主要配置文件是/etc/samba/smb.conf。請根據以下的smb.conf配置文件，在空（11）~（15）中填寫恰當的內容。

Linux 服務器啟動 Samba 服務后，在客戶機的“網絡鄰居”中顯示提供共享服務的Linux 主機名為（11），其共享的服務有（12），能夠訪問Samba共享服務的客戶機的地址范圍（13）；能夠通過Samba服務讀寫/home/samba 中內容的用戶是（14）；該Samba服務器的安全級別是（15）。

[global] workgroup = MYGROUP netbios name=smb-server server string = Samba Server;hosts allow = 192.168.1.192.168.2.127.load printers = yes security = user [printers] comment = My Printer browseable = yes path = /usr/spool/samba guest ok = yes writable = no printable = yes [public] comment = Public Test browseable = no path = /home/samba public = yes writable = yes printable = no write list = @test [user1dir] comment = User1's Service browseable = no path = /usr/usr1 valid users = user1 public = no writable = yes printable = no

試題四（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

【說明】

某公司總部和分支機構的網絡配置如圖 4-1 所示。在路由器 R1 和 R2 上配置IPSec安全策略，實現分支機構和總部的安全通信。

【問題1】（4 分）

圖4-2中（a）、（b）、（c）、（d）為不同類型IPSec數據包的示意圖，其中（1）和（2）工作在隧道模式；（3）和（4）支持報文加密。

【問題 2】（4 分）

下面的命令在路由器R1中建立IKE 策略，請補充完成命令或說明命令的含義。

R1(config)# crypto isakmp policy 110 進入ISAKMP 配置模式

R1(config-isakmp)# encryption des（5）

R1(config-isakmp)#（6）采用MD5散列算法

R1(config-isakmp)# authentication pre-share（7）

R1(config-isakmp)# group 1 R1(config-isakmp)# lifetime（8）安全關聯生存期為1天

【問題3】（4分）

R2與R1 之間采用預共享密鑰“12345678”建立 IPSec安全關聯，請完成下面配置命令。

R1(config)# crypt isakmp key 12345678 address（9）

R2(config)# crypt isakmp key 12345678 address（10）

【問題 4】（3分）

完成以下ACL配置，實現總部主機10.0.1.3和分支機構主機10.0.2.3的通信。

R1(config)# access-list 110 permit ip host（11）host（12）

R2(config)# access-list 110 permit ip host（13）host 10.0.1.3 試題五（共15分）

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內。

【說明】

某單位采用雙出口網絡，其網絡拓撲結構如圖5-1所示。

該單位根據實際需要，配置網絡出口實現如下功能：

1．單位網內用戶訪問IP 地址158.124.0.0/15和158.153.208.0/20時，出口經ISP2；

2．單位網內用戶訪問其他IP 地址時，出口經ISP1；

3．服務器通過ISP2線路為外部提供服務。

【問題1】（5分）

在該單位的三層交換機S1上，根據上述要求完成靜態路由配置。ip route（1）（設置默認路由）

ip route 158.124.0.0（2）（3）（設置靜態路由）

ip route 158.153.208.0（4）（5）（設置靜態路由）

【問題 2】（6分）

1．根據上述要求，在三層交換機S1上配置了兩組ACL，請根據題目要求完成以下配置。

access-list 10 permit ip host 10.10.30.1 any access-list 10 permit ip host（6）any access-list 12 permit ip any 158.124.0.0（7）

access-list 12 permit ip any 158.153.208.0（8）

access-list 12 deny ip any any 2．完成以下策略路由的配置。

route-map test permit 10（9）ip address 10（10）ip next-hop（11）

【問題 3】（4分）

以下是路由器R1的部分配置。請完成配置命令。

R1(config)#interface fastethernet0/0 R1(config-if)#ip address（12）（13）

R1(config-if)ip nat inside ……

R1(config)#interface fastethernet0/1 R1(config-if)#ip address（14）（15）R1(config-if)ip nat outside ……

第二篇：2009 年上半年網絡工程師試卷

2009 年上半年網絡工程師上午試卷

●（1）是指按內容訪問的存儲器。（1）A.虛擬存儲器B.相聯存儲器 C.高速緩存（Cache）D.隨機訪問存儲器

● 處理機主要由處理器、存儲器和總線組成。總線包括（2）。

（2）A.數據總線、地址總線、控制總線B.并行總線、串行總線、邏輯總線 C.單工總線、雙工總線、外部總線D.邏輯總線、物理總線、內部總線

● 計算機中常采用原碼、反碼、補碼和移碼表示數據，其中，±0 編碼相同的是（3）。

（3）A.原碼和補碼B.反碼和補碼C.補碼和移碼D.原碼和移碼

● 某指令流水線由 5 段組成，第 1、3、5 段所需時間為Δt，第2、4 段所需時間分別為3Δt、2Δt，如下圖所示，那么

連續輸入n條指令時的吞吐率（單位時間內執行的指令個數）TP 為（4）。

● 某項目主要由A～I任務構成，其計劃圖（如下圖所示）展示了各任務之間的前后關系以及每個任務的工期（單位：

天），該項目的關鍵路徑是（5）。在不延誤項目總工期的情況下，任務A 最多可以推遲開始的時間是（6）天。

（5）A.A→G→I B.A→D→F→H→I C.B→E→G→I D.C→F→H→I（6）A.0 B.2 C.5 D.7 ● 軟件風險一般包含（7）兩個特性。（7）A.救火和危機管理B.已知風險和未知風險 C.不確定性和損失D.員工和預算

● 設系統中有R 類資源m 個，現有n 個進程互斥使用。若每個進程對R 資源的最大需求為 w，那么當 m、n、w 取

下表的值時，對于下表中的a~e 五種情況，（8）兩種情況可能會發生死鎖。對于這兩種情況，若將（9），則不 會發生死鎖。

（8）A.a和b B.b和c C.c和d D.c 和e（9）A.n加1 或w加1 B.m加1 或w減1 C.m減1 或w加1 D.m減1 或w減1 ● 關于軟件著作權產生的時間，表述正確的是（10）。（10）A.自作品首次公開發表時 B.自作者有創作意圖時

C.自作品得到國家著作權行政管理部門認可時 D.自作品完成創作之日

● E 載波是ITU-T 建議的傳輸標準，其中E3 信道的數據速率大約是（11）Mb/s。貝爾系統T3 信道的數據速率大約 是（12）Mb/s。

（11）A.64 B.34 C.8 D.2（12）A.1.5 B.6.3 C.44 D.274 ● RS-232-C的電氣特性采用V.28 標準電路，允許的數據速率是（13），傳輸距離不大于（14）。（13）A.1Kb/s B.20Kb/s C.100Kb/s D.1Mb/s（14）A.1m B.15m C.100m D.1Km ● 曼徹斯特編碼的特點是（15），它的編碼效率是（16）。

（15）A.在“0”比特的前沿有電平翻轉，在“1”比特的前沿沒有電平翻轉 B.在“1”比特的前沿有電平翻轉，在“0”比特的前沿沒有電平翻轉 C.在每個比特的前沿有電平翻轉 D.在每個比特的中間有電平翻轉（16）A.50％ B.60％ C.80％ D.100％

● HDLC協議是一種（17），采用（18）標志作為幀定界符。（17）A.面向比特的同步鏈路控制協議 B.面向字節計數的同步鏈路控制協議 C.面向字符的同步鏈路控制協議 D.異步鏈路控制協議

（18）A.10000001 B.01111110 C.10101010 D.10101011 ● 設信道帶寬為3400Hz，采用PCM編碼，采樣周期為125μs，每個樣本量化為128 個等級，則信道的數據速率為（19）。（19）A.10Kb/s B.16Kb/s C.56Kb/s D.64Kb/s ● 設數據碼字為10010011，采用海明碼進行校驗，則必須加入（20）比特冗余位 才能糾正一位錯。（20）A.2 B.3 C.4 D.5 ● 可以把所有使用DHCP 協議獲取IP 地址的主機劃分為不同的類別進行管理。下面的選項列出了劃分類別的原則，其中合理的是（21）。

（21）A.移動用戶劃分到租約期較長的類 B.固定用戶劃分到租約期較短的類 C.遠程訪問用戶劃分到默認路由類 D.服務器劃分到租約期最短的類

● TCP 協議在建立連接的過程中可能處于不同的狀態，用netstat 命令顯示出TCP連接的狀態為SYN_SEND，則這個 連接正處于（22）。

（22）A.監聽對方的建立連接請求B.已主動發出連接建立請求 C.等待對方的連接釋放請求D.收到對方的連接建立請求

● Tracert 命令通過多次向目標發送（23）來確定到達目標的路徑，在連續發送的 多個 IP數據包中，（24）字段都是不同的。（23）A.ICMP 地址請求報文B.ARP 請求報文 C.ICMP 回聲請求報文D.ARP 響應報文（24）A.源地址B.目標地址C.TTL D.ToS ● OSPF 協議適用于4 種網絡。下面的選項中，屬于廣播多址網絡（Broadcast Multi-Access）的是（25），屬于非

廣播多址網絡（None Broadcast Multi-Access）的是（26）。（25）A.Ethernet B.PPP C.Frame Relay D.RARP（26）A.Ethernet B.PPP C.Frame Relay D.RARP ● RIPv2 是增強的RIP 協議，下面關于RIPv2 的描述中，錯誤的是（27）。（27）A.使用廣播方式來傳播路由更新報文 B.采用了觸發更新機制來加速路由收斂 C.支持可變長子網掩碼和無類別域間路由 D.使用經過散列的口令字來限制路由信息的傳播 ● 網絡配置如下圖所示： 其中某設備路由表信息如下：

C 192.168.1.0/24 is directly connected, FastEthernet0/0 R 192.168.3.0/24 [120/1] via 192.168.65.2, 00:00:04, Serial2/0 R 192.168.5.0/24 [120/2] via 192.168.65.2, 00:00:04, Serial2/0 C 192.168.65.0/24 is directly connected, Serial2/0 C 192.168.67.0/24 is directly connected, Serial3/0 R 192.168.69.0/24 [120/1] via 192.168.65.2, 00:00:04, Serial2/0 則該設備為（28），從該設備到PC1經歷的路徑為（29）。路由器R2 接口S2 可能的IP 地址為（30）。

（28）A.路由器R0 B.路由器R1 C.路由器R2 D.計算機PC1（29）A.R0→R2→PC1 B.R0→R1→R2→PC1 C.R1→R0→PC1 D.R2→PC1（30）A.192.168.69.2 B.192.168.65.2 C.192.168.67.2 D.192.168.5.2 ● 下列關于Windows 2003 中域的描述正確的是（31）。（31）A.在網絡環境中所有的計算機稱為一個域 B.同一個域中可以有多個備份域控制器 C.每個域中必須有主域控制器和備份域控制器 D.一個域中可以有多個主域控制器

● 在Windows 命令窗口中輸入（32）命令，可見到下圖所示的結果。

=========================== Interface List 0x1...........................MS TCP Loopback interface 0x2...00 16 36 33 9 b be......Realtek RTL8139 Family PCI Fast Ethernet NIC-數據包計劃程序微型端口

=========================== =========================== Active Routes: Network Destination Netmask Gateway Interface Metric 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 255.255.255.255 255.255.255.255 255.255.255.255 2 1 =========================== Persistent Routes: None（32）A.ipconfig /all B.route print C.tracert-d D.nslookup ● Linux操作系統中，建立動態路由需要用到文件（33）。（33）A./etc/hosts B./etc/hostname C./etc/resolv.conf D./etc/gateways ● Linux操作系統中，網絡管理員可以通過修改（34）文件對Web 服務器的端口進行配置。（34）A./etc/inetd.conf B./etc/lilo.conf C./etc/httpd/conf/ httpd.conf D./etc/httpd/conf/access.conf ● Linux有三個查看文件的命令，若希望能夠用光標上下移動來查看文件內容，應使用（35）命令。

（35）A.cat B.more C.less D.menu ● Windows Server 2003 操作系統中，IIS 6.0 不提供下列（36）服務。（36）A.Web B.SMTP C.POP3 D.FTP ● Windows Server 2003 操作系統中，（37）提供了遠程桌面訪問。（37）A.FTP B.EMail C.Terminal Service D.Http ● 若在 Windows“運行”窗口中鍵入（38）命令，可以查看和修改注冊表。（38）A.CMD B.MMC C.AUTOEXE D.Regedit ● 以下關于網絡安全設計原則的說法，錯誤的是（39）。

（39）A.充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測，是設計網絡安全系統的必要前提 條件

B.強調安全防護、監測和應急恢復。要求在網絡發生被攻擊的情況下，必須盡可能快地恢復網絡信息中心的服務，減 少損失

C.考慮安全問題解決方案時無需考慮性能價格的平衡，強調安全與保密系統的設計應與網絡設計相結合

D.網絡安全應以不能影響系統的正常運行和合法用戶的操作活動為前提

● 在Windows Server 2003 的DNS服務器中通過（40）操作，實現多臺Web 服務_____器構成集群并共享同一域名。

（40）A.啟用循環（Round Robin），添加每個Web 服務器的主機記錄 B.禁止循環（Round Robin），啟動轉發器指向每個Web 服務器 C.啟用循環（Round Robin），啟動轉發器指向每個Web 服務器 D.禁止循環（Round Robin），添加每個Web 服務器的主機記錄

● 廉價磁盤冗余陣列RAID 利用冗余技術實現高可靠性，其中RAID1 的磁盤利用率為（41）。如果利用4 個盤組

成RAID3 陣列，則磁盤利用率為（42）。（41）A.25％ B.50％ C.75％ D.100％（42）A.25％ B.50％ C.75％ D.100％

● Alice向Bob 發送數字簽名的消息M，則不正確的說法是（43）。（43）A.Alice可以保證Bob 收到消息M B.Alice不能否認發送過消息M C.Bob 不能編造或改變消息M D.Bob 可以驗證消息M確實來源于Alice ● 安全散列算法SHA-1 產生的摘要的位數是（44）。（44）A.64 B.128 C.160 D.256 ● 在X.509 標準中，不包含在數字證書中的數據域是（45）。（45）A.序列號B.簽名算法 C.認證機構的簽名D.私鑰

● 兩個公司希望通過Internet傳輸大量敏感數據，從信息源到目的地之間的傳輸數 據以密文形式出現，而且不希望由于在傳輸結點使用特殊的安全單元而增加開支，最合 適的加密方式是（46），使用會話密鑰算法效率最高的是（47）。（46）A.鏈路加密B.結點加密C.端-端加密D.混合加密（47）A.RSA B.RC-5 C.MD5 D.ECC ● 包過濾防火墻對通過防火墻的數據包進行檢查，只有滿足條件的數據包才能通 過，對數據包的檢查內容一般不包括（48）。（48）A.源地址B.目的地址C.協議D.有效載荷 ● 下面關于ARP 木馬的描述中，錯誤的是（49）。（49）A.ARP 木馬利用ARP 協議漏洞實施破壞 B.ARP 木馬發作時可導致網絡不穩定甚至癱瘓 C.ARP 木馬破壞網絡的物理連接

D.ARP 木馬把虛假的網關MAC 地址發送給受害主機 ● 下面幾個網絡管理工具的描述中，錯誤的是（50）。

（50）A.netstat 可用于顯示IP、TCP、UDP、ICMP 等協議的統計數據 B.sniffer 能夠使網絡接口處于雜收模式，從而可截獲網絡上傳輸的分組 C.winipcfg采用MS-DOS 工作方式顯示網絡適配器和主機的有關信息 D.tracert 可以發現數據包到達目標主機所經過的路由器和到達時間 ● 一個網絡的地址為172.16.7.128/26，則該網絡的廣播地址是（51）。（51）A.172.16.7.255 B.172.16.7.129 C.172.16.7.191 D.172.16.7.252 ● 使_____用CIDR 技術把 4個C 類網絡192.24.12.0/

24、192.24.13.0/

24、192.24.14.0/24 和192.24.15.0/24 匯聚成一個超網，得到的地址是（52）。（52）A.192.24.8.0/22 B.192.24.12.0/22 C.192.24.8.0/21 D.192.24.12.0/21 ● 某公司網絡的地址是133.10.128.0/17，被劃分成16 個子網，下面的選項中不屬 于這16 個子網的地址是（53）。（53）A.133.10.136.0/21 B.133.10.162.0/21 C.133.10.208.0/21 D.133.10.224.0/21 ● 以下地址中不屬于網絡100.10.96.0/20 的主機地址是（54）。（54）A.100.10.111.17 B.100.10.104.16 C.100.10.101.15 D.100.10.112.18 ● 自動專用IP 地址（Automatic Private IP Address，APIPA）是IANA（Internet Assigned Numbers Authority）保

留的一個地址塊，它的地址范圍是（55）。當（56）時，使用APIPA。（55）A.A 類地址塊10.254.0.0～10.254.255.255 B.A 類地址塊100.254.0.0～100.254.255.255 C.B 類地址塊168.254.0.0～168.254.255.255 D.B 類地址塊169.254.0.0～169.254.255.255（56）A.通信對方要求使用APIPA 地址 B.由于網絡故障而找不到DHCP 服務器 C.客戶機配置中開啟了APIPA 功能 D.DHCP 服務器分配的租約到期

● VLAN 中繼協議（VTP）用于在大型交換網絡中簡化VLAN 的管理。按照VTP協議，交換機的運行模式分為３種：

服務器、客戶機和透明模式。下面關于VTP 協議的描述中，錯誤的是（57）。（57）A.交換機在服務器模式下能創建、添加、刪除和修改VLAN 配置 B.一個管理域中只能有一個服務器

C.在透明模式下可以進行VLAN 配置，但不能向其它交換機傳播配置信息 D.交換機在客戶機模式下不允許創建、修改或刪除VLAN ● 新交換機出廠時的默認配置是（58）。（58）A.預配置為VLAN 1，VTP 模式為服務器 B.預配置為VLAN 1，VTP 模式為客戶機 C.預配置為VLAN 0，VTP 模式為服務器 D.預配置為VLAN 0，VTP 模式為客戶機

● 在生成樹協議（STP）IEEE 802.1d中，根據（59）來選擇根交換機。（59）A.最小的MAC 地址B.最大的MAC 地址 C.最小的交換機ID D.最大的交換機ID ● 在快速以太網物理層標準中，使用兩對5類無屏蔽雙絞線的是（60）。（60）A.100BASE-TX B.100BASE-FX C.100BASE-T4 D.100BASE-T2 ● 在 Windows 系統中，所謂“持久路由”就是（61）。要添加一條到達目標10.40.0.0/16 的持久路由，下一躍點

地址為10.27.0.1，則在DOS 窗口中鍵入命令（62）。

（61）A.保存在注冊表中的路由B.在默認情況下系統自動添加的路由 C.一條默認的靜態路由D.不能被刪除的路由

（62）A.route-s add 10.40.0.0 mask 255.255.0.0 10.27.0.1 B.route-p add 10.27.0.1 10.40.0.0 mask 255.255.0.0 C.route-p add 10.40.0.0 mask 255.255.0.0 10.27.0.1 D.route-s add 10.27.0.1 10.40.0.0 mask 255.255.0.0 ● 訪問控制列表（ACL）分為標準和擴展兩種。下面關于ACL的描述中，錯誤的是（63）。（63）A.標準ACL可以根據分組中的IP 源地址進行過濾 B.擴展ACL可以根據分組中的IP 目標地址進行過濾 C.標準ACL可以根據分組中的IP 目標地址進行過濾 D.擴展ACL可以根據不同的上層協議信息進行過濾

● 如果要測試目標10.0.99.221 的連通性并進行反向名字解析，則在DOS 窗口中鍵入命令（64）。（64）A.ping-a 10.0.99.221 B.ping-n 10.0.99.221 C.ping-r 10.0.99.221 D.ping-j 10.0.99.221 ● 在IEEE 802.11 標準中使用了擴頻通信技術，下面選項中有關擴頻通信技術說法正確的是（65）。

（65）A.擴頻技術是一種帶寬很寬的紅外線通信技術 B.擴頻技術就是用偽隨機序列對代表數據的模擬信號進行調制 C.擴頻通信系統的帶寬隨著數據速率的提高而不斷擴大 D.擴頻技術就是擴大了頻率許可證的使用范圍

● 下面關于WLAN 安全標準IEEE 802.11i的描述中，錯誤的是（66）。（66）A.采用了高級加密標準AES B.定義了新的密鑰交換協議TKIP C.采用802.1x實現訪問控制

D.提供的加密方式為有線等價協議WEP ● 安全審計是保障計算機系統安全的重要手段，其作用不包括（67）。（67）A.重現入侵者的操作過程 B.發現計算機系統的濫用情況

C.根據系統運行的日志，發現潛在的安全漏洞 D.保證可信計算機系統內部信息不外泄

● 網絡隔離技術的目標是確保把有害的攻擊隔離，在保證可信網絡內部信息不外泄的前提下，完成網絡間數據的安全

交換。下列隔離技術中，安全性最好的是（68）。（68）A.多重安全網關B.防火墻 C.VLAN 隔離D.物理隔離

● 下列有關網絡設備選型原則中，不正確的是（69）。

（69）A.所有網絡設備盡可能選取同一廠家的產品，這樣在設備可互連性、協議互操作性、技術支持、價格等方面都 更有優勢

B.在網絡的層次結構中，主干設備選擇可以不考慮擴展性需求

C.盡可能保留并延長用戶對原有網絡設備的投資，減少在資金投入上的浪費 D.選擇性能價格比高、質量過硬的產品，使資金的投入產出達到最大值 ● 在層次化網絡設計中,（70）不是分布層/接入層交換機的選型策略。

（70）A.提供多種固定端口數量搭配供組網選擇，可堆疊、易擴展，以便由于信息點的增加而進行擴容

B.在滿足技術性能要求的基礎上，最好價格便宜、使用方便、即插即用、配置簡單 C.具備一定的網絡服務質量和控制能力以及端到端的QoS D.具備高速的數據轉發能力

● The Border Gateway Protocol(BGP)is an interautonomous system（71）protocol.The primary function of a BGP speaking system is to exchange network（72）information with other BGP system.This network reachability information includes information on the list of Autonomous System(ASs)that reachability information traverses.BGP-4 provides a new set of mechanisms for supporting（73）interdomain routing.These mechanisms include support for advertising an IP（74）and eliminate the concept of network class within BGP.BGP-4 also introduces mechanisms that allow aggregation of routes, including（75）of AS paths.These changes provide support for the proposed supernettting scheme.（71）A.connecting B.resolving C.routing D.supernettting（72）A.secubility B.reachability C.capability D.reliability（73）A.answerless B.connectionless C.confirmless D.classless（74）A.prefix B.suffix C.infix D.reflex（75）A.reservation B.relation C.aggregation D.connection 2009 年上半年網絡工程師下午試卷

試題一（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。【說明】

某公司有1 個總部和2 個分部，各個部門都有自己的局域網。該公司申請了4 個C 類IP 地址塊 202.114.10.0/24~202.114.13.0/24。公司各部門通過幀中繼網絡進行互聯，網絡拓撲結構如圖1-1 所示。

【問題1】（4 分）

請根據圖1-1 完成R0路由器的配置：

R0(config)#interface s0/0（進入串口配置模式）

R0(config-if)# ip address 202.114.13.1（1）（設置IP地址和掩碼）R0(config)# encapsulation（2）（設置串口工作模式）【問題 2】（5 分）

Switch0、Switch1、Switch2 和Switch3 均為二層交換機。總部擁有的IP 地址塊為202.114.12.0/24。Switch0 的端

口e0/24 與路由器R2的端口e0/0 相連，請根據圖1-1 完成路由器R2 及Switch0 的配置。R2(config)#interface fastethernet 0/0.1 R2(config-subif)#encapsulation dot1q（3）

R2(config-subif)#ip address 202.114.12.1 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.2 R2(config-subif)#encapsulation dot1q（4）

R2(config-subif)#ip address 202.114.12.65 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.3 R2(config-subif)#encapsulation dot1q（5）

R2(config-subif)#ip address 202.114.12.129 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastether0/0 R2(config-if)#no shutdown Switch0(config)#interface f0/24 Switch0(config-if)# switchport mode（6）

Switch0(config-if)#switchport trunk encapsulation（7）Switch0(config-if)# switchport trunk allowed all Switch0(config-if)#exit 【問題 3】（3分）

若主機A 與Switch1 的e0/2 端口相連，請完成Switch1 相應端口設置。Switch1(config)#interface e0/2 Switch1(config-if)#（8）（設置端口為接入鏈路模式）Switch1(config-if)#（9）（把e0/2 分配給VLAN 100）Switch1(config-if)#exit 若主機A 與主機D 通信，請填寫主機A 與D 之間的數據轉發順序。主機 A→（10）→主機D。（10）備選答案

A．Switch1→Switch0→R2(s0/0)→Switch0→Switch2 B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2 C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2 D．Switch1→Switch0→Switch2 【問題 4】（3 分）

為了部門A 中用戶能夠訪問服務器Server1，請在R0 上配置一條特定主機路由。R0(config)#ip route 202.114.10.253（11）（12）試題二（共15分）

閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應的解答欄內。【說明】

某公司總部服務器1的操作系統為Windows Server 2003，需安裝虛擬專用網（VPN）服務，通過Internet 與子_____公司實

現安全通信，其網絡拓撲結構和相關參數如圖2-1 所示。【問題 1】（2 分）

在Windows Server 2003 的“路由和遠程訪問”中提供兩種隧道協議來實現VPN 服務：（1）和 L2TP，L2TP 協議將數

據封裝在（2）協議幀中進行傳輸。【問題 2】（1 分）

在服務器1中，利用Windows Server 2003 的管理工具打開“路由和遠程訪問”，在所列出的本地服務器上選擇“配置并

啟用路由和遠程訪問”，然后選擇配置“遠程訪問（撥號或VPN）”服務，在圖2-2所示的界面中，“網絡接口”應選擇（3）。

（3）備選答案： A.連接1 B.連接2 【問題3】（4分）

為了加強遠程訪問管理，新建一條名為“SubInc”的訪問控制策略，允許來自子公司服務器2 的VPN 訪問。在圖2-3 所示的配置界面中，應將“屬性類型（A）”的名稱

為（4）的值設置為“Layer Two Tunneling Protocol”，名稱為（5）的值設置為 “Virtual(VPN)”。

編輯 SubInc 策略的配置文件，添加“入站IP 篩選器”，在如圖2-4 所示的配置界面 中，IP 地址應填為（6），子網掩碼應填為（7）。【問題4】（4 分）

子公司PC1 安裝Windows XP 操作系統，打開“網絡和Internet 連接”。若要建立與公司總部服務器的VPN 連接，在如圖2-5 所示的窗口中應該選擇（8），在圖2-6所示的配置界面中填寫（9）。（8）備選答案：

A.設置或更改您的Internet 連接 B.創建一個到您的工作位置的網絡連接 C.設置或更改您的家庭或小型辦公網絡 D.為家庭或小型辦公室設置無線網絡 E.更改Windows防火墻設置 【問題5】（2 分）

用戶建立的VPN 連接xd2 的屬性如圖2-7 所示，啟動該VPN 連接時是否需要輸入用戶名和密碼？為什么？ 【問題6】（2 分）圖2-8 所示的配置窗口中所列協議“不加密的密碼（PAP）”和“質詢握手身份驗證 協議（CHAP）”有何區別？ 試題三（共 15 分）

閱讀以下關于Linux文件系統和Samba 服務的說明，回答問題1至問題3。【說明】

Linux系統采用了樹型多級目錄來管理文件，樹型結構的最上層是根目錄，其他的所有目錄都是從根目錄生成的。

通過 Samba 可以實現基于Linux 操作系統的服務器和基于Windows 操作系統的客戶機之間的文件、目錄及共享打 印服務。

【問題 1】（6 分）

Linux在安裝時會創建一些默認的目錄，如下表所示：

依據上述表格，在空（1）~（6）中填寫恰當的內容（其中空1在候選答案中選擇）。① 對于多分區的Linux系統，文件目錄樹的數目是（1）。

② Linux系統的根目錄是（2），默認的用戶主目錄在（3）目錄下，系統的設備文件（如打印驅動）存放在（4）

目錄中，（5）目錄中的內容關機后不能被保存。

③ 如果在工作期間突然停電，或者沒有正常關機，在重新啟動機器時，系統將要復查文件系統，系統將找到的無法確

定位置的文件放到目錄（6）中。（1）備選答案：

A．1 B．分區的數目 C．大于1 【問題 2】（4 分）

默認情況下，系統將創建的普通文件的權限設置為-rw-r--r--，即文件所有者對文件（7），同組用戶對文件（8），其他用戶對文件（9）。文件的所有者或者超級用戶，采用（10）命令可以改變文件的訪問權限。

【問題 3】（5分）

Linux 系統中Samba 的主要配置文件是/etc/samba/smb.conf。請根據以下的smb.conf 配置文件，在空（11）~（15）中 填寫恰當的內容。

Linux 服務器啟動Samba 服務后，在客戶機的“網絡鄰居”中顯示提供共享服務的Linux 主機名為（11），其共享的服

務有（12），能夠訪問Samba 共享服務的客戶機的地址范圍（13）；能夠通過Samba 服務讀寫/home/samba 中內

容的用戶是（14）；該Samba服務器的安全級別是（15）。[global] workgroup = MYGROUP netbios name=smb-server server string = Samba Server;hosts allow = 192.168.1.192.168.2.127.load printers = yes security = user [printers] comment = My Printer browseable = yes path = /usr/spool/samba guest ok = yes writable = no printable = yes [public] comment = Public Test browseable = no path = /home/samba public = yes writable = yes printable = no write list =@test [user1dir] comment = User1's Service browseable = no path = /usr/usr1 valid users = user1 public = no writable = yes printable = no 試題四（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。【說明】

某公司總部和分支機構的網絡配置如圖4-1 所示。在路由器R1 和R2 上配置IPSec 安全策略，實現分支機構和總部的安全通信。【問題1】（4 分）

圖 4-2 中（a）、（b）、（c）、（d）為不同類型IPSec 數據包的示意圖，其中（1）和（2）作在隧道模式；（3）和（4）支持報文加密。【問題 2】（4 分）

下面的命令在路由器R1中建立IKE 策略，請補充完成命令或說明命令的含義。R1(config)# crypto isakmp policy 110 進入 ISAKMP 配置模式 R1(config-isakmp)# encryption des（5）R1(config-isakmp)#（6）采用MD5散列算法 R1(config-isakmp)# authentication pre-share（7）R1(config-isakmp)# group 1 R1(config-isakmp)# lifetime（8）安全關聯生存期為1天 【問題3】（4分）

R2 與R1 之間采用預共享密鑰“12345678”建立IPSec安全關聯，請完成下面配置命令。R1(config)# crypt isakmp key 12345678 address（9）R2(config)# crypt isakmp key 12345678 address（10）【問題 4】（3分）

工 完成以下ACL配置，實現總部主機10.0.1.3 和分支機構主機10.0.2.3 的通信。R1(config)# access-list 110 permit ip host（11）host（12）R2(config)# access-list 110 permit ip host（13）host 10.0.1.3 試題五（共15分）

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內。【說明】

某單位采用雙出口網絡，其網絡拓撲結構如圖5-1 所示。該單位根據實際需要，配置網絡出口實現如下功能：

1．單位網內用戶訪問IP 地址158.124.0.0/15和158.153.208.0/20 時，出口經ISP2； 2．單位網內用戶訪問其他IP 地址時，出口經ISP1； 3．服務器通過ISP2 線路為外部提供服務。【問題1】（5分）

在該單位的三層交換機S1 上，根據上述要求完成靜態路由配置。ip route（1）（設置默認路由）

ip route 158.124.0.0（2）（3）（設置靜態路由）ip route 158.153.208.0（4）（5）（設置靜態路由）【問題 2】（6分）

1．根據上述要求，在三層交換機S1 上配置了兩組ACL，請根據題目要求完成以下 配置。

access-list 10 permit ip host 10.10.30.1 any access-list 10 permit ip host（6）any access-list 12 permit ip any 158.124.0.0（7）access-list 12 permit ip any 158.153.208.0（8）access –list 12 deny ip any any 2．完成以下策略路由的配置。route-map test permit 10（9）ip address 10（10）ip next-hop（11）【問題 3】（4分）

以下是路由器R1的部分配置。請完成配置命令。R1(config)#interface fastethernet0/0 R1(config-if)#ip address（12）（13）R1(config-if)ip nat inside ……

R1(config)#interface fastethernet0/1 R1(config-if)#ip address（14）（15）R1(config-if)ip nat outside ……__

第三篇：2009上半年網絡工程師下午試題和答案

試題一（15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。【說明】

某公司有1個總部和2個分部，各個部門都有自己的局域網。該公司申請了4個C類IP地址塊202.114.10.0/24~202.114.13.0/24。公司各部門通過幀中繼網絡進行互聯，網絡拓撲結構如圖1-1所示。

圖1-1 【問題1】（4分）

請根據圖1-1完成R0路由器的配置：

R0(config)#interface s0/0

（進入串口配置模式）

R0(config-if)# ip address 202.114.13.1（1）（設置IP地址和掩碼）

R0(config)# encapsulation（2）

（設置串口工作模式）答案：

（1）255.255.255.0（2）frame-relay 【問題2】（5分）

Switch0、Switch1、Switch2和Switch3均為二層交換機。總部擁有的IP地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R2的端口e0/0相連，請根據圖1-1路由器完成R2及Switch0的配置。

R2(config)#interface fastethernet 0/0.1

R2(config-subif)#encapsulation dot1q（3）

R2(config-subif)#ip address 202.114.12.1 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0.2

R2(config-subif)#encapsulation dot1q（4）

R2(config-subif)#ip address 202.114.12.65 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0.3

R2(config-subif)#encapsulation dot1q（5）

R2(config-subif)#ip address 202.114.12.129 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0

R2(config-if)#no shutdown

Switch0(config)#interface f0/24

Switch0(config-if)# switchport mode（6）

Switch0(config-if)#switchport trunk encapsulation（7）

Switch0(config-if)# switchport trunk allowed all

Switch0(config-if)#exit 答案：

（3）100（4）200（5）300

（6）trunk（7）dot1q 【問題3】（3分）

若主機A與Switch1的e0/2端口相連，請完成Switch1相應端口設置。

Switch1(config)#interface e0/2

Switch1(config-if)#（8）（設置端口為接入鏈路模式）

Switch1(config-if)#（9）（把e0/2分配給VLAN 100）

Switch1(config-if)#exit

若主機A與主機D通信，請填寫主機A與D之間的數據轉發順序。

主機A→（10）→主機D。

（10）備選答案

A．Switch1→Switch0→R2(s0/0)→Switch0→Switch2

B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2

C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2

D．Switch1→Switch0→Switch2 答案：

（8）switchport mode access

（9）switchport access vlan 100

（10）B 【問題4】（3分）

為了部門A中用戶能夠訪問服務器Server1，請在R0上配置一條特定主機路由。

R0(config)#ip route 202.114.10.253（11）（12）答案：

（11）255.255.255.255（2分）

（12）202.114.13.2

（1分）

試題二（共15分）

閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應的解答欄內。【說明】

某公司總部服務器1的操作系統為Windows Server 2003，需安裝虛擬專用網（VPN）服務，通過Internet與子公司實現安全通信，其網絡拓撲結構和相關參數如圖2-1所示。

圖2-1 【問題1】（2分）

在Windows Server 2003的“路由和遠程訪問”中提供兩種隧道協議來實現VPN服務：（1）和L2TP，L2TP協議將數據封裝在（2）協議幀中進行傳輸。答案：

（1）PPTP（2）PPP 【問題2】（1分）

在服務器1中，利用Windows Server 2003的管理工具打開“路由和遠程訪問”，在所列出的本地服務器上選擇“配置并啟用路由和遠程訪問”，然后選擇配置“遠程訪問（撥號或VPN）”服務，在圖2-2所示的界面中，“網絡接口”應選擇（3）。

（3）備選答案：

A．連接1

B．連接2 答案：

（3）B

圖2-2 【問題3】（4分）

為了加強遠程訪問管理，新建一條名為“SubInc”的訪問控制策略，允許來自子公司服務器2的VPN訪問。在圖2-3所示的配置界面中，應將“屬性類型（A）”的名稱為（4）的值設置為“Layer Two Tunneling Protocol”，名稱為（5）的值設置為“Virtual(VPN)”。

編輯SubInc策略的配置文件，添加“入站IP篩選器”，在如圖2-4所示的配置界面中，IP地址應填為（6），子網掩碼應填為（7）。

圖2-3

圖2-4 答案：

（4）Tunnel-Type（5）NAS-Port-Type

（6）202.115.12.34（7）255.255.255.255

【問題4】（4分）

子公司PC1安裝Windows XP操作系統，打開“網絡和Internet連接”。若要建立與公司總部服務器的VPN連接，在如圖2-5所示的窗口中應該選擇（8），在圖2-6所示的配置界面中填寫（9）。

（8）備選答案：

A．設置或更改您的Internet連接

B．創建一個到您的工作位置的網絡連接

C．設置或更改您的家庭或小型辦公網絡

D．為家庭或小型辦公室設置無線網絡

E．更改Windows防火墻設置 答案：

（8）B

（9）61.134.1.37

圖2-5

圖2-6 【問題5】（2分）

用戶建立的VPN連接xd2的屬性如圖2-7所示，啟動該VPN連接時是否需要輸入用戶名和密碼？為什么？

圖2-7 答案：

不需要，因為選中“自動使用我的Windows登錄名和密碼”，此時用本機Windows登錄的用戶名和密碼進行VPN連接。【問題6】（2分）

圖2-8所示的配置窗口中所列協議“不加密的密碼（PAP）”和“質詢握手身份驗證協議（CHAP）”有何區別？

圖2-8 答案：

PAP使用明文身份驗證（1分）

CHAP通過使用MD5和質詢-相應機制提供一種安全身份驗證（1分）

（采用以下方式或相近方式回答也正確）

PAP以明文的方式在網上傳輸登錄名和密碼，因此不安全；（1分）

CHAP使用挑戰消息及摘要技術處理驗證消息，不在網上直接傳輸明文密碼，因此具有較好的安全性，也具有防重發性。（1分）試題三（共15分）

閱讀以下關于Linux文件系統和Samba服務的說明，回答問題1至問題3。【說明】

Linux系統采用了樹型多級目錄來管理文件，樹型結構的最上層是根目錄，其他的所有目錄都是從根目錄生成的。

通過Samba可以實現基于Linux操作系統的服務器和基于Windows操作系統的客戶機之間的文件、目錄及共享打印服務。【問題1】（6分）

Linux在安裝時會創建一些默認的目錄，如下表所示：

依據上述表格，在空（1）~（6）中填寫恰當的內容（其中空1在候選答案中選擇）。

①對于多分區的Linux系統，文件目錄樹的數目是（1）。

②Linux系統的根目錄是（2），默認的用戶主目錄在（3）目錄下，系統的設備文件（如打印驅動）存放在（4）目錄中，（5）目錄中的內容關機后不能被保存。

③如果在工作期間突然停電，或者沒有正常關機，在重新啟動機器時，系統將要復查文件系統，系統將找到的無法確定位置的文件放到目錄（6）中。

（1）備選答案：

A．1 B．分區的數目 C．大于1 答案：

（1）A

（2）/（3）/home（4）/dev（5）/proc（6）/lost+found 【問題2】（4分）

默認情況下，系統將創建的普通文件的權限設置為-rw-r--r--，即文件所有者對文件（7），同組用戶對文件（8），其他用戶對文件（9）。文件的所有者或者超級用戶，采用（10）命令可以改變文件的訪問權限。答案：

（7）可讀可寫不可執行

（8）可讀不可寫不可執行

（9）可讀不可寫不可執行

（10）chmod 【問題3】（5分）

Linux系統中Samba的主要配置文件是/etc/samba/smb.conf。請根據以下的smb.conf配置文件，在空（11）~（15）中填寫恰當的內容。

Linux服務器啟動Samba服務后，在客戶機的“網絡鄰居”中顯示提供共享服務的Linux主機名為（11），其共享的服務有（12），能夠訪問Samba共享服務的客戶機的地址范圍（13）；能夠通過Samba服務讀寫/home/samba中內容的用戶是（14）；該Samba服務器的安全級別是（15）。

[global]

workgroup = MYGROUP

netbios name=smb-server

server string = Samba Server

;hosts allow = 192.168.1.192.168.2.127.load printers = yes

security = user

[printers]

comment = My Printer

browseable = yes

path = /usr/spool/samba

guest ok = yes

writable = no

printable = yes

[public]

comment = Public Test

browseable = no

path = /home/samba

public = yes

writable = yes

printable = no

write list = @test

[user1dir]

comment = User1's Service

browseable = no

path = /usr/usr1

valid users = user1

public = no

writable = yes

printable = no 答案：

（11）smb-server

（12）printers 或 My Printer

（13）無限制（因為host allow被分號注釋掉了）

（14）test用戶組或 Linux系統的test組中用戶（僅僅回答test用戶不給分）

（15）user 或用戶安全級 概要說明：

（12）的答案是“printers 或 My Printer”，而不是“文件及打印共享”。這是因為user1dir被設置為public=no，因此在“網絡鄰居”中顯示不出來。試題四（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。【說明】

某公司總部和分支機構的網絡配置如圖4-1所示。在路由器R1和R2上配置IPSec安全策略，實現分支機構和總部的安全通信。

圖4-1 【問題1】（4分）

圖4-2中（a）（b）、（c）、（d）、為不同類型IPSec數據包的示意圖，其中（1）和（2）工作在隧道模式；（3）和（4）支持報文加密。

圖4-2 參考答案：

（1）c 或 d

（2）d 或 c(不能與1相同)

（3）b 或 d

（4）d 或 b(不能與3相同)【問題2】（4分）

下面的命令在路由器R1中建立IKE策略，請補充完成命令或說明命令的含義。

R1(config)# crypto isakmp policy 110 進入ISAKMP配置模式

R1(config-isakmp)# encryption des（5）

R1(config-isakmp)#（6）采用MD5散列算法

R1(config-isakmp)# authentication pre-share（7）

R1(config-isakmp)# group 1

R1(config-isakmp)# lifetime（8）安全關聯生存期為1天 參考答案：

（5）使用DES加密算法

（6）hash md5

（7）使用預共享密鑰認證方式

（8）86400 【問題3】（4分）

R2與R1之間采用預共享密鑰“12345678”建立IPSec安全關聯，請完成下面配置命令。

R1(config)# crypt isakmp key 12345678 address（9）

R2(config)# crypt isakmp key 12345678 address（10）參考答案：

（9）172.30.2.2

（10）172.30.1.2 【問題4】（3分）

完成以下ACL配置，實現總部主機10.0.1.3和分支機構主機10.0.2.3的通信。

R1(config)# access-list 110 permit ip host（11）host（12）

R2(config)# access-list 110 permit ip host（13）host 10.0.1.3 參考答案：

（11）10.0.1.3

（12）10.0.2.3

（13）10.0.2.3

試題五（共15分）

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內。【說明】

某單位采用雙出口網絡，其網絡拓撲結構如圖5-1所示。

圖5-1

該單位根據實際需要，配置網絡出口實現如下功能：

1．單位網內用戶訪問IP地址158.124.0.0/15和158.153.208.0/20時，出口經ISP2；

2．單位網內用戶訪問其他IP地址時，出口經ISP1；

3．服務器通過ISP2線路為外部提供服務。【問題1】（5分）

在該單位的三層交換機S1上，根據上述要求完成靜態路由配置。

ip route（1）（設置默認路由）

ip route 158.124.0.0（2）（3）（設置靜態路由）

ip route 158.153.208.0（4）（5）（設置靜態路由）參考答案：

（1）0.0.0.0 0.0.0.0 10.10.10.1

（2）255.254.0.0

（3）10.10.20.1

（4）255.255.240.0

（5）10.10.20.1 【問題2】（6分）

1．根據上述要求，在三層交換機S1上配置了兩組ACL，請根據題目要求完成以下配置。

access-list 10 permit ip host 10.10.30.1 any

access-list 10 permit ip host（6）any

access-list 12 permit ip any 158.124.0.0（7）

access-list 12 permit ip any 158.153.208.0（8）

access –list 12 deny ip any any

2．完成以下策略路由的配置。

route-map test permit 10

（9）ip address 10

（10）ip next-hop（11）參考答案：

（6）10.10.30.2

（7）0.1.255.255

（8）0.0.15.255

（9）match

（10）set

（11）10.10.20.1 【問題3】（4分）

以下是路由器R1的部分配置。請完成配置命令。

R1(config)#interface fastethernet0/0

R1(config-if)#ip address（12）（13）

R1(config-if)ip nat inside

??

R1(config)#interface fastethernet0/1

R1(config-if)#ip address（14）（15）

R1(config-if)ip nat outside

?? 參考答案：

（12）10.10.10.1

（13）255.255.255.0

（14）55.23.12.98

（15）255.255.255.252

第四篇：中級網絡工程師2015上半年下午試題

2015年5月軟考網絡工程師真題下午題

附參考答案 試題一(共20分)閱讀以下說明，回答問題1至問題5，講解答填入答題紙對應的解答欄內。【說明】 某企業網絡拓撲圖如圖1-1所示。工程師給出了該網絡的需求：

1.用防火墻實現內外網地址轉換和訪問控制策略；

2.核心交換機承擔數據轉發，并且與匯聚層兩臺交換機實現OSPF功能； 3.接入層到匯聚層采用雙鏈路方式組網； 4.接入層交換機對地址進行VLAN劃分； 5.對企業的核心資源加強安全防護 【問題1】(4分)該企業計劃在①、②或③的位置部署基于網絡的入侵檢測系統（NIDS），將NIDS部署 在①的優勢是_(1)_；將NIDS部署在②的優勢是(2)_、_(3)_；將NIDS部署在③的優 勢是_(4)___。

（1）~（4）備選答案：

A．檢測外部網絡攻擊的數量和類型 B．監視針對DMZ中系統的攻擊

C．監視針對關鍵系統、服務和資源的攻擊 D．能減輕拒絕服務攻擊的影響 【解析】：

①位置，是邊界接入防火墻的一個區域，根據拓撲中所示，連接Internet側為outside 區域，連接核心交換機側為inside區域，①位置則為DMZ區域。可用于連接對外提供服務的服務器，如WWW服務器等。在①位置部署NIDS用于監視針對DMZ中系統的攻擊。

②位置是直接在接入防火墻外面，即廣域網邊界，NIPS部署在這里的主要作用是：檢測 外部網絡攻擊的數量和類型。

③位置是在企業網核心資源相關服務器的防火墻與核心交換機之間，NIPS部署在這里的主要作用是對內網服務器群的加強安全保護。本題中CD選項不好嚴格區分在不同部署區域的優勢。從字面意思來說，部署在③位置可對內網的核心資源進行保護。但是部署在②位置可以對企業網全部內網的關鍵系統、服務和資源進行保護。爭議較大。【參考答案】：（1）B（2）A（3）C（4）D 【問題2】（4分）

OSPF主要用于大型、異構的IP網絡中，是對_(5)_路由的一種實現。若網絡規模較小，可以考慮配置靜態路由或_(6)___協議實現路由選擇。（5）備選答案：A.鏈路狀態 B.距離矢量 C.路徑矢量（6）備選答案：A.EGP B.RIP C.BGP 【參考答案】：(5)A(6)B 【問題3】（4分）

對匯聚層兩臺交換機的F0/3，F0/4端口進行端口聚合，F0/3，F0/4端口默認模式是_(7)_，進行端口聚合時應配置為_(8)_模式。(7)，(8)備選答案： A.multi B.trunk C.access 【參考答案】：(7)C(8)B 【問題4】（6分）

為了在匯聚層交換機上實現虛擬路由冗余功能，需配置_(9)_，可以采用競爭的方式選 擇主路由設備，比較設備優先級大小，優先級大的為主路由設備。若備份路由設備長時間沒 有收到主路由設備發送的組播報文，則將自己的狀態轉為_(10)_。為了避免二層廣播風暴，需要在接入與匯聚設備上配置_(11)_。（10），（11）備選答案： A.master B.backup C.VTP server D.MSTP 【解析】：

虛擬路由冗余功能有三種協議可以配置實現： 1）熱備份路由器協議 HSRP 2）虛擬路由器冗余協議 VRRP 3）網關負載均衡協議 GLBP 其中HSRP和GLBP是Cisco的私有協議，VRRP是標準協議，無廠商限制。根據【問題5】給出的配置命令，可判斷采用的協議是HSRP，（9）題填寫HSRP更合 適。但是：HSRP的主備狀態分別是active和standby，VRRP的主備狀態分別是master和 backup，根據（11）的選項，則判斷協議應該是VRRP。此題有爭議 【參考答案】：（9）HSRP/VRRP（10）A(11)D 【問題5】（2分）

閱讀匯聚交換機Switch1的部分配置命令，回答下面的問題。Switch1(config)#interface vlan 20 Switch1(config-if)#ip address 192.168.20.253 255.255.255.0 Switch1(config-if)#standby 2 ip 192.168.20.250 Switch1(config-if)#standby 2 preempt Switch1(config-if)#exit VLAN20的standby 默認優先級的值是_(12)_。VLAN20設置preempt的含義是_(13)_。【參考答案】：（12）100（13）開啟搶占模式 試題二（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。【說明】

某公司內部搭建了一個小型的局域網，拓撲圖如圖2-1所示。公司內部擁有主機約120 臺，用C類地址段192.168.100.0/24，采用一臺Linux服務器作為接入服務器，服務器內部局域網接口地址為192.168.100.254，ISP提供的地址為202.202.212.62。

【問題 1】（2分）

在 Linux 中，DHCP的配置文件是（1）。【參考答案】：dhcpd.conf 【問題 2】（8分）

內部郵件服務器 IP 地址為 192.168.100.253，MAC地址為01:AA:71:8C:9A:BB,內部文件服務器 IP 地址為 192.168.100.252，MAC 地址為 01:15:71:8C:77:BC，公司內部網絡分為 4個網段。為方面管理，公司使用 DHCP 服務器為客戶機動態配置 IP 地址，下面是Linux 服務器為192.168.100.192/26子網配置DHCP的代碼，將其補充完整。Subnet(2)netmask(3){ option router 192.168.100.254； option subnet-mask(4)；

option broadcast-address（5）； option time-offset-18000； range（6）（7）； default-lease-time 21600； max-lease-time43200； host servers { hardware ethernet(8)；

fixed-address 192.168.100.253；

hardware ethernet 01:15:71:8C:77:BC； fixed-address(9)； 【參考答案】：

（2）192.168.100.192（3）255.255.255.192（4）255.255.255.192（5）192.168.100.255（6）192.168.100.193（7）192.168.100.251（8）01:AA:71:8C:9A:BB（9）192.168.100.252 【問題 3】（2分）

配置代碼中“option time-offset-18000”的含義是（10），“default-lease-time 21600”表明，租約期為（11）小時。（10）備選答案：

A.將本地時間調整為格林威治時間 B.將格林威治時間調整為本地時間 C.設置最長租約期 【參考答案】：（10）A（11）6 【問題 4】（3 分）

在一臺客戶機上使用ipconfig命令輸出如圖 2-2所示，正確說法是（12）

此時可使用（13）命令釋放當前IP地址，然后使用（14）命令向 DHCP 服務器重 新申請IP地址。（12）備選答案： A.本地網卡驅動未成功安裝

B.未收到DHCP服務器分配的地址

C.DHCP服務器分配給本機的IP地址為169.254.146.48 D.DHCP服務器的IP地址為169.254.146.48 【參考答案】：

（12）B（13）ipconfig/release(14)ipconfig/renew 試題三（共 20 分）

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內。【說明】 某企業在采用 Windows Server 2003 配置了共享打印、FTP和DHCP服務。

【問題 1】（8 分）

1.Internet 共享打印使用的協議（1）。（1 分）（1）備選答案： A.PPI B.IPP C.TCP D.IP 2.Internet共享打印配置完成后，需在如圖 3-1 所示的Web 服務擴展選項卡中的“Active ServerPages”設置為“允許”，其目的是（2）。（2 分）

3.檢驗Internet打印服務是否安裝正確的方法是在Web瀏覽器的地址欄輸入URL是（3）。（2 分）（3）備選答案：

A.HTTP://127.0.0.1/PRINTERS B.FTP://127.0.0.1/PRINTERS C.HTTP://PRINTERS D.FTP://PRINTERS 4.使用 Internet共享打印流程為6個步驟： ①在終端上輸入打印設備的 URL ②服務器向用戶顯示打印機狀態信息 ③客戶端向打印服務器發送身份驗證信息 ④用戶把要打印的文件發送到打印服務器

⑤打印服務器生成一個 cabinet 文件，下載到客戶端 ⑥通過 Internet 把 HTTP 請求發送到打印服務器 對以上步驟進行正確的排序（4）。（3 分）【解析】：

使用 Internet 打印時，可以通過 Web 瀏覽器來打印或管理文檔。在基于 Windows Server 2003 的計算機上，當您安裝 Microsoft Internet 信息服務(IIS)，然后通過“IIS 安全 鎖定向導”啟用 Internet 打印時，Internet 打印會自動啟用。打印是通過 Internet 打印協議(IPP)實現的，此協議封裝在超文本傳送協議(HTTP)中。通過 Internet 打印，可以從瀏覽器來管理打印服務器上的任何共享打印機。通過在瀏 覽器“地址”框中鍵入打印服務器的地址，可以通過 Intranet 或 Internet 打印到打印機。例如，鍵入 http://myprintserver/printers/。當您在打印機網頁上單擊“連接”時，服務器會生成一個包含相應打印機驅動程序文件的.cab 文件，并將其下載到客戶端計算機。安裝的打印機顯示在客戶端的 Printers 文件夾中。Internet 打印過程包括以下步驟：

1.有人通過鍵入打印設備的 URL 在Internet上連接打印服務器。2.HTTP請求會通過Internet發送至打印服務器。

3.打印服務器會要求客戶端提供身份驗證信息。這樣可確保只有授權用戶才能在打印 服務器上打印文檔。

4.在服務器對用戶進行身份驗證后，會使用其中包含有關當前可用的打印機信息的 Active Server Pages(ASP)向用戶顯示狀態信息。

5.當用戶連接 Internet 打印網頁中的任何打印機時，客戶端（例如，運行 Windows Vista 或 Windows Server 2008）首先會嘗試在本地查找打印機的驅動程序。如果找不到合適的驅動程序，打印服務器會生成包含相應的打印機驅動程序文件的 Cabinet 文件（.cab 文件，也稱為安裝文件）。打印服務器會將.cab文件下載至客戶端計算機。系統將提示客戶端計算機上的用戶需要輸入權限才能下載.cab文件。

客戶端計算機根據打印共享所在的安全區域下載打印機驅動程序，并使用Internet 打印協議(IPP)或遠程過程調用(RPC)連接打印機。安全區域是通過控制面板中的 Internet選項在客戶端計算機上配置的。對于級別為“中高”或“中等”的安全區域，使 用 IPP；對于級別為“中低”的安全區域，使用 RPC。

6.用戶連接到 Internet打印機后，就可以向打印服務器發送文檔。【參考答案】：（1）B（2）支持 ASP 頁面功能（3）A（4）①⑥③②⑤④ 【問題 2】（8 分）FTP的配置如圖 3-2,、圖 3-3 所示。

1.默認情況下，用戶登錄FTP服務器時，服務器端建立的 TCP 端口號為（5）。2.如果只允許一臺主機訪問FTP服務器，參考圖 3-2 給出具體的操作步驟（6）。3.參考圖 3-3，在一臺服務器上搭建多個FTP站點的方法是（7）。4.如點擊圖 3-3 中“當前會話”按鈕，顯示的信息是（8）。【參考答案】：（5）21（6）選中：默認情況下，所有計算機將被“拒絕訪問”，然后選擇“一臺計算機”

（7）選擇不同的 IP 地址或者使用不同的端口號（8）當前連接到 FTP 服務器的會話信息【 問題 3】（4 分）

DHCP 的配置如圖 3-4 和 3-5 所示。

1.圖 3-4 中填入的IP地址是（9）。

2.圖 3-5 中配置 DHCP中繼代理程序，可以實現（10）。（9）備選答案：

A.分配給客戶端的 IP 地址 B.默認網關的IP地址 C.DHCP 服務器的IP地址（10）備選答案： A.是普通客戶機獲取IP等信息 B.跨網段的地址分配 C.特定用戶組訪問特定網絡 【參考答案】：（9）B(10)B 試題四（共 20 分）

閱讀以下說明，回答問題 1 至問題 4，將解答填入答題紙對應的解答欄內。（說明）某企業的網絡拓撲結構如圖 4-1 所示。

由于該企業路由設備數量較少，為提高路由效率，要求為該企業構建基于靜態路由的多層安全交換網絡。根據要求創建 4 個 VLAN 分別屬于網管中心，生產部，銷售部以及研發中心，各部門的 VLAN 號及 IP 地址規劃如圖 4-1 所示。該企業網采用三層交換機 Switch-core為核心交換機，Switch-core 與網管中心交換機 Switch1 和研發中心交換機 Switch4 采用三層連接，Switch-core 與生產部交換機 Switch2 及銷售部的交換機 Switch3 采用二層互聯。各交換機之間的連接以及接口 IP 地址如表 4-1 所示。

（問題 1）（4 分）

隨著企業網絡的不斷發展，研發中心的上網計算機數急劇增加，在高峰時段研發中心和核心交換機之間的網絡流量非常大，在不對網絡進行大的升級改造前提下，網管人員采用了以太信道或端口聚合技術來增加帶寬，同時也起到了（1）和（2）的作用，保證了研發中心網絡的穩定性和安全性。

在兩臺交換機之間是否形成以太信道，可以用協議自動協商。目前有兩種協商協議：一 種是__(3)__，是 Cisco 私有的協議，另一種是 __(4)___，是基于 IEEE802.3ad 標準的協議。（3）、（4）備選答案：

A、端口聚合協議（PAgP）B、多生成樹協議（MSTP）C、鏈路聚合控制協議（LACP）【解析】：

以太信道或端口聚合技術是將多條物理鏈路捆綁成一條邏輯鏈路的方式，各物理鏈路通過負載均衡的方式，可以成倍的提高帶寬。同時若部分物理鏈路失效，以太通道會動態適應，轉發任務由其他鏈路分擔（但是總帶寬會降低）。

由于以太通道技術將多條物理鏈路聚合成一條邏輯鏈路，從二層的角度來看，STP 將認為僅僅是一條鏈路，不存在環路。

以太信道的協商方式分為靜態和動態協商兩種。目前動態有兩種協商協議：一種是端口聚合協議（PAgP），是 Cisco 私有的協議，另一種是鏈路聚合控制協議（LACP），是基于IEEE802.3ad 標準的協議。【參考答案】：：（1）鏈路冗余（2）消除環路負載均衡其中：（1）和（2）位置可互換，另外，如果出現【負載 均衡、】、【鏈路備份】等答案，我認為也可以。（3）A（4）C（問題 2）

核心交換機 Switch-core 與網管中心交換機 Switch1 通過靜態路由進行連接。根據需求，完成或解釋 Switch-core 與 Switch1 的部分配置命令。（1）配置核心交換 Switch-core Switch-core#config terminal Switch-core(config)#interface gigabitEthernet 0/2 Switch-core(config-if)#description wgsw-g0/1 //____(5)____ Switch-core(config-if)#no switchport //____(6)_____ Switch-core(config-if)#ip address___(7)_____ Switch-core(config-if)#no shutdown Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.101.2 Switch-core(config)#exit ??

(2)配置網管中心交換機 Switch1 Switch1#config terminal Switch1(config)#no ip domain lookup //___(8)____ Switch1(config)#interface gigabitEthernet 0/1 Switch1(config-if)#description core-g0/2 Switch1(config-if)#no switchport Switch1(config-if)#ip address____(9)______ Switch1(config-if)#exit Switch1(config)#vlan 10 Switch1(config-vlan)#name wg10 Switch1(config-vlan)#exit Switch1(config)#interface vlan 10 Switch1(config-if)#ip address____(10)______ Switch1(config-if)#exit Switch1(config)#interface range f0/2-20 Switch1(config-if-range)#switchport mode access //設置端口模式為 access 模式 Switch1(config-if-range)#switchport access ___(11)____//設置端口所屬的 VLAN Switch1(config-if-range)#no shutdown Switch1(config-if-range)#exit Switch1(config)#ip route 192.168.20.0 255.255.255.0 192.168.101.1 Switch1(config)#ip route 192.168.30.0 255.255.255.0 192.168.101.1 ??

【參考答案】：

（5）設置端口描述 wgsw-g0/1（6）開啟三層接口（7）192.168.101.1 255.255.255.0（8）關閉 DNS 查詢/ 關閉域名查詢（9）192.168.101.2 255.255.255.0（10）192.168.10.1 255.255.255.0（11）vlan 10(問題 3)（7 分）

為確保研發中心的網絡的穩定性，在現有條件下盡量保證帶寬，要求實現核心交換機 Switch-core 與研發中心交換機 Switch4 的三層端口聚合，然后通過靜態路由進行連接。根據需求，完成或解釋一下配置命令。

（1）繼續配置核心交換機 Switch-core Switch-core#confg terminal Switch-core(config)#interface port-channel 10 //____(12)____ Switch-core(config-if)#no switchport Switch-core(config-if)#ip address ___(13)_____ Switch-core(config-if)#no shutdown Switch-core(config-if)#exit Switch-core(config)#interface range fastEthernet0/1-4 //選擇配置的物理接口 Switch-core(config-if-range)#no switchport Switch-core(config-if-range)#no ip address //確保該物理接口沒有指定的 IP 地址 Switch-core(config-if-range)#switchport Switch-core(config-if-range)#channel-group 10 mode on //_____(14)_____ Switch-core(config-if-range)#no shutdown Switch-core(config-if-range)#exit Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.102.2 ??(2)配置研發中心交換機 Switch4 Switch4#config terminal Switch4(config)#interface port-channel 10 Switch4(config-if)#no switchport Switch4(config-if)#ip address____(15)____ Switch4(config-if)#no shutdown Switch4(config-if)#exit Switch4(config)#interface range fastEthernet0/1-4 Switch4(config-if-range)#no switchport Switch4(config-if-range)#no ip address ??

Switch4(config-if-range)#no shutdown Switch4(config-if-range)#exit Switch4(config)#____(16)_____ //配置默認路由 Switch4(config)#vlan 40 Switch4(config-vlan)#name yf10 Switch4(config-vlan)#exit Switch4(config)# _____(17)____ //開啟該交換機的三層路由功能 Switch4(config)#interface vlan 40 Switch4(config-if)#ip address 192.168.40.1 255.255.255.0 Switch4(config-if)#exit Switch4(config)#interface range fastEthernet0/5-20 Switch4(config-if-range)#switchport mode access ?

Switch4(config-if-range)#____(18)_____ //退回到特權模式 Switch4# ?（問題 4）（2 分）

為了保障局域網用戶的網絡安全，防范欺騙攻擊，以生產部交換機 Switch2 為例，配 置 DHCP 偵聽。根據需求完成或解釋 Switch2 的部分配置命令。Switch2#config terminal Switch2(config)#ipdhcp snooping //____(19)____ Switch2(config)#ipdhcp snooping vlan 20 Switch2(config)#interface gigabitEthernet1/1 Switch2(config-if)#ipdhcp snooping trust //____(20)____ Switch2(config-if)#exit ? 【參考答案】：

（12）創建聚合端口10（13）192.168.102.1 255.255.255.0（14）設置端口為聚合模式為 on（15）192.168.102.2 255.255.255.0（16）ip route 0.0.0.0 0.0.0.0 192.168.102.1（17）ip routing（18）end（19）開啟dhcp snooping功能或開啟dhcp偵聽功能（20）設置為dhcp snooping信任端口

第五篇：2009年5月23日網絡工程師下午試卷的參考答案

2009年上半年網絡工程師下午試卷

試題一（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

【說明】

某公司有1個總部和2個分部，各個部門都有自己的局域網。該公司申請了4個C類IP 地址塊202.114.10.0/24~202.114.13.0/24。公司各部門通過幀中繼網絡進行互聯，網絡拓撲結構如圖1-1所示。

【問題1】（4 分）

請根據圖1-1完成R0路由器的配置：

R0(config)#interface s0/0（進入串口配置模式）

R0(config-if)# ip address 202.114.13.1（1）（設置IP地址和掩碼）R0(config)# encapsulation（2）（設置串口工作模式）

【問題 2】（5 分）

Switch0、Switch1、Switch2 和 Switch3 均為二層交換機。總部擁有的 IP 地址塊為202.114.12.0/24。Switch0的端口e0/24與路由器R2的端口e0/0相連，請根據圖1-1完成路由器R2及Switch0的配置。

R2(config)#interface fastethernet 0/0.1

R2(config-subif)#encapsulation dot1q（3）

R2(config-subif)#ip address 202.114.12.1 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0.2

R2(config-subif)#encapsulation dot1q（4）

R2(config-subif)#ip address 202.114.12.65 255.255.255.192

R2(config-subif)#no shutdown

R2(config-subif)#exit

R2(config)#interface fastethernet 0/0.3 R2(config-subif)#encapsulation dot1q（5）

R2(config-subif)#ip address 202.114.12.129 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastether0/0 R2(config-if)#no shutdown Switch0(config)#interface f0/24 Switch0(config-if)# switchport mode（6）

Switch0(config-if)#switchport trunk encapsulation（7）Switch0(config-if)# switchport trunk allowed all Switch0(config-if)#exit 【問題 3】（3分）

若主機A 與Switch1的e0/2端口相連，請完成Switch1相應端口設置。Switch1(config)#interface e0/2 Switch1(config-if)#（8）（設置端口為接入鏈路模式）Switch1(config-if)#（9）（把e0/2分配給VLAN 100）Switch1(config-if)#exit 若主機A 與主機D 通信，請填寫主機A 與D 之間的數據轉發順序。主機A→（10）→主機D。（10）備選答案

A．Switch1→Switch0→R2(s0/0)→Switch0→Switch2 B．Switch1→Switch0→R2(e0/0)→Switch0→Switch2 C．Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2 D．Switch1→Switch0→Switch2

【問題 4】（3 分）

為了部門A 中用戶能夠訪問服務器Server1，請在R0上配置一條特定主機路由。

R0(config)#ip route 202.114.10.253（11）（12）

試題二（共15分）

閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應的解答欄內。

【說明 】

某公司總部服務器1的操作系統為Windows Server 2003，需安裝虛擬專用網（VPN）服務，通過Internet與子公司實現安全通信，其網絡拓撲結構和相關參數如圖2-1所示。

【問題 1】（2 分）

在Windows Server 2003的“路由和遠程訪問”中提供兩種隧道協議來實現VPN服務：（1）和L2TP，L2TP 協議將數據封裝在（2）協議幀中進行傳輸。

【問題 2】（1 分）

在服務器1中，利用Windows Server 2003的管理工具打開“路由和遠程訪問”，在所列出的本地服務器上選擇 “配置并啟用路由和遠程訪問”，然后選擇配置 “遠程訪問（撥號或VPN）”服務，在圖2-2所示的界面中，“網絡接口”應選擇（3）。

（3）備選答案：

A.連接1 B.連接2

【問題3】（4分）

為了加強遠程訪問管理，新建一條名為“SubInc”的訪問控制策略，允許來自子公司服務器 2 的 VPN 訪問。在圖 2-3 所示的配置界面中，應將“屬性類型（A）”的名稱為（4）的值設置為“Layer Two Tunneling Protocol”，名稱為（5）的值設置為“Virtual(VPN)”。

編輯SubInc策略的配置文件，添加“入站IP 篩選器”，在如圖2-4所示的配置界面中，IP 地址應填為（6），子網掩碼應填為（7）。

【問題4】（4分）

子公司PC1安裝Windows XP 操作系統，打開“網絡和Internet連接”。若要建立與公司總部服務器的 VPN 連接，在如圖 2-5 所示的窗口中應該選擇（8），在圖 2-6所示的配置界面中填寫（9）。

（8）備選答案：

A.設置或更改您的Internet連接

B.創建一個到您的工作位置的網絡連接

C.設置或更改您的家庭或小型辦公網絡

D.為家庭或小型辦公室設置無線網絡

E.更改Windows防火墻設置

【問題5】（2 分）

用戶建立的 VPN 連接 xd2 的屬性如圖 2-7 所示，啟動該 VPN 連接時是否需要輸入用戶名和密碼？為什么？

【問題6】（2 分）

圖2-8所示的配置窗口中所列協議“不加密的密碼（PAP）”和“質詢握手身份驗證協議（CHAP）”有何區別？

試題三（共 15 分）

閱讀以下關于Linux文件系統和Samba服務的說明，回答問題1至問題3。

【說明 】

Linux系統采用了樹型多級目錄來管理文件，樹型結構的最上層是根目錄，其他的所有目錄都是從根目錄生成的。通過Samba可以實現基于Linux操作系統的服務器和基于Windows操作系統的客戶機之間的文件、目錄及共享打印服務。

【問題 1】（6分）

Linux在安裝時會創建一些默認的目錄，如下表所示：

依據上述表格，在空（1）~（6）中填寫恰當的內容（其中空1在候選答案中選擇）。

① 對于多分區的Linux系統，文件目錄樹的數目是（1）。

② Linux系統的根目錄是（2），默認的用戶主目錄在（3）目錄下，系統的設備文件（如打印驅動）存放在（4）目錄中，（5）目錄中的內容關機后不能被保存。

③ 如果在工作期間突然停電，或者沒有正常關機，在重新啟動機器時，系統將要復查文件系統，系統將找到的無法確定位置的文件放到目錄（6）中。

（1）備選答案：

A．1 B．分區的數目 C．大于1

【問題 2】（4 分）

默認情況下，系統將創建的普通文件的權限設置為-rw-r--r--，即文件所有者對文件（7），同組用戶對文件（8），其他用戶對文件（9）。文件的所有者或者超級用戶，采用（10）命令可以改變文件的訪問權限。

【問題 3】（5分）

Linux系統中Samba的主要配置文件是/etc/samba/smb.conf。請根據以下的smb.conf配置文件，在空（11）~（15）中填寫恰當的內容。

Linux 服務器啟動 Samba 服務后，在客戶機的“網絡鄰居”中顯示提供共享服務的Linux 主機名為（11），其共享的服務有（12），能夠訪問Samba共享服務的客戶機的地址范圍（13）；能夠通過Samba服務讀寫/home/samba 中內容的用戶是（14）；該Samba服務器的安全級別是（15）。

[global]

workgroup = MYGROUP

netbios name=smb-server

server string = Samba Server

;hosts allow = 192.168.1.192.168.2.127.load printers = yes

security = user

[printers] comment = My Printer browseable = yes path = /usr/spool/samba guest ok = yes writable = no printable = yes [public] comment = Public Test browseable = no path = /home/samba public = yes writable = yes printable = no write list = @test [user1dir] comment = User1's Service browseable = no path = /usr/usr1 valid users = user1 public = no writable = yes printable = no

試題四（共15分）

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

【說明】

某公司總部和分支機構的網絡配置如圖 4-1 所示。在路由器 R1 和 R2 上配置IPSec安全策略，實現分支機構和總部的安全通信。

【問題1】（4 分）

圖4-2中（a）、（b）、（c）、（d）為不同類型IPSec數據包的示意圖，其中（1）和（2）工作在隧道模式；（3）和（4）支持報文加密。

【問題 2】（4 分）

下面的命令在路由器R1中建立IKE 策略，請補充完成命令或說明命令的含義。

R1(config)# crypto isakmp policy 110 進入ISAKMP 配置模式 R1(config-isakmp)# encryption des（5）R1(config-isakmp)#（6）采用MD5散列算法 R1(config-isakmp)# authentication pre-share（7）R1(config-isakmp)# group 1 R1(config-isakmp)# lifetime（8）安全關聯生存期為1天

【問題3】（4分）

R2與R1 之間采用預共享密鑰“12345678”建立 IPSec安全關聯，請完成下面配置命令。R1(config)# crypt isakmp key 12345678 address（9）R2(config)# crypt isakmp key 12345678 address（10）

【問題 4】（3分）

完成以下ACL配置，實現總部主機10.0.1.3和分支機構主機10.0.2.3的通信。

R1(config)# access-list 110 permit ip host（11）host（12）

R2(config)# access-list 110 permit ip host（13）host 10.0.1.3

試題五（共15分）

閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內。

【說明】

某單位采用雙出口網絡，其網絡拓撲結構如圖5-1所示。

該單位根據實際需要，配置網絡出口實現如下功能：

1．單位網內用戶訪問IP 地址158.124.0.0/15和158.153.208.0/20時，出口經ISP2； 2．單位網內用戶訪問其他IP 地址時，出口經ISP1； 3．服務器通過ISP2線路為外部提供服務。【問題1】（5分）

在該單位的三層交換機S1上，根據上述要求完成靜態路由配置。ip route（1）（設置默認路由）

ip route 158.124.0.0（2）（3）（設置靜態路由）ip route 158.153.208.0（4）（5）（設置靜態路由）【問題 2】（6分）

1．根據上述要求，在三層交換機S1上配置了兩組ACL，請根據題目要求完成以下配置。access-list 10 permit ip host 10.10.30.1 any access-list 10 permit ip host（6）any access-list 12 permit ip any 158.124.0.0（7）access-list 12 permit ip any 158.153.208.0（8）access-list 12 deny ip any any 2．完成以下策略路由的配置。route-map test permit 10（9）ip address 10（10）ip next-hop（11）【問題 3】（4分）

以下是路由器R1的部分配置。請完成配置命令。R1(config)#interface fastethernet0/0 R1(config-if)#ip address（12）（13）R1(config-if)ip nat inside ……

R1(config)#interface fastethernet0/1 R1(config-if)#ip address（14）（15）R1(config-if)ip nat outside

以下給出了2009年5月23日網絡工程師下午試卷的參考答案，以供參考。說明一點，先進國家類似考試已沒有標準答案的說法，抽象地給標準答案是困難的。對于本文所提供的參考答案，讀者可帶批評性的眼光對其進行繼承和發展。

【試題一】

【問題一】(4分)

(1)255.255.255.0

(2)frame-relay，或其等價表示

【問題2】(5分)

(3)100

(4)200

(5)300

(6)truck

(7)dotlq

【問題3】(3分)(8)switchport?mode?access，或其等價表示

(9)switchport?access?vlan?100，或其等價表示

(10)B

【問題4】(3分)

(11)255.255.255.255

(12)202.114.3.2

(試題二)

問題

1(2分)

(1)PPTP(2)PPP

問題(1分)

(3)B 問題

3(4分)

(4)Tunnel-Type

(5)NAS-Port-Type

(6)61.134.1.37

(7)255.255.255.0

問題(4分)

(8)B

(9)61.134.1.37

問題

5(2分)

不需要，因為圖2-7中選中了(自動使用我的Windows登錄名和密碼)

問題6(2分)

PAP的用戶名和密碼是明文發送，CHAP 的用戶密碼是經過摘要算法加工后的隨機序列

(試題三)

Samba配置題(試題四)

問題1(4分)

(1)C

(2)D 注：(1)、(2)答案位置可互換

(3)B

(4)D 注：(3)、(4)答案位置可互換

問題2

(4分)

(5)配置消息加密算法為DES算法

(6)hash md5

(7)采用預共享密鑰認證法

(8)86400 問題3

(4分)

(9)172.30.2.2

(10)172.30.1.2

問題4

(3分)

(11)10.0.1.3

(12)10.0.2.3

(13)10.0.2.3

試題五

問題1(5分)

(1)0.0.0.0 0.0.0.0

(2)255.254.0.0

(3)10.10.20.1

(4)255.255.240.0

(5)10.10.20.1

問題2(6分)

(6)10.10.30.2(7)0.1.255.255

(8)0.015.255

(9)match(10)set

(11)10.10.20.1

問題3(4分)

(12)10.10.10.1

(13)255.255.255.0

(14)55.23.12.98

(15)255.255.255.252 10.10.10.1