2015年中级《网络工程师》全真模拟试卷3下午试题
2015中级《网络工程师》全真模拟试卷3下午试题一、综合题(共5题,合计75分)某企业的网络设备连接情况如图9-7所示。1(1)通常,图9-7中的网络设备(1)应为(1),网络设备(2)应为(2)。从
2015中级《网络工程师》全真模拟试卷3下午试题
一、综合题(共5题,合计75分)
某企业的网络设备连接情况如图9-7所示。
1
(1)通常,图9-7中的网络设备(1)应为(1),网络设备(2)应为(2)。从网络安全角度而言,交换机4所组成的网络区 域一般称为(3)区。
(2)图9-7中网络设备(3)应为(4),它能够对该网络提供如下的保护措施:数据包进入内部网络时将被进行过滤检测 ,并确定此包是否有威胁网络安全的特征。如果检测到恶意数据包,系统发出警报并阻断攻击。
网络设备(3)在图9-7中部署方式的名称是(5)。
2
(1)该企业的网络采用核心层、接入层的两层架构方式。根据层次化网络设计的原则,MAC 层过滤和IP 地址绑定等功 能主要应在由(6)(请罗列出图9-7中相关交换机的名称) 组成的(7)层完成。
(2)针对图9-7中的网络拓扑结构,各台交换机需要运行(8)协议,以建立一个无环路的树状结构网络。当图9-7中交 换机1~交换机3之间的某条链路有故障(或失效) 时,为了使阻塞端口直接进入转发状态,从而切换到备份链路上, 则需要在图9-7中交换机1~交换机3、交换机5~交换机8上使用(9)功能。
3
在图9-7中,由于工作性质的需要,网络管理员的笔记本电脑需要经常在交换机5~交换机8之间任意移动,应采用 什么方式划分VLAN 来管理该笔记本电脑?
分析图9-7所示的网络结构的冗余性,请列举出图9-7中核心层与其他互连区域的两个故障单点。
[说明]
当局域网中存在大量计算机时,根据业务的不同,可以将网络分成几个相对独立的子网。图9-8是某企业子网划分 的示意图,整个网将被均分为销售部与技术部两个子网,子网之间通过一台安装了Linux 操作系统的双网卡计算机 连通。该Linux 网关计算机使用了最新的BCM5751网卡芯片,由于Red Hat Linux
9操作系统无法自动识别此硬件,需要单独安装驱动程序才能正常工作。具体安装过程如下:
①将驱动程序压缩文件bcm5700-8.3.14.tar.gz 复制到一个临时目录中,并使用解压缩命令将驱动程序包bcm5700-8 .3.14.tar.gz 解压缩;
page 1 / 16
,
②用make 命令构建驱动程序的可加载模块;
③用make install命令加载驱动程序;
④重新启动系统,启动过程中系统找到网卡进行相应参数配置。
4将文件bcm5700-8.3.14.tar.gz 解压缩的命令是______。
A .rpm
B .tar
C .unzip
D .rar
5
Linux 网关计算机有两个网络接口(eth0和eth1) ,每个接口与对应的子网连接。该计算机/etc/sysconfig/network 文件清单为:
NETWORKING=yes
FORWARD_IPV4=(4)
HOSTNAME=www.test.com.cn
/etc/sysconfig/network-scripts/ifcfg-eth0文件清单为:
DEVICE=eth0
IPADDR=192.168.1.126
NETMASK=(3)
…(以下省略)
/etc/sysconfig/network-scripts/ifcfg-eth1文件清单为:
DEVICE=eth1
IPADDR=192.168.1.254
NETMASK=(4)
…(以下省略)
[供选择的答案]
(2)
A .yes
B .no
C .route
D .gateway
6在计算机/etc/sysconfig/network-
scripts/目录中有以下文件,运行某命令可以启动网络,该命令是(5),其命令参数是(6)。
ifcfg-eth0
ifcfg-lo
page 2 / 16
,ifdown
ifdown-aliases
ifdown-cipcb
ifdown-ippp
ifdown-ipv6
ifdown-isdn
ifdown-post
ifdown-ppp
ifdown-sit
ifdown-s1
ifup
ifup-aliases
ifup-cipcb
ifup-ippp
ifup-ipv6
ifup-ipx
ifup-isdn
ifup-plip
ifup-plusb
ifup-post
ifup-ppp
ifup-routes
ifup-sit
ifup-s1
ifup-wireless
init.ipv6-global
network-funCtions
metwork-functions-ipv6
7可以使用命令(7)米查看网络接口的运行情况。输入该命令后,系统的输出信息如下:
eth0 Link encap:Ethernet Hwaddr:00:12:3F:94:E7:B9
inet addr:192.168.1.63 Bcast:(8)Mask:(9)
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1501 errors:0 dropped:0 overruns:0 frame:0
TX packets:74 errors:0 dropped:0 overruns:0 carrier:0
collisions :0 nxqueuelen:100
RX bytes:164444(160.5 KB)TX bytes:9167(8.9KB)
Interrupt :11 Memory:dfcf0000-dfd00000
以上输出信息表明,该网卡的工作状态是:(10)。其中,“MTU”的含义是(11)。
[供选择的答案]
(7)A.
ipconfig
B .ifconfig
C .netstat
D .rcp
(10)
A .正常
B .故障
8设置技术部和销售部的主机网络参数后,如果两个子网间的主机不能通信,用 (12)
命令来测试数据包是否能够到达网关计算机。
如果数据包可以到达网关但是不能转发到目标计算机上,则需要用命令cat/pro/sys/net/ipv4/ip_forward来确认 网关计算机的内核是否支持IP 转发。如果不支持,该命令输出 (13) 。
[供选择的答案]
(12)
A .traceroute
page 3 / 16
,
B .tracert
C .nslookup
D .route
(13)
A .1
B .0
C .yes
D .no
阅读以下说明,根据要求回答问题。
[说明]
某台安装了Windows Server 2003操作系统的服务器既是Web 站点又是FTP 服务器。Web 站点的域名为www.test.com , Web 站点的部分配置信息如图9-9所示,FTP 服务器的域名为ftp.test.com 。
9Windows Server 2003操作系统可通过“管理您的服务器”向导来配置DNS 。在DNS 服务器中为Web 站点添加记录时 ,在图9-10所示的[区域名称]配置界面中,“区域名称”文本框中应填入 (1) 。
单击图9-10中的[下一步]按钮,系统将弹出如图9-11所示的[区域文件]配置界面,其中系统自动生成的默认区域文 件名为 (2) 。
page 4 / 16
,
10区域建成后,用鼠标右键单击区域名称,在如图9-12所示的快捷菜单中选择 (3)
命令,在弹出的如图9-13所示的对话框中为www.test.com 建立正向搜索区域记录,则“名称”文本框应填入 (4) ,“IP地址”文本框应填入 (5) 。
11为了创建域名ftp.test.com 的正向搜索区域记录,需要在如图9-12所示的快捷菜单中选择 (6)
命令。在客户端可以通过 (7) 命令来测试FTP 服务器的域名是否配置成功。
12在客户端可以通过 (8) 命令来测试Web 站点的域名是否配置成功。
在浏览器的地址栏中输入 (9) ,可以访问该Web 站点。
13在基于Windows 操作系统的客户端中执行命令ping
www.abc.com ,域名解析系统首先读取本机systemrootsystem32driversetc目录下的 (10) 文件,并在其中查 找对应域名的IP 地址。若查找失败,则将域名解析任务提交给客户机中“Internet协议(TCP/IP)属性”窗口所配置 的 (11) 进行查询。在客户端排除DNS 域名解析故障时,输入 (12) 命令可显示当前DNS 缓存。
[说明]
某公司内部网络通过一台24端口的交换机连接20台PC ,使用一台硬件防火墙对外发布公司的Web 站点。该公司通过D DN 专线连接Internet 的网络拓扑结构如图9-14所示。公司内部使用的IP 地址块为10.3.12.0/24。图9-14中路由器Ro uter 是与该公司互连的第一个ISP 路由器。
page 5 / 16
,
在PC1的DOS 命令窗口中,运行命令netstat-an 的系统返回信息如图9-15所示。运行另一条Windows 命令后系统的返 回信息如图9-16所示(注:部分信息被隐藏) 。
14在图9-16所示的DOS 命令窗15中,所运行的Windows 命令是______。
A .ipconfig/renew
B .tracert www.rkb.gov.cn
C .nslookup www.rkb.gov.cn
D .route www.rkb.gov.cn
15在PC1的DOS 命令窗口中运行 (2) 命令,得到结果如图9-17所示。图9-17中空缺的参数中,IP Address值为 (3) ;SubnetMask 值为 (4) ;DefaultGateway 值为 (5) 。
page 6 / 16
,
16请阅读以下防火墙的配置信息,并补充(6)~(9)空缺处的配置命令或参数,按题目要求完成防火墙的配置。 Firewall >enable
Firewall#config terminal
Firewall(config)#nameif ethernet0 (6) security100//配置接口名字,并指定安全级别
Firewall(config)#nameif ethernet1 (7) security0
Firewall(config)##nameif ethernet2 (8) security60
Firewall(config)#ip address outside 216.5.9.253 255.255.255.252
Firewall(config)#ip address inside (9)
Firewall(config)#ip addtess dmz 10.100.0.1 255.255.255.0
Firewall(config)#
[备选答案]:
A .e0
B .e1
C .e2
D .dmz E.inside F.outside
17在图9-14中,Router 的eth0接口IP 地址为______。
18在默认情况下,图9-15中PC1正在请求的Internet 服务为 (11)
。该服务与PC1进行通信时,PC1所使用的源端口号的可能取值范围为 (12) 。
19ACL 默认的执行顺序是 (13) 。若要禁止内网中IP 地址为10.3.12.55的PC 访问外网,则正确的ACL 规则是 (14) 。
(13)
A .最优匹配
B .自上而下
C .随机选取
D .自下而上
(14)
A .access-list 1 permit ip 10.3.12.0 0.0.0.255 any
access-list 1 deny ip host 10.3.12.55 any
B .access-list 1 permit ip host 10.3.12.55 any
access-list 1 deny ip 10.3.12.0 0.0.0.255 any
C .access-list 1 deny ip 10.3.12.0 0.0.0.255 any
access-list 1 permit ip host 10.3.12.55 any
D .access-list 1 deny ip host 10.3.12.55 any
access-list 1 permit ip 10.3.12.0 0.0.0.255 any
[说明]
某企业网络由总公司和分公司组成,其网络拓扑结构如图9-18所示。其中,总公司的网络自治系统1(AS1)采用RIPv
page 7 / 16
,
2路由协议,分公司的网络自治系统2(AS2)采用OSPF 路由协议。该企业网络有两个出口,一个出口通过路由器R1的S 0/0端口连接ISP1,另一个出口通过R1的S0/1端口连接ISP2。
20
与路由器R2的f0/0端口连接的局域网LAN1是一个末节网络,而且已接近饱和,为了减少流量,需要过滤进入LAN1的 路由更新。此时,在路由器R2上需要完成以下与之相关的配置。请将(1)空缺处的内容填写完整。
R2 (config) # router rip
R2 (config-router)# ______ f0/0
21
若LAN2中的计算机不需要访问LAN4中的计算机,为了进一步控制流量,网络管理员决定通过访问控制列表阻止192. 168.2.0/24网络中的主机访问192.168.4.0/24网络。此时应将以下相关的访问控制列表设置在路由器R3上。请将以 下(2)~(6)空缺处的内容填写完整。
access-list 101 (2) 192.168.2.0 (3) 192.168.4.0 (4)
acess-list 101 (5) ip any any
interface f0/0
ip aecess-group (6) in
22
若采用策略路由将来自192.168.4.0/24网络去往Internet 的数据流转发到ISP1,将来自192.168.1.0/24网络去往In ternet 的数据流转发到ISP2,请将以下(7)~(12)空缺处的内容填写完整。
R1 (config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1 (config)#access-list 2 permit 192.168.4.0 0.0.0.255
R1 (config)# roune-map ISP1 permit 10
R1 (config-route-map)# match ip address (7)
R1 (config-route-map)# set interface (8)
R1 (config-route-map# exit
R1 (config)# route-map ISP2 permit 20
R1 (config-route-map)# match iP address (9)
R1 (config-route-map)# set interface (10)
R1 (config-toure-map)# exit
R1 (config)# interface f0/1
page 8 / 16
,R1 (config-if)#ip policy route-map ISP2
R1 (config-if)# interface f0/2
R1 (config-if)#ip policy route-map (11)
R1 (config-if)# interface (12)
R1 (config-if)#ip policy route-map ISP1
R1 (config-if)#
23
若要求自治系统1中的路由器R2能学习到自治系统2(OSPF网络) 中的路由信息,同时R5也能学习到自治系统1中的路 由信息,则需要在路由器 (13) 上配置 (14) 。
(13)
A .R2
B .R5
C .R4
D .R1
(14)
A .策略路由
B .路由重发布
C .静态路由
D .边界网关路由
参考答案
1.(1)路由器或边界路由器
(2)防火墙或统一安全网关(USG)或其他具有类似功能的网络安全设备
(3)非军事或DMZ
(4)基于网络的入侵防护系统,或NIPS
(5)流量镜像方式
解析:路由器具有广域网互连、隔离广播信息和异构网互连等能力,是企业网(或园区网) 建设和互联网络建设中必 不可少的网络互连设备。由图9-7中的网络拓扑结构可知,设备(1)处于该企业网和Internet 之间,因此需要使用路 由器设备进行网络互连,以实现该企业网路由信息的边界计算、网络地址转换等功能。
防火墙的主要功能是:①检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包;②执行安全策 略,限制所有不符合安全策略要求的数据包通过。
通常,Internet 是一个“不可信任的网络”,而内部局域网要求是一个“可信任的网络”。因此在图9-7中设备(2) 需要部署防火墙设备,从而保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。
另外,防火墙中的DMZ 区也称为非军事区,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题, 而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内 。在这个小网络区域内可以放置一些对外公开的服务器。例如,图9-7中的Web 服务器、DNS 服务器和E-mail 服务器 等。DMZ 防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是比较安全的。同时它提供了一个区域放 置公共服务器,从而又能有效地避免一些互连应用需要公开,而与内部安全策略相矛盾的情况发生。
基于网络的入侵防护系统(Network-based Intrusion Prevention System,NIPS) 兼有防火墙、入侵检测系统(IDS) 和防病毒等安全组件的特性,当数据包经过时,将对它进行过滤检测,以确定该数据包是否含有威胁网络安全的特 征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施(如丢弃含有攻击性的数据包或阻断连 接) 阻断攻击。
根据网络拓扑结构的不同,NIPS 的探测器可以通过流量镜像、串接集线器设备、串接TAP 设备等方式部署在被检测 的网络中。在图9-7中,设备(3)直接连接在交换机1的Gi1/2端口(此端口称为镜像端口) ,用于检测、分析和处理从 设备(2)(即防火墙) 进入交换机1(即内部网络)Gi1/1端口(此端口称为被镜像端口) 的数据包。通常将这种设备部署 方式称为流量镜像方式。
2.(6)交换机5、交换机6、交换机7和交换机8(或交换机5~交换机8)
(7)接入
(8)生成树或STP
(9)BackboneFast
解析:图9-7所示的网络结构采用核心层、接入层的两层架构理念。其中,由交换机1~交换机3组成核心层,主要
page 9 / 16
,完成的功能有:①分组的高速转发;②汇接接入层的用户流量,进行数据分组传输的汇聚、转发与交换;③根据接 入层的用户流量,进行本地路由、数据包过滤、协议转换、流量均衡、QoS 优先级管理,以及安全控制、IP 地址转 换、流量整形等处理。
在图9-7中由交换机5~交换机8组成接入层,主要完成的功能有:①为用户提供了在本地网段访问应用系统的能力 ,解决相邻用户之间相互访问的需求,并且为这些访问提供足够的带宽;②适当地负责部分用户管理功能(如MAC 层 过滤、IP 地址绑定、用户认证、计费管理等) ;③负责部分用户信息收集工作(如用户的IP 地址、MAC 地址、访问日 志等) 。
生成树协议(Spanning Tree Protocol,STP) 是一个数据链路层的管理协议。其主要功能是在保证网络中没有逻辑 回路的基础上,允许在第2层链路中提供冗余路径,以保证网络可靠、稳定地运行。STP 运行在交换机设备上,通过 在交换机之间传递网桥协议数据单元(BPDU),并用生成树算法(STA)对其进行比较计算,以建立一个稳定、无回路 的树状结构网络。
STP 的BackboneFast 功能是:使阻塞端口无须等待一个生成树最大存活时间(约30s) ,就可直接进入转发状态,从而 提高普通交换机到根交换机的间接链路失效情况下的收敛速度。BackboneFast 功能需要在全部参与STP 计算的交换 机上配置。在图9-7中,交换机1~交换机3是网络的骨干交换机。当它们相互之间的某条链路(例如交换机1~交换 机2的链路) 有故障时,为了使阻塞端口直接进入转发状态,从而切换到备份链路(例如交换机1~交换机3的链路) 上 ,则需要在图9-7中交换机1~交换机3、交换机5~交换机8上使能STP 的BackboneFast 功能。
3. 采用基于MAC 地址的方式划分VLAN ;或基于网络层协议划分VLAN
解析:根据VLAN 的成员定义,大致有基于端口划分、基于MAC 地址划分、基于第3层地址划分、基于策略划分(或基 于应用划分) 这4种VLAN 划分方法。其中,基于端口划分VLAN 是一种静态VLAN 的划分方式,其余划分方法则属于动态 VLAN 的划分方式。若网络用户的物理位置需要经常移动,则应采用基于MAC 地址的方式划分VLAN ,或基于第3层地址 (网络层协议) 划分VLAN 。
4.(1)B,或tar
解析:在Linux 操作系统中,对于扩展名为tar.gz 的文件,则需要使用“tar-
xvzf[文件名].tar.gz”将其恢复成源文件,即将文件bcm5700.8.3.14.tar.gz 解压缩的命令是:tar-xvzf
bcm5700-8.3.14.tar.gz 。
如果在Linux 操作系统中,扩展名为.rpm 的文件,则需要使用“rpm-ivh*.rpm”或“rpm-
Uvh*.rpm”完成软件包的安装。
5.(2)A,或yes(3)255.255.255.128
(4)255.255.255.128
解析:Linux 内核默认内置有IP 伪装功能。但是,使用一个没有内置IP 伪装功能的内核,则需要重新编译,装载一 些模块,然后设置数据包过滤规则以便允许转换的进行。为了让IP 伪装能够工作,需要打开服务器的IP 转发功能, 即将/etc/sysconfig/network文件中的FORWARD_IPV4设置为yes 而启用IP 转发。
一个较完整/etc/sysconfig/network-scripts/ifcfg-eth0文件清单是:
DEVICE=eht0/*指明网卡的名称*/
IPADDR=192.168.1.126/*指明分配给网卡的IP 地址*/
NETMASK=255.255.255.128/*指明子网掩码,因为该子网有126个可用的IP 地址*/
NETWORK=192.168.1.0/*指明网络地址*/
BROADCAST=192.168.1.127/*指明广播地址*/
ONBOOT=yes/*指明在系统启动时是否激活网卡*/
BOOTPROTO=none/*指明是否使用bootp 协议*/
同理,由于技术部子网可用的IP 地址有126个,因此在/etc/sysconfig/network-scripts/ifcfg-
eth1文件中子网掩码也应设置为255.255.255.128,即NETMASK=255.255.255.128。
一旦配置完Linux 网关计算机的网络配置文件,应该使用/etc/rc.d/init.d/network
restart 命令来重新启动网络以使之修改生效。
6.(5)ifup(6)网络接口(或设备) 名称,或eth0
解析:命令ifconfig 、ifup 、ifdown 的作用都是用于启动/关闭网络接口,但iflap 与ifdown 仅能就/etc/sysconfig
page 10 / 16