杏花亭_中级网络工程师2009下半年下午试题

2017-03-27

6384

中级网络工程师2009下半年下午试题试题一阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。[说明]某校园网中的无线网络拓扑结构如图1-1所示。该网络中无线网络的部分需求如下：1．学校

中级网络工程师2009下半年下午试题

试题一

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

[说明]

某校园网中的无线网络拓扑结构如图1-1所示。

该网络中无线网络的部分需求如下：

1．学校操场要求部署AP ，该操场区域不能提供外接电源。

2．学校图书馆报告厅要求高带宽、多接入点。

3．无线网络接入要求有必要的安全性。

[问题1]

根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线AP 的是 1 交换机，它可以通过交换机的 2 口为AP 提供直流电。

[问题2]

根据需求在图书馆报告厅安装无线AP 。如果采用符合IEEE 802.11b规范的AP ，理论上最高可以提供 3 Mb/s的传输速率；如果采用符合IEEE 802.11g 规范的AP ，理论上最高可以提供 4 Mb/s的传输速率。如果采用符合 5 规范的AP ，由于将MIMO 技术和 6 调制技术结合在一起，理论上最高可以提供600Mbps 的传输速率。

5、备选答案

A ．IEEE 802.11a B ．IEEE 802.11e

C ．IEEE 802.11i D ．IEEE 802.11n

6、备选答案

A ．BFSK B ．QAM C ．OFDM D ．MFSK

图书馆报告厅需要部署10台无线AP ，在配置过程中发现信号相互干扰严重，这时应调整无线AP 的 7 设置，用户在该报告厅内应选择 8 ，接入不同的无线AP 。

7～8备选答案

A ．频道 B ．功率 C ．加密模式

D ．操作模式 E ．SSID

[问题3]

若在学校内一个专项实验室配置无线AP ，为了保证只允许实验室的PC 机接入该无线 AP，可以在该无线AP 上设置不广播 9 ，对客户端的 10 地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有三种方式： 11 、WPA/WPA2、WPA- PSK/WPA2-PSK。在这三种模

式中，安全性最好的是

12 ，其加密过程采用了TKIP 和 13 算法。

13、备选答案

A ．AES B ．DES C ．IDEA D ．RSA

试题二

阅读下列说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

[说明]

网络拓扑结构如图2-1所示。

[问题1]

网络A 的WWW 服务器上建立了一个Web 站点，对应的域名是www.abc.edu 。DNS 服务器1上安装WindowsServer2003操作系统并启用DNS 服务。为了解析WWW 服务器的域名，在图

2-2所示的对话框中，新建一个区域的名称是 14 ；在图2-3所示的对话框中，添加的对应的主机“名称”为 15 。

[问题2]

在DNS 系统中反向查询(Reverse Query) 的功能是 16 。为了实现网络A 中www 服务器的反向查询，在图2-4和2-5中进行配置，其中网络ID 应填写为 17 ，主机名应填写为 18 。

19、[问题3]

DNS 服务器1负责本网络区域的域名解析，对于非本网络的域名，可以通过设置“转发器”，将自己无法解析的名称转到网络C 中的DNS 服务器2进行解析。设置步骤：首先在“DNS 管理器”中选中DNS 服务器，单击鼠标右键，选择“属性”对话框中的“转发器”选项卡，在弹出的如图2-6所示的对话框中应如何配置?

20、[问题4]

网络C 的Windows Server 2003服务器上配置了DNS 服务，在该服务器上两次使用nslookup www. sohu. com命令得到的结果如图2-7所示，由结果可知，该DNS 服务器 (6) 。

(6)的备选答案：

A ．启用了循环功能 B ．停用了循环功能

C ．停用了递归功能 D ．启用了递归功能

21、[问题5]

在网络B 中，除PC5计算机以外，其他的计算机都能访问网络A 的WWW 服务器，而 PC5计算机与网络B 内部的其它PC 机器都是连通的。分别在PC5和PC6上执行命令ipconfig ，结果信息如图2-8和图2-9所示：

请问PC5的故障原因是什么? 如何解决

试题三

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

[说明]

在大型网络中，通常采用DHCP 完成基本网络配置会更有效率。

22、[问题1]

(1)在Linux 系统中，DHCP 服务默认的配置文件为 (1) 。

备选答案：

A ．/etc/dhcpd. conf B ．/etc/dhcpd. config

C ．/etc/dhcp. conf D ．/etc/dhcp. config

[问题2]

管理员可以在命令行通过 23 命令启动DHCP 服务；通过 24 命令停止DHCP 服务。 23、24备选答案：

A ．service dhcpd start B ．service dhcpd up

C ．service dhcpd stop D ．service dhcpd down

[问题3]

在Linux 系统中配置DHCP 服务器，该服务器配置文件的部分内容如下：

subnet 192.168.1.0 netmask 255.255.255.0 {

option routers 192.168.1.254;

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.1.255;

option domain-name-servers 192.168.1.3;

range 192.168.1.100 192.168.1.200;

default-lease-time 21600;

max-lease-time 43200;

host webserver {

hardware ethernet 52:54:AB:34:5B:09;

fixed-address 192.168.1.100;

}

在主机webserver 上运行ifonfig 命令时显示如下，根据DHCP 配置，填写空格中缺少的内容。

该网段的网关IP 地址为 25 ，域名服务器IP 地址为 26 。

试题四

阅读以下说明，回答问题1至问题4，将解答填入对应的解答栏内。

某公司通过PIX 防火墙接入Internet ，网络拓扑如图4-1所示。

在防火墙上利用show 命令查询当前配置信息如下：

PIX#show config

„

nameif eth0 outside security0

nameif eth1 inside security100

nameif eth2 dmz security40

„

fixup protocol ftp 21 30

fixup protocol http 80

„

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 10.10.O.1 255.255.255.0

„

global (outside) 1 61.144.51.46

nat (inside) 10.0.0.00.0.0.0 0 0

„

route outside 0.0.0.00.0.0.0 61.144.51.45 1 31

„

30、(1)、(2)处画线语句的含义。

32、根据所显示的配置信息，由inside 域发往Internet 的IP 分组，在到达路由器R1时的源 IP地址是 (7) 。

33、如果需要在dmz 域的服务器(1P地址为10.10.0.100) 对Internet 用户提供Web 服务 (对外公开IP 地址为61.144.51.43) ，请补充完成下列配置命令。

PIX(config)#static(dmz, outside) (8) (9)

PIX(config)#conduit permit tcp host (10) eq WWW any

试题五

阅读以下说明，回答问题1至问题3，将解答填入对应的解答栏内。

某单位网络拓扑结构如图5-1所示，要求配置IPsec VPN 使10.10.20.1/24网段能够连通10.10.10.2/24网段，但10.10.30.1/24网段不能连通10.10.10.2/24网段。

34、根据网络拓扑和要求，解释并完成路由器R1上的部分配置。

R1(config)#crypto isakmp enable (启用IKE.

R1(config)#crypto isakmp (1) 20 (配置IKE 策略20)

R1(config-isakmp)#authentication pre-share (2)

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 378 address 192.168.2.2 (配置预共享密钥为378) R1(config)#access-list 101 permit ip (3) 0.0.0.255 (4) 0.0.0255

(设置ACL)

„„

35、根据网络拓扑和要求，完成路由器R2上的静态路由配置。

R2(config)#ip route (5) 255.255.255.0192.168.1.1

n2(config)#ip route 10.10.30.0 255.255.255.0 (6)

R2(config)#ip route 10.10.10.0 255.255.255.0 192.168.2.2

36、根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。

R3(config)#crypto isakmp key (7) address (8)

R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac (9) R3(cfS-crypto-trans)#exit

R3(config)#crypto map test 20 ipsec-isakmp

R3(config-crypto-map)#setpeer192.168.1.1

R3(config-erypto-map)#settransform-set (10)

„„

答案:

试题一

1、接入层

2、POE 或以太端口

[解析] 通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；汇聚层交换机是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的

所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化、可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性、性能和吞吐量。 PoE 是一个可以在以太网路中透过双绞线来传输电力到装置上的技术。透过这项技术，我们可以供电给网络电话、无线基地台、网络摄影机、集线器、电脑等不方便另外架设电源线的装置。这项技术常常被跟同样也是在同一条电缆上接收电源与资料(虽然是类比资料) 的传统电话网络(POTS)来进行对照。PoE 不需要更改以太网路的缆线架构即可运作。3、11 4、54 5、D 6、

C 7、A

8、E

[解析] IEEE 802.11b 无线局域网的带宽最高可达11Mbps ，比两年前刚批准的IEEE 802.11标准快5倍，扩大了无线局域网的应用领域。

IEEE 802.11g在2003年7月被通过。其载波的频率为2.4GHz (跟802.1lb 相同) ，原始传送速度为54Mbit/s，净传输速度约为 24.7Mbit/s(跟802.11a 相同) 。802.11g 的设备向下与802.11b 兼容。多进制数字频率调制(MFSK)简称多频制，是2FSK 方式的推广。

OFDM ——OFDM(Orthogonal Frequency Division Multiplexing) 即正交频分复用技术，实际上OFDM 是MCM Multi-CarrierModulation多载波调制的一种。其主要思想是：将信道分成若干正交子信道，将高速数据信号转换成并行的低速子数据流，调制到在每个子信道上进行传输。正交信号可以通过在接收端采用相关技术来分开，这样可以减少子信道之间的相互干扰ICI 。每个子信道上的信号带宽小于信道的相关带宽，因此每个子信道上的可以看成平坦性衰落，从而可以消除符号间干扰。而且由于每个子信道的带宽仅仅是原信道带宽的一小部分，信道均衡变得相对容易。

SSID 是Service Set Identifier 的缩写，意思是服务集标识。SSID 技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。

9、SSID 或服务集标识符 10、MAC 或以太网网卡物理地址 11、WEP 12、WPA-PSK/WPA2-PSK

13、A

[解析] SSID，无线LAN 中经常用到的一个特性是称为SSID 的命名编号，它提供低级别上的访问控制。SSID 通常是无线LAN 子系统中设备的网络名称；它用于在本地分割子系统。

WEP,IEEE 802.11b标准规定了一种称为有线等效保密(或称为WEP) 的可选加密方案，提供了确保无线LAN 数据流的机制。 WEP利用一个对称的方案，在数据的加密和解密过程中使用相同的密钥和算法。

Wi-Fi 保护接入(WPA)是改进WEP 所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA 的功能是替代现行的WEP(Wired Equivalent Privacy) 协议。过去的无线LAN 之所以不太安全，是因为在标准加密技术“WEP ”中存在一些缺点。

WPA 是继承了WEP 基本原理而又解决了WEP 缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。

WPA 还追加了防止数据中途被篡改的功能和认证功能。

在802.11i 颁布之后，Wi —Fi 联盟推出了WPA2，它支持AES (高级加密算法) ，因此它需要新的硬件支持，它使用CCMP(计数器模式密码块链消息完整码协议) 。在WPA/WPA2中，PTK 的生成依赖PMK ，而PMK 的获得有两种方式，一个是PSK 的形式就是预共享密钥，在这种方式中PMK=PSK，而另一种方式中，需要认证服务器和站点进行协商来产生PMK 。

试题二

14、(1)abc.edu

15、www

[解析] DNS服务配置问题，平时多加操作即可。

16、用IP 地址查询对应的域名，或者根据IP 地址查询相应的域名 17、210.43.16

18、WWW.abc.edu

[解析] 所谓DNS 服务器反向查询，就是输入IP 地址，可以查出域名。某些DNS 服务器支持的反向查询(iquery)功能可使攻击者获得区域传输。识别出注册到您的DNS 服务器的每台计算机，并且可能被攻击者用来更方便地了解您的网络。甚至当您在DNS 服务器上禁用了区域传输时，iquery 功能仍旧可以允许区域传输发生。由网络A 中的IP 地址210.43.16.4得到网络ID 。而主机名就是WWW.abc.edu 。

19、选中“启用转发器”复选框，在“IP 地址”文本框中输入 51.202.22.18，单击“添加”按钮，再单击“确认”或“应用”按钮。

[解析] DNS服务配置问题，平时多加操作即可。

20、A

[解析] 循环复用是DNS 服务器用于共享和分配网络资源负载的本地平衡机制。如果发现主机名的多个ARR ，则可用它循环使用包含在查询应答中的主机(A)资源记录(RR)。

在默认情况下，DNS 服务器的服务使用循环复用对资源记录进行排序，这些资源记录是在解析为多个映射RR 的主机名应答中返回的。该功能提供了一种非常简便的方法，用于对客户机使用Web 服务器和其他频繁查询的多宿主计算机的负载平衡。

要使循环复用正常工作，必须首先在该区域中注册所查询名称的多个ARR 。如果DNS 服务器禁用循环复用，那么这些查询的响应顺序以应答列表中RR 在区域(或者是它的区域文件，或者是Active Directory) 中存储时的静态排序为基础。

21、故障原因：计算机PC5的默认网关地址参数没置有误

解决办法：将计算机PC5的默认网关修改为192.168.0.3

[解析] 比较两图，不同的地力在在于IP 地址和默认网关，可以看出两者的IP 地址是小于同一子网中，所以没有问题，所以问题是出在默认网关上，即PC5的默认网关地址参数设置有误，参照PC6的默认网关修改即可。

试题三

22、A

[解析] DHCP(Dynamic Host Configuration Protocol)动态主机配置协议为在同一网络的主机自动分配动态IP 。在Linux 中/etc/dhcpd.conf即DHCP 服务默认的配置文件。

23、A

24、C

[解析] 建立dhcpd.conf 配置文件

#cp/eat/usr/share/doc/dhcp-3.0pll/dhcpd.conf.sample/etc/dhcpd.conf

dhcp 服务的启动

#service dhcpd start

服务的停止

#service dhcpd stop

服务器重新启动

#service dhcpd restart

25、52:54:AB:34:5B:09 26、192.168.1.100 27、255.255.255.0

28、192.168.1.254

29、192.168.1.3

[解析] 由hardware ethernet 52:54:AB:34:5B:09得出(4)题答案；

由fixed-address 192.168.1.100得出(5)题答案；

由option subnet-mask 255.255.255.0得出(6)题答案；

由option routers 192.168.1.254得出(7)题答案；

由option domain-name-servers 192.168.1.3得出(8)题答案。

试题四

30、(1)添加可监听的FTP 服务端口21

(2)定义外部默认路由61.144.51.45，跳数为1

[解析] fixup相当于对某种fixup 后面的协议进行检查，会根据该协议的要求检查传输的数据是否符合标准。比如fixup smtp 之后，所有目的地是tcp 25端口的数据都会被当作smtp 命令来进行检查，如果传输的数据不是合法的smtp 命令，那么pix 会把可能有害的非法的指令修改成对服务器无害的命令送出。

防火墙route inside route outside是指路由的去向。route outside就是去外网的路由，反之，就是去内网的路由。

31、(3)192.168.0.1 (4)255.255.255.248 (5)eth2

(6)10.10.10.1

[解析] 由此六句配置信息叮得答案：

nameif eth0 outside securlty0

nameif eth1 inside security100

nameif eth2 dmz security40

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 10.10.0.1 255.255.255.0。

32、61．144．51．46

[解析] 由global(outside)1 61.144.51.46此句可得答案。

33、(8)61.144.51.43 (9)10.10.0.100 (10)61.144.51.43

[解析] static命令配置语法：static(internal_if_name,external_if_name)outside_ip_address inside_ip_address，其中internal_if_name表示内部网络接口，安全级别较高，如inside 。

external_if_name为外部网络接口，安全级别较低，如outside 等。outside_ip_address为正在访问的较低安全级别的接口上的ip 地址，inside_ip_address为内部网络的本地ip 地址。

conduit permit | deny global_ip port<-port>protocol foreign_ip

permit | deny允许 | 拒绝访问

global_ip指的是先前由global 或static 命令定义的全局IP 地址，如果global_ip为0，就用any 代替0；如果global_ip是一台主机，就用host 命令参数。

port 指的是服务所作用的端口，例如www 使用80，smtp 使用25等，我们可以通过服务名称或端口数字来指定端口。

protocol 指的是连接协议，比如TCP 、UDP 、ICMP 等。

foreign_ip表示可访问global_ip的外部IP 。对于任意主机，可以用any 表示。如foreign_ip是一台主机，就用host 命令参数。

试题五

34、policy (2)采用预共享密钥认证方法 (3)10.10.20.0

(4)10.10.10.0

[解析] 一旦ISAKMP 被激活，我们需要为每一个策略实体定义五个策略参数。如果没有定义策略，一个使用所有默认值的策略将会被使用。当创建一个策略时，如果没有显式定义策略参数，默认的参数将会被使用。策略的参数及其默认值如下：

1．IKE 策略加密，默认值为数据加密标准(Data Encryption Standard, DES)；

2．IKE 策略哈希，默认值为Secure Hash Standard-1(SHA-1)；

3．IKE 密钥交换，默认值为Diffie-Hellman Group 1(768-Bit)；

4．IKE 寿命，默认值为一天(86，400秒) ；

5．IKE 认证方式，默认值为RSA 公钥。

你可能已经知道节点是需要与一个通用ISAKMP 策略协商，以建立一个IPses 节点联系。所以根据你想要连接的设备，你可能需要多个ISAKMP 策略。每一个ISAKMP 策略被赋予一个唯一的1～10 000之间的优先级数。优先级数为1的策略被认为是最高优先级的策略。策略协商从策略数最接近于1的开始。通常的做法是从策略数为10的开始创建，这样做的话当你需要往生产环境的路由器中插入一个优先级更高的策略时，你才有位置可以用。

下面是预共享密钥的配置方法的标准的配置：router(config-isakmp) #authentication

pre-share 。

ACL 防问表。由Cisco 路由器保存用来为许多服务控制出/入此路由器的表(例如，为防止具有某一IP 地址的数据包停留在路由器某一特殊的接口上) 。

访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到日的地。

access-list acl-name{permit | deny} protocol sro_addr src_mask [operator port[port]]dest_addr dest_mask[operator prot[port]]

35、10.10.20.0 (6)192.168.1.1

[解析] 由拓扑图可以看出n2通过R1的E0：192.168.1.1连接 10.10.20.0和10.10.30.0网络，通过R3的E0：192.168.2.2连接 10.10.10.0网络。

36、378 (8)192.168.1.1

(9)设置IPSec 变换集testvpn ，AH 鉴别采用ah-md5-hmac ， ESP加密采用esp-des ，ESP 认证采用esp-md5-hmac 。

(10)testvpn

[解析] 由R1 (config)# crypto isakmp key 378 address 192.168.2.2得(7)(8)题答案。用crypto ipsec transform-set命令配置变换集；

例如：crypto ipsec transform-set transform-set-name transform1

[transform2[transfonrk3]]。

setpeer ××. ××. ××. ××(指定此VPN 链路，对端的IP 地址) 。

routerA(config-crypto-map)#set transform-set test(IPSec传输模式的名字)

相关推荐