200611网工下午真题
第 1 题
(问题1VTP协议已经删除,建议略过,其他问题为非典型试题,值得学习)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某学校计划建立校园网,拓扑结构如图C5-1-1所示。该校园网分为核心、汇聚、接入三层,由交换模块、广域网接入模块、远程访问模块和服务器群四大部分组成。
【问题1】(5分)
在校园网设计过程中,划分了很多VLAN,采用了VTP来简化管理。将(1)~(5)处空缺信息填写在答题纸对应的解答栏内。
1、VTP信息只能在 (1) 端口上传播。
2、运行VTP的交换机可以工作在三种模式:(2) 、(3)、(4)。
3、共享相同VLAN数据库的交换机构成一个(5)。
【问题2】(4分)
该校园网采用了异步拨号进行远程访问,异步封装协议采用了PPP协议。将(6)~(9)处空缺信息填写在答题纸对应的解答栏内。
1.异步拨号连接属于远程访问中的电路交换服务,远程访问中另外两种可选的服务类型是:(6)和(7)。
2.PPP提供了两种可选身份认证方法,它们分别是(8)和(9)。
【问题3】(2分)
该校园网内交换机数量较多,交换机间链路复杂,为了防止出现环路,需要在各交换机上运行 (10)。
【问题4】(4分)
该校园网在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施。从备选答案中选择信息,将(11)~(14)处空缺信息填写在答题纸对应的解答栏内。
(11)~(14)处备选答案:
A.IP地址绑定
B.数据库安全扫描
C.虚拟专用网(VPN)技术
D.防火墙
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(5分)
(1)trunk
(2)服务器模式
(3)客户机模式
(4)透明模式
(5)VTP管理域
【问题2】(4分)
(6)分组交换
(7)专线连接
(8)PAP
(9)CHAP
【问题3】(2分)
(10)STP
【问题4】(4分)
(11)C
(12)D
(13)A
(14)B - 试题解析:
VTP是Cisco公司设计的私有协议。VTP信息只能在Trunk端口上传播。VTP有三种工作模式:服务器(Server)模式、客户机(Client)模式和透明(Transparent)模式,VTP默认是服务器模式。共享相同VLAN数据库的交换机构成一个VTP管理域。
这个问题考查的是远程访问和异步拨号连接的知识。远程访问是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连线,电路连接和包交换,不同的广域网连接类型提供不同质量的服务,花费也不同。广域网连接可以采用不同类型的封装协议,有DHCP,PPP等,PPP提供了两种可选的身份认证方法:PAP和CHAP。
STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
在网络安全方面,可以采用分层控制方案,将整个网络分为外部网络传输控制层,内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施。
外部网络传输控制层是指局域网路由器和防火墙之外的公用网,为保证网络安全,可以从这几个方面入手:虚拟专用网技术;身份认证技术;加密技术;物理隔离等。
内外网间访问控制层是指在内部局域网和外部网络之间,可以采用以下访问技术进行控制;防火墙技术;防毒网关;网络地址转移技术;代理服务和路由器;入侵检测等。
内部网络访问控制层是指局域网内部,可以采用以下措施:用户身份认证;权限控制;加密技术;客户端安全保护等。
数据存储层是指数据存储在服务器或加密终端上,它是系统安全性的重要组成部分。我们可以采用以下措施保护其安全:选用安全的数据库系统;加密技术;数据库安全扫描;存储介质的安全等。
第 2 题
(经典试题,请认真学习)
阅读以下关于Linux网关安装和配置过程的说明,回答问题1至问题5。
【说明】
当局域网中存在大量计算机时,根据业务的不同,可以将网络分成几个相对独立的子网。图C5-2-1是某公司子网划分的示意图,整个网络被均分为销售部和技术部两个子网,子网之间通过一台安装了Linux操作系统的双网卡计算机连通。
【问题1】(5分)
销售部的网络号是(1),广播地址是(2);技术部的网络号是(3),广播地址是(4);每个子网可用的IP地址有(5)。
【问题2】(3分)
Linux网关计算机有两个网络接口(eth0和eth1),每个接口与对应的子网相连接。该计算机/etc/Sysco fig/network文件清单为:
NETWORKING=yes
FORWARD_IPV4=(6)
HOSTNAME=gateway.ABC.com
/etc/sysconfig/network-scripts/ifcfg-eth0文件清单为:
IPADDR=192.168.1.126
NETMASK=(7)
…… (以下略)
/etc/sysconfig/network-scripts/ifcfg-eth1文件清单为
DEVICE=eth1
IPADDR=192.168.1.254
NETMASK=(8)
…… (以下略)
(6)的备选答案:A.yes
B.no
C.rout
D.gateway
【问题3】(2分)
在网关计算机/etc/Sysco fig/network-scripts/目录中有以下文件,运行某命令可以启动网络,该命令是(9),其命令行参数是(10)。
【问题4】(2分)
在网关计算机上使用以下路径由命令创建两个默认的路由:
rout add –net 192.168.1.0 255.255.255.128 (11)
rout add –net 192.168.1.128 255.255.255.128 (12)
【问题5】(3分)
设置技术部和销售部的主机网络参数后,如果两个子网间的主机不能通信,用 (13)命令来测试数据包是否能够到达网关计算机。如果数据包可以达到网关计算机但是不能转发到目标计算机上,则需要用命令 cat / proc/sys/net/ipv4/ip_forward来确认网关计算机的内核是否支持 IP 转发。如果不支持,该命令输出(14)。
(13)和(14)备选答案如下:
(13)
A.traceroute
B.tracert
C.nslookup
D.route
(14)
A.1
B.0
C.yes
D.no
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(5分)
(1)192.168.1.0
(2)192.168.1.127
(3)192.168.1.128
(4)192.168.1.255
(5)126
【问题2】(3分)
(6) A
(7)255.255.255.128
(8)255.255.255.128
【问题3】(2分)
(9)ifup
(10) 网络接口名称(如eth0或eth1)
【问题4】(2分)
(11) eth0
(12)eth1
【问题5】(3分)
(13) A
(14) B - 试题解析:
由192.168.1.1和192.168.1.126属于同一个子网,192.168.1.129和192.168.1.254属于同一个子网,而由192.168.1.126和192.168.1.254不属于同一个子网,可以分析出该公司使用了25位的子网掩码。故可得到销售部的网络号是192.168.1.0,而网络掩码是255.255.255.128,广播地址为192.168.1.127。同理可得到技术部的网络号为192.168.1.128,网络掩码是255.255.255.128,广播地址为192.168.1.255。
每个子网可用的IP地址有27-2=126个。
FORWARD_IPV4指示是否支持IPv4转发。显然在这个网络中,它启动连接两个子网的作用,所以应该设置yes。/etc/sysconfig/network-scripts/目录中有个ifup命令,ifup是“InterFace UP”的缩写,用于激活一个网络端口。所以(9)的答案是ifup。
ifup将网络端口名称作为参数,图中的路由器有eth0和eth1两个端口。所以(10)的答案是网络端口名称,填eth0或eth1也算得分。
rout add –net命令用于增加路由转发规则。
“rout add –net 192.168.1.0 255.255.255.128”中“255.255.255.128”是子网掩码,后面应该跟转发的端口号,由图可知,(11)的答案为eth0。
同理,(12)的答案为eth1。
ping和traceroute都可以用来检测网络的连通性,所以(13)的答案为A。用命令 cat / proc/sys/net/ipv4/ip_forward 可以确认网关计算机的内核是否支持 IP 转发。如果支持,该命令输出1;如果不支持,该命令输出 0。所以(14)的答案为B。
第 3 题
(经典试题,请认真学习)
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
通过SNMP可以获得网络中各种设备的状态信息,还能对网络设备进行控制。在Windows Server 2003中可以采用IPSec来保护SNMP通信,配置管理站的操作步骤为:先创建筛选器,对输入的分组进行筛选,然后创建IPSec策略。
【问题1】(7分)
在“管理工具”中运行“管理 IP 筛选器列表”,创建一个名为“SNMP 消息”的筛选器。在如图C5-3-1所示的“IP 筛选器向导”中指定IP通信的源地址,下拉框中应选择(1);在如图C5-3-2 中指定 IP 通信的目标地址,下拉框中应选择(2)。
对 SNMP 协议,在图C5-3-4 中设置“从此端口”项的值为(4),“到此端口”项的值为(5);对 SNMP TRAP 协议,在图C5-3-4 中设置“从此端口”项的值为(6),“到此端口”项的值为(7)。
【问题2】(2分)
在创建 IPSec 安全策略时,规则属性窗口如图C5-3-5 所示。在“IP 筛选器列表”中应选择(8)。
【问题3】(2分)
在“新规则属性”对话框中点击“筛选器操作”选项卡,选择“Permit”,在图C5-3-6中应选择(9),同时勾选“接受不安全的通讯,但总是使用 IPSec 响应(C)”和“使用会话密钥完全向前保密(PFS)(K)”。
(9)的备选答案:
A.许可
B.阻止
C.协商安全
【问题4】(2分)在图C5-3-7所示的密钥交换设置对话框中,勾选“密钥完全向前保密(PFS)(P)”,则“身份验证和生成新密钥间隔”默认值为 480 分钟和(10)个会话。
【问题5】(2分)
为保证 SNMP 正常通信,被管理的其它计算机应如何配置?
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(7分)
(1)任何IP地址
(2)我的IP地址
(3)UDP
(4)161
(5)161
(6)162
(7)162
【问题2】(2分)
(8)SNMP消息
【问题3】(2分)
(9)C
【问题4】(2分)
(10)1
【问题5】(2分)
其他计算机上必须配置相应的IPSec安全策略 - 试题解析:
在SNMP的管理操作中,Set和Get操作属于轮询方式,由管理者发出,使用端口为UDP 161;Trap操作属于基于中断的方式,由被管代理发出,使用端口为UDP 162。
题目要求采用 IPSec 来保护 SNMP 通信,则(8)的答案自然是SNMP消息。
由通讯双方使用IPSec来协商安全,因此(9)的答案是C。
主密钥完全向前保密,每次都强调重新生成密钥、若选“主密钥完全向前保密(PFS)(P)”,则“身份验证和生成密钥间隔”的默认值为480分钟和1个会话。
保证SNMP正常通信首先要保证IPSec的正常工作,因此(11)的答案是“其他计算机上必须配置相应的IPSec安全策略”。
第 4 题
(经典试题,请认真学习)
阅读以下说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。
【说明】
某公司在 Windows Server 2003 中安装 IIS6.0 来配置Web服务器,域名为www.abc.com。
【问题1】(2分)
IIS 安装的硬盘分区最好选用 NTFS 格式,是因为(1)和(2)。
A.可以针对某个文件或文件夹给不同的用户分配不同的权限
B.可以防止网页中的 Applet 程序访问硬盘中的文件
C.可以使用系统自带的文件加密系统对文件或文件夹进行加密
D.可以在硬盘分区中建立虚拟目录
【问题2】(3分)
为了禁止IP地址为202.161.158.239~202.161.158.254的主机访问该网站,在图4-1所示的“IP地址和域名限制”对话框中点击“添加”按钮,增加两条记录,如表C5-4-1所示。填写表C5-4-1 中的(3)~(5)处内容。
【问题3】(4分)
实现保密通信的SSL协议工作在HTTP层和(6)层之间。SSL加密通道的建立过程如下:
1、首先客户端与服务器建立连接,服务器把它的(7)发给客户端;
2、客户端随即生成(8),并用从服务器得到的公钥对它进行加密,通过网络传送给服务器;
3、服务器使用(9)解密得到会话密钥,这样客户端和服务器端就建立了安全通道。
(6)~(9)的备选答案如下:
A.TCP
B.IP
C.UDP
D.公钥
E.私钥
F.对称密钥
G.会话密钥
H.数字证书
I.证书服务
【问题4】(2分)
在 IIS 中安装 SSL 分 5 个步骤,这 5 个步骤的正确排序是(10)。
A.配置身份验证方式和 SSL 安全通道
B.证书颁发机构颁发证书
C.在 IIS 服务器上导入并安装证书
D.从证书颁发机构导出证书文件
E.生成证书请求文件
【问题5】(2分)
在安装 SSL 时,在“身份验证方法”对话框中应选用的登录验证方式是(11)。
备选答案:
A.匿名身份验证
B.基本身份验证
C.集成 Windows 身份验证
D.摘要式身份验证
E..Net Passport 身份验证
【问题6】(2分)
如果用户需要通过 SSL 安全通道访问该网站,应该在 IE 的地址栏中输入 (12)。
SSL 默认侦听的端口是(13)。
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(2分)
(1)A
(2)C
【问题2】(3分)
(3)202.161.158.240
(4)255.255.255.240
(5)202.161.158.239
【问题3】(4分)
(6)A
(7)H
(8)G
(9)E
【问题4】(2分)
(10)EBDCA
【问题5】(2分)
(11)B
【问题6】(2分)
(12)https://www.abc.com/
(13)443 - 试题解析:
NTFS是Windows NT以及之后的Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和Windows 7的标准文件系统。NTFS取代了文件分配表(FAT)文件系统,为Microsoft的Windows系列操作系统提供文件系统。NTFS对FAT和HPFS(高性能文件系统)作了若干改进,例如,支持元数据,并且使用了高级数据结构,以便于改善性能、可靠性和磁盘空间利用率,并提供了若干附加扩展功能,如访问控制列表(ACL)和文件系统日志。
在IIS的配置中,如果发现来自某个IP或某组IP地址的计算机试图攻击网站,用户可以禁止这些IP地址中的计算机对子集Web或FTP站点的访问。为了禁止IP地址为202.161.158.239——202.161.158.254的主机访问该网站,可以采用添加单个IP地址的形式加入限制访问的地址列表中,也可以采用加子网掩码的形式添加一组主机地址。在本题内,采用后一种方法,子网掩码应该选择255.255.255.240,那么2020.161、158、239不在此网段内,需要单独添加该主机IP。
SSL协议使用的是安全套接层协议,有独立的加密方案,在应用层和传输层之间提供安全的通信方式。
IIS使用的是HTTP协议,传输过程中以明文的方式传输数据,且没有任何的加密手段,在传输过程中很不安全,因此,需要给它安装SSL安全机制,安装步骤:生成证书请求文件,安装证书服务,申请IIS网站证书,颁发IIS网站证书,导入IIS网站证书,配置IIS安全通信。
由上个问题可以看出,导入证书后,还需要进一步对IIS服务器进行配置,在配置的时候,在身份验证方法对话框,我们需要选择“基本身份验证”复选框即可。
使用安装的SSL安全加密机制的Web站点,需要在使用URL资源定位器时需输入Https://。SSL的默认端口为443。
第 5 题
(思科设备的配置以及删除,建议此题略过)
阅读下面说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业园区网采用了三层架构,按照需求,在网络中需要设置 VLAN、快速端口、链路捆绑、Internet 接入等功能。该园区网内部分 VLAN 和 IP 地址如表5-1 所示。
【问题1】(3分)
某交换机的配置命令如下,根据命令后面的注释,填写(1)~(3)处的空缺内容,完成配置命令。
Switch(config)# (1) 将交换机命名为Sw1
Sw1(config)# interface vlan1
Sw1(config-if)# (2) 设置交换机的IP地址为192.168.1.1/24
Sw1(config-if)# no shutdown
Sw1(config)# (3) 设置交换机默认网关地址
【问题2】(4分)
在核心交换机中设置了各个VLAN,在交换机Sw1中将端口 1~20 划归销售部,请完成以下配置。
Sw1(config)# interface range fastethernet0/1-20 进入组配置状态
Sw1(config-if-range)# (4) 设置端口工作在访问(接入)模式
Sw1(config-if-range)# (5) 设置端口1~20为VLAN 10 的成员
【问题3】(4分)
1、默认情况下,交换机刚加电启动时,每个端口都要经历生成树的四个阶段,它们分别是:阻塞、侦听、(6)、(7) 。2、根据需求,需要将 Sw1 交换机的端口 1~20 设置为快速端口,完成以下配置。
Sw1(config)# interface range fastethernet0/1-20 进入组配置状态
Sw1(config-if-range)# (8) 设置端口1~20为快速端口
【问题4】(4分)
该网络的 Internet 的接入如图5-1 所示:
根据图5-1,解释以下配置命令,填写空格(9)~(12):
1、router(config)# interface s0/0
2、router(config-if)# ip address 61.235.1.1 255.255.255.252 (9)
3、router(config-if)# ip route 0.0.0.0 0.0.0.0 s0/0 (10)
4、Router(config-if)# ip route 192.168.0.0 255.255.255.252 f0/0 (11)
5、router(config-if)# access-list 100 deny any any eq telnet (12)
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(3分)
(1)hostname sw1
(2)ip address 192.168.1.1 255.255.255.0
(3)ip default-gateway 192.168.1.254
【问题2】(4分)
(4)switchport mode access
(5)switchport access vlan 10
【问题3】(4分)
(6)学习
(7)转发
(8)spanning-tree portfast
【问题4】(4分)
(9)设置串口的IP地址和子网掩码
(10)设置internet默认路由
(11)设置到校园网内部的路由
(12)定义屏蔽远程登录协议telnet的规则 - 试题解析:
给交换机命令,配置交换机的IP地址和默认网关。
配置端口VLAN的命令。
在STP中,各种类型的端口都有与其对应的工作状态的。当然端口状态在从交换机启动到正常工作过程中,可能会发生一系列的改变。STP中包括的端口状态有:阻塞(Blocking)状态、侦听(Listening)状态、学习(Learning)状态、转发(Forwarding)状态、禁止(Disabled)状态。通过这些不同状态的分配,就可以使得交换机(或网桥)上的各端口工作在不同状态,从而达到无网络环路的目的。为了能加快交换机收敛的速度,可以采用快速生成树协议的配置方案。
路由器的配置命令,配置串口的IP地址和掩码,配置默认路由,静态路由,访问控制列表的配置。