200705网工下午真题
第 1 题
(典型试题,值得学习)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某学校欲构建校园网,根据实际情况,计划在校园总部采用有线网络和无线网络相结合的接入方式,校园分部通过Internet采用VPN技术与校园总部互联,该校园网的网络拓扑结构如图1-1所示。
【问题1】(7分)
从网络拓扑图中可以看出该校园网采用了分层设计结构,回答以下问题:
1、交换机按照所处的层次和完成的功能分为三种类型:核心交换机、汇聚交换机和接入交换机。下表是学校采购的三种交换机,请根据交换机的技术指标确定交换机的类型。在答题纸对应的解答栏内填写表1-1中(1)、(2)、(3)处对应的交换机类型(3分)
2、该校园网根据需求使用ACL实现各个单位之间的访问控制,在能够实现预定功能的前提下,应将ACL交给(4)交换机实现,原因是(5)。(4分)
(4)A.核心层
B.汇聚层
C.接入层
(5)A.核心层提供高速数据转发
B.汇聚层提供访问控制功能
C.接入层连接用户设备
【问题2】(4分)
该校园网的部分区域采用了无线网络,请根据无线网络的技术原理回答以下问题:
1、校园网在部署无线网络时,采用了符合802.11g标准的无线网络设备,该校园网无线网络部分的最大数据速率为(6)。(6)A.54Mb/s
B.108 Mb/s
C.11 Mb/s
D.33 Mb/s
2、在学校学术报告厅内部署了多个无线AP,为了防止信号覆盖形成的干扰,应调整无线AP的(7)。
(7)A.SSID
B.频道
C.工作模式
D.发射功率
【问题3】(2分)
如果校园本部和校园分部之间需要实现教学资源互访、办公自动化、财务系统互联等多种业务,该校园网应该选择(8)VPN模式。
(8)A.IPSec
B.SSL
【问题4】(2分)
该校园网本部利用Windows 2000建立VPN服务器,接受远程VPN访问,默认情况下,(9)接入到VPN服务器上。
(9)A.拒绝任何用户
B.允许任何用户
C.除了GUEST用户,允许任何用户
D.除了管理用户,拒绝任何用户
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(7分)
1.(1)核心交换机
(2)汇聚交换机
(3)接入交换机
2.(4)B
(5)B
【问题2】(4分)
(6)A
(7)B
【问题3】(2分)
(8)A
【问题4】(2分)
(9)A - 试题解析:
【问题1】
- 核心层
核心层节点设备采用以IP技术为核心的设备,包括路由器和具有三层功能的高端交换机等。
2.汇聚层
汇聚节点设备应提供高速的基于IP的接口与骨干节点连接,提供高密度的10M/100M/ 1000M端口。汇聚节点与接入节点之间的连接可以采用多种接口,主要包括GE、ATM 155M和100M以太网接口。
汇聚层提供全面的控制/服务功能,网络上的大部分控制和服务策略在汇聚层上实施,如ACL、QoS、Traffic shaping和策略路由等。在汇聚层可采用中兴通讯的ZXR10-C9500或ZXR10-C9000(根据具体的接口密度需要)。
3.接入层
当前用于提供宽带接入的方式有多种,其中以光纤到楼、5类线到户的以太网接入具有较高的性价比,并十分易于开展增值业务,应为接入层的首选方案。
【问题2】
随着无线IEEE 802.11标准开始深入人心,各IC制造商开始寻求为以太网平台提供更为快速的协议和配置。而蓝牙产品和无线局域网(802.11b)产品的逐步应用,解决两种技术之间的干扰问题显得日益重要。为此,IEEE成立了无线LAN任务工作组,专门从事无线局域网 802.11g标准的制定,力图解决这一问题。802.11g其实是一种混合标准,它既能适应传统的802.11b标准,在2.4GHz频率下提供每秒 11Mbit/s数据传输率,也符合802.11a标准在 5GHz频率下提供 54Mbit/s数据传输率。
由于无线局域网的无线射频采用的是ISM(工业,科学,医学)无线频段,其中802.11b、802.11g标准使用的是2.4G频段,802.11a标准使用的是5.8G频段。因此无线局域网会由于在实际的运行环境当中一些突发的同频段的无线设备的射频干扰而受到影响。如微波炉、蓝牙手机信号都处在2.4G频段。这会直接导致无线局域网的网络性能产生突然较大的降低,并且直接导致无线信号中断或速率降低。
还有一个干扰是来自无线局域网的本身,那就是同频段不同信道(频道)的干扰。如相同楼层相邻或相近建筑物的无线AP的相互干扰。相邻的无线AP设备之间应使用无干扰的不同信道。如:802.11b、802.11g使用相差五个频段的信道即可消除干扰,典型的无干扰信道的设置方式为分别为1、6、11信道。
【问题3】
目前已经投入实际当中使用的VPN技术包括IPSec VPN、SSL VPN、MPLS VPN。这三种VPN技术各有特色、各有所长。目前国外主要厂商对SSL VPN技术、MPLS VPN技术发展相对比较重视发展较快,但是目前应用最为广泛,技术最为成熟的仍然是IPSec VPN技术。
IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。SSL是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。以标签交换是作为底层转发机制的MPLS(MultiProtocol Label Switching,多协议标记交换)VPN。
IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议,建立在应用层上。SSL VPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。
MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。不论什么格式的数据均可以第三层的路由在网络的边缘实施,而在MPLS的网络核心采用第二层交换,因此可以用一句话概括MPLS的特点:“边缘路由,核心交换”。
默认情况下,拒绝任何用户接入到VPN服务器上。每个客户端拨入VPN服务器都需要有一个帐号,默认是windows身份验证,所以要给每个需要拨入到VPN的客户端设置一个用户,并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。</p>
- 核心层
第 2 题
(经典试题,请认真学习)
阅读以下Linux系统中关于IP地址和主机名转换的说明,回答问题1至问题3。
【说明】
计算机用户通常使用主机名来访问网络中的节点,而采用TCP/IP协议的网络是以IP地址来标记网络节点的,因此需要一种将主机名转换为IP地址的机制。在Linux系统中,可以使用多种技术来实现主机名和IP地址的转换。
【问题1】(6分)
请选择恰当的内容填写在(1)、(2)、(3)空白处。
一般用Host表、网络信息服务系统(NIS)和域名服务(DNS)等多种技术来实现主机和IP地址之间的转换。Host表是简单的文本文件,而DNS是应用最广泛的主机名和IP地址的转换机制,它使用(1)来处理网络中成千上万个主机和IP地址的转换。在Linux中,DNS是由BIND软件来实现的。BIND是一个(2)系统,其中的resolver程序负责产生域名信息的查询,一个称为(3)的守护进程,负责回答查询,这个过程称为域名解析。
(1)A.集中式数据库
B.分布式数据库
(2)A.C/S
B.B/S
(3)A.named
B.bind
C.nameserver
【问题2】(3分)
下图是采用DNS将主机名解析成一个IP地址过程的流程图。请选择恰当的内容填写在(4)、(5)、(6)空白处。
A.产生一个指定下一域名服务器的响应,送给DNS客户
B.把名字请求转送给下一域名服务器,进行递归求解,结果返回给DNS客户
C.将查询报文发往某域名服务器
D.利用Host表查询
E.查询失败
【问题3】(6分)
请在(7)、(8)、(9)处填写恰当的内容。
在Linux系统中设置域名解析服务器,已知该域名服务器上文件nameD.conf的部分内容如下:
options {
directory ‘/var/named’;
};
zone ‘.’ {
type hint;
file ‘nameD.ca’;
};
zone ‘localhost’ {
file ‘localhost.zone’;
allow-update {none;};
};
zone ‘0.0.127.in-addr.arpa’ {
type master;
file ‘nameD.local’;
};
zone ‘test.com’ {
type (7) ;
file ‘test.com’;
};
zone ‘40.35.222.in-addr.arpa’ {
type master;
file ’40.35.222’;
};
include “/etc/rndC.key”;
该服务器是域test.com的主服务器,该域对应的网络地址是(8),正向域名转换数据文件存放在(9)目录中。
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(6分)
(1)B
(2)A
(3)A
【问题2】(3分)
(4)C
(5)A
(6)B
【问题3】(6分)
(7)master
(8)222.35.40.0
(9)/var/named - 试题解析:
【问题1】
DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。域名解析系统是一个分布式的系统,一般Win2000以上的操作系统都内置了DNS服务器,能够提供本地和远程域名解析。
Berkeley Internet Name Domain (BIND) 是域名系统(DNS) 的 Berkeley 实现。它是一种分布式网络信息查找服务,用于将主机名映射到Internet 地址和将Internet 地址映射到主机名。它还通过提供接受发往其他主机的邮件的主机列表,从而方便了 Internet 邮件路由。它采用的是C/S工作模式。named.conf 文件是BIND配置文件,通过该文件可以使用声明和注释指定许多功能部件。其守候进程为:named 。
【问题2】
域名解析的过程描述示例:
①例如客户机向本地服务器发请求,要求解www.baidu.com的IP地址。
②本地服务器在数据库中寻找相应条目(如果没有则向根域服务器发出请求查询代理“.com”域的服务器地址,根域收到请求将代理“.com”域的服务器IP发给本地服务器,本地服务器收到后向代理“.com”域的服务器发送请求查询“baidu.com”域的服务器的IP,“.com”域服务器将“baidu.com”域服务器Ip发给本地服务器。
③本地服务器再向“baidu.com”域服务器请求查询“www”主机的IP地址,“baidu.com”域服务器将“www”主机IP发送给本地服务器)。
④本地服务器将最终结果返回客户机,使客户机与www.baidu.com通信。
【问题3】
zone "." {
type hint | master | slave ;
file "*.*";
}; // hint:表示是互联网中根域名服务器;master:表示定义的是主域名服务器;slave:表示定义的是辅助域名服务器。
directory ’/var/named’ // 指定域名解析文件存放目录。
第 3 题
(经典试题,请认真学习)
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
某网络拓扑结构如图3-1所示,DHCP服务器分配的地址范围如图3-2所示。
【问题1】(3分)
DHCP允许服务器向客户端动态分配IP地址和配置信息。客户端可以从DHCP服务器获得(1)。
(1)A.DHCP服务器的地址
B.web服务器的地址
C.DNS服务器的地址
【问题2】(4分)
图3-3是DHCP服务器安装中的添加排除窗口。
参照图3-1和3-2,为图3-3中配置相关信息。
起始IP地址:(2);
结束IP地址:(3);
【问题3】(2分)
在DHCP服务器安装完成后,DHCP控制台如图3-4所示。
配置DHCP服务器时需要进行备份,以备网络出现故障时能够及时恢复。在图3-4中,备份DHCP服务器配置信息正确的方法是(4)。
(4)A.右键单击“ruankao”服务器名,选择“备份”。
B.右键单击“作用域”,选择“备份”。
C.右键单击“作用域选项”,选择“备份”。
D.右键单击“服务器选项”,选择“备份”。
【问题4】(2分)
通常采用IP地址与MAC地址绑定的策略为某些设备保留固定的IP地址。右键点击图3-4中的(5)选项可进行IP地址与MAC地址的绑定设置。
(5)A.地址池
B.地址预约
C.保留
D.作用域选项
【问题5】(4分)
邮件服务器的网络配置信息如图3-5所示。请在图3-6中为邮件服务器绑定IP地址和MAC地址。
IP地址:(6);
MAC地址:(7)。
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(3分)
(1)C
【问题2】(4分)
(2)192.168.0.1
(3)192.168.0.2
【问题3】(2分)
(4)A
【问题4】(2分)
(5)C
【问题5】(4分)
(6)192.168.0.2
(7)00-16-36-33-9B-BE - 试题解析:
【问题1】
DHCP 服务器除了可以为 DHCP 客户机提供 IP 地址外,还可用设置 DHCP 客户机启动时的工作环境,如可用设置客户机登录的域名称、DNS 服务器、WINS 服务器、路由器、默认网关等。在客户机启动或更新租约时,DHCP 服务器可用自动设置客户机启动后的 TCP/IP 环境。
【问题2】
因192.168.0.1、192.168.0.2分别分配给了两台服务器,在设置作用域时,要将它们排除在作用域范围之外。
【问题3】
略
【问题4】
略
【问题5】
这里要注意的是:DHCP是设置内网的IP动态分配,因此为某些设备保留固定的IP地址,进行IP地址与MAC地址的绑定设置,当然是针对内网IP和内网网络适配器MAC。
第 4 题
(思科PIX防火墙考纲以及删除,建议略过)
阅读下列有关网络防火墙的说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
为了保障内部网络的安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图4-1所示。
【问题1】(4分)
完成下列命令行,对网络接口进行地址初始化配置:
firewall(config)# ip address inside (1) (2)
firewall(config)# ip address outside (3) (4)
【问题2】(3分)
阅读以下防火墙配置命令,为每条命令选择正确的解释。
firewall(config)# global(outside) 1 61.144.51.46 (5)
firewall(config)# nat(inside) 1 0.0.0.0 0.0.0.0 (6)
firewall(config)# static(inside, outside) 61.144.51.43 192.168.0.8 (7)
(5)
A当内网的主机访问外网时,将地址统一映射为61.144.51.46
B.当外网的主机访问内网时,将地址统一映射为61.144.51.46
C.设定防火墙的全局地址为61.144.51.46
D.设定交换机的全局地址为61.144.51.46
(6)
A.启用NAT,设定内网的0.0.0.0主机可访问外网0.0.0.0主机
B.启用NAT,设定内网的所有主机均可访问外网
C.对访问外网的内网主机不作地址转换
D.对访问外网的内网主机进行任意的地址转换
(7)
A.地址为61.144.51.43的外网主机访问内网时,地址静态转换为192.168.0.8
B.地址为61.144.51.43的内网主机访问外网时,地址静态转换为192.168.0.8
C.地址为192.168.0.8的外网主机访问外网时,地址静态转换为61.144.51.43
D.地址为192.168.0.8的内网主机访问外网时,地址静态转换为61.144.51.43
【问题3】(4分)
管道命令的作用是允许数据流从较低安全级别的接口流向较高安全级别的接口。解释或完成以下配置命令。
firewall(config)# conduit permit tcp 61.144.51.43 eq www any (8)
firewall(config)# (9) 允许icmp消息任意方向通过防火墙
【问题4】(4分)
以下命令针对网络服务的端口配置,解释以下配置命令:
firewall(config)# fixup protocol http 8080 (10)
firewall(config)# no fixup protocol ftp 21 (11)
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(4分)
(1)192.168.0.1
(2)255.255.255.0
(3)61.144.51.42
(4)255.255.255.248
【问题2】(3分)
(5)A. 当内网的主机访问外网时,将地址统一映射为61.144.51.46。
(6)B. 启用NAT,设定内网的所有主机均可访问外网。
(7)D. 地址为192.168.0.8 的内网主机访问外网时,地址静态转换为61.144.51.43。
【问题3】(4分)
(8)用IP地址61.144.51.43提供Web服务,允许所有外网用户访问。
(9)conduit permit icmp any any
【问题4】(4分)
(10)启用Http协议,指定端口号为8080。
(11)禁用Ftp协议 - 试题解析:
【问题1】
网络防火墙配置命令:
firewall(config)#ip address inside|outside ip-addr netmask
【问题2】
firewall(config)#global (outside) 1 global-ip
// 内网的主机访问外网时,地址统一映射为指定IP
firewall(config)#nat (inside) ip-addr netmask
// 启用NAT,设定哪些主机访问外网时进行地址转换(访问策略)
firewall(config)#static (inside, outside) in-addr out-addr
// 设置内网主机访问外网时的静态地址转换策略
【问题3】
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny //允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
【问题4】
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
启用:irewall(config)#fixup protocol portocol-name port-num
禁用:firewall(config)#no fixup protocol portocol-name port-num
第 5 题
(思科设备配置已经在考试大纲中删除,建议略过)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
图5-1是VLAN配置的结构示意图。
【问题1】(5分)
请阅读下列SwitchA的配置信息,并在(1)~(5)处解释该语句的作用。
Switch> enable (进入特权模式)
Switch# config terminal (进入配置模式)
Switch(config)# hostname SwitchA (1)
SwitchA(config)# end
SwitchA#
SwitchA# vlan database (2)
SwitchA(vlan)# vtp server (3)
SwitchA(vlan)# vtp domain vtpserver (4)
SwitchA(vlan)# vtp pruning (5)
SwitchA(vlan)# exit (退出VLAN配置模式)
【问题2】(4分)
下面是交换机完成Trunk的部分配置,请根据题目要求,完成下列配置。
SwitchA(config)# interface f0/3 (进入端口3配置模式)
SwitchA(config-if)# switchport (6) (设置当前端口为Trunk模式)
SwitchA(config-if)# switchport trunk allowed (7) (设置允许所有vlan通过)
SwitchA(config-if)# exit
SwitchA(config)# exit
SwitchA#
【问题3】(4分)
下面是交换机完成端口配置的过程,请根据题目要求,完成下列配置。
SwitchA(config)# interface f0/7 (进入端口7配置模式)
SwitchA(config-if)# (8) (设置端口为静态vlan访问模式)
SwitchA(config-if)# (9) (把端口7分配给vlan10)
SwitchA(config-if)# exit
SwitchA(config)# exit
【问题4】(2分)
下面是基于端口权值的负载均衡配置过程
SwitchA(config)# interface f0/2 (进入端口2配置模式)
SwitchA(config-if)# spanning-tree vlan 10 port-priority 10 (将vlan10的端口权值设为10)
SwitchA(config-if)# exit
SwitchA(config)# interface f0/3 (进入端口3配置模式)
SwitchA(config-if)# spanning-tree vlan 20 port-priority 10 (将vlan20的端口权值设为10)
SwitchA(config-if)# end
SwitchA# copy running-config startup-config (保存配置文件)
1、不同Trunk上不同VLAN的权值不同,在默认情况下,其权值为(10)。
2、按照上述配置,VLAN20的数据通过SwitchA的(11)口发送和接收数据。
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(5分)
(1) 修改主机名为SwitchA
(2)进入VLAN配置子模式
(3)设置本交换机为Server模式
(4)设置域名为vtpServer
(5)启用修剪功能
【问题2】(4分)
(6)mode trunk
(7)vlan all
【问题3】(4分)
(8)switchport mode access
(9)switchport access vllan 10
【问题4】(2分)
(10)128
(11)e0/3 - 试题解析:
【问题1】~【问题3】
见参考答案
【问题4】
当同一台交换机的二个口形成环路时, STP端口权值用来决定那个口是enable的,那个口是阻断的。可以通过配置端口权值来决定二对trunk各走那些VLAN, 有较高权值的端口(数字较小的)vlan, 将处于转发状态,同一个VLAN在另一个trunk有较低的权值(数字较大)则将处在阻断状态。即同一VLAN只在一个trunk上发送接受。STP负载均衡配置:
端口权值:spanning-tree vlan-num port-priority value //默认端口权值为 128