2016年5月份“网络工程师“下午试题和答案
试题一(共20分)阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑如图1-1所示。A~E是网络设备的编号【问题1】(每空1分,共4分)根据图1-1,将设备清单表1-1所示内容补充完整。设备名在途中的编号防火墙USG3000(1)路由器AR2220(2)交换机QUIDWAY3300(3)服务器IBM X3500M5(4)表1-1【问题2】(每空2分,共4分)以下是AR2220的部分配置。[AR2220]acl 2000[AR2220-acl-2000]rule normal pemut source 192.168.0.0 0.0.255.255[AR2220-acl-2000]rule normal deny source any[AR2220-acl-2000]quit[AR2220]interface Ethemet0[AR2220-EthemetO]ip address 192.168.0.1255.255.255.0[AR2220-EthemetO]quit[AR2220]interface Ethemet1[AR2220 - Ethemet1 ]ip address 59.41.221.100255.255.255.0[AR2220-Ethemetl]nat outbound 2000mterface [AR2220-Ethernetl]quit[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74221.254设备AR2220硬用( 5 )接口实现NAT功能,该接口地址韵网关是( 6 )?【问题3】(每空2分,共6分)若只允许内网发起ftp、http连接,并且拒绝来自站点2. 2. 2.11的Java Applets报文。在USG3000设备中有如下配置,请补充完整。[US63000]acl number3000[AR2220-acl-3000]rule permit tcp destination-port eq www[AR2220-acl-3000]rule permit tcp destination-port eq ftp[AR2220-acl-3000]rule permit tcp destination-port eq ftp-date[USG3000]acl number 2010[USG3000-acl-basic-2010]rule ( 7 ) source 2.2.2.1 1.0.0.0.0[USG3000-acl-basic-2010]rule permit source any [USG3000]( 8 ) interzone trust untrust [USG3000-interzone-ttust-untrust] packer-filter 3000 ( 9 )[USG3000-interzone-ttust-untrust] detect http [USG3000-interzone-ttust-untrust] detect java-blocking2010 ( 7 )、( 8 )、( 9 )备选答案 :A . FirewallB . trustC . denyD . permitE . outboundF . inbound【问题4】(每空2分,共6分)PC-1、PC-2、PC-3、网络设置如下表1-2:设备名网络地址网关VLANPC-11921682.2/24192.168.2.1VLAN100PC-2192168.3.2/24192.168.3.1VLAN200PC-3192168.4.2/24192.168.4.1VLAN300表1-2通过配置RIP,使得PC=l、PC-2、PC-3能相互访问,请补充设备E上的配置,或解释相关命令。//配置E上vlan路由接口地址interface vlanif 3000ip address ( 10 )255.255.255.0interface vlanif 1000 //互通VLANipaddress192.168.100.1 255.255.255.0//配置E上的rip协议ripnetwork 192.168.4.0network ( 11 )//配置E上的trunk链路Int e0/1Port link-type trunk // ( 12 )Port trunk permit vlan all 参考答案:【问题1解析】:路由器:网络互连设备,放置在互联网出口处。防火墙:IP、端口控制等,放置于路由器与交换机之间。交换机:核心层、分布层、接入层。服务器:内网区或者DMZ区答案:(1)B、(2)A、(3)C、(4)D【问题2解析】:1、访问控制列表( Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。2、目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议ACL、IPv6 ACL等。标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。3、NAT(Network Address Translation.网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。4、NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。5、默认路由是—种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。答案 : ( 5 ) El ( 6 ) 59.74.221.254【问题3解析】:1、access-list命令。(1)标准访问列表access-list access-list-number{ permit /deny) {source [source-wildcard]/any)命令解释如下。access-list:访问列表命令。access-list-number:访问列表号码,值为1~99.permit:允许。deny:拒绝。source:源IP地址。source-wildcard:源IP地址的通配符。(2)扩展访问列表access-list access-list-num ber{permit /deny){protocol\protocol-keyword}{source【source-wildcard】/any}{destination destination-wildcard)/any }[protocol-specific options][log]命令解释如下。access-list-number:访问列表号码,值为100~199.protocol\protocol-keyword:可使用的协议,包括IP、ICMP、 IGRP、EIGRP、OSPF等。destination destination-wild:目的IP地址,格式与源IP地址相同。protocol-specific options:协议制定的选项。log:记录有关数据报进入访问列表的信息。firewall packet-filter令用来配置接口的IPv4报文过滤功能答案:(7)C、(8)A、(9)F【问题4解析】:答案:(10)192.168.4.1 (11)192.168.100.0 (12)将接口e0/1配置为trunk接口试题二(共20分)阅读以下材料,回答问题1至3,【说明】某学校的网络拓扑结构图如图2-1所示。【问题1】(每空1分,共7分)常用的IP访问控制列表有两种,它们是编号为( 1 )和1300-1399的标准访问控制列表和编为( 2 )和2000-2699的扩展访问控制列表、其中,标准访问控制列表是根据IP报的( 3 )来对IP报文进行过滤,扩展访问控制列表是根据IP报文的( 4 )、( 5 )、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近( 6 )的位置,扩展访问控制列表放置在靠近( 7 )的位置。【问题2】(每空1分,共10分)为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:(1)家属区不能访问财务服务器,但可以访问互联网;(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00 - 24:00禁止访问互联网(3)办公区可以访问财务服务器和互联网;(4)教学区禁止访问则务服务器,且每天8:00 -18:00禁止访问互联网。1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。R1(config)#access-list1 ( 8 )、( 9 ) 0.0.0.255R1(config)#access-list1 deny 172.16.10.0 0.0.0.255R1(config)#access-list1 deny 172.16.20.0 0.0.0.255R1(config)#access-list1 deny ( 10 ) 0.0.0.255R1(config)#mterface ( 11 )R1(config-if)#ip access-group l ( 12 )2.使用ACL对internt进行访问控制,请将下面配置补充完整。Route-Switch (config)#time-range .jxq //定义教学区时间范围Route-Switch(config-tune-range)# periodic daily ( 13 )Route-Switch(config)#time-range xsssq //定义学生宿舍区时间范围Route-Switch(config-time-range)#periodic ( 14 ) 18:00 to 24:00Route-Switch(config-time-range)#exitRoute-Switch(config)#access-Iist 100 permit ip 172.16.10. 0 0.0.0 255 anyRoute-Switch(config)#access-Iist 100 permit ip 172.16.40. 0 0.0.0.255 anyRoute-Switch(config)#access-Iist 100 deny ip ( 15 ) 0.0.0.255 time-range.jxqRoute-Switch(corffig)#access-Iist 100 deny ip ( 16 ) 0.0.0.255 time-range xsssclRoute-Switch(config)#interface ( 17 )Route-Switch(config-if)#ip access-group l00out【问题3】(每空1分,共3分)网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。采用自反访问列表实现访问控制,请解释配置代码。Route-Switch(config)#ip access-hst extended infilterRoute-Switch(config-ext-nacl)#permit ipany172.16.20.0 0.0.0.255 refiect jsq //( 18 )Route-Switch (config-ext-nacl)#exitRoute Switch(config)#ip access-list extended outfilter Route-Switch(config-ext-nacl)# evaluate jsq // ( 19 )Route-Switch(config-ext-nacl)#exit Route Switch(config)#interface fastethernet 0/1 Route Switch(config-if)#ip access-group infilter in Route-Switch(config-if)#ip access-group outfilter out // ( 20 ) 参考答案:【问题1解析】:1、访问控制列表( Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制揣口进出的数据包。2、目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议ACL、IPv6 ACL等。标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。答案:(1) 1-99 (2)100-199 (3)源IP地址(4)源、目的IP地址 (5)源、目的端口号(6)目的端(7)源端【问题2解析】:1、access-list命令(1)标准访问列表access-list access-list-number{ permit/deny} {source[source-wildcard]/any}命令解释如下。access-list:访问列表命令。access-list-number:访问列表号码,值为1~99。permit:允许。deny:拒绝。source:源IP地址。source-wildcard:源IP地址的通配符。(2)扩展访问列表access-list access-list-number{ permit I deny}{ protocol\protocol-keyword){ source[source-wildcard]l/any){ destination destination-wildcard)/any)[protocol-specific options][log]命令解释如下。access-list-number:访问列表号码,值为100~199。protocol\protocol-keyword:可使用的协议,包括IP、ICMP、 IGRP、EIGRP、OSPF等。destination destination-wild:目的IP地址,格式与源IP地址相同。protocol-specific options:协议制定的选项。log:记录有关数据报进入访问列表的信息。答案:(8) permit (9) 172.16.40.0 (10) 172.16.30.0 (11) f0/1 (12) out (13) 08:00 to 18:00 (14)daily (15) 17 2.16.30.0 (16)17 2.16.20.0 (17) F0/5【问题3解析】:答案:(18)允许访问学生宿舍区网络并创建自反列表jsp(19)应用自反列表jsp,允许访问宿舍区网络流量返回(20)将outfilter列表应用于f0/1接口出方向试题三(共20分)阅读以下材料,回答问题1至4,【说明】某企业采用Windows Server 2003配置了DHCP、DNS和WEB服务。【问题1】(每空1分,共4分)DHCP服务器地址池192.168.0.1~192.168.0.130.其中192.168.0.10分配给网关192.168.011~192.168.0.15分配给服务器,192.168.0.20分配给网络管理员。请填充国3-1至图3-3中(1)、(2)、(3)、(4)处空缺内容。【问题2】(每空1.5分,共9分)DNS的配置如下图3-4所示。根据图3-4判断正误(正确的答”对”,借误的答“错”)。A.XACHINA-IDCOB33的IP地址为114.114.114.114 ( 5 )B.该域名服务器无法解析的域名转发到114.114.114.114或8.8.8 .8。( 6 )C.域lyrh.com的资源记录包含在该DNS服务器中。( 7 )D.客户机的“首选DNS服务器”地址必须与该DNS服务器地址一致。( 8 )E.该域名服务器是lyrh.com的授权域名服务器。( 9 )F.该域名服务器支持192.168.101.6地址的反向域名查找。( 10 )【问题3】(每空2分,共4分)Web服务器的配置如图3-5所示。1.如图3-5所示,通过主机头的方式建立两个网站www.ycch.Com和www.lyrh.com网站配置是( 11 )。(11)备选答案:A.相同的IP地址,不同的端口号B.不同的IP地址,相同的目录C.相同的IP地址,不同的目录D.相同的主机头,相同的端口号2.除了主机头方式,还可以采用( 12 )方式在一台服务器上配置多网站。【问题4】(每空1分,共3分)Windows Server 2003管理界面如图3-6所示。1.图3-6中设备打“?”的含义是( 13 ),设备打“x”的含义是( 14 )。2.图3-6中1394网络适配器能连接什么设备?( 15 )参考答案:【问题1解析】:(1) 192.168.0.1(2) 192.168.0.130(3) 192.168.0.10-192.168.0.15(4) 192.168.0.20【问题2解析】:1、DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住自目够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主卡几名解析)。DNS协议运行在UDP协议之上,使用端口号53。2、常用的资源记录类型A地址此记录列出特定主机名的IP地址。这是名称解析的重要记录。CNAME标准名称此记录指定标准主机名的别名。MX邮件交换器此记录列出了负责接收发到域中的电子邮件的主机。NS名称服务器此记录指定负责给定区域的名称服务器。PTR (Pointer Record),指针记录,是电子邮件系统中的一种数据类型,被互联网标准文件RFC1035所定义。与其相对应的是A记录、地址记录。A记录解析名字到地址,而PTR记录解析地址到名字。答案:(5)错 (6)对 (7)对 (8)错 (9)对 (10)错【问题3解析】:配置域名的方式、主机头、IP地址、端口、组合答案:(11)C (12)不同的IP或相同的IP,不同端口【问题4解析】:1、打?代表驱动没有装好2、打×号设备停用3、美国电气和电子工程师学会(IEEE)制定了IEEE1394标准,它是一个串行接口,但它能像并联SCSI接口—样提供同样的服务,而其成本低廉。它的特点是传箱捆渡快,适合传送数字图像信号。4、IEEE-1394被应用在众多的领峨包括数码摄像机、高速外接硬盘、打印机和扫描仪等多种设备答案:(13)驱动没有装好 (14)1394网络适配器已经停用(15)数码摄像机、高速外接硬盘、打印机和扫描仪等试题四(共15分)阅读以下说明,回答问题1和问题2,【说明】某公司有3个分支机构,网络拓扑结构及分配如图4-1所示。【问题1】(每空1分,共11分)公司申请到202.111.1.0/29的公有地址段,采用NAPT技术实现公司内部访问互联网的要求,其中,192 .168.16.0/22网段禁止访问互联网。R1、R2和R3的基本配置已正确配置完成,其中R1的配置如下。请根据拓扑结构,完成下列配置代码。R1的基本配置及NAPT配置如下R1>enableR1#confiq tenrunaR1(config)#interface f 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.252R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface fO/1R1(config-if)#ip address 192.168.0.9 255.255.255.252R1(config-if)#no shutdownR1(config-if)#exit R1(config)#interface f0/2R1(config-if)#ip addresz( 1 )255.255.252 //使用网段中最后个地址R1(config-if)#no shutdownR1(config-if)#exit R1(config)#interface sOR1(eonfig-if)#ip address 202.111.1.1 255.255.255.248R1(config-if)#no shutdownR1(config)#ip nat pool ss 202.111.1.1( 2 )netmask( 3 )R1(config)#interface( 4 )interface 0/0-1R1(config-if)#ip nat ( 5 )R1(config-if)#exitR1(config)# interface s0 R1(config-if)#ipnat( 6 ) R1(config-if)#exit R1(config)#acce ss-list 1 permit192.168.0.0 ( 7 )R1(config)#acce ss-list 1 permit 192.168.0.0R1(config)#ip nat inside ( 8 ) list ( 9 ) pool ( 10 )( 11 )【问题2】 (每空2分,共4 分)在R1、R2和R3之间运行OSPF路由f女议,其中刚、R2和R3的配置如下。行号 配置代码1.配置完成后,在R1和R2上均无法ping通R3的局域网,可能原因是( 12 )备选答案:A.在R3上未宣告局域网路由B.以上配置中第7行和第13行配置错误C.第1行配置错误D.R1、R2未宣告直琏路由2.在OSPF中重分布默认路由的命令是:( 13 )A.R1#default-informaton originateB.R1(config-if)#default information originateC.R1(config-router)#default -information originateD.R1(config)#default-information originate参考答案:【问题1解析】:(1) NAT---网络地址转换. NAT即网络地址转换,就是指在一个网络内部,根据需要可以随意自定义IP地址,而不需要经过申请合法IP地址,在网络内部,各计算机间通过内部的IP地址进行通信。而内部的计算机要与外部Internet网络进行通信时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 NAT的应用场景主要有两种:从安全角度考虑,不想让外外部网络用户了解自己的网络结构和内部网络地址;从IP地址资源角度考虑,当内部网络人数太多时,可以通过NAT实现多台共用一个合法IP访问Internet。 NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换三种。 ●静态地址转换 静态地址转换(示例如图18-20所示)将本地地址与合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等,则可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以使外部用户可以使用这些服务。整个配置过程包括三个步骤,如表18-17所示。●动态地址转换动态地址转换也是将本地地址与合法地址进行一对一的转换,但是动痞地址转换是从合法地址池中动态地选择个卡使用的地址对本地地址进行转换。其配置包括5个步骤,如表18-18所示。答案:(1)1192.168.4.1(2)202.111.1.6(3)255.255.255.248(4) Range (5)inside (6)outside (7)0.0.15.255 (8)source(9)1 (10)ss (ll)overload【问题2解析】:答案(12)A (13)C