网络工程师案例分析.docx
《网络工程师案例分析.docx》由会员分享,可在线阅读,更多相关《网络工程师案例分析.docx(19页珍藏版)》请在冰豆网上搜索。
网络工程师案例分析
13.2 强化练习
以以下举了历年网络工程师考试中出题频率较高的试题类型,分别是涉及到网络系统分析与设计类、应用服务器、网络设备配置〔路由器、交换机〕、网络安全等考点。
试题一〔共15分〕 阅读以下说明,答复以下问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】 某校园无线网络拓扑结构如图13-1所示。
图13-1
该网络中无线网络的部分需求如下:
1.学校操场要求部署AP,该操场区域不能提供外接电源。
2.学校图书馆报告厅要求高带宽、多接入点。
3.无线网络接入要求有必要的安全性。
【问题1】〔4分〕
根据学校无线网络的需求和拓扑图可以判断,连接学校操场无线AP的是〔1〕交换机,它可以通过交换机的〔2〕口为AP提供直流电。
【问题2】〔6分〕
1.根据需求在图书馆报告厅安装无线AP,如果采用符合IEEE802.11b标准的AP,理论上可以提供〔3〕Mb/s的传输速率;如果采用符合IEEE802.11g标准的AP,理论上可以提供最高〔4〕Mb/s的传输速率。
如果采用符合〔5〕标准的AP,由于将MIMO技术和〔6〕调制技术结合在一起,理论上最高可以提供600Mbps的传输速率。
〔6〕备选答案 A.BFSK B.QAM C.OFDM D.MFSK
2.图书馆报告厅需要部署10台无线AP,在配置过程中发现信号相互干扰严重,这时应调整无线AP的〔7〕设置,用户在该报告厅内应选择〔8〕,接入不同的无线AP.
【问题3】〔5分〕
假设在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设置不广播〔9〕,对客户端的〔10〕地址进行过滤,同时为保证安全性,应采用加密措施。
无线网络加密主要有三种方式:
〔11〕、WPA/WPA2、WPA-PSK/WPA2-PSK.在这三种模式中,安全性最好的是〔12〕,其加密过程采用了TKIP和〔13〕算法。
〔13〕备选答案 A.AES B.DES C.IDEA D.RSA
试题二〔共15分〕
阅读以下说明,答复以下问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
网络拓扑结构如图13-2所示。
图13-2
【问题1】〔4分〕
网络A的WWW服务器上建立了一个Web站点,对应的域名是abc.edu<:
//abc.edu>.DNS服务器1上安装WindowsServer2003操作系统并启用DNS服务。
为了解析WWW服务器的域名,在图13-3所示的对话框中,新建一个区域的名称是〔1〕;在图13-4所示的对话框中,添加的对应的主机"名称"为〔2〕。
图13-3
图13-4
【问题2】〔3分〕
在DNS系统中反向查询〔ReverseQuery〕的功能是〔3〕。
为了实现网络A中WWW服务器的反向查询,在图13-5和13-6中进行配置,其中网络ID应填写为〔4〕。
主机名应填写为〔5〕。
图13-5
图13-6
【问题3】〔3分〕
DNS服务器1负责本网络区域的域名解析,对于非本网络的域名,可以通过设置"转发器",将自己无法解析的名称转到网络C中的DNS服务器2进行解析。
设置步骤:
首先在"DNS管理器"中选中DNS服务器,单击鼠标右键,选择"属性"对话框中的"转发器"选项卡,在弹出的如图13-7所示的对话框中应如何配置
图13-7
【问题4】〔2分〕
网络C的WindowsServer2003Server服务器上配置了DNS服务,在该服务器上两次使用nslookupsohu命令得到的结果如图13-8所示,由结果可知,该DNS服务器〔6〕。
图13-8
【问题5】〔3分〕
在网络B中,除PC5电脑以外,其它的电脑都能访问网络A的WWW服务器,而PC5电脑与网络B内部的其它PC机器都是连通的。
分别在PC5和PC6上执行命令ipconfig,结果信息如图13-9和图13-10所示:
图13-9
图13-10
请问PC5的故障原因是什么如何解决
试题三〔共15分〕
阅读以下说明,答复以下问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司总部和分支机构的网络配置如图13-11所示。
在路由器R1和R2上配置IPSec
安全策略,实现分支机构和总部的安全通信。
图13-11
【问题1】〔4分〕
图13-12中〔a〕、〔b〕、〔c〕、〔d〕为不同类型IPSec数据包的示意图,其中〔1〕和〔2〕工作在隧道模式;〔3〕和〔4〕支持报文加密。
图13-12
【问题2】〔4分〕
下面的命令在路由器R1中建立IKE策略,请补充完成命令或说明命令的含义。
R1〔config〕#cryptoisakmppolicy110 进入ISAKMP配置模式
R1〔config-isakmp〕#encryptiondes〔5〕
R1〔config-isakmp〕# 〔6〕采用MD5散列算法
R1〔config-isakmp〕#authenticationpre-share 〔7〕
R1〔config-isakmp〕#group1
R1〔config-isakmp〕#lifetime 〔8〕安全关联生存期为1天
【问题3】〔4分〕
R2与R1之间采用预共享密钥"12345678"建立IPSec安全关联,请完成下面配置命令。
R1〔config〕#cryptisakmpkey12345678address 〔9〕
R2〔config〕#cryptisakmpkey12345678address 〔10〕
【问题4】〔3分〕
完成以下ACL配置,实现总部主机.3和分支机构主机10.0.2.3的通信。
R1〔config〕#access-list110permitiphost 〔11〕 host 〔12〕 R2〔config〕#access-list110permitiphost 〔13〕
试题四〔共15分〕
阅读以下说明,答复以下问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图13-13所示。
图13-13
在防火墙上利用show命令杳询当前配置信息如下:
PIX#showconfig
…
nameifeth0outsidesecurity0
nameifethlinsidesecurity100
nameifeth2dmzsecurity40
…
fixupprotocolftp21〔1〕
fixupprotocol80
ipaddressdmz
…
nat〔inside〕1
…
routeoutside.00.0.0.061.144.51.451〔2〕
…
【问题1】〔4分〕 解释〔1〕、〔2〕处画线语句的含义。
【问题2】〔6分〕 根据配置信息,填写表13-1.
表13-1
【问题3】〔2分〕
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是〔7〕。
【问题4】〔3分〕
如果需要在dmz域的服务器〔IP地址为.100〕对Internet用户提供Web服务〔对外公开IP地址为61.144.51.43〕,请补充完成以下配置命令。
PIX〔config〕#static〔dmz,outside〕〔8〕〔9〕
PIX〔config〕#conduitpermittcphost〔10〕eqwwwany
试题五〔共15分〕
阅读以下说明,答复以下问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】 在大型网络中,通常采用DHCP完成基本网络配置会更有效率。
【问题1】〔1分〕
在Linux系统中,DHCP服务默认的配置文件为〔1〕。
〔1〕备选答案:
【问题2】〔共4分〕
管理员可以在命令行通过〔2〕命令启动DHCP服务;通过〔3〕命令停止DHCP服务。
〔2〕、〔3〕备选答案:
A.servicedhcpdstart B.servicedhcpdup C.servicedhcpdstop D.servicedhcpddown
【问题3】〔10分〕
在Linux系统中配置DHCP服务器,该服务器配置文件的部分内容如下:
subnet192.168.1.0netmask255.255.255.0{
optionrouters192.168.1.254;
optionsubnet-mask255.255.255.0;
optionbroadcast-address192.168.1.255;
optiondomain-name-servers192.168.1.3;
range192.168.1.100 192.168.1.200;
default-lease-time21600;
max-lease-time43200;
hostwebserver{
hardwareethernet52:
54:
AB:
34:
5B:
09;
fixed-address192.168.1.100;
}
}
在主机webserver上运行ifconfig命令时显示如图13-14所示,根据DHCP配置,填写空格中缺少的内容。
图13-14 ifconfig命令运行结果
该网段的网关IP地址为〔7〕,域名服务器IP地址为〔8〕。
试题一分析
问题1解析:
根据学校无线网络的需求在学校操场要求部署AP,该操场区域不能提供外接电源,由此可以判断连接学校操场无线AP的是POE〔PoweroverEthernet〕交换机,是一种可以在以太网<:
//zh.wikipedia.org/zh-tw/%E4%B9%99%E5%A4%AA%E7%B6%B2%E8%B7%AF>中通过双绞线<:
//zh.wikipedia.org/zh-tw/%E5%8F%8C%E7%BB%9E%E7%BA%BF>来为连接设备提供电源的技术。
它可以通过交换机的以太口为AP提供直流电。
问题2解析:
IEEE802.11先后提出了以下多个标准,最早的802.11标准只能够到达1~2Mbps的速度,在制订更高速度的标准时,就产生了802.11a和802.11b两个分支,后来又推出了802.11g的新标准,如表13-2所示。
表13-2 无线局域网标准
注:
ISM是指可用于工业、科学、医疗领域的频段;U-NII是a指用于构建国家信息基础的无限制频段。
图书馆报告厅需要部署10台无线AP,在配置过程中发现信号相互干扰严重,这时应调整无线AP的频道设置,用户在该报告厅内应选择SSID,接入不同的无线AP.其中SSID为用来标识不同的无线网络信号。
如图13-15所示:
图13-15
问题3解析:
假设在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设置不广播SSID.通常无线AP默认开启SSID广播,在其覆盖范围内,所有具备无线网卡的电脑都可以查看并连接到该网络,如将其SSID广播禁用,则只有知道正确SSID的电脑才能连接至该无线网络,这样可到达安全限制的目的。
同时对客户端的MAC地址进行过滤,如图13-16所示:
图13-16
单击"添加新条目":
如图13-17
图13-17
无线网络加密主要有三种方式:
WEP、WPA/WPA2、WPA-PSK/WPA2-PSK.在这三种模式中,安全性最好的是WPA-PSK/WPA2-PSK,其加密过程采用了TKIP和AES算法。
如图13-18所示:
图13-18
其中WEP加密是无线加密中最早使用的加密技术,也是目前最常用的,大部分网卡都支持该种加密。
但是后来发现WEP是很不安全的,802.11组织开始着手制定新的安全标准,也就是后来的802.11i协议。
IEEE802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP〔TemporalKeyIntegrityProtocol〕、CCMP〔Counter-Mode/CBC-MACProtocol〕和WRAP〔WirelessRobustAuthenticatedProtocol〕三种加密机制。
其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法到达提高WLAN安全的目的。
CCMP机制基于AES加密算法和CCM〔Counter-Mode/CBC-MAC〕认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。
由于AES对硬件要求比较高,因此,CCMP无法通过在现有设备的基础上进行升级实现。
WRAP机制基于AES加密算法和OCB〔OffsetCodebook〕,是一种可选的加密机制。
试题一参考答案
【问题1】〔4分〕 〔1〕PoE或者802.3af 〔2〕以太或者Ethernet
【问题2】〔6分〕 〔3〕11 〔4〕54 〔5〕D 〔6〕C 〔7〕A 〔8〕E.
【问题3】〔5分〕 〔9〕SSID 〔10〕MAC 〔11〕WEP 〔12〕WPA-PSK/WPA2-PSK 〔13〕A.
试题二分析
问题1解析:
此题考查的为Windows2003平台下DNS服务器的配置,Windows2003中新建区域,是为了让域名能和指定的IP地址建立起对应关系。
这个时候应该填写其根域名,因此〔1〕应该填写abc.edu.根据问题1的要求,要能够正确解析本地Web站点的域名,因此图13-4中添加的主机的名称即空〔2〕应该为
而主机名填写相应的域名即可,即abc.edu<:
//abc.edu>.
问题3解析:
DNS服务器1负责本网络区域的域名解析,对于非本网络的域名,可以通过设置"转发器",将自己无法解析的名称转到网络C中的DNS服务器2进行解析。
设置步骤:
首先在"DNS管理器"中选中DNS服务器,单击鼠标右键,选择"属性"对话框中的"转发器"选项卡,在选项卡中选中"启用转发器",在IP地址栏输入"51.202.22.18",单击"添加"按钮,然后单击"确定"按钮关闭对话框。
问题4解析:
如图13-8所示,如abc<:
//abc/>对应于多个IP地址时DNS每次解析的顺序都不同,则表示其启用了循环功能。
问题5解析:
由网络拓扑图可知,PC5和PC6属于同一网段,导致PC5不能正确访问WWW服务器的原因在于的默认网关配置错误,导致数据包到达不了正确的网关,将默认网关IP地址修改为正确网关地址"192.168.0.3"即可。
试题二参考答案
【问题1】〔5分〕 〔1〕abc.edu 〔2〕www
【问题2】〔3分〕〔3〕用IP地址查询对应的域名〔4〕210.43.16〔5〕abc.edu<:
//abc.edu>
【问题3】〔3分〕 选中"启用转发器",在IP地址栏输入"51.202.22.18",单击"添加"按钮,然后单击"确定"按钮关闭对话框。
【问题4】〔2分〕 〔6〕A或启用了循环功能
【问题5】〔3分〕 PC5的默认网关配置错误〔2分〕,将默认网关IP地址修改为"192.168.0.3".
试题三分析
问题1解析:
IPSec有隧道和传送两种工作方式。
在隧道方式中,用户的整个IP数据包被用来计算ESP头,且被加密,ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层〔如TCP、UDP、ICMP〕数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。
当IPSec通信的一端为安全网关时,必须采用隧道方式。
IPsec使用两种协议来提供通信安全――身份验证报头〔AH〕和封装式安全措施负载〔ESP〕。
身份验证报头〔AH〕可对整个数据包〔IP报头与数据包中的数据负载〕提供身份验证、完整性与抗重播保护。
但是它不提供保密性,即它不对数据进行加密。
数据可以读取,但是禁止修改。
封装式安全措施负载〔ESP〕不仅为IP负载提供身份验证、完整性和抗重播保护,还提供机密性。
传输模式中的ESP不对整个数据包进行签名。
只对IP负载〔而不对IP报头〕进行保护。
ESP可以独立使用,也可与AH组合使用。
问题2解析:
VPN的基本配置:
配置信息描述:
一端服务器的网络子网为.0/24,路由器为172.30.1.2;另一端服务器为10.0.2.0/24,路由器为172.30.2.2.
主要步骤:
1.确定一个预先共享的密钥〔保密密码〕〔以下例子保密密码假设为testpwd〕
2.为SA协商过程配置IKE.
3.配置IPSec.
〔1〕配置IKE
CsaiR〔config〕#cryptoisakmppolicy1 //policy1表示策略1,假设想多配几VPN,可以写成policy2、policy3…
CsaiR〔config-isakmp〕#group1 //group命令有两个参数值:
1和2.参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
在通信比较少时,最好使用group1长度的密钥。
CsaiR〔config-isakmp〕#authenticationpre-share //告诉路由器要使用预先共享的密码。
CsaiR〔config-isakmp〕#lifetime3600 //对生成新SA的周期进行调整。
这个值以秒为单位,默认值为86400〔24小时〕。
值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
CsaiR〔config〕#cryptoisakmpkeytestaddress200.20.25.1 //返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。
相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1.
〔2〕配置IPSec
CsaiR〔config〕#access-list130permitip192.168.1.0.255172.16.10.00.0.0.255 //在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
CsaiR〔config〕#cryptoipsectransform-setvpn1ah-md5-hmacesp-desesp-md5-hmac //这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。
在两端的路由器上,这个名称可以相同,也可以不同。
以上命令是定义所使用的IPSec参数。
为了加强安全性,要启动验证报头。
由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。
最后,还要定义DES作为保密密码钥加密算法。
CsaiR〔config〕#cryptomapshortsec60ipsec-isakmp //Map优先级,取值范围1~65535,值越小,优先级越高。
参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
CsaiR〔config-crypto-map〕#setpeer200.20.25.1 //这是标识对方路由器的合法IP地址。
在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1.
CsaiR〔config-crypto-map〕#settransform-setvpn1
CsaiR〔config-crypto-map〕#matchaddress130 //这两个命令分别标识用于VPN连接的传输设置和访问列表。
CsaiR〔config〕#interfaces0
CsaiR〔config-if〕#cryptomapshortsec //将刚刚定义的密码图应用到路由器的外部接口。
最后一步保存运行配置,最后测试这个VPN的连接,并且确保通信是按照预期规划进行的。
问题3解析:
详见问题2解析。
问题4解析:
详见问题2解析。
试题三参考答案
【问题1】〔4分,各1分〕〔1〕〔2〕c、d〔顺序可交换〕〔3〕〔4〕b、d〔顺序可交换〕
【问题2】〔4分,各1分〕〔5〕加密算法为DES 〔6〕hashmd5 〔7〕认证采用预共享密钥
〔8〕86400
【问题4】〔3分,各1分〕〔11〕
试题四分析
问题1解析:
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是PIX防火墙要侦听的服务。
见下面例子:
例:
Pix525〔config〕#fixupprotocolftp21
启用FTP协议,并指定FTP的端口号为21.
设置指向内网和外网的静态路由采用route命令:
定义一条静态路由。
route命令配置语法:
route〔if_name〕00gateway_ip[metric]
其中参数解释如下:
if_name表示接口名字,例如inside,outside;
Gateway_ip表示网关路由器的ip地址;
[metric]表示到gateway_ip的跳数,通常缺省是1.
例:
Pix525〔config〕#routeoutside0061.144.51.1681
设置eth0口的默认路由,指向61.144.51.168,且跳步数为1.
问题2解析:
防火墙通常具有一般有3个接口,使用防火墙时,就至少产生了3个网络,描述如下:
内部区域〔内网〕。
内部区域通常就是指企业内部网络或者是企业内部网络的一部分。
它是互连网络的信任区域,即受到了防火墙的保护。
外部区域〔外网〕。
外部区域通常指Internet或者非企业内部网络。
它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
非军事区〔DMZ,又称停火区〕。
是一个隔离的网络,或几个网络。
位于区域内的主机或服务器被称为堡垒主机。
一般在非军事区内可以放置Web、Mail服务器等。
停火区对于外部用
升级会员 