杏花亭中级网络工程师下半年下午试题.docx

杏花亭中级网络工程师下半年下午试题.docx

《杏花亭中级网络工程师下半年下午试题.docx》由会员分享，可在线阅读，更多相关《杏花亭中级网络工程师下半年下午试题.docx（28页珍藏版）》请在冰豆网上搜索。

杏花亭中级网络工程师下半年下午试题

中级网络工程师2014下半年下午试题

试题一

阅读以下说明，根据要求回答下面问题。

  [说明]

  某企业的网络结构如下图所示。

1、图中的网络设备①应为______，网络设备②应为______，从网络安全的角度出发，Switch9所组成的网络一般称为______区。

  2．图中③处的网络设备的作用是检测流经内网的信息，提供对网络系统的安全保护。

该设备提供主动防护，能预先对入侵活动和攻击性网络流量进行拦截，避免造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。

网络设备③应为______，其连接的Switch1的G1/1端口称为______端口，这种连接方式一般称为______。

2、随着企业用户的增加，要求部署上网行为管理设备，对用户的上网行为进行安全分析、流量管理、网络访问控制等，以保证正常的上网需求。

部署上网行为管理设备的位置应该在上图中的______和______之间比较合理。

  2．网卡的工作模式有直接、广播、多播和混杂四种模式，默认的工作模式为______和______，即它只接收广播帧和发给自己的帧。

网络管理机在抓包时，需要把网卡置于______，这时网卡将接受同一子网内所有站点所发送的数据包，这样就可以达到对网络信息监视的目的。

3、针对上图中的网络结构，各台交换机需要运行______协议，以建立一个无环路的树状网络结构。

按照该协议，交换机的默认优先级值为______，根交换机是根据______来选择的，值小的交换机为根交换机；如果交换机的优先级相同，再比较______。

  当上图中的Switch1～Switch3之间的某条链路出现故障时，为了使阻塞端口直接进入转发状态，从而切换到备份链路上，需要在Switch1～Switch3上使用______功能。

4、根据层次化网络的设计原则，从上图中可以看出该企业网络采用了由______层和______层组成的两层架构。

其中，MAC地址过滤和IP地址绑定等功能是由______完成的，分组的高速转发是由______完成的。

试题一答案

1、路由器或边界路由器  防火墙或统一安全网关（LISG），或其他具有类似功能的网络安全设备  DMZ或非军事  入侵防护系统（IPS）或基于网络的入侵防护系统（NIPS）  镜像  旁路模式

[解析]由上图所给出的设备连接信息可知，该企业网络拓扑按分区域、层次化结构进行设计，主要分为网络出口区域、外部服务器区域、核心交换区域、接入交换区域、网络管理区域等。

路由器具有广域网互连、隔离广播信息和异构网互连等能力，是企业网与Internet连接必不可少的网络互连设备。

该企业网要接入Internet，因此需要在企业网的边界（即网络设备①处）部署一台路由器，用于实现边界路由计算；在网络设备④处部署一台防火墙，用于实现服务器区域、企业内网区域和网络出口区域之间的逻辑隔离，提高服务器区域和企业内网区域的网络安全性能。

  防火墙中的DMZ区也称为非军事区，它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。

这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。

在上图中，Switch9所组成的网络区域内放置了一些公开的服务器，例如企业Web服务器、DNS服务器、E-mail服务器等。

因此，从网络安全的角度考虑，Switch9所组成的网络一般称为非军事区（或DMZ区）。

  入侵防护系统（IPS）是一种主动防护的网络安全技术，所有接收到的数据包都要经过它检查之后来决定是否放行，或执行缓存、抛弃策略。

当发生攻击时及时发出警报，并将网络攻击事件及所采取的措施和结果进行记录。

依题意，在图中网络设备③应部署入侵防护系统（IPS）。

对于交换型网络，交换机仅将数据包转发到相应的端口。

因此需要对交换机进行端口镜像配置，以将流向各端口的数据包复制一份给监控端口，IPS从监控端口获取数据包并进行分析和处理。

因此，网络设备③连接到Switch1的G1/1端口称为镜像端口（即镜像的目标端口）。

这种连接方式通常称为旁路模式。

2、防火墙或网络设备②  Switch1  广播模式  直接模式  混杂模式

[解析]在企业网络中通过部署上网行为管理设备，对用户的上网行为进行安全分析、网页访问过滤、网络访问控制、带宽流量管理、信息收发审计等，以保证正常上网需求。

通常，将上网行为管理设备串接在防火墙（网络设备②）和核心交换机Switch1之间。

  网卡的工作模式有直接（Direct）、广播（BroadCast）、多播（MultiCast）和混杂（Promiscuous）4种模式。

其中，工作在直接模式下的网卡只接收目的地址是自己MAC地址的帧。

工作在广播模式的网卡接收物理地址（MAC地址）为0xFFFFFF的广播帧。

多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收，而组外主机却接收不到。

但是若将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员。

工作在混杂模式下的网卡将接收所有流过它的帧。

网卡的默认工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。

网络管理机在抓包时，需要把网卡置于混杂模式，这时网卡将接受同一子网内所有站点所发送的数据包，这样就可以达到对网络信息监视捕获的目的。

3、STP或生成树协议  32768  交换机ID  交换机MAC地址  BackboneFast

[解析]生成树协议（STP）是一种根据生成树算法制定的协议，能够逻辑地阻断网络中存在的冗余链路，以消除路径中的环路，并可以在活动路径出现故障时，重新激活冗余链路来恢复网络的连通，保证网络的正常工作。

在上图中，核心交换机Switch1～Switch3之间形成一个物理闭合环路。

若不采取任何措施，将会带来数据包广播风暴等网络故障。

为了使该企业网能够正常运行，需要在图中各台交换机需要运行STP协议，以建立一个无环路的树状结构网络。

  生成树优先级的取值范围是0～61440，增量为4096。

优先级的值越小，优先级越高。

默认情况下，交换机的生成树优先级值为32768。

  由交换机构成的局域网中，构造生成树首先要选择一台交换机作为生成树的根。

实现方法是选择交换机ID最小的交换机作为根交换机。

通常，运行STP的每台交换机的ID由优先级值（长度为2B）和交换机MAC地址（长度为6B）组成。

如果每台交换机的优先级相同，则再比较交换机MAC地址的大小。

  STP的BackboneFast功能是使阻塞端口无须等待一个生成树最大存活时间（约30s），而直接进入转发状态，从而提高交换机到根交换机的间接链路失效情况下的收敛速度。

在上图中，Switch1～Switch3是网络的骨干交换机。

当它们相互之间的某条链路（例如Switch1与Switch2之间的链路）发生故障时，为了使阻塞端口直接进入转发状态，从而切换到备份链路（例如Switch1与Switch3之间的链路）上，则需要在Switch1～Switch3上使能STP的BackboneFast功能。

4、核心  接入  接入层  核心层

[解析]根据层次化网络的设计原则，从上图中可以看出该企业网络采用了由核心层和接入层组成的两层架构。

其中，分组的高速转发、接入Internet等功能是由核心层完成，MAC地址过滤、IP地址绑定、计费管理、访问日志记录等功能是由接入层完成的。

试题二

阅读以下说明，根据要求回答下面问题。

  [说明]

  某中学为两个学生课外兴趣小组提供了建立网站的软硬件环境。

网站环境的基本配置方案如下：

  1．两个网站配置在同一台服务器上，网站服务由Win2003环境下的IIS6.0提供；

  2．网站的管理通过Win2003的远程桌面实现，并启用Win2003的防火墙组件；

  3．为兴趣小组建立各自独立的文件夹作为上传目录和网站的主目录，对用户使用磁盘空间大小进行了设定；

  4．通过不同的域名分别访问课外兴趣小组各自的网站。

  按照方案，学校的网络工程师安装了Win2003服务器，使用IIS6.0建立Web及FTP服务器，配置了远程桌面管理、防火墙，在服务器上为两个课外兴趣小组分配了不同的用户名，进行了初步的权限配置。

5、Windows2003远程桌面服务的默认端口是______，对外提供服务使用______协议。

  在下图中，若要拒绝外部设备PING服务器，在防火墙的ICMP配置界面上应该如何操作?

6、在下图中，Web服务扩展选项中“所有未知CGI扩展禁止”的含义是什么?

  2．在上图中，如何配置Web服务扩展，网站才能提供对或asp程序的支持。

7、在上图中，选择IIS管理器中的“FTP站点→新建→虚拟目录”，分别设置FTP用户与______、______的对应关系。

  由于IIS内置的FTP服务不支持______，因此FTP用户密码是以明文方式在网络上传输，安全性较弱。

8、在IIS6.0中，每个Web站点都具有唯一的、由三部分组成的标识符，用来接收和响应请求，分别是______、______和______。

网络工程师通过单击网站属性→网站→高级选项，通过添加______的方式在一个IP地址上建立多个网站。

9、在______文件系统下，为了预防用户无限制的使用磁盘空间可以使用磁盘配额管理。

启动磁盘配额时，设置的两个参数分别是______和______。

试题二答案

5、3389  RDP或远程显示取消“允许传入回显请求”复选框的选中状态，然后单击【确定】按钮

[解析]远程桌面协议（RDP）是一个多通道的协议，提供了客户端（或称“本地电脑”）与服务器端（或称“远程电脑”）之间的连接服务。

通常，服务器端开放TCP3389端口来接收相关的通信数据。

在WindowsServet2003操作系统中，远程桌面服务的默认端口是3389，其对外提供服务使用RDP协议。

  命令ping通过发送ICMP的Echo请求报文并监听Echo应答报文，来检查与远程或本地计算机的连接。

在防火墙的[ICMP]选项卡中（如上图所示），若要拒绝外部设备ping服务器，则需要取消“允许传入回显请求”复选框的选中状态，然后单击[确定]按钮以保存这一配置信息。

6、1.禁止网站添加任何的CGI（通用网关接口）扩展（指向.exe文件的应用程序扩展）  2.将“ActivceServerPages”的状态由“禁止”更改为“允许”

[解析]“Web服务扩展”功能用于确保IIS的安全。

默认安装的IIS在Web服务扩展处全部都为禁用，只允许访问静态页面。

若需要用到某个功能，则需要先在“Web服务扩展”中开启对应功能。

如果在网站中添加了新的后缀对应的应用程序扩展（例如.php），也需要在“Web服务扩展”处添加该扩展并设置成允许后才可以使用。

例如，如果开启“所有未知CGI（通用网关接口）扩展”功能，则网站添加任何的CGI扩展（指向.exe文件的应用程序扩展）都被允许执行；如果开启“所有未知ISAPI（服务器应用程序编程接口）扩展”功能，则网站添加任何的。

ISAPI扩展（指向.dll文件的应用程序扩展）都被允许执行。

  如果网站需要提供对程序（以.aspx结尾）或asp程序（以.asp结尾）的支持，则在上图中应将“ActivceServerPages”由原先的“禁止”状态更改为“允许”状态。

7、主目录  目录的访问权限  SSL协议

[解析]FTP站点中的数据通常保存在主目录中，然而主目录所在的磁盘空间毕竟有限，不能满足日益增长的数据存储要求。

通过创建FTP站点虚拟目录可以较好地解决这个问题。

虚拟目录可以作为FTP站点主目录下的子目录来使用。

究其实质，虚拟目录是在FTP站点的根目录下创建一个子目录，然后将这个子目录指向本地磁盘中的任意目录或网络中的共享文件夹。

创建FTP虚拟目录的步骤如下：

  ①打开“Internet信息服务（IIS）管理器”窗口，在左窗格中展开[FTP站点]目录。

右键单击创建的FTP站点名称，在弹出的快捷菜单中依次选择[新建]→[虚拟目录]命令，打开[虚拟目录创建向导]对话框。

  ②在欢迎对话框中单击[下一步]按钮，打开的“虚拟目录别名”对话框。

用户可以根据需要设置连接到该虚拟目录时使用的名称。

虚拟目录的别名不必跟指向的实际目录名相同。

在[别名]文本框中输入虚拟目录名称，并单击[下一步]按钮。

  ③在打开“FTP站点内容目录”对话框，单击[浏览]按钮在本地磁盘中选中虚拟目录需要指向的实际目录，或者直接在[路径]文本框中输入目录的路径名称，并单击[下一步]按钮。

  ④在打开的“虚拟目录访问权限”对话框中设置该目录的访问权限，用户可以根据实际需要决定[读取]、[写入]、[记录访问]3个复选框的选中状态。

  ⑤依次单击[下一步]→[完成]按钮完成创建过程。

  由于IIS内置的FTP服务不支持安全套接层（SSL）协议，因此FTP用户名和密码是以明文方式在网络上传输，安全性较弱。

8、IP地址  端口号  主机头名称  不同的端口号或不同的主机头名称

[解析]在IIS6.0中，每个Web站点都具有唯一的由IP地址、端口号、主机头名称3个部分组成的标识符，用来接收和响应请求，如下图所示。

网络工程师通过单击网站属性→网站→高级选项，通过添加不同的端口号或主机头名称的方式，达到在同一个IP地址上建立多个网站。

9、NTFS  磁盘空间限制（或配额限制）  磁盘配额警告级别（或警告等级）

[解析]WindowsServer2003磁盘配额功能能够跟踪每个用户在每个盘符中的使用情况，并根据用户的磁盘配额进行控制。

由于配额是以每个用户为单位进行跟踪的，因此不管用户在某个NTFS格式的盘符下任何地方储存文件都会被记录。

需要注意的是，磁盘配额必须建立在NTFS格式的盘符上，否则将无法使用该功能。

换而言之，磁盘配额管理需要NTFS文件系统的支持。

启动磁盘配额时，需要分别设置“将磁盘空间限制为”和“将警告等级设为”两个参数，如下图所示。

试题三

阅读以下说明，根据要求回答下面问题。

  [说明]

  某企业的网络结构如下图所示。

  按照网络拓扑结构为该企业网络进行网络地址配置，地址分配如下表所示。

某企业网络地址分配表

设备

地址

Router-NAT

F0/1：

192.168.1.1/24

SO：

61.192.93.100/24

S1：

202.102.100.100/24

Web服务器

192.168.1.100

ISP-A

61.192.93.200/24

ISP-B

202.102.100.200/24

ISP-A地址池

61.192.93.100～61.192.93.102

ISP-B地址池

202.102.100.100～202.102.100.102

10、企业网络中使用私有地址，如果内网用户要访问互联网，一般使用______技术将私有网路地址转换为公网地址。

在使用该技术时，往往是用______技术指定允许转换的内部主机地址范围。

  一般来说，企业内服务器需要被外部用户访问，就必须对其做地址变换，内部服务器映射的公共地址不能随意更换，需要使用______NAT技术。

但是对于企业内部用户来讲，使用一一映射的技术为每个员工配置一个地址很不现实，一般使用______NAT技术以提高管理效率。

11、一般企业用户可能存在于任何一家运营商的网络中，为了确保每个运营商网络中的客户都可以高效地访问本企业所提供的网络服务，企业有必要同时接入多个运营商网络。

根据企业网络的拓扑图和网络地址规划表，实现该企业出口的双线接入。

  首先，为内网用户配置NAT转换，其中以61.192.93.0/24代表ISP-A所有网段；其次为外网用户访问内网服务器配置NAT转换。

根据需求，完成以下Route-NAT的有关配置命令。

  Route-Switch（config）#access-list100permitipany61.192.93.00.0.0.255

  //定义到达ISP-A所有网段的ACL

  Route-Switch（config）#access-list101______ipany61.192.93.00.0.0.255

  Route-Switch（config）#access-list101______

  //定义到达ISP-B所有网段的ACL

  RoUte-Switch（config）#ipnatpoolISP-A______netmask255.255.255.0

  //定义访问ISP-A的合法地地池

  Route-Switch（config）#ipnatpoolISP-B______netmask255.255.255.0

  //定义访问ISP-B的合法地址池

  Route-Switch（config）#ipnatinsidesourceliSt100poolISP-Aoverload

  Route-Switch（confg）#ipnatinsidesource______

  //为内网用户实现区分目标运营商网络进行匹配的NAT转换

  Route-Switch（config）#ipnatinsidesourcestatictcp______extendable

  //为内网WEB服务器配置ISP-A的静态NAT转换

  Route-Switch（config）#ipnatinsidesourcestatictcp______extendable

//为内网WEB服务器配置ISP-B的静态NAT转换

deny

  permitipany202.102.100.00.0.0.255

  61.192.93.10061.192.93.102

  202.102.100.100202.102.100.102

  list101poolISP-Boverload

  192.168.1.1008061.192.93.20080

  192.168.1.10080202.102.100.10080

12、在路由器的内部和外部接口启用NAT，同时为了确保内网可以访问外部网络，在出口设备配置静态路由。

根据需求，完成（或解释）Route-NAI的部分配置命令。

  Route-Switch（config）#ints0

  Route-Switch（config）#______  //指定NAT的外部转换接口

  Route-Switch（config）#ints1

  Route-Switch（config）#______  //指定NAT的外部转换接口

  Route-Switch（config）#intf0/1

  Route-Switch（config）#______  //指定NAT的内部转换接口

  Route-Switch（config）#______  //配置到达ISP-A的流量从s0口转发

  Route-Switch（config）#______  //配置默认路由指定从s1口转发

Route-Switch（config）#iproute0.0.0.00.0.0.0s0120  //______

iPnatoutside

  iPnatoutside

  iPnatinside

  iProute61.192.93.0255.255.255.0sO

iProute0.0.0.00.0.0.0S1

 配置默认路由指定从s0接口转发，管理距离为120

13、QoS（服务质量）主要用来解决网络延迟和阻塞等问题，它主要有三种工作模式，分别为______模型、IntegratedService（或集成服务）模型及______模型，其中使用比较普遍的方式是______模型。

试题三答案

10、网络地址转换或NAT  访问控制列表或ACL  静态  动态

[解析]网络地址转换（NAT）技术的主要功能是将组织机构网络中使用的某一类IP地址（如私有IP地址10.x.x.x、172.15.x.x～172.31.x.x、192.168.x.x等）转换成另一类IP地址（如公网IP地址）。

它被广泛应用于各种Internet接入方式和各种类型的网络中。

因为NAT不仅能够解决IP地址短缺的问题，还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

在使用NAT技术时，往往是用访问控制列表（ACL）技术指定允许转换的内部主机地址范围。

  NAT主要有静态NAT、动态NAT和端口地址转换（PAT）3种转换方式。

其中，静态NAT是指将IP地址一对一地映射到指定的合法IP地址。

动态NAT是先定义一个外部网络合法的IP地址池，转换时动态选择一个未使用的地址与内部地址进行一对一的转换。

PAT允许多个内部地址同时共用一个外部IP地址池，外部网络通过端口号来唯一标识某个内部IP地址，即实现端口级的复用。

  由于企业网中内部服务器映射的公共地址不能随意更换，因此需要使用静态NAT技术。

  对于企业内部用户而言，通常使用动态NAT技术来提高网络管理效率。

11、deny

  permitipany202.102.100.00.0.0.255

  61.192.93.10061.192.93.102

  202.102.100.100202.102.100.102

  list101poolISP-Boverload

  192.168.1.1008061.192.93.20080

  192.168.1.10080202.102.100.10080

[解析]在路由器上配置访问控制列表（ACL）的一般操作步骤是：

①定义一个标准（或扩展）的ACL；②为ACL配置包过滤的准则；③配置ACL的应用接口。

在路由器全局配置模式下，配置扩展ACL的命令是access-listaccess-list-number{permit|deny}protocolsourcewildcard-maskdestinationwildcard-mask[operator][operand]。

其中，表号access-list-number可以是100～199和2000～2699范围中的任何一个数字；通配符（wildcard-mask）是子网掩码的反码形式；operator（操作）指的是lt（小于）、gt（大于）、eq（等于）和neq（不等于）；operand（操作数）指的是端口号。

  依题意，配置语句access-list100permitipany61.192.93.00.0.0.255的功能是，定义一条表号为1