杏花亭中级网络工程师下半年下午试题教材.docx
《杏花亭中级网络工程师下半年下午试题教材.docx》由会员分享,可在线阅读,更多相关《杏花亭中级网络工程师下半年下午试题教材.docx(21页珍藏版)》请在冰豆网上搜索。
杏花亭中级网络工程师下半年下午试题教材
中级网络工程师2006下半年下午试题
试题一
阅读以下说明,回答问题1至问题4。
【说明】
某学校计划建立校园网,拓扑结构如图12-1所示。
该校园网分为核心、汇聚和接入三层,由交换模块、广域网接入模块、远程访问模块和服务器群四大部分构成。
1、【问题1】
在校园网设计过程中,划分了很多VLAN,采用了VTP来简化管理。
1.VTP信息只能在
(1) 端口上传播。
2.运行VTP的交换机可以工作在三种模式:
(2) 、 (3) 、 (4) 。
3.共享相同VLAN数据库的交换机构成一个 (5) 。
2、【问题2】
该校园网采用了异步拨号进行远程访问,异步封装协议采用了PPP协议。
1.异步拨号连接属于远程访问中的电路交换服务,远程访问中另外两种可选的服务类型是:
(6) 和 (7) 。
2.PPP提供了两种可选的身份认证方法,它们分别是 (8) 和 (9) 。
3、【问题3】
该校园网内交换机数量较多,交换机间链路复杂,为了防止出现环路,需要在各交换机上运行 (10) 。
4、【问题4】
该校园网在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施。
安全技术
对应层次
(11)
外部网络传输控制层
(12)
内外网间访问控制层
(13)
内部网络访问控制层
(14)
数据存储层
(11)~(14)处备选答案:
A.IP地址绑定 B.数据库安全扫描
C.虚拟专用网(VPN)技术 D.防火墙
试题二
阅读以下关于Linux网关安装和配置过程的说明,回答问题1至问题5。
【说明】
当局域网中存在大量计算机时,根据业务的不同,可以将网络分成几个相对独立的子网。
图12-2是某公司子网划分的示意图,整个网络被均分为销售部和技术部两个子网,子网之间通过一台安装了Linux操作系统的双网卡计算机联通。
5、【问题1】
销售部的网络号是
(1) ,广播地址是
(2) :
技术部的网络号是 (3) ,广播地址是 (4) ;每个子网可用的IP地址有 (5) 个。
6、【问题2】
Linux网关计算机有两个网络接口(eth0和eth1),每个接口与对应的子网相连接。
该计算机/etc/sysconfig,/network文件清单为;
NETWORKING=yes
FORWARD_IPV4= (6)
HOSTNAME=gateway.ABC.com
/etc/sysconfig/network-scripts/ifcfg-eth0文件清单为:
DEVICE=eth0
IPADDR=192.168.1.126
NETMASK= (7)
……(以下略)
/etc/sysconfig/network-scripts/ifcfg-eth1文件清单为:
DEVICE=eth1
IPADDR=192.168.1.254
NETMASK= (8)
……(以下略)
(6)的备选答案:
A.yes B.no C.route D.gateway
7、【问题3】
在网关计算机/etc/sysconfig/network-scripts/目录中有以下文件,运行某命令可以启动网络,该命令是 (9) ,其命令行参数是 (10) 。
ifcfg-eth0 ifup ifup-sit
ifcfg-lo ifup-aliases ifup-si
ifdown ifup-cipcb ifup-wireless
ifdown-aliases ifup-ippp init.Ipv6-global
ifdown-cipcb ifup-ipv6 network-functions
ifdown-ippp ifup-ipx network-functions-ipv6
ifdown-ipv6 ifup-isdn
ifdown-isdn ifup-plip
ifdown-post ifup-plusb
ifdown-ppp ifup-post
ifdown-sit ifup-PPP
ifdown-sl ifup-routes
8、【问题4】
在网关计算机上使用以下路由命令创建两个默认的路由:
routeadd-net192.168.1.0 255.255.255.128 (11)
routeadd-net192.168.1.128 255.255.255.128 (12)
9、【问题5】
设置技术部和销售部的主机网络参数后,如果两个子网间的主机不能通信,用 (13) 命令来测试数据包是否能够到达网关计算机。
如果数据包可以达到网关但是不能转发到目标计算机上,则需要用命令cat/proc/sys/net/ipv4/ip_forward来确认网关计算机的内核是否支持IP转发。
如果不支持,该命令输出 (14) 。
(13)和(14)备选答案如下:
(13)A.traceroute B.tracert C.nslookup D.route
(14)A.1 B.0 C.yes D.no
试题三
阅读以下说明,回答问题1至问题5。
【说明】
通过SNMP可以获得网络中各种设备的状态信息,还能对网络设备进行控制。
在WindowsServer2003中可以采用IPSec来保护SNMP通信,配置管理站的操作步骤为:
先创建筛选器,对输入的分组进行筛选,然后创建IPSec策略。
10、【问题1】
在“管理工具”中运行“管理IP筛选器列表”,创建一个名为“SNMP消息”的筛选器。
在如图12-3所示的“IP筛选器向导”中指定IP通信的源地址,下拉列表框中应选择
(1) ;在如图12-4中指定IP通信的目标地址,下拉列表框中应选择
(2) 。
图12-3
图12-4
在图12-5所示的“选择协议类型”下拉列表框中应选择 (3) 。
对于SNMP协议,在图12-6中设置“从此端口”项的值为 (4) ,“到此端口”项的值为 (5) :
对于SNMPTRAP协议,在图12-6中设置“从此端口”项的值为 (6) ,“到此端口”项的值为 (7) 。
图12-5
图12-6
11、【问题2】
在创建IPSec安全策略时,规则属性窗口如图12-7所示。
在“IP筛选器列表”中应选择 (8) 。
12、【问题3】
在“新规则属性”对话框中打开“筛选器操作”选项卡,选择“Permit”,在图12-8中应选择 (9) ,同时选中“接受不安全的通讯,但总是使用IPSec响应(C)”和“使用会话密钥完全向前保密(PFS)(K)”复选框。
(9)的备选答案:
A.许可 B.阻止 C.协商安全
图12-7
图12-8
13、【问题4】
在图12-9所示的密钥交换设置对话框中,选中“主密钥完全向前保密(PFS)(P)”复选框,则“身份验证和生成新密钥间隔”默认值为480分钟和 (10) 个会话。
图12-9
14、【问题5】
为保证SNMP正常通信,被管理的其他计算机应如何配置?
试题四
阅读以下说明,回答问题1至问题6。
【说明】
某公司在WindowsServer2003中安装IIS6.0来配置Web服务器,域名为。
15、【问题1】
IIS安装的硬盘分区最好选用NTFS格式,是因为
(1) 和
(2) 。
A.可以针对某个文件或文件夹给不同的用户分配不同的权限
B.可以防止网页中的Applet程序访问硬盘中的文件
C.可以使用系统自带的文件加密系统对文件或文件夹进行加密
D.可以在硬盘分区中建立虚拟目录
16、【问题2】
为了禁止IP地址为202.161.158.239~202.161.158.254的主机访问该网站,在图12-10所示的“IP地址和域名限制”对话框中单击“添加”按钮,增加两条记录,如表12-1所示。
填写表12-1中的(3)~(5)处内容。
图12-10
IP地址
子网掩码
一组主机
(3)
(4)
一台主机
(5)
表12-1
17、【问题3】
实现保密通信的SSL协议工作在HTTP层和 (6) 层之间。
SSL加密通道的建立过程如下:
1.首先客户端与服务器建立连接,服务器把它的 (7) 发送给客户端;
2.客户端随机生成 (8) ,并用从服务器得到的公钥对它进行加密,通过网络传送给服务器;
3.服务器使用 (9) 解密得到会话密钥,这样客户端和服务器端就建立了安全通道。
(6)~(9)的备选答案如下:
A.TCP B.IP C.UDP D.公钥 E.私钥
P.对称密钥 G.会话密钥 H.数字证书 I.证书服务
18、【问题4】
在IIS中安装SSL分5个步骤,这5个步骤的正确排序是 (10) 。
A.配置身份验证方式和SSL安全通道
B.证书颁发机构颁发证书
C.在IIS服务器上导入并安装证书
D.从证书颁发机构导出证书文件
E.生成证书请求文件
19、【问题5】
在安装SSL时,在“身份验证方法”对话框中应选用的登录验证方式是 (11) 。
A.匿名身份验证 B.基本身份验证
C.集成Windows身份验证 D.摘要式身份验证
E.NetPassport身份验证
20、【问题6】
如果用户需要通过SSL安全通道访问该网站,应该在IE的地址栏中输入 (12) 。
SSL默认侦听的端口是 (13) 。
试题五
阅读下面的说明,回答问题1至问题4。
【说明】
某企业园区网采用了三层架构,按照需求,在网络中需要设置VLAN、快速端口、链路捆绑、Internet接入等功能。
该园区网内部分VLAN和IP地址如表12-2所示。
表12-2
VLAN号
VLAN名称
IP网段
默认网关
说 明
Vlan1
192.168.1.0/24
192.168.1.254
管理Vlan
Vlanl0
Xsb
192.168.10.0/24
192.168.10.254
销售部Vlan
Vlan20
Scb
192.168.20.0/24
192.168.20.254
生产部Vlan
Vlan30
Sjb
192.168.30.0/24
192.168.30.254
设计部Vlan
Vlan50
Fwq
192.168.50.0/24
192.168.50.254
服务器Vlan
21、【问题1】
某交换机的配置命令如下,根据命令后面的注释,填写
(1)~(3)处的空缺内容,完成配置命令。
Switch(config)#
(1) //将交换机命名为Sw1
Swl(config)#interfacevlan1
Swl(config-if)#
(2) //设置交换机的IP地址为192.168.1.1/24
Swl(config-if)#noshutdown
Swl(config)# (3) //设置交换机默认网关地址
22、【问题2】
在核心交换机中设置了各个VLAN,在交换机Sw1中将端口1~20划归销售部,请完成以下配置。
Swl(config)#interfacerangefastethernet0/1-20 //进入组配置状态
Swl(config-if-range)# (4) //设置端口工作在访问(接入)模式
Swl(config-if-range)# (5) //设置端口1~20为VLAN10的成员
23、【问题3】
1.在默认情况下,交换机刚加电启动时,每个端口都要经历生成树的四个阶段,它们分别是:
阻塞、侦听、 (6) 、 (7) 。
2.根据需求,需要将Swl交换机的端口1~20设置为快速端口,完成以下配置。
Swl(config)#interfacerangefastethernet0/1-20 //进入组配置状态
Swl(config-if-range)# (8) //设置端口1~20为快速端口
24、【问题4】
该网络的Internet接入如图12-11所示:
根据图12-11,解释以下配置命令,填写空格(9)~(12):
1.Router(config)#interfaces0/0
2.router(config-if)#ipaddress61.235.1.1 255.255.255.252 (9)
3.router(config)#iproute0.0.0.0 0.0.0.0 s0/0 (10)
4.router(config)#iproute192.168.0.0 255.255.255.0f0/0 (11)
5.router(config)#access-list100denyanyanyeqtelnet (12)
答案:
试题一
1、
(1)Trunk
(2)VTPServer或服务器模式
(3)VTPCIient或客户端模式
(4)VTPTransparent或透明模式
(2),(3),(4)处答案次序任意
(5)VTP管理域
[解析]
本问题考查的是VTP的基本概念
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需要在一台交换机上定义所有VLAN,然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
VTP(VLANTrunkProtocol,VLAN干道协议)的功能与GVRP相似,也是用来使VLAN配置信息在交换网内其他交换机上进行动态注册的一种二层协议。
在一台VTPServer上配置一个新的VLAN信息,则该信息将自动传播到本域内的所有交换机,从而减少在多台设备上配置同一信息的工作量,并且方便了管理。
VTP信息只能在Trunk端口上传播。
任何一台运行VTP的交换机可以工作在以下三种模式:
VTPServer、VTPCIient及VTPTransparent。
其中:
(1)VTPServer维护该VTP域中所有VLAN信息列表,可以增加、删除或修改VLAN
(2)VTPCIient也维护该VTP域中所有VLAN信息列表,但不能增加、删除或修改VLAN,任何变化的信息必须从VTPServer发布的通告报文中接收;
(3)VTPTransparent不参与VTP工作,它虽然忽略所有接收到的VTP信息,但能够将接收到的VTP报文转发出去,它只拥有本设备上的VLAN信息;
交换VTP更新信息的所有交换机必须配置为相同的管理域。
如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都将加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
2、(6)专线连接
(7)分组交换
(6),(7)处答案可以互换
(8)口令认证协议(PasswordAuthenticationProtocol,PAP)
(9)质询握手认证协议(ChallengeHandshakeAuthenticationProtocol,CHAP)
(8),(9)处答案可以互换
[解析]
本问题考查的是远程访问和异步拨号连接的知识。
远程访问是园区网络必须提供的服务之一。
它可以为家庭办公用户和出差在外的员工提供移动接入服务。
远程访问有三种可选的服务类型:
专线连接、电路交换和包交换。
不同的广域网连接类型提供的服务质量不同,花费也不相同。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(PublicSwitchedTelephoneNetwork,PSTN)上提供服务的。
传统PSTN提供的服务也被称为简易老式电话业务(PlanOldTelephoneSystem,POTS)。
因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。
因此,异步拨号连接也就成为最为方便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如HDLC、PPP等。
其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑和回叫等,因此更具优势。
PPP提供了两种可选的身份认证方法:
口令验证协议PAP(PasswordAuthenticationProtocol,PAP)和质询握手协议(ChallengeHandshakeAuthenticationProtocol,CHAP)。
PAP是一个简单的、实用的身份验证协议。
PAP认证进程只在双方的通信链路建立初期进行。
如果认证成功,在通信过程中不再进行认证;如果认证失败,则直接释放链路。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。
同时,身份认证可以随时进行,包括在双方正常通信过程中。
因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
CHAP对端系统要求很高,因为需要多次进行身份质询、响应,要耗费较多的CPU资源,因此只用在对安全要求很高的场合。
PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带宽。
3、(10)生成树协议(SpanningTreeProtocol,STP)
[解析]
本问题考查的是生成树协议方面的知识。
生成树协议(SpanningTree)定义在IEEE802.1D中,是一种链路管理协议,它为网络提供路径冗余的同时防止产生环路。
为使以太网更好地工作,两个工作站之间只能有一条活动路径。
STP允许网桥之间相互通信以发现网络物理环路。
该协议定义了一种算法,网桥能够使用它创建无环路(loop-free)的逻辑拓朴结构。
换句话说,STP创建了一个由无环路树叶和树枝构成的树结构,跨越了整个第二层网络。
生成树协议操作对终端站透明,也就是说,终端站并不知道它们自己是否连接在单个局域网段或多网段中。
当有两个网桥同时连接相同的计算机网段时,生成树协议可以允许两网桥之间相互交换信息,这样只需要其中一个网桥来处理两台计算机之间传输的信息。
4、(11)C或虚拟专用网(VPN)技术
(12)D或防火墙
(13)A或IP地址绑定
(14)B或数据库安全扫描
[解析]
在网络安全方面,可以采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,进而对各层的安全采取不同的技术措施。
1.外部网络传输控制层
外部网络是指局域网路由器和防火墙之外的公用网。
当前网络技术发展迅速,因特网四通八达,网上黑客手段多种多样,为了保证安全,可以从以下方面采取措施:
虚拟专网(VPN)技术;身份认证技术;加密技术;物理隔离等。
2.内外网间访问控制层
在内部局域网和外部网络之间,可以采用以下技术来对外部和内部网络间的访问进行控制:
防火墙;防毒网关:
网络地址转换技术;代理服务及路由器;入侵检测等。
3.内部网访问控制层
在局域网内部,非法用户的登录和对数据的非法修改更加不易查出。
当用户安全意识差、口令选择或保存不慎、账号转借和共享都会对网络安全造成极大的威胁,从内部网访问控制层进行安全防护,可采取以下措施:
用户的身份认证;权限控制;加密技术;客户端安全防护等。
4.数据存储层
数据存储在服务器或加密终端上,数据存储的安全性是系统安全性的重要组成部分。
对数据的安全保护措施可以采用以下几种方式:
使用较安全的数据库系统;加密技术:
数据库安全扫描;存储
升级会员 