软考中级网络工程师历年经典真题及解析part14.docx

1、软考中级网络工程师历年经典真题及解析part14第1题案例题（问题1是思科的ACL，现在考纲已经改成华为，建议略过，其他问题请认真学习） 阅读下列说明，回答问题 1至问题 3，将解答填入答题纸的对应栏内。【说明】某公司的网络拓扑结构图如图2-1所示【问题1】(共5分） 为了保障网络安全，该公司安装了一款防火墙，对内部网络、服务期以及外部网络进行逻辑隔离，其网络结构如图2-1所示。包过滤防火墙使用ACL实现过滤功能，常用的ACL分为两种，编号为（1）的ACL根据IP报文的（2）域进行过滤，称为（3）；编号为（4）的ACL根据IP报文中的更多域对数据包进行控制，称为（5）。(1)(5) 备选项:A

2、. 标准访问控制列表 B. 扩展访问控制列表 C. 基于时间的访问控制列表 D.1-99E. 0-99 F. 100-199G.目的的IP地址 H.源IP地址 I.源端口 J.目的端口 【问题2 】(共6分）如图2-1所示，防头墙的三个端口，端口是（6）、端口是 (7) 、端口是（8）。(6）（8) 是备选项A. 外部网络 B. 内部网络 C. 非军事区【问题3 】(共9分）公司内部IP地址分配如下表2-11.为保护内网安全，防火墙的安全配置要求如下 (1)内外网用户均可访问 Web 服务器，特定主机 200.120.100.1 可以通过 Telnet访问 Web 服务器。 (2)禁止外网用户

3、访问财务服务器，禁止财务部门访问Internet，允许生产部门和行政部门访问Internet。根据以上需求，请按照防火墙的最小特权原则补充完成表 2-2:表2-22.若调换上面配置中的第 3条和第4条规则的顺序，则（16）（16）备选项：A. 安全规则不发生变化 B. 财务服务器将受到安全威胁C. Web服务器将受到安全威胁 D. 内网用户将无法访问Intrnet3. 在上面的配置中，是否实现了禁止外网用户访问财务服务器这条规则？【解析】 正确答案：【问题1】 （1）D（2）H（3）A（4）F（5）B【问题2】 （6）A（7）C（8）B【问题3】 （9）10.10.200.1（10）80（11

4、）200.120.100.1（12）23（13）192.168.10.0/23（14）允许（15）拒绝（16）D（17）已经实现，除开允许的，其余均已经禁止。【问题1】 访问控制列表用来限制使用者或设备，达到控制网络流量，解决拥塞，提高安全性等。在IP网络中，可以使用的访问列表有标准访问列表（值为199、1300-1999）、扩展访问列表（标号为100199、2000-2699）两种。标准访问列表：基于源IP地址进行判定是否允许或拒绝数据包通过。扩展的访问列表是在标准访问列表的基础上增加更高层次的控制，它能够基于目的地址、端口号码、协议来控制数据包。【问题2】 防火墙通常具有至少3个接口，使用

5、防火墙时，就至少产生了3个网络，描述如下：内部区域（内网）。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。外部区域（外网）。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 非军事区（DMZ，又称停火区）。是一个隔离的网络，或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许它们访问企业内部网络

6、。【问题3】 配置略，请查看答案。访问控制列表就是用来在路由技术的网络中，决定这些数据流量是应该被转发还是被丢弃的技术。同时访问控制列表成为实现防火墙实现的重要手段。设置ACL的一些规则：1，按顺序进行比较，先比较第一行，再比较第二行，直到最后一行；2，从第一行起，直到找到1个符号条件的行；符合之后，其余的行就可以不用继续比较下去；3，默认在每个ACL中最后一行都隐藏有拒绝所有，如果之前没找到一条允许（permit）语句，意味着包将会被丢弃，所以每个ACL必须至少有一行Permit语句，除非用户想把所有的数据包丢弃。如果3、4条规则顺序交换， 会导致内网用户无法访问互联网。另外禁止外网访问财务

7、服务器已经实现，因为配置中除开允许的，其余均已经禁止第2题单选题路由器包含多种端口以连接不同类型的网络设备，其中能够连接DDN、帧中继、X.25和PSTN等广域网络的是（ ）。A.同步串口B.异步串口C.AUX端口D.Consol端口【解析】 正确答案：A。路由器的主要作用是做数据报的转发，路由器的接口是配置路由器主要考虑的对象之一。每个接口都有自己的名字和编号，接口的全名是由它的类型标识或至少一个数字组成，编号从0开始。思科路由器的设计大致有两种，一种是模块化的设计，一台路由器是由多个功能不同的模块组成，其中接口模块就是其中重要的一个模块。另一种是固化设计。路由器的接口类型一般分为局域网接口

8、和广域网接口两种。局域网接口：AUI：AUI端口是用来和同轴电缆相连接的接口。RJ-45接口：这是我们最常见的端口，就是常见的双绞线以太网端口。SC接口：光纤端口。一般来说，这种光纤接口是通过光纤连接到具有光纤端口的交换机。广域网接口：RJ-45：也可以用在广域网连接。AUI接口：同上，采用粗同轴电缆连接。高速同步串口：这种端口主要用于连接DDN、帧中继、X.25等网络。配置接口：Console口：同交换机一样。AUX接口：异步端口，主要用于远程配置。可以与Modem连接。第3题单选题设有下面4条路由：192.34.144.0/24、192.34.145.0/24、192.34.146.0/2

9、4和192.34.149.0/24，如果进行路由汇聚，能覆盖这4条路由的地址是（ ）。A.192.34.144.0/21B.196.34.144.0/22C.196.34.145.0/22D.196.34.145.0/23【解析】 正确答案：A。该题是考察路由汇聚的原理是否理解。路由汇聚即找出这些地址相同的网络位就可以。下面将上述地址144、145、146、149十进制转二进制得出。128 64 32 16 8 4 2 11 0 0 1 0 0 0 0 （144）1 0 0 1 0 0 0 1 （145）1 0 0 1 0 0 1 0 （146）1 0 0 1 0 1 0 1 （149）可以看

10、出，这四个十进制前五位相同，所以选A。第4题单选题下面的描述中， （） 不是RISC设计应遵循的设计原则。A.指令条数应少一些B.寻址方式尽可能少C.采用变长指令，功能复杂的指令长度长而简单指令长度短D.设计尽可能多的通用寄存器【解析】 正确答案：C。本题考查的是计算机系统硬件方面的基础知识。在设计RISC时，需要遵循如下一些基本的原则。指令条数少，一般为几十条指令。寻址方式尽可能少。采用等长指令，不管功能复杂的指令还是简单的指令，均用同一长度。设计尽可能多的通用寄存器。因此，采用变长指令，功能复杂的指令长度长而简单指令长度短不是应采用的设计原则。第5题单选题栈是一种按“后进先出”原则进行插入

11、和删除操作的数据结构，因此，（ ）必须用栈。A.函数或过程进行递归调用及返回处理B.将一个元素序列进行逆置C.链表结点的申请和释放D.可执行程序的装入和卸载【解析】 正确答案：A。栈结构最大的特点就是“后进先出“，因此非常适合函数的递归调用及返回处理这种情况。第6题案例题（经典试题，请认真学习）阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。【说明】某组网拓扑如图1-1所示，网络接口规划如表1-1所示，vlan规划如表1-2所示，网络部分需求如下：1.交换机SwitchA，作为有线终端的网关，同时作为DHCP Server，为无线终端和有线终端分配IP地址，同时配置ACL控制

12、不同用户的访问权限，控制摄像头（camera区域）只能跟DMZ区域服务器互访，无线访客禁止访问业务服务器区和员工有线网络。2.各接入交换机的接口加入VLAN，流量进行二层转发。3.出口防火墙上配置NAT功能，用于公网和私网地址转换：配置安全策略，控制Internet的访问，例如摄像头流量无需访问外网，但可以和DMZ区域的服务器互访：配置NATServer使DMZ区的WEB服务器开放给公网访问。【问题1】（4分）补充防火墙数据规划表1-3内容中的空缺项。补防火墙区域说明：防火墙GE1/0/2接口连接dmz区，防火墙GE1/0/1接口连接非安全区域，防火墙GE1/0/0接口连接安全区域：srcip

13、表示内网区域。【问题2】补充SwichA数据规划表1-4内容中的空缺项。【问题3】补充路由规划表1-5内容中的空缺项。【解析】 正确答案：【问题1】（4分）1、10.106.1.0/242、any或-或0.0.0.0/0【问题2】（8分）3、10.101.1.0/0.0.0.2554、10.103.1.0/0.0.0.2555、允许6、10.104.1.0/0.0.0.255【问题3】（8分）7、10.101.1.0 255.255.255.08、 10.104.1.0 255.255.255.0 9、10.107.1.210、10.100.1.1。结合题目，仔细审题。（1）摄像网段访问dmz

14、区域服务器，目的地址为dmz区域服务器网段10.106.1.0/24 。（2）内网访问外网上网安全策略，外网不固定所以为any。（3）（4）无线访客网段不能访问业务服务器和员工有线网络，（3）源为10.101.1.0/0.0.0.255。（4）为10.103.1.0/0.0.0.255。（5）（6）题目说明控制摄像头（10.104.1.1/24）只能和DMZ（10.106.1.1/24）的互访，无需访问外网。配置路由，仔细查看下一跳的地址。（7）对应访问无线终端所在网络的VLAN IF接口地址是10.101.1.1 255.255.255.0，所以网段是10.101.1.0 255.255.2

15、55.0。（8）摄影头的网络是10.104.1.0 255.255.255.0。（9）SWA的默认路由对应的默认网关，就是防火墙GE1/0/0的地址，所以是10.107.1.2。（10）类似9第7题单选题在WIFI安全协议中，WPA与WEP相比，采用了（ ）。A.较短的初始化向量B.更强的加密算法:C.共享密钥认证方案D.临时密钥以减少安全风险【解析】 正确答案：D。WEP（有线等效保密协议）是802.11于1999年提到的加密协议。目的是为了防止窃听，是一种RC4算法与CRC进行效验和计算。不久即被证明漏洞百出，为了弥补WEP缺陷，IEEE立刻把64加密升级到了128位。不过WEP的缺陷不是

16、密码长短的问题，而是弱IV和CRC机制的问题。802.11i 2004年推出了IEEE制定了WPA加密协议。WPA采用了TKIP算法（其实也是一种rc4算法，相对WEP有些许改进，避免了弱IV攻击），还有MIC算法来计算效验和。相比较WEP，WPA采用的是.临时密钥以减少安全风险。第8题单选题下面关于通信子网规划设计的说法中，错误的是（）。A.网络拓扑结构必须具有一定的灵活性，易于重新配置B.层次化设计的好处是可以有效地将全局通信问题分解考虑C.网络拓扑结构设计应避免因个别节点损坏而影响整个网络的正常运行D.应用服务器应该放置在接入层【解析】 正确答案：D。本题考查的是通信子网规划设计原则，在

17、设计网络时，考虑到设备和用户需求的变迁，拓扑结构必须具有一定的灵活性，易于重新配置。网络设备损坏、光缆被挖断、连接器松动等故障是有可能发生的，网络拓扑结构设计应避免因个别节点损坏而影响整个网络的正常运行。通信子网分层设计规划的好处是可有效地将全局通信问题分解考虑，有助于分配和规划带宽。服务器系统是网络的核心设备，服务器在网络中位置直接影响网络应用效果和网络运行效率。服务器是网络中信息流较集中的设备，其磁盘系统数据吞吐量大，传输速率也高，要求绝对的高带宽接入，因此不适合放在接入层。故答案选D。第9题单选题DHCP 客户端收到DHCP ACK 报文后如果发现自己即将使用的IP 地址已经存在于网络中

18、，将向DHCP 服务器发送什么报文（ ）。A.DHCP RequestB.DHCP ReleaseC.DHCP InformD.DHCP Decline【解析】 正确答案：D。A 是DHCP请求是客户端向服务器发送的，主要是如果网络中存在多个服务器的时候，应该选择哪个DHCP服务器作为分配给自己地址的服务器；B 是释放，它是客户端释放自己的地址租期，以单播的方式发送给DHCP服务器；C 是如果客户端已经有了可用的IP地址了，但是此时它还需要向DHCP服务器索要其他的配置参数时，那么客户端会发送DHCP Inform报文；D 是当客户端收到了DHCP Ack报文后，他将对所获得的IP地址进行进一

19、步确认，通常利用免费ARP报文进行确认，如果发现IP地址已经在网络上使用，那么他将通过广播方式向DHCP服务器发送DHCP Decline报文，拒绝获得的IP地址。第10题单选题下面关于802.1q 协议的说明中正确的是（）。A.这个协议在原来的以太帧中增加了4个字节的帧标记字段B.这个协议是IETF制定的C.这个协议在以太帧的头部增加了26字节的帧标记字段D.这个协议在帧尾部附加了4字节的CRC校验码【解析】 正确答案：A。VLAN帧标记有两种格式。一种是IEEE定义的802.1 q协议，在原来的以太帧中增加了4个字节的标记（Tag）字段，如图11所示，其中标记控制信息（ Tag Contr

20、olInforma-tion， TCI）包含Priority、 CFI和VID三部分，各个字段的含义如表2所示。 802.1 q并没有定义优先级的含义，提供这种功能的是802.1 p协议。IEEE对8种优先级的使用给出了一些建议：最高优先级7属于关键的网络通信，例如RIP和OSPF的路由更新报文；5级和6级属于对网络延迟敏感的应用，例如交互式视频和语音流：14级可以分配给多媒体流和关键的商业应用，或者对数据丢失敏感的应用；0级是默认的优先级，自动被赋予“尽力而为”的网络服务。目前大部分交换机采用的交换芯片只支持两种优先级，也有的能支持4种优先级。另外802.1p协议还提供了组播过滤机制，以配合

21、1P组播功能，使得IP组播流量不会被交换机广播扩散。许多高档交换机都把实现802.1p和802.1 q作为重要的性能指标。另外一种帧标记是交换机间链路协议（Inter-Switch Link， ISL）， ISL协议是Cisco公司的专利协议，适用于Cisco的Catalyst系列交换机。ISL协议在每个帧的头部增加26字节的顿标记，在帧尾部附加4字节的CRC校验码，格式如图12 （b）所示。1SL帧标记各个字段的解释如表3所示。 第11题单选题虚拟存储体系是由（ ）两级存储器构成。A.主存-辅存B.寄存器-CacheC.寄存器-主存D.aclie-主存【解析】 正确答案：A。内存在计算机中的

22、作用很大，电脑中所有运行的程序都需要经过内存来执行，如果执行的程序很大或很多，就会导致内存消耗殆尽。为了解决这个问题，Windows中运用了虚拟内存技术，即拿出一部分硬盘空间来充当内存使用，当内存占用完时，电脑就会自动调用硬盘来充当内存，以缓解内存的紧张。第12题单选题下面的广域网络中属于电路交换网络的是（ ）。A.ADSLB.X.25C.FRND.ATM【解析】 正确答案：A。本题考查网络类型的知识。C选项按题意应指帧中继x.25、FR、ATM都属于分组交换网络。ADSL属于电路交换。第13题单选题在敏捷过程的开发方法中，（ ）使用了迭代的方法，其中，把每段时间（30天）一次的迭代称为一个“

23、冲刺”，并按需求的优先级别来实现产品，多个自组织和自治的小组并行地递增实现产品。A.极限编程XPB.水晶法C.并列争球法D.自适应软件开发【解析】 正确答案：C。并列争球法使用迭代的方法，把每30天一次的迭代称为一个冲刺，按需求的优先级别来实现产品。多个自组织的小组并行地递增实现产品。协调通过简短的日常会议来进行。第14题单选题私网地址用于企业内部IP地址分配，网络标准规定的私网地址有（）。A.A类有10个：10.0.0.020.0.0.0B.B类有16个：172.0.0.0172.15.0.0C.C类有256个：192.168.0.0192.168.255.255D.D类有1个：244.0.

24、0.0【解析】 正确答案：C。标准规定的私网地址如下。* 一个A类私网地址：10.0.0.0 10.255.255.255 。* 16个B类私网地址：172.16.0.0172.31.255.255 。* 256个C类私网地址：192.168.0.0192.168.255.255 。第15题单选题HDLC协议中，若监控帧采用SREJ进行应答，表明采用的差错控制机制为（ ）。A.后退N帧ARQB.选择性拒绝ARQC.停等ARQD.慢启动【解析】 正确答案：B。在HDLC协议中，如果监控帧中采用SERJ应答，表明差错控制机制为选择重发。第16题单选题以下IP地址中，属于网络201.110.12.2

25、24/28 的主机IP是（ ）。A.201.110.12.224B.201.110.12.238C.201.110.12.239D.201.110.12.240【解析】 正确答案：B。暂无解析。第17题单选题下列关于Linux文件组织方式的说法中，（ ）是错误的。A.Linux文件系统使用索引节点来记录文件信息B.文件索引节点号由管理员手工分配C.每个文件与唯一的索引节点号对应D.一个索引节点号可对应多个文件【解析】 正确答案：B。本题考查liunx文件组织方式。Linux文件系统使用索引节点来记录文件信息，作用类似于Windows下的文件分配表。索引节点是一个结构，它包含了一个文件的长度、创

26、建及修改时 间、权限、所属关系、磁盘中的位置等信息。一个文件系统维护了一个索引节点的数组，每个文件或目录都与索引节点数组中的唯一一个元素对应。系统给每个索引节点分配了一个号码，也就是该节点在数组中的索引号，称为索引节点号。linux文件系统将文件索引节点号和文件名同时保存在目录中。所以，目录只是将文件的名称和它的索引节点号结合在一起的一张表，目录中每一对文件名称和索引节点号称为一个连接。对于一个文件来说有唯一的索引节点号与之对应，对于一个索引节点号，却可以有多个文件名与之对应。因此，在磁盘上的同一个文件可以通过不同的路径去访问它。第18题单选题Linux系统中的文件操作命令grep用于（ ）。

27、A.列出文件的属性信息B.在指定路径查找文件C.复制文件D.在指定文件中查找指定的字符串【解析】 正确答案：D。Linux系统grep功能说明：查找文件里符合条件的字符串。第19题单选题与route print具有相同功能的命令是（ ）。A.pingB.arp-aC.netstat-rD.tracert-d【解析】 正确答案：C。route print用来查看本机的路由表，和netstat -r具有相同的功能。第20题单选题攻击者通过发送一个目的主机已经接收过的报文来达到攻击目的，这种攻击方式属于（ ）攻击。A.重放B.拒绝服务C.数据截获D.数据流分析【解析】 正确答案：A。重放攻击（攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。