网络工程师案例分析.docx

1、网络工程师案例分析13.2 强化练习以以下举了历年网络工程师考试中出题频率较高的试题类型，分别是涉及到网络系统分析与设计类、应用服务器、网络设备配置路由器、交换机、网络安全等考点。试题一共15分阅读以下说明，答复以下问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】某校园无线网络拓扑结构如图13-1所示。图13-1该网络中无线网络的部分需求如下：1.学校操场要求部署AP,该操场区域不能提供外接电源。2.学校图书馆报告厅要求高带宽、多接入点。3.无线网络接入要求有必要的安全性。【问题1】4分根据学校无线网络的需求和拓扑图可以判断，连接学校操场无线AP的是1交换机，它可以通过交换机的2口为A

2、P提供直流电。【问题2】6分1.根据需求在图书馆报告厅安装无线AP,如果采用符合IEEE 802.11b标准的AP,理论上可以提供3Mb/s的传输速率；如果采用符合IEEE 802.11g标准的AP,理论上可以提供最高4Mb/s的传输速率。如果采用符合5标准的AP,由于将MIMO技术和6调制技术结合在一起，理论上最高可以提供600Mbps的传输速率。6备选答案A. BFSKB. QAMC. OFDMD. MFSK2.图书馆报告厅需要部署10台无线AP,在配置过程中发现信号相互干扰严重，这时应调整无线AP的7设置，用户在该报告厅内应选择8，接入不同的无线AP.【问题3】5分假设在学校内一个专项实

3、验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设置不广播9，对客户端的10地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有三种方式：11、WPA/WPA2、WPA-PSK/WPA2-PSK.在这三种模式中，安全性最好的是12，其加密过程采用了TKIP和13算法。13备选答案A. AESB. DESC. IDEAD. RSA试题二共 15 分阅读以下说明，答复以下问题1至问题5,将解答填入答题纸对应的解答栏内。【说明】网络拓扑结构如图13-2所示。图13-2【问题1】4分网络A的WWW服务器上建立了一个Web站点，对应的域名是 abc.edu

4、.DNS服务器1上安装Windows Server 2003操作系统并启用DNS服务。为了解析WWW服务器的域名，在图13-3所示的对话框中，新建一个区域的名称是1；在图13-4所示的对话框中，添加的对应的主机名称为2。图13-3图13-4【问题2】3分在DNS系统中反向查询Reverse Query的功能是3。为了实现网络A中WWW服务器的反向查询，在图13-5和13-6中进行配置，其中网络ID应填写为4。主机名应填写为5。图13-5图13-6【问题3】3分DNS服务器1负责本网络区域的域名解析，对于非本网络的域名，可以通过设置转发器,将自己无法解析的名称转到网络C中的DNS服务器2进行解析

5、。设置步骤：首先在DNS管理器中选中DNS服务器，单击鼠标右键，选择属性对话框中的转发器选项卡，在弹出的如图13-7所示的对话框中应如何配置图13-7【问题4】2分网络C的Windows Server 2003 Server服务器上配置了DNS服务，在该服务器上两次使用nslookup sohu 命令得到的结果如图13-8所示，由结果可知，该DNS服务器6。图13-8【问题5】3分在网络B中，除PC5电脑以外，其它的电脑都能访问网络A的WWW服务器，而PC5电脑与网络B内部的其它PC机器都是连通的。分别在PC5和PC6上执行命令ipconfig,结果信息如图13-9和图13-10所示：图13-

6、9图13-10请问PC5的故障原因是什么如何解决试题三共15分阅读以下说明，答复以下问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某公司总部和分支机构的网络配置如图13-11 所示。在路由器 R1 和 R2 上配置 IPSec安全策略，实现分支机构和总部的安全通信。图13-11【问题1】4 分图13-12中a、b、c、d为不同类型IPSec数据包的示意图，其中1和2工作在隧道模式；3和4支持报文加密。图13-12【问题2】4 分下面的命令在路由器R1中建立IKE策略，请补充完成命令或说明命令的含义。R1config# crypto isakmp policy 110 进入ISAKMP

7、 配置模式R1config-isakmp# encryption des5R1config-isakmp# 6采用MD5散列算法R1config-isakmp# authentication pre-share 7R1config-isakmp# group 1R1config-isakmp# lifetime 8安全关联生存期为1天【问题3】4分R2与R1 之间采用预共享密钥12345678建立 IPSec安全关联，请完成下面配置命令。R1config# crypt isakmp key 12345678 address 9R2config# crypt isakmp key 1234567

8、8 address 10【问题4】3分完成以下ACL配置，实现总部主机.3和分支机构主机10.0.2.3的通信。R1config# access-list 110 permit ip host 11 host 12R2config# access-list 110 permit ip host 13 试题四共15分阅读以下说明，答复以下问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某公司通过PIX防火墙接入Internet,网络拓扑如图13-13所示。图13-13在防火墙上利用show命令杳询当前配置信息如下：PIX#show confignameif eth0 outside se

9、curity0nameif eth l inside security100nameif eth2 dmz security40fixup protocol ftp 211fixup protocol 80ip address dmz natinside1 route outside .0 0.0.0.0 61.144.51.45 1 2【问题1】4分解释1、2处画线语句的含义。【问题2】6分根据配置信息，填写表13-1.表13-1【问题3】2分根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是7。【问题4】3分如果需要在dmz域的服务器IP

10、地址为.100对Internet用户提供Web服务对外公开IP地址为61.144.51.43，请补充完成以下配置命令。PIXconfig#staticdmz,outside89PIXconfig#conduitpermittcphost10eqwwwany试题五共15分阅读以下说明，答复以下问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】在大型网络中，通常采用DHCP完成基本网络配置会更有效率。【问题1】1分在Linux系统中，DHCP服务默认的配置文件为1。1备选答案：【问题2】共4分管理员可以在命令行通过2命令启动DHCP服务；通过3命令停止DHCP服务。2、3备选答案：A.ser

11、vice dhcpd startB.service dhcpd upC.service dhcpd stopD.service dhcpd down【问题3】10分在Linux系统中配置DHCP服务器，该服务器配置文件的部分内容如下：subnet 192.168.1.0 netmask 255.255.255.0option routers 192.168.1.254;option subnet-mask 255.255.255.0;option broadcast-address 192.168.1.255;option domain-name-servers 192.168.1.3;ran

12、ge 192.168.1.100 192.168.1.200;default-lease-time 21600;max-lease-time 43200;host webserverhardware ethernet 52:54:AB:34:5B:09;fixed-address 192.168.1.100;在主机webserver上运行ifconfig命令时显示如图13-14所示，根据DHCP配置，填写空格中缺少的内容。图13-14 ifconfig命令运行结果该网段的网关IP地址为7，域名服务器IP地址为8。试题一分析问题1解析：根据学校无线网络的需求在学校操场要求部署AP,该操场区域不能

13、提供外接电源，由此可以判断连接学校操场无线AP的是POEPower over Ethernet交换机，是一种可以在以太网 中通过双绞线 来为连接设备提供电源的技术。它可以通过交换机的以太口为AP提供直流电。问题2解析：IEEE802.11先后提出了以下多个标准，最早的802.11标准只能够到达12Mbps的速度，在制订更高速度的标准时，就产生了802.11a和802.11b两个分支，后来又推出了802.11g的新标准，如表13-2所示。表13-2 无线局域网标准注：ISM是指可用于工业、科学、医疗领域的频段；U-NII是a指用于构建国家信息基础的无限制频段。图书馆报告厅需要部署10台无线AP,

14、在配置过程中发现信号相互干扰严重，这时应调整无线AP的频道设置，用户在该报告厅内应选择SSID,接入不同的无线AP.其中SSID为用来标识不同的无线网络信号。如图13-15所示：图13-15问题3解析：假设在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设置不广播SSID.通常无线AP默认开启SSID广播，在其覆盖范围内，所有具备无线网卡的电脑都可以查看并连接到该网络，如将其SSID广播禁用，则只有知道正确SSID的电脑才能连接至该无线网络，这样可到达安全限制的目的。同时对客户端的MAC地址进行过滤，如图13-16所示：图13-16单击添加新条

15、目:如图13-17图13-17无线网络加密主要有三种方式：WEP、WPA/WPA2、WPA-PSK/WPA2-PSK.在这三种模式中，安全性最好的是WPA-PSK/WPA2-PSK,其加密过程采用了TKIP和AES算法。如图13-18所示：图13-18其中WEP加密是无线加密中最早使用的加密技术，也是目前最常用的，大部分网卡都支持该种加密。但是后来发现WEP是很不安全的，802.11组织开 始着手制定新的安全标准，也就是后来的802.11i协议。IEEE 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIPTemporal Key Integrity Proto

16、col、CCMPCounter-Mode/CBC-MAC Protocol和WRAPWireless Robust Authenticated Protocol三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法到达提高WLAN安全的目的。CCMP机制基于AES加密算法和CCMCounter-Mode/CBC-MAC认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此，CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCBOffset Codebook，

17、是一种可选的加密机制。试题一参考答案【问题1】4分1PoE或者802.3af 2以太或者Ethernet【问题2】6分311 454 5D 6C 7A 8E .【问题3】5分9SSID 10MAC 11WEP 12WPA-PSK/WPA2-PSK 13A.试题二分析问题1解析：此题考查的为Windows 2003平台下DNS服务器的配置，Windows 2003中新建区域，是为了让域名能和指定的IP地址建立起对应关系。这个时候应该填写其根域名，因此1应该填写abc.edu.根据问题1的要求，要能够正确解析本地Web站点的域名，因此图13-4中添加的主机的名称即空2应该为 而主机名填写相应的域名

18、即可，即 abc.edu .问题3解析：DNS服务器1负责本网络区域的域名解析，对于非本网络的域名，可以通过设置转发器,将自己无法解析的名称转到网络C中的DNS服务器2进行解析。设置步骤：首先在DNS管理器中选中DNS服务器，单击鼠标右键，选择属性对话框中的转发器选项卡，在选项卡中选中启用转发器,在IP地址栏输入51.202.22.18,单击添加按钮，然后单击确定按钮关闭对话框。问题4解析：如图13-8所示，如 abc 对应于多个IP地址时DNS每次解析的顺序都不同，则表示其启用了循环功能。问题5解析：由网络拓扑图可知，PC5和PC6属于同一网段，导致PC5不能正确访问WWW服务器的原因在于的

19、默认网关配置错误，导致数据包到达不了正确的网关，将默认网关IP地址修改为正确网关地址192.168.0.3即可。试题二参考答案【问题1】5分1abc.edu2www【问题2】3分3用IP地址查询对应的域名4210.43.165 abc.edu 【问题3】3分选中启用转发器,在IP地址栏输入51.202.22.18,单击添加按钮，然后单击确定按钮关闭对话框。【问题4】2分6A 或 启用了循环功能【问题5】3分PC5的默认网关配置错误2分，将默认网关IP地址修改为192.168.0.3.试题三分析问题1解析：IPSec有隧道和传送两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算ESP头，

20、且被加密，ESP头和加密用户数据被封装在一个新的 IP 数据包中；在传送方式中，只是传输层如TCP、UDP、ICMP数据被用来计算ESP头，ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时，必须采用隧道方式。IPsec使用两种协议来提供通信安全身份验证报头AH和封装式安全措施负载ESP。身份验证报头AH可对整个数据包IP 报头与数据包中的数据负载提供身份验证、完整性与抗重播保护。但是它不提供保密性，即它不对数据进行加密。数据可以读取，但是禁止修改。封装式安全措施负载ESP不仅为IP负载提供身份验证、完整性和抗重播保护，还提供机密性。传输模式中的ESP不对整

21、个数据包进行签名。只对IP负载而不对IP报头进行保护。ESP可以独立使用，也可与AH组合使用。问题2解析：VPN的基本配置：配置信息描述：一端服务器的网络子网为.0/24,路由器为172.30.1.2;另一端服务器为10.0.2.0/24,路由器为172.30.2.2.主要步骤：1. 确定一个预先共享的密钥保密密码以下例子保密密码假设为testpwd2. 为SA协商过程配置IKE.3. 配置IPSec.1配置IKECsaiRconfig#crypto isakmp policy 1 /policy 1表示策略1,假设想多配几VPN,可以写成policy 2、policy 3CsaiR conf

22、ig-isakmp#group 1 /group命令有两个参数值：1和2.参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。在通信比较少时，最好使用group 1长度的密钥。CsaiR config-isakmp#authentication pre-share /告诉路由器要使用预先共享的密码。CsaiR config-isakmp#lifetime 3600 /对生成新SA的周期进行调整。这个值以秒为单位，默认值为8640024小时。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一

23、个SA周期到达中断。CsaiR config#crypto isakmp key test address 200.20.25.1 /返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1.2配置IPSecCsaiR config#access-list 130 permit ip 192.168.1.0 .255 172.16.10.0 0.0.0.255 /在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。CsaiR co

24、nfig#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac /这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。CsaiR config#crypto map shortsec 60 ipsec-isakmp /Map优先级，取值范围165535,值越小

25、，优先级越高。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。CsaiR config-crypto-map#set peer 200.20.25.1 /这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1.CsaiR config-crypto-map#set transform-set vpn1CsaiR config-crypto-map#match address 130 /这两个命令分别标识用于VPN连接的传输设置和访问列表。CsaiR config#interface s0CsaiR

26、 config-if#crypto map shortsec /将刚刚定义的密码图应用到路由器的外部接口。最后一步保存运行配置，最后测试这个VPN的连接，并且确保通信是按照预期规划进行的。问题3解析：详见问题2解析。问题4解析：详见问题2解析。试题三参考答案【问题1】4分，各1分12c、d顺序可交换34b、d顺序可交换【问题2】4分，各1分5加密算法为DES6hash md57认证采用预共享密钥886400【问题4】3分，各1分11试题四分析问题1解析：fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是PIX防火墙要侦听的服务。见下面例子：例： P

27、ix525config#fixup protocol ftp 21启用FTP协议，并指定FTP的端口号为21.设置指向内网和外网的静态路由采用route命令：定义一条静态路由。route命令配置语法：route if_name0 0 gateway_ip metric其中参数解释如下：if_name表示接口名字，例如inside,outside;Gateway_ip表示网关路由器的ip地址；metric表示到gateway_ip的跳数，通常缺省是1.例：Pix525config# route outside 0 0 61.144.51.168 1设置eth0口的默认路由，指向61.144.51.168 ,且跳步数为1.问题2解析：防火墙通常具有一般有3个接口，使用防火墙时，就至少产生了3个网络，描述如下：内部区域内网。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。外部区域外网。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。非军事区DMZ,又称停火区。是一个隔离的网络，或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用