杏花亭中级网络工程师下半年下午试题教材.docx

1、杏花亭中级网络工程师下半年下午试题教材中级网络工程师2006下半年下午试题试题一 阅读以下说明，回答问题1至问题4。【说明】 某学校计划建立校园网，拓扑结构如图12-1所示。该校园网分为核心、汇聚和接入三层，由交换模块、广域网接入模块、远程访问模块和服务器群四大部分构成。 1、【问题1】 在校园网设计过程中，划分了很多VLAN，采用了VTP来简化管理。 1VTP信息只能在 (1) 端口上传播。 2运行VTP的交换机可以工作在三种模式： (2) 、 (3) 、 (4) 。 3共享相同VLAN数据库的交换机构成一个 (5) 。2、【问题2】 该校园网采用了异步拨号进行远程访问，异步封装协议采用了P

2、PP协议。 1异步拨号连接属于远程访问中的电路交换服务，远程访问中另外两种可选的服务类型是： (6) 和 (7) 。 2PPP提供了两种可选的身份认证方法，它们分别是 (8) 和 (9) 。3、【问题3】 该校园网内交换机数量较多，交换机间链路复杂，为了防止出现环路，需要在各交换机上运行 (10) 。4、【问题4】 该校园网在安全设计上采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，对各层的安全采取不同的技术措施。安全技术对应层次(11)外部网络传输控制层(12)内外网间访问控制层(13)内部网络访问控制层(14)数

3、据存储层 (11)(14)处备选答案： AIP地址绑定 B数据库安全扫描 C虚拟专用网(VPN)技术 D防火墙试题二 阅读以下关于Linux网关安装和配置过程的说明，回答问题1至问题5。【说明】 当局域网中存在大量计算机时，根据业务的不同，可以将网络分成几个相对独立的子网。图12-2是某公司子网划分的示意图，整个网络被均分为销售部和技术部两个子网，子网之间通过一台安装了Linux操作系统的双网卡计算机联通。 5、【问题1】 销售部的网络号是 (1) ，广播地址是 (2) ：技术部的网络号是 (3) ，广播地址是 (4) ；每个子网可用的IP地址有 (5) 个。6、【问题2】 Linux网关计算

4、机有两个网络接口(eth0和eth1)，每个接口与对应的子网相连接。 该计算机/etc/sysconfig,/network文件清单为； NETWORKING=yes FORWARD_IPV4= (6) HOSTNAME=gateway.ABC.com /etc/sysconfig/network-scripts/ifcfg-eth0文件清单为： DEVICE=eth0 IPADDR=192.168.1.126 NETMASK= (7) (以下略) /etc/sysconfig/network-scripts/ifcfg-eth1文件清单为： DEVICE=eth1 IPADDR=192.16

5、8.1.254 NETMASK= (8) (以下略) (6)的备选答案： Ayes Bno Croute Dgateway7、【问题3】 在网关计算机/etc/sysconfig/network-scripts/目录中有以下文件，运行某命令可以启动网络，该命令是 (9) ，其命令行参数是 (10) 。 ifcfg-eth0 ifup ifup-sit ifcfg-lo ifup-aliases ifup-si ifdown ifup-cipcb ifup-wireless ifdown-aliases ifup-ippp init.Ipv6-global ifdown-cipcb ifup-i

6、pv6 network-functions ifdown-ippp ifup-ipx network-functions-ipv6 ifdown-ipv6 ifup-isdn ifdown-isdn ifup-plip ifdown-post ifup-plusb ifdown-ppp ifup-post ifdown-sit ifup-PPP ifdown-sl ifup-routes8、【问题4】 在网关计算机上使用以下路由命令创建两个默认的路由： route add-net 192.168.1.0 255.255.255.128 (11) route add-net 192.168.1.

7、128 255.255.255.128 (12) 9、【问题5】 设置技术部和销售部的主机网络参数后，如果两个子网间的主机不能通信，用 (13) 命令来测试数据包是否能够到达网关计算机。如果数据包可以达到网关但是不能转发到目标计算机上，则需要用命令cat/proc/sys/net/ipv4/ip_forward来确认网关计算机的内核是否支持IP转发。如果不支持，该命令输出 (14) 。 (13)和(14)备选答案如下： (13)Atraceroute Btracert Cnslookup Droute (14)A1 B0 Cyes Dno试题三 阅读以下说明，回答问题1至问题5。【说明】 通过

8、SNMP可以获得网络中各种设备的状态信息，还能对网络设备进行控制。在 Windows Server 2003中可以采用IPSec来保护SNMP通信，配置管理站的操作步骤为：先创建筛选器，对输入的分组进行筛选，然后创建IPSec策略。10、【问题1】 在“管理工具”中运行“管理IP筛选器列表”，创建一个名为“SNMP消息”的筛选器。在如图12-3所示的“IP筛选器向导”中指定IP通信的源地址，下拉列表框中应选择 (1) ；在如图12-4中指定IP通信的目标地址，下拉列表框中应选择 (2) 。 图12-3 图12-4 在图12-5所示的“选择协议类型”下拉列表框中应选择 (3) 。 对于SNMP协

9、议，在图12-6中设置“从此端口”项的值为 (4) ，“到此端口”项的值为 (5) ：对于SNMP TRAP协议，在图12-6中设置“从此端口”项的值为 (6) ，“到此端口”项的值为 (7) 。 图12-5 图12-611、【问题2】 在创建IPSec安全策略时，规则属性窗口如图12-7所示。在“IP筛选器列表”中应选择 (8) 。12、【问题3】 在“新规则属性”对话框中打开“筛选器操作”选项卡，选择“Permit”，在图12-8中应选择 (9) ，同时选中“接受不安全的通讯，但总是使用IPSec响应(C)”和“使用会话密钥完全向前保密(PFS)(K)”复选框。 (9)的备选答案： A许可

10、 B阻止 C协商安全 图12-7 图12-813、【问题4】 在图12-9所示的密钥交换设置对话框中，选中“主密钥完全向前保密(PFS)(P)”复选框，则“身份验证和生成新密钥间隔”默认值为480分钟和 (10) 个会话。图12-914、【问题5】 为保证SNMP正常通信，被管理的其他计算机应如何配置?试题四 阅读以下说明，回答问题1至问题6。【说明】 某公司在Windows Server 2003中安装IIS 6.0来配置Web服务器，域名为 。15、【问题1】 IIS安装的硬盘分区最好选用NTFS格式，是因为 (1) 和 (2) 。 A可以针对某个文件或文件夹给不同的用户分配不同的权限 B

11、可以防止网页中的Applet程序访问硬盘中的文件 C可以使用系统自带的文件加密系统对文件或文件夹进行加密 D可以在硬盘分区中建立虚拟目录16、【问题2】 为了禁止IP地址为202.161.158.239202.161.158.254的主机访问该网站，在图12-10所示的“IP地址和域名限制”对话框中单击“添加”按钮，增加两条记录，如表12-1所示。填写表12-1中的(3)(5)处内容。 图12-10IP地址子网掩码一组主机(3)(4)一台主机(5) 表12-117、【问题3】 实现保密通信的SSL协议工作在HTTP层和 (6) 层之间。SSL加密通道的建立过程如下： 1首先客户端与服务器建立连

12、接，服务器把它的 (7) 发送给客户端； 2客户端随机生成 (8) ，并用从服务器得到的公钥对它进行加密，通过网络传送给服务器； 3服务器使用 (9) 解密得到会话密钥，这样客户端和服务器端就建立了安全通道。 (6)(9)的备选答案如下： ATCP BIP CUDP D公钥 E私钥 P对称密钥 G会话密钥 H数字证书 I证书服务18、【问题4】 在IIS中安装SSL分5个步骤，这5个步骤的正确排序是 (10) 。 A配置身份验证方式和SSL安全通道 B证书颁发机构颁发证书 C在IIS服务器上导入并安装证书 D从证书颁发机构导出证书文件 E生成证书请求文件19、【问题5】 在安装SSL时，在“身

13、份验证方法”对话框中应选用的登录验证方式是 (11) 。 A匿名身份验证 B基本身份验证 C集成Windows身份验证 D摘要式身份验证 ENet Passport身份验证20、【问题6】 如果用户需要通过SSL安全通道访问该网站，应该在IE的地址栏中输入 (12) 。 SSL默认侦听的端口是 (13) 。试题五 阅读下面的说明，回答问题1至问题4。【说明】 某企业园区网采用了三层架构，按照需求，在网络中需要设置VLAN、快速端口、链路捆绑、Internet接入等功能。该园区网内部分VLAN和IP地址如表12-2所示。 表12-2VLAN号VLAN名称IP网段默认网关说明Vlan1192.16

14、8.1.0/24192.168.1.254管理VlanVlanl0Xsb192.168.10.0/24192.168.10.254销售部VlanVlan20Scb192.168.20.0/24192.168.20.254生产部VlanVlan30Sjb192.168.30.0/24192.168.30.254设计部VlanVlan50Fwq192.168.50.0/24192.168.50.254服务器Vlan21、【问题1】 某交换机的配置命令如下，根据命令后面的注释，填写(1)(3)处的空缺内容，完成配置命令。 Switch (config) # (1) /将交换机命名为Sw1 Swl(c

15、onfig) # interface vlan 1 Swl(config-if) # (2) /设置交换机的IP地址为192.168.1.1/24 Swl(config-if) # no shutdown Swl(config) # (3) /设置交换机默认网关地址22、【问题2】 在核心交换机中设置了各个VLAN，在交换机Sw1中将端口120划归销售部，请完成以下配置。 Swl(config) # interface range fastethernet0/1-20 /进入组配置状态 Swl(config-if-range) # (4) /设置端口工作在访问(接入)模式 Swl(config

16、-if-range) # (5) /设置端口120为VLAN 10的成员23、【问题3】 1在默认情况下，交换机刚加电启动时，每个端口都要经历生成树的四个阶段，它们分别是：阻塞、侦听、 (6) 、 (7) 。 2根据需求，需要将Swl交换机的端口120设置为快速端口，完成以下配置。 Swl(config) # interface range fastethernet 0/1-20 /进入组配置状态 Swl(config-if-range) # (8) /设置端口120为快速端口24、【问题4】 该网络的Internet接入如图12-11所示： 根据图12-11，解释以下配置命令，填写空格(9)

17、(12)： 1Router(config) # interface s0/0 2router(config-if) # ip address 61.235.1.1 255.255.255.252 (9) 3router(config) # ip route 0.0.0.0 0.0.0.0 s0/0 (10) 4router(config) # ip route 192.168.0.0 255.255.255.0 f0/0 (11) 5router(config) # access-list 100 deny any any eq telnet (12) 答案:试题一1、(1)Trunk (2)

18、VTP Server或服务器模式 (3)VTP CIient或客户端模式 (4)VTP Transparent或透明模式 (2)，(3)，(4)处答案次序任意 (5)VTP管理域解析 本问题考查的是VTP的基本概念 在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议(Vlan Trunking Protocol，VTP)简化管理，它只需要在一台交换机上定义所有VLAN，然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。 VTP(VLAN Trunk Pr

19、otocol，VLAN干道协议)的功能与GVRP相似，也是用来使 VLAN配置信息在交换网内其他交换机上进行动态注册的一种二层协议。在一台VTP Server上配置一个新的VLAN信息，则该信息将自动传播到本域内的所有交换机，从而减少在多台设备上配置同一信息的工作量，并且方便了管理。VTP信息只能在Trunk端口上传播。 任何一台运行VTP的交换机可以工作在以下三种模式：VTP Server、VTP CIient及 VTP Transparent。其中： (1)VTP Server维护该VTP域中所有VLAN信息列表，可以增加、删除或修改VLAN (2)VTP CIient也维护该VTP域中所

20、有VLAN信息列表，但不能增加、删除或修改VLAN，任何变化的信息必须从VTP Server发布的通告报文中接收； (3)VTP Transparent不参与VTP工作，它虽然忽略所有接收到的VTP信息，但能够将接收到的VTP报文转发出去，它只拥有本设备上的VLAN信息； 交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都将加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。2、(6)专线连接 (7)分组交换 (6)，(7)处答案可以互换 (8)口令认证协议(Password Authen

21、tication Protocol，PAP) (9)质询握手认证协议(Challenge Handshake Authentication Protocol，CHAP) (8)，(9)处答案可以互换解析 本问题考查的是远程访问和异步拨号连接的知识。 远程访问是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。 异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话网(Public Switched Telephone Network，PSTN

22、)上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System，POTS)。因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。 广域网连接可以采用不同类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑和回叫等，因此更具优势。PPP提供了两种可选的身份认证方法：口令验证协议PAP(Password Authentication Protocol，PAP)和质询握手协议(Challenge Hands

23、hake Authentication Protocol，CHAP)。 PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证；如果认证失败，则直接释放链路。 CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对端系统要求很高，因为需要多次进行身份质询、响应，要耗费较多的CPU资源，因此只用在对安全要求很高的场合。

24、PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进行，因此节省了宝贵的链路带宽。3、(10)生成树协议(Spanning Tree Protocol，STP)解析 本问题考查的是生成树协议方面的知识。 生成树协议(Spanning Tree)定义在IEEE 802.1D中，是一种链路管理协议，它为网络提供路径冗余的同时防止产生环路。为使以太网更好地工作，两个工作站之间只能有一条活动路径。 STP允许网桥之间相互通信以发现网络物理环路。该协议定义了一种算法，网桥能够使用它创建无环路(loop-free)的逻辑拓朴结构。换句话说，STP创建了一个由无环路树叶和树枝构成的树结构，

25、跨越了整个第二层网络。 生成树协议操作对终端站透明，也就是说，终端站并不知道它们自己是否连接在单个局域网段或多网段中。当有两个网桥同时连接相同的计算机网段时，生成树协议可以允许两网桥之间相互交换信息，这样只需要其中一个网桥来处理两台计算机之间传输的信息。4、(11)C或虚拟专用网(VPN)技术 (12)D或防火墙 (13)A或IP地址绑定 (14)B或数据库安全扫描解析 在网络安全方面，可以采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，进而对各层的安全采取不同的技术措施。 1外部网络传输控制层 外部网络是指局域网路

26、由器和防火墙之外的公用网。当前网络技术发展迅速，因特网四通八达，网上黑客手段多种多样，为了保证安全，可以从以下方面采取措施：虚拟专网(VPN)技术；身份认证技术；加密技术；物理隔离等。 2内外网间访问控制层 在内部局域网和外部网络之间，可以采用以下技术来对外部和内部网络间的访问进行控制：防火墙；防毒网关：网络地址转换技术；代理服务及路由器；入侵检测等。 3内部网访问控制层 在局域网内部，非法用户的登录和对数据的非法修改更加不易查出。当用户安全意识差、口令选择或保存不慎、账号转借和共享都会对网络安全造成极大的威胁，从内部网访问控制层进行安全防护，可采取以下措施：用户的身份认证；权限控制；加密技术；客户端安全防护等。 4数据存储层 数据存储在服务器或加密终端上，数据存储的安全性是系统安全性的重要组成部分。对数据的安全保护措施可以采用以下几种方式：使用较安全的数据库系统；加密技术：数据库安全扫描；存储