【计算机类职业资格】中级网络工程师下午试题-103及答案解析.doc

1、中级网络工程师下午试题-103 及答案解析(总分：0.01，做题时间：90 分钟)一、试题一(总题数：1，分数：-1.00)1.网络测试是对 (1) 、网络系统以及网络对应用的支持进行检测，以展示矛口证明网络系统是否满足用户在 (2) 、安全、易用性、可管理性等方面需求的测试。而结构化布线是网络中最基本、最重要的组成部分，它是连接每一台服务器和工作站的纽带。在布线完成后，必须对整个布线系统进行全面的测试，通常由布线公司和企业的技术人员组成测试工作组，对所有信息点进行导通测试，5 类测试按照所有信息点的 (3) %进行抽查。在进行测试前，需要选择合适的 (4) 与 (5) 。通常采用国际上认可的

2、测试仪进行测试工作，比如，在对铜线进行测试时，采用 (6) 进行基本的连接性(导通)测试，在做光缆损耗方面的测试时，采用微软公司的 (7) 进行测试，同时选择 (8) 标准作为测试的依据。从工程的角度来讲，结构化布线非屏蔽双绞线测试可划分为两类，一类是 (9) ，一类是 (10) 。在进行光纤传输通道测试时，其测试的指标主要是 (11) ，如果在测试标准范围之内为“PASS”，反之为“FAII”。布线测试是保证网络正常工作不可或缺的一道工序，只有通过严格的的测试，网络系统才能投入运行。（分数：-1.00）_二、试题二(总题数：1，分数：-1.00)2.请问无线局域网的工作模式有哪几种?（分数：

3、-1.00）_三、试题三(总题数：1，分数：-1.00)说明 计算机用户通常使用主机名来访问网络中的节点，而采用 TCP/IP协议的网络是以 IP地址来标记网络节点的，因此需要一种将主机名转换为 IP地址的机制。在 Linux系统中，可以使用多种技术来实现主机名和 IP地址的转换。（分数：-0.99）(1).请选择恰当的内容填写在(1)、(2)、(3)空白处。一般用 Host表、网络信息服务系统(NIS)和域名服务(DNS)等多种技术来实现主机名和 IP地址之间的转换。Host表是简单的文本文件，而 DNS是应用最广泛的主机名和 IP地址的转换机制，它使用 (1) 来处理网络中成千上万个主机和

4、 IP地址的转换。在 Linux，DNS 是由 BIND软件来实现的。BIND 是一个 (2) 系统，其中的 resolver程序负责产生域名信息的查询，一个称为 (3) 的守护进程，负责回答查询，这个过程称为域名解析。(1)A集中式数据库 B分布式数据库(2)AC/S BB/S(3)Anamed Bbind Cnameserver（分数：-0.33）_(2).下 图是采用 DNS将主机名解析成一个 IP地址过程的流程图。请选择恰当的内容填写在(4)、(5)、(6)空白处。*A产生一个指定下一域名服务器的响应，送给 DNS客户B把名字请求转送给下一个域名服务器，进行递归求解，结果返回给 DNS

5、客户C将查询报文发往某域名服务器D利用 Host表查询E查询失败（分数：-0.33）_(3).、(8)、(9)处填写恰当的内容。在 Linux系统中设置域名解析服务器，已知该域名服务器上文件 namedconf 的部分内容如下：*该服务器是域 testcom 的主服务器，该域对应的网络地址是 (8) ，正向域名转换数据文件存放在 (9) 目录中。（分数：-0.33）_四、试题四(总题数：1，分数：4.00)3.SSL是一个协议独立的加密方案，在网络信息分组的应用层和传输层之间提供了安全的通道。SSL 主要包括 SSL修改密文协议、SSL 握手协议、SSL 告警协议、SSL 记录协议等，其协议栈

6、见下图。请根据 SSL协议栈结构，将(1)(4)处空缺的协议名称填写完整。（分数：4.00）_五、试题五(总题数：1，分数：-1.00)4.说明IPSec(Internet协议安全)是一个工业标准网络安全协议，为 IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec 有两个基本目标：保护 IP数据包安全；为抵御网络攻击提供防护措施。以下是 IPSec部分配置清单。Cisco 3640 (config) # crygto isakmp policy 1 (1) Cisco 3640 (config-isakmp) # group 1

7、 (2) Cisco 3640 (config-isakmp) # anthentication pre-share (3) Cisco 3640 (config-isalmap) # lifetime 3600Cisco 3640 (config) # crypto isakmp key noIP4u address202.10.36.1 (4) Cisco 3640 (config) # access-list 130 permit ip 192.168.1.0 0.0.0.255 172.19.20.0 0.0.0.255 (5) Cisco 3640 (config) # crypto

8、 ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac (6) Cisco 3640 (config) # crypto map shortsec 60 ipsec-isakmpCisco 3640 (config-crypto-map) # set peer 202.10.36.1Cisco 3640 (config-crypto-map)# set ixansform-setvgnl (7) Cisco 3640 (config-crypto-map) # match address 130Cisco 3640 (config)

9、 # interface s0Cisco 3640 (config-if) # crypto real/shortsec (8) 请解释上述标有下画线语句的含义。（分数：-1.00）_中级网络工程师下午试题-103 答案解析(总分：0.01，做题时间：90 分钟)一、试题一(总题数：1，分数：-1.00)1.网络测试是对 (1) 、网络系统以及网络对应用的支持进行检测，以展示矛口证明网络系统是否满足用户在 (2) 、安全、易用性、可管理性等方面需求的测试。而结构化布线是网络中最基本、最重要的组成部分，它是连接每一台服务器和工作站的纽带。在布线完成后，必须对整个布线系统进行全面的测试，通常由布线

10、公司和企业的技术人员组成测试工作组，对所有信息点进行导通测试，5 类测试按照所有信息点的 (3) %进行抽查。在进行测试前，需要选择合适的 (4) 与 (5) 。通常采用国际上认可的测试仪进行测试工作，比如，在对铜线进行测试时，采用 (6) 进行基本的连接性(导通)测试，在做光缆损耗方面的测试时，采用微软公司的 (7) 进行测试，同时选择 (8) 标准作为测试的依据。从工程的角度来讲，结构化布线非屏蔽双绞线测试可划分为两类，一类是 (9) ，一类是 (10) 。在进行光纤传输通道测试时，其测试的指标主要是 (11) ，如果在测试标准范围之内为“PASS”，反之为“FAII”。布线测试是保证网络

11、正常工作不可或缺的一道工序，只有通过严格的的测试，网络系统才能投入运行。（分数：-1.00）_正确答案：(1)网络设备(2)性能(3)20(4)测试仪器(5)测试标准(6)电缆测试表(7)光缆测试仪(8)EIA/TIA568A(9)导通测试(10)认证测试)解析：网络测试是我们在工程验收前必须进行的一项工作，它牵涉到工程的质量，这一工作很重要。包括功能测试、性能测试、安全性测试、稳定性测试、 浏览器兼容性测试、可用性/易用性测试等。TIA(通信工业协会)制定了 EIA/TIA568A测试标准，该标准包括：1定义“连接”模型2定义要测试的传输参数3为每一种连接模型及 3类、4 类、5 类链路定义

12、 PASS/FALL测试极限4定义现场测试仪的性能要求和验证系统是否满足用户要求5定义现场测试仪与实验室设备测试结果的比较方法二、试题二(总题数：1，分数：-1.00)2.请问无线局域网的工作模式有哪几种?（分数：-1.00）_正确答案：(无线局域网的工作模式一般分为 Infrastructure和 Ad-hoc两种。)解析：WLAN 为 Wireless LAN的简称，即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。综观现在的市场，IEEE802.11 b 技术在性能、价格各方面均超过了蓝牙、HomeRF 等技术，逐渐成为无线接入以太网应用最为广泛的标准。常见的无线网络协议有

13、 IEEE802.11，IEEE802.11a、IEEE 802.11b、IEEE802.11g。其中，IEEE802.11 是IEEE(电气和电子工程师协会)最初制定的一个无线局域网标准。IEEE802.11b又被称为 Wi-Fi，使用开放的 2.4GHz直接序列扩频，最大数据传输速率为 11Mbit/s，也可根据信号强弱把传输率调整为 5.5Mbit/s、2Mbit/s 和 1Mbit/s带宽。无需直线传输范围为室外最大300m，室内有障碍的情况下最大 100m，是现在使用得最多的传输协议。一般架设无线网络的基本配备就是无线网卡及一台 AP，如此便能以无线的模式，配合既有的有线架构分享网络

14、资源。如果只是几台电脑的对等网，也可不要 AP。只需要每台电脑配备无线网卡。AP 为 Access Point简称，一般翻译为”无线访问节点”，或“桥接器”。它主要在媒体存取控制层 MAC中扮演无线工作站及有线局域网络的角色。有了 AP，就像一般有线网络的 Hub一般，无线工作站可以快速且轻易地与网络相连。无线局域网的工作模式一般分为 Infrastmcture和 Ad-hoc两种。Infrastructure 是指通过 AP互连的工作模式，也就是可以把 AP看做是传统局域网中的 Hub(集线器)。Ad-hoc 是一种比较特殊的工作模式，它通过把一组需要互相通信的无线网卡的 ESSID设为同值

15、来组网，这样就可以不必使用 AP。几台计算机装上无线网卡，就可达到相互连接，资源共享的目的。三、试题三(总题数：1，分数：-1.00)说明 计算机用户通常使用主机名来访问网络中的节点，而采用 TCP/IP协议的网络是以 IP地址来标记网络节点的，因此需要一种将主机名转换为 IP地址的机制。在 Linux系统中，可以使用多种技术来实现主机名和 IP地址的转换。（分数：-0.99）(1).请选择恰当的内容填写在(1)、(2)、(3)空白处。一般用 Host表、网络信息服务系统(NIS)和域名服务(DNS)等多种技术来实现主机名和 IP地址之间的转换。Host表是简单的文本文件，而 DNS是应用最广

16、泛的主机名和 IP地址的转换机制，它使用 (1) 来处理网络中成千上万个主机和 IP地址的转换。在 Linux，DNS 是由 BIND软件来实现的。BIND 是一个 (2) 系统，其中的 resolver程序负责产生域名信息的查询，一个称为 (3) 的守护进程，负责回答查询，这个过程称为域名解析。(1)A集中式数据库 B分布式数据库(2)AC/S BB/S(3)Anamed Bbind Cnameserver（分数：-0.33）_正确答案：(1)B 或分布式数据库(2)A或 C/S(3)A或 named)解析：解析 在 TCP/IP网络系统中使用的 IP地址和主机名的转换机制是 DNS，它使用

17、一种分层的分布式数据库来处理地址和名字的转换，转换信息分布在一个层次结构的若干台域名服务器上。在 Linux中，域名服务(DNS)是由 BIND软件实现的。BIND 是一个 C/S系统，其客户端称为转换程序(resolver)，它负责产生域名信息的查询，并将这类信息发送给服务器。BIND 的服务器端是一个称为named的守护程序，负责回答转换程序的查询。(2).下 图是采用 DNS将主机名解析成一个 IP地址过程的流程图。请选择恰当的内容填写在(4)、(5)、(6)空白处。*A产生一个指定下一域名服务器的响应，送给 DNS客户B把名字请求转送给下一个域名服务器，进行递归求解，结果返回给 DNS

18、客户C将查询报文发往某域名服务器D利用 Host表查询E查询失败（分数：-0.33）_正确答案：(C将查询报文发往某域名服务器(5)A产生一个指定下一域名服务器的响应，送给 DNS客户(6)B把名字请求转送给下一个域名服务器，进行递归求解，结果返回给 DNS客户)解析：解析 DNS 客户在向 DNS系统查询主机 IP地址时，首先构造名字查询报文，然后根据客户机在网络配置中指定的 DNS服务器地址，将查询报文发送给 DNS服务器。DNS 服务器有两种处理模式：一种是递归查询，当收到 DNS工作站的查询请求后，若本地 DNS服务器查询成功则返回客户端查询结果，若本地查询失败，由本地域名服务器利用服

19、务器上的软件采用递归算法请求下一个服务器(将查询请求向下一个DNS服务器转发)，并将结果返回查询客户；另一种是迭代查询，当收到 DNS工作站的查询请求后，如果DNS服务器中没有查到所需 IP地址，该 DNS服务器将告知另外一台 DNS服务器的 IP地址，然后再由 DNS工作站自行向此 DNS服务器查询，直到查到所需信息为止(或者失败)。一般在 DNs服务器之间的查询请求属于迭代查询。(3).、(8)、(9)处填写恰当的内容。在 Linux系统中设置域名解析服务器，已知该域名服务器上文件 namedconf 的部分内容如下：*该服务器是域 testcom 的主服务器，该域对应的网络地址是 (8)

20、 ，正向域名转换数据文件存放在 (9) 目录中。（分数：-0.33）_正确答案：(7)master(8)222.35.40.0(9)/var/named)解析：解析 在多个 zone语句中定义区域文件，指出某个域的地址转换配置信息(或者反向转换配置信息)存放的数据库文件名称和类型时，如果为特定的域设置多个名字服务器，可以使用 type master选项只设置其中一个为主要的或授权名字服务器，其他名字服务器(个数不限)必须设置为从名字服务器(type slave)。反向 DNs区域(通过 IP地址查询主机名称为反向查询，查询信息在反向 DNs区域文件中)配置采用特殊的区域名字，要求把网络 IP地

21、址的分段数字“反向”，并在名字的最后加 in-addr.arpa，该文件的数字串(用点符号分隔)从右到左就是由该区域文件管理网络域的网络地址。四、试题四(总题数：1，分数：4.00)3.SSL是一个协议独立的加密方案，在网络信息分组的应用层和传输层之间提供了安全的通道。SSL 主要包括 SSL修改密文协议、SSL 握手协议、SSL 告警协议、SSL 记录协议等，其协议栈见下图。请根据 SSL协议栈结构，将(1)(4)处空缺的协议名称填写完整。（分数：4.00）_正确答案：(1)SSL 握手协议 (2) SSL 记录协议(3) TCP协议 (4) TP 协议)解析：这是一道要求读者熟悉 SSL协

22、议栈的基本概念题。本题所涉及的知识点有：1)SSL是一个协议独立的加密方案，在网络信息包的应用层和传输层之间提供了安全的通道。安全的HTTPS协议是 SSL应用的一个范例，该应用协议使用 TCP协议的 443端口来安全发送和接受报文。2)SSL主要包括 SSL修改密文协议、SSL 握手协议、SSL 告警协议、SSL 记录协议等，其协议栈见下图。五、试题五(总题数：1，分数：-1.00)4.说明IPSec(Internet协议安全)是一个工业标准网络安全协议，为 IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec 有两个基本目标：

23、保护 IP数据包安全；为抵御网络攻击提供防护措施。以下是 IPSec部分配置清单。Cisco 3640 (config) # crygto isakmp policy 1 (1) Cisco 3640 (config-isakmp) # group 1 (2) Cisco 3640 (config-isakmp) # anthentication pre-share (3) Cisco 3640 (config-isalmap) # lifetime 3600Cisco 3640 (config) # crypto isakmp key noIP4u address202.10.36.1 (4

24、) Cisco 3640 (config) # access-list 130 permit ip 192.168.1.0 0.0.0.255 172.19.20.0 0.0.0.255 (5) Cisco 3640 (config) # crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac (6) Cisco 3640 (config) # crypto map shortsec 60 ipsec-isakmpCisco 3640 (config-crypto-map) # set peer 202.10.36.1C

25、isco 3640 (config-crypto-map)# set ixansform-setvgnl (7) Cisco 3640 (config-crypto-map) # match address 130Cisco 3640 (config) # interface s0Cisco 3640 (config-if) # crypto real/shortsec (8) 请解释上述标有下画线语句的含义。（分数：-1.00）_正确答案：(1)设置策略为 policy 1。(2)使用 group 1长度的密钥为 768位密钥。(3)告诉路由器要使用预先共享的密码。(4)指定 VPN另一端路

26、由器 IP地址，即目的路由器 IP地址。(5)设置访问列表。(6)设置 AH散列算法为 MD5。(7)VPNI传输设置。(8)将定义的密码图应用到路由器的外部接口。)解析：IPSec VPN(IpSec Vitual Private Network)技术在 IP传输上通过加密隧道，在用公网传送内部专网的内容的同时，保证内部数据的安全性，从而实现企业总部与各分支机构之间的数据、话音与视频业务的互通。1配置前准备(1)根据对等体的数量和位置在 IPSec对等体间确定一个 IKE(1KE阶段 1，或者主模式)策略。(2)确定 IPSec(1KE阶段 2，或快捷模式)策略，包括 IPSec对等体的细节

27、信息，例如 IP地址及 IPSec变换集和模式。(3)用“write terminal”、 “show isahnp”、 “show isakmp policy”、 “show crypto map”命令及其他“show”命令检查当前的配置。(4)确认在没有使用加密前网络能够正常工作，用“ping”命令并在加密前运行测试数据流来排除基本的路由故障；2配置 IKE配置 IKE涉及到启用 IKE(它与 isakmp是同义词)，创建 IKE策略和验证配置。(1)用“isakmp enable”命令来启用或关闭 IKE。(2)用”isakmp policy”命令创建 IKE策略。(3)用“isakmp

28、 key”命令和相关命令来配置预共享密钥。(4)用“show isakmp policy”命令来验证 IKE的配置。3配置 IPSecIPSec配置包括创建加密访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去。(1)用 access-list命令配置加密用访问控制列表。例如：access-list acl-name permit|denyprotocol src_addrsrc_mask operator port Portdest_addr dest_mask operator prot port(2)用 crypto ipsec transform-set命令配置变换集。

29、 例如：crypto ipsec transform-set transform-set-name transform1transform2transform3(3)用 crypto ipsec security-association lifetime命令配置全局性的 IPSec安全关联的生存期(任选)。(4)用 crypto map命令来配置加密图。(5)用 interface命令和 crypto map map-name interface应用到接口上；(6)用各种可用的 show命令来验证 IPSec的配置。4测试和验证 IPSec该任务涉及使用“show”、“debug”和相关的命令测试和验证 IPSec加密工作是否正常，并为之排除故障。