【计算机类职业资格】中级网络工程师下午试题-18及答案解析.doc

1、中级网络工程师下午试题-18 及答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：15.00)阅读以下说明，回答问题 14，将答案填入对应的解答栏内。 最佳管理的园区网通常是按照分级模型来设计的。在分级设计模型中，通常把网络设计分为 3 层，即核心层、汇聚层和接入层。图 1-1 所示的是某公司的网络拓扑图，但该公司采用的是紧缩核心模型，即将核心层和汇聚层由同一交换机来完成。 （分数：15.00）填空项 1:_填空项 1:_填空项 1:_填空项 1:_二、B试题二/B(总题数：1，分数：15.00)阅读以下说明，回答问题 12，将解答填入对应栏内。 VPN 是

2、通过公用网络 Internet 将分布在不同地点的终端联接而成的专用网络。目前大多采用 IPsec 实现IP 网络上端点间的认证和加密服务。 （分数：15.00）填空项 1:_填空项 1:_三、B试题三/B(总题数：1，分数：15.00)阅读以下说明，回答问题 15，将答案填入对应的解答栏内。 某公司在国际网互联中心申请了 210.45.12.0/24 一个 C 的 IP 地址，域名为 。该公司有一台该 WEB 服务器(IP 地址为 210.45.12.11，主机名为 S1)、一台 FTP 服务器(IP 地址为 210.45.12.12，主机名为 S2)、一台 MAIL 服务器(IP 地址为

3、210.45.12.13，主机名为 S3)和一台 DNS 服务器(IP 地址为210.45.12.14，主机名为 S4)。若你是该公司的网络管理员，使用一台装有 Windows 2003 Server 服务器作为 DNS 服务器。 （分数：15.00）填空项 1:_填空项 1:_填空项 1:_填空项 1:_填空项 1:_四、B试题四/B(总题数：1，分数：15.00)阅读以下说明，回答问题 14，将解答填入对应的解答栏内。利用 VLAN 技术可以把物理上连接的网络从逻辑上划分为多个不同的虚拟子网，可以对各个子网实施不同的管理策略。图 4-1 是在网络中划分 VLAN 的连接示意图。 （分数：1

4、5.00）填空项 1:_填空项 1:_填空项 1:_填空项 1:_五、B试题五/B(总题数：1，分数：15.00)阅读以下说明，回答问题 13，将解答填入对应的解答栏内。 某公司的分支机构通过一条 DDN 专线接入到公司总部，地址分配和拓扑结构如图 5-1 所示。在两台路由器之间可以使用静态路由，也可以使用动态路由。 （分数：15.00）填空项 1:_填空项 1:_填空项 1:_中级网络工程师下午试题-18 答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：15.00)阅读以下说明，回答问题 14，将答案填入对应的解答栏内。 最佳管理的园区网通常是按照分级模

5、型来设计的。在分级设计模型中，通常把网络设计分为 3 层，即核心层、汇聚层和接入层。图 1-1 所示的是某公司的网络拓扑图，但该公司采用的是紧缩核心模型，即将核心层和汇聚层由同一交换机来完成。 （分数：15.00）填空项 1:_ （正确答案：(1)高速数据交换 (2)交换数据包）解析：(3)高可靠性 (4)冗余性 (5)较少的时延 在分级设计模型中，核心层的的目的是高速数据交换，其主要工作是交换数据包。因此核心层必须要有高可靠性及冗余性，并提供故障隔离，具有迅速升级能力和较少的时延，以及好的可管理性等。填空项 1:_ （正确答案：(6)BDF (7)ACE）解析：该公司的防火墙的结构应当属于屏

6、蔽子网结构。在这个结构中，DMZ(非军事区)是周边防御网段，它受到安全威胁不会影响到内部网络，是放置公共信息的最佳位置，通常把 WWW、FTP、电子邮件等服务器都存放在该区域。 要保证公司的商业机密避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所有有商业机密的数据库服务应该放在内部网络中，确保安全。同样的道理，那些存储代码的 PC 机和存储私人信息的 PC 机也要放在内部网络中。而邮件服务器、电子商务系统、应用网关等，既要内部主机可以访问，又要外部网络的用户可以访问，并且要保证安全，所以它们可以放在 DMZ。填空项 1:_ （正确答案：(8) 生成树协议 STP (9)修改

7、VLAN 的 pott-priority(端口优先级)）解析：(10)修改端口的 STP 路径值(cost) (11)端口聚合技术 由于交换机中都运行了生成树协议 STP，若出现环路时，STP 会自动将一些端口阻断，从而形成了一个没有环路的树。要实现负载均衡，可以通过修改 VLAN 的 port-priority(端口优先级)来实现，也可以修改端口的 STP 路径值(cost)，使不同 VLAN 的生成树一样，从而实现负均衡。除此之外，还可以通过端口聚合技术，将多条链路看成一条链路。填空项 1:_ （正确答案：汇聚层）解析：核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常

8、是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。汇聚层的功能主要是连接接入层节点和核心层中心，需要将大量低速的链接(接入层设备的链接)通过少数宽带的链接接入核心层，以实现通讯量的收敛，提高网络中聚和点的效率，同时减少核心层设备可选择的路由路径的数量。并可以汇聚层为设计模块，实现网络拓扑变化的隔离，增强网络的稳定性。接入层是用户与网络的接口。由此可见，路由功能主要由汇聚层来完成。二、B试题二/B(总题数：1，分数：15.00)阅读以下说明，回答问题 12，将解答填入对应栏内。 VPN 是通过公用网络 Internet 将分布在不同地点的终端联接而成的专用网络。目前大多采用

9、 IPsec 实现IP 网络上端点间的认证和加密服务。 （分数：15.00）填空项 1:_ （正确答案：操作过程可以分成 5 个主要步骤：）解析：(1)IPSec 过程启动根据配置 IPSec 对等体(公司总部主机和分支机构主机)中的 IPSec 安全策略，指定要被加密的数据流，启动 IKE(Internet 密钥交换)过程； (2)IKE 阶段 1在该连接阶段，IKE认证 IPSec 对等体，协商 IKE 安全关联(SA)，并为协商 IPSec 安全关联的参数建立一个安全传输道路； (3)IKE 阶段 2IKE 协商 IPSec 的 SA 参数，并在对等体中建立起与之匹配的 IPSecSA；

10、 (4)数据传送根据存储在 SA 数据库中的 IPSec 参数和密钥，在 IPSec 对等体间传送数据： (5)IPSec 隧道终止通过删除或超时机制结束 IPSec SA。 略。填空项 1:_ （正确答案：(1)创建标识为“100”的 IKE 策略）解析：(2)采用 md5 hashing 算法 (3)采用预共享密钥认证方法 (4)与远端 IP 为 172.16.2.1 的对等体的共享密钥为“mcns” (5)配置名为 1&2 的交换集，指定 esp-des 和 esp-md5-hmac 两种变换 (6)分配给该加密图集的名称：sharef；序号：10 (7)指定允许的 IPSec 对等体的

11、 IP 地址为 172.16.2.1 (8)此加密图使用交换集 1&2 (9)此接口使用名为 sharef 的加密图进行加密配置 IKE 涉及到启用 IKE、创建 IKE 策略、验证配置等，其步骤如下表所示。 步骤 任务 命令 启用 IKE R1(config)#crypto isakmp enable 创建 IKE 策略 R1(config)#crypto isakmp policy policy-number 选择加密算法 R1(config-isakmp)#encutption des|3des 选择认证方法 R1(config-isakmp)#authentication pre-sh

12、are|rsa-encr|rsa-slg 选择哈希散列算法 R1(config-isakmp)#hash md5|sha 选择 DH 的组标识 R1(config-isakmp)#group 1|2 设置 IKE 协商安全联盟的生存周期 R1(config-isakmp)#lifetime seconds 返回特权模式 R1(config-isakmp)#exit 配置与对等体的共享密钥 R1(config)#crypto isakmp key keystring address peer-addres 配置 IKE keeepalive定时器 R1(config)#crypto isakmp

13、 keepalive secs retries(11)验证 IKE 的配置 R1#show crypto isakmp policy配置 IPSec 则包括创建加密用访问控制列表、定义变换集、刨建加密图条目、并将加密集应用到接口上去，如下表所示。 步骤 任务 命令 创建加密访问控制列表 R1(config)#access-list access-list-id permit 配置变换表 R1(config)#crypto ipsec transform-set transform-name(可选)配置全局性 IPSec 安全关联的生存期R1(config)#set security-assoc

14、iation lifetime seconds seconds 创建加密图 R1(config)#crypto map map-name seq-num ipsec-isakmp|manual 配置安全策略 R1(config-crypto-map)#match address access-list-id 引用的访问控制列表 指定安全隧道的终点 R1(config-crypto-map)#set peer hostname|ip-address 配置加密图中引用的转换方式R1(config-crypto-map)#set transform-set transform-set-mane1tr

15、ansform-set-name2transform-set-name6 在接口上应用加密图R1(config)#interface interface-idR1(config-if)#erypto map map-name 验证 IPSec 的配置 show crypto map 三、B试题三/B(总题数：1，分数：15.00)阅读以下说明，回答问题 15，将答案填入对应的解答栏内。 某公司在国际网互联中心申请了 210.45.12.0/24 一个 C 的 IP 地址，域名为 。该公司有一台该 WEB 服务器(IP 地址为 210.45.12.11，主机名为 S1)、一台 FTP 服务器(I

16、P 地址为 210.45.12.12，主机名为 S2)、一台 MAIL 服务器(IP 地址为 210.45.12.13，主机名为 S3)和一台 DNS 服务器(IP 地址为210.45.12.14，主机名为 S4)。若你是该公司的网络管理员，使用一台装有 Windows 2003 Server 服务器作为 DNS 服务器。 （分数：15.00）填空项 1:_ （正确答案：主域名服务器）解析：由于该区域只有一台 DNS 服务器，因此该服务器必须被配置为主域名服务器，在创建时，区域类型必须选择“主要区域”。填空项 1:_ （正确答案：(2) (3)12.45.210-in-addr.arpa）解析

17、：(4)让 DNS 客户端利用主机的域名查询其 IP 地址 (5)让 DNS 客户端利用 IP 地址查询主机的域名 正向搜索区域可以让 DNS 客户端利用主机的域名查询其 IP 地址，反向搜索区域可以让 DNS 客户端利用 IP 地址查询主机的域名。因此该服务器必须负责域 的正向解析，负责 210.45.12.0/24 这一网络的反向解析。反向域名由两部分组成，域名前半段是其网络 ID 反向书写，而区域后半段必须是“in-addr.arpa”。因此域名为 12.45.210-in-addr.arpa。填空项 1:_ （正确答案：(6)没有将 的别名设置为 ，或者设置得不正确）解析：(7)在

18、正向搜索区域中增加一条别名(CNAME)记录，使得真正的名字为 为了使一台主机有多个域名，通常使用别名资源记录(CNAME)。题中已能实现对 的解析，说明已经有该服务器的主机记录(A)，要使也能解析 ，需添加一条别名资源记录(CNAME)，别名为，真实主机名为 。填空项 1:_ （正确答案：(8)邮件交换器(MX)记录 (9)主机名或子域）解析：邮件服务器的地址、邮件地址格式和多台邮件服务器的优先级可通过邮件交换器(MX)记录指定，邮件地址格式可通过“主机名或予域”来定义。因此，可以先删除这一记录，再添加一条邮件交换器(MX)记录，但“主机或子域”处不要填写任何内容。填空项 1:_ （正确

19、答案：实现 IP 地址向域名的映射）解析：反向搜索区域可以让。DNS 客户端利用 IP 地址查询主机的域名，因此其作用是实现 IP 地址到域名的映射。四、B试题四/B(总题数：1，分数：15.00)阅读以下说明，回答问题 14，将解答填入对应的解答栏内。利用 VLAN 技术可以把物理上连接的网络从逻辑上划分为多个不同的虚拟子网，可以对各个子网实施不同的管理策略。图 4-1 是在网络中划分 VLAN 的连接示意图。 （分数：15.00）填空项 1:_ （正确答案：(1)configterminal (2)VLAN 2 (3)end 或 Ctrl+Z）解析：创建 VLAN 可以在两个子模式下进行。

20、一是在 VTP 配置子模式，其提示符是“Switch(vlan)#”，进入命令是“vlan database”；另一种方法是在全局配置模式下执行“VLANVLAN_ID”创建一个VLAN，进入 VLAN 配置子模式，提示符变为“Switch(config-vlan)#”，这个子模式下，可以修改为 VLAN的参数。由题目可知，此处是使用后一种方法。因此空(1)的任务是进入全局配置模式，命令是“config terminal”，空(2)的作用是创建 VLAN 2，即“VLAN 2”；空(3)命令是从 VLAN 配置子模式返回特权模式，命令是“end”或“Ctrl+Z”。注意：不能是“exit”命令

21、，它只能返回全局配置模式。填空项 1:_ （正确答案：(4)server (5)client）解析：如果希望在 Switch1 中创建的 VLAN 信息也能在 Switch2 中使用，则需要创建 VTP 域，并将Switch1 设置为 server 模式，把 Switch2 设置为 client 模式。填空项 1:_ （正确答案：(6)mode trunk (7)trunk encaps dotlq）解析：的作用是将当前端口设置为 trunk(干道)模式，其命令是“switchport mode trunk”：空(7)的作用是设置 trunk 中数据帧的封装形式为 dotlq，其命令“swit

22、chport trunk encaps dotlq”。填空项 1:_ （正确答案：(8)mode access (9)access vlan 2）解析：的作用是将当前端口设置为 access(接入)模式，其命令是“switchportmode access”；空(9)的作用是将当前端口划分为虚网 classroom，其 VLANID 为 2，因此命令是“switchport accessvlan 2”。五、B试题五/B(总题数：1，分数：15.00)阅读以下说明，回答问题 13，将解答填入对应的解答栏内。 某公司的分支机构通过一条 DDN 专线接入到公司总部，地址分配和拓扑结构如图 5-1 所

23、示。在两台路由器之间可以使用静态路由，也可以使用动态路由。 （分数：15.00）填空项 1:_ （正确答案：(1)192.168.15.1 255.255.255.224 (2)192.168.15.1 255.255.255.252）解析：(3)0.0.0.0 0.0.0.0 192.168.15.2 或者 0.0.0.0 0.0.0.0 s0 所在命令是为 R1 的 e0 端口配置的IP 地址。根据网络拓扑结构图可知，e0 端口的 IP 地址为 192.168.15.1，子网掩码长度为 27，即255.255.255.224。 空(2)所在命令是为 R1 的 s0 端口配置的 IP 地址。

24、根据网络拓扑结构图可知，s0 端口的 IP 地址为 192.168.15.1，子网掩码长度为 30，即 255.255.255.252。 空(3)所在的命令 ip route的作用是设置静态路由，由于图中并没有标有公司总部的 IP 地址范围，只能使用缺省路由，下一跳应为路由器 R2 的 s0 端口，因此应填写“0.0.0.0 0.0.0.0 192.168.15.2”或者“0.0.0.0 0.0.0.0 s0”。填空项 1:_ （正确答案：(4)192.168.15.2 255.255.255.252）解析：(5)192.168.16.0 255.255.255.224 192.168.15.

25、1 或 192.168.16.0 255.255.255.224 s0 所在命令是为 R1 的 s0 端口配置 IP 地址。根据网络拓扑结构图可知，s0 端口的 IP 地址为 192.168.15.2，子网掩码长度为 30，即 255.255.255.252。 空(5)所在命令 ip route 的作用是设置静态路由，需要将发送给分支机构的数据包从 s0 端口转发，下一跳地址是 192.168.15.1。由拓扑结构可知，分支机构的网络地址是 192.168.15.0，子网掩码为 255.255.255.224。因此，该空应填写“192.168.16.0 255.255.255.224 192.

26、168.15.1”或者 192.168.16.0 255.255.255.224 s0”。填空项 1:_ （正确答案：(6)OSPF 100(注：100 为 OSPF 进程号，可为 165535 之间的任意整数)）解析：(7)192.168.15.0 0.0.0.3 (8)192.168.16.0 0.0.0.31 所在的命令的作用是启用 OSPF 进程，因此该处因填写“OSPF进程 ID”：空(7)和空(8)所在的命令的作用是指定与 R1 路由器相连的网络。该路由器相连两个网络，一个是 192.168.15.0/30，另一个是 192.168.16.0/27。但需要注意的是 network 命令中使用的不是予网掩码，而是 wildcard-mask，它是子网掩码的反码，可以用 255.255.255.255 减去予网掩码求得。因此空(7)处应填写“192.168.15.0 0.0.0.3”：空(8)处应填写“192.168.16.0 0.0.0.31”。