【计算机类职业资格】初级网络管理员下午试题-118及答案解析.doc

1、初级网络管理员下午试题-118 及答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00)【说明】某单位局域网通过 ISP 提供的宽带线路与 Internet 相连，ISP 分配的公网 IP 地址为2021171232/29，局域网中一部分计算机通过代理服务器访问 Internet，而另一部分计算机不经过代理服务器直接访问 Internet。其网络连接方式及相关的网络参数如图 5-5 所示。（分数：15.00）_二、试题二(总题数：1，分数：15.00)【说明】某公司使用 Windows 操作系统的 IIS 组件建立了自己的 FTP 服务器，图 5-6 是

2、IIS 中“默认 FTP 站点属性”的配置界面。1. 【问题 1】通常，FTP 服务器默认的“TCP 端口”是 (1) ，本题中 FTP 服务器采用主动模式传输数据，若按照图 5-6“TCP 端口”配置为 600，则其数据端口为 (2) 。(1) A21 B23 C25 D20(2)A600B599C21D20（分数：15.00）_三、试题三(总题数：1，分数：15.00)【说明】某电子商务公司的业务员小郭(甲)与客户老王(乙)通过 Internet 交换商业电子邮件(E-mail)。为保障邮件内容的安全，采用安全电子邮件技术对邮件内容进行加密和数字签名。安全电子邮件技术的 E-mail 加密

3、和身份认证的主要实现原理图如图 5-9 所示。（分数：15.00）_四、试题四(总题数：1，分数：15.00)【说明】利用 VLAN 技术可以把物理上连接的网络从逻辑上划分为多个不同的虚拟子网，可以对各个子网实施不同的管理策略。图 5-12 表示两个交换机相连，把 6 台计算机划分成两个 VLAN。1. 【问题 1】阅读以下配置信息，将(1)(3)空缺处的命令填写完整。SW1enable (进入特权模式)SWi#vlandatabase (设置 VLAN 配置子模式)SW1(vlan)# vtp server (设置本交换机为 Server 模式)SW1(vlan)# vtp domain (

4、1) (设置域名)SW1(vlan)# (2) (启动修剪功能)SW1(vlan)#exit (退出 VLAN 配置模式)SW1#show (3) (查看 VTP 设置信息)VTP version：2Configuration Revision：0MaXimumV LANs supported locally：64Nunlber of existing VLANs：1VTP Operating Mode：ServerVTP domain Name：Server1VTP Pruning Mode：EnableVTP V2 Mode：DisabledYTP Traos Generation：Dis

5、abledMD5 digest：Ox820x6B0xF80x940x41 0xEF0x920x30Configuration last modined by 0000 at 7-1-0500：07：51 （分数：15.00）_五、试题五(总题数：1，分数：15.00)【说明】某公司计划开发一个交互式的 Web 百科全书系统Hyperties。公司购置了自己的服务器，拥有独立的域名和 IP 地址，成立开发小组进行网站的开发，组织专门人员进行网站的维护。为了提供有效的信息服务，开发小组设计了 Hyperties 的基本框架，框架规定信息的基础单位是HTML/ASP 网页。每个网页由一个标题、一个可

6、选的简单描述、一个可选的脚本及所表示的内容组成。1. 【问题 1】Photoshop 图像处理软件能够生成 PSD、BMP、TIFF、GIF 和 JPEG 格式的图像文件。这些图像文件可以为 Flash、Authorware、PowerPoint 等多媒体工具软件提供素材。在上述图像文件格式中，哪种格式可以保存图层、通道等图像处理信息?哪种格式可以提供最大的压缩率。（分数：15.00）_初级网络管理员下午试题-118 答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00)【说明】某单位局域网通过 ISP 提供的宽带线路与 Internet 相连，ISP 分

7、配的公网 IP 地址为2021171232/29，局域网中一部分计算机通过代理服务器访问 Internet，而另一部分计算机不经过代理服务器直接访问 Internet。其网络连接方式及相关的网络参数如图 5-5 所示。（分数：15.00）_正确答案：(问题 1区域(A)中所接入的计算机传送给 Internet 的数据包的源 IP 地址，经代理服务器地址转换协议变换后是以 2021171234 源 p 地址的形式在 Internet 上出现，从而可达到隐藏自己当前实际 IP 地址的作用，从而有效防止恶意用户的非法攻击，因此处于区域(A)的计算机安全性比区域(B)高。而对于那些对外发布信息的 We

8、b 服务器而言，则应部署在图 5-5 的区域(B)，这样处于 Internet 网的客户、外部访问者或其他潜在用户无须通过内网，就可以直接获得他们所需要的关于公司的一些信息。同时建议该单位通过相关技术，将区域(B)部署成防火墙中的 DMZ 区(即非军事区)，允许外网用户有限度地使用其中的资源，从而保障该 Web 服务器的安全。)解析：_正确答案：(问题 2在本试题中代理服务器起到节约 IP 地址资源、减少 Internet 接入成本、提高访问 Internet 速度等作用。图 5-5 网络拓扑结构中代理服务器内网卡的 IP 地址/子网掩码(19216801/24)，其中“/24”是子网掩码的缩

9、写形式，表示子网掩码的前 24 位为“1”，其对应的点分十进制数是 2552552550。区域(A)中所接入的计算机需要通过代理服务器访问外部网络，该区域 IP 地址应与代理服务器内网卡的 IP 地址在同一个网段，19216801/24 所表示的网段的网络号为 19216800，该网段共有 232-24-22 8-2254 个可用的 IP 地址，扣除已作为网关地址(19216801)的 1 个 IP 地址，区域(A)计算机可被分配的 IP 地址范围是 192168021921680254，子网掩码为 2552552550，默认网关应设置为代理服务器内网卡的 IP 地址 (19216801)。区

10、域(B)所接入的计算机将使用公网 IP 地址直接访问 Internet，该区域计算机所分配的 IP 地址应与代理服务器外网卡的 IP 地址同处一个网段。同时考虑到 ISP 分配的公网 IP 地址为 2021171232/29，其中“/29”是子网掩码的缩写形式，表示子网掩码的前 29 位为“1”，其对应的点分十进制数是255255255248。该网段共有 232-29-2=23-2=6 个可用的 IP 地址(202117，12332021171238)，扣除已作为该网段网关地址的 1 个 IP 地址(2021171233)，再扣除已分配给代理服务器外网卡的 IP 地址(2021171234)，

11、那么区域(B)计算机可用的 p 地址范围是 20211712352021171238，子网掩码是 255255255248，默认网关地址是2021171233。)解析：_正确答案：(问题 3由于 IP 地址为 192168036 的计算机属于区域(A)，需要通过代理服务器连接到 Internet，因此其发送到 Internet 上的 IP 数据包的源 IP 地址为 2021171234。IP 地址为 2021171236 的计算机属于区域(B)，其发送到 Internet 上的 IP 数据包的源 IP 地址没有经过地址变换，是以 2021171236 源 IP 地址的形式在 Internet

12、出现。)解析：_正确答案：(问题 4在图 5-5 网络拓扑结构中，区域(A)中所接入的计算机可共用一个公网 IP 地址(2021171234)连入Internet，从而减少用户单位申请公网 IP 地址的费用。在图 5-5 中代理服务器可以起到一个边界路由器的作用，其功能还可以用路由器或防火墙设备来实现。)解析：_正确答案：(问题 5在图 5-5 网络拓扑结构中，代理服务器是区域(A)中计算机访问 Internet 的网关，起到边界路由的功能，因此在代理服务器关机的情况下，处于区域(A)的计算机无法访问 Internet。而区域(B)的计算机仍能通过宽带 MODEM 访问 Internet。这是

13、因为区域(B)的计算机的网关地址是 ISP 分配的公网 IP 地址(2021171233/29)。)解析：_正确答案：(问题 6如果电信部门分配的公网 IP 地址为 2021171232/30，其中“/30”表示子网掩码的前 30 位为“1”，其对应的点分十进制数是 255255255252，该网段共有 232-30-22 2-2=2 个可用的 IP 地址(2021171233、 2021171234)，而 IP 地址 2021171233 已作为连接电信部门的网关地址，IP 地址 2021171234 已作为代理服务器外网卡的 IP 地址，已没有空闲的公网 IP 地址可用，则图 5-5 的区

14、域(B)中不能再接入使用公网 IP 地址直接访问 Internet 的计算机。因此需将代理服务器与宽带 MODEM 直接连接，即将区域(B)去掉，使代理服务器与 Internet 属于点对点的连接方式。)解析：二、试题二(总题数：1，分数：15.00)【说明】某公司使用 Windows 操作系统的 IIS 组件建立了自己的 FTP 服务器，图 5-6 是 IIS 中“默认 FTP 站点属性”的配置界面。1. 【问题 1】通常，FTP 服务器默认的“TCP 端口”是 (1) ，本题中 FTP 服务器采用主动模式传输数据，若按照图 5-6“TCP 端口”配置为 600，则其数据端口为 (2) 。(

15、1) A21 B23 C25 D20(2)A600B599C21D20（分数：15.00）_正确答案：(问题 1FTP 是 File Transfer Protocol(文件传输协议)的缩写，用来在两台计算机之间互相传送文件。该协议使用两条 TCP 连接，一条是控制命令链路(默认端口号为 21)，用来在 FTP 客户端与服务器之间传递命令；另一条是数据链路(默认端口号为 20)，用来上传或下载数据。FTP 协议有 PORT 方式(主动式)和 PASV 方式(被动式)等两种工作方式。其中，PORT(主动)方式的连接过程是：客户端向服务器的 FTP 端口(默认是 21)发送连接请求，服务器接受连接

16、，建立一条命令链路。当需要传送数据时，客户端在命令链路上用 PORT 命令告诉服务器：“我打开了某某端口，你过来连接我”。于是服务器从 20 端口向客户端的开放的端口发送连接请求，建立一条数据链路来传送数据。当 FTP 服务器采用主动模式传输数据，将其“控制端口”修改为600，则其“数据端口”应修改为 599。PASV(被动)方式的连接过程是：客户端向服务器的 FTP 端口(默认是 21)发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，服务器在命令链路上用 PASV 命令告诉客户端：“我打开了某某端口，你过来连接我”。于是客户端向服务器的某某端口发送连接请求，建立一条数据链路

17、来传送数据。)解析：_正确答案：(问题 2在建立 FTP 服务器时，可以根据需求制定不同的权限策略，使 FTP 用户各自拥有不同的目录权限。根据试题描述，该 FTP 站点允许匿名登录，匿名用户只允许对 FTP 的根目录进行读取操作，因此Everyone 组对 FTP 根目录只具有读取权限。由于 userl 可以对 FTP 根目录下的 aaa 目录进行完全操作，因此 userl 用户对 aaa 目录具有安全控制权限。同理，user2 用户对 bbb 目录具有完全控制权限。使用 Administrator 账号登录操作系统，则可以在系统中进行创建、删除、安装等任何操作。可见 Administrat

18、ors 组对 FTP 根目录拥有安全控制权限，可以对其进行各类操作。)解析：_正确答案：(问题 3FTP 服务器支持匿名登录。通常匿名登录的用户名是 anonymous，密码可有可无(或者用用户的E-mail 地址)，默认使用 PASV 模式登录，能够访问的默认目录是 pub。另外还可以使用“ftp”用户名进行匿名登录，这是因为“ftp”是匿名用户的映射用户账号。)解析：_正确答案：(问题 4在 ftp 操作模式下，“open hostPort”命令用于建立指定 ftp 服务器连接，并可指定连接端口，那么连接 ftptestcom 服务器的命令是“openftptestcom”。“get re

19、mote-filelocal-file”用于将远程主机的文件 remote-file 传至本地硬盘的 local-file。例如，命令“get testtxt”用于把远程文件 testtxt 下载到本地磁盘。“quote arg1，arg2”命令用于将参数逐字发至远程 ftp 服务器，而“site arg1，arg2”用于将参数作为 SITE 命令逐字发送至远程 ftp 主机。可利用这两条内部命令的组合来修改冈?用户的密码。例如，将用户密码由 abc 改为 123 需使用“quote site pswd abc 123”命令。)解析：三、试题三(总题数：1，分数：15.00)【说明】某电子商务

20、公司的业务员小郭(甲)与客户老王(乙)通过 Internet 交换商业电子邮件(E-mail)。为保障邮件内容的安全，采用安全电子邮件技术对邮件内容进行加密和数字签名。安全电子邮件技术的 E-mail 加密和身份认证的主要实现原理图如图 5-9 所示。（分数：15.00）_正确答案：(问题 1这是一道要求读者掌握安全电子邮件技术实现原理的分析理解题。本题的解答步骤如下。图 5-9 给出了电子邮件加密和身份认证的主要过程。由图 5-9 的方向箭头可知，业务员小郭先使用客户老王的公钥加密(1)空缺处的密钥，然后用这一加密后的密钥加密所要发送的电子邮件。在客户老王处，先用老王的私钥对(1)空缺处的密

21、钥进行解密，然后用(1)空缺处的密钥对所接收到的邮件进行解密。可见，(1)空缺处的密钥是业务员小郭与客户老王共享的密钥体系中的一把协商后的密钥，它必须对大量的数据(例如邮件正文)进行加解密。由于公钥密码体制的加解密过程使用不同的密钥，其加解密效率较低，因此常用于加密长度较短的消息摘要和会话密钥。而对称密码体制的加解密效率较高，适合于加解密大量的数据。因此(1)空缺处的正确答案是选项 C 的“会话密钥”。为了实现身份认证，业务员小郭使用与客户老王共享的摘要算法生成消息摘要，并使用公钥密码体系把生成的消息摘要加密后发送给客户老王。业务员小郭的电子邮件通过(2)空缺处的消息摘要函数生成相应的摘要，即

22、对发送的邮件正文生成摘要需要使用报文摘要算法，因此(2)空缺处的正确答案是选项 B 的“MD5 算法”。在非对称密码体制中，公钥和私钥是必须成对出现的密钥，它们可以相互对数据进行加解密；加密数据使用对方的公钥，身份认证使用本人的私钥。在图 5-9 中，数字签名用于保证消息的发送方的真实性。可见业务员小郭使用只有自己才掌握的私钥对报文摘要进行加密，客户老王使用业务员小郭的公钥对认证数据进行解密，得到业务员小郭发送来的消息摘要。接着客户老王在使用与业务员小郭共享的摘要算法对解密后的邮件正文生成另一份消息摘要。通过对比这两份消息摘要是否相同来验证客户老王所接收到的邮件是由业务员小郭发出的。因此(3)

23、空缺处的正确答案是选项 F 的“小郭的私钥”，(4)空缺处的正确答案是选项 E 的“小郭的公钥”。)解析：_正确答案：(问题 2这是一道要求读者掌握数字信封技术和摘要函数特点的基本概念题。本题的解答思路如下。数字信封是一种采用公钥密码体制和对称密码体制加密电子邮件的安全措施。其基本原理是使用对称密钥对邮件原文进行加密，同时将该对称密钥(会话密钥)用收件人的公钥加密后传送给对方。接着收件人先用自己的私钥解密信封，取出对称密钥后继续解密出原文。可见，数字信封技术使用公钥密码体制加密长度较短的消息摘要和会话密钥，使用对称密码体制加密邮件正文。另外，数字信封是使用 Hash、MD5 等算法对邮件正文运

24、算后生成消息摘要的。摘要函数是安全电子邮件实现技术之一。一个好的摘要函数具有如下特点：根据输入报文获取其输出摘要的时间非常短：根据输出数据无法还原出输入数据：不同长度的输入报文计算出的摘要长度相同。因此，由邮件计算出其摘要的时间非常短，通常比邮件的加密时间短；对于不同输入的邮件可计算出长度相同的摘要，而非生成相同的摘要：通常摘要的长度比输入邮件的长度短：仅根据摘要无法还原出原邮件。)解析：_正确答案：(问题 3这是一道要求读者掌握安全电子邮件技术中数字证书使用的实际操作题。本题的解答思路如下。数字证书封装了用户自身的公钥等信息。例如，X.509 数字证书包含了证书版本、证书序列号、签名算法标识

25、、证书有效期、证书发行商名字、证书主体名、主体公钥信息和数字签名等元素。使用某个数字证书对数据进行加密就是使用该数字证书中的公钥对数据进行加密。根据问题 1的分析过程可知，当业务员小郭使用 Outlook Express 撰写发送给业务员老王的邮件时，他应该使用自己的数字证书来添加数字签名，而使用业务员老王的数字证书(老王的公钥)来对邮件加密。)解析：_正确答案：(问题 4这是一道要求读者掌握在电子邮件中添加数字签名的实际操作题。本题的解答思路如下。通过使用 Outlook Express 的“数字标识”，可以在电子事务中提供身份证明的特殊文档，该过程就像兑付支票时要出示有效证件一样。数字标识

26、由公开密钥、私人密钥和数字签名等 3 部分组成。当在邮件中添加数字签名时，则需把数字签名和公用密钥加入到邮件中。数字签名和公开密钥统称为证书。收件人可以使用发信人的数字签名来验证其身份，并可使用发信人的公开密钥对回复给对方的邮件进行加密，加密后的邮件只能由发信人的私人密钥进行解密。要发送加密邮件，在通讯簿中必须包含收件人的数字标识。在发送带有数字签名的邮件之前，必须先获得每位收件人的数字标识。数字标识由独立的证书颁发机构发放。在证书颁发机构的网站申请数字标识时，证书颁发机构在发放标识之前将确认申请者的身份。数字标识有不同的类别，不同类别提供不同的信用级别。在 Microsoft Outlook

27、 2003 中，单击“工具一选项”菜单上，然后单击“安全”选项卡，系统将弹出如图 5-10 所示的配置界面。小郭要求对他发送的所有电子邮件中都添加自己的数字签名，则需勾选“在所有待发邮件中添加数字签名(D)”复选框，最后单击“确定”(或“应用”)按钮保存其所做的配置。)解析：_正确答案：(问题 5这是一道要求读者掌握接收端安全电子邮件技术中数字证书设置的实际操作题。本题的解答思路是，通过勾选图 5-11 对话框中“将发件人的证书添加到我的通讯薄中(A)”复选框，老王能够将接收到的邮件中所附带的数字证书自动保存到本地硬盘中。)解析：_正确答案：(问题 6当客户老王收到含业务员小郭的数字签名的电子

28、邮件时，他可以通过验证数字签名来确认邮件在传送过程中是否被篡改。数字签名不能用来验证邮件在传送过程中是否加密、被窃取和邮件中是否含有病毒。)解析：四、试题四(总题数：1，分数：15.00)【说明】利用 VLAN 技术可以把物理上连接的网络从逻辑上划分为多个不同的虚拟子网，可以对各个子网实施不同的管理策略。图 5-12 表示两个交换机相连，把 6 台计算机划分成两个 VLAN。1. 【问题 1】阅读以下配置信息，将(1)(3)空缺处的命令填写完整。SW1enable (进入特权模式)SWi#vlandatabase (设置 VLAN 配置子模式)SW1(vlan)# vtp server (设置

29、本交换机为 Server 模式)SW1(vlan)# vtp domain (1) (设置域名)SW1(vlan)# (2) (启动修剪功能)SW1(vlan)#exit (退出 VLAN 配置模式)SW1#show (3) (查看 VTP 设置信息)VTP version：2Configuration Revision：0MaXimumV LANs supported locally：64Nunlber of existing VLANs：1VTP Operating Mode：ServerVTP domain Name：Server1VTP Pruning Mode：EnableVTP V

30、2 Mode：DisabledYTP Traos Generation：DisabledMD5 digest：Ox820x6B0xF80x940x41 0xEF0x920x30Configuration last modined by 0000 at 7-1-0500：07：51 （分数：15.00）_正确答案：(问题 1这是一道要求读者掌握 VTP 协议的配置的实际操作题。本题的解答步骤如下。仔细阅读试题中给出的关键信息“VTP domain Name：Server1”可知，交换机 SW1 指定的域名为 Serverl，因此完成设置域名功能的完整配置命令是“vtp domain Server

31、1”，即(1)空缺处所填写的内容是“Server1”。仔细阅读试题中给出的关键信息“VTP Pruning Mode：Enable”可知，交换机 SW1 启动了修剪功能，因此(2)空缺处完成此功能的完整配置命令是“vtp pruning”。完成“查看 VTP 设置信息”的命令是“show vtp status”，即(3)空缺处所填写的内容是“vtp status”。)解析：_正确答案：(问题 2仔细阅读试题中给出的关键信息“Setting device to VTP CLIENT mode”可知，交换机 SW2 被设置为客户机模式，因此(4)空缺处所填写的配置命令是“vtp client”。解

32、答本试题时，该配置命令可由交换机 SW1 配置信息中“SW1(vlan) #vtp server (设置本交换机为 Server 模式)”得到启发。)解析：_正确答案：(问题 3这是一道要求读者掌握 VLAN Trunk 端口配置和 VLAN 创建命令的功能解释题。在交换机某个接口配置子模式(SW1(config-if)#)中，命令“switchport mode trunk”用于设置当前端口为 Trunk 模式。在交换机 VLAN 配置子模式(SW1(vlan)#)中，命令“vlan 3 name vlan3”用于创建一个 VLAN3，并将其命名为 vlan3。解答本试题时，(6)空缺处所填

33、写的内容可从“SW1(vlan)# vlan 2(创建一个 vlan 2)”和“Name：VLAN0002(系统自动命名)”信息中得到启发。)解析：_正确答案：(问题 4这是一道要求读者掌握添加端口到相关 VLAN 的命令解释题。在交换机某个接口配置子模式(SW1 (config-if)#)中，命令“switchport mode access”用于设置当前端口为静态 VLAN 访问模式。)解析：_正确答案：(问题 5VLAN Trunk 是一个在一个或多个交换端口与另一台网络互联设备(如路由器或交换机)之间的点到点连接。Trunk 通过一个单独的物理线路负载多个 VLAN 的数据通信，并允许

34、你在整个网络内扩展多个 VLAN。VLAN Trunk 常见的两种应用场合如下。一台具有路由模块或三层交换功能的交换机，通过一个 Trunk 口与另一台交换机相连接，来完成两台交换机上同一 VLAN 的通信，并完成两台交换机或一台交换机上不同 VLAN 之间的通信。路由器通过一个 Trunk 口连接某台交换机的 Trunk 口，来完成该交换机上不同 VLAN 之间数据包，的转发。如果要使用防火墙代替路由器，完成不同 VLAN 的包转发，就需要防火墙支持Trunk 协议。否则防火墙只能通过使用自己的多个接口来分别挂接这些 VLAN 来实现访问控制。若交换机 SW1 和 SW2 没有千兆端口，在图 5-12 中也可以实现 VLAN Trunk 的功能。这是因为在交换机 SW1 和 SW2 中各牺牲一个普通以太端口(fastEthernet)并将其配置成 Trunk 模式也能实现VLAN Trunk 的功能。)解析：_正确答案：(问题 6根据 VLAN 的成员定义，大致有基于端口划分、基于 MAC 地址划分、基于第三层地址划分、基于策略划分(或基于应用划分)等 4 种 VLAN 划分方法。这 4 种 V