[计算机类试卷]2005年下半年软件水平考试（中级）网络工程师下午（应用技术）试题真题试卷及答案与解析.doc

1、2005年下半年软件水平考试（中级）网络工程师下午（应用技术）试题真题试卷及答案与解析 一、试题一（ 15分） 1 阅读以下说明，回答问题 1 5。 说明 某校园网结构如下图所示，采用一个无线网络控制器来自动探测、监控、管理无线 AP。 无线校园网解决方案中采用 Web+DHCP方式解决用户接入问题，当用户连上无线接入点，由无线网络控制器为用户自动分配 IP地址，基于 Web的认证成功后即可访问 Internet。认证过程采用 SSL与 RADIUS相结合的方式，以防止非法用户的盗用。 1 从下表中选择合适的设备 ，将上图中 (1) (4)处空缺设备名称填写在答题纸相应位置 (每个设备限选一次

2、 )。2 SSL是一个协议独立的加密方案，在网络信息包的应用层和传输层之间提供了安全的通道。 SSL主要包括 SSL记录协议、 SSL握手协议、 SSL告警协议、 SSL修改密文协议等，协议栈如下图所示。请根据 SSL协议栈结构，将 (5) (7)处空缺的协议名称填写在相应位置。 3 在 SSL与 RADIUS相结合的认证方式中， SSL和 RADIUS各起什么作用 ? 4 如果要对整个校园的无线连接进行计费，计费软件应基于 IP计费还是基于用 户账号计费 ?简要解释原因。 5 某用户机的操作系统为 Windows XP，采用无线方式上网。可以通过运 (8)命令手工释放 IP地址。 (从下列备

3、选答案中选择 ) A ipconfig/release B netstat-r C ipconfig/all D netstat -a 二、试题二（ 15分） 6 认真阅读下列说明信息，回答问题 1至问题 5。 说明 在一个基于 TCP/IP协议的网络中，每台主机都有一个 IP地址，根据获得 IP地址的方式不同，可以分为静态 IP和动态 IP。例如 ：用宽带入网，会有一个固定的 IP地址，每次连入 Internet，你的 IP地址都一样。而用拨号上网，每次连入 Internet时都能从 ISP那里获得一个 IP地址且每次所获得的可能不同，这是因为有 DHCP服务器的存在。在 Linux中建立

4、DHCP服务器的配置文件是 dhcpd.conf,每次启动DHCP服务器都要读取该文件。下面是一个 dhcpd.conf文件的实例： 1 default-lease-time 1200; 2 max-lease-time 9200; 3 option subnet-mask 255.255.255.0; 4 option broadcast-address 192.168.1.255; 5 option routers 192.168.1.254; 6 option domain-name-servers 192.168.1.1,192.168.1.2; 7 option domain-nam

5、e ““; 8 subnet 192.168.1.0 netmask 255.255.255.0 9 10 range 192.168.1.20 192.168.1.200; 11 12 host fixed 13 option host-name ““; 14 hardware ethernet 00:“A0:78:8E:9E:AA; 15 fixed-address 192.168.1.22; 16 6 该 DHCP服务器可分配的 IP地址有多少个 ? 7 该 DHCP服务器指定的默认网关、域名及指定的 DNS服务器分别是什么 ? 8 该配置文件的 12 15行实现什么配置功能 ? 9 在

6、 Windows操作系统下， DHCP客户端 “Internet协议 (TCP/IP)属性 ”配置界面如下图所示。在此界面中，客户端应如何配置 ? 10 Windows操作系统下通过什么命令可以知道本地主机当前获得的 IP地址 ? 三、试题三（ 15分） 11 阅读以下说明，回答问题 1至问题 5。 说明 某企业采用 Windows 2000操作系统部署企业虚拟专用网 (VPN)，将企业的两个异地网络通过公共 Internet安全地互联起来。微软 Windows 2000操作系统当中对 IPSec具备完善的支持，下图给出了基于 Windows 2000系统部署 IPSec VPN的网络结构图。

7、11 IPSec是 IETF以 RFC形式公布的一组安全协议集，它包含了 AH与 ESP两个安全机制，其中 (1)不支持保密服务。 12 IPSec的密钥管理包括密钥的确定与分发。 IPSec支持 (2)和 (3)两种密钥管理方式。试比较这两种方式的优缺点。 13 如果按上图中所示网络结构配置 IPSec VPN，安全机制选择的是 ESP，那么IPSec工作在隧道模式。一般情况下，在图中所标注的四个网络接口中，将 (4)和 (5)配置为公网 IP，将 (6)和 (7)配置为内网 IP。 14 在 Internet上捕获并分析两个内部网络经由 Internet通信的 IP包，在下列三个选项中选择

8、正确选项填写到下图中的相应空缺处。 A ESP头 B封装后的 IP报头 C封装前的 IP头 15 IPSec VPN与 L2TP VPN分别工作在 OSI/RM的哪个协议层 ? 四、试题四（ 15分） 16 请认真阅读下列有关计算机网络防火墙的说明信息，回答问题 1 5。 说明 某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。 16 完成下列命令行，对网络接口进行地址初始化的配置： firewall(config)#ip address inside(1)(2) fnrewall(config)#ip address outside(3)(4) 17 与路由器一样，

9、防火墙的网络地址转换功能可以实现内部网络共享出口 IP地址。根据网络连接示意 图提供的网络参数，完成下列命令行的配置内容，以实现整个内部网络段的多个用户共享一个 IP地址。 firewall(config)#global(outside)(5)netmask(6) firewall(config)#nat(outside)(7)(8)18 如果允许内部任意 “地址都可以转换出去，则： firewall(config)#nat(outside)(9)(10) 19 访问控制列表是防火墙实现安全管理的重要手段。完成下列访问控制列表(access-control-list)的 配置内容，使内部所有主

10、机不能访问外部 IP地址段为 202.117.12.0/24的 Web服务器。 firewall(config)#access-list 100 deny tcp(11) 202.117.12.0 255.255.255.0 eq(12) 20 如果使外部所有主机不能访问内部的 IP地址为 192.168.0.10的 FTP服务器，仿照上一个访问控制列表的命令行格式，给出访问控制列表的命令行。 五、试题五（ 15分） 21 阅读下面的说明，回答问题 1至问题 5。 说明 利用 VLAN技 术可以把物理上连接的网络从逻辑上划分为多个虚拟子网，可以对各个子网实施不同的管理策略。下图表示两个交换机相

11、连，把 6台计算机配置成两个 VLAN。21 双绞线可以制作成直连线和交叉线两种形式。在上图中，两个交换机的UPLINK口相连，使用的双绞线制作成什么形式 ?连接交换机和计算机的双绞线制作成什么形式 ? 22 阅读下面的配置信息，将 (1) (4)处空缺的内容填写在相应位置。 SW1 enable (进入特权模式 ) SW1#vlan database (进入 VLAN配置子模式 ) SW1(vlan)#vtp server (设置本交换机为 Server模式 ) SW1(vlan)#vtp domain (1) (设置域名 ) SW1(vlan)# (2) (启动修剪功能 ) SW1(vla

12、n)#exit (退出 VLAN配置模式 ) SW1#show (3) (查看 VTP设置信 息 ) VTP Vetsion :2 Configuration Revision :0 Maximum VLANs supported locrlly :64 Number of existing VLANs :1 VTP Operating Mode :Server VTP Domain Name :Server1 VTP Pruning Mode :Enable VTP V2 Mode :Disabled VTP Traps Generation :Disabled MD5 digest :0x

13、82 0x6B 0xFB 0x94 0x41 0xEF 0x92 0x30 Configuration last modified by 0.0.0.0 at 7-1-05 00:07:51 SW2#vlan database SW2(vlan)#vtp domain NULL SW2(vlan)# (4) Setting device to VTP CLIENT mode. SW2(vlan)#exit 23 阅读下面的配置信息，解释 (5)处的命令。 Switch# Switch#config Switch(config)#interface f0/1(进入接口 1配置模式 ) Switc

14、h(config-if)#switchport mode trunk(5) Switch(config-if)#switchpoft trunk allowed vlan all(设置允许从该接口交换数据的VLAN) Switch(config-if)#exit Switch(config)#exit SwitCh# 24 阅读下面的配置信息，解释 (6)处的命令。 Switeh#vlan Switch(vlan)#vlan 2(创建一个 VLAN2) VLAN 2 added: Name:VLAN0002(系统自动命名 ) Switch(vlan)#vlan 3 name vlan3(6)

15、VLAN 3 added: Name:vlan3 Switch(vlan)#exit 25 阅读下面的配置信息，解释 (7)处的 命令。 Switch#config t Switch(eonfig)#interface f0/5(进入端口 5的配置模式 ) Switch(config-if)#switchport mode access(7) Switch(config-if)#switchport access vlan 2(把端口 5分配给相信的 VLAN2) Switch(config-if)#exit Switch(config)#interface f0/6 Switch(confi

16、g-if)#switchport mode access Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit Switch(config)#exit Switch# 2005年下半年软件水平考试（中级）网络工程师下午（应用技术）试题真题试卷答案与解析 一、试题一（ 15分） 1 【正确答案】 (1)AP_2(2)AP_3(3) Switch(4) WNC 【试题解析】 首先能确定的是第 (3)处。由于采 用一个无线网络控制器来自动探测、监控、管理无线 AP。由于校园内还有其他地方有 AP，因此第 (3)处不可能是无

17、线网络控制器，也不可能是 AP，因此从备选设备中只能选择交换机 Switch。 接着，第 (4)处为骨干网中的一个网络设备，不是 AP，因此为无线网络控制器 WNC。无线网络控制器在这里为整个校园网管理无限 AP。 然后，选择表中只有 AP了，故第 (1)处、第 (2)处为 AP，在 AP_1、 AP_2、AP_3中选择。由于第 (1)处、第 (2)处都在室外，排除了 AP_1。第 (1)处需要进行全向覆盖而第 (2)处 不需要，故第 (1)处选 AP_2，第 (2)处选 AP_3。 2 【正确答案】 (5)SSL修改密文协议 (6)SSL记录协议 (7)TCP 【试题解析】 安全套接层 (S

18、SL)的结构见下图。SSL中两个重要的概念是SSL会话和 SSL连接，在规约中定义如下。 . 连接：是提供恰当类型服务的传输(在 OSI分层模型的定义中 )。对于 SSL，这样的连接是点对点的关系。连接是短暂的，每个连接与一个会话相联系。 . 会话： SSL的会话是客户和服务器之间的关联，会话通过握手协议来创建。 SSL记录协议为 SSL连接提供两种服 务。 . 机密性：握手协议定义了共享的、可以用于对 SSL有效载荷进行常规加密的密钥。 . 报文完整性：握手协议还定义了共享的、可以用来形成报文的鉴别码 (MAC)的密钥。 记录协议接收传输的应用报文，将数据分片成可管理的块，可选地压缩数据，应

19、用 MAC，加密，增加首部，在 TCP报文段中传输结果单元。被接收的数据被解密、验证、解压和重新装配，然后交付给更高级的用户。 3 【正确答案】 SSL实现信息传输过程中的实现信息的加密， RADIUS则实现对远端拨入用户的身份验证服务。 【试题解析】 SSL是一个 协议独立的加密方案，在网络信息包的应用层和传输层之间提供了安全的通道。简单地说，就是 HTML或 CGI经过幕后服务器进行了加密处理，然而对 HTML和 CGI的作者来说是透明的。 RADIUS协议最初的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。 RADIUS是一种 C/S结构的协议，它的客户

20、端最初就是 NAS服务器，现在任何运行 RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS协议认证机制灵活，可以采用 PAP、 CHAP或者Unix登录认证等多种方式。 因此 SSL用作实现信息传输过程中的实现信息的加密， RADIUS则实现对远端拨入用户的身份验证服务。 4 【正确答案】 基于用户账号进行计费。因为无线部分采用 DHCP方式动态分配IP地址，同一地址不同时间分配给不同用户，因此无法基于 IP地址进行计费。 【试题解析】 基于用户账号进行计费、因为无线部分采用 DHCP方式动态分配IP地址，同一地址不同时间分配给不同用户，因此无法基于 IP地址进行计费

21、。 5 【正确答案】 (8)ipconfig/release或 A 【试题解析】 可以采用下面步骤在 DHCP客户端查看 TCP/IP配置，验证 DHCP服务器已经提供服务。 在客户端计算机上，单击 “开始 运行 ”，在运行对话框中输入 cmd，单击 “确定 ”按钮进入 DOS模式。 在 DOS提示符下输入 ipconfig/all命令，即可查看客户端 TCP/IP的详细配置信息。从显示的信息中可以得知这台计算机是一个 DHCP服务器获得的 IP地址，DHCP服务器的 IP地址为 192.168.1.20，所获得的 IP地址为 192.168.1.106，子网掩码为 255.255.255.0

22、，以及获得的 IP地址的时间和租约过期的时间等 (不同的网络类型显示的 “node type”的值不同 )。 此时可以在客户端运行 ipconfig/release命令，手工释放 IP地址。再运行 ipconfig/all命令，查看客户端 TCP/IP配置信息，发现 IP地址已经释放。 此时运行 ipconfig/renew命令可以重新向 DHCP服务器申请 IP地址。 注意：在 DHCP服务器的 DHCP服务控制台下，单击 “地址租约 ”，即可查看所有客户端获得 IP地址的情况。 二、试题二（ 15分） 6 【正确答案】 181个 【试题解析】 本题测试 Linux中 DHCP服务器的安装和

23、配置的概念和知识。 DHCP(动态主机配置协议 )是一个简化主机 IP地址分配管理的 TCP/IP标准协议。可以利用 DHCP服务器管理动态的 IP地址分配及其他相关的环境配置工作 (如：DNS、 WINS、 Gateway的设置 )。 DHCP可以使客户端自动从服务器得到 个 IP地址。 Linux是一种常用的网络操作系统，在 Linux中可以安装高性能的 DHCP服务器。 当 DHCP启动时，TCP/IP初始化并且向客户端发送一个 DHOP DISCOVER的报文向 DHCP服务器申请一个 IP。 DHCP服务器收到 DHCP DISCOVER报文后，它将从客户端主机的地址池中为它提供一个

24、尚未被分配的 IP地址。该报文信息被返回到上述主机。客户端随后发出一个包含有 DHCP服务器提供 IP地址的 DHCP REQUESST报文。 DHCP服务器向客户端发回一个含有原被发出 IP地址及其分配方案的应答报文。 DHCP服务器提供给客户端的 IP地址是有时间限制的， DHCP客户端要想继续使用这个 IP地址，必须在租用期到来时对它进行更新和续借。在 Linux中建立DHCP服务器的配 置文件是 dhcpd.conf，每次启动 DHCP服务器都要读取该文件。下面是原试题给出的 dhcpd.conf文件实例及其说明： default-lease-time 1200; #设置默认的 IP租

25、用时间，这里给出的租用期限为 1200秒，一般常用的是 86400秒 (24小时 ); max-lease-time 9200; #设置最大租用期限为 9200秒 ; option subnet-mask 255.255.255.0; #设置于网掩码为 255.255.255.0; option broadcast-address 192.168.1.255; #设置网络广播号为 192.168.1.255; option routers 192.168.1.254; #指明作为网关的路由器地址为 192.168.1.254; option domain-name-servers 192.16

26、8.1.1, 192.168.1.2; #指明 DNS服务器的 IP地址。这里有两个 DNS服务器， IP地址分别为 192.168.1.1和 192.168.1.2 option domain-name ““; #指明 DNS域名为 ““; subnet 192.168.1.0 netmask 255.255.255.0 #设置可分配的 IP地址所在的子网 ; range 192.168.1.20 192.168.1.200; #设置可分配的 IP地址池，这里有 181个可分配的 IP地址 ; host fixed #设置固定 IP地址 ; option host-name ““; #定义主

27、机域名为 ““; hardware ethernet 00:A0:78:8E:9E:AA; fixed-address 192.168.1.22; #为 MAC地址为“00:A0:78:8E:9E:AA“的主机分配固定 IP地址 “192.168.1.22“; 另外，为了使DHCP服务器能为 Windows操作系统平台的主机服务，还应该在 Linux操作系统的服务器中加上一条 255.255.255.255的路由 (因为 Windows平台的主机都是以广播方式搜索 DHCP服务器 )。为了以后每次启动时能够自动执行，可以在 Linux下的 /etc/rtc.d/rc.local文件中加入以下的

28、一条命令： route add-host 255.255.255.255 dev eth0 7 【正确答案】 该 DHCP服务器指定的默认网关是： 192.168.1.254; 域名是： ; 指定的 DNS服务器是： 192.168.1.1和 192.168.1.2。 8 【正确答案】 为网卡的 MAC地址是 “00:A0:78:8E:9E:AA”的客户端主机所分配固定 IP地址： 192.168.1.22。 为该客户分配主机域名： ““。 9 【正确答案】 在此界面中客户端点选 “自 动获得 IP地址 ”选项。 10 【正确答案】 通过命令 “ipconfig/all”可以得到客户端 TCP

29、/IP当前的详细配置信息 (答 ipconfig也给分 )。 三、试题三（ 15分） 11 【正确答案】 (1)AH 【试题解析】 本题主要考查的是基于 IPSec构建虚拟专用网的相关技术。 IPSec是 IETF以 RFC形式公布的一组安全协议集，其提供的服务包括：访问控制、无连接完整性、数据源认证、拒绝重放包、保密性和限制流量保密性，它包含了 AH与 ESP两个安全机制， AH不支持保密服务。 IPSec的密钥管理包括密钥的确定和分发， IPSec体系结构文档要求支持两种密钥管理类型：自动密钥分配和手工密钥分配，其中手动密钥分配优点是简单，缺点是安全性较低，应用于小规模、相对静止的环境。

30、理解 IPSec协议体系结构的一个关键点是理解 IPSec协议的封装结构。问题 4考查的是当应用 ESP协议的隧道模式时，在 Internet上传送的 “包结构。 构建虚拟专用网的技术可以按照层次进行分类，目前用的比较多的是第三层 (网络层 )的 IPSee VPN和第二层 (数据链路层 )的 L2TP VPN。 12 【正确答案】 (2)自动密钥分配 (3)手工密钥分配 手工密钥分配的优点是简单，缺点是安全性低。 13 【正确答案】 (4)NIC2或 NIC3(5)NIC3或 NIC2，但是与 (4)不能相同 (6)NIC1或 NIC4(7)NIC4或 NIC1，但是与 (6)不能相同 14

31、 【正确答案】 (8)B(9)A(10)C 15 【正确答案】 (8)B(9)A(10)C 四、试题四（ 15分） 16 【正确答案】 (1)192.168.0.1(2)255.255.255.0 (3)202.117.12.37(4)255.255.255.252 【试题解析】 本题测试防火墙有关参数及安全规则配置的知识。 从原题给出的网络连接图可以看出，这里的防火墙是基于访问控制策略而设立在内外网络之间的一种安全保护机制，在防火墙上装有两块配置不同网络 IP地址的网卡，位于内外网络之间，并分别与内外网络相连，实现了在物理上将内外网络隔开。此处的防火墙系统就是一个多端口的 IP路由器，实现内

32、外两个网络的跨网段访问。同时它还能够拦截和检查所有出站和进站的数据，它首先打开 IP包，取出包头，根据包头的信息 (如 IP源地址， IP目标地址 )确定该包是否符合包过滤规则 (如对包头进行语法分析，阻止或允许包传输或接收 )，并进行记录。对于符合规则的包，则进行转发，否则应报警并丢弃该包。 防火墙还实现了 NAT (NetworkAddressTranslation)网络地址转换功能，利用NAT技术，可以使内部局域网中多台计算机通过共享一个出口 IP地址访问外部网络。通常情况下，是将内部的一个子网内的 IP地址段通过配置命令进行地址转换，将有限的 IP地址动态或静态地与内部的 IP地址对应

33、起来，用来缓解地址空间短缺的问题。在配置防火墙的 IP地址转换规则时， 如果要求转换所有 IP地址则使用如下的命令语句： firewall(config)#nat (outside) 1 0.0.0.0 0.0.0.0 随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施：三是限定用户 访问特殊站点；四是为监视

34、 Internet安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在 Internet上的 Web网站中，大量的 Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严、安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。 在防火墙上制定的访问安全控制规则可以是基于某个特定协议的，如 FTP，HTTP等。防火墙根据事先设定的访问控制规则来监控进出网络的数据信息，只允许那些符合安全规则的信 息出入。这些功能都是通过 ACL(access-control-list)访问控制列表实现的。 ACL是应

35、用于 IP地址和上层 IP协议的允许和拒绝条件的一个有序集合。 标准 IP访问控制列表语法： access-list access-list-number permit|deny source destination log 其中默认的源和目的为 IP地址，如果要具体到端口号，则需指明关键字 “tcp”。另外源和目的还可以使用通配符，如 “any”表示 “所有的 ”或 “任意的 ”。如： ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80 定义了一个编号为 101，协议类型为 TCP，源地址为 “任意 ”，端口号等于 8

36、0，访问目的地址为 10.0.0.0/24的网络的数据包允许通过的访问控制列表。 下面是上一个访问控制列表的反向访问控制列表： ip access-list 102 permit tcp 10.0.0.0 255.255.255.0 any eq 80 17 【正确答案】 (5)202.117.12.37(6)255.255.255.252 (7)192.168.0.0(8)255.255.255.0 18 【正确答案】 (9)0.0.0.0(10)0.0.0.0 19 【正确答案】 (11)any(all也给分 )(12)www(或 80) 20 【正确答案】 firewall(config

37、)#access-list 101 deny tcp any 192.168.0.10 255.255.255.0 eq 21(或 FTP) 五、试题五（ 15分） 21 【正确答案】 两个交换机的 UPLINK端口相连，使用的双绞线制作成交叉线。 连接交换机和计算机的双绞线制作成直连线。 【试题解析】 两个交换机之间的以太网端口使用交叉双绞线连接，构成中继线路。交换机与计算机之间的连线使用直通双绞线。 UPLINK端口是专门用于与其他交换机连接的端口，可利用直通线将该端口连接至其他交换机的除 UPLINK端口之外的任意端口，这种连接方式跟计算机与交换机之间的连接相同。 22 【正确答案】 (

38、1) Server1(2) vtp pruning(3) vtp status(4) vtp client 【试题解析】 (1) 根据显示的配置信息，指定的域名是 Server1，所以 (1)处应为： SW1(vlan)#vtp domain Server1 (设置域名 ) (2) 启动修剪功能的命令是 SW1(vlan)# vtp pruning (启动修剪功能 ) (3) 查看 VTP设置信息的命令是 SW1#show vtp status (查看 VTP设置信息 ) (4) SW1被设置为服务器， SW2被设置为客户机，所以应该给出下面的命令 SW2(vlan)# vtp client

39、23 【正确答案】 (5)设置当前端口为 Trunk模式 【试题解析】 命令 Switch(config-if)#switchport mode trunk的含义是设置当前端口为 Trunk模式。 24 【正确答案】 (6)创建一个 VLAN 3，并命名为 vlan3 【试题解析】 命令 Switch(vlan)#vlan 3 name vlan3的含义是创建一个 VLAN3，并 命名为 vlan3。 25 【正确答案】 (7)设置端口为静态 VLAN访问模式 【试题解析】 命令 Switch(config-if)#switchport mode access的含义是设置端口为静态 VLAN访问模式。