1、中级网络工程师下午试题-16 及答案解析(总分:75.00,做题时间:90 分钟)一、试题一(总题数:1,分数:15.00)某校园网结构如图 1-1 所示,用户可以通过有线接入,也可以通过无线接入。用户接入采用 web+DHCP 方式,当用户连上校园网后,由 DHCP 服务器为用户自动分配 IP 地址,基于 web 的认证成功后即可访问Internet。认证过程采用 SSL 与 RADIUS 相结合的方式,以防止非法用户的盗用。 *(分数:15.00)(1).对 PC 机无线网卡进行配置时,在图 1-2 中 SSID 参数的主要作用是 。 (1)各选答案: *(分数:3.00)A.操作模式B.
2、扩展服务集C.加密等级D.工作频段(2).当区域网络扩大时,网络安全就成为重点,该校园采用 RADIUS 技术,对校园每个用户进行认证,保证每个终端接入的合法性。其中 RADIUS 认证主要使用 (2) 和 (3) 认证方式。(分数:3.00)填空项 1:_(3).在图 1-1 中,教师办公室的计算机能否直接从 DHCP 服务器租约 IP 地址?若能,如何查看租约的 IP 地址?若不能,需要对哪台设备进行如何配置?(分数:3.00)填空项 1:_(4).SSL 是一个协议独立的加密方案,在应用层和传输层之间提供了安全的通道。SSIL 主要包括 (4) 、 (5) 、 (6) 、SSIL 修改密
3、文协议等。其中 (7) 的主要功能是用于在通信双方建立安全传输通道; (8) 从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去,从而保证了数据的机密性和报文完整性。(分数:3.00)填空项 1:_(5).SSIL 协议数据封装过程包括:(下面到未按顺序排列) 附加首部数据,包括内容类型、主要版本、次要版本、压缩长度。 使用共享密钥计算报文鉴别代码(MAC); 可选地应用压缩; 分片,将上层交付的报文分成 214 字节或更小的数据块; 使用同步算法加密报文; 将按照应答过程重新排序为 。(分数:3.00)填空项 1:_二、试题二(总题数:1,分数:15.00)某公司的域名为 ,
4、所使用的网络地址为 222.78.68.0/24,共有两台服务器,一台 IP 地址是222.78.68.10,名字是 server1,它用作域名服务器、电子邮件服务器,另一台 IP 地址是222.78.68.11,名字是 server2,它用作 Web 服务器。(分数:15.00)(1).下面是服务器 server1 中的三个文件。 /etc/named.conf 文件的内容: options directory“/var/named“; ; zone“IN type (1) ; file“named.ca“; ; zone“0.0.127.in-addr.arpa“IN type maste
5、r; file“named.local“; allow-updatenone; ; zone““IN type master; file“named.hosts“; allow-updatenone; ; zone“ (2) “IN type master; file“named.rev“; allow-updatenone; (分数:3.75)填空项 1:_(2).server1 服务器是一个 。(分数:3.75)A.主域名服务器B.辅助域名服务器C.缓存域名服务器D.DNS 服务器(3)./var/named/named.hosts 文件中下划线一行的含义是 。(分数:3.75)填空项 1
6、:_(4).在 Windows 2003 下,测试 DNS 服务器的程序的命令是 (7) 。若要测试邮件交换器设置是否正确,需要使用的子命令是 (8) 。(分数:3.75)填空项 1:_三、试题三(总题数:1,分数:15.00)某企业采用 Windows 2003 操作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet 安全地互联起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持,图 3-1 给出了基于 Windows 2003 系统部署 IPSec VPN 的网络结构图。 *(分数:15.00)(1).IPSec 工作在 (1) ,它
7、的两种工作模式是 (2) 和 (3) 。 (1)备选答案: A表示层 B会话层 C传输层 D网络层(分数:3.00)填空项 1:_(2).图 3-2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据,仅需确保收到的数据在传输过程不被篡改,在图 3-2 中我们只需选择 (4) ;如果在 VPN 中传输的是机密数据,不仅需要保证数据在传输过程不被篡改,而且还需要对数据进行加密,在图 3-2 中选择 (5) 。 * (4)(5)备选答案: A数据和地址不加密的完整性(AH) B数据完整性和加密(ESP) C生成新密钥间隔(G) D生成新密钥间隔(R)(分数:3.00)填空项
8、1:_(3).在 IKE 执行密钥交换时(建立主要模式 SA 的阶段),通信双方需要验证对方的身份,Windows 2003 中支持 (6) 、 (7) 和 (8) 验证。(分数:3.00)填空项 1:_(4).VPN 中的数据加密所使用的方法有 DES 和 3DES,其中 3DES 是执行三次 DES 算法,图 3-3 所示的是3DES 加密过程。若用 E 和 D 分别表示执行加密和解密算法,则图 3-3 方框中分别按顺序填写 (9) 、 (10) 和 (11) 。 *(分数:3.00)填空项 1:_(5).在整个 VPN 通信中,主要有 (12) 和 (13) 两种 VPN 通信方式,而后
9、者又包括“Intranet VPN(企业内联 VPN)”和“Extranet VPN(企业外联 VPN)”。(分数:3.00)填空项 1:_四、试题四(总题数:1,分数:15.00)网络地址转换(NAT)的主要目的是解决 IP 地址短缺问题以及实现 TCP 负载均衡等。在图 4-1 的设计方案中,与 Internet 连接的路由器采用网络地址转换。 *(分数:15.00)(1).某学校通过专线上网,申请的合法 Internet IP 地址 202.168.10.1202.168.10.10,使用路由器的NAT 功能进行地址转换,具体配置如下,解释配置命令含义。 version 11.3 no
10、service password-encryption ! hostname 2601 (1) ! enable password cisc02006 (2) ip nat pool aaa 202.168.10.2 202.168.10.10 netmask 255.255.255.240(3) ip nat inside source list 1 pool aaa overload (4) ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside (5) ! interface Serial0 ip add
11、ress 202.1 68.10.1 255.255.255.240 ip nat outside (6) bandwidth 2000 (7) clockrate 2000000 ! no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 (8) access-list 1 permit 10.1.1.0 0.0.0.255 (9) ! ! end(分数:5.00)填空项 1:_(2).NAT 按技术类型分为 (10) 、 (11) 、 (12) 三种转换方式。(分数:5.00)填空项 1:_(3).此配置中采用的转换方式为 (13) 。(分数:5.
12、00)A.静态地址转换B.动态地址转换C.复用动态地址转换五、试题五(总题数:1,分数:15.00)如图 5-1 所示,为了实现交换机 SW1 和 SW2 之间的冗余连接以提高传输速度和可靠性,在这两台交换机使用两条双绞线互连。为了避免网络环路的出现,在两台交换机之间使用了生成树协议(Spanning Tree Protocol,STP),通过修改 Trunk(干道)端口的属性,使不同的 VLAN 数据从不同的端口中传输。 *(分数:15.00)(1).交换机 SW1 和 SW2 之间使用生成树协议之后,该交换机上的端口总是处于(1)、(2)、(3)和(4)4 种状态中的一种。(分数:3.00
13、)填空项 1:_(2).阅读下面配置信息,将(5)(8)处空缺的内容填写在相应位置。 SW1enable (进入特权模式) SW1# (5) (进入 VLAN 配置子模式) SW1(vlan)#vtp server (设置本交换机为 Server 模式) SW1(vlan)#vtp domain ABC (设置域名) SW1(vlan)# (6) (启动修剪功能) SW1(vlan)# (7) (设置 VTP 的版权为 2) SW1(vlan)# (8) (创建 VLAN2,并命名为 v2) SW1(vlan)# (创建 VLAN3-VLAN6) SW1(vlan)#exit (退出 VLAN
14、 配置模式) SW1#show vtp status (查看 VTP 设置信息)(分数:3.00)填空项 1:_(3).阅读下面配置信息,解释(9)(11)处的命令,将答案填写在相应的位置。 SW1enable (进入特权模式) SW1(config)#interface f0/23 (进入接口 23 配置模式) SW1(config-if)#switchport mode trunk (9) SW1(config-if)#switchport trunk encaps isl (10) SW1(config-if)#spanning-tree vlan 1 port-priority 10
15、(11) SW1(config-if)#spanning-tree vlan 2 port-priority 10 SW1(config-if)#spanning-tree vlan 3 port-priority 10 SW1(config-if)#interface f0/24 (进入接口 24 配置模式) SW1(config-if)# (对端口 24 进行配置) SW1(config-if)#end SW1#copy run start(分数:3.00)填空项 1:_(4).在问题 3中,是通过修改 VLAN 的 port-priority 来实现负载均衡。除此之外,还可以修改 STP
16、 的 来实现。(分数:3.00)填空项 1:_(5).在图 5-1 中,如果把这两条平行链路看成一条物理链路,从而提高了交换机之间的带宽,同时还提供了负载均衡和冗余性,这种技术称为 。(分数:3.00)填空项 1:_中级网络工程师下午试题-16 答案解析(总分:75.00,做题时间:90 分钟)一、试题一(总题数:1,分数:15.00)某校园网结构如图 1-1 所示,用户可以通过有线接入,也可以通过无线接入。用户接入采用 web+DHCP 方式,当用户连上校园网后,由 DHCP 服务器为用户自动分配 IP 地址,基于 web 的认证成功后即可访问Internet。认证过程采用 SSL 与 RA
17、DIUS 相结合的方式,以防止非法用户的盗用。 *(分数:15.00)(1).对 PC 机无线网卡进行配置时,在图 1-2 中 SSID 参数的主要作用是 。 (1)各选答案: *(分数:3.00)A.操作模式B.扩展服务集 C.加密等级D.工作频段解析:在无线网卡配置中经常需要配置的参数主要有:一是 Operating Mode(操作模式/网络类型),是点对点(Adhoc)网络还是基础设施(Infrastructure)网络;二是 ESSID(扩展服务集 ID),即无线网络的名称;三是 Encryption Level(加密等级),选择 WEP 加密的密钥长度(40 位或 128 位),并设
18、置共享密码;四是Channel(工作频段),当有多个无线设备时,为避免干扰需设置此选项。(2).当区域网络扩大时,网络安全就成为重点,该校园采用 RADIUS 技术,对校园每个用户进行认证,保证每个终端接入的合法性。其中 RADIUS 认证主要使用 (2) 和 (3) 认证方式。(分数:3.00)填空项 1:_ (正确答案:(2)口令验证协议(PAP) (3)质询握手协议(CHAP))解析:RADIUS 主要使用口令验证协议 PAP(Password Authentication Protocol)和质询握手协议CHAP(Challenge Handshake Authentication P
19、rotocol)。CHAP 认证比 PAP 认证更安全,因为 CHAP 不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。(3).在图 1-1 中,教师办公室的计算机能否直接从 DHCP 服务器租约 IP 地址?若能,如何查看租约的 IP 地址?若不能,需要对哪台设备进行如何配置?(分数:3.00)填空项 1:_ (正确答案:不能,应把路由器配置成 DHCP 中继代理)解析:DHCP 协议的报文都是通过广播形式传播的,因此当跨越多个网段时,这个广播报文将被第三层设备(如路由器)过滤掉了,因此要想在 DHCP 客户机和服务器之间转发 DHCP 报文,路由器必须
20、要支持 DHCP中继代理。(4).SSL 是一个协议独立的加密方案,在应用层和传输层之间提供了安全的通道。SSIL 主要包括 (4) 、 (5) 、 (6) 、SSIL 修改密文协议等。其中 (7) 的主要功能是用于在通信双方建立安全传输通道; (8) 从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去,从而保证了数据的机密性和报文完整性。(分数:3.00)填空项 1:_ (正确答案:(4)SSL 记录协议 (5)SSL 握手协议 (6)SSL 告警协议 (7)SSL 握手协议 (8)SSL 记录协议)解析:SSL 是一个协议独立的加密方案,在应用层和传输层之间提供了安全的通道
21、。SSL 主要包括 SSL 记录协议、SSL 握手协议、SSL 告警协议、SSL 修改密文协议等。在 SSL 协议中,SSL 握手协议的主要功能是用于在通信双方建立安全传输通道;SSL 记录协议的主要功能是从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去,从而保证了数据的机密性和报文完整性。(5).SSIL 协议数据封装过程包括:(下面到未按顺序排列) 附加首部数据,包括内容类型、主要版本、次要版本、压缩长度。 使用共享密钥计算报文鉴别代码(MAC); 可选地应用压缩; 分片,将上层交付的报文分成 214 字节或更小的数据块; 使用同步算法加密报文; 将按照应答过程重新排序为
22、 。(分数:3.00)填空项 1:_ (正确答案:、)解析:SSL 数据封装如下: 第 1 步:分片,将上层交付的报文分成 214字节或更小的数据块; 第 2 步:可选地应用压缩; 第 3 步:使用共享密钥计算报文鉴别代码(MAC); 第 4 步:使用同步算法加密报文; 第 5 步:附加首部数据,包括内容类型、主要版本、次要版本、压缩长度。 接收方接收到数据后,将其解密、验证、解压和重新装配,最后交给高层用户。二、试题二(总题数:1,分数:15.00)某公司的域名为 ,所使用的网络地址为 222.78.68.0/24,共有两台服务器,一台 IP 地址是222.78.68.10,名字是 serv
23、er1,它用作域名服务器、电子邮件服务器,另一台 IP 地址是222.78.68.11,名字是 server2,它用作 Web 服务器。(分数:15.00)(1).下面是服务器 server1 中的三个文件。 /etc/named.conf 文件的内容: options directory“/var/named“; ; zone“IN type (1) ; file“named.ca“; ; zone“0.0.127.in-addr.arpa“IN type master; file“named.local“; allow-updatenone; ; zone““IN type master;
24、 file“named.hosts“; allow-updatenone; ; zone“ (2) “IN type master; file“named.rev“; allow-updatenone; (分数:3.75)填空项 1:_ (正确答案:(1)hint (2)68.78.222.in-addr.arpa (3)CNAME 或者 CNAME server2 (4)PTR )解析:不管是主域名服务器、辅助域名服务器还是缓存域名服务器,在根域名区声明时,类型 type 型必须为 hint,即为一个区的高速缓冲文件,因此空(1)处应当填写“hint”。空(2)处所在位置是反向域名解析区声
25、明,应当填写反向域名。反向域名由两部分组成,域名前半段是其网络 ID 反向书写,而区域后半段必须是“in-addr.arpa”。因此(2)处应当填写“68.78.222.in-addr.arpa”。空(3)处应当是定义一条别名记录。根据说明,该单位的 www 服务在 server2 上,即“”和“”表示同一台主机,因此(3)处应当填写“IN CNAME .”,也可以只填写“CNAME server2”(注:若要填写“A 222.78.68.11”也可实现解析,但违背出题的初衷了)。空(4)处应当填写一条反向指针(PTR)资源记录,用来记录在反向搜索区域内的 IP 地址及主机,用户可通过该类型资
26、源记录把 IP 地址映射成主机域名,此处应当填写“PTR ”。(2).server1 服务器是一个 。(分数:3.75)A.主域名服务器 B.辅助域名服务器C.缓存域名服务器D.DNS 服务器解析:在区声明部分,用 type 来指定服务器类型是主域名服务器、辅助域名服务器还是缓存域名服务器,master 表示主域名服务器:slave 表示辅助域名服务器;hint 表示缓存域名服务器。本题的正向域名解析区声明和反向域名解析区声明中都指明了 type 为 master,说明这台服务器是主域名服务器。(3)./var/named/named.hosts 文件中下划线一行的含义是 。(分数:3.75)
27、填空项 1:_ (正确答案:指明了该单位的邮件交换器是 ,它负责处理邮件地址的主机部分为“xyz.edu.ca”的邮件,“10”表示优先级。)解析:下划线一行是一条邮件交换器(MX)记录,指定哪些主机负责接收该区域的电子邮件。此处作用是指明了该单位的邮件交换器是 ,它负责处理邮件地址的主机部分为“”的邮件,“10”表示优先级。(4).在 Windows 2003 下,测试 DNS 服务器的程序的命令是 (7) 。若要测试邮件交换器设置是否正确,需要使用的子命令是 (8) 。(分数:3.75)填空项 1:_ (正确答案:(7)nslookup (8)set type=MX)解析:在域名测试工具中
28、,有许多子命令,但使用最多是的 set type 子命令,它是用来改变测试的资源记录的类型,使用方法如下表所示。 子命令 用途 子命令 用途set type=A 查询主机 IP 地址 set type=MX 查询邮件交换器set type=CNAME 查询别名的真正名称set type=PTR 如果查询是 IP 地址,则指定计算机名;否则指定指向信息的指针set type=NS 查询命名区域的DNS 名称服务器 set type=SOA 查询 DNS 区域的起始授权机构set type=ANY指定查询所有数据类型三、试题三(总题数:1,分数:15.00)某企业采用 Windows 2003 操
29、作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet 安全地互联起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持,图 3-1 给出了基于 Windows 2003 系统部署 IPSec VPN 的网络结构图。 *(分数:15.00)(1).IPSec 工作在 (1) ,它的两种工作模式是 (2) 和 (3) 。 (1)备选答案: A表示层 B会话层 C传输层 D网络层(分数:3.00)填空项 1:_ (正确答案:(1)D (2)、(3)传输模式和隧道模式)解析:IPsec,即 IP 安全,它是在 IP 层来保证数据的安全性和完整性,因
30、此它工作在网络层。IPsec 有两种工作模式:传输模式和隧道模式。在传输模式下,VPN 服务器只对 IP 数据报中 TCP/LIDP 报文段部分进行加密和验证,而 IP 报头仍采用原始明文 IP 报头,只是做适当的修改;但在隧道模式下,VPN 服务器会对整个 IP 数据报进行加密和验证,即将原 IP 数据报看做一个整体进行加密和验证,为了能在Internet 正确传送,VPN 服务器还需要重新生成 IP 报头。 IPSec 包括 AH 与 ESP 两个安全机制,其中 AH 协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP 协议定义了加密和可选认证的应用方法,提供可靠性保证。(2).
31、图 3-2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据,仅需确保收到的数据在传输过程不被篡改,在图 3-2 中我们只需选择 (4) ;如果在 VPN 中传输的是机密数据,不仅需要保证数据在传输过程不被篡改,而且还需要对数据进行加密,在图 3-2 中选择 (5) 。 * (4)(5)备选答案: A数据和地址不加密的完整性(AH) B数据完整性和加密(ESP) C生成新密钥间隔(G) D生成新密钥间隔(R)(分数:3.00)填空项 1:_ (正确答案:(4)A (5)B)解析:传输非机密数据只需要使用 AH 安全机制,因此在图 3-2 中只需选中“数据和地址不加密的完
32、整性(AH)(A)”复选框,并选择合适的“完整性算法”即可。对于机密数据,需要使用 ESP 安全机制,因此可在图 3-2 中选中“数据完整性和加密(ESP)(C)”,并选择合适的“完整性算法”和“加密算法”。(3).在 IKE 执行密钥交换时(建立主要模式 SA 的阶段),通信双方需要验证对方的身份,Windows 2003 中支持 (6) 、 (7) 和 (8) 验证。(分数:3.00)填空项 1:_ (正确答案:(6)Kerberos (7)数字证书 (8)预共享密钥)解析:在 IKE 执行密钥交换时(建立主要模式 SA 的阶段),通信双方需要验证对方的身份,Windows 2003中支持
33、 3 种验证方法,即 Kerberos、数字证书和预共享密钥。(4).VPN 中的数据加密所使用的方法有 DES 和 3DES,其中 3DES 是执行三次 DES 算法,图 3-3 所示的是3DES 加密过程。若用 E 和 D 分别表示执行加密和解密算法,则图 3-3 方框中分别按顺序填写 (9) 、 (10) 和 (11) 。 *(分数:3.00)填空项 1:_ (正确答案:(9)E (10)D (11)E)解析:三重 DES 使用两个密钥,执行三次 DES 算法,如下图所示,图中方框 E 和 D 分别表示执行加密和解密算法。 *加密时是 E-D-E,解密时是 D-E-D,其密钥长度是 11
34、2 位,这个长度对于商业用户已经足够了。加密时是E-D-E 而不使用 E-E-E 的目的是,为了与现有 DES 系统的向后兼容,当 K1=K2时,三重 DES 的效果与现在DES 的效果完全一样。(5).在整个 VPN 通信中,主要有 (12) 和 (13) 两种 VPN 通信方式,而后者又包括“Intranet VPN(企业内联 VPN)”和“Extranet VPN(企业外联 VPN)”。(分数:3.00)填空项 1:_ (正确答案:(12)远程访问 VPN (13)路由器到路由器 VPN)解析:在整个 VPN 通信中,主要有两种 VPN 通信方式,适用于两类不同用户选择使用,满足各方面用
35、户与企业 VPN 服务器进行通信的需求。这两利 WPN 通信方式就是俗称的“远程访问 VPN”和“路由器到路由器VPN”,前者也称之为“Access VPN”(远程访问 VPN),后者又包括“Intranet VPN(企业内联 VPN)”和“Extranet VPN(企业外联 VPN)”。前者是采用 Client-to-LAN(客户端到局域网)的模式,而后者所采用的是 LAN-to-LAN(局域网到局域网)模式。前者适用于单机用户与企业 VPN 服务器之间的 VPN 通信连接,而后者适用于两个企业局域网 VPN 服务器之间的 VPN 通信连接。四、试题四(总题数:1,分数:15.00)网络地址
36、转换(NAT)的主要目的是解决 IP 地址短缺问题以及实现 TCP 负载均衡等。在图 4-1 的设计方案中,与 Internet 连接的路由器采用网络地址转换。 *(分数:15.00)(1).某学校通过专线上网,申请的合法 Internet IP 地址 202.168.10.1202.168.10.10,使用路由器的NAT 功能进行地址转换,具体配置如下,解释配置命令含义。 version 11.3 no service password-encryption ! hostname 2601 (1) ! enable password cisc02006 (2) ip nat pool aaa
37、 202.168.10.2 202.168.10.10 netmask 255.255.255.240(3) ip nat inside source list 1 pool aaa overload (4) ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside (5) ! interface Serial0 ip address 202.1 68.10.1 255.255.255.240 ip nat outside (6) bandwidth 2000 (7) clockrate 2000000 ! no
38、 ip classless ip route 0.0.0.0 0.0.0.0 Serial0 (8) access-list 1 permit 10.1.1.0 0.0.0.255 (9) ! ! end(分数:5.00)填空项 1:_ (正确答案:(1)指定路由器的主机名 (2)设置进入特权模式的口令 (3)指定一个 NAT 地址转换用的地址池,名字是 aaa,其地址范围是 202.168.10.2202.168.10.10,子网掩码为 255.255.255.240 (4)指定对访问控制列表 1 所定义的地址进行 NAT 转换,使用的外部地址地址池是 aaa (5)指定 Ethernet0
39、 为 NAT 的内网端口 (6)指定 Serial0 为 NAT 的外网端口 (7)设置端口的速率为 2000Kbit/秒,即 2M (8)设置一条缺省路由,将所有不在本网的数据包从 S0 端中转发 (9)通过一条访问控制列表来指定对内网中的 10.1.1.0/24 网段进行 NAT 地址转换)解析:该题主要考查 NAT 及 NAT 在 Cisco 路由器的配置。 NAT,即地址转换,是指在一个组织网络内部,根据需要可以随意自定义的 IP 地址(不需要经过申请)即假的 IP 地址。在本组织内部,各计算机问通过假的 IP 地址进行通讯。而当组织内部的计算机要与外部Internet 网络进行通讯时
40、,具有 NAT 功能的设备(这里是 cisco 路由器)负责将其假的 IP 地址转换为真的IP 地址,即该组织申请的合法 IP 地址进行通信。简单地说,NAT 就是通过某种方式将 IP 地址进行转换。 NAT 应用场合主要有三个,一是从安全角度考虑上,不想让外部网络用户知道内部网络的结构,可以通过NAT 将内部网络与外部。Internet 隔离开,则外部用户根本不知道内部用户的假 IP 地址。二是从 IP 地址资源角度上,申请的合法 Internet IP 地址很少,而内部网络用户很多。可以通过 NAT 功能实现多个用户同时共用少量合法 IP 与外部 Internet 进行通信。三是从负载均衡
41、角度上,通过 NAT 将大量的并发访问或数据流量分担到多台服务器上分别进行处理,减少用户等待响应的时间。 第(1)处和第(2)都是 Cisco 路由器的基本设置,hostname 是用来指定路由器的主机名,enable password是用来设置进入特权模式的口令。第(7)处的 bandwidth 是路由器串行端口设置命令,用来设置端口的速率为 2000Kbit/秒,即 2M。第(8)处的 ip route 是用来设置一条缺省路由,将所有不在本网的数据包从S0 端口转发。 第(3)(6)处和第(9)处的主要功能是实现 NAT 地址转换。其中第(3)处是用来指定一个 NAT 地址转换用的地址池,
42、名字是 aaa,其地址范围是 202.168.10.2202.168.10.10,子网掩码为 255.255.255.240;第(4)处是指定对访问控制列表 1 所定义的地址进行 NAT 转换,使用的外部地址的地址池是 aaa;第(5)处是指定 Ethemet0 为 NAT 的内网端口;第(6)处是指定 Serial0 为 NAT 的外网端口;第(9)处是通过一条访问控制列表来指定对内网中的 10.1.1.0/24 网段进行 NAT 地址转换。(2).NAT 按技术类型分为 (10) 、 (11) 、 (12) 三种转换方式。(分数:5.00)填空项 1:_ (正确答案:(10)、(11)、(
43、12)静态地址转换、动态地址转换、复用动态地址转换)解析:NAT 设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 (1)静态地址转换。静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有 E-mail、FTP 服务器等可以为外部用户提供服务,这些服务器的 IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 (2)动态地址转换。动态地址转换也是将本地地址与内部合法地址一对一地转换,但是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换。 (3)复用动态地址转换。复用动态地址转换首先是一种动态地址转换,但是
44、它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量 IP 地址但却经常同时有多于合法地址个数的用户访问外部网络的情况,这种转换极为有用。(3).此配置中采用的转换方式为 (13) 。(分数:5.00)A.静态地址转换B.动态地址转换C.复用动态地址转换 解析:从命令“ip nat inside source list l pool aaa overload”中 overload 关键字可以看出,在本题中使用的是复用动态地址转换。五、试题五(总题数:1,分数:15.00)如图 5-1 所示,为了实现交换机 SW1 和 SW2 之间的冗余连接以提高传输速度和可靠性,在这两台交换机使用两条
45、双绞线互连。为了避免网络环路的出现,在两台交换机之间使用了生成树协议(Spanning Tree Protocol,STP),通过修改 Trunk(干道)端口的属性,使不同的 VLAN 数据从不同的端口中传输。 *(分数:15.00)(1).交换机 SW1 和 SW2 之间使用生成树协议之后,该交换机上的端口总是处于(1)、(2)、(3)和(4)4 种状态中的一种。(分数:3.00)填空项 1:_ (正确答案:(1)阻塞 (2)监听 (3)学习 (4)转发)解析:运行生成树协议的交换机上的端口,总是处于下面四个状态中的一个。在正常操作期间,端口处于转发或阻塞状态。当设备识别网络拓扑结构变化时,
46、交换机自动进行状态转换,在这期间端口暂时处于监听和学习状态。 阻塞:所有端口以阻塞状态启动以防止回路。由生成树确定哪个端口转换到转发状态,处于阻塞状态的端口不转发数据但可接受 BPDU。 监听:不发送接收数据,接收并发送 bpdu,不进行地址学习(临时状态)。 学习:不接收或转发数据,接收并发送 bpdu,开始地址学习 MAC 地址表(临时状态)。 转发:端口能转送和接受数据。(2).阅读下面配置信息,将(5)(8)处空缺的内容填写在相应位置。 SW1enable (进入特权模式) SW1# (5) (进入 VLAN 配置子模式) SW1(vlan)#vtp server (设置本交换机为 Server 模式) SW1(vlan)#vtp domain ABC (设置域名) SW1(vlan)# (6) (启动修剪功能) SW1(vlan)# (7) (设置 VTP 的版权为 2) SW1(vlan)# (8) (创建 VLAN2,并命名为 v2) SW1(vlan)# (创建 VLAN3-VLAN6) SW1(vlan)#exit (退出 VLAN 配置模式) SW1#show vtp status (查看 VTP 设置信息)(分数:3.00)填空项 1:_ (正确答案:(5)vlan
