【计算机类职业资格】中级网络工程师下午试题-71及答案解析.doc

1、中级网络工程师下午试题-71 及答案解析(总分：120.00，做题时间：90 分钟)一、试题一(总题数：3，分数：15.00)1.【问题 1】NAT 按技术类型分为哪 3 种转换方式?（分数：5.00）_2.【问题 2】请解释画线部分内容含义?（分数：5.00）_3.【问题 3】此配置中采用了那种转换方式?（分数：5.00）_二、试题二(总题数：2，分数：15.00)4.【问题 1】上述配置中是否有问题?请指出并说明理由。（分数：7.50）_5.【问题 2】解释配置中画线部分内容含义?（分数：7.50）_三、试题三(总题数：2，分数：15.00)6.【问题 1】X.25 网络设备分为哪几类?（

2、分数：7.50）_7.【问题 2】解释配置中画线部分内容含义?（分数：7.50）_四、试题四(总题数：2，分数：15.00)8.【问题 1】E1 和 CE1 的主要区别是什么?（分数：7.50）_9.【问题 2】解释配置中画线部分内容含义。（分数：7.50）_五、试题五(总题数：3，分数：15.00)10.【问题 1】在 RAS 上存在着两个 RJ45 的端口，分别为 Console 与 AUX，请问这两个端口的用途是什么?(控制在 100个字以内)（分数：5.00）_11.【问题 2】在调用超级终端程序进行设备连接时，应该对设备的连接参数进行正确设置，参数主要包括串口数据传输率、数据位数。停

3、止位数以及是否有奇偶校验。请给出正确的连接参数，以便进入 Cisco 设备的虚拟操作台，进行设备调试。(控制在 100 个字以内)（分数：5.00）_12.【问题 3】在第 4 步中，进入虚拟操作台后，在 IOS 环境下输入了如下的配置，请解释(1)(4)处的标有下划线部分配置命令的含义(“”后为配置内容，“”和“/后为注释内容)。配置服务器信息。hostname Cisco 2509 /服务器名称enable secret * * * * * * /特权口令ip domain-manl /设置拨号服务器所属域名ip-name-server202.112.77.2 /设置拨号服务器 DNS(

4、1)(此处有 3 条下划线)async-bootp subnet-mask 255.255.255.0async-bootp gateway 202.112.77.254async-bootp dns-server 202.112.77.2配置 Ethenlei Port(略)。配置动态分配的地址池。ip local pool pool2509 202.112.79.1 202.112.79.8/定义 IP 地址池配置 Asynchronous Interface。/异步口是 RAS 服务器上连接 modem,用于用户拨号的端口 interface Group-Async 1/对第一组异步接口

5、进行配置，对异步口的配置可以按组，也可以按单个口group-range 1 8 /划定 1 到 8 号异步口属于第一组encapsulation pap /加载点到点协议(2)(此处有 2 条下划线)ansync dynamic addressansync default address pool pool2509 /pool2509 的定义见“配置动态分配的地址池”部分PPP authentication pap /设置 PPP 的验证方式为用户口令方式配置 router 信息。(3)(此处有 3 条下划线)router ripnetwork 202.112.77.0network 202.

6、112.79.0配置拨号服务器的缺省路由(略)。配置存取用户组。access-list 1 pormit 202.112.77.0.0.0.255/定义用户组的范围配置 Asynchronous PORT(略)。配置 vty。Iine vty 0 4 /配置虚拟终端(4)(此处有 3 条下划线)access-class 1 in /access-class 的定义见“配置存取用户组”pasword * * * * * *login（分数：5.00）_六、试题六(总题数：2，分数：15.00)13.【问题 1】简述 IPSec 实现 VPN 的工作流程（分数：7.50）_14.【问题 2】解释配

7、置中画线部分含义。网络拓扑：（分数：7.50）_七、试题七(总题数：3，分数：15.00)15.【问题 1】访问列表可以帮助我们控制网上 IP 包的传输，其主要应用在哪几个方面?（分数：5.00）_16.【问题 2】标准的 IP 访问列表和扩展的 IP 访问列表主要区别是什么?（分数：5.00）_17.【问题 3】下面是一台使用了标准访问列表的路由器的部分配置，请指出其中的错误并阐述原因。access-list 1 deny 172.16.4.13 O. O. O. 0interface serial 0ip access-group 1 out（分数：5.00）_八、试题八(总题数：1，分数

8、：15.00)18.我们在日常工作中通常使用 show interface端口及端口号来查看端口的运行状态，下面的例子是在不同情况下看到的端口状态行的内容，请分析其产生的原因及解决方法。1. Router # show interface serial 0Serial0 is up, line protocol is upHardware is HD64570MTU 1500 bytes, BW 1544 Kbit, DLY 1000 usec, rely 255/255, load 1/255Encapsulation HDLC, loopback not set, keepalive se

9、t (10 sec)Last input 00:00:00, output 00:00:00, output hang neverLast clearing of show interface counters neverQueueing strategy: fifoOutput queue 0/40, 0 drops; input queue 0/75, 0 drops5 minute input rate 1000 hits/sec, 2 packets/sec5 minute output rate 1000 bits/sec, 2 packets/sec0 packets input,

10、 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 input packets with dribble condition detected0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collision, 0

11、deferred0 last carrier, 0 no carrier0 output buffer failures, 0 output buffers swapped out2. Router # show interface serial 0Serial0 is down, line protocol is downHardware is HD64570MTU 1500 bytes, BW 1544 Kbit, DLY 1000 usec, rely 255/255, load 1/255Encapsulation HDLC, loopback not set, keepalive s

12、et (10 sec)Last input 00:00:00, output 00:00:00, output hang neverLast clearing of show interface counters neverQueueing strategy: fifoOutput queue 0/40, 0 drops; input queue 0/75, 0 drops5 minute input rate 1000 bits/sec, 2 packets/sec5 minute output rate 1000 bits/sec, 2 packets/sec0 packets input

13、, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giant】s, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 input packets with dribble condition detected0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collision,

14、0 deferred0 last carrier, 0 no carrier0 output buffer failures, 0 output buffers swapped out3. Router # 4 show interface serial 0Serial0 is up, line protocol is downHardware is HD64570MTU 1500 bytes, BW 1544 Kbit, DLY 1000 usec, rely 255/255, load 1/255Encapsulation HDLC, loopback not set, keepalive

15、 set (10 sec)Last input 00:00:00, output 00:00:00, output hang neverLast clearing of show interface counters neverQueueing strategy: fifoOutput queue 0/40, 0 drops; input queue 0/75, 0 drops5 minute input rate 1000 bits/sec, 2 packets/sec5 minute output rate 1000 bits/sec, 2 packets/sec0 packets inp

16、ut, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 input packets with dribble condition detected0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collision,

17、 0 deferred0 lost carrier, 0 no carrier0 output buffer failures, 0 output buffers swapped out4. Router # show interface serial 0Serial0 is administratively down, line protocol is downHardware is HD64570MTU 1500 bytes, BW 1544 Kbit, DLY 1000 usec, rely 255/255, load 1/255Encapsulation HDLC, loopback

18、not set, keepalive set (10 sec)Last input 00:00:00, output 00:00:00, output bang neverLast clearing of show interface counters neverQueueing strategy: fifoOutput queue 0/40, 0 drops; input queue 0/75, 0 drops5 minute input rate 1000 bits/sec, 2 packets/sec5 minute output rate 1000 bits/sec, 2 packet

19、s/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 input packets with dribble condition detected0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles,

20、 0 late collision, 0 deferred0 lost carrier, 0 no carrier0 output buffer failures, 0 output buffers swapped out（分数：15.00）_中级网络工程师下午试题-71 答案解析(总分：120.00，做题时间：90 分钟)一、试题一(总题数：3，分数：15.00)1.【问题 1】NAT 按技术类型分为哪 3 种转换方式?（分数：5.00）_正确答案：(NAT 可以分为静态地址转换和动态地址转换和复用动态地址转换 3 种方式。)解析：2.【问题 2】请解释画线部分内容含义?（分数：5.00）_

21、正确答案：(Current configuration:version 11.3no service password-encryptionhostname 2501 /路由器名称为 2501ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0 /内部合法地址池名称为 aaa，地址范围为 192.1.1.2192.1.1.10，子网掩码为 255.255.255.0ip nat inside source list 1 pool aaa /将由 accesslist 1 指定的内部本地地址与指定的内部合法地址池 aaa 进行地址转

22、换。interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside /指定与内部网络相连的内部端口为 Ethernet0interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideno ip mroute-cachebandwidth 2000 /带宽为 2Mno fair-queueclockrate 2000000interface Serial1no ip addressshutdownno ip classlessip route 0.0.0.0 0

23、.0.0.0 Serial0 /指定静态默认路由指向 Serial0access-list 1 permit 10.1.1.0 0.0.0.255 /定义一个标准的 access-list 1 以允许 10.1.1.0 网段，子网掩码的反码为 0.0.0.255 的内部地址可以进行动态地址转换line con 0line aux 0line vty 0 4password ciscoend)解析：3.【问题 3】此配置中采用了那种转换方式?（分数：5.00）_正确答案：(此配置中 nat 采用了动态地址转换。)解析：二、试题二(总题数：2，分数：15.00)4.【问题 1】上述配置中是否有问题

24、?请指出并说明理由。（分数：7.50）_正确答案：(路由器 Router1 和 Router2 的 S0 口均封装 PPP 协议，采用 CHAP 作认证，在 Router1 中应建立一个用户，以对端路由器主机名作为用户名，即用户名应为 router2。同时在 Router2 中应建立一个用户，以对端路由器主机名作为用户名，即用户名应为 router1。所建的这两用户的 password 必须相同。)解析：5.【问题 2】解释配置中画线部分内容含义?（分数：7.50）_正确答案：(Router1：hostname router1 /路由器名为 router1username router2 pa

25、ssword xxx /建立一用户，用户名为 router2，口令为 xxxinterface Serial0ip address 192.200.10.1 255.255.255.0encapsulation ppp /设置 PPP 封装clockrate 1000000ppp authentication chap /设置 PPP 认证方法为 chap!Router2：hostname router2username router1 password xxxinterface Serial0ip address 192.200.10.2 255.255.255.0encapsulation

26、 pppppp authentication chap)解析：三、试题三(总题数：2，分数：15.00)6.【问题 1】X.25 网络设备分为哪几类?（分数：7.50）_正确答案：(X.25 网络设备分为数据终端设备(DTE)、数据电路终端设备(DCE)及分组交换设备 (PSE)。)解析：7.【问题 2】解释配置中画线部分内容含义?（分数：7.50）_正确答案：(Router1：interface Serial0encapsulation x25 /设置 X.25 封装ip address 192.200.10.1 255.255.255.0 /设置 Serial0 口 ip 地址为 192.

27、200.10.1，子网掩码为255.255.255.0x25 address 110101 /设置 X.121 地址为 110101x25 htc 16 /设置最大的双向虚电路数为 16x25 nvc 2 /设置一次连接可同时建立的虚电路数为 2x25 map ip 192.200.10.2 110102 broadcast /设置 ip 地址与 x121 地址映射。对方路由器地址为192.200.10.2，对方的 x.121 地址为 110102，并且允许在 x25 线路上传送路由广播信息x25 map ip 192.200.10.3 110103 broadcast!)解析：四、试题四(总

28、题数：2，分数：15.00)8.【问题 1】E1 和 CE1 的主要区别是什么?（分数：7.50）_正确答案：(CE1 的传输线路的带宽是 2048Kbit/s，它和 E1 的区别主要在于：E1 不能划分时隙，CE1 能划分时隙。CE1 的每个时隙是 64Kbit/s，一共有 32 个时隙，在使用的时候，可以划分为 n64Kbit/s，例如：128Kbit/s，256Kbit/s 等。CE1 的 0 和 15 时隙是不用来传输用户的数据流量，0 时隙是传送同步号，15 时隙传送控制信令，这样实际能用的只有 30 个时隙，所以在具体配置 CE1 划分时隙时，需要注意。CE1 和 E1 也可以互联

29、，但是 CE1 必须当 E1 来使用，即不可分时隙使用。因为 CE1 比较灵活，所以我们能常常碰到 CE1。)解析：9.【问题 2】解释配置中画线部分内容含义。（分数：7.50）_正确答案：(Current configuration:!version 11.2no service udp-small-serversno service tcp-small-servers!hostname router1!enable secret 5 1 XN08 Ttr8nfLoP9,2RgZhcBzkk/enable password cisco!ip subnet-zero!controller E1

30、 0framing NO-CRC1 /帧类型为 no-crc4channel-group 0 timeslots 1 /建立逻辑通道组 0 与时隙 1 的映射channel-group 1 timeslots 2 /建立逻辑通道组 1 与时隙 2 的映射channel-group 2 timeslots 3 /建立逻辑通道组 2 与时隙 3 的映射!interface Ethernet0ip address 133.118.40.1 255.255.0.0media-type 10BaseT!interface Ethernet1no ip addressshutdown!interface

31、Serial0:0 /逻辑接口 Serial0:0ip address 202.119.96.1 255.255.255.252encapsulation hdlcno ip mroute-cache!interface Serial0:1ip address 202.119.96.5 255.255.255.252encapsulation hdlcno ip mroute-cache!interface Serial0:2ip address 202.119.96.9 255.255.255.252encapsulation hdlcno ip mroute-cache!no ip cla

32、sslessip route 133.210.40.0 255.255.255.0 Serial0:0ip route 133.210.41.0 255.255.255.0 Serial0:1ip route 133.210.42.0 255.255.255.0 Serial0:2!line con 0line aux 0line vty 0 4password cicsologin!end)解析：五、试题五(总题数：3，分数：15.00)10.【问题 1】在 RAS 上存在着两个 RJ45 的端口，分别为 Console 与 AUX，请问这两个端口的用途是什么?(控制在 100个字以内)（分

33、数：5.00）_正确答案：(Console 端口是虚拟操作台端口，安装维护人员通过直接连接该端口实施设备配置。AUX 端口是用于远程调试的端口，一般连接在 Modem 上，设备安装维护人员通过远程拨号进行设备连接，实施设备的配置。)解析：11.【问题 2】在调用超级终端程序进行设备连接时，应该对设备的连接参数进行正确设置，参数主要包括串口数据传输率、数据位数。停止位数以及是否有奇偶校验。请给出正确的连接参数，以便进入 Cisco 设备的虚拟操作台，进行设备调试。(控制在 100 个字以内)（分数：5.00）_正确答案：(连接参数如下：速率 9600bit/s、数据位 8bit、奇偶检验无、停止

34、位 2bit。)解析：12.【问题 3】在第 4 步中，进入虚拟操作台后，在 IOS 环境下输入了如下的配置，请解释(1)(4)处的标有下划线部分配置命令的含义(“”后为配置内容，“”和“/后为注释内容)。配置服务器信息。hostname Cisco 2509 /服务器名称enable secret * * * * * * /特权口令ip domain-manl /设置拨号服务器所属域名ip-name-server202.112.77.2 /设置拨号服务器 DNS(1)(此处有 3 条下划线)async-bootp subnet-mask 255.255.255.0async-bootp g

35、ateway 202.112.77.254async-bootp dns-server 202.112.77.2配置 Ethenlei Port(略)。配置动态分配的地址池。ip local pool pool2509 202.112.79.1 202.112.79.8/定义 IP 地址池配置 Asynchronous Interface。/异步口是 RAS 服务器上连接 modem,用于用户拨号的端口 interface Group-Async 1/对第一组异步接口进行配置，对异步口的配置可以按组，也可以按单个口group-range 1 8 /划定 1 到 8 号异步口属于第一组encap

36、sulation pap /加载点到点协议(2)(此处有 2 条下划线)ansync dynamic addressansync default address pool pool2509 /pool2509 的定义见“配置动态分配的地址池”部分PPP authentication pap /设置 PPP 的验证方式为用户口令方式配置 router 信息。(3)(此处有 3 条下划线)router ripnetwork 202.112.77.0network 202.112.79.0配置拨号服务器的缺省路由(略)。配置存取用户组。access-list 1 pormit 202.112.77.

37、0.0.0.255/定义用户组的范围配置 Asynchronous PORT(略)。配置 vty。Iine vty 0 4 /配置虚拟终端(4)(此处有 3 条下划线)access-class 1 in /access-class 的定义见“配置存取用户组”pasword * * * * * *login（分数：5.00）_正确答案：(配置命令的含义如下：(1)配置 RAS 的拨号用户网络配置信息。包括用户默认子网屏蔽码、默认网关、默认 DNS。当用户拨入时，服务器自动将配置信息传递给用户。(2)设定第一组异步口的用户 IP 地址自动分配。设置自动分配的 IP 地址来自于 IP 地址池 poo

38、l25090。(3)配置路由协议 RIP。指定设备直接连接到网络 202.112.77.0 与 202.112.79.0。(4)设置来自 202.112.77.0 网段的用户可以访问拨号服务器。配置用户登录口令。)解析：六、试题六(总题数：2，分数：15.00)13.【问题 1】简述 IPSec 实现 VPN 的工作流程（分数：7.50）_正确答案：(IPSec 实现的 VPN 主要有下面 4 个配置部分。(1)为 IPSec 做准备。为 IPSec 做准备涉及到确定详细的加密策略，包括确定要保护的主机和网络；选择一种认证方法，确定有关 IPSec 对等体的详细信息，确定所需的 IPSec 特

39、性，并确认现有的访问控制列表允许 IPSec 数据通过。步骤 1：根据对等体的数量和位置在 IPSec 对等体间确定一个 IKE(IKE 阶段 1 或者主模式)策略。步骤 2：确定 IPSec(IKE 阶段 2，或快捷模式)策略，包括 IPSec 对等体的细节信息，例如 IP 地址及IPSec 变换集和模式。步骤 3：用“write terminal“、“show isakmp“、“show isakmp policy“、“show crypto map“命令及其他的 show 命令来检查当前的配置。步骤 4：确认在没有使用加密前网络能够正常工作，用 ping 命令并在加密前运行测试数据来排除

40、基本的路由故障。步骤 5：确认在边界路由器和防火墙中已有的访问控制列表允许 IPSec 数据流通过，或者想要的数据流将可以被过滤出来。(2)配置 IKE。配置 IKE 涉及到启用 IKE(和 isakmp 是同义词)，创建 IKE 策略，验证我们的配置。步骤 1：用 isakmp enable 命令来启用或关闭 IKE。步骤 2：用 isakmp plicy 命令创建 IKE 策略。步骤 3：用 isakmp key 命令和相关命令来配置预共享密钥。步骤 4：用 show isakmppolicy命令来验证 IKE 的配置。(3)配置 IPSec。IPSec 配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。步骤 1：用 access-list 命令来配置加密用访问控制列表。例如：access-list acl-namepermit|denyprotoc