1、计算机水平考试中级网络工程师 2009 年下半年下午真题及答案解析(总分:72.00,做题时间:90 分钟)一、B试题一/B(总题数:4,分数:15.00)阅读以下说明,回答问题 1 至问题 3,将解答填入答题纸对应的解答栏内。说明某校园网中的无线网络拓扑结构如图 1-1 所示。该网络中无线网络的部分需求如下:1学校操场要求部署 AP,该操场区域不能提供外接电源。2学校图书馆报告厅要求高带宽、多接入点。3无线网络接入要求有必要的安全性。问题 1根据学校无线网络的需求和拓扑图可以判断,连接学校操场无线 AP 的是U (1) /U交换机,它可以通过交换机的U (2) /U口为 AP 提供直流电。(
2、分数:4.00)(1).(分数:2.00)填空项 1:_问题 2根据需求在图书馆报告厅安装无线 AP。如果采用符合 IEEE 802.11b 规范的AP,理论上最高可以提供U (3) /UMb/s 的传输速率;如果采用符合IEEE 802.11g 规范的 AP,理论上最高可以提供U (4) /UMb/s 的传输速率。如果采用符合U (5) /U规范的 AP,由于将 MIMO 技术和U (6) /U调制技术结合在一起,理论上最高可以提供 600Mbps 的传输速率。(分数:4.00)(1).(分数:1.00)填空项 1:_(3).备选答案(分数:1.00)A.IEEE 802.11aB.IEEE
3、 802.11eC.IEEE 802.11iD.IEEE 802.11n(4).备选答案(分数:1.00)A.BFSKB.QAMC.OFDMD.MFSK图书馆报告厅需要部署 10 台无线 AP,在配置过程中发现信号相互干扰严重,这时应调整无线 AP 的U (7) /U设置,用户在该报告厅内应选择U (8) /U,接入不同的无线 AP。 (7)(8)备选答案 A频道 B功率 C加密模式 D操作模式 ESSID(分数:2.00)A.B.C.D.E.问题 3若在学校内一个专项实验室配置无线 AP,为了保证只允许实验室的 PC 机接入该无线 AP,可以在该无线AP 上设置不广播U (9) /U,对客户
4、端的U (10) /U地址进行过滤,同时为保证安全性,应采用加密措施。无线网络加密主要有三种方式:U (11) /U、WPA/WPA2、WPA- PSK/WPA2-PSK。在这三种模式中,安全性最好的是U (12) /U,其加密过程采用了 TKIP 和U (13) /U算法。(分数:5.00)(1).(分数:1.00)填空项 1:_填空项 1:_填空项 1:_(5).备选答案(分数:1.00)A.AESB.DESC.IDEAD.RSA二、B试题二/B(总题数:2,分数:7.00)阅读下列说明,回答问题 1 至问题 5,将解答填入答题纸对应的解答栏内。说明网络拓扑结构如图 2-1 所示。问题 1
5、网络 A 的 WWW 服务器上建立了一个 Web 站点,对应的域名是 www.abc.edu。DNS 服务器 1 上安装WindowsServer2003 操作系统并启用 DNS 服务。为了解析 WWW 服务器的域名,在图 2-2 所示的对话框中,新建一个区域的名称是U (1) /U;在图 2-3 所示的对话框中,添加的对应的主机“名称”为U (2) /U。(分数:4.00)(1).(分数:2.00)填空项 1:_问题 2在 DNS 系统中反向查询(Reverse Query)的功能是U (3) /U。为了实现网络 A 中 www 服务器的反向查询,在图 2-4 和 2-5 中进行配置,其中网
6、络 ID 应填写为U (4) /U,主机名应填写为U (5) /U。(分数:3.00)(1).(分数:0.50)填空项 1:_填空项 1:_三、B试题三/B(总题数:2,分数:15.00)1.问题 1 (1)在 Linux 系统中,DHCP 服务默认的配置文件为U (1) /U。 备选答案:(分数:1.00)A./etc/dhcp confB./etc/dhcp configC./etc/dhc confD./etc/dhc config问题 2 管理员可以在命令行通过U (2) /U命令启动 DHCP 服务;通过U (3) /U命令停止 DHCP 服务。 (2)、(3)备选答案: Aserv
7、ice dhcpd start Bservice dhcpd up Cservice dhcpd stop Dservice dhcpd down(分数:14.00)A.B.C.D.(3).(分数:2.00)填空项 1:_填空项 1:_填空项 1:_填空项 1:_四、B试题四/B(总题数:1,分数:20.00)阅读以下说明,回答问题 1 至问题 4,将解答填入对应的解答栏内。某公司通过 PIX 防火墙接入 Internet,网络拓扑如图 4-1 所示。(分数:20.00)填空项 1:_填空项 1:_填空项 1:_填空项 1:_五、B试题五/B(总题数:1,分数:15.00)阅读以下说明,回答问
8、题 1 至问题 3,将解答填入对应的解答栏内。某单位网络拓扑结构如图 5-1 所示,要求配置 IPsec VPN 使 10.10.20.1/24 网段能够连通 10.10.10.2/24网段,但 10.10.30.1/24 网段不能连通 10.10.10.2/24 网段。(分数:15.00)填空项 1:_填空项 1:_填空项 1:_计算机水平考试中级网络工程师 2009 年下半年下午真题答案解析(总分:72.00,做题时间:90 分钟)一、B试题一/B(总题数:4,分数:15.00)阅读以下说明,回答问题 1 至问题 3,将解答填入答题纸对应的解答栏内。说明某校园网中的无线网络拓扑结构如图 1
9、-1 所示。该网络中无线网络的部分需求如下:1学校操场要求部署 AP,该操场区域不能提供外接电源。2学校图书馆报告厅要求高带宽、多接入点。3无线网络接入要求有必要的安全性。问题 1根据学校无线网络的需求和拓扑图可以判断,连接学校操场无线 AP 的是U (1) /U交换机,它可以通过交换机的U (2) /U口为 AP 提供直流电。(分数:4.00)(1).(分数:2.00)解析:填空项 1:_ (正确答案:POE 或以太端口)解析:解析 通常将网络中直接面向用户连接或访问网络的部分称为接入层,将位于接入层和核心层之间的部分称为分布层或汇聚层,接入层目的是允许终端用户连接到网络,因此接入层交换机具
10、有低成本和高端口密度特性;汇聚层交换机是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。而将网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化、可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性、性能和吞吐量。 PoE 是一个可以在以太网路中透过双绞线来传输电力到装置上的技术。透过这项技术,我们可以供电给网络电话、无线基地台、网络摄影机、集线器、电脑等不方便另外架设电源线的装置。这项技术常常被跟同样也是在同一条电缆上接收电源与资料(虽然是类比资料
11、)的传统电话网络(POTS)来进行对照。PoE 不需要更改以太网路的缆线架构即可运作。问题 2根据需求在图书馆报告厅安装无线 AP。如果采用符合 IEEE 802.11b 规范的AP,理论上最高可以提供U (3) /UMb/s 的传输速率;如果采用符合IEEE 802.11g 规范的 AP,理论上最高可以提供U (4) /UMb/s 的传输速率。如果采用符合U (5) /U规范的 AP,由于将 MIMO 技术和U (6) /U调制技术结合在一起,理论上最高可以提供 600Mbps 的传输速率。(分数:4.00)(1).(分数:1.00)解析:填空项 1:_ (正确答案:54)解析:(3).备选
12、答案(分数:1.00)A.IEEE 802.11aB.IEEE 802.11eC.IEEE 802.11iD.IEEE 802.11n 解析:(4).备选答案(分数:1.00)A.BFSKB.QAMC.OFDM D.MFSK解析:图书馆报告厅需要部署 10 台无线 AP,在配置过程中发现信号相互干扰严重,这时应调整无线 AP 的U (7) /U设置,用户在该报告厅内应选择U (8) /U,接入不同的无线 AP。 (7)(8)备选答案 A频道 B功率 C加密模式 D操作模式 ESSID(分数:2.00)解析:A.B.C.D.E. 解析:解析 IEEE 802.11b 无线局域网的带宽最高可达 1
13、1Mbps,比两年前刚批准的 IEEE 802.11 标准快5 倍,扩大了无线局域网的应用领域。 IEEE 802.11g 在 2003 年 7 月被通过。其载波的频率为 2.4GHz (跟 802.1lb 相同),原始传送速度为 54Mbit/s,净传输速度约为 24.7Mbit/s(跟 802.11a 相同)。802.11g 的设备向下与 802.11b 兼容。 多进制数字频率调制(MFSK)简称多频制,是 2FSK 方式的推广。 OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上 OFDM 是MCM Mult
14、i-CarrierModulation 多载波调制的一种。其主要思想是:将信道分成若干正交子信道,将高速数据信号转换成并行的低速子数据流,调制到在每个子信道上进行传输。正交信号可以通过在接收端采用相关技术来分开,这样可以减少子信道之间的相互干扰 ICI。每个子信道上的信号带宽小于信道的相关带宽,因此每个子信道上的可以看成平坦性衰落,从而可以消除符号间干扰。而且由于每个子信道的带宽仅仅是原信道带宽的一小部分,信道均衡变得相对容易。 SSID 是 Service Set Identifier 的缩写,意思是服务集标识。SSID 技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络
15、都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。问题 3若在学校内一个专项实验室配置无线 AP,为了保证只允许实验室的 PC 机接入该无线 AP,可以在该无线AP 上设置不广播U (9) /U,对客户端的U (10) /U地址进行过滤,同时为保证安全性,应采用加密措施。无线网络加密主要有三种方式:U (11) /U、WPA/WPA2、WPA- PSK/WPA2-PSK。在这三种模式中,安全性最好的是U (12) /U,其加密过程采用了 TKIP 和U (13) /U算法。(分数:5.00)(1).(分数:1.00)解析:填空项 1:_ (正确答
16、案:MAC 或以太网网卡物理地址)解析:填空项 1:_ (正确答案:WEP)解析:填空项 1:_ (正确答案:WPA-PSK/WPA2-PSK)解析:(5).备选答案(分数:1.00)A.AES B.DESC.IDEAD.RSA解析:解析 SSID,无线 LAN 中经常用到的一个特性是称为 SSID 的命名编号,它提供低级别上的访问控制。SSID 通常是无线 LAN 子系统中设备的网络名称;它用于在本地分割子系统。 WEP,IEEE 802.11b 标准规定了一种称为有线等效保密(或称为 WEP)的可选加密方案,提供了确保无线 LAN 数据流的机制。 WEP 利用一个对称的方案,在数据的加密和
17、解密过程中使用相同的密钥和算法。 Wi-Fi 保护接入(WPA)是改进WEP 所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA 的功能是替代现行的 WEP(Wired Equivalent Privacy)协议。过去的无线 LAN 之所以不太安全,是因为在标准加密技术“WEP”中存在一些缺点。 WPA 是继承了WEP 基本原理而又解决了 WEP 缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。 WPA 还追加了防止数据中途被篡改的功能和认证功能。
18、 在 802.11i 颁布之后,WiFi 联盟推出了 WPA2,它支持 AES (高级加密算法),因此它需要新的硬件支持,它使用 CCMP(计数器模式密码块链消息完整码协议)。在 WPA/WPA2 中,PTK 的生成依赖 PMK,而PMK 的获得有两种方式,一个是 PSK 的形式就是预共享密钥,在这种方式中 PMK=PSK,而另一种方式中,需要认证服务器和站点进行协商来产生 PMK。二、B试题二/B(总题数:2,分数:7.00)阅读下列说明,回答问题 1 至问题 5,将解答填入答题纸对应的解答栏内。说明网络拓扑结构如图 2-1 所示。问题 1网络 A 的 WWW 服务器上建立了一个 Web 站
19、点,对应的域名是 www.abc.edu。DNS 服务器 1 上安装WindowsServer2003 操作系统并启用 DNS 服务。为了解析 WWW 服务器的域名,在图 2-2 所示的对话框中,新建一个区域的名称是U (1) /U;在图 2-3 所示的对话框中,添加的对应的主机“名称”为U (2) /U。(分数:4.00)(1).(分数:2.00)解析:填空项 1:_ (正确答案:www)解析:解析 DNS 服务配置问题,平时多加操作即可。问题 2在 DNS 系统中反向查询(Reverse Query)的功能是U (3) /U。为了实现网络 A 中 www 服务器的反向查询,在图 2-4 和
20、 2-5 中进行配置,其中网络 ID 应填写为U (4) /U,主机名应填写为U (5) /U。(分数:3.00)(1).(分数:0.50)解析:填空项 1:_ (正确答案:210.43.16)解析:填空项 1:_ (正确答案:WWW.abc.edu)解析:解析 所谓 DNS 服务器反向查询,就是输入 IP 地址,可以查出域名。某些 DNS 服务器支持的反向查询(iquery)功能可使攻击者获得区域传输。识别出注册到您的 DNS 服务器的每台计算机,并且可能被攻击者用来更方便地了解您的网络。甚至当您在 DNS 服务器上禁用了区域传输时,iquery 功能仍旧可以允许区域传输发生。由网络 A 中
21、的 IP 地址 210.43.16.4 得到网络 ID。而主机名就是 WWW.abc.edu。_解析:_解析:_解析:三、B试题三/B(总题数:2,分数:15.00)1.问题 1 (1)在 Linux 系统中,DHCP 服务默认的配置文件为U (1) /U。 备选答案:(分数:1.00)A./etc/dhcp conf B./etc/dhcp configC./etc/dhc confD./etc/dhc config解析:解析 DHCP(Dynamic Host Configuration Protocol)动态主机配置协议为在同一网络的主机自动分配动态 IP。在 Linux 中/etc/d
22、hcpd.conf 即 DHCP 服务默认的配置文件。问题 2 管理员可以在命令行通过U (2) /U命令启动 DHCP 服务;通过U (3) /U命令停止 DHCP 服务。 (2)、(3)备选答案: Aservice dhcpd start Bservice dhcpd up Cservice dhcpd stop Dservice dhcpd down(分数:14.00)解析:A.B.C. D.解析:解析 建立 dhcpd.conf 配置文件 #cp/eat/usr/share/doc/dhcp-3.0pll/dhcpd.conf.sample/etc/dhcpd.conf dhcp 服务
23、的启动 #service dhcpd start 服务的停止 #service dhcpd stop 服务器重新启动 #service dhcpd restart(3).(分数:2.00)解析:填空项 1:_ (正确答案:192.168.1.100)解析:填空项 1:_ (正确答案:255.255.255.0)解析:填空项 1:_ (正确答案:192.168.1.254)解析:填空项 1:_ (正确答案:192.168.1.3)解析:解析 由 hardware ethernet 52:54:AB:34:5B:09 得出(4)题答案; 由 fixed-address 192.168.1.100
24、得出(5)题答案; 由 option subnet-mask 255.255.255.0 得出(6)题答案; 由 option routers 192.168.1.254 得出(7)题答案; 由 option domain-name-servers 192.168.1.3 得出(8)题答案。四、B试题四/B(总题数:1,分数:20.00)阅读以下说明,回答问题 1 至问题 4,将解答填入对应的解答栏内。某公司通过 PIX 防火墙接入 Internet,网络拓扑如图 4-1 所示。(分数:20.00)填空项 1:_ (正确答案:(1)添加可监听的 FFP 服务端口 21)解析:(2)定义外部默认
25、路由 61.144.51.45,跳数为 1 解析 fixup 相当于对某种 fixup 后面的协议进行检查,会根据该协议的要求检查传输的数据是否符合标准。比如 fixup smtp 之后,所有目的地是 tcp 25 端口的数据都会被当作 smtp 命令来进行检查,如果传输的数据不是合法的 smtp 命令,那么 pix 会把可能有害的非法的指令修改成对服务器无害的命令送出。 防火墙 route inside route outside 是指路由的去向。route outside 就是去外网的路由,反之,就是去内网的路由。填空项 1:_ (正确答案:(3)192.168.0.1 (4)255.25
26、5.255.248 (5)eth2)解析:(6)10.10.10.1 解析 由此六句配置信息叮得答案: nameif eth0 outside securlty0 nameif eth1 inside security100 nameif eth2 dmz security40 ip address outside 61.144.51.42 255.255.255.248 ip address inside 192.168.0.1 255.255.255.0 ip address dmz 10.10.0.1 255.255.255.0。填空项 1:_ (正确答案:611445146)解析:解析
27、 由 global(outside)1 61.144.51.46 此句可得答案。填空项 1:_ (正确答案:(8)61.144.51.43 (9)10.10.0.100 (10)61.144.51.43)解析:解析 static 命令配置语法:static(internal_if_name,external_if_name)outside_ip_address inside_ip_address,其中 internal_if_name 表示内部网络接口,安全级别较高,如inside。external_if_name 为外部网络接口,安全级别较低,如 outside 等。outside_ip_a
28、ddress 为正在访问的较低安全级别的接口上的 ip 地址,inside_ip_address 为内部网络的本地 ip 地址。conduit permit | deny global_ip portprotocol foreign_ippermit | deny 允许 | 拒绝访问global_ip 指的是先前由 global 或 static 命令定义的全局 IP 地址,如果 global_ip 为 0,就用 any 代替0;如果 global_ip 是一台主机,就用 host 命令参数。port 指的是服务所作用的端口,例如 www 使用 80,smtp 使用 25 等,我们可以通过服务
29、名称或端口数字来指定端口。protocol 指的是连接协议,比如 TCP、UDP、ICMP 等。foreign_ip 表示可访问 global_ip 的外部 IP。对于任意主机,可以用 any 表示。如 foreign_ip 是一台主机,就用 host 命令参数。五、B试题五/B(总题数:1,分数:15.00)阅读以下说明,回答问题 1 至问题 3,将解答填入对应的解答栏内。某单位网络拓扑结构如图 5-1 所示,要求配置 IPsec VPN 使 10.10.20.1/24 网段能够连通 10.10.10.2/24网段,但 10.10.30.1/24 网段不能连通 10.10.10.2/24 网
30、段。(分数:15.00)填空项 1:_ (正确答案:policy (2)采用预共享密钥认证方法 (3)10.10.20.0)解析:(4)10.10.10.0 解析 一旦 ISAKMP 被激活,我们需要为每一个策略实体定义五个策略参数。如果没有定义策略,一个使用所有默认值的策略将会被使用。当创建一个策略时,如果没有显式定义策略参数,默认的参数将会被使用。策略的参数及其默认值如下: 1IKE 策略加密,默认值为数据加密标准(Data Encryption Standard, DES); 2IKE 策略哈希,默认值为 Secure Hash Standard-1(SHA-1); 3IKE密钥交换,默
31、认值为 Diffie-Hellman Group 1(768-Bit); 4IKE 寿命,默认值为一天(86,400 秒); 5IKE 认证方式,默认值为 RSA 公钥。 你可能已经知道节点是需要与一个通用 ISAKMP 策略协商,以建立一个 IPses 节点联系。所以根据你想要连接的设备,你可能需要多个 ISAKMP 策略。每一个 ISAKMP 策略被赋予一个唯一的 110 000 之间的优先级数。优先级数为 1 的策略被认为是最高优先级的策略。策略协商从策略数最接近于 1 的开始。通常的做法是从策略数为 10 的开始创建,这样做的话当你需要往生产环境的路由器中插入一个优先级更高的策略时,你
32、才有位置可以用。 下面是预共享密钥的配置方法的标准的配置:router(config-isakmp) #authentication pre-share。 ACL 防问表。由 Cisco 路由器保存用来为许多服务控制出/入此路由器的表(例如,为防止具有某一 IP 地址的数据包停留在路由器某一特殊的接口上)。 访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到日的地。 access-list acl-namepermit | deny protocol sro_addr src_mask operator portpo
33、rtdest_addr dest_maskoperator protport填空项 1:_ (正确答案:10.20.0 (6)192.168.1.1)解析:解析 由拓扑图可以看出 n2 通过 R1 的 E0:192.168.1.1 连接 10.10.20.0 和 10.10.30.0 网络,通过 R3 的 E0:192.168.2.2 连接 10.10.10.0 网络。填空项 1:_ (正确答案:378 (8)192.168.1.1)解析:(9)设置 IPSec 变换集 testvpn,AH 鉴别采用 ah-md5-hmac, ESP 加密采用 esp-des,ESP 认证采用esp-md5-
34、hmac。 (10)testvpn 解析 由 R1 (config)# crypto isakmp key 378 address 192.168.2.2得(7)(8)题答案。 用 crypto ipsec transform-set 命令配置变换集; 例如:crypto ipsec transform-set transform-set-name transform1 transform2transfonrk3。 setpeer .(指定此 VPN 链路,对端的 IP 地址)。 routerA(config-crypto-map)#set transform-set test(IPSec 传输模式的名字)