1、2006年下半年软件水平考试(中级)网络工程师下午(应用技术)试题真题试卷及答案与解析 一、试题一( 15分) 1 阅读以下说明,回答问题 1至问题 4。【说明】 某学校计划建立校园网,拓扑结构如图 12-1所示。该校园网分为核心、汇聚和接入三层,由交换模块、广域网接入模块、远程访问模块和服务器群四大部分构成。1 在校园网设计过程中,划分了很多 VLAN,采用了 VTP来简化管理。 1 VTP信息只能在 (1)端口上传播。 2运行 VTP的交换机可以工作在三种模式: (2)、 (3)、 (4)。 3共享相同 VLAN数据库的交换机构成一个 (5)。 2 该校园网采用了异步拨号进行远程访问,异步
2、封装协议采用了 PPP协议。 1异步拨号连接属于远程访问中的电路交换服务,远程访问中另外两种可选的服务类型是: (6)和 (7)。 2 PPP提供了两种可选的身份认证方法,它们分别是 (8)和 (9)。 3 该校园网内交换机数量较多,交换机间链路复杂,为了防止出现环路,需要在各交换机上运行 (10)。 4 该校园网在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部 网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施。(11) (14)处备选答案: A IP地址绑定 B数据库安全扫描 C虚拟专用网 (VPN)技术 D防火墙 二、
3、试题二( 15分) 5 阅读以下关于 Linux网关安装和配置过程的说明,回答问题 1至问题 5。【说明】 当局域网中存在大量计算机时,根据业务的不同,可以将网络分成几个相对独立的子网。图 12-2是某公司子网划分的示意图,整个网络被均分为销售部和技术部两个子网,子网之间通过一台安装了 Linux操作系统的双网卡计算机 联通。5 销售部的网络号是 (1),广播地址是 (2):技术部的网络号是 (3),广播地址是 (4);每个子网可用的 IP地址有 (5)个。 6 Linux网关计算机有两个网络接口 (eth0和 eth1),每个接口与对应的子网相连接。 该计算机 /etc/sysconfig,
4、/network文件清单为; NETWORKING=yes FORWARD_IPV4=(6) HOSTNAME=gateway.ABC.com /etc/sysconfig/network-scripts/ifcfg-eth0文件清单为: DEVICE=eth0 IPADDR=192.168.1.126 NETMASK=(7) ( 以下略 ) /etc/sysconfig/network-scripts/ifcfg-eth1文件清单为: DEVICE=eth1 IPADDR=192.168.1.254 NETMASK=(8) ( 以下略 ) (6)的备选答案: A yes B no C rou
5、te D gateway 7 在网关计算 机 /etc/sysconfig/network-scripts/目录中有以下文件,运行某命令可以启动网络,该命令是 (9),其命令行参数是 (10)。 ifcfg-eth0 ifup ifup-sit ifcfg-lo ifup-aliases ifup-si ifdown ifup-cipcb ifup-wireless ifdown-aliases ifup-ippp init.Ipv6-global ifdown-cipcb ifup-ipv6 network-functions ifdown-ippp ifup-ipx network-fun
6、ctions-ipv6 ifdown-ipv6 ifup-isdn ifdown-isdn ifup-plip ifdown-post ifup-plusb ifdown-ppp ifup-post ifdown-sit ifup-PPP ifdown-sl ifup-routes 8 在网关计算机上使用以下路由命令创建两个默认的路由: route add-net 192.168.1.0 255.255.255.128(11) route add-net 192.168.1.128 255.255.255.128(12) 9 设置技术部和销售部的主机网络参数后,如果两个子网间的主机不能通信,用
7、(13)命令来测试数据包是否能够到达网关计算机。如果数据包可以达到网关但是不能转发到目标计算机上,则需要用命令 cat/proc/sys/net/ipv4/ip_forward来确认网关计算机的内核是否支持 IP转发。如果不支持,该命令输出 (14)。 (13)和 (14)备选答案如下: (13)A traceroute B tracert C nslookup D route (14)A 1 B 0 C yes D no 三、试题三( 15分) 10 阅读以下说明,回答问题 1至问题 5。 【说明】 通过 SNMP可以获得网络中各种设备的状态信息,还能对网络设备进行控制。在 Windows
8、Server 2003中可以采用 IPSec来保护 SNMP通信,配置管理站的操作步骤为:先创建筛选器,对输入的分组进行筛选,然后创建 IPSec策略。 10 在 “管理工具 ”中运行 “管理 IP筛选器列表 ”,创建一个名为 “SNMP消息 ”的筛选器。在如图 12-3所示的 “IP筛选器向导 ”中指定 IP通信的源地址,下拉列表框中应选择 (1);在如图 12-4中指定 IP通信的目标地址,下拉列表框中应选择 (2)。 在图 12-5所示的 “选择协议类型 ”下拉列表框中应选择 (3)。 对于 SNMP协议,在图 12-6中设置 “从此端口 ”项的值为 (4), “到此端口 ”项的值为 (
9、5):对于 SNMP TRAP协议,在图 12-6中设置 “从此端口 ”项的值为 (6), “到此端口 ”项的值为 (7)。11 在创建 IPSec安全策略时,规则属性窗口如图 12-7所示。在 “IP筛选器列表 ”中应选择 (8)。 12 在 “新规则属性 ”对话框中打开 “筛选器操作 ”选项卡,选择 “Permit”,在图 12-8中应选择 (9),同时选中 “接受不安全的通讯,但总是使用 IPSec响应 (C)”和 “使用会话密钥完全向前保密 (PFS)(K)”复选框。 (9)的备选答案: A许可 B阻止 C协商安全 13 在图 12-9所示的密钥交换 设置对话框中,选中 “主密钥完全向
10、前保密 (PFS)(P)”复选框,则 “身份验证和生成新密钥间隔 ”默认值为 480分钟和 (10)个会话。14 为保证 SNMP正常通信,被管理的其他计算机应如何配置 ? 四、试题四( 15分) 15 阅读以下说明,回答问题 1至问题 6。 【说明】 某公司在 Windows Server 2003中安装 IIS 6.0来配置 Web服务器,域名为 。 15 IIS安装的硬盘分区最好选用 NTFS格式,是因为 (1)和 (2)。 A可以针对某个文件或文 件夹给不同的用户分配不同的权限 B可以防止网页中的 Applet程序访问硬盘中的文件 C可以使用系统自带的文件加密系统对文件或文件夹进行加密
11、 D可以在硬盘分区中建立虚拟目录 16 为了禁止 IP地址为 202.161.158.239 202.161.158.254的主机访问该网站,在图12-10所示的 “IP地址和域名限制 ”对话框中单击 “添加 ”按钮,增加两条记录,如表12-1所示。填写表 12-1中的 (3) (5)处内容。17 实现保密通信的 SSL协议工作在 HTTP层和 (6)层之间。 SSL加密通道的建立过程如下: 1首先客户端与服务器建立连接,服务器把它的 (7)发送给客户端; 2客户端随机生成 (8),并用从服务器得到的公钥对它进行加密,通过网络传送给服务器; 3服务器使用 (9)解密得到会话密钥,这样客户端和服
12、务器端就建立了安全通道。 (6) (9)的备选答案如下: A TCP B IP C UDP D公钥 E私钥 P对称密钥 G会话密钥 H数字证书 I证书服务 18 在 IIS中安装 SSL分 5个 步骤,这 5个步骤的正确排序是 (10)。 A配置身份验证方式和 SSL安全通道 B证书颁发机构颁发证书 C在 IIS服务器上导入并安装证书 D从证书颁发机构导出证书文件 E生成证书请求文件 19 在安装 SSL时,在 “身份验证方法 ”对话框中应选用的登录验证方式是 (11)。 A匿名身份验证 B基本身份验证 C集成 Windows身份验证 D摘要式身份验证 E Net Passport身份验证 2
13、0 如果用户需要通过 SSL安全通道访问该 网站,应该在 IE的地址栏中输入 (12)。 SSL默认侦听的端口是 (13)。 五、试题五( 15分) 21 阅读下面的说明,回答问题 1至问题 4。【说明】 某企业园区网采用了三层架构,按照需求,在网络中需要设置 VLAN、快速端口、链路捆绑、 Internet接入等功能。该园区网内部分 VLAN和 IP地址如表 12-2所示。 表 12-2 21 某交换机的配置命令如下,根据命令后面的注释,填写 (1) (3)处的空缺内容,完成配置命令。 Switch(config) #(1)/将交换机命名为 Sw1 Swl(config) # interfa
14、ce vlan 1 Swl(config-if) #(2) /设置交换机的 IP地址为 192.168.1.1/24 Swl(config-if) # no shutdown Swl(config) #(3) /设置交换机默认网关地址 22 在核心交换机中设置了各个 VLAN,在交换机 Sw1中将端口 1 20划归销售部,请完成以下配置。 Swl(config) # interface range fastethernet0/1-20 /进入组配置状态 Swl(config-if-range) #(4) /设置端口工作在访问 (接入 )模式 Swl(config-if-range) #(5)
15、/设置端口 1 20为 VLAN 10的成员 23 1在默认情况下,交换机刚加电启动时,每个端口都要经历生成树的四个阶段,它们分别是:阻塞、侦听、 (6)、 (7)。 2根据需求,需要将 Swl交换机的端口 1 20设置为快速端口,完成以下配置。 Swl(config) # interface range fastethernet 0/1-20 /进入组配置状态 Swl(config-if-range) #(8) /设置端口 1 20为快速端口 24 该网络的 Internet接入如图 12-11所示: 根据图 12-11,解释以下配置命令,填写空格 (9) (12): 1 Router(co
16、nfig) # interface s0/0 2 router(config-if) # ip address 61.235.1.1 255.255.255.252(9) 3 router(config) # ip route 0.0.0.0 0.0.0.0 s0/0(10) 4 router(config) # ip route 192.168.0.0 255.255.255.0 f0/0(11) 5 router(config) # access-list 100 deny any any eq telnet(12) 2006年下半年软件水平考试(中级)网络工程师下午(应用技术)试题真题试
17、卷答案与解析 一、试 题一( 15分) 1 【正确答案】 (1)Trunk (2)VTP Server或服务器模式 (3)VTP CIient或客户端模式 (4)VTP Transparent或透明模式 (2), (3), (4)处答案次序任意 (5)VTP管理域 【试题解析】 本问题考查的是 VTP的基本概念 在 VLAN间需要通信的时候,可以利用 VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用 VLAN中继协议 (Vlan Trunking Protocol, VTP)简化管理,它只需要在一台交换 机上定义所有 VLAN,然后通过VTP协议将 VLAN定义传播
18、到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。 VTP(VLAN Trunk Protocol, VLAN干道协议 )的功能与 GVRP相似,也是用来使 VLAN配置信息在交换网内其他交换机上进行动态注册的一种二层协议。在一台 VTP Server上配置一个新的 VLAN信息,则该信息将自动传播到本域内的所有交换机,从而减少在多台设备上配置同一信息的工作量,并且方便了管理。 VTP信息只能在 Trunk端口上传播。 任何 一台运行 VTP的交换机可以工作在以下三种模式: VTP Server、 VTP CIient及 VTP Transparent。其中: (1
19、)VTP Server维护该 VTP域中所有 VLAN信息列表,可以增加、删除或修改VLAN (2)VTP CIient也维护该 VTP域中所有 VLAN信息列表,但不能增加、删除或修改 VLAN,任何变化的信息必须从 VTP Server发布的通告报文中接收; (3)VTP Transparent不参与 VTP工作,它虽然忽略所有接收到的 VTP信息,但能够将接收到的 VTP报文转发出去,它只拥有本设备上的 VLAN信息; 交换 VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都将加入该域,这样管理域里
20、所有的交换机就能够了解彼此的 VLAN列表。 2 【正确答案】 (6)专线连接 (7)分组交换 (6), (7)处答案可以互换 (8)口令认证协议 (Password Authentication Protocol, PAP) (9)质询握手认证协议 (Challenge Handshake Authentication Protocol, CHAP) (8), (9)处答案可以互换 【试题解析】 本问题考查的是远程访问和异步拨号连接的知识。 远程访问是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不
21、同的广域网连接类型提供的服务质量不同,花费也不相同。 异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(Public Switched Telephone Network, PSTN)上提供服务的。传统 PSTN提供的服务也被称为简易老式电话业务 (Plan Old Telephone System, POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方便和普遍的远程访问类型。 广域网连接可以采用不同类型的封装协议,如 HDLC、 PPP等。其中, PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩
22、、多链路捆绑和回叫等,因此更具优势。 PPP提供了两种可选的身份认证方法:口令验证协议 PAP(Password Authentication Protocol, PAP)和质询握手协议 (Challenge Handshake Authentication Protocol, CHAP)。 PAP是一个简单的、实用的身份验证协议。 PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证;如果认证失败,则直接释放链路。 CHAP认证比 PAP认证更安全,因为 CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为 “挑战字符串 ”。同时,身
23、份认证可以随时进行,包括在双方 正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。 CHAP对端系统要求很高,因为需要多次进行身份质询、响应,要耗费较多的 CPU资源,因此只用在对安全要求很高的场合。 PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带宽。 3 【正确答案】 (10)生成树协议 (Spanning Tree Protocol, STP) 【试题解析】 本问题考查的是生成树协议方面的知识。 生成树协议 (Spanning Tree)定义在 IEEE 802.1D中,是一种链路管理协议,它为网络提供
24、路径冗余的同时防止产生环路。为使以太网更好地工作,两个工作站之间只能有一条活动路径。 STP允许网桥之间相互通信以发现网络物理环路。该协议定义了一种算法,网桥能够使用它创建无环路 (loop-free)的逻辑拓朴结构。换句话说, STP创建了一个由无环路树叶和树枝构成的树结构,跨越了整个第二层网络。 生成树协议操作对终端站透明,也就是说,终端站并不知道它们自己是否连接在单个局域网段或多网段中。当有两个网桥同时连接相同的计算机网段时,生 成树协议可以允许两网桥之间相互交换信息,这样只需要其中一个网桥来处理两台计算机之间传输的信息。 4 【正确答案】 (11)C或虚拟专用网 (VPN)技术 (12
25、)D或防火墙 (13)A或 IP地址绑定 (14)B或数据库安全扫描 【试题解析】 在网络安全方面,可以采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,进而对各层的安全采取不同的技术措施。 1外部网络传输控制层 外部网络是指局域网路由器和防火墙之外的公用 网。当前网络技术发展迅速,因特网四通八达,网上黑客手段多种多样,为了保证安全,可以从以下方面采取措施:虚拟专网 (VPN)技术;身份认证技术;加密技术;物理隔离等。 2内外网间访问控制层 在内部局域网和外部网络之间,可以采用以下技术来对外部和内部网络间的访问进行控制
26、:防火墙;防毒网关:网络地址转换技术;代理服务及路由器;入侵检测等。 3内部网访问控制层 在局域网内部,非法用户的登录和对数据的非法修改更加不易查出。当用户安全意识差、口令选择或保存不慎、账号转借和共享都会对网络安全造成 极大的威胁,从内部网访问控制层进行安全防护,可采取以下措施:用户的身份认证;权限控制;加密技术;客户端安全防护等。 4数据存储层 数据存储在服务器或加密终端上,数据存储的安全性是系统安全性的重要组成部分。对数据的安全保护措施可以采用以下几种方式:使用较安全的数据库系统;加密技术:数据库安全扫描;存储介质的安全等。 二、试题二( 15分) 5 【正确答案】 (1)192.168
27、.1.0 (2)192.168.1.127 (3)192.168.1.128 (4)192.168.1.255 (5)126 【试题解析】 本题中图示的网络由一台双网卡的网关计算机均分成了两个子网,分别属于销售部和技术部,同部门的网络通信分别在各自的子网中进行,不同部门用户间的通信将由网关计算机进行转发,这样不再是所有的用户都在一个相同的、大型的网络上,子网划分的结果是提高了网络的速度。 整个网络的网络号是 192.168.1.0,是一个 C类网络,子网掩码是 11111111.11111111.11111111.00000000(十进制表示为 255.255.255.0),即网络地址的前 3
28、个字节的每一位设置为 1, 剩余的 (主机地址 )位设置为 0。当把剩余的表示主机地址的字节最高位设置为 1时 (即该位参与子网络的定义 ),网络就被均分成了两个子网,此时子网掩码为 11111111.11111111.11111111.10000000,用十进制表示为 255.255.255.128。 子网网络号可以用子网 IP地址与子网掩码进行逐位 AND运算得到。 销售部子网号: 192.168.1.1(或 192.168.1.126)AND 255.255.255.128等于192.168.1.0: 技术部子网号: 192.168.1.129(或 192.168.1.254)AND 2
29、55.255.255.128等于 192.168.1.128。 对于销售部子网而言,主机号是 0的地址 (192.168.1.0)是子网地址,不能分配给主机,主机位全为 1的地址 (192.168.1.127)是子网广播地址,保留,也不能分配给主机;对于技术部子网而言,主机号是 0的地址 (192.168.1.128)是子网地址,不能分配给主机,主机位全为 1的地址 (192.168.1.255)是子网广播地址,保留,也不能分配给主机。因此这两个子网的可用 IP地址是 126个 (128减去 2个保留地址 )。 6 【正确答案】 (6)A或 yes (7)255.255.255.128 (8)
30、255.255.255.128 【试题解析】 Linux计算机中, /etc/sysconfig/network可配置文件定义了该计算机网络的基本属性,包括网络是否可用,是否允许 IP包转发,主机域名,网关地址,网关设备名等。由于这台 Linux计算机用于整个网络系统的网关,两个子网间的 IP通信需要该计算机进行转发,因此文件中的 FORWARD IPV4应设置为“=”yes,就本题而言,即 支持 IP包在两个网卡设备间转发。如果要将 IP包转发关闭, FORWARD_IPV4应设置为 “=”no。 网络接口文件 /etc/sysconfig/network-scripts/ifcfg-eth
31、O定义了网络设备 ethO的属性,由题目图示可知,该网络设备属于销售部子网,网络掩码为255.255.255.128,即文件中的 NETMASK应设置为 “=”255.255.255.128:同样网络接口文件 /etc/sysconfig/network- scripts/ifcfg-eth1中的 NETMASK应设置为“=”255.255.255.128。 7 【正确答案】 (9)ifup (10)网络接口 (或设备 )名称 (或 eth0或 eth1) 【试题解析】 在 /etc/sysconfig/network-scripts目录中有许多脚本文件用于基本网络管理,包括启动网络设备、停止
32、网络设备运行等。常用的两个脚本命令是 ifup和 ifdown,前者是启动网络设备运行,后者是停止网络设备运行,脚本以设备名为参数,设备名为 eth0、 eth1等。 8 【正确答案】 (11)eth0 (12)eth1 【试题解析】 当正确地配置了 /etc/sysconfig/network文件、/etc/sysconfig/network-scripts/ifcfg-ethO文件和 /etc/sysconfig/network-scripts/ifcfg-eth1文件,并成功运行 ifup脚本命令启动了 ethO设备和 eth1设备后,还需要在网关计算机上使用 route命令分别为两个子
33、网创建两个默认路由: route add-net 192.168.1.0 255.255.255.128 eth0,销售部子网通过 eht0转发; route add-net 192.168.1.128 255.255.255.128 eth1,技术部子网通过 eht1转发。 上面的路由命令确保把指定的网络传输的数据包通过指定的接口设备进行传输。 9 【正确答案】 (13)A或 traceroute (14)B或 0 【试题解析】 两个子网间的主机要能够正常通信,首先应该正确设置技术部和销售部的主机网络参数,比如销售部的主机的网关地址应设置为 192.168.1.126,技术部的主机的网关地址
34、应设置为 192.168.1.254。进行连通 性测试常用的命令是ping,当发现两个子网间的主机 ping失败时,可以在网关计算机上使用traceroute命令来确定数据包是否能够达到网关的另一端。如果 traceroute显示数据可以到达网关但是不能转发到目标计算机上,问题就出现在网关上。应该保证IP转发在网关计算机上是允许的,在网关计算机上运行cat/proc/sys/net/ipv4/ip_forward,查询内核的 IP转发参数,如果返回的是 0,说明 IP转发在内核中是禁止的,此时需要重新编译内核,使内核支持 IP转发,即cat/proc/sys/net/ipv4/ ip_forw
35、ard的返回为 1。 三、试题三( 15分) 10 【正确答案】 (1)任何 IP地址 (2)我的 IP地址 (3)UDP (4)161 (5)161 (6)162 (7)162 【试题解析】 管理站对输入的 SNMP消息进行筛选时,目的地址为本机地址,源地址为本站管理的任意 IP地址,因此 (1)应填入 “任何 IP地址 ”, (2)应填入 “我的 IP地址 ”。 采用 SNMP进行网络管理时,传输层采用 UDP,故 (3)应填入 “UDP”。 由于 SNMP协议默认端口为 161,故 (4)、 (5)依次应填入 161、 161; SNMP TRAP协议默认端口为 162,故 (6)、 (
36、7)依次应填入 162、 162。 11 【正确答案】 (8)SNMP消息 【试题解析】 由于创建的筛选器名为 “SNMP消息 ”,因此应针对该筛选器创建IPSec安全策略,故 (8)应选择 “SNMP消息 ”。 12 【正确答案】 (9)C或协商安全 【试题解析】 管理站和被管站之间应采用协商方式进行安全通信,因此 (9)应填入 “协商安全 ”或选择 B。 13 【正确答案】 (10)1 【试题解析】 密钥完全 向前保密 (PFS),每次都强制使用新 “材料 ”重新生成密钥。若选中 “主密钥完全向前保密 (PFS)”复选框,则 “身份验证和生成新密钥间隔 ”默认值为 480分钟和 1个会话。
37、 因此 (10)应填入 “1”。 14 【正确答案】 其他计算机上必须配置相应的 IPSec安全策略。 【试题解析】 为保证 SNMP正常通信,被管理的其他计算机上必须配置相应的IPSec安全策略,否则无法保障安全。 四、试题四( 15分) 15 【正确答案】 (1)A(2)C 【试题解析】 为了确保 IIS服务的安全,一个重要的 前提就是让它落地在安全的系统上。在 Windows服务器上安装 IIS最好选用 NTFS分区格式。因为在 NTFS格式下,可以针对某个文件或文件夹给不同的用户分配不同的权限,并且可以使用系统自带的加密文件系统 EFS对文件夹或文件进行加密。 16 【正确答案】 (3
38、)202.161.158.240至 202.161.158.254均可 (4)255.255.255.240 (5)202.161.158.239 【试题解析】 在 IIS中,如果发现来自某一 IP的计算机总是试图攻击网站,就可以使用 “IP地址及域名 限制 ”来禁止其访问。通过 IP地址及其域名限制,用户可以禁止某些特定的计算机或某个地址段中的计算机对子集的 Web和 FTP站点的访问。当有大量的攻击和破坏来自于某些地址或某个子网时,使用这种限制机制是非常有用的。 为了禁止 IP地址为 202.161.158.239 202.161.158.254的主机访问该网站,可以将这个地址段中的所有
39、IP地址以单个主机的形式加入限制访问的地址列表中,也可以以 IP地址加子网掩码的形式添加一组主机地址。这里如果采用子网掩码,那么 202.161.158.239不在该网段,还需要 单独添加该主机 IP。 17 【正确答案】 (6)A; (7)H; (8)G; (9)E 【试题解析】 本问题考查的是 SSL安全加密机制的基础知识。 SSL是一个协议独立的加密方案,在网络信息包的应用层和传输层之间提供了安全的通道。 18 【正确答案】 (10)EBDCA 【试题解析】 IIS使用的是 HTTP协议,以明文的形式传输数据,没有采用任何加密手段,传输的重要数据容易被窃取。如果建立了 SSL安全机制,只
40、有 SSL允许的客户才能与 SSL允许的 Web站点进行通信。 在 Windows Server 2003中,为 IIS安装 SSL安全加密机制需要以下步骤: (1)生成证书请求文件; (2)安装证书服务; (3)申请 IIS网站证书; (4)颁发 IIS网站证书; (5)导入 IIS网站证书: (6)配置 IIS安全通信。 19 【正确答案】 (11)B 【试题解析】 导入证书后, IIS并没有启用 SSL安全加密功能,需要进一步对IIS服务器进行配置。在 “目录安全性 ”选项卡中单击 “安全通信 ”中的 “编辑 ”按钮,弹出 “安全通信 ”对话框,从中选择 “要求安全通道 (SSL)”和
41、“要求 128位加密 ”。接着单击 “身份验证和访问控制 ”的 “编辑 ”按钮,弹出 “身份验证方法 ”对话框,取消选中 “启用匿名访问 ”和 “集成 Windwos身份验证 ”复选框,只选中 “基本身份验证 ”复选框即可。 20 【正确答案】 (12)https:/;(13)443 【试题解析】 使用安装的 SSL安全加密机制的 Web站点,需要在使用 URL资源定位器时要输入 https:/。 五、试题五( 15分) 21 【正确答案】 (1)hostname sw1 (2)ip address 192.168.1.1 255.255.255.0 (3)ip default-gateway
42、 192.168.1.254 【试题解析】 本问题考查的是交换机的基本配置命令,包括设置交换机的名称,配置交换机的 IP地址和默认网关。参照题目要求,该交换机的名称为 Sw1, IP地址为 192.168.1.1/24,根据表 12-2可知其默认网关为 192.168.1.254。故其配置命令为: Switch(config) # hostname sw1 Sw1(config) # interface vlan 1 Sw1(config-if) # ip address 192.168.1.1 255.255.255.0 sw1(config-if) # no shutdown Sw1(co
43、nfig) # ip default-gateway 192.168.1.254 22 【正确答案】 (4)switchport mode access (5)switchport access vlan 10 【试题解析】 本问题考查的是端口 vlan配置的命令。参照题目要求,交换机Sw1中将端口 1 20划归销售部,而销售部是 vlan 10,另外根据题目提示,配置采用组配置模式。故其配置命令为: Sw1(config) # interface range fastethernet 0/1-20 Sw1(config-if-range) # switchport mode access S
44、w1(config-if-range) # switchport access vlan 10 23 【正确答案】 (6)学习 (7)转发 以上两个答案可以互换 (8)spanning-tree portfast 【试题解析】 本问题考查的是生成树基本概念和快速端口配置。默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:阻塞、侦听、学习和转发。在能够转发用户的数据包之前,某个端口可能最多要等 50s的时间 (20s的阻塞时间 +15s的侦听延迟时间 +15s的学习延迟时间 )。 对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,
45、可以利用 spanning-tree portfast命令将某端口设置成为快速端口 (Portfast)。设置为快速端口的端口后,当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听和学习状态 (假设桥接表已经建立 )。 24 【正确答案】 (9)设置串口的 IP地址及子网掩码 (10)设置到 Internet的默认路由 (11)设置到校园网内部的路由 定义屏蔽远程登录协议 telnet的规则 【试题解析】 本问题考查的是广域网接入路由器的配置命令。 1 Router(config)# interface s0/0 该命令是进入串口配置模式。 2 router(cenf
46、ig-if) # ip address 61.235.1.1 255.255.255.252 该命令的作用是设置串口的 IP地址及子网掩码。 3 router(config) # ip route 0.0.0.0 0.0.0.0 s0/0 该命令的作用是设置到 Internet的默认路由。 4 router(config) # ip route 192.168.0.0 255.255.255.0 f0/0 该命令的作用是设置到校园网内部的路由。 5 router(config) # access-list 100 deny any any eq telnet 该命令的作用是定义屏蔽远程登录协议 telnet的规则。