[计算机类试卷]2007年上半年软件水平考试（中级）网络工程师下午（应用技术）试题真题试卷及答案与解析.doc

资源描述

1、2007年上半年软件水平考试（中级）网络工程师下午（应用技术）试题真题试卷及答案与解析一、试题一（ 15分） 1 阅读以下说明，回答问题 1至问题 4。【说明】某学校欲构建校园网，根据实际情况，计划在校园总部采用有线网络和无线网络相结合的接入方式，校园分部通过Internet采用 VPN技术与校园总部互联，该校园网的网络拓扑结构如图 1-1所示。1 从网络拓扑图中可以看出该校园网采用了分层设计结构，回答以下问题： 1交换机按照所处的层次和完成的功能分为三种类型：核心交换机、汇聚交换机和接入交换机。下表是学校采购的三种交换机，请根据交换机的技术指标确定交换机的类型。在答题纸对应的解答栏

2、内填写表 1-1中 (1)、 (2)、 (3)处对应的交换机类型 (3分 )。 2该校园网根据需求使用 ACL实现各个单位之间的访问控制，在能够实现预定功能的前提下，应将 ACL交给 (4)交换机实现，原因是 (5)。 (4)A核心层 B汇聚层 C接入层 (5)A核心层提供高速数据转发 B汇聚层提供访问控制功能 C接入层连接用户设备 2 该校园网的部分区域采用了无线网络，请根据无线网络的技术原理回答以下问题： 1校园网在部署无线网络时，采用了符合 802.11g标准的无线网络设备，该校园网无线网络部分的最大数据速率为 (6)。 A 54Mb/s B 108Mb/s C 11Mb/s D 33M

3、b/s 2在学校学术报告厅内部署了多个无线 AP，为了防止信号覆盖形成的干扰，应调整无线 AP的 (7)。 (7)A SSID B频道 C工作模式 D发射功率 3 如果校园本部和校园分部之间需要实现教学资源互访、办公自动化和财务系统互联等多种业务，该校园网应该选择 (8)VPN模式。 (8)A IPSec B SSL 4 该校园网本部利用 Windows 2000建立 VPN服务器，接受远程 VPN访问，默认情况下， (9)接入到 VPN服务器上。 (9)A拒绝任何用户 B允许任何用户 C除了 GUEST用户，允许任何用户 D除了管理用户，拒绝任何用户二、试题二（ 15分） 5 阅读以下

4、Linux 系统中关于 IP 地址和主机名转换的说明，回答问题 1-3。【说明】计算机用户通常使用主机名来访问网络中的节点，而采用 TCP/IP协议的网络是以 IP 地址来标记网络节点的，因此需要一种将主机名转换为 IP 地址的机制。在Linux系统中，可以使用多种技术来实现主机名和 IP 地址的转换。 5 请选择恰当的内容填写在 (1)、 (2)、 (3)空白处。一般用 Host表、网络信息服务系统 (NIS)和域名服务 (DNS)等多种技术来实现主机名和 IP 地址之间的转换。 Host表是简单的文本文件，而 DNS是应用最广泛的主机名和 IP 地址的转换机制，它使用 (1)来处理网

5、络中成千上万个主机和 IP 地址的转换。在 Linux 中， DNS是由BIND软件来实现的。 BIND是一个 (2)系统，其中的 resolver程序负责产生域名信息的查询，一个称为 (3)的守护进程，负责回答查询，这个过程称为域名解析。(1)A集中式数据库 B分布式数据库 (2)A C/S B B/S(3)A named B bind C nameserver 6 下图是采用 DNS将主机名解析成一个 IP 地址过程的流程图。请选择恰当的内容填写在 (4)、 (5)、 (6)空白处。 A产生一个指定下一域名服务器的响应，送给 DNS客户 B把名字请求转送给下一个域名服务器，进行递归求解，

6、结果返回给 DNS客户 C将查询报文发往某域名服务器 D利用 Host表查询 E查询失败 7 请在 (7)、 (8)、 (9)处填写恰当的内容。在 Linux系统中设置域名解析服务器，已知该域名服务器上文件 named.conf的部分内容如下 : OPtions directory /var/named；； zone type hint； file named.ca； zone localhost IN file “localhost.zone“ allow-updatenone；；； zone 0.0.127.in-addr.arpa type master； file named.

7、local；； zone type(7)； file ；； zone 40.35.222.in-addr.arpa type master； file 40.35.222；； include “/etc/rndc.key“；该服务器是域的主服务器，该域对应的网络地址是 (8)，正向域名转换数据文件存放在 (9)目录中。三、试题三（ 15分） 8 阅读以下说明，回答问题 1至问题 5。【说明】某网络拓扑结构如图 3-1所示，DHCP服务器分配的地址范围如图 3-2所示。8 DHCP允许服务器向客户端动态分配地址和配置信息。客户端可以从 DHCP服务器获得 (1)。 (1)A

8、 DHCP服务器的地址 B Web服务器的地址 C DNS服务器的地址 9 图 3-3是 DHCP服务器安装中的添加排除窗口。参照图 3-1和图 3-2，为图3-3中配置相关信息。起始 IP 地址： (2)；结束 IP 地址： (3)； 10 在 DHCP服务器安装完成后， DHCP控制台如图 3-4所示。配置 DHCP服务器时需要进行备份，以备网络出现故障时能够及时恢复。在图 3-4中，备份 DHCP服务器配置信息正确的方法是 (4)。 (4)A右键单击 “ruankao”服务器名，选择 “备份 ”。 B右键单击 “作用域 ”，选择 “备份 ”。 C右键单击 “作用域选项 ”，选择

9、 “备份 ”。 D右键单击 “服务器选项 ”，选择 “备份 ”。 11 通常采用 IP 地址与 MAC地址绑定的策略为某些设备保留固定的 IP 地址。右键单击图 3-4中的 (5)选项可进行 IP 地址与 MAC地址的绑定设置。 (5)A地址池 B地址租约 C保留 D作用域选项 12 邮件服务器的网络配置信息如图 3-5所示。请在图 3-6中为邮件服务器绑定 IP地址和 MAC地址。 IP 地址： (6)； MAC地址： (7)。四、试题四（ 15分） 13 阅读下列有关网络防火墙的说明，回答问题 1-4。【说明】为了保障内部网络的安全，某公司在 Internet的连接处安装了 PIX防

10、火墙，其网络结构如图 4-1所示。 13 完成下列命令行，对网络接口进行地址初始化配置。 firewall(config)#ip address inside(1)(2) firewall(config)#ip address outside(3)(4) 14 阅读以下防火墙配置命令，为每条命令选择正确的解释。 firewall(config)#global(outside)1 61.144.51.46(5)firewall(config)#nat(inside)1 0.0.0.0 0.0.0.0(6)firewall(config)#static(inside， outside)192.16

11、8.0.861.144.51.43(7)(5)A当内网的主机访问外网时，将地址统一映射为 61.144.51.46 B当外网的主机访问内网时，将地址统一映射为 61.144.51.46 C设定防火墙的全局地址为 61.144.51.46 D设定交换机的全局地址为 61.144.51.46(6)A启用 NAT，设定内网的 0.0.0.0主机可访问外网 0.0.0.0主机 B启用 NAT，设定内网的所有主机均可访问外网 C对访问外网的内网主机不作地址转换 D对访问外网的内网主机进行任意的地址转换 (7)A地址为 61.144.51.43的外网主机访问内网时，地址静态转换为192.168.0.8 B

12、地址为 61.144.51.43的内网主机访问外网时，地址静态转换为 192.168.0.8 C地址为 192.168.0.8的外网主机访问外网时，地址静态转换为 61.144.51.43 D地址为 192.168.0.8的内网主机访问外网时，地址静态转换为 61.144.51.43 15 管道命令的作用是允许数据流从较低安全级别的接口流向较高安全级别的接口。解释或完成以下配置命令。 firewall(config)#conduit permit tcp host 61.144.51.43 eq www any(8) firewall(config)#(9) 允许 icmp消息任意方向通过防火

13、墙 16 以下命令针对网络服务的端口配置，解释以下配置命令： firewall(config)#fixup protocol http 8080(10) firewall(config)#no fixup protocol ftp 21(11) 五、试题五（ 15分） 17 阅读以下说明，回答问题 1至问题 4。【说明】图 5-1是 VLAN配置的结构示意图。 17 请阅读下列 Switch A的配置信息，并在 (1) (5)处解释该语句的作用。 Switch enable(进入特权模式 ) Switch#config terminal(进入配置模式 ) Switch(config)#ho

14、stname SwitchA(1) SwitchA(config)#end SwitchA # SwitchA #vlan database(2) SwitchA(vlan)#vtP server(3) SwitchA(vlan)#vtp domain vtpserver(4) SwitchA(vlan)#vtp pruning(5) SwitchA(vlan)#exit(退出 VLAN配置模式 ) 18 下面是交换机完成 Trunk的部分配置，请根据题目要求，完成下列配置。 SwitchA(config)#interface f0/3(进入端口 3配置模式 ) SwitchA(config-

15、if)#switchporl(6)(设置当前端口为 Trunk模式 ) SwitchA(config-if)#sritchport trunk allowed(7)(设置允许所有 Vlan通过 ) SwitchA(config-if)#exit SwitchA(config)#exit Switch% 19 下面是交换机完成端口配置的过程，请根据题目要求，完成下列配置。 Switch(config)#interface f0/7(进入端口 7的配置模式 ) Switch(config-if)#(8)(设置端口为静态 VLAN访问模式 ) Switch(config-if)#(9)(把端口 7分

16、配给 VLAN10) Switch(config-if)#exit Switch(config)#exit 20 下面是基于端口权值的负载均衡配置过程。 SwitchA(config)#interface f0/2(进入端口 2配置模式 ) SwitchA(config-if)#spanning-tree vlan 10 port-priority 10(将 VLAN10 的端口权值设为 10) SwitchA(config-if)#exit SwitchA(config)#interface f0/3(进入端，口 3配置模式 ) SwitchA(config-if)#spanning-tre

17、e vlan 20 port-priority 10(将 VLAN20 的端口权值设为 10) Switchl(config-if)#end Switchl#copy running-config startup-config(保存配置文件 ) 1不同 Trunk上不同 VLAN的权值不同，在默认情况下，其权值为 (10)。 2按照上述配置， Vlan 20的数据通过 Switch A的 (11)口发送和接收数据。 2007年上半年软件水平考试（中级）网络工程师下午（应用技术）试题真题试卷答案与解析一、试题一（ 15分） 1 【正确答案】 (1)核心交换机 (2)汇聚交换机 (3)接入交换机

18、 (4)B或汇聚层 (5)B或汇聚层提供访问控制功能【试题解析】本问题考查的是网络分层设计概念和网络设备基本参数的知识。 1在网络分层设计中，由于核心层、汇聚层、接入层的功能不同，不同层次选用的交换机也有区别。核心层的作用是尽可能快地交换数据包，构成高速的交换骨干，所以核心层交换机的背板带宽，转发速率尽可能快，另外，核心层可靠性要求较高，所以一般都要求电源冗余，现在核心层交换机一般不设置固定接口数量，这样可以根据用户的需要选配组件。汇聚层主要提供地址的聚集，部门和工作组的接入，广播域、组播传输域的定义， VLAN分割，介质转换和安全控制等功能。汇聚层是多台接入层交换机的汇聚点，它必须

19、能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。接入层实现终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。从表 1-1可见，根据上述三种交换机的特点， (1)对应核心层交换机； (2)对应汇聚层交换机； (3)对应接入层交换机。 2由于核心层为下两层提供优化的数据转移功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体数据包的运算中 (如 ACL、过滤等 )，否则会降低数据包的交换速度。而分布层则提供基于统一策略的互连性，它连接核心层和接入层，对数据包进行复

20、杂的运算，提供访问控制功能。 2 【正确答案】 (6)A或 54Mb/s (7)B或频道【试题解析】本问题考查的是无线局域网的知识。 1在 802.11系列标准中，涉及物理层的有 802.11、 802.11b、 802.11a和 802.11g 4个标准。其中 802.118是对 802.11b 的一种高速物理层扩展，同 802.11b 一样，802.11g工作于 2.4GHz ISM频带，但采用了 OFDM技术，可以实现最高 54Mb/s的数据速率。 2无线 AP的发射功率决定了无线 AP的覆盖范围。无线 AP中 SSID(Service Set Identifier)也可以写为 ES

21、SID，是用来区分不同的网络，它最多可以有 32个字符。无线网卡设置不同的 SSID就可以进入不同网络，无线 AP的频道用于确定本网络工作的频率段，根据无线局域网的工作原理，在多个无线 AP同时工作的情况下，为保证频道之间不相互干扰，要求两个频道的中心频率间隔不能低于25MHz。为了防止信号覆盖形成的干扰，可以调节无线 AP的频道。 3 【正确答案】 (8)A或 IPSec 【试题解析】本问题考查的是 VPN的知识。目前实现 VPN主要有 IPSecVPN和 SSLVPN两种模式。其中， SSL 守 PN 模式主要是实现 Web 应用，而其他应用还要使用 IPSecVPN方式。从题目要求

22、可以看出，该校园本部和校园分部之间需要实现教学资源互访、办公自动化和财务系统互联等多种应用，所以应该采用 IPSecVPN方式。 4 【正确答案】 (9)A或拒绝任何用户【试题解析】本问题考查的是 Windows 2000 建立 VPN服务器的基本知识。利用 Windows 2000建立 VPN服务器，接受远程 VPN访问，默认情况下是拒绝任何用户访问的。二、试题二（ 15分） 5 【正确答案】 (1)B，或分布式数据库 (2)A或 C/S，或客户服务器系统 (3)A或 named 【试题解析】本问题考查对 TCP/IP协议中 DNS(域名服务 )基本概念的理解。为了便于记忆，计算

23、机用户通常使用主机名来访问网络中的计算机，需要一种将主机名转换为 IP地址的机制。目前主要有三种技术来实现主机名和 IP地址之间的转化， host表、 NIS(网络信息服务系统 )和 DNS 域名服务。 host表是简单的文本文件，在 Linux系统中是 /etc/hosts文件，其中存放了主机名和 IP地址的映射关系。而在一个大型的网络中建立 host表非常繁杂。NIS(Network Information System)将主机表以数据库的形式保存在中央主机上，由中央主机将所需数据分配给所有的服务器，主机名转换为 IP的效率很低，适用于局域网。 TCP/IP网络系统中实用的 IP地址和主机

24、名的转换机制是 DNS(Domain Name Server)，它使用一种分层的分布式数据库来处理地址和名字的转换，转换信息分布在一个层次结构的若干台域名服务器上。 DNS 基于客户 /服务器模式。每当一个应用需要将域名翻译为 IP地址时，由DNS 客户程序将待翻译的域名放在一个 DNS 请求信息中，域名服务器系统从这个请求中取出域名，通过递归或迭代查询方式，返回给客户翻译好的地址 (或查询失败 )结果。在 Linux中，域名服务 (DNS)是由 BIND(Berkeley Internet Name Domain)软件实现的。 BIND是一个 C/S 系统，其客户端称为转换程序 (re

25、solver)，它负责产生域名信息的查询，并将这类信息发送给服务器。 BIND的服务器端是一个称为 named的守护进程，负责回答转换程序的查询。 6 【正确答案】 (4)C将查询报文发往某域名服务器 (5)A产生一个指定下一域名服务器的响应，送给 DNS客户 (6)B把名字请求转送给下一个域名服务器，进行递归求解，结果返回给 DNS客户【试题解析】 DNS 客户需要向 DNS系统查询主机 IP地址时，首先构造名字查询报文，然后根据客户机的网络配置中指定的 DNS 服务器地址，将查询报文发送给 DNS 服务器， DNS 服务器有两种处理方式，一种是递归查询，当收到 DNS 工作站的查询请求

26、后，如本地 DNS 服务器查询成功则返回客户端查询结果，如本地查询失败，由本地域名服务器利用服务器上的软件采用递归算法请求下一个服务器 (将查询请求向下一个 DNS 服务器转发 )，并将结果返回查询客户。另一种是迭代查询，当收到 DNS工作站的查询请求后，如果 DNS 服务器中没有查到所需 IP地址，该 DNS服务器将告知另外一台 DNS服务器的 IP地址，然后再由 DNS 工作站自行向此 DNS 服务器查询，直到查到所需信息为止 (或者失败 )。一般在 DNS 服务器之间的查询请求便属于迭代查询。 7 【正确答案】 (7)master (8)222.35.40.0 (9)/var/named

27、【试题解析】 BIND域名服务器的守护进程是 named，其主要配置文件是/etc/named.conf，在启动时 named 服务程序读取该配置文件来决定应该如何工作。 named.conf 文件由语句 (起作用的命名配置 )、注释和空行组成。常用语句的声明如下。 options 语句，允许为名字服务器设置全局选项，通常在 options 语句块中指定名字服务器的工作目录路径 (设置 directory 目录选项 )、转发 DNS 查询的 IP地址表 (设置 forwarders 选项 )等。在多个 zone语句中定义区域文件，指出某个域的地址转换配置信息 (或者反向转换配置信息 )存

28、放的数据库文件名称和类型，如果为特定的域设置多个名字服务器，可以使用 type master选项只设置其中一个为主要的或授权名字服务器，其他名字服务器 (个数不限 )必须设置为从名字服务器 (type slave)。反向 DNS区域 (通过IP地址查询主机名称为反向查询，查询信息在反向 DNS 区域文件中 )配置采用特殊的区域名字，要求把网络 IP地址的分段数字 “反向 ”并在名字的最后增加 in-addr.arpa 来创建反向 DNS 区域名字，该文件的数字串 (用点符号分割 )从右到左就是由该区域文件管理网络域的网络地址。三、试题三（ 15分） 8 【正确答案】 (1)C 【试题解析】

29、 DHCP是 Dynamic Host Configuration Protocol(动态主机配置协议 )的缩写。在常见的小型网络中， IP地址的分配一般都采用静态方式，但在大中型网络中，为每一台计算机分配一个静态 IP地址，这样将会加重网管人员的负担，并且容易导致 IP地址分配错误。因此，在大中型网络中使用 DHCP服务是非常有效率的。 DHCP客户端通过和 DHCP服务器的交互通信以获得 IP地址租约，包括 IP地址、子网掩码以及 DNS 服务器的地址。 9 【正确答案】 (2)192.168.0.1 (3)192.168.0.2 【试题解析】由于 IP地址 DHCP服务器 (192.

30、168.0.1)和邮件服务器 (192.168.0.2)的 IP地址需静态分配，故在添加排赊窗口中应将它们排除掉，因此起始 IP地址应填入 192.168.0.1，结束地址应填入 192.168.0.2。 10 【正确答案】 (4)A 【试题解析】在网络管理工作中，备份一些必要的配置信息是一项重要的工作，以便当网络出现故障时，能够及时地恢复正确的配置信息，保障网络正常的运转。在配置 DHCP服务器时也不例外， Windows 2003 服务器操作系统中，也为用户提供了备份和还原 DHCP服务器配置的功能。 (1)打开 DHCP控制台，在控制台窗口中，展开 “DHCP”选项，选择已经建立好

31、的 DHCP服务器，右键单击服务器名，选择 “备份 ”。 (2)这时便会弹出一个要求用户选择备份路径的对话框。默认情况下， DHCP服务器的配置信息是放在系统安装盘的“windowssystem32dhcpbackup”目录下。如有必要，用户可以手动更改备份的位置。单击 “确定 ”按钮后就完成了对 DHCP服务器配置文件的备份工作，如下图所示。 (3)当出现配置故障时，需要还原 DHCP服务器的配置信息，右键单击 DHCP服务器名，选择 “还原 ”选项即可，同样会有一个确定还原位置的选项，选择备份时使用的文件夹单击 “确定 ”按钮，这时会打开一个 “关闭和重新启动服务 ”的对话框，单击 “确

32、定 ”按钮后，DHCP服务器就会自动恢复到最初的备份配置。故右键单击 “ruankao”服务器名，选择 “备份 ”。 11 【正确答案】 (5)C 【试题解析】右键单击 “保留 ”选项，可填写需保留 IP地址的信息。 12 【正确答案】 (6)192.168.0.2 (7)00-16-36-33-9B-BE 【试题解析】在 DHCP服务器中，通常会保留一些 IP地址给一些特殊用途的网络设备，如路由器、打印服务器等，如果客户机私自将自己的 IP地址更改为这些地址，就会造成这些设备无法正常工作。这时，就需要合理配置这些 IP地址与MAC地址进行绑定，来防止保留的 IP地址被盗用。步骤如下。 (

33、1)了解客户机的 MAC地址。在想要实现绑定的客户机的 “开始 ”、 “运行 ”中输入CMD命令，打开 Windows 2003 的命令提示符窗口。然后输入 “IPCONFIG/ALL”查看网络的配置信息，其中有一项 NIC后面的十六进制数便是这台机器的 MAC地址信息，如图 3-5所示。 (2)实现 IP地址与 MAC地址绑定策略。打开 DHCP服务器控制台，展开已经建立好的 DHCP服务器，右键单击 “保留 ”选项，这时选择 “新建保留 ”选项。在 “保留名称 ”文本框中输入保留的计算机名，在 “IP地址 ”文本框中，输入需要绑 MAC地址的 IP地址；在 “MAC地址 ”文本框中，输入

34、需要绑定主机的 MAC地址。这样，就为网络设备添加了一个 MAC地址绑定，如图 3-6所示。四、试题四（ 15分） 13 【正确答案】 (1)修改主机名为 SwitchA (2)进入 VLAN配置子模式 (3)设置本交换机为 Server模式 (4)设置域名为 vtpserver (5)启动修剪功能【试题解析】本问题考查的是 PIX防火墙中配置内外网卡的 IP地址 (ip address)命令。例如： firewall(config)#ip address outside 61.144.51.42255.255.255.248 firewall(config)#ip address

35、inside 192.168.0.1 255.255.255.0 表明防火墙在外网的 IP地址是 61.144.51.42，内网 IP地址是 192.168.0.1。 14 【正确答案】 (6)mode trunk(7)vlan all 【试题解析】本问题考查的是 PIX防火墙中配置地址转换、外部地址范围和静态地址翻译的命令 1指定要进行转换的内部地址 (nat) 网络地址翻译 (nat)作用是将内网的私有 IP转换为外网的公有 ip.Nat命令总是与 global 命令一起使用，这是因为 nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用 global 所指定的地址池

36、进行对外访问。 nat命令配置语法： nat (if_name)nat_id local_ipnetmark。其中 (if name)表示内网接口名字，例如 inside.Nat id 用来标识全局地址池，使它与其相应的 global命令相匹配， local中表示内网被分配的 IP地址。例如 0.0.0.0表示内网所有主机可以对外访问。 netmark表示内网 IP地址的子网掩码。例 1 Pix525(config)#nat(inside)1 00 表示启用 nat，内网的所有主机都可以访问外网，用 0可以代表 0.0.0.0。例 2 Pix525(config)#nat(inside)

37、1 172.16.5.0255.255.0.0 表示只有 172.16.5.0这个网段内的主机可以访问外网。 2指定外部地址范围 (global) global 命令把内网的 IP地址翻译成外网的 IP地址或一段地址范围。 Global 命令的配置语法： global(if_name)nat_id ip_address-ip_address netmark global_mask。其中 (if name)表示外网接口名字，例如 outside.。 Nat id 用来标识全局地址池，使它与其相应的 nat命令相匹配， ip address-ip address 表示翻译后的单个 IP地址或一段

38、 IP地址范围。 natmark global_mask表示全局 IP地址的网络掩码。例 1 Pix525(config)#global(outside)1 61.144.51.42-61.144.51.48 表示内网的主机通过 pix 防火墙要访问外网时， pix 防火墙将使用 61.144.51.42-61. 144.51.48这段 IP地址池为要访问外网的主机分配一个全局 IP地址。例 2 Pix525(config)#global(outside)1 61.144.51.42 表示内网要访问外网时， pix 防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一 IP

39、地址。例 3 Pix525(config)#noglobal(outside)1 61.144.51.42 表示删除这个全局表项。 3配置静态 IP地址翻译 (static) 如果从外网发起一个会话，会话的目的地址是一个内网的 IP地址， static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。 static命令配置语法：static (intemal_if_name， extemal_if name)outside_ip_address inside_ip_address。其中 internal_ if name 表示内部网络接口，安全级别较高。 inside. externa

40、l if name为外部网络接口，安全级别较低，如 outside等。 outside中 address为正在访问的较低安全级别的接口上的 IP地址。 inside ip address 为内部网络的本地 IP地址。例 1 Pix525(config)#static(inside， outside)61.144.51.62192.168.0.8 表示 IP地址为 192.168.0.8的主机，对于通过 pix 防火墙建立的每个会话，都被翻译成 61.144.51.62这个全局地址，也可以理解成 static命令创建了内部 IP地址192.168.0.8和外部 IP地址 61.144.51.

41、62之间的静态映射。例 2 Pix525(config)#static(inside， outside)192.168.0.210.0.1.3 例 3 Pix525(config)#static(dmz， outside)211.48.16.2172.16.10.8 注释同例 1。通过以上几个例子说明使用 static命令可以让用户为一个特定的内部 IP地址设置一个永久的全局 IP地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。 15 【正确答案】 (8)switchport mode access (9)switchport acce

42、ss vlan 10 【试题解析】本问题考查的是 PIX防火墙中的管道命令 (conduit)。前面讲过使用 static 命令可以在一个本地 IP地址和一个全局 IP地址之间创建一个静态映射，但从外部到内部接口的连接仍然会被 pix防火墙的自适应安全算法(ASA)阻挡。 conduit 命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到 DMZ 或内部接口的进入方向的会话。对于向内部接口的连接， static和 conduit命令将一起使用，来指定会话的建立。 conduit命令配置语法： conduit permit | deny global_ip

43、 port-port protocol foreign_ip netmask permit | deny 允许 | 拒绝访问 global_ip指的是先前由 global 或 static命令定义的全局 IP地址，如果 global_ip为 0，就用 any代替 0；如果 global_ip 是一台主机，就用 host命令参数。指的是服务所作用的端口，例如 www使用 80， smtp使用 25 等，用户可以通过服务名称或端口数字来指定端口。 protocol 指的是连接协议，如 TCP、 UDP和 ICMP等。 foreign_ip 表示可访问 global_ip 的外部 IP。对于任意主

44、机，可以用 any表示。如果 foreign ip是一台主机，就用 host命令参数。例 1 Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any 这个例子表示允许任何外部主机对全局地址 192.168.0.8的这台主机进行 http 访问。其中使用 eq 和一个端口来允许或拒绝对这个端口的访问。 Eq ftp 就是指允许或拒绝只对 ftp的访问。例 2 Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 表示不允许外部主机 61.144.51.89对

45、任何全局地址进行卸访问。例 3 Pix525(config)#conduit permit icmp any any 表示允许 icmp 消息向内部和外部通过。例 4 Pix525(confiS)#static(inside， outside)61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any 这个例子说明 stmic 和 conduit的关系。 192.168.0.3在内网是一台 Web 服务器，现在希望外网的用户能够通过 pix防火墙得到 Web 服务。所以先做

46、static静态映射： 192.168.0.3 - 61.144.51.62(全局 )，然后利用 conduit命令允许任何外部主机对全局地址 61.144.51.62进行 http 访问。 16 【正确答案】 (10)128 (11)e0/3(答 f0/3或端口 3也正确 ) 【试题解析】本问题考查的是 PIX防火墙中的配置 fixup协议命令。 fixup命令的作用是启用，禁止，改变一个服务或协议通过 pix 防火墙，由 fixup命令指定的端口是 pix防火墙要侦听的服务。见下面例子。例 1 Pix525(config)#fixup protocol ftp 21 启用卸协议，并指定

47、卸的端口号为 21。例 2 Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol http 1080 为 HTTP协议指定 80 和 1080两个端口。例 3 Pix525(config)#no fixup protocol smtp 80 禁用 smtp协议。五、试题五（ 15分） 17 【正确答案】 (1)修改主机名为 SwitchA (2)进入 VLAN配置子模式 (3)设置本交换机为 Server模式 (4)设置域名为 vtpserver (5)启动修剪功能【试题解析】本问题考查的是交换机的基本

48、配置知识。各命令功能如下。 Switch enable 进入特权模式 Switch#config terminal 进入配置模式 Switch(config)#hostname SwitchA 修改主机名为 SwitchA SwitchA(config)#end SwitchA # SwitchA #vlan database 进入 VLAN配置子模式 SwitchA (vlan)#vtP server 设置本交换机为 Server模式 SwitchA (vlan)#vtP domain vtPserver 设置域名为 vtpserver SwitchA (vlan)#vtP pruning 启动修剪功能 SwitchA (vlan)#exit 退出 VLAN配置模式 18 【正确答案】 (6)mode trunk (7)vlan all 【试题解析】本问题考查的是交换机的 Trunk 的配置。配置命令及解释如下。 SwitchA (config)#interface f0/3 (进入端口 3配置模式 ) SwitchA(config-if)#switchporr mode trunk (设置当前端口为 Trunk 模式 ) SwitchA(config-if)#switchport trunk allowed vlan all (设置允许所有 Vlan 通过 ) Switch

展开阅读全文