1、2016年上半年软件水平考试(中级)网络工程师下午(应用技术)真题试卷及答案与解析 一、试题一( 15分) 0 阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑如图 1-1所示, A E是网络设备的编号。1 根据图 11,将设备清单表 1-1所示内容补充完整。2 以下是 AR2220的部分配置。 AR2220acl 2000 AR2220一 acl一 2000rule normal permit source 192 168 0 0 0 0 255 255 AR2220-acl一 2000rule normal deny source any AR2
2、220一 acl-2000quit AR2220interface Ethemet0 AR2220-Ethemet0ip address 1 92 1 68 0 1 255 255 255 0 AR2220一 Ethemet0quit AR2220interface Ethernet 1 AR2220Ethemet1ip address 59 41 221 100 255 255 255 0 AR2220-Ethemet 1nat outbound 2000 interface AR2220-Ethemet 1quit AR2220ip route-static 0 0 0 0 0 0 0 0
3、 59 74 22 1 254 设备 AR2220使用 (5) 接口实现 NAT功能,该接口地址的网关是 (6) 。 3 若只允许内网发起邱、 http连接,并且拒绝来自站点 2 2 2 1l的 Java Applets报文。在 USG3000设备中有如下配置,请补充完整。 USG3 000acl number 3 000 USG3000-acl-adv-3000role permit tcp destination-port eq www USG3 000-acl-adv一 3 000role permit tep destinationport eq ftp USG3 000-acl-ad
4、v-3 000rule permit tcp destinationport eq ftp-data USG3000acl number 20 1 0 USG3000一 acl-basic-20 1 0rule (7)source 2 2 2 1 1 0 0 0 0 USG3000-acl-basic-20 1 0rule permit source any USG3000 (8) interzone trust untmst USG3 000一 interzone-trust untmstpacket filter 3 000(9) USG3 000 interzone trust untr
5、ustl detect ftp USG3000 interzone trust untrustl detect http USG3000一 interzonetrust untrustdetect javAblocking 20 1 0 (7) (9)备选答案: A firewall B trust C deny D permit E outbound F inbotmd 4 PC-1、 PC-2、 PC-3网络设置如表 1-2。通过配置 RIP,使得 PC-1、 PC-2、 PC-3能相互访问,请补充设备 E上的配置,或解释相关命令。 配置 E上 vlan路由接口地址 interface v
6、lanif 30 0 ip address (10) 2 5 5 2 55 2 5 5 0 interface vlanif 1000 互通 vLAN ip address 192 1 68 1 0 0 1 25 5 2 5 5 2 55 O 配置 E上的 rip协议 rip network 1 92 1 68 4 0 network (11) 配置 E上的 trunk链路 int e0 1 port linktype trunk (12) port trunk permit Vlan all 二、试题二( 15分) 4 阅读以下说明,回答问题 l至问题 3,将解答填入答题纸对应的解答栏内。【
7、说明】某学校的网络拓扑结构图如图 2-1所示。5 常用的 IP访问控制列表有两种,它们是编号为 (1)和 1300 1399的标准访问控制列表和编号为 (2)和 2000 2699的扩展访问控制列表。其中,标 准访问控制列表是依据 IP报文的 (3)来对 IP报文进行过滤,扩展访问控制列表是依据 IP报文的 (4)、(5)、上层协议和时间等来对 IP报文进行过滤。一般地,标准访问控制列表放置在靠近 (6)的位置,扩展访问控制列表放置在靠近 (7)的位置。 6 为保障安全,使用 ACL对网络中的访问进行控制。访问控制的要求如下: (1)家属区不能访问财务服务器,但可以访问互联网; (2)学生宿舍
8、区不能访问财务服务器,且在每天晚上 18: 00 24: 00禁止访问互联网; (3)办公区可以访问财务服务器和互联网 ; (4)教学区禁止访问财务服务器,且每天 8: 00 18: 00禁止访问互联网。 1使用 ACL对财务服务器进行访问控制,请将下面配置补充完整。 R1(config)#accesslist 1 (8) (9) 0 0 0 2 5 5 R1 f config)#accesslist 1 deny 172 1 6 1 0 0 0 0 0 2 5 5 R1 f config)#access一 1ist 1 deny 172 1 6 2 0 0 0 0 0 2 55 R1(con
9、fig)#access-list 1 deny (10) 0 0 0 2 55 R1(config)#interface (11) R1(configif)#ip accessgroup 1 (12) 2使用 ACL对 Intemt进行访问控制,请将下面配置补充完整。 RouteSwitch(config)#timerange jxq 定义教学区时间范围 RouteSwitch(config-timerange)#periodic daily (13) RouteSwitch(config)#timerange xsssq 定义学生宿舍区时间范围 RouteSwitch(configtimer
10、ange)#periodic (14) 18: 00 to 24: 00 Route-Switch(configtimerange)#exit RouteSwitch(config)#accesslist 100 permit ip 172 16 10 0 0 0 0 255 any RouteSwitch(config)#accesslist 100 permit ip 172 16 40 0 0 0 0 255 any Route-Switch(config)#accesslist i00 deny ip (15) 0 0 0 255 timerange J xq Route-Switch
11、(config)#accesslist 1 00 deny ip (16) 0 0 0 25 5 timerange XSSSq Route-Switch(config)#interface (17) Route-Switch(configif)#ip accessgroup 100 out 7 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的 DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。 采用自反访问列表实现访问控制,请解释配置代码。 RouteSwitch(config)#ip access
12、list extended infilter RouteSwitch fconfigextnacl)#permit ip any 172 16 20 0 0 0 0 255 reflect jsq (18) RouteSwitch(configextnacl)#exit Route-Switch(config)=Iip access一 1ist extended outfilter Route-Switch(c。 nfigextnacl)# evaluate jsq (19) RouteSwitch(configextnacl)#exit Route-Switch(config)#interf
13、ace fastethernet 0 1 RouteSwitch(configif)#ip accessgroup infilter in RouteSwitch(configif)#ip accessgroup outfilter out (20) 三、试题三( 15分) 7 阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。 【说明】 某企业采用 Windows Server 2003配置了 DHCP、 DNS和 WEB服务。 8 DHCP服务器地址池 192 168 0 1 192 168 0 130,其中192 168 0 10分配给网关, 192 168 0 11
14、 192 168 0 15分配给服务器, 192 168 0 20分配给网络管理员。请填充图 3-1至图 3 3中(1) (4)处空缺内容。 9 DNS的配置如图 3-4所示。根据图 3-4判断正误 (正确的答 “对 ”,错误的答 “错 ”)。 A.XACHINAl DCOB33的 IP地址为 1 1 4 11 4 11 4 1 1 4。 (5)B.该域名服务器无法解析的域名转发到 1 14 1 14 114 114或 8 8 8 8。 (6)C.域 lyrh com的资源记录包含在该 DNS服务器中。 (7)D.客户机的 “首选 DNS服务器 ”地址必须与该 DNS服务器地址一致。 (8)E
15、.该域名服务器是 lyrh com的授权域名服务器。 (9)。 F.该域名服务器支持192 168 101 6地址的反向域名查找。 (10)。 10 Web服务器的配置如图 3 5所示。1如图 3 5所示,通过主机头的方式建立两个网站 www ycch com和 www 1yrh tom,网站配置是 (11)。 (11)备选答案: A.相同的 IP地址,不同的端口号 B.不同的 IP地址,相同的目录 C.相同的 IP地址,不同的目录 D.相同的主机头,相同的端口号 2除了主机头方式,还可以采用 (12)方式在一台服务器上配置多网站。 11 Windows Server 2003管理界面如图 3
16、 6所示。 1图 36中设备打 “?”的含义是 (13);设备打 “”的含义是 (14)。 2图 36中 1394网络适配器能连接什么设备 ?(15)。 四、试题四( 15分) 11 阅读以 下说明,回答问题 l和问题 2,将解答填入答题纸对应的解答栏内。【说明】某公司有 3个分支机构,网络拓扑结构及地址分配如图 4 1所示。12 公司申请到 202 111 1 0 29的公有地址段,采用 NAPT技术实现公司内部访问互联网的要求,其中, 192 168 16 0 22网段禁止访问互联网。 R1、R2和 R3的基本配置已正确配置完成,其中 R1的配置如下。请根据拓扑结构,完成下列配置代码。 R
17、1的基本配置及 NAPT配置如下: R1enable R1#config terminal R1(config)#interface fastenthernet 0 0 R1(configif)#ip addresS 1 92 1 68 0 1 2 5 5 2 55 2 5 5 2 52 R1(configif)#no shutdown R1(configif)#exit R1(config)#interface fastenthernet 0 1 R1(configif)#ip addresS 1 92 1 68 0 9 2 55 2 55 2 55 2 52 R1(configif)#no
18、 shutdown R1(configif)#exit R1(config)#interface fastenthernet 0 2 R1(configif)#ip address (1) 255 255 252 0 使用网段中最后一个地址 R1(config-if)#no shutdown R1(configif)#exit R1(config)#interface serial 0 R1(configif)#ip address 2 02 i i i 1 1 255 25 5 2 55 2 4 8 R1(configif)#no shutdown R1(config)#ip nat poo
19、l SS 2 02 111 1 1 (2) netmask (3) R1(config)#interface (4) fastenthernet 0 01 R1(configif)#ip nat (5) R1(config-if)#interface serial 0 R1(configif)#ip nat(6) R1(configif)#exit R1(config)#accesslist 1 permit 192 168 0 0 (7) R1(config)#ip nat inside (8)list (9)pool (10) (11) 13 在 R1、 R2和 R3之间运行 OSPF路由
20、协议,其中 R1、 R2和 R3的配置如下。 行号 配置代码 1 R1(config)#router ospf 1 2 R1 (configrouter)#network 1 92 168 4 0 0 0 3 255 area 0 3 R1 (configrouter)#network 1 92 1 68 0 0 0 0 0 3 area 0 4 R1(configrouter)#network 1 92 1 68 0 8 0 0 0 3 area 0 5 R2enable 6 R2#config terminal 7 R2(config)#router ospf 2 8 R2(configr
21、outer)#network 1 92 1 68 8 0 0 0 3 2 55 area 0 9 R2(configrouter)#network 1 92 1 68 12 0 0 0 3 2 55 area 0 10 R2(configrouter)#network 1 92 1 68 0 4 0 0 0 3 area 0 11 R3enable 12 R3#config terminal 13 R3(config)#router ospf 3 14 R3(configrouter)#network 1 92 1 68 0 8 0 0 0 3 area 0 15 R3 f configrou
22、ter)#network 1 92 1 68 0 4 0 0 0 3 area 0 1配置完成后,在 R1和 R2上均无法 ping通 R3的局域网,可能的原因是 (12) 。 (12)备选答案: A.在 R3上未宣告局域网路由 B.以上配置中第 7行和第 13行配置错误 C.第 1行配置错误 D.R1、 R2未宣告直连路由 2在 OSPF中重分布默认路由的命令是: (13)。 (13)备选答案: A.R 1#defaultinformation originate B.R 1(config-if)#defaultinformation originate C.R 1(configrouter
23、)#default-information originate D.R 1(config)#defaultinformation originate 2016年上半年软件水平考试(中级)网络工程师下午(应用技术)真题试卷答案与解析 一、试题一( 15分) 1 【正确答案】 (1)B (2)A (3)C (4)D 【试题解析】 本题考查网络设备配置的相关知识。 此类题目要求考生认真阅读题目中给出的配置文件内容,了解设备需要实现的网络功能。对于路由器、防火墙、交换机等网络设置的部署,应该兼顾不同设备的特点、网络业务和安全需求。 防火墙的防护区域可分为内、外网和 DMZ区域,在本题网络拓扑中, A的
24、位置是路由器,在配置文件中定义了外网接口,可以与外部网络进行 通信。同时,在路由器上定义 NAT,对内网地址进行了有效屏蔽,也起到了节省公网地址作用。 B的位置是防火墙,可以对内网用户和服务器进行有效保护,抵御来自外部网络的攻击。 C位置是交换机,用于服务器设备的接入。 D的位置是服务器,一般只限于内网访问访问。 2 【正确答案】 (5)Ethemetl(6)59 74 221 254 【试题解析】 设备 AR2220的配置文件主要定义了内、外网接口,并且配置了内、外网络访问的策略,将内网地址转换成外网接口地址用于访问外部网络。有关命令解释如下。 (1)mle normal permit so
25、urce与 rule normal deny source any命令配合使用,表示源地址段以外的地址禁止通过。 (2)interface Ethernet0与 ip address配合使用,定义设备的接口地址,配置文件中定义了两个接口地址。 (3)nat outbound 2000 interface命令是在设备上启用了 NAT规则。 (4)ip route static是条静态路由命令,告诉路由器默认数据的下一跳地址。 3 【正确答案】 (7)C (8)A (9)E 【试题解析】 设备 USG3000的配置文件主要内容是配置内、外网访问策略。有关命令解释如下: (1)acl number
26、3000规则,允许 www、 ftp、 ftp-data等协议。 (2)acl number 2010规则,配置对 HTTP、 FTP协议指定 ASPF策略。 ASPF(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。包括dos(denial of service,拒绝服务 )的检测和防范。 java blocking(java阻断 )保护网络不受有害 java applets的破坏。 activex blocking(activex阻断 )保护网络不受有害active
27、x的破坏。 4 【正确答案】 (10)192 168 4 1 (11)192 168 100 0 (12)定义端口为 trunk 【试题解析】 RIP协议是动态路由选择协议,通过路由表的自动更新使 IP进行数据交换时获取正确的路径。 port linktype trunk定义接口类型, Trunk类型的端口可以允许 多个 VLAN通过,可以接收和发送多个 VLAN的报文,一般用于交换机之间连接的端口。 二、试题二( 15分) 5 【正确答案】 (1)1 99 (2)100 199 (3)源 IP地址 (4)源 IP地址 (5)目标 IP地址 (6)目标地址 (或出口 ) (7)源地址 (或入口
28、 ) 注: (4)、 (5)答案可互换 【试题解析】 本题考查使用访问控制列表实现访问控制的知识。 此类题目要求考生认真研读题目,并对相关基础知识有一定的掌握,并数序访问控制列表的基本配置方法和配置要求。 该问题考查访 问控制列表的基础知识及应用,包括 IP访问控制列表有标准访问控制列表和扩展访问控制列表。 标准访问控制列表有以下特点: 编号从 1 99,和 1300 1399: 依据 IP报文的源 IP地址对数据包进行过滤; 部署时应放置于靠近目的网络 (或者路由器出口 )的位置上; 扩展访问控制列表有以下特点: 编号从 100 199和 2000 2699; 依据 IP报文的源 IP地址、
29、目的 IP地址、上层协议、端口号和时间等信息对数 据报文进行过滤; 部署时应放置于靠近源地址 (或者路由器入口 )的位置上。 6 【正确答案】 (8)permit (9)172 16 40 0 (10)172 16 30 0 (11)fastethemet 0 1(或 f0 1) (12)out (13)8: 00 to 18: 00 (14)daily (15) 1 72 1 6 30 0 (16)172 16 20 0 (17)f0 5 【试题解析】 根据题干给出网络安全需求,访问控制列表的配置方法,以及给出的部分配置代码,是使用标准访问控制列表 access-1ist 1对财务服务器的访
30、问进行控制。允许办公区 (172 16 40 0)网段访问,并将 access 1ist 1应用在靠近目的端的 R1的 fastethemet 0 1接口的出口方向。 创建扩展访问控制列表 access-list 100来实现用户对于 Intemet的访问,并创建与题目要求相应的时间段,分别设置允许和拒绝的网段,并应用相应的时间段,将应用在 Route-Switch设备的 F0 5接口的出方向。 7 【正确答案】 (18)建立 jsq的 ACL映射表 (19)允许 jsq映射表的连接通过 (20)应用 outfilter规则到 fastethemet 0 1接口的出方向 【试题解析 】 该问题
31、要求考生理解自反访问控制列表的工作机制和配置方法。根据题干描述,家属区网络收到学生宿舍网络发出的 DdoS攻击报文,为了避免该现象,要求家属区网络可以访问学生宿舍网络,反之不可。该应用场景是自反访问控制列表的典型应用场景。根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表一 IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。 三、试题三( 15分) 8 【正确答案】 (1)192 168 0 1 (2) 192 168 0 130 (3)192 168 0 10到 102 168 0 15 (4)192 168 0 20 【试题解析】 本题考查
32、 Windows Server 2003配置 DHCP、 DNS和 WEB服务的知识。此类题目要求考生熟悉相关网络服务的配置界面以及参数设置的含义。 IP地址范围指地址池中所有地址,用起始地址和结束地址表示整个地址池。排除地址指的是 DHCP服务器对在地址池中不用于动态分配的地址,该地址在任何时候都不会被 DHCP服务器分配给客户机,排除地址常用于需要固定分配 IP的网关、服务器等。保留地址是指 DHCP服务器会将该地址 始终分配给特定客户端。 9 【正确答案】 (5)错 (6)对 (7)对 (8)错 (9)对 (10)错 【试题解析】 114 114 114 114与 8 8 8 8是互联网
33、中主要的 DNS服务器,本地域名服务器无法解析时可以转发到此类服务器上。 每个区域数据库文件都是由资源记录构成的,主要有 SOA记录、 NS记录、 A记录、 CNAME记录、 MX记录和 PTR记录等。本地域的资源记录应当包含在本地的 DNS服务器中。 客户机的 “首选 DNS服务器 ”地址一般选取性能稳定,解析速度快的 DNS服务器。 地址 192 168 101 6不包含在 DNS的反向搜索区域中,因此不支持对该地址的反向域名查找。 10 【正确答案】 (11)C (12)网卡绑定多个 IP地址 或同一 IP地址 +不同的端口号 (任选一个 ) 【试题解析】 通常情况下一个 IP地址和 8
34、0端口只能正确对应一一个网站,处理一个域名的访问请求。而 Web服务器在不使用多个 IP地址和端口的情况下,如果要支持多个相对独立的网站,就需要采用一种机制来分辨同一个 IP址上的不同网站的请求,即主机头绑定的方法。将不同的网站空间对应不同的域名,通过域名字段来分发和应答对应空间的文件 执行结果。 除了主机头绑定的方式以外,可以在一个网卡上绑定多个 IP地址,或者是采用相同 IP地址配合不同端口号实现多个域名的访问。 11 【正确答案】 (13)未安装驱动 (14)禁用 (15)数码设备,大容量硬盘, 1394扫描仪等。 (任选一个 ) 【试题解析】 Windows操作系统采用图形化界面,在设
35、备管理中,设备采用简洁、容易识别的图标显示,设备只有在安装正确的驱动程序后才能被系统所使用。当设备驱动未安装或者设备禁止使用时,在设备管理界面相应位置会以特定图标显示,提醒用户系统存在设备配置 问题。 IEEE 1394是一种串行数据传输协议,支持在运行的计算机上拔插设备。相对于同样是串行总线的 USB,传输带宽更高,可用于数码照相机或便携音频播放器,外接硬盘等高带宽应用。 四、试题四( 15分) 12 【正确答案】 (1)192 168 7 254 (2)202 111 1 5 (3)255 255 255 248 (4)range (5)inside (6)outside (7)0 0 1
36、5 255 (8)source (9)1 (10)SS (11)overload 【试题解 析】 本题考查交换机路由器的基本配置 NAT的配置方法方面的知识。 此类题目要求考生认真阅读题目要求,细致观察图中所示的拓扑结构和 IP地址,并熟练掌握交换机路由器的配置方法和配置命令。 在路由器 R1上创建相应的 NAPT地址池并将内部地址进行转换,由于使用的是动态地址转换,因此需要使用关键字 overload。 13 【正确答案】 (12)A(13)C 【试题解析】 根据题目给出的相关配置可知, Rl和 R2均无法 ping通 R3的局域网,表明在 Rl和 R2上不存在 R3局域网的路由条目,最可能的原因是在 R3上未宣告其局域网路由。 在 OSPF路由协议中,重分布默认路由的命令是在路由协议配置模式先使用defaultinformation originate命令。