1、软件水平考试(中级)网络工程师下午(应用技术)试题模拟试卷 35及答案与解析 一、试题一( 15分) 0 阅读以下说明,回答问题 1至问题 5,将解答填入对应的解答栏内。 HFC(Hybird Fiber-coaxial cable,混合光纤同轴电缆网 )接入技术是以现有的有线电视网 (CATV)为基础,综合应用模拟和数字传输技术、射频技术和计算机技术所产生的一种宽带接入网技术。图 1-1所示的是 HFC网络系统结构。 1 图 1-1中 (1)、 (2)、 (3)空缺名称分别应填 (1)、 (2)、 (3)。 2 图 1-1中 处空缺的传输介质名称分别是 (4)、 (5)、 (6)。 3 在
2、HFC网络中从局端到用户端的数据传输过程中,语音信号、 (7)和 (8)送入合成器并形成混合信号,经光缆线路送到各小区的光纤节点,再经 (9)将其传送到各用户综合服务单元。 4 在本质上, HFC采用的技术是 _。 (10)备选答案: A时分复用 B码分复用 C频分复用 D波分复用 5 Cable Modem主要有 (11)、 (12)、加 /解密设备、网络接口卡和 (13)组成,最高上行速 率可达 (14)。 二、试题二( 15分) 5 阅读以下说明,回答问题 1 2,将解答填入对应栏内。 VPN是通过公用网络 Internet将分布在不同地点的终端联接而成的专用网络。目前大多采用 IPse
3、c实现 IP网络上端点间的认证和加密服务。 6 某公司的网络拓扑结构如图 2-1所示,采用 VPN来实现网络安全。请简要叙述从公司总部主机到分支机构主机通过 IPsec的通信过程。 7 某路由器的部分配置信息如下所示,请解释其中标有下划线部分的含义 (“/”后为注释内容 )。 *配置路由器信 息 version 12.0 hostname SecRouter boot system flash c1700-osy56i-mz 120-3-T3.bin /应用 IKE共享密钥进行认证 crypto isakmp policy 100 (1) hash md5 (2) /uauthenticati
4、on pre-share (3) /与远端 IP为 172.16.2.1的对等体的共享密钥为 “mcns” crypto isakmp key mcns address 172.16.2.1 (4) crypto ipsec transform-set l2 esp-des esp-md5-hmac (5) /配置加密图 /指定用 IKE来建立 IPSec安全关联,以保护由该加密图条目所指定的数据流 crypto map sharef 10 ipsec-isakmp (6) set peer 172.16.2.1 (7) set transform-set 12 (8) match addre
5、ss 151 /配置接口 interface serial0 ip address 172.16.1.1 255.255.255.252 ip access-group 101 in crypto map sharef (9) interface FastEthernet0 end 三、试题三( 15分) 7 阅读以下说明,回答问题 1到问题 5。将答案填入对应的解答栏内。 某企业采用Windows 2003操作系统部署企业虚拟专用网 (VPN),将企业的两个异地网络通过公共 Internet安全地互联起来。微软 Windows 2003操作系统当中对 IPSec具备完善的支持,图 3-1给出
6、了基于 Windows 2003系统部署 IPSec VPN的网络结构图。 8 IPSec工作 在 (1),它的两种工作模式是 (2)和 (3)。 (1)备选答案: A表示层 B会话层 C传输层 D网络层 9 图 3-2所示的是 “自定义安全措施设置 ”对话框。如果在 VPN中传输的非机密数据,仅需确保收到的数据在传输过程不被篡改,在图 3-2中我们只需选择 (4);如果在 VPN中传输的是机密数据,不仅需要保证数据在传输过程不被篡改,而且还需要对数据进行加密,在图 3-2中选择 (5)。 (4)(5)备选答案: A数据和地址不加密的完整性 (AH) B数据完整性和加密 (ESP) C生成新密
7、钥间隔 (G) D生成新密钥间隔 (R) 10 在 IKE执行密钥交换时 (建立主要模式 SA的阶段 ),通信双方需要验证对方的身份, Windows 2003中支持 (6)、 (7)和 (8)验证。 11 VPN中的数据加密所使用的方法有 DES和 3DES,其中 3DES是执行三次 DES算法,图 3-3所示的是 3DES加密过程。若用 E和 D分别表示执行加密和解密算法,则图 3-3方框中分别按顺序填写 (9)、 (10)和 (11)。 12 在整个 VPN通信中,主要有 (12)和 (13)两种 VPN通信方式, 而后者又包括“Intranet VPN(企业内联 VPN)”和 “Ext
8、ranet VPN(企业外联 VPN)”。 四、试题四( 15分) 12 阅读以下说明,回答问题 1 3,将答案填入对应的解答栏内。 某公司设置VPN服务器允许外地的公司员工通过 Internet连接到公司内部网络,如图 4-1所示。 13 VPN使用的隧道协议可以分为三层和二层两类隧道协议。其中三层隧道协议有(1)和 (2)协议。二层隧道协议有 (3)、 (4)和 (5)协议。 14 在由 L2TP构建的 VPN中,主要由 (6)和 (7)两种类 型的服务器构成。 15 VPN路由器配置如下,请解释画线部分含义: Vpdn-group 1 (8) Accept-dialin protocol
9、 12tp virtual-template 1 terminate-from hostname a801 (9) Local name keith Lcp renegotiation always (10) No 12tp tunnel authhentication 五、试题五( 15分) 15 阅读以下说明和交换机的配置信息,回答问题 1至问题 3,将解答填入对应栏内。 某公司下设三个部门,为了便于管理,每个部门组成一个 VLAN,公司网络结构如图 5-1所示。 16 阅读交换机 Switch1的部分配置信启,将 (1) (4)处空缺的内容填写在答题纸相应位置。 Switch1 en s
10、witch1#vlan database (设置 VLAN配置子模式 ) Switch1(vlan)# (1) (设置本交换机为 Server模式 ) Switch1(vlan)#vtp domain ABC (设置域名为 ABC) Switch1(vlan)# (2) (启动修剪功能 ) Switch1(vlan)# ( 创建 VLAN11 VLAN13,略 ) Switch1(vlan)#exit (退出 VLAN配置模式 ) Switch1#config t Switch1(config)#interface f0/9 Switch1(config-if)#switchport mode
11、 access Switch1(config-if)#switchport (3) (将端口 9配给 vlan11) Switch1(config)#interface f0/24 Switch1(config-if)#switchport mode trunk Switch1(config-if)#switchport (4) (设置封装协议为 isl) Switch1(config-if)#exit Switch1#copy run start 17 阅读路由器 Router的部分配置信息,解释 (5) (7)处的命令,将答案填写在答题纸上相应的位置。 Router(config)#int
12、erface fastEthernet1/0.1 Router(config-subif)#encapsulation isl 11 (5) Router(config-subif)#ip addreSs 192.168.1.1 255.255.255.240 (6) Router(config-subif)#exit Router(config)#interface fastEthernet1/0.2 Router(config-subif)#encapsulation isl 12 Router(config-subif)#ip address 192.168.1.33 255.255.2
13、55.224 Router(config-subif)#exit Router(config)#interface fastEthernet1/0.3 Router(config-subif)#encapsulation isl 13 Router(config-subif)#ip address 192.168.1.129 255.255.255.192 Router(config-subif)#exit Router(config)#ip routing (7) 18 填充 VLAN信息表 (表 5-1),将答案填写在答题纸相应位置。 软件水平考试(中级)网络工程师下午(应用技术)试题模拟
14、试卷 35答案与解析 一、试题一( 15分) 1 【正确答案】 (1)合成器 (2)分离器 (3)电缆调制解调器 (cable Modem) 【试题解析】 在 HFC网络中,既要传输电视信号,也要传输数字数据,因此在下行时需要合成器将它们合成,以便通过光纤和同轴电缆传送到用户端;在上行时,需要使用分离器。因此 (1)和 (2)分别为合成器和分离器。 HFC网的用户的端系统 主要是线缆调制解调器 (Cable Modem),它一般有两个接口,一个是用来连接室内墙上的有线电视端口,另一个是标准的 10BaseT以太网接口,同用户的计算机或局域网集线器相联。因此 (3)的设备是电缆调制解调器 (Ca
15、ble Modem)。 2 【正确答案】 (4)光缆 (5)同轴电缆 (6)双绞线 【试题解析】 HFC的含义是 Hybird Fiber-coaxial Cable,即混合光纤同轴电缆网,从 CATV前端中心到小区内的光 /电转换节点之间的传输介质是光纤,从小区内的光 /电转换节点到用户端使用的是同轴电缆;用户计算机与 Cable Modem的以太接口相连,使用的是双绞线。 3 【正确答案】 (7)电视信号 (8)数据信号 (9)同轴电缆网 4 【正确答案】 C 【试题解析】 HFC接入技术就是以现有的有线电视网 (CATV)为基础,由于同轴电缆的带宽很大,把某一频率范围作 为传输视频的下行
16、频段,用于传输视频信号;把另一频率范围作为传输上行数据,因此在本质上 HFC采用的是频分复用技术。下图是 HFCI网频率划分示例。 5 【正确答案】 (11)MODEM (12)调谐器 (13)以太网集线器 (14)10Mbps 【试题解析】 CM本身不单纯是调制解调器,它集 MODEM、调谐器、加 /解密设备、桥接器、网络接口卡、 SNMP代理和以太网集线器的功能于一身。 CM彻底解决了由于声音图像的传输而引起的阻塞,其速率已达 10Mb/s以上,下行速率更高。 二、试题二( 15分 ) 6 【正确答案】 操作过程可以分成 5个主要步骤: (1)IPSec过程启动 根据配置 IPSec对等体
17、 (公司总部主机和分支机构主机 )中的IPSec安全策略,指定要被加密的数据流,启动 IKE(Internet密钥交换 )过程; (2)IKE阶段 1在该连接阶段, IKE认证 IPSec对等体,协商 IKE安全关联(SA),并为协商 IPSec安全关联的参数建立一个安全传输道路; (3)IKE阶段 2IKE协商 IPSec的 SA参数,并在对等体中建立起与之匹配的IPSecSA; (4)数据传送 根据存储在 SA数据库中的 IPSec参数和密钥,在 IPSec对等体间传送数据: (5)IPSec隧道终止 通过删除或超时机制结束 IPSec SA。 7 【正确答案】 (1)创建标识为 “100
18、”的 IKE策略 (2)采用 md5 hashing算法 (3)采用预共享密钥认证方法 (4)与远端 IP为 172.16.2.1的对等体的共享密钥为 “mcns” (5)配置名为 12的交换集,指定 esp-des和 esp-md5-hmac两种变换 (6)分配给该加密图集的名称: sharef;序号: 10 (7)指定允许的 IPSec对等体的 IP地址为 172.16.2.1 (8)此加密图使用交换集 12 (9)此接口使用名为 sharef的加密图进行加密 【试题解析】 配置 IKE涉及到启用 IKE、创建 IKE策略、验证配置等,其步骤如下表所示。配置 IPSec则包括创建加密用访问
19、控制列表、定义变换集、刨建加密图条目、并将加密集应用到接口上去,如下表所示。 三、试题三( 15分) 8 【正确答案】 (1)D (2)、 (3)传输模式和隧道模式 【试题解析】 IPsec,即 IP安全,它是在 IP层来保证数据的安全性和完整性,因此它工作在网络层。 IPsec有两种工作模式:传输模式和隧道模式。在传输模式下, VPN服务器只对 IP数据报中 TCP/LIDP报文段部分进行加密和验证,而 IP报头仍采用原始明文 IP报头,只是做适当的修改;但在隧道模式下, VPN服务器会对整个 IP数据报进行加密和验证,即将原 IP数据报看做一个整体进行加密和验证,为了能在 Internet
20、正确传送, VPN服务器还需要重新生成 IP报头。 IPSec包括 AH与 ESP两个安全机制,其中 AH协议定义了认证的应用方法,提供数据源认证和完整性保证; ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。 9 【正确答案】 (4)A (5)B 【试题解析】 传输非机密数据只需要使用 AH安全机制,因此在图 3-2中只需选中 “数据和地址不加密的完整性 (AH)(A)”复选框,并选择合适的 “完整性算法 ”即可。对于机密数据,需要使用 ESP安全机制,因此可在图 3-2中选中 “数据完整性和加密 (ESP)(C)”,并选择合适的 “完整性算法 ”和 “加密算法 ”。 10 【正确
21、答案】 (6)Kerberos (7)数字证书 (8)预共享密钥 【试题解析】 在 IKE执行密钥交换时 (建立主要模式 SA的阶段 ),通信双方需要验证对方的身份, Windows 2003中支持 3种验证方法,即 Kerberos、数字证书和预共享密钥。 11 【正确答案】 (9)E (10)D (11)E 【试题解析】 三重 DES使用两个密钥,执行三次 DES算法,如下图所示,图中方框 E和 D分别表示执行加密和解密算法。 加密时是 E-D-E,解密时是 D-E-D,其密钥长度是 112位,这个长度对于商业用户已经足够了。加密时是 E-D-E而不使用 E-E-E的目的是,为了与现有 D
22、ES系统的向后兼容,当 K1=K2时,三重 DES的效果与现在 DES的效果完全一样。 12 【正确答案】 (12)远程访问 VPN (13)路由器到路由器 VPN 【试题解析】 在整个 VPN通信中,主要有两种 VPN通信方式,适用于两类不同用户选择使用,满足各方面用户与企业 VPN服务器进行通信的需求。这两利WPN通信方式就是俗称的 “远程访问 VPN”和 “路由器到路由器 VPN”,前者也称之为 “Access VPN”(远程访问 VPN),后者又包括 “Intranet VPN(企业内联 VPN)”和 “Extranet VPN(企业外联 VPN)”。前者是采用 Client-to-L
23、AN(客户端到局域网 )的模式,而后者所采用的是 LAN-to-LAN(局域网到局域网 )模式。前者适用于单机用户与企业 VPN服务器之间的 VPN通信连接,而后者适用于两个企业局域网VPN服务器之间的 VPN通信连接。 四、试题四( 15分) 13 【正确答案】 (1)GRE (2)IPSec (3)L2TP (4)PPTP (5)L2F协议 【试题解析】 构建 VPN的关键技术是网络隧道技术,它是指利用一种网络协议来传输另一种网络协议。常用的有两种类型的隧道协议:一种是二层隧道协议,如 PPTP(点对点隧道协议 )、 L2F(二层转发协议 )和 L2TP(二层隧道协议 )。另一种是三层隧道
24、协议,如 GRE、 IPSec。 14 【正确答案】 (6)LAC(L2TP访问集中器 ) (7)LNS(L2TP网络服务器 ) 【试题解析】 空 为 LAC(L2TP Access Concentrator或 L2TP访问集中器 ),它是附属在网络上的具有 PPP端系统和 L2TP协议处理能力的设备, LAC一般就是一个网络接入服务器,用于为用户提供网络接入服务;空 是 LNS(L2TP Network Server或 L2TPN络服务器 ),它是 PPP端系统上用于处理 L2TP协议服务器端部分的软件。 15 【正确答案】 (8)创建 VPDN组 1 (9)接受 L2TP通道连接请求,并根
25、据虚接口模板 1创建虚拟访问,接收远程主机为 a80-1的连接 (10)LCP再次协商处 【试题解析】 vpdn group命令的作用是创建一个 VPDN组并进入该 VPDN组配置模式, 1表示所创建 VPDN组的组号。第 (2)处, accept-dislin protocol 12tp命令的作用是指定接受呼叫时,通道对端的名称及使用 virtual-template号。 L2TP通道连接请求,并根据 vinual-template 1创建 virtual-access接口,远端主机为splac。第 (3)处, lcp renegotiation命令的作用是开启 LNS与 client之间重
26、新协商, always表示一直允许进行 LCP协商。 五、试题五( 15分) 16 【正确答案】 (1)vtp server (2)vtp pruning (3)access vlan 11 (4)trunk encapsulation isl 【试题解析】 主要是对 VTP的配置和端口工作模式的设置。配置交换机的 VTP模为 Server的命令是 “vtp server”;启动 VTP修剪功能的命令是 “vtp pruning”;将端口分配给某个 vlan的命令是 “switchport access vlan VLANID或 VLAN名称 ”;设置 trunk中数据帧的封装形式的命令是 “
27、switchport trunk encaps封装协议 ”。 17 【正确答案】 (5)设置子接口 fastEthernet1/0.1接收 VLAN 11的数据, trunk的数据封装协议 isl (6)配置子接口 fastEthemet1/0.1的 IP地址和子网掩码 (7)启动路由配置,如果无这条命令,将导致路由配置无效 【试题解析】 这部分的配置是使独臂路由器完成各 VLAN之间的数据转发。独臂路由器,是指只用一个接口模拟多个接口工作,来完成 VLAN之间的数据转发。实现方法是在一个接口中创建多个子接口,让各个子接 口只接收和发送某一VLAN的数据。 (5)和 (6)处就是设置子接口 f
28、astEthernet1/0.1接收哪一个 VLAN数据及数据封装协议,并指定该 VLAN的的默认网关和子网掩码。命令 “ip routing”的作用是启动路由配置,如果无这条命令,将导致路由配置无效。 18 【正确答案】 (8)192.168.1.2 192.168.1.14 (9)192.168.1.34 192.168.1.62 (10)192.168.1.130 192.168.1.190 【试题解析】 VLAN的 地址范围是由 vLAN的网关地址和子网掩码来决定,例如VLAN 11的默认网关是 192.168.1.1,子网掩码为 255.255.255.240,则其主机范围是 192.168.1.2 192.168.1.14。同样的道理,可以写出 VLAN12和 VLAN13的主机范围