杏花亭中級網(wǎng)絡(luò)工程師2006下半年下午試題教材

1、中級網(wǎng)絡(luò)工程師 2006下半年下午試題試題一 閱讀以下說明，回答問題 1至問題 4?！菊f明】 某學(xué)校計(jì)劃建立校園網(wǎng)，拓?fù)浣Y(jié)構(gòu)如圖 12-1 所示。該校園網(wǎng)分為核心、匯聚和接入三層，由交 換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊和服務(wù)器群四大部分構(gòu)成。1、【問題 1】 在校園網(wǎng)設(shè)計(jì)過程中，劃分了很多 VLAN，采用了 VTP來簡化管理。 1VTP信息只能在 (1) 端口上傳播。2運(yùn)行 VTP的交換機(jī)可以工作在三種模式：(2) 、 (3) 、 (4) 。3共享相同 VLAN數(shù)據(jù)庫的交換機(jī)構(gòu)成一個(gè)(5) 。2、【問題 2】 該校園網(wǎng)采用了異步撥號進(jìn)行遠(yuǎn)程訪問，異步封裝協(xié)議采用了 PPP協(xié)議。 1異步撥號

2、連接屬于遠(yuǎn)程訪問中的電路交換服務(wù)，遠(yuǎn)程訪問中另外兩種可選的服務(wù)類型是： (6) 和 (7) 。 2PPP提供了兩種可選的身份認(rèn)證方法，它們分別是(8) 和 (9) 。3、【問題 3】 該校園網(wǎng)內(nèi)交換機(jī)數(shù)量較多，交換機(jī)間鏈路復(fù)雜，為了防止出現(xiàn)環(huán)路，需要在各交換機(jī)上運(yùn)行 (10) 。4、【問題 4】 該校園網(wǎng)在安全設(shè)計(jì)上采用分層控制方案， 將整個(gè)網(wǎng)絡(luò)分為外部網(wǎng)絡(luò)傳輸控制層、 內(nèi)外網(wǎng)間訪 問控制層、 內(nèi)部網(wǎng)絡(luò)訪問控制層、 操作系統(tǒng)及應(yīng)用軟件層和數(shù)據(jù)存儲層， 對各層的安全采取不同的技 術(shù)措施。安全技術(shù)對應(yīng)層次(11)外部網(wǎng)絡(luò)傳輸控制層(12)內(nèi)外網(wǎng)間訪問控制層(13)內(nèi)部網(wǎng)絡(luò)訪問控制層(14)數(shù)據(jù)存儲

3、層(11) (14) 處備選答案：AIP 地址綁定B數(shù)據(jù)庫安全掃描C虛擬專用網(wǎng) (VPN)技術(shù)D防火墻試題二閱讀以下關(guān)于 Linux 網(wǎng)關(guān)安裝和配置過程的說明，回答問題 1至問題 5。 【說明】當(dāng)局域網(wǎng)中存在大量計(jì)算機(jī)時(shí)， 根據(jù)業(yè)務(wù)的不同，可以將網(wǎng)絡(luò)分成幾個(gè)相對獨(dú)立的子網(wǎng)。 圖12-2 是某公司子網(wǎng)劃分的示意圖， 整個(gè)網(wǎng)絡(luò)被均分為銷售部和技術(shù)部兩個(gè)子網(wǎng)， 子網(wǎng)之間通過一臺安裝了 Linux 操作系統(tǒng)的雙網(wǎng)卡計(jì)算機(jī)聯(lián)通。5、【問題 1】銷售部的網(wǎng)絡(luò)號是 (1) ，廣播地址是 (2) ：技術(shù)部的網(wǎng)絡(luò)號是 (3) ，廣播地 址是 (4) ；每個(gè)子網(wǎng)可用的 IP 地址有 (5) 個(gè)。6、【問題 2】L

4、inux 網(wǎng)關(guān)計(jì)算機(jī)有兩個(gè)網(wǎng)絡(luò)接口 (eth0 和eth1) ，每個(gè)接口與對應(yīng)的子網(wǎng)相連接。 該計(jì)算機(jī) /etc/sysconfig,/network文件清單為；NETWORKING=yesFORWARD_IPV4= ( 6)HOSTNAME=gateway.ABC.com/etc/sysconfig/network-scripts/ifcfg-eth0 文件清單為：DEVICE=eth0IPADDR=26NETMASK= (7) (以下略 )/etc/sysconfig/network-scripts/ifcfg-eth1 文件清單為：DEVICE=eth1IPADDR

5、=54NETMASK= (8) (以下略 )(6) 的備選答案：AyesBnoCrouteD gateway7、【問題 3】在網(wǎng)關(guān)計(jì)算機(jī) /etc/sysconfig/network-scripts/ 目錄中有以下文件，運(yùn)行某命令可以啟動網(wǎng) 絡(luò)，該命令是 (9) ，其命令行參數(shù)是 (10) 。ifcfg-eth0ifupifup-sitifcfg-loifup-aliasesifup-siifdownifup-cipcbifup-wirelessifdown-aliasesifup-ipppinit.Ipv6-globalifdown-cipcbifup-ipv6netw

6、ork-functionsifdown-ipppifup-ipxnetwork-functions-ipv6ifdown-ipv6ifup-isdnifdown-isdnifup-plipifdown-postifup-plusbifdown-pppifup-postifdown-sitifup-PPPifdown-slifup-routes8、【問題 4】在網(wǎng)關(guān)計(jì)算機(jī)上使用以下路由命令創(chuàng)建兩個(gè)默認(rèn)的路由：route add-net 28 (11)route add-net 2828 (12)9、【

7、問題 5】設(shè)置技術(shù)部和銷售部的主機(jī)網(wǎng)絡(luò)參數(shù)后， 如果兩個(gè)子網(wǎng)間的主機(jī)不能通信， 用 (13) 命令 來測試數(shù)據(jù)包是否能夠到達(dá)網(wǎng)關(guān)計(jì)算機(jī)。 如果數(shù)據(jù)包可以達(dá)到網(wǎng)關(guān)但是不能轉(zhuǎn)發(fā)到目標(biāo)計(jì)算機(jī)上， 則來確認(rèn)網(wǎng)關(guān)計(jì)算機(jī)的內(nèi)核是否支持 IP 轉(zhuǎn)發(fā)。如果不支CnslookupDrouteDno需要用命令 cat/proc/sys/net/ipv4/ip_forward 持，該命令輸出 (14) 。(13) 和(14) 備選答案如下：(13)A tracerouteBtracert(14)A 1B 0Cyes試題三 閱讀以下說明，回答問題 1至問題 5。【說明】 通過SNM可P以獲得網(wǎng)絡(luò)中各種設(shè)備的狀態(tài)信息，

8、 還能對網(wǎng)絡(luò)設(shè)備進(jìn)行控制。 在 Windows Server 2003中可以采用 IPSec來保護(hù) SNM通P信，配置管理站的操作步驟為：先創(chuàng)建篩選器，對輸入的分組進(jìn) 行篩選，然后創(chuàng)建 IPSec策略。10、【問題 1】 在“管理工具”中運(yùn)行“管理 IP篩選器列表”，創(chuàng)建一個(gè)名為“ SNM消P 息”的篩選器。在如圖12-3所示的“ IP篩選器向?qū)А敝兄付?IP通信的源地址，下拉列表框中應(yīng)選擇(1) ；在如圖 12-4中指定 IP通信的目標(biāo)地址，下拉列表框中應(yīng)選擇(2) 。圖12-3“到此端口”項(xiàng)的值(6) ，“到此端口圖12-4在圖 12-5所示的“選擇協(xié)議類型”下拉列表框中應(yīng)選擇(3)。對于

9、SNM協(xié)P議，在圖 12-6中設(shè)置“從此端口”項(xiàng)的值為(4)，為 (5) ：對于 SNMPT RAP協(xié)議，在圖 12-6中設(shè)置“從此端口”項(xiàng)的值為 項(xiàng)的值為 (7) 。圖12-5圖12-611、【問題 2】在創(chuàng)建 IPSec安全策略時(shí)，規(guī)則屬性窗口如圖 12-7所示。在“IP篩選器列表”中應(yīng)選擇(8)12、【問題 3】 在“新規(guī)則屬性”對話框中打開“篩選器操作”選項(xiàng)卡，選擇“ Permit ”，在圖 12-8中應(yīng)選 擇 (9) ，同時(shí)選中“接受不安全的通訊，但總是使用 IPSec響應(yīng)(C) ”和“使用會話密鑰完全向 前保密(PFS)(K) ”復(fù)選框。(9) 的備選答案：A許可B阻止C協(xié)商安全圖

10、12-8圖12-713、【問題 4】在圖12-9所示的密鑰交換設(shè)置對話框中， 選中“主密鑰完全向前保密 (PFS)(P) ”復(fù)選框，則“身 份驗(yàn)證和生成新密鑰間隔”默認(rèn)值為 480分鐘和 (10) 個(gè)會話。圖12-914、【問題 5】為保證SNM正P 常通信，被管理的其他計(jì)算機(jī)應(yīng)如何配置 ?試題四閱讀以下說明，回答問題 1至問題 6。【說明】某公司在 Windows Server 2003 中安裝 IIS 6.0 來配置 Web服務(wù)器，域名為 。15、【問題 1】IIS 安裝的硬盤分區(qū)最好選用 NTFS格式，是因?yàn)?1) 和 (2) 。A可以針對某個(gè)文件或文件夾給不同的用戶分配不同的權(quán)限 B可

11、以防止網(wǎng)頁中的 Applet 程序訪問硬盤中的文件 C可以使用系統(tǒng)自帶的文件加密系統(tǒng)對文件或文件夾進(jìn)行加密 D可以在硬盤分區(qū)中建立虛擬目錄16、【問題 2】為了禁止 IP地址為 39 54 的主機(jī)訪問該網(wǎng)站，在圖 12-10所示的 “IP地址和域名限制”對話框中單擊“添加”按鈕，增加兩條記錄，如表 12-1所示。填寫表 12-1中的(3) (5) 處內(nèi)容。圖12-10IP地址子網(wǎng)掩碼一組主機(jī)(3)(4)一臺主機(jī)(5)表12-117、【問題 3】實(shí)現(xiàn)保密通信的 SSL協(xié)議工作在 HTTP層和 (6)層之間。 SSL加密通道的建立過程如下：1首先

12、客戶端與服務(wù)器建立連接，服務(wù)器把它的 (7) 發(fā)送給客戶端； 2客戶端隨機(jī)生成(8) ，并用從服務(wù)器得到的公鑰對它進(jìn)行加密， 通過網(wǎng)絡(luò)傳送給服務(wù)器；3服務(wù)器使用 (9) 解密得到會話密鑰，這樣客戶端和服務(wù)器端就建立了安全通道。(6) (9) 的備選答案如下：ATCPBIPCUDPD公鑰E私鑰P對稱密鑰G會話密鑰H數(shù)字證書I 證書服務(wù)18、【問題 4】在IIS 中安裝SSL分5個(gè)步驟，這 5個(gè)步驟的正確排序是(10) 。A配置身份驗(yàn)證方式和 SSL安全通道 B證書頒發(fā)機(jī)構(gòu)頒發(fā)證書C在 IIS 服務(wù)器上導(dǎo)入并安裝證書D從證書頒發(fā)機(jī)構(gòu)導(dǎo)出證書文件E生成證書請求文件19、【問題 5】在安裝 SSL時(shí)，

13、在“身份驗(yàn)證方法”對話框中應(yīng)選用的登錄驗(yàn)證方式是(11) 。A匿名身份驗(yàn)證B基本身份驗(yàn)證C集成 Windows身份驗(yàn)證D摘要式身份驗(yàn)證ENet Passport 身份驗(yàn)證20、【問題 6】如果用戶需要通過 SSL安全通道訪問該網(wǎng)站，應(yīng)該在 IE 的地址欄中輸入(12)。 SSL默認(rèn)偵聽的端口是 (13) 。試題五 閱讀下面的說明，回答問題 1至問題 4?！菊f明】某企業(yè)園區(qū)網(wǎng)采用了三層架構(gòu)，按照需求，在網(wǎng)絡(luò)中需要設(shè)置 VLAN、快速端口、鏈路捆綁、 Internet 接入等功能。該園區(qū)網(wǎng)內(nèi)部分 VLAN和IP地址如表 12-2所示。表12-2VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明Vlan11

14、/2454管理VlanVlanl0Xsb/2454銷售部 VlanVlan20Scb/2454生產(chǎn)部 VlanVlan30Sjb/2454設(shè)計(jì)部 VlanVlan50Fwq/2454服務(wù)器 Vlan21、【問題 1】 某交換機(jī)的配置命令如下， 根據(jù)命令后面的注釋， 填寫 (1) (3) 處的空缺內(nèi)容， 完成配置命令。Switch (config) # (1) /

15、將交換機(jī)命名為 Sw1 Swl(config) # interface vlan 1Swl(config-if) # (2) / 設(shè)置交換機(jī)的 IP地址為 /24Swl(config-if) # no shutdownSwl(config) # (3)/ 設(shè)置交換機(jī)默認(rèn)網(wǎng)關(guān)地址22、【問題 2】在核心交換機(jī)中設(shè)置了各個(gè) VLAN，在交換機(jī) Sw1中將端口 120劃歸銷售部，請完成以下配置/ 進(jìn)入組配置狀態(tài)/ 設(shè)置端口工作在訪問 ( 接入) 模式 / 設(shè)置端口 120為VLAN 10的成員Swl(config) # interface range fastethernet0

16、/1-20Swl(config-if-range) #(4)Swl(config-if-range) #(5)23、【問題 3】 1在默認(rèn)情況下，交換機(jī)剛加電啟動時(shí)，每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階段，它們分別是： 阻塞、偵聽、 (6) 、 (7) 。2根據(jù)需求，需要將 Swl交換機(jī)的端口 1 20設(shè)置為快速端口，完成以下配置。Swl(config) # interface range fastethernet 0/1-20/ 進(jìn)入組配置狀態(tài)Swl(config-if-range) # (8) / 設(shè)置端口 120為快速端口24、【問題 4】該網(wǎng)絡(luò)的 Internet 接入如圖 12-11 所示

17、：根據(jù)圖12-11 ，解釋以下配置命令，填寫空格 (9) (12) ：123455 s0/0 f0/0Router(config) # interface s0/0 router(config-if) # ip address router(config) # ip route router(config) # ip route router(config) # access-list 100 deny any any eq telnet答案: 試題一1、(1)Tr

18、unk(2) VTP Server 或服務(wù)器模式(3) VTP CIient 或客戶端模式(4) VTP Transparent 或透明模式(2) ， (3) ，(4) 處答案次序任意(5) VTP管理域 解析 本問題考查的是 VTP的基本概念在VLAN間需要通信的時(shí)候， 可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換 機(jī)數(shù)量眾多時(shí)，可以使用 VLAN中繼協(xié)議 (Vlan Trunking Protocol ，VTP)簡化管理，它只需要在一臺 交換機(jī)上定義所有 VLAN，然后通過 VTP協(xié)議將 VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大 大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)

19、擔(dān)和工作強(qiáng)度。VTP(VLAN Trunk Protocol ，VLAN干道協(xié)議 )的功能與 GVR相P似，也是用來使 VLAN配置信息在 交換網(wǎng)內(nèi)其他交換機(jī)上進(jìn)行動態(tài)注冊的一種二層協(xié)議。在一臺VTP Server 上配置一個(gè)新的 VLAN信息，則該信息將自動傳播到本域內(nèi)的所有交換機(jī)， 從而減少在多臺設(shè)備上配置同一信息的工作量， 并且方 便了管理。 VTP信息只能在 Trunk 端口上傳播。任何一臺運(yùn)行 VTP的交換機(jī)可以工作在以下三種模式： VTP Server 、VTP CIient 及 VTP Transparent 。其中：(1) VTP Server 維護(hù)該VTP域中所有 VLAN信

20、息列表，可以增加、刪除或修改 VLAN(2) VTP CIient 也維護(hù)該 VTP域中所有 VLAN信息列表，但不能增加、刪除或修改 VLAN，任何變化 的信息必須從 VTP Server 發(fā)布的通告報(bào)文中接收；(3) VTP Transparent 不參與 VTP工作，它雖然忽略所有接收到的 VTP信息，但能夠?qū)⒔邮盏降?VTP 報(bào)文轉(zhuǎn)發(fā)出去，它只擁有本設(shè)備上的 VLAN信息；交換 VTP更新信息的所有交換機(jī)必須配置為相同的管理域。 如果所有的交換機(jī)都以中繼線相連， 那么只要在核心交換機(jī)上設(shè)置一個(gè)管理域， 網(wǎng)絡(luò)上所有的交換機(jī)都將加入該域， 這樣管理域里所有的 交換機(jī)就能夠了解彼此的 VLA

21、N列表。2、(6) 專線連接(7) 分組交換(6) ， (7) 處答案可以互換(8) 口令認(rèn)證協(xié)議 (Password Authentication Protocol，PAP)(9) 質(zhì)詢握手認(rèn)證協(xié)議 (Challenge Handshake Authentication Protocol，CHAP)(8) ， (9) 處答案可以互換 解析 本問題考查的是遠(yuǎn)程訪問和異步撥號連接的知識。遠(yuǎn)程訪問是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。 它可以為家庭辦公用戶和出差在外的員工提供移動 接入服務(wù)。遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型 提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。異

22、步撥號連接屬于電路交換類型的廣域網(wǎng)連接， 它是在傳統(tǒng)公共交換電話網(wǎng) (Public Switched Telephone Network，PSTN)上提供服務(wù)的。 傳統(tǒng)PSTN提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù) (Plan Old Telephone System，POTS。) 因?yàn)槟壳按嬖谥罅堪惭b好的電話線，所以這樣的環(huán)境是最容易滿足的。 因此，異步撥號連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如 HDLC、PPP等。其中， PPP除了提供身份認(rèn)證功能 外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁和回叫等，因此更具優(yōu)勢。PPP提供了兩種可

23、選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議 PAP(Password Authentication Protocol ，PAP)和質(zhì)詢 握手協(xié)議 (Challenge Handshake Authentication Protocol， CHAP。)PAP是一個(gè)簡單的、 實(shí)用的身份驗(yàn)證協(xié)議。 PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。 如 果認(rèn)證成功，在通信過程中不再進(jìn)行認(rèn)證；如果認(rèn)證失敗，則直接釋放鏈路。CHAP認(rèn)證比 PAP認(rèn)證更安全，因?yàn)?CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工 過的隨機(jī)序列，也被稱為“挑戰(zhàn)字符串”。同時(shí)，身份認(rèn)證可以隨時(shí)進(jìn)行，包括在雙方正常通信過程 中。因此，

24、非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時(shí)間內(nèi)失效。CHAP對端系統(tǒng)要求很高，因?yàn)樾枰啻芜M(jìn)行身份質(zhì)詢、響應(yīng)，要耗費(fèi)較多的CPU資源，因此只用在對安全要求很高的場合。 PAP雖然有著用戶名和密碼是明文發(fā)送的弱點(diǎn)，但是認(rèn)證只在鏈路建立初期進(jìn)行，因此節(jié)省 了寶貴的鏈路帶寬。3、(10) 生成樹協(xié)議 (Spanning Tree Protocol ，STP) 解析 本問題考查的是生成樹協(xié)議方面的知識。生成樹協(xié)議 (Spanning Tree) 定義在IEEE 802.1D中，是一種鏈路管理協(xié)議，它為網(wǎng)絡(luò)提供路徑 冗余的同時(shí)防止產(chǎn)生環(huán)路。為使以太網(wǎng)更好地工作，兩個(gè)工作站之間只能有一條活動

25、路徑。STP允許網(wǎng)橋之間相互通信以發(fā)現(xiàn)網(wǎng)絡(luò)物理環(huán)路。該協(xié)議定義了一種算法，網(wǎng)橋能夠使用它創(chuàng) 建無環(huán)路 (loop-free) 的邏輯拓樸結(jié)構(gòu)。 換句話說，STP創(chuàng)建了一個(gè)由無環(huán)路樹葉和樹枝構(gòu)成的樹結(jié)構(gòu)， 跨越了整個(gè)第二層網(wǎng)絡(luò)。生成樹協(xié)議操作對終端站透明， 也就是說， 終端站并不知道它們自己是否連接在單個(gè)局域網(wǎng)段 或多網(wǎng)段中。 當(dāng)有兩個(gè)網(wǎng)橋同時(shí)連接相同的計(jì)算機(jī)網(wǎng)段時(shí)， 生成樹協(xié)議可以允許兩網(wǎng)橋之間相互交換 信息，這樣只需要其中一個(gè)網(wǎng)橋來處理兩臺計(jì)算機(jī)之間傳輸?shù)男畔ⅰ?、(11)C 或虛擬專用網(wǎng) (VPN)技術(shù)(12) D 或防火墻(13) A 或IP地址綁定(14) B 或數(shù)據(jù)庫安全掃描 解析

26、在網(wǎng)絡(luò)安全方面， 可以采用分層控制方案， 將整個(gè)網(wǎng)絡(luò)分為外部網(wǎng)絡(luò)傳輸控制層、 內(nèi)外網(wǎng)間訪 問控制層、 內(nèi)部網(wǎng)絡(luò)訪問控制層、 操作系統(tǒng)及應(yīng)用軟件層和數(shù)據(jù)存儲層， 進(jìn)而對各層的安全采取不同 的技術(shù)措施。1外部網(wǎng)絡(luò)傳輸控制層外部網(wǎng)絡(luò)是指局域網(wǎng)路由器和防火墻之外的公用網(wǎng)。 當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展迅速， 因特網(wǎng)四通八達(dá)， 網(wǎng)上黑客手段多種多樣，為了保證安全，可以從以下方面采取措施：虛擬專網(wǎng)(VPN)技術(shù)；身份認(rèn)證技術(shù)；加密技術(shù)；物理隔離等。2內(nèi)外網(wǎng)間訪問控制層在內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)之間， 可以采用以下技術(shù)來對外部和內(nèi)部網(wǎng)絡(luò)間的訪問進(jìn)行控制： 防 火墻；防毒網(wǎng)關(guān)：網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)；代理服務(wù)及路由器；入侵檢測等。

27、3內(nèi)部網(wǎng)訪問控制層在局域網(wǎng)內(nèi)部， 非法用戶的登錄和對數(shù)據(jù)的非法修改更加不易查出。 當(dāng)用戶安全意識差、 口令 選擇或保存不慎、 賬號轉(zhuǎn)借和共享都會對網(wǎng)絡(luò)安全造成極大的威脅， 從內(nèi)部網(wǎng)訪問控制層進(jìn)行安全防 護(hù)，可采取以下措施：用戶的身份認(rèn)證；權(quán)限控制；加密技術(shù)；客戶端安全防護(hù)等。4數(shù)據(jù)存儲層數(shù)據(jù)存儲在服務(wù)器或加密終端上， 數(shù)據(jù)存儲的安全性是系統(tǒng)安全性的重要組成部分。 對數(shù)據(jù)的 安全保護(hù)措施可以采用以下幾種方式：使用較安全的數(shù)據(jù)庫系統(tǒng)；加密技術(shù)：數(shù)據(jù)庫安全掃描；存儲 介質(zhì)的安全等。試題二5、(1)(2) 27(3) 28(4) 192

28、.168.1.255(5) 126 解析 本題中圖示的網(wǎng)絡(luò)由一臺雙網(wǎng)卡的網(wǎng)關(guān)計(jì)算機(jī)均分成了兩個(gè)子網(wǎng)，分別屬于銷售部和技術(shù)部， 同部門的網(wǎng)絡(luò)通信分別在各自的子網(wǎng)中進(jìn)行， 不同部門用戶間的通信將由網(wǎng)關(guān)計(jì)算機(jī)進(jìn)行轉(zhuǎn)發(fā)， 這樣 不再是所有的用戶都在一個(gè)相同的、大型的網(wǎng)絡(luò)上，子網(wǎng)劃分的結(jié)果是提高了網(wǎng)絡(luò)的速度。整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)號是 ，是一個(gè) C類網(wǎng)絡(luò)，子網(wǎng)掩碼是 11111111.11111111.11111111.00000000( 十進(jìn)制表示為 ) ，即網(wǎng)絡(luò)地址的前 3個(gè)字節(jié)的 每一位設(shè)置為 1，剩余的(主機(jī)地址)位設(shè)置為 0。當(dāng)把剩余的表示主機(jī)地址的字

29、節(jié)最高位設(shè)置為 1時(shí)(即 該位參與子網(wǎng)絡(luò)的定義 ) ，網(wǎng)絡(luò)就被均分成了兩個(gè)子網(wǎng)，此時(shí)子網(wǎng)掩碼為 11111111.11111111.11111111.10000000 ，用十進(jìn)制表示為 28 。子網(wǎng)網(wǎng)絡(luò)號可以用子網(wǎng) IP 地址與子網(wǎng)掩碼進(jìn)行逐位 AND運(yùn)算得到。銷售部子網(wǎng)號： ( 或26)AND 28 等于 ：技術(shù)部子網(wǎng)號： 29( 或 54)AND 28 等于 28對于銷售部子網(wǎng)而言

30、， 主機(jī)號是 0的地址() 是子網(wǎng)地址， 不能分配給主機(jī)， 主機(jī)位 全為1的地址 (27) 是子網(wǎng)廣播地址，保留，也不能分配給主機(jī)；對于技術(shù)部子網(wǎng)而言，主 機(jī)號是0的地址(28) 是子網(wǎng)地址，不能分配給主機(jī)， 主機(jī)位全為 1的地址(55) 是子網(wǎng)廣播地址， 保留，也不能分配給主機(jī)。 因此這兩個(gè)子網(wǎng)的可用 IP地址是 126個(gè)(128減去 2個(gè)保留 地址)。6、(6)A 或yes(7) 28(8) 28 解析 Linux 計(jì)算機(jī)中， /etc/sysconf

31、ig/network 可配置文件定義了該計(jì)算機(jī)網(wǎng)絡(luò)的基本屬性，包括 網(wǎng)絡(luò)是否可用，是否允許 IP包轉(zhuǎn)發(fā)，主機(jī)域名，網(wǎng)關(guān)地址，網(wǎng)關(guān)設(shè)備名等。由于這臺 Linux 計(jì)算機(jī)用 于整個(gè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)關(guān)，兩個(gè)子網(wǎng)間的 IP通信需要該計(jì)算機(jī)進(jìn)行轉(zhuǎn)發(fā)，因此文件中的 FORWARD IPV4 應(yīng)設(shè)置為“ =”yes，就本題而言，即支持 IP包在兩個(gè)網(wǎng)卡設(shè)備間轉(zhuǎn)發(fā)。如果要將 IP 包轉(zhuǎn)發(fā)關(guān)閉， FORWARD_IP應(yīng)V4設(shè)置為“ =”no。網(wǎng)絡(luò)接口文件 /etc/sysconfig/network-scripts/ifcfg-ethO 定義了網(wǎng)絡(luò)設(shè)備 ethO的屬性，由 題目圖示可知， 該網(wǎng)絡(luò)設(shè)備屬于銷售部子網(wǎng)，

32、 網(wǎng)絡(luò)掩碼為 28 ，即文件中的 NETMAS應(yīng)K設(shè) 置為“ =”28 ：同樣網(wǎng)絡(luò)接口文件 /etc/sysconfig/network-scripts/ifcfg-eth1 中的NETMAS應(yīng)K設(shè)置為“ =” 28 。7、(9)ifup(10) 網(wǎng)絡(luò)接口 ( 或設(shè)備 )名稱( 或eth0或eth1) 解析 在 /etc/sysconfig/network-scripts目錄中有許多腳本文件用于基本網(wǎng)絡(luò)管理， 包括啟動網(wǎng)絡(luò)設(shè)備、停止網(wǎng)絡(luò)設(shè)備運(yùn)行等。常用的兩個(gè)腳本命令是 ifup 和ifdown ，前者是啟動網(wǎng)絡(luò)設(shè)備運(yùn)

33、行，后者 是停止網(wǎng)絡(luò)設(shè)備運(yùn)行，腳本以設(shè)備名為參數(shù)，設(shè)備名為 eth0 、eth1等。(12)eth1 解析 當(dāng)正確地配置了 /etc/sysconfig/network8、(11)eth0文件、/etc/sysconfig/network-scripts/ifcfg-ethO /etc/sysconfig/network-scripts/ifcfg-eth1 eth1 設(shè)備后，還需要在網(wǎng)關(guān)計(jì)算機(jī)上使用route add-net route add-net 28文件和文件，并成功運(yùn)行 ifup 腳本命令啟動了 ethO設(shè)備和 route 命令分別為兩個(gè)

34、子網(wǎng)創(chuàng)建兩個(gè)默認(rèn)路由： 28 eth0 ，銷售部子網(wǎng)通過 eht0 轉(zhuǎn)發(fā)； 28 eth1 ，技術(shù)部子網(wǎng)通過 eht1 轉(zhuǎn)發(fā)。上面的路由命令確保把指定的網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包通過指定的接口設(shè)備進(jìn)行傳輸。9、(13)A 或traceroute(14)B 或0 解析 兩個(gè)子網(wǎng)間的主機(jī)要能夠正常通信， 首先應(yīng)該正確設(shè)置技術(shù)部和銷售部的主機(jī)網(wǎng)絡(luò)參數(shù)， 比如 銷售部的主機(jī)的網(wǎng)關(guān)地址應(yīng)設(shè)置為 26 ，技術(shù)部的主機(jī)的網(wǎng)關(guān)地址應(yīng)設(shè)置為 54 。進(jìn)行連通性測試常用的命令是 ping ，當(dāng)發(fā)現(xiàn)兩個(gè)子網(wǎng)間的主機(jī) ping 失敗

35、時(shí)，可以在 網(wǎng)關(guān)計(jì)算機(jī)上使用 traceroute 命令來確定數(shù)據(jù)包是否能夠達(dá)到網(wǎng)關(guān)的另一端。 如果 traceroute 顯示數(shù) 據(jù)可以到達(dá)網(wǎng)關(guān)但是不能轉(zhuǎn)發(fā)到目標(biāo)計(jì)算機(jī)上， 問題就出現(xiàn)在網(wǎng)關(guān)上。 應(yīng)該保證 IP 轉(zhuǎn)發(fā)在網(wǎng)關(guān)計(jì)算機(jī) 上是允許的， 在網(wǎng)關(guān)計(jì)算機(jī)上運(yùn)行 cat/proc/sys/net/ipv4/ip_forward，查詢內(nèi)核的 IP轉(zhuǎn)發(fā)參數(shù)， 如果返回的是 0，說明 IP轉(zhuǎn)發(fā)在內(nèi)核中是禁止的，此時(shí)需要重新編譯內(nèi)核，使內(nèi)核支持 IP轉(zhuǎn)發(fā)，即 cat/proc/sys/net/ipv4/ ip_forward的返回為 1。試題三10、(1) 任何 IP地址(2) 我的 IP地址(3)

36、 UDP(4) 161(5) 161(6) 162(7) 162 解析 管理站對輸入的 SNM消P息進(jìn)行篩選時(shí)，目的地址為本機(jī)地址， 源地址為本站管理的任意 IP地址， 因此 (1) 應(yīng)填入“任何 IP地址”， (2) 應(yīng)填入“我的 IP地址”。采用SNM進(jìn)P行網(wǎng)絡(luò)管理時(shí)，傳輸層采用 UDP，故(3) 應(yīng)填入“ UDP”。 由于SNM協(xié)P議默認(rèn)端口為 161，故(4) 、(5) 依次應(yīng)填入 161、161；SNMPT RAP協(xié)議默認(rèn)端口為 162， 故 (6) 、(7) 依次應(yīng)填入 162、162。11、(8)SNMP消息 解析 由于創(chuàng)建的篩選器名為“ SNM消P息”，因此應(yīng)針對該篩選器創(chuàng)建

37、IPSec安全策略，故 (8) 應(yīng)選擇 “SNM消P 息”。12、(9)C 或協(xié)商安全 解析 管理站和被管站之間應(yīng)采用協(xié)商方式進(jìn)行安全通信，因此 (9) 應(yīng)填入“協(xié)商安全”或選擇 B。13、(10)1 解析 主密鑰完全向前保密 (PFS)，每次都強(qiáng)制使用新“材料”重新生成密鑰。若選中“主密鑰完全 向前保密 (PFS)”復(fù)選框，則“身份驗(yàn)證和生成新密鑰間隔”默認(rèn)值為 480分鐘和 1個(gè)會話。因此(10) 應(yīng)填入“ 1”。14、其他計(jì)算機(jī)上必須配置相應(yīng)的 IPSec安全策略。 解析 為保證SNM正P 常通信，被管理的其他計(jì)算機(jī)上必須配置相應(yīng)的 IPSec安全策略，否則無法保障 安全。試題四15、(

38、1)A(2)C 解析 為了確保 IIS 服務(wù)的安全，一個(gè)重要的前提就是讓它落地在安全的系統(tǒng)上。在Windows服務(wù)器上安裝IIS 最好選用 NTFS分區(qū)格式。因?yàn)樵?NTFS格式下，可以針對某個(gè)文件或文件夾給不同的用戶分 配不同的權(quán)限，并且可以使用系統(tǒng)自帶的加密文件系統(tǒng) EFS對文件夾或文件進(jìn)行加密。16、(3)40 至54 均可(4) 40(5) 39 解析 在IIS 中，如果發(fā)現(xiàn)來自某一 IP的計(jì)算機(jī)總是試圖攻擊網(wǎng)站， 就可以使用 “IP地址及域名限制” 來禁止其訪問。 通過IP地址及其

39、域名限制， 用戶可以禁止某些特定的計(jì)算機(jī)或某個(gè)地址段中的計(jì)算機(jī) 對子集的 Web和FTP站點(diǎn)的訪問。 當(dāng)有大量的攻擊和破壞來自于某些地址或某個(gè)子網(wǎng)時(shí)， 使用這種限制 機(jī)制是非常有用的。為了禁止 IP地址為 39 54 的主機(jī)訪問該網(wǎng)站，可以將這個(gè)地址段 中的所有 IP地址以單個(gè)主機(jī)的形式加入限制訪問的地址列表中， 也可以以 IP地址加子網(wǎng)掩碼的形式添 加一組主機(jī)地址。這里如果采用子網(wǎng)掩碼，那么 39 不在該網(wǎng)段，還需要單獨(dú)添加該主 機(jī)IP。17、(6)A ； (7)H； (8)G； (9)E 解析 本問題考查的是 S

40、SL安全加密機(jī)制的基礎(chǔ)知識。 SSL是一個(gè)協(xié)議獨(dú)立的加密方案， 在網(wǎng)絡(luò)信息包 的應(yīng)用層和傳輸層之間提供了安全的通道。18、(10)EBDCA 解析 IIS 使用的是 HTTP協(xié)議，以明文的形式傳輸數(shù)據(jù)，沒有采用任何加密手段，傳輸?shù)闹匾獢?shù)據(jù)容 易被竊取。如果建立了 SSL安全機(jī)制，只有 SSL允許的客戶才能與 SSL允許的 Web站點(diǎn)進(jìn)行通信。在Windows Server 2003 中，為IIS 安裝SSL安全加密機(jī)制需要以下步驟：(1) 生成證書請求文件；(2) 安裝證書服務(wù)；(3) 申請 IIS 網(wǎng)站證書；(4) 頒發(fā) IIS 網(wǎng)站證書；(5) 導(dǎo)入 IIS 網(wǎng)站證書：(6) 配置 IIS

41、 安全通信。19、(11)B 解析 導(dǎo)入證書后， IIS 并沒有啟用 SSL安全加密功能，需要進(jìn)一步對 IIS 服務(wù)器進(jìn)行配置。在“目錄 安全性”選項(xiàng)卡中單擊“安全通信”中的“編輯”按鈕，彈出“安全通信”對話框，從中選擇“要求 安全通道 (SSL)”和“要求 128位加密”。接著單擊“身份驗(yàn)證和訪問控制” 的“編輯”按鈕，彈出“身 份驗(yàn)證方法”對話框，取消選中“啟用匿名訪問”和“集成Windwos身份驗(yàn)證”復(fù)選框，只選中“基本身份驗(yàn)證”復(fù)選框即可。20、(12);(13)443 解析 使用安裝的 SSL安全加密機(jī)制的 Web站點(diǎn)，需要在使用 URL資源定位器時(shí)要輸入 https:/ 。 試題五21、(1)hostname sw1(2)ip address (3) ip default-gateway54 解析 本問題考查的是交換機(jī)的基本配置命令， 包括設(shè)置交換機(jī)的名稱， 配置交換機(jī)的 IP 地址和默認(rèn) 網(wǎng)關(guān)。參照題目要求，該交換機(jī)的名稱為 Sw1，