網(wǎng)絡工程師第01套下午試題及解析

1、網(wǎng)絡工程師第01套 第 1 題 （共15分）閱讀以下說明，回答問題1至問題6，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】某公司在Windows Server 2003中安裝IIS6.0來配置Web服務器，域名為?！締栴}1】（2分）IIS安裝的硬盤分區(qū)最好選用NTFS格式，是因為（1）和（2）。A可以針對某個文件或文件夾給不同的用戶分配不同的權限B可以防止網(wǎng)頁中的Applet程序訪問硬盤中的文件C可以使用系統(tǒng)自帶的文件加密系統(tǒng)對文件或文件夾進行加密D可以在硬盤分區(qū)中建立虛擬目錄【問題2】（3分）為了禁止IP地址為3954的主機訪問該網(wǎng)站，在圖所示

2、的“IP地址和域名限制”對話框中點擊“添加”按鈕，增加兩條記錄，如表所示。填寫表中的（3）（5）處內(nèi)容?！締栴}3】（4分）實現(xiàn)保密通信的SSL協(xié)議工作在HTTP層和（6）層之間。SSL加密通道的建立過程如下：1首先客戶端與服務器建立連接，服務器把它的（7）發(fā)送給客戶端；2客戶端隨機生成（8），并用從服務器得到的公鑰對它進行加密，通過網(wǎng)絡傳送給服務器；3服務器使用（9）解密得到會話密鑰，這樣客戶端和服務器端就建立了安全通道。（6）（9）的備選答案如下：ATCP BIP CUDP D公鑰 E私鑰F對稱密鑰 G會話密鑰 H數(shù)字證書 I證書服務【問題4】（2分）在IIS中安裝SSL分5個步驟，這5個步

3、驟的正確排序是（10）。A配置身份驗證方式和SSL安全通道B證書頒發(fā)機構頒發(fā)證書C在IIS服務器上導入并安裝證書D從證書頒發(fā)機構下載證書文E生成證書請求文件【問題5】（2分）在安裝SSL時，在“身份驗證方法”對話框中應選用的登錄驗證方式是（11）。備選答案：A匿名身份驗證B基本身份驗證C集成Windows身份驗證D摘要式身份驗證ENet Passport身份驗證【問題6】（2分）如果用戶需要通過SSL安全通道訪問該網(wǎng)站，應該在IE的地址欄中輸入（12）。SSL默認偵聽的端口是（13）。 參考答案：【問題1】2分（1）A （2）C 【問題2】3分（3）40（4）255.

4、255.255.240（5）39【問題3】4分（6）A （7）H （8）G （9）E【問題4】2分（10）EBDCA【問題5】2分（11）B【問題6】2分（12） （13）443試題分析：為了確保IIS服務的安全，一個重要的前提是給它提供一個安全的系統(tǒng)，而在Windows服務器上的硬盤分區(qū)時，最好選用NTFS格式，這種格式可以針對某個文件或文件夾給不同的用戶分配不同的權限，并且可以使用系統(tǒng)自帶的文件加密系統(tǒng)對文件或文件夾進行加密。在IIS中，如果發(fā)現(xiàn)來自某個IP或某組IP地址的計算機試圖攻擊網(wǎng)站，用戶可以禁止這些IP地址中的計算機對子集的Web和FTP站點的訪問。為了

5、禁止IP地址為3954的主機訪問該網(wǎng)站，可以采用添加單個IP地址的形式加入限制訪問的地址列表中，也可以采用加子網(wǎng)掩碼的形式添加一組主機地址。在本題中，如果采用后一種方法，我們的子網(wǎng)掩碼應選40，那么39不在該網(wǎng)段里，還需要單獨添加該主機IP。SSL協(xié)議是安全套接層協(xié)議，有獨立的加密方案，在應用層和傳輸層之間提供安全的通信方式。IIS使用的是HTTP協(xié)議，傳輸過程是以明問的形式傳輸數(shù)據(jù)的，且沒有任何加密手段，傳輸過程很不安全，因此，需要給它安裝SSL安全機制，安裝的主要步驟如下：生成證書請求文

6、件；安裝證書服務；申請IIS網(wǎng)站證書；頒發(fā)IIS網(wǎng)站證書；導入IIS網(wǎng)站證書；配置IIS安全通信。由上個問題可以看出，導入證書后，還需進一步對IIS服務器進行配置。在配置的時候，在身份驗證方法對話框，我們需要選擇“基本身份驗證”復選框即可。使用安裝的SSL安全加密機制的Web站點，需要在使用URL資源定位器時需輸入https:/。SSL的默認端口是443。 第 2 題 閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應的解答欄內(nèi)?！菊f明】某網(wǎng)絡拓撲結構如圖A所示。在拓撲圖中有一臺Windows Server 2003系統(tǒng)搭建的DHCP服務器，其IP地址為。該服務器搭建

7、DHCP地址池如圖B所示。 圖A 網(wǎng)絡拓撲結構圖圖B DHCP服務器分配的地址范圍【問題1】（3分）DHCP允許服務器向客戶端動態(tài)分配IP地址和配置信息?？蛻舳丝梢詮腄HCP服務器獲得（1）。（1）A.DHCP服務器的地址 B.Web服務器的地址 C.FTP服務器的地址 D.默認網(wǎng)關的地址 【問題2】（4分）若防火墻的內(nèi)網(wǎng)接口IP是，則參照圖A和圖B，為圖C中配置相關信息。圖C 配置窗口起始IP地址：（2）；結束IP地址：（3）?！締栴}3】（2分）在DHCP服務器安裝完成后，DHCP控制臺如圖D所示。圖D DHCP控制臺配置DHCP服務器時需要進行備份，以備網(wǎng)絡出現(xiàn)故障時

8、能夠及時恢復。在圖D備份中，DHCP服務器配置信息正確的方法是（4）。（4）A.右鍵單擊“ruankao”服務器名，選擇“備份” B.右鍵單擊“作用域”，選擇“備份”C.右鍵單擊“作用域選項”，選擇“備份” D.右鍵單擊“服務器選項”，選擇“備份”【問題4】（2分）通常采用可以給dhcp客戶指定一些特殊的網(wǎng)絡設置信息，如DNS服務器等，右鍵單擊圖D中的（5）選項可進行IP地址與MAC地址的綁定設置。（5）A.地址池 B.地址預約 C.保留 D.作用域選項【問題5】（4分）Dhcp客戶端通過（6）方式向服務器發(fā)送請求，服務器將在UDP的（7）端口檢測是否有DHCP請求數(shù)據(jù)包的到來。（6）A.單播

9、 B.多播 C.任播 D.廣播（7）A.67 B.68 C.23 D.25 參考答案：【問題1】2分（1）D【問題2】4分（2） （3）【問題3】3分（4）A【問題4】2分（5）C【問題5】4分（6）D （7）A試題分析：【問題1】DHCP服務器除了可以為 DHCP 客戶機提供 IP 地址外，還可用設置 DHCP 客戶機啟動時的工作環(huán)境，如可用設置客戶機登錄的域名稱、DNS 服務器、WINS 服務器、路由器、默認網(wǎng)關等。在客戶機啟動或更新租約時，DHCP 服務器可用自動設置客戶機啟動后的TCP/IP 環(huán)境?！締栴}2】因、192.

10、168.0.2和分別分配給了兩臺服務器和防火墻，在設置作用域時，要將它們排除在作用域范圍之外。 因此范圍可以適當?shù)臄U大為-即可。 【問題3】在圖C、D備份中，DHCP服務器配置信息正確的方法是右鍵單擊“ruankao”服務器名，選擇“備份”。【問題4】右鍵單擊圖D中的作用域選項可設置客戶的dns服務器地址。單擊圖D中的保留選項可以設置網(wǎng)絡中客戶IP和mac地址的綁定【問題5】Dhcp客戶首次是用廣播想服務器發(fā)送信息，服務器檢測UDP的67號端口。 第 3 題 （共15分）閱讀以下關于Linux系統(tǒng)中域名系統(tǒng)（DNS）的說明，回答

11、問題1至問題4。 【說明】DNS是一種TCP/IP的標準服務，負責IP地址和域名之間的轉(zhuǎn)換。在Linux系統(tǒng)中，DNS可以由BIND（Berkeley Internet Name Domain）軟件來實現(xiàn)。 【問題1】（每空1.5分，共6分）請在（1）（4）空白處填寫適當?shù)膬?nèi)容。DNS服務器可以管理一個域，也可以管理多個域。域名服務器可以分為轉(zhuǎn)發(fā)域名服務器、緩存域名服務器、（1）和（2）等類型。將域名轉(zhuǎn)換為IP 地址的過程稱為（3），將IP地址轉(zhuǎn)換為域名的過程稱為（4）?！締栴}2】（每空2分，共4分）請選擇適當?shù)膬?nèi)容填寫在（5）、（6）空白處。管理員可以在命令行終端下，通過（5）命令啟動DNS

12、服務；通過（6）命令停止DNS服務。（5）、（6）備選答案： A./etc/init.d/named start B./etc/init.d/dns up C./etc/init.d/named stop D./etc/init.d/dns down 【問題3】（每空1分，共3分）請在（7）（9）處填寫恰當?shù)膬?nèi)容。在Linux系統(tǒng)中配置域名服務器，該服務器上文件named.conf的部分內(nèi)容如下： options directory /var/named; ; zone . type hint; file named.ca; zone localhost IN file localhost.z

13、one allow-updatenone; ; zone 0.0.127. type master; file named.local; ; zone type（_（7）_）; file ; ; zone 40.35.222. type master; file 40.35.222; ; include /etc/rndc.key; 填寫文件中空（7）處缺省的內(nèi)容。 該服務器是域 的主域名服務器，該域?qū)木W(wǎng)絡地址是（8），正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在（9）目錄中?！締栴}4】（共2分） 希賽公司內(nèi)部網(wǎng)的 DNS 服務器發(fā)生故障，如不改變客戶機原有設

14、置，該網(wǎng)用戶是否可以訪問網(wǎng)絡上的資源？如果可以，需要什么條件？如果不可以，請說明原因。 參考答案：【問題1】4分（1）主域名服務器 （2）輔助域名服務器 （3）正向解析 （4）反向解析【問題2】4分（5）A （6）C【問題3】3分（7）master （8） （9）/var/named 【問題4】4分可以，只需要知道被訪問端的IP地址即可。試題分析：【問題1】域名服務器可以分為：轉(zhuǎn)發(fā)域名服務器、緩存域名服務器、主域名服務器、輔助域名服務器。將域名轉(zhuǎn)換為IP 地址的過程稱為正向解析，將IP地址轉(zhuǎn)換為域名的過程稱為反向解析?！締栴}2】管理員可以在命令行終端下，通過/etc/in

15、it.d/named start命令啟動DNS服務；通過/etc/init.d/named stop命令停止DNS服務?！締栴}3】題目給出改服務器的域的主域名服務器因此（7）填寫master，表明為主域名服務器。由配置文件中的“zone 40.35.222. ”語句可以知道對應的IP地址為。由配置文件中的“directory /var/named; ”可以知道正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在/var/named目錄中?！締栴}4】如果僅僅是DNS服務器發(fā)生故障，那么仍然可以上網(wǎng)的。應該回答“可以”。只需要知道被訪問端的IP地址即可。 第 4 題 閱讀以下說

16、明，回答問題，將解答填入答題紙的對應解答欄內(nèi)?！菊f明】下圖是某單位的網(wǎng)絡拓撲圖，該單位有雙線路接入，并且兩個ISP是不同的運營商，閱讀圖后，回答下列問題?！締栴}1】兩個不同的ISP接入時，接入路由器是否需要和兩個ISP運行BGP路由協(xié)議，為什么？【問題2】為了實現(xiàn)將-54的流量從ISP1走，而-54的流量從ISP2走，則可以使用下面的策略路由來實現(xiàn)，下面給出部分配置，請補充完整。Route-map isp1 Permit 10match ip address (1)set interface fa1/0!

17、Route-map isp2 permit 10match ip address 12set interface fa2/0!ip classlessno ip http serveraccess-list 11 permit (2) (3)access-list (4) (5) (6)【問題3】當一個路由器上，既有動態(tài)路由、又有靜態(tài)路由和默認路由時，請根據(jù)三種不同的路由的特性和優(yōu)先級描述路由器的處理過程？ 參考答案：【問題1】4分不需要，因為ISP給普通的客戶提供接入服務的時候，通常只提供一個接入地址，也就是用戶的默認網(wǎng)關地址，用戶使用默認路由的方式接入，用戶也不知道該ISP內(nèi)部的地址分配。

18、當然ISP也不會告訴客戶自己的IP分配。所以用戶不需要和ISP的路由器啟用BGP協(xié)議。【問題2】6分此處考察的是基于源地址的策略路由，要求將不同的源地址用ACL分類，然后對應策略即可，這里要注意的一個問題是，要計算地址的聚合，并且了解反掩碼-54對應了5個不同的C，因此可以將其聚合到/21，掩碼就是，那么在寫ACL的反掩碼就是55了，第2個部分的計算同第一部分。所以答案如下：（1）11（2）（3）55（4）12 permit（5）（

19、6）55【問題3】5分通常的路由器對于有多種路由時，使用不同的路由優(yōu)先級的方式來覺得采用何種路由信息。首先檢查直連路由和靜態(tài)路由，接下來檢查動態(tài)路由，當在這些路由信息里都找不到該目的地的路由信息時，使用默認路由轉(zhuǎn)發(fā)。試題分析：【問題1】不需要，因為ISP給普通的客戶提供接入服務的時候，通常只提供一個接入地址，也就是用戶的默認網(wǎng)關地址，用戶使用默認路由的方式接入，用戶也不知道該ISP內(nèi)部的地址分配。當然ISP也不會告訴客戶自己的IP分配。所以用戶不需要和ISP的路由器啟用BGP協(xié)議?！締栴}2】此處考察的是基于源地址的策略路由，要求將不同的源地址用ACL分類，然后對應策略即可，這里要

20、注意的一個問題是，要計算地址的聚合，并且了解反掩碼-54對應了5個不同的C，因此可以將其聚合到/21，掩碼就是，那么在寫ACL的反掩碼就是55了，第2個部分的計算同第一部分。所以答案如下：（1）11（2）（3）55（4）12 permit（5）（6）55【問題3】通常的路由器對于有多種路由時，使用不同的路由優(yōu)先級的方式來覺得采用何種路由信息。首先檢查直連路由和靜態(tài)路由，接下來檢查動態(tài)路由，當在這些路由信息里都找不到該目

21、的地的路由信息時，使用默認路由轉(zhuǎn)發(fā)。 第 5 題 某企業(yè)網(wǎng)絡采用的Cisco PIX防火墻的網(wǎng)絡結構如圖11-3所示。在圖中，采用3級防火墻系統(tǒng)，PIX用做保壘主機，是系統(tǒng)的核心設備。網(wǎng)絡管理員配置PIX做了如下設置，請閱讀下列路由配置信息，并在【1】【5】處填寫該段語句的作用，每空4分。 nameif ethernet0 outside security 0 【1】nameif ethernet1 inside security 100interface ethernet0 autoinerface ethernet1 100full 【2】ip address outside 【3】 ip address inside global （outside）1 -