網(wǎng)絡(luò)工程師第01套下午試題及解析

1、網(wǎng)絡(luò)工程師第01套 第 1 題 （共15分）閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題6，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。【說(shuō)明】某公司在Windows Server 2003中安裝IIS6.0來(lái)配置Web服務(wù)器，域名為?！締?wèn)題1】（2分）IIS安裝的硬盤(pán)分區(qū)最好選用NTFS格式，是因?yàn)椋?）和（2）。A可以針對(duì)某個(gè)文件或文件夾給不同的用戶分配不同的權(quán)限B可以防止網(wǎng)頁(yè)中的Applet程序訪問(wèn)硬盤(pán)中的文件C可以使用系統(tǒng)自帶的文件加密系統(tǒng)對(duì)文件或文件夾進(jìn)行加密D可以在硬盤(pán)分區(qū)中建立虛擬目錄【問(wèn)題2】（3分）為了禁止IP地址為3954的主機(jī)訪問(wèn)該網(wǎng)站，在圖所示

2、的“IP地址和域名限制”對(duì)話框中點(diǎn)擊“添加”按鈕，增加兩條記錄，如表所示。填寫(xiě)表中的（3）（5）處內(nèi)容?！締?wèn)題3】（4分）實(shí)現(xiàn)保密通信的SSL協(xié)議工作在HTTP層和（6）層之間。SSL加密通道的建立過(guò)程如下：1首先客戶端與服務(wù)器建立連接，服務(wù)器把它的（7）發(fā)送給客戶端；2客戶端隨機(jī)生成（8），并用從服務(wù)器得到的公鑰對(duì)它進(jìn)行加密，通過(guò)網(wǎng)絡(luò)傳送給服務(wù)器；3服務(wù)器使用（9）解密得到會(huì)話密鑰，這樣客戶端和服務(wù)器端就建立了安全通道。（6）（9）的備選答案如下：ATCP BIP CUDP D公鑰 E私鑰F對(duì)稱密鑰 G會(huì)話密鑰 H數(shù)字證書(shū) I證書(shū)服務(wù)【問(wèn)題4】（2分）在IIS中安裝SSL分5個(gè)步驟，這5個(gè)步

3、驟的正確排序是（10）。A配置身份驗(yàn)證方式和SSL安全通道B證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)證書(shū)C在IIS服務(wù)器上導(dǎo)入并安裝證書(shū)D從證書(shū)頒發(fā)機(jī)構(gòu)下載證書(shū)文E生成證書(shū)請(qǐng)求文件【問(wèn)題5】（2分）在安裝SSL時(shí)，在“身份驗(yàn)證方法”對(duì)話框中應(yīng)選用的登錄驗(yàn)證方式是（11）。備選答案：A匿名身份驗(yàn)證B基本身份驗(yàn)證C集成Windows身份驗(yàn)證D摘要式身份驗(yàn)證ENet Passport身份驗(yàn)證【問(wèn)題6】（2分）如果用戶需要通過(guò)SSL安全通道訪問(wèn)該網(wǎng)站，應(yīng)該在IE的地址欄中輸入（12）。SSL默認(rèn)偵聽(tīng)的端口是（13）。 參考答案：【問(wèn)題1】2分（1）A （2）C 【問(wèn)題2】3分（3）40（4）255.

4、255.255.240（5）39【問(wèn)題3】4分（6）A （7）H （8）G （9）E【問(wèn)題4】2分（10）EBDCA【問(wèn)題5】2分（11）B【問(wèn)題6】2分（12） （13）443試題分析：為了確保IIS服務(wù)的安全，一個(gè)重要的前提是給它提供一個(gè)安全的系統(tǒng)，而在Windows服務(wù)器上的硬盤(pán)分區(qū)時(shí)，最好選用NTFS格式，這種格式可以針對(duì)某個(gè)文件或文件夾給不同的用戶分配不同的權(quán)限，并且可以使用系統(tǒng)自帶的文件加密系統(tǒng)對(duì)文件或文件夾進(jìn)行加密。在IIS中，如果發(fā)現(xiàn)來(lái)自某個(gè)IP或某組IP地址的計(jì)算機(jī)試圖攻擊網(wǎng)站，用戶可以禁止這些IP地址中的計(jì)算機(jī)對(duì)子集的Web和FTP站點(diǎn)的訪問(wèn)。為了

5、禁止IP地址為3954的主機(jī)訪問(wèn)該網(wǎng)站，可以采用添加單個(gè)IP地址的形式加入限制訪問(wèn)的地址列表中，也可以采用加子網(wǎng)掩碼的形式添加一組主機(jī)地址。在本題中，如果采用后一種方法，我們的子網(wǎng)掩碼應(yīng)選40，那么39不在該網(wǎng)段里，還需要單獨(dú)添加該主機(jī)IP。SSL協(xié)議是安全套接層協(xié)議，有獨(dú)立的加密方案，在應(yīng)用層和傳輸層之間提供安全的通信方式。IIS使用的是HTTP協(xié)議，傳輸過(guò)程是以明問(wèn)的形式傳輸數(shù)據(jù)的，且沒(méi)有任何加密手段，傳輸過(guò)程很不安全，因此，需要給它安裝SSL安全機(jī)制，安裝的主要步驟如下：生成證書(shū)請(qǐng)求文

6、件；安裝證書(shū)服務(wù)；申請(qǐng)IIS網(wǎng)站證書(shū)；頒發(fā)IIS網(wǎng)站證書(shū)；導(dǎo)入IIS網(wǎng)站證書(shū)；配置IIS安全通信。由上個(gè)問(wèn)題可以看出，導(dǎo)入證書(shū)后，還需進(jìn)一步對(duì)IIS服務(wù)器進(jìn)行配置。在配置的時(shí)候，在身份驗(yàn)證方法對(duì)話框，我們需要選擇“基本身份驗(yàn)證”復(fù)選框即可。使用安裝的SSL安全加密機(jī)制的Web站點(diǎn)，需要在使用URL資源定位器時(shí)需輸入https:/。SSL的默認(rèn)端口是443。 第 2 題 閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題5，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)?！菊f(shuō)明】某網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖A所示。在拓?fù)鋱D中有一臺(tái)Windows Server 2003系統(tǒng)搭建的DHCP服務(wù)器，其IP地址為。該服務(wù)器搭建

7、DHCP地址池如圖B所示。 圖A 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖圖B DHCP服務(wù)器分配的地址范圍【問(wèn)題1】（3分）DHCP允許服務(wù)器向客戶端動(dòng)態(tài)分配IP地址和配置信息?？蛻舳丝梢詮腄HCP服務(wù)器獲得（1）。（1）A.DHCP服務(wù)器的地址 B.Web服務(wù)器的地址 C.FTP服務(wù)器的地址 D.默認(rèn)網(wǎng)關(guān)的地址 【問(wèn)題2】（4分）若防火墻的內(nèi)網(wǎng)接口IP是，則參照?qǐng)DA和圖B，為圖C中配置相關(guān)信息。圖C 配置窗口起始IP地址：（2）；結(jié)束IP地址：（3）?！締?wèn)題3】（2分）在DHCP服務(wù)器安裝完成后，DHCP控制臺(tái)如圖D所示。圖D DHCP控制臺(tái)配置DHCP服務(wù)器時(shí)需要進(jìn)行備份，以備網(wǎng)絡(luò)出現(xiàn)故障時(shí)

8、能夠及時(shí)恢復(fù)。在圖D備份中，DHCP服務(wù)器配置信息正確的方法是（4）。（4）A.右鍵單擊“ruankao”服務(wù)器名，選擇“備份” B.右鍵單擊“作用域”，選擇“備份”C.右鍵單擊“作用域選項(xiàng)”，選擇“備份” D.右鍵單擊“服務(wù)器選項(xiàng)”，選擇“備份”【問(wèn)題4】（2分）通常采用可以給dhcp客戶指定一些特殊的網(wǎng)絡(luò)設(shè)置信息，如DNS服務(wù)器等，右鍵單擊圖D中的（5）選項(xiàng)可進(jìn)行IP地址與MAC地址的綁定設(shè)置。（5）A.地址池 B.地址預(yù)約 C.保留 D.作用域選項(xiàng)【問(wèn)題5】（4分）Dhcp客戶端通過(guò)（6）方式向服務(wù)器發(fā)送請(qǐng)求，服務(wù)器將在UDP的（7）端口檢測(cè)是否有DHCP請(qǐng)求數(shù)據(jù)包的到來(lái)。（6）A.單播

9、 B.多播 C.任播 D.廣播（7）A.67 B.68 C.23 D.25 參考答案：【問(wèn)題1】2分（1）D【問(wèn)題2】4分（2） （3）【問(wèn)題3】3分（4）A【問(wèn)題4】2分（5）C【問(wèn)題5】4分（6）D （7）A試題分析：【問(wèn)題1】DHCP服務(wù)器除了可以為 DHCP 客戶機(jī)提供 IP 地址外，還可用設(shè)置 DHCP 客戶機(jī)啟動(dòng)時(shí)的工作環(huán)境，如可用設(shè)置客戶機(jī)登錄的域名稱、DNS 服務(wù)器、WINS 服務(wù)器、路由器、默認(rèn)網(wǎng)關(guān)等。在客戶機(jī)啟動(dòng)或更新租約時(shí)，DHCP 服務(wù)器可用自動(dòng)設(shè)置客戶機(jī)啟動(dòng)后的TCP/IP 環(huán)境?！締?wèn)題2】因、192.

10、168.0.2和分別分配給了兩臺(tái)服務(wù)器和防火墻，在設(shè)置作用域時(shí)，要將它們排除在作用域范圍之外。 因此范圍可以適當(dāng)?shù)臄U(kuò)大為-即可。 【問(wèn)題3】在圖C、D備份中，DHCP服務(wù)器配置信息正確的方法是右鍵單擊“ruankao”服務(wù)器名，選擇“備份”。【問(wèn)題4】右鍵單擊圖D中的作用域選項(xiàng)可設(shè)置客戶的dns服務(wù)器地址。單擊圖D中的保留選項(xiàng)可以設(shè)置網(wǎng)絡(luò)中客戶IP和mac地址的綁定【問(wèn)題5】Dhcp客戶首次是用廣播想服務(wù)器發(fā)送信息，服務(wù)器檢測(cè)UDP的67號(hào)端口。 第 3 題 （共15分）閱讀以下關(guān)于Linux系統(tǒng)中域名系統(tǒng)（DNS）的說(shuō)明，回答

11、問(wèn)題1至問(wèn)題4。 【說(shuō)明】DNS是一種TCP/IP的標(biāo)準(zhǔn)服務(wù)，負(fù)責(zé)IP地址和域名之間的轉(zhuǎn)換。在Linux系統(tǒng)中，DNS可以由BIND（Berkeley Internet Name Domain）軟件來(lái)實(shí)現(xiàn)。 【問(wèn)題1】（每空1.5分，共6分）請(qǐng)?jiān)冢?）（4）空白處填寫(xiě)適當(dāng)?shù)膬?nèi)容。DNS服務(wù)器可以管理一個(gè)域，也可以管理多個(gè)域。域名服務(wù)器可以分為轉(zhuǎn)發(fā)域名服務(wù)器、緩存域名服務(wù)器、（1）和（2）等類型。將域名轉(zhuǎn)換為IP 地址的過(guò)程稱為（3），將IP地址轉(zhuǎn)換為域名的過(guò)程稱為（4）?！締?wèn)題2】（每空2分，共4分）請(qǐng)選擇適當(dāng)?shù)膬?nèi)容填寫(xiě)在（5）、（6）空白處。管理員可以在命令行終端下，通過(guò)（5）命令啟動(dòng)DNS

12、服務(wù)；通過(guò)（6）命令停止DNS服務(wù)。（5）、（6）備選答案： A./etc/init.d/named start B./etc/init.d/dns up C./etc/init.d/named stop D./etc/init.d/dns down 【問(wèn)題3】（每空1分，共3分）請(qǐng)?jiān)冢?）（9）處填寫(xiě)恰當(dāng)?shù)膬?nèi)容。在Linux系統(tǒng)中配置域名服務(wù)器，該服務(wù)器上文件named.conf的部分內(nèi)容如下： options directory /var/named; ; zone . type hint; file named.ca; zone localhost IN file localhost.z

13、one allow-updatenone; ; zone 0.0.127. type master; file named.local; ; zone type（_（7）_）; file ; ; zone 40.35.222. type master; file 40.35.222; ; include /etc/rndc.key; 填寫(xiě)文件中空（7）處缺省的內(nèi)容。 該服務(wù)器是域 的主域名服務(wù)器，該域?qū)?yīng)的網(wǎng)絡(luò)地址是（8），正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在（9）目錄中?！締?wèn)題4】（共2分） 希賽公司內(nèi)部網(wǎng)的 DNS 服務(wù)器發(fā)生故障，如不改變客戶機(jī)原有設(shè)

14、置，該網(wǎng)用戶是否可以訪問(wèn)網(wǎng)絡(luò)上的資源？如果可以，需要什么條件？如果不可以，請(qǐng)說(shuō)明原因。 參考答案：【問(wèn)題1】4分（1）主域名服務(wù)器 （2）輔助域名服務(wù)器 （3）正向解析 （4）反向解析【問(wèn)題2】4分（5）A （6）C【問(wèn)題3】3分（7）master （8） （9）/var/named 【問(wèn)題4】4分可以，只需要知道被訪問(wèn)端的IP地址即可。試題分析：【問(wèn)題1】域名服務(wù)器可以分為：轉(zhuǎn)發(fā)域名服務(wù)器、緩存域名服務(wù)器、主域名服務(wù)器、輔助域名服務(wù)器。將域名轉(zhuǎn)換為IP 地址的過(guò)程稱為正向解析，將IP地址轉(zhuǎn)換為域名的過(guò)程稱為反向解析?！締?wèn)題2】管理員可以在命令行終端下，通過(guò)/etc/in

15、it.d/named start命令啟動(dòng)DNS服務(wù)；通過(guò)/etc/init.d/named stop命令停止DNS服務(wù)?！締?wèn)題3】題目給出改服務(wù)器的域的主域名服務(wù)器因此（7）填寫(xiě)master，表明為主域名服務(wù)器。由配置文件中的“zone 40.35.222. ”語(yǔ)句可以知道對(duì)應(yīng)的IP地址為。由配置文件中的“directory /var/named; ”可以知道正向域名轉(zhuǎn)換數(shù)據(jù)文件存放在/var/named目錄中?！締?wèn)題4】如果僅僅是DNS服務(wù)器發(fā)生故障，那么仍然可以上網(wǎng)的。應(yīng)該回答“可以”。只需要知道被訪問(wèn)端的IP地址即可。 第 4 題 閱讀以下說(shuō)

16、明，回答問(wèn)題，將解答填入答題紙的對(duì)應(yīng)解答欄內(nèi)?！菊f(shuō)明】下圖是某單位的網(wǎng)絡(luò)拓?fù)鋱D，該單位有雙線路接入，并且兩個(gè)ISP是不同的運(yùn)營(yíng)商，閱讀圖后，回答下列問(wèn)題?！締?wèn)題1】?jī)蓚€(gè)不同的ISP接入時(shí)，接入路由器是否需要和兩個(gè)ISP運(yùn)行BGP路由協(xié)議，為什么？【問(wèn)題2】為了實(shí)現(xiàn)將-54的流量從ISP1走，而-54的流量從ISP2走，則可以使用下面的策略路由來(lái)實(shí)現(xiàn)，下面給出部分配置，請(qǐng)補(bǔ)充完整。Route-map isp1 Permit 10match ip address (1)set interface fa1/0!

17、Route-map isp2 permit 10match ip address 12set interface fa2/0!ip classlessno ip http serveraccess-list 11 permit (2) (3)access-list (4) (5) (6)【問(wèn)題3】當(dāng)一個(gè)路由器上，既有動(dòng)態(tài)路由、又有靜態(tài)路由和默認(rèn)路由時(shí)，請(qǐng)根據(jù)三種不同的路由的特性和優(yōu)先級(jí)描述路由器的處理過(guò)程？ 參考答案：【問(wèn)題1】4分不需要，因?yàn)镮SP給普通的客戶提供接入服務(wù)的時(shí)候，通常只提供一個(gè)接入地址，也就是用戶的默認(rèn)網(wǎng)關(guān)地址，用戶使用默認(rèn)路由的方式接入，用戶也不知道該ISP內(nèi)部的地址分配。

18、當(dāng)然ISP也不會(huì)告訴客戶自己的IP分配。所以用戶不需要和ISP的路由器啟用BGP協(xié)議。【問(wèn)題2】6分此處考察的是基于源地址的策略路由，要求將不同的源地址用ACL分類，然后對(duì)應(yīng)策略即可，這里要注意的一個(gè)問(wèn)題是，要計(jì)算地址的聚合，并且了解反掩碼-54對(duì)應(yīng)了5個(gè)不同的C，因此可以將其聚合到/21，掩碼就是，那么在寫(xiě)ACL的反掩碼就是55了，第2個(gè)部分的計(jì)算同第一部分。所以答案如下：（1）11（2）（3）55（4）12 permit（5）（

19、6）55【問(wèn)題3】5分通常的路由器對(duì)于有多種路由時(shí)，使用不同的路由優(yōu)先級(jí)的方式來(lái)覺(jué)得采用何種路由信息。首先檢查直連路由和靜態(tài)路由，接下來(lái)檢查動(dòng)態(tài)路由，當(dāng)在這些路由信息里都找不到該目的地的路由信息時(shí)，使用默認(rèn)路由轉(zhuǎn)發(fā)。試題分析：【問(wèn)題1】不需要，因?yàn)镮SP給普通的客戶提供接入服務(wù)的時(shí)候，通常只提供一個(gè)接入地址，也就是用戶的默認(rèn)網(wǎng)關(guān)地址，用戶使用默認(rèn)路由的方式接入，用戶也不知道該ISP內(nèi)部的地址分配。當(dāng)然ISP也不會(huì)告訴客戶自己的IP分配。所以用戶不需要和ISP的路由器啟用BGP協(xié)議。【問(wèn)題2】此處考察的是基于源地址的策略路由，要求將不同的源地址用ACL分類，然后對(duì)應(yīng)策略即可，這里要

20、注意的一個(gè)問(wèn)題是，要計(jì)算地址的聚合，并且了解反掩碼-54對(duì)應(yīng)了5個(gè)不同的C，因此可以將其聚合到/21，掩碼就是，那么在寫(xiě)ACL的反掩碼就是55了，第2個(gè)部分的計(jì)算同第一部分。所以答案如下：（1）11（2）（3）55（4）12 permit（5）（6）55【問(wèn)題3】通常的路由器對(duì)于有多種路由時(shí)，使用不同的路由優(yōu)先級(jí)的方式來(lái)覺(jué)得采用何種路由信息。首先檢查直連路由和靜態(tài)路由，接下來(lái)檢查動(dòng)態(tài)路由，當(dāng)在這些路由信息里都找不到該目

21、的地的路由信息時(shí)，使用默認(rèn)路由轉(zhuǎn)發(fā)。 第 5 題 某企業(yè)網(wǎng)絡(luò)采用的Cisco PIX防火墻的網(wǎng)絡(luò)結(jié)構(gòu)如圖11-3所示。在圖中，采用3級(jí)防火墻系統(tǒng)，PIX用做保壘主機(jī)，是系統(tǒng)的核心設(shè)備。網(wǎng)絡(luò)管理員配置PIX做了如下設(shè)置，請(qǐng)閱讀下列路由配置信息，并在【1】【5】處填寫(xiě)該段語(yǔ)句的作用，每空4分。 nameif ethernet0 outside security 0 【1】nameif ethernet1 inside security 100interface ethernet0 autoinerface ethernet1 100full 【2】ip address outside 【3】 ip address inside global （outside）1 -