【计算机类职业资格】2016年上半年软件水平考试（中级）网络工程师下午（应用技术）真题试卷及答案解析.doc

1、2016 年上半年软件水平考试（中级）网络工程师下午（应用技术）真题试卷及答案解析(总分：52.00，做题时间：90 分钟)一、试题一(总题数：2，分数：16.00)1.试题一（）（分数：8.00）_阅读以下说明，回答问题 1 至问题 4，将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑如图1-1 所示，AE 是网络设备的编号。 （分数：8.00）(1).根据图 11，将设备清单表 1-1 所示内容补充完整。 （分数：2.00）_(2).以下是 AR2220 的部分配置。 AR2220acl 2000 AR2220 一 acl 一 2000rule normal permit sourc

2、e 19216800 00255255 AR2220-acl 一 2000rule normal deny source any AR2220一 acl-2000quit AR2220interface Ethemet0 AR2220-Ethemet0ip address 1 921 6801 2552552550 AR2220 一 Ethemet0quit AR2220interface Ethernet 1 AR2220Ethemet1ip address 5941221100 2552552550 AR2220-Ethemet 1nat outbound 2000 interface A

3、R2220-Ethemet 1quit AR2220ip route-static 0000 0000 597422 1254 设备AR2220 使用 (5) 接口实现 NAT 功能，该接口地址的网关是 (6) 。（分数：2.00）_(3).若只允许内网发起邱、http 连接，并且拒绝来自站点 2221l 的 Java Applets 报文。在USG3000 设备中有如下配置，请补充完整。 USG3 000acl number 3 000 USG3000-acl-adv-3000role permit tcp destination-port eq www USG3 000-acl-adv 一

4、 3 000role permit tep destinationport eq ftp USG3 000-acl-adv-3 000rule permit tcp destinationport eq ftp-data USG3000acl number 20 1 0 USG3000 一 acl-basic-20 1 0rule (7)source 2221 1 0000 USG3000-acl-basic-20 1 0rule permit source any USG3000 (8) interzone trust untmst USG3 000 一 interzone-trustunt

5、mstpacketfilter 3 000(9) USG3 000interzonetrustuntrustl detect ftp USG3000interzonetrustuntrustl detect http USG3000 一 interzonetrustuntrustdetect javAblocking 20 1 0(7)(9)备选答案：AfirewallBtrustCdenyDpermitEoutboundFinbotmd（分数：2.00）_(4).PC-1、PC-2、PC-3 网络设置如表 1-2。 （分数：2.00）_二、试题二(总题数：2，分数：12.00)2.试题二（）

6、（分数：6.00）_阅读以下说明，回答问题 l 至问题 3，将解答填入答题纸对应的解答栏内。【说明】某学校的网络拓扑结构图如图 2-1 所示。 （分数：6.00）(1).常用的 IP 访问控制列表有两种，它们是编号为(1)和 13001399 的标准访问控制列表和编号为(2)和 20002699 的扩展访问控制列表。其中，标准访问控制列表是依据 IP 报文的(3)来对 IP 报文进行过滤，扩展访问控制列表是依据 IP 报文的(4)、(5)、上层协议和时间等来对 IP 报文进行过滤。一般地，标准访问控制列表放置在靠近(6)的位置，扩展访问控制列表放置在靠近(7)的位置。（分数：2.00）_(2)

7、.为保障安全，使用 ACL 对网络中的访问进行控制。访问控制的要求如下： (1)家属区不能访问财务服务器，但可以访问互联网； (2)学生宿舍区不能访问财务服务器，且在每天晚上 18：0024：00 禁止访问互联网； (3)办公区可以访问财务服务器和互联网； (4)教学区禁止访问财务服务器，且每天8：0018：00 禁止访问互联网。 1使用 ACL 对财务服务器进行访问控制，请将下面配置补充完整。 R1(config)#accesslist 1 (8) (9) 0002 5 5 R1 f config)#accesslist 1 deny 1721 61 00 0002 5 5 R1 f con

8、fig)#access 一 1ist 1 deny 1721 62 00 0002 55 R1(config)#access-list 1 deny (10) 0002 55 R1(config)#interface (11) R1(configif)#ip accessgroup 1 (12)2使用 ACL 对 Intemt 进行访问控制，请将下面配置补充完整。 RouteSwitch(config)#timerange jxq 定义教学区时间范围 RouteSwitch(config-timerange)#periodic daily (13) RouteSwitch(config)#ti

9、merange xsssq 定义学生宿舍区时间范围 RouteSwitch(configtimerange)#periodic (14) 18：00 to 24：00 Route-Switch(configtimerange)#exit RouteSwitch(config)#accesslist 100 permit ip 17216100 000255 any RouteSwitch(config)#accesslist 100 permit ip 17216400 000255 any Route-Switch(config)#accesslist i00 deny ip (15) 00

10、0255 timerange J xq Route-Switch(config)#accesslist 1 00 deny ip (16) 00025 5 timerangeXSSSq Route-Switch(config)#interface (17) Route-Switch(configif)#ip accessgroup 100 out（分数：2.00）_(3).网络在运行过程中发现，家属区网络经常受到学生宿舍区网络的 DDoS 攻击，现对家属区网络和学生宿舍区网络之间的流量进行过滤，要求家属区网络可访问学生宿舍区网络，但学生宿舍区网络禁止访问家属区网络。采用自反访问列表实现访问控制

11、，请解释配置代码。 RouteSwitch(config)#ip accesslist extended infilter RouteSwitch fconfigextnacl)#permit ip any 17216200 000255 reflectjsq (18) RouteSwitch(configextnacl)#exit Route-Switch(config)=Iip access 一 1ist extended outfilter Route-Switch(c。nfigextnacl)# evaluate jsq (19) RouteSwitch(configextnacl)#

12、exit Route-Switch(config)#interface fastethernet 01 RouteSwitch(configif)#ip accessgroup infilter in RouteSwitch(configif)#ip accessgroup outfilter out(20)（分数：2.00）_三、试题三(总题数：2，分数：16.00)3.试题三（）（分数：8.00）_阅读以下说明，回答问题 1 至问题 4，将解答填入答题纸对应的解答栏内。【说明】某企业采用 Windows Server 2003 配置了 DHCP、DNS 和 WEB 服务。（分数：8.00）

13、(1).DHCP 服务器地址池 192168011921680130，其中 192168010 分配给网关，192168011192168015 分配给服务器，192168020 分配给网络管理员。 请填充图 3-1 至图 33 中(1)(4)处空缺内容。 （分数：2.00）_(2).DNS 的配置如图 3-4 所示。 （分数：2.00）_(3).Web 服务器的配置如图 35 所示。 （分数：2.00）_(4).Windows Server 2003 管理界面如图 36 所示。1图 36 中设备打“?”的含义是(13)；设备打“”的含义是(14)。2图 36 中 1394 网络适配器能连接什

14、么设备?(15)。 （分数：2.00）_四、试题四(总题数：2，分数：8.00)4.试题四（）（分数：4.00）_阅读以下说明，回答问题 l 和问题 2，将解答填入答题纸对应的解答栏内。【说明】某公司有 3 个分支机构，网络拓扑结构及地址分配如图 41 所示。 （分数：4.00）(1).公司申请到 2021111029 的公有地址段，采用 NAPT 技术实现公司内部访问互联网的要求，其中，19216816022 网段禁止访问互联网。R1、R2 和 R3 的基本配置已正确配置完成，其中 R1 的配置如下。请根据拓扑结构，完成下列配置代码。 R1 的基本配置及 NAPT 配置如下： R1enabl

15、e R1#config terminal R1(config)#interface fastenthernet 00 R1(configif)#ip addresS 1 921 6801 2 5 52 552 5 52 52 R1(configif)#no shutdown R1(configif)#exit R1(config)#interface fastenthernet 01 R1(configif)#ip addresS 1 921 6809 2 552 552 552 52 R1(configif)#no shutdown R1(configif)#exit R1(config)#

16、interface fastenthernet 02 R1(configif)#ip address (1) 2552552520 使用网段中最后一个地址 R1(config-if)#no shutdown R1(configif)#exit R1(config)#interface serial 0 R1(configif)#ip address 2 02i i i11 25525 52 552 4 8 R1(configif)#no shutdown R1(config)#ip nat pool SS 2 0211111 (2) netmask (3) R1(config)#interfa

17、ce (4) fastenthernet 001 R1(configif)#ip nat (5) R1(config-if)#interface serial 0 R1(configif)#ip nat(6) R1(configif)#exit R1(config)#accesslist 1 permit 19216800 (7) R1(config)#ip nat inside (8)list (9)pool (10) (11)（分数：2.00）_(2).在 R1、R2 和 R3 之间运行 OSPF 路由协议，其中 R1、R2 和 R3 的配置如下。 行号 配置代码 1 R1(config)

18、#router ospf 1 2 R1 (configrouter)#network 1 9216840 003255 area 0 3 R1 (configrouter)#network 1 921 6800 0003 area 0 4 R1(configrouter)#network 1 921 6808 0003 area 0 5 R2enable 6 R2#config terminal 7 R2(config)#router ospf 2 8 R2(configrouter)#network 1 921 6880 0032 55 area 0 9 R2(configrouter)#n

19、etwork 1 921 68120 0032 55 area 0 10 R2(configrouter)#network 1 921 6804 0003 area 0 11 R3enable 12 R3#config terminal 13 R3(config)#router ospf 3 14 R3(configrouter)#network 1 921 6808 0003 area 0 15 R3 f configrouter)#network 1 921 6804 0003 area 0 1配置完成后，在 R1 和 R2 上均无法 ping 通 R3 的局域网，可能的原因是 (12)

20、。 (12)备选答案： A.在 R3 上未宣告局域网路由 B.以上配置中第 7 行和第13 行配置错误 C.第 1 行配置错误 D.R1、R2 未宣告直连路由 2在 OSPF 中重分布默认路由的命令是：(13)。 (13)备选答案： A.R 1#defaultinformation originate B.R 1(config-if)#defaultinformation originate C.R 1(configrouter)#default-information originate D.R 1(config)#defaultinformation originate（分数：2.00）_

21、2016 年上半年软件水平考试（中级）网络工程师下午（应用技术）真题试卷答案解析(总分：52.00，做题时间：90 分钟)一、试题一(总题数：2，分数：16.00)1.试题一（）（分数：8.00）_解析：阅读以下说明，回答问题 1 至问题 4，将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑如图1-1 所示，AE 是网络设备的编号。 （分数：8.00）(1).根据图 11，将设备清单表 1-1 所示内容补充完整。 （分数：2.00）_正确答案：(正确答案：(1)B (2)A (3)C (4)D)解析：解析：本题考查网络设备配置的相关知识。 此类题目要求考生认真阅读题目中给出的配置文件内容

22、，了解设备需要实现的网络功能。对于路由器、防火墙、交换机等网络设置的部署，应该兼顾不同设备的特点、网络业务和安全需求。 防火墙的防护区域可分为内、外网和 DMZ 区域，在本题网络拓扑中，A的位置是路由器，在配置文件中定义了外网接口，可以与外部网络进行通信。同时，在路由器上定义NAT，对内网地址进行了有效屏蔽，也起到了节省公网地址作用。B 的位置是防火墙，可以对内网用户和服务器进行有效保护，抵御来自外部网络的攻击。C 位置是交换机，用于服务器设备的接入。D 的位置是服务器，一般只限于内网访问访问。(2).以下是 AR2220 的部分配置。 AR2220acl 2000 AR2220 一 acl

23、一 2000rule normal permit source 19216800 00255255 AR2220-acl 一 2000rule normal deny source any AR2220一 acl-2000quit AR2220interface Ethemet0 AR2220-Ethemet0ip address 1 921 6801 2552552550 AR2220 一 Ethemet0quit AR2220interface Ethernet 1 AR2220Ethemet1ip address 5941221100 2552552550 AR2220-Ethemet

24、1nat outbound 2000 interface AR2220-Ethemet 1quit AR2220ip route-static 0000 0000 597422 1254 设备AR2220 使用 (5) 接口实现 NAT 功能，该接口地址的网关是 (6) 。（分数：2.00）_正确答案：(正确答案：(5)Ethemetl(6)5974221254)解析：解析：设备 AR2220 的配置文件主要定义了内、外网接口，并且配置了内、外网络访问的策略，将内网地址转换成外网接口地址用于访问外部网络。有关命令解释如下。 (1)mle normal permit source与 rule n

25、ormal deny source any 命令配合使用，表示源地址段以外的地址禁止通过。 (2)interface Ethernet0 与 ip address 配合使用，定义设备的接口地址，配置文件中定义了两个接口地址。 (3)nat outbound 2000 interface 命令是在设备上启用了 NAT 规则。 (4)ip routestatic 是条静态路由命令，告诉路由器默认数据的下一跳地址。(3).若只允许内网发起邱、http 连接，并且拒绝来自站点 2221l 的 Java Applets 报文。在USG3000 设备中有如下配置，请补充完整。 USG3 000acl nu

26、mber 3 000 USG3000-acl-adv-3000role permit tcp destination-port eq www USG3 000-acl-adv 一 3 000role permit tep destinationport eq ftp USG3 000-acl-adv-3 000rule permit tcp destinationport eq ftp-data USG3000acl number 20 1 0 USG3000 一 acl-basic-20 1 0rule (7)source 2221 1 0000 USG3000-acl-basic-20 1

27、 0rule permit source any USG3000 (8) interzone trust untmst USG3 000 一 interzone-trustuntmstpacketfilter 3 000(9) USG3 000interzonetrustuntrustl detect ftp USG3000interzonetrustuntrustl detect http USG3000 一 interzonetrustuntrustdetect javAblocking 20 1 0(7)(9)备选答案：AfirewallBtrustCdenyDpermitEoutbou

28、ndFinbotmd（分数：2.00）_正确答案：(正确答案：(7)C (8)A (9)E)解析：解析：设备 USG3000 的配置文件主要内容是配置内、外网访问策略。有关命令解释如下： (1)acl number 3000 规则，允许 www、ftp、ftp-data 等协议。 (2)acl number 2010 规则，配置对 HTTP、FTP 协议指定 ASPF 策略。 ASPF(application specific packet filter)是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。包括 dos(denial of s

29、ervice，拒绝服务)的检测和防范。java blocking(java 阻断)保护网络不受有害 java applets 的破坏。activex blocking(activex 阻断)保护网络不受有害 activex 的破坏。(4).PC-1、PC-2、PC-3 网络设置如表 1-2。 （分数：2.00）_正确答案：(正确答案：(10)19216841 (11)1921681000 (12)定义端口为 trunk)解析：解析：RIP 协议是动态路由选择协议，通过路由表的自动更新使 IP 进行数据交换时获取正确的路径。 port linktype trunk 定义接口类型，Trunk 类型

30、的端口可以允许多个 VLAN 通过，可以接收和发送多个 VLAN 的报文，一般用于交换机之间连接的端口。二、试题二(总题数：2，分数：12.00)2.试题二（）（分数：6.00）_解析：阅读以下说明，回答问题 l 至问题 3，将解答填入答题纸对应的解答栏内。【说明】某学校的网络拓扑结构图如图 2-1 所示。 （分数：6.00）(1).常用的 IP 访问控制列表有两种，它们是编号为(1)和 13001399 的标准访问控制列表和编号为(2)和 20002699 的扩展访问控制列表。其中，标准访问控制列表是依据 IP 报文的(3)来对 IP 报文进行过滤，扩展访问控制列表是依据 IP 报文的(4)

31、、(5)、上层协议和时间等来对 IP 报文进行过滤。一般地，标准访问控制列表放置在靠近(6)的位置，扩展访问控制列表放置在靠近(7)的位置。（分数：2.00）_正确答案：(正确答案：(1)199 (2)100199 (3)源 IP 地址 (4)源 IP 地址 (5)目标 IP 地址 (6)目标地址(或出口) (7)源地址(或入口) 注：(4)、(5)答案可互换)解析：解析：本题考查使用访问控制列表实现访问控制的知识。 此类题目要求考生认真研读题目，并对相关基础知识有一定的掌握，并数序访问控制列表的基本配置方法和配置要求。 该问题考查访问控制列表的基础知识及应用，包括 IP 访问控制列表有标准访

32、问控制列表和扩展访问控制列表。 标准访问控制列表有以下特点： 编号从 199，和 13001399： 依据 IP 报文的源 IP 地址对数据包进行过滤； 部署时应放置于靠近目的网络(或者路由器出口)的位置上； 扩展访问控制列表有以下特点： 编号从 100199和 20002699； 依据 IP 报文的源 IP 地址、目的 IP 地址、上层协议、端口号和时间等信息对数 据报文进行过滤； 部署时应放置于靠近源地址(或者路由器入口)的位置上。(2).为保障安全，使用 ACL 对网络中的访问进行控制。访问控制的要求如下： (1)家属区不能访问财务服务器，但可以访问互联网； (2)学生宿舍区不能访问财务

33、服务器，且在每天晚上 18：0024：00 禁止访问互联网； (3)办公区可以访问财务服务器和互联网； (4)教学区禁止访问财务服务器，且每天8：0018：00 禁止访问互联网。 1使用 ACL 对财务服务器进行访问控制，请将下面配置补充完整。 R1(config)#accesslist 1 (8) (9) 0002 5 5 R1 f config)#accesslist 1 deny 1721 61 00 0002 5 5 R1 f config)#access 一 1ist 1 deny 1721 62 00 0002 55 R1(config)#access-list 1 deny (1

34、0) 0002 55 R1(config)#interface (11) R1(configif)#ip accessgroup 1 (12)2使用 ACL 对 Intemt 进行访问控制，请将下面配置补充完整。 RouteSwitch(config)#timerange jxq 定义教学区时间范围 RouteSwitch(config-timerange)#periodic daily (13) RouteSwitch(config)#timerange xsssq 定义学生宿舍区时间范围 RouteSwitch(configtimerange)#periodic (14) 18：00 to

35、 24：00 Route-Switch(configtimerange)#exit RouteSwitch(config)#accesslist 100 permit ip 17216100 000255 any RouteSwitch(config)#accesslist 100 permit ip 17216400 000255 any Route-Switch(config)#accesslist i00 deny ip (15) 000255 timerange J xq Route-Switch(config)#accesslist 1 00 deny ip (16) 00025 5

36、 timerangeXSSSq Route-Switch(config)#interface (17) Route-Switch(configif)#ip accessgroup 100 out（分数：2.00）_正确答案：(正确答案：(8)permit (9)17216400 (10)17216300 (11)fastethemet 01(或f01) (12)out (13)8：00 to 18：00 (14)daily (15) 1 721 6300 (16)17216200 (17)f05)解析：解析：根据题干给出网络安全需求，访问控制列表的配置方法，以及给出的部分配置代码，是使用标准访

37、问控制列表 access-1ist 1 对财务服务器的访问进行控制。允许办公区(17216400)网段访问，并将 access1ist 1 应用在靠近目的端的 R1 的 fastethemet 01 接口的出口方向。 创建扩展访问控制列表 access-list 100 来实现用户对于 Intemet 的访问，并创建与题目要求相应的时间段，分别设置允许和拒绝的网段，并应用相应的时间段，将应用在 Route-Switch 设备的 F05 接口的出方向。(3).网络在运行过程中发现，家属区网络经常受到学生宿舍区网络的 DDoS 攻击，现对家属区网络和学生宿舍区网络之间的流量进行过滤，要求家属区网络

38、可访问学生宿舍区网络，但学生宿舍区网络禁止访问家属区网络。采用自反访问列表实现访问控制，请解释配置代码。 RouteSwitch(config)#ip accesslist extended infilter RouteSwitch fconfigextnacl)#permit ip any 17216200 000255 reflectjsq (18) RouteSwitch(configextnacl)#exit Route-Switch(config)=Iip access 一 1ist extended outfilter Route-Switch(c。nfigextnacl)# ev

39、aluate jsq (19) RouteSwitch(configextnacl)#exit Route-Switch(config)#interface fastethernet 01 RouteSwitch(configif)#ip accessgroup infilter in RouteSwitch(configif)#ip accessgroup outfilter out(20)（分数：2.00）_正确答案：(正确答案：(18)建立 jsq 的 ACL 映射表 (19)允许 jsq 映射表的连接通过 (20)应用outfilter 规则到 fastethemet 01 接口的出方向)解析：解析：该问题要求考生理解自反访问控制列表的工作机制和配置方法。根据题干描述，家属区网络收到学生宿舍网络发出的 DdoS 攻击报文，为了避免该现象，要求家属区网络可以访问学生宿舍网络，反之不可。该应用场景是自反访问控制列表的典型应用场景。根据一个方向的访问控制列表，自动创建出一个反方向的控制列表，是和原来的控制列表一 IP 的源地址和目的地址颠倒，并且源端口号和目的端口号完全相反的一个列表。三、试题三(总题数：2，分数：16.00)3.试题三（）（分数：8.00）_解析：阅读以下说明，回答问题 1 至问题 4，将解答填入答题纸对应的解答栏内。【说明】某企业采用