【计算机类职业资格】中级网络工程师下午试题-5-2及答案解析.doc

1、中级网络工程师下午试题-5-2 及答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00)说明 某校园网结构如图 1 所示，用户可以通过有线接入，也可以通过无线接入。用户接入采用 Web+DHCP 方式，当用户连上校园网后，由 DHCP 服务器为用户自动分配 IP 地址，基于 Web 的认证成功后即可访问Internet。认证过程采用 SSL 与 RADIUS 相结合的方式，以防止非法用户的盗用。 图 1（分数：15.00）(1).对 PC 机无线网卡进行配置时，在图 2 中 SSID 参数的主要作用是 -|_|-。（分数：3.00）A.操作模式B.扩展服务

2、集C.加密等级D.工作频段(2).当区域网络扩大时，网络安全就成为重点，该校园采用 RADIUS 技术，对校园每个用户进行认证，保证每个终端接入的合法性。其中 RADIUS 认证主要使用 1 和 2 认证方式。（分数：3.00）(3).在图 1 中，教师办公室的计算机能否直接从 DHCP 服务器租约 IP 地址?若能，如何查看租约的 IP 地址?若不能，需要对哪台设备进行如何配置?（分数：3.00）(4).SSL 是一个协议独立的加密方案，在应用层和传输层之间提供了安全的通道。SSL 主要包括 1、 2、 3、SSL 修改密文协议等。其中 4 的主要功能是用于在通信双方建立安全传输通道； 5

3、从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去，从而保证了数据的机密性和报文完整性。（分数：3.00）(5).SSL 胁议数据封装过程包括(下面到未按顺序排列)： 附加首部数据，包括内容类型、主要版本、次要版本、压缩长度。 使用共享密钥计算报文鉴别代码(MAC)。 可选地应用压缩。 分片，将上层交付的报文分成 2 14 字节或更小的数据块。 使用同步算法加密报文。 将按照应答过程重新排序为 1。（分数：3.00）二、试题二(总题数：1，分数：15.00)说明 某公司的域名为 ，所使用的网络地址为 222.78.68.0/24，共有两台服务器，一台 IP 地址是222.78.

4、68.10，名字是 server1，它用作域名服务器、电子邮件服务器，另一台 IP 地址是222.78.68.11，名字是 server2，它用作 Web 服务器。（分数：15.00）(1).下面是服务器 server1 中的三个文件。 /etc/named.conf 文件的内容： options directory “/var/named“; ; zone “.“ IN type 1; file “named.ca“; ; zone “0.0.127.in-addr.arpa“ IN type master; file “named.local“; allow-update none; ;

5、; zone “ “ IN type master; file “ named.hosts“; allow-update none; ; ; zone “ 2“ IN type master; file “named.rev“; allow-update none; ; ; /var/named/named.hosts 文件的内容: $TTL 86400 IN SOA . . ( 2001110600 ; serial 28800 ; refresh 14400 ; retry 3600000 ; expire 86400 ; minimum ) IN NS . IN MS 10 . loc

6、alhost. IN A 127.0.0.1 server1 IN A 222.78.68.10 server2 IN A 222.78.68.11 www IN 3 /var/named/named.rev 文件的内容: $TTL 86400 IN SOA server1. . . ( 2001110600 ; serial 28800 ; refresh 14400 ; retry 3600000 ; expire 86400 ; minimum ) IN NS . 10 IN 4 11 IN PTR .（分数：3.75）(2).server1 服务器是一个 -|_|-。（分数：3.75）

7、A.主域名服务器B.辅助域名服务器C.缓存域名服务器D.DNS 服务器(3)./var/named/named.hosts 文件中阴影一行的含义是 1。（分数：3.75）(4).在 Windows 2003 下，测试 DNS 服务器的程序的命令是 1。若要测试邮件交换器设置是否正确，需要使用的子命令是 2。（分数：3.75）三、试题三(总题数：1，分数：15.00)说明 某企业采用 Windows 2003 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共Internet 安全地互连起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持，图 1 给出

8、了基于Windows 2003 系统部署 IPSec VPN 的网络结构图。 （分数：15.00）(1).IPSec 工作在 1，它的两种工作模式是 2 和 3。 第一空备选答案 A表示层 B会话层 C传输层 D网络层（分数：3.00）(2).图 2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据，仅需确保收到的数据在传输过程不被篡改，在图 2 中我们只需选择 1；如果在 VPN 中传输的是机密数据，不仅需要保证数据在传输过程中不被篡改，而且还需要对数据进行加密，在图 2 中选择 2。 （分数：3.00）(3).在 IKE 执行密钥交换时(建立主要模式 SA 的阶段)

9、，通信双方需要验证对方的身份，Windows 2003 中支持 1、 2 和 3 验证。（分数：3.00）(4).VPN 中的数据加密所使用的方法有 DES 和 3DES，其中 3DES 是执行三次 DES 算法，图 3 所示的是 3DES加密过程。若用 E 和 D 分别表示执行加密和解密算法，则图 3 方框中分别按顺序填写 1、 2 和 3。 （分数：3.00）(5).在整个 VPN 通信中，主要有 1 和 2 两种 VPN 通信方式，而后者又包括“intranetVPN(企业内连 VPN)”和“ExtranetVPN(企业外连 VPN)”。（分数：3.00）四、试题四(总题数：1，分数：1

10、5.00)说明 网络地址转换(NAT)的主要目的是解决 IP 地址短缺问题以及实现 TCP 负载均衡等。在下图的设计方案中，与 Internet 连接的路由器采用网络地址转换。 （分数：15.00）(1).某学校通过专线上网，申请的合法 Internet IP 地址 202.168.10.1202.168.10.10，使用路由器的NAT 功能进行地址转换，具体配置如下，解释配置命令含义。 version 11.3 no service password-encryption ! hostname 2601 1 ! enable password cisco2006 2 ! ip nat poo

11、l aaa 202.168.10.2 202.168.10.10 netmask 255.255.255.240 3 ip nat inside source list 1 pool aaa overload 4 ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside 5 ! interface Serial0 ip address 202.168.10.1 255.255.255.240 ip nat outside 6 bandwidth 2000 7 clockrate 2000000 ! no ip c

12、lassless ip route 0.0.0.0 0.0.0.0 Serial0 8 access-list 1 permit 10.1.1.0 0.0.0.255 9 ! ! end（分数：5.00）(2).NAT 按技术类型分为 1、 2、 3 三种转换方式。（分数：5.00）(3).此配置中采用的转换方式为 -|_|-。（分数：5.00）A.静态地址转换B.动态地址转换C.复用动态地址转换五、试题五(总题数：1，分数：15.00)说明 如下图所示，为了实现交换机 SW1 和 SW2 之间的冗余连接以提高传输速度和可靠性，在这两台交换机使用两条双绞线互连。为了避免网络环路的出现，在两台交

13、换机之间使用了生成树协议(Spanning Tree Protocol，STP)，通过修改 Tmnk(干道)端口的属性，使不同的 VLAN 数据从不同的端口中传输。 （分数：15.00）(1).交换机 SW1 和 SW2 之间使用生成树协议之后，该交换机上的端口总是处于 1、 2、 3 和 44 种状态中的一种。（分数：3.00）(2).阅读下面配置信息，将横线处空缺的内容补全。 SW1enable (进入特权模式) SW1 # 1 (进入 VLAN 配置子模式) SW1 (vlan) #vtp server (设置本交换机为 Server 模式) SW1 (vlan) #vtp domain

14、 ABC (设置域名) SW1 (vlan) # 2 (启动修剪功能) SW1 (vlan) # 3 (设置 VTP 的版权为 2) SWI (vlan) # 4 (创建 VLAN2，并命名为 v2) SW1 (vlan) # (创建 VLAN3- VLAN6) SW1 (vlan) #exit (退出 VLAN 配置模式) SW1 # show vtp status (查看 VTP 设置信息)（分数：3.00）(3).阅读下面配置信息，解释横线处的命令。 SW1enable (进入特权模式) SW1 (config) # interface f0/23 (进入接口 23 配置模式) SW1

15、(config-if) # switchport mode trunk 1 SW1 (config-if) # switchport trunk encaps isl 2 SW1 (config-if) # spanning-tree vlan 1 port-priority 10 3 SW1 (config-if) # spanning-tree vlan 2 port-priority 10 SW1 (config-if) # spanning-tree vlan 3 port-priority 10 SW1 (config-if) # interface f0/24 (进入接口 24 配

16、置模式) SW1 (config-if) # (对端口 24 进行配置) SW1 (config-if) # end SW1 #copy run start（分数：3.00）(4).在第三小问中，是通过修改 VLAN 的 port-priority 来实现负载均衡。除此之外，还可以修改 STP 的 1 来实现。（分数：3.00）(5).在图中，如果把这两条平行链路看成一条物理链路，从而提高了交换机之间的带宽，同时还提供了负载均衡和冗余性，这种技术称为 1。（分数：3.00）中级网络工程师下午试题-5-2 答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00

17、)说明 某校园网结构如图 1 所示，用户可以通过有线接入，也可以通过无线接入。用户接入采用 Web+DHCP 方式，当用户连上校园网后，由 DHCP 服务器为用户自动分配 IP 地址，基于 Web 的认证成功后即可访问Internet。认证过程采用 SSL 与 RADIUS 相结合的方式，以防止非法用户的盗用。 图 1（分数：15.00）(1).对 PC 机无线网卡进行配置时，在图 2 中 SSID 参数的主要作用是 -|_|-。（分数：3.00）A.操作模式B.扩展服务集 C.加密等级D.工作频段解析：解析 在无线网卡配置中经常需要配置的参数主要有：一是 Operating Mode(操作模

18、式/网络类型)，是点对点(Adhoc)网络还是基础设施(Infrastructure)网络；二是 ESSID(扩展服务集 ID)，即无线网络的名称；三是 Encryption Level(加密等级)，选择 WEP 加密的密钥长度(40 位或 128 位)，并设置共享密码；四是 Channel(工作频段)，当有多个无线设备时，为避免干扰需设置此选项。(2).当区域网络扩大时，网络安全就成为重点，该校园采用 RADIUS 技术，对校园每个用户进行认证，保证每个终端接入的合法性。其中 RADIUS 认证主要使用 1 和 2 认证方式。（分数：3.00）解析：口令验证协议(PAP) 质询握手协议(CH

19、AP)解析 RADIUS 主要使用口令验证协议 PAP(Password Authentication Protocol)和质询握手协议 CHAP(ChallengeHandshake Authentication Protocol)。CHAP 认证比 PAP 认证更安全，因为 CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。(3).在图 1 中，教师办公室的计算机能否直接从 DHCP 服务器租约 IP 地址?若能，如何查看租约的 IP 地址?若不能，需要对哪台设备进行如何配置?（分数：3.00）解析：不能，应把路由器配置成 DHCP 中继代理解

20、析 DHCP 协议的报文都是通过广播形式传播的，因此当跨越多个网段时，这个广播报文将被第三层设备(如路由器)过滤掉了，因此要想在 DHCP 客户机和服务器之间转发 DHCP 报文，路由器必须要支持 DHCP 中继代理。(4).SSL 是一个协议独立的加密方案，在应用层和传输层之间提供了安全的通道。SSL 主要包括 1、 2、 3、SSL 修改密文协议等。其中 4 的主要功能是用于在通信双方建立安全传输通道； 5 从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去，从而保证了数据的机密性和报文完整性。（分数：3.00）解析：SSL 记录协议 SSL 握手协议 SSL 告警协议 S

21、SL 握手协议 SSL 记录协议 解析 SSL 是一个协议独立的加密方案，在应用层和传输层之间提供了安全的通道。SSL主要包括 SSL 记录协议、SSL 握手协议、SSL 告警协议、SSL 修改密文协议等。在 SSL 协议中，SSL 握手协议的主要功能是用于在通信双方建立安全传输通道；SSL 记录协议的主要功能是从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去，从而保证了数据的机密性和报文完整性。(5).SSL 胁议数据封装过程包括(下面到未按顺序排列)： 附加首部数据，包括内容类型、主要版本、次要版本、压缩长度。 使用共享密钥计算报文鉴别代码(MAC)。 可选地应用压缩。

22、分片，将上层交付的报文分成 2 14 字节或更小的数据块。 使用同步算法加密报文。 将按照应答过程重新排序为 1。（分数：3.00）解析：、 解析 SSL 数据封装如下： 第 1 步：分片，将上层交付的报文分成 2 14 字节或更小的数据块。 第 2 步：可选地应用压缩。 第 3 步：使用共享密钥计算报文鉴别代码(MAC)。 第 4 步：使用同步算法加密报文。 第 5 步：附加首部数据，包括内容类型、主要版本、次要版本、压缩长度。 接收方接收到数据后，将其解密、验证、解压和重新装配，最后交给高层用户。二、试题二(总题数：1，分数：15.00)说明 某公司的域名为 ，所使用的网络地址为 222.

23、78.68.0/24，共有两台服务器，一台 IP 地址是222.78.68.10，名字是 server1，它用作域名服务器、电子邮件服务器，另一台 IP 地址是222.78.68.11，名字是 server2，它用作 Web 服务器。（分数：15.00）(1).下面是服务器 server1 中的三个文件。 /etc/named.conf 文件的内容： options directory “/var/named“; ; zone “.“ IN type 1; file “named.ca“; ; zone “0.0.127.in-addr.arpa“ IN type master; file “

24、named.local“; allow-update none; ; ; zone “ “ IN type master; file “ named.hosts“; allow-update none; ; ; zone “ 2“ IN type master; file “named.rev“; allow-update none; ; ; /var/named/named.hosts 文件的内容: $TTL 86400 IN SOA . . ( 2001110600 ; serial 28800 ; refresh 14400 ; retry 3600000 ; expire 86400

25、 ; minimum ) IN NS . IN MS 10 . localhost. IN A 127.0.0.1 server1 IN A 222.78.68.10 server2 IN A 222.78.68.11 www IN 3 /var/named/named.rev 文件的内容: $TTL 86400 IN SOA server1. . . ( 2001110600 ; serial 28800 ; refresh 14400 ; retry 3600000 ; expire 86400 ; minimum ) IN NS . 10 IN 4 11 IN PTR .（分数：3.75

26、）解析：hint 68.78.222.in-addr.arpa CNAME 或者 CNAME server2 PTR 解析 该大题主要考查 Linux 下 DNS 服务器配置。 该大题题共列出三个文件，第一个文件是 DNS 服务主配置文件，DNS 守护进程 named 启动时读取到内存的第一个文件。在该文件中定义了域名服务器的类型、所授权管理的域以及相应数据库文件和其所在的目录。该文件内容包括一个全局配置选项(options)部分和多个区(zone)声明部分。第二个文件是正向域名转换数据文件，该文件指定了域中主机域名到 IP 地址的映射，实现域名的正向解析。第三个文件是反向域名转换数据文件

27、，该文件主要定义了 IP 地址到主机名的映射，实现域名的反向解析。 不管是主域名服务器、辅助域名服务器还是缓存域名服务器，在根域名区声明时，类型 type 型必须为hint，即为一个区的高速缓冲文件，因此第一空处应当填写“hint”。第二空处所在位置是反向域名解析区声明，应当填写反向域名。反向域名由两部分组成，域名前半段是其网络 ID 反向书写，而区域后半段必须是“in-addr.arpa”。因此第二空处应当填写“68.78.222.in-addr.arpa”。第三空处应当是定义一条别名记录。根据说明，该单位的 WWW 服务在 server2 上，即“”和“”表示同一台主机，因此第三空处应当填

28、写“IN CNAME .”，也可以只填写“CNAME server2”(注：若要填写“A 222.78.68.11”也可实现解析，但违背出题的初衷了)。第四空处应当填写一条反向指针(PTR)资源记录，用来记录在反向搜索区域内的 IP 地址及主机，用户可通过该类型资源记录把 IP 地址映射成主机域名，此处应当填写“PTR ”。(2).server1 服务器是一个 -|_|-。（分数：3.75）A.主域名服务器 B.辅助域名服务器C.缓存域名服务器D.DNS 服务器解析：解析 在区声明部分，用 type 来指定服务器类型是主域名服务器、辅助域名服务器还是缓存域名服务器，master 表示主域名服务

29、器；slave 表示辅助域名服务器；hint 表示缓存域名服务器。本题的正向域名解析区声明和反向域名解析区声明中都指明了 type 为 master，说明这台服务器是主域名服务器。(3)./var/named/named.hosts 文件中阴影一行的含义是 1。（分数：3.75）解析：指明了该单位的邮件交换器是 ，它负责处理邮件地址的主机部分为“”的邮件，“10”表示优先级。解析 划曲线的一行是一条邮件交换器(MX)记录，指定哪些主机负责接收该区域的电子邮件。此处作用是指明了该单位的邮件交换器是 ，它负责处理邮件地址的主机部分为“”的邮件，“10”表示优先级。(4).在 Windows 200

30、3 下，测试 DNS 服务器的程序的命令是 1。若要测试邮件交换器设置是否正确，需要使用的子命令是 2。（分数：3.75）解析：nslookup set type=MX 解析 在域名测试工具中，有许多子命令，但使用最多是的 set type 子命令，它是用来改变测试的资源记录的类型，使用方法如下表所示。 set tpye 使用方法 子命令 用途 子命令 用途 set type=A 查询主机 IP 地址 set type=MX 查询邮件交换器 set type=CNAME 查询别名的真正名称 set type=PTR 如果查询是 IP 地址，则指定计算机名； 否则指定指向其他信息的指针 set

31、type=NS 查询命名区域的 DNS名称服 务器 set type=SOA 查询 DNS 区域的起始授权机构 set type=ANY 指定查询所有数据类型 三、试题三(总题数：1，分数：15.00)说明 某企业采用 Windows 2003 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共Internet 安全地互连起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持，图 1 给出了基于Windows 2003 系统部署 IPSec VPN 的网络结构图。 （分数：15.00）(1).IPSec 工作在 1，它的两种工作模式是 2 和 3。 第

32、一空备选答案 A表示层 B会话层 C传输层 D网络层（分数：3.00）解析：D 传输模式 隧道模式 解析 该大题主要考查在 VPN 和 VPN 配置。 IPsec，即 IP 安全，它是在 IP 层来保证数据的安全性和完整性，因此它工作在网络层。IPSec 有两种工作模式：传输模式和隧道模式。在传输模式下，VPN 服务器只对 IP 数据报中 TCP/UDP 报文段部分进行加密和验证，而 IP 报头仍采用原始明文 IP 报头，只是做适当的修改；但在隧道模式下，VPN 服务器会对整个 IP 数据报进行加密和验证，即将原 IP 数据报看做一个整体进行加密和验证，为了能在 Internet 正确地传送，

33、VPN 服务器还需要重新生成 IP 报头。 IPSec 包括 AH 与 ESP 两个安全机制，其中 AH 协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP 协议定义了加密和可选认证的应用方法，提供可靠性保证。(2).图 2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据，仅需确保收到的数据在传输过程不被篡改，在图 2 中我们只需选择 1；如果在 VPN 中传输的是机密数据，不仅需要保证数据在传输过程中不被篡改，而且还需要对数据进行加密，在图 2 中选择 2。 （分数：3.00）解析：A B 解析 传输非机密数据只需要使用 AH 安全机制，因此在图 2 中只

34、需选中“数据和地址不加密的完整性(AH)(A)”复选框，并选择合适的“完整性算法”即可。对于机密数据，需要使用 ESP 安全机制，因此可在图 2 中选中“数据完整性和加密(ESP)(C)”，并选择合适的“完整性算法”和“加密算法”。(3).在 IKE 执行密钥交换时(建立主要模式 SA 的阶段)，通信双方需要验证对方的身份，Windows 2003 中支持 1、 2 和 3 验证。（分数：3.00）解析：Kerberos 数字证书 预共享密钥 解析 在 IKE 执行密钥交换时(建立主要模式 SA 的阶段)，通信双方需要验证对方的身份，Windows 2003 中支持 3 种验证方法，即 Ker

35、beros、数字证书和预共享密钥。(4).VPN 中的数据加密所使用的方法有 DES 和 3DES，其中 3DES 是执行三次 DES 算法，图 3 所示的是 3DES加密过程。若用 E 和 D 分别表示执行加密和解密算法，则图 3 方框中分别按顺序填写 1、 2 和 3。 （分数：3.00）解析：E D E 解析 三重 DES 使用两个密钥，执行三次 DES 算法，如图 4 所示，图中方框 E 和 D 分别表示执行加密和解密算法。 (5).在整个 VPN 通信中，主要有 1 和 2 两种 VPN 通信方式，而后者又包括“intranetVPN(企业内连 VPN)”和“ExtranetVPN(

36、企业外连 VPN)”。（分数：3.00）解析：远程访问 VPN 路由器到路由器 VPN 解析 在整个 VPN 通信中，主要有两种 VPN 通信方式，适用于两类不同用户选择使用，满足各方面用户与企业 VPN 服务器进行通信的需求。这两种 VPN 通信方式就是俗称的“远程访问VPN”和“路由器到路由器 VPN”，前者也称之为“access VPN”(远程访问 VPN)，后者又包括“intranet VPN(企业内连 VPN)”和“extranet VPN(企业外连 VPN)”。前者是采用 Client-to-LAN(客户端到局域网)的模式，而后者所采用的是 LAN-to-LAN(局域网到局域网)模

37、式。前者适用于单机用户与企业 VPN 服务器之间的 VPN 通信连接，而后者适用于两个企业局域网 VPN 服务器之间的 VPN 通信连接。四、试题四(总题数：1，分数：15.00)说明 网络地址转换(NAT)的主要目的是解决 IP 地址短缺问题以及实现 TCP 负载均衡等。在下图的设计方案中，与 Internet 连接的路由器采用网络地址转换。 （分数：15.00）(1).某学校通过专线上网，申请的合法 Internet IP 地址 202.168.10.1202.168.10.10，使用路由器的NAT 功能进行地址转换，具体配置如下，解释配置命令含义。 version 11.3 no ser

38、vice password-encryption ! hostname 2601 1 ! enable password cisco2006 2 ! ip nat pool aaa 202.168.10.2 202.168.10.10 netmask 255.255.255.240 3 ip nat inside source list 1 pool aaa overload 4 ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside 5 ! interface Serial0 ip address 202.1

39、68.10.1 255.255.255.240 ip nat outside 6 bandwidth 2000 7 clockrate 2000000 ! no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 8 access-list 1 permit 10.1.1.0 0.0.0.255 9 ! ! end（分数：5.00）解析：指定路由器的主机名 设置进入特权模式的口令 指定一个 NAT 地址转换用的地址池，名字是 aaa，其地址范围是 202.168.10.2202.168.10.10，子网掩码为 255.255.255.240 指定对访问控

40、制列表 1 所定义的地址进行 NAT 转换，使用的外部地址的地址池是 aaa 指定 Ethernet0 为 NAT 的内网端口 指定 Serial0 为 NAT 的外网端口 设置端口的速率为 2000kbit/s，即 2Mbit/s 设置一条默认路由，将所有不在本网的数据包从 s0 端中转发 通过一条访问控制列表来指定对内网中的 10.1.1.0/24 网段进行 NAT 地址转换 解析 该大题主要考查NAT 及 NAT 在 Cisco 路由器的配置。 NAT 即地址转换，是指在一个组织网络内部，根据需要可以随意自定义的 IP 地址(不需要经过申请)即假的 IP 地址。在本组织内部，各计算机间通

41、过假的 IP 地址进行通讯。而当组织内部的计算机要与外部Internet 网络进行通信时，具有 NAT 功能的设备(这里是 Cisco 路由器)负责将其假的 IP 地址转换为真的IP 地址，即该组织申请的合法 IP 地址进行通信。简单地说，NAT 就是通过某种方式将 IP 地址进行转换。 NAT 应用场合主要有三个，一是从安全角度考虑上，不想让外部网络用户知道内部网络的结构，可以通过NAT 将内部网络与外部 Internet 隔离开，则外部用户根本不知道内部用户的假 IP 地址。二是从 IP 地址资源角度上，申请的合法 Internet IP 地址很少，而内部网络用户很多。可以通过 NAT 功

42、能实现多个用户同时共用少量合法 IP 与外部 Internet 进行通信。三是从负载均衡角度上，通过 NAT 将大量的并发访问或数据流量分担到多台服务器上分别进行处理，减少用户等待响应的时间。 第一空和第二空都是 Cisco 路由器的基本设置，hostname 是用来指定路由器的主机名，enable password是用来设置进入特权模式的口令。第七空处的 bandwidth 是路由器串行端口设置命令，用来设置端口的速率为 2000kbit/s，即 2Mbit/s。第八空处的 route 是用来设置一条默认路由，将所有不在本网的数据包从S0 端口转发。 第三六空和第九空的主要功能是实现 NAT

43、 地址转换。其中第三空处是用来指定一个 NAT 地址转换用的地址池，名字是 aaa，其地址范围是 202.168.10.2202.168.10.10，子网掩码为 255.255.255.240；第 4空是指定对访问控制列表 1 所定义的地址进行 NAT 转换，使用的外部地址的地址池是 aaa；第五空是指定Ethemet0 为 NAT 的内网端口；第六空处是指定 Seiial0 为 NAT 的外网端口；第九空是通过一条访问控制列表来指定对内网中的 10.1.1.0/24 网段进行 NAT 地址转换。(2).NAT 按技术类型分为 1、 2、 3 三种转换方式。（分数：5.00）解析：静态地址转换

44、 动态地址转换 复用动态地址转换 解析 NAT 设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 (1)静态地址转换。静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有 E-mail、FTP 服务器等可以为外部用户提供服务，这些服务器的 IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 (2)动态地址转换。动态地址转换也是将本地地址与内部合法地址进行一对一的转换，但是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换。 (3)复用动态地址转换。复用动态地址转换首先是一种动态地址转换，但是它可以允许多个

45、内部本地地址共用一个内部合法地址。只申请到少量 IP 地址但经常同时有多于合法地址个数的用户访问外部网络的情况，这种转换极为有用。(3).此配置中采用的转换方式为 -|_|-。（分数：5.00）A.静态地址转换B.动态地址转换C.复用动态地址转换 解析：解析 从命令“ip nat inside source list 1 pool aaa overload”中 overload 关键字可以看出，在本题中使用的是复用动态地址转换。五、试题五(总题数：1，分数：15.00)说明 如下图所示，为了实现交换机 SW1 和 SW2 之间的冗余连接以提高传输速度和可靠性，在这两台交换机使用两条双绞线互连。

46、为了避免网络环路的出现，在两台交换机之间使用了生成树协议(Spanning Tree Protocol，STP)，通过修改 Tmnk(干道)端口的属性，使不同的 VLAN 数据从不同的端口中传输。 （分数：15.00）(1).交换机 SW1 和 SW2 之间使用生成树协议之后，该交换机上的端口总是处于 1、 2、 3 和 44 种状态中的一种。（分数：3.00）解析：阻塞 监听 学习 转发 解析 该大题主要考查交换机中 VLAN 和 STP 的协议配置。 运行生成树协议的交换机上的端口，总是处于下面四个状态中的一个。在正常操作期间，端口处于转发或阻塞状态。当设备识别网络拓扑结构变化时，交换机自

47、动进行状态转换，在这期间端口暂时处于监听和学习状态。 阻塞：所有端口以阻塞状态启动以防止回路。由生成树确定哪个端口转换到转发状态，处于阻塞状态的端口不转发数据但可接收 BPDU。 监听：不发送接收数据，接收并发送 BPDU，不进行地址学习(临时状态)。 学习：不接收或转发数据，接收并发送 BPDU，开始地址学习 MAC 地址表(临时状态)。 转发：端口能转送和接收数据。(2).阅读下面配置信息，将横线处空缺的内容补全。 SW1enable (进入特权模式) SW1 # 1 (进入 VLAN 配置子模式) SW1 (vlan) #vtp server (设置本交换机为 Server 模式) SW1 (vlan) #vtp domain ABC (设置域名) SW1 (vlan) # 2 (启动修剪功能) SW1 (vlan) # 3 (设置 VTP 的版权为 2) SWI (vlan) # 4 (创建 VLAN2，并命名为 v2) SW1 (vlan) # (创建 VLAN3- VLAN6) SW1 (vlan) #exit (退出 VLAN 配置模式) SW1 # s