1、中级网络工程师下午试题-8-2 及答案解析(总分:75.00,做题时间:90 分钟)一、试题一(总题数:1,分数:15.00)说明 假设某公司被分配了一个 C 类地址,网络号是 202.128.236.0,该公司的网络拓扑结构见下图。其中部门A 和部门 B 拥有主机数不会超过 25 台,其他部门及分公司的主机数不会超过 10 台。 (分数:15.00)(1).请为各个部门和分公司分配 IP 地址和子网掩码,IP 地址分配表如下表所示。要求表中子网地址从小到大进行排列,方便与路由汇总。注意:该单位的路由器不支持全 0 子网和全 1 子网。 IP 地址分配表 部门 子网地址 子网掩码 部门 A 1
2、 2 部门 B 3 4 部门 C 5 6 部门 D 7 8 分公司 E 9 10 分公司 F 11 12 (分数:5.00)(2).如果要给广域网线路分配 IP 地址,则子网掩码为 1 最节约 IP 地址。(分数:5.00)(3).设有下面 4 条路由:172.18.129.0/24、172.18.130.0/24、172.18.132.0/24 和 172.18.133.0/24,如果进行路由汇聚,能覆盖这 4 条路由的地址是 1。(分数:5.00)二、试题二(总题数:1,分数:15.00)说明 下面是某学校一台 Linux 服务器下域名服务主配置文件/etc/named.conf 的内容:
3、 options directory “/var/named“; ; zone “.“ IN type hint; file “named.ca“; ; zone “0.0.127.in-addr.arpa“ IN type master; file “named.local“; ; zone “ “ IN type slave; file “named.hosts“; masters202.122.58.101 ; zone “58.112.202.in-addr.arpa “ IN type slave; file “named.hosts“; masters202.122.58.101
4、 ;(分数:15.00)(1).Internet 域名解析的两种方式为 1 和 2。(分数:3.00)(2).服务器类型包括 1、 2、 3。该服务器类型为 4,如果要增加一条主机(A)类型的资源记录,则需要在 5 上完成。(分数:3.00)(3).该服务器是 1 域的域名服务器,该域对应的子网地址是 2。反向域名由两部分组成,域名前半段是 3,而区域后半段必须是 4。 第一空备选答案 A正向域名解析区 B反向域名解析区(分数:3.00)(4).该服务器的高速缓存初始化文件的完整路径为 1。(分数:3.00)(5).当 DNS 服务器启动后,验证其是否工作正常的命令为 1,若想测试一条邮件交换
5、器记录(MX 记录),需要使用的命令为 2。(分数:3.00)三、试题三(总题数:1,分数:15.00)说明 某公司下设三个部门,为了便于管理,每个部门组成一个虚拟局域网,公司网络结构如下图所示。 (分数:15.00)(1).图中,路由器除了实现内部局域网与 Internet 之间数据路由的功能之外,还具有的功能为 1,且通常称具有这种功能的路由器为 2。(分数:3.75)(2).双绞线可以制作成直连线和交叉线两种形式。在图中,路由器与交换机相连,使用的双绞线应制作成 1 形式。(分数:3.75)(3).划分 VLAN 的好处有 1、 2、 3。划分 VLAN 的方式有 4、 5、 6、 7。
6、(分数:3.75)(4).填充 VLAN 信息表。 VLAN 信息表 部门 VLAN 编号 包括的服务器及主机名称 行政部 11 1 市场部 12 2 财务部 13 3 (分数:3.75)四、试题四(总题数:1,分数:15.00)说明 RIP 路由协议是在小型互联网中常用的动态路由协议。为了保证路由器之间交换路由表的完整性,RIP 协议采用报文摘要认证,常用的认证方法是 MD5 认证。在有认证的情况下实现两台路由器的互连,这两台路由器必须配置相同的认证方式和密钥才能进行双方路由的交换,双方必须发送版本 2。(分数:15.00)(1).阅读下面的配置信息,解释横线处的命令。 Router1 (c
7、onfig) # key chain zhang Router1 (config-keychain) # key 1 Router1 (config-keychain-key) # key-string zhang Router1 (config-keychain-key) # exit Router1 (config-keychain) # exit Router1 (config) # interface eth0/0 Router1 (config-if-eth0/0) # ip rip authentication key-chain zhang Router1 (config-if-
8、eth0/0) # ip rip authentication mode md5 1 Router1 (config-if-eth0/0) # ip rip send version 2 2 Router1 (config-if-eth0/0) # ip rip receive version 2 3(分数:5.00)(2).在配置和监视 RIP 路由协议时,有一些查看和调试命令,如下表所示,请填写横线处。 命令 作用 show ip rip database 显示 RIP 路由器数据库 show debugging rip 1 show ip protocols rip 2 debug ip
9、 rip packetsend|receive Debug 输出 RIP 数据报文信息 debug ip rip packet event 3 debug ip rip packet rm Debug 输出 RIP 的 RIM 信息 (分数:5.00)(3).下面是通过 show ip rip database 命令来显示 RIP 数据库信息,请解释下划线的部分的含义。 Router#show ip rip database Network NextHop Metri From Time Rip 182.0.5.0/24 192.168.0.210 1 192.168.1.200 02:40
10、1 Rip 182.0.6.0/24 192.168.0.210 1 192.168.1.200 02:40 2 Connected 192.168.0.0/24 3 Rip 193.100.98.0/24 192.168.0.236 1 192.168.0.236 02:53 (分数:5.00)五、试题五(总题数:1,分数:15.00)说明某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。 (分数:15.00)(1).完成下列命令行,对网络接口进行地址初始化的配置: firewall (config) # ip address inside 1 2 firewall
11、 (config) # ip address outside 3 4(分数:3.00)(2).与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出口 IP 地址。根据网络连接示意图提供的网络参数,完成下列命令行的配置内容,以实现整个内部网络段的多个用户共享一个 IP 地址。 firewall (config) #global (outside) 1 netmask 2 firewall (config) # nat(outside) 3 4(分数:3.00)(3).如果允许内部任意 IP 地址都可以转换出去,则: firewall (config) # nat(outside) 1 2
12、(分数:3.00)(4).访问控制表是防火墙实现安全管理的重要手段。完成下列访问控制列表(access-control-list)的配置内容,使内部所有主机不能访问外部 IP 地址段为 202.1 17.12.0/24 的 Web 服务器。 Firewall (config) # access-list 100 deny tcp 1 202.197.12.0 255.255.255.0 eq 2(分数:3.00)(5).如果使外部所有主机不能访问内部 IP 地址为 192.168.0.10 的 FTP 服务器,仿照上一个访问控制列表的命令行格式,给出访问控制表的命令行。(分数:3.00)中级网
13、络工程师下午试题-8-2 答案解析(总分:75.00,做题时间:90 分钟)一、试题一(总题数:1,分数:15.00)说明 假设某公司被分配了一个 C 类地址,网络号是 202.128.236.0,该公司的网络拓扑结构见下图。其中部门A 和部门 B 拥有主机数不会超过 25 台,其他部门及分公司的主机数不会超过 10 台。 (分数:15.00)(1).请为各个部门和分公司分配 IP 地址和子网掩码,IP 地址分配表如下表所示。要求表中子网地址从小到大进行排列,方便与路由汇总。注意:该单位的路由器不支持全 0 子网和全 1 子网。 IP 地址分配表 部门 子网地址 子网掩码 部门 A 1 2 部
14、门 B 3 4 部门 C 5 6 部门 D 7 8 分公司 E 9 10 分公司 F 11 12 (分数:5.00)解析:128.236.32 255.255.255.224 202.128.236.64 255.255.255.224 202.128.236.96 255.255.255.240 202.128.236.112 255.255.255.240 202.128.236.128 255.255.255.240 202.128.236.144 255.255.255.240 解析 该大题主要考查考生对 VLSM 的理解和操作。 如果子网的主机数至少为 25 台,则主机号必须要有 5
15、 位(2 5 -2=30)才能满足,所以可把 3 位作为子网号,网络号和子网号共 27 位,这样子网掩码为 11111111.11111111.11111111.11100000,即255.255.255.224。如果子网的主机数至少为 10 台,则主机号必须要有 4 位(2 4 -2=14)才能满足,所以可把 4 位作为子网号,网络号和子网号共 28 位,这样子网掩码为11111111.11111111.11111111.11110000,即 255.255.255.240。 划分的思路是:先将这个网络按/27 子网掩码进行划分,将网络划分成 8 个子网(其中第一个和最后一个不能使用),将第
16、二个和第三个子分别分配给部门 A 和部门 B,再将第四个子网一分为二,分别分配给部门 C 和部门 D,将第五个子网一分为二,分别分配给分公司 E 和分公司 F,划分过程如下: (2).如果要给广域网线路分配 IP 地址,则子网掩码为 1 最节约 IP 地址。(分数:5.00)解析:255.252 解析 在广域网串行线路的子网,只需要 2 个地址即可,因此主机号只需要 2 位(2 2 -2=2),即可把 6 位作为子网号,网络号和子网号共 30 位,这样子网掩码为11111111.11111111.11111111.11111100,即 255.255.255.252。(3).设有下面 4 条路
17、由:172.18.129.0/24、172.18.130.0/24、172.18.132.0/24 和 172.18.133.0/24,如果进行路由汇聚,能覆盖这 4 条路由的地址是 1。(分数:5.00)解析:128.0/21 解析 要计算这 4 条路由的路由汇聚,可以找出它们的网络地址的共同前缀和位数,从而确定路由汇聚地址和超网掩码(子网掩码)。 172.18.129.0/24: 10101100 00010010 10000 001 00000000 172.18.130.0/24: 10101100 00010010 10000 010 00000000 172.18.132.0/24
18、: 10101100 00010010 10000 100 00000000 172.18.133.0/24: 10101100 00010010 10000 101 00000000 10101100 00010010 10000 000 00000000 相同位 21: (172) (18) (128) (0) 由此可确定,这 4 条路由有 21 位相同,共同前缀为 172.18.128.0二、试题二(总题数:1,分数:15.00)说明 下面是某学校一台 Linux 服务器下域名服务主配置文件/etc/named.conf 的内容: options directory “/var/name
19、d“; ; zone “.“ IN type hint; file “named.ca“; ; zone “0.0.127.in-addr.arpa“ IN type master; file “named.local“; ; zone “ “ IN type slave; file “named.hosts“; masters202.122.58.101 ; zone “58.112.202.in-addr.arpa “ IN type slave; file “named.hosts“; masters202.122.58.101 ;(分数:15.00)(1).Internet 域名解析
20、的两种方式为 1 和 2。(分数:3.00)解析:递归解析 迭代解析 解析 该大题主要考查 Linux 下 DNS 服务器配置。 /etc/named.conf 文件是 DNS 服务主配置文件,它是 DNS 守护进程 named 启动时读取到内存的第一个文件。在该文件中定义了域名服务器的类型、所授权管理的域以及相应数据库文件和其所在的目录。该文件内容包括一个全局配置选项(options)部分和多个区(zone)声明部分。 将域名映射为 IP 地址或将 IP 地址映射成域名,都称为域名解析。域名解析可以有两种方式。第一种叫递归解析,要求域名服务器系统一次性完成全部名字和地址之间映射。换句话说,解
21、析程序期望服务器提供最终解答,若服务器是该域名的授权服务器,就检查其数据库并响应;若服务器不是授权服务器,该服务器就将请求发送给另一个服务器并等待响应,直到查找到该域名授权服务器,并把响应的结果发送给请求的客户。第二种叫迭代解析,每一次请求一个服务器,不行再请求别的服务器。换言之,若服务器是该域名的授权服务器,就检查其数据库并响应,完成解析;若不是,就返回认为可以解析这个查询的服务器的IP 地址。客户就向第二个服务器重复查询,若新找到的服务器能解决这个问题,就响应并完成解析;否则,就向客户返回一个新服务器的 IP 地址。客户如此重复同样的查询,直到找到该域名授权服务器。(2).服务器类型包括
22、1、 2、 3。该服务器类型为 4,如果要增加一条主机(A)类型的资源记录,则需要在 5 上完成。(分数:3.00)解析:主域名服务器 辅助域名服务器 缓存域名服务器 辅助域名服务器 主域名服务器 解析 区(zone)声明部分可以用 type 来指定服务器类型,说明这台服务器是主域名服务器、辅助域名服务器还是缓存域名服务器。master 说明是一个区的主域名服务器;hint 说明一个区的高速缓冲文件;slave 说明一个区的辅助域名服务器。本题中的正向域名解析区声明和反向域名解析区声明中都指明了 type 为 slaver,则这台服务器是辅助域名服务器,其埘应的主域名服务器由 master 语
23、句来定,为 202.122.58.101 这台主机。辅助域名服务器中的区域文件内的数据是从另外主域名服务器复制过来的,并不是直接输入的,也就是说这个区域文件的数据只是一份副本,这里的数据是无法修改的,修改资源记录必须在主域名服务器中完成。(3).该服务器是 1 域的域名服务器,该域对应的子网地址是 2。反向域名由两部分组成,域名前半段是 3,而区域后半段必须是 4。 第一空备选答案 A正向域名解析区 B反向域名解析区(分数:3.00)解析:A 网络 ID 反向书写 in-addr.arpa 解析 该域名服务器完成解析的域是由正向域名解析区声明来确定,为 ;该域对应的子网地址是由反向域名解析区
24、声明来确定,而反向域名有两部分组成,域名前半段是其网络 ID反向书写,而区域后半段必须是“in-addr.arpa”。因此反向域对应的子网地址是 202.1 12.58.0/24。(4).该服务器的高速缓存初始化文件的完整路径为 1。(分数:3.00)解析:/var/named/解析 一般来说,每个域名服务器都维护一个高速缓存服务器,高速缓存初始化文件来是由根声明区中 file 语句来确定,在本题中是 named.ca,其存放目录是由全局声明区 directory 语句来说明,为/var/named/。(5).当 DNS 服务器启动后,验证其是否工作正常的命令为 1,若想测试一条邮件交换器记录
25、(MX 记录),需要使用的命令为 2。(分数:3.00)解析:nslookup set type=MX 解析 域名服务的测试工具是 nslookup;测试一条邮件交换器记录(MX 记录),需要使用set type=MX 子命令。三、试题三(总题数:1,分数:15.00)说明 某公司下设三个部门,为了便于管理,每个部门组成一个虚拟局域网,公司网络结构如下图所示。 (分数:15.00)(1).图中,路由器除了实现内部局域网与 Internet 之间数据路由的功能之外,还具有的功能为 1,且通常称具有这种功能的路由器为 2。(分数:3.75)解析:实现各 VLAN 之间的数据转发 独臂路由器 解析
26、该大题主要考查通过独臂路由器实现 VLAN 的配置。 在图中,三台交换机都是两层交换机,不能完成各 VLAN 之间的数据转发,因此,该路由器不但要实现内部局域网与 Internet 之间数据路由,还要实现各 VLAN 之间的数据转发,通常称为这种路由器为独臂路由器。(2).双绞线可以制作成直连线和交叉线两种形式。在图中,路由器与交换机相连,使用的双绞线应制作成 1 形式。(分数:3.75)解析:直连线解析 路由器的实质是一台运行路由软件的主机,因此它与交换机相连应使用直连线。(3).划分 VLAN 的好处有 1、 2、 3。划分 VLAN 的方式有 4、 5、 6、 7。(分数:3.75)解析
27、:对网络进行了分段 对广播进行了有效控制 增强了网络的灵活性和安全性 基于端口划分 基于 MAC 地址划分 基于第三层地址划分 基于策略划分(或基于应用划分)(4).填充 VLAN 信息表。 VLAN 信息表 部门 VLAN 编号 包括的服务器及主机名称 行政部 11 1 市场部 12 2 财务部 13 3 (分数:3.75)解析:Server3、Computer2 和 Computer5 Server2、Computer3 和 Computer6 Servet1、Computer1 和 Computer4 解析 从三台交换机的配置可以看出,Switch1 的 f0/9 端口、Switch2
28、的 f0/6 端口、Switch3 的 f0/3 端口都有一个相同的配置“switchpoft access vlan 11”,它们都属于同一 VLAN11,因此 Server3、Computer2 和 Computer5 同属于 VLAN11。同样的方法,可以判断Server2、Computer3 和 Computer6 同属于 VLAN12,Server1、Computer1 和 Computer4 同属于 VLAN13。四、试题四(总题数:1,分数:15.00)说明 RIP 路由协议是在小型互联网中常用的动态路由协议。为了保证路由器之间交换路由表的完整性,RIP 协议采用报文摘要认证,常
29、用的认证方法是 MD5 认证。在有认证的情况下实现两台路由器的互连,这两台路由器必须配置相同的认证方式和密钥才能进行双方路由的交换,双方必须发送版本 2。(分数:15.00)(1).阅读下面的配置信息,解释横线处的命令。 Router1 (config) # key chain zhang Router1 (config-keychain) # key 1 Router1 (config-keychain-key) # key-string zhang Router1 (config-keychain-key) # exit Router1 (config-keychain) # exit R
30、outer1 (config) # interface eth0/0 Router1 (config-if-eth0/0) # ip rip authentication key-chain zhang Router1 (config-if-eth0/0) # ip rip authentication mode md5 1 Router1 (config-if-eth0/0) # ip rip send version 2 2 Router1 (config-if-eth0/0) # ip rip receive version 2 3(分数:5.00)解析:设置 MD5 认证 配置发送版本
31、 2 配置接收版本 2 解析 命令“ip rip authentication mode”为设置认证模式;命令“ip rip send version”为配置发送版本;命令“ip rip receive version”为配置接收版本。(2).在配置和监视 RIP 路由协议时,有一些查看和调试命令,如下表所示,请填写横线处。 命令 作用 show ip rip database 显示 RIP 路由器数据库 show debugging rip 1 show ip protocols rip 2 debug ip rip packetsend|receive Debug 输出 RIP 数据报文信
32、息 debug ip rip packet event 3 debug ip rip packet rm Debug 输出 RIP 的 RIM 信息 (分数:5.00)解析:显示 RIP 的 debug 状态 显示 RIP 协议概要信息 Debug 输出 RIP 数据信息事件 解析 命令“show debugging rip”为显示 RIP 的 debug 状态;命令“show ip protocols rip”显示 RIP 协议概要信息;命令“debug ip tip packet event”为 Debug 输出RIP 数据信息事件。(3).下面是通过 show ip rip databa
33、se 命令来显示 RIP 数据库信息,请解释下划线的部分的含义。 Router#show ip rip database Network NextHop Metri From Time Rip 182.0.5.0/24 192.168.0.210 1 192.168.1.200 02:40 1 Rip 182.0.6.0/24 192.168.0.210 1 192.168.1.200 02:40 2 Connected 192.168.0.0/24 3 Rip 193.100.98.0/24 192.168.0.236 1 192.168.0.236 02:53 (分数:5.00)解析:本路
34、由的下一跳地址为 192.168.0.210 用来显示当前定时器定时时间长度,当路由没有过期的时候,显示的是无效定时时间长度;路由过期时,显示的是删除定时器的时间长度 表示该路由器直连路由 解析 NextHop 为本路由的下一跳地址为 192.168.0.210;Time 用来显示当前定时器定时时间长度,当路由没有过期的时候,显示的是无效定时时间长度;路由过期时,显示的是删除定时器的时间长度;Connected 192.168.0.0/24 表示该路由器直连路由。五、试题五(总题数:1,分数:15.00)说明某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。 (分数:
35、15.00)(1).完成下列命令行,对网络接口进行地址初始化的配置: firewall (config) # ip address inside 1 2 firewall (config) # ip address outside 3 4(分数:3.00)解析:0.1 255.255.255.0 202.117.12.37 255.255.255.252 解析 根据网络拓扑图可以看出,该防火墙的内网端口的地址是 192.168.0.1,采用24 位子网掩码,即 255.255.255.0;防火墙的外网端口的地址是 202.117.12.37,采用 30 位子网掩码,即 255.255.255.
36、252。(2).与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出口 IP 地址。根据网络连接示意图提供的网络参数,完成下列命令行的配置内容,以实现整个内部网络段的多个用户共享一个 IP 地址。 firewall (config) #global (outside) 1 netmask 2 firewall (config) # nat(outside) 3 4(分数:3.00)解析:12.37 255.255.255.252 1 192.168.0.0 255.255.255.0 解析 global 命令把内网的 ip 地址翻译成外网的 ip 地址或一段地址范围。其命令格式为: F
37、irewall(config) # global ( if_name ) nat_id ip_address-ip_address netmask global_mask 从图所示可知,外网的 ip 地址只有一个,即 202.1 17.12.37,子网掩码 255.255.255.252。因此,第五空应填写“1 202.117.12.37”,第六空应填写“255.255.255.252”。 nat 命令的作用是将内网的私有 ip 转换为外网的公有 ip,nat 命令总是与 global 命令一起使用。其命令格式为: Firewall(config)# nat ( if_name ) nat_i
38、d local_ip netmask 从图所示可知,需要进行地址转换的 192.168.0.0/24 这个网段。因此,第七空应填写“1 192.168.0.0”,第八空应填写“255.255.255.0”。(3).如果允许内部任意 IP 地址都可以转换出去,则: firewall (config) # nat(outside) 1 2(分数:3.00)解析:0.0 或(1 0) 0.0.0.0(或 0) 解析 如果允许内部任意 ip 地址都可以转换出去,则 local_ip 参数应为 0.0.0.0,而netmask 也应是 0.0.0.0。因此,第九空应填写“1 0.0.0.0”,第十空应填
39、写“0.0.0.0”。(4).访问控制表是防火墙实现安全管理的重要手段。完成下列访问控制列表(access-control-list)的配置内容,使内部所有主机不能访问外部 IP 地址段为 202.1 17.12.0/24 的 Web 服务器。 Firewall (config) # access-list 100 deny tcp 1 202.197.12.0 255.255.255.0 eq 2(分数:3.00)解析:any 80 或 www 解析 第十一空要写出表示任何一台主机的 IP 地址,可有两种写法,一种是“0.0.0.0 0.0.0.0”,另一种是 any。第十二空要写出访问 W
40、eb 主机的协议号或协议名,因此可以填写 80 或 www。(5).如果使外部所有主机不能访问内部 IP 地址为 192.168.0.10 的 FTP 服务器,仿照上一个访问控制列表的命令行格式,给出访问控制表的命令行。(分数:3.00)解析:firewall(config)#access-list 100 deny tcp any host 192.168.0.10 eq 21 或: firewall(config)#access-list 100 deny tcp any 192.168.0.10 255.255.255.255 eq fqp 解析 根据题意,可以明确以下几点:邱的传输层协议为 tcp,端口号为 21;源地址是所有主机(用 any 表示);目的主机是一台计算机,有西种表示方法,一种是 host 192.168.0.10,另一种表示方法是“192.168.0.10 255.255.255.255”。有了这些信息,就能很容易写出访问控制列表。