【计算机类职业资格】软件水平考试（中级）网络工程师下午应用技术（路由器与网络互联）历年真题试卷汇编2及答案解析.doc

1、软件水平考试（中级）网络工程师下午应用技术（路由器与网络互联）历年真题试卷汇编 2 及答案解析(总分：56.00，做题时间：90 分钟)一、试题一(总题数：11，分数：56.00)1.试题一（）_阅读以下说明，回答问题。 说明某校园网物理地点分布如图 33 所示，拓扑结构如图 34 所示。（分数：6.00）(1).由图 33 可见，网络中心与图书馆相距 700 米，而且两者之间采用千兆连接，那么两个楼之间的通信介质应选择(1)，理由是(2)。 (1)备选答案： A单模光纤 B多模光纤 C同轴电缆 D双绞线（分数：2.00）_(2).校园网对校内提供 VOD 服务，对外提供 Web 服务，同时进

2、行网络流量监控。对以上服务器进行部署：VOD 服务器部署在(3)；Web 服务器部署在(4)；网络流量监控服务器部署在(5)。 (3)(5)备选答案： A核心交换机端口 B核心交换机镜像端口 C汇聚交换机端口 D接入交换机端口 E防火墙 DMZ 端口 以上三种服务器中通常发出数据流量最大的是(6)。（分数：2.00）_(3).校园网在进行 IP 地址部署时，给某基层单位分配了一个 C 类地址块 192168110024，该单位的计算机数量分布如表 3-1 所示。要求各部门处于不同的网段，请将表 3-2 中的(7)(14)处空缺的主机地址(或范围)和子网掩码填写在答题纸的相应位置。 （分数：2.

3、00）_2.IPv6 将 IP 地址空间从(1)位扩展到(2)位。（分数：2.00）_3.子网掩码为 2552552550 代表什么意义?（分数：2.00）_4.单位分配到一个 B 类的 IP 地址，其 Net ID 为 17225000。该单位有 4000 台机器，分布在 16 个不同的地点。请分析： (1)选用子网掩码为 2552552550 是否适合； (2)给每一个地点分配一个子网号码，算出每个主机号码的最小值和最大值。（分数：2.00）_阅读以下说明，回答问题。 说明某企业的网络结构如图 3-7 所示。 按照该网络拓扑结构为该企业网络进行 IP 地址和 VLAN 规划，具体规划如表

4、3-7 所示。 （分数：8.00）(1).访问控制列表 ACL 可以通过编号或(1)；ACL 分为两种类型，其中(2)ACL 只能根据源地址进行过滤，(3)ACL 使用源地址、目标地址、上层协议和协议信息进行过滤。（分数：2.00）_(2).在网络使用中，该企业要求所有部门都可以访问 FTP 和 Web 服务器，只有财务部可以访问 DataBase服务器；同时，网络管理员可以访问所有网络资源，禁止非网络管理员访问交换设备。根据需求，完成核心交换机 Route-Switch 以下配置命令。 RouteSwitch(config)#access-liSt 101 permit ip host 19

5、216810010 any RouteSwitch(config)#access-list 101 permit tcp any host 1921681010 eq ftp RouteSwitch(config)=#accesS-list 101 permit(4)eq WWW 允许所有主机访问 Web 服务器 RouteSwitch(config)#accesS-liSt 101 permit(5) 允许财务部访问Datebase 服务器 RouteSwitch(config)#acceSS-liSt 101 deny any any RouteSwitch(config)#int VLA

6、N 10 RouteSwitch(configif)#ip accessgroup 10l in在 VLAN 的入方向应用 acl 101 RouteSwitch(config)#accesS 一 list 102 deny any any RouteSwitch(config)#int VLAN 1 RouteSwitch(configif)#(6) 禁止非网管用户访问网络设备和网管服务器等（分数：2.00）_(3).企业员工访问互联网时，为了财务部门的安全，必须限制财务部门的互联网访问请求：要求员工只能在周一至周五 08：0018：00 和周末 08：0012：00 这两个时间段访问互联网

7、。根据需求，完成或(解释)核心交换机 Route-Switch 的部分配置命令。 RouteSwitch(config)#timerange telnettime定义时间范围 Route-Switch(configtimerange)#periodic weekday(7) 定制周期性执行时间为工作日的 08：0018：00 RouteSwitch(configtimerange)#periodic weekend 08：00 to 12：00 (8) RouteSwitch(configtimerange)#exit RouteSwitch (config)#access 一 liSt 10

8、4 deny ip 19216830 000255 any (9) RouteSwitch(config)acceSS 一 list 104 deny ip any any timerange teinettime 6 用访问控制时间，定义流量筛选条件 RouteSwitch(config)#int f06 RouteSwitch(configif)#(10)在接口 f06 的出方向应用 acl 104规则（分数：2.00）_(4).随着企业业务的不断扩大，企业新建了很多分支机构，为了满足各地新建分支机构和移动办公人员使用企业网络的需求。比较经济快捷的做法是选择 VPN 技术来实现这种办公需求

9、。该技术根据连接主体的不同，针对移动办公和家庭办公可以采用的连接方式为(11)连接方式，针对分支机构长期性的使用，可以采用(12)连接方式。 空(11)、(12)备选答案： A远程访问的 VPN B站点到站点的 VPN（分数：2.00）_阅读以下说明，回答问题。(2012 年上半年下午试题五) 说明某公司总部内采用 RIP 协议，网络拓扑结构如图 38 所示。根据业务需求，公司总部的 19216840024 网段与分公司的192168100024 网段通过 VPN 实现互联。 （分数：4.00）(1).根据网络拓扑和需求说明，完成路由器 R2 的配置。R2#config tR2(config)

10、#interface serial 00R2(configif)#ip address(1)(2)R2(configif)#no shutdownR2(configif)#exitR2(config)#ip routingR2(config)#router(3)；(进入 RIP 协议配置子模式)R2(configrouter)#network(4)R2(configrouter)#network(5)R2(configrouter)#network(6)R2(configrouter)#version 2 (设置RIP 协议版本 2)R2(configrouter)#exit（分数：2.00）

11、_(2).根据网络拓扑和需求说明，完成(或解释)路由器 R1 的配置。R1(config)#interface serial 00R1(configif)#ip addresS(7)(8)R1(configif)#no shutdownR1(config)#ip route 1921681000 000255 20210023 ；(9)R1(config)#crypto isakmp policy 1R1(configisakmp)#authentication pre-share ；(10)R1(configisakmp)#encryption 3des；加密使用 3DES 算法 R1(co

12、nfigisakmp)#hash md5；定义 MD5 算法 R1(config)#crypto itakmp key testl23 address(11)；设置密钥为 test123 和对端地址 Rl(config)#crypto isakmp transform-set 1ink ah-md5-h esp-3des；指定 VPN 的加密和认证算法。R1(config)#accress 一 liSt 300 permit ip 1921681000 000255 ；配置 ACLRl(config)#crypto map vpntest 1 ipsec-isakmp；创建crypto map

13、 名字为 vpntestRl(configcryptomap)#set peer 20210023；指定链路对端的 IP 地址 Rl(configcryptomap)#set transfrom-set link；指定传输模式 linkR1(configcryptomap)#match address 300；指定应用访问控制列表 R1(config)拌 interface serial 00R1(config)#crypto map(12)；应用到接口（分数：2.00）_某公司网络结构如图 3-9 所示，通过在路由器上配置访问控制列表 ACL 来提高内部网络和 Web 服务器的安全。(201

14、1 年下半年下午试题四) （分数：10.00）(1).访问控制列表(ACL)对流入流出路由器各端口的数据包进行过滤。ACL 按照其功能分为两类：(1)只能根据数据包的源地址进行过滤；(2)可以根据源地址、目的地址以及端口号进行过滤。（分数：2.00）_(2).根据图 3-9 的配置，补充完成下面路由器的配置命令。 Router(config)#interface(3) Router(config-if)#ip address 1010112 552552550 Router(configif)#no shutdown Router(configif)#exit Router(config)#i

15、nterface(4) Router(config-if)#ip address 19216811 2552552550 Router(config)#interface(5) Router(config-if)#ip address 101021 2552552550（分数：2.00）_(3).补充完成下面的 ACL 语句，禁止内网用户 1921681254 访问公司 Web 服务器和外网。 Router(config)#access-list 1 deny(6) Router(config)#access-list 1 permit any Router(config)#interface

16、 ethernet 01 Router(config-if)#ip accessgroup (7)（分数：2.00）_(4).请说明下面这组 ACL 语句的功能。 Router fconfig)#access-list 101 permit tcp any host 1010110 eq www Router(config)#interface ethernet 00 Router(configif)#ip accessgroup 101 Out（分数：2.00）_(5).请在上题的 ACL 前面添加一条语句，使得内网主机 19216812 可以使用 telnet 对 Web 服务器进行维护。

17、 Router(config)#access-list 101(8)（分数：2.00）_阅读以下说明，回答问题。(2011 年下半年下午试题五) 说明某单位在实验室部署了 IPv6 主机，在对现有网络不升级的情况下，计划采用 NAT-PT 方式进行过渡，实现 IPv4 主机与 IPv6 主机之间的通信，其网络结构如图 3-10 所示。其中，IPv6 网络使用的 NAT-PT 的前缀是2001aaaa0：0：0：1：96，IPv6W 网络中的任意节点动态映射到地址池 1623-311016233120 中的 IPv4 地址。 （分数：6.00）(1).使用 NATPT 方式完成 IPv4 主机与

18、 IPv6 主机通信，需要路由器支持，在路由器上需要配置DNSALG 和 FTPALG 这两种常用的应用网关。 没有 DNS-ALG 和 FTP-ALG 的支持，实现(1)节点发起的与(2)节点之间的通信。（分数：2.00）_(2).根据网络拓扑和需求说明，完成(或解释)路由器 R1 的配置。 R1#configure terminal；进入全局配置模式 R1(config)#interface ethernet0；进入端口配置模式 R1(config-if)#ip address(3)(4)；配置端口 IP 地址 R1(configif)#ipv6：nat；(5) R1(configif)#

19、interface ethernetl R1(configif)#ipv6 addresS(6)64 R1(configif)#ipv6 nat R1(config)#ipv6 access 一 list ipv6 permit 2001：aaaa：164 any；(7) R1(config)#ipv6 nat prefix(8) R1(config)#ipv6 nat v6v4 pool ipv4-pool(9)(10)prefix-length R1(config)#ipv6 rlaIc v6v4 sourse 1ist ipv6 pool ipv4-pool R1(config)#exi

20、t（分数：2.00）_(3).NAT-PT 机制定义三种不同类型的操作，其中，(11)提供一对一的 IPv6 地址和 IPv4 地址的映射，(12)也提供一对一的映射，但是使用一个 IPv4 地址池；(13)提供多个有 NAT-PT 前缀的 IPv6 地址和一个源 IPv4地址间的多对一动态映射。（分数：2.00）_阅读以下说明，回答问题。(2011 年上半年下午试题四) 说明某公司两分支机构之间的网络配置如图 3-11 所示。为保护通信安全，在路由器 router-a 和 router-b 上配置 IPSec 安全策略，对1921688024 网段和 1921689024 网段之间的数据进行

21、加密处理。 （分数：10.00）(1).为建立两个分支机构之间的通信，请完成下面的路由配置命令。 Routera(config)#ip router 0000 0000 (1) Routerb(config)#ip router 0000 0000 (2)（分数：2.00）_(2).下面的命令是在路由器 router-a 中配置 IPSec 隧道。请完成下面的隧道配置命令。 routera(config)#crypto tunnel tunl (设置 IPSec 隧道名称为 tunl) routera(configtunnel)#peer address (3) (设置隧道对端 IP 地址)

22、routera(configtunnel)#local address (4) (设置隧道本端IP 地址) router-a(configtunnel)#set auto-up (设置为自动协商) routera(configtunnel)#exit (退出隧道设置)（分数：2.00）_(3).router-a 与 router-b 之间采用预共享密钥“12345678”建立 IPSec 安全关联，请完成下面的配置命令。 routera(config)#crypt ike key 12345 689 addreSS (5) routerb(config)#crypt ike key 12345

23、6789 addresS (6)（分数：2.00）_(4).下面的命令在路由器 router-a 中配置了相应的 IPSec 策略，请说明该策略的含义。 Routera(config)#crypto policy p1 Routera(configpolicy)#flow 19216880 2552552550 19216890 2552552550 ip tunnel tunl（分数：2.00）_(5).下面的命令在路由器 router-a 中配置了相应的 IPSec 提议。 routera(config)#crypto ipsec proposal Secpl routera(config

24、ipsecprop)#esp 3deS shal routera(configipsecprop)#exit 该提议表明：IPsec 采用 ESP 报文，加密算法采用 (7) ，认证算法采用 (8) 。（分数：2.00）_阅读以下说明，回答问题。(2011 年上半年下午试题五)说明某单位网络拓扑结构示意图如图 3-12 所示。该网络采用 RIP 协议，要求在 R2 上使用访问控制列表禁止网络 19216820024 上的主机访问网络19216810024，在 R3 上使用访问控制列表禁止网络 19216820024 上的主机访问101010024 上的 Web 服务，但允许访问其他服务器。 （

25、分数：6.00）(1).下面是路由器 RI 的部分配置，请根据题目要求，完成下列配置。R1(config)#interface Seria10R1(configif)#ip address (1) (2)R1(config)#ip routingR1(config)#(3) (进入 RIP 协议配置子模式)R1(configrouter)#(4) (声明网络 1921681024)（分数：2.00）_(2).R2#config tR2(config)#accesslist 50 deny 192168200 000255R2(config)#accesslist 50 permit anyR2

26、(config)#interface (5)R2(config-if)#ip accessgroup (6) (7)（分数：2.00）_(3).1下面是路由器 R3 的部分配置，请根据题目要求，完成下列配置。R3(config)#accesslist 110 deny (8) 1921 8200 000255 1010100 0002 55 eq (9)R3(config)#access-list 110 permit ip any any2上述两条语句的次序：是否可以调整?简单说明理由。（分数：2.00）_软件水平考试（中级）网络工程师下午应用技术（路由器与网络互联）历年真题试卷汇编 2 答

27、案解析(总分：56.00，做题时间：90 分钟)一、试题一(总题数：11，分数：56.00)1.试题一（）_解析：阅读以下说明，回答问题。 说明某校园网物理地点分布如图 33 所示，拓扑结构如图 34 所示。（分数：6.00）(1).由图 33 可见，网络中心与图书馆相距 700 米，而且两者之间采用千兆连接，那么两个楼之间的通信介质应选择(1)，理由是(2)。 (1)备选答案： A单模光纤 B多模光纤 C同轴电缆 D双绞线（分数：2.00）_正确答案：(正确答案：(1)A 或单模光纤 (2)要点：传输速率千兆，距离超过 550 m)解析：解析：按照千兆以太网的规范，使用双绞线其传输距离是中间

28、的线缆长度+两端的跳线长度不能超过 100 m。同轴电缆在千兆传输时能够达到 25 m 的距离。多模光纤在千兆传输时数据通信的距离规范为220550 m，其中当使用的光纤核心直径是 625m 时，通信距离为 220 m，光纤核心直径是 50m 时；通信距离为 550 m。对于单模光纤而言，在千兆传输时最大连接距离可达 5 km。按照题目要求，网络中心与图书馆相距 700 m，而且两者之间采用千兆连接，那么两个楼之间的通信介质应选择单模光纤。(2).校园网对校内提供 VOD 服务，对外提供 Web 服务，同时进行网络流量监控。对以上服务器进行部署：VOD 服务器部署在(3)；Web 服务器部署在

29、(4)；网络流量监控服务器部署在(5)。 (3)(5)备选答案： A核心交换机端口 B核心交换机镜像端口 C汇聚交换机端口 D接入交换机端口 E防火墙 DMZ 端口 以上三种服务器中通常发出数据流量最大的是(6)。（分数：2.00）_正确答案：(正确答案：(3)A 或核心交换机端口 (4)E 或防火墙 DMZ 端口 (5)B 或核心交换机镜像端口 (6)VOD 服务)解析：解析：在部署服务器时应充分考虑到功能、服务提供对象、流量和安全等因素。按照题目要求，VOD 服务器对校内提供服务，且其流量较大，所以应部署在核心交换机端口。而 Web 服务器需对外提供服务，一般部署在防火墙 DMz 端口。网

30、络流量监控服务器需要监听交换网络中的所有流量，但是通过普通交换机端口去获取这些流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口的数据转发到某一个端口来实现对网络的监听，这个端口就是镜像端口，因而网络流量监控服务器需要部署在镜像端口。(3).校园网在进行 IP 地址部署时，给某基层单位分配了一个 C 类地址块 192168110024，该单位的计算机数量分布如表 3-1 所示。要求各部门处于不同的网段，请将表 3-2 中的(7)(14)处空缺的主机地址(或范围)和子网掩码填写在答题纸的相应位置。 （分数：2.00）_正确答案：(正确答案：(7)192168110126 说明：(8)(

31、10)正确答案有 4 种组合，每种组合均正确。组合 1： (8)192168110129192168110190 (9) 192168110193192168110222 (10)192168110225192168110254 组合 2： (8)192168110129192168110190 (9)192168110225192168110254 (10)192168110193192168110222 组合 3： (8)192168110193192168110254 (9)192168110129192168110158 (10)192168110161192168110190 组合

32、4： (8)1921681 101931921681 10254 (9)1921681101611921 68110190 (10)192168110129192168110158 (11)255255255128 (12)255255255192 (13)255255255224 (14)255255255224)解析：解析：在进行 IP 地址部署时，由于要令各部门处于不同的网段，这样就要求在给定的网段内划分地址。由题目可知，教师机房的起始地址为 1921681100，主机数量为 100 台，因此其子网掩码为255255255128，可用地址为 1921681101192168110126；

33、教研室 A 分配的 IP 地址不能少于 32 个可用地址，因此其子网掩码为 255255255192；教研室 B、教研室 C 可用地址不能少于20 和 25，因此其子网掩码为 255255255224。其中，只有教师机房的起始地址固定，其他的可组合分配。2.IPv6 将 IP 地址空间从(1)位扩展到(2)位。（分数：2.00）_正确答案：(正确答案：(1) 32 (2) 128)解析：3.子网掩码为 2552552550 代表什么意义?（分数：2.00）_正确答案：(正确答案：若是 A 类网络的子网掩码，则前 8 位为网络号，中间 16 位为子网号，最后 8 位为主机号；若是 B 类网络，则

34、前 16 位为网络号，中间 8 位为子网号，最后 8 位为主机号；若是 C 类网络，则为 C 类网络的默认子网掩码。)解析：4.单位分配到一个 B 类的 IP 地址，其 Net ID 为 17225000。该单位有 4000 台机器，分布在 16 个不同的地点。请分析： (1)选用子网掩码为 2552552550 是否适合； (2)给每一个地点分配一个子网号码，算出每个主机号码的最小值和最大值。（分数：2.00）_正确答案：(正确答案：(1)选用子网掩码为 2552552550，子网位有 8 位，每个子网最多有 254 台主机(2 8 -2=254)。如果 4000 台机器是平均分配的，则 4

35、00016=250 台不超过 254 台，选用这个子网掩码是合适的；如果不是平均分配，当某个子网主机数目超过了 254 台，选用这个子网掩码是不合适的。(2)如果还是选用 2552552550 作为子网掩码，每个子网中主机号为 0001000254)解析：阅读以下说明，回答问题。 说明某企业的网络结构如图 3-7 所示。 按照该网络拓扑结构为该企业网络进行 IP 地址和 VLAN 规划，具体规划如表 3-7 所示。 （分数：8.00）(1).访问控制列表 ACL 可以通过编号或(1)；ACL 分为两种类型，其中(2)ACL 只能根据源地址进行过滤，(3)ACL 使用源地址、目标地址、上层协议和

36、协议信息进行过滤。（分数：2.00）_正确答案：(正确答案：(1)名字(2)标准型(3)扩展)解析：解析：路由器能够提供初级防火墙的功能，该功能是通过路由器提供的访问控制列表(Access Control List，ALC)功能实现，它可以根据一些准则过滤不安全的数据包，如攻击包、病毒包等，以保证网络的可靠性和安全性。访问控制列表 ACL 可以通过编号或名字。 IP 访问控制列表主要有两种类型，一类是标准访问控制列表(IP Standard Access List)，一类是扩展访问控制列表(IP Extended Access Lists)。 标准访问列表只对数据包中的源地址进行检查，而不考虑

37、目的地址及端口号等过滤选项，表号为 199。 扩展访问控制列表除了检查源地址和目的地址外，还可以检查指定的协议，根据数据包头中的协议类型进行过滤；还可以检查端口号，根据端口号对数据包进行过滤。扩展访问控制列表的表号范围是 100199，后来又进行了扩展，扩展的表号是 20002699。(2).在网络使用中，该企业要求所有部门都可以访问 FTP 和 Web 服务器，只有财务部可以访问 DataBase服务器；同时，网络管理员可以访问所有网络资源，禁止非网络管理员访问交换设备。根据需求，完成核心交换机 Route-Switch 以下配置命令。 RouteSwitch(config)#access-liSt 101 permit ip host 19216810010 any RouteSwitch(config)#access-list 101 permit tcp any host 1921681010 eq f