【计算机类职业资格】软件水平考试（中级）网络工程师下午（应用技术）试题-试卷13及答案解析.doc

1、软件水平考试（中级）网络工程师下午（应用技术）试题-试卷 13及答案解析(总分：72.00，做题时间：90 分钟)一、试题一(总题数：2，分数：20.00)1.试题一（）（分数：10.00）_阅读以下说明，回答问题 1 至问题 5，将解答填入对应的解答栏内。 HFC(Hybird Fiber-coaxial cable，混合光纤同轴电缆网)接入技术是以现有的有线电视网(CATV)为基础，综合应用模拟和数字传输技术、射频技术和计算机技术所产生的一种宽带接入网技术。图 1-1 所示的是 HFC 网络系统结构。（分数：10.00）(1).图 1-1 中(1)、(2)、(3)空缺名称分别应填(1)、(

2、2)、(3)。（分数：2.00）_(2).图 1-1 中处空缺的传输介质名称分别是(4)、(5)、(6)。（分数：2.00）_(3).在 HFC 网络中从局端到用户端的数据传输过程中，语音信号、(7)和(8)送入合成器并形成混合信号，经光缆线路送到各小区的光纤节点，再经(9)将其传送到各用户综合服务单元。（分数：2.00）_(4).在本质上，HFC 采用的技术是_。 (10)备选答案： A时分复用 B码分复用 C频分复用 D波分复用（分数：2.00）_(5).Cable Modem 主要有(11)、(12)、加/解密设备、网络接口卡和(13)组成，最高上行速率可达(14)。（分数：2.00）_

3、二、试题二(总题数：2，分数：8.00)2.试题二（）（分数：4.00）_阅读以下说明，回答问题 12，将解答填入对应栏内。 VPN 是通过公用网络 Internet 将分布在不同地点的终端联接而成的专用网络。目前大多采用 IPsec 实现 IP 网络上端点间的认证和加密服务。（分数：4.00）(1).某公司的网络拓扑结构如图 2-1 所示，采用 VPN 来实现网络安全。请简要叙述从公司总部主机到分支机构主机通过 IPsec 的通信过程。 （分数：2.00）_(2).某路由器的部分配置信息如下所示，请解释其中标有下划线部分的含义(“/”后为注释内容)。 *配置路由器信息 version 12.

4、0 hostname SecRouter boot system flash c1700-osy56i-mz 120-3-T3.bin /应用 IKE 共享密钥进行认证 crypto isakmp policy 100 (1) hash md5 (2) /uauthentication pre-share (3) /与远端 IP 为 172.16.2.1 的对等体的共享密钥为“mcns” crypto isakmp key mcns address 172.16.2.1 (4) crypto ipsec transform-set l&2 esp-des esp-md5-hmac (5) /配

5、置加密图 /指定用 IKE 来建立 IPSec 安全关联，以保护由该加密图条目所指定的数据流 crypto map sharef 10 ipsec-isakmp (6) set peer 172.16.2.1 (7) set transform-set 1&2 (8) match address 151 /配置接口 interface serial0 ip address 172.16.1.1 255.255.255.252 ip access-group 101 in crypto map sharef (9) interface FastEthernet0 end（分数：2.00）_三、试

6、题三(总题数：2，分数：20.00)3.试题三（）（分数：10.00）_阅读以下说明，回答问题 1 到问题 5。将答案填入对应的解答栏内。 某企业采用 Windows 2003 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共 Internet 安全地互联起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持，图 3-1 给出了基于 Windows 2003 系统部署 IPSec VPN 的网络结构图。 （分数：10.00）(1).IPSec 工作在(1)，它的两种工作模式是(2)和(3)。 (1)备选答案： A表示层 B会话层 C传输层 D网络层（

7、分数：2.00）_(2).图 3-2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据，仅需确保收到的数据在传输过程不被篡改，在图 3-2 中我们只需选择(4)；如果在 VPN 中传输的是机密数据，不仅需要保证数据在传输过程不被篡改，而且还需要对数据进行加密，在图 3-2 中选择(5)。 （分数：2.00）_(3).在 IKE 执行密钥交换时(建立主要模式 SA 的阶段)，通信双方需要验证对方的身份，Windows 2003 中支持(6)、(7)和(8)验证。（分数：2.00）_(4).VPN 中的数据加密所使用的方法有 DES 和 3DES，其中 3DES 是执行三次

8、 DES 算法，图 3-3 所示的是3DES 加密过程。若用 E 和 D 分别表示执行加密和解密算法，则图 3-3 方框中分别按顺序填写(9)、(10)和(11)。 （分数：2.00）_(5).在整个 VPN 通信中，主要有(12)和(13)两种 VPN 通信方式，而后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联 VPN)”。（分数：2.00）_四、试题四(总题数：2，分数：12.00)4.试题四（）（分数：6.00）_阅读以下说明，回答问题 13，将答案填入对应的解答栏内。 某公司设置 VPN 服务器允许外地的公司员工通过 Internet 连

9、接到公司内部网络，如图 4-1 所示。 （分数：6.00）(1).VPN 使用的隧道协议可以分为三层和二层两类隧道协议。其中三层隧道协议有(1)和(2)协议。二层隧道协议有(3)、(4)和(5)协议。（分数：2.00）_(2).在由 L2TP 构建的 VPN 中，主要由(6)和(7)两种类型的服务器构成。（分数：2.00）_(3).VPN 路由器配置如下，请解释画线部分含义： Vpdn-group 1 (8) Accept-dialin protocol 12tp virtual-template 1 terminate-from hostname a801 (9) Local name ke

10、ith Lcp renegotiation always (10) No 12tp tunnel authhentication（分数：2.00）_五、试题五(总题数：2，分数：12.00)5.试题五（）（分数：6.00）_阅读以下说明和交换机的配置信息，回答问题 1 至问题 3，将解答填入对应栏内。 某公司下设三个部门，为了便于管理，每个部门组成一个 VLAN，公司网络结构如图 5-1 所示。 （分数：6.00）(1).阅读交换机 Switch1 的部分配置信启，将(1)(4)处空缺的内容填写在答题纸相应位置。 Switch1en switch1#vlan database (设置 VLAN

11、 配置子模式) Switch1(vlan)# (1) (设置本交换机为Server 模式) Switch1(vlan)#vtp domain ABC (设置域名为 ABC) Switch1(vlan)# (2) (启动修剪功能) Switch1(vlan)# (创建 VLAN11VLAN13，略) Switch1(vlan)#exit (退出 VLAN 配置模式) Switch1#config t Switch1(config)#interface f0/9 Switch1(config-if)#switchport mode access Switch1(config-if)#switchp

12、ort (3) (将端口 9 配给 vlan11) Switch1(config)#interface f0/24 Switch1(config-if)#switchport mode trunk Switch1(config-if)#switchport (4) (设置封装协议为isl) Switch1(config-if)#exit Switch1#copy run start（分数：2.00）_(2).阅读路由器 Router 的部分配置信息，解释(5)(7)处的命令，将答案填写在答题纸上相应的位置。 Router(config)#interface fastEthernet1/0.1

13、Router(config-subif)#encapsulation isl 11 (5) Router(config-subif)#ip addreSs 192.168.1.1 255.255.255.240 (6) Router(config-subif)#exit Router(config)#interface fastEthernet1/0.2 Router(config-subif)#encapsulation isl 12 Router(config-subif)#ip address 192.168.1.33 255.255.255.224 Router(config-subi

14、f)#exit Router(config)#interface fastEthernet1/0.3 Router(config-subif)#encapsulation isl 13 Router(config-subif)#ip address 192.168.1.129 255.255.255.192 Router(config-subif)#exit Router(config)#ip routing (7)（分数：2.00）_(3).填充 VLAN 信息表(表 5-1)，将答案填写在答题纸相应位置。 （分数：2.00）_软件水平考试（中级）网络工程师下午（应用技术）试题-试卷 13答

15、案解析(总分：72.00，做题时间：90 分钟)一、试题一(总题数：2，分数：20.00)1.试题一（）（分数：10.00）_解析：阅读以下说明，回答问题 1 至问题 5，将解答填入对应的解答栏内。 HFC(Hybird Fiber-coaxial cable，混合光纤同轴电缆网)接入技术是以现有的有线电视网(CATV)为基础，综合应用模拟和数字传输技术、射频技术和计算机技术所产生的一种宽带接入网技术。图 1-1 所示的是 HFC 网络系统结构。（分数：10.00）(1).图 1-1 中(1)、(2)、(3)空缺名称分别应填(1)、(2)、(3)。（分数：2.00）_正确答案：(正确答案：(1

16、)合成器 (2)分离器 (3)电缆调制解调器(cable Modem)解析：解析：在 HFC 网络中，既要传输电视信号，也要传输数字数据，因此在下行时需要合成器将它们合成，以便通过光纤和同轴电缆传送到用户端；在上行时，需要使用分离器。因此(1)和(2)分别为合成器和分离器。HFC 网的用户的端系统主要是线缆调制解调器(Cable Modem)，它一般有两个接口，一个是用来连接室内墙上的有线电视端口，另一个是标准的 10BaseT 以太网接口，同用户的计算机或局域网集线器相联。因此(3)的设备是电缆调制解调器(Cable Modem)。(2).图 1-1 中处空缺的传输介质名称分别是(4)、(5

17、)、(6)。（分数：2.00）_正确答案：(正确答案：(4)光缆 (5)同轴电缆 (6)双绞线)解析：解析：HFC 的含义是 Hybird Fiber-coaxial Cable，即混合光纤同轴电缆网，从 CATV 前端中心到小区内的光/电转换节点之间的传输介质是光纤，从小区内的光/电转换节点到用户端使用的是同轴电缆；用户计算机与 Cable Modem 的以太接口相连，使用的是双绞线。(3).在 HFC 网络中从局端到用户端的数据传输过程中，语音信号、(7)和(8)送入合成器并形成混合信号，经光缆线路送到各小区的光纤节点，再经(9)将其传送到各用户综合服务单元。（分数：2.00）_正确答案：

18、(正确答案：(7)电视信号 (8)数据信号 (9)同轴电缆网)解析：(4).在本质上，HFC 采用的技术是_。 (10)备选答案： A时分复用 B码分复用 C频分复用 D波分复用（分数：2.00）_正确答案：(正确答案：C)解析：解析：HFC 接入技术就是以现有的有线电视网(CATV)为基础，由于同轴电缆的带宽很大，把某一频率范围作为传输视频的下行频段，用于传输视频信号；把另一频率范围作为传输上行数据，因此在本质上HFC 采用的是频分复用技术。下图是 HFCI 网频率划分示例。(5).Cable Modem 主要有(11)、(12)、加/解密设备、网络接口卡和(13)组成，最高上行速率可达(1

19、4)。（分数：2.00）_正确答案：(正确答案：(11)MODEM (12)调谐器 (13)以太网集线器 (14)10Mbps)解析：解析：CM 本身不单纯是调制解调器，它集 MODEM、调谐器、加/解密设备、桥接器、网络接口卡、SNMP 代理和以太网集线器的功能于一身。CM 彻底解决了由于声音图像的传输而引起的阻塞，其速率已达10Mb/s 以上，下行速率更高。二、试题二(总题数：2，分数：8.00)2.试题二（）（分数：4.00）_解析：阅读以下说明，回答问题 12，将解答填入对应栏内。 VPN 是通过公用网络 Internet 将分布在不同地点的终端联接而成的专用网络。目前大多采用 IPs

20、ec 实现 IP 网络上端点间的认证和加密服务。（分数：4.00）(1).某公司的网络拓扑结构如图 2-1 所示，采用 VPN 来实现网络安全。请简要叙述从公司总部主机到分支机构主机通过 IPsec 的通信过程。 （分数：2.00）_正确答案：(正确答案：操作过程可以分成 5 个主要步骤： (1)IPSec 过程启动根据配置 IPSec 对等体(公司总部主机和分支机构主机)中的 IPSec 安全策略，指定要被加密的数据流，启动 IKE(Internet 密钥交换)过程； (2)IKE 阶段 1在该连接阶段，IKE 认证 IPSec 对等体，协商 IKE 安全关联(SA)，并为协商 IPSec

21、安全关联的参数建立一个安全传输道路； (3)IKE 阶段 2IKE 协商 IPSec 的 SA 参数，并在对等体中建立起与之匹配的 IPSecSA； (4)数据传送根据存储在 SA 数据库中的 IPSec 参数和密钥，在 IPSec 对等体间传送数据： (5)IPSec 隧道终止通过删除或超时机制结束 IPSec SA。)解析：(2).某路由器的部分配置信息如下所示，请解释其中标有下划线部分的含义(“/”后为注释内容)。 *配置路由器信息 version 12.0 hostname SecRouter boot system flash c1700-osy56i-mz 120-3-T3.bin

22、 /应用 IKE 共享密钥进行认证 crypto isakmp policy 100 (1) hash md5 (2) /uauthentication pre-share (3) /与远端 IP 为 172.16.2.1 的对等体的共享密钥为“mcns” crypto isakmp key mcns address 172.16.2.1 (4) crypto ipsec transform-set l&2 esp-des esp-md5-hmac (5) /配置加密图 /指定用 IKE 来建立 IPSec 安全关联，以保护由该加密图条目所指定的数据流 crypto map sharef 10

23、 ipsec-isakmp (6) set peer 172.16.2.1 (7) set transform-set 1&2 (8) match address 151 /配置接口 interface serial0 ip address 172.16.1.1 255.255.255.252 ip access-group 101 in crypto map sharef (9) interface FastEthernet0 end（分数：2.00）_正确答案：(正确答案：(1)创建标识为“100”的 IKE 策略 (2)采用 md5 hashing 算法 (3)采用预共享密钥认证方法 (

24、4)与远端 IP 为 172.16.2.1 的对等体的共享密钥为“mcns” (5)配置名为 1&2 的交换集，指定 esp-des 和 esp-md5-hmac 两种变换 (6)分配给该加密图集的名称：sharef；序号：10 (7)指定允许的IPSec 对等体的 IP 地址为 172.16.2.1 (8)此加密图使用交换集 1&2 (9)此接口使用名为 sharef 的加密图进行加密)解析：解析：配置 IKE 涉及到启用 IKE、创建 IKE 策略、验证配置等，其步骤如下表所示。 配置IPSec 则包括创建加密用访问控制列表、定义变换集、刨建加密图条目、并将加密集应用到接口上去，如下表所示

25、。三、试题三(总题数：2，分数：20.00)3.试题三（）（分数：10.00）_解析：阅读以下说明，回答问题 1 到问题 5。将答案填入对应的解答栏内。 某企业采用 Windows 2003 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共 Internet 安全地互联起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持，图 3-1 给出了基于 Windows 2003 系统部署 IPSec VPN 的网络结构图。 （分数：10.00）(1).IPSec 工作在(1)，它的两种工作模式是(2)和(3)。 (1)备选答案： A表示层 B会话层 C传输

26、层 D网络层（分数：2.00）_正确答案：(正确答案：(1)D (2)、(3)传输模式和隧道模式)解析：解析：IPsec，即 IP 安全，它是在 IP 层来保证数据的安全性和完整性，因此它工作在网络层。IPsec 有两种工作模式：传输模式和隧道模式。在传输模式下，VPN 服务器只对 IP 数据报中 TCP/LIDP 报文段部分进行加密和验证，而 IP 报头仍采用原始明文 IP 报头，只是做适当的修改；但在隧道模式下，VPN 服务器会对整个 IP 数据报进行加密和验证，即将原 IP 数据报看做一个整体进行加密和验证，为了能在 Internet 正确传送，VPN 服务器还需要重新生成 IP 报头。

27、 IPSec 包括 AH 与 ESP 两个安全机制，其中AH 协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP 协议定义了加密和可选认证的应用方法，提供可靠性保证。(2).图 3-2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据，仅需确保收到的数据在传输过程不被篡改，在图 3-2 中我们只需选择(4)；如果在 VPN 中传输的是机密数据，不仅需要保证数据在传输过程不被篡改，而且还需要对数据进行加密，在图 3-2 中选择(5)。 （分数：2.00）_正确答案：(正确答案：(4)A (5)B)解析：解析：传输非机密数据只需要使用 AH 安全机制，因此在图 3

28、-2 中只需选中“数据和地址不加密的完整性(AH)(A)”复选框，并选择合适的“完整性算法”即可。对于机密数据，需要使用 ESP 安全机制，因此可在图 3-2 中选中“数据完整性和加密(ESP)(C)”，并选择合适的“完整性算法”和“加密算法”。(3).在 IKE 执行密钥交换时(建立主要模式 SA 的阶段)，通信双方需要验证对方的身份，Windows 2003 中支持(6)、(7)和(8)验证。（分数：2.00）_正确答案：(正确答案：(6)Kerberos (7)数字证书 (8)预共享密钥)解析：解析：在 IKE 执行密钥交换时(建立主要模式 SA 的阶段)，通信双方需要验证对方的身份，W

29、indows 2003 中支持 3 种验证方法，即 Kerberos、数字证书和预共享密钥。(4).VPN 中的数据加密所使用的方法有 DES 和 3DES，其中 3DES 是执行三次 DES 算法，图 3-3 所示的是3DES 加密过程。若用 E 和 D 分别表示执行加密和解密算法，则图 3-3 方框中分别按顺序填写(9)、(10)和(11)。 （分数：2.00）_正确答案：(正确答案：(9)E (10)D (11)E)解析：解析：三重 DES 使用两个密钥，执行三次 DES 算法，如下图所示，图中方框 E 和 D 分别表示执行加密和解密算法。(5).在整个 VPN 通信中，主要有(12)和

30、(13)两种 VPN 通信方式，而后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联 VPN)”。（分数：2.00）_正确答案：(正确答案：(12)远程访问 VPN (13)路由器到路由器 VPN)解析：解析：在整个 VPN 通信中，主要有两种 VPN 通信方式，适用于两类不同用户选择使用，满足各方面用户与企业 VPN 服务器进行通信的需求。这两利 WPN 通信方式就是俗称的“远程访问 VPN”和“路由器到路由器 VPN”，前者也称之为“Access VPN”(远程访问 VPN)，后者又包括“Intranet VPN(企业内联 VPN)”和“Extr

31、anet VPN(企业外联 VPN)”。前者是采用 Client-to-LAN(客户端到局域网)的模式，而后者所采用的是 LAN-to-LAN(局域网到局域网)模式。前者适用于单机用户与企业 VPN 服务器之间的 VPN 通信连接，而后者适用于两个企业局域网 VPN 服务器之间的 VPN 通信连接。四、试题四(总题数：2，分数：12.00)4.试题四（）（分数：6.00）_解析：阅读以下说明，回答问题 13，将答案填入对应的解答栏内。 某公司设置 VPN 服务器允许外地的公司员工通过 Internet 连接到公司内部网络，如图 4-1 所示。 （分数：6.00）(1).VPN 使用的隧道协议可

32、以分为三层和二层两类隧道协议。其中三层隧道协议有(1)和(2)协议。二层隧道协议有(3)、(4)和(5)协议。（分数：2.00）_正确答案：(正确答案：(1)GRE (2)IPSec (3)L2TP (4)PPTP (5)L2F 协议)解析：解析：构建 VPN 的关键技术是网络隧道技术，它是指利用一种网络协议来传输另一种网络协议。常用的有两种类型的隧道协议：一种是二层隧道协议，如 PPTP(点对点隧道协议)、L2F(二层转发协议)和L2TP(二层隧道协议)。另一种是三层隧道协议，如 GRE、IPSec。(2).在由 L2TP 构建的 VPN 中，主要由(6)和(7)两种类型的服务器构成。（分数

33、：2.00）_正确答案：(正确答案：(6)LAC(L2TP 访问集中器) (7)LNS(L2TP 网络服务器)解析：解析：空为 LAC(L2TP Access Concentrator 或 L2TP 访问集中器)，它是附属在网络上的具有PPP 端系统和 L2TP 协议处理能力的设备，LAC 一般就是一个网络接入服务器，用于为用户提供网络接入服务；空是 LNS(L2TP Network Server 或 L2TPN 络服务器)，它是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。(3).VPN 路由器配置如下，请解释画线部分含义： Vpdn-group 1 (8) Accept-d

34、ialin protocol 12tp virtual-template 1 terminate-from hostname a801 (9) Local name keith Lcp renegotiation always (10) No 12tp tunnel authhentication（分数：2.00）_正确答案：(正确答案：(8)创建 VPDN 组 1 (9)接受 L2TP 通道连接请求，并根据虚接口模板 1 创建虚拟访问，接收远程主机为 a80-1 的连接 (10)LCP 再次协商处)解析：解析：vpdn group 命令的作用是创建一个 VPDN 组并进入该 VPDN 组配置

35、模式，1 表示所创建 VPDN组的组号。第(2)处，accept-dislin protocol 12tp 命令的作用是指定接受呼叫时，通道对端的名称及使用 virtual-template 号。L2TP 通道连接请求，并根据 vinual-template 1 创建 virtual-access 接口，远端主机为 splac。第(3)处，lcp renegotiation 命令的作用是开启 LNS 与 client 之间重新协商，always 表示一直允许进行 LCP 协商。五、试题五(总题数：2，分数：12.00)5.试题五（）（分数：6.00）_解析：阅读以下说明和交换机的配置信息，回答

36、问题 1 至问题 3，将解答填入对应栏内。 某公司下设三个部门，为了便于管理，每个部门组成一个 VLAN，公司网络结构如图 5-1 所示。 （分数：6.00）(1).阅读交换机 Switch1 的部分配置信启，将(1)(4)处空缺的内容填写在答题纸相应位置。 Switch1en switch1#vlan database (设置 VLAN 配置子模式) Switch1(vlan)# (1) (设置本交换机为Server 模式) Switch1(vlan)#vtp domain ABC (设置域名为 ABC) Switch1(vlan)# (2) (启动修剪功能) Switch1(vlan)#

37、(创建 VLAN11VLAN13，略) Switch1(vlan)#exit (退出 VLAN 配置模式) Switch1#config t Switch1(config)#interface f0/9 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport (3) (将端口 9 配给 vlan11) Switch1(config)#interface f0/24 Switch1(config-if)#switchport mode trunk Switch1(config-if)#switchport (4)