【计算机类职业资格】中级网络工程师下午试题-15及答案解析.doc

《【计算机类职业资格】中级网络工程师下午试题-15及答案解析.doc》由会员分享，可在线阅读，更多相关《【计算机类职业资格】中级网络工程师下午试题-15及答案解析.doc（7页珍藏版）》请在麦多课文档分享上搜索。

1、中级网络工程师下午试题-15 及答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：15.00)阅读以下说明，回答问题 15，将答案填入对应的解答栏内。 某校园网结构如图 1-1 所示，用户可以通过有线接入，也可以通过无线接入。用户接入采用 web+DHCP 方式，当用户连上校园网后，由 DHCP 服务器为用户自动分配 IP 地址，基于 web 的认证成功后即可访问Internet。认证过程采用 SSL 与 RADIUS 相结合的方式，以防止非法用户的盗用。 （分数：15.00）(1).对 PC 机无线网卡进行配置时，在图 1-2 中 SSID 参数的主要作用

2、是U /U。 (1)各选答案：（分数：3.00）A.操作模式B.扩展服务集C.加密等级D.工作频段填空项 1:_填空项 1:_填空项 1:_填空项 1:_二、B试题二/B(总题数：1，分数：15.00)阅读以下说明，回答问题 14，将答案填入对应的解答栏内。某公司的域名为 ，所使用的网络地址为 222.78.68.0/24，共有两台服务器，一台 IP 地址是222.78.68.10，名字是 server1，它用作域名服务器、电子邮件服务器，另一台 IP 地址是222.78.68.11，名字是 server2，它用作 Web 服务器。 （分数：15.00）填空项 1:_(2).server1 服

3、务器是一个U /U。（分数：3.75）A.主域名服务器B.辅助域名服务器C.缓存域名服务器D.DNS 服务器填空项 1:_填空项 1:_三、B试题三/B(总题数：1，分数：15.00)阅读以下说明，回答问题 1 到问题 5。将答案填入对应的解答栏内。某企业采用 Windows 2003 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共Internet 安全地互联起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持，图 3-1 给出了基于 Windows 2003 系统部署 IPSec VPN 的网络结构图。 （分数：15.00）(1).IPSec

4、工作在U (1) /U，它的两种工作模式是U (2) /U和U (3) /U。 (1)备选答案：（分数：3.00）填空项 1:_(2).图 3-2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据，仅需确保收到的数据在传输过程不被篡改，在图 3-2 中我们只需选择U (4) /U；如果在 VPN 中传输的是机密数据，不仅需要保证数据在传输过程不被篡改，而且还需要对数据进行加密，在图 3-2 中选择U (5) /U。(4)(5)备选答案：（分数：3.00）填空项 1:_填空项 1:_填空项 1:_填空项 1:_四、B试题四/B(总题数：1，分数：15.00)阅读以下说明，

5、回答问题 13，将答案填入对应的解答栏内。网络地址转换(NAT)的主要目的是解决 IP 地址短缺问题以及实现 TCP 负载均衡等。在图 4-1 的设计方案中，与 Internet 连接的路由器采用网络地址转换。 （分数：15.00）填空项 1:_填空项 1:_(3).此配置中采用的转换方式为U (13) /U。（分数：5.00）A.静态地址转换 B.动态地址转换 C.复用动态地址转换五、B试题五/B(总题数：1，分数：15.00)阅读以下说明，回答问题 15，将解答填入对应的解答栏内。如图 5-1 所示，为了实现交换机 SW1 和 SW2 之间的冗余连接以提高传输速度和可靠性，在这两台交换机使

6、用两条双绞线互连。为了避免网络环路的出现，在两台交换机之间使用了生成树协议(Spanning Tree Protocol，STP)，通过修改 Trunk(干道)端口的属性，使不同的 VLAN 数据从不同的端口中传输。 （分数：15.00）填空项 1:_填空项 1:_填空项 1:_填空项 1:_填空项 1:_中级网络工程师下午试题-15 答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：15.00)阅读以下说明，回答问题 15，将答案填入对应的解答栏内。 某校园网结构如图 1-1 所示，用户可以通过有线接入，也可以通过无线接入。用户接入采用 web+DHCP

7、方式，当用户连上校园网后，由 DHCP 服务器为用户自动分配 IP 地址，基于 web 的认证成功后即可访问Internet。认证过程采用 SSL 与 RADIUS 相结合的方式，以防止非法用户的盗用。 （分数：15.00）(1).对 PC 机无线网卡进行配置时，在图 1-2 中 SSID 参数的主要作用是U /U。 (1)各选答案：（分数：3.00）A.操作模式B.扩展服务集 C.加密等级D.工作频段解析：在无线网卡配置中经常需要配置的参数主要有：一是 Operating Mode(操作模式/网络类型)，是点对点(Adhoc)网络还是基础设施(Infrastructure)网络；二是 ESS

8、ID(扩展服务集 ID)，即无线网络的名称；三是 Encryption Level(加密等级)，选择 WEP 加密的密钥长度(40 位或 128 位)，并设置共享密码；四是Channel(工作频段)，当有多个无线设备时，为避免干扰需设置此选项。填空项 1:_ （正确答案：(2)口令验证协议(PAP) (3)质询握手协议(CHAP)）解析：RADIUS 主要使用口令验证协议 PAP(Password Authentication Protocol)和质询握手协议CHAP(Challenge Handshake Authentication Protocol)。CHAP 认证比 PAP 认证更安全

9、，因为 CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。填空项 1:_ （正确答案：不能，应把路由器配置成 DHCP 中继代理）解析：DHCP 协议的报文都是通过广播形式传播的，因此当跨越多个网段时，这个广播报文将被第三层设备(如路由器)过滤掉了，因此要想在 DHCP 客户机和服务器之间转发 DHCP 报文，路由器必须要支持 DHCP中继代理。填空项 1:_ （正确答案：(4)SSL 记录协议 (5)SSL 握手协议）解析：(6)SSL 告警协议 (7)SSL 握手协议 (8)SSL 记录协议 SSL 是一个协议独立的加密方案，在应用层和传输层之

10、间提供了安全的通道。SSL 主要包括 SSL 记录协议、SSL 握手协议、SSL 告警协议、SSL 修改密文协议等。在 SSL 协议中，SSL 握手协议的主要功能是用于在通信双方建立安全传输通道；SSL 记录协议的主要功能是从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去，从而保证了数据的机密性和报文完整性。填空项 1:_ （正确答案：、）解析：SSL 数据封装如下： 第 1 步：分片，将上层交付的报文分成 214字节或更小的数据块； 第 2 步：可选地应用压缩； 第 3 步：使用共享密钥计算报文鉴别代码(MAC)； 第 4 步：使用同步算法加密报文； 第 5 步：附加首部数

11、据，包括内容类型、主要版本、次要版本、压缩长度。 接收方接收到数据后，将其解密、验证、解压和重新装配，最后交给高层用户。二、B试题二/B(总题数：1，分数：15.00)阅读以下说明，回答问题 14，将答案填入对应的解答栏内。某公司的域名为 ，所使用的网络地址为 222.78.68.0/24，共有两台服务器，一台 IP 地址是222.78.68.10，名字是 server1，它用作域名服务器、电子邮件服务器，另一台 IP 地址是222.78.68.11，名字是 server2，它用作 Web 服务器。 （分数：15.00）填空项 1:_ （正确答案：(1)hint (2)68.78.222.in

12、-addr.arpa）解析：(3)CNAME 或者 CNAME server2 (4)PTR 不管是主域名服务器、辅助域名服务器还是缓存域名服务器，在根域名区声明时，类型 type 型必须为 hint，即为一个区的高速缓冲文件，因此空(1)处应当填写“hint”。空(2)处所在位置是反向域名解析区声明，应当填写反向域名。反向域名由两部分组成，域名前半段是其网络 ID 反向书写，而区域后半段必须是“in-addr.arpa”。因此(2)处应当填写“68.78.222.in-addr.arpa”。空(3)处应当是定义一条别名记录。根据说明，该单位的 www 服务在 server2 上，即“”和

13、“”表示同一台主机，因此(3)处应当填写“IN CNAME .”，也可以只填写“CNAME server2”(注：若要填写“A 222.78.68.11”也可实现解析，但违背出题的初衷了)。空(4)处应当填写一条反向指针(PTR)资源记录，用来记录在反向搜索区域内的 IP 地址及主机，用户可通过该类型资源记录把 IP 地址映射成主机域名，此处应当填写“PTR ”。(2).server1 服务器是一个U /U。（分数：3.75）A.主域名服务器 B.辅助域名服务器C.缓存域名服务器D.DNS 服务器解析：在区声明部分，用 type 来指定服务器类型是主域名服务器、辅助域名服务器还是缓存域名服务器

14、，master 表示主域名服务器：slave 表示辅助域名服务器；hint 表示缓存域名服务器。本题的正向域名解析区声明和反向域名解析区声明中都指明了 type 为 master，说明这台服务器是主域名服务器。填空项 1:_ （正确答案：指明了该单位的邮件交换器是 ，它负责处理邮件地址的主机部分为“xyz.edu.ca”的邮件，“10”表示优先级。）解析：下划线一行是一条邮件交换器(MX)记录，指定哪些主机负责接收该区域的电子邮件。此处作用是指明了该单位的邮件交换器是 ，它负责处理邮件地址的主机部分为“”的邮件，“10”表示优先级。填空项 1:_ （正确答案：(7)nslookup (8)se

15、t type=MX）解析：在域名测试工具中，有许多子命令，但使用最多是的 set type 子命令，它是用来改变测试的资源记录的类型，使用方法如下表所示。 子命令 用途 子命令 用途set type=A 查询主机 IP 地址 set type=MX 查询邮件交换器set type=CNAME 查询别名的真正名称set type=PTR 如果查询是 IP 地址，则指定计算机名；否则指定指向信息的指针set type=NS 查询命名区域的DNS 名称服务器 set type=SOA 查询 DNS 区域的起始授权机构set type=ANY指定查询所有数据类型三、B试题三/B(总题数：1，分数：15

16、.00)阅读以下说明，回答问题 1 到问题 5。将答案填入对应的解答栏内。某企业采用 Windows 2003 操作系统部署企业虚拟专用网(VPN)，将企业的两个异地网络通过公共Internet 安全地互联起来。微软 Windows 2003 操作系统当中对 IPSec 具备完善的支持，图 3-1 给出了基于 Windows 2003 系统部署 IPSec VPN 的网络结构图。 （分数：15.00）(1).IPSec 工作在U (1) /U，它的两种工作模式是U (2) /U和U (3) /U。 (1)备选答案：（分数：3.00）填空项 1:_ （正确答案：(1)D (2)、(3)传输模式和

17、隧道模式）解析：IPsec，即 IP 安全，它是在 IP 层来保证数据的安全性和完整性，因此它工作在网络层。IPsec 有两种工作模式：传输模式和隧道模式。在传输模式下，VPN 服务器只对 IP 数据报中 TCP/LIDP 报文段部分进行加密和验证，而 IP 报头仍采用原始明文 IP 报头，只是做适当的修改；但在隧道模式下，VPN 服务器会对整个 IP 数据报进行加密和验证，即将原 IP 数据报看做一个整体进行加密和验证，为了能在Internet 正确传送，VPN 服务器还需要重新生成 IP 报头。 IPSec 包括 AH 与 ESP 两个安全机制，其中 AH协议定义了认证的应用方法，提供数据

18、源认证和完整性保证；ESP 协议定义了加密和可选认证的应用方法，提供可靠性保证。(2).图 3-2 所示的是“自定义安全措施设置”对话框。如果在 VPN 中传输的非机密数据，仅需确保收到的数据在传输过程不被篡改，在图 3-2 中我们只需选择U (4) /U；如果在 VPN 中传输的是机密数据，不仅需要保证数据在传输过程不被篡改，而且还需要对数据进行加密，在图 3-2 中选择U (5) /U。(4)(5)备选答案：（分数：3.00）填空项 1:_ （正确答案：(4)A (5)B）解析：传输非机密数据只需要使用 AH 安全机制，因此在图 3-2 中只需选中“数据和地址不加密的完整性(AH)(A)”

19、复选框，并选择合适的“完整性算法”即可。对于机密数据，需要使用 ESP 安全机制，因此可在图 3-2 中选中“数据完整性和加密(ESP)(C)”，并选择合适的“完整性算法”和“加密算法”。填空项 1:_ （正确答案：(6)Kerberos (7)数字证书 (8)预共享密钥）解析：在 IKE 执行密钥交换时(建立主要模式 SA 的阶段)，通信双方需要验证对方的身份，Windows 2003中支持 3 种验证方法，即 Kerberos、数字证书和预共享密钥。填空项 1:_ （正确答案：(9)E (10)D (11)E）解析：三重 DES 使用两个密钥，执行三次 DES 算法，如下图所示，图中方框

20、E 和 D 分别表示执行加密和解密算法。加密时是 E-D-E，解密时是 D-E-D，其密钥长度是 112 位，这个长度对于商业用户已经足够了。加密时是E-D-E 而不使用 E-E-E 的目的是，为了与现有 DES 系统的向后兼容，当 K1=K2时，三重 DES 的效果与现在DES 的效果完全一样。填空项 1:_ （正确答案：(12)远程访问 VPN (13)路由器到路由器 VPN）解析：在整个 VPN 通信中，主要有两种 VPN 通信方式，适用于两类不同用户选择使用，满足各方面用户与企业 VPN 服务器进行通信的需求。这两利 WPN 通信方式就是俗称的“远程访问 VPN”和“路由器到路由器VP

21、N”，前者也称之为“Access VPN”(远程访问 VPN)，后者又包括“Intranet VPN(企业内联 VPN)”和“Extranet VPN(企业外联 VPN)”。前者是采用 Client-to-LAN(客户端到局域网)的模式，而后者所采用的是 LAN-to-LAN(局域网到局域网)模式。前者适用于单机用户与企业 VPN 服务器之间的 VPN 通信连接，而后者适用于两个企业局域网 VPN 服务器之间的 VPN 通信连接。四、B试题四/B(总题数：1，分数：15.00)阅读以下说明，回答问题 13，将答案填入对应的解答栏内。网络地址转换(NAT)的主要目的是解决 IP 地址短缺问题以及

22、实现 TCP 负载均衡等。在图 4-1 的设计方案中，与 Internet 连接的路由器采用网络地址转换。 （分数：15.00）填空项 1:_ （正确答案：(1)指定路由器的主机名）解析：(2)设置进入特权模式的口令 (3)指定一个 NAT 地址转换用的地址池，名字是 aaa，其地址范围是202.168.10.2202.168.10.10，子网掩码为 255.255.255.240 (4)指定对访问控制列表 1 所定义的地址进行 NAT 转换，使用的外部地址地址池是 aaa (5)指定 Ethernet0 为 NAT 的内网端口 (6)指定 Serial0 为NAT 的外网端口 (7)设置端口

23、的速率为 2000Kbit/秒，即 2M (8)设置一条缺省路由，将所有不在本网的数据包从 S0 端中转发 (9)通过一条访问控制列表来指定对内网中的 10.1.1.0/24 网段进行 NAT 地址转换 该题主要考查 NAT 及 NAT 在 Cisco 路由器的配置。 NAT，即地址转换，是指在一个组织网络内部，根据需要可以随意自定义的 IP 地址(不需要经过申请)即假的 IP 地址。在本组织内部，各计算机问通过假的 IP 地址进行通讯。而当组织内部的计算机要与外部 Internet 网络进行通讯时，具有 NAT 功能的设备(这里是cisco 路由器)负责将其假的 IP 地址转换为真的 IP

24、地址，即该组织申请的合法 IP 地址进行通信。简单地说，NAT 就是通过某种方式将 IP 地址进行转换。 NAT 应用场合主要有三个，一是从安全角度考虑上，不想让外部网络用户知道内部网络的结构，可以通过 NAT 将内部网络与外部。Internet 隔离开，则外部用户根本不知道内部用户的假 IP 地址。二是从 IP 地址资源角度上，申请的合法 Internet IP 地址很少，而内部网络用户很多。可以通过 NAT 功能实现多个用户同时共用少量合法 IP 与外部 Internet 进行通信。三是从负载均衡角度上，通过 NAT 将大量的并发访问或数据流量分担到多台服务器上分别进行处理，减少用户等待响

25、应的时间。 第(1)处和第(2)都是 Cisco 路由器的基本设置，hostname 是用来指定路由器的主机名，enable password 是用来设置进入特权模式的口令。第(7)处的 bandwidth 是路由器串行端口设置命令，用来设置端口的速率为 2000Kbit/秒，即 2M。第(8)处的 ip route 是用来设置一条缺省路由，将所有不在本网的数据包从 S0 端口转发。 第(3)(6)处和第(9)处的主要功能是实现 NAT 地址转换。其中第(3)处是用来指定一个 NAT 地址转换用的地址池，名字是 aaa，其地址范围是202.168.10.2202.168.10.10，子网掩码为

26、 255.255.255.240；第(4)处是指定对访问控制列表 1 所定义的地址进行 NAT 转换，使用的外部地址的地址池是 aaa；第(5)处是指定 Ethemet0 为 NAT 的内网端口；第(6)处是指定 Serial0 为 NAT 的外网端口；第(9)处是通过一条访问控制列表来指定对内网中的10.1.1.0/24 网段进行 NAT 地址转换。填空项 1:_ （正确答案：(10)、(11)、(12)静态地址转换、动态地址转换、复用动态地址转换）解析：NAT 设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 (1)静态地址转换。静态地址转换将内部本地地址与内部合法地址进行一对一

27、地转换，且需要指定和哪个合法地址进行转换。如果内部网络有 E-mail、FTP 服务器等可以为外部用户提供服务，这些服务器的 IP 地址必须采用静态地址转换，以便外部用户可以使用这些服务。 (2)动态地址转换。动态地址转换也是将本地地址与内部合法地址一对一地转换，但是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换。 (3)复用动态地址转换。复用动态地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量 IP 地址但却经常同时有多于合法地址个数的用户访问外部网络的情况，这种转换极为有用。(3).此配置中采用的转换方式为U (13) /

28、U。（分数：5.00）A.静态地址转换 B.动态地址转换 C.复用动态地址转换解析：从命令“ip nat inside source list l pool aaa overload”中 overload 关键字可以看出，在本题中使用的是复用动态地址转换。五、B试题五/B(总题数：1，分数：15.00)阅读以下说明，回答问题 15，将解答填入对应的解答栏内。如图 5-1 所示，为了实现交换机 SW1 和 SW2 之间的冗余连接以提高传输速度和可靠性，在这两台交换机使用两条双绞线互连。为了避免网络环路的出现，在两台交换机之间使用了生成树协议(Spanning Tree Protocol，STP)

29、，通过修改 Trunk(干道)端口的属性，使不同的 VLAN 数据从不同的端口中传输。 （分数：15.00）填空项 1:_ （正确答案：(1)阻塞 (2)监听 (3)学习 (4)转发）解析：运行生成树协议的交换机上的端口，总是处于下面四个状态中的一个。在正常操作期间，端口处于转发或阻塞状态。当设备识别网络拓扑结构变化时，交换机自动进行状态转换，在这期间端口暂时处于监听和学习状态。 阻塞：所有端口以阻塞状态启动以防止回路。由生成树确定哪个端口转换到转发状态，处于阻塞状态的端口不转发数据但可接受 BPDU。 监听：不发送接收数据，接收并发送 bpdu，不进行地址学习(临时状态)。 学习：不接收或转

30、发数据，接收并发送 bpdu，开始地址学习 MAC 地址表(临时状态)。 转发：端口能转送和接受数据。填空项 1:_ （正确答案：(5)vlan database (6)vtp pruning (7)vtp version 2 (8)vlan 2 name v2）解析：进入 VLAN 配置子模式的命令是“vlan database”：启动 VTP 修剪功能的命令是“vtp pruning”；设置VTP 的版权的命令是“vtp version”；在 VLAN 配置子模式下创建 VLAN 的命令是“vlanname”。填空项 1:_ （正确答案：(9)将当前端口设置为 trunk(干道)模式）解析

31、：(10)设置 trunk 中数据帧的封装形式为 is1 (11)设置 VLAN1 在当前端口的优先级为 10 命令“switchport mode trunk”的功能是将当前端口设置为 trunk(干道)模式；命令“switchport trunk encaps is1”的功能是设置 trunk 中数据帧的封装形式为 is1；命令“spanning-tree vlan 1 port-priority 10”的功能是设置 VLAN1 在当前端口的优先级为 10。填空项 1:_ （正确答案：路径值(cost)）解析：要实现负载均衡，又要防止环路产生，可以通过修改 VLAN 的 port-priority(端口优先级)来实现，还可以修改端口的 STP 路径值(cost)来实现。填空项 1:_ （正确答案：快速以太通道(Fast EtherChannel)(注：答“端口聚合”也算对)）解析：Cisco 为生成树环境中的冗余链路提供了另一条被称为快速以太通道(Fast EtherChannel)技术。它是建立在基于 802.3 全双式的快速以太网之上。快速以太通道使平行链路可以被生成树 STP 看成是一条物理链路，从而提高了交换机之间的带宽，同时还提供了负载均衡和冗余性，这就是通常所称的“端口聚合”技术。