【计算机类职业资格】软件水平考试（中级）网络工程师下午（应用技术）试题-试卷40及答案解析.doc

《【计算机类职业资格】软件水平考试（中级）网络工程师下午（应用技术）试题-试卷40及答案解析.doc》由会员分享，可在线阅读，更多相关《【计算机类职业资格】软件水平考试（中级）网络工程师下午（应用技术）试题-试卷40及答案解析.doc（9页珍藏版）》请在麦多课文档分享上搜索。

1、软件水平考试（中级）网络工程师下午（应用技术）试题-试卷 40及答案解析(总分：76.00，做题时间：90 分钟)一、试题一(总题数：2，分数：20.00)1.试题一（）（分数：10.00）_阅读以下说明，回答问题 15，将答案填入对应的解答栏内。 某校园网结构如图 1-1 所示，用户可以通过有线接入，也可以通过无线接入。用户接入采用 web+DHCP 方式，当用户连上校园网后，由 DHCP 服务器为用户自动分配 IP 地址，基于 web 的认证成功后即可访问 Internet。认证过程采用 SSL 与 RADIUS 相结合的方式，以防止非法用户的盗用。 （分数：10.00）(1).对 PC

2、机无线网卡进行配置时，在图 1-2 中 SSID 参数的主要作用是_。 （分数：2.00）_(2).当区域网络扩大时，网络安全就成为重点，该校园采用 RADIUS 技术，对校园每个用户进行认证，保证每个终端接入的合法性。其中 RADIUS 认证主要使用(2)和(3)认证方式。（分数：2.00）_(3).在图 1-1 中，教师办公室的计算机能否直接从 DHCP 服务器租约 IP 地址?若能，如何查看租约的 IP 地址?若不能，需要对哪台设备进行如何配置?（分数：2.00）_(4).SSL 是一个协议独立的加密方案，在应用层和传输层之间提供了安全的通道。SSIL 主要包括(4)、(5)、(6)、S

3、SIL 修改密文协议等。其中(7)的主要功能是用于在通信双方建立安全传输通道；(8)从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去，从而保证了数据的机密性和报文完整性。（分数：2.00）_(5).SSIL 协议数据封装过程包括：(下面到未按顺序排列) 附加首部数据，包括内容类型、主要版本、次要版本、压缩长度。 使用共享密钥计算报文鉴别代码(MAC)； 可选地应用压缩； 分片，将上层交付的报文分成 214 字节或更小的数据块； 使用同步算法加密报文； 将按照应答过程重新排序为_。（分数：2.00）_二、试题二(总题数：2，分数：16.00)2.试题二（）（分数：8.00）_阅

4、读以下说明，回答问题 14，将答案填入对应的解答栏内。 某公司申请了一个 C 类地址210.45.12.0，公司的域名为 ，域名服务器地址为 210.45.12.50。公司有生产部门、市场部门、财务部分、人事部门、技术部门和经理办公室，每个部门都需要划分为单独的网络，即需要划分至少 5 个子网，每个子网至少支持 24 台主机。(使用固定子网掩码)（分数：8.00）(1).该公司的财务部有一个局域网使用了其中一个子网，子网地址是 210.45.12.64，网关是210.45.12.65。财务部为简化 IP 地址分配，使用一台安装 Linux 操作系统的 PC 机作为 DHCP 服务器，下面是 D

5、HCP 配置文件/etc/dhcpd.conf 的主要内容： subnet 210.45.12.64 netmask (1) range (2) ; default-lease-time 86400; max-lease-time 604800; option subnet-mask (3) ; option routers (4) ; option domain-name““; option broadcast-address (5) ; option domain-name-servers (6) ; host mypc hardware ethernet 00:0a:e6:b2:2f:5

6、b; fixed-address 210.45.12.90; （分数：2.00）_(2).如果客户机连续请求继续租约 IP 地址都失败，那么它再租用 IP 地址最长时间是_秒。（分数：2.00）_(3).文件中下划线部分所起到的作用是_。（分数：2.00）_(4).管理员想查看服务器当前 IP 地址的租约情况，可以查看 DHCP 服务器中的_文件(绝对路径)。（分数：2.00）_三、试题三(总题数：2，分数：16.00)3.试题三（）（分数：8.00）_阅读以下说明，回答问题 14，将解答填入对应栏内。 虚拟专用网是虚拟私有网络(Virtual Private Network，VPN)的简称，

7、它是一种利用公共网络来构建的私有专用网络。对于构建 VPN 来说，网络隧道(Tunneling)技术是个关键技术。主要有两种类型的隧道协议：一种二层隧道协议，如 PPTP、L2TP；另一种是三层隧道协议，GRE、IPsec。另外，还有第四层隧道协议，如 SSL VPN。图 3-1 所示的是某公司的总部与其分支机构连接的示意图。 （分数：8.00）(1).针对不同的用户要求，VPN 有三种解决方案：(1)、(2)和(3)。根据这三种解决方案的特点，该方案应该采用(2)。（分数：2.00）_(2).如果按照图 3-1 所示的网络结构配置 IPSecVPN，它有隧道和传输两种工作方式。若 IPSec

8、 工作在隧道模式，采用安全机制选择的是 AH。在下列三个选项中选择正确选项填写到图 3-2 中相应空缺处。 (a)AH 头 (b)封装后的 IP 包头 (c)封装前的 IP 头 （分数：2.00）_(3).VPN 服务器既可以接收来自 VPN 传输的数据，也可接收来自 Internet 的数据。对于来自 VPN 传输的数据(7)，来自 Internet 的数据(8)。VPN 服务器是通过(9)来区分这两种 IP 数据包的。（分数：2.00）_(4).如果按照图 3-1 所示的网络结构配置 L2TP，则数据是通过二层协议(10)来封装，身份认证方法是(11)。（分数：2.00）_四、试题四(总题

9、数：2，分数：12.00)4.试题四（）（分数：6.00）_阅读以下说明，回答问题 13，将答案填入对应的解答栏内。 某公司由总部和分支机构构成，通过IPSec 实现网络安全，网络拓扑结构如图 4-1 所示。 路由器之间的地址分配如表 4-1 所示。（分数：6.00）(1).总部端路由器的部分配置如下，解释配置中语句部分含义。 crypto isakmp policy 1 (1) authentication pre-share (2) group 2 crypto isakmp key test123 address 202.96.1.2 (3) crypto ipsec transform

10、-set VPNtag ah-md5-hmac esp-des (4) crypto map VPNdemp 10 ipsec-isakmp set peer 202.96.1.2 (5) set transform-set VPNtag match address 101 ! interface Tunnel0 ip address 192.168.1.1 255.255.255.0 (6) no ip directed-broadcast tunnel source 202.96.1.1 tunnel destination 202.96.1.2 (7) crypto map VPNdem

11、o interface serial0/0 ip address 202.96.1.1 255.255.255.252 no ip directed-broadcast crypto map VPNdemo (8) ! interface Ethernet0/1 ip address 168.1.1.1 255.255.255.0 no ip directed-broadcast interface Ethernet0/0 ip address 172.22.1.100 255.255.255.0 no ip directed-broadcast ! ip classless ip route

12、 0.0.0.0 0.0.0.0 202.96.1.2 (9) ip route 172.22.2.0 255.255.0.0 192.168.1.2 (10) access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2（分数：2.00）_(2).IPSec 是 IETE 以 RFC)侈式公布的一组安全协议集，它包括(11)与(12)两个安全机制，其中(11)用于传输非机密数据。（分数：2.00）_(3).IPSec 工作在 OSI/RM 的(13)层，它有(14)和(15)两种工作模式。（分数：2.00）_五、试题五(总题数：2，分数

13、：12.00)5.试题五（）（分数：6.00）_阅读以下说明，回答问题 13，将解答填入对应的解答栏内。 某公司的分支机构通过一条 DDN 专线接入到公司总部，地址分配和拓扑结构如图 5-1 所示。在两台路由器之间可以使用静态路由，也可以使用动态路由。 （分数：6.00）(1).下面是分支机构路由器 R1 的配置命令列表，在空白处填写合适的命令/参数，实现 R1 的正确配置。 Routeren Routerconf term Router(config)#hostname R1 Router(config)#int e0 R1(config-if)#ip address (1) R1(conf

14、ig-if)#no shutdown R1(config-if)#int s0 R1(config-if)#ip address (2) R1(config-if)#no shutdown R1(config-if)#clock rate 56000 R1(config-if)#exit R1(config)#ip routing R1(config)#ip route (3) R1(config)#ip classless R1(config)#exit R1#copy run start（分数：2.00）_(2).下面是公司总部的路由器 R2 的配置命令列表，在空白处填写合适的命令参数，实

15、现 R2 的正确配置。 Routeran Router#conf term Router(config)#hostname R2 R2(config-if)#int s0 R2(config-if)#ip address (4) R2(config-if)#no shutdown R2(confiq-if)#exit R2(config)#ip routing R2(config)#ip route (5) R2(config)#ip classless R2(config)#exit R2#copy run start（分数：2.00）_(3).在问题 1和问题 2中，所使用的是静态路由协议

16、。当该公司有多个分支机构，决定使用动态路由协议 OSPF。下面是分支机构路由器 R1 的配置命令列表，在空白处填写合适的命令/参数，实现 R1 的正确配置。(注：点对点链路的 area 为 2，分支机构局域网的 area 为 3)。 R1en R1#conf term R1(config)#no ip route R1(config)#router (6) R1(config-router)#network (7) area 2 R1(config-router)#network (8) area 3 R1(confiq-router)#exit R1#copy run start（分数：2.

17、00）_软件水平考试（中级）网络工程师下午（应用技术）试题-试卷 40答案解析(总分：76.00，做题时间：90 分钟)一、试题一(总题数：2，分数：20.00)1.试题一（）（分数：10.00）_解析：阅读以下说明，回答问题 15，将答案填入对应的解答栏内。 某校园网结构如图 1-1 所示，用户可以通过有线接入，也可以通过无线接入。用户接入采用 web+DHCP 方式，当用户连上校园网后，由 DHCP 服务器为用户自动分配 IP 地址，基于 web 的认证成功后即可访问 Internet。认证过程采用 SSL 与 RADIUS 相结合的方式，以防止非法用户的盗用。 （分数：10.00）(1)

18、.对 PC 机无线网卡进行配置时，在图 1-2 中 SSID 参数的主要作用是_。 （分数：2.00）_正确答案：(正确答案：B)解析：解析：在无线网卡配置中经常需要配置的参数主要有：一是 Operating Mode(操作模式/网络类型)，是点对点(Adhoc)网络还是基础设施(Infrastructure)网络；二是 ESSID(扩展服务集 ID)，即无线网络的名称；三是 Encryption Level(加密等级)，选择 WEP 加密的密钥长度(40 位或 128 位)，并设置共享密码；四是 Channel(工作频段)，当有多个无线设备时，为避免干扰需设置此选项。(2).当区域网络扩大时

19、，网络安全就成为重点，该校园采用 RADIUS 技术，对校园每个用户进行认证，保证每个终端接入的合法性。其中 RADIUS 认证主要使用(2)和(3)认证方式。（分数：2.00）_正确答案：(正确答案：(2)口令验证协议(PAP) (3)质询握手协议(CHAP)解析：解析：RADIUS 主要使用口令验证协议 PAP(Password Authentication Protocol)和质询握手协议CHAP(Challenge Handshake Authentication Protocol)。CHAP 认证比 PAP 认证更安全，因为 CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工

20、过的随机序列，也被称为“挑战字符串”。(3).在图 1-1 中，教师办公室的计算机能否直接从 DHCP 服务器租约 IP 地址?若能，如何查看租约的 IP 地址?若不能，需要对哪台设备进行如何配置?（分数：2.00）_正确答案：(正确答案：不能，应把路由器配置成 DHCP 中继代理)解析：解析：DHCP 协议的报文都是通过广播形式传播的，因此当跨越多个网段时，这个广播报文将被第三层设备(如路由器)过滤掉了，因此要想在 DHCP 客户机和服务器之间转发 DHCP 报文，路由器必须要支持DHCP 中继代理。(4).SSL 是一个协议独立的加密方案，在应用层和传输层之间提供了安全的通道。SSIL 主

21、要包括(4)、(5)、(6)、SSIL 修改密文协议等。其中(7)的主要功能是用于在通信双方建立安全传输通道；(8)从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去，从而保证了数据的机密性和报文完整性。（分数：2.00）_正确答案：(正确答案：(4)SSL 记录协议 (5)SSL 握手协议 (6)SSL 告警协议 (7)SSL 握手协议 (8)SSL 记录协议)解析：解析：SSL 是一个协议独立的加密方案，在应用层和传输层之间提供了安全的通道。SSL 主要包括SSL 记录协议、SSL 握手协议、SSL 告警协议、SSL 修改密文协议等。在 SSL 协议中，SSL 握手协议的主

22、要功能是用于在通信双方建立安全传输通道；SSL 记录协议的主要功能是从高层接收到数据后要经过分段、压缩和加密处理，最后由传输层发送出去，从而保证了数据的机密性和报文完整性。(5).SSIL 协议数据封装过程包括：(下面到未按顺序排列) 附加首部数据，包括内容类型、主要版本、次要版本、压缩长度。 使用共享密钥计算报文鉴别代码(MAC)； 可选地应用压缩； 分片，将上层交付的报文分成 214 字节或更小的数据块； 使用同步算法加密报文； 将按照应答过程重新排序为_。（分数：2.00）_正确答案：(正确答案：、)解析：解析：SSL 数据封装如下： 第 1 步：分片，将上层交付的报文分成 214 字节

23、或更小的数据块； 第2 步：可选地应用压缩； 第 3 步：使用共享密钥计算报文鉴别代码(MAC)； 第 4 步：使用同步算法加密报文； 第 5 步：附加首部数据，包括内容类型、主要版本、次要版本、压缩长度。 接收方接收到数据后，将其解密、验证、解压和重新装配，最后交给高层用户。二、试题二(总题数：2，分数：16.00)2.试题二（）（分数：8.00）_解析：阅读以下说明，回答问题 14，将答案填入对应的解答栏内。 某公司申请了一个 C 类地址210.45.12.0，公司的域名为 ，域名服务器地址为 210.45.12.50。公司有生产部门、市场部门、财务部分、人事部门、技术部门和经理办公室，每

24、个部门都需要划分为单独的网络，即需要划分至少 5 个子网，每个子网至少支持 24 台主机。(使用固定子网掩码)（分数：8.00）(1).该公司的财务部有一个局域网使用了其中一个子网，子网地址是 210.45.12.64，网关是210.45.12.65。财务部为简化 IP 地址分配，使用一台安装 Linux 操作系统的 PC 机作为 DHCP 服务器，下面是 DHCP 配置文件/etc/dhcpd.conf 的主要内容： subnet 210.45.12.64 netmask (1) range (2) ; default-lease-time 86400; max-lease-time 604

25、800; option subnet-mask (3) ; option routers (4) ; option domain-name““; option broadcast-address (5) ; option domain-name-servers (6) ; host mypc hardware ethernet 00:0a:e6:b2:2f:5b; fixed-address 210.45.12.90; （分数：2.00）_正确答案：(正确答案：(1)255.255.255.224 (2)210.45.12.66 210.45.12.94 (3)255.255.255.224

26、(4)210.45.12.65 (5)210.45.12.95 (6)210.45.12.50)解析：解析：首先要划分子网。由于至少需要划分 5 个子网，每个子网至少支持 24 台主机，并使用固定子网掩码，因此需要从主机 ID 中借 3 位来作为子网地址(235)，也就说子网掩码为 255.255.255.224。这就是空(1)需要填写的内容。 对于子网地址为 210.45.12.64 来说，其地址范围为210.45.12.65210.45.12.94，子网的广播地址为 210.45.12.95，子网的默认网关地址为210.45.12.65，可动态分配地址范围为 210.45.12.66210

27、.45.12.94。 range 语句是用来指定可动态分配地址范围，很显然为 210.45.12.66210.45.12.94，即空(2)处应填写 210.45.12.66 210.45.12.94。option subnet-mask 语句是用来指定子网掩码，很显然为 255.255.255.224。option routers 语句是用来指定子网的默认网关地址，为 210.45.12.65。option broadcast-address 语句是用来指定子网的广播地址，为 210.45.12.95。option domain-name-servers 语句是用来指定 DNS 服务器地址，题

28、目中已经给出，为 210.45.12.50。(2).如果客户机连续请求继续租约 IP 地址都失败，那么它再租用 IP 地址最长时间是_秒。（分数：2.00）_正确答案：(正确答案：604800)解析：解析：在 linux 下配置 DHCP 服务器时一般要配置两个时间：一个缺省租约时间，它用来指定 DHCP客户机在租约地址后什么时间需要向 DHCP 服务器续租 IP 地址，缺省租约时间使用 default-lease-time语句来定义的；另一个是最大的租约时间，它用来指定 DHCP 客户机在续租请求遭到 DHCP 服务器拒绝时，什么时间必须放弃 IP 地址租约，最大的租约时间使用 max-le

29、ase-time 语句来定义的。由此可见，此处要回答的是最大租约时间，为 604800 秒。(3).文件中下划线部分所起到的作用是_。（分数：2.00）_正确答案：(正确答案：把 210.45.12.90 固定地分配给网卡 MAC 地址为 00:0a:e6:b2:2f:5b 的主机)解析：解析：host 语句的作用是为特定的客户机提供网络信息。文件/etc/dhcpd.conf 中画线部分说明了把 210.45.12.90 固定地分配给 mypc 这台主机，这台主机网卡的 MAC 地址是 00:0a:e6:b2:2f:5b。(4).管理员想查看服务器当前 IP 地址的租约情况，可以查看 DHC

30、P 服务器中的_文件(绝对路径)。（分数：2.00）_正确答案：(正确答案：var/state/dhcp/dhcpd.leases)解析：解析：dhcpd.leases 是 DHCP 客户租约的数据库文件，默认目录在/var/state/dhcp/，文件包含租约声明，每次一个租约被获取、更新或释放，它的新值就被记录到文件的的末尾。三、试题三(总题数：2，分数：16.00)3.试题三（）（分数：8.00）_解析：阅读以下说明，回答问题 14，将解答填入对应栏内。 虚拟专用网是虚拟私有网络(Virtual Private Network，VPN)的简称，它是一种利用公共网络来构建的私有专用网络。对

31、于构建 VPN 来说，网络隧道(Tunneling)技术是个关键技术。主要有两种类型的隧道协议：一种二层隧道协议，如 PPTP、L2TP；另一种是三层隧道协议，GRE、IPsec。另外，还有第四层隧道协议，如 SSL VPN。图 3-1 所示的是某公司的总部与其分支机构连接的示意图。 （分数：8.00）(1).针对不同的用户要求，VPN 有三种解决方案：(1)、(2)和(3)。根据这三种解决方案的特点，该方案应该采用(2)。（分数：2.00）_正确答案：(正确答案：(1)远程访问虚拟网(Access VPN) (2)企业内部虚拟网(Intranet VPN) (3)企业扩展虚拟网(Extran

32、etVPN)解析：解析：Access VPN 是通过公用网络与企业的 Intranet 和 Extranet 建立私有的网络连接，为出差流动员工、远程办公人员和远程小办公室提供 VPN 服务的，通常使用二层网络隧道技术。Intranet VPN是通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。利用 IP 网络构建 VPN 的实质是通过公用网在各个路由器之间建立 VPN 安全隧道来传输用户的私有网络数据，用于构建这种 VPN 连接的隧道技术有 IPsec、GRE 等。结合服务商提供的 QoS 机制，可以有效而且可靠地使用网络资源，保证了网络质量。Extranet

33、VPN 是通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。由此可见，本题中使用的是 Intranet VPN。(2).如果按照图 3-1 所示的网络结构配置 IPSecVPN，它有隧道和传输两种工作方式。若 IPSec 工作在隧道模式，采用安全机制选择的是 AH。在下列三个选项中选择正确选项填写到图 3-2 中相应空缺处。 (a)AH 头 (b)封装后的 IP 包头 (c)封装前的 IP 头 （分数：2.00）_正确答案：(正确答案：(4)b (5)a (6)c)解析：解析：传输模式下，VPN 服务器只对 IP 数据报中 TCP/UDP 报文段部分进行加

34、密和验证，而 IP 报头仍采用原始明文 IP 报头，只是做适当的修改；但在隧道模式下，VPN 服务器会对整个 IP 数据报进行加密和验证，即将原 IP 数据报看做一个整体进行加密和验证，为了能在 Internet 正确传送，VPN 服务器还需要重新生成 IP 报头。由此可见，空(1)处，应是重新生成 IP 报头，空(2)处是用于验证的 AH 报头，空(3)处是原 IP 数据报的报头。(3).VPN 服务器既可以接收来自 VPN 传输的数据，也可接收来自 Internet 的数据。对于来自 VPN 传输的数据(7)，来自 Internet 的数据(8)。VPN 服务器是通过(9)来区分这两种 I

35、P 数据包的。（分数：2.00）_正确答案：(正确答案：(7)进行解密和验证，并重新封装 (8)直接转发 (9)IP 报头中的 IP 协议号)解析：解析：VPN 服务器既可以接到来处 VPN 传输来数据，也可接收来自 Internet 的数据。对于来自 VPN传输来数据需要进行解密和验证，并重新封装，而来自 Internet 的数据则直接转发。对于 IPSec 数据包，VPN 服务器是通过 IP 报头中的 IP 协议号来标识的。若使用 AH 协议，则 IP 协议号为 51，若使用 ESP 协议，则 IP 协议号为 50。(4).如果按照图 3-1 所示的网络结构配置 L2TP，则数据是通过二层

36、协议(10)来封装，身份认证方法是(11)。（分数：2.00）_正确答案：(正确答案：(10)PPP (11)PPP CHAP)解析：解析：二层隧道协议主要有三种：PPTP(Point to Point Tunneling Protocol，点对点隧道协议)、L2F(Layer2 Forwarding，二层转发协议)和 L2TP(Layer 2 Tunneling Protocol，二层隧道协议)。其中L2TP 结合了前两个协议的优点，具有更优越的特性，它是通过 PPP 协议来封装 VPN 数据的。与 PPP 类似，L2TP 可以对隧道端点进行验证。不同的是，PPP 可以选择采用 PAP 方式

37、以明文传输用户名及密码，而L2TP 规定必须使用类似 PPP CHAP 的验证方式。四、试题四(总题数：2，分数：12.00)4.试题四（）（分数：6.00）_解析：阅读以下说明，回答问题 13，将答案填入对应的解答栏内。 某公司由总部和分支机构构成，通过IPSec 实现网络安全，网络拓扑结构如图 4-1 所示。 路由器之间的地址分配如表 4-1 所示。（分数：6.00）(1).总部端路由器的部分配置如下，解释配置中语句部分含义。 crypto isakmp policy 1 (1) authentication pre-share (2) group 2 crypto isakmp key test123 address 202.96.1.2 (3) crypto ipsec transform-set VPNtag ah-md5-hm