全国计算机技术与软件专业技术资格（水平）考试&2006年下半年网络工程师下午试卷-在线考试系统

1、【简答题】
试题一（15分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
某学校计划建立校园网，拓扑结构如图C5-1-1所示。
该校园网分为核心、汇聚、接入三层，由交换模块、广域网接入模块、远程访问模块和服务器群四大部分组成。

图C5-1-1
【问题1】（5分）在校园网设计过程中，划分了很多VLAN，采用了VTP来简化管理。
将（1）～（5）处空缺信息填写在答题纸对应的解答栏内。
1．VTP信息只能在（1）端口上传播。
2．运行VTP的交换机可以工作在三种模式：（2）、（3）、（4）。
3．共享相同VLAN数据库的交换机构成一个（5）。

【问题2】（4分）该校园网采用了异步拨号进行远程访问，异步封装协议采用了PPP协议。
将（6）～（9）处空缺信息填写在答题纸对应的解答栏内。
1．异步拨号连接属于远程访问中的电路交换服务，远程访问中另外两种可选的服务类型是：（6）和（7）。
2．PPP提供了两种可选身份认证方法，它们分别是（8）和（9）。

【问题3】（2分）该校园网内交换机数量较多，交换机间链路复杂，为了防止出现环路，需要在各交换机上运行（10）。

【问题4】（4分）该校园网在安全设计上采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，对各层的安全采取不同的技术措施。从备选答案中选择信息，将（11）～（14）处空缺信息填写在答题纸对应的解答栏内。

安全技术	对应层次
（11）	外部网络传输控制层
（12）	内外网间访问控制层
（13）	内部网络访问控制层
（14）	数据存储层

（11）～（14）处备选答案：
A．IP地址绑定 B．数据库安全扫描
C．虚拟专用网（VPN）技术 D．防火墙
[15分]

解析：
【问题1】试题解析：VTP（VLAN Trunk Protocol，VLAN主干配置协议）是CISCO公司设计的私有协议。VTP信息只能在Trunk端口上传播。VTP有三种工作模式：服务器（Server）模式、客户机（Client）模式和透明（Transparent）模式，VTP默认是服务器模式。共享相同VLAN数据库的交换机构成一个VTP管理域。
       答案：(1) trunk
            (2)~(4) 服务器模式，客户机模式，透明模式
            (5) VTP管理域

【问题2】答案： (6)~(7) 分组交换　专线连接     （6、7答案可以互换）
             (8)~(9) PAP CHAP     （8、9答案可以互换）

【问题3】试题解析： STP（Spanning-Tree Protocol，生成树协议）的本质就是消除网络拓扑中任意两点之间可能存在的重复路径，通过不断连续地监视整个网络中的网络连接，采用自动关闭冗余连接的方法来维护一个无回路的网络。
        答案：(10) STP

【问题4】答案：(11) C   (12) D   (13) A    (14) B

2、【简答题】
试题二（15分）
阅读以下关于Linux网关安装和配置过程的说明，回答问题1至问题5。
【说明】
当局域网中存在大量计算机时，根据业务的不同，可以将网络分成几个相对独立的子网。图C5-2-1是某公司子网划分的示意图，整个网络被均分为销售部和技术部两个子网，子网之间通过一台安装了Linux操作系统的双网卡计算机连通。

图C5-2-1
【问题1】（5分）
销售部的网络号是（1），广播地址是（2）；
技术部的网络号是（3），广播地址是（4）；
每个子网可用的IP地址有（5）。

【问题2】（3分）
Linux网关计算机有两个网络接口（eth0和eth1），每个接口与对应的子网相连接。
该计算机/etc/sysconfig/network文件清单为：
NETWORKING=yes
FORWA RD_IPV4=　（６）
HOSTNAME=gateway.ABC.com

/etc/sysconfig/network-scripts/ifcfg-eth０文件清单为：
IPADDR=192.168.1.126
NETMASK=　（７）
…… （以下略）

/etc/sysconfig/network-scripts/ifcfg-eth１文件清单为
DEVICE=eth１
IPADDR=192.168.1.254
NETMASK=　（8）
…… （以下略）

（６）的备选答案：
A．yes B．no C．rout D．gateway

【问题3】（2分）
在网关计算机/etc/sysconfig/network-scripts/目录中有以下文件，运行某命令可以启动网络，
该命令是　（9）　，其命令行参数是　（10）　。
ifcfg-eth０ ifup ifup-sit
ifcfg-lo      ifup-aliases ifup-sl
ifdown    ifup-cipcb               ifup-wireless
ifdown-aliases                 ifup-ippp          init.ipv6-global
ifdown-cipcb                   ifup-ipv6              network-functions
ifdown-ippp ifup-ipx              network-functions-ipv6
ifdown-ipv6 ifup-isdn
ifdown-isdn ifup-plip
ifdown-post ifup-plusb
ifdown-ppp ifup-post
ifdown-sit    ifup-ppp
ifdown-sl     ifup-routs

【问题4】（2分）
在网关计算机上使用以下路径由命令创建两个默认的路由：
rout add –net 192.168.1.0      255.255.255.128 　（11）
rout add –net 192.168.1.128 255.255.255.128 　（12）

【问题5】（3分）
设置技术部和销售部的主机网络参数后，如果两个子网间的主机不能通信，用　　（13）　命令来测试数据包是否能够到达网关计算机。
如果数据包可以达到网关计算机但是不能转发到目标计算机上，
则需要用命令 cat / proc/sys/net/ipv4/ip_forward 来确认网关计算机的内核是否支持 IP 转发。
如果不支持，该命令输出　（14）　。
（13）和（14）备选答案如下：
（13）A．traceroute B．tracert C．nslookup D．route
（14）A．1 B．0 C．yes D．no [15分]

解析：

【问题1】试题解析：由192.168.1.1和192.168.1.126属于同一个子网，192.168.1.129和192.168.1.254属于同一个子网，而由192.168.1.126和192.168.1.254不属于同一个子网，可以分析出该公司使用了25位的子网掩码。故可得到销售部的网络号是192.168.1.0，而网络掩码是255.255.255.128，广播地址为192.168.1.127。同理可得到技术部的网络号为192.168.1.128，网络掩码是255.255.255.128，广播地址为192.168.1.255。每个子网可用的IP地址有27-2=126个。
答案： (1) 192.168.1.0
        (2) 192.168.1.127
　      (3) 192.168.1.128
　      (4) 192.168.1.255
　      (5) 126

【问题2】试题解析：FORWA RD_IPV4指示是否支持IPv4转发。显然在这个网络中，它启动连接两个子网的作用，所以应该设置yes。网络掩码是255.255.255.128。
答案： (6)　A
　      (7) 255.255.255.128
　      (8) 255.255.255.128

【问题3】试题解析： /etc/sysconfig/network-scripts/目录中有个ifup命令，ifup是“InterFace UP”的缩写，用于激活一个网络端口。所以（9）的答案是ifup。 ifup将网络端口名称作为参数，图中的路由器有eth0和eth1两个端口。所以（10）的答案是网络端口名称，填eth0或eth1也算得分。
答案： (9)　ifup
       (10) 网络接口名称（如eth0或eth1）

【问题4】试题解析： rout add –net命令用于增加路由转发规则。
“rout add –net 192.168.1.0 255.255.255.128”中“255.255.255.128”是子网掩码，后面应该跟转发的端口号，由图可知，（11）的答案为eth0。同理，（12）的答案为eth1。
答案： (11) eth0
         (12) eth1

【问题5】试题解析： ping和traceroute都可以用来检测网络的连通性，所以（13）的答案为A。用命令 cat / proc/sys/net/ipv4/ip_forward 可以确认网关计算机的内核是否支持 IP 转发。如果支持，该命令输出1；如果不支持，该命令输出 0。所以（14）的答案为B。
答案： (13) A （1分）
        (14) B（2分）

3、【简答题】
试题三（15分）
阅读以下说明，回答问题１至问题５，将解答填入答题纸对应的解答栏内。
【说明】
通过 SNMP 可以获得网络中各种设备的状态信息，还能对网络设备进行控制。在 Windows Server 2003 中可以采用 IPSec 来保护 SNMP 通信，配置管理站的操作步骤为：先创建筛选器，对输入的分组进行筛选，然后创建 IPSec 策略。

【问题１】（７分）
在“管理工具”中运行“管理 IP 筛选器列表”，创建一个名为“ SNMP 消息”的筛选器。
在如图C5-3-1所示的“IP 筛选器向导”中指定 IP 通信的源地址，下拉框中应选择　（1）　；
在如图C5-3-2 中指定 IP 通信的目标地址，下拉框中应选择　（2）　。
在如图3-3中所示的“选择协议类型”下拉框中应选择　（３）　。
对 SNMP 协议，在图C5-3-4 中设置“从此端口”项的值为　（4）　，“到此端口”项的值为　（5）　；
对 SNMP TRAP 协议，在图C5-3-4 中设置“从此端口”项的值为　（6）　，“到此端口”项的值为　（7）　。

图 C5-3-1

图 C5-3-2

图 C5-3-3

图 C5-3-4

【问题2】（2分）
在创建 IPSec 安全策略时，规则属性窗口如图C5-3-5 所示。在“IP 筛选器列表”中应选择　（8）　。

图 C5-3-5

图 C5-3-6

【问题３】（2分）
在“新规则属性”对话框中点击“筛选器操作”选项卡，选择“Permit”，在图C5-3-6中应选择　（9）　，同时勾选“接受不安全的通讯，但总是使用 IPSec 响应（C）”和“使用会话密钥完全向前保密（PFS）（K）”。
（9）的备选答案：
A．许可 B．阻止 C．协商安全

【问题４】（2分）
在图C5-3-7所示的密钥交换设置对话框中，勾选“密钥完全向前保密（PFS）（P）”，则“身份验证和生成新密钥间隔”默认值为 480 分钟和　（10）　个会话。

图 C5-3-7

【问题5】（2分）
为保证 SNMP 正常通信，被管理的其它计算机应如何配置？ [15分]

解析：

【问题1】试题解析：此问题主要考查了windows中网络工具的熟悉程度，SNMP的管理模型和两种SNMP的基本知识。
对于windows中网络工具，只能是读者自己进行实际操作，才能很好的掌握。在SNMP的管理操作中，Set和Get操作属于轮询方式，由管理者发出，使用端口为UDP 161；Trap操作属于基于中断的方式，由被管代理发出，使用端口为UDP 162。
答案： (1) 任何IP地址
        (2)　我的IP地址
       (3)　UDP
        (4)　161
　      (5) 161
        (6)　162
　      (7) 162

【问题2】试题解析：题目要求采用 IPSec 来保护 SNMP 通信，则（8）的答案自然是SNMP消息。
答案： (8) SNMP消息

【问题3】试题解析：由通讯双方使用IPSec来协商安全，因此（9）的答案是C。
   答案： (9)　C

【问题4】试题解析：此问题主要考查了windows中网络工具的熟悉程度，不熟悉的读者只能进行猜测，按道理应该是大于0的数值，因此可以猜1。
    答案： (10) 1

【问题5】试题解析：保证SNMP正常通信首先要保证IPSec的正常工作，因此（11）的答案是“其他计算机上必须配置相应的IPSec安全策略”。
答案：(11) 其他计算机上必须配置相应的IPSec安全策略

4、【简答题】
试题四（15分）
阅读以下说明，回答问题１至问题６，将解答填入答题纸对应的解答栏内。
【说明】
某公司在 Windows Server 2003 中安装 IIS6.0 来配置 Web 服务器，域名为 www.abc.com。

【问题1】（2分）
IIS 安装的硬盘分区最好选用 NTFS 格式，是因为　（1）　和　（2）　。
A．可以针对某个文件或文件夹给不同的用户分配不同的权限
B．可以防止网页中的 Applet 程序访问硬盘中的文件
C．可以使用系统自带的文件加密系统对文件或文件夹进行加密
D．可以在硬盘分区中建立虚拟目录

【问题2】（3分）
为了禁止IP地址为202.161.158.239～202.161.158.254的主机访问该网站，在图4-1所示的“IP地址和域名限制”对话框中点击“添加”按钮，增加两条记录，如表C5-4-1所示。填写表C5-4-1 中的（3）～（5）处内容。

图 C5-4-1

	IP地址	子网掩码
一组主机	（3）	（4）
一台主机	（5）	-------

表 C5-4-1

【问题3】（4分）
实现保密通信的SSL协议工作在HTTP层和　（6）　层之间。SSL加密通道的建立过程如下：
１．首先客户端与服务器建立连接，服务器把它的　E（7）　发给客户端；
２．客户端随即生成　H（8）　，并用从服务器得到的公钥对它进行加密，通过网络传送给服务器；
３．服务器使用　D（9）　解密得到会话密钥，这样客户端和服务器端就建立了安全通道。
（6）～（9）的备选答案如下：
A．TCP B．IP 　　C．UDP D．公钥 E．私钥
F．对称密钥 G．会话密钥 H．数字证书 I．证书服务

【问题4】（2分）
在 IIS 中安装 SSL 分 5 个步骤，这 5 个步骤的正确排序是　（10）　。
A．配置身份验证方式和 SSL 安全通道
B．证书颁发机构颁发证书
C．在 IIS 服务器上导入并安装证书
D．从证书颁发机构导出证书文件
E．生成证书请求文件

【问题5】（2分）
在安装 SSL 时，在“身份验证方法”对话框中应选用的登录验证方式是　（11）　。
备选答案：
A．匿名身份验证
B．基本身份验证
C．集成 Windows 身份验证
D．摘要式身份验证
E．.Net Passport 身份验证

【问题6】（2分）
如果用户需要通过 SSL 安全通道访问该网站，应该在 IE 的地址栏中输入　（12）　。
SSL 默认侦听的端口是　（13）　。 [15分]

解析：
【问题1】答案： (1)~(2) A，C （1、2答案可以互换）

【问题2】答案：(3) 202.161.159.240
            (4) 255.255.255.240
             (5) 202.161.159.239

【问题3】试题解析：SSL协议位于TCP/IP协议模型的网络层和应用层之间，使用TCP来提供一种可靠的端到端的安全服务。
SSL加密采用公钥密钥体制，服务器需要和客户端通信，需要使用一个安全的会话密钥相互通信，因此使用公钥来加密该会话密钥。首先，服务器将自己的公钥发动给给客户端，由于客户端请求通信，因此需产生一个会话密钥，并用服务器的公钥加密，发送给服务器，服务器收到密文，用自己的私钥解密，获得会话密钥。
答案： (6) A
       (7)　H
       (8) G
       (9) E

【问题4】答案： (10) EBDCA

【问题5】答案： (11) B

【问题6】答案： (12) https://www.abc.com/
                (13) 443

5、【简答题】
试题五（15分）
阅读下面说明，回答问题１至问题4，将解答填入答题纸对应的解答栏内。
【说明】
某企业园区网采用了三层架构，按照需求，在网络中需要设置 VLAN、快速端口、链路捆绑、Internet 接入等功能。该园区网内部分 VLAN 和 IP 地址如表 C5-5-1 所示。
表 C5-5-1

VLAN 号	VLAN 名称	IP 网段	默认网关	说明
Vlan1		192.168.1.0/24	192.168.1.254	管理 Vlan
Vlan10	Xsb	192.168.10.0/24	192.168.10.254	销售部 Vlan
Vlan20	Scb	192.168.20.0/24	192.168.20.254	生产部 Vlan
Vlan30	Sjb	192.168.30.0/24	192.168.30.254	设计部 Vlan
Vlan50	Fwq	192.168.50.0/24	192.168.50.254	服务部 Vlan

【问题1】（3分）
某交换机的配置命令如下，根据命令后面的注释，填写（1）～（3）处的空缺内容，完成配置命令。
Switch （config）# 　　（1）将交换机命名为Sw1
Sw1 （config）# interface vlan1
Sw1 （config-if）#　　（2）设置交换机的IP地址为192.168.1.1/24
Sw1 （config-if）# no shutdown
Sw1 （config）#　　（3）设置交换机默认网关地址

【问题2】（4分）
在核心交换机中设置了各个VLAN，在交换机Sw1中将端口 1～20 划归销售部，请完成以下配置。
Sw1 （config）# interface range fastethernet0/1-20 进入组配置状态
Sw1 （config-if-range）# 　（4）设置端口工作在访问（接入）模式
Sw1 （config-if-range）#　　（5）设置端口1～20为VLAN 10 的成员

【问题3】（4分）
1．默认情况下，交换机刚加电启动时，每个端口都要经历生成树的四个阶段，
它们分别是：阻塞、侦听、（6）、（7）。
2．根据需求，需要将 Sw1 交换机的端口 1～20 设置为快速端口，完成以下配置。
Sw1 （config）# interface range fastethernet0/1-20 进入组配置状态
Sw1 （config-if-range）#　　（8）设置端口1～20为快速端口

【问题4】（4分）
该网络的 Internet 的接入如图 C5-5-1 所示：

图 C5-5-1
根据图 C5-5-1，解释以下配置命令，填写空格（9）～（12）：
1．router （config）# interface s0/0
2．router （config-if）# ip address 61.235.1.1 255.255.255.252 （9）
3．router （config-if）# ip route 0.0.0.0 0.0.0.0 s0/0                   （10）
4．router （config-if）# ip route 192.168.0.0 255.255.255.252 f0/0      （11）
5．router （config-if）# access-list 100 deny any any eq telnet          （12） [15分]

解析：
【问题1】答案： (1)　hostname Sw1
                (2) ip address 192.168.1.1 255.255.255.0
                (3)　ip default-gateway 192.168.1.254

【问题2】试题解析：静态VLAN是最常用的一种划分VLAN的方法。命令“switchport mode access”的作用是将端口设置为为静态VLAN模式。命令“switchport access vlan VLAN_#”的作用是将端口分配给VLAN_#。
答案： (4)　switchport mode access
          (5) switchport access vlan10

【问题3】试题解析：检查的是考生对生成树协议的掌握程度。端口有四种生成树状态：阻塞、侦听、学习和转发。
第8空有点容易令人误解，以为答案是“speed 100”。实际上它考的是如何将端口设为生成树快速端口，因此正确答案为“spanning-tree portfast”。
答案： (6)~(7) 学习　转发（6、7答案可以互换）
        (8) spanning-tree portfast

【问题4】试题解析：只要考生对IP地址有一定理解，即使没有配置过路由器，同样能正确回答出这四个空。
答案：(9) 设置端口的IP地址为61.235.1.1，子网掩码为255.255.255.252
     (10)　设置默认转发端口（即默认路由）为s0/0
     (11) 设置发往网络192.168.0.0/24的转发端口为f0/0
     (12) 禁止所有telnet通信