1、【
简答题】
试题一(15分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某校园网物理地点分布如图C7-1-1所示,拓扑结果如图C7-1-2所示。
图C7-1-1
图C7-1-2
【问题1】(2分)
由图C7-1-1可见,网络中心与图书馆相距700米,而且两者之间采用千兆连接,那么两个楼之间的通讯介质应选择 (1) ,理由是 (2) 。
备选答案:
(1)A.单模光纤 B.多模光纤 C.同轴电缆 D.双绞线
【问题2】(5分,空(6)为2分,其他每空1分)
校园网对校内提供VOD服务,对外提供Web服务,同时进行网络流量监控。对以上服务器进行部署,VOD服务器部署在 (3) ;Web服务器部署在 (4) ;网络流量监控服务器部署在 (5) 。
(3)(4)(5)的备选答案:
A.核心交换机端口 B.核心交换机镜像端口 C.汇聚交换机端口
D.接入交换机端口 E.防火墙DMZ端口
以上三种服务器中通常发出数据量最大的是 (6) 。
【问题3】(8分)
校园网在进行IP地址部署时,给某基层单位分配了一个C类地址块192.168.110.0/24,该单位的计算机数量分布如表C7-1-1所示。要求各部门处于不同的网段,请将表C7-1-2中的(7)~(14)处空缺的主机地址(或范围)和子网掩码填写在答题纸的相应位置。
表C7-1-1
部门 |
主机数量 |
教师机房 |
100台 |
教研室A |
32台 |
教研室B |
20台 |
教研室C |
25台 |
表C7-1-2
部门 |
可分配的地址范围 |
子网掩码 |
教师机房 |
192.168.110.1~(7) |
(11) |
教研室A |
(8) |
(12) |
教研室B |
(9) |
(13) |
教研室C |
(10) |
(14) |
[15分]
解析:
【问题1】答案: (1)A 或 单模光纤 (1分) (B 或 多模光纤)也算对
(2)千兆以太网采用多模光纤的传输距离是这样的:1000BaseLX采用多模光纤,在全双工模式下其网络跨距可以达到550m;1000BaseSX如果使用62.5μm多模光纤,其距离范围是2~275m;如果采用50μm的多模光纤,其距离范围是2~550m。但现在市面上已出现了50μm的多模光纤,传输距离可达1100米,因此也可以采用多模光纤。至于双绞线和同轴电缆,均无法满足千兆网传输距离的要求(1分)
【问题2】试题解析: VOD服务器的数据流量最大,因此部署在核心交换机端口比较好;
Web服务器要提供对外访问服务,因此部署在防火墙DMZ端口比较好;
网络流量监控服务器需要监控所有的数据流,而且还应该尽量避免影响网络工作,因此部署在核心交换机镜像端口比较好。
答案: (3)A 或 核心交换机端口 (1分)
(4)E 或 防火墙DMZ端口 (1分)
(5)B 或 核心交换机镜像端口 (1分)
(6)VOD服务器 (2分)
【问题3】试题解析:
关于VLSM的详细解析,可以参看《网络工程师考前辅导》中的说明,以下插入一张示例图以辅助理解。
答案:(8分,每题一分) (7)192.168.110.126 (1分)
(8)~(10)有四种组合。
组合一
(8)192.168.110.129~192.168.110.190
(9)192.168.110.193~192.168.110.222
(10)192.168.110.225~192.168.110.254
组合二
(8)192.168.110.129~192.168.110.190
(9)192.168.110.225~192.168.110.254
(10)192.168.110.193~192.168.110.222
组合三
(8)192.168.110.193~192.168.110.254
(9)192.168.110.129~192.168.110.158
(10)192.168.110.161~192.168.110.190
组合四
(8)192.168.110.193~192.168.110.254
(9)192.168.110.161~192.168.110.190
(10)192.168.110.129~192.168.110.158
(11)255.255.255.128 (1分)
(12)255.255.255.192 (1分)
(13)255.255.255.224 (1分)
(14)255.255.255.224 (1分)
2、【
简答题】
试题二(15分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
网络工程师经常会面对服务器性能不足的问题,尤其是网络系统中的核心资源服务器,其数据流量和计算强度之大,使得单一计算机无法承担,可以部署多台Linux服务器组成服务器集群,采用负载均衡技术提供服务。
某企业内部网(网络域名为test.com)由三台Linux服务器提供服务,其中DNS、FTP、SMTP和POP3四种服务由一台服务器承担,web服务由二台Linux服务器采用负载均衡技术承担。
【问题1】(2分)
假定提供web服务的二台Linux服务器IP地址分别为192.168.1.10和192.168.1.20。为了使用DNS循环机制,由主机名www.test.com对外提供一致的服务,需要在DNS服务器的test.com区域文件中增加下列内容:
www1 IN (1) 192.168.1.10
www2 IN (1) 192.168.1.20
www IN (2) www1
www IN (2) www2
通过DNS的循环机制,客户访问主机www.test.com时,会依次访问IP地址为192.168.1.10和192.168.1.20的www主机。填写上面的空格,完成test.com文件的配置。
【问题2】(2分)
采用循环DNS配置可以实现简单的具有负载均衡功能的web服务。说明采用循环DNS实现均衡负载存在什么问题。
【问题3】(6分)
图C7-2-1所示的是基于硬件的负载均衡方案,其中WSD Pro被称为导向器。通过导向器的调度,实现服务的负载均衡。主机www1.test.com、www2.test.com和WSD Pro都配置了双网卡,IP地址标注在图中。
图C7-2-1
图中的各个服务器必须进行恰当的配置,主机ns.test.com的/etc/sysconfig/network文件和/etc/sysconfig/network-script/ifcfg-eth0文件配置如下:
/etc/sysconfig/network文件清单:
NETWORKING=yes
FORWARD_IPV4= (3)
HOSTNAME=ns.test.com
DOMAINNAME= (4)
GATEWAY= (5)
GATEWAYDEV=eth0
(3)no 或 false 或 0
(4)test.com
(5)192.168.1.10
(6)192.168.1.3
(8)255.255.255.255 或 192.168.1.255
(7)192.168.1.0
/etc/sysconfig/network-script/ifcfg-eth0文件清单:
DEVICE=eth0
IPADDR= (6)
NETMASK=255.255.255.0
NETWORK= (7)
BROADCAST= (8)
_dj=yes
填写上面的空格,完成文件的配置。
【问题4】(5分)
图C7-2-1所示案例采用NFS(网络文件系统)技术主要解决什么问题?由图中左边的交换机组成的局域网有何功能?
[15分]
解析:
【问题1】试题解析:“A”用来定义主机名和IP地址的关系;“CNAME”用来描述别名。
答案: (1)A (1分)
(2)CNAME (1分)
【问题2】答案:存在的主要问题:不能区分服务器的差异,也不能反映服务器的当前运行状态(负载量的大小);或者,不同根据负载情况实现动态调度。 (1分)
如果一个服务器发生故障不可访问,会造成混乱,一些人能够访问WWW服务,另一些则不可以。
【问题3】答案: (3)no 或 false 或 0 (1分)
依据题意,双网卡之间不能转发IP包。
在标准答案是false 或 0。我们分别在debian和redhat as4对/etc/sysconfig/network的FORWARD_IPV4参数的作用做了测试。经过多次的测试,发现该文件的参数是否能够影响到/proc/sys/net/ip_forward的值,是由启动脚本/etc/init.d/network决定的(通读一遍脚本就知道了),所有无论是yes/no,还是true/false,还是1/0还是其他,/etc/init.d/network都会去读它,然后解析。/proc/sys/net/ip_forward的值决定着是否有路由转发功能,而/proc/sys/net/ip_forward的值由启动脚本来决定,同时这些脚本是可以修改的,所以该题没有统一的答案,因为每个厂商或者个人都可以自己改,只要是知道可以这么控制就可以了。
另外,由于这三台机器特殊的组网方式,即使设置了FORWARD_IPV4=yes,根据路由的基本工作原理,发往左边192.168.2.0网段的数据包也不会跑到右边192.168.1.0网段去。同样,发往右边192.168.1.0网段的数据包也不能跑到左边192.168.2.0网段。因此,即使设置FORWARD_IPV4=yes,或1,或true,也不会影响到系统的工作。
因此可以从宽处理,考生回答yes,1或true也可以得分。
(4)test.com (1分)
(5)192.168.1.10 (1分)
(6)192.168.1.3 (1分)
(7)192.168.1.0 (1分)
(8)255.255.255.255 或 192.168.1.255 (1分)
【问题4】答案: 主机ns同时作为NFS(网络文件系统)服务器,WEB服务器(www1和www2)作为它的客户,共享数据和服务脚本,保证WEB服务的数据同步或一致。 (3分)
NFS服务器需要向www1和www2分发数据文件,为避免分发和同步占用了WEB服务的带宽,左边的交换机组成192.168.2.0 NFS专用局域网,保证WEB的服务质量。(2分)
同时这种配置将使NFS文件系统对外界不可用,增强了服务器的安全性。(1分)
(注:本问题最多得5分)
解析:
【问题1】答案: (1)C 或 添加/删除WinDows组件 (2分)
(2)B 或 Internet信息服务(IIS) (2分)
【问题2】答案: (3)B 或 200.115.12.3 (1分)
(4)D 或 服务器1024~65535中未用端口号 (1分)
【问题3】答案: (5)A 或 c:\Inetpub\ftproot (2分)
【问题4】试题解析: 这种处理方法是让FTP用户使用Windows用户的帐号,查一下windows的帮助就知道了。
答案: (6)A 或 为每个员工分别创建一个windows用户 (2分)
(7)B 或 在主目录下的Local User子目录中为每个用户创建一个与用户名相同的子目录 (2分)
【问题5】答案: (8)C 或 public
(1分)
【问题6】答案: (9)拒绝访问(1分)
(10)200.115.12.0 (1分)(放宽要求,回答200.115.12.0~200.115.12.127的任何一个都算对)
4、【
简答题】
试题四(15分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
2007年间,ARP木马大范围流行。木马发作时,计算机网络连接正常却无法打开网页。由于ARP木马发出大量欺骗数据包,导致网络用户上网不稳定,甚至网络短时瘫痪。
【问题1】(2分)
ARP木马利用 (1) 协议设计之初没有任何验证功能这一漏洞而实施破坏。
【问题2】(3分)
在以太网中,源主机以 (2) 方式向网络发送含有目的主机IP地址的ARP请求包;目的主机或另一个代表该主机的系统,以 (3) 方式返回一个含有目的主机IP地址及其MAC地址对的应答包。源主机将这个地址对缓存起来,以节约不必要的ARP通信开销。ARP协议 (4) 必须在接收到ARP请求后才可以发送应答包。
备选答案:
(2)A.单播 B.多播 C.广播 D.任意播
(3)A.单播 B.多播 C.广播 D.任意播
(4)A.规定 B.没有规定
【问题3】(6分)
ARP木马利用感染主机向网络发送大量虚假ARP报文,主机 (5) 导致网络访问不稳定。例如:向被攻击主机发送的虚假ARP报文中,目的IP地址为 (6) 。目的MAC地址为 (7) 。这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器,并抓包截取用户口令信息。
备选答案:
(5)
A.只有感染ARP木马时才会
B.没有感染ARP木马时也有可能
C.感染ARP木马时一定会
D.感染ARP木马时一定不会
(6)
A.网关IP地址 B.感染木马的主机IP地址
C.网络广播IP地址 D.被攻击主机IP地址
(7)
A.网关MAC地址 B.被攻击主机MAC地址
C.网络广播MAC地址 D.感染木马的主机MAC地址
【问题4】(4分)
网络正常时,运行如下命令,可以查看主机ARP缓存中的IP地址及其对应的MAC地址:
C:\> arp (8)
备选答案:
(8)
A.-s B.-d C.-all D.-a
假设在某主机运行上述命令后,显示如图C7-4-1中所示信息:
图C7-4-1
00-10-db-92-aa-30是正确的MAC地址。在网络感染ARP木马时,运行上述命令可能显示如图C7-4-2中所示信息:
图C7-4-2
当发现主机ARP缓存中的MAC地址不正确时,可以执行如下命令清除ARP缓存:
C:\> arp (9)
备选答案:
(9)
A.-s B.-d C.-all D.-a
之后,重新绑定MAC地址,命令如下:
C:\> arp -s (10) (11)
(10)
A.172.30.0.1 B.172.30.1.13
C.00-10-db-92-aa-30 D.00-10-db-92-00-31
(11)
A.172.30.0.1 B.172.30.1.13
C.00-10-db-92-aa-30 D.00-10-db-92-00-31
[15分]
解析:
【问题1】答案: (1)ARP 或 地址解析协议 (2分)
【问题2】答案: (2)C 或 广播 (1分)
(3)A 或 单播 (1分)
(4)B 或 没有规定 (1分)
【问题3】答案: (5)B 或 没有感染ARP木马时也有可能 (2分) “C 或 感染ARP木马时一定会”也算对 这道题目象文字游戏。
(6)A 或 网关IP地址 (2分)
(7)D 或 感染木马的主机MAC地址 (2分)
【问题4】答案: (8)D 或 -a (1分)
(9)B 或 -d (1分)
(10)A 或 172.30.0.1 (1分)
(11)C 或 00-10-db-92-aa-30 (1分)
5、【
简答题】
试题五(15分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
如图C7-5-1所示,某单位通过2M的DDN专线接入广域网,该单位内网共分为三个子网。服务器放置在子网192.168.5.0/24中,财务部工作站放置在子网192.168.10.0/24,销售部工作站放置在子网192.168.50.0/24。该单位申请的公网IP地址为61.124.100.96/29。
图C7-5-1
【问题1】(3分)
该单位的公网IP地址范围是 (1) 到 (2) ;其中该单位能够使用的有效公网地址有 (3) 个。
【问题2】(6分)
为保证路由器的安全,网络管理员做了如下设置,请阅读下列三段路由配置信息,并在(4)~(6)处填写该段语句的作用。
1.Router(config)# no ip http-server (4)
2.Router(config)# snmp-server community admin RW (5)
3.Router(config)# access-list 1 permit 192.168.5.1
Router(config)# line con 0
Router(config-line)# transport input none
Router(config-line)# login local
Router(config-line)# exec-timeout 5 0
Router(config-line)# access-class 1 in (6)
【问题3】(6分)
请参考图C7-5-1,在路由器上完成销售部网段NAT的部分配置。
……
Router(config)# ip nat pool xiaoshou 61.246.100.99 61.246.100.99 netmask (7)
! 设置地址池
!
Router(config)# access-list 2 permit (8) (9)
!定义访问控制列表
!
Router(config)# ip nat inside source list 2 pool xiaoshou
! 使用访问控制列表完成地址映射
[15分]
解析:
【问题1】答案: (1)61.246.100.96 或 61.124.100.96 (1分) 之所以两个答案都对是因为试卷上出现印刷错误,导致歧义。
(2)61.246.100.103 或 61.124.100.103 (1分)
之所以两个答案都对是因为试卷上出现印刷错误,导致歧义。
(3)5 或 6 (1分)
真正的答案应该是6,因为题目问的是“该单位能够使用的有效公网地址”。但考虑到某些考生将61.246.100.97(路由器占用)排除在外,因此选5也可以接受。
【问题2】试题解析: 关于路由器和访问控制列表的配置命令及用例,可以参看《网络工程师考前辅导》中的内容。
答案: (4)禁用Router的http服务,以提高安全性 (2分)
(5)设置路由器读写团体字符串为admin (2分)
“设置admin团体具有snmp读写权限”更准确。
(6)设置ACL,允许192.168.5.1进入(或访问)CON0 (2分)
“设置con0的输入方向使用access-list 1”也可以
【问题3】试题解析:关于防火墙设备的配置命令及用例,可以参看《网络工程师考前辅导》中的内容。
答案: (7)255.255.255.248 (2分)
(8)192.168.50.0 (2分)
(9)0.0.0.255 (2分)