四级网络工程师真题详细解析

1、一、选择题（每小题1分，共40分）下列各题A）、B）、C）、D）四个选项中，只有一个选项是正确的，请将正确选项涂写在答题卡相应位置上，答在试卷上不得分。（1）答案：A解析：宽带城域网服务质量QoS技术包括资源预留RSVP、区分服务DiffServ、多协议标记交换MPLS，而A)中的密集波分复用DWDM属于光纤通信的传输技术。因此选项中不属于QoS技术的是A)密集波分复用。（2）答案：C解析：802.11是IEEE为无线局域网WLAN制定的标准。802.11a是802.11原始标准的一个修订标准，采用了与原始标准相同的核心协议，工作频率为5GHz，使用52个正交频分多路复用副载波，最大原始数据传

2、输率为54Mb/s。此外还有802.11b、802.11g传输速率也为54MB/s，而802.11n则将传输速率提高到了300Mb/s。因此答案选择C。（3）答案：C解析：OC-12是ITU为同步光网络SONET制定的一套标准。3个OC-1（STS-1）信号通过时分复用的方式复用成SONET层次的下一个级别OC-3（STS-3）速率为155.520Mbit/s。STS-3信号也被用作SDH体制的一个基础，那里它被指定为STM-1（同步传输模块第一级别）。而4个OC-3复用成为一个OC-12，因此速率为155.520 Mbit/s *4=622.080 Mbit/s，因此答案选择C。（4）答案：

3、C解析：无线接入技术主要有802.11(WLAN)、蓝牙（Bluetooth）、IrDA（红外线数据）、HomeRF、无线微波接入技术、IEEE 802.16（WiMAX，WMAN）、GPRS/CDMA无线接入等等。电缆调制解调器(Cable Modem)技术就是基于CATV(HFC)网的网络接入技术，上行带宽可达10M，下行带宽可达36M。因此错误的描述应该是C。（5）答案：B解析：RAID磁盘阵列就是将N台硬盘通过RAID Controller（分Hardware，Software）结合成虚拟单台大容量的硬盘使用，从而提高硬盘性能。 Cluster集群是指一组连接起来的电脑，它们共同工作对

4、外界来说就像一个电脑一样。集群一般用于单个电脑无法完成的高性能计算，拥有较高的性价比。可以实现负载均衡和性能优化。如Baidu和Google等大的搜索引擎后台服务器就是利用Cluster实现。 RISC精简指令集计算机是一种执行较少类型计算机指令的微处理器，起源于80 年代的MIPS主机（即RISC 机），RISC机中采用的微处理器统称RISC处理器。IBM的Power PC就是采用的RISC。 CISC复杂指令集计算机，和RISC，都是指的计算机的中央处理器内核的指令类型。不同的是指令由完成任务的多个步骤所组成，把数值传送进寄存器或进行相加运算。如Intel和AMD的x86就是采用的CISC

5、。 综上分析可推得，服务器组中一台出现故障后，立即转移到其他主机中，应该通过B）Cluster集群来实现。（6）答案：D解析：路由器的性能指标主要包括吞吐量(路由器的包转发能力)、丢包率(路由器在稳定的持续负荷下，由于资源缺少而不能转发的数据包在应该转发的数据包中所占的比例，常用作衡量路由器在超负荷工作时路由器的性能)、时延(数据包第一个比特进入路由器到最后一个比特从路由器输出的时间间隔)、时延抖动、路由表能力(路由表内所容纳路由表项数量的极限)、背靠背帧数(以最小帧间隔发送最多数据包不引起丢包时的数据包数量)、背板能力(输入与输出端口间的物理通路)、服务质量能力、网络管理、可靠性和可用性等。

6、 因此不属于路由器性能指标的是D）最大可堆叠数。（7）答案：C解析：系统的可用性用平均无故障时间（MTTF）来度量，即计算机系统平均能够正常运行多长时间，才发生一次故障。系统的可靠性越高，平均无故障时间越长。可维护性用平均维修时间（MTTR）来度量，即系统发生故障后维修和重新恢复正常运行平均花费的时间。系统的可维护性越好，平均维修时间越短。计算机系统的可用性定义为：MTTF/(MTTF+MTTR) * 100%。 上述服务器年停机事件55分钟，(365*24*60-50)/365*24*60*100%99.99%，因此可用性达到C)99.99%。计算机产业界通常用如下表所示的"9&q

7、uot;的个数来划分计算机系统可用性的类型。（8）答案：D解析：因为IP地址块为20/29，后面数字为29，所以子网掩码应该32位中前29位为1，属于三位为0，也就是（11111111.11111111.11111111.11111000）2转换为十进制就是48，答案为D。（9）答案：B解析：上图中的NAT转换过程是从Internet中IP为，端口8080的源主机发送了一个包给IP为，端口为2341的目标主机，而NAT转换器将这个IP为，端口为2341的目标主机转换成IP为.1，端口为1234

8、在局域网中工作，然后再逆向转换成返回Internet中。因此题中NAT转换表中转换后的IP为；转换之前，也就是主机专用IP为，答案选B。（10）答案：B解析：IP地址块/27和2/27经过聚合后为/26，其中全0和全1不能用，因此可用地址数为2(32-26)-2=62个，而无法聚合，可用地址数为2(32-27)-2=30个。所以总共可用的地址数为62+30=92个，答案选B。也有认为应该聚合为聚合得到/25得到的2（32-25）-2=126。但是这

9、样做的话，会将不在范围内的/27也包括在内。个人认为不正确。（11）答案：D解析：IPv4地址采用32位的点分四段十进制表示，而IPv6采用的是128位的冒分八段十六进制法。按照RFC2373定义，一个完整的IPv6地址的表示法：xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx例如：2031:0000:1F1F:0000:0000:0100:11A0:ADDF。为了简化其表示法，RFC2373提出每段中前面的0可以省略，连续的0可省略为":"，但只能出现一次，例如：1080:0:0:0:8:800:200C:417A 可

10、以简写为1080:8:800:200C:417A。类似于IPv4中的CDIR表示法，IPv6用前缀来表示网络地址空间，比如：2001:250:6000:/48 表示前缀为48位的地址空间。 而D)选项中的FF34:42:BC:0:50F:21:0:03D已经超过8段，所以表示错误，答案选择D。（12）答案：C解析：BGP有4种分组类型：打开open分组用来建立连接；更新update分组用来通告可达路由和撤销无效路由；周期性地发送存活keepalive分组，以确保连接的有效性；当检测到一个差错时，发送通告notification分组。因此需要周期交换的是选项C) 存活keepalive分组。（1

11、3）答案：D解析：因为R1更新距离值为0、3、3、4，因此可以肯定的是目的网络.0和肯定通过路由R2，以及通过R2到达的距离应该不小于4。减去R1到R2的距离1，因此R2到目的网络和的距离也就是和均为2，到的距离也就是应该不小于3。因此可以得出答案应该为D。（14）答案：C解析：OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议，用于在单一自治系统AS内决策路由。OSPF链路状态度量值（metric）一般包括费用、距离、时延、带宽等等。不包括路径，因此答案选C。（15）

12、答案：A解析：综合布线设计标准主要包括以下几类：ANSI/TIA/ EIA-568A商业大楼电信布线标准（加拿大采用CSA工T529）TIA/EIA-568-B 商业建筑通信布线系统标准EIA/ TIA-569电信通道和空间的商业大楼标准（CSA T530）EIA/ TIA-570住宅和N型商业电信布线标准CSA T525TIA/ EIA-606商业大楼电信基础设施的管理标准（CSA T528）TIA/ EIA-607商业大楼接地/连接要求（CSA T527）ANSI/ IEEE 802.5-1989令牌环网访问方法和物理层规范GB/T 50311-2000建筑与建筑群综合布线系统工程设计规范

13、GB/T 50312-2000建筑与建筑群综合布线系统工程验收规范CECS72:97建筑与建筑群综合布线系统工程设计及验收规范而A选项中的ISO/IEC 18011不是综合布线系统标准。（16）解析：STP电缆价格比UTP要贵，而且对安装施工的要求较高，但是STP比UTP的抗电磁干扰能力好。 在综合布线系统中，水平布线子系统都采用5类(或超5类，或6类)4对非屏蔽双绞线。双绞线电缆长度应该在90m以内，信息插座应在内部作固定线连接。 工作区子系统的信息插座大致可分为嵌入式安装插座(暗座)、表面安装插座和多介质信息插座(光纤和铜缆)等。其中，嵌入式安装插座是用来连接双绞线的，多介质信息插座用来连

14、接铜缆和光纤，用以解决用户对"光纤到桌面"的需求。建筑群布线子系统所采用的铺设方式主要有架空布线、巷道布线、直埋布线、地下管道布线，或者是这4种铺设方式的任意组合。其中地下管道布线的铺设方式能够对线缆提供最佳的机械保护，是最理想的方式。因此描述错误的是C。（17）答案：B解析：交换表的内容包括：目的MAC地址、该地址所对应的交换机端口号以及所在的虚拟子网。 Cisco大中型交换机使用“show cam dynamic”命令显示交换表内容；小型交换机使用“show mac-address-table”命令显示交换表内容。 因此错误的是B（18）答案：A解析：为交换机A的g0/

15、1端口分配VLAN的配置。以Cisco 3548交换机为例：步骤一：进入交换机端口配置模式(config)#interface g0/1步骤二：配置VLAN Trunk模式(config-if)#switchport mode trunk步骤三：为端口分配VLAN (config-if)#switchport trunk allowed vlan 10,15（19）答案：B解析：交换机telnet远程管理方式进行配置。以Cisco 3548交换机为例：步骤一：进入端口配置模式(config)#interface vlan1步骤二：配置端口通信IP地址与子网掩码步骤三：退出(config-if)

16、#exit步骤四：配置缺省路由步骤五：配置远程登录口令(config)#line vty 0 4 (config-line)#password 7 ccc 步骤六：退出(config-line)#exit（20）答案：D解析：设置路由器端口的通信方式。以Cisco 6500交换机为例：步骤一：设置第4模块第1端口的通信方式设置为半双工set port 4/1 duplex half步骤二：设置第224端口的通信方式设置为全双工 set port duplex 4/2-24 full（21）答案：C解析：从NVRAM加载配置信息命令为Configure memory将路由器配置保存在NVRAM中

17、命令为Write memory（22）答案：A解析：题中路由器的端口配置方法如下：步骤一：进入第3模块第1端口配置模式(config)#interface s3/1步骤二：设置带宽，其中E1速率为2.048Mbps，所以设置带宽为2048 (config-if)#bandwidth 2048步骤三：配置端口通信IP地址与子网掩码步骤四：设置远程路由器端口封装PPP协议，(config-if)#encapsulation ppp步骤五：退出(config-if)#exit（23）答案：B解析：扩展的控制列表命令格式如下：Router(config)#access-list access-list

18、-number permit or deny protocol soure soure-wildcard log注：access-list-number是访问控制列表号，标准控制列表命令访问控制列表号在0-99。permit是语句匹配时允许通过，deny是语句不匹配时，拒绝通过。soure是源IP地址，protocol 是值得数据包遵守的协议，也就是数据类型。soure-wildcard是通配符，log是可选项，生成有关分组匹配情况的日志消息，发到控制台。题中拒绝转发所有IP地址进与出方向的、端口号为1434的UDP数据包: deny udp any any eq 1434拒绝转发所有IP地址

19、进与出方向的、端口号为4444的TCP数据包: deny tcp any any eq 4444允许其他端口和其他类型的数据包：permit ip any any（24）答案：C解析：Cisco路由器DHCP地址池的配置：步骤一：首先排除不用于动态分配的地址步骤二：配置一个名为zw246的DHCP地址池(config)#ip dhcp pool zw246步骤三：配置动态分配的地址段步骤四：配置缺省网关步骤五：为客户机配置域后缀(步骤六：为客户机配置DNS地址步骤七：配置租借期为6小时30分钟(dhcp-config)#lease 0 6 30，格式为lease 天数 小时数 分钟数（25）答

20、案：B解析：IEEE802.11b IEEE为了改进其最初推出的无线标准IEEE802.11而推出的第二代无线局域网络协议标准。802.11无线局域网运作模式基本分为两种：点对点（Ad Hoc）模式和基本（Infrastructure）模式。点对点模式指无线网卡和无线网卡之间的直接通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接，这是一种便捷的连接方式，最多可连接256个移动节点。基本模式指无线网络规模扩充或无线和有线网络并存的通信方式，这也是802.11最常用的方式。此时，插上无线网卡的移动节点需通过接入点AP（Access Point）与另一台移动节点连接。接入点负责频段管理

21、及漫游管理等工作，一个接入点最多可连接1024个移动节点。因此描述错误的是B。（26）答案：D解析：广域网与局域网电脑交换数据要通过路由器或网关的NAT（网络地址转换）进行。而上述无线局域网设备中只有路由器位于广域网和局域网之间，所以只有无线路由器具有NAT功能。答案选D。（27）答案：C解析：SSID(Service Set Identifier)服务集标识是客户端设备用来访问接入点的唯一标识。可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。最长可达32个区分大小写。快速配置页

22、面中“Broadcast SSID in Beacon”选项，可用于设定允许设备不指定SSID而访问接入点。是一个选项框，默认应该是没有选中No。所以应该是不允许设备不指定SSID而访问接入点=设备必须指定SSID才能访问接入点。（28）答案：D解析：DNS服务器的IP地址应该是静态设置的固定地址，A选项错误。DNS服务器根DNS服务器可以自动配置，不需要管理员手动配置，B选项错误。主机记录的生存时间指指该记录被客户端查询到，存放在缓存中的持续时间，默认值是3600秒，C选项错误。转发器是网络上的DNS服务器，它将对外部 DNS 名称的 DNS 查询转发到网络外部的 DNS 服务器。（29）答

23、案：C解析：作用域是网络上IP地址的连续范围，修建作用域后必须激活才可为客户机分配地址，A选项错误。地址池是作用域应用排除范围之后剩余的IP地址，B选项错误。保留地址可以使用作用域地址范围中的任何IP地址，D选项错误。而C) 客户机的地址租约续订是由客户端软件自动完成的是正确选项。（30）答案：D解析：Web站点可以配置静态IP地址，也可以配置动态IP地址，因此A选项错误。而同一台服务器可以构建多个网站，B选项错误。访问Web站点时必须使用站点的域名，也可以使用站点的IP地址，因此C选项错误。而D）建立Web站点时必须为该站点指定一个主目录是正确选项。（31）答案：D解析：新用户的添加与注册必

24、须由管理员来操作，永无无法自行操作，A选项错误。配置服务器域名时，可以使用域名或其它描述，因此B选项错误。服务器IP地址可为空，当服务器有多个IP地址或使用动态IP地址时，IP地址为空会比较方便，因此C项错误。而选项D) 添加名为“anonymous”的用户时，系统会自动判定为匿名用户为正确答案。（32）答案：A解析：在Winmail快速设置向导中，可选择是否允许客户通过Webmail注册新邮箱，因此A错误。Winmail邮件服务器可以允许用户使用Outlook创建在服务器中已经建立好的邮件帐户，但并不支持用户使用OutLook自行注册新邮件，因此B选项错误。用户自行注册新邮箱时需输入邮箱名、

25、密码等信息，而域名是服务器固定的，并不能自行设置，因此C选项错误。为建立邮件路由，需在DNS服务器中建立邮件服务器主机记录和邮件交换器记录，因此D是正确选项。（33）答案：D解析：网络安全风险评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。网络安全评估包括漏洞检测、修复建议和整体建议等几个方面。在大型网络中评估分析系统通常采用控制台和代理结合的结构。网络安全评估技术常被用来进行穿透实验和安全审计。X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，对系统进行安全评估。ISS 的System Scanner通过依附

26、于主机上的扫描器代理侦测主机内部的漏洞，采用的是主动采用积极的、非破坏的扫描方式。被动扫描工作方式类似于IDS。因此D中描述错误。（34）答案：B解析：数据备份策略决定何时进行备份、备份收集何种数据，以及出现故障时进行恢复的方式。通常使用的备份方式有3种：完全备份、增量备份和差异备份。各种备份策略的比较如下表所示。完全备份增量备份差异备份空间使用最多最少少于完全备份备份速度最慢最快快于完全备份恢复速度最快最慢快于增量备份所以B选项错误。（35）答案：A解析：入侵检测系统（Intrusion Detection System，简称IDS）是一种被动的扫描方式，将探测器部署在链路中对网络性能影响最

27、大。（36）答案：C解析：美国国防部公布了可信计算机系统评估准则TCSEC(Trusted Computer System Evaluation Criteria)，将计算机系统的安全可信度从低到高分为D、C、B、A四类共七个级别：D级，C1级，C2级，B1级，B2级，B3级，A1级。(最小保护)D级：该级的计算机系统除了物理上的安全设施外没有任何安全措施，任何人只要启动系统就可以访问系统的资源和数据，如DOS，Windows的低版本和DBASE均是这一类(指不符合安全要求的系统，不能在多用户环境中处理敏感信息)。(自主保护类)C1级：具有自主访问控制机制、用户登录时需要进行身份鉴别。(自主保

28、护类)C2级：具有审计和验证机制(对TCB)可信计算机基进行建立和维护操作，防止外部人员修改)。如多用户的UNIX和ORACLE等系统大多具有C类的安全设施。(强制安全保护类)B1级：引入强制访问控制机制，能够对主体和客体的安全标记进行管理。B2级：具有形式化的安全模型，着重强调实际评价的手段，能够对隐通道进行限制。(主要是对存储隐通道)B3级：具有硬件支持的安全域分离措施，从而保证安全域中软件和硬件的完整性，提供可信通道。对时间隐通道的限制。A1级：要求对安全模型作形式化的证明，对隐通道作形式化的分析，有可靠的发行安装过程。(其安全功能，依次后面包含前面的)因此用户能定义访问控制要求的自主保

29、护类型系统属于C类。（37）答案：C解析：SNMP简单网络管理协议。MIB-2库中计数器类型的值只能增加，必能减少；而计量器类型的值可以增加也可以减少。SNMP主要操作有主要有获取（get）、设置（set）、通知（notification）。SNMP管理模型中，Manager通过SNMP定义的PDU向Agent发出请求，而Agent将得到MIB值通过SNMP协议传给Manager。而标识符（OID）是用于对网络硬件进行唯一的标识，其中开头的OID定义的是私有管理对象。（38）答案：A解析：路由器通常具有包过滤功能，可以将从某一端口接收到的符合一定特征的数据包进行过滤而不再转发。Teardrop

30、是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包。包过滤路由器可以对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。从而阻断Teardrop攻击。跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。cookie篡改（cookie poisoning）是攻击者修改cookie（网站用户计算机中的个人信息）获得用户未授权信息，进而盗用身份的过程。SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。（39）答案：C解析：通过这个域名，可以正确转换到IP，说明

31、为提供名字解析的服务器以及本机使用的DNS服务器工作正常，并且主机，但并不能说明该主机WWW服务工作正常。选项C错误。（40）答案：A解析：Windows中route命令用于在本地IP路由表中显示和修改条目，在Windows中可以通过route add命令来添加和修改默认网管；ipconfig命令用于显示所有适配器的基本 TCP/IP 配置；NET命令权限很大，主要用于管理本地或者远程计算机的网络环境，以及各种服务程序的运行和配置。可以利用netsh来实现对主机默认网关的设置；NBTSTAT命令用于NBTSTAT命令用于查看当前基于NRTBIOS的TCPIP连接状态，通过该工具你可以获得远程或

32、本地机器的组名和机器名。因此答案为A。二、综合题（每空2分，共40分）请将每一个空的正确答案写在答题卡【1】【20】序号的横线上，答在试卷上不得分。1.【1】A类；解析：题目中给定的IP地址的第一字节范围属于1126之间，可以判断该IP地址属于A类地址；或者将IP地址写成二进制形式为：01101111.10001111.00010011.00000111，第一字节以“01”开头，也可以判断出该IP地址属于A类地址。【2】；解析：由题目知，该IP地址的子网掩码为写成二进制表示法为11111111.11110000.00000000.00000000，子

33、网掩码的前12位为“1”，说明前12位为网络号，后20位为主机号。用子网掩码与IP地址做“与”运算，得到网络地址为01101111. 10000000.00000000.00000000，写成十进制即或/12。【3】；解析：把IP地址的主机号全部置“1”即可得到直接广播地址，即01101111.10001111.11111111.11111111，写成十进制即。【4】.7；解析：将网络号地址全部置“0”，便可得到该IP的主机号，即00000000.00001111.00010011.00000111，写成十进制即.7【5】；解析：由于主机号全置“1”

34、时为广播地址，是不可用的IP地址。所以最后一个IP地址为主机号为广播地址减去1，即。 2【6】crc；解析：(config-if)# crc 32指的是配置CRC的校验功能；【7】S1 S0 0；解析：在pos flag的设置中，s1 s0=00（十进制0）表示是SONET帧的数据，s1 s0=10（十进制2）表示是SDH帧的数据。本题要求设置为SONET帧的数据，故填写为s1 s0 0。【8】.127；解析：在路由器的OSPF配置模式下，可以使用“network ip <子网号> <wildcard-mask> area <区域号>”命令定义参与OSPF的

35、子网地址。因为整个园区网内部都采用OSPF协议，而园区网由两个子网“/26”和“92/26”两个网址块组成，对这两个网址块进行汇聚，得到的园区网的网络地址为5，其子网掩码为28，所以在<wildcard-mask>中应该填写子网掩码的反码，即.127。【9】；解析：可以使用“area <区域号> range <子网地址> <子网掩码>”命令定义某一特定范围子网的聚合。对于本题的网络中，根据上一题的解释，可知聚合后的网络地址为，所以子网掩码即为28。【10】；3【11】.0；解析：从报文中可以看出

36、，第一行报文为客户机发送的DHCP discover报文。在发送此报文的时候，客户机没有IP地址，也不知道DHCP服务器的IP地址。所以，该报文以广播的形式发送，源IP地址为.0，代表网络中本主机的地址；目的IP地址为55，代表广播地址，对当前网络进行广播。【12】00；【13】55；【14】offer；解析：第二行报文是DHCP服务器发送DHCP offer作为对DHCP discover报文的响应，源IP地址为DHCP服务器00；目的IP地址为55，代表广播地址，对当前

37、网络进行广播。【15】0；解析：从“DHCP：Client hardware address=”4【16】ping ；解析：从报文段中可以看出，本题中的报文段是通过ICMP协议传输出错报告控制信息，所以本题中执行的命令一定为“ping”命令；由于在刚开始的时候进行了域名解析，说明“ping”后面的地址是以域名的形式写的，从报文端可以看出，该域名为。所以在题目中使用的命令为ping 。【17】DNS服务器；【18】53；解析：从第一行报文中的“DNS C”可以看出，这是客户机向DNS服务器发出的报文。所以在该报文中，IP地址为23的客户机向IP地址为

38、的DNS服务器发出的报文。所以为域名服务器，即DNS服务器。DNS的默认缺省端口为53。【19】Echo reply解析：返回的是ICMP的头，其中TYPE=8,并且显示返回的内容Echo reply【20】；AppIntell解析：Sniffer Pro内置了一个AppIntell是专门用于监控应用程序流量的，所以答案是AppIntell。三、应用题（共20分）。应用题必须用蓝、黑色钢笔或者圆珠笔写在答题纸的相应位置上，否则无效。答案：（1）32/30 ；【解析】空是路由器RG的S0端口直接连接的目的网络，从图中可以看出应为33与34汇聚后的网络，设为目的网络A；同理，空是路由器RG的S1端口直接连接的网络，从