中级《网络工程师》全真模拟试卷3下午试题解读

2015年中级《网络工程师》全真模拟试卷3下午试题解读2015年中级《网络工程师》全真模拟试卷3下午试题解读2015年中级《网络工程师》全真模拟试卷3下午试题解读2015中级《网络工程师》全真模拟试卷3下午试题一、综合题(共5题，共计75分)某公司的网络设施连结状况如图9-7所示。1(1)往常，图9-7中的网络设施(1)应为(1)，网络设施(2)应为(2)。从网络安全角度而言，互换机4所构成的网络地区一般称为(3)区。图9-7中网络设施(3)应为(4)，它能够对该网络供给以下的保护举措：数据包进入内部网络时将被进行过滤检测，并确立此包能否有威迫网络安全的特点。假如检测到歹意数据包，系统发出警报并阻断攻击。网络设施(3)在图9-7中部署方式的名称是(5)。2(1)该公司的网络采纳核心层、接入层的两层架构方式。依据层次化网络设计的原则，MAC层过滤和IP地点绑定等功能主要应在由(6)(请排列出图9-7中有关互换机的名称)构成的(7)层达成。(2)针对图9-7中的网络拓扑构造，各台互换机需要运转(8)协议，以成立一个无环路的树状构造网络。当图9-7中交换机1～互换机3之间的某条链路有故障(或无效)时，为了使堵塞端口直接进入转发状态，进而切换到备份链路上，则需要在图9-7中互换机1～互换机3、互换机5～互换机8上使用(9)功能。3在图9-7中，因为工作性质的需要，网络管理员的笔录本电脑需要常常在互换机5～互换机8之间随意挪动，应采纳什么方式区分VLAN来管理该笔录本电脑?剖析图9-7所示的网络构造的冗余性，请列举出图9-7中核心层与其余互连地区的两个故障单点。[说明]当局域网中存在大批计算机时，依据业务的不一样，能够将网络分红几个相对独立的子网。图9-8是某公司子网区分的表示图，整个网将被均分为销售部与技术部两个子网，子网之间经过一台安装了Linux操作系统的双网卡计算机连通。该Linux网关计算机使用了最新的BCM5751网卡芯片，因为RedHatLinux9操作系统没法自动辨别此硬件，需要独自安装驱动程序才能正常工作。详细安装过程以下：①将驱动程序压缩文件复制到一个暂时目录中，并使用解压缩命令将驱动程序包bcm5700-8解压缩；page1/16②用make命令建立驱动程序的可加载模块；③用makeinstall命令加载驱动程序；④从头启动系统，启动过程中系统找到网卡进行相应参数配置。4将文件解压缩的命令是______。A．rpmB．tarC．unzipD．rar5Linux网关计算机有两个网络接口(eth0和eth1)，每个接口与对应的子网连结。该计算机/etc/sysconfig/network文件清单为：NETWORKING=yesFORWARD_IPV4=(4)/etc/sysconfig/network-scripts/ifcfg-eth0文件清单为：DEVICE=eth0NETMASK=(3)(以下省略)/etc/sysconfig/network-scripts/ifcfg-eth1文件清单为：DEVICE=eth1NETMASK=(4)(以下省略)[供选择的答案](2)A．yesB．noC．routeD．gateway6在计算机/etc/sysconfig/network-scripts/目录中有以下文件，运转某命令能够启动网络，该命令是(5)，其命令参数是(6)。ifcfg-eth0ifcfg-lopage2/16ifdownifdown-aliasesifdown-cipcbifdown-ipppifdown-ipv6ifdown-isdnifdown-postifdown-pppifdown-sitifdown-s1ifupifup-aliasesifup-cipcbifup-ipppifup-ipv6ifup-ipxifup-isdnifup-plipifup-plusbifup-postifup-pppifup-routesifup-sitifup-s1ifup-wirelessnetwork-funCtionsmetwork-functions-ipv67能够使用命令(7)米查察网络接口的运转状况。输入该命令后，系统的输出信息以下：eth0Linkencap:EthernetHwaddr:00:12:3F:94:E7:B9inetaddr：3Bcast：(8)Mask：(9)UPBROADCASTRUNNINGMULTICASTMTU:1500Metric：1RXpackets：1501errors：0dropped:0overruns：0frame：0TXpackets：74errors：0dropped：0overruns：0carrier：0collisions：0nxqueuelen：100RXbytes：164444(160.5KB)TXbytes：9167(8.9KB)Interrupt：11Memory：dfcf0000-dfd00000以上输出信息表示，该网卡的工作状态是：(10)。此中，“MTU”的含义是(11)。[供选择的答案](7)A．ipconfigB．ifconfigC．netstatD．rcp(10)A．正常B．故障8设置技术部和销售部的主机网络参数后，假如两个子网间的主机不可以通讯，用(12)命令来测试数据包能否能够到达网关计算机。假如数据包能够到达网关可是不可以转发到目标计算机上，则需要用命令cat/pro/sys/net/ipv4/ip_forward来确认网关计算机的内核能否支持IP转发。假如不支持，该命令输出(13)。[供选择的答案](12)A．traceroutepage3/16B．tracertC．nslookupD．route(13)A．1B．0C．yesD．no阅读以下说明，依据要求回答下列问题。[说明]某台安装了WindowsServer2003操作系统的服务器既是Web站点又是FTP服务器。Web站点的域名为，Web站点的部分派置信息如图9-9所示，FTP服务器的域名为。9WindowsServer2003操作系统可经过“管理您的服务器”导游来配置DNS。在DNS服务器中为Web站点增添记录时，在图9-10所示的[地区名称]配置界面中，“地区名称”文本框中应填入(1)。单击图9-10中的[下一步]按钮，系统将弹出如图9-11所示的[地区文件]配置界面，此中系统自动生成的默认地区文件名为(2)。page4/1610地区建成后，用鼠标右键单击地区名称，在如图9-12所示的快捷菜单中选择(3)命令，在弹出的如图9-13所示的对话框中为成立正向搜寻地区记录，则“名称”文本框应填入(4)，“IP地点”文本框应填入(5)。11为了创立域名的正向搜寻地区记录，需要在如图9-12所示的快捷菜单中选择(6)命令。在客户端能够经过(7)命令来测试FTP服务器的域名能否配置成功。12在客户端能够经过(8)命令来测试Web站点的域名能否配置成功。在阅读器的地点栏中输入(9)，能够接见该Web站点。13在鉴于Windows操作系统的客户端中履行命令ping，域名分析系统第一读取本机%systemroot%\system32\drivers\etc目录下的(10)文件，并在此中查找对应域名的IP地点。若查找失败，则将域名分析任务提交给客户机中“Internet协议(TCP/IP)属性”窗口所配置的(11)进行查问。在客户端清除DNS域名分析故障时，输入(12)命令可显示目前DNS缓存。[说明]某公司内部网络经过一台24端口的互换机连结20台PC，使用一台硬件防火墙对外公布公司的Web站点。该公司经过DDN专线连结Internet的网络拓扑构造如图9-14所示。公司内部使用的IP地点块为。图9-14中路由器Router是与该公司互连的第一个ISP路由器。page5/16在PC1的DOS命令窗口中，运转命令netstat-an的系统返回信息如图9-15所示。运转另一条Windows命令后系统的返回信息如图9-16所示(注：部分信息被隐蔽)。14在图9-16所示的DOS命令窗15中，所运转的Windows命令是______。A．ipconfig/renewB．C．D．15在PC1的DOS命令窗口中运转(2)命令，获取结果如图9-17所示。图9-17中空缺的参数中，IPAddress值为(3)；SubnetMask值为(4)；DefaultGateway值为(5)。page6/1616请阅读以下防火墙的配置信息，并增补(6)～(9)空缺处的配置命令或参数，按题目要求达成防火墙的配置。Firewall＞enableFirewall#configterminalFirewall(config)#nameifethernet0(6)security100//配置接口名字，并指定安全级别Firewall(config)#nameifethernet1(7)security0Firewall(config)##nameifethernet2(8)security60Firewall(config)#ipaddressinside(9)Firewall(config)#[备选答案]：A．e0B．e1C．e2D．dmzE．insideF．outside17在图9-14中，Router的eth0接口IP地点为______。18在默认状况下，图9-15中PC1正在恳求的Internet服务为(11)。该服务与PC1进行通讯时，PC1所使用的源端口号的可能取值范围为(12)。19ACL默认的履行次序是(13)。若要严禁内网中IP地点为的PC接见外网，则正确的ACL规则是(14)。(13)A．最优般配B．自上而下C．随机选用D．自下而上(14)A．access-list1permitip55anyaccess-list1denyiphost5anyB．access-list1permitiphost5anyaccess-list1denyip55anyC．access-list1denyip55anyaccess-list1permitiphost5anyD．access-list1denyiphost5anyaccess-list1permitip55any[说明]某公司网络由总公司和分公司构成，其网络拓扑构造如图9-18所示。此中，总公司的网络自治系统1(AS1)采纳RIPvpage7/162路由协议，分公司的网络自治系统2(AS2)采纳OSPF路由协议。该公司网络有两个出口，一个出口经过路由器R1的S0/0端口连结ISP1，另一个出口经过R1的S0/1端口连结ISP2。20与路由器R2的f0/0端口连结的局域网LAN1是一个末节网络，并且已凑近饱和，为了减少流量，需要过滤进入LAN1的路由更新。此时，在路由器R2上需要达成以下与之有关的配置。请将(1)空缺处的内容填写完好。R2(config)#routerripR2(config-router)#______f0/021若LAN2中的计算机不需要接见LAN4中的计算机，为了进一步控制流量，网络管理员决定经过接见控制列表阻挡192.网络中的主机接见网络。此时应将以下有关的接见控制列表设置在路由器R3上。请将以下(2)～(6)空缺处的内容填写完好。access-list101(2)(3)(4)acess-list101(5)ipanyanyinterfacef0/0ipaecess-group(6)in22若采纳策略路由未来自网络去往Internet的数据流转发到ISP1，未来自网络去往Internet的数据流转发到ISP2，请将以下(7)～(12)空缺处的内容填写完好。R1R1R1(config)#roune-mapISP1permit10R1(config-route-map)#matchipaddress(7)R1(config-route-map)#setinterface(8)R1(config-route-map#exitR1(config)#route-mapISP2permit20R1(config-route-map)#matchiPaddress(9)R1(config-route-map)#setinterface(10)R1(config-toure-map)#exitR1(config)#interfacef0/1page8/16R1(config-if)#ippolicyroute-mapISP2R1(config-if)#interfacef0/2R1(config-if)#ippolicyroute-map(11)R1(config-if)#interface(12)R1(config-if)#ippolicyroute-mapISP1R1(config-if)#23若要求自治系统1中的路由器R2能学习到自治系统2(OSPF网络)中的路由信息，同时R5也能学习到自治系统1中的路由信息，则需要在路由器(13)上配置(14)。(13)A．R2B．R5C．R4D．R1(14)A．策略路由B．路由重公布C．静态路由D．界限网关路由参照答案1.(1)路由器或界限路由器防火墙或一致安全网关(USG)或其余拥有近似功能的网络安全设施非军事或DMZ鉴于网络的入侵防备系统，或NIPS流量镜像方式分析：路由器拥有广域网互连、隔绝广播信息和异构网互连等能力，是公司网(或园区网)建设和互联网络建设中必不行少的网络互连设施。由图9-7中的网络拓扑构造可知，设施(1)处于该公司网和Internet之间，所以需要使用路由器设施进行网络互连，以实现该公司网路由信息的界限计算、网络地点变换等功能。防火墙的主要功能是：①检查所有从外面网络进入内部网络和从内部网络流出到外面网络的数据包；②履行安全策略，限制所有不切合安全策略要求的数据包经过。往常，Internet是一个“不行相信的网络”，而内部局域网要求是一个“可相信的网络”。所以在图9-7中设施(2)需要部署防火墙设施，进而保护内部网络资源不被外面非受权用户使用，防备内部遇到外面非法用户的攻击。此外，防火墙中的DMZ区也称为非军事区，它是为认识决安装防火墙后外面网络不可以接见内部网络服务器的问题，而建立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于公司内部网络和外面网络之间的小网络地区内。在这个小网络地区内能够搁置一些对外公然的服务器。比如，图9-7中的Web服务器、DNS服务器和E-mail服务器等。DMZ防火墙方案为要保护的内部网络增添了一道安全防线，往常认为是比较安全的。同时它供给了一个地区放置公共服务器，进而又能有效地防止一些互连应用需要公然，而与内部安全策略相矛盾的状况发生。鉴于网络的入侵防备系统(Network-basedIntrusionPreventionSystem，NIPS)兼有防火墙、入侵检测系统(IDS)和防病毒等安全组件的特征，当数据包经过时，将对它进行过滤检测，以确立该数据包能否含有威迫网络安全的特征。假如检测到一个歹意的数据包，系统不只发出警报，还将采纳相应举措(如抛弃含有攻击性的数据包或阻断连接)阻断攻击。依据网络拓扑构造的不一样，NIPS的探测器能够经过流量镜像、串接集线器设施、串接TAP设施等方式部署在被检测的网络中。在图9-7中，设施(3)直接连结在互换机1的Gi1/2端口(此端口称为镜像端口)，用于检测、剖析和办理从设施(2)(即防火墙)进入互换机1(即内部网络)Gi1/1端口(此端口称为被镜像端口)的数据包。往常将这类设施部署方式称为流量镜像方式。2.(6)互换机5、互换机6、互换机7和互换机8(或互换机5～互换机8)接入生成树或STP(9)BackboneFast分析：图9-7所示的网络构造采纳核心层、接入层的两层架构理念。此中，由互换机1～互换机3构成核心层，主要page9/16达成的功能有：①分组的高速转发；②汇接接入层的用户流量，进行数据分组传输的汇聚、转发与互换；③依据接入层的用户流量，进行当地路由、数据包过滤、协议变换、流量平衡、QoS优先级管理，以及安全控制、IP地点转换、流量整形等办理。在图9-7中由互换机5～互换机8构成接入层，主要达成的功能有：①为用户供给了在当地网段接见应用系统的能力，解决相邻用户之间相互接见的需求，并且为这些接见供给足够的带宽；②适合地负责部分用户管理功能(如MAC层过滤、IP地点绑定、用户认证、计费管理等)；③负责部分用户信息采集工作(如用户的IP地点、MAC地点、接见日志等)。生成树协议(SpanningTreeProtocol，STP)是一个数据链路层的管理协议。其主要功能是在保证网络中没有逻辑回路的基础上，同意在第2层链路中供给冗余路径，以保证网络靠谱、稳固地运转。STP运转在互换机设施上，经过在互换机之间传达网桥协议数据单元(BPDU)，并用生成树算法(STA)对其进行比较计算，以成立一个稳固、无回路的树状构造网络。STP的BackboneFast功能是：使堵塞端口不必等候一个生成树最大存活时间(约30s)，便可直接进入转发状态，进而提升一般互换机到根互换机的间接链路无效状况下的收敛速度。BackboneFast功能需要在所有参加STP计算的互换机上配置。在图9-7中，互换机1～互换机3是网络的骨干互换机。当它们相互之间的某条链路(比如互换机1～互换机2的链路)有故障时，为了使堵塞端口直接进入转发状态，进而切换到备份链路(比如互换机1～互换机3的链路)上，则需要在图9-7中互换机1～互换机3、互换机5～互换机8上使能STP的BackboneFast功能。采纳鉴于MAC地点的方式区分VLAN；或鉴于网络层协议区分VLAN分析：依据VLAN的成员定义，大概有鉴于端口区分、鉴于MAC地点区分、鉴于第3层地点区分、鉴于策略区分(或基于应用区分)这4种VLAN区分方法。此中，鉴于端口区分VLAN是一种静态VLAN的区分方式，其余区分方法例属于动向VLAN的区分方式。若网络用户的物理地点需要常常挪动，则应采纳鉴于MAC地点的方式区分VLAN，或鉴于第3层地点(网络层协议)区分VLAN。4.(1)B，或tar分析：在Linux操作系统中，关于扩展名为的文件，则需要使用“tar-xvzf[文件名”将其恢复成源文件，马上文件解压缩的命令是：tar-xvzf。假如在Linux操作系统中，扩展名为.rpm的文件，则需要使用“rpm-ivh*.rpm”或“rpm-Uvh*.rpm”达成软件包的安装。5.(2)A，或分析：Linux内核默认内置有IP假装功能。可是，使用一个没有内置IP假装功能的内核，则需要从头编译，装载一些模块，而后设置数据包过滤规则以便同意变换的进行。为了让IP假装能够工作，需要翻开服务器的IP转发功能，马上/etc/sysconfig/network文件中的FORWARD_IPV4设置为yes而启用IP转发。一个较完好/etc/sysconfig/network-scripts/ifcfg-eth0文件清单是：DEVICE=eht0/*指明网卡的名称*/IPADDR=26/*指明分派给网卡的IP地点*/NETMASK=28/*指明子网掩码，因为该子网有126个可用的IP地点*/NETWORK=/*指明网络地点*/BROADCAST=27/*指明广播地点*/ONBOOT=yes/*指明在系统启动时能否激活网卡*/BOOTPROTO=none/*指明能否使用bootp协议*/同理，因为技术部子网可用的IP地点有126个，所以在/etc/sysconfig/network-scripts/ifcfg-eth1文件中子网掩码也应设置为，即。一旦配置完Linux网关计算机的网络配置文件，应当使用命令来从头启动网络以使之改正奏效。6.(5)ifup(6)网络接口(或设施)名称，或eth0分析：命令ifconfig、ifup、ifdown的作用都是用于启动/封闭网络接口，但iflap与ifdown仅能就/etc/sysconfigpage10/16/network-scripts内的ifcfg-ethx(x=0，1，2，3)进行启动或封闭的动作，其实不可以直接改正网络参数，除非手动调整ifcfg-ethx文件内容。当履行ifupeth0时，操作系统会找出ifcfg-eth0这个文件的内容，然以后加以设定。在本试题中/etc/sysconfig/network-scripts/目录下只给出ifcfg-eth0文件，所以运转ifup命令能够启动eth0所在的网络，其命令参数是网络接口(或设施)名称eth0。7.(7)B，或(9)(10)A，或正常最大传输单元分析：在Linux操作系统中，可使用ifconfig命令来查察当地主机目前获取的TCP/IP参数配置信息。使用不带任何参数的ifconfig命令能够显示所有网络接口的状态。若要检查特定网络接口的状态，则需使用ifconfig[interface]命令。比如，能够使用“ifconfigeht0”命令来查察该BCM5751网卡的运转状况。从试题中给出的输出信息可知，DHCP服务器分派给该BCM5751网卡的IP地点是。因为是一个C类IP地点，其默认的子网掩码(Mask)为。TCP/IP协议规定，将某个IP地点中表达主机部分的各比特位所有设置为“1”的IP地点称为该主机的直接广播地点。因为C类IP地点是用最右侧一个字节的比特位来表达主机地点部分，所以3的当地直接广播地点为55。从ifconfig命令的输出信息——“UP”、“RXpackets:1501”、“TXpackets:74”、“RXbytes:164444(160.5KB)TXbytes:9167(8.9KB)”可判断该BCM5751网卡处于正常收发数据包的运转状态。在ifconfig命令的输出信息——“MTU:1500”中，MTU表示最大传输单元，它是跟网络接口层特征有关的。在以太网中，RFC894定义的以太帧格式的MTU值为1500字节。在一个IP包中，扣除IP包头的20个字节，能够传输的最大数据长度为1480个字节；在TCP包中，扣除20个字节的TCP包头，能够传输的最大数据段为1460个字节；在UDP包中，扣除UDP包头的8个字节，能够传输的最大数据段为1492个字节。所以，当数据超出最大数据长度时，将对该数据进行分段办理，在IP包头中会看到有多个数据段在传输，但这些数据段的表记号是同样的，表示是同一个数据包。8.(12)A，或traceroute(13)B，或0分析：在Linux操作系统中使用鉴于UDP协议的traceroute命令进行路由追踪，该命令在Windows操作系统中对应是“tracert”。在计算机能够经过nslookup命令测试DNS配置状况，或实现某个域名及其对应的IP地点间的相互查问。route命令主要用于创立或删除某条路由。标准的GNU/Linux供给了好多可调理的内核参数。比如在/proc虚构文件系统中存在一些可调理的内核参数。这个文件系统中的每个文件都表示一个或多个参数，它们能够经过cat工具进行读取，或使用echo命令进行改正。以下例子展现了怎样查问或启用一个可调理的参数的实验过程。[root@camus]苷cat/proc/sys/net/ipv4/ip_forward/*查问计算机的内核能否支持IP转发*/0/*查问结果，0表示不支持或未启用*/[root@camus]#echo"1"＞/poc/sys/net/ipv4/ip_forward/*在TCP/IP栈中启用IP转发*/[root@camus]#cat/proc/sys/net/ipv4/ipforward/*持续查问计算机的内核能否支持IP转发*/1/*查问结果，1表示支持或已启用*/分析：在WindowsServer2003操作系统中，挨次选择[开始]→[程序]→[管理工具]→[计算机管理]→[服务和应用程序]→[DNS]命令，进入如图3-26所示的DNS控制台窗口。接着用鼠标右键单击“正向搜寻地区”，而后在快捷菜单中选择[新建地区]命令。当“新建地区导游”启动后，单击[下一步]按钮。接着系统将提示选择地区种类。地区种类包含：①主要地区；②协助地区；③存根地区等。此中，①主要地区能够用于创立直接在此服务器上更新的地区的副本，此地区信息储存在一个.dns文本文件中。②标准协助地区从它的主DNS服务器复制所有信息。主DNS服务器能够是为地区复制而配置的ActiveDirectory地区、主要地区或协助地区。③存根地区只包含用于表记该地区的威望DNS服务器所需的资源记录，这些资源记录包含邮件互换机(MX)、名称服务器(NS)、开端受权机构(SOA)、主机资源记录(A)和又名资源记录(CNAME)等。假如要创立能够直接在此服务器上更新地区的副本，则地区种类应选择“主要地区”，而后单击[下一步]按钮。page11/16域按层次构造命名，由若干个重量构成，各重量之间用“.”(是小数点的点)分开。各重量分别代表不一样级其余域名，最高等其余名字放在最右侧，最初级其余名字放在最前面。域名由www、test、com这3个重量组成(根结点表记符为空，省略不写)，其顶级域为com，第二级域为，最初级的域为。所以，在图9-10“地区名称”文本框中输入“”，接着单击[下一步]按钮。系统将弹出如图9-11所示的“地区文件”对话框，此中系统自动生成的默认地区文件名为“地区名+.dns”，即“”。10.(3)新建丰机(4)www分析：要实现DNS服务一定增添主机记录。主机记录取于静态地成立主机名与IP地点之间的对应关系。只有当用户输入域名(即主机名和地区名称的组合)时，DNS服务器才能将域名分析为对应的IP地点，进而实现用户对相应站点的接见。增添主机记录的操作步骤以下：①翻开DNS控制台窗口，在左窗格中睁开“正向搜寻地区”目录。②用鼠标右键单击准备增添主机资源记录的地区名称“”，在弹出的快捷菜单中选择[新建主机]命令。③在图9-13所示的“新建主机”对话框中的“名称”文本框中输入“www”，并在“IP地点”文本框中输入映照该域名计算机的IP地点“4”(见图9-9)。④接着单击[增添主机]按钮，达成为Web服务器增添一条域名为“”，且映照到IP为“4”的正向搜寻地区的主机资源记录。11.(6)C，或新建又名(7)nslookupftp.test.tom(或，或等)分析：在实质应用中，一台DNS服务器能够同时拥有多个不一样的主机名称，而这类应用需求是经过创立又名(CNAME)资源记录的方法来实现的。所谓又名(Alias)是指可经过此外一个主机名称接见该计算机。CNAME资源记录是DNS中的规范名(CriterionNAME)资源记录，它能够为其余记录(比如，主机地点(A)记录)成立一个又名。若要为成立正向搜寻地区记录，则需在如图9-12所示的快捷菜单中选择[新建又名]命令。接着在系统弹出的“又名CNAME”对话框中，“又名”文本框中输入“ftp”，“目标主机的完好合格的域名”文本框输入“”(或经过单击[阅读]按钮逐渐选择)，最后单击[确立]按钮，即可为“”成立一个名为“”的又名记录。命令程序nslookup用于测试域名与其对应的IP地点之间相互分析的功能。假如仅测试域名到IP地点的变换，使用命令ping、tracert等也能够达成这个任务。所以，在客户端能够经过(或，或)等命令来测试FTP服务器的域名能否配置成功。12.(8)(或，或等)(9):8080分析：在客户端能够经过(或，或)等命令来测试该服务器Web站点的域名能否配置成功。比如，在客户端的cmd窗口中，输入“”命令，则需要先将域名变换成对应的IP地点，而后再测试到主机(4)的连通性。假如cmd窗口中出现“P[4]with32bytesofdata：”等提示信息，则说明该DNS服务器中Web站点的域名配置正确。在图9-9中，该Web站点的TCP端口号配置为8080，而非Web服务器默认的端口号80，联合题干中重点信息“Web站点的域名为”可知，在客户端要接见该服务器的默认Web站点，则需在阅读器的地点栏中输入“:8080”。13.(10)hosts首选DNS服务器(或DNS服务器)(12)ipconfig/displaydns分析：关于安装Windows操作系统的客户端，假定其系统盘默认为，则在cmd窗口中履行命令。域名分析系统第一读取本机“C:etc”目录下的hosts文件，在此中查找对应域名的IP地点。若查找失败，则将域名分析任务提交给PC1主机中网络连结所配置的“首选DNS服务器”进行查问。鉴于Windows操作系统的客户端在清除DNS域名分析故障时，输入ipconfig/displaydns命令能够显示目前计算机的DNS缓存；输入ipconfig/flushdns命令能够消除目前DNS缓存，即刷新DNS分析器的目前缓存。page12/1614.(1)B或分析：命令tracen经过发送包含不一样TTL的ICMP超时通知报文并监听回应报文，来探测到达目的计算机的路径。在Windows操作系统的DOS命令窗口中，运转命令将获取近似如图9-16所示的系统返旧信息。15.(2)ipconfig/all分析：命令ipconfig刖于显示目前TCP/IP网络配置(如IP地点、子网掩码、默认网关等信息)。选项/all用于显示所有适配器的完好TCP/IP配置信息，包含了每个适配器的物理地点、IP地点、子网掩码、默认网关和DNS等。在Windows操作系统的DOS命令窗口中，运转ipconfig/all命令将获取近似如图9-17所示的系统返回信息。由图9-16中信息“T[41]”可知，域名已被分析为41的这一IP地点。由图9-16中信息“121ms20ms20ms53”可知，从PC1送出的数据包第一步到达的路由接口地点为53。往常，这一IP地点为PC1所配置的默认网关(DefaultGateway)的IP地点。联合图9-14拓扑构造知，地点为防火墙eth0接口的IP地点。命令netstat用于显示活动的TCP连结、侦听的端口、以太网统计信息、IP路由表和IP统计信息。选项-a用于显示出所有连结和侦听端口；选项-n以数字形式显示地点和端口号。在图9-15中，地点是处于“Foreignaddress(外面地点)”这一列，与之对应的“Localaddress(本机地点)”列的IP地点为86。由此可知，PC1的IP地点(IPAddress)为86。由题干信息“公司内部使用的IP地点块为”，此中“/24”是子网掩码的缩写表示形式，即PC1的子网掩码(SubnetMask)为。16.(6)E或inside(7)F或outside(8)D或dmz分析：这是一道要求依据防火墙接口配置命令nameif的理解剖析题，此题的解答思路以下：PIX防火墙的基本配置命令nameif，用于配置防火墙接口的名字，并指定安全级别。安全级别取值越大，则其安全级别越高。由图9-14所示的网络拓扑构造可知，该防火墙的e0端口用于连结该公司的内部网络，往常称为内网(inside)端口，其安全级别为最高(100)；e1端口经过一台路由器与Internet连结，往常称之为外网(outside)端口，其安全级别为最低(0)；e2端口用于连结该公司对外供给服务(如Web、E-mail服务等)的DMZ网络，往常称为DMZ端口，其安全级别介于。inside端口和outside端口之间(60)。由问题2剖析结果知，图9-14中防火墙eth0接口的IP地点为，所以对该接口IP地点的配置语句是ip。分析：由图9-16中信息“21ms2ms5ms54”可知，从PC1送出的数据包第二跳到达的路由接口地点为21，即对应于与该公司互连的第一个ISP路由器Router接口eth0的IP地点。由问题3中，防火墙eth1接口IP地点的配置语句也可计算得出本答案。因为子网掩码为的网段52中只有两个可实质分派的IP地点，即地点53和。18.(11)WWW服务或Web服务(12)1024～65535分析：在默认状况下，Web服务所使用的超文本传输协议(HTTP)的TCP端口号为80。由图9-15“Foreignaddress(外面地点)”列中信息“41:80”知，PC1正在恳求的Internet服务为WWW服务(或Web服务)。在TCP/IP网络中，传输层的传输控制协议(TCP)和用户数据报协议(UDP)的源端口、目的端口均占用16b，其所能表达的最大端口号值为216-1=65535。此中，为各样公共服务保存的端口号范围是1～1023。端口号范围1024～49151为注册端口号，往常用于终端用户连结服务器时短暂使用的源端口号，但它们也能够用来表记已被第三方注册(或被命名)的服务。端口号范围49152～65535为暂时端口号，可由任何进度随机选用使用。所以，PC1恳求Web服务时，其所使用的源端口号的可能取值范围为1024～65535。比如，图9-15“LocalAddress”列中的3331、3333、3335、30606等。page13/1619.(13)B(14)D分析：这是一道要求掌握标准接见控制列表的详细应用的理解题。此题的解答思路以下：接见控制列表(AccesscontrolList，ACL)是路由器接口的指令列表，用来控制端口出入的数据包。ACL默认的执行次序是自上而下。在配置ACL列表时，要按照最小特权原则、最凑近受控对象原则以及默认抛弃原则。最简单的ACL就是标准接见控制列表。它经过使用IP包中的源IP地点进行过滤，使用接见控制列表号1～99来创立相应的ACL。其详细的语法格式以下：access-list＜ACL号＞permit|denyhost＜ip地点＞比如，access-list1denyiphost5any配置语句可将所有来自地点的数据包抛弃。关于标准接见控制列表而言，能够省略默认的重点词host。换言之，语句any与语句access.list1denyip5any是等价的。自然也能够用网段来表示＜ip地点＞，以实现对某个网段的数据包的过滤。比如，access-list1permitip55any配置语句，同意所有来自网段内所有计算机的数据包经过防火墙。此中55是子网掩码的反向掩码。20.(1)passive-interface分析：被动接口是指阻挡路由更新报文经过的路由器接口，即被动接口只接收路由更新但不发送路由更新。在RIP路由配置模式下，使用命令passive-interface指定一个路由器接口为被动接口。passive-interface命令可用于所有IP内部网关协议(如RIP、IGRP、EIGRP、OSPF和IS-IS等)。本问题要求过滤进入LAN1的路由更新，可将路由器R2连结LAN1的f0/0端口配置为被动接口。其有关的配置过程示比以下：R2(config)#routerripR2(config-router)#passive-interfacef0/021.(2)denyip(5)permit(6)101分析：为了过滤不用要的通讯流量，能够经过配置接见控制列表(ACL)来实现。IP接见控制列表是一种鉴于路由设备接口的控制列表，可依据预先拟订的接见控制准则来控制接口对数据包的接收和拒绝。IP接见控制列表主要有标准接见控制列表和扩展接见控制列表两种种类。标准接见控制列表只好检查数据包的源地点，依据源网络、子网或主机的IP地点来决定对数据包的过滤，其表号范围是1～99、1300～1999。在全局配置模式下，使用命令access-listaccess-list-number{peirmit|deny}sourcewildcard-mask配置标准接见控制列表。接见控制列表通配符(Wildcard-Mask)的作用是，指出接见控制列表过滤的IP地点范围，即路由器在进行鉴于源IP地点、目的IP地点过滤时，通配符告诉路由器应检查哪些地点位，忽视哪些地点位。通配符为0，表示检查相应的地点位；通配符为1，表示忽视，即不检查相应的地点位。通配符与IP地点老是成对出现的。往常，ACL通配符用32位二进制数表示，表示形式与IP地点、子网掩码同样。实质上，通配符就是子网掩码的反码。扩展接见控制列表能够经过检查数据包的源IP地点、目的IP地点、指定的协议、端口号等来决定对数据包的过滤。其表号范围是100～199、2000～2699。在全局配置模式下，使用命令access-listaccess-list-number{permit|deny}protocolsourcewildcard-maskdestinationwildcard-mask[operator][operand]配置扩展接见控制列表。此中，operator(操作)有It(小于)、gt(大于)、eq(等于)、neq(不等于)；operand(操作数)指的是端口号。本问题要求“阻挡网络中的主机接见网络”中出现了源网段地点和目的网段地点，因此需要使用扩展接见控制列表才能达成这一配置需求。配置ACL的详细步骤：①定义一个标准(或扩展)的接见控制列表：②为接见控制列表配置包过滤的准则；③配置访问控制列表的应用接口。ACL经过过滤数据包并且抛弃不希望到达目的地的数据包来控制通讯流量。但是可否有效地减少网络中不用要的通信流量，还要取决于网络管理员将ACL部署在哪个详细地方。其部署原则是：标准ACL要尽量凑近目的端，扩展ACL则要尽量凑近源端。所以，本问题应在路由器R3上配置扩展接见控制列表，其相应的配置过程示比以下：R3(config)#access-list110permitipanyanyR3(config)#interfacef0/0R3(config-if)#ipaccess-group110in或许：page14/16R3(config-ext-nac1)#permitipanyanyR3(config-ext-nacl)#exitR3(config)#interfacef0/0R3(config-if)#ipaccess-groupdenyLAN2in22.(7)2(8)serial0/0(9)1(10)serial0/1(11)ISP2(12)f0/0分析：策略路由是能够依据网络管理者拟订的规则进行数据包转发的一种体制。鉴于策略的路由比传统路由能力更强，使用更灵巧，它使网络管理者不单