上半年软考网络工程师下午真题中大网校

2011年上半年软考《网络工程师》下午真题总分：75分及格：45分考试时间：150分本试卷共5道题，共75分。(1)阅读以下说明，根据要求回答问题1～问题3。(15分)【说明】某企业欲构建局域网，考虑到企业的很多业务依托于网络，要求企业内部用户能够高速的访问企业服务器，并且对网络的可靠性要求很高。因此，在网络的设计中，要考虑网络的冗余性，不能因为单点故障引起整个网络的瘫痪。某网络公司根据企业需求，将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图2-10所示。【问题1】(6分)在该网络拓扑图中，请根据用户需求和设计要求，指出至少3个不合理之处，并简要说明理由。【问题2】(5分)该企业有分支机构地处其他省市，计划采用MPLSVPN进行网络互连，请根据MPLSVPN的技术原理回答以下问题：1．MPLS技术主要是为了提高路由器转发速率而提出的，其核心思想是利用标签交换取代复杂的路由运算和路由交换：该技术实现的核心是把___(1)___封装在___(2)___数据包中。(1)、(2)备选答案：A．IP数据报B．MPLSC．TCPD．GRE2．MPLSVPN承载平台由PE路由器、CE路由器和P路由器组成，其中__(3)__是MPLS核心网中的路由器，这种路由器只负责依据MPLS标签完成数据包的高速转发，__(4)__是MPLS边缘路由器，负责待传送数据包的MPLS标签的生成和弹出，还负责发起根据路由建立交换标签的动作。____(5)__是直接与电信运营商相连的用户端路由器，该设备上不存在任何带有标签的数据包。【问题3】(4分)企业网络运行过程中会碰到各种故障。一方面，网络管理人员可以利用网络设备及系统提供的集成命令对网络进行故障排除，例如利用__(6)__命令可以查看系统的安装情况与网络的正常运行状况。另一方面，利用专用故障排除工具可以快速定位故障点，例如利用__(7)__可以精确地测量光纤的长度、定位光纤的断点。(6)A．pingB．debugC．showD．tracert(7)A．数字万用表B．时域反射计C．光时域反射计D．网络分析仪(2)阅读以下说明，根据要求回答问题1～问题4。(15分)【说明】Linux系统有其独特的文件系统ext2，文件系统包括了文件的组织结构、处理文件的数据结构及操作文件的方法。可以通过命令获取系统及磁盘分区状态信息，并能对其进行管理。【问题1】(6分)以下命令中，改变文件所属群组的命令是__(1)__，编辑文件的命令是__(2)__，查找文件的命令是__(3)__。(1)～(3)备选答案：A．chmodB．chgrpC．viD．which【问题2】(2分)在Linux中，伪文件系统__(4)__只存在于内存中，通过它可以改变内核的某些参数。(4)A．／procB．mfsC．／tmpD．／etc／profile【问题3】(4分)在Linux中，分区为主分区、扩展分区和逻辑分区，使用fdisk—1命令获得分区信息如下所示：其中，属于扩展分区的是__(5)__。使用df-T命令获得信息部分如下所示：其中，不属于Linux系统分区的是(6)。【问题4】(3分)在Linux系统中，对于__(7)__文件中列出的Linux分区，系统启动时会自动挂载。此外，超级用户可以通过__(8)__命令将分区加载到指定目录，从而使该分区在Linux系统中可用。(3)阅读以下说明，根据要求回答问题1～问题5。(15分)【说明】某网络拓扑结构如图2—11所示，网络1和网络2的主机均由DHCPServer分配IP地址。FTPServer的操作系统为WindowsServer2003，WebServer的域名为www．softexamtest．com。【问题1】(4分)DHCP_Server服务器可以动态分配的IP地址范围为__(1)__和__(2)__。【问题2】(2分)若在hostl上运行ipconfig命令，获得如图2—12所示的结果，hostl能正常访问Intemet?说明原因。【问题3】(3分)若hostl成功获取IP地址后，在访问http：//www．abc．com网站时，总是访问到www．softexamtest．com，而同一网段内的其他客户端访问该网站正常。在hostl的C：\WINDOWS\system32\drivers\etc目录下打开__(3)__文件，发现其中有如下两条记录：127．0.0．1loealhost__(4)__www．在清除第2条记录后关闭文件，重启系统后hostl访问http：//www．abc．com网站正常。请填充(4)处空缺内容。【问题4】(2分)在配置FTPserver时，图2-13的“IP地址”文本框应填入__(5)__。【问题5】(2分)若FTP配置的虚拟目录为pcn，虚拟目录的相关配置如图2-14与图2—15所示。根据以上配置，哪些主机可访问该虚拟目录?访问该虚拟目录的命令是____(6)__。(4)阅读以下说明，根据要求回答问题1～问题5。(15分)【说明】某公司两分支机构之间的网络配置如图2-16所示，为保护通信安全，在路由器router-a和router-b上配置IPSec安全策略，对192．168．8．0／24网段和192．168．9．0／24网段之问的数据进行加密处理。【问题1】(3分)为建立两分支机构之问的通信，请完成下面的路由配置命令。router—a(config)#iprouter0．0．0.0．0.0.0___(2)___【问题2】(3分)下面的命令是在路由器route-a中配置IPSec隧道。请完成下面的隧道配置命令。router—a(config)#cryptotunneltunl(设置IPSec隧道名称为tunl)router—a(config-tunnel)#peeraddress__(3)__(设置隧道对端IP地址)router—a(config—tunnel)#localaddress__(4)____(设置隧道本端IP地址)router—a(config-tunnel)#setauto-up(设置为自动协商)router—a(config-tunnel)#exit(退出隧道设置)【问题3】(3分)router-a与router-b之间采用预共享密钥“12345678”建立IPSec安全关联，请完成下面配置命令。router—a(config)#cryptikekeyl23456789address__(5)__router-b(config)#cryptikekey123456789address__(6)___【问题4】(3分)下面的命令在路由器router-a中配置了相应的IPSec策略，请说明该策略的含义。【问题5】(3分)下面的命令在路由器router-a中配置了相应的1PSec提议。该提议表明：IPsec采用ESP报文，加密算法采用__(7)__，认证算法采用__(8)__。(5)阅读以下说明，根据要求回答问题1～问题3。(15分)【说明】某单位网络的拓扑结构示意图如图2-17所示。该网络采用RIP协议，要求在R2上使用访问控制列表禁止网络192．168．20．0／24上的主机访问网络192．168．10．0／24，在R3上使用访问控制列表禁止网络192．168．20．0／24上的主机访问10．10．10．0／24上的Web服务，但允许其访问其他服务器。【问题1】(8分)下面是路山器R1的部分配置，请根据题目要求，完成下列配置。R1(COnfig)#interfaceSerial0R1(config-if)#ipaddress___(1)________(2)____R1(config)#iproutingR1(config)#__(3)___(进入RIP协议配置子模式)R1(config—router)#__(4)___(声明网络192．168．1．0／24)【问题2】(3分)下面是路由器R2的部分配置，请根据题目要求，完成下列配置。R2#configtR2(config)#access-list50deny192．168．20．00．0．0255R2(config)#access—list50permitanyR2(config)#interface__(5)___R2(config-if)#ipaccess—group__(6)_______(7)_____【问题3】(4分)1．下面是路由器R3的部分配置，请根据题目要求，完成下列配置。R3(config)#access-list110deny__(8)__192．168．20．00．0．0．25510．10．10．00．0．0．255eq____(9)___R3(config)#access-list110permitipanyany答案和解析本试卷共5道题，共75分。(1):网络冗余设计允许通过设置双重网络元素来满足网络的高可用性需求，冗余避免了网络由于单点故障而引起部分或全部网络业务服务的瘫痪，其目标是重复设置网络组件，以避免单个组件的失效而导致应用失效。如果用户需求中网络可用性是一个非常重要的指标，则可以采用多种冗余或备份手段来增强网络的可用性。依题意，图2-10所示的网络设备连接结构图中，存在以下几点不合理之处及相应的改进措施，见表2—4。【问题2】(5分)标签交换(TagSwitching)是多协议标签交换(MPLS)的前身，它通过给分组或信元加上短而定长的标签，用标签通知交换节点如何处理分组，从而实现高性能的转发。MPLS是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签，利用标签交换取代复杂的路由运算和路由交换。基于MPLS的VPN是一种基于网络的新型VPN解决方案，它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLSVPN是一种介于第二层和第三层之问的隧道协议。它借助于一个公用的MPLS域，在入口边缘路由器为每个IP包添加MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去除MPLS标签，恢复原来的IP包。长度为32比特的MPLS标签位于第2层和第3层之间，如图2．7所示(见本章第2．1．2节试题26的考点解析)。可见，MPLS技术实现的核心是将IP数据报封装在MPLS数据包中。MPLSVPN承载平台由CE(CustomEdgeRouter，用户网络边缘路由器)、PE(ProviderEdgeRouter，骨干网边缘路由器)和P(ProviderRouter，骨干网核心路由器)等3类网络设备组成。其中，P路由器是MPLS核心网中的路由器，不与CE直接相连，这种路由器只负责依据MPLS标签完成数据包的高速转发；PE路由器是MPLS边缘路由器，与用户侧的CE直接相连，负责VPN业务接入，负责待传送数据包的MPLS标签的生成和弹出，负责将数据包按标签发送给P路由器或接收来自P路由器的含标签数据包，还负责发起根据路由建立交换标签的动作，是MPLSVPN的主要实现者；CE路由器是直接与电信运营商相连的用户端路由器，用于发布用户网络路由，该设备上不存在任何带有MPLS标签的数据包。在整个MPLSVPN网络中，对VPN的所有处理都发生在PE路由器上，PE是MPLSVPN网络的关键设备。P、PE设备需要支持MPLS的基本功能，CE设备可以不必支持MPLS。【问题3】(4分)企业网络运行过程中会碰到各种故障。网络管理人员可以利用网络设备及系统提供的集成命令对网络进行故障排除，例如利用show命令可以查看系统的安装情况与网络的正常运行状况。比如，在路由器特权用户模式下，使用命令showconfiguration、showiproute、showipprotocols、showipripdatabase可以分别查看路由器的配置文件、路由表、IP路由协议的详细信息、RIP数据库等。通常，命令debug用于调试信息。例如，在路由器特权模式下，使用命令debugipdp动态查看RIP的更新过程；使用命令debugipospf查看OSPF进程及其细节；命令debugipospfadj显示OSPF邻接关系创建或中断的过程；命令debugipospfevents显示OSPF发生的事件；命令debugipospfpacket显示路由器收到的所有OSPF数据包等。命令pin9通过发送ICMP协议的Echo请求报文并监听Echo应答报文，来检查与远程或本地计算机的连通性情况。而命令仃acert通过发送包含不同TTL的ICMP超时通告报文并监听回应报文，来探测到达目的计算机的路径。另一方面，利用专用故障排除工具可以快速定位故障点。典型的用于排除网络故障的专用工具有：①欧姆表、数字万用表及电缆测试器，可以用于检测电缆设备等的物理连通性；②时域反射计(TDR)和光时域反射计(OTDR)，可以用于测定电缆断裂、阻抗不匹配及电缆设备其他物理故障的具体位置；③断接盒、智能测试盘和位／数据块错误测试器(BERT／BLERT)，可以用于外围接口的故障排除；④网络监测器通过持续跟踪穿越网络的数据包，能每隔一段时间提供网络活动的准确图像；⑤网络分析仪，能够对不同协议层的通信数据进行解码，以便将阅读的缩略语或概述形式表示出来，详细表示哪个层被调用(物理层、数据链路层等)，以及每个字节或者字节内容起什么作用。其中，光时域反射计是根据光的后向散射与菲涅耳反向原理制作，利用光在光纤中传播时产生的后向散射光来获取衰减的信息，可用于测量光纤衰减、接头损耗、光纤故障点定位以及了解光纤沿长度的损耗分布情况等，是光缆施工、维护及监测中必不可少的工具。利用光时域反射计可以比较精确地测量光纤的长度、定位光纤的断点。(2):【问题1】(6分)依题意，命令chgrp用于改变文件或目录所属群组，其语法如下。其中group可以是用户组ID，也可以是／etc／group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表，支持通配符。如果用户不是该文件的属主或超级用户，则不能改变该文件的组。编辑文件的命令是vi；查找文件的命令是which。文件的所有者或者超级用户root，使用chmod命令可以改变文件的访问权限。【问题2】(2分)由于／proc是一个虚拟目录，用于从内存读取进程信息(即是内存的映射)，因此该虚拟目录中的内容关机后不能被保存。标准的GNU／Linux提供了很多可调节的内核参数。例如在／proc虚拟文件系统中存在一些可调节的内核参数。这个文件系统中的每个文件都表示一个或多个参数，它们可以通过cat工具进行读取，或使用ech0命令进行修改。【问题3】(4分)依题意，由使用fdisk—1命令获得的分区信息中，“DeviceBoot”列中“／dev／hda2*”信息，以及其“System”列中对应的“Extended”信息，可得该Linux中／dev／hda2属于扩展分区。由使用df-T命令获得的部分信息中，“Type”列中“vfat”信息可知，／dev／hdal不属于Linux系统分区。该答案也可从使用fdisk—1命令获得分区信息中，“System”列中“Win95FAT32(LBA)”得到进一步的证实。虚拟文件分配表(VirtualFileAllocationTable，VFAT)是Windows95／98等以后操作系统的重要组成部分，它主要用于处理长文件名。长文件名不能为FAT文件系统处理。文件分配表是保存文件在硬盘上保存位置的一张表。原来的DOS操作系统要求文件名不能多于8个字符，因此限制了用户的使用。VFAT的功能类似于一个驱动程序，它运行于保护模式下，使用VCACHE进行缓存。【问题4】(3分)在Linux系统中，／etc／fstab文件存放的是系统中的文件系统信息，该文件中列出的Linux分区，系统启动时会自动挂载。当正确地设置了该文件后，就可以通过mount／directoryname命令来加载一个文件系统，每种文件系统都对应一个独立的行，每行中的字段都有空格或tab键分开。超级用户可以通过挂接命令mount将分区加载到指定目录，从而该分区才在Linux系统中可用。(3):【问题1】(4分)路由器是工作在网络层的网络互联设备，用于连接多个逻辑上分开的网络。通常，路由器的每个接口定义一个广播域，用于连接一个逻辑网段。例如，在图2—11所示网络设备连接结构图中，路由器R1用于连接网络1的接口IP地址为110．115．3．1／24。其中，“／24”子网掩码的二进制数中从左自右有24个连续的“1”，即子网掩码为255．255．255．0。由此间接说明，网络1的网段地址为110．115．3．0／24，该网段共有28-2=254个可供实际分配的IP地址，其中“-2”表示扣除主机地位全“0”IP地址(作为网段地址)和全“1”的IP地址(作为本网段的直接广播地址)，即110．115．3．0、110．115．3．255这两个IP地址不能分配给主机或网络设备使用。由于在网络1中，己将IP地址110．115．3．2分配给FTPServer服务器使用，将IP地址110．115．3．3分配给DHCPServer服务器使用，因此DHCPServer服务器可以为网络l动态分配的IP地址范围是110．115.3．4～110．115．3．254。同理，路由器R1用于连接网络2的接口IP地址为61，202．117．254／26。其中，“／26”子网掩码的二进制数中从左自右有26个连续的“1”，即子网掩码为255．255．255．192。由于将数字254、192的二进制表示进行逻辑与运算，其结果为十进制数192。因此网络2的网段地址为61．202．117．192／26，该网段的直接广播地址为61．202．117．255／26。IP地址61．202．117．253／26分配给Web—Server服务器使用，因此DHCPServer服务器可以通过R1的DHCP中继代理为网络2动态分配的IP地址范围是61．202．117．193～61．202.117．252。【问题2】(2分)如果某客户机启用了DHCP功能，当该客户所属网络的DHCP服务器发生故障(如宕机等)，或DCHP客户机与服务器之间的响应时问超出了一个系统规定的时问时，那么该客户机的Windows系统会为本机分配一个自动专用IP地址(APIPA)，即169．254．0．1～169．254．255．254网段中的IP地址。依题意，在图2．12所示的系统返回信息中，主机hostl获得的IP地址为169．254．150．219／16，而不是网段61．202．117．193～61．202．117．252中的某一个IP地址。由于主机hostl地址获得的是DHCP因故障而分配的一个IP地址(即一个自动专用IP地址)，因此它不能访问intemet。此时，应检查主机hostl的网络连接线路，并通过检查网络2的其他主机是否能够正常自动获得IP地址来判断DHCP服务器、R1的DHCP中继代理是否正常工作等。【问题3】(3分)在Windows操作系统C：＼WlNDOWS＼system32＼drivers＼etc目录下的hosts文件，存放着一些主机名和IP地址的映射表。通常，客户机需要进行域名解析时，系统会先读取该文件，在其中查找对应域名的IP地址。若查找失败，则将域名解析任务提交给该主机所配置的首选DNS服务器进行查询。由于同一网段内的其他客户端访问http：//www．abc．tom网站是正常的，说明与该网站相关的DNS服务器配置及工作状态均是正常的。由图2-11所给出的设备参数可知，域名为www．softexamtest．com的WebServer服务器所配置的IP地址为61．202．117．253。若客户端hostl在访问http：//www．abc．corn网站时，总是访问到本单位的WebServer服务器(域名为www．softexamtest．com)，则应重点检查本机的hosts文件中是否有类似“61．202．117.253WWW．abc．com”的记录。若有，则清除该条记录后关闭hosts文件，hostl重启操作系统后，访问http：//www．abc．com网站正常。【问题4】(2分)由图2—11所给出的设备参数可知，FTPServer服务器所配置的IP地址为110．115.3．2。因此在配置FTPserver站点属性时，在图2-13所示的【FTP站点】选项卡中，“IP地址”下拉文本框应填入110．115．3．2或在下拉列表中选中“所有未分配IP”选项。【问题5】(2分)依题意，在图2—15所示的【目录安全性】选项卡中，由“默认情况下，所有计算机都将被拒绝访问，下面列出的除外：接受访问，110．115．3．10”的配置信息可知，只允许IP地址为110．115．3．10的主机访问FTPServer服务器。结合图2-13所示的【FTP站点】选项卡中“TCP端口”文本框填入的2121这一参数，以及图2-14所示的【虚拟目录】选项卡中“本地路径”选择文本框所填入的c：\pcI]参数，访问FTPServer服务器pcn虚拟目录的命令是ftp：//110．115．3．2：2121／pcn(或ftp//110．115.3．2：2121)。(4):【问题1】(3分)在全局配置模式下，使用iproute命令配置静态路由，其命令格式是：iproute<目的网络地址><子网掩码><下一跳路由器的IP地址>。而默认路由是静态路由的特例，其对应的配置语句是iproute0．0．0．00．0．0．0<下一跳路由器的IP地址>，其中“0．0．0．00．0．0．0”表示未知主机或网段，即任何无法判断的目的主机地址(或目的网段地址)。依题意，对于图2-16所示的网络设备连接结构图，路由器router-a访问Intemet的下一跳路由器的IP地址为203．25．25．254。因此其默认路由的配置语句是：iprouter0．0．0．00．0．0．0203．25．25．254。同理，路由器router-b访问Internet的下一跳路由器的IP地址为201．18．8．254。因此其默认路由的配置语句是：iprouter0．0．0．00．0．0．0201．18．8．254。【问题2】(3分)依题意，由于是在路由器router-a和router-b上配置IPSec安全策略，因此该IPSecVPN隧道建立在router-a的f1端口与router-b的f1端口之间。对于router-a而言，隧道本端IP地址为203．25．25．1(即本路由器外网口的IP地址)，隧道对端IP地址为201．18．8．1(即router-b外网口的IP地址)。同理，对于router-b而言，隧道本端IP地址为201．18．8．1(即本路由器外网口的IP地址)，隧道对端IP地址为203．25．25．1(即router-a外网口的IP地址)。【问题3】(3分)在路由器全局配置模式下，使用命令cryptikekey<key>address<peeraddress>设置与对等体共享的预共享密钥，以建立IPSec安全关联。对于router-a而言，参数<peeraddress>就是对等体router-b外网口的IP地址，即201．18．8．1(router-a隧道对端IP地址)；对于router-b而言，参数<peeraddress>就是对等体router-a外网El的IP地址，即203．25．25．1(router-b隧道对端IP地址)。【问题4】(3分)依题意，配置语句“cryptopolicyp1”定义了一个名为p1的IPSec加密策略，并进入IPSec加密策略配置子模式。配置语句“flow192．168．8．0255．255．255．0192．168．9．0255．255．255．0iptunneltun1”的功能是，从子网192．168．8．0／24到达子网192．168．9．0／24的所有IP报文流量，都要经由名为tun1的IPSec隧道传输。【问题5】(3分)依题意，配置语句“cryptoipsecproposalsecpl”定义了一个名为secpl的IPSec提议，并进入IPSec提议配置子模式。配置语句“esp3desshal”的功能是，指定ESP(封装安全载荷)使用3DES加密算法和SHA-1散列认证算法。(5):【问题1】(8分)在路由器R1接口配置模式“Rl(config-if)#”下，使用命令“ipaddress<IP地址><子网掩码>”配置当前接口的IP地址。根据图2-17所示网络设备连接图所给出的参数信息，路由器R1的Serial0接口所配置的IP地址为192．168．1．1／24，其中，“／24”是子网掩码255．255．255．0的简化缩写形式。因此(1)空缺处应填入192．168．1．1，(2)空缺处应填入255．255．255．0。在路由器R1全局配置模式“R1(config)#”下，使用命令routerrip启用RIP进程，并进入RIP配置子模式；在RIP配置子模式“R1(config-router)#”下，使用命令“network<网段地址>”定义参与RIP路由的网络地址。根据(3)、(4)空缺处之后的提示信息可得，(3)空缺处应填入routerrip；(4)空缺处应填入192．168．1．0。因为地址块“192．168．1．0／24”表示的是一个C类网段地址192．168．1．0，子网掩码为255．255．255．0。再者，由于RIPvl不支持可变长掩码(VLSM)，只根据各类IP地址的网络号的位数来确定掩码(如C类IP地址的标准子网掩码是255．255．255．0)，因此，在配置网络地址时无需给定子网掩码。【问题2】(3分)在路由器上配置访问控制列表(ACL)的一般步骤是：①定义一个标准(或扩展)的ACL；②为ACL配置包过滤的准则；③配置ACL的应用接口。依题意，在路由器R2的配置语句中，语句“access．1ist50deny192．168．20．00．0．0255”定义的是一条标号为50、禁止网络192．168．20．0／24访问的标准ACL；语句“access—list50pe