银符考试题库-在线练习-中级网络工程师下午试题模拟60

中级网络工程师下午试题模拟60

试题一
[说明]
最佳管理的园区网通常是按照分级模型来设计的。在分级设计模型中，通常把网络设计分为3层，即核心层、汇聚层和接入层。下图所示的是某公司的网络拓扑图，但该公司采用的是紧缩核心模型，即将核心层和汇聚层由同一交换机来完成。

1. 在分级设计模型中，核心层的的目的是______，其主要工作是______。因此核心层必须具有______及______，并提供故障隔离功能，具有迅速升级能力和______以及好的可管理性等。

高速数据交换
交换数据包
高可靠性
冗余性
较少的时延

[解析] 在分级设计模型中，核心层的的目的是高速数据交换，其主要工作是交换数据包。因此核心层必须要有高可靠性及冗余性，并提供故障隔离，具有迅速升级能力和较少的时延，以及好的可管理性等。

2. 公司网络中的设备或系统应放在DMZ中的有______，应放在内网中的有______。
A．存储商业机密的数据库服务器
B．邮件服务器
C．存储资源代码的PC
D．应用网关
E．存储私人信息的PC
F．电子商务系统

BDF
ACE

[解析] 该公司的防火墙的结构应当属于屏蔽子网结构。在这个结构中，DMZ(非军事区)是周边防御网段，它受到安全威胁不会影响到内部网络，足放置公共信息的最佳位置，通常把WWW、FTP、电子邮件等服务器都存放在该区域。
要保证公司的商业机密避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所有有商业机密的数据库服务应该放在内部网络中，确保安全。同样的道理，那些存储代码的PC机和存储私人信息的PC也要放在内部网络中。而邮件服务器、电子商务系统、应用网关等，既要内部主机可以访问，又要外部网络的用户可以访问，并且要保证安全，所以它们可以放在DMZ。

3. 在上图中，两台三层交换机4507R互为备份，它们之间是通过多条双绞线连接，构成了网络环路，但不会产生广播风暴而影响网络的稳定性，是因为______。如果希望在这多条双绞线中既要实现链路冗余，又要实现负载均衡，可通过______、______、______实现。

生成树协议STP
修改VLAN的port-priority(端口优先级)
修改端口的STP路径值(cost)
端口聚合技术

[解析] 由于交换机中都运行了生成树协议STP，若出现环路时，STP会自动将一些端口阻断，从而形成了一个没有环路的树。要实现负载均衡，可以通过修改VLAN的port-priortiy(端口优先级)来实现，也可以修改端口的STP路径值(cost)，使不同VLAN的生成树一样，从而实现负均衡。除此之外，还可以通过端口聚合技术，将多条链路看成一条链路。

4. 在分级设计模型中，路由功能主要由______层来完成。

汇聚层

[解析] 核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。汇聚层的功能主要是连接接入层节点和核心层中心，需要将大量低速的链接(接入层设备的链接)通过少数宽带的链接接入核心层，以实现通信量的收敛，提高网络中聚和点的效率，同时减少核心层设备可选择的路由路径的数量。并可以汇聚层为设计模块，实现网络拓扑变化的隔离，增强网络的稳定性。接入层是用户与网络的接口。由此可见，路由功能主要由汇聚层来完成。

试题二
[说明]
VPN是通过公用网络Internet睁分布在不同地点的终端连接而成的专用网络。目前大多采用IPsec实现IP网络上端点间的认证和加密服务。

1. 某公司的网络拓扑结构如下图所示，采用VPN来实现网络安全。请简要叙述从公司总部主机到分支机构主机通过IPSec通信过程。

操作过程可以分成5个主要步骤：
IPSec过程启动——根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略，指定要被加密的数据流，启动IKE(Internet密钥交换)过程。
IKE阶段1——在该连接阶段，IKE认证IPSec对等体，协商IKE安全关联(SA)，并为协商IPSec安全关联的参数建立一个安全传输道路。
IKE阶段2——IKE协商IPSec的SA参数，并在对等体中建立起与之匹配的IPSecSA。
数据传送——根据存储在SA数据库中的IPSec参数和密钥，在IPSec对等体间传送数据。
IPSec隧道终止——通过删除或超时机制结束IPSec SA。

2. 某路由器的部分配置信息如下所示，请解释其中标有下划线部分的含义(“//”后为注释内容)。
*配置路由器信息
version 12.0
hostname SecRouter
boot svstem flash c1700-osy56i-mz_120-3-T3.bin
//应用IKE共享密钥进行认证
crypto isakmp policy 100 ______
hash md5 ______
authentication pre-share ______
//与远端IP为172.16.2.1的对等体的共享密钥为"mcns"
crypto isakmp key mcns address 172.16.2.1 ______
crypto ipsec transform-set 1&2 esp-des esp-md5-hmac ______
//配置加密图
//指定用IKE来建立IPSec安全关联，以保护由该加密图条目所指定的数据流
crypto map sharef 10 ipsec-isakmp ______
set peer 172.16.2.1 ______
set transform-set 1&2 ______
match address 151
//配置接口
interface seria10
ip address 172.16.1.1 255.255.255.252
ip access-group 101 in
crypto map sharef ______
interface FastEthernet0
……
end

创建标识为“100”的IKE策略
采用md5 hashing算法
采用预共享密钥认证方法
与远端IP为172.16.2.1的对等体的共享密钥为“mcns”
配置名为1&2的交换集，指定esp-des和esp-md5-hmac两种变换
分配给该加密图集的名称为sharef，序号为10
指定允许的IPSec对等体的IP地址为172.16.2.1
此加密图使用交换集1&2
此接口使用名为sharef的加密图进行加密

[解析] 配置IKE涉及启用IKE、创建IKE策略、验证配置等，其步骤如表1所示。

步骤	任务	命令
①	启用IKE	R1 (config) #crypto isakmp enable
②	创建IKE策略	R1 (config) #crypto isakmp policy policy-number
③	选择加密算法	R1 (config-isakmp) #encryption { des \| 3des }
④	选择认证方法	R1 (config-isakmp) #authentication {pre-share \| rsa-encr \| rsa-slg}


⑤	选择哈希散列算法	R1 (config-isakmp) #hash { md5 \| sha }
⑥	选择DH的组标识	R1 (config-isakmp) #group { 1 \| 2}
⑦	设置IKE协商安全联盟的生命周期	R1 (config-isakmp) #lifetime seconds


⑧	返回特权模式	R1 (config-isakmp) #exit
⑨	配置与对等体的共享密钥	R1 (config) #crypto isakmp key keystring address peer-addres


⑩	配置IKE keepalive定时器	R1 (config) # crypto isakmp keepalive secs retries


	验证IKE的配置	R1 #show crypto isakmp policy

配置IPSec则包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去，如表2所示。

表2 配置IPSec
步骤	任务	命令
①	创建加密访问控制列表	R1 (config) #access-list access-list-id permit ……


②	配置变换集	R1 (config) #crypto ipsec transform-set transform-name


③	(可选)配置全局性IPSec安全关联的生命周期	R1 (config) #set security-association lifetime seconds seconds


④	创建加密图	R1 (config) #crypto map map-name seq-num { ipsec-isakmp \| manual}


⑤	配置安全策略引用的访问控制列表	R1 (config-crypto-map) #match address access-list-id


⑥	指定安全隧道的终点	R1 (config-crypto-map) #set peer {hostname \| ip-address}


⑦	配置加密图中引用的转换方式	R1 (config-crypto-map) #set transform-set transform-set-name1 [transform-set-name2… transform-set-name6]


⑧	在接口上应用加密图	R1 (config) #interface interrace-id R1 (config-if) #erypto map map-name


⑨	验证IPSec的配置	show crypto map

试题三
[说明]
某公司在国际网互联中心申请了210.45.12.0/24一个C的IP地址，域名为abc.com.cn。该公司有一台该Web服务器(IP地址为210.45.12.11，主机名为S1)、一台FTP服务器(IP地址为210.45.12.12，主机名为S2)、一台MAIL服务器(IP地址为210.45.12.13，主机名为S3)和一台DNS服务器(IP地址为210.45.12.14，主机名为S4)。若你是该公司的网络管理员，使用一台装有Windows Server 2003服务器作为DNS服务器。

1. 该DNS服务器的类型是______。

主域名服务器

[解析] 该大题主要考查考生对Windows Server 2003下DNS报务器配置的掌握情况。
由于该区域只有一台DNS服务器，因此该服务器必须被配置为主域名服务器，在创建时，区域类型必须选择“主要区域”。

2. 该DNS服务器的正向搜索区域是______；反向搜索区域是______。正向搜索区域的作用是______，反向搜索区域的作用是______。

yinfu.com.cn
12.45.210-in-addr.arpa
让DNS客户端利用主机的域名查询其IP地址
让DNS客户端利用IP地址查询主机的域名

[解析] 正向搜索区域可以让DNS客户端利用主机的域名查询其IP地址，反向搜索区域可以让DNS客户端利用IP地址查询主机的域名。因此该服务器必须负责域yinfu.com.cn的正向解析，负责210.45.12.0/24这一网络的反向解析。反向域名由两部分组成，域名前半段是其网络ID反向书写，而区域后半段必须是in-addr.arpa。因此域名为12.45.210-in-addr.arpa。

3. 现已在正向搜索区域中添加了一些主机记录，但用户的浏览器地址栏中输入“http://s1.yinfu.com.cn”可以访问该公司的主页，但输入“http://www.yinfu.com.cn”却不能访问该公司的主页，可能的原因是______，解决的办法是______。

没有将s1.yinfu.com.cn的别名设置为www.yinfu.com.cn，或者设置得不正确
在正向搜索区域中增加一条别名(CNAME)记录，使得真正的名字为s1.yinfu.com.cn

[解析] 为了使一台主机有多个域名，通常使用别名资源记录(CNAME)。题中已能实现对s1.yinfu.com.cn的解析，说明已经有该服务器的主机记录(A)，要使也能解析www.yinfu.com.cn，需添加一条别名资源记录(CNAME)，别名为www.yinfu.com.cn，真实主机名为s1.yinfu.com.cn。

4. 原来该公司的用户的电子邮件的地址格式是“XXX@mail.yinfu.com.cn”，现在想把它改为“XXX@yinfu.com.cn”邮件服务器的地址、邮件地址格式和多台邮件服务器的优先级可通过______指定，邮件地址格式可通过______来定义。因此，可以先删除这一记录，再添加一条______，但______处不要填写任何内容。下图是新建邮件交换器资源记录对话框。

邮件交换器(MX)记录
主机名或子域

[解析] 邮件服务器的地址、邮件地址格式和多台邮件服务器的优先级可通过邮件交换器(MX)记录指定，邮件地址格式可通过“主机名或子域”来定义。因此，可以先删除这一记录，再添加一条邮件交换器(MX)记录，但“主机或子域”处不要填写任何内容。

5. 若在反向搜索域添加了一个指针(PTR)记录，该记录的作用是______。

实现IP地址向域名的映射

[解析] 反向搜索区域可以让DNS客户端利用IP地址查询主机的域名，因此其作用是实现IP地址到域名的映射。

试题四
[说明]
利用VLAN技术可以把物理上连接的网络从逻辑上划分为多个不同的虚拟子网，可以对各个子网实施不同的管理策略。下图是在网络中划分VLAN的连接示意图。

1. 下面的命令是在交换机Switch1上创建一个名字为classroom的虚拟局域网(VLAN ID为2)的配置命令，请给出空白处的配置内容：
Switch1 # ______
Switch1 (config) # ______ (创建Vlan2)
Switch1 (config-vlan) #name classroom (将Vlan2命名为classroom)
Switch1 (config-vlan) #______ (完成并退出)
Switch1 #

config terminal
VLAN 2
end或Ctrl+Z

[解析] 该大题主要考查交换机中VLAN的配置和STP协议。
创建VLAN可以在两个子模式下进行。一是在VTP配置子模式，其提示符是“Switch(vlan)#”，进入命令是“vlan database”；另一种方法是在全局配置模式下执行“VLAN＜VLAN ID＞”创建一个VLAN，进入VLAN配置子模式，提示符变为“Switch(config-vlan)#”，这个子模式下，可以修改为VLAN的参数。由题目可知，此处是使用后一种方法。因此第一空的任务是进入全局配置模式，命令是“config terminal”，第二空的作用是创建VLAN 2，即“VLAN2”；第三空命令是从VLAN配置子模式返回特权模式，命令是“end”或“Ctrl+Z”。注意：不能是“exit”命令，它只能返回全局配置模式。

2. 如果希望在Switch1中创建的VLAN信息也能在Switch2中使用，则分别在Switch1、Switch2上执行下列命令，请给出空白处的配置内容：
Switch1 #vlan database (设置VLAN配置子模式)
Switch1 (vlan) #vtp ______
Switch1 (vlan) #vtp domain abc (设置域名)
Switch1 (vlan) #exit (退出VLAN配置模式)
Switch2#vlan database (设置VLAN配置子模式)
Switch2 (vlan) #vtp ______
Switch2 (vlan) #vtp domain abc (设置域名)
Switch2 (vlan) #exit (退出VLAN配置模式)

Server
client

[解析] 如果希望在Switch1中创建的VLAN信息也能在Switch2使用，则需要创建VTP域，并将Switch1设置为server模式，把Switch2设置为client模式。

3. 使Switch 1的千兆端口允许所有VLAN通过的配置命令如下，请给出空白处的配置内容：
Switchl (config) #interface gigabit0/1 (进入端口配置模式)
Switchl (config-if) #switchport ______
Switchl (config-if) #switchport ______ (设置封装协议为dot1q)

mode trunk
trunk encaps dot1q

[解析] 第六空的作用是将当前端口设置为trunk(干道)模式，其命令是“switchport mode trunk”；第七空的作用是设置trunk中数据帧的封装形式为dot1q，其命令“switchport trunk encaps dot1q”。

4. 将Switch2的端口10划入classroom的配置命令如下，请给出空白处的配置内容：
Switchl (config) # interface fastEthernet0/10 (进入端口10配置模式)
Switchl (config-if) # switchport ______
Switchl (config-if) # switchport ______

mode access
access vlan 2

[解析] 第八空的作用是将当前端口设置为access(接入)模式，其命令是“switchport mode access”；第九空的作用是将当前端口划分为虚网classroom，其VLANID为2，因此命令是“switchport access vlan 2”。

试题五
[说明]
某公司的分支机构通过一条DDN专线接入到公司总部，地址分配和拓扑结构如下图所示。在两台路由器之间可以使用静态路由，也可以使用动态路由。

1. 下面是分支机构路由器R1的配置命令列表，在空白处填写合适的命令/参数，实现R1的正确配置。
Router＞en
Router＞conf term
Router (config) # hostname Rl
Router (config) # int e0
R1 (config-if) # ip address ______
R1 (config-if) # no shutdown
R1 (config-if) # int s0
R1 (config-if) # ip address ______
R1 (config-if) # no shutdown
R1 (cenfig-if) # clock rate 56000
R1 (config-if) # exit
R1 (config) # ip routing
R1 (config) # ip route ______
R1 (config) # ip classless
R1 (config) # exit
R1 #ccpy run start

168.15.1 255.255.255.224
192.168.15.1 255.255.255.252
0.0.0.0 0.0.0.0 192.168.15.2或者0.0.0.0 0.0.0.0 s0

[解析] 本大题主要考查路由器接口、静态路由、OSPF路由协议的配置。
第一空所在的命令是为R1的e0端口配置的IP地址。根据网络拓扑结构图可知，e0端口的IP地址为192.168.15.1，子网掩码长度为27，即255.255.255.224。
第二空所在的命令是为R1的s0端口配置的IP地址。根据网络拓扑结构图可知，s0端口的IP地址为192.168.15.1，子网掩码长度为30，即255.255.255.252。
第三空所在的命令ip route的作用是设置静态路由，由于图中并没有标有公司总部的IP地址范围，只能使用默认路由，下一跳应为路由器R2的s0端口，因此应填写“0.0.0.0 0.0.0.0 192.168.15.2”或者“0.0.0.0 0.0.0.0 s0”。

2. 下面是公司总部的路由器R2的配置命令列表，在空白处填写合适的命令参数，实现R2的正确配置。
Router＞en
Router#conf term
Router (config) # hostname R2
R2 (config-if) # int S0
R2 (config-if) # ip address ______
R2 (config-if) # no shutdown
R2 (config-if) # exit
R2 (config) # ip routing
R2 (config) # ip route ______
R2 (config) # ip classless
R2 (config) # exit
R2# copy run start

15.2 255.255.255.252
192.168.16.0 255.255.255.224 192.168.15.1或192.168.16.0 255.255.255.224 s0

[解析] 第四空所在命令是为R1的s0端口配置IP地址。根据网络拓扑结构图可知，s0端口的IP地址为192.168.15.2，子网掩码长度为30，即255.255.255.252。
第五空所在命令ip route的作用是设置静态路由，需要将发送给分支机构的数据包从s0端口转发，下一跳地址是192.168.15.1。由拓扑结构可知，分支机构的网络地址是192.168.15.0，子网掩码为255.255.255.224。因此，该空应填写“192.168.16.0 255.255.255.224 192.168.15.1”或者192.168.16.0 255.255.255.224 s0”。

3. 在问题1和问题2中，所使用的是静态路由协议。当该公司有多个分支机构，决定使用动态路由协议OSPF。下面是分支机构路由器R1的配置命令列表，在空白处填写合适的命令/参数，实现R1的正确配置。(注：点对点链路的area为2，分支机构局域网的area为3。)
R1＞en
R1 # conf term
R1 (config) #n o ip route
R1 (config) # router ______
R1 (config-router) # network ______ area 2
R1 (config-router) # network ______ area 3
R1 (config-router) # exit
R1#copy run start

OSPF 100 (注：100为OSPF进程号，可为1～65535之间的任意整数)
192.168.15.0 0.0.0.3
192.168.16.0 0.0.0.31

[解析] 第六空所在的命令的作用是启用OSPF进程，因此该处因填写“OSPF＜进程ID＞”；第七和第八空所在的命令的作用是指定与R1路由器相连的网络。该路由器相连两个网络，一个是192.168.15.0/30，另一个是192.168.16.0/27。但需要注意的是，network命令中使用的不是子网掩码，而是wildcard-mask，它是子网掩码的反码，可以用255.255.255.255减去子网掩码求得。因此第七空应填写“192.168.15.0 0.0.0.3”；第八空应填写“192.168.16.0 0.0.0.31”。

试题一

1 2 3 4

试题二

1 2

试题三

1 2 3 4 5

试题四

1 2 3 4

试题五

1 2 3

深色：已答题浅色：未答题