银符考试题库-在线练习-中级网络工程师2019上半年下午试题

中级网络工程师2019上半年下午试题

试题一
阅读以下说明，回答问题1至问题4。
【说明】
某企业分支与总部组网方案如图1所示，企业分支网络规划如表1所示。

图1
企业分支与总部组网说明：
1．企业分支采用双链路接入Internet，其中ADSL有线链路作为企业分支的主Internet接口；3G/LTE Cellular无线链路作为企业分支的备用Internet接口。
2．指定Router1作为企业分支的出口网关，由Router1为企业内网用户分配IP地址。
3．在Router1上配置缺省路由，使企业分支内网的流量可以通过xDSL和3G/LTE Cellular无线链路访问Internet。
4．企业分支与总部之间的3G/LTE Cellular无线链路采用加密传输。

表1

操作

准备项

数据

说明

配置下行
接口

Eth-Trunk类型

192.168.100.1/24

网关路由器连接内网设备的地址

端口类型

VLAN 123

路由器有缺省VLAN 1，为内网接口划分VLAN号为123

配置
DHCP

IP地址

地址池：
192.168.100.0/24

Router1作为企业出口网关，并为企业内网用户提供DHCP服务

配置无线
广域网接口

APN名称

Wcdma

3G网络为WCDMA网络，APN名称与运营商给定的一致

网络连接方式

wcdma-only

拨号方式

按需拨号

允许链路空闲时间为100秒

1. 【问题1】
依据组网方案，为企业分支Router1配置互联网接口板卡，应该是在______和______单板中选择配置。
以上两空备选答案：
A．xDSL B．以太WAN C．3G/LTE D．E3/T3

A
C
两空答案不分先后次序

[考点] 本题考查的是企业分支与总部之间互联的案例，该网络需求较为典型，企业分支通过有线和无线，主、备方式接入总部网络，提高了网络的连通性。
[解析] 本问题考查分支机构出口路由上的板卡配置。路由器上配置的扩展板卡应该与所连接的链路相匹配。

2. 【问题2】
在Router1上配置DHCP服务的命令片段如下所示，请将相关内容补充完整。
[Huawei] dhcp enable
[Huawei] interface vlanif 123
[Huawei-Vlanif123] dhcp select global //______
[Huawei-Vlanif123] quit
[Huawei] ip ______ lan
[Huawei-ip-pool-lan] gateway-list ______
[Huawei-ip-pool-lan] network 192.168.100.0 mask 24
[Huawei-ip-pool-lan] quit

使能接口采用全局地址池自动分配地址
pool
192.168.100.1

[考点] 本题考查的是企业分支与总部之间互联的案例，该网络需求较为典型，企业分支通过有线和无线，主、备方式接入总部网络，提高了网络的连通性。
[解析] 本问题考查路由器DHCP功能，在路由器上开启DHCP服务对内提供动态地址分配。要求考生熟悉全局地址池的配置方法和命令。

3. 【问题3】
在Router1配置上行接口的命令如下所示，请将相关内容补充完整。
#配置NAT地址转换
[Huawei] acl number 3002
[Huawei-acl-adv-3002] rule 5 permit ip source 192.168.100.0 0.0.0.255
[Huawei-acl-adv-3002] quit
[Huawei] interface virtual-template 10 //______
[Huawei-Virtual-Template10] ip address ppp-negotiate
[Huawei-Virtual-Template10] nat outbound ______
[Huawei-Virtual-Template10] quit
#配置ATM接口
[Huawei] interface atm 1/0/0
[Huawei-Atm1/0/0]pvcvoip 1/35 //创建PVC(ATM虚电路)
[Huawei-atm-pvc-Atm1/0/0-1/35-voip] map ppp virtual-template 10 //配置PVC上的PPPoA映射
[Huawei-atm-pvc-Atm1/0/0-1/35-voip] quit
[Huawei-Atm1/0/0] standby interface cellular 0/0/0 //______
[Huawei-Atm1/0/0] quit
#配置APN与网络连接方式
[Huawei] apn profile 3gprofile
[Huawei-apn-profile-3gprofile] apnwcdma
[Huawei-apn-profile-3gprofile] quit
[Huawei] interface cellular 0/0/0
[Huawei-Cellular0/0/0] mode wcdma ______ //配置3G modem
[Huawei-Cellular0/0/0] dialer enable-circular //使能轮询DCC功能
[Huawei-Cellular0/0/0] apn-profile ______ //配置3G Cellular接口绑定APN模板
[Huawei-Cellular0/0/0] shutdown
[Huawei-Cellular0/0/0] undo shutdown
[Huawei-Cellular0/0/0] quit
#配置轮询DCC拨号连接
[Huawei] dialer-rule
[Huawei-dialer-rule] dialer-rule 1 ip permit
[Huawei-dialer-rule] quit
[Huawei] interface cellular 0/0/0
[Huawei-Cellular0/0/0] link-protocol ppp
[Huawei-Cellular0/0/0] ip address ppp-negotiate
[Huawei-Cellular0/0/0] dialer-group 1
[Huawei-Cellular0/0/0] dialer timer idle ______
[Huawei-Cellular0/0/0] dialer number *99#
[Huawei-Cellular0/0/0] nat outbound 3002
[Huawei-Cellular0/0/0] quit

创建虚拟接口
3002
配置3G接口为备份接口
wcdma-only
3gprofile
100

[考点] 本题考查的是企业分支与总部之间互联的案例，该网络需求较为典型，企业分支通过有线和无线，主、备方式接入总部网络，提高了网络的连通性。
[解析] 本问题考查ATM、APN等接入方式的基本概念以及轮询DCC拨号连接的基本知识。
ATM(Asynchronous Transfer Mode，异步传输模式)是以信元为单位传输。在交换形式上而言，ATM是面向连接的链路，任何一个ATM终端与另一个用户通信的时候都需要建立连接。ATM连接有两种方式：永久虚电路连接(PVC)和交换虚电路连接(SVC)。APN在GPRS骨干网中用来标识要使用的外部PDN(Packet data network，分组数据网)，在GPRS网络中代表外部数据网络的总称。APN由以下两部分组成：APN网络标识和APN运营者标识。
题目出现的命令[Huawei-Cellular0/0/0] dialer timer idle ______，其含义是允许链路空闲的时间设定多少秒，从分支企业网络规划表1中可以得出答案100。

4. 【问题4】
在现有组网方案的基础上，为确保分支机构与总部之间的数据传输安全，配置______协议，实现在网络层端对端的______。
第一空备选答案：
A．IPSec B．PPTP C．L2TP D．SSL

A
加密与验证(或相近含义的表述即可)

[考点] 本题考查的是企业分支与总部之间互联的案例，该网络需求较为典型，企业分支通过有线和无线，主、备方式接入总部网络，提高了网络的连通性。
[解析] 确保数据传输安全可采用IPSec协议来实现远程接入的一种VPN技术，IPSec用以提供公用和专用网络的端对端加密和验证服务。

试题二
阅读以下说明，回答问题1至问题3。
【说明】
图1为某公司数据中心拓扑图，两台存储设备用于存储关系型数据库的结构化数据和文档、音视频等非结构化文档，规划采用的RAID组合方式如图2和图3所示。

图1

图2

图3

1. 【问题1】
图2所示的RAID方式是______，其中磁盘0和磁盘1的RAID组成方式是______，当磁盘1故障后，磁盘______故障不会造成数据丢失，磁盘______故障将会造成数据丢失。
图3所示的RAID方式是______，当磁盘1故障后，至少再有______块磁盘故障，就会造成数据丢失。

raid10或者10或者0+1
raid1或者镜像
2或者3，答对1个即可得分
0
raid5或者5
1

[考点] 本题考查存储系统RAID和安全防护的相关知识。
[解析] 此类题目要求考生掌握存储系统知识，熟悉RAID0～7常见的8种RAID级别的技术特点，根据业务需求，合理选择RAID级别；并能熟悉常用安全防护设备的作用和部署方式，具备常见网络攻击的识别和防范能力。
图2所示的RAID方式为RAID10(也称0+1)，先由磁盘0和磁盘1、磁盘2和磁盘3分别组成2个RAID1级别的RAID组，这2个RAID1级别的RAID组再组成RAID0，即先镜像再条带化。由于磁盘0和磁盘1、磁盘2和磁盘3组成镜像，当磁盘1发生故障后，在磁盘0上还存有相同的数据，当磁盘2发生故障后，在磁盘3上还存有相同的数据，不会造成数据丢失；当磁盘1故障后，磁盘2或者磁盘3故障不会造成数据丢失，此时，磁盘0已无数据冗余，所以磁盘0故障将会造成数据丢失。
图3所示的RAID方式是RAID5，RAID5条带化磁盘，校验信息没有使用单独的磁盘存储，而是分布在组内的所有磁盘上，每个条带内由1个校验块和N-1个数据块组成，磁盘可用数为N-1块，最多允许坏1块磁盘，可利用校验信息恢复数据。当磁盘1故障后，已无数据冗余，只要再有1块磁盘故障，就会造成数据丢失。

2. 【问题2】
图2所示的RAID方式的磁盘利用率是______%，图3所示的RAID方式的磁盘利用率是______%。
根据上述两种RAID组合方式的特性，结合业务需求，图______所示RAID适合存储安全要求高、小数量读写的关系型数据库；图______所示RAID适合存储空间利用率要求高、大文件存储的非结构化文档。

50
75
2
3

[考点] 本题考查存储系统RAID和安全防护的相关知识。
[解析] 图2所示的RAID10通过磁盘镜像实现数据冗余，数据安全性高，磁盘利用率为50%，适合存储安全要求高、小数量读写的关系型数据库；图3所示的RAID5每个条带内由1个校验块和N-1个数据块组成，磁盘可用数为N-1块，磁盘利用率为75%，适合存储空间利用率要求高、大文件存储的非结构化文档。

3. 【问题3】
该公司的Web系统频繁遭受DDoS和其他网络攻击，造成服务中断、数据泄露。图4为服务器日志片段，该攻击为______，针对该攻击行为，可部署______设备进行防护：针对DDoS(分布式拒绝服务)攻击，可采用______、______措施，保障Web系统正常对外提供服务。

图4

第一空备选答案
A．跨站脚本攻击 B．SQL注入攻击
C．远程命令执行 D．CC攻击
第二空备选答案
A．漏洞扫描系统 B．堡垒机
C．Web应用防火墙 D．入侵检测系统
第三、第四空备选答案
A．部署流量清洗设备 B．购买流量清洗服务
C．服务器增加内存 D．服务器增加磁盘
E．部署入侵检测系统 F．安装杀毒软件

B
C
A
B
后两空不分先后顺序

[考点] 本题考查存储系统RAID和安全防护的相关知识。
[解析] 图4为服务器日志显示，URL中拼接了非正常的SQL语句，为典型的SQL注入攻击，一般部署Web应用防火墙，Web应用防火墙可以防范网页篡改、阻断SQL攻击、跨站脚本攻击等常见Web攻击。
DDoS (Distributed Denial of Service，分布式拒绝服务)攻击是对传统DoS攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。主要企图是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。针对DDoS(分布式拒绝服务)攻击，一般采用购买流量清洗服务、购置流量清洗防火墙、修改系统和软件配置(包括设置系统的最大连接数、TCP连接最大时长等配置，拒绝非法连接，修复系统和软件漏洞等)。

试题三
阅读以下说明，回答问题1至问题4。
【说明】
如图1所示在Windows Server2008 R2网关上设置相应的IPSec策略，在Windows Server 2008 R2网关和第三方网关之间建立一条IPSec隧道，使得主机A和主机B之间建立起安全的通信通道。

图1

1. 【问题1】
两台计算机通过IPSec协议通信之前必须先进行协商，协商结果称为SA(Security Association)。IKE(Internet Key Exchange)协议将协商工作分为两个阶段，第一阶段协商______模式SA(又称IKE SA)，新建一个安全的、经过身份验证的通信管道，之后在第二阶段中协商______模式SA(又称IPSec SA)后，便可以通过这个安全的信道来通信。使用______命令，可以查看协商结果。
前两空备选答案
A．主 B．快速 C．传输 D．信道
第三空备选答案
A．display ike proposal B．display ipsec proposal
C．display ike sa D．display ike peer

A
B
C

[考点] 本题考查在Windows Server 2008 R2网关上配置IPSec策略的过程。
[解析] 此类题目要求考生认真阅读题目对现实问题的描述，根据给出的配置界面进行相关配置。此题目要求考试熟悉在Windows Server 2008 R2网关上配置IPSec策略的过程，按照既定步骤实现相关配置。
在两台计算机之间要开始将数据安全地发送出去之前，必须先协商，以便双方同意如何交换与保护所发送的数据，此协商结果称为SA(Security Association)。SA内包含着双方所协商出来的安全协议与SPI(Security Parameter Index)等数据，所采用的协商方法是标准的IKE(Internet Key Exchange)。IKE协议将协商工作分为两个阶段，第一阶段协商主模式SA(又称IKE SA)，在两台计算机之间新建一个安全的、经过身份验证的通信管道；在第二阶段中协商快速模式SA(又称IPSec SA)，便可以通过这个安全的信道来通信。使用display ike sa命令，可以查看协商结果。

2. 【问题2】
在Windows Server 2008 R2网关上配置IPSec策略，包括：创建IPSec策略、______、______以及进行策略指派4个步骤。
备选答案
A．配置本地安全策略 B．创建IP安全策略
C．创建筛选器列表 D．设置账户密码策略
E．配置隧道规则 F．构建组策略对象

C
E
两空不分先后次序

[考点] 本题考查在Windows Server 2008 R2网关上配置IPSec策略的过程。
[解析] Windows Server 2008 R2配置一个IPSec策略，必须包含创建IPSec策略、创建筛选器列表、配置隧道规则以及进行策略指派4个部分。问题3中描述了创建筛选器列表的配置过程，问题4中描述了配置隧道规则的过程。

3. 【问题3】
在主机A和主机B之间建立起安全的通信通道，需要创建两个筛选器列表，一个用于匹配从主机A到主机B(隧道1)的数据包，另一个用于匹配从主机B到主机A(隧道2)的数据包。在创建隧道1时需添加“IP筛选列表”，图2所示的“IP筛选器属性”中“源地址”的“IP地址或子网”应该填______，“目的地址”的“IP地址或子网”应该填______。配置隧道1不筛选特定的协议或端口，图3中“选择协议类型”应该选择______。

图2

图3

192.168.5.2或192.168.5.2/32
192.168.6.3或192.168.6.3/32
任何

[考点] 本题考查在Windows Server 2008 R2网关上配置IPSec策略的过程。
[解析] 在主机A和主机B之间建立起安全的通信通道，需要创建两个筛选器列表，一个用于匹配从主机A到主机B(隧道1)的数据包，另一个用于匹配从主机B到主机A(隧道2)的数据包。在创建隧道1时需添加“IP筛选列表”，详细步骤如下。
(1)在新策略属性中清除“使用添加向导”复选框，单击“添加”按钮以创建新规则。
(2)选择“IP筛选器列表”选项卡。
(3)单击“添加”按钮为筛选器列表输入相应的名称，清除“使用添加向导”复选框并单击“添加”按钮，弹出“IP筛选器属性”对话框，如图2所示。
(4)在“IP筛选器属性”对话框的“源地址”框中选中“一个特定的IP地址或子网”，在“IP地址或子网”文本框中输入主机A的IP地址192.168.5.2或192.168.5.2/32。
(5)在“目的地址”框中选中“一个特定的IP地址或子网”，在“IP地址或子网”文本框中输入主机B的IP地址192.168.6.3或192.168.6.3/32。
(6)清除“镜像”复选框。
(7)选择“协议选项卡”，如图3所示。图3中“选择协议类型”选择任何，配置隧道1不筛选特定的协议或端口。

4. 【问题4】
IPSec隧道由两个规则组成，每个规则指定一个隧道终结点。为从主机A到主机B的隧道配置隧道规则时，图4中所示的“IPv4隧道终结点”应该填写的IP地址为______。在配置新筛选器时，如果设置不允许与未受到IPSec保护的计算机进行通信，则图5“安全方法”配置窗口所示的配置中需要做出的修改是______。

图4

图5

202.1.1.2
清除“接受不安全的通信，但始终用IPSec响应”复选框(或相近含义的表述即可)。

[考点] 本题考查在Windows Server 2008 R2网关上配置IPSec策略的过程。
[解析] IPSec策略是使用IKE主模式的默认设置创建的。IPSec隧道由两个规则组成，每个规则指定一个隧道终结点。因为有两个隧道终结点，所以就有两个规则。每个规则中的筛选器必须代表发送到此规则的隧道终结点的IP数据包中的源和目的IP地址。
为从主机A到主机B的隧道配置隧道规则时，图4中所示的“隧道设置”选项卡中，选中了“隧道终结点由此IP地址指定”，“IPv4隧道终结点”应该填写的IP地址应为第三方网关外部网络适配器的IP地址202.1.1.2。
在配置新筛选器时，如果设置不允许与未受到IPSec保护的计算机进行通信，则图5“安全方法”配置窗口所示的配置中应该清除“接受不安全的通信，但始终用IPSec响应”复选框，不接受不安全的通信，以确保安全操作。

试题四
阅读以下说明，回答问题1至问题3。
【说明】
公司的两个分支机构各有1台采用IPv6的主机，计划采用IPv6-over-IPv4自动隧道技术实现两个分支机构的IPv6主机通信，其网络拓扑结构如图1所示。

图1

1. 【问题1】
根据说明，将RouterA的配置代码补充完整。
……
______
[Huawei] sysname ______
[RouterA] ______ //开启IPv6报文转发功能
[RouterA] interface s0
[RouterA-s0] ip address 12.1.1.1 ______
[RouterA-s0] quit
[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1] ______ address 2002::1/64
[RouterA-GigabitEthernet0/0/1] quit

system-view
RouterA
ipv6
255.255.255.0
ipv6

[考点] 本题考查交换机路由器的配置方法。本题目要求考生认真阅读题目和题图，理解题目要求和设计目的，并熟悉交换机和路由器的配置代码。
[解析] 该问题主要考查路由器和交换机的基本配置命令，包括用户模式、配置模式、接口配置模式的进入和退出，接口IP地址的配置命令等。属于最基本的配置代码考查。
题目考查了进入配置模式的命令，修改路由器名的命令，IP地址配置命令等几个命令。

2. 【问题2】
根据说明，将RouterA的配置代码或者代码说明补充完整。
……
[RouterA] interface tunnel 0/0/1 //______
[RouterA-Tunnel0/0/1] ______ ipv6-ipv4 ______ //指定Tunnel为自动隧道模式
[RouterA-Tunnel0/0/1] ipv6 ______
[RouterA-Tunnel0/0/1] ipv6 address ::12.1.1.1/96 //______
[RouterA-Tunnel0/0/1] source s0// ______
[RouterA-Tunnel0/0/1] quit

创建Tunnel接口或语意相同的表述均可得分
tunnel-protocol
auto-tunnel
enable
设置Tunnel接口的IPv6地址
指定Tunnel的源接口

[考点] 本题考查交换机路由器的配置方法。本题目要求考生认真阅读题目和题图，理解题目要求和设计目的，并熟悉交换机和路由器的配置代码。
[解析] 该问题主要考查路由器上IPv6-over-IPv4自动隧道的配置方法和基本的配置命令考查。
配置逻辑如下：需首先创建隧道接口，并设定隧道接口为自动隧道模式，开始IPv6地址功能，并为接口配置事先规划好的IPv6地址，并为隧道指定原接口地址。

3. 【问题3】
1．问题2中，Tunnel接口使用的地址为IPv4 ______ IPv6地址；
备选答案
A．兼容 B．映射
2．192.168.1.1是否存在对应的IPv6地址，为什么?

1．A
2．不存在，IPv4兼容IPv6地址要求IPv4地址为公网地址。

[考点] 本题考查交换机路由器的配置方法。本题目要求考生认真阅读题目和题图，理解题目要求和设计目的，并熟悉交换机和路由器的配置代码。
[解析] 该问题主要考查IPv6地址的基本知识。
目前，IPv6地址有两种形式，IPv4兼容IPv6地址和IPv4映射IPv6地址。两种地址均是将IPv4地址嵌入到IPv6地址中，用以适配地址。所不同的是映射IPv6地址中，末尾32位二进制位IPv4地址，其他位为0，兼容IPv6地址中，其他位不为0，仅需要确保兼容的IPv4地址为公网地址，不能是私网地址。

试题一

1 2 3 4

试题二

1 2 3

试题三

1 2 3 4

试题四

1 2 3

深色：已答题浅色：未答题