试题一 阅读以下说明,回答问题1至问题4。
【说明】
某学校计划建立校园网,拓扑结构如图12-1所示。该校园网分为核心、汇聚和接入三层,由交换模块、广域网接入模块、远程访问模块和服务器群四大部分构成。
1. 【问题1】
在校园网设计过程中,划分了很多VLAN,采用了VTP来简化管理。
1.VTP信息只能在
端口上传播。
2.运行VTP的交换机可以工作在三种模式:
、
、
。
3.共享相同VLAN数据库的交换机构成一个
。
(1)Trunk
(2)VTP Server或服务器模式
(3)VTP CIient或客户端模式
(4)VTP Transparent或透明模式
(2),(3),(4)处答案次序任意
(5)VTP管理域
[解析]
本问题考查的是VTP的基本概念
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需要在一台交换机上定义所有VLAN,然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
VTP(VLAN Trunk Protocol,VLAN干道协议)的功能与GVRP相似,也是用来使 VLAN配置信息在交换网内其他交换机上进行动态注册的一种二层协议。在一台VTP Server上配置一个新的VLAN信息,则该信息将自动传播到本域内的所有交换机,从而减少在多台设备上配置同一信息的工作量,并且方便了管理。VTP信息只能在Trunk端口上传播。
任何一台运行VTP的交换机可以工作在以下三种模式:VTP Server、VTP CIient及 VTP Transparent。其中:
(1)VTP Server维护该VTP域中所有VLAN信息列表,可以增加、删除或修改VLAN
(2)VTP CIient也维护该VTP域中所有VLAN信息列表,但不能增加、删除或修改VLAN,任何变化的信息必须从VTP Server发布的通告报文中接收;
(3)VTP Transparent不参与VTP工作,它虽然忽略所有接收到的VTP信息,但能够将接收到的VTP报文转发出去,它只拥有本设备上的VLAN信息;
交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都将加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
2. 【问题2】
该校园网采用了异步拨号进行远程访问,异步封装协议采用了PPP协议。
1.异步拨号连接属于远程访问中的电路交换服务,远程访问中另外两种可选的服务类型是:
和
。
2.PPP提供了两种可选的身份认证方法,它们分别是
和
。
(6)专线连接
(7)分组交换
(6),(7)处答案可以互换
(8)口令认证协议(Password Authentication Protocol,PAP)
(9)质询握手认证协议(Challenge Handshake Authentication Protocol,CHAP)
(8),(9)处答案可以互换
[解析]
本问题考查的是远程访问和异步拨号连接的知识。
远程访问是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如HDLC、PPP等。其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑和回叫等,因此更具优势。PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。
PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证;如果认证失败,则直接释放链路。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。CHAP对端系统要求很高,因为需要多次进行身份质询、响应,要耗费较多的CPU资源,因此只用在对安全要求很高的场合。PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带宽。
3. 【问题3】
该校园网内交换机数量较多,交换机间链路复杂,为了防止出现环路,需要在各交换机上运行
。
(10)生成树协议(Spanning Tree Protocol,STP)
[解析]
本问题考查的是生成树协议方面的知识。
生成树协议(Spanning Tree)定义在IEEE 802.1D中,是一种链路管理协议,它为网络提供路径冗余的同时防止产生环路。为使以太网更好地工作,两个工作站之间只能有一条活动路径。
STP允许网桥之间相互通信以发现网络物理环路。该协议定义了一种算法,网桥能够使用它创建无环路(loop-free)的逻辑拓朴结构。换句话说,STP创建了一个由无环路树叶和树枝构成的树结构,跨越了整个第二层网络。
生成树协议操作对终端站透明,也就是说,终端站并不知道它们自己是否连接在单个局域网段或多网段中。当有两个网桥同时连接相同的计算机网段时,生成树协议可以允许两网桥之间相互交换信息,这样只需要其中一个网桥来处理两台计算机之间传输的信息。
4. 【问题4】
该校园网在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施。
安全技术 | 对应层次 |
(11) | 外部网络传输控制层 |
(12) | 内外网间访问控制层 |
(13) | 内部网络访问控制层 |
(14) | 数据存储层 |
(11)~(14)处备选答案:
A.IP地址绑定 B.数据库安全扫描
C.虚拟专用网(VPN)技术 D.防火墙
(11)C或虚拟专用网(VPN)技术
(12)D或防火墙
(13)A或IP地址绑定
(14)B或数据库安全扫描
[解析]
在网络安全方面,可以采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,进而对各层的安全采取不同的技术措施。
1.外部网络传输控制层
外部网络是指局域网路由器和防火墙之外的公用网。当前网络技术发展迅速,因特网四通八达,网上黑客手段多种多样,为了保证安全,可以从以下方面采取措施:虚拟专网(VPN)技术;身份认证技术;加密技术;物理隔离等。
2.内外网间访问控制层
在内部局域网和外部网络之间,可以采用以下技术来对外部和内部网络间的访问进行控制:防火墙;防毒网关:网络地址转换技术;代理服务及路由器;入侵检测等。
3.内部网访问控制层
在局域网内部,非法用户的登录和对数据的非法修改更加不易查出。当用户安全意识差、口令选择或保存不慎、账号转借和共享都会对网络安全造成极大的威胁,从内部网访问控制层进行安全防护,可采取以下措施:用户的身份认证;权限控制;加密技术;客户端安全防护等。
4.数据存储层
数据存储在服务器或加密终端上,数据存储的安全性是系统安全性的重要组成部分。对数据的安全保护措施可以采用以下几种方式:使用较安全的数据库系统;加密技术:数据库安全扫描;存储介质的安全等。
试题二 阅读以下关于Linux网关安装和配置过程的说明,回答问题1至问题5。
【说明】
当局域网中存在大量计算机时,根据业务的不同,可以将网络分成几个相对独立的子网。图12-2是某公司子网划分的示意图,整个网络被均分为销售部和技术部两个子网,子网之间通过一台安装了Linux操作系统的双网卡计算机联通。
1. 【问题1】
销售部的网络号是
,广播地址是
:技术部的网络号是
,广播地址是
;每个子网可用的IP地址有
个。
(1)192.168.1.0
(2)192.168.1.127
(3)192.168.1.128
(4)192.168.1.255
(5)126
[解析]
本题中图示的网络由一台双网卡的网关计算机均分成了两个子网,分别属于销售部和技术部,同部门的网络通信分别在各自的子网中进行,不同部门用户间的通信将由网关计算机进行转发,这样不再是所有的用户都在一个相同的、大型的网络上,子网划分的结果是提高了网络的速度。
整个网络的网络号是192.168.1.0,是一个C类网络,子网掩码是 11111111.11111111.11111111.00000000(十进制表示为255.255.255.0),即网络地址的前3个字节的每一位设置为1,剩余的(主机地址)位设置为0。当把剩余的表示主机地址的字节最高位设置为1时(即该位参与子网络的定义),网络就被均分成了两个子网,此时子网掩码为11111111.11111111.11111111.10000000,用十进制表示为 255.255.255.128。
子网网络号可以用子网IP地址与子网掩码进行逐位AND运算得到。
销售部子网号:192.168.1.1(或192.168.1.126)AND 255.255.255.128等于192.168.1.0:
技术部子网号:192.168.1.129(或192.168.1.254)AND 255.255.255.128等于 192.168.1.128。
对于销售部子网而言,主机号是0的地址(192.168.1.0)是子网地址,不能分配给主机,主机位全为1的地址(192.168.1.127)是子网广播地址,保留,也不能分配给主机;对于技术部子网而言,主机号是0的地址(192.168.1.128)是子网地址,不能分配给主机,主机位全为1的地址(192.168.1.255)是子网广播地址,保留,也不能分配给主机。因此这两个子网的可用IP地址是126个(128减去2个保留地址)。
2. 【问题2】
Linux网关计算机有两个网络接口(eth0和eth1),每个接口与对应的子网相连接。
该计算机/etc/sysconfig,/network文件清单为;
NETWORKING=yes
FORWARD_IPV4=
HOSTNAME=gateway.yfzxmn.com
/etc/sysconfig/network-scripts/ifcfg-eth0文件清单为:
DEVICE=eth0
IPADDR=192.168.1.126
NETMASK=
……(以下略)
/etc/sysconfig/network-scripts/ifcfg-eth1文件清单为:
DEVICE=eth1
IPADDR=192.168.1.254
NETMASK=
……(以下略)
的备选答案:
A.yes B.no C.route D.gateway
(6)A或yes
(7)255.255.255.128
(8)255.255.255.128
[解析]
Linux计算机中,/etc/sysconfig/network可配置文件定义了该计算机网络的基本属性,包括网络是否可用,是否允许IP包转发,主机域名,网关地址,网关设备名等。由于这台Linux计算机用于整个网络系统的网关,两个子网间的IP通信需要该计算机进行转发,因此文件中的FORWARD IPV4应设置为“=”yes,就本题而言,即支持IP包在两个网卡设备间转发。如果要将IP包转发关闭,FORWARD_IPV4应设置为“=”no。
网络接口文件/etc/sysconfig/network-scripts/ifcfg-ethO定义了网络设备ethO的属性,由题目图示可知,该网络设备属于销售部子网,网络掩码为255.255.255.128,即文件中的NETMASK应设置为“=”255.255.255.128:同样网络接口文件/etc/sysconfig/network- scripts/ifcfg-eth1中的NETMASK应设置为“=”255.255.255.128。
3. 【问题3】
在网关计算机/etc/sysconfig/network-scripts/目录中有以下文件,运行某命令可以启动网络,该命令是
,其命令行参数是
。
ifcfg-eth0 ifup ifup-sit
ifcfg-lo ifup-aliases ifup-si
ifdown ifup-cipcb ifup-wireless
ifdown-aliases ifup-ippp init.Ipv6-global
ifdown-cipcb ifup-ipv6 network-functions
ifdown-ippp ifup-ipx network-functions-ipv6
ifdown-ipv6 ifup-isdn
ifdown-isdn ifup-plip
ifdown-post ifup-plusb
ifdown-ppp ifup-post
ifdown-sit ifup-PPP
ifdown-sl ifup-routes
(9)ifup
(10)网络接口(或设备)名称(或eth0或eth1)
[解析]
在/etc/sysconfig/network-scripts目录中有许多脚本文件用于基本网络管理,包括启动网络设备、停止网络设备运行等。常用的两个脚本命令是ifup和ifdown,前者是启动网络设备运行,后者是停止网络设备运行,脚本以设备名为参数,设备名为eth0、eth1等。
4. 【问题4】
在网关计算机上使用以下路由命令创建两个默认的路由:
route add-net 192.168.1.0 255.255.255.128
route add-net 192.168.1.128 255.255.255.128
(11)eth0
(12)eth1
[解析]
当正确地配置了/etc/sysconfig/network文件、/etc/sysconfig/network-scripts/ifcfg-ethO文件和/etc/sysconfig/network-scripts/ifcfg-eth1文件,并成功运行ifup脚本命令启动了ethO设备和eth1设备后,还需要在网关计算机上使用route命令分别为两个子网创建两个默认路由:
route add-net 192.168.1.0 255.255.255.128 eth0,销售部子网通过eht0转发;
route add-net 192.168.1.128 255.255.255.128 eth1,技术部子网通过eht1转发。
上面的路由命令确保把指定的网络传输的数据包通过指定的接口设备进行传输。
5. 【问题5】
设置技术部和销售部的主机网络参数后,如果两个子网间的主机不能通信,用
命令来测试数据包是否能够到达网关计算机。如果数据包可以达到网关但是不能转发到目标计算机上,则需要用命令cat/proc/sys/net/ipv4/ip_forward来确认网关计算机的内核是否支持IP转发。如果不支持,该命令输出
。
和
备选答案如下:
A.traceroute B.tracert C.nslookup D.route
A.1 B.0 C.yes D.no
(13)A或traceroute
(14)B或0
[解析]
两个子网间的主机要能够正常通信,首先应该正确设置技术部和销售部的主机网络参数,比如销售部的主机的网关地址应设置为192.168.1.126,技术部的主机的网关地址应设置为192.168.1.254。进行连通性测试常用的命令是ping,当发现两个子网间的主机 ping失败时,可以在网关计算机上使用traceroute命令来确定数据包是否能够达到网关的另一端。如果traceroute显示数据可以到达网关但是不能转发到目标计算机上,问题就出现在网关上。应该保证IP转发在网关计算机上是允许的,在网关计算机上运行cat/proc/sys/net/ipv4/ip_forward,查询内核的IP转发参数,如果返回的是0,说明IP转发在内核中是禁止的,此时需要重新编译内核,使内核支持IP转发,即cat/proc/sys/net/ipv4/ ip_forward的返回为1。
试题三 阅读以下说明,回答问题1至问题5。
【说明】
通过SNMP可以获得网络中各种设备的状态信息,还能对网络设备进行控制。在 Windows Server 2003中可以采用IPSec来保护SNMP通信,配置管理站的操作步骤为:先创建筛选器,对输入的分组进行筛选,然后创建IPSec策略。
1. 【问题1】
在“管理工具”中运行“管理IP筛选器列表”,创建一个名为“SNMP消息”的筛选器。在如图12-3所示的“IP筛选器向导”中指定IP通信的源地址,下拉列表框中应选择
;在如图12-4中指定IP通信的目标地址,下拉列表框中应选择
。
图12-3
图12-4
在图12-5所示的“选择协议类型”下拉列表框中应选择
。
对于SNMP协议,在图12-6中设置“从此端口”项的值为
,“到此端口”项的值为
:对于SNMP TRAP协议,在图12-6中设置“从此端口”项的值为
,“到此端口”项的值为
。
图12-5
图12-6
(1)任何IP地址
(2)我的IP地址
(3)UDP
(4)161
(5)161
(6)162
(7)162
[解析]
管理站对输入的SNMP消息进行筛选时,目的地址为本机地址,源地址为本站管理的任意IP地址,因此(1)应填入“任何IP地址”, (2)应填入“我的IP地址”。
采用SNMP进行网络管理时,传输层采用UDP,故(3)应填入“UDP”。
由于SNMP协议默认端口为161,故(4)、(5)依次应填入161、161;SNMP TRAP协议默认端口为162,故(6)、(7)依次应填入162、162。
2. 【问题2】
在创建IPSec安全策略时,规则属性窗口如图12-7所示。在“IP筛选器列表”中应选择
。
(8)SNMP消息
[解析]
由于创建的筛选器名为“SNMP消息”,因此应针对该筛选器创建IPSec安全策略,故(8)应选择“SNMP消息”。
3. 【问题3】
在“新规则属性”对话框中打开“筛选器操作”选项卡,选择“Permit”,在图12-8中应选择
,同时选中“接受不安全的通讯,但总是使用IPSec响应(
C)”和“使用会话密钥完全向前保密(PFS)(
K)”复选框。
的备选答案:
A.许可 B.阻止 C.协商安全
图12-7
图12-8
(9)C或协商安全
[解析]
管理站和被管站之间应采用协商方式进行安全通信,因此(9)应填入“协商安全”或选择B。
4. 【问题4】
在图12-9所示的密钥交换设置对话框中,选中“主密钥完全向前保密(PFS)(
P)”复选框,则“身份验证和生成新密钥间隔”默认值为480分钟和
个会话。
图12-9
(10)1
[解析]
主密钥完全向前保密(PFS),每次都强制使用新“材料”重新生成密钥。若选中“主密钥完全向前保密(PFS)”复选框,则“身份验证和生成新密钥间隔”默认值为480分钟和1个会话。
因此(10)应填入“1”。
5. 【问题5】
为保证SNMP正常通信,被管理的其他计算机应如何配置?
其他计算机上必须配置相应的IPSec安全策略。
[解析]
为保证SNMP正常通信,被管理的其他计算机上必须配置相应的IPSec安全策略,否则无法保障安全。
试题四 阅读以下说明,回答问题1至问题6。
【说明】
某公司在Windows Server 2003中安装IIS 6.0来配置Web服务器,域名为 www.yfzxmn.com。
1. 【问题1】
IIS安装的硬盘分区最好选用NTFS格式,是因为
和
。
A.可以针对某个文件或文件夹给不同的用户分配不同的权限
B.可以防止网页中的Applet程序访问硬盘中的文件
C.可以使用系统自带的文件加密系统对文件或文件夹进行加密
D.可以在硬盘分区中建立虚拟目录
(1)A(2)C
[解析]
为了确保IIS服务的安全,一个重要的前提就是让它落地在安全的系统上。在 Windows服务器上安装IIS最好选用NTFS分区格式。因为在NTFS格式下,可以针对某个文件或文件夹给不同的用户分配不同的权限,并且可以使用系统自带的加密文件系统EFS对文件夹或文件进行加密。
2. 【问题2】
为了禁止IP地址为202.161.158.239~202.161.158.254的主机访问该网站,在图12-10所示的“IP地址和域名限制”对话框中单击“添加”按钮,增加两条记录,如表12-1所示。填写表12-1中的(3)~(5)处内容。
图12-10
| IP地址 | 子网掩码 |
一组主机 | (3) | (4) |
一台主机 | (5) | |
表12-1
(3)202.161.158.240至202.161.158.254均可
(4)255.255.255.240
(5)202.161.158.239
[解析]
在IIS中,如果发现来自某一IP的计算机总是试图攻击网站,就可以使用“IP地址及域名限制”来禁止其访问。通过IP地址及其域名限制,用户可以禁止某些特定的计算机或某个地址段中的计算机对子集的Web和FTP站点的访问。当有大量的攻击和破坏来自于某些地址或某个子网时,使用这种限制机制是非常有用的。
为了禁止IP地址为202.161.158.239~202.161.158.254的主机访问该网站,可以将这个地址段中的所有IP地址以单个主机的形式加入限制访问的地址列表中,也可以以IP地址加子网掩码的形式添加一组主机地址。这里如果采用子网掩码,那么202.161.158.239不在该网段,还需要单独添加该主机IP。
3. 【问题3】
实现保密通信的SSL协议工作在HTTP层和
层之间。SSL加密通道的建立过程如下:
1.首先客户端与服务器建立连接,服务器把它的
发送给客户端;
2.客户端随机生成
,并用从服务器得到的公钥对它进行加密,通过网络传送给服务器;
3.服务器使用
解密得到会话密钥,这样客户端和服务器端就建立了安全通道。
~
的备选答案如下:
A.TCP B.IP C.UDP D.公钥 E.私钥
P.对称密钥 G.会话密钥 H.数字证书 I.证书服务
(6)A; (7)H; (8)G; (9)E
[解析]
本问题考查的是SSL安全加密机制的基础知识。SSL是一个协议独立的加密方案,在网络信息包的应用层和传输层之间提供了安全的通道。
4. 【问题4】
在IIS中安装SSL分5个步骤,这5个步骤的正确排序是
。
A.配置身份验证方式和SSL安全通道
B.证书颁发机构颁发证书
C.在IIS服务器上导入并安装证书
D.从证书颁发机构导出证书文件
E.生成证书请求文件
(10)EBDCA
[解析]
IIS使用的是HTTP协议,以明文的形式传输数据,没有采用任何加密手段,传输的重要数据容易被窃取。如果建立了SSL安全机制,只有SSL允许的客户才能与SSL允许的Web站点进行通信。
在Windows Server 2003中,为IIS安装SSL安全加密机制需要以下步骤:
(1)生成证书请求文件;
(2)安装证书服务;
(3)申请IIS网站证书;
(4)颁发IIS网站证书;
(5)导入IIS网站证书:
(6)配置IIS安全通信。
5. 【问题5】
在安装SSL时,在“身份验证方法”对话框中应选用的登录验证方式是
。
A.匿名身份验证 B.基本身份验证
C.集成Windows身份验证 D.摘要式身份验证
E.Net Passport身份验证
(11)B
[解析]
导入证书后,IIS并没有启用SSL安全加密功能,需要进一步对IIS服务器进行配置。在“目录安全性”选项卡中单击“安全通信”中的“编辑”按钮,弹出“安全通信”对话框,从中选择“要求安全通道(SSL)”和“要求128位加密”。接着单击“身份验证和访问控制”的“编辑”按钮,弹出“身份验证方法”对话框,取消选中“启用匿名访问”和“集成Windwos身份验证”复选框,只选中“基本身份验证”复选框即可。
6. 【问题6】
如果用户需要通过SSL安全通道访问该网站,应该在IE的地址栏中输入
。 SSL默认侦听的端口是
。
(12)https://www.yfzxmn.com; (13)443
[解析]
使用安装的SSL安全加密机制的Web站点,需要在使用URL资源定位器时要输入 https://。
试题五 阅读下面的说明,回答问题1至问题4。
【说明】
某企业园区网采用了三层架构,按照需求,在网络中需要设置VLAN、快速端口、链路捆绑、Internet接入等功能。该园区网内部分VLAN和IP地址如表12-2所示。
表12-2
VLAN号 |
VLAN名称 |
IP网段 |
默认网关 |
说 明 |
Vlan1 |
|
192.168.1.0/24 |
192.168.1.254 |
管理Vlan |
Vlanl0 |
Xsb |
192.168.10.0/24 |
192.168.10.254 |
销售部Vlan |
Vlan20 |
Scb |
192.168.20.0/24 |
192.168.20.254 |
生产部Vlan |
Vlan30 |
Sjb |
192.168.30.0/24 |
192.168.30.254 |
设计部Vlan |
Vlan50 |
Fwq |
192.168.50.0/24 |
192.168.50.254 |
服务器Vlan |
1. 【问题1】
某交换机的配置命令如下,根据命令后面的注释,填写
~
处的空缺内容,完成配置命令。
Switch (config) #
//将交换机命名为Sw1
Swl(config) # interface vlan 1
Swl(config-if) #
//设置交换机的IP地址为192.168.1.1/24
Swl(config-if) # no shutdown
Swl(config) #
//设置交换机默认网关地址
(1)hostname sw1
(2)ip address 192.168.1.1 255.255.255.0
(3)ip default-gateway 192.168.1.254
[解析]
本问题考查的是交换机的基本配置命令,包括设置交换机的名称,配置交换机的IP地址和默认网关。参照题目要求,该交换机的名称为Sw1,IP地址为192.168.1.1/24,根据表12-2可知其默认网关为192.168.1.254。故其配置命令为:
Switch(config) # hostname sw1
Sw1(config) # interface vlan 1
Sw1(config-if) # ip address 192.168.1.1 255.255.255.0
sw1(config-if) # no shutdown
Sw1(config) # ip default-gateway 192.168.1.254
2. 【问题2】
在核心交换机中设置了各个VLAN,在交换机Sw1中将端口1~20划归销售部,请完成以下配置。
Swl(config) # interface range fastethernet0/1-20 //进入组配置状态
Swl(config-if-range) #
//设置端口工作在访问(接入)模式
Swl(config-if-range) #
//设置端口1~20为VLAN 10的成员
(4)switchport mode access
(5)switchport access vlan 10
[解析]
本问题考查的是端口vlan配置的命令。参照题目要求,交换机Sw1中将端口1~20划归销售部,而销售部是vlan 10,另外根据题目提示,配置采用组配置模式。故其配置命令为:
Sw1(config) # interface range fastethernet 0/1-20
Sw1(config-if-range) # switchport mode access
Sw1(config-if-range) # switchport access vlan 10
3. 【问题3】
1.在默认情况下,交换机刚加电启动时,每个端口都要经历生成树的四个阶段,它们分别是:阻塞、侦听、
、
。
2.根据需求,需要将Swl交换机的端口1~20设置为快速端口,完成以下配置。
Swl(config) # interface range fastethernet 0/1-20 //进入组配置状态
Swl(config-if-range) #
//设置端口1~20为快速端口
(6)学习
(7)转发
以上两个答案可以互换
(8)spanning-tree portfast
[解析]
本问题考查的是生成树基本概念和快速端口配置。默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:阻塞、侦听、学习和转发。在能够转发用户的数据包之前,某个端口可能最多要等50s的时间(20s的阻塞时间+15s的侦听延迟时间+15s的学习延迟时间)。
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以利用spanning-tree portfast命令将某端口设置成为快速端口(Portfast)。设置为快速端口的端口后,当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听和学习状态(假设桥接表已经建立)。
4. 【问题4】
该网络的Internet接入如图12-11所示:
根据图12-11,解释以下配置命令,填写空格
~
:
1.Router(config) # interface s0/0
2.router(config-if) # ip address 61.235.1.1 255.255.255.252
3.router(config) # ip route 0.0.0.0 0.0.0.0 s0/0
4.router(config) # ip route 192.168.0.0 255.255.255.0 f0/0
5.router(config) # access-list 100 deny any any eq telnet
(9)设置串口的IP地址及子网掩码
(10)设置到Internet的默认路由
(11)设置到校园网内部的路由
定义屏蔽远程登录协议telnet的规则
[解析]
本问题考查的是广域网接入路由器的配置命令。
1.Router(config)# interface s0/0
该命令是进入串口配置模式。
2.router(cenfig-if) # ip address 61.235.1.1 255.255.255.252
该命令的作用是设置串口的IP地址及子网掩码。
3.router(config) # ip route 0.0.0.0 0.0.0.0 s0/0
该命令的作用是设置到Internet的默认路由。
4.router(config) # ip route 192.168.0.0 255.255.255.0 f0/0
该命令的作用是设置到校园网内部的路由。
5.router(config) # access-list 100 deny any any eq telnet
该命令的作用是定义屏蔽远程登录协议telnet的规则。
深色:已答题 浅色:未答题