试题一 阅读以下说明,根据要求回答问题。
[说明]
某省级重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速访问相关的5台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。
某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图8-10所示。
1. 根据用户需求和设计要求,请指出图8-10中至少5个不合理之处。
①核心交换机2直接上连至边界路由器,其通信数据无法得到防火墙的安全防护;
依题意,图8-10所示的网络设备连接结构图中,存在以下几点不合理之处及相应的改进方案。
(1)图8.10中核心交换机2错误地直接上连至边界路由器,核心交换机2的相关通信数据无法得到防火墙的相关安全防护。改进方案:将核心交换机2上连至防火墙,如图8-21中虚线所示。
(2)图8-10中两台核心交换机之间没有相互连接。改进方案:将两台核心交换机之间进行双千兆(或万兆)链路连接,并通过应用链路聚合技术(如LCAP等),提高主干道的吞吐量,并实现负载分担,以提高核心层的高速数据转发,如图8-21所示。
(3)该中学5台内部高性能服务器连接在接入交换机4上,增大了服务延迟时间,无法实现题意中“中学内部用户能够高速的访问”的性能要求。改进方案①:去掉接入交换机,将汇聚交换机3更换成较高性能的汇聚交换机,新汇聚交换机与核心交换机之间实现双千兆链路冗余连接,然后将5台服务器连接在新汇聚交换机上,如图8-21所示。改进方案②:若两台核心交换机分别有5个可供使用的高速以太端口,则在5台内部服务器上分别安装(或替换)两块高速以太网卡,两块网卡分别连接到两台核心交换机的高速以太端口,以保证服务器的高速访问,如图8-22所示。
(4)图8-10中有一个桌面用户的客户机错误地同时连接至接入交换机2和接入交换机3,形成了接入层的“后门”现象,违背了层次化网络设计所应遵循的基本原则。改进方案:删除该客户机连接至接入交换机3(或接入交换机2)的连接链路,如图8-21(或图8-22)所示。
(5)连接至接入交换机1的一台双网卡用户客户机错误地通过ADSL宽带接入方式,再次连接至Internet,形成了接入层的另一种“后门”现象,从而可能引起不可预知的选路问题或其他异常的网络故障现象等。改进方案:删除该客户机的ADSL宽带接入链路,使该客户机仅通过该校园网访问Internet,如图8-21(或图8-22)所示。
2. 假设平均每天经常浏览网页的用户数为300个,每用户每分钟平均产生12个事务处理任务,事务量大小为0.05MB,则该校园网浏览网页需要的信息传输速率约为______Mbps。
假设该校园网共有20问多媒体教室,平均每问多媒体教室有4个摄像机,每台摄像机采用CIF格式(分辨率为352×288)实时采集视频流,码流为512Kbps,则该校园网多媒体教室视频监控的应用业务流量约为______Mbps。
17或24 40.96
某个应用业务的网络流量计算公式如下:
该校园网在进行IP地址部署时,给某幢教研综合楼分配了一个地址块10.2.3.0/24,该教研综合楼内的计算机数量分布如表8-4所示。要求各部门处于不同的网段,请将表8-5中的 3 ~ 8 处空缺的主机地址(或范围)和子网掩码填写完整。 表8-4 某教研综合楼计算机数量分布表 部门 主机数量/台 部 门 主机数量/台 多媒体教室1 80 教研室A 22 多媒体教室2 50 教研室B 18
表8-5 各部门IP地址规划表 部 门 可分配的地址范围 子网掩码 多媒体教室1 10.213.1~ 3 4 多媒体教室2 5 6 教研室A 7 255.255.255.224 教研室B 10.2.193~10.2.3.222 8
8.
255.255.224
该教研综合楼所分配到的地址块10.2.3.0/24中,“/24”表示子网掩码为24位掩码,即255.255.255.0。表8-4给出了该单位多媒体教室1的计算机数量为80台。由于2
6 -2=62<80<2
7 -2=126,其中,“-2”表示保留全0的IP地址(被保留标志子网本身)和全1的IP地址(被保留用做该子网的广播地址),因此对已给出的A类地址块10.2.3.0/24进行子网化时,对于“多媒体教室1”这个子网所用的主机地址位数至少需要7位,则A类地址块10.2.3.0的最后一个字节的最高位可用做子网号,用于标识“多媒体教室1”子网和其他子网。由此也可推知,多媒体教室1的新子网掩码为25位掩码,即(4)空缺处为255.255.255.128。
由于表8-5中己给出多媒体教室1子网可实际分配的IP地址范围中的起始IP地址(即10.2.3.1),将它与子网掩码255.255.255.0进行与(AND)运算,即可得到多媒体教室1子网的网段地址为10.2.3.0。由此可知,多媒体教室1的子网号为0。此多媒体教室1的子网号同时决定了多媒体教室2、教研室A和教研室B的IP地址中最后一个字节的最高位为1。换言之,其他子网的IP地址中最后一个字节用于标识子网的最高位为1。
多媒体教室1子网可分配的主机地址范围求解过程见表8-6。
表8-6 多媒体教室1子网可分配的主机地址范围分析表 步骤 项目 数值 ① 已求知的子网掩码 255.255.255.128 ② 该子网掩码转化为二进制数形式 11111111.11111111.1111llll.10000000 ③ 表8-5已给出的IP地址 10.2.3.1 ④ 该IP地址转化为二进制数形式 00001010.00000010.0000001 1.00000001 ⑤ 将以上2个二进制数进行AND运算 00001010.00000010.00000011.00000000 ⑥ 多媒体教室1子网的网段地址为 10.2.3.0/25 ⑦ 该子网的IP地址范围 10.2.3.0~10.2.3.127 ⑧ 多媒体教室1子网最小可实际分配的IP地址的二进制数形式为 00001010.00000010.00000011.00000001 ⑨ 多媒体教室1子网最大可实际分配的IP地址的二进制数形式为 00001010.00000010.00000011.01111110 ⑩ 该子网中可实际分配的主机地址范围 10.2.3.1~10.2.3.126
由以上分析可知,多媒体教室1子网使用的子网号为0,可实际分配的主机地址范围为10.2.3.1~10.2.3.126,因此表8-5中(3)空缺处所填写的内容可以是10.2.3.126。 由于2
5 -2=30<50<2
6 -2=62,因此对于“多媒体教室2”这个子网所用的主机地址位数至少需要6位,则A类地址块10.2.3.0的最后一个字节的最高位、次高位可用作子网号,即用于标识“多媒体教室2”子网。由此也可推知,多媒体教室2的新子网掩码为26位掩码,即(6)空缺处的子网掩码为255.255.255.192。 由于2
4 -2=14<18<22<2
5 -2=30,因此对于“教研室A”、“教研室B”这两个子网所用的主机地址位数至少需要5位,这两个子网的子网号为3位。因此,这两个子网的新子网掩码为27位掩码,即(8)空缺处的子网掩码为255.255.255.224。 将子网掩码255.255.255.224与表8-5中已给出的教研室B可分配的地址范围10.2.3.193~10.2.3.222进行与(AND)运算,即可得到教研室B所使用的子网号为110。由于“多媒体教室2”的子网号为两位,因此由教研室B所使用的子网号110可得,“多媒体教室2”的子网号为10。同理,可得教研室A的子网号为111。 由表8-7所示的分析过程可知,多媒体教室2可实际分配的主机地址范围为10.2.3.129~10.2.3.190,即(5)空缺处应填入10.2.3.129~10.2.3.190。
表8-7 多媒体教室2子网可分配的主机地址范围分析表 步骤 项 目 i数 值 ① 已求知的子网掩码 255.255.255.192 ② 该子网掩码转化为二进制数形式 11111111.11111111.11111111.11000000 ③ 用子网号10标识“多媒体教室2”子网,则其网段地址的二进 00001010.00000010.00000011.10000000 ④ 该IP地址转化为十进制数形式 10.23.128/26 ⑤ 该子网的IP地址范围 10.2.3.128~10.2.3.191 ⑥ 多媒体教室2子网最小可实际分配的IP地址的二进制数形式为 00001010.00000010.00000011.10000001 ⑦ 多媒体教室2子刚最大可实际分配的IP地址的二进制数形式为 00001010.00000010.00000011.10111110 ⑧ 该子网中可实际分配的主机地址范围的十进制数形式 10.2.3.129~10.2.3.190
由表8-8所示的分析过程可知,教研室A可实际分配的主机地址范围为10.2.3.225~10.2.3.254,即(7)空缺处应填入10.2.3.225~10.2.3.254。
表8-8 教研室A子网可分配的主机地址范围分析表 步骤 项目 数 值 ① 已知的子网掩码 255.255.255.224 ② 该子网掩码转化为二进制数形式 111111111.11111111.11111111.11100000 ③ 用子网号111标识“教研室A”子网,则其网段地址的二进 00001010.00000010.00000011.11100000 ④ 该IP地址转化为十进制数形式 10.2.3.224/27 ⑤ 该子网的IP地址范围 10.2.3.224~10.2.3.255 ⑥ 教研室A子网最小可实际分配的IP地址的二进制数形式为 00001010.00000010.00000011.11100001 ⑦ 教研室A子网最大可实际分配的IP地址的二进制数形式为 00001010.00000010.00000011.11111110 ⑧ 该子网中可实际分配的主机地址范围的十进制数形式 10.2.3.225~10.2.3.254
试题二 阅读以下说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。
[说明] 1. [问题1]
在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务:
1 和L2TP,L2TP协议将数据封装在
2 协议帧中进行传输。
(1)PPTP(点对点隧道协议)
[分析] 本题考查的是VPN及其配置问题。
2. [问题2]
在服务器1中,利用Windows Server 2003的管理工具打开“路由和远程访问”,在所列出的本地服务器上选择“配置并启用路由和远程访问”,然后选择配置“远程访问(拨号或VPN)”服务,在图2-2所示的界面中,“网络接口”应选择
。
备选答案:
A.连接1 B.路由和远程访问
B
[分析] [问题2]考查的是远程访问VPN服务的部署。在VPN连接页,应选择连接到Internet的网络接口,因此应选择对应的接口连接2。
3. [问题3]
为了加强远程访问管理,新建一条名为“SubInc”的访问控制策略,允许来自子公司服务器2的VPN访问。在图2-3所示的配置界面中,应将“属性类型(A)”的名称为
3 的值设置为“Layer Two Tunneling Protocol”,名称为
4 的值设置为“Virtual (VPN)”。
编辑SubInc策略的配置文件,添加“入站IP筛选器”,在如图2-4所示的配置界面中,IP地址应填为
5 ,子网掩码应填为
6 。
(4)Tunnel-Type
[分析] [问题3]考查的是远程访问策略的配置。要配置远程访问策略以控制VPN连接的身份验证和加密选项,要使用以下设置创建远程访问策略:将NAS-Port-Type条件设置为“Virtual(VPN)”,并将Tunnel-Type条件设置为“Layer Two Tunneling Protocol”。在配置数据包筛选器时,要键入外部接口的p地址。在“子网掩码”框中,键入255.255.255.255。
4. [问题4]
子公司PC1安装Windows XP操作系统,打开“网络和Internet连接”。若要建立与公司总部服务器的VPN连接,在如图2-5所示的窗口中应该选择
4 ,在图2-6所示的配置界面中填写
5 。
4 备选答案:
A.设置或更改您的Internet连接
B.创建一个到您的工作位置的网络连接
C.设置或更改您的家庭或小型办公网络
D.为家庭或小型办公室设置无线网络
E.更改Windows防火墙设置
(8)B
[分析] [问题4]考查的是VPN客户端的配置。客户端上应新建一个“到您的工作位置的网络连接”,在VPN服务器选择时,要键入VPN服务器计算机的IP地址或主机名。
5. [问题5]
用户建立的VPN连接xd2的属性如图2-7所示,启动该VPN连接时是否需要输入用户名和密码?为什么?
不需要。因为选中“自动使用我的Windows登录名和密码”,此时用本机Windows登录的用户名和密码进行VPN连接。
[分析] [问题5]考查的是VPN身份验证。该VPN连接时是不需要输入用户名和密码的,因为选中了“自动使用我的Windows登录名和密码”,此时用本机Windows登录的用户名和密码进行VPN连接。
6. [问题6]
图2-8所示的配置窗口中所列协议“不加密的密码(PAP)”和“质询握手身份验证协议(CHAP)”有何区别?
PAP使用明文身份验证。
[分析] [问题6]考查的是PPP协议定义的两种类型的认证。握手认证协议(CHAP)使用一种算法(MD-5)来计算只有认证系统和远程设备知道的值。它总是对用户m和密码进行加密,所以该协议比PAP更安全。此协议对回放和试错法访问企图有效。可以在连接期间执行多次CHAP认证。认证系统向正在尝试连接到网络的远程设备发送一个握手信号。远程设备通过由两个设备使用的公共算法(MD-5)所算出的值进行响应。认证系统对照自己的计算结果检查该响应。当这些值匹配时,认证被认可:否则,结束连接。不加密的密码(PAP)使用双向握手为同级系统提供鉴别其身份的简单方法,也就是普通的口令认证,要求将密钥信息在通信信道中明文传输。在建立链接时进行握手。在建立链接之后,远程设备将一个用户ID/密码对发送到认证系统。根据用户ID/密码对的正确与否,认证系统继续连接或结束连接。
试题三 阅读以下说明,根据要求回答问题。
[说明]
某公司通过服务器Server1中的“路由和远程访问”及防火墙等服务接入Internet,拓扑结构"如图7-20所示。其中,服务器Server1的操作系统为Windows Server 2003,公司从ISP处租用的公网IP地址段是202.101.1.88/29。
对服务器Server1进行配置时,打开如图7-21所示的“NAT/基本防火墙”配置界面。请分别给出Setver1的LAN接口、WAN接口在图7-21中的相关配置操作。1.
LAN接口:选中[专用接口连接到专用网络]单选按钮,点击[确定]或[应用]按钮
2.
WAN接口:先选中[公用接口连接到Internet]单选按钮,接着分别选中刚激活的[在此接口上启用NAT]、[在此接口上启用基本防火墙]两个复选按钮,点击[确定]或[应用]按钮
Windows Server 2003的“路由和远程访问”服务包括NAT路由协议。如果在运行“路由和远程访问”的服务器上安装和配置NAT路由协议,则可将使用私有IP地址的内部网络客户端通过NAT服务器的外部接口访问Internet。
在图7-20所示网络拓扑结构中,配置路由和远程访问NAT服务器Server1的操作步骤如下:
(1)依次单击[开始]|[程序]|[路由和远程访问]命令,弹出如图7-30所示的“路由和远程访问”配置窗口。
(2)展开左窗格中服务器的名称,展开“IP路由选择”,右击[常规]选项,在右键菜单中选择[新建路由协议]命令。
(3)在弹出的对话框中,选择“NAT/基本防火墙”,单击[确定]按钮。
(4)右击图7-30左窗格中的“NAT/基本防火墙”选项,选择[新建接口]命令。
(5)选中某个网络接口的接口名称,单击[确定]按钮,弹出如图7-21所示的对话框。
(6)在图7-21中,[专用接口连接到专用网络]单选按钮用于指定刚才所选中的网络接口,是连接到内部私有网络上的专用接口;[公用接口连接到Internet]单选按钮用于指定该网络接口是连接到Internet的公用接口;[仅基本防火墙]单击按钮指定此接口不执行网络地址转换,但受基本防火墙保护,此接口仅路由响应来自该服务器的请求而发送的通信。
(7)通常,用于内部局域网的IP地址分配的私有地址有10.x.x.x、172.16.x.x~172.31.x.x、192.168.x.x。依图7-20所示拓扑结构信息可知,服务器Server1的LAN接口配置的IP地址10.1.2.254/24是一个A类的私有IP地址。因此,LAN接口的网络连接应在图7-21中选中[专用接口连接到专用网络]单选按钮进行配置。
(8)同理,依图7-20所示拓扑结构信息可知,服务器Server1的WAN接口连接的是该公司边界路由器,该接口应配置一个公网IP地址。WAN接口的网络连接应先选中[公用接口连接到Internet]单选按钮,接着分别选中刚激活的[在此接口上启用NAT]、[在此接口上启用基本防火墙]两个复选按钮,如图7-31所示。
为保证内网PC可以访问Internet,图7-22所示WAN接口的地址池中,起始地址为 3 ,结束地址为 4 。 5 ,“为专用网络上的计算机”文本框中填入 6 。6.
10.1.2.100
由题干关键信息“公司从ISP处租用的公网IP地址段是202.101.1.88/29”可知,“/29”是子网掩码255.255.255.248的简化缩写形式。IP地址202.101.1.88中“88”的二进制表示形式叭0101 1000(其中阴影部分为子网掩码“1”比特位所覆盖的范围),因此该子网的地址池区间为从202.101.1.88~202.101.1.95的8个IP地址。其中,202.101.1.88是该网段的子网地址,202.101.1.95是该子网的直接广播地址。该子网的地址池可实际使用的IP地址为202.101.1.89~202.101.1.94的6个IP地址。而图7-20所示网络结构中,路由器eth0接口所分配的IP地址为202.101.1.94。为保证内网PC可以访问Internet,图7-22所示WAN接口的地址池中,[起始地址]栏应填入202.101.1.89,[掩码]栏应填入255.255.255.248,[结束地址]栏应填入202.101.1.93。
为保证Web Server能正常对外提供服务,还需要在图7-24所示的“服务和端口”选项卡中勾选 7 选项。若要让来自Internet的ping消息通过Server1,则在图7-25中至少要勾选 8 选项。8.
传入的回显请求
为保证Web Server能正常对外提供服务,需要在防火墙上创建例外,还需要在图7-24所示的[服务和端口]选项卡中,应选中[Web Setver (HTTP)]复选框,再单击[确定](或[应用])按钮。
试题四 【说明】以下是Linux局域网服务器配置的简单描述。
如图4所示,某企业通过ADSL上网,ADSL外部网卡输入的地址是192.168.10.6,子网掩码是255.255.255.0,网关是192.168.10.254。此网卡用于外部接入,名称为eth0。 1 2 3 4 5 1. 【问题1】请将
(n) L(n=1~5)处的含义写在答题纸对应的栏内。
(1)可以让本地所有用户通过HTTP上Internet。
2. 【问题2】请解释(3)、(4)、(5)步所起的作用。
191.252.0至10.191.252.254的地址范围实行地址伪装。通过这样的设置,所有的客户机对外就只有一个地址,可以起到防火墙的作用。
试题五 阅读以下说明,根据要求回答问题。
[说明]
随着应用业务的不断增长,某单位网络内部部署有IPv4网络和IPv6网络。该单位计划采用NAT-PT技术实现这两类网络中相关主机之间的相互通信,其网络拓扑结构如图8-20所示。其中,IPv6网络使用NAT-PT网络前缀为2011:2fc6:0:0:0:1::/96。
若图8-20中路由器R1采用静态NAT-PT映射配置,其中IPv4主机PC1静态映射到具有NAT-PT网络前缀的IPv6地址2011:2fc6:0:0:0:1::9,IPv6主机PC2映射到具有NAT-PT的地址10.3.2.202。 1 (设置IP地址信息) 2 (在当前接口上启用NAT-PT机制) 3 (设置IP地址信息) 4 5 6 source 7 8 1.
ip address 10.3.2.254 255.255.255.0
3.
ipv6 address 2011:2fc6::1/64
5.
强制将源IPv6地址的输出IPv6数据包转换成IPv4数据包
8.
2011:2fc6:0:0:0:1::9
从图8-20所示的网络拓扑结构可知,路由器R1的e0接口处于IPv4网络一侧,其IP地址信息为10.3.2.254/24,因此在R1的e0接口IP地址参数配置语句中,(1)空缺处应填入ip address10.3.2.254 255.255.255.0。
若图8-20中路由器R1采用动态NAT-PT映射配置,其中IPv6网络中的任意节点动态映射到IPv4地址池10.3.2.211~10.3.2.220中的某个IP地址,IPv6网络上NAT-PT的操作使用的网络前缀为2011:2fc6:0:0:0:2::/96,则通过以下在路由器R1上的相关配置,IPv6网络中任意节点可以建立到IPv4网络中任意节点的会话。根据网络拓扑和需求说明,完成(或解释)路由器R1的相关配置。 9 10 (声明在IPv6域内NAT-PT使用的IPv6前缀) 11 (规定动态NAT-PT转换过程中使用的源IPv4地址池) 12 pool 13 (配置动态NAT-PT映射)9.
配置一个标准的IPv6 ACL,以规定IPv6网络中允许被转换的IPv6地址范围
10.
nat prefix 2011:2fc6:0:0:0:1::/96
13.
ipv4 pool
在全局配置模式下,可以使用配置语句ipv6 access-list v6 net permit 2011:2fc6::/64 any配置一个名为v6 net的标准IPv6 ACL,以规定IPv6单协议网络中允许被转换的IPv6地址范围。 (11) 可得,<natpt-pool-name>应为ipv4 pool,即(13)空缺处应填入ipv4 pool。
14. 若在路由器R1配置实施过程中,现场的网络工程师发现:只能实现由IPv6节点发起的与IPv4节点之间的通信,反之则不行,则造成这一现象的可能原因是______。
路由器R1没有DNS-ALG这种应用层网关的支持
支持NAT-PT的网关路由器R1应具有IPv4地址池,在从IPv6域向IPv4域中转发数据包时使用,地址池中的地址是用来转换IPv6报文中的源地址的。此外,网关路由器R1需要DNS-ALG和FTP-ALG这两种常用的应用层网关的支持,在IPv6节点访问IPv4节点时发挥作用。若没有DNS-ALG的支持,则只能实现由IPv6节点发起的与IPv4节点之间的通信;而无法实现IPv4节点发起的与IPv6节点之间的通信。若没有FTP-ALG的支持,则IPv4网络中的主机将不能用FTP软件从IPv6网络中的服务器上下载文件或者上传文件,反之亦然。
深色:已答题 浅色:未答题