原创试题专区
开通学校服务
试卷简介
本套试卷集合了考试编委会的理论成果。专家们为考生提供了题目的答案,并逐题进行了讲解和分析。每道题在给出答案的同时,也给出了详尽透彻的解析,帮助考生进行知识点的巩固和记忆,让考生知其然,也知其所以然,从而能够把知识灵活自如地运用到实际中去。
试卷预览
1.[说明]某企业总部设立在A地,在B地建有分支机构,分支机构和总部需要在网络上进 行频繁的数据传输,该企业网络采用IPSec VPN虚拟专用网技术实现分支机构和总部 之间安全、快捷、经济的跨区域网络连接。
该企业的网络拓扑结构如图4-1所示。
该企业的网络地址规划及配置如表4-1所示。
[问题1](7分)
为了完成对RouterA和RouterB的远程连接管理,以RouterA为例,完成初始化路 由器,并配置RouterA的远程管理地址(192.168.1.20),同时开启RouterA的Telnet 功能并设置全局配置模式的访问密码,请补充完成下列配置命令。
RouterA >enable
RouterA#configure terminal
RouterA(config)#interface f0/0 //进入 F0/0 的 (1) 于模式
RouterA(config-if)#ip addr (2) //为 F0/0 接口配置 IP 地址
RouterA(config-if)#no shut // (3) FO/O接口,默认所有路由器的接口都为down状态 RouterA(config-iQ#inter (4) //进入 loopback 0 的接口配置子模式
RouterA(config-if)#ip addr (5) // 为 loopback0 接口配置 IP 地址
RouterA(config)# (6) //进入虚拟接口 0-4的配置子模式
RouterA(config4ine)#pass word abc00 1 //配置vty口令为”abc001“
RouterA(config)#enable password abc001 / / 配置全局配置模式的明文密码为“abc001” RouterA(config)# enable (7) abc001 //配置全局配置模式的密文密码为“abc001”
[问题2](5分)
VPN是建立在两个局域网出口之间的隧道连接,所以两个VPN设备必须能够满足内网访问互联网的要求,以及需要配置NAT。按照题目要求以RouterA为例,请补充完 成下列配置命令。
RouterA(config)# access-list 101 ( 8) ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 RouterA(config)# access-list 101 (9) ip 192.168.1.0 0.0.0.255 any// 定义需要被 NAT 的数据流 RouterA(config)#ip nat inside source list 101 interface (10) overload // 定义 NAT 转换关系 RouterA(config)#int (11)
RouterA(config-if)#ip nat inside
RouterA(config)#int (12)
RouterA(config-iQ#ip nat outside //定义 NAT 的内部和外部接
[问题3](4分)
配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配,否则VPN配置 将会失败。以RouterB为例配置IPSecVPN,请完成相关配置命令。
RouterB(config)# access-list 102 permit ip (13) //定义需要通过 VPN 加密传输的数据流 RouterB(config)#crypto isakmp (14) //启用 ISAKMP(IKE)
RouterB(config)#crypto isakmp policy 10
RouterB(config-isakmp)#authentication pre-share
RouterB(config-isakmp)#encryption des
RouterB(config-isakmp)#hash md5
RouterB (config-isakmp)#group 2
RouterB(config)#crypto isakmp identity address
RouterB(config)#crypto isakmp key abcOOl address (15) //指定共享密钥和对端设备地址 RouterB (config)#crypto ipsec transform-set ccie esp-des esp_md5_hmac
RouterB (cfg-crypto-trans)#model tunnel
RouterB(config)#crypto map abcOOl 10 ipsec-isakmp
RouterB(config)#int (16)
RouterB(config)-if)#crypto map abc001 // 在外部接口上应用加密图
[问题4]
根据题目要求,企业分支机构与总部之间采用 IPSec VPN 技术互连,IPSec(IP Security) 是IETE 为保证在Internet 上传送数据的安全保密性而制定的框架协议,该协议用用在 17 层,用于保证和认证用户IP数据包。
IP S ec VPN 可使用的模式有两种,其中 18 模式的安全性较强, 19 模式的安全性较弱。IPSec主要由AH/ESP和IKE组成,在使用IKE协议时,需要定义IKE协商策略,该策略由 20 进行定义。
该企业的网络拓扑结构如图4-1所示。
该企业的网络地址规划及配置如表4-1所示。
[问题1](7分)
为了完成对RouterA和RouterB的远程连接管理,以RouterA为例,完成初始化路 由器,并配置RouterA的远程管理地址(192.168.1.20),同时开启RouterA的Telnet 功能并设置全局配置模式的访问密码,请补充完成下列配置命令。
RouterA >enable
RouterA#configure terminal
RouterA(config)#interface f0/0 //进入 F0/0 的 (1) 于模式
RouterA(config-if)#ip addr (2) //为 F0/0 接口配置 IP 地址
RouterA(config-if)#no shut // (3) FO/O接口,默认所有路由器的接口都为down状态 RouterA(config-iQ#inter (4) //进入 loopback 0 的接口配置子模式
RouterA(config-if)#ip addr (5) // 为 loopback0 接口配置 IP 地址
RouterA(config)# (6) //进入虚拟接口 0-4的配置子模式
RouterA(config4ine)#pass word abc00 1 //配置vty口令为”abc001“
RouterA(config)#enable password abc001 / / 配置全局配置模式的明文密码为“abc001” RouterA(config)# enable (7) abc001 //配置全局配置模式的密文密码为“abc001”
[问题2](5分)
VPN是建立在两个局域网出口之间的隧道连接,所以两个VPN设备必须能够满足内网访问互联网的要求,以及需要配置NAT。按照题目要求以RouterA为例,请补充完 成下列配置命令。
RouterA(config)# access-list 101 ( 8) ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 RouterA(config)# access-list 101 (9) ip 192.168.1.0 0.0.0.255 any// 定义需要被 NAT 的数据流 RouterA(config)#ip nat inside source list 101 interface (10) overload // 定义 NAT 转换关系 RouterA(config)#int (11)
RouterA(config-if)#ip nat inside
RouterA(config)#int (12)
RouterA(config-iQ#ip nat outside //定义 NAT 的内部和外部接
[问题3](4分)
配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配,否则VPN配置 将会失败。以RouterB为例配置IPSecVPN,请完成相关配置命令。
RouterB(config)# access-list 102 permit ip (13) //定义需要通过 VPN 加密传输的数据流 RouterB(config)#crypto isakmp (14) //启用 ISAKMP(IKE)
RouterB(config)#crypto isakmp policy 10
RouterB(config-isakmp)#authentication pre-share
RouterB(config-isakmp)#encryption des
RouterB(config-isakmp)#hash md5
RouterB (config-isakmp)#group 2
RouterB(config)#crypto isakmp identity address
RouterB(config)#crypto isakmp key abcOOl address (15) //指定共享密钥和对端设备地址 RouterB (config)#crypto ipsec transform-set ccie esp-des esp_md5_hmac
RouterB (cfg-crypto-trans)#model tunnel
RouterB(config)#crypto map abcOOl 10 ipsec-isakmp
RouterB(config)#int (16)
RouterB(config)-if)#crypto map abc001 // 在外部接口上应用加密图
[问题4]
根据题目要求,企业分支机构与总部之间采用 IPSec VPN 技术互连,IPSec(IP Security) 是IETE 为保证在Internet 上传送数据的安全保密性而制定的框架协议,该协议用用在 17 层,用于保证和认证用户IP数据包。
IP S ec VPN 可使用的模式有两种,其中 18 模式的安全性较强, 19 模式的安全性较弱。IPSec主要由AH/ESP和IKE组成,在使用IKE协议时,需要定义IKE协商策略,该策略由 20 进行定义。
2.[说明]
某企业的网络结构图如图2-1所示。
该企业通过一台路由器接入互联网,企业内部按照功能的不同划分为6个VLAN,分别是网络设备与网管(VLAN1)、内部服务器(VLAN2)、Internet连接(VLAN3)、
财务部(VLAN4)、市场部(VLAN5)、研发部(VLAN6)。
[问题1](7分)
1.访问控制列表ACL是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。ACL使用_________技术来达到访问控制目的。ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为_________和1300---1999之间的数字,标准访问控制列表只使用_____进行过滤,扩展的ACL的编号使用_______以及2000----2699之间的数字。2.每一个正确的访问列表都至少应该有一条_________语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近__________的网络接口上设置扩展ACL,在靠近________的网络接口上设置标准的ACL。
[问题2](5分)
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除了IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
[问题3](4分)
该企业要求在上班时间内(9:00--18:00)禁止内部员工浏览网页(TCP80和TCP443端口),禁止使用QQ(TCP/UDP8000以及UDP4000)和MSN(TCP1863端口)。另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除过上述限制外,在任何时间都允许以其它方式访问Internet。为了防止利用代理服务器访问外网,要求对常用的代理服务端口TCP8080、TCP3128、TCP1080也进行限制。按照要求补充完成(或解释)以下配置命令。
[问题4](4分)企业要求市场和研发部门不能访问财务部Vlan中的数据库,但是财务部门做为公司的核心管理部门,又必须能访问到市场和研发部门Vlan内的数据。按照要求补充完成(或解释)以下配置命令。
某企业的网络结构图如图2-1所示。
该企业通过一台路由器接入互联网,企业内部按照功能的不同划分为6个VLAN,分别是网络设备与网管(VLAN1)、内部服务器(VLAN2)、Internet连接(VLAN3)、
财务部(VLAN4)、市场部(VLAN5)、研发部(VLAN6)。
[问题1](7分)
1.访问控制列表ACL是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。ACL使用_________技术来达到访问控制目的。ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为_________和1300---1999之间的数字,标准访问控制列表只使用_____进行过滤,扩展的ACL的编号使用_______以及2000----2699之间的数字。2.每一个正确的访问列表都至少应该有一条_________语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近__________的网络接口上设置扩展ACL,在靠近________的网络接口上设置标准的ACL。
[问题2](5分)
网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除了IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
[问题3](4分)
该企业要求在上班时间内(9:00--18:00)禁止内部员工浏览网页(TCP80和TCP443端口),禁止使用QQ(TCP/UDP8000以及UDP4000)和MSN(TCP1863端口)。另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除过上述限制外,在任何时间都允许以其它方式访问Internet。为了防止利用代理服务器访问外网,要求对常用的代理服务端口TCP8080、TCP3128、TCP1080也进行限制。按照要求补充完成(或解释)以下配置命令。
[问题4](4分)企业要求市场和研发部门不能访问财务部Vlan中的数据库,但是财务部门做为公司的核心管理部门,又必须能访问到市场和研发部门Vlan内的数据。按照要求补充完成(或解释)以下配置命令。
3.[说明]某公司内部搭建了一个小型的局域网,拓扑图如图2-1所示。公司内部拥有主机约120台,用C类地址段192.168.100.0/24。采用一台Linux服务器作为接入服务器,服务器内部局域网接口地址为192.198.100.254,ISP提供的地址为202.202.212.62。
图 2-1
[问题1](2分)
在Linux中,DHCP的配置文件是( 1 )。
[问题2](8分)
内部邮件服务器IP地址为192.168.100.253,MAC地址为01:A8:71:8C:9A:BB;内部文件服务器IP地址为192.168.100.252,MAC地址为01:15:71:8C:77:BC。公司内部网络分为4个网段。
为方便管理,公司使用DHCP服务器为客户机动态配置IP地址,下面是Linux服务器为192.168.100.192/26子网配置DHCP的代码,将其补充完整。
Subnet ( 2 ) netmask ( 3 )
{
option routers 192.168.100.254;
option subnet-mask (4);
option broadcast-address ( 5 );
option time-offset -18000;
range ( 6 ) ( 7 ) ;
default-lease-time 21600;
max-lease-time 43200;
host servers
{
Hardware ethemet ( 8 );
fixed-address 192.168.100.253;
hardware ethemet 01:15:71:8C:77:BC;
fixed-address ( 9 );
}
}
[问题3](2分)
配置代码中“option time-offset -18000”的含义是 ( 10 ) 。“default-lease-time 21600”表明,租约期为( 11 )小时。
[问题4](3分)
在一台客户机上使用ipconfig命令输出如图2-2所示,正确的说法是( 12 )。
此时可使用( 13 )命令释放当前IP地址,然后使用( 14 )命令向DHCP服务器重新申请IP地址。
图 2-1[问题1](2分)
在Linux中,DHCP的配置文件是( 1 )。
[问题2](8分)
内部邮件服务器IP地址为192.168.100.253,MAC地址为01:A8:71:8C:9A:BB;内部文件服务器IP地址为192.168.100.252,MAC地址为01:15:71:8C:77:BC。公司内部网络分为4个网段。
为方便管理,公司使用DHCP服务器为客户机动态配置IP地址,下面是Linux服务器为192.168.100.192/26子网配置DHCP的代码,将其补充完整。
Subnet ( 2 ) netmask ( 3 )
{
option routers 192.168.100.254;
option subnet-mask (4);
option broadcast-address ( 5 );
option time-offset -18000;
range ( 6 ) ( 7 ) ;
default-lease-time 21600;
max-lease-time 43200;
host servers
{
Hardware ethemet ( 8 );
fixed-address 192.168.100.253;
hardware ethemet 01:15:71:8C:77:BC;
fixed-address ( 9 );
}
}
[问题3](2分)
配置代码中“option time-offset -18000”的含义是 ( 10 ) 。“default-lease-time 21600”表明,租约期为( 11 )小时。
[问题4](3分)
在一台客户机上使用ipconfig命令输出如图2-2所示,正确的说法是( 12 )。
此时可使用( 13 )命令释放当前IP地址,然后使用( 14 )命令向DHCP服务器重新申请IP地址。
4.[说明]图2-1是某互联网企业网络拓扑,该网络采用二层结构,网络安全设备有防火墙、入侵检测系统,楼层接入交换机32台,全网划分17个VLAN,对外提供Web和邮件服务,数据库服务器和邮件服务器均安装CentOS操作系统(Linux平台),Web服务器安装Windows 2008操作系统。
问题:2.1 SAN常见方式有FC-SAN和IP SAN,在图2-1中,数据库服务器和存储设备连接方式为(1),邮件服务器和存储设备连接方式为(2)。
虚拟化存储常用文件系统格式有CIFS、NFS,为邮件服务器分配存储空间时应采用的文件系统格式是(3),为Web服务器分配存储空间应采用的文件系统格式是(4)。
问题:2.2 该企业采用RAID5方式进行数据冗余备份。请从存储效率和存储速率两个方面比较RAID1和RAID5两种存储方式,并简要说明采用RAID5存储方式的原因。
问题:2.3 网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断:
1.通过网管机,利用(5)登录到邮件服务器,发现邮件服务正常,但是连接时断时续。
2.使用(6)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器区汇聚交换机S1,发现连接邮件服务器的端口数据流量异常,收发包量很大。
3.根据以上情况,邮件服务器的可能故障为(7),应采用(8)的办法处理上述故障。
问题:2.1 SAN常见方式有FC-SAN和IP SAN,在图2-1中,数据库服务器和存储设备连接方式为(1),邮件服务器和存储设备连接方式为(2)。
虚拟化存储常用文件系统格式有CIFS、NFS,为邮件服务器分配存储空间时应采用的文件系统格式是(3),为Web服务器分配存储空间应采用的文件系统格式是(4)。
问题:2.2 该企业采用RAID5方式进行数据冗余备份。请从存储效率和存储速率两个方面比较RAID1和RAID5两种存储方式,并简要说明采用RAID5存储方式的原因。
问题:2.3 网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断:
1.通过网管机,利用(5)登录到邮件服务器,发现邮件服务正常,但是连接时断时续。
2.使用(6)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器区汇聚交换机S1,发现连接邮件服务器的端口数据流量异常,收发包量很大。
3.根据以上情况,邮件服务器的可能故障为(7),应采用(8)的办法处理上述故障。
5.[说明]
某单位由于业务要求,在六层的大楼内同时部署有线和无线网络,楼外停车场部署无线网络。网络拓扑如图1-1 所示。
[问题1](8分)
1.该网络规划中,相较于以旁路方式部署,将AC直连部署存在的问题是 (1) 相较于部署在核心层,将AC部署在接入层存在的问题是 (2) 。
2.在不增加网络设备的情况下,防止外网用户对本网络进行攻击,隐藏内部网NAT策略通常配置在(3)。
3.某用户通过手机连接该网络的WIFI信号,使用WEB页面进行认证后上网,无线网络使用的认证方式是(4)认证。
[问题2] (8分)
1.若停车场需要部署3个相邻的AP,在进行2.4GHz频段规划时,为避免可以采用的信道是(5) 。
2.若在大楼内相邻的办公室共用1台AP会造成信号衰减,造成信号衰减的是(6) 。
3.在网络规划中,对AP供电方式可以采取(7) 供电或DC电源适配器供电。
4.不考虑其他因素的情况下,若室内AP区域信号场强>-60dBm,停车场AP区域的场强>-70dBm,则用户在区域的上网体验好 (8) 。
[问题3](4分)
在结构化布线系统中,核心交换机到楼层交换机的布线通常称为(9),拟采用50/125微米多模光纤进行互连,使用1000Base-SE以太网标准,传输的最大距离约是(10)米。
某单位由于业务要求,在六层的大楼内同时部署有线和无线网络,楼外停车场部署无线网络。网络拓扑如图1-1 所示。
[问题1](8分)
1.该网络规划中,相较于以旁路方式部署,将AC直连部署存在的问题是 (1) 相较于部署在核心层,将AC部署在接入层存在的问题是 (2) 。
2.在不增加网络设备的情况下,防止外网用户对本网络进行攻击,隐藏内部网NAT策略通常配置在(3)。
3.某用户通过手机连接该网络的WIFI信号,使用WEB页面进行认证后上网,无线网络使用的认证方式是(4)认证。
[问题2] (8分)
1.若停车场需要部署3个相邻的AP,在进行2.4GHz频段规划时,为避免可以采用的信道是(5) 。
2.若在大楼内相邻的办公室共用1台AP会造成信号衰减,造成信号衰减的是(6) 。
3.在网络规划中,对AP供电方式可以采取(7) 供电或DC电源适配器供电。
4.不考虑其他因素的情况下,若室内AP区域信号场强>-60dBm,停车场AP区域的场强>-70dBm,则用户在区域的上网体验好 (8) 。
[问题3](4分)
在结构化布线系统中,核心交换机到楼层交换机的布线通常称为(9),拟采用50/125微米多模光纤进行互连,使用1000Base-SE以太网标准,传输的最大距离约是(10)米。
最新推荐
相关试卷
