2005年下半年 网络工程师 下午试卷

2005年下半年网络工程师下午试卷试题一（15分）阅读以下说明，回答问题（1）～（5），将答案填入答题纸对应的解答栏内。【说明】某校园网结构如图C3-1-1所示，采用一个无线网络控制器来自动探测、监控、管理无线AP。图C3-1-1无线校园网解决方案中采用Web＋DHCP方式解决用户接入问题，当用户连上无线接入点，由无线网络控制器为用户自动的分配IP地址，基于Web的认证成功后即可访问Internet。认证过程采用SSL与RADIUS相结合的方式，以防止非法用户的盗用。【问题1】（4分）从表C3-1-1中选择合适的设备，将图C3-1-1中（1）～（4）处空缺设备名称填写在答题纸相应位置（每个设备限选一次）。表C3-1-1答案：（1）AP_2（2）AP_1（3）Switch（4）WNC【问题2】（3分）SSL是一个协议独立的加密方案，在网络信息包的应用层和传输层之间提供了安全的通道。SSL主要包括SSL记录协议、SSL握手协议、SSL告警协议、SSL修改密文协议等，协议栈见图C3-3-2。请根据SSL协议栈结构，将（5）～（7）处空缺的协议名称填写在答题纸的相应位置。图C3-1-2试题分析：SSL实际上是共同工作的两层协议组成。SSL安全协议由SSL记录协议、SSL握手协议、SSL告警协议、SSL修改密文协议组成一个协议族。其中SSL记录协议SSL记录协议接收传输的应用报文，经过分片，进行数据压缩，数据加密和装配等过程的处理，然后交给更高级用户，因此它属于应用程和TCP层之间。而SSL修改密文协议SSL修改密文协议是使用SSL记录协议服务的SSL高层协议的3个特定协议之一，也是其中最简单的一个，为了保障SSL传输过程的安全性，双方应该每隔一段时间改变加密规范。答案：（5）SSL修改密文协议（6）SSL记录协议（7）TCP【问题3】（3分）在SSL和RADIUS相结合的认证方式中，SSL和RADIUS各起什么作用？答案：SSL实现信息传输过程中的信息的加密；RADIUS实现对远端拨入用户的身份验证服务。【问题4】（3分）如果要对整个校园的无线连接方式进行计费，计费软件应基于IP计费还是基于用户帐号计费？简要解释原因。答案：基于用户账号进行计费。因为无线部分采用DHCP方式动态分配IP地址，同一地址不同时间分配给不同用户，因此无法基于IP地址进行收费。【问题5】（2分）某用户的操作系统为WindowsXP，采用无线上网方式。可以通过运行（8）命令进行手工释放IP地址。（从以下命令中进行选择）A．ipconfig/releaseB．netstat-rC．ipconfig/allD．netstat-a答案：（8）A或ipconfig/release试题二（15分）认真阅读以下说明信息，回答问题1－5。将答案填入答题纸对应的解答栏内。【说明】在一个基于TCP/IP协议的网络中，每台主机都有一个IP地址，根据获得IP地址方式的不同，可以分为静态IP和动态IP。例如：用宽带入网，会有一个固定的IP地址，每次连入Internet，你的IP地址都一样；而用拨号上网，每次连入Internet时都能从ISP那里获得一个IP地址且每次所获得的可能不同，这是因为DHCP服务器的存在。在Linux中建立DHCP服务器的配置文件是“dhcpd.conf”,每次启动DHCP服务器都要读取该文件。下面是一个dhcp.conf文件的实例：1default-lease-time1200;2max-lease-time9200;3optionsubnet-mask255.255.255.0;4optionbroadcast-address192.168.1.255;5optionrouter192.168.1.254;6optiondomain-name-serves192.168.1.1,192.168.1.27optiondomain-name“abc.com”8subnet192.168.1.0netmask255.255.255.09{10range192.168.1.20192.168.1.200;11}12hostfixed{13optionhost-name“fixed.abc.com”;14hardwareEthernet00:A0:78:8E:9E:AA;15fixed-address192.168.1.22;16}【问题1】（3分）该DHCP服务器可分配的IP地址有多少个？试题解析：192.168.1.20~192.168.1.200这个范围有181个地址，所以标准答案是181。但由于后面有设置将192.168.1.22这个地址与00:A0:78:8E:9E:AA进行绑定，所以回答180也可以算对。答案：标准答案181个，宽松答案180个。【问题2】（3分）该DHCP服务器指定的默认网关、域名及指定的DNS服务器分别是什么？答案：该DHCP服务器指定的默认网关：192.168.1.254域名是：abc.com指定的DNS服务器是：192.168.1.1和192.168.1.2【问题3】（3分）该配置文件的12－15行实现什么配置功能？图C3-2-1答案：为网卡的MAC地址是“00:A0:78:8E:9E:AA”的客户端主机分配固定IP地址：192.168.1.22。为该客户分配主机域名：“fixed.abc.com”。【问题4】（3分）在Windows操作系统中，DHCP客户端“Internet协议（TCP/IP）属性”配置界面如图C3-2-1所示。在此界面中，客户端应如何配置？答案：在此界面中客户端点选“自动获得IP地址”选项。【问题5】（3分）Windows操作系统下通过什么命令可以知道本地主机当前获得的IP地址？答案：通过命令“ipconfig/all”可以得到客户端TCP/IP当前的详细配置信息（答ipconfig也可）。试题三（15分）阅读以下说明，回答问题1到问题5。将答案填入答题纸对应的解答栏内。【说明】某企业采用Windows2000操作系统部署企业虚拟专用网（VPN），将企业的两个异地网络通过公共Internet安全的互联起来。微软Windows2000操作系统当中对IPSec具备完善的支持，下图给出了基于Windows2000系统部署IPSecVPN的网络结构图。图C3-3-1【问题1】（2分）IPSec是IETE以RFC形式公布的一组安全协议集，它包括AH与ESP两个安全机制，其中（1）不支持保密服务。答案：（1）AH【问题2】（4分）IPSec的密钥管理包括密钥的确定和分发。IpSec支持（2）和（3）两种密钥管理方式。试比较这两种方式的优缺点。答案：（2）自动密钥分配（3）手动密钥分配手动密钥分配的优点是简单，缺点是安全性低【问题3】（4分）如果按照图中所示网络结构配置IPSecVPN，安全机制选择的是ESP，那么IPSec工作在隧道模式。一般情况下，在图中所标注的四个网络接口中，将（4）和（5）配置为公网IP，将（6）和（7）配置为内网IP。答案：（4）NIC2或NIC3（5）NIC3或NIC2，但是和（4）不能相同（6）NIC1或NIC4（7）NIC4或NIC1，但是和（6）不能相同【问题4】（3分）在Internet上捕获并分析两个内部网络经由Internet通信的IP包，在下列三个选项中选择正确选项填写到图3-2中相应空缺处。（a）ESP头（b）封装后的IP包头（c）封装前的IP头图C3-3-2答案：（8）b（9）a（10）c【问题5】（2分）IpSecVPN与L2TPVPN分别工作在OSI/RM的哪个协议层？答案：IPSecVPN工作在第三层（IP层），L2TPVPN工作在第二层（数据链路层）。试题四（15分）请认真阅读下列关于计算机网络防火墙的说明信息，回答问题1－5。将答案填入答题纸对应的解答栏内。【说明】某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图C3-4-1所示。图C3-4-1【问题1】（4分）完成下列命令行，对网络接口进行地址初始化的配置：firewall(config)#ipaddressinside（1）（2）firewall(config)#ipaddressoutside（3）（4）答案：（1）192.168.0.1（2）255.255.255.0（3）202.117.12.37（4）255.255.255.252【问题2】（4分）与路由器一样，防火墙的网络地址转换功能可以实现内部网络共享出口IP地址。根据网络连接示意图4－1提供的网络参数，完成下列命令行的配置内容，以实现整个内部网络段的多个用户共享一个IP地址。firewall(config)#global（outside）（5）netmask（6）firewall(config)＃nat（outside）（7）（8）答案：（5）202.117.12.37（6）255.255.255.252（7）192.168.0.0（8）255.255.255.0【问题3】（2分）如果允许内部任意IP地址都可以转换出去，则：firewall(config)#nat（outside）（9）（10）答案：（9）0.0.0.0（10）0.0.0.0【问题4】（2分）访问控制列表是防火墙实现安全管理的重要手段。完成下列访问控制列表(access-control-list)的配置内容，使内部所有主机不能访问外部IP地址段为202.117.12.0/24的Web服务器。Firewall(config)#access-list100denytcp（11）202.197.12.0255.255.255.0eq（12）答案：（11）any（all也给分）（12）（或80）【问题5】（3分）如果使外部所有主机不能访问内部IP地址为192.168.0.10的FTP服务器，仿照上一个访问控制列表的命令行格式，给出访问控制表的命令行。试题解析：CISCO公司IOS系统ACL命令的格式是这样的：access-listacl_id{deny|permit}protocolsource[source-wildcard]destination[destination-wildcard][operatorport][established]问题4的例子是这样写的：内部所有主机不能访问外部IP地址段为202.117.12.0/24的Web服务器access-list100denytcpany202.197.12.0255.255.255.0eq从这个命令看，它符合source在前，destination的特点，但是没有使用通配符掩码wildcard。如果使用通配符掩码，则应该是access-list100denytcpany202.197.12.00.0.0.255eq所以，问题4的例子使用的不是CISCO的命令格式，可能是其他厂商的格式。其格式有两种可能：一：access-listacl_id{deny|permit}protocolsource[subnet-mask]destination[subnet-mask][operatorport]二：access-listacl_id{deny|permit}protocolinside[subnet-mask]outside[subnet-mask][operatorport]问题5的要求是使外部所有主机不能访问内部IP地址为192.168.0.10的FTP服务器，并仿照上一个访问控制列表的命令行格式，给出访问控制表的命令行。如果按照第一种格式，答案应该是access-list101denytcpany192.168.0.10255.255.255.0eq21（或ftp）如果按照第二种格式，答案应该是access-list101denytcpany192.168.0.100.0.0.255anyeq21（或ftp）标准答案是access-list101denytcp192.168.0