2015年上半年（下午）《网络工程师》案例分析真题

试卷预览

1 问答题 1分

某企业的网络拓扑结构如图4-1所示。

图4-1

由于该企业路由设备数量较少，为提高路由效率，要求为该企业构建基于静态路由的多层安全交换网络。根据要求创建4个VLAN分别属于网管中心、生产部、销售部以及研发中心，各部门的VLAN号及IP地址规划如图4-1所示。该企业网采用三层交换机Switch-core为核心交换机，Switch-core与网管中心交换机Switch1和研发中心交换机Switch4采用三层连接，Switch-core与生产部交换机Switch2及销售部交换机Switch3采用二层互联。

各交换机之间的连接以及接口IP地址如表4-1所示。

【问题1】(4分)

随着企业网络的不断发展，研发中心的上网计算机数急剧增加，在高峰时段研发中心和核心交换机之间的网络流量非常大，在不对网络进行大的升级改造的前提下，网管人员采用了以太信道（或端口聚合）技术来增加带宽，同时也起到了(1)和(2)的作用，保证了研发中心网络的稳定性和安全性。

在两台交换机之间是否形成以太信道，可以用协议自动协商。目前有两种协商协议：一种是(3)，是Cisco私有的协议；另一种是(4)，是基于IEEE 802.3ad标准的协议。

(3)、(4)备选答案：

A．端口聚合协议(PAgP)

B．多生成树协议(MSTP)

C．链路聚合控制协议(LACP)

【问题2】(7分)

核心交换机Switch-core与网管中心交换机Switchl通过静态路由进行连接。根据需求，完成或解释Switch-core与Switchl的部分配置命令。

(1)配置核心交换机Switch-core

Switch-core#config terminal

Switch-core(config)#interface gigabitEthemet 0/2

Switch-core(config-if)#descnption wgsw-g0/1//(5)

Switch-core(config-if)#no switchport//(6)

Switch-core(config-if)#ip address(7)

Switch-core(config-if)#no shutdown

Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.101.2

Switch-core(config)#exit

…

(2)配置网管中心交换机Switchl

Switchl#config terminal

Switchl(config)#no ip domain lookup//(8)

Switchl(config)#interface gigabitEthemet 0/1

Switchl(config-if)#description core-g0/2

Switchl(config-if)#no switchport

Switchl(config-if)#ip address(9)

Switchl(config-if)#exit

Switchl(config)#vlan 10

Switchl(config-vlan)#name wgl0

Switchl(config-vlan)#exit

Switchl(config)#interface vlan 10//创建VLAN10

Switchl(config-if)#ip address(10)

Switchl(config-if)#exit

Switchl(config)#interface range f0/2-20

Switchl(config-if-range)#switchport mode access//设置端口模为access模式

Switchl(config-if-range)#switchport access(11)//设置端口所属的VLAN

Switchl(config-if-range)#no shutdown

Switchl(config-if-range)#exit

Switchl(config)#ip route 192.168.20.0 255.255.255.0 192.168.101.1

Switchl(config)#ip route 192.168.30.0 255.255.255.0 192.168.101.1

…

【问题3]（7分）

为确保研发中心网络的稳定性，在现有条件下尽量保证带宽，要求实现核心交换机Switch-core与砑发中心交换机Switch4的三层端口聚合，然后通过静态路由进行连接。根据需求，完成或解释以下配置命令。

(1)继续配置核心交换机Switch-core

Switch-core#config terminal

Switch-core(config)#interface port-channel 10//(12)

Switch-core(config-if)#no switchport

Switch-core(config-if)#ip address(13)

Switch-core(config-if)#no shutdown

Switch-core(config-if)#exit

Switch-core(config)#interface range fastEthemet0/1-4//选择配置的物理接口

Switch-core(config-if-range)#no switchport

Switch-core(config-if-range)#no ip address//确保该物理接口没有指定的IP地址

Switch-core(config-if-range)#switchport//改变该端口为2层接口

Switch-core(config-if-range)#channel-group 10 mode on//(14)

Switch-core(config-if-range)#no shutdown

Switch-core(config-if-range)#exit

Switch-core(config)#ip route 192.168.40.0 255.255.255.0 192.168.102.2

…

(2)配置研发中心交换机Switch4

Switch4#config terminal

Switch4(config)#interface port-channel 10

Switch4(config-if)#no switchport

Switch4(config-if)#ip address(15)

Sw:itch4(config-if)#no shutdown

Switch4(config-if)#exit

Switch4(config)#interface range fastEthemet0/1-4//选择配置的物理接口

Switch4(config-if-range)#no switchport

Switch4(config-if-range)#no ip address

…

Switch4(config-if-range)#no shutdown

Switch4(config-if-range)#exit

Switch4(config)#(16)//配置默认路由

Switch4(config)#vlan 40

Switch4(config-vlan)#name yfl0

Switch4(config-vlan)#exit

Switch4(config)#(17)//开启该交换机的三层路由功能

Switch4(config)#interface vlan 40

Switch4(config-if)#ip address 192.168.40.1 255.255.255.0

Switch4(config-if)#exit

Switch4(config)#interface range fastEthemet0/5-20

Switch4(config-if-range)#switchport mode access

…

Switch4(config-if-range)#（18）//退回到特权模式

Switch4#

…

【问题4]（2分）

为了保障局域网用户的网络安全，防范欺骗攻击，以生产部交换机Switch2为例，配置DHCP侦听。根据需求完成或解释Switch2的部分配置命令。

Switch2#config terminal

Switch2(config)#ip dhcp snooping//(19)

Switch2(config)#ip dhcp snooping vlan 20

Switch2(config)#interface gigabitEthemetl/l

Switch2(config-if)#ip dhcp snooping trust//(20)

Switch2(config-if)#exit

…

查看答案 开始考试

正确答案：

本题解析：

【问题1】（4分）

（1）负载均衡

（2）冗余备份

（3）A

（4）C

【问题2】（7分）

（5）配置接口描述

（6）设置为路由接口

（7）192.168.101.1 255.255.255.0

（8）禁止DNS查询

（9）192.168.101.2 255.255.255.0

（10）192.168.10.1 255.255.255.0

（11）vlan 10

【问题3】（7分）

（12）进入编号为10的通道接口

（13）192.168.102.1 255.255.255.0

（14）配置通道组10的模式为启用

（15）192.168.102.2 255.255.255.0

（16）ip route 0.0.0.0 0.0.0.0 192.168.102.1

（17）ip routing

（18）end

【问题4】（2分）

（19）启用DHCP监听功能

（20）设置端口为信任端口

【问题1】(4分)

以太通道可以增加带宽，同时也可以起到负载均衡和冗余备份的作用。

Cisco的以太通道的协议是PAgP，IEEE 802.3ad的以太通道协议是LACP。

【问题2】(7分)

Switch-core(config)#interface gigabitEthemet 0/2

Switch-core(config-if)#descnption wgsw-g0/1//配置端口描述

Switch-core(config-if)#no switchport//设置为路由（三层）接口

Switchl(config)#no ip domain lookup//禁止DNS查询

Switchl(config-if)#description core-g0/2

Switchl(config-if)#no switchport

Switchl(config-if)#ip address 192.168.101.2 255.255.255.0//通过表中可得出Switch1的g0/2的IP地址。

Switchl(config)#interface vlan 10//创建VLAN10

Switchl(config-if)#ip address 192.168.10.1 255.255.255.0//通过图中网管主机的网关地址可得出。

Switchl(config)#interface range f0/2-20

Switchl(config-if-range)#switchport mode access//设置端口模为access模式

Switchl(config-if-range)#switchport access?vlan 10//设置端口所属的VLAN

【问题3】（7分）

Switch-core#config terminal

Switch-core(config)#interface port-channel 10//进入编号为10的以太网通道接口

Switch-core(config-if)#no switchport

Switch-core(config-if)#ip address 192.168.102.1 255.255.255.1//通过表得出IP地址

Switch-core(config-if)#no shutdown

Switch4(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2.1//配置默认路由

Switch4(config)#ip routing//开启该交换机的三层路由功能

Switch4(config-if-range)#end//退回到特权模式

【问题4】（2分）

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。

当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

Switch2#config terminal

Switch2(config)#ip dhcp snooping//开启dhcp监听

Switch2(config)#ip dhcp snooping vlan 20

Switch2(config)#interface gigabitEthemetl/l

Switch2(config-if)#ip dhcp snooping trust//设置端口为信任端口

Switch2(config-if)#exit

2 问答题 1分

某企业在采用Windows Server 2003配置了共享打印、FTP和DHCP服务。

【问题1】（8分）

1．Internet共享打印使用的协议是(1)。（1分）

(1)备选答案：

A．PPI B．IPP C．TCP D．IP

2．Internet共享打印配置完成后，需在如图3-1所示的Web服务扩展选项卡中将“Active Server Pages”设置为“允许”，其目的是(2)。（2分）

图3-1

3．检验Internet打印服务是否安装正确的方法是在Web浏览器的地址栏输入URL是(3)。（2分）

(3)备选答案：

A．HTTP://127.0.0.1/PRINTERS

B．FTP://127.0.0.1/PRINTERS

C．HTTP://PRINTERS

D．FTP://PRINTERS

4．使用Intemet共享打印流程为6个步骤：

①在终端上输入打印设备的URL

②服务器向用户显示打印机状态信息

③客户端向打印服务器发送身份验证信息

④用户把要打印的文件发送到打印服务器

⑤打印服务器生成一个cabinet文件，下载到客户端

（6）通过Intemet把HTTP请求发送到打印服务器

对以上步骤进行正确的排序(4)。（3分）

【问题2】(8分)

FTP的配置如图3-2、图3-3所示。

1．默认情况下，用户登录FTP服务器时，服务器端建立的TCP端口号为(5)。

2．如果只允许一台主机访问FTP服务器，参考图3-2给出具体的操作步骤(6)。

3．参考图3-3，在一台服务器上搭建多个FTP站点的方法是(7)。

4．如点击图3-3中“当前会话”按钮，显示的信息是（8）。

【问题3】(4分)

DHCP的配置如图3-4和3-5所示。

1．图3-4中填入的IP地址是（9）。

2．图3-5中配置DHCP中继代理程序，可以实现(10)。

(9)备选答案：

A．分配给客户端的IP地址

B．默认网关的IP地址

C．DHCP服务器的IP地址

(10)备选答案：

A．使普通客户机获取IP等信息

B．跨网段的地址分配

C．特定用户组访问特定网络

查看答案 开始考试

正确答案：

本题解析：

【问题1】（8分）

（1）B

（2）允许Internet打印服务的ASP脚本

（3）A

（4）1-6-3-2-5-4

【问题2】（8分）

（5）21

（6）选择“拒绝访问”，添加允许计算机的IP地址

（7）不同的IP或相同的IP，不同的端口

（8）连接的客户端会话信息

【问题3】（4分）

（9）B

（10）B

【问题1】（8分）

IPP（Internet打印协议）侦听服务提供了一个IPP网络协议服务，该服务为打印客户机系统提供一种与运行侦听程序的系统上的打印服务进行交互的方法。此侦听程序实现了服务器端IPP协议支持，其中包括一组广泛的标准操作和属性。

开启Active Server Pages服务扩展，以便允许服务器运行internet打印服务的ASP脚本文件。

通过WEB访问internet打印服务器的方法为：HTTP://127.0.0.1/PRINTERS。

Internet打印流程如下：

1、用户输入打印设备的URL（统一资源定位符），通过Internet连接到打印服务器。

2.、HTTP请求通过Internet发送到打印服务器。

3.、打印服务器要求客户端提供身份验证信息。这样能够确保只有经过授权的用户才能在打印服务器上打印文件。

4、当用户获得授权可以访问打印服务器后，服务器使用活动服务器页（Active Server Pages，ASP）向用户显示状态信息，其中包括有关当前空闲打印机的信息。

5、当用户连接Internet打印网页上的任何打印机时，客户端计算机首先尝试在本地寻找该打印机的驱动程序。如果没有找到适合的驱动程序，打印服务器将会生成一个cabinet文件（.cab文件，又称为Setup文件），其中包含正确的打印机驱动程序文件。打印服务器把.cab文件下载到客户端计算机上。客户端计算机提示用户允许下载该.cab文件。

6、当用户连接到Internet打印机后，他们可以使用Internet打印协议（Internet Printing Protocol，IPP）把文件发送到打印服务器。

【问题2】(8分)

FTP使用的TCP端口号为21。

目录安全性选项卡中，只允许单台主机访问，可以选中”拒绝所有”，然后添加主机的IP地址。

搭建多个FTP站点的方式是：不同IP地址或相同的IP、不同的端口号。

“当前会话”中，显示了连接到FTP服务器的客户端信息。

【问题3】(4分)

配置DHCP服务器选项时，003路由器设置分配给客户端的网关地址。通过DHCP中继代理，可以实现跨网段的地址分配。

3 问答题 1分

某公司内部搭建了一个小型的局域网，拓扑图如图2-1所示。公司内部拥有主机约120台，用C类地址段192.168.100.0/24。采用一台Linux服务器作为接入服务器，服务器内部局域网接口地址为192.198.100.254，ISP提供的地址为202.202.212.62。

图2-1

【问题1】（2分）

在Linux中，DHCP的配置文件是(1)。

【问题2】（8分）

内部邮件服务器IP地址为192.168.100.253，MAC地址为01:A8:71:8C:9A:BB；内部文件服务器IP地址为192.168.100.252，MAC地址为01:15:71:8C:77:BC。公司内部网络分为4个网段。

为方便管理，公司使用DHCP服务器为客户机动态配置IP地址，下面是Linux服务器为192.168.100.192/26子网配置DHCP的代码，将其补充完整。

Subnet(2)netmask(3)

｛

option routers 192.168.100.254;

option subnet-mask（4）;

option broadcast-address(5)；

option time-offset-18000;

range(6)(7);

default-lease-time 21600;

max-lease-time 43200;

host servers

{

Hardware ethemet(8);

fixed-address 192.168.100.253;

hardware ethemet 01:15:71:8C:77:BC;

fixed-address(9);

｝

｝

【问题3】（2分）

配置代码中“option time-offset-18000”的含义是(10)。“default-lease-time 21600”表明，租约期为(11)小时。

(10)备选答案：

A．将本地时间调整为格林威治时间B．将格林威治时间调整为本地时间C．设置最长租约期

【问题4】（3分）

在一台客户机上使用ipconfig命令输出如图2-2所示，正确的说法是(12)。

此时可使用(13)命令释放当前IP地址，然后使用(14)命令向DHCP服务器重新申请IP地址。

(12)备选答案：

A．本地网卡驱动未成功安装

B．未收到DHCP服务器分配的地址

C．DHCP服务器分配给本机的IP地址为169.254.146.48

D．DHCP服务器的IP地址为169.254.146.48

查看答案 开始考试

正确答案：

本题解析：

【问题1】（2分）

(1)dhcpd.conf

【问题2】（8分）

(2)192.168.100.192

(3)255.255.255.192

(4)255.255.255.192

(5)192.168.100.255

(6)192.168.100.193

(7)192.168.100.253

(8)01:A8:71:8C:9A:BB

(9)192.168.100.252

【问题3】（2分）

(10)A

(11)6

【问题4】（3分）

(12)B

(13)ipconfig/release

(14)ipconfig/renew

【问题1】（2分）

Linux中，DHCP服务器的配置文件是dhcpd.conf，位于/etc目录下。

【问题2】（8分）

Subnet 192.168.100.192?netmask 255.255.255.192//配置DHCP分配IP的子网

｛

option routers 192.168.100.254;//配置网关地址

option subnet-mask 255.255.255.192;//配置子网掩码

option broadcast-address?192.168.100.255；//配置子网的广播地址

option time-offset-18000;

range?192.168.100.193?192.168.100.253;//配置IP地址池，需要将网关地址排除

default-lease-time 21600;//配置默认租约时间，单位为秒

max-lease-time 43200;//配置最大的租约时间。

host servers

{

Hardware ethemet 01:A8:71:8C:9A:BB;//配置保留主机的MAC地址.

fixed-address 192.168.100.253;

hardware ethemet 01:15:71:8C:77:BC;

fixed-address 192.168.100.252;//配置保留主机的IP地址

｝

｝

【问题3】（2分）

option time-offset-18000，配置本地时间和格林威治时间的偏移。也就是将本地时间调整为格林威治时间。

【问题4】（3分）

当DHCP客户端在网络中未找到DHCP服务器时，将会分配APIPA地址，范围为169.254.0.0-169.254.255.255.

ipconfig/release：释放IP，ipconfig/renew：重新申请IP地址或重新更新租约。

4 问答题 1分

某企业网络拓扑图如图1-1所示。

图1-1

工程师给出了该网络的需求：

1．用防火墙实现内外网地址转换和访问控制策略；

2．核心交换机承担数据转发，并且与汇聚层两台交换机实现OSPF功能；

3．接入层到汇聚层采用双链路方式组网；

4．接入层交换机对地址进行VLAN划分；

5．对企业的核心资源加强安全防护。

【问题1】（4分）

该企业计划在①、②或③的位置部署基于网络的入侵检测系统(NIDS)，将NDS部署在①的优势是(1)；将NIDS部署在②的优势是(2)、(3)；将NIDS部署在③的优势是(4)。

(1)～(4)备选答案：

A．检测外部网络攻击的数量和类型

B．监视针对DMZ中系统的攻击

C．监视针对关键系统、服务和资源的攻击

D．能减轻拒绝服务攻击的影响

【问题2】（4分）

OSPF主要用于大型、异构的IP网络中，是对(5)路由的一种实现。若网络规模较小，可以考虑配置静态路由或(6)协议实现路由选择。

(5)备选答案：A．链路状态B．距离矢量C．路径矢量

(6)备选答案：A．EGP B．RIP C．BGP

【问题3】(4分)

对汇聚层两台交换机的F0/3、F0/4端口进行端口聚合，F0/3、F0/4端口默认模式是(7)，进行端口聚合时应配置为(8)模式。

(7)、(8)备选答案：

A．multi B．trunk C．access

【问题4】（6分）

为了在汇聚层交换机上实现虚拟路由冗余功能，需配置(9)协议，可以采用竞争的方式选择主路由设备，比较设备优先级大小，优先级大的为主路由设备。若备份路由设备长时间没有收到主路由设备发送的组播报文，则将自己的状态转为(10)。

为了避免二层广播风暴，需要在接入与汇聚设备上配置(11)。

(10)、(11)备选答案：

A．Master B．Backup C．VTP Server D．MSTP

【问题5】（2分）

阅读汇聚交换机Switch 1的部分配置命令，回答下面的问题。

Switch 1(config)#interface vlan 20

Switch 1(corifig-if)#ip address 192.168.20.253 255.255.255.0

Switch 1(config-if)#standby 2 ip 192.168.20.250

Switch 1(config-if)#standby 2 preempt

Switch 1(config-iD#exit

VLAN20standby默认优先级的值是（12）。

VLAN20设置preempt的含义是(13)。

查看答案 开始考试

正确答案：

本题解析：

【问题1】（4分）

（1）B

（2）A

（3）D

（4）C

【问题2】（4分）

（5）A

（6）B

【问题3】（4分）

（7）C

（8）B

【问题4】（6分）

（9）HSRP

（10）A

（11）D

【问题5】（2分）

（12）100

（13）设置抢占模式

【问题1】（4分）

由图中可知，①位于DMZ区，所以可以监视针对于DM中系统的攻击。②连接外网，所以可以检测外部网络攻击的数据和类型、减轻拒绝服务攻击的影响。③位于内网服务器区域，所以可以监视针对于关键系统、服务和资源的攻击。

【问题2】（4分）

OSPF是属于链路状态路由协议。网络规模小，可采用RIP路由协议，而EGP和BGP属于外部网关路由协议。

【问题3】（4分）

交换机默认端口的模式为接入模式access，对汇聚层交换机进行端口聚合时，一般配置为trunk模式。

【问题4】（6分）

实现路由冗余功能的协议有HSRP和VRRP，HSRP属于Cisco私有协议，而VRRP属于公有协议。当备份路由器长时间没收到主路由器发送的组播报文，则应将自己的状态转为master。避免二层广播风暴的协议为STP。MSTP为多生成树协议。

【问题5】（2分）

Switch 1(config)#interface vlan 20//进入VLAN20虚接口

Switch 1(corifig-if)#ip address 192.168.20.253 255.255.255.0//配置IP地址

Switch 1(config-if)#standby 2 ip 192.168.20.250//配置备份组2的虚拟IP

Switch 1(config-if)#standby 2 preempt//配置抢占功能Switch 1(config-iD#exit

默认优先级为100，取值范围为0-255，值越大，优先级越高。