网络工程师案例分析

1 13 2 强化练习强化练习 以下列举了历年网络工程师考试中出题频率较高的试题类型 分别是涉及到网络系统分析与设计类 应用服 务器 网络设备配置 路由器 交换机 网络安全等考点 试题一 共试题一 共 15 分 分 阅读以下说明 回答问题 1 至问题 3 将解答填入答题纸对应的解答栏内 说明说明 某校园无线网络拓扑结构如图 13 1 所示 图图 13 1 该网络中无线网络的部分需求如下 1 学校操场要求部署 AP 该操场区域不能提供外接电源 2 学校图书馆报告厅要求高带宽 多接入点 3 无线网络接入要求有必要的安全性 问题问题 1 4 分 分 根据学校无线网络的需求和拓扑图可以判断 连接学校操场无线 AP 的是 1 交换机 它可以通过交换机的 2 口为 AP 提供直流电 问题问题 2 6 分 分 1 根据需求在图书馆报告厅安装无线 AP 如果采用符合 IEEE 802 11b 规范的 AP 理论上可以提供 3 Mb s 的传 输速率 如果采用符合 IEEE 802 11g 规范的 AP 理论上可以提供最高 4 Mb s 的传输速率 如果采用符合 5 规 范的 AP 由于将 MIMO 技术和 6 调制技术结合在一起 理论上最高可以提供 600Mbps 的传输速率 5 备选答案 A IEEE 802 11a B IEEE 802 11e C IEEE 802 11i D IEEE 802 11n 6 备选答案 A BFSK B QAM C OFDM D MFSK 2 图书馆报告厅需要部署 10 台无线 AP 在配置过程中发现信号相互干扰严重 这时应调整无线 AP 的 7 设 置 用户在该报告厅内应选择 8 接入不同的无线 AP 7 8 备选答案 A 频道 B 功率 C 加密模式 D 操作模式 E SSID 问题问题 3 5 分 分 若在学校内一个专项实验室配置无线 AP 为了保证只允许实验室的 PC 机接入该无线 AP 可以在该无线 AP 上设 置不广播 9 对客户端的 10 地址进行过滤 同时为保证安全性 应采用加密措施 无线网络加密主要有三 种方式 11 WPA WPA2 WPA PSK WPA2 PSK 在这三种模式中 安全性最好的是 12 其加密过程采用了 TKIP 和 13 算法 13 备选答案 A AES B DES C IDEA D RSA 试题二 共试题二 共 15 分 分 阅读下列说明 回答问题 1 至问题 5 将解答填入答题纸对应的解答栏内 说明说明 网络拓扑结构如图 13 2 所示 2 图图 13 2 问题问题 1 4 分 分 网络 A 的 WWW 服务器上建立了一个 Web 站点 对应的域名是 www abc edu DNS 服务 器 1 上安装 Windows Server 2003 操作系统并启用 DNS 服务 为了解析 WWW 服务器的域名 在图 13 3 所示的对 话框中 新建一个区域的名称是 1 在图 13 4 所示的对话框中 添加的对应的主机 名称 为 2 图图 13 3 图图 13 4 问题问题 2 3 分 分 3 在 DNS 系统中反向查询 Reverse Query 的功能是 3 为了实现网络 A 中 WWW 服务器的反向查询 在图 13 5 和 13 6 中进行配置 其中网络 ID 应填写为 4 主机名应填写为 5 图图 13 5 图图 13 6 问题问题 3 3 分 分 DNS 服务器 1 负责本网络区域的域名解析 对于非本网络的域名 可以通过设置 转发器 将自己无法解析的 名称转到网络 C 中的 DNS 服务器 2 进行解析 设置步骤 首先在 DNS 管理器 中选中 DNS 服务器 单击鼠标右键 选择 属性 对话框中的 转发器 选项卡 在弹出的如图 13 7 所示的对话框中应如何配置 图图 13 7 问题问题 4 2 分 分 4 网络 C 的 Windows Server 2003 Server 服务器上配置了 DNS 服务 在该服务器上两次使用 nslookup 命令得到的结果如图 13 8 所示 由结果可知 该 DNS 服务器 6 图图 13 8 6 的备选答案 A 启用了循环功能 B 停用了循环功能 C 停用了递归功能 D 启用了递归功能 问题问题 5 3 分 分 在网络 B 中 除 PC5 计算机以外 其它的计算机都能访问网络 A 的 WWW 服务器 而 PC5 计算机与网络 B 内 部的其它 PC 机器都是连通的 分别在 PC5 和 PC6 上执行命令 ipconfig 结果信息如图 13 9 和图 13 10 所示 图图 13 9 图图 13 10 请问 PC5 的故障原因是什么如何解决 试题三 共试题三 共 15 分 分 阅读以下说明 回答问题 1 至问题 4 将解答填入答题纸对应的解答栏内 说明说明 某公司总部和分支机构的网络配置如图 13 11 所示 在路由器 R1 和 R2 上配置 IPSec 安全策略 实现分支机构和总部的安全通信 5 图图 13 11 问题问题 1 4 分 分 图 13 12 中 a b c d 为不同类型 IPSec 数据包的示意图 其中 1 和 2 工作在隧道模式 3 和 4 支持报文加密 图图 13 12 问题问题 2 4 分分 下面的命令在路由器 R1 中建立 IKE 策略 请补充完成命令或说明命令的含义 R1 config crypto isakmp policy 110 进入 ISAKMP 配置模式 R1 config isakmp encryption des 5 R1 config isakmp 6 采用 MD5 散列算法 R1 config isakmp authentication pre share 7 R1 config isakmp group 1 R1 config isakmp lifetime 8 安全关联生存期为 1 天 问题问题 3 4 分 分 R2 与 R1 之间采用预共享密钥 12345678 建立 IPSec 安全关联 请完成下面配置命令 R1 config crypt isakmp key 12345678 address 9 R2 config crypt isakmp key 12345678 address 10 问题问题 4 3 分 分 完成以下 ACL 配置 实现总部主机 10 0 1 3 和分支机构主机 10 0 2 3 的通信 R1 config access list 110 permit ip host 11 host 12 R2 config access list 110 permit ip host 13 host 10 0 1 3 试题四 共试题四 共 15 分 分 阅读以下说明 回答问题 1 至问题 4 将解答填入答题纸对应的解答栏内 说明 某公司通过 PIX 防火墙接入 Internet 网络拓扑如图 13 13 所示 6 图图 13 13 在防火墙上利用 show 命令杳询当前配置信息如下 PIX show config nameif eth0 outside security0 nameif eth l inside security100 nameif eth2 dmz security40 fixup protocol ftp 21 1 fixup protocol http 80 ip address outside 61 144 51 42 255 255 255 248 ip address inside 192 168 0 1 255 255 255 0 ip address dmz 10 10 0 1 255 255 255 0 global outside 1 61 144 51 46 nat inside 1 0 0 0 0 0 0 0 000 route outside 0 0 0 0 0 0 0 0 61 144 51 45 1 2 问题问题 1 4 分 分 解释 1 2 处画线语句的含义 问题问题 2 6 分 分 根据配置信息 填写表 13 1 表表 13 1 问题问题 3 2 分 分 根据所显示的配置信息 由 inside 域发往 Internet 的 IP 分组 在到达路由器 R1 时的源 IP 地址是 7 问题问题 4 3 分 分 如果需要在 dmz 域的服务器 IP 地址为 10 10 0 100 对 Internet 用户提供 Web 服务 对外公开 IP 地址为 61 144 51 43 请补充完成下列配置命令 PIX config static dmz outside 8 9 PIX config conduitpermittcphost 10 eqwwwany 试题五 共试题五 共 15 分 分 7 阅读以下说明 回答问题 1 至问题 3 将解答填入答题纸对应的解答栏内 说明 在大型网络中 通常采用 DHCP 完成基本网络配置会更有效率 问题问题 1 1 分 分 在 Linux 系统中 DHCP 服务默认的配置文件为 1 1 备选答案 A etc dhcpd conf B etc dhcpd config C etc dhcp conf D etc dhcp config 问题问题 2 共 共 4 分 分 管理员可以在命令行通过 2 命令启动 DHCP 服务 通过 3 命令停止 DHCP 服务 2 3 备选答案 A service dhcpd start B service dhcpd up C service dhcpd stop D service dhcpd down 问题问题 3 10 分 分 在 Linux 系统中配置 DHCP 服务器 该服务器配置文件的部分内容如下 subnet 192 168 1 0 netmask 255 255 255 0 option routers 192 168 1 254 option subnet mask 255 255 255 0 option broadcast address 192 168 1 255 option domain name servers 192 168 1 3 range 192 168 1 100 192 168 1 200 default lease time 21600 max lease time 43200 host webserver hardware ethernet 52 54 AB 34 5B 09 fixed address 192 168 1 100 在主机 webserver 上运行 ifconfig 命令时显示如图 13 14 所示 根据 DHCP 配置 填写空格中缺少的内容 图图 13 14 ifconfig 命令运行结果命令运行结果 该网段的网关 IP 地址为 7 域名服务器 IP 地址为 8 试题一分析试题一分析 问题问题 1 解析 解析 根据学校无线网络的需求在学校操场要求部署 AP 该操场区域不能提供外接电源 由此可以判断连接学校操场 无线 AP 的是 POE Power over Ethernet 交换机 是一种可以在以太网 中通过双绞线 来为连接设备提供电源的技术 它可以通过交换机的以太口为 AP 提供直 流电 8 问题 2 解析 IEEE802 11 先后提出了以下多个标准 最早的 802 11 标准只能够达到 1 2Mbps 的速度 在制订更高速度的标 准时 就产生了 802 11a 和 802 11b 两个分支 后来又推出了 802 11g 的新标准 如表 13 2 所示 表表 13 2 无线局域网标准无线局域网标准 注 ISM 是指可用于工业 科学 医疗领域的频段 U NII 是 a 指用于构建国家信息基础的无限制频段 图书馆报告厅需要部署 10 台无线 AP 在配置过程中发现信号相互干扰严重 这时应调整无线 AP 的频道设置 用户在该报告厅内应选择 SSID 接入不同的无线 AP 其中 SSID 为用来标识不同的无线网络信号 如图 13 15 所示 图图 13 15 问题 3 解析 若在学校内一个专项实验室配置无线 AP 为了保证只允许实验室的 PC 机接入该无线 AP 可以在该无线 AP 上设 置不广播 SSID 通常无线 AP 默认开启 SSID 广播 在其覆盖范围内 所有具备无线网卡的计算机都可以查看并连接 到该网络 如将其 SSID 广播禁用 则只有知道正确 SSID 的计算机才能连接至该无线网络 这样可达到安全限制的 目的 同时对客户端的 MAC 地址进行过滤 如图 13 16 所示 图图 13 16 单击 添加新条目 如图 13 17 9 图图 13 17 无线网络加密主要有三种方式 WEP WPA WPA2 WPA PSK WPA2 PSK 在这三种模式中 安全性最好的是 WPA PSK WPA2 PSK 其加密过程采用了 TKIP 和 AES 算法 如图 13 18 所示 图图 13 18 其中 WEP 加密是无线加密中最早使用的加密技术 也是目前最常用的 大部分网卡都支持该种加密 但是后 来发现 WEP 是很不安全的 802 11 组织开 始着手制定新的安全标准 也就是后来的 802 11i 协议 IEEE 802 11i 规 定使用 802 1x 认证和密钥管理方式 在数据加密方面 定义了 TKIP Temporal Key Integrity Protocol CCMP Counter Mode CBC MAC Protocol 和 WRAP Wireless Robust Authenticated Protocol 三种加密机制 其中 TKIP 采用 WEP 机制里的 RC4 作为核心加密算法 可以通过在现有的设备上升级固件和驱动程序的方法达到提高 WLAN 安全的目的 CCMP 机制基于 AES 加密算法和 CCM Counter Mode CBC MAC 认证方式 使得 WLAN 的安 全程度大大提高 是实现 RSN 的强制性要求 由于 AES 对硬件要求比较高 因此 CCMP 无法通过在现有设备的 基础上进行升级实现 WRAP 机制基于 AES 加密算法和 OCB Offset Codebook 是一种可选的加密机制 试题一参考答案试题一参考答案 问题 1 4 分 1 PoE 或者 802 3af 2 以太或者 Ethernet 问题 2 6 分 3 11 4 54 5 D 6 C 7 A 8 E 问题 3 5 分 9 SSID 10 MAC 11 WEP 12 WPA PSK WPA2 PSK 13 A 试题二分析试题二分析 问题 1 解析 本题考查的为 Windows 2003 平台下 DNS 服务器的配置 Windows 2003 中新建区域 是为 了让域名能和指定的 IP 地址建立起对应关系 这个时候应该填写其根域名 因此 1 应该填写 abc edu 根据问题 1 的要求 要能够正确解析本地 Web 站点的域名 因此图 13 4 中添加的主机的名称即空 2 应该为 www 问题 2 解析 DNS 的反向查询就是用户用 IP 地址查询对应的域名 在图 13 5 的网络 ID 中 要以 DNS 服 务器所使用的 IP 地址前三个部分来设置反向搜索区域 图 13 2 中 网络 A 中的 DNS 服务器的 IP 地址是 210 43 16 4 则取用前三个部分就是 210 43 16 因此 4 填入 210 43 16 而主机名填写相应的域名即可 即 www abc edu 10 问题 3 解析 DNS 服务器 1 负责本网络区域的域名解析 对于非本网络的域名 可以通过设置 转发器 将自己无法解析的名称转到网络 C 中的 DNS 服务器 2 进行解析 设置步骤 首先在 DNS 管理器 中选中 DNS 服务 器 单击鼠标右键 选择 属性 对话框中的 转发器 选项卡 在选项卡中选中 启用转发器 在 IP 地址栏输入 51 202 22 18 单击 添加 按钮 然后单击 确定 按钮关闭对话框 问题 4 解析 如图 13 8 所示 如 对应于多个 IP 地址时 DNS 每次解 析的顺序都不同 则表示其启用了循环功能 问题 5 解析 由网络拓扑图可知 PC5 和 PC6 属于同一网段 导致 PC5 不能正确访问 WWW 服务器的原因在 于的默认网关配置错误 导致数据包到达不了正确的网关 将默认网关 IP 地址修改为正确网关地址 192 168 0 3 即可 试题二参考答案试题二参考答案 问题 1 5 分 1 abc edu 2 www 问题 2 3 分 3 用 IP 地址查询对应的域名 4 210 43 16 5 www abc edu 问题 3 3 分 选中 启用转发器 在 IP 地址栏输入 51 202 22 18 单击 添加 按钮 然后单击 确定 按钮 关闭对话框 问题 4 2 分 6 A 或 启用了循环功能 问题 5 3 分 PC5 的默认网关配置错误 2 分 将默认网关 IP 地址修改为 192 168 0 3 试题三分析试题三分析 问题 1 解析 IPSec 有隧道和传送两种工作方式 在隧道方式中 用户的整个 IP 数据包被用来计算 ESP 头 且被加密 ESP 头和加密用户数据被封装在一个新的 IP 数据包中 在传送方式中 只是传输层 如 TCP UDP ICMP 数据被用 来计算 ESP 头 ESP 头和被加密的传输层数据被放置在原 IP 包头后面 当 IPSec 通信的一端为安全网关时 必须采 用隧道方式 IPsec 使用两种协议来提供通信安全 身份验证报头 AH 和封装式安全措施负载 ESP 身份验证报头 AH 可对整个数据包 IP 报头与数据包中的数据负载 提供身份验证 完整性与抗重播保护 但是它不提供保密性 即它不对数据进行加密 数据可以读取 但是禁止修改 封装式安全措施负载 ESP 不仅为 IP 负载提供身份验证 完整性和抗重播保护 还提供机密性 传输模式中 的 ESP 不对整个数据包进行签名 只对 IP 负载 而不对 IP 报头 进行保护 ESP 可以独立使用 也可与 AH 组合 使用 问题 2 解析 VPN 的基本配置 配置信息描述 一端服务器的网络子网为 10 0 1 0 24 路由器为 172 30 1 2 另一端服务器为 10 0 2 0 24 路由器为 172 30 2 2 主要步骤 1 确定一个预先共享的密钥 保密密码 以下例子保密密码假设为 testpwd 2 为 SA 协商过程配置 IKE 3 配置 IPSec 1 配置 IKE CsaiR config crypto isakmp policy 1 policy 1 表示策略 1 假如想多配几 VPN 可以写成 policy 2 policy 3 CsaiR config isakmp group 1 group 命令有两个参数值 1 和 2 参数值 1 表示密钥使用 768 位密钥 参 数值 2 表示密钥使用 1024 位密钥 显然后一种密钥安全性高 但消耗更多的 CPU 时间 在通信比较少时 最好使 用 group 1 长度的密钥 CsaiR config isakmp authentication pre share 告诉路由器要使用预先共享的密码 CsaiR config isakmp lifetime 3600 对生成新 SA 的周期进行调整 这个值以秒为单位 默认值为 86400 24 小时 值得注意的是两端的路由器都要设置相同的 SA 周期 否则 VPN 在正常初始化之后 将会在较 短的一个 SA 周期到达中断 CsaiR config crypto isakmp key test address 200 20 25 1 返回到全局设置模式确定要使用的预先共享密 钥和指归 VPN 另一端路由器 IP 地址 即目的路由器 IP 地址 相应地在另一端路由器配置也和以上命令类似 只不 11 过把 IP 地址改成 100 10 15 1 2 配置 IPSec CsaiR config access list 130 permit ip 192 168 1 0 0 0 0 255 172 16 10 0 0 0 0 255 在这里使用的访问列表 号不能与任何过滤访问列表相同 应该使用不同的访问列表号来标识 VPN 规则 CsaiR config crypto ipsec transform set vpn1 ah md5 hmac esp des esp md5 hmac 这里在两端路由器唯 一不同的参数是 vpn1 这是为这种选项组合所定义的名称 在两端的路由器上 这个名称可以相同 也可以不同 以上命令是定义所使用的 IPSec 参数 为了加强安全性 要启动验证报头 由于两个网络都使用私有地址空间 需 要通过隧道传输数据 因此还要使用安全封装协议 最后 还要定义 DES 作为保密密码钥加密算法 CsaiR config crypto map shortsec 60 ipsec isakmp Map 优先级 取值范围 1 65535 值越小 优先级越高 参数 shortsec 是我们给这个配置定义的名称 稍后可以将它与路由器的外部接口建立关联 CsaiR config crypto map set peer 200 20 25 1 这是标识对方路由器的合法 IP 地址 在远程路由器上也 要输入类似命令 只是对方路由器地址应该是 100 10 15 1 CsaiR config crypto map set transform set vpn1 CsaiR config crypto map match address 130 这两个命令分别标识用于 VPN 连接的传输设置和访问列表 CsaiR config interface s0 CsaiR config if crypto map shortsec 将刚才定义的密码图应用到路由器的外部接口 最后一步保存运行配置 最后测试这个 VPN 的连接 并且确保通信是按照预期规划进行的 问题 3 解析 详见问题 2 解析 问题 4 解析 详见问题 2 解析 试题三参考答案试题三参考答案 问题 1 4 分 各 1 分 1 2 c d 顺序可交换 3 4 b d 顺序可交换 问题 2 4 分 各 1 分 5 加密算法为 DES 6 hash md5 7 认证采用预共享密钥 8 86400 问题 3 4 分 各 2 分 9 172 30 2 2 10 172 30 1 2 问题 4 3 分 各 1 分 11 10 0 1 3 12 10 0 2 3 13 10 0 2 3 试题四分析试题四分析 问题 1 解析 fixup 命令作用是启用 禁止 改变一个服务或协议通过 pix 防火墙 由 fixup 命令指定的端口是 PIX 防火墙要 侦听的服务 见下面例子 例 Pix525 config fixup protocol ftp 21 启用 FTP 协议 并指定 FTP 的端口号为 21 设置指向内网和外网的静态路由采用 route 命令 定义一条静态路由 route 命令配置语法 route if name 0 0 gateway ip metric 其中参数解释如下 if name 表示接口名字 例如 inside outside Gateway ip 表示网关路由器的 ip 地址 metric 表示到 gateway ip 的跳数 通常缺省是 1 例 Pix525 config route outside 0 0 61 144 51 168 1 设置 eth0 口的默认路由 指向 61 144 51 168 且跳步数为 1 问题 2 解析 防火墙通常具有一般有 3 个接口 使用防火墙时 就至少产生了 3 个网络 描述如下 内部区域 内网 内部区域通常就是指企业内部网络或者是企业内部网络的一部分 它是互连网络的信任区 域 即受到了防火墙的保护 12 外部区域 外网 外部区域通常指 Internet 或者非企业内部网络 它是互连网络中不被信任的区域 当外部 区域想要访问内部区域的主机和服务 通过防火墙 就可以实现有限制的访问 非军事区 DMZ 又称停火区 是一个隔离的网络 或几个网络 位于区域内的主机或服务器被称为堡垒主机 一般在非军事区内可以放置 Web Mail 服务器等 停火区对于外部用户通常是可以访问的 这种方式让外部用户 可以访问企业的公开信息 但却不允许它们访问企业内部网络 由配置信息 ip address outside 61 144 51 42 255 255 255 248 ip address inside 192 168 0 1 255 255 255 0 ip address dmz 10 10 0 1 255 255 255 0 可知 eth1 的 IP 地址为 192 168 0 1 eth0 的 IP 地址为 61 144 51 42 子网掩码为 255 255 255 248 dmz 接口的名称 为 eth2 IP 地址为 10 10 0 1 问题 3 解析 Global 命令把内网的 IP 地址翻译成外网的 IP 地址或一段地址范围 Global 命令的配置语法 global if name nat id ip address ip address netmark global mask 其中参数解释如下 if name 表示外网接口名字 例如 outside Nat id 用来标识全局地址池 使它与其相应的 nat 命令相匹配 ip address ip address 表示翻译后的单个 ip 地址或一段 ip 地址范围 netmark global mask 表示全局 ip 地址的网络掩码 由配置命令 global outside 1 61 144 51 46 nat inside 1 0 0 0 0 0 0 0 000 可以看出由 inside 域发往 Internet 的 IP 分组 在到达路由器 R1 时的源 IP 地址是 61 144 51 46 问题 4 解析 配置静态 IP 地址翻译 static 如果从外网发起一个会话 会话的目的地址是一个内网的 ip 地址 static 就把内部地址翻译成一个指定的全局 地址 允许这个会话建立 static 命令配置语法 static internal if nameexternal if name outside ip address inside ip address 其中参数解释如下 internal if name 表示内部网络接口 安全级别较高 如 inside external if name 为外部网络接口 安全级别较低 如 outside 等 outside ip address 为正在访问的较低安全级别的接口上的 ip 地址 inside ip address 为内部网络的本地 ip 地址 例 Pix525 config static inside outside 61 144 51 62 192 168 0 8 表示 IP 地址为 192 168 0 8 的主机 对于通过 PIX 防火墙建立的每个会话 都被翻译成 61 144 51 62 这个全局 地址 也可以理解成 static 命令创建了内部 IP 地址 192 168 0 8 和外部 ip 地址 61 144 51 62 之间的静态映射 管道命令 conduit 用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口 例如允许从外 部到 DMZ 或内部接口的入方向的会话 对于向内部接口的连接 static 和 conduit 命令将一起使用 来指定会话的 建立 conduit 命令配置语法 conduit permit deny global ip port port protocol foreign ip netmask 参数说明 permit deny 允许 拒绝访问 global ip 指的是先前由 global 或