中级网络工程师2014上半年下午试题

中级网络工程师2014上半年下午试题试题一阅读以下说明，根据要求回答下面问题。 说明 某单位计划部署园区网络，该单位总部设在A区，另有两个分部分别设在B区和C区，各个地区之间的距离分布如下图所示。 该单位的主要网络业务需求在A区，网络中心及服务器机房亦部署在A区；B区的网络业务流量需求远大于C区；C区虽然业务量小，但是网络可靠性要求高。根据业务需要，要求三个区的网络能够互联互通并且都能访问互联网。同时基于安全考虑，该单位要求采用一套认证设备进行身份认证和上网行为管理。1、为保障业务需求，该单位采用两家运营商接入Internet。根据题目需求，回答以下问题： 1两家运营商的Internet接入线路应部署在哪个区?为什么? 2网络运营商提供了MPLS VPN和千兆裸光纤两种互联方式，哪一种可靠性高?为什么? 3综合考虑网络需求及运行成本，AB区之间与AC区之间分别采用上述哪种方式进行互联?2、该单位网络部署接入点情况如下表所示。 表1某单位网络部署接入点情况区域汇聚点接入点备注A办公楼124所有区域采用三层局域网结构部署，其中A区采用双核心交换机冗余。所有汇聚点采用单模光纤上联至核心交换机。所有接入交换机采用双绞线上联至汇聚交换机资料室86网管中心78设计中心200生产区115B办公楼106培训中心126宿舍198C办公楼86营销中心54 根据网络部署需求，该单位采购了相应的网络设备，请根据题目说明及表1，确定表2所示的设备数量及合理的部署位置(注：不考虑双绞线的距离限制)。 表2设备数量及其部署位置设备类型设备数量部署区域核心交换机_A区核心交换机1B区核心交换机1C区汇聚交换机5A区汇聚交换机3B区汇聚交换机2C区SFP单模模块5_区SFP单模模块7_区SFP单模模块22_区24口接入交换机_A区24口接入交换机_B区24口接入交换机_C区干兆服务器接入交换机1A区服务器3A区路由器1_区认证及流控设备1A区防火墙1A区3、根据题目要求，在下图的方框中画出该单位的A区网络拓扑示意图(汇聚层以下不画)。试题二阅读以下说明，根据要求回答下面问题。 说明 某公司采用Windows Server 2003操作系统搭建该公司的企业网站，要求用户在浏览器地址栏必须输入/index.html或7/index.html来访问该公司网站。其中，index.html文件存放在网站所在服务器E:gsdata目录中。在服务器上安装完成IIS6.0后，网站的属性窗口网站、主目录选项卡分别如图1和图2所示。 4、按照题目说明，图1中的“IP地址”文本框中的内容应为_；“SSL端口”文本框中的内容应为_。 2在图2中，“本地路径”文本框中的内容应为_；同时要保障用户通过题目要求的方式来访问网站，必须至少勾选_复选框。 A脚本资源访问 B读取 C写入 D目录浏览5、配置该网站时，需要在如图3所示的目录安全性选项卡中单击服务器证书按钮来获取服务器证书。其中获取服务器证书的步骤顺序如下：生成证书请求文件；_；从CA导出证书文件；在IIS服务器上导入并安装证书。 2配置完成后，当用户登录该网站时，通过验证CA的签名来确认该数字证书的有效性，从而_，CA颁发给Web网站的数字证书中不包括_。 空1备选项：A验证网站的真伪 B判断用户的权限 C加密发往服务器的数据 D解密所接受的客户端数据 空2备选项：A证书的有效期 B网站的公钥 C证书的序列号 D网站的私钥6、配置该网站时，在图3所示的窗口中单击安全通信栏目中的编辑按钮，弹出如图所示的窗口。按照题目要求，客户端浏览器只能通过HTTPS方式访问服务器，此时应勾选图4中的_框。如果要求客户端和服务器进行双向认证，此时应该勾选图4中的_。7、HTTPS用于在客户计算机和服务器之间提供安全通信，广泛用于因特网上安全敏感的应用，例如_应用。 HTTPS使用安全套接字层(SSL)进行信息交换。SSL目前的版本是3.0，被IETF定义在RFC6101中。IETF对SSL进行升级后的继任者是_。 A网络聊天 B网络视频 C网上交易 D网络下载8、使用HTTPs能不能确保服务器自身的安全?试题三阅读以下说明，根据要求回答下面问题。 说明 某单位网络拓扑结构如下图所示，在Linux系统下构建DNS服务器、DHCP服务器和Web服务器，要求如下： 1路由器连接各个子网的接口信息如下： 9路由器E0口的IP地址为/25； 10路由器E1口的IP地址为29/25； 11路由器E2口的IP地址为/29； 12路由器E3口的IP地址为3/29。 2子网1和子网2内的客户机通过DHCP服务器动态分配IP地址； 3服务器设置固定IP地址，其中： 9DNS服务器采用BIND构建，IP地址为； 10DHCP服务器IP地址为； 11Web服务器网卡eth0的IP地址为，eth1的IP地址为4。9、请完成上图中Web服务器eth1的配置。 DEVICE=eth1 BOOTPROTO=static ONBOOT=yes HWADDR=08:00:27:24:F8:9B NETMASK=_ IPADDR=_ GATEWAY=_ TYPE=Ethernet NAME=System eth1 IPV6INIT=no10、请完成上图中DNS服务器网卡的配置。 DEVICE=eth0 BOOTPROTO=static ONBOOT=yes HWADDR=08:00:27:21:A1:78 NETMASK=_ IPADDR=_ GATEWAY=_ TYPE=Ethernet NAME=System eth0 IPV6rNIT=nO11、在Linux系统中设置域名解析服务器，已知该域名服务器上文件named.conf的部分内容如下： options directory /var/named; hostname ; allow-query any;); allow-recursion A;B;C;D; recursion yes; ； acl A /25; acl B 28/25;); acl C /29; ael D 2/29;); view A match-clients A; recurslon yes; zone type master; file test.tom.zone.A ; ; view B match-clients any; recursion yes; zone type master; file test.tom.zone.B ; ; test.tom.zone.A文件的部分配置如下： www IN A test.tom.zone.B文件的部分配置如下： www IN A 4 IP地址_不允许使用该DNS进行递归查询，子网1和子网2中的客户端访问时，该DNS解析返回的IP地址分别为_和_。 A B33 C0 D A B.4 C或者4 D或者4 A B4 C或者4 D或者412、DHCP服务器配置文件如下所示： authoritative; ddns-updates off; max-lease-time ; default-lease-time ; allow unknown-clients; option domain-name-servers ; ddns-update-style none; allow client-updates; subnet 2 netmask 48 option router 3; range 5 8; 根据这个文件中的内容，该DHCP服务的默认租期是_天，DHCP客户机能获得的IP地址范围是：从_到_，获得的DNS服务器IP地址为_。试题四阅读以下说明，根据要求回答下面问题。 说明 某企业总部设立在A地，在B地建有分支机构，分支机构和总部需要在网络上进行频繁的数据传输，该企业网络采用IPSec VPN(虚拟专用网)技术实现分支机构和总部之间安全、快捷、经济的跨区域网络连接。 该企业的网络拓扑结构如下图所示。 该企业的网络地址规划及配置如下表所示。 某企业的网络规划地址配置表设备IP地址设备IP地址RouterAF0/0:/24S0:/30RouterBF0/0:/24S0:/30总部服务器00/24分支机构客户端00/2413、为了完成对RouterA和RouterB的远程连接管理，以RouterA为例，完成初始化路由器，并配置RouterA的远程管理地址(0)，同时开启RouterA的Telnet功能并设置全局配置模式的访问密码，请补充完成下列配置命令。 RouterAenable RouterA#configure terminal RouterA (config) #interface f0/0 /进入F0/0的_子模式 RouterA (config-if) #ip addr _ /为F0/0接口配置IP地址 RouterA (config-if) #no shut / _ F0/0接口，默认所有路由器的接口都为down状态 Router (config-if) #inter _ /进入loopback 0的接口配置子模式 RouterA (config-if) #ip addr _ /为loopback 0接口配置IP地址 RouterA (config) # _ /进入虚拟接口0-4的配置子模式 RouterA (config-line) #password abc001 /配置vty口令为abc001 RouterA (config) #enable password abc001 /配置全局配置模式的明文密码为abc001 RouterA (config) #enable _ abc001 /配置全局配置模式的密文密码为abe00114、VPN是建立在两个局域网出口之间的隧道连接，所以两个VPN设备必须能够满足内网访问互联网的要求，以及需要配置NAT。按照题目要求以RouterA为例，请补充完成下列配置命令。 RouterA (config) #access-list 101 _ ip 55 55 RouterA (config) #access-list 101 _ ip 55 any /定义需要被NAT的数据流 RouterA (config) #iP nat inside source list 101 interface _ overload /定义NAT转换关系 RouterA (config) #int _ RouterA (config-if) #ip nat inside RouterA (config) #int _ RouterA (config-if) #ip nat outside /定义NAT的内部和外部接口 15、配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配，否则VPN配置将会失败。 以RouterB为例配置IPSec VPN，请完成相关配置命令。 RouterB (config) #access-list 102 permit ip _ /定义需要通过VPN加密传输的数据流 RouterB (config) #crypto isakmp _ /启用ISAKMP(IKE. RouterB (config) #crypto isakmp policy 10 RouterB (config-isakmp) #authentication pre-share RouterB (config-isakmp) #encryption des RouterB (config-isakmp) #hash md5 RouterB (config-isakmp) #group 2 RouterB (config) #crypto isakmp identity address RouterB (config) #crypto isakmp key abc001 address _ /指定共享密钥和对端设备地址 RouterB (config) #crypto ipsec transform-set ccie esp-des esp-md5-hmae RouterB (zfg-crypto-trans) #model turmel RouterB (config) #crypto map abc001 10 ipsec-isakmp RouterB (config) #int _ RouterB (config-if) #crypto map abc001 /在外部接口上应用加密图 16、根据题目要求，企业分支机构与总部之间采用IPSec VPN技术互连，IPSec (IP Security) 是IETF为保证在Internet上传送数据的安全保密性而制定的框架协议，该协议应用在_层，用于保证和认证用户IP数据包。 IPSec VPN可使用的模式有两种，其中_模式的安全性较强，_模式的安全性较弱。IFSec主要由AH、ESP和IKE组成，在使用IKE协议时，需要定义IKE协商策略，该策略由_进行定义。答案:试题一1、A区。因为整个网络中心及服务器机房部署在A区，是网络业务流量最为集中的核心区域，网络架构成本低，且便于今后网络运行维护等。 千兆裸光纤互连方式的可靠性更高。因为裸光纤互连是物理层的点对点连接，传输损耗低、抗干扰能力强；MPLS VPN互联的通信线路通常是SDH网络专线，数据传输过程中易受到各种干扰。 AB区之间采用裸光纤进行互连；AC区之间采用MPLS-VPN方式进行互连。解析 依题意，该单位总部设在A区，且单位的主要网络业务需求在A区，网络中心及服务器机房亦部署在A区，即A区是整个网络业务流量最为集中的区域，综合考虑网络架构成本、便于今后网络运行维护等方面的因素，建议两家运营商的Internet接入线路应部署在A区。 MPLS-VPN是一种基于宽带IP网络，采用MPLS(多协议标记交换)技术，在公共IP网络上构建企事业单位IP专网，实现数据、语音、图像等多业务宽带连接，并结合差别服务、流量工程等相关技术，为用户提供高质量的网络连接服务。 裸光纤租赁业务是指用户向电信或其他公司租用光纤作为传输媒体，电信或其他公司通常只提供光纤物理通道，不提供数据处理等服务，整条光纤干线也不经过任何数据处理设备，由用户自行配置两端的收发设备。其具有传输距离远、通信容量大、传输速度快、损耗低、抗干扰能力强、租赁成本较高等业务特点。普通单模光纤链路上最远可以传递70km，使用高质量单模光纤链路最远可至100km。 MPLS-VPN互联方式的通信线路通常是同步数字体系(SDH)网络专线，而裸光纤互联是物理层的点对点连接。二者相比而言，裸光纤互联方式的可靠性高。 由上图可知，AB区之间物理距离为20km，AC区之间物理距离为80km。由于“B区的网络业务流量需求远大于C区”，即AB区之间需要较高带宽进行通信，而裸光纤互联方式的传输带宽远大于MPLS-VPN互联方式，因此建议AB区之间采用裸光纤进行互联。远距离裸光纤互联的租赁费用较昂贵，而MPLS-VPN互联方式的租赁费用相对便宜。由于AC区之间的数据通信距离较远，且C区网络业务量小，因此建议AC区之间采用MPLS-VPN方式进行互联。2、2 C B A 27 19 7 A解析 基于表1中“备注”栏目中给出的“所有区域采用三层局域网结构部署，其中A区采用双核心交换机冗余”等关键信息可知，该单位的整个网络分为核心层、汇聚层、接入层，且通过与核心层设备互连的路由设备接入Internet。位于A区的网络核心层需要部署两台核心三层交换机，并分别与汇聚层交换机进行双链路连接，实现核心节点、线路N+1冗余设计。两条链路都处于使用状态，无论采用热备方式还是负载均衡方式，当任何一条链路出现故障后，汇聚层网络仍能继续与核心层网络进行数据通信。 由表2中所给出的数据可知，A区网络中部署了2台核心交换机、5台汇聚交换机。“所有汇聚点采用单模光纤上连至核心交换机”，且核心交换机与汇聚交换机之间采用双链路冗余连接以提高网络的可靠性，即每台汇聚交换机需要配置2个SFP单模模块。5台汇聚交换机共需要配置10个SFP单模模块，每台核心交换机对应需要配置5个SFP单模模块。另外，A区与B区、A区与C区的核心交换机之间采用光纤进行互接，对此每台核心交换机还需要配置1个SFP单模模块。因此，表3中共有22个SFP单模模块的区域为A区，即52+52+12=22个。 同理，B区网络中部署了1台核心交换机、3台汇聚交换机。核心交换机与汇聚交换机之间采用单条链路进行连接，则3台汇聚交换机共需要配置3个SFP单模模块，核心交换机上对应需要配置3个SFP单模模块；并且核心交换机还需要配置1个SFP单模模块用于与A区核心交换机的光纤互连。因此，表3中共有7个SFP单模模块的区域为B区，即3+3+1=7个。 同理，C区网络中部署了1台核心交换机、2台汇聚交换机。核心交换机与汇聚交换机之间采用单条链路进行连接，则2台汇聚交换机共需要配置2个SFP单模模块，核心交换机上对应需配置2个SFP单模模块；并且核心交换机还需要配置1个SFP单模模块用于MPLS-VPN中SDH的光纤互连，以实现与A区核心交换机的数据通信。因此，表2中共有5个SFP单模模块的区域为C区，即2+2+1=5个。 由表1中所给出的数据可知，A区网络中的信息点数量至少有124+86+78+200+115=603个。由于“所有接入交换机采用双绞线上联至汇聚交换机”，即每台接入交换机需要使用1个以太端口连接汇聚层交换机，因此A区网络中接入层交换机数量至少需要27台，即603/(24-1)26.22台，将计算结果向上取整数得27台。 同理，B区网络中的信息点数量至少有106+126+198=430个，对此接入层交换机数量至少需要19台，即430/(24-1)18.70台，将计算结果向上取整数得19台。 C区网络中的信息点数量至少有86+54=140个，对此接入层交换机数量至少需要7台，即140/(24-1)6.09台，将计算结果向上取整数得7台。 由问题1的要点解析可知，两家运营商的Internet接入线路应部署在A区，因此表2中负责单位网络边界路由计算的路由器应部署在A区。3、解析 综合上两道题的分析结果，该单位的A区网络拓扑结构如下图所示。 在图所示的网络结构中，两台核心三层交换机分别与每台汇聚层交换机、千兆服务器接入交换机、认证及流控设备等设备进行链路连接，实现核心层网络结构的双链路冗余设计，减少网络单点故障；两台核心三层交换机之间采用以太网通道技术以提高主干道的吞吐量，并实现冗余设计；3台业务服务器先连接至千兆服务器接入交换机，再接入到核心三层交换机；通过部署一台认证及流控设备用于实现网络身份认证和上网行为管理；通过部署一台防火墙设备用于保护单位网络的边界安全，防止外部网络用户以非法手段进入内部网络或访问内部网络资源；在防火墙与网络运营商之间部署一台出口路由器，用于实现该单位网络的边界路由计算等功能，且该出口路由器采用双ISP互连方式分别连接至网络运营商ISP1、ISP2，以满足该单位网络用户访问Internet的相关业务需求。主核心三层交换机通过SFP单模模块分别与B区网络的裸光纤、与C区网络的MPLS-VPN实现互连。试题二4、89.67 443 E:gsdata B或读取解析 SSL协议的一个典型应用是安全的HTTP协议HTTPS协议，它基于传输控制协议(TCP)的443端口来发送或接受报文，用于解决信任主机、通信过程中的数据泄密和被篡改等问题。依题意，由题干给出的关键信息“要求用户在浏览器地址栏必须输入/index.html或7/index.html来访问该公司网站”等可知，该公司网站的域名为，对应的IP地址为7，网站首页的文件名为index.html，用户访问该网站使用的是“https:/”方式(而不是“http:/”)。因此，在图1所示的网站选项卡中的“IP地址”下拉文本框的内容应为7；“SSL端口”文本框中的内容应为443。其中，若该网站服务器仅配置了7这一个IP地址，则“IP地址”文本框还可以选中其下拉菜单中的“全部未分配”来完成配置，此时站点将响应分配给该服务器但没有分配给其他站点的所有IP地址，并使它成为默认网站的IP地址。 由题干关键信息“index.html文件存放在网站所在服务器E:gsdata目录中”可知，在图2所示的主目录选项卡中“本地路径”文本选择框的内容应为E:gsdata，以指明网站首页文档的物理存放路径。 为保障客户端对该企业网站的访问，在图2中应至少勾选读取复选框，并单击确定(或应用)按钮。5、CA颁发证书 A或验证网站的真伪 D或网站的私钥解析 为了配置安全的Web网站，需要在如图3所示的目录安全性选项卡中，单击安全通信组件框中的服务器证书按钮，来获取服务器证书。获取服务器证书共有以下4个步骤：生成证书请求文件；CA颁发证书；从CA导出证书文件；在IIS服务器上导入并安装证书。 数字证书能够验证一个实体身份，而这是在保证数字证书本身有效性的前提下才能够实现的。验证数字证书的有效性是通过验证证书颁发机构(CA)的签名实现的。某个Web网站向CA申请了数字证书。当用户登录该网站时，通过验证CA对其的签名来确认该数字证书的有效性，从而验证该网站的真伪。在用户与网站进行安全通信时，用户可以通过该网站数字证书中的公钥进行加密和验证，该网站则通过只有自身拥有的私钥对信息进行解密和签名。 CA颁发给Web网站的数字证书中包含多项内容(例如网站的公钥、CA的签名、证书的有效期等)，但是不包括网站的私钥。6、“要求安全通道(SSL)(R)” “要求客户端证书(U)”解析 依题意，配置该Web网站时，在图3所示的目录安全性选项卡中，单击安全通信组件框中的编辑按钮，系统将打开如图4所示的安全通信对话框。若要求客户只能使用HTTPS服务访问该公司的Web站点，则应选中要求安全通道(SSL)复选框，并单击确定按钮。建立了SSL安全机制后，只有SSL允许的客户才能与该企业Web站点进行通信，并且在使用URL资源定位器时，要注意输入的是“https:/”，而不是“http:/”。 如果在图4中选择“要求安全通道(SSL)(R)”复选框，并选中“要求客户证书(U)”单选按钮，那么Web服务器将对客户端证书进行强制认证。其中，“要求客户证书”单选按钮需要在选中“要求安全通道(SSL)”后才被激活。选择该选项后，则仅允许具有有效客户端证书的用户才能该Web站点。没有有效客户端证书的用户将被拒绝访问该站点。7、C或网上交易 TLS或传输层安全协议解析 HTTPS用于在客户计算机和服务器之间提供安全通信，广泛用于因特网上安全敏感的应用，例如网上银行、电子商务的网上交易等业务应用。 SSL目前的版本是3.0，被IETF定义在RFC6101中。IETF对SSL进行升级后的继任者是传输层安全协议(TLS1.0)。IETF的传输层安全协议(TLS1.0)与SSL3.0是等价的。8、不能解析 HTTPS不是一个单独的协议，而是两个协议的结合，即在加密的安全套接层(SSL)或传输层安全(TLS)上进行普通的HTTP交互传输。它只是服务器与客户机交互时进行安全性验证以及保护信息通信过程中的安全。但是它不能保证服务器自身的安全性，例如服务器遭受到病毒入侵、木马攻击、DOS攻击、ARP欺骗、DNS欺骗等。试题三9、48 4 3解析 基于上图所示的网络结构信息，Web服务器的eth1网卡通过交换机4连接至路由器E3接口所在的子网。因此，该子网的网关地址为路由器E3接口的IP地址3/29，即网关地址为3、子网掩码为48。而Web服务器的eth1网卡的IP地址为4。10、48 解析 DNS服务器的eth0网卡通过交换机3连接至路由器E2接口所在的子网。因此，该网卡所在子网的网关地址为路由器E2接口的IP地址/29，即网关地址为、子网掩码为48。而DNS服务器的IP地址为。11、C或0 C(或或者4) B或4解析 BIND服务器的区域类型配置文件为/etc/named.conf。在/etc/named.conf文件中，options字段用于声明域服务器的cache文件、正向/反向解析区域文件的名称及其位置；type字段用于设置服务器类型，master为主服务器，slave为从服务器，hint为缓存服务器；file字段用于设置相应的查询文件名称。 子网/25所覆盖的可实际分配的IP地址为26； 子网28/25所覆盖的可实际分配的IP地址为2954； 子网/29所覆盖的可实际分配的IP地址为； 子网2/29所覆盖的可实际分配的IP地址为38。 文件named.conf中，语句acl “A” /25；的功能是定义一条名为A、地址范围为26的访问控制列表；语句allow-recursion A;B;C;D)；的功能是允许名为A、B、C、D的访问控制列表所定义的IP地址使用该DNS服务器进行递归查询。由于地址0既不属于子网/29，也不属于子网2/29，因此该IP地址不允许使用此DNS服务器进行递归查询。 子网1通过交换机1连接至路由器E0接口所在的子网。而路由器E0口的IP地址为/25，即该子网的网关地址为、子网掩码为28。由文件named.conf中，视图view”A”的相关语句可知，对于网段/25的客户机访问域名为的Web服务器时，使用Web服务器的IP地址给出域名递归查询的解析结果。而视图view“B”的相关语句可知，对于任何网段(包括网段/25)的客户机访问域名为的Web服务器时，使用Web服务器的IP地址4给出域名递归查询的解析结果。因此，子网1中的客户端访问时，该DNS解析返回的IP地址可能是、4中的任何一个。 子网2通过交换机2连接至路由器E1接口所在的子网。而路由器E1口的IP地址为29/25，即该子网的网关地址为29、子网掩码为28。子网2中的客户端(例如PC1)访问时，将使用视图view“B”给出域名递归查询的解析结果，该DNS解析返回的IP地址为4。12、7 5 8 解析 在Linux操作系统中，DHCP服务器配置文件/etc/dhcpd.conf。在/etc/dhcpd.conf配置文件中，选项range的功能是指定DHCP客户机能获得的IP地址范围；选项default-lease-time的功能是设置默认租用时间(单位为秒)；选项max-lease-time的功能是设置最大租用时间(单位为秒)；选项option subnet-mask的功能是设置子网掩码；选项option broadcast-address的功能是设置直接广播地址；选项option router的功能是设置默认网关；选项option domain-name-servers的功能是设置域名服务器IP地址；语句option domain-name的功能是设置域名；选项subnetip_addressnetmasknetmask 的功能是针对个别IP网段进行相关参数配置；选项hosthost name 的功能是为某个MAC地址绑定相应的IP地址。 由配置语句default-lease-time ；可知，该DHCP服务的默认租期为s，即/(606024)=7天。 由配置语句range 5 8；DHCP客户机能够动态获得的IP地址范围是58。 由配置语句option domain-name-servers ；可知，DHCP客户机动态获得的DNS服务器IP地址为。试题四13、接口配置或端口配置 激活(或开启，或使能，或其他等价词语) 100pback 0 0 55 line vty0 4 secret解析 在路由器全局配置模式RouterA(config)#下，使用命令interfaceport进入所指定接口配置子模式RouterA(config-if)#。 由上表该企业的网络地址规划信息可知，RouterA的f0/0接口的IP地址为、子网掩码为。因此，在接口配置子模式下，使用命令“ip addressIP地址子网掩码”配置当前接口的IP地址信息。 默认情况下，路由器的所有接口都为down(非激活)状态。在接口配置子模式下，使用命令no shutdown激活路由器当前接口，使其处于工作状态(Active)。 在路由器上，Loopback接口没有一个实际的物理接口与之对应，也没有与其他网络节点相连接的物理链路。它是一个虚拟的环回接口，其接口号的有效值为02 147 483 647。Loopback接口主要用于网络管理。网络管理员为Loopback接口分配一个IP地址作为管理地址，其子网掩码应为55。该接口不受网络故障的影响，永远处于激活状态。可以使用该接口管理地址远程登录到路由器，从而对路由器进行配置与管理。在路由器全局配置模式下，使用命令interface loopback 0进入loopback 0的接口配置子模式。 由题干给出的关键信息“配置RouterA的远程管理地址(0)”。 由于路由器是互连不同的逻辑子网的设备，因此其每个接口都必须配置唯一的IP地址。在远程登录到路由器时，可以使用任意一个处于激活状态接口的IP地址，因此，路由器无需单独配置设备管理地址，只需在虚拟终端线上配置远程登录的密码。在路由器全局配置模式下，使用命令line vty 0 4进入虚拟接口0-4(虚拟终端)配置子模式“RouterA(cortfig-line)#”。 在路由器全局配置模式下，使用命令enable password password配置超级用户明文密码；使用命令enable secretpassword配置超级用户密文密码。若同时配置了这两种密码，则密文密码起作用。14、permit deny S0 F0/0(或fastethemet0/0) S0(或serial 0)解析 在路由器全局配置模式下，配置扩展访问控制列表(ACL)的命令是access-list access-list-number permit | deny protocol source wildcard-mask destination wildcard-mask operator operand。其中，表号access-list-number可以是100199和20002699范围中的任何一个数字；通配符(wildcard.mask)是子网掩码的反码形式；operator(操作)指的是lt(小于)、gt(大于)、eq(等于)和neq(不等于)；operand(操作数)指的是端口号。 依题意，该企业总部在A地，分支机构在B地，AB两地需要在网络上进行频繁的数据传输。结合上表网络地址规划信息可知，A地网络的网段地址为、子网掩码为；B地网络的网段地址为、子网掩码为。因此，对路由器RouterA配置加密访问控制列表时，需要使用配置语句access-list 101 permit ip 55 55，定义一条表号为101、允许企业总部本地网段/24主机能够连通分支机构远端网段/24主机的ACL。同时，使用配置语句access-list 101 deny ip 55 any，定义一条表号为101、禁止企业总部本地网段/24主机访问其他任何网段(即除/24之外的网段)任何主机的ACL。ACL默认执行顺序是自上而下。 在路由器全局配置模式下，使用命令ip nat inside source list access-list-number interface interface-port定义内部源地址动态转换关系。由上图所示的网络拓扑结构信息可知，路由器RouterA通过S0接口与Internet互连。配置语句ip nat inside source list 101 interfaceS0 overload的功能是，满足表号为101的ACL访问规则的企业总部内网用户IP地址与S0所配置的公网IP地址进行动态NAT转换。 在路由器全局配置模式下，使用命令ip nat inside将当前接口定义为NAT的内部转换接口；使用命令ip nat outside将当前接口定义为NAT的外部转换接口。如上图所示的网络拓扑结构和题干所给出的地址信息可知，路由器的S0接口应定义为NAT的外部转换接口，F0/0接口应定义为NAT的内部转换接口。15、 55 55 enable .100.1 S0(或serial 0)解析 结合上题的分析结果，对路由器RouterB配置加密访问控制列表时，需要使用配置语句access-list 102 permit ip 55 55，定义一条表号为102、允许企业分支机构网段/24的主机能够连通总部网段/24的主机的ACL。 在路由器全局配置模式下，使用命令crypto isakmp enable启用ISAKMP(IKE)。 在全局配置模式下，使用命令crypt isakmp keykeyaddresspeer_address设置与对等体共享的预共享密钥。结合上图所示的网络结构及其所给出的配置参数，路由器RouterB的peer address值为对等体路由器Rou