软考网络工程师2018下半年下午试题和答案解析详解

组织WORD格式考试题1阅读以下说明，从问题1到问题4，在与解答用纸对应的解答栏中填写解答。【说明】某企业的网络构成方案如图1-1所示，网络接口计划如表1-1所示。 公司员工和外部访问者都可以通过无线网络访问企业网络，公司员工无线网络的SSID为Employee，访问者无线网络的SSID为Visitor。图1表1【问题1】(6分)防火墙配置了用于公私网址转换的NAT功能。 同时制定安全策略，将内部网的最终用户所在的地区分为Trust地区，外部网为Untrust地区，保护企业内部网络不受外部网络攻击。补充防火墙数据计划表1-2内容的空缺。注： Local表示防火墙的本地区域，srcip表示源ip。【问题2】(4点)在点对点环境中，要配置IPSec VPN隧道，必须明确(4)和(5)。【问题3】(6分)在Switch1中设置ACL，以防止访问者访问内部网络，并填补Switch1数据计划表1-3中内容的空缺。【问题4】(4点)在AP控制器上引入WLAN通信，采用直接转送，AP在线有三层。 认证方式：无线用户用预共享密钥方式访问。 在交换机1中，GEO/O/2连接到AP控制器，此接口类型由(9)模式构成，VLAN为(10 )。问题2 (共计20分)阅读以下说明，回答问题1至问题4，在答题纸的对应栏中填写答案。【说明】图2-1是一家企业的网络拓扑，网络区域分为办公室区域、服务器区域和数据区域，在线购物系统向公司提供产品的在线销售服务。 公司网络保障部负责员工办公室计算机和在线商场的技术支持和保障。【问题1】(6分)有一天，公司电脑感染了“恐吓”病毒，网络管理员应采取(1)、(2)、(3)措施。(1)(3)替代回答：a .断开受感染主机的网络连接b .更改受感染文件的扩展名c .升级其他计算机的系统漏洞修补程序d .网络层禁止135/137/139/445端口的TCP连接e .删除被病毒感染的文件【问题2】(8分)在图2-1中，为了提高在线商店的并发性，公司计划增加两台服务器，三台服务器同时对外提供服务，通过在图中的(4)的设备中执行(5)的战略，可以将外部用户的访问负载平均分配给三台服务器(5)替代回答：a .散列b .轮询c .最小连接d .作业-备份其中一台服务器的IP地址是/27。 请补充配置代码。ifcfg-eml配置片段如下设备=EML类型=以太网uuid=368787246-2a 99-43 B4-81df-2db 1228 eea4b开启=是nm _ controlled=是BOOTPROTO=nonehwaddr=90: b 133601 c 33605352535353535353535353535353535353535ipaaddr=NETMASK=(6)网关=0def route=是IP v4_ failure _ fatal=是IPV6INTI=no否配置完成后，请运行systemct1(7)network命令重新启动服务。【问题3】(4点)网络管理员发现在线商业街系统经常受到SQL注入、网站脚本等攻击，公司购买(8)设备/系统，计划加强防盗的该装置请放置在图2-1的装置的(9)中。a .防病毒软件b .主机强化C.WAF(Web应用程序保护系统) d .脆弱性扫描【问题4】(两点)在图2-1中，存储域网络采用了(10 )网络。问题3 (共计20分)阅读以下说明，回答问题1至问题4，在与答题纸对应的答案栏中填写答案。【说明】一家公司有两个办公室，分别使用两个配备Windows Server 2008的主机来实现路由功能。 此功能通过Wmdows Server 2008路由和远程访问服务来实现。 管理员为两台主机中的任一台设置了不同的IP地址，如图3-1所示。【问题1】(4点)在管理服务器中，单击添加/删除角色。 必须在服务器角色中选择(1)，以完成路由和远程访问服务的安装。 下列路由和远程访问服务选项不正确的选项是(2)。(1)替代回答：a .文件服务器b .应用服务器(IIS，ASP.NET )c .终端服务器，d .远程访问/VPN服务(2)替代回答：a .可以连接LAN的不同的网络段和子网来实现软件路由器的功能b .用内部网连接分公司和企业网络，实现资源共享c .允许远程计算机访问企业网络和访问网络资源d .远程计算机必须通过VPN才能访问企业网络中的网络资源【问题2】(4点)为了在两个办公室子网的计算机上安装Win7操作系统来实现两个子网络之间的通信，子网a和子网b的计算机的网关分别为(3)和(4)。 子网a中的计算机验证ping命令是否可以将分组路由到子网b中，图3-2中的参数使用默认值，并从参数(5)可知该分组已经通过了路由器(6)。(3)替代回答：不需要配置a. b. c. d .网关(4)替代回答：不需要配置a.b.c.d .网关(5)替代回答：a.bytestb.timec.ttld.lost【问题3】(8分)Windows Server 2008支持RIP动态路由协议。 在RIP接口的属性页上，如果路由器想每隔一段时间在自己附近广播路由表，以便交换和更新路由信息，则必须在“操作模式”下选择(7)。 如果在“源包协议”中选择(8)，则网络上运行不同版本的其他相邻路由器将接受此路由器的路由表。 如果在“传入的包协议”中选择(9)，则网络上运行不同版本的其他相邻路由器可以广播此路由表。(7)替代回答：a .周期性是更新模式b .自动-静态更新模式(8)替代回答：A.RIPv1广播B.RIPv2多播C.RIPv2广播(9)替代回答：忽略a.ripv1b.ripv2c.ripv1和v2D .接收数据包可以配置路由器认证以保护路由器之间的安全通信。 选中“启用认证”复选框，在“密码”框中输入密码。 所有路由器都将进行此配置并设置密码(10 )。(十)替代答复：a .不同的b .必须一样【问题4】(4点)因为在子网a中发生了病毒，所以需要在路由接口上启动过滤功能，子网b不允许接收来自子网a的包，选择带内过滤器，过滤条件为“接收除了以下条件以外的所有包根据源网络IP地址和子网掩码所获得的网络地址为(11 )，根据目标网络IP地址和子网掩码所获得的网络地址为(12 )，需要选择协议(13 )。 选择协议(14 )，子网a和子网b不能ping，但是子网b可以接受来自子网a的分组。(十一)替代回答：a. b. c. d.(12 )替代答复：a.10.0.0 b. c..3 d.10.0.4(13)(14 )代替回答：A.ICMPB.TCPC.UDPD .任意问题4 (共计15分)阅读以下说明，从问题1到问题2，在与解答用纸对应的解答栏中填写解答。【说明】某公司的网络拓扑图如图4-1所示。【问题1】(5分)为了便于管理公司网络，管理员将每个部门的公司网络分成VLAN，VLAN号码和IP地址的计划如表4-1所示，考虑到公司未来的发展，每个部门的IP地址的计划有一定的馀地，所以请根据需要补充下表公司计划使用24接口双层交换机作为接入层交换机，上述主机的数量要求在任何地理位置至少购买(5)台接入层交换机。【问题2】(10分)公司申请了14个公共IP地址，地址范围为09-22，其中18-22是服务器和接口的公司使用PAT为市场营销部门提供互联网接入服务. 请按照说明完全补充以下配置代码。系统视图(6) r 1进入 R1 用户界面(7)/控制台的用户界面视图 r1- ui -控制台0 认证模式(8)pleaseconfiguretheloginpassword (最大长度16 ) :华威 r1- ui -控制台0 quit r1千兆以太网，0/0/0r1-千兆位以太网0/0/0 IP地址4252r 1千兆位以太网0/0/0(9)(10 ) 2000 r1- ACL-2000 (11 ) 5超级源 (12 )R1-acl-basic-2000quit r1 NAT地址组1 (13 ) 17 R1 接口gigabbitethermet0/0/1 r 1千兆以太网0/0/1 IP地址(14 ) 40 r1-千兆位ethermet0/0/1 (15 )输出2000地址组1PS PRr1- rip-1版本2 r1- rip-1 网络开关的构成有点答案和分析问题1 :问题1:1，/242，/323，/0或any问题2:4-5隧道的源IP地址问题3:6，99，/558、deny问题4 :九、访问十、PS十分析：从该说明可以看出，企业网络通过IPSec隧道连接到分支，因此需要设定隧道的源IP地址。 Local代表防火墙的本地区域，即直接连接的网段。 通过ACL控制访问：防止来宾访问内部网络。 来宾兼容的网络段是VLAN104即/24，动作是deny. AP控制器与核心交换机连接的GE0/0/2端口，对应说明是VLAN为100，因此端口类型是ACC问题2 :问题1-3:PS问题2:4、负载均衡系统5、B6、255.255.2247、restart问题3:8、C9和4问题4:10，PS扫描恐吓病毒利用了Windows系统的脆弱性，系统默认为开放135、137、445等文件共享端口的病毒攻击。 因此，必须先断开受感染的主机与网络的连接，再断开其他主机的连接，以避免共享端口，然后再升级操作系统。为了实现负载均衡，直接在该网络上的负载均衡装置上实施，执行轮询设定。 这样就可以实现各服务器的负载均衡操作。从说明可以看出服务器的IP地址是/27，因此子网掩码是启用网络服务的命令： systemctl enable networkWeb应用程序保护系统、WAF和Web应用程序防火墙是一种通过为HTTP/HTTPS执行一系列安全策略来保护Web应用程序的产品。 可以有效地发现和阻止SQL注入、网页篡改、网站脚本等攻击。 主要进行服务器区域的发现和保护。存储网络通过光纤连接存储区域，提供高速的存储访问，符合FCSAN的特点。 FCSAN支持数据块级调用，适合为大型数据库提供存储服务。问题3 :问题1:1、D2、d问题2:3、C4、C5、C6、128问题3:7、A8、A9、C10和b问题4:11-14 PS根据字符和图形的说明可知，子网a连接到网段，子网b位于网段中，对应的网关地址分别是连接到网段的服务器IP。 Ping命令通常用于测试连接性，并且在使用的ICMP的应答请求和响应消息中，TTL值表示跳数，以255跳开始，每通过一个路由器减一个。为了支持RIP动态路由协议，RIP有两种版本，其中V1仅支持类路由信息，将整个路由表广播地发送至附近，V2支持类路由，以及路由收敛的为了确保路由器之间的安全通信，路由器和路由器之间必须添加认证，并且彼此连接的两个密码信息必须匹配。问题4问题1:1，902，923，255.255.240四、255和7问题2:6、sysname /设备名7、控制台08、password /控制