51CTO下载 繁星整理四级网络工程师分析题

1、I分析题1.阅读以下说明，回答【问题 1】至【问题6】。【说明】某单位局域网通过ISP提供的宽带线路与In ternet相连，ISP分配的公网IP地址为 202.117.12.32/29 ，局域网中一部分计算机通过代理服务器访问In ternet ，而另一部分计算机不经过代理服务器直接访问In ternet 。其网络连接方式及相关的网络参数如下图12-1所示。图 12-1【问题1】根据图上图所给出的网络连接方式及相关的网络参数，区域（ 算机的网络参数配置为： 区域（A） 区域（A） 区域（A） 区域（B） 区域（B） 区域（B）【问题【问题【问题A）与区域（B）中计计算机计算机计算机计算机计算

2、机计算机“IP地址” “子网掩码” “默认网关” “IP地址” “子网掩码” “默认网关”(范围)：(1):(2);:(3)；(范围)：(4):(5)；: (6)O2】上图中代理服务器还可以用何种网络连接设备实现？3】在接入In ternet时，区域（A）与区域（B）相比，哪个区域的计算机安全性更好 4】IP地址为192.168.0.36 的计算机发送到In ternet 上的IP数据包的源IP地址为（7） ； P地址为202.117.12.36 的计算机发送到In ternet上的IP数据包的源IP地址为（8）。【问题5】如果该单位有一台需对外发布公共信息的Web服务器，应将其接入上图中的哪

3、个区域？【问题6】如果电信部门分配的公网 IP地址为202.117.12.32/30 ，则上的网络连接应做何改 动？1至问题3。2.阅读以下说明和交换机的配置信息，回答问题【说明】某公司下设三个部门， 为了便于管理，每个部门组成一个 VLAN公司网络结构如图12-2所示。:E S ： ： J F ?三层交换机SwitchO接口9令騎話農，曲d接口0服务器Server1接口8 3接口6Eozdcp：糸交换机I 接口 11Switch2a服务器Server2尹艮务器Server2 r、k二楼交换机I接口 13Switch3Com puter1吕计算机Com puter2a计算机Com puter3

4、一楼J计算机Com puter4s计算机Computers计算机ComputerO、一楼图 12-2【交换机Switch1的部分配置信息】Switch1(co nfig)#Switchl(co nfig-if)#Switchl(co nfig-if)#Switch1(co nfig)#Switch1(co nfig-if)#Switchl(co nfig-if)#Switch1(co nfig)#Switchl(co nfig-if)#Switchl(co nfig-if)#in terface f0/9switch port mode accessswitch port access vla

5、n 11 in terface fO/IOswitch port mode accessswitch port access vlan 12 in terface fO/17switch port mode accessswitch port access vlan 13【交换机Switch2的部分配置信息】Switch2(co nfig)#Switch2(co nfig-if)#Switch2(co nfig-if)#Switch2(co nfig)#Switch2(co nfig-if)#Switch2(co nfig-if)#Switch2(co nfig)#Switch2(co nfi

6、g-if)#Switch2(co nfig-if)#in terface fO/6switch port mode access switch port access vlan 11 in terface fO/8switch port mode access switch port access vlan 12 in tefface fO/11switch port mode accessswitch port access vlan 13【交换机Switch3的部分配置信息】Switch3(co nfig)#Switch3(co nfig-if)#Switch3(co nfig-if)#S

7、witch3(co nfig-if)#Switch3(co nfig)#Switch3(co nfig-if)#Switch3(co nfig-if)#Switch3(co nfig)#Switch3(co nfig-if)#Switch3(co nfig-if)#in terface fO/3switch port mode access switch port access vlan 11 exitin terface fO/7switch port mode accessswitch port access vlan 12 in terface fO/13switch port mode

8、 accessswitch port access vlan 13【问题1】通常VLAN有静态和动态两种实现方式，这两种方式分别是如何实现的 ？各有什么特点？ Switchl米用的是哪种实现方式？【问题2】在VLAN中, STP和VTP是什么协议？各有什么作用？【问题3】填充VLAN信息表12-1。表12-1 VLAN 信息表部门VLAN编号包括的服务器及主 机名称行政部11(1)市场部12(2)财务部13(3)3.阅读下列说明，回答问题 1至问题6。 【说明】特洛伊木马是一种基于客户机 入侵用户的计算机系统。木马的工作模式如图/服务器模式的远程控制程序，黑客可以利用木马程序12-3所示。客尸

9、计篦图 12-3【问题1】对于传统的木马程序，侵入被攻击主机的入侵程序属于 取入侵程序的(1)(2) 端口号【问题2】(3)( 4)(2) ，便与它连接起来。A)客户程序B)服务程序A)用户名和口令 B ).密钥(1)。攻击者一旦获C)代理程序C)访问权限D)系统程序D )地址和(3)_和(4)属于计算机感染特洛伊木马后的典型现象。A)程序堆栈B)C)邮箱被莫名邮件填满为了检测系统是否有木马侵入，可以使用以下【问题3】前的活动连接端口。(5) A) ippOrtC) tracert - an【问题4】入侵程序可以通过修改Windows操作系统的(6)相关注册表项实现系统启动时自动加载。通过运行

10、 启动注册表编辑器来对注册表进行维护。(6) (7)A) system.iniC) win.ini【问题5】安装了防火墙软件的主机可以利用防火墙的 来拦截木马。(9) A)身份认证有未知程序试图建立网络连接D)系统中有可疑的进程在运行Win dows操作系统的(5)命令查看当B) netstat- anD) ipconfig_、( 7)文件或修改系统中的Win dows操作系统中的(8)命令，可以B)D)(9)shell.i niautoexecni功能有效地防止外部非法连接)地址转换)包过滤 (10)和(11)。C)日志记录D【问题6】以下措施中能有效防治木马入侵的有(10) (11) A)

11、不随意下载来历不明的软件B)仅开放非系统端口C)实行加密数据传输D)运行实时网络连接监控程序4.某大学城局域网的拓扑结构如图12-4所示，图中路由器 R1、R2、R3均运行基于距离矢量算法的RIP路由协议，并且图中给出了路由器R1、R2、R3各端口的IP地址信息12. leS. 3C0. 0/24lee 300.1/24n31 號.iBe.ee. i/4EOSI诒艺 l&a 67. 2/24so192.16$ &7 0/241 处 W 邑 04R1SO2. 163. 67.1/241SC 168.2/2432. lEe.&S. 2/241 占商92.16 3. 65. 0/4132. 1& &

12、5.12. 13. iCfl. i/i41S. 163. ICO 0/24M2 l&e.lOO. 1/24192. IGC. 200. 0/龄图12-4某大学局域网拓扑结构图【问题1】结合图12-4所示的网络拓扑结构图，将以下路由器R1的配置信息中空缺处(1)-(9)处的内容填写完整。Routere nRouter#c onfig term inal Router(c on fig)#(1)R1(c on fig)# no loggi ng con soleR1(co nfig)# in terface fastethernet 0/1R1(co nfig-if)# ip address 19

13、2.168.100.1 255.255.255.0R1(config-if)#(2)(3)R1(c on fig)# in terface serial 0R1(co nfig-if)#(4)R1(c on fig-if)# no shutdow nR1(co nfig)# (5)R1(co nfig-if)# ip address 192.168.65.2 255.255.255.0R1(c on fig-if)# no shutdow nR1(co nfig-if)# exitR1(co nfig)#(6)R1(co nfig-router)#R1(co nfig-router)#（进入特

14、权模式）（进入配置模式）（进入端口 SO配置子模式） （设置当前端口 IP地址）（退出当前端口配置子模式）(7)(8)R1(co nfig-router)# network 192.168.65.0R1(co nfig-router)# 192.168.67.0R1(c on fig-router)#e nd R1#(9)【问题2】在【问题1】的路由器R1配置语句中，“起到什么作用？【问题3】在路由器的特权模式下执行“ show ip route ”命令，得到以下部分的系统输出信 息。请将以下空缺(10) - (13)处的内容填写完整，以得到路由器R1的相关路由信息表。R1# show ip

15、route（退出回到特权模式）（将配置信息保存到非易失性RAM中）no loggi ng con sole”命令对配置过程Codes:C-co nn ected.S-static,l-IGR P, M-mobile,B-BG P, 0-S OPF EX-EIGR P external,IA-OS PF inner area,E1-OS PF external type 1 E2-OS PF external type 2,E-EG P ,I-IS-IS,L1-IS-IS level 1, L2-IS-IS level-2,*-Ca ndidate default,U-p er-user sta

16、tic routeGateway of last resort is not set 192.168.0.0/24is sub netted,6 sub netsCR192.168.65.0 is directly conn ected,Serial 1192.168.66.0 120/1 via( 10),00:00:08,Serial 1120/1 via 192.168.65.1,00:00:10,( 11)192.168.67.0 is directly conn ected,Serial 0192.168.100.0 is directly conn ected,(12)192.16

17、8.200.0 120/1 via 192.168.65.1,00:00:12,Serial 1分析题解答与分析1.答案：【问题【问题【问题【问题【问题【问题分析：【问题2】3】4】5】6】（1） 192.168.0.2192.168.0.254（2） 255.255.255.0（3） 192.168.0.1（4） 202.117.12.35-202.117.12.38（5） 255.255.255.248（6） 202.117.12.33具有地址转换功能（NAT的设备，如路由器、防火墙和安装有NAT服务的主机区域（A）的安全性更好（7） 202.117.12.34Web服务器应接入区域（B）

18、中取消区域（B），将该区域计算机全部移到区域（A）中(8) 202.117.12.361】，区域（A）中的计算机通过代理服务器访问In ternet ，该代理服务器的IP地址为IP地址，其中主机地址全为 0和1的IP地址不可能，192.168.0.1A）可用的网络地址范围 192.168.0.2192.168.0.254 ;子192.168.0.1/24 ，其中子网掩码长度是24位，主机号长度为8位。因此这个子网的范围为 192.168.0.1192.168.0.255即为该代理服务器占用，则区域（网掩码为网络号位全为1,主机号位全为0，即为255.255.255.0 ;默认网关地址就代理服务

19、192.168.300.0120/(13) via 192.168.67.2,00:00:12,Serial器的 IP 地址 192.168.0.1。区域（B）中的计算机不通过代理服务器直接访问In ternet ，该区域的子网的网络号长度为29,因此它的主机长度为 3位，该区域的IP地址范围为 202.117.12.32202.117.12.39 ，其 中主机位全为 0和1的IP地址不可用，并且202.117.12.33 为宽带Modem占用，202.117.12.32 为代理服务器所占用，所以该子网中可用的IP地址范围为202.117.12.35202.117.12.38；子网掩码为29位

20、网络号位全为1，3位主机号位全为 0，即卩255.255.255.248，网关地址为宽 带 Modem的 IP 地址 202.117.12.33。【问题2】可以在区域（厲和（B）中进行全局IP地址和专用IP地址的转换，即使用一台具 有地址转换功能（NAT的设备，比如路由器、防火墙和安装有NAT服务的主机等。【问题3】如果将这个网络系统看成是带有一个非军事化区（DMZ的防火墙系统，则区域（A）属于内部区域，而区域（B）即是这个非审事化区，它是一个隔离的网络，可以在这个网络中 放置Web服务器或是E-mail服务器等，外网的用户可以访问DMZ但不能直接访问区域（A），它受到防火墙的保护，因此区域（

21、A）比区域（C）安全。【问题4】192.168.0.36 是区域（A）子网的IP地址，该IP地址是处于属于内部的专用 地址，该IP地址要与外部的In ternet进行数据通信，要将这个内部的专用地址转换外部地址才行。所以，因此源IP地址为202.117.12.34 的数据包经过代理服务器时，将源IPIP地址IP地 发送到In ternet 上的IP数据包的源IP地址即为202.117.12.36 。【问题5】在【问题 3】中，已知这个网络系统可以被看成是带有一个非军事化区（DMZ的防火墙系统，则区域（A）属于内部区域，而区域（B）即是这个非审事化区，它是一个隔离 的网络，可以在这个网络中放置W

22、eb服务器或是E-mail服务器等，所以 Web服务应放置在区域（B）。【问题6】如果电信部门分配的公网IP 地址为 202.117.12.32/30IP机号为有两位，除去主机号全为0和1的IP地址，可用的地址中，其中一个要被路由器所占用，所以只剩下一个可用的 务器，这时没有多余的IP地址分配给宽带 Modem和区域（在，该区域中的所有主机都转移到区域（2.答案：【问题【问题A）中。和【问题2】参照分析部分。(1) Server3、Computer2 和 Computer5(2) Server2、Computer3 和 Computer6(3) Serverl、Computer 1 和 Com

23、puter4B)，其中网络号为 20位，主 地址只有22_2=2个。这两个IP IP地址，即只能分配给代理服 中的主机，所以区域（B）不存分析：【问题在静态VLA N的实现方式从其机制或策略来划分，可分为静态 VLAN中，由网络管理员根据交换机端口进行静态的VLAN和动态 VLAN两种，VALN分配，每个端口属于一个VLAN当在交换机上将其某一个端口分配给一个VLAN时，其将一直保持不变直到网络管理员改变这种配置。静态的VLAN分配较为简单和安全，网络的可监控性强。但缺乏足够的灵活性, 当用户在网络中的位置发生变化时，必须由网络管理员将交换机端口重新进行配置。所以静 态VLAN比较适合用户或设

24、备位置相对稳定的网络环境，并且几乎所有的交换机都支持这种方法。动态VLAN是指以交换机上联网用户的MAC地址、逻辑地址或数据包协议等信息为基础将交换机端口动态分配给 VLAN的方式。以基于 MAC地址的动态 VLAN为例，网络管理员首先 需要配置在VLAN策略服务器上配置一个关于MAC地址与VLAN划分映射关系的数据库，当交换机初始化时，其将从VLAN策略服务器上下载关于 MAC地址与VLAN划分关系的数据库文件。 若有一台主机连接到交换机的某个端口，交换机将会检测该主机的MAC地址信息，然后查找VLAN管理数据库中的 MAC地址表项，用相应的 VLAN配置内容来配置这个端口。动态VLAN的优

25、点在于：只要用户的应用性质不变，并且其所使用的主机不变，则用户在网络中移动时， 并不需要对网络进行额外配置或管理。缺点是： 和维护该数据库需要做大量的管理工作。Switchl的配置中，它的端口都指定一个特定【问题2】生成树协议 STP （Spanning Tree Protocol在使用VLAN管理软件建立VLAN管理数据库VLAN因此使用的是静态 VLAN方式。，生成树协议）是一个二层的链路管理协议，它的功能是保证在网络中没有回路的前提下，为第二层提供冗余路径，从而使用网络能够安全稳 定地运行。STP的工作过程如下，首先进行根桥的选举。然后确定交换机冗余链路端口的工作状态，其中 一些端口进入

26、转发状态，另一些端口进入阻塞状态。被阻塞的端口只能接收和读取BP DU而不能接收和转发数据流。这时，部分链路被阻断了，成为了备份链路，保证了两个终端站点之 间只有一条激活的链路，这样就建立起了一个无环的树状结构网络。如果网络拓扑发生变化 或是生成树中的一个路径因故障而失效时，生成树就会重新计算，激活其他的备份链路，生改为202.117.12.34 后发送到In ternet 上；而202.117.12.36 是区域（B）的子网中的 址，是一个合法的外部地址，成新的树拓扑，并强制将原来的故障链路变为备份链路，这时端口状态也会随之改变，以保 证数据的传输路径是唯一的。VTP( VLANTrunkP

27、rotocol , VLAN中继协议)通过网络保持 VLAN配置统一性，它是 VLAN中继 协议。VTP是OSI参考模型的第2层数据链路层协议，它在系统级管理VLAN的增加，删除，重命名，自动地将信息向网络中其它的交换机广播，而其他交换机会自动接收这些配置信息， 使之与VTPServer保持一致，从而保证了VLAN配置的统一。在同一个VTP域内，VTP通过中继端口在交换机之间传送VTP信息，从而使一个 VTP域内的交换机能共享 VLAN信息。【问题3】三台交换机的配置中，Switchl的fO/9端口、Switch2的fO/6端口、Switch3的fO/3端口都有一个相同的配置switch po

28、rt access vlan 11”它们都属于同一 VLAN11,即、 Computerl 和 Computer4 同属于 VLAN13。Server3、Computer2 和 Computer5 同属于 VLAN11 同理，Server2、Computer3 和 Computer6 同属于 VLAN12；Serverl8)3答案：【问题1】(1)B( 2)D【问题2】( 3)B( 4)D【问题3】( 5)B【问题4】( 6)A( 7)C【问题5】( 9)D【问题6】(10)A(11)D8) regedit分析：【问题 地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被

29、种者电 脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。 完整的木马程序一般由两个部分组成： 一个是服务器程序， 一个是控制器程序。 “中了木马” 就是指安装了木马的服务器程序，若电脑被安装了服务器程序，则拥有控制器程序的人就可 以通过网络控制该电脑，攻击者一旦获取入侵程序的系统程序，便与它连接起来，即可操纵 该电脑的所有信息。【问题 2】计算机感染特洛伊木马后的典型现象包括： 有可疑的进程在运行。1】木马”程序是目前比较流行的病毒文件，但是它不会自我繁殖，也并不“刻意”有未知程序试图建立网络连接和系统中【问题 3】 Netsat 用于显示协议统计和当前的 TCP/

30、IP 网络连接，可以通过这个命令发现所 有网络连接，发现异常网络信息，其中参数 -a 显示所有连接和侦听端口，因此检查木马的简 单方法就是使用 netstat-a 命令。【问题4】入侵程序可以通过修改Windows操作系统的system.ini中的相关注册表项实现系统启动时自动加载。通过运行 可以启动注册表编辑器来对注册表进行维护。【问题 5】网络防火墙的包过滤功能能够拦截木马程序。【问题 6】以下措施中能有效防治木马入侵的包括： 络连接监控程序4答案：【问题 1】( 1) hostname R1R1(config-if)# exit(4) 192.168.67.1 255.255.255.0

31、、win.ini 文件或修改系统 Windows 操作系统中的 regedit 命令，不随意下载来历不明的软件和运行实时网no shutdown5) interface3)serial 1(6)ip routingnetwork 192.168.100.0( 7)router ripcopy run start命令可以防止大量的端口状态变化【问题 2】在全局配置模式下，使用 no logging console 信息和报警信息对配置过程的影响。【问题 3】( 10) 192.168.65.1 (11) Serial0分析：【问题 1】从图 12-4 的拓扑结构中，得到路由器 Routeren (进入特权模式) Router#config terminal Router(config)# hostname R1 R1(config)# no logging console R1(config)#interface fastethernet 0/1 R1(config-if)# ip address 192.168.100.1 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit R