杏花亭_中级网络工程师2014下半年下午试题

1、中级网络工程师2014下半年下午试题试题一阅读以下说明，根据要求回答下面问题。    说明    某企业的网络结构如下图所示。    1、图中的网络设备应为_，网络设备应为_，从网络安全的角度出发，Switch9所组成的网络一般称为_区。    2图中处的网络设备的作用是检测流经内网的信息，提供对网络系统的安全保护。该设备提供主动防护，能预先对入侵活动和攻击性网络流量进行拦截，避免造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。网络设备应为_，其连接的Switch1的G1/1端口称为_端口，这种连接方式一

2、般称为_。2、随着企业用户的增加，要求部署上网行为管理设备，对用户的上网行为进行安全分析、流量管理、网络访问控制等，以保证正常的上网需求。部署上网行为管理设备的位置应该在上图中的_和_之间比较合理。    2网卡的工作模式有直接、广播、多播和混杂四种模式，默认的工作模式为_和_，即它只接收广播帧和发给自己的帧。网络管理机在抓包时，需要把网卡置于_，这时网卡将接受同一子网内所有站点所发送的数据包，这样就可以达到对网络信息监视的目的。3、针对上图中的网络结构，各台交换机需要运行_协议，以建立一个无环路的树状网络结构。按照该协议，交换机的默认优先级值为_，根交换机是根据_来选择的

3、，值小的交换机为根交换机；如果交换机的优先级相同，再比较_。    当上图中的Switch1Switch3之间的某条链路出现故障时，为了使阻塞端口直接进入转发状态，从而切换到备份链路上，需要在Switch1Switch3上使用_功能。4、根据层次化网络的设计原则，从上图中可以看出该企业网络采用了由_层和_层组成的两层架构。其中，MAC地址过滤和IP地址绑定等功能是由_完成的，分组的高速转发是由_完成的。试题一答案1、路由器或边界路由器    防火墙或统一安全网关(LISG)，或其他具有类似功能的网络安全设备    DMZ或非军事 &#

4、160;  入侵防护系统(IPS)或基于网络的入侵防护系统(NIPS)    镜像    旁路模式解析 由上图所给出的设备连接信息可知，该企业网络拓扑按分区域、层次化结构进行设计，主要分为网络出口区域、外部服务器区域、核心交换区域、接入交换区域、网络管理区域等。路由器具有广域网互连、隔离广播信息和异构网互连等能力，是企业网与Internet连接必不可少的网络互连设备。该企业网要接入Internet，因此需要在企业网的边界(即网络设备处)部署一台路由器，用于实现边界路由计算；在网络设备处部署一台防火墙，用于实现服务器区域、企业内网区域和网络出口区

5、域之间的逻辑隔离，提高服务器区域和企业内网区域的网络安全性能。    防火墙中的DMZ区也称为非军事区，它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在上图中，Switch9所组成的网络区域内放置了一些公开的服务器，例如企业Web服务器、DNS服务器、E-mail服务器等。因此，从网络安全的角度考虑，Switch9所组成的网络一般称为非军事区(或DMZ区)。    入侵防护系统(IPS)是一种主动防护的网络安全技术，所有接收到的数据包都要经

6、过它检查之后来决定是否放行，或执行缓存、抛弃策略。当发生攻击时及时发出警报，并将网络攻击事件及所采取的措施和结果进行记录。依题意，在图中网络设备应部署入侵防护系统(IPS)。对于交换型网络，交换机仅将数据包转发到相应的端口。因此需要对交换机进行端口镜像配置，以将流向各端口的数据包复制一份给监控端口，IPS从监控端口获取数据包并进行分析和处理。因此，网络设备连接到Switch1的G1/1端口称为镜像端口(即镜像的目标端口)。这种连接方式通常称为旁路模式。2、防火墙或网络设备    Switch1    广播模式    直接模式 

7、0;  混杂模式解析 在企业网络中通过部署上网行为管理设备，对用户的上网行为进行安全分析、网页访问过滤、网络访问控制、带宽流量管理、信息收发审计等，以保证正常上网需求。通常，将上网行为管理设备串接在防火墙(网络设备)和核心交换机Switch1之间。    网卡的工作模式有直接(Direct)、广播(Broad Cast)、多播(Multi Cast)和混杂(Promiscuous)4种模式。其中，工作在直接模式下的网卡只接收目的地址是自己MAC地址的帧。工作在广播模式的网卡接收物理地址(MAC地址)为0xFFFFFF的广播帧。多播传送地址作为目的物理地址的帧可以被

8、组内的其他主机同时接收，而组外主机却接收不到。但是若将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员。工作在混杂模式下的网卡将接收所有流过它的帧。网卡的默认工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。网络管理机在抓包时，需要把网卡置于混杂模式，这时网卡将接受同一子网内所有站点所发送的数据包，这样就可以达到对网络信息监视捕获的目的。3、STP或生成树协议    32768    交换机ID    交换机MAC地址    BackboneFast解析 生成树协议(STP)

9、是一种根据生成树算法制定的协议，能够逻辑地阻断网络中存在的冗余链路，以消除路径中的环路，并可以在活动路径出现故障时，重新激活冗余链路来恢复网络的连通，保证网络的正常工作。在上图中，核心交换机Switch1Switch3之间形成一个物理闭合环路。若不采取任何措施，将会带来数据包广播风暴等网络故障。为了使该企业网能够正常运行，需要在图中各台交换机需要运行STP协议，以建立一个无环路的树状结构网络。    生成树优先级的取值范围是061440，增量为4096。优先级的值越小，优先级越高。默认情况下，交换机的生成树优先级值为32768。    由交换机构成的局域

10、网中，构造生成树首先要选择一台交换机作为生成树的根。实现方法是选择交换机ID最小的交换机作为根交换机。通常，运行STP的每台交换机的ID由优先级值(长度为2B)和交换机MAC地址(长度为6B)组成。如果每台交换机的优先级相同，则再比较交换机MAC地址的大小。    STP的BackboneFast功能是使阻塞端口无须等待一个生成树最大存活时间(约30s)，而直接进入转发状态，从而提高交换机到根交换机的间接链路失效情况下的收敛速度。在上图中，Switch1Switch3是网络的骨干交换机。当它们相互之间的某条链路(例如Switch1与Switch2之间的链路)发生故障时，为了

11、使阻塞端口直接进入转发状态，从而切换到备份链路(例如Switch1与Switch3之间的链路)上，则需要在Switch1Switch3上使能STP的BackboneFast功能。4、核心    接入    接入层    核心层解析 根据层次化网络的设计原则，从上图中可以看出该企业网络采用了由核心层和接入层组成的两层架构。其中，分组的高速转发、接入Internet等功能是由核心层完成，MAC地址过滤、IP地址绑定、计费管理、访问日志记录等功能是由接入层完成的。试题二阅读以下说明，根据要求回答下面问题。    说明 &

12、#160;  某中学为两个学生课外兴趣小组提供了建立网站的软硬件环境。网站环境的基本配置方案如下：    1两个网站配置在同一台服务器上，网站服务由Win 2003环境下的IIS 6.0提供；    2网站的管理通过Win 2003的远程桌面实现，并启用Win 2003的防火墙组件；    3为兴趣小组建立各自独立的文件夹作为上传目录和网站的主目录，对用户使用磁盘空间大小进行了设定；    4通过不同的域名分别访问课外兴趣小组各自的网站。    按照方案，学校的网络工程师安装了Win

13、2003服务器，使用IIS6.0建立Web及FTP服务器，配置了远程桌面管理、防火墙，在服务器上为两个课外兴趣小组分配了不同的用户名，进行了初步的权限配置。5、Windows 2003远程桌面服务的默认端口是_，对外提供服务使用_协议。    在下图中，若要拒绝外部设备PING服务器，在防火墙的ICMP配置界面上应该如何操作?     6、在下图中，Web服务扩展选项中“所有未知CGI扩展禁止”的含义是什么?        2在上图中，如何配置Web服务扩展，网站才能提供对或asp程序的支持。7、在上图中，选择II

14、S管理器中的“FTP站点新建虚拟目录”，分别设置FTP用户与_、_的对应关系。    由于IIS内置的FTP服务不支持_，因此FTP用户密码是以明文方式在网络上传输，安全性较弱。8、在IIS 6.0中，每个Web站点都具有唯一的、由三部分组成的标识符，用来接收和响应请求，分别是_、_和_。网络工程师通过单击网站属性网站高级选项，通过添加_的方式在一个IP地址上建立多个网站。9、在_文件系统下，为了预防用户无限制的使用磁盘空间可以使用磁盘配额管理。启动磁盘配额时，设置的两个参数分别是_和_。试题二答案5、3389    RDP或远程显示取消“允许传入回显请

15、求”复选框的选中状态，然后单击【确定】按钮解析 远程桌面协议(RDP)是一个多通道的协议，提供了客户端(或称“本地电脑”)与服务器端(或称“远程电脑”)之间的连接服务。通常，服务器端开放TCP 3389端口来接收相关的通信数据。在Windows Servet 2003操作系统中，远程桌面服务的默认端口是3389，其对外提供服务使用RDP协议。    命令ping通过发送ICMP的Echo请求报文并监听Echo应答报文，来检查与远程或本地计算机的连接。在防火墙的ICMP选项卡中(如上图所示)，若要拒绝外部设备ping服务器，则需要取消“允许传入回显请求”复选框的选中状态，然后

16、单击确定按钮以保存这一配置信息。6、1.禁止网站添加任何的CGI(通用网关接口)扩展(指向.exe文件的应用程序扩展)    2.将“Activce Server Pages”的状态由“禁止”更改为“允许”解析 “Web服务扩展”功能用于确保IIS的安全。默认安装的IIS在Web服务扩展处全部都为禁用，只允许访问静态页面。若需要用到某个功能，则需要先在“Web服务扩展”中开启对应功能。如果在网站中添加了新的后缀对应的应用程序扩展(例如.php)，也需要在“Web服务扩展”处添加该扩展并设置成允许后才可以使用。例如，如果开启“所有未知CGI(通用网关接口)扩展”功能，则网站添

17、加任何的CGI扩展(指向.exe文件的应用程序扩展)都被允许执行；如果开启“所有未知ISAPI(服务器应用程序编程接口)扩展”功能，则网站添加任何的。ISAPI扩展(指向.dll文件的应用程序扩展)都被允许执行。    如果网站需要提供对程序(以.aspx结尾)或asp程序(以.asp结尾)的支持，则在上图中应将“Activce Server Pages”由原先的“禁止”状态更改为“允许”状态。7、主目录    目录的访问权限    SSL协议解析 FTP站点中的数据通常保存在主目录中，然而主目录所在的磁盘空间毕竟有限，不能满足日益增

18、长的数据存储要求。通过创建FTP站点虚拟目录可以较好地解决这个问题。虚拟目录可以作为FTP站点主目录下的子目录来使用。究其实质，虚拟目录是在FTP站点的根目录下创建一个子目录，然后将这个子目录指向本地磁盘中的任意目录或网络中的共享文件夹。创建FTP虚拟目录的步骤如下：    打开“Internet信息服务(IIS)管理器”窗口，在左窗格中展开FTP站点目录。右键单击创建的FTP站点名称，在弹出的快捷菜单中依次选择新建虚拟目录命令，打开虚拟目录创建向导对话框。    在欢迎对话框中单击下一步按钮，打开的“虚拟目录别名”对话框。用户可以根据需要设置连接到该虚

19、拟目录时使用的名称。虚拟目录的别名不必跟指向的实际目录名相同。在别名文本框中输入虚拟目录名称，并单击下一步按钮。    在打开“FTP站点内容目录”对话框，单击浏览按钮在本地磁盘中选中虚拟目录需要指向的实际目录，或者直接在路径文本框中输入目录的路径名称，并单击下一步按钮。    在打开的“虚拟目录访问权限”对话框中设置该目录的访问权限，用户可以根据实际需要决定读取、写入、记录访问3个复选框的选中状态。    依次单击下一步完成按钮完成创建过程。    由于IIS内置的FTP服务不支持安全套接层(SSL)协议，因此F

20、TP用户名和密码是以明文方式在网络上传输，安全性较弱。8、IP地址    端口号    主机头名称    不同的端口号或不同的主机头名称解析 在IIS 6.0中，每个Web站点都具有唯一的由IP地址、端口号、主机头名称3个部分组成的标识符，用来接收和响应请求，如下图所示。网络工程师通过单击网站属性网站高级选项，通过添加不同的端口号或主机头名称的方式，达到在同一个IP地址上建立多个网站。    9、NTFS    磁盘空间限制(或配额限制)    磁盘配额警告级别(或警告等级)

21、解析 Windows Server 2003磁盘配额功能能够跟踪每个用户在每个盘符中的使用情况，并根据用户的磁盘配额进行控制。由于配额是以每个用户为单位进行跟踪的，因此不管用户在某个NTFS格式的盘符下任何地方储存文件都会被记录。需要注意的是，磁盘配额必须建立在NTFS格式的盘符上，否则将无法使用该功能。换而言之，磁盘配额管理需要NTFS文件系统的支持。启动磁盘配额时，需要分别设置“将磁盘空间限制为”和“将警告等级设为”两个参数，如下图所示。    试题三阅读以下说明，根据要求回答下面问题。    说明    某企业的网络结构如下图所

22、示。        按照网络拓扑结构为该企业网络进行网络地址配置，地址分配如下表所示。 某企业网络地址分配表设备地址Router-NATF0/1：/24SO：00/24S1：00/24Web服务器00ISP-A00/24ISP-B00/24ISP-A地址池0002ISP-B地址池000210、企业网络中使用私有地址，如果内

23、网用户要访问互联网，一般使用_技术将私有网路地址转换为公网地址。在使用该技术时，往往是用_技术指定允许转换的内部主机地址范围。    一般来说，企业内服务器需要被外部用户访问，就必须对其做地址变换，内部服务器映射的公共地址不能随意更换，需要使用_NAT技术。但是对于企业内部用户来讲，使用一一映射的技术为每个员工配置一个地址很不现实，一般使用_NAT技术以提高管理效率。11、一般企业用户可能存在于任何一家运营商的网络中，为了确保每个运营商网络中的客户都可以高效地访问本企业所提供的网络服务，企业有必要同时接入多个运营商网络。根据企业网络的拓扑图和网络地址规划表，实现该企业出口的

24、双线接入。    首先，为内网用户配置NAT转换，其中以/24代表ISP-A所有网段；其次为外网用户访问内网服务器配置NAT转换。根据需求，完成以下Route-NAT的有关配置命令。    Route-Switch (config) #access-list 100 permit ip any 55    /定义到达ISP-A所有网段的ACL    Route-Switch (config) #access-list 101 _ ip any 61.192

25、.93.0 55    Route-Switch (config) #access-list 101 _    /定义到达ISP-B所有网段的ACL    RoUte-Switch (config) #ip nat pool ISP-A _ netmask    /定义访问ISP-A的合法地地池    Route-Switch (config) #ip nat pool ISP-B _ netmask    

26、;/定义访问ISP-B的合法地址池    Route-Switch (config) #ip nat inside source liSt100 pool ISP-A overload    Route-Switch (confg) #ip nat inside source _    /为内网用户实现区分目标运营商网络进行匹配的NAT转换    Route-Switch (config) #ip nat inside source static tcp _ extendable    /为内网

27、WEB服务器配置ISP-A的静态NAT转换    Route-Switch (config) #ip nat inside source static tcp _ extendable/为内网WEB服务器配置ISP-B的静态NAT转换deny    permit ip any 55    00 02    00 02    list 101 pool ISP-

28、B overload    00 80 00 80    00 80 00 8012、在路由器的内部和外部接口启用NAT，同时为了确保内网可以访问外部网络，在出口设备配置静态路由。根据需求，完成(或解释)Route-NAI的部分配置命令。    Route-Switch (config) #int s0    Route-Switch (config) # _    /指定NAT的外部转换接口  

29、;  Route-Switch (config) #int s1    Route-Switch (config) # _    /指定NAT的外部转换接口    Route-Switch (config) #int f0/1    Route-Switch (config) # _    /指定NAT的内部转换接口    Route-Switch (config) # _    /配置到达ISP-A的流量从s0口转发    

30、Route-Switch (config) # _    /配置默认路由指定从s1口转发Route-Switch (config) #ip route s0 120    / _iP nat outside    iP nat outside    iP natinside    iP route sOiP route S1 配置默认路由指定从s0接口转发，管理距离为12

31、013、 QoS(服务质量)主要用来解决网络延迟和阻塞等问题，它主要有三种工作模式，分别为_模型、Integrated Service(或集成服务)模型及_模型，其中使用比较普遍的方式是_模型。试题三答案10、网络地址转换或NAT    访问控制列表或ACL    静态    动态解析 网络地址转换(NAT)技术的主要功能是将组织机构网络中使用的某一类IP地址(如私有IP地址10.x.x.x、172.15.x.x172.31.x.x、192.168.x.x等)转换成另一类IP地址(如公网IP地址)。它被广泛应用于各种Internet接

32、入方式和各种类型的网络中。因为NAT不仅能够解决IP地址短缺的问题，还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。在使用NAT技术时，往往是用访问控制列表(ACL)技术指定允许转换的内部主机地址范围。    NAT主要有静态NAT、动态NAT和端口地址转换(PAT)3种转换方式。其中，静态NAT是指将IP地址一对一地映射到指定的合法IP地址。动态NAT是先定义一个外部网络合法的IP地址池，转换时动态选择一个未使用的地址与内部地址进行一对一的转换。PAT允许多个内部地址同时共用一个外部IP地址池，外部网络通过端口号来唯一标识某个内部IP地址，即实现端口级的复

33、用。    由于企业网中内部服务器映射的公共地址不能随意更换，因此需要使用静态NAT技术。    对于企业内部用户而言，通常使用动态NAT技术来提高网络管理效率。11、deny    permit ip any 55    00 02    00 02    list 101 pool ISP-B overload    

34、;00 80 00 80    00 80 00 80解析 在路由器上配置访问控制列表(ACL)的一般操作步骤是：定义一个标准(或扩展)的ACL；为ACL配置包过滤的准则；配置ACL的应用接口。在路由器全局配置模式下，配置扩展ACL的命令是access-list access-list-number permit | deny protocol source wildcard-mask destination wildcard-mask operator operand。其中，表号a

35、ccess-list-number可以是100199和20002699范围中的任何一个数字；通配符(wildcard-mask)是子网掩码的反码形式；operator(操作)指的是lt(小于)、gt(大于)、eq(等于)和neq(不等于)；operand(操作数)指的是端口号。    依题意，配置语句access-list 100 permit ip any 55的功能是，定义一条表号为100、允许企业内网中任何IP地址的主机可以访问运营商ISP-A所有网段的ACL。    同理，配置语句access-list 10

36、1 deny ip any 55的功能是，定义一条表号为101、禁止企业内网中任何IP地址的主机访问运营商ISP-A所有网段的ACL。    由上表可知，运营商ISP-B所有网段的地址为00/24。定义一条表号为101、允许企业内网中任何IP地址的主机访问运营商ISP-B所有网段的ACL配置语句是：access-list 101 permit ip any 55。    在路由器全局配置模式下，使用命令ip nat pool address-pool

37、-name start-address end-address netmask mask | prefix-length prefix-length定义全局IP地址池。由上表可知，运营商ISP-A地址池范围为0002。因此，定义访问ISP-A的合法地址池的配置语句是：ip nat pool ISP-A 00 02 netmask 。    同理，运营商ISP-B地址池范围为0002，因此，定义访问ISP-B的合

38、法地址池的配置语句是：ip nat pool ISP-B 00 02 netmask 。    在路由器全局配置模式下，使用命令ip natinside source list access-list-number pool address-pool定义内部源地址动态转换关系。依题意，配置语句ip nat inside source list 100 pool ISP-A overload的功能是，满足表号为100的ACL访问规则的内网用户与ISP-A的合法地址池进行动态NAT转换。  

39、  同理，满足表号为101的ACL访问规则的内网用户与ISP-B的合法地址池进行动态NAT转换的配置语句是：ip nat inside source list 101 pool ISP-B overload。    静态NAPT需要向外网络提供信息服务的服务器永久的一对一“IP地址+端口”映射关系。为外网用户访问内网服务器配置NAT转换时，需在路由器全局配置模式下，使用命令ip nat inside source static UDP | TCP)/ocal-address port global-address port extendable定义全局IP地址池。

40、依题意，Web服务器的IP地址为00，ISP-A的IP地址为00/24。因此，为内网Web服务器配置ISP-A的静态NAT转换的配置语句是：ip natinside source statictcp 00 80 00 80 extendable。    同理，ISP-B的IP地址为00/24。因此，为内网Web服务器配置ISP-B的静态NAT转换的配置语句是：ip nat inside source static tcp 192.168.1-100 80 202

41、.102.100.200 80 extendable。12、iP nat outside    iP nat outside    iP natinside    iP route sO    iP route S1    配置默认路由指定从s0接口转发，管理距离为120解析 在路由器全局配置模式下，使用命令ip nat outside将当前接口定义为NAT的外部转换接口。由上图所示的网络拓扑结构和上表中Rout

42、er-NAT设备的地址信息可知，S0和S1均应定义为NAT的外部转换接口。    Router-NAT设备的F0/1应定义为NAT的内部转换接口。    在路由器全局配置模式下，使用ip route命令配置静态路由，其命令格式是：ip route目的网络地址子网掩码下一跳路由器的IP地址|本地路由器IP包的输出接口。依题意，ISP-A的网段地址为，子网掩码为。若要使得到达ISP-A的流量从S0口转发，则相应的配置语句是ip route s0。  

43、  默认路由是静态路由的一个特例。默认路由中的“ ”表示未知主机，即任何无法判断的目的主机地址。依题意，默认路由指定从s1口转发，则相应的配置语句是ip route s1。    同理，配置语句ip route s0 120的功能是，配置默认路由指定从s0接口转发，管理距离为120。其中，120是路由信息协议(RJP)的路由管理距离。13、Differentiated Service或区分服务    Best-Effort Service或尽力而为服务

44、   Best-Effort Service或尽力而为服务解析 Qos(服务质量)主要用来解决网络延迟和阻塞等问题，主要有3种工作模式，分别为Differentiated Service(区分服务)模型、Integrated Service(集成服务)模型及Best-Effort Service(尽力而为服务)模型。其中，DiffServ(区分服务)实现Oos的基本思想是：将网络中传输的业务量分成多个类，并按不同方式进行处理。其实现过程可简述为：边界路由器对数据包进行分类，设置不同的标识，并根据SLA(服务等级协定)和PHB(逐跳转发行为)选择不同的队列转发。  

45、  集成服务(IntServ)实现OoS的基本思想是：在通信开始之前利用资源预留方式为通信双方预留所需的资源，保证所需要的服务质量。它是对端到端的行为进行控制，使得网络中的各元素能够控制和实现这些行为，从而使延迟得到有效控制。    Best-Effort Service模型是一个单一的服务模型，也是最简单的服务模型。在该服务模型中，网络尽最大的可能性来发送报文，但对延时、可靠性等性能不提供任何保证。Best-Errort服务模型是网络的默认服务模型，通过FIFO(先入先出)队列来实现。它适用于大多数网络应用，例如FTP、E-Mail等。试题四阅读以下说明，根据要

46、求回答下面问题。    说明    某公司网络拓扑结构如下图所示。公司内部使用C类私有IP地址，其中公司两个部门分别处于VLAN10和VLAN20，VLAN10采用/24网段，VLAN20采用/24网段，每段最后一个地址作为网关地址。     14、公司使用VTP协议规划VLAN，三层交换机S1为VTP Sever，其他交换机为VTP Client，并通过S1实现VLAN间通信。请根据网络拓扑和需求说明，完成交换机S1和S2的配置。    S1enable  

47、;  S1#configure terminal    S1 (config) #vtp mode _    S1 (config) #vtp domain shx    S1 (config) #vtp password shx    S1 (config) #vlan 10    S1 (eonfig-vlan) #exit    S1 (config) #vlan 20    S1 (config-vlan) #exit   &#

48、160;S1 (config) #interface vlan 10    S1 (config-if) #ip address _  _    S1 (config-if) #exit    S1 (config) #interface vlan 20    S1 (config-if) #ip address 54    S1 (config-if) #exit    S1 (config) #intetrac

49、e _ fastethernet 0/22-23    S1 (config-if-range) #switchport mode access    S1 (config-if-range) #switchporn mode _    S1 (config-if-range) #exit    S1 (config) #interface fastEthernet 0/1    S1 (config-if) # _    /关闭二层功能S1 (config-if) #ip

50、add 54    S1 (config-if) #exit        S1 (config) # _  _     /开启路由功能    S1 (config) #    S2enable    S2#configure terminal    S2 (config) #vtp mode _    S2 (config) #vtp domain sh

51、x    S2 (config) #vtp password shx    S2 (config) #intererce fastethernet 0/24    S2 (config-if) #switchport mode _    /设定接口模式    S2 (config-if) #end    S2#15、公司申请了/29地址段，使用NAT-PT为用户提供Internet访问，外部全局地址为，Web服务器使用的外部

52、映射地址为。请根据网络拓扑和需求说明，完成路由器R1的配置。    R1 (confiG) #interface serial 0/0/0    R1 (config-if) #ip address 48    R1 (config-if) #no shutdown    R1 (config-if) #clock rate 4000000    R1 (config-if) #ip address 192.168.

53、50.254    R1 (config-if) #no shutdown    R1 (config-if) #exit    R1 (config) #ip nat inside source _ 1 interface S0/0/0 Overload    R1 (config) #ip nat inside source static _    R1 (config) #interface fastethernet 0/0 

54、0;  R1 (config-if) #ip nat _    R1 (config-if) #interface serial 0/0/0    R1 (config-if) #ip nat _    R1 (config-if) #end    R1#permit    list        inside    outside试题四答案14、server    192.168.

55、10.254        range    trunk    no swichport    ip    routing    client    trunk解析 通过VLAN中继协议(VTP)可以减少在多台设备上配置同一VLAN信息的工作量，并保证整个网络VLAN配置的一致性。VTP有3种工作模式：服务模式(VTP Setver)、客户模式(VTP client)和透明模式(VTP Transparent)

56、。通常，一个VTP域内的整个网络只设1个VTP Server。VTP Server维护该VTP域中所有VLAN信息列表，VTP Server可以建立、删除或修改VLAN，发送并转发相关的通告信息，同步vlan配置，并把配置保存在NVRAM中。依题意，在三层交换机S1全局配置模式下，使用命令vtp mode server可将当前交换机的VTP模式设置为VTP Sever。    由题干给出的“VLAN10采用/24网段，VLAN20采用/24网段，每段最后一个地址作为网关地址”等关键信息可知，VLAN10的网关地址为192.16

57、8.10.254/24，VLAN20的网关地址为54/24。参照VLAN20网关地址的配置语句ip address 54 ，可得VLAN10网关地址的配置语句ip address 54    配置命令interface range fastehternet用于绑定一组交换机端口，并进入端口批量配置视图。    虚拟局域网中继(VLAN Trunk)是在同一个域的交换机与交换机(或交换机与路由器)之间的物理链路上能够传输多个VLAN

58、信息的技术。在端口配置模式下，使用命令switchportmode trunk将当前交换端口设置为Trunk模式。根据上图所示的公司网络拓扑结构，三层交换机S1通过端口f0/23、f0/24分别与接入层交换机S2和S3的f0/24端口进行连接。因此，需要将S1的f0/23、f0/24端口设置为Trunk模式，使得这两个端口能够传输VLAN1、VLAN10、VLAN20等信息。    三层交换机是一种带有三层路由功能的交换机，其端口既有三层路由功能，也具有二层交换功能。三层交换机端口默认为二层模式，接口配置模式下使用不带参数的switchport命令，把一个接口设置为二层模式

59、；若需要关闭二层功能、启用三层功能，则需要在此端口输入no switchport命令。    三层交换机默认情况下路由功能是关闭的，需要使用命令ip routing手动开启路由功能。    VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学习的。VTP Client不能建立、删除或修改VLAN，但可以转发通告，同步vlan配置，但不把配置保存配置到NVRAM中。依题意，交换机S2的VTP模式设置为VTP Client。15、permit    list    192

60、.168.40.1    inside    outside解析 在路由器全局配置模式下，配置标准ACL的命令是access-list access-list-number permit | deny source wildcard-mask。其中，表号access-list-number可以是199和13001999范围中的任何一个数字；通配符(Wildcard-mask)是子网掩码的反码形式。依题意，定义一条表号为1、允许企业内网中/24网段(即VLANl0)的主机可以访问Internet的标准ACL配置语句是：access-

61、list 1 permit 55。    在路由器全局配置模式下，使用命令ip nat inside source list access-list-number interface interfaceport定义内部源地址动态转换关系。依题意，配置语句ip nat inside source list 1 interface S0/0/0 Overload的功能是，满足表号为1的ACL访问规则的内网用户与S0/0/0所配置的合法地址池进行动态NAT转换。    根据上图所示的网络拓扑信息可知，Web服务器配置的内

62、网IP地址为/24。结合题干给出的“Web服务器使用的外部映射地址为”等关键信息，需要使用静态NAT技术来映射这一Web服务器，其相应的配置语句为ip nat inside source static 。    在路由器全局配置模式下，使用命令ip nat outside将当前接口定义为NAT的外部转换接口；使用命令ip nat inside将当前接口定义为NAT的内部转换接口。由上图所示的网络拓扑结构和题干所给出的地址信息可知，路由器的S0/0/0接口应定义为NAT的外部

63、转换接口，f0/0接口应定义为NAT的内部转换接口。答案:试题一1、路由器或边界路由器    防火墙或统一安全网关(LISG)，或其他具有类似功能的网络安全设备    DMZ或非军事    入侵防护系统(IPS)或基于网络的入侵防护系统(NIPS)    镜像    旁路模式解析 由上图所给出的设备连接信息可知，该企业网络拓扑按分区域、层次化结构进行设计，主要分为网络出口区域、外部服务器区域、核心交换区域、接入交换区域、网络管理区域等。路由器具有广域网互连、隔离广播信息和异构网互连等能力，是企业网与Internet连接必不可少的网络互连设备。该企业网要接入Internet，因此需要在企业网的边界(即网络设备处)部署一台路由器，用于实现边界路由计算；在网络设备处部署一台防火墙，用于实现服务器区域、企业内网区域和网络出口区域之间的逻辑隔离，提高服务器区域和企业内网区域的网络安全性能。    防火墙中的DMZ区也称为非军事区，它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系