上半网络工程师下午试题分析与解答

1、2005上半年网络工程师级下午试题分析与解答（1）试题一（15分）阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。 【说明】某公司已有一个100用户的有线局域网。由于业务的发展，现有的网络不能满足需求，需要增加40个用户的网络连接，并在公司客户接待室连接网络以满足合作伙伴实时咨询的需求。现结合公司的实际情况组建无线局域网，具体拓扑如图1-1所示。（点击查看大图）图1-1 无线局域网拓扑结构图1-1中PC1的无线网卡配置信息如图1-2所示。（点击查看大图）图1-2 无线网卡配置信息【问题1】目前无线局域网主要有哪两大标准体系？简述各自特点。【问题2】在图1中，为什么采用两种方式

2、连接Internet？【问题3】在图2中，当有多个无线设备时，为避免干扰需设置哪个选项的值？【问题4】IEEE 802.11中定义了哪两种拓扑结构？简述这两种拓扑结构的特点。图1-2中Operating Mode属性的值是什么？【问题5】选项ESSID（扩展服务集ID）的值如何配置？【问题6】图1-2中Encryption Level选项用以配置WEP。WEP采用的加密技术是什么？值备选项中应包含两种长度为多少的密钥？试题分析【问题1】无线局域网是计算机网络与无线通信技术相结合的产物。通俗地讲，无线局域网（Wireless Local-Area Network，WLAN）就是在不采用传统电缆线

3、的同时，提供传统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着实际需要移动或变化。无线局域网技术具有传统局域网无法比拟的灵活性。无线局域网的通信范围不受环境条件的限制，网络的传输范围大大拓宽，最大传输范围可达到几十公里。在有线局域网中，两个站点的距离在使用铜缆时被限制在500m，即使采用单模光纤也只能达到3000m，而无线局域网中两个站点间的距离目前可达到50km，距离数公里的建筑物中的网络可以集成为同一个局域网。此外，无线局域网的抗干扰性强、网络保密性好。对于有线局域网中的诸多安全问题，在无线局域网中基本上可以避免。而且相对于有线网络，无线局域网的组建、

4、配置和维护较为容易，一般计算机工作人员都可以胜任网络的管理工作。无线局域网主要分为两大阵营：IEEE 802.11标准体系和欧洲邮电委员会（CEPT）制定的HIPERLAN（High Performance Radio LAN）标准体系。（1）IEEE 802.11标准由面向数据的计算机局域网发展而来，网络采用无连接的协议；IEEE 802.11无线局域网标准的制定是无线网络技术发展的一个里程碑。802.11 标准除了介绍无线局域网的优点及各种不同性能外，还使得各种不同厂商的无线产品得以互联。另外，标准使核心设备执行单芯片解决方案，降低了无线局域网的造价。802.11 标准的颁布，使得无线局域

5、网在各种有移动要求的环境中被广泛接受。它是无线局域网目前最常用的传输协议，各个公司都有基于该标准的无线网卡产品。不过由于802.11速率最高只能达到2Mb/s，在传输速率上不能满足人们的需要，因此，IEEE小组又相继推出了802.11b和802.11a两个新标准，前者已经成为目前的主流标准，而后者也被很多厂商看好。802.11b标准采用一种新的调制技术，使得传输速率能根据环境变化，它采用2.4GHz直接序列扩频，最大数据传输速率为11Mb/s，无须直线传播。当射频情况变差时，动态速率转换可将数据传输速率降低为5.5Mb/s、2Mb/s和1Mb/s。支持的范围是在室外为 300 m，在办公环境中

6、最长为100 m。802.11b使用与以太网类似的连接协议和数据包确认，来提供可靠的数据传送和网络带宽的有效使用。802.11a标准是已在办公室、家庭、宾馆、机场等众多场合得到广泛应用的802.11b无线局域网标准的后续标准。802.11a标准的传输更惊人，传输速度可达25Mb/s，完全能满足语音、数据、图像等业务的需要。随着无线IEEE 802.11标准开始深入人心，制造商开始寻求为以太网平台提供更为快速的协议和配置。IEEE成立了无线局域网任务工作组，专门从事无线局域网802.11g标准的制定，力图解决这一问题。802.11g其实是一种混合标准，它既能适应传统的802.11b标准，在2.4

7、GHz频率下提供每秒11Mb/s数据传输率，也符合802.11a标准在5GHz频率下提供56Mb/s数据传输率。随着802.11g标准认可，它将有助于进一步推动802.11无线局域网飞速发展的势头。（2）HIPERLAN标准是基于连接的无线局域网，致力于面向语音的蜂窝电话。HIPERLAN标准是由欧洲电信标准化协会（ETSI）的第10研究组开发的，作为高速无线LAN的泛欧标准，HIPERLANI是其第一项技术标准，于1992年提出，并于当年完成。它可用传统的调制技术在5.2GHz频带内支持传输223Mb/s的数据流。HIPERLAN使用先听后讲的无抢先多接入协议，支持同步和异步传输。HIPER

8、LAN为每个数据包定义了优先级处理，且易于QoS控制。MAC层除了正常路由选择外，还可处理扰码和功率保持。适合无线ATM的其他版本的HIPERLAN以及其他替代标准目前都正在研究中、随着标准的发展，HIPERLANl得以升级。但目前还没有一个制造商将它作为产品改良的标准。欧洲联合会为 HIPERLAN安排频带是美联邦电信委员会（FCC）开放U-NII（未开放国家信息基础结构）频带的一个开端。【问题2】目前，大多数企业都采用两种或更多种方式连接Internet，其主要作用是增加备份连接，提高连接的可靠性；同时也提高了用户连接Internet的速率。当其中一条出现故障时不影响网络的Internet

9、接入。【问题3】802.11规定了从2.4GHz到2.4835GHz之间83.5MHz的空间，并且把这段频谱空间分隔成11个频道（如下图所示）。因为每个频道要占用22MHz的频带，因此只有频道是互不重叠的，对应用这两个频带的无线局域网设备可能会造成干扰。因此当有多个无线设备时，为避免干扰需设置Channel（频道）选项的值。【问题4】一种是基础设施网络（Infrastructure Networking），另一种是特殊网络（Ad Hoc Networking）。在基础设施网络中，无线终端通过接入点（Access Point，AP）访问骨干网上的设备，或者互相访问，如下图所示。这种模式通过数张无

10、线网络卡（USB、PCI或PCMCIA接口）及一台无线网桥（AP），通过AP实现无线网络内部及无线网络与有线网络之间的互通。Ad hoc网络是一种点对点连接，不需要有线网络和接入点的支持，以无线网卡连接的终端设备之间可以直接通信，如下图所示。数张无线网卡（USB、PCI或PCMCIA接口）可以自成网络，无须AP，组成一种临时性的松散的网络组织方式，实现点对点和点对多点连接。不过这种方式不能连接外部网络。很显然，题中采用了基础设施网络（或Infrastructure）结构，因此Operating Mode属性的值是基础设施网络（或Infrastructure）。【问题5】ESSID是无线网络设备

11、的服务区域认证ID。每一个接入点（一般是无线AP）内写入一个服务区域认证ID（WLAN ESSID），每当终端要连上AP时，AP便会检查其ESSID是否与AP内部ESSID相同，如果不符合就拒绝提供服务。例如，某AP的ESSID为NET，而终端若不知道这个AP的ESSID，连接就会中断。因此，选项ESSID（扩展服务集ID）的值与AP1的ESSID相同。【问题6】WEP在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制。参考答案【问题1】无线局域网

12、主要分为两大阵营：IEEE 802.11标准体系和欧洲邮电委员会（CEPT）制定的HIPERLAN（High Performance Radio LAN）标准体系。（答案中见IEEE 802.11就给1分，见HIPERLAN就给1分）IEEE 802.11标准是由面向数据的计算机局域网发展而来，网络采用无连接的协议； HIPERLAN标准是基于连接的无线局域网，致力于面向语音的蜂窝电话。（1分）【问题2】增加备份连接，提高连接的可靠性；同时也提高了用户连接Internet的速率。【问题3】Channel（频道）【问题4】一种是基础设施网络（Infrastructure Networking），

13、另一种是特殊网络（Ad Hoc Networking）。在基础设施网络中，无线终端通过接入点（Access Point，AP）访问骨干网上的设备，或者互相访问。Ad hoc网络是一种点对点连接，不需要有线网络和接入点的支持，以无线网卡连接的终端设备之间可以直接通信。基础设施网络（或Infrastructure）。【问题5】与AP1的ESSID相同。【问题6】RC算法，40位（或64位）和128位。（每空1分）（53）B （54）B （55）C试题二（15分）（1）阅读以下说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】FTTx+LAN是实现宽带接入的常用方法，基本结构如下图所示。

14、【问题1】FTTx+LAN接入方式采用什么拓扑结构？【问题2】若备选设备有光网络单元（ONU）、光收发器和交换机，为上图中A、B、C选择正确的设备，填写在答题纸相应位置。【问题3】将图中（1）（3）处空缺的传输介质名称填写到答题纸的相应位置。【问题4】本方案采用DHCP来分配网络地址。DHCP是（4）协议的一个扩展，便于客户自动从服务器获取IP地址和相关设置，其中实现IP地址动态分配的过程如下：（下面到未按顺序排列） 客户设置服务器ID和IP地址，并发送给服务器一个DHCPREQUEST报文。 客户端向服务器广播DHCPDISCOVER报文，此报文源地址为 （5） ，目标地址为 （6） 。 服

15、务器返回 DHCPACK报文。 服务器返回 DHCPOFFER报文。客户收到的数据包中应包含客户的 （7） 地址，后面跟着服务器能提供的IP地址、子网掩码、租约期限以及DHCP服务器的 （8） 地址。客户进行ARP检测，如果觉得有问题，发送DHCPDECLINE报文；如果觉得没有问题，就接受这个配置参数。（1）将文中按照应答过程重新排序。（2分）（2）将文中（4）（8）处空缺的名称填写在答题纸的相应位置。（5分）试题分析【问题1】FTTX+LAN这是一种利用光纤加5类网络线方式实现宽带接入方案，实现千兆光纤到小区（大楼）中心交换机，中心交换机和楼道交换机以百兆光纤或5类网络线相连，楼道内采用综

16、合布线，用户上网速率可达10Mb/s，网络可扩展性强，投资规模小。另有光纤到办公室、光纤到户、光纤到桌面等多种接入方式满足不同用户的需求。其技术特点如下：（1）高速传输用户上网速率为10100Mb/s以后可根据用户需要升级。 （2）网络可靠、稳定楼道交换机和小区中心交换机、小区中心交换机和局端交换机之间通过光纤相连。网络稳定性高、可靠性强。 （3）用户投资少、价格便宜用户只需要一台带有网络接口卡（NIC）的PC机即可上网。（4）安装方便小区、大厦、写字楼内采用综合布线，用户端采用5类网络线方式接入，即插即用。（5）应用广泛通过FTTX+LAN方式可以实现高速上网、远程办公、VOD点播、VPN等

17、多种 业务。其业务功能如下： （1）高速数据接入用户可以通过FTTX+LAN宽带接入方式快速地浏览各种因特网上的信息、进行网上交谈、收发电子邮件等。（2）视频点播由于FTTX+LAN方式高带宽的接入，特别适合用户对音乐、影视和交互式游戏点播的需求，还可根据用户的个性化需要进行随意控制。（3）家庭办公实现家庭办公，客户只需通过高速接入方式，在网上查阅自己本企业（单位）信息库中您所需要的信息，甚至可以面对面地和同事进行交谈，完成工作任务。 （4）远程教学、远程医疗等通过宽带接入方式，客户可以在网上获得图文并茂的多媒体信息，或与老师、医生进行随意交流、探讨。FTTx+LAN方式采用星型网络拓扑，用户

18、共享带宽。【问题2】光接入网（OAN）可以定义为共享同样网络侧接口且由光接入传输系统支持的一系列接入链路，由光线路终端（OLT）、光配线网（ODN）、光网络单元（ONU）及适配功能（AF）组成。OLT的作用是为光接入网提供网络侧与本地交换机之间的接口并经一个或多个ODN与用户侧的ONU通信，OLT与ONU的关系为主从通信关系。在北美，OLT称为局用数字终端（HDT）。OLT可以分离交换和非交换业务，管理来自ONU的信令和监控信息，为ONU和本身提供维护和供给功能。OLT可以直接设置在本地交换机接口处，也可以设置在远端，与远端集中器或复用器接口。OLT在物理上可以是独立设备，也可以与其他功能集成

19、在一个设备内。ODN为OLT与ONU之间提供光传输手段，其主要功能是完成光信号功率的分配。ODN是由无源光元体（诸如光纤光缆、光连接器和光分路器等）组成的纯无源的光配线网，呈树形-分支结构。ONU的作用是为光接入网提供直接的或远端的用户侧接口，处于ODN的用户侧。ONU的主要功能是终结来自ODN的光纤处理光信号并为多个小企事业用户和居民住宅用户提供业务接口。ONU的网络侧是光接口而用户侧是电接口，因此ONU需要有光/电和电/光转换功能，还要完成对语声信号的数/模和模/数转换、复用、信令处理和维护管理功能。其位置有很大灵活性，既可以设置在用户住宅处，也可以设置在DP处甚至FP处，按照ONU在用户

20、接入网中所处的位置不同，可以将OAN划分为3种基本不同的应用类型，即光纤到路边（FTTC），光纤到楼（FTTB）以及光纤到办公室（FTTO）和光纤到家（FTTH）。光收发器的作用是在用户段和交换机段实现光电的相互转换，使网络主干的传输更加可靠、更加快速。本题中设备A为ISP到小区的系统用户侧设备，显然是光网络单元（ONU）。设备B为数据交换的中心，连接小区和光接入网，同时还接有DHCP服务器实现动态的IP地址分配，因此此处应该为交换机。设备C在楼层交换机和小区中心交换机之间，且交换机端已有一个光收发器，故此处应该是楼层端的光收发器。【问题3】FTTx+LAN是一种利用光纤加5类网络线方式实现宽

21、带接入方案，其接入采用光纤，因此（1）处应为光纤。光收发器之间采用光纤连接，故（2）处介质为光纤。楼层交换机到家庭用户采用5类双绞线。试题二（15分）（2）【问题4】DHCP是Dynamic Host Configuration Protocol的缩写，它的前身是BOOTP。BOOTP 原本是用于无磁碟主机连接的网络，网络主机使用BOOT ROM而不是磁碟启动并连接上网络，BOOTP则可以自动地为那些主机设定TCP/IP环境。但BOOTP有一个缺点：在设定前须事先获得客户端的硬件位址，而且与IP的对应是静态的。换而言之，BOOTP 非常缺乏动态性，若在有限的IP资源环境中，BOOTP的一对一对

22、应会造成非常大的浪费。DHCP可以说是BOOTP的增强版本，它分为两个部分：一个是服务器端，另一个是客户端。所有的IP网络设定资料都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境资料。比起BOOTP，DHCP 透过租约的概念，有效且动态地分配客户端的TCP/IP设定，而且，出于兼容考虑，DHCP也完全照顾了BOOTP Client的需求。（1）DHCP的分配形式首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端协商TCP/IP的设定环境。它提供两种IP定位方式：自动分配（Automatic Allocatio

23、n）：一旦DHCP客户端第一次成功地从DHCP服务器端租用到IP位址之后，就永远使用这个位址。动态分配（Dynamic Allocation）：当DHCP第一次从HDCP服务器端租用到IP位址之后，并非永久的使用该位址，只要租约到期，客户端就得释放（release）这个IP位址，以给其他工作站使用。当然，客户端可以比其他主机更优先地延续（renew）租约，或是租用其他的IP位址。动态分配显然比自动分配更加灵活，尤其是当实际IP位址不足的时候，例如：一家ISP只能提供200个IP位址用来给拨接客户，但并不意味着客户最多只能有200个。因为客户们不可能全部同一时间上网的，除了他们各自的行为习惯的不

24、同，也有可能是电话线路的限制。这样就可以将这200个位址，轮流地租用给拨接上来的客户使用了。当然，ISP不一定使用DHCP来分配位址，但这个概念和使用IP Pool的原理是一样的。DHCP除了能动态地设定IP位址之外，还可以将一些IP保留下来给一些特殊用途的机器使用，它可以按照硬件位址来固定地分配IP位址，这样可以给您更大的设计空间。同时，DHCP 还可以帮客户端指定routernetmaskDNS ServerWINS Server等项目，在客户端除了将DHCP选项打勾之外，几乎无须做任何的IP环境设定。（2）DHCP的工作原理区别于客户端是否第一次登录网络，DHCP的工作形式会有所不同。第

25、一次登录的时候： 寻找Server。当DHCP客户端第一次登录网络的时候，也就是客户发现本机上没有任何IP资料设定，它会向网络发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网络，所以封包的来源位址为.0，而目的位址则为 55，然后再附上Dhcpdiscover的信息，向网络进行广播。在Windows的预设情形下，Dhcpdiscover的等待时间预设为1s，也就是当客户端将第一个Dhcpdiscover封包送出去之后，在1s之内没有得到回应的话，就会进行第二次 Dhcpdiscover广播。若一直得不到回应，客户端一共会有4次Dhcpdiscover广播（包括第一次在内

26、），除了第一次会等待1s之外，其余3次的等待时间分别是9s13s16s。如果都没有得到DHCP服务器的回应，客户端会显示错误信息，宣告Dhcpdiscover的失败。之后，基于使用者的选择，系统会继续在5min之后再重复一次Dhcpdiscover的过程。 提供IP租用位址。当DHCP服务器监听到客户端发出的Dhcpdiscover广播后，它会从那些还没有租出的位址范围内，选择最前面的空置IP，连同其他TCP/IP设定，回应给客户端一个Dhcpoffer封包。由于客户端在开始的时候还没有IP位址，所以在其Dhcpdiscover封包内会带有其MAC位址信息，并且有一个XID编号来辨别该封包，D

27、HCP服务器回应的Dhcpoffer封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，Dhcpoffer封包会包含一个租约期限的信息。 接受IP租约。如果客户端收到网络上多台DHCP服务器的回应，只会挑选其中一个Dhcpoffer而已（通常是最先抵达的那个），并且会向网络发送一个Dhcprequest广播封包，告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP位址。同时，客户端还会向网络发送一个ARP封包，查询网络上面有没有其他机器使用该 IP位址；如果发现该IP已经被占用，客户端则会送出一个DHCPDECLINE封包给DHCP服务器，拒绝接受其Dhcpoffe，并重新发送D

28、hcpdiscover信息。事实上，并不是所有DHCP客户端都会无条件接受DHCP服务器的offer，尤其这些主机安装有其他TCP/IP相关的客户软件。客户端也可以用 hcprequest向服务器提出 DHCP选择，而这些选择会以不同的号码填写在DHCP Option Field里面。换句话说，在 DHCP服务器上面的设定，客户端未必全都接受，客户端可以保留自己的一些TCP/IP设定，主动权永远在客户端这边。 租约确认。当DHCP服务器接收到客户端的Dhcprequest之后，会向客户端发出一个DHCPACK回应，以确认IP租约正式生效，也就结束了一个完整的DHCP工作过程。以上的工作流程如下

29、图所示。非第一次登录的时候：一旦DHCP客户端成功地从服务器那里取得DHCP租约之后，除非其租约已经失效并且IP位址也重新设定回.0，否则就无须再发送Dhcpdiscover信息了，而会直接使用已经租用到的IP位址向之前的DHCP服务器发出Dhcprequest信息，DHCP服务器会尽量让客户端使用原来的IP位址，如果没问题的话，直接回应Dhcpack来确认即可。如果该位址已经失效或已经被其他机器使用了，服务器则会回应一个DHCPNACK封包给客户端，要求其重新执行Dhcpdiscover。 至于IP租约期限却是非常考究的，并非如我们租房子那样简单，以NT为例子：DHCP 工作站除了在开机的时

30、候发出dhcprequest请求之外，在租约期限一半的时候也会发出 dhcprequest，如果此时得不到DHCP服务器的确认的话，工作站还可以继续使用该IP；然后在剩下的租约期限的再一半的时候（即租约的75%），还得不到确认的话，那么工作站就不能拥有这个IP了。要是想退租，可以随时送出DHCPLEREASE命令解约。因此，正确的顺序为。参考答案【问题1】星型拓扑【问题2】A. 光网络单元（ONU）B. 交换机C. 光收发器【问题3】（1）光纤（2）光纤（3）5类双绞线【问题4】1. （2分）2. （5分）（4）BOOTP（5）.0（7）MAC（8）IP地址试题三（15分）阅读以下说明，回答问

31、题1至问题5，将解答填入答题纸的对应栏内。【说明】SSL（Secure Socket Layer）是目前解决传输层安全问题的一个主要协议，其设计的初衷是基于TCP协议之上提供可靠的端到端安全服务，SSL的实施对于上层的应用程序是透明的。应用SSL协议最广泛的是HTTPS，它为客户浏览器和Web服务器之间交换信息提供安全通信支持，如图3-1所示。图3-2给出了IIS5.0 Web服务器软件中启用HTTPS服务之后的默认配置。（点击查看大图）图3-1（点击查看大图）图3-2【问题1】SSL协议使用 （1） 密钥体制进行密钥协商。在IIS5.0中，Web服务器管理员必须首先安装Web站点数字证书，然

32、后Web服务器才能支持SSL会话，数字证书的格式遵循ITU-T （2） 标准。通常情况下，数字证书需要由 （3） 颁发。【问题2】如果管理员希望Web服务器既可以接收http请求，也可以接收https请求，并且Web服务器要求客户端提供数字证书，在图3-2中如何进行配置？【问题3】如果Web服务器管理员希望Web服务器只接收https请求，并要求在客户IE和Web服务器之间实现128位加密，并且不要求客户端提供数字证书，在图3-2中如何进行配置？【问题4】如果Web服务器管理员希望Web服务器对客户端证书进行强制认证，在图3-2中如何进行配置？【问题5】如果Web服务器管理员准备预先设置一些受

33、信任的客户端证书，在图3-2中如何进行配置？试题三分析Internet的会话层（Sockets Layer）上的安全会话层（Secure Sockets Layer）协议采用TCP作为传输协议提供数据的可靠传送和接收服务，可为上层的应用，如Telnet、FTP和HTTP提供安全业务。SSL协议主要由SSL记录层协议和SSL握手协议组成，后者用于SSL连接协商安全参数，其中主要用到的是公钥密码算法，如RSA、DH等。SSL协议已经得到广泛的应用，尤其是各主流的Web服务器软件和浏览器软件都捆绑了SSL协议的实现。微软的IIS Web服务器软件为配置SSL协议提供了图形化的配置界面，在实际的配置过

34、程中，管理员首先需要为IIS申请数字证书，数字证书是由证书认证机构（CA）签发的，其格式遵循X.509标准，目前，数字证书中的数字签名主要用的是RSA公钥密码算法。SSL协议首先支持的是服务器端的认证，主要是通过客户端对服务器端的数字证书进行认证完成，而对客户端的认证作为一个可选项，在实际应用的过程中，管理员根据特定的应用环境来选择合适的方式。在IIS中配置SSL协议，如果选择要求安全通道（SSL）复选框，那么Web服务器只提供HTTPS服务（默认TCP的443号端口），否则，Web服务器同时提供HTTPS和HTTP服务；另外，忽略客户证书、接收客户证书与要求客户证书3个选项是有区别的，忽略客

35、户证书是指服务器端不向客户端发送请求客户端证书的消息；接收客户证书是指服务器端向客户端发送请求客户端证书的消息，但不要求客户端必须提供证书，也就是说，服务器端可以容忍客户不具备证书的情况；要求客户证书是指服务器端向客户端发送请求客户端证书的消息，并强制要求客户端必须提供证书，否则，通信将中断。IIS Web服务器在验证客户端提供的数字证书时，可以使用证书信任列表这种方法，预先在服务器端配置一个受信任客户端证书的集合。在SSL握手协议的工作过程中，服务器端接收到客户端证书时，首先检查证书信任列表是否已经包含该证书，如果是，直接通过该客户端证书的验证，否则，需要按照标准的证书验证流程来操作（签名验

36、证、有效期、证书状态检查等）。SSL协议本身对密码算法的选择是灵活的，SSL协议发展到现在，已经定义了很多密码算法组合，有的密码算法组合安全性弱一些，有的密码算法组合安全性高一些，这个过程也受到很多因素的影响，比如新算法的发明、密码算法出口限制等。在IIS中配置SSL协议，选择要求128位加密复选框意味着服务器端仅支持安全性较高的密码算法组合，这样可以提高SSL通信的安全性。参考答案【问题1】（1）答公钥或非对称均给分（2）X.509（3）答第三方证书颁发机构（CA）或证书认证机构均给分【问题2】不选择要求安全通道（SSL）复选框，选择接受客户证书单选框。【问题3】选择要求安全通道（SSL）复

37、选框，选择要求128位加密复选框，选择忽略客户证书单选框。【问题4】选择要求安全通道（SSL）复选框，选择要求客户证书单选框。【问题5】选择启用证书信任列表复选框，添加相应受信任的客户端证书。试题四（15分）（1）阅读以下说明，回答问题1至问题7，将解答填入答题纸对应的解答栏内。 【说明】下图是在网络中划分VLAN的连接示意图。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在支持VLAN的交换机端口上，并属于某个VLAN。【问题1】同一个VLAN中的成员可以形成一个广播域，从而实现何种功能？【问题2】在交换机中配置VL

38、AN时，VLAN 1是否需要通过命令创建？为什么？【问题3】创建一个名字为v2的虚拟局域网的配置命令如下，请给出空白处的配置内容：Switch # （1） （进入VLAN配置模式） Switch(vlan)# （2） （创建v2并命名） Switch(vlan)# （3） （完成并退出）【问题4】使Switch1的千兆端口允许所有VLAN通过的配置命令如下，请给出空白处的配置内容：Switch1(config)#interface gigabit 0/1（进入千兆端口配置模式）Switch1(config-if)#switchport （4） Switch1(config-if)#switch

39、port （5） 【问题5】若交换机Switch1和Switch2没有千兆端口，在上图10中能否实现VLAN Trunk的功能？若能，如何实现？【问题6】将Switch1的端口6划入v2的配置命令如下，请给出空白处的配置内容：Switch1(config)#interface fastEthernet 0/6 （进入端口6配置模式）Switch1(config-if)#switchport （6） Switch1(config-if)#switchport （7） 【问题7】若网络用户的物理位置需要经常移动，应采用什么方式划分VLAN？ 试题四分析【问题1】VLAN（Virtual Local

40、 Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧也能在同一个广播域中畅行无阻。广播帧在网络中是必不可少的，如客户机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且，由于设备之间也需要相互通信，因此在网络中即使没有用户人为地发送广播帧，网络上也会出现一定数量的广播帧。同单播和多播相比，广播几乎占用了子网内网络的所有带宽。网络

41、中不能长时间出现大量的广播帧，否则就会出现广播风暴。广播风暴是网络长时间被大量的广播数据包所占用，使正常的点对点通信无法正常进行，其外在表现为网络速度奇慢无比。使用路由器或三层交换机能够实现在不同子网间隔离广播风暴的作用。当路由器或三层交换机收到广播帧时并不处理它，使它无法再传递到其他子网中，从而达到隔离广播风暴的目的。因此在由几百台甚至上千台电脑构成的大中型局域网中，为了隔离广播风暴，都要进行子网划分。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。广播域隔离不同VLAN之间的广播风暴，从而提高网络通信效率；实现各个

42、VLAN之间的逻辑隔离。【问题2】在交换机中配置VLAN时，VLAN 1由系统自动创建，因此不需要通过命令创建。试题四（15分）（2）【问题3】（1）进入VLAN配置模式命令为：Switch #vlan database （2）创建VLAN 2并命名的命令为：Switch(vlan)#vlan 2 name v2 （3）完成并退出的命令为：Switch(vlan)#exit （或Switch(vlan)#end）【问题4】（4）设置trunk模式：Switch1(config-if)#switchport mode trunk（5）设置该千兆端口允许所有VLAN通过：Switch1(confi

43、g-if)#switchport trunk allo- wed vlan all（或trunk encapsulation isl ）【问题5】VLAN Trunk是一个在一个或多个交换端口与另一个网络设备（例如，路由器或交换机）之间的点到点连接（Point-To-Point Link）。Trunk通过一个单独的物理线路负载多个VLAN的数据通信，并允许在整个网络内扩展多个VLAN。常见的有以下两种应用场合：（1）路由器通过一个Trunk口接交换机的Trunk口，来完成该交换机上不同VLAN之间数据包的转发。这时如果要使用防火墙代替路由器，完成不同VLAN的包转发，就需要防火墙支持Trunk

44、协议。否则防火墙只能通过使用自己的多个接口来分别挂接这些VLAN实现访问控制。LinkTrustTM CyberWall领信防火墙在千兆以太网口上支持工业标准的802.1q VLAN Trunk封装协议，可以使用防火墙的一个以太口与交换机的Trunk口相连，从效果上看相当于利用一个以太口完成了交换机上多个局域网之间的包转发。（2）另一种场合是一个具有路由模块或三层交换功能的交换机，通过一个Trunk口与一个交换机相连，来完成两个交换机上同一VLAN的通信，并完成两个交换机或一个交换机上不同VLAN之间的通信。这时，领信防火墙由于支持Trunk协议，可以用透明模式工作在已经架设好的两个Trunk

45、口之间，实现VLAN间的访问控制。（3）若交换机Switch1和Switch2没有千兆端口，在交换机Switch1和Switch2中各牺牲一个普通以太端口（fastEthernet）并将其配置成Trunk模式。因此，若交换机Switch1和Switch2没有千兆端口，也可以实现VLAN Trunk的功能。【问题6】（6）Switch1(config-if)#switchport mode access （7）Switch1(config-if)#switchport access vlan 2或Switch1(config-if)#switchport access vlan v2也正确。【问

46、题7】根据虚拟局域网的成员定义，虚拟局域网通常可划分为4种： 基于交换机端口的虚拟局域网：早期的虚拟局域网都是根据局域网交换机的端口来定义虚拟局域网成员的。这种方式从逻辑上把局域网交换机的端口划分为不同的虚拟子网，各虚拟子网相对独立。用局域网交换机端口划分虚拟局域网成员是最通用的方法。但纯粹用端口定义虚拟局域网时，不允许不同的虚拟局域网包含相同的物理网段或交换端口。例如，交换机1的1端口属于VLAN1后，就不能再属于VLAN2。当用户从一个端口移动到另一个端口时，网络管理者必须对虚拟局域网成员进行重新配置。基于MAC地址的虚拟局域网：MAC地址是连接在网络中的每个设备网卡的物理地址，由IEEE

47、控制，全球找不到两张具有相同MAC地址的网卡。由于MAC地址属于数据链路层，以此作为划分VLAN的依据能很好地独立于网络层上的各种应用。当某一用户节点从一物理网段移动到虚拟网络的其他物理网段时，由于它的MAC地址不变，所以该节点将自动保持原来的VLAN成员的地位，对用户端无须作任何改动，真正做到了基于用户的虚拟局域网。基于网络层的虚拟局域网：也称为隐性标志（Implicityly-Tagged）的方法，主要通过第三层的协议信息来区别不同的虚拟局域网。划分的依据则主要是协议类型或地址信息等，这非常有利于组成基于具体应用或服务的虚拟局域网；同时，用户成员可以随意移动工作站而无需重新配置网络地址，这

48、对于TCP/IP协议的用户是特别有利的。基于应用划分，也称基于策略划分。基于策略的VLAN划分是一种比较有效而且直接的方式。这主要取决于在VLAN划分中所采用的策略。因此，若网络用户的物理位置需要经常移动，应采用基于MAC地址的方式划分VLAN；或基于网络层协议划分VLAN。参考答案【问题1】隔离不同VLAN之间的广播风暴，从而提高网络通信效率；实现各个VLAN之间的逻辑隔离。（答隔离广播风暴或逻辑隔离都给2分）【问题2】不需要，VLAN 1由系统自动创建。【问题3】（1）Switch #vlan database（进入VLAN配置模式）（2）Switch(vlan)#vlan 2 name

49、v2（创建VLAN 2并命名）（3）Switch(vlan)#exit（完成并退出，或end）【问题4】（4） Switch1(config-if)#switchport mode trunk（5）Switch1(config-if)#switchport trunk allowed vlan all （或trunk encapsulation isl ）【问题5】若交换机Switch1和Switch2没有千兆端口，在图10中可以实现VLAN Trunk的功能。在交换机Switch1和Switch2中各牺牲一个普通以太端口（fastEthernet）并将其配置成Trunk模式。【问题6】（6）

50、Switch1(config-if)#switchport mode access （7）Switch1(config-if)#switchport access vlan 2或Switch1(config-if)#switchport access vlan v2也正确。【问题7】应采用基于MAC地址的方式划分VLAN；或基于网络层协议划分VLAN。（答任何一项均给2分）试题五（15分）阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。 【说明】某局域网通过两个路由器划分为3个子网，拓扑结构和地址分配如下图所示。【问题1】下面是路由器R1的配置命令列表，在空白处填写合适的命令

51、/参数，实现R1的正确配置。RouterenRouterconf termRouter(config)#hostname R1（1） R1 (config-if)#ip address R1 (config-if)#no shutdownR1 (config-if)#int s0R1 (config-if)#ip address （2） R1 (config-if)#no shutdownR1 (config-if)#clock rate 56000R1 (config-if)#exitR1 (config)#ip routingR1 (config)#ip route .0 （3） R1 (

52、config)#ip classlessR1 (config)#exitR1#copy run start 【问题2】下面是路由器R2的配置命令列表，在空白处填写合适的命令参数，实现R2的正确配置。RouterenRouter#conf termRouter(config)#hostname R2R2(config)#int e0R2 (config-if)#ip address R2 (config-if)#no shutdownR2 (config-if)#int s0R2 (config-if)#ip address R2 (config-if)#no shutdownR2 (config-if)# （4） R2 (config)#ip routingR2 (config)#ip route .0 （5） R2 (config)#ip classlessR2 (config)#exitR2#copy run start【问题3】在以上配置命令列表中，命令ip routing的作用是什么？【问题4】在以上配置命令列表中，命令ip classless的作用是什么？【问题5】在以上配置命令列表中，命令copy run start的作用是什么？试题五分析【问题1】在基于IOS的路由器中，对路由器的配置也就是对IOS软件的操作。Cisco IOS软件的命令行界面CLI包