全国计算机技术与软件专业技术资格 ( 水平 ) 考试 2009 年上半年 网络工程师 下午试卷 ( 考试时间 14:00~16:30 共 150 分钟 ) 请按下述要求正确填写答题纸 1. 在答题纸的指定位置填写你所在的省 自治区 直辖市 计划单列市的名称 2. 在答题纸的指定位置填写准考证号 出生年月日和姓名 3. 答题纸上除填写上述内容外只能写解答 4. 本试卷共 5 道题, 全部是必答题 试题一至试题五均为 15 分, 满分 75 分 5. 解答时字迹务必清楚, 字迹不清时, 将不评分 6. 仿照下面例题, 将解答写在答题纸的对应栏内 例题 2009 年上半年全国计算机技术与软件专业技术资格 ( 水平 ) 考试日期是 (1) 月 (2) 日 因为正确的解答是 5 月 23 日, 故在答题纸的对应栏内写上 5 和 23 ( 参看下表 ) 例题 解答栏 (1) 5 (2) 23 2009 年上半年网络工程师下午试卷第 1 页 ( 共 11 页 )
试题一 ( 共 15 分 ) 阅读以下说明, 回答问题 1 至问题 4, 将解答填入答题纸对应的解答栏内 说明说明 某公司有 1 个总部和 2 个分部, 各个部门都有自己的局域网 该公司申请了 4 个 C 类 IP 地址块 202.114.10.0/24~202.114.13.0/24 公司各部门通过帧中继网络进行互联, 网络拓扑结构如图 1-1 所示 S0/0:202.114.13.1/24 帧中继 S0/0:202.114.13.2/24 R0 R1 202.114.11.0/24 202.114.10.0/24 部门 A S0/0:202.114.13.3/24 Server1 202.114.10.253 部门 B 总部 R2 e0/0 e0/24 Switch0 Switch 3 Server2 VLAN 300:202.114.12.128/26 e0/2 Switch1 主机 A 主机 B 主机 C 主机 D VLAN 100:202.114.12.0/26 Switch 2 VLAN 200:202.114.12.64/26 1 (4 分 ) 图 1-1 请根据图 1-1 完成 R0 路由器的配置 : R0 (config)#interface s0/0 ( 进入串口配置模式 ) R0 (config-if)# ip address 202.114.13.1 (1) ( 设置 IP 地址和掩码 ) R0(config) # encapsulation (2) ( 设置串口工作模式 ) 2 (5 分 ) Switch0 Switch1 Switch2 和 Switch3 均为二层交换机 总部拥有的 IP 地址块为 202.114.12.0/24 Switch0 的端口 e0/24 与路由器 R2 的端口 e0/0 相连, 请根据图 1-1 完成路由器 R2 及 Switch0 的配置 2009 年上半年网络工程师下午试卷第 2 页 ( 共 11 页 )
R2(config)#interface fastethernet 0/0.1 R2(config-subif)#encapsulation dot1q (3) R2(config-subif)#ip address 202.114.12.1 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.2 R2(config-subif)#encapsulation dot1q (4) R2(config-subif)#ip address 202.114.12.65 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastethernet 0/0.3 R2(config-subif)#encapsulation dot1q (5) R2(config-subif)#ip address 202.114.12.129 255.255.255.192 R2(config-subif)#no shutdown R2(config-subif)#exit R2(config)#interface fastether0/0 R2(config-if)#no shutdown Switch0(config)#interface f0/24 Switch0(config-if)# switchport mode (6) Switch0 (config-if)#switchport trunk encapsulation (7) Switch0(config-if)# switchport trunk allowed all Switch0(config-if)#exit 3 (3 分 ) 若主机 A 与 Switch1 的 e0/2 端口相连, 请完成 Switch1 相应端口设置 Switch1(config)#interface e0/2 Switch1(config-if)# (8) ( 设置端口为接入链路模式 ) Switch1(config-if)# (9) ( 把 e0/2 分配给 VLAN 100) Switch1(config-if)#exit 若主机 A 与主机 D 通信, 请填写主机 A 与 D 之间的数据转发顺序 主机 A (10) 主机 D (10) 备选答案 A.Switch1 Switch0 R2(s0/0) Switch0 Switch2 B.Switch1 Switch0 R2(e0/0) Switch0 Switch2 C.Switch1 Switch0 R2(e0/0) R2(s0/0) R2(e0/0) Switch0 Switch2 D.Switch1 Switch0 Switch2 2009 年上半年网络工程师下午试卷第 3 页 ( 共 11 页 )
4 (3 分 ) 为了部门 A 中用户能够访问服务器 Server1, 请在 R0 上配置一条特定主机路由 R0(config)#ip route 202.114.10.253 (11) (12) 试题二 ( 共 15 分 ) 阅读以下说明, 回答问题 1 至问题 6, 将解答填入答题纸对应的解答栏内 说明说明 某公司总部服务器 1 的操作系统为 Windows Server 2003, 需安装虚拟专用网 (VPN) 服务, 通过 Internet 与子公司实现安全通信, 其网络拓扑结构和相关参数如图 2-1 所示 Eth1:61.134.1.37/24 服务器 1 Eth1:202.115.12.34/29 Internet Eth0:192.168.1.1/24 Eth0:192.168.0.1/24 PC1 PC15 服务器 2 子公司 总部 PC1 PC20 1 (2 分 ) 图 2-1 在 Windows Server 2003 的 路由和远程访问 中提供两种隧道协议来实现 VPN 服务 : (1) 和 L2TP,L2TP 协议将数据封装在 (2) 协议帧中进行传输 2 (1 分 ) 在服务器 1 中, 利用 Windows Server 2003 的管理工具打开 路由和远程访问, 在 所列出的本地服务器上选择 配置并启用路由和远程访问, 然后选择配置 远程访问 ( 拨 号或 VPN) 服务, 在图 2-2 所示的界面中, 网络接口 应选择 (3) (3) 备选答案 : A. 连接 1 B. 连接 2 2009 年上半年网络工程师下午试卷第 4 页 ( 共 11 页 )
3 (4 分 ) 图 2-2 为了加强远程访问管理, 新建一条名为 SubInc 的访问控制策略, 允许来自子公司服务器 2 的 VPN 访问 在图 2-3 所示的配置界面中, 应将 属性类型 (A) 的名称为 (4) 的值设置为 Layer Two Tunneling Protocol, 名称为 (5) 的值设置为 Virtual (VPN) 编辑 SubInc 策略的配置文件, 添加 入站 IP 筛选器, 在如图 2-4 所示的配置界面中,IP 地址应填为 (6), 子网掩码应填为 (7) 4 (4 分 ) 图 2-3 图 2-4 子公司 PC1 安装 Windows XP 操作系统, 打开 网络和 Internet 连接 若要建立与公司总部服务器的 VPN 连接, 在如图 2-5 所示的窗口中应该选择 (8), 在图 2-6 所示的配置界面中填写 (9) 2009 年上半年网络工程师下午试卷第 5 页 ( 共 11 页 )
(8) 备选答案 : A. 设置或更改您的 Internet 连接 B. 创建一个到您的工作位置的网络连接 C. 设置或更改您的家庭或小型办公网络 D. 为家庭或小型办公室设置无线网络 E. 更改 Windows 防火墙设置 5 (2 分 ) 图 2-5 图 2-6 用户建立的 VPN 连接 xd2 的属性如图 2-7 所示, 启动该 VPN 连接时是否需要输入用户名和密码? 为什么? 6 (2 分 ) 图 2-7 图 2-8 所示的配置窗口中所列协议 不加密的密码 (PAP) 和 质询握手身份验证协议 (CHAP) 有何区别? 2009 年上半年网络工程师下午试卷第 6 页 ( 共 11 页 )
试题三 ( 共 15 分 ) 图 2-8 阅读以下关于 Linux 文件系统和 Samba 服务的说明, 回答问题 1 至问题 3 说明说明 Linux 系统采用了树型多级目录来管理文件, 树型结构的最上层是根目录, 其他的所有目录都是从根目录生成的 通过 Samba 可以实现基于 Linux 操作系统的服务器和基于 Windows 操作系统的客户 机之间的文件 目录及共享打印服务 1 (6 分 ) Linux 在安装时会创建一些默认的目录, 如下表所示 : / /bin /boot 存放启动系统使用的文件 /dev /etc 用来存放系统管理所需要的配置文件和子目录 /home /lib 文件系统中程序所需要的共享库 /lost+found /mnt 临时安装 (mount) 文件系统的挂载点 /opt /proc /root /sbin /usr /var 包含系统运行时要改变的数据 /tmp 2009 年上半年网络工程师下午试卷第 7 页 ( 共 11 页 )
依据上述表格, 在空 (1)~(6) 中填写恰当的内容 ( 其中空 1 在候选答案中选择 ) 1 对于多分区的 Linux 系统, 文件目录树的数目是 (1) 2 Linux 系统的根目录是 (2), 默认的用户主目录在 (3) 目录下, 系统的设备文件 ( 如打印驱动 ) 存放在 (4) 目录中, (5) 目录中的内容关机后不能被保存 3 如果在工作期间突然停电, 或者没有正常关机, 在重新启动机器时, 系统将要复查文件系统, 系统将找到的无法确定位置的文件放到目录 (6) 中 (1) 备选答案 : 2 (4 分 ) A.1 B. 分区的数目 C. 大于 1 默认情况下, 系统将创建的普通文件的权限设置为 -rw-r--r--, 即文件所有者对文件 (7), 同组用户对文件 (8), 其他用户对文件 (9) 文件的所有者或者超级用 户, 采用 (10) 命令可以改变文件的访问权限 3 (5 分 ) Linux 系统中 Samba 的主要配置文件是 /etc/samba/smb.conf 请根据以下的 smb.conf 配置文件, 在空 (11)~(15) 中填写恰当的内容 Linux 服务器启动 Samba 服务后, 在客户机的 网络邻居 中显示提供共享服务的 Linux 主机名为 (11), 其共享的服务有 (12), 能够访问 Samba 共享服务的客户机的地址范围 (13) ; 能够通过 Samba 服务读写 /home/samba 中内容的用户是 (14) ; 该 Samba 服务器的安全级别是 (15) [global] workgroup = MYGROUP netbios name=smb-server server string = Samba Server ;hosts allow = 192.168.1. 192.168.2. 127. load printers = yes security = user [printers] comment = My Printer browseable = yes path = /usr/spool/samba guest ok = yes writable = no printable = yes [public] comment = Public Test browseable = no 2009 年上半年网络工程师下午试卷第 8 页 ( 共 11 页 )
path = /home/samba public = yes writable = yes printable = no write list = @test [user1dir] comment = User1's Service browseable = no path = /usr/usr1 valid users = user1 public = no writable = yes printable = no 试题四 ( 共 15 分 ) 阅读以下说明, 回答问题 1 至问题 4, 将解答填入答题纸对应的解答栏内 说明 某公司总部和分支机构的网络配置如图 4-1 所示 在路由器 R1 和 R2 上配置 IPSec 安全策略, 实现分支机构和总部的安全通信 10.0.1.3 172.30.1.2 172.30.2.2 Internet 10.0.2.3 总部局域网 R1 R2 分支机构局域网 1 (4 分 ) 图 4-1 图 4-2 中 (a) (b) (c) (d) 为不同类型 IPSec 数据包的示意图, 其中 (1) 和 (2) 工作在隧道模式 ; (3) 和 (4) 支持报文加密 (a) 原始 IP 头 AH 头数据 (b) (c) (d) 原始 IP 头 ESP 头数据 新 IP 头 AH 头原始 IP 头数据 新 IP 头 ESP 头原始 IP 头数据 ESP 尾 图 4-2 2009 年上半年网络工程师下午试卷第 9 页 ( 共 11 页 )
2 (4 分 ) 下面的命令在路由器 R1 中建立 IKE 策略, 请补充完成命令或说明命令的含义 R1(config)# crypto isakmp policy 110 进入 ISAKMP 配置模式 R1(config-isakmp)# encryption des (5) R1(config-isakmp)# (6) 采用 MD5 散列算法 R1(config-isakmp)# authentication pre-share (7) R1(config-isakmp)# group 1 R1(config-isakmp)# lifetime (8) 安全关联生存期为 1 天 3 (4 分 ) R2 与 R1 之间采用预共享密钥 12345678 建立 IPSec 安全关联, 请完成下面配置命令 R1(config)# crypt isakmp key 12345678 address (9) R2(config)# crypt isakmp key 12345678 address (10) 4 (3 分 ) 完成以下 ACL 配置, 实现总部主机 10.0.1.3 和分支机构主机 10.0.2.3 的通信 R1(config)# access-list 110 permit ip host (11) host (12) R2(config)# access-list 110 permit ip host (13) host 10.0.1.3 试题五 ( 共 15 分 ) 阅读以下说明, 回答问题 1 至问题 3, 将解答填入答题纸对应的解答栏内 说明说明 某单位采用双出口网络, 其网络拓扑结构如图 5-1 所示 ISP1 ISP2 R1 E0:10.10.10.1/24 E1:55.23.12.98/30 E1:61.27.55.22/30 R2 E0:10.10.20.1/24 Server1:10.10.30.1/24 Server2:10.10.30.2/24 S1 Lan1:192.168.1.0/24 Lan2:192.168.2.0/24 图 5-1 2009 年上半年网络工程师下午试卷第 10 页 ( 共 11 页 )
该单位根据实际需要, 配置网络出口实现如下功能 : 1. 单位网内用户访问 IP 地址 158.124.0.0/15 和 158.153.208.0/20 时, 出口经 ISP2; 2. 单位网内用户访问其他 IP 地址时, 出口经 ISP1; 3. 服务器通过 ISP2 线路为外部提供服务 1 (5 分 ) 在该单位的三层交换机 S1 上, 根据上述要求完成静态路由配置 ip route (1) ( 设置默认路由 ) ip route 158.124.0.0 (2) (3) ( 设置静态路由 ) ip route 158.153.208.0 (4) (5) ( 设置静态路由 ) 2 (6 分 ) 配置 1. 根据上述要求, 在三层交换机 S1 上配置了两组 ACL, 请根据题目要求完成以下 access -list 10 permit ip host 10.10.30.1 any access -list 10 permit ip host (6) any access -list 12 permit ip any 158.124.0.0 (7) access -list 12 permit ip any 158.153.208.0 (8) access list 12 deny ip any any 2. 完成以下策略路由的配置 route-map test permit 10 (9) ip address 10 (10) ip next-hop (11) 3 (4 分 ) 以下是路由器 R1 的部分配置 请完成配置命令 R1(config)#interface fastethernet0/0 R1(config-if)#ip address (12) (13) R1(config-if)ip nat inside R1(config)#interface fastethernet0/1 R1(config-if)#ip address (14) (15) R1(config-if)ip nat outside 2009 年上半年网络工程师下午试卷第 11 页 ( 共 11 页 )