2016年上半年软件水平考试(中级)网络工程师《应用技术》真题及详解
- 格式:doc
- 大小:373.50 KB
- 文档页数:9
2016年上半年软件水平考试(中级)网络工程师
《应用技术》真题
(总分100, 考试时间90分钟)
1. 试题一
1. 阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】某企业网络拓扑如图1-1所示,A~E是网络设备的编号。
1. 根据图1—1,将设备清单表1-1所示内容补充完整。
答案:正确答案:(1)B (2)A (3)C (4)D
解析:本题考查网络设备配置的相关知识。 此类题目要求考生认真阅读题目中给出的配置文件内容,了解设备需要实现的网络功能。对于路由器、防火墙、交换机等网络设置的部署,应该兼顾不同设备的特点、网络业务和安全需求。 防火墙的防护区域可分为内、外网和DMZ区域,在本题网络拓扑中,A的位置是路由器,在配置文件中定义了外网接口,可以与外部网络进行通信。同时,在路由器上定义NAT,对内网地址进行了有效屏蔽,也起到了节省公网地址作用。B的位置是防火墙,可以对内网用户和服务器进行有效保护,抵御来自外部网络的攻击。C位置是交换机,用于服务器设备的接入。D的位置是服务器,一般只限于内网访问访问。
2. 以下是AR2220的部分配置。 [AR2220]acl 2000 [AR2220一acl一2000]rule normal
permit source 192.168.0.0 0.0.255.255 [AR2220-acl一2000]rule normal deny source
any [AR2220一acl-2000]quit [AR2220]interface Ethemet0 [AR2220-Ethemet0]ip
address 1 92.1 68.0.1 255.255.255.0 [AR2220一Ethemet0]quit [AR2220]interface
Ethernet 1 [AR2220—Ethemet1]ip address 59.41.221.100 255.255.255.0 [AR2220-Ethemet
1]nat outbound 2000 interface [AR2220-Ethemet 1]quit [AR2220]ip route-static 0.0.0.0
0.0.0.0 59.74.22 1.254 设备AR2220使用 (5) 接口实现NAT功能,该接口地址的网关是 (6) 。
答案:正确答案:(5)Ethemetl(6)59.74.221.254
解析:设备AR2220的配置文件主要定义了内、外网接口,并且配置了内、外网络访问的策略,将内网地址转换成外网接口地址用于访问外部网络。有关命令解释如下。 (1)mle normal permit
source与rule normal deny source any命令配合使用,表示源地址段以外的地址禁止通过。
(2)interface Ethernet0与ip address配合使用,定义设备的接口地址,配置文件中定义了两个接口地址。 (3)nat outbound 2000 interface命令是在设备上启用了NAT规则。 (4)ip route.static是~条静态路由命令,告诉路由器默认数据的下一跳地址。
3. 若只允许内网发起邱、http连接,并且拒绝来自站点2.2.2.1l的Java Applets报文。在USG3000设备中有如下配置,请补充完整。 [USG3 000]acl number 3 000
[USG3000-acl-adv-3000]role permit tcp destination-port eq www [USG3 000-acl-adv一3
000]role permit tep destination—port eq ftp [USG3 000-acl-adv-3 000]rule permit tcp
destination—port eq ftp-data [USG3000]acl number 20 1 0 [USG3000一acl-basic-20 1
0]rule (7)source 2.2.2.1 1 0.0.0.0 [USG3000-acl-basic-20 1 0]rule permit source
any [USG3000] (8) interzone trust untmst [USG3 000一interzone-trust.untmst]packet.filter 3 000(9) [USG3 000.interzone.trust.untrustl
detect ftp [USG3000.interzone.trust.untrustl detect http [USG3000一interzone—trust.untrust]detect jav@A@blocking 20 1 0(7)~(9)备选答案:A.firewallB.trustC.denyD.permitE.outboundF.inbotmd
答案:正确答案:(7)C (8)A (9)E
解析:设备USG3000的配置文件主要内容是配置内、外网访问策略。有关命令解释如下: (1)acl
number 3000规则,允许www、ftp、ftp-data等协议。 (2)acl number 2010规则,配置对HTTP、FTP协议指定ASPF策略。 ASPF(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。包括dos(denial
of service,拒绝服务)的检测和防范。java blocking(java阻断)保护网络不受有害java applets的破坏。 activex blocking(activex阻断)保护网络不受有害activex的破坏。
4. PC-1、PC-2、PC-3网络设置如表1-2。
通过配置RIP,使得PC-1、PC-2、PC-3能相互访问,请补充设备E上的配置,或解释相关命令。 //配置E上vlan路由接口地址 interface vlanif 30 0 ip address (10) 2 5 5.2 55.2 5 5.0
interface vlanif 1000 //互通vLAN ip address 192.1 68.1 0 0.1 25 5.2 5 5.2 55.O
//配置E上的rip协议 rip network 1 92.1 68.4.0 network (11) //配置E上的trunk链路 int e0/1 port link—type trunk // (12) port trunk
permit Vlan all
答案:正确答案:(10)192.168.4.1 (11)192.168.100.0 (12)定义端口为trunk
解析:RIP协议是动态路由选择协议,通过路由表的自动更新使IP进行数据交换时获取正确的路径。 port link—type trunk定义接口类型,Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。
2. 试题二
1. 试题二()
1. 阅读以下说明,回答问题l至问题3,将解答填入答题纸对应的解答栏内。【说明】某学校的网络拓扑结构图如图2-1所示。
1. 常用的IP访问控制列表有两种,它们是编号为(1)和1300~1399的标准访问控制列表和编号为(2)和2000~2699的扩展访问控制列表。其中,标准访问控制列表是依据IP报文的(3)来对IP报文进行过滤,扩展访问控制列表是依据IP报文的(4)、(5)、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩展访问控制列表放置在靠近(7)的位置。
答案:正确答案:(1)1~99 (2)100~199 (3)源IP地址 (4)源IP地址 (5)目标IP地址 (6)目标地址(或出口) (7)源地址(或入口) 注:(4)、(5)答案可互换
解析:本题考查使用访问控制列表实现访问控制的知识。 此类题目要求考生认真研读题目,并对相关基础知识有一定的掌握,并数序访问控制列表的基本配置方法和配置要求。 该问题考查访问控制列表的基础知识及应用,包括IP访问控制列表有标准访问控制列表和扩展访问控制列表。 标准访问控制列表有以下特点: 编号从1~99,和1300~1399: 依据IP报文的源IP地址对数据包进行过滤; 部署时应放置于靠近目的网络(或者路由器出口)的位置上; 扩展访问控制列表有以下特点:
编号从100~199和2000~2699; 依据IP报文的源IP地址、目的IP地址、上层协议、端口号和时间等信息对数 据报文进行过滤; 部署时应放置于靠近源地址(或者路由器入口)的位置上。
2. 为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下: (1)家属区不能访问财务服务器,但可以访问互联网; (2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网; (3)办公区可以访问财务服务器和互联网; (4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。 1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。 R1(config)#access—list 1 (8) (9) 0.0.0.2 5 5 R1 f
config)#access—list 1 deny 172.1 6.1 0.0 0.0.0.2 5 5 R1 f config)#access一1ist
1 deny 172.1 6.2 0.0 0.0.0.2 55 R1(config)#access-list 1 deny (10) 0.0.0.2 55
R1(config)#interface (11) R1(config—if)#ip access—group 1 (12)2.使用ACL对Intemt进行访问控制,请将下面配置补充完整。 Route—Switch(config)#time—range jxq //定义教学区时间范围 Route—Switch(config-time—range)#periodic daily (13) Route—Switch(config)#time—range xsssq //定义学生宿舍区时间范围 Route—Switch(config—time—range)#periodic (14) 18:00 to 24:00 Route-Switch(config—tim