2021年軟考網(wǎng)絡(luò)工程師復(fù)習(xí)資料及練習(xí)題(一)

1、軟考網(wǎng)絡(luò)工程師復(fù)習(xí)資料及練習(xí)題(一) 習(xí)題答案： 習(xí)題一： 【問題1】NAT可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換三種方式。 【問題2】 Current configuration： version 11.3 no servi _ password-encryption hostname 2501 /路由器名稱為2501 ip nat pool aaa 192.1.1.2 192.1.1.10 _sk 255.255.255.0 /內(nèi)部合法地址池名稱為aaa，地址范圍為192.1.1.2192.1.1.10，子網(wǎng)掩碼為255.255.255.0 ip nat inside sou

2、r _ list 1 pool aaa /將由aess-list 1指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池aaa進(jìn)行地址轉(zhuǎn)換。 inte _ _ Ether0 ip address 10.1.1.1 255.255.255.0 ip nat inside /指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口為Ether0 inte _ _ Serial0 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 /帶寬為2M no fair-queue clockrate 2000000 inte _ _

3、 Serial1 no ip address shutdown no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 /指定靜態(tài)缺省路由指向Serial0 aess-list 1 permit 10.1.1.0 0.0.0.255 /定義一個(gè)標(biāo)準(zhǔn)的aess-list 1以允許10.1.1.0 網(wǎng)段，子網(wǎng)掩碼的反碼為0.0.0.255的內(nèi)部地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換 line con 0 line aux 0 line vty 0 4 password cisco end 【問題3】此配置中nat采用了動(dòng)態(tài)地址轉(zhuǎn)換。 習(xí)題二： 【問題1】路由器Route

4、r1和Router2的S0口均封裝PPP協(xié)議，采用CHAP做認(rèn)證，在Router1中應(yīng)建立一個(gè)用戶，以對(duì)端路由器主機(jī)名作為用戶名，即用戶名應(yīng)為router2。同時(shí)在Router2中應(yīng)建立一個(gè)用戶，以對(duì)端路由器主機(jī)名作為用戶名，即用戶名應(yīng)為router1。所建的這兩用戶的password必須相同。 【問題2】 Router1: hostname router1 /路由器名為router1 username router2 password xxx /建立一用戶，用戶名為router2,口令為xxx inte _ _ Serial0 ip address 192.200.10.1 255.255.

5、255.0 encapsulation ppp /設(shè)置ppp封裝 clockrate _00 ppp authentication chap /設(shè)置ppp認(rèn)證方法為chap ! Router2: hostname router2 username router1 password xxx inte _ _ Serial0 ip address 192.200.10.2 255.255.255.0 encapsulation ppp ppp authentication chap 習(xí)題三： 【問題1】 X.25網(wǎng)絡(luò)設(shè)備分為數(shù)據(jù)終端設(shè)備（DTE）、數(shù)據(jù)電路終端設(shè)備（DCE）及分組交換設(shè)備（PSE）

6、。 【問題2】 Router1: inte _ _ Serial0 encapsulation x25 /設(shè)置X.25封裝 ip address 192.200.10.1 255.255.255.0 / 設(shè)置Serial0口ip地址為192.200.10.1，子網(wǎng)掩碼為255.255.255.0 x25 address 110101 /設(shè)置X.121地址為110101 x25 htc 16 /設(shè)置最大的雙向虛電路數(shù)為16 x25 nvc 2 /設(shè)置一次連接可同時(shí)建立的虛電路數(shù)為2 x25 _p ip 192.200.10.2 110102 broadcast /設(shè)置ip地址與x.121地址映射

7、。對(duì)方路由器地址為192.200.10.2,對(duì)方的x.121地址為110102，并且允許在x.25線路上傳送路由廣播信息 x25 _p ip 192.200.10.3 110103 broadcast ! 習(xí)題四： 【問題1】CE1的傳輸線路的帶寬是2048，它和E1的區(qū)別主要在于：E1不能劃分時(shí)隙，CE1能劃分時(shí)隙。CE1的每個(gè)時(shí)隙是64K，一共有個(gè)時(shí)隙，在使用的時(shí)候，可以劃分為n*64K，例如：128K,256K等等。CE1的0和15時(shí)隙是不用來傳輸用戶的數(shù)據(jù)流量,0時(shí)隙是傳送同步號(hào),15時(shí)隙傳送控制信令,這樣實(shí)際能用的只有30個(gè)時(shí)隙,所以在具體配置CE1劃分時(shí)隙時(shí)，要注意些了。CE1 和

8、E1 也可以互聯(lián)，但是CE1必須當(dāng)E1來使用，即不可分時(shí)隙使用。 因?yàn)镃E1比較靈活，所以我們能常常碰到CE1。 【問題2】 Current configuration: ! version 11.2 no servi _ udp-s _ll-servers no servi _ tcp-s _ll-servers ! hostname router1 ! enable secret 5 $1$XN08$Ttr8nfLoP9.2RgZhcBzkk/ enable password cisco ! ! ip sub-zero ! controller E1 0 framing NO-CRC4 /

9、幀類型為no-crc4 channel-group 0 timeslots 1 /建立邏輯通道組0與時(shí)隙1的映射 channel-group 1 timeslots 2 /建立邏輯通道組1與時(shí)隙2的映射 channel-group 2 timeslots 3 /建立邏輯通道組2與時(shí)隙3的映射 ! inte _ _ Ether0 ip address 133.118.40.1 255.255.0.0 media-type 10BaseT ! inte _ _ Ether1 no ip address shutdown ! inte _ _ Serial0:0 /邏輯接口Serial0:0 ip

10、address 202.119.96.1 255.255.255.252 encapsulation hdlc no ip mroute-cache ! inte _ _ Serial0:1 ip address 202.119.96.5 255.255.255.252 encapsulation hdlc no ip mroute-cache ! inte _ _ Serial0:2 ip address 202.119.96.9 255.255.255.252 encapsulation hdlc no ip mroute-cache ! no ip classless ip route

11、133.210.40.0 255.255.255.0 Serial0:0 ip route 133.210.41.0 255.255.255.0 Serial0:1 ip route 133.210.42.0 255.255.255.0 Serial0:2 ! line con 0 line aux 0 line vty 0 4 password cicso login ! end 習(xí)題五： 問題l：“Console”端口是虛擬操作臺(tái)端口， _維護(hù)人員通過直接連接該端口實(shí)施設(shè)備配置。 “AUX”端口是用于遠(yuǎn)程調(diào)試的端口，一般連接在 Modem 上，設(shè)備 _維護(hù)人員通過遠(yuǎn)程撥號(hào)進(jìn)行設(shè)備連接，實(shí)施

12、設(shè)備的配置。 問題2：連接參數(shù)如下：速率 9600bps、數(shù)據(jù)位 8 位、奇偶檢驗(yàn)無、停止位 2 位。 問題3：配置命令的含義如下： (1) 配置 RAS 的撥號(hào)用戶網(wǎng)絡(luò)配置信息。 包括用戶默認(rèn)子網(wǎng)屏蔽碼、默認(rèn) _、默認(rèn) DNS 。 當(dāng)用戶撥入時(shí)，服務(wù)器自動(dòng)將配置信息傳遞給用戶。 (2) 設(shè)定第一組異步口的用戶 IP 地址自動(dòng)分配。 設(shè)置自動(dòng)分配的 IP 地址于 IP 地址池 pool25090 (3) 配置路由協(xié)議 RIP。 指定設(shè)備直接連接到網(wǎng)絡(luò) 202.112.77.0 與 202.112.79.0 。 (4) 設(shè)置 202.112.77.0 網(wǎng)段的用戶可以訪問撥號(hào)服務(wù)器。 配置用戶登陸

13、口令。 習(xí)題六： 【問題1】 IPSec實(shí)現(xiàn)的VPN主要有下面四個(gè)配置部分。 1、 為IPSec做準(zhǔn)備 為IPSec做準(zhǔn)備涉及到確定詳細(xì)的加密策略，包括確定我們要保護(hù)的主機(jī)和網(wǎng)絡(luò)，選擇一種認(rèn)證方法，確定有關(guān)IPSec對(duì)等體的詳細(xì)信息，確定我們所需的IPSec特性，并確認(rèn)現(xiàn)有的訪問控制列表允許IPSec數(shù)據(jù)通過。 步驟1：根據(jù)對(duì)等體的數(shù)量和位置在IPSec對(duì)等體間確定一個(gè)IKE(IKE階段1或者主模式)策略； 步驟2：確定IPSec(IKE階段2，或快捷模式)策略，包括IPSec對(duì)等體的細(xì)節(jié)信息，例如IP地址及IPSec變換集和模式； 步驟3：用“write terminal”、“show is

14、akmp”、“show isakmp policy”、“show crypto _p”命令及其它的show命令來檢查當(dāng)前的配置； 步驟4：確認(rèn)在沒有使用加密前網(wǎng)絡(luò)能夠正常工作，用ping命令并在加密前運(yùn)行測(cè)試數(shù)據(jù)來排除基本的路由故障； 步驟5：確認(rèn)在邊界路由器和防火墻中已有的訪問控制列表允許IPSec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流將可以被過濾出來。 2、 配置IKE 配置IKE涉及到啟用IKE（和isakmp是同義詞），創(chuàng)建IKE策略，驗(yàn)證我們的配置。 步驟1：用isakmp enable命令來啟用或關(guān)閉IKE； 步驟2：用isakmp policy命令創(chuàng)建IKE策略； 步驟3：用isakmp

15、key命令和相關(guān)命令來配置預(yù)共享密鑰； 步驟4：用show isakmppolicy命令來驗(yàn)證IKE的配置。 3、 配置IPSec IPSec配置包括創(chuàng)建加密用訪問控制列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應(yīng)用到接口上去。 步驟1：用aess-list命令來配置加密用訪問控制列表： 例如： aess-list acl-name permit|deny protocol src_addr src_ _sk operator port port dest_addr des_ _sk operator port port 步驟2：用cryto ipsec transform-set命令配置交換

16、集； 例如： crypto ipsec transformp-set transform-set-name transform1 transform2 transform3 步驟3：（任選）用crypto ipsec security-aociation lifetime命令來配置全局性的IPSec安全關(guān)聯(lián)的生存期； 步驟4：用crypto _p命令來配置加密圖； 步驟5：用inte _ _命令和crypto _p _p-name inte _ _應(yīng)用到接口上； 步驟6：用各種可用的show命令來驗(yàn)證IPSec的配置。 4、 測(cè)試和驗(yàn)證IPSec 該任務(wù)涉及到使用“show”、“debug”和

17、相關(guān)的命令來測(cè)試和驗(yàn)證IPSec加密工作是否正常，并為之排除故障。 注：此類題目要求答出主要步驟即可。 【問題2】 crypto isakmp policy 1 /配置IKE策略1 authentication pre-share /IKE策略1的驗(yàn)證方法設(shè)為pre_share group 2 /加密算法未設(shè)置則取默認(rèn)值:DES crypto isakmp key test123 address 202.96.1.2 /設(shè)置pre-share密鑰為test123，此值兩端需一致 crypto ipsec transform-set VPNtag ah-md5-h _c esp-des /設(shè)置A

18、H散列算法為md5，ESP加密算法為DES crypto _p VPNdemp 10 ipsec-isakmp /定義crypto _p set peer 202.96.1.2 /設(shè)置 _對(duì)端IP地址 set transform-set VPNtag /設(shè)置 _AH及ESP _tch address 101 ! inte _ _ Tunnel0 /定義 _接口 ip address 192.168.1.1 255.255.255.0 / _端口IP地址 no ip directed-broadcast tunnel sour _ 202.96.1.1 / _源端地址 tunnel destin

19、ation 202.96.1.2 / _目標(biāo)端地址 crypto _p VPNdemo /應(yīng)用VPNdemo于此接口 inte _ _ serial0/0 ip address 202.96.1.1 255.255.255.252 /串口的inter IP地址 no ip directed-broadcast crypto _p VPNdemo /應(yīng)用VPNdemo于此端口 ! inte _ _ Ether0/1 ip address 168.1.1.1 255.255.255.0 /外部端口IP地址 no ip directed-broadcast inte _ _ Ether0/0 ip

20、address 172.22.1.100 255.255.255.0 /內(nèi)部端口IP地址 no ip directed-broadcast ! ip classless ip route 0.0.0.0 0.0.0.0 202.96.1.2 /默認(rèn)靜態(tài)路由 ip route 172.22.2.0 255.255.0.0 192.168.1.2 /到內(nèi)網(wǎng)靜態(tài)路由（經(jīng)過 _） aess-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 /定義訪問控制列表 習(xí)題七： 【問題1】 訪問列表能夠幫助控制網(wǎng)上IP包的傳輸，主要用在以下幾個(gè)方面： 1、控

21、制一個(gè)端口的包傳輸 2、控制虛擬終端訪問數(shù)量 3、限制路由更新的內(nèi)容 【問題2】 ?標(biāo)準(zhǔn)IP訪問列表 檢查源地址 通常允許、拒絕的是完整的協(xié)議 ?擴(kuò)展IP訪問列表 檢查源地址和目的地址 通常允許、拒絕的是某個(gè)特定的協(xié)議 【問題3】 在此例中所有的IP數(shù)據(jù)包將全部不能從serial 0端口發(fā)送出去。 原因：在默認(rèn)情況下，除非明確規(guī)定允許通過，訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過，即實(shí)際上在每個(gè)訪問列表的最后，都隱含有一條deny any的語(yǔ)句。 假設(shè)我們使用了前面創(chuàng)建的標(biāo)準(zhǔn)IP訪問列表，從路由器的角度來看，這條語(yǔ)句實(shí)際內(nèi)容如下： aess-list 1 deny 172.16.4.13 0.0

22、.0.0 aess-list 1 deny any 因此我們應(yīng)將配置改為： aess-list 1 deny 172.16.4.13 0.0.0.0 aess-list 1 permit any inte _ _ serial 0 ip aess-group 1 out 習(xí)題八： 1、 若是Serial0 is up, line protocol is up表示該端口工作正常。 2、若是Serial 0 is down, line protocol is down表示路由器到本地的MODEM之間無載波 _CD。連接串口和MODEM,開啟MODEM.看MODEM的發(fā)送燈TD是否亮，TD燈亮表示路由器有 _發(fā)送給MODEM.TD燈若不亮,請(qǐng)檢查MODEM,線纜(最好