軟考網(wǎng)絡(luò)工程師下半年下午試題及答案詳解

1、試題一閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某企業(yè)組網(wǎng)方案如圖1-1所示，網(wǎng)絡(luò)接口規(guī)劃如表1-1所示。公司內(nèi)部員工和外部訪客均可通過無線網(wǎng)絡(luò)訪問企業(yè)網(wǎng)絡(luò)，內(nèi)部員工無線網(wǎng)絡(luò)的SSID為Employee，訪客無線網(wǎng)絡(luò)的SSID為Visitor。圖1表1【問題1】（6分）防火墻上配置NAT功能，用于公私網(wǎng)地址轉(zhuǎn)換。同時配置安全策略，將內(nèi)網(wǎng)終端用戶所在區(qū)域劃分為Trust區(qū)域，外網(wǎng)劃分為Untrust區(qū)域，保護企業(yè)內(nèi)網(wǎng)免受外部網(wǎng)絡(luò)攻擊。補充防火墻數(shù)據(jù)規(guī)劃表1-2內(nèi)容中的空缺項。注：Local表示防火墻本地區(qū)域：srcip表示源ip?！締栴}2】（4分）在點到點的環(huán)境下

2、，配置IPSec VPN隧道需要明確（ 4）和（5）【問題3】（6分）在 Switch1上配置ACL禁止訪客訪問內(nèi)部網(wǎng)絡(luò)，將Switch1數(shù)據(jù)規(guī)劃表1-3內(nèi)容中的空缺項補充完整。 【問題4】（4分）AP控制器上部署WLAN業(yè)務(wù)，采用直接轉(zhuǎn)發(fā)，AP跨三層上線。認(rèn)證方式：無線用戶通過預(yù)共享密鑰方式接入。在Switch1上GEO/O/2連接AP控制器，該接口類型配置為（9）模式，所在VLAN是（10）。試題二（共 20分）閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】圖2-1是某企業(yè)網(wǎng)絡(luò)拓?fù)?，網(wǎng)絡(luò)區(qū)域分為辦公區(qū)域、服務(wù)器區(qū)域和數(shù)據(jù)區(qū)域，線上商城系統(tǒng)為公司提供產(chǎn)品在線銷售服務(wù)。

3、公司網(wǎng)絡(luò)保障部負(fù)責(zé)員工辦公電腦和線上商城的技術(shù)支持和保障工作。【問題1】（6分）某天，公司有一臺電腦感染“勒索”病毒，網(wǎng)絡(luò)管理員應(yīng)采取（1 ）、（2）、（3）措施。（1）（3）備選答案：A斷開已感染主機的網(wǎng)絡(luò)連接B更改被感染文件的擴展名C為其他電腦升級系統(tǒng)漏洞補丁D網(wǎng)絡(luò)層禁止135/137/139/445 端口的TCP連接E刪除已感染病毒的文件【問題2】（8分）圖 2-1 中，為提高線上商城的并發(fā)能力，公司計劃增加兩臺服務(wù)器，三臺服務(wù)器同時對外提供服務(wù)，通過在圖中（4）設(shè)備上執(zhí)行（5）策略，可以將外部用戶的訪問負(fù)載 平均分配到三臺服務(wù)器上。(5) 備選答案：A散列B輪詢C最少連接D工作-備份其

4、中一臺服務(wù)器的IP地址為/27，請將配置代碼補充完整。ifcfg-eml配置片段如下：DEVICE =emlTYPE=EthernetUUID=36878246-2a99-43b4-81df-2db1228eea4bONBOOT=yesNM_CONTROLLED=yesBOOTPROTO=noneHWADDR=90:B1:1C:51:F8:25NETMASK=（6）DEFROUTE= yesIPV4_FAILURE_FATAL=yesIPV6INTI=no配置完成后，執(zhí)行systemct1（7）network命令重啟服務(wù)?！締栴}3】（4分）網(wǎng)絡(luò)管理員發(fā)現(xiàn)線上商城系統(tǒng)總是

5、受到SQL注入、跨站腳本等攻擊，公司計劃購置（8）設(shè)備/系統(tǒng)，加強防范；該設(shè)備應(yīng)部署在圖2-1中設(shè)備的（9）處。A殺毒軟件B主機加固CWAF（Web應(yīng)用防護系統(tǒng)）D漏洞掃描【問題4】（2分）圖2-1中，存儲域網(wǎng)絡(luò)采用的是（10）網(wǎng)絡(luò)。試題三（共20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某公司有兩個辦事處，分別利用裝有Windows Server 2008 的雙宿主機實現(xiàn)路由功能，此功能由Wmdows Server 2008中的路由和遠(yuǎn)程訪問服務(wù)來完成。管理員分別為這兩臺主機其中一個網(wǎng)卡配置了不同的IP地址，如圖3-1所示?！締栴}1】（4分）在“管理您的服

6、務(wù)器”中點擊“添加或刪除角色”，此時應(yīng)當(dāng)在服務(wù)器角色中選擇（1）來完成路由和遠(yuǎn)程訪問服務(wù)的安裝。在下列關(guān)于路由和遠(yuǎn)程訪問服務(wù)的選項中，不正確的是（2）。（1）備選答案：A文件服務(wù)器B應(yīng)用程序服務(wù)器（IIS，ASP.NET）C終端服務(wù)器，D遠(yuǎn)程訪問/VPN 服務(wù)（2）備選答案：A可連接局域網(wǎng)的不同網(wǎng)段或子網(wǎng)，實現(xiàn)軟件路由器的功能B把分支機構(gòu)與企業(yè)網(wǎng)絡(luò)通過Intranet連接起來，實現(xiàn)資源共享C可使遠(yuǎn)程計算機接入到企業(yè)網(wǎng)絡(luò)中訪問網(wǎng)絡(luò)資源D必須通過VPN才能使遠(yuǎn)程計算機訪問企業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)資源【問題2】（4分）兩個辦事處子網(wǎng)的計算機安裝Win7操作系統(tǒng)，要實現(xiàn)兩個子網(wǎng)間的通信，子網(wǎng)A和子網(wǎng)B中計算機

7、的網(wǎng)關(guān)分別為（3）和（4）。子網(wǎng)A中的計算機用ping命令來驗證數(shù)據(jù)包能否路由到子網(wǎng)B中，圖3-2中參數(shù)使用默認(rèn)值，從參數(shù)（5）可以看出數(shù)據(jù)包經(jīng)過了（6）個路由器。（3）備選答案：D無須配置網(wǎng)關(guān)（4）備選答案：D無須配置網(wǎng)關(guān)（5）備選答案：ABytesBTimeCTTLDLost【問題3】（8分）Windows Server 2008支持RIP動態(tài)路由協(xié)議。在RIP接口屬性頁中，如果希望路由器每隔一段時間向自己的鄰居廣播路由表以進行路由信息的交換和更新，則需要在“操作模式”中選擇（7）。在“傳出數(shù)據(jù)包協(xié)議”中選擇（8），使網(wǎng)絡(luò)中其它運行不同版本的鄰居路由器都可接受此路由器的路由表：在“傳入數(shù)據(jù)

8、包協(xié)議”中選擇（9），使網(wǎng)絡(luò)中其他運行不同版本的鄰居路由器都可向此 廣播路由表。（7）備選答案：A周期性是更新模式B自動-靜態(tài)更新模式（8）備選答案：ARIPv1廣播BRIPv2多播CRIPv2廣播（9）備選答案：A只是RIPv1B只是RIPv2CRIPv1和v2D忽略傳入數(shù)據(jù)包為了保護路由器之間的安全通信，可以為路由器配置身份驗證。選中“激活身份驗證”復(fù)選框，并在“密碼”框中鍵入一個密碼。所有路由器都要做此配置，所配置的密碼（10）。（10）備選答案：A可以不同B必須相同【問題4】（4分）由于在子網(wǎng)A中出現(xiàn)病毒，需在路由接口上啟動過濾功能，不允許子網(wǎng)B接收來自子網(wǎng)A的數(shù)據(jù)包，在選擇入站篩選器

9、且篩選條件是“接收所有除符合下列條件以外的數(shù)據(jù)包”時，如圖3-3所示，由源網(wǎng)絡(luò)IP地址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是（11），由目標(biāo)網(wǎng)絡(luò)IP地址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是（12），需要選擇協(xié)議（13）。如果選擇協(xié)議（14），則會出現(xiàn)子網(wǎng)A和子網(wǎng)B之間ping不通但是子網(wǎng)B能接受來自子網(wǎng)A的數(shù)據(jù)包的情況。（11）備選答案：（12）備選答案：（13）（14）備選答案：AICMPBTCPCUDPD任何試題四（共15分）閱讀以下說明，回答問題1至問題2，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某公司網(wǎng)絡(luò)拓?fù)鋱D如圖4-1所示。 【問題1】（5分）為了便于管理公司網(wǎng)絡(luò)，管理員根據(jù)不同部門對公司網(wǎng)絡(luò)劃分了VLA

10、N，VLAN編號及IP地址規(guī)劃如表4-1所示，考慮到公司以后的發(fā)展，每個部門的IP地址規(guī)劃均留出了一定的余量，請根據(jù)需求，將下表補充完整。公司計劃使用24接口的二層交換機作為接入層交換機，根據(jù)以上主機數(shù)量在不考慮地理位置的情況下，最少需要購置（5）臺接入層交換機。【問題2】（10分）公司申請了14個公網(wǎng)IP地址，地址范圍為09-22,其中， 18-22作為服務(wù)器和接口地址保留，其他公網(wǎng)IP地址用于公司訪問 Internet。公司使用PAT為營銷部門提供互聯(lián)網(wǎng)訪問服務(wù)。請根據(jù)描述，將下面配置代碼補充完

11、整。system-viewHuawei (6) R1R1user-interface (7) /進入console用戶界面視圖R1-ui-console0authentication-mode (8) Please configure the login password (maximum length 16):huaweiR1-ui-console0quitR1int GigabitEthernet，0/0/0R1-GigabitEthernet0/0/0 (9) R1 (10) 2000R1-acl-2000 (11) 5 permit source (12)

12、R1-acl-basic-2000quitR1nat address-group 1 (13) R1interrface GigabitEthemet 0/0/1R1-GigabitEthemet 0/0/1ip address (14) R1-GigabitEthemet 0/0/1 (15) outbound 2000 address-group 1R1ripR1-rip-1version 2交換機配置略答案及解析試題一：問題一：1、/242、/323、/0或any問題二：4-5 隧道的源目IP地址8、deny問題四：9、access

13、10、VLAN 10解析：由說明可知，企業(yè)網(wǎng)通過IPSec隧道與分支相連，因此需要配置隧道的源目IP地址。Local代表防火墻本地區(qū)域，即直連網(wǎng)段。要通過ACL實現(xiàn)訪問控制：禁止訪客訪問內(nèi)部網(wǎng)絡(luò)。訪客對應(yīng)網(wǎng)段為VLAN104即/24，動作應(yīng)該為deny. AP控制器連接在核心交換機的GE0/0/2端口，對應(yīng)說明所屬于VLAN為100.因此端口類型為access。試題二：問題一：1-3：A D C問題二：4、負(fù)載均衡系統(tǒng)5、B6、247、restart問題三：8、C9、4問題四：10、FCSCAN勒索病毒利用的是Windows系統(tǒng)漏洞，通過系統(tǒng)

14、默認(rèn)開放135、137、445等文件共享端口發(fā)起的病毒攻擊。因此應(yīng)該要先將感染的主機斷開網(wǎng)絡(luò)連接，然后將其它主機也斷開連接，并禁止共享端口，然后升級操作系統(tǒng)。實現(xiàn)負(fù)載均衡可直接在此網(wǎng)絡(luò)上的負(fù)載均衡設(shè)備上實現(xiàn)，并執(zhí)行輪詢設(shè)置，這樣可實現(xiàn)對各服務(wù)器的負(fù)載均衡操作。由說明可知服務(wù)器的IP地址為：/27，因此可知子網(wǎng)掩碼為：24.啟用網(wǎng)絡(luò)服務(wù)的命令： systemctl enable networkWeb應(yīng)用防護系統(tǒng)，簡稱：WAF，Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。能夠有效發(fā)現(xiàn)及阻止

15、SQL注入、網(wǎng)頁篡改、跨站腳本等攻擊。主要對服務(wù)器區(qū)域進行檢測和保護。存儲網(wǎng)絡(luò)，采用光纖連接存儲區(qū)域，實現(xiàn)高速存儲訪問，符合FCSAN的特點。并且FCSAN支持塊級調(diào)用，適合對大型數(shù)據(jù)庫提供存儲服務(wù)。試題三：問題一：1、D2、D 問題二：3、C4、C5、C6、128問題三：7、A8、A9、C10、B 問題四：11-14 A D D A通過文字及圖形說明，可知子網(wǎng)A連接在網(wǎng)段，而子網(wǎng)B處在網(wǎng)段，對應(yīng)的網(wǎng)關(guān)地址分別為網(wǎng)段連接的服務(wù)器IP。Ping命令通常用于測試連通性，利用的ICMP的回送請求或回答報文，其中TTL值代表跳數(shù)，以255跳開始，每經(jīng)過一個路由器，

16、就會減1。為支持RIP動態(tài)路由協(xié)議，可自己相應(yīng)配置，RIP有兩個版本，V1只支持有類路由信息，并以廣播的方式發(fā)送整個路由表給鄰居，V2支持無類別路由，以組播的方式發(fā)送整個路由表信息進行路由收斂。為了確保路由器之間的安全通信，可在路由器和路由器之間增加身份驗證，并且相互連接的雙方密碼信息要一致。試題四4、255、7問題二：6、sysname / 配置設(shè)備名7、console 0 8、password /配置console 口密碼9、quit /退出接口視圖10、acl /定義ACL11、rule /配置ACL規(guī)則12、27/指定可進行地址轉(zhuǎn)換的內(nèi)網(wǎng)網(wǎng)段13、09 / 定義全局