軟考網(wǎng)絡(luò)工程師2017年下半年下午試題及答案詳解

1、試題一閱讀以下說(shuō)明，回答問(wèn)題1 至問(wèn)題4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)?！菊f(shuō)明】某企業(yè)組網(wǎng)方案如圖1-1 所示， 網(wǎng)絡(luò)接口規(guī)劃如表1-1 所示。 公司內(nèi)部員工和外部訪客均可通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)企業(yè)網(wǎng)絡(luò)，內(nèi)部員工無(wú)線網(wǎng)絡(luò)的SSID 為 Employee，訪客無(wú)線網(wǎng)絡(luò)的SSID為 Visitor 。圖1表1【問(wèn)題 1 】 （ 6 分）防火墻上配置NAT功能，用于公私網(wǎng)地址轉(zhuǎn)換。同時(shí)配置安全策略，將內(nèi)網(wǎng)終端用戶所在區(qū)域劃分為T(mén)rust 區(qū)域，外網(wǎng)劃分為Untrust 區(qū)域，保護(hù)企業(yè)內(nèi)網(wǎng)免受外部網(wǎng)絡(luò)攻擊。補(bǔ)充防火墻數(shù)據(jù)規(guī)劃表1-2 內(nèi)容中的空缺項(xiàng)。注： Local 表示防火墻本地區(qū)域：srcip 表示源

2、 ip 。【問(wèn)題2】 （ 4 分）在點(diǎn)到點(diǎn)的環(huán)境下，配置IPSec VPN 隧道需要明確（4 ）和（5）【問(wèn)題3】 （ 6 分）在 Switch1 上配置 ACL禁止訪客訪問(wèn)內(nèi)部網(wǎng)絡(luò)，將Switch1 數(shù)據(jù)規(guī)劃表1-3 內(nèi)容中的空缺項(xiàng)補(bǔ)充完整。【問(wèn)題4】 （ 4 分）AP控制器上部署WLAN業(yè)務(wù)，采用直接轉(zhuǎn)發(fā)，AP跨三層上線。認(rèn)證方式：無(wú)線用戶通過(guò)預(yù)共享密鑰方式接入。在 Switch1 上 GEO/O/2連接 AP控制器， 該接口類型配置為（ 9） 模式，所在VLAN是（10） 。試題二（共20 分）閱讀下列說(shuō)明，回答問(wèn)題1 至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】圖 2-1 是某企業(yè)網(wǎng)

3、絡(luò)拓?fù)?，網(wǎng)絡(luò)區(qū)域分為辦公區(qū)域、服務(wù)器區(qū)域和數(shù)據(jù)區(qū)域，線上商城系統(tǒng)為公司提供產(chǎn)品在線銷售服務(wù)。公司網(wǎng)絡(luò)保障部負(fù)責(zé)員工辦公電腦和線上商城的技術(shù)支持和保障工作。1】 （ 6 分）某天，公司有一臺(tái)電腦感染“勒索”病毒，網(wǎng)絡(luò)管理員應(yīng)采取（ 1 ） 、 （ 2） 、 （ 3）措施。（ 1 ） （ 3）備選答案：A斷開(kāi)已感染主機(jī)的網(wǎng)絡(luò)連接B更改被感染文件的擴(kuò)展名C為其他電腦升級(jí)系統(tǒng)漏洞補(bǔ)丁D網(wǎng)絡(luò)層禁止135/137/139/445 端口的 TCP連接E刪除已感染病毒的文件【問(wèn)題 2】 （ 8 分）圖 2-1 中，為提高線上商城的并發(fā)能力，公司計(jì)劃增加兩臺(tái)服務(wù)器，三臺(tái)服務(wù)器同時(shí)對(duì)外提供服務(wù)，通過(guò)在圖中（4）設(shè)

4、備上執(zhí)行（5）策略，可以將外部用戶的訪問(wèn)負(fù)載平均分配到三臺(tái)服務(wù)器上。（5） 備選答案：A散列B輪詢C最少連接D工作-備份其中一臺(tái)服務(wù)器的IP 地址為 /27 ，請(qǐng)將配置代碼補(bǔ)充完整。ifcfg-eml 配置片段如下：DEVICE =emlTYPE=EthernetUUID=36878246-2a99-43b4-81df-2db1228eea4bONBOOT=yesNM_CONTROLLED=yesBOOTPROTO=noneHWADDR=90:B1:1C:51:F8:25IPADDR=NETMASK（=6）GATEWAY=0DEFROUTE= yesIPV4_FAILURE_FATAL=yes

5、IPV6INTI=no配置完成后，執(zhí)行systemct1 （ 7） network 命令重啟服務(wù)。【問(wèn)題 3】 （ 4 分） TOC o 1-5 h z 網(wǎng)絡(luò)管理員發(fā)現(xiàn)線上商城系統(tǒng)總是受到SQL注入、跨站腳本等攻擊，公司計(jì)劃購(gòu)置（ 8）設(shè)備 / 系統(tǒng)，加強(qiáng)防范；該設(shè)備應(yīng)部署在圖2-1 中設(shè)備的（9）處。A殺毒軟件B 主機(jī)加固C WAF（ Web應(yīng)用防護(hù)系統(tǒng)）D漏洞掃描【問(wèn)題 4】 （ 2 分）圖 2-1 中，存儲(chǔ)域網(wǎng)絡(luò)采用的是（10）網(wǎng)絡(luò)。試題三（共20 分）閱讀以下說(shuō)明，回答問(wèn)題1 至問(wèn)題 4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)?！菊f(shuō)明】某公司有兩個(gè)辦事處，分別利用裝有Windows Serve

6、r 2008 的雙宿主機(jī)實(shí)現(xiàn)路由功能，此功能由Wmdows Server 2008 中的路由和遠(yuǎn)程訪問(wèn)服務(wù)來(lái)完成。管理員分別為這兩臺(tái)主機(jī)其中一個(gè)網(wǎng)卡配置了不同的IP 地址，如圖3-1 所示?！締?wèn)題 1 】 （ 4 分）在“管理您的服務(wù)器”中點(diǎn)擊“添加或刪除角色”，此時(shí)應(yīng)當(dāng)在服務(wù)器角色中選擇（1）來(lái)完成路由和遠(yuǎn)程訪問(wèn)服務(wù)的安裝。在下列關(guān)于路由和遠(yuǎn)程訪問(wèn)服務(wù)的選項(xiàng)中，不正確的是（ 2） 。（ 1 ）備選答案：A文件服務(wù)器B應(yīng)用程序服務(wù)器（IIS ， ASP.NET）C終端服務(wù)器，D遠(yuǎn)程訪問(wèn)/VPN 服務(wù)（ 2）備選答案：A可連接局域網(wǎng)的不同網(wǎng)段或子網(wǎng)，實(shí)現(xiàn)軟件路由器的功能B把分支機(jī)構(gòu)與企業(yè)網(wǎng)絡(luò)通過(guò)

7、Intranet 連接起來(lái)，實(shí)現(xiàn)資源共享C可使遠(yuǎn)程計(jì)算機(jī)接入到企業(yè)網(wǎng)絡(luò)中訪問(wèn)網(wǎng)絡(luò)資源D必須通過(guò)VPN才能使遠(yuǎn)程計(jì)算機(jī)訪問(wèn)企業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)資源【問(wèn)題 2】 （ 4 分）兩個(gè)辦事處子網(wǎng)的計(jì)算機(jī)安裝Win7 操作系統(tǒng)，要實(shí)現(xiàn)兩個(gè)子網(wǎng)間的通信，子網(wǎng)A和子網(wǎng) B 中計(jì)算機(jī)的網(wǎng)關(guān)分別為（3） 和（4） 。子網(wǎng)A中的計(jì)算機(jī)用ping 命令來(lái)驗(yàn)證數(shù)據(jù)包能否路由到子網(wǎng)B 中，圖 3-2 中參數(shù)使用默認(rèn)值，從參數(shù)（5）可以看出數(shù)據(jù)包經(jīng)過(guò)了（6）個(gè)路由器。（ 3）備選答案：A （ 3）備選答案：A （ 4）備選答案：A （ 5）備選答案：B B A BytesB Time【問(wèn)題3】 （ 8 分）C C C TTLD

8、無(wú)須配置網(wǎng)關(guān)D無(wú)須配置網(wǎng)關(guān)D LostRIP 接口屬性頁(yè)中，如果希望路由器Windows Server 2008 支持 RIP RIP 接口屬性頁(yè)中，如果希望路由器廣播路由表。B自動(dòng)- 靜態(tài)更新模式（ 8廣播路由表。B自動(dòng)- 靜態(tài)更新模式（ 8）備選答案：A RIPv1 廣播（ 9）備選答案：A只是RIPv1B RIPv2 多播B只是RIPv2C RIPv1 和 v2C RIPv2 廣播D忽略傳入數(shù)據(jù)包每隔一段時(shí)間向自己的鄰居廣播路由表以進(jìn)行路由信息的交換和更新，則需要在 “操作模式”7） 。在“傳出數(shù)據(jù)包協(xié)議”中選擇（ 8） ，使網(wǎng)絡(luò)中其它運(yùn)行不同版本的鄰居路由器都可接受此路由器的路由表：在

9、“傳入數(shù)據(jù)包協(xié)議”中選擇（9） ，使網(wǎng)絡(luò)中其他運(yùn)行不同版 本的鄰居路由器都可向此（ 7）備選答案：A周期性是更新模式為了保護(hù)路由器之間的安全通信，可以為路由器配置身份驗(yàn)證。選中“激活身份驗(yàn)證”復(fù)選框，并在“密碼”框中鍵入一個(gè)密碼。所有路由器都要做此配置，所配置的密碼（ 10） 。（ 10 ）備選答案：A可以不同B必須相同【問(wèn)題4】 （ 4 分）由于在子網(wǎng)A中出現(xiàn)病毒，需在路由接口上啟動(dòng)過(guò)濾功能，不允許子網(wǎng)B接收來(lái)自子網(wǎng)A的數(shù)據(jù)包，在選擇入站篩選器且篩選條件是 “接收所有除符合下列條件以外的數(shù)據(jù)包”時(shí)，如圖 3-3 所示，由源網(wǎng)絡(luò)IP 地址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是（11） ，由目標(biāo)網(wǎng)絡(luò)IP 地

10、址和子網(wǎng)掩碼得到的網(wǎng)絡(luò)地址是（12） ，需要選擇協(xié)議（13） 。如果選擇協(xié)議（14） ，則會(huì)出現(xiàn)子網(wǎng) A和子網(wǎng) B之間 ping 不通但是子網(wǎng)B能接受來(lái)自子網(wǎng)A的數(shù)據(jù)包的情況。C C C C UDPD D D任何（ 11 ）備選答案：A B （ 12 ）備選答案：A B （ 13 ） （ 14）備選答案：A ICMPB TCP試題四（共15 分）閱讀以下說(shuō)明，回答問(wèn)題1 至問(wèn)題 2，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。某公司網(wǎng)絡(luò)拓?fù)鋱D如圖4-1 所示?！締?wèn)題 1 】 （ 5 分）為了便于管理公司網(wǎng)絡(luò)，管理員根據(jù)不同部門(mén)對(duì)公司網(wǎng)絡(luò)劃分了VLAN， VLAN編號(hào)及IP地址規(guī)劃如表4-1 所示，考慮到公

11、司以后的發(fā)展，每個(gè)部門(mén)的IP 地址規(guī)劃均留出了一定的余量，請(qǐng)根據(jù)需求，將下表補(bǔ)充完整。公司計(jì)劃使用24 接口的二層交換機(jī)作為接入層交換機(jī)，根據(jù)以上主機(jī)數(shù)量在不考慮地理位置的情況下，最少需要購(gòu)置（5）臺(tái)接入層交換機(jī)。【問(wèn)題2】 （ 10 分）公司申請(qǐng)了14 個(gè)公網(wǎng) IP 地址，地址范圍為09-22, 其中，18-22 作為服務(wù)器和接口地址保留，其他公網(wǎng)IP 地址用于公司訪問(wèn) Internet 。公司使用PAT為營(yíng)銷部門(mén)提供互聯(lián)網(wǎng)訪問(wèn)服務(wù)。請(qǐng)根據(jù)描述，將下面配置代碼補(bǔ)充完整。system-viewHuawei （6） R1R1user-interface （7） / 進(jìn)入 console 用戶界面

12、視圖R1-ui-console0authentication-mode （8）Please configure the login password (maximum length 16):huawei R1-ui-console0quit R1int GigabitEthernet ， 0/0/0R1-GigabitEthernet0/0/0ip address 42 52R1-GigabitEthernet0/0/0 (9)R1 (10) 2000R1-acl-2000(11) 5 permit source (12)R1-acl-basic-2000quitR1nat address-g

13、roup 1(13) 17R1interrface GigabitEthemet 0/0/1R1-GigabitEthemet 0/0/1ip address (14)40R1-GigabitEthemet 0/0/1(15) outbound 2000 address-group 1R1rip R1-rip-1version 2R1-rip-1network 交換機(jī)配置略 答案及解析試題一：?jiǎn)栴}一：1、 /242、 /323、 /0 或 any問(wèn)題二：4-5 隧道的源目IP地址問(wèn)題三：6、 997、 /55deny問(wèn)題四：accessVLAN 10解析：由說(shuō)明可知，企業(yè)網(wǎng)通過(guò)IPSec隧道與

14、分支相連，因此需要配置隧道的源目IP 地址。 Local代表防火墻本地區(qū)域，即直連網(wǎng)段。要通過(guò)ACL實(shí)現(xiàn)訪問(wèn)控制：禁止訪客訪問(wèn)內(nèi)部網(wǎng)絡(luò)。訪客對(duì)應(yīng)網(wǎng)段為VLAN104即 /24，動(dòng)作應(yīng)該為deny. AP控制器連接在核心交換機(jī)的 GE0/0/2 端口，對(duì)應(yīng)說(shuō)明所屬于VLAN 為 100.因此端口類型為access。試題二：?jiǎn)栴}一：1-3： A D C問(wèn)題二：4、負(fù)載均衡系統(tǒng)5、 B 6、 247、 restart問(wèn)題三：8、 C9、 4問(wèn)題四：10、 FCSCAN勒索病毒利用的是Windows 系統(tǒng)漏洞，通過(guò)系統(tǒng)默認(rèn)開(kāi)放135、 137、 445 等文件共享端口發(fā)起的病毒攻擊。因此應(yīng)該要先將感染

15、的主機(jī)斷開(kāi)網(wǎng)絡(luò)連接，然后將其它主機(jī)也斷開(kāi)連接，并禁止共享端口，然后升級(jí)操作系統(tǒng)。實(shí)現(xiàn)負(fù)載均衡可直接在此網(wǎng)絡(luò)上的負(fù)載均衡設(shè)備上實(shí)現(xiàn)，并執(zhí)行輪詢?cè)O(shè)置，這樣可實(shí)現(xiàn)對(duì)各服務(wù)器的負(fù)載均衡操作。由說(shuō)明可知服務(wù)器的IP地址為：/27， 因此可知子網(wǎng)掩碼為：24.啟用網(wǎng)絡(luò)服務(wù)的命令：systemctl enable networkWeb 應(yīng)用防護(hù)系統(tǒng)，簡(jiǎn)稱：WAF， Web 應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門(mén)為Web 應(yīng)用提供保護(hù)的一款產(chǎn)品。能夠有效發(fā)現(xiàn)及阻止SQL注入、網(wǎng)頁(yè) 篡改、跨站腳本等攻擊。主要對(duì)服務(wù)器區(qū)域進(jìn)行檢測(cè)和保護(hù)。存儲(chǔ)網(wǎng)絡(luò)，采用光纖連接存儲(chǔ)區(qū)域，實(shí)現(xiàn)高速存儲(chǔ)訪問(wèn)

16、，符合FCSAN的特點(diǎn)。并且 FCSAN支持塊級(jí)調(diào)用，適合對(duì)大型數(shù)據(jù)庫(kù)提供存儲(chǔ)服務(wù)。試題三：?jiǎn)栴}一：1、D試題三：?jiǎn)栴}一：1、D問(wèn)題二：3、C問(wèn)題三：7、A問(wèn)題四：2、 D4、 C5、 C8、 A9、 C11-14 A D D A通過(guò)文字及圖形說(shuō)明，可知子網(wǎng)6、 12810、 BA連接在 網(wǎng)段，而子網(wǎng)B 處在 網(wǎng)段， 對(duì)應(yīng)的網(wǎng)關(guān)地址分別為網(wǎng)段連接的服務(wù)器IP。 Ping命令通常用于測(cè)試連通性，利用的 ICMPTTL值代表跳數(shù)，以255 跳開(kāi)始，每經(jīng)過(guò)一個(gè)路由器，就會(huì)減1。為支持RIP動(dòng)態(tài)路由協(xié)議，可自己相應(yīng)配置，RIP有兩個(gè)版本，V1 只支持有類路由信息，并以廣播的方式發(fā)送整個(gè)路由表給鄰居，V2 支持無(wú)類別路由，以組播的方式發(fā)送整個(gè)路由表信息進(jìn)行路由收斂。為了確保路由器之間的安全通信，可在路由器和路由器之間增加身份驗(yàn)證，并且相互連接的雙方密碼信息要一致。試題四問(wèn)題一：1、 902、 923、 404、 255、 7問(wèn)題二：6、 sysname / 配置設(shè)備名7、 console 0 8、 password / 配置 console 口密碼9、 quit / 退出接口視圖10、 a