中級(jí)《網(wǎng)絡(luò)工程師》全真模擬試卷3下午試題解讀

2015年中級(jí)《網(wǎng)絡(luò)工程師》全真模擬試卷3下午試題解讀2015年中級(jí)《網(wǎng)絡(luò)工程師》全真模擬試卷3下午試題解讀2015年中級(jí)《網(wǎng)絡(luò)工程師》全真模擬試卷3下午試題解讀2015中級(jí)《網(wǎng)絡(luò)工程師》全真模擬試卷3下午試題一、綜合題(共5題，共計(jì)75分)某公司的網(wǎng)絡(luò)設(shè)施連結(jié)狀況如圖9-7所示。1(1)往常，圖9-7中的網(wǎng)絡(luò)設(shè)施(1)應(yīng)為(1)，網(wǎng)絡(luò)設(shè)施(2)應(yīng)為(2)。從網(wǎng)絡(luò)安全角度而言，互換機(jī)4所構(gòu)成的網(wǎng)絡(luò)地區(qū)一般稱為(3)區(qū)。圖9-7中網(wǎng)絡(luò)設(shè)施(3)應(yīng)為(4)，它能夠?qū)υ摼W(wǎng)絡(luò)供給以下的保護(hù)舉措：數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí)將被進(jìn)行過(guò)濾檢測(cè)，并確立此包能否有威迫網(wǎng)絡(luò)安全的特點(diǎn)。假如檢測(cè)到歹意數(shù)據(jù)包，系統(tǒng)發(fā)出警報(bào)并阻斷攻擊。網(wǎng)絡(luò)設(shè)施(3)在圖9-7中部署方式的名稱是(5)。2(1)該公司的網(wǎng)絡(luò)采納核心層、接入層的兩層架構(gòu)方式。依據(jù)層次化網(wǎng)絡(luò)設(shè)計(jì)的原則，MAC層過(guò)濾和IP地點(diǎn)綁定等功能主要應(yīng)在由(6)(請(qǐng)排列出圖9-7中有關(guān)互換機(jī)的名稱)構(gòu)成的(7)層達(dá)成。(2)針對(duì)圖9-7中的網(wǎng)絡(luò)拓?fù)錁?gòu)造，各臺(tái)互換機(jī)需要運(yùn)轉(zhuǎn)(8)協(xié)議，以成立一個(gè)無(wú)環(huán)路的樹狀構(gòu)造網(wǎng)絡(luò)。當(dāng)圖9-7中交換機(jī)1～互換機(jī)3之間的某條鏈路有故障(或無(wú)效)時(shí)，為了使堵塞端口直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，進(jìn)而切換到備份鏈路上，則需要在圖9-7中互換機(jī)1～互換機(jī)3、互換機(jī)5～互換機(jī)8上使用(9)功能。3在圖9-7中，因?yàn)楣ぷ餍再|(zhì)的需要，網(wǎng)絡(luò)管理員的筆錄本電腦需要常常在互換機(jī)5～互換機(jī)8之間隨意挪動(dòng)，應(yīng)采納什么方式區(qū)分VLAN來(lái)管理該筆錄本電腦?剖析圖9-7所示的網(wǎng)絡(luò)構(gòu)造的冗余性，請(qǐng)列舉出圖9-7中核心層與其余互連地區(qū)的兩個(gè)故障單點(diǎn)。[說(shuō)明]當(dāng)局域網(wǎng)中存在大批計(jì)算機(jī)時(shí)，依據(jù)業(yè)務(wù)的不一樣，能夠?qū)⒕W(wǎng)絡(luò)分紅幾個(gè)相對(duì)獨(dú)立的子網(wǎng)。圖9-8是某公司子網(wǎng)區(qū)分的表示圖，整個(gè)網(wǎng)將被均分為銷售部與技術(shù)部?jī)蓚€(gè)子網(wǎng)，子網(wǎng)之間經(jīng)過(guò)一臺(tái)安裝了Linux操作系統(tǒng)的雙網(wǎng)卡計(jì)算機(jī)連通。該Linux網(wǎng)關(guān)計(jì)算機(jī)使用了最新的BCM5751網(wǎng)卡芯片，因?yàn)镽edHatLinux9操作系統(tǒng)沒(méi)法自動(dòng)辨別此硬件，需要獨(dú)自安裝驅(qū)動(dòng)程序才能正常工作。詳細(xì)安裝過(guò)程以下：①將驅(qū)動(dòng)程序壓縮文件復(fù)制到一個(gè)暫時(shí)目錄中，并使用解壓縮命令將驅(qū)動(dòng)程序包bcm5700-8解壓縮；page1/16②用make命令建立驅(qū)動(dòng)程序的可加載模塊；③用makeinstall命令加載驅(qū)動(dòng)程序；④從頭啟動(dòng)系統(tǒng)，啟動(dòng)過(guò)程中系統(tǒng)找到網(wǎng)卡進(jìn)行相應(yīng)參數(shù)配置。4將文件解壓縮的命令是______。A．rpmB．tarC．unzipD．rar5Linux網(wǎng)關(guān)計(jì)算機(jī)有兩個(gè)網(wǎng)絡(luò)接口(eth0和eth1)，每個(gè)接口與對(duì)應(yīng)的子網(wǎng)連結(jié)。該計(jì)算機(jī)/etc/sysconfig/network文件清單為：NETWORKING=yesFORWARD_IPV4=(4)/etc/sysconfig/network-scripts/ifcfg-eth0文件清單為：DEVICE=eth0NETMASK=(3)(以下省略)/etc/sysconfig/network-scripts/ifcfg-eth1文件清單為：DEVICE=eth1NETMASK=(4)(以下省略)[供選擇的答案](2)A．yesB．noC．routeD．gateway6在計(jì)算機(jī)/etc/sysconfig/network-scripts/目錄中有以下文件，運(yùn)轉(zhuǎn)某命令能夠啟動(dòng)網(wǎng)絡(luò)，該命令是(5)，其命令參數(shù)是(6)。ifcfg-eth0ifcfg-lopage2/16ifdownifdown-aliasesifdown-cipcbifdown-ipppifdown-ipv6ifdown-isdnifdown-postifdown-pppifdown-sitifdown-s1ifupifup-aliasesifup-cipcbifup-ipppifup-ipv6ifup-ipxifup-isdnifup-plipifup-plusbifup-postifup-pppifup-routesifup-sitifup-s1ifup-wirelessnetwork-funCtionsmetwork-functions-ipv67能夠使用命令(7)米查察網(wǎng)絡(luò)接口的運(yùn)轉(zhuǎn)狀況。輸入該命令后，系統(tǒng)的輸出信息以下：eth0Linkencap:EthernetHwaddr:00:12:3F:94:E7:B9inetaddr：3Bcast：(8)Mask：(9)UPBROADCASTRUNNINGMULTICASTMTU:1500Metric：1RXpackets：1501errors：0dropped:0overruns：0frame：0TXpackets：74errors：0dropped：0overruns：0carrier：0collisions：0nxqueuelen：100RXbytes：164444(160.5KB)TXbytes：9167(8.9KB)Interrupt：11Memory：dfcf0000-dfd00000以上輸出信息表示，該網(wǎng)卡的工作狀態(tài)是：(10)。此中，“MTU”的含義是(11)。[供選擇的答案](7)A．ipconfigB．ifconfigC．netstatD．rcp(10)A．正常B．故障8設(shè)置技術(shù)部和銷售部的主機(jī)網(wǎng)絡(luò)參數(shù)后，假如兩個(gè)子網(wǎng)間的主機(jī)不可以通訊，用(12)命令來(lái)測(cè)試數(shù)據(jù)包能否能夠到達(dá)網(wǎng)關(guān)計(jì)算機(jī)。假如數(shù)據(jù)包能夠到達(dá)網(wǎng)關(guān)可是不可以轉(zhuǎn)發(fā)到目標(biāo)計(jì)算機(jī)上，則需要用命令cat/pro/sys/net/ipv4/ip_forward來(lái)確認(rèn)網(wǎng)關(guān)計(jì)算機(jī)的內(nèi)核能否支持IP轉(zhuǎn)發(fā)。假如不支持，該命令輸出(13)。[供選擇的答案](12)A．traceroutepage3/16B．tracertC．nslookupD．route(13)A．1B．0C．yesD．no閱讀以下說(shuō)明，依據(jù)要求回答下列問(wèn)題。[說(shuō)明]某臺(tái)安裝了WindowsServer2003操作系統(tǒng)的服務(wù)器既是Web站點(diǎn)又是FTP服務(wù)器。Web站點(diǎn)的域名為，Web站點(diǎn)的部分派置信息如圖9-9所示，F(xiàn)TP服務(wù)器的域名為。9WindowsServer2003操作系統(tǒng)可經(jīng)過(guò)“管理您的服務(wù)器”導(dǎo)游來(lái)配置DNS。在DNS服務(wù)器中為Web站點(diǎn)增添記錄時(shí)，在圖9-10所示的[地區(qū)名稱]配置界面中，“地區(qū)名稱”文本框中應(yīng)填入(1)。單擊圖9-10中的[下一步]按鈕，系統(tǒng)將彈出如圖9-11所示的[地區(qū)文件]配置界面，此中系統(tǒng)自動(dòng)生成的默認(rèn)地區(qū)文件名為(2)。page4/1610地區(qū)建成后，用鼠標(biāo)右鍵單擊地區(qū)名稱，在如圖9-12所示的快捷菜單中選擇(3)命令，在彈出的如圖9-13所示的對(duì)話框中為成立正向搜尋地區(qū)記錄，則“名稱”文本框應(yīng)填入(4)，“IP地點(diǎn)”文本框應(yīng)填入(5)。11為了創(chuàng)立域名的正向搜尋地區(qū)記錄，需要在如圖9-12所示的快捷菜單中選擇(6)命令。在客戶端能夠經(jīng)過(guò)(7)命令來(lái)測(cè)試FTP服務(wù)器的域名能否配置成功。12在客戶端能夠經(jīng)過(guò)(8)命令來(lái)測(cè)試Web站點(diǎn)的域名能否配置成功。在閱讀器的地點(diǎn)欄中輸入(9)，能夠接見(jiàn)該Web站點(diǎn)。13在鑒于Windows操作系統(tǒng)的客戶端中履行命令ping，域名分析系統(tǒng)第一讀取本機(jī)%systemroot%\system32\drivers\etc目錄下的(10)文件，并在此中查找對(duì)應(yīng)域名的IP地點(diǎn)。若查找失敗，則將域名分析任務(wù)提交給客戶機(jī)中“Internet協(xié)議(TCP/IP)屬性”窗口所配置的(11)進(jìn)行查問(wèn)。在客戶端清除DNS域名分析故障時(shí)，輸入(12)命令可顯示目前DNS緩存。[說(shuō)明]某公司內(nèi)部網(wǎng)絡(luò)經(jīng)過(guò)一臺(tái)24端口的互換機(jī)連結(jié)20臺(tái)PC，使用一臺(tái)硬件防火墻對(duì)外公布公司的Web站點(diǎn)。該公司經(jīng)過(guò)DDN專線連結(jié)Internet的網(wǎng)絡(luò)拓?fù)錁?gòu)造如圖9-14所示。公司內(nèi)部使用的IP地點(diǎn)塊為。圖9-14中路由器Router是與該公司互連的第一個(gè)ISP路由器。page5/16在PC1的DOS命令窗口中，運(yùn)轉(zhuǎn)命令netstat-an的系統(tǒng)返回信息如圖9-15所示。運(yùn)轉(zhuǎn)另一條Windows命令后系統(tǒng)的返回信息如圖9-16所示(注：部分信息被隱蔽)。14在圖9-16所示的DOS命令窗15中，所運(yùn)轉(zhuǎn)的Windows命令是______。A．ipconfig/renewB．C．D．15在PC1的DOS命令窗口中運(yùn)轉(zhuǎn)(2)命令，獲取結(jié)果如圖9-17所示。圖9-17中空缺的參數(shù)中，IPAddress值為(3)；SubnetMask值為(4)；DefaultGateway值為(5)。page6/1616請(qǐng)閱讀以下防火墻的配置信息，并增補(bǔ)(6)～(9)空缺處的配置命令或參數(shù)，按題目要求達(dá)成防火墻的配置。Firewall＞enableFirewall#configterminalFirewall(config)#nameifethernet0(6)security100//配置接口名字，并指定安全級(jí)別Firewall(config)#nameifethernet1(7)security0Firewall(config)##nameifethernet2(8)security60Firewall(config)#ipaddressinside(9)Firewall(config)#[備選答案]：A．e0B．e1C．e2D．dmzE．insideF．outside17在圖9-14中，Router的eth0接口IP地點(diǎn)為_(kāi)_____。18在默認(rèn)狀況下，圖9-15中PC1正在懇求的Internet服務(wù)為(11)。該服務(wù)與PC1進(jìn)行通訊時(shí)，PC1所使用的源端口號(hào)的可能取值范圍為(12)。19ACL默認(rèn)的履行次序是(13)。若要嚴(yán)禁內(nèi)網(wǎng)中IP地點(diǎn)為的PC接見(jiàn)外網(wǎng)，則正確的ACL規(guī)則是(14)。(13)A．最優(yōu)般配B．自上而下C．隨機(jī)選用D．自下而上(14)A．a(chǎn)ccess-list1permitip55anyaccess-list1denyiphost5anyB．a(chǎn)ccess-list1permitiphost5anyaccess-list1denyip55anyC．a(chǎn)ccess-list1denyip55anyaccess-list1permitiphost5anyD．a(chǎn)ccess-list1denyiphost5anyaccess-list1permitip55any[說(shuō)明]某公司網(wǎng)絡(luò)由總公司和分公司構(gòu)成，其網(wǎng)絡(luò)拓?fù)錁?gòu)造如圖9-18所示。此中，總公司的網(wǎng)絡(luò)自治系統(tǒng)1(AS1)采納RIPvpage7/162路由協(xié)議，分公司的網(wǎng)絡(luò)自治系統(tǒng)2(AS2)采納OSPF路由協(xié)議。該公司網(wǎng)絡(luò)有兩個(gè)出口，一個(gè)出口經(jīng)過(guò)路由器R1的S0/0端口連結(jié)ISP1，另一個(gè)出口經(jīng)過(guò)R1的S0/1端口連結(jié)ISP2。20與路由器R2的f0/0端口連結(jié)的局域網(wǎng)LAN1是一個(gè)末節(jié)網(wǎng)絡(luò)，并且已湊近飽和，為了減少流量，需要過(guò)濾進(jìn)入LAN1的路由更新。此時(shí)，在路由器R2上需要達(dá)成以下與之有關(guān)的配置。請(qǐng)將(1)空缺處的內(nèi)容填寫完好。R2(config)#routerripR2(config-router)#______f0/021若LAN2中的計(jì)算機(jī)不需要接見(jiàn)LAN4中的計(jì)算機(jī)，為了進(jìn)一步控制流量，網(wǎng)絡(luò)管理員決定經(jīng)過(guò)接見(jiàn)控制列表阻擋192.網(wǎng)絡(luò)中的主機(jī)接見(jiàn)網(wǎng)絡(luò)。此時(shí)應(yīng)將以下有關(guān)的接見(jiàn)控制列表設(shè)置在路由器R3上。請(qǐng)將以下(2)～(6)空缺處的內(nèi)容填寫完好。access-list101(2)(3)(4)acess-list101(5)ipanyanyinterfacef0/0ipaecess-group(6)in22若采納策略路由未來(lái)自網(wǎng)絡(luò)去往Internet的數(shù)據(jù)流轉(zhuǎn)發(fā)到ISP1，未來(lái)自網(wǎng)絡(luò)去往Internet的數(shù)據(jù)流轉(zhuǎn)發(fā)到ISP2，請(qǐng)將以下(7)～(12)空缺處的內(nèi)容填寫完好。R1R1R1(config)#roune-mapISP1permit10R1(config-route-map)#matchipaddress(7)R1(config-route-map)#setinterface(8)R1(config-route-map#exitR1(config)#route-mapISP2permit20R1(config-route-map)#matchiPaddress(9)R1(config-route-map)#setinterface(10)R1(config-toure-map)#exitR1(config)#interfacef0/1page8/16R1(config-if)#ippolicyroute-mapISP2R1(config-if)#interfacef0/2R1(config-if)#ippolicyroute-map(11)R1(config-if)#interface(12)R1(config-if)#ippolicyroute-mapISP1R1(config-if)#23若要求自治系統(tǒng)1中的路由器R2能學(xué)習(xí)到自治系統(tǒng)2(OSPF網(wǎng)絡(luò))中的路由信息，同時(shí)R5也能學(xué)習(xí)到自治系統(tǒng)1中的路由信息，則需要在路由器(13)上配置(14)。(13)A．R2B．R5C．R4D．R1(14)A．策略路由B．路由重公布C．靜態(tài)路由D．界限網(wǎng)關(guān)路由參照答案1.(1)路由器或界限路由器防火墻或一致安全網(wǎng)關(guān)(USG)或其余擁有近似功能的網(wǎng)絡(luò)安全設(shè)施非軍事或DMZ鑒于網(wǎng)絡(luò)的入侵防備系統(tǒng)，或NIPS流量鏡像方式分析：路由器擁有廣域網(wǎng)互連、隔絕廣播信息和異構(gòu)網(wǎng)互連等能力，是公司網(wǎng)(或園區(qū)網(wǎng))建設(shè)和互聯(lián)網(wǎng)絡(luò)建設(shè)中必不行少的網(wǎng)絡(luò)互連設(shè)施。由圖9-7中的網(wǎng)絡(luò)拓?fù)錁?gòu)造可知，設(shè)施(1)處于該公司網(wǎng)和Internet之間，所以需要使用路由器設(shè)施進(jìn)行網(wǎng)絡(luò)互連，以實(shí)現(xiàn)該公司網(wǎng)路由信息的界限計(jì)算、網(wǎng)絡(luò)地點(diǎn)變換等功能。防火墻的主要功能是：①檢查所有從外面網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)和從內(nèi)部網(wǎng)絡(luò)流出到外面網(wǎng)絡(luò)的數(shù)據(jù)包；②履行安全策略，限制所有不切合安全策略要求的數(shù)據(jù)包經(jīng)過(guò)。往常，Internet是一個(gè)“不行相信的網(wǎng)絡(luò)”，而內(nèi)部局域網(wǎng)要求是一個(gè)“可相信的網(wǎng)絡(luò)”。所以在圖9-7中設(shè)施(2)需要部署防火墻設(shè)施，進(jìn)而保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外面非受權(quán)用戶使用，防備內(nèi)部遇到外面非法用戶的攻擊。此外，防火墻中的DMZ區(qū)也稱為非軍事區(qū)，它是為認(rèn)識(shí)決安裝防火墻后外面網(wǎng)絡(luò)不可以接見(jiàn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而建立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。這個(gè)緩沖區(qū)位于公司內(nèi)部網(wǎng)絡(luò)和外面網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)地區(qū)內(nèi)。在這個(gè)小網(wǎng)絡(luò)地區(qū)內(nèi)能夠擱置一些對(duì)外公然的服務(wù)器。比如，圖9-7中的Web服務(wù)器、DNS服務(wù)器和E-mail服務(wù)器等。DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增添了一道安全防線，往常認(rèn)為是比較安全的。同時(shí)它供給了一個(gè)地區(qū)放置公共服務(wù)器，進(jìn)而又能有效地防止一些互連應(yīng)用需要公然，而與內(nèi)部安全策略相矛盾的狀況發(fā)生。鑒于網(wǎng)絡(luò)的入侵防備系統(tǒng)(Network-basedIntrusionPreventionSystem，NIPS)兼有防火墻、入侵檢測(cè)系統(tǒng)(IDS)和防病毒等安全組件的特征，當(dāng)數(shù)據(jù)包經(jīng)過(guò)時(shí)，將對(duì)它進(jìn)行過(guò)濾檢測(cè)，以確立該數(shù)據(jù)包能否含有威迫網(wǎng)絡(luò)安全的特征。假如檢測(cè)到一個(gè)歹意的數(shù)據(jù)包，系統(tǒng)不只發(fā)出警報(bào)，還將采納相應(yīng)舉措(如拋棄含有攻擊性的數(shù)據(jù)包或阻斷連接)阻斷攻擊。依據(jù)網(wǎng)絡(luò)拓?fù)錁?gòu)造的不一樣，NIPS的探測(cè)器能夠經(jīng)過(guò)流量鏡像、串接集線器設(shè)施、串接TAP設(shè)施等方式部署在被檢測(cè)的網(wǎng)絡(luò)中。在圖9-7中，設(shè)施(3)直接連結(jié)在互換機(jī)1的Gi1/2端口(此端口稱為鏡像端口)，用于檢測(cè)、剖析和辦理從設(shè)施(2)(即防火墻)進(jìn)入互換機(jī)1(即內(nèi)部網(wǎng)絡(luò))Gi1/1端口(此端口稱為被鏡像端口)的數(shù)據(jù)包。往常將這類設(shè)施部署方式稱為流量鏡像方式。2.(6)互換機(jī)5、互換機(jī)6、互換機(jī)7和互換機(jī)8(或互換機(jī)5～互換機(jī)8)接入生成樹或STP(9)BackboneFast分析：圖9-7所示的網(wǎng)絡(luò)構(gòu)造采納核心層、接入層的兩層架構(gòu)理念。此中，由互換機(jī)1～互換機(jī)3構(gòu)成核心層，主要page9/16達(dá)成的功能有：①分組的高速轉(zhuǎn)發(fā)；②匯接接入層的用戶流量，進(jìn)行數(shù)據(jù)分組傳輸?shù)膮R聚、轉(zhuǎn)發(fā)與互換；③依據(jù)接入層的用戶流量，進(jìn)行當(dāng)?shù)芈酚伞?shù)據(jù)包過(guò)濾、協(xié)議變換、流量平衡、QoS優(yōu)先級(jí)管理，以及安全控制、IP地點(diǎn)轉(zhuǎn)換、流量整形等辦理。在圖9-7中由互換機(jī)5～互換機(jī)8構(gòu)成接入層，主要達(dá)成的功能有：①為用戶供給了在當(dāng)?shù)鼐W(wǎng)段接見(jiàn)應(yīng)用系統(tǒng)的能力，解決相鄰用戶之間相互接見(jiàn)的需求，并且為這些接見(jiàn)供給足夠的帶寬；②適合地負(fù)責(zé)部分用戶管理功能(如MAC層過(guò)濾、IP地點(diǎn)綁定、用戶認(rèn)證、計(jì)費(fèi)管理等)；③負(fù)責(zé)部分用戶信息采集工作(如用戶的IP地點(diǎn)、MAC地點(diǎn)、接見(jiàn)日志等)。生成樹協(xié)議(SpanningTreeProtocol，STP)是一個(gè)數(shù)據(jù)鏈路層的管理協(xié)議。其主要功能是在保證網(wǎng)絡(luò)中沒(méi)有邏輯回路的基礎(chǔ)上，同意在第2層鏈路中供給冗余路徑，以保證網(wǎng)絡(luò)靠譜、穩(wěn)固地運(yùn)轉(zhuǎn)。STP運(yùn)轉(zhuǎn)在互換機(jī)設(shè)施上，經(jīng)過(guò)在互換機(jī)之間傳達(dá)網(wǎng)橋協(xié)議數(shù)據(jù)單元(BPDU)，并用生成樹算法(STA)對(duì)其進(jìn)行比較計(jì)算，以成立一個(gè)穩(wěn)固、無(wú)回路的樹狀構(gòu)造網(wǎng)絡(luò)。STP的BackboneFast功能是：使堵塞端口不必等候一個(gè)生成樹最大存活時(shí)間(約30s)，便可直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，進(jìn)而提升一般互換機(jī)到根互換機(jī)的間接鏈路無(wú)效狀況下的收斂速度。BackboneFast功能需要在所有參加STP計(jì)算的互換機(jī)上配置。在圖9-7中，互換機(jī)1～互換機(jī)3是網(wǎng)絡(luò)的骨干互換機(jī)。當(dāng)它們相互之間的某條鏈路(比如互換機(jī)1～互換機(jī)2的鏈路)有故障時(shí)，為了使堵塞端口直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，進(jìn)而切換到備份鏈路(比如互換機(jī)1～互換機(jī)3的鏈路)上，則需要在圖9-7中互換機(jī)1～互換機(jī)3、互換機(jī)5～互換機(jī)8上使能STP的BackboneFast功能。采納鑒于MAC地點(diǎn)的方式區(qū)分VLAN；或鑒于網(wǎng)絡(luò)層協(xié)議區(qū)分VLAN分析：依據(jù)VLAN的成員定義，大概有鑒于端口區(qū)分、鑒于MAC地點(diǎn)區(qū)分、鑒于第3層地點(diǎn)區(qū)分、鑒于策略區(qū)分(或基于應(yīng)用區(qū)分)這4種VLAN區(qū)分方法。此中，鑒于端口區(qū)分VLAN是一種靜態(tài)VLAN的區(qū)分方式，其余區(qū)分方法例屬于動(dòng)向VLAN的區(qū)分方式。若網(wǎng)絡(luò)用戶的物理地點(diǎn)需要常常挪動(dòng)，則應(yīng)采納鑒于MAC地點(diǎn)的方式區(qū)分VLAN，或鑒于第3層地點(diǎn)(網(wǎng)絡(luò)層協(xié)議)區(qū)分VLAN。4.(1)B，或tar分析：在Linux操作系統(tǒng)中，關(guān)于擴(kuò)展名為的文件，則需要使用“tar-xvzf[文件名”將其恢復(fù)成源文件，馬上文件解壓縮的命令是：tar-xvzf。假如在Linux操作系統(tǒng)中，擴(kuò)展名為.rpm的文件，則需要使用“rpm-ivh*.rpm”或“rpm-Uvh*.rpm”達(dá)成軟件包的安裝。5.(2)A，或分析：Linux內(nèi)核默認(rèn)內(nèi)置有IP假裝功能?？墒?，使用一個(gè)沒(méi)有內(nèi)置IP假裝功能的內(nèi)核，則需要從頭編譯，裝載一些模塊，而后設(shè)置數(shù)據(jù)包過(guò)濾規(guī)則以便同意變換的進(jìn)行。為了讓IP假裝能夠工作，需要翻開(kāi)服務(wù)器的IP轉(zhuǎn)發(fā)功能，馬上/etc/sysconfig/network文件中的FORWARD_IPV4設(shè)置為yes而啟用IP轉(zhuǎn)發(fā)。一個(gè)較完好/etc/sysconfig/network-scripts/ifcfg-eth0文件清單是：DEVICE=eht0/*指明網(wǎng)卡的名稱*/IPADDR=26/*指明分派給網(wǎng)卡的IP地點(diǎn)*/NETMASK=28/*指明子網(wǎng)掩碼，因?yàn)樵撟泳W(wǎng)有126個(gè)可用的IP地點(diǎn)*/NETWORK=/*指明網(wǎng)絡(luò)地點(diǎn)*/BROADCAST=27/*指明廣播地點(diǎn)*/ONBOOT=yes/*指明在系統(tǒng)啟動(dòng)時(shí)能否激活網(wǎng)卡*/BOOTPROTO=none/*指明能否使用bootp協(xié)議*/同理，因?yàn)榧夹g(shù)部子網(wǎng)可用的IP地點(diǎn)有126個(gè)，所以在/etc/sysconfig/network-scripts/ifcfg-eth1文件中子網(wǎng)掩碼也應(yīng)設(shè)置為，即。一旦配置完Linux網(wǎng)關(guān)計(jì)算機(jī)的網(wǎng)絡(luò)配置文件，應(yīng)當(dāng)使用命令來(lái)從頭啟動(dòng)網(wǎng)絡(luò)以使之改正奏效。6.(5)ifup(6)網(wǎng)絡(luò)接口(或設(shè)施)名稱，或eth0分析：命令ifconfig、ifup、ifdown的作用都是用于啟動(dòng)/封閉網(wǎng)絡(luò)接口，但iflap與ifdown僅能就/etc/sysconfigpage10/16/network-scripts內(nèi)的ifcfg-ethx(x=0，1，2，3)進(jìn)行啟動(dòng)或封閉的動(dòng)作，其實(shí)不可以直接改正網(wǎng)絡(luò)參數(shù)，除非手動(dòng)調(diào)整ifcfg-ethx文件內(nèi)容。當(dāng)履行ifupeth0時(shí)，操作系統(tǒng)會(huì)找出ifcfg-eth0這個(gè)文件的內(nèi)容，然以后加以設(shè)定。在本試題中/etc/sysconfig/network-scripts/目錄下只給出ifcfg-eth0文件，所以運(yùn)轉(zhuǎn)ifup命令能夠啟動(dòng)eth0所在的網(wǎng)絡(luò)，其命令參數(shù)是網(wǎng)絡(luò)接口(或設(shè)施)名稱eth0。7.(7)B，或(9)(10)A，或正常最大傳輸單元分析：在Linux操作系統(tǒng)中，可使用ifconfig命令來(lái)查察當(dāng)?shù)刂鳈C(jī)目前獲取的TCP/IP參數(shù)配置信息。使用不帶任何參數(shù)的ifconfig命令能夠顯示所有網(wǎng)絡(luò)接口的狀態(tài)。若要檢查特定網(wǎng)絡(luò)接口的狀態(tài)，則需使用ifconfig[interface]命令。比如，能夠使用“ifconfigeht0”命令來(lái)查察該BCM5751網(wǎng)卡的運(yùn)轉(zhuǎn)狀況。從試題中給出的輸出信息可知，DHCP服務(wù)器分派給該BCM5751網(wǎng)卡的IP地點(diǎn)是。因?yàn)槭且粋€(gè)C類IP地點(diǎn)，其默認(rèn)的子網(wǎng)掩碼(Mask)為。TCP/IP協(xié)議規(guī)定，將某個(gè)IP地點(diǎn)中表達(dá)主機(jī)部分的各比特位所有設(shè)置為“1”的IP地點(diǎn)稱為該主機(jī)的直接廣播地點(diǎn)。因?yàn)镃類IP地點(diǎn)是用最右側(cè)一個(gè)字節(jié)的比特位來(lái)表達(dá)主機(jī)地點(diǎn)部分，所以3的當(dāng)?shù)刂苯訌V播地點(diǎn)為55。從ifconfig命令的輸出信息——“UP”、“RXpackets:1501”、“TXpackets:74”、“RXbytes:164444(160.5KB)TXbytes:9167(8.9KB)”可判斷該BCM5751網(wǎng)卡處于正常收發(fā)數(shù)據(jù)包的運(yùn)轉(zhuǎn)狀態(tài)。在ifconfig命令的輸出信息——“MTU:1500”中，MTU表示最大傳輸單元，它是跟網(wǎng)絡(luò)接口層特征有關(guān)的。在以太網(wǎng)中，RFC894定義的以太幀格式的MTU值為1500字節(jié)。在一個(gè)IP包中，扣除IP包頭的20個(gè)字節(jié)，能夠傳輸?shù)淖畲髷?shù)據(jù)長(zhǎng)度為1480個(gè)字節(jié)；在TCP包中，扣除20個(gè)字節(jié)的TCP包頭，能夠傳輸?shù)淖畲髷?shù)據(jù)段為1460個(gè)字節(jié)；在UDP包中，扣除UDP包頭的8個(gè)字節(jié)，能夠傳輸?shù)淖畲髷?shù)據(jù)段為1492個(gè)字節(jié)。所以，當(dāng)數(shù)據(jù)超出最大數(shù)據(jù)長(zhǎng)度時(shí)，將對(duì)該數(shù)據(jù)進(jìn)行分段辦理，在IP包頭中會(huì)看到有多個(gè)數(shù)據(jù)段在傳輸，但這些數(shù)據(jù)段的表記號(hào)是同樣的，表示是同一個(gè)數(shù)據(jù)包。8.(12)A，或traceroute(13)B，或0分析：在Linux操作系統(tǒng)中使用鑒于UDP協(xié)議的traceroute命令進(jìn)行路由追蹤，該命令在Windows操作系統(tǒng)中對(duì)應(yīng)是“tracert”。在計(jì)算機(jī)能夠經(jīng)過(guò)nslookup命令測(cè)試DNS配置狀況，或?qū)崿F(xiàn)某個(gè)域名及其對(duì)應(yīng)的IP地點(diǎn)間的相互查問(wèn)。route命令主要用于創(chuàng)立或刪除某條路由。標(biāo)準(zhǔn)的GNU/Linux供給了好多可調(diào)理的內(nèi)核參數(shù)。比如在/proc虛構(gòu)文件系統(tǒng)中存在一些可調(diào)理的內(nèi)核參數(shù)。這個(gè)文件系統(tǒng)中的每個(gè)文件都表示一個(gè)或多個(gè)參數(shù)，它們能夠經(jīng)過(guò)cat工具進(jìn)行讀取，或使用echo命令進(jìn)行改正。以下例子展現(xiàn)了怎樣查問(wèn)或啟用一個(gè)可調(diào)理的參數(shù)的實(shí)驗(yàn)過(guò)程。[root@camus]苷cat/proc/sys/net/ipv4/ip_forward/*查問(wèn)計(jì)算機(jī)的內(nèi)核能否支持IP轉(zhuǎn)發(fā)*/0/*查問(wèn)結(jié)果，0表示不支持或未啟用*/[root@camus]#echo"1"＞/poc/sys/net/ipv4/ip_forward/*在TCP/IP棧中啟用IP轉(zhuǎn)發(fā)*/[root@camus]#cat/proc/sys/net/ipv4/ipforward/*持續(xù)查問(wèn)計(jì)算機(jī)的內(nèi)核能否支持IP轉(zhuǎn)發(fā)*/1/*查問(wèn)結(jié)果，1表示支持或已啟用*/分析：在WindowsServer2003操作系統(tǒng)中，挨次選擇[開(kāi)始]→[程序]→[管理工具]→[計(jì)算機(jī)管理]→[服務(wù)和應(yīng)用程序]→[DNS]命令，進(jìn)入如圖3-26所示的DNS控制臺(tái)窗口。接著用鼠標(biāo)右鍵單擊“正向搜尋地區(qū)”，而后在快捷菜單中選擇[新建地區(qū)]命令。當(dāng)“新建地區(qū)導(dǎo)游”啟動(dòng)后，單擊[下一步]按鈕。接著系統(tǒng)將提示選擇地區(qū)種類。地區(qū)種類包含：①主要地區(qū)；②協(xié)助地區(qū)；③存根地區(qū)等。此中，①主要地區(qū)能夠用于創(chuàng)立直接在此服務(wù)器上更新的地區(qū)的副本，此地區(qū)信息儲(chǔ)存在一個(gè).dns文本文件中。②標(biāo)準(zhǔn)協(xié)助地區(qū)從它的主DNS服務(wù)器復(fù)制所有信息。主DNS服務(wù)器能夠是為地區(qū)復(fù)制而配置的ActiveDirectory地區(qū)、主要地區(qū)或協(xié)助地區(qū)。③存根地區(qū)只包含用于表記該地區(qū)的威望DNS服務(wù)器所需的資源記錄，這些資源記錄包含郵件互換機(jī)(MX)、名稱服務(wù)器(NS)、開(kāi)端受權(quán)機(jī)構(gòu)(SOA)、主機(jī)資源記錄(A)和又名資源記錄(CNAME)等。假如要?jiǎng)?chuàng)立能夠直接在此服務(wù)器上更新地區(qū)的副本，則地區(qū)種類應(yīng)選擇“主要地區(qū)”，而后單擊[下一步]按鈕。page11/16域按層次構(gòu)造命名，由若干個(gè)重量構(gòu)成，各重量之間用“.”(是小數(shù)點(diǎn)的點(diǎn))分開(kāi)。各重量分別代表不一樣級(jí)其余域名，最高等其余名字放在最右側(cè)，最初級(jí)其余名字放在最前面。域名由www、test、com這3個(gè)重量組成(根結(jié)點(diǎn)表記符為空，省略不寫)，其頂級(jí)域?yàn)閏om，第二級(jí)域?yàn)?，最初?jí)的域?yàn)?。所以，在圖9-10“地區(qū)名稱”文本框中輸入“”，接著單擊[下一步]按鈕。系統(tǒng)將彈出如圖9-11所示的“地區(qū)文件”對(duì)話框，此中系統(tǒng)自動(dòng)生成的默認(rèn)地區(qū)文件名為“地區(qū)名+.dns”，即“”。10.(3)新建豐機(jī)(4)www分析：要實(shí)現(xiàn)DNS服務(wù)一定增添主機(jī)記錄。主機(jī)記錄取于靜態(tài)地成立主機(jī)名與IP地點(diǎn)之間的對(duì)應(yīng)關(guān)系。只有當(dāng)用戶輸入域名(即主機(jī)名和地區(qū)名稱的組合)時(shí)，DNS服務(wù)器才能將域名分析為對(duì)應(yīng)的IP地點(diǎn)，進(jìn)而實(shí)現(xiàn)用戶對(duì)相應(yīng)站點(diǎn)的接見(jiàn)。增添主機(jī)記錄的操作步驟以下：①翻開(kāi)DNS控制臺(tái)窗口，在左窗格中睜開(kāi)“正向搜尋地區(qū)”目錄。②用鼠標(biāo)右鍵單擊準(zhǔn)備增添主機(jī)資源記錄的地區(qū)名稱“”，在彈出的快捷菜單中選擇[新建主機(jī)]命令。③在圖9-13所示的“新建主機(jī)”對(duì)話框中的“名稱”文本框中輸入“www”，并在“IP地點(diǎn)”文本框中輸入映照該域名計(jì)算機(jī)的IP地點(diǎn)“4”(見(jiàn)圖9-9)。④接著單擊[增添主機(jī)]按鈕，達(dá)成為Web服務(wù)器增添一條域名為“”，且映照到IP為“4”的正向搜尋地區(qū)的主機(jī)資源記錄。11.(6)C，或新建又名(7)nslookupftp.test.tom(或，或等)分析：在實(shí)質(zhì)應(yīng)用中，一臺(tái)DNS服務(wù)器能夠同時(shí)擁有多個(gè)不一樣的主機(jī)名稱，而這類應(yīng)用需求是經(jīng)過(guò)創(chuàng)立又名(CNAME)資源記錄的方法來(lái)實(shí)現(xiàn)的。所謂又名(Alias)是指可經(jīng)過(guò)此外一個(gè)主機(jī)名稱接見(jiàn)該計(jì)算機(jī)。CNAME資源記錄是DNS中的規(guī)范名(CriterionNAME)資源記錄，它能夠?yàn)槠溆嘤涗?比如，主機(jī)地點(diǎn)(A)記錄)成立一個(gè)又名。若要為成立正向搜尋地區(qū)記錄，則需在如圖9-12所示的快捷菜單中選擇[新建又名]命令。接著在系統(tǒng)彈出的“又名CNAME”對(duì)話框中，“又名”文本框中輸入“ftp”，“目標(biāo)主機(jī)的完好合格的域名”文本框輸入“”(或經(jīng)過(guò)單擊[閱讀]按鈕逐漸選擇)，最后單擊[確立]按鈕，即可為“”成立一個(gè)名為“”的又名記錄。命令程序nslookup用于測(cè)試域名與其對(duì)應(yīng)的IP地點(diǎn)之間相互分析的功能。假如僅測(cè)試域名到IP地點(diǎn)的變換，使用命令ping、tracert等也能夠達(dá)成這個(gè)任務(wù)。所以，在客戶端能夠經(jīng)過(guò)(或，或)等命令來(lái)測(cè)試FTP服務(wù)器的域名能否配置成功。12.(8)(或，或等)(9):8080分析：在客戶端能夠經(jīng)過(guò)(或，或)等命令來(lái)測(cè)試該服務(wù)器Web站點(diǎn)的域名能否配置成功。比如，在客戶端的cmd窗口中，輸入“”命令，則需要先將域名變換成對(duì)應(yīng)的IP地點(diǎn)，而后再測(cè)試到主機(jī)(4)的連通性。假如cmd窗口中出現(xiàn)“P[4]with32bytesofdata：”等提示信息，則說(shuō)明該DNS服務(wù)器中Web站點(diǎn)的域名配置正確。在圖9-9中，該Web站點(diǎn)的TCP端口號(hào)配置為8080，而非Web服務(wù)器默認(rèn)的端口號(hào)80，聯(lián)合題干中重點(diǎn)信息“Web站點(diǎn)的域名為”可知，在客戶端要接見(jiàn)該服務(wù)器的默認(rèn)Web站點(diǎn)，則需在閱讀器的地點(diǎn)欄中輸入“:8080”。13.(10)hosts首選DNS服務(wù)器(或DNS服務(wù)器)(12)ipconfig/displaydns分析：關(guān)于安裝Windows操作系統(tǒng)的客戶端，假定其系統(tǒng)盤默認(rèn)為，則在cmd窗口中履行命令。域名分析系統(tǒng)第一讀取本機(jī)“C:etc”目錄下的hosts文件，在此中查找對(duì)應(yīng)域名的IP地點(diǎn)。若查找失敗，則將域名分析任務(wù)提交給PC1主機(jī)中網(wǎng)絡(luò)連結(jié)所配置的“首選DNS服務(wù)器”進(jìn)行查問(wèn)。鑒于Windows操作系統(tǒng)的客戶端在清除DNS域名分析故障時(shí)，輸入ipconfig/displaydns命令能夠顯示目前計(jì)算機(jī)的DNS緩存；輸入ipconfig/flushdns命令能夠消除目前DNS緩存，即刷新DNS分析器的目前緩存。page12/1614.(1)B或分析：命令tracen經(jīng)過(guò)發(fā)送包含不一樣TTL的ICMP超時(shí)通知報(bào)文并監(jiān)聽(tīng)回應(yīng)報(bào)文，來(lái)探測(cè)到達(dá)目的計(jì)算機(jī)的路徑。在Windows操作系統(tǒng)的DOS命令窗口中，運(yùn)轉(zhuǎn)命令將獲取近似如圖9-16所示的系統(tǒng)返舊信息。15.(2)ipconfig/all分析：命令ipconfig刖于顯示目前TCP/IP網(wǎng)絡(luò)配置(如IP地點(diǎn)、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息)。選項(xiàng)/all用于顯示所有適配器的完好TCP/IP配置信息，包含了每個(gè)適配器的物理地點(diǎn)、IP地點(diǎn)、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS等。在Windows操作系統(tǒng)的DOS命令窗口中，運(yùn)轉(zhuǎn)ipconfig/all命令將獲取近似如圖9-17所示的系統(tǒng)返回信息。由圖9-16中信息“T[41]”可知，域名已被分析為41的這一IP地點(diǎn)。由圖9-16中信息“121ms20ms20ms53”可知，從PC1送出的數(shù)據(jù)包第一步到達(dá)的路由接口地點(diǎn)為53。往常，這一IP地點(diǎn)為PC1所配置的默認(rèn)網(wǎng)關(guān)(DefaultGateway)的IP地點(diǎn)。聯(lián)合圖9-14拓?fù)錁?gòu)造知，地點(diǎn)為防火墻eth0接口的IP地點(diǎn)。命令netstat用于顯示活動(dòng)的TCP連結(jié)、偵聽(tīng)的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP路由表和IP統(tǒng)計(jì)信息。選項(xiàng)-a用于顯示出所有連結(jié)和偵聽(tīng)端口；選項(xiàng)-n以數(shù)字形式顯示地點(diǎn)和端口號(hào)。在圖9-15中，地點(diǎn)是處于“Foreignaddress(外面地點(diǎn))”這一列，與之對(duì)應(yīng)的“Localaddress(本機(jī)地點(diǎn))”列的IP地點(diǎn)為86。由此可知，PC1的IP地點(diǎn)(IPAddress)為86。由題干信息“公司內(nèi)部使用的IP地點(diǎn)塊為”，此中“/24”是子網(wǎng)掩碼的縮寫表示形式，即PC1的子網(wǎng)掩碼(SubnetMask)為。16.(6)E或inside(7)F或outside(8)D或dmz分析：這是一道要求依據(jù)防火墻接口配置命令nameif的理解剖析題，此題的解答思路以下：PIX防火墻的基本配置命令nameif，用于配置防火墻接口的名字，并指定安全級(jí)別。安全級(jí)別取值越大，則其安全級(jí)別越高。由圖9-14所示的網(wǎng)絡(luò)拓?fù)錁?gòu)造可知，該防火墻的e0端口用于連結(jié)該公司的內(nèi)部網(wǎng)絡(luò)，往常稱為內(nèi)網(wǎng)(inside)端口，其安全級(jí)別為最高(100)；e1端口經(jīng)過(guò)一臺(tái)路由器與Internet連結(jié)，往常稱之為外網(wǎng)(outside)端口，其安全級(jí)別為最低(0)；e2端口用于連結(jié)該公司對(duì)外供給服務(wù)(如Web、E-mail服務(wù)等)的DMZ網(wǎng)絡(luò)，往常稱為DMZ端口，其安全級(jí)別介于。inside端口和outside端口之間(60)。由問(wèn)題2剖析結(jié)果知，圖9-14中防火墻eth0接口的IP地點(diǎn)為，所以對(duì)該接口IP地點(diǎn)的配置語(yǔ)句是ip。分析：由圖9-16中信息“21ms2ms5ms54”可知，從PC1送出的數(shù)據(jù)包第二跳到達(dá)的路由接口地點(diǎn)為21，即對(duì)應(yīng)于與該公司互連的第一個(gè)ISP路由器Router接口eth0的IP地點(diǎn)。由問(wèn)題3中，防火墻eth1接口IP地點(diǎn)的配置語(yǔ)句也可計(jì)算得出本答案。因?yàn)樽泳W(wǎng)掩碼為的網(wǎng)段52中只有兩個(gè)可實(shí)質(zhì)分派的IP地點(diǎn)，即地點(diǎn)53和。18.(11)WWW服務(wù)或Web服務(wù)(12)1024～65535分析：在默認(rèn)狀況下，Web服務(wù)所使用的超文本傳輸協(xié)議(HTTP)的TCP端口號(hào)為80。由圖9-15“Foreignaddress(外面地點(diǎn))”列中信息“41:80”知，PC1正在懇求的Internet服務(wù)為WWW服務(wù)(或Web服務(wù))。在TCP/IP網(wǎng)絡(luò)中，傳輸層的傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的源端口、目的端口均占用16b，其所能表達(dá)的最大端口號(hào)值為216-1=65535。此中，為各樣公共服務(wù)保存的端口號(hào)范圍是1～1023。端口號(hào)范圍1024～49151為注冊(cè)端口號(hào)，往常用于終端用戶連結(jié)服務(wù)器時(shí)短暫使用的源端口號(hào)，但它們也能夠用來(lái)表記已被第三方注冊(cè)(或被命名)的服務(wù)。端口號(hào)范圍49152～65535為暫時(shí)端口號(hào)，可由任何進(jìn)度隨機(jī)選用使用。所以，PC1懇求Web服務(wù)時(shí)，其所使用的源端口號(hào)的可能取值范圍為1024～65535。比如，圖9-15“LocalAddress”列中的3331、3333、3335、30606等。page13/1619.(13)B(14)D分析：這是一道要求掌握標(biāo)準(zhǔn)接見(jiàn)控制列表的詳細(xì)應(yīng)用的理解題。此題的解答思路以下：接見(jiàn)控制列表(AccesscontrolList，ACL)是路由器接口的指令列表，用來(lái)控制端口出入的數(shù)據(jù)包。ACL默認(rèn)的執(zhí)行次序是自上而下。在配置ACL列表時(shí)，要按照最小特權(quán)原則、最湊近受控對(duì)象原則以及默認(rèn)拋棄原則。最簡(jiǎn)單的ACL就是標(biāo)準(zhǔn)接見(jiàn)控制列表。它經(jīng)過(guò)使用IP包中的源IP地點(diǎn)進(jìn)行過(guò)濾，使用接見(jiàn)控制列表號(hào)1～99來(lái)創(chuàng)立相應(yīng)的ACL。其詳細(xì)的語(yǔ)法格式以下：access-list＜ACL號(hào)＞permit|denyhost＜ip地點(diǎn)＞比如，access-list1denyiphost5any配置語(yǔ)句可將所有來(lái)自地點(diǎn)的數(shù)據(jù)包拋棄。關(guān)于標(biāo)準(zhǔn)接見(jiàn)控制列表而言，能夠省略默認(rèn)的重點(diǎn)詞host。換言之，語(yǔ)句any與語(yǔ)句access.list1denyip5any是等價(jià)的。自然也能夠用網(wǎng)段來(lái)表示＜ip地點(diǎn)＞，以實(shí)現(xiàn)對(duì)某個(gè)網(wǎng)段的數(shù)據(jù)包的過(guò)濾。比如，access-list1permitip55any配置語(yǔ)句，同意所有來(lái)自網(wǎng)段內(nèi)所有計(jì)算機(jī)的數(shù)據(jù)包經(jīng)過(guò)防火墻。此中55是子網(wǎng)掩碼的反向掩碼。20.(1)passive-interface分析：被動(dòng)接口是指阻擋路由更新報(bào)文經(jīng)過(guò)的路由器接口，即被動(dòng)接口只接收路由更新但不發(fā)送路由更新。在RIP路由配置模式下，使用命令passive-interface指定一個(gè)路由器接口為被動(dòng)接口。passive-interface命令可用于所有IP內(nèi)部網(wǎng)關(guān)協(xié)議(如RIP、IGRP、EIGRP、OSPF和IS-IS等)。本問(wèn)題要求過(guò)濾進(jìn)入LAN1的路由更新，可將路由器R2連結(jié)LAN1的f0/0端口配置為被動(dòng)接口。其有關(guān)的配置過(guò)程示比以下：R2(config)#routerripR2(config-router)#passive-interfacef0/021.(2)denyip(5)permit(6)101分析：為了過(guò)濾不用要的通訊流量，能夠經(jīng)過(guò)配置接見(jiàn)控制列表(ACL)來(lái)實(shí)現(xiàn)。IP接見(jiàn)控制列表是一種鑒于路由設(shè)備接口的控制列表，可依據(jù)預(yù)先擬訂的接見(jiàn)控制準(zhǔn)則來(lái)控制接口對(duì)數(shù)據(jù)包的接收和拒絕。IP接見(jiàn)控制列表主要有標(biāo)準(zhǔn)接見(jiàn)控制列表和擴(kuò)展接見(jiàn)控制列表兩種種類。標(biāo)準(zhǔn)接見(jiàn)控制列表只好檢查數(shù)據(jù)包的源地點(diǎn)，依據(jù)源網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地點(diǎn)來(lái)決定對(duì)數(shù)據(jù)包的過(guò)濾，其表號(hào)范圍是1～99、1300～1999。在全局配置模式下，使用命令access-listaccess-list-number{peirmit|deny}sourcewildcard-mask配置標(biāo)準(zhǔn)接見(jiàn)控制列表。接見(jiàn)控制列表通配符(Wildcard-Mask)的作用是，指出接見(jiàn)控制列表過(guò)濾的IP地點(diǎn)范圍，即路由器在進(jìn)行鑒于源IP地點(diǎn)、目的IP地點(diǎn)過(guò)濾時(shí)，通配符告訴路由器應(yīng)檢查哪些地點(diǎn)位，忽視哪些地點(diǎn)位。通配符為0，表示檢查相應(yīng)的地點(diǎn)位；通配符為1，表示忽視，即不檢查相應(yīng)的地點(diǎn)位。通配符與IP地點(diǎn)老是成對(duì)出現(xiàn)的。往常，ACL通配符用32位二進(jìn)制數(shù)表示，表示形式與IP地點(diǎn)、子網(wǎng)掩碼同樣。實(shí)質(zhì)上，通配符就是子網(wǎng)掩碼的反碼。擴(kuò)展接見(jiàn)控制列表能夠經(jīng)過(guò)檢查數(shù)據(jù)包的源IP地點(diǎn)、目的IP地點(diǎn)、指定的協(xié)議、端口號(hào)等來(lái)決定對(duì)數(shù)據(jù)包的過(guò)濾。其表號(hào)范圍是100～199、2000～2699。在全局配置模式下，使用命令access-listaccess-list-number{permit|deny}protocolsourcewildcard-maskdestinationwildcard-mask[operator][operand]配置擴(kuò)展接見(jiàn)控制列表。此中，operator(操作)有It(小于)、gt(大于)、eq(等于)、neq(不等于)；operand(操作數(shù))指的是端口號(hào)。本問(wèn)題要求“阻擋網(wǎng)絡(luò)中的主機(jī)接見(jiàn)網(wǎng)絡(luò)”中出現(xiàn)了源網(wǎng)段地點(diǎn)和目的網(wǎng)段地點(diǎn)，因此需要使用擴(kuò)展接見(jiàn)控制列表才能達(dá)成這一配置需求。配置ACL的詳細(xì)步驟：①定義一個(gè)標(biāo)準(zhǔn)(或擴(kuò)展)的接見(jiàn)控制列表：②為接見(jiàn)控制列表配置包過(guò)濾的準(zhǔn)則；③配置訪問(wèn)控制列表的應(yīng)用接口。ACL經(jīng)過(guò)過(guò)濾數(shù)據(jù)包并且拋棄不希望到達(dá)目的地的數(shù)據(jù)包來(lái)控制通訊流量。但是可否有效地減少網(wǎng)絡(luò)中不用要的通信流量，還要取決于網(wǎng)絡(luò)管理員將ACL部署在哪個(gè)詳細(xì)地方。其部署原則是：標(biāo)準(zhǔn)ACL要盡量湊近目的端，擴(kuò)展ACL則要盡量湊近源端。所以，本問(wèn)題應(yīng)在路由器R3上配置擴(kuò)展接見(jiàn)控制列表，其相應(yīng)的配置過(guò)程示比以下：R3(config)#access-list110permitipanyanyR3(config)#interfacef0/0R3(config-if)#ipaccess-group110in或許：page14/16R3(config-ext-nac1)#permitipanyanyR3(config-ext-nacl)#exitR3(config)#interfacef0/0R3(config-if)#ipaccess-groupdenyLAN2in22.(7)2(8)serial0/0(9)1(10)serial0/1(11)ISP2(12)f0/0分析：策略路由是能夠依據(jù)網(wǎng)絡(luò)管理者擬訂的規(guī)則進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)的一種體制。鑒于策略的路由比傳統(tǒng)路由能力更強(qiáng)，使用更靈巧，它使網(wǎng)絡(luò)管理者不單