2011年下半年軟考《網(wǎng)絡(luò)工程師》下午真題-中大網(wǎng)校

2011年下半年軟考《網(wǎng)絡(luò)工程師》下午真題總分：75分及格：45分考試時間：150分本試卷共5道題，共75分。(1)閱讀以下說明，回答問題1～問題4，將解答結(jié)果填入答題紙對應(yīng)的解答欄內(nèi)。(共15分)【說明】某學校計劃部署校園網(wǎng)絡(luò)，其建筑物分布如圖1-11所示。根據(jù)需求分析結(jié)果，校園網(wǎng)規(guī)劃要求如下：1．信息中心部署在圖書館；2．實驗樓部署237個點，辦公樓部署87個點，學生宿舍部署422個點，食堂部署17個點；3．為滿足以后應(yīng)用的需求，要求核心交換機到匯聚交換機以千兆鏈路聚合，同時千兆到桌面；4．學校信息中心部署服務(wù)器，根據(jù)需求，一方面要對服務(wù)器有完善的保護措施，另一方面要對內(nèi)外網(wǎng)分別提供不同的服務(wù)；5．部署流控網(wǎng)關(guān)對P2P流量進行限制，以保證正常上網(wǎng)需求?！締栴}1】(5分)根據(jù)網(wǎng)絡(luò)需求，設(shè)計人員設(shè)計的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1—12所示。請根據(jù)網(wǎng)絡(luò)需求描述和網(wǎng)絡(luò)拓撲結(jié)構(gòu)回答以下問題。1．圖1．12中設(shè)備①應(yīng)為__(1)__，設(shè)備②應(yīng)為__(2)__，設(shè)備③應(yīng)為__(3)__，設(shè)備④應(yīng)為__(4)__。(1)～(4)備選答案：(每設(shè)備限選1次)A．路由器B．核心交換機C．流控服務(wù)器D．防火墻2．設(shè)備④應(yīng)該接在__(5)__上。【問題2】(4分)1．根據(jù)題目說明和網(wǎng)絡(luò)拓撲圖，在圖1—12中，介質(zhì)1應(yīng)選用__(6)__，介質(zhì)2應(yīng)選用__(7)__，介質(zhì)3應(yīng)選用__(8)__。(6)～(8)備選答案：(注：每項只能選擇一次)A．單模光纖B．多模光纖C．6類雙絞線D．5類雙絞線2．根據(jù)網(wǎng)絡(luò)需求分析和網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，所有接入交換機都直接連接匯聚交換機，本校園網(wǎng)中至少需要__(9)__臺24口的接入交換機(不包括服務(wù)器使用的交換機)。【問題3】(4分)交換機的選型是網(wǎng)絡(luò)設(shè)計的重要工作，而交換機的背板帶寬、包轉(zhuǎn)發(fā)率和交換容量是其重要技術(shù)指標。其中，交換機進行數(shù)據(jù)包轉(zhuǎn)發(fā)的能力稱為__(10)__，交換機端口處理器和數(shù)據(jù)總線之間單位時間內(nèi)所能傳輸?shù)淖畲髷?shù)據(jù)量稱為__(11)__。某交換機有24個固定的千兆端口，其端口總帶寬為__(12)__Mbps?！締栴}4】(2分)根據(jù)需求分析，圖書館需要支持無線網(wǎng)絡(luò)接入，其部分交換機需要提供POE功能，POE的標準供電電壓值為__(13)__。(13)備選答案：A．5VB．12VC．48VD．110V(2)閱讀以下說明，根據(jù)要求回答問題1～問題4，將解答填入答題紙對應(yīng)的欄內(nèi)。(共15分)【說明】如圖1-13所示，某公司辦公網(wǎng)絡(luò)劃分為研發(fā)部和銷售部兩個子網(wǎng)，利用一臺雙網(wǎng)卡Linux服務(wù)器作為網(wǎng)關(guān)，同時在該Linux服務(wù)器上配置Apache提供Web服務(wù)?！締栴}1】(4分)圖1-14是Linux服務(wù)器中網(wǎng)卡etho的配置信息，從圖中可以得知：①處輸入的命令是__(1)__，etho的IP地址是__(2)__，子網(wǎng)掩碼是____(3)__，銷售部子網(wǎng)最多可以容納的主機數(shù)量是__(4)__。[root@localhostconf]#(1)ethoLinkencap：EthernetHWaddr00：0C：29：C8：OD：10inetaddr：192．168．1．126Bcast：192．168．1．255Mask：255．255．255．128UPBROADCASTRUNNINGMULTICASTMTU：1500Metric：1RXpackets：1667errors：0dropped：00verruns：0frame：0TXpackets：22errors：0dropped：0everruns：0carrier：0Coilisions：0txqueuelen：100RXbytes：291745(284．9Kb)TXbytes：924(924．0b)Interrupt：10Baseaddres：0x10a4【問題2】(4分)Linux服務(wù)器配置Web服務(wù)之前，執(zhí)行命令[root@root]rpm—qalgrephRpd的目的是__(5)__。Web服務(wù)器配置完成后，可以用命令__(6)__來啟動Web服務(wù)。【問題3】(3分)缺省安裝時，Apache的主配置文件名是__(7)____，該文件所在目錄為__(8)____。配置文件中下列配置信息的含義是__(9)____。<Directory"/var/www/html/secure">AllowoverrideAuthConfigOrderdeny，allowDenyfromall</Directory>【問題4】(4分)ADache的主配置文件中有一行：Listen192．168．1．126：80，其含義是__(10)____。啟動Web服務(wù)后，僅銷售部的主機可以訪問Web服務(wù)。在Linux服務(wù)器中應(yīng)如何配置，才能使研發(fā)部的主機也可以訪問Web服務(wù)。(3)閱讀以下說明，根據(jù)要求回答問題1～問題4，將解答填入答題紙對應(yīng)的欄內(nèi)。(共15分)【說明】在WindowsServer2003中可以采用篩選器來保護DNS通信。某網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1-15所示，www服務(wù)器的域名是www．a(chǎn)be．edu，DNS服務(wù)器上安裝WindowsServer2003操作系統(tǒng)。【問題1】(3分)配置DNS服務(wù)器時，在圖1-16所示的對話框中，為WebServer配置記錄時新建區(qū)域的名稱是___(1)____；在圖1-17所示的對話框中，添加的新建主機“名稱”為____(2)____，IP地址欄應(yīng)填入____(3)____?！締栴}2】(4分)在DNS服務(wù)器的“管理工具”中運行“管理IP篩選器列表”，創(chuàng)建一個名為“DNS輸入”的篩選器，用以對客戶端發(fā)來的DNS請求消息進行篩選。在如圖1-18所示的“IP篩選器向?qū)А敝兄付↖P通信的源地址，下拉框中應(yīng)選擇____(4)____；在圖1-19中指定IP通信的目標地址，下拉框中應(yīng)選擇____(5)____。在圖1-20中，源端口項的設(shè)置方式為____(6)____，目的端口項的設(shè)置方式為____(7)____。在篩選器列表配置完成后，設(shè)置“篩選器操作”為“允許”?！締栴}3】(2分)在圖1-21中雙擊“新IP安全策略”即可查看“DNS輸入”安全規(guī)則，要使規(guī)則生效，在圖1-21中如何配置?【問題4】(6分)在本機Windows命令行中輸入__(8)__命令可顯示當前DNS緩存，如圖1-22所示?！癛ecordType”字段中的值為4時，存儲的記錄是MX，若“RecordType”字段中的值為2時，存儲的記錄是____(9)____?？蛻舳嗽谂懦鼶NS域名解析故障時需要刷新DNS解析器緩存，使用的命令是__(10)____。(4)閱讀以下說明，根據(jù)要求回答問題1～問題5，將答案填入答題紙對應(yīng)的解答欄內(nèi)。(共15分)【說明】某公司網(wǎng)絡(luò)結(jié)構(gòu)如圖1-23所示，通過在路由器上配置訪問控制列表ACL來提高內(nèi)部網(wǎng)絡(luò)和Web服務(wù)器的安全?！締栴}1】(2分)訪問控制列表(ACL)對流入/流出路由器各端口的數(shù)據(jù)包進行過濾。ACL按照其功能分為兩類，____(1)__只能根據(jù)數(shù)據(jù)包的源地址進行過濾，____(2)____可以根據(jù)源地址、目的地址以及端口號進行過濾?！締栴}2】(3分)根據(jù)圖1．23的配置，補充完成下面路由器的配置命令：Router(config)#interface____(3)___Router(confi9—if)#ipaddress10．10．1．1255.255．255.0Router(confi9—if)#noshutdownRouter(config—if)#exitRouter(config)#interface____(4)____Router(config-if)#ipaddress192．168.1．1．255．255．255．0Router(config)#interface____(5)____Router(config—if)#ipaddress10．10．2，1255．255．255．0【問題3】(4分)補充完成下面的ACL語句，禁止內(nèi)網(wǎng)用戶192．168．1．254訪問公司web服務(wù)器和外網(wǎng)。Router(config)#access-list1deny____(6)__Router(config)#aCcess-1ist1permitanyRouter(config)#interfaceethernet0/1Router(config-if)#ipaccess-groUp1___(7)___【問題4】(3分)請說明下而這組ACL語句的功能。Router(Coneig)#access-liSt101penmittepanyhost10．10．1．10eqwwwRouter(config)#interfaceethernet0/0Router(Config-if)#ipaccess—group101out【問題5】(3分)請在【問題4】的ACL前面添加一條語句，使得內(nèi)網(wǎng)主機192．168．1．2可以使用telnet對Web服務(wù)器進行維護。Router(config)#access-list101____(8)___(5)閱讀以下說明，根據(jù)要求回答問題1～問題3，將解答填入答題紙對應(yīng)的欄內(nèi)。(共15分)【說明】某單位在實驗室部署了IPv6主機，在對現(xiàn)有網(wǎng)絡(luò)不升級的情況下，計劃采用NAT-PT方式進行過渡，實現(xiàn)IPv4主機與IPv6主機之問的通信，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1—24所示。其中，IPv6網(wǎng)絡(luò)使用的NAT-PT前綴是2001：aaaa：0：0：0：1：：／96，IPv6網(wǎng)絡(luò)中的任意節(jié)點動態(tài)映射到地址池0～16．23．31．20中的IPv4地址?！締栴}1】(4分)使用NAT-PT方式完成IPv4主機與IPv6主機通信，需要路由器支持，在路由器上需要配置DNS，ALG和FTP-ALG這兩種常用的應(yīng)用網(wǎng)關(guān)。沒有DNS-ALG和FTPALG的支持，無法實現(xiàn)____(1)____節(jié)點發(fā)起的與____(2)____節(jié)點之間的通信?！締栴}2】(8分)根據(jù)網(wǎng)絡(luò)拓撲和需求說明，完成(或解釋)路由器Rl的配置。Rl#configureterminal；進入全局配置模式Rl(config)#interfaceethernet0；進入端日配置模式Rl(config-if)#ipaddress____(3)____(4)___；配置端口IP地址Rl(config—if)#ipv6nat；___(5)___Rl(config—if)#interfaceethernetlRl(config-if)#ipv6address___(6)_____/64Rl(config-if)#ipv6natRl(config-if)#ipv6access-1istipv6permit2001：aaaa：：1/64any；__(7)___Rl(config—if)#ipv6natprefix___(8)____Rl(config—if)#ipv6natv6v4poolipv4～pool__(9)_____(10)______prefix—length24Rl(config—if)#ipv6natv6v4sourcelistipv6poolipv4-poolRl(config-if)#exit【問題3】(3分)NAT-PT機制定義了三種不同類型的操作，其中，____(11)____提供了一對一的IPv6地址和IPv4地址的映射；____(12)____也提供了一對一的映射，但是使用一個lPv4地址池；____(13)___提供多個有NAT-PT前綴的IPV6地址和一個源IPv4地址問的多對一動態(tài)映射。答案和解析本試卷共5道題，共75分。(1):由圖1-12所給出的設(shè)備連接信息可知，該學校網(wǎng)絡(luò)拓撲按層次化結(jié)構(gòu)進行設(shè)計，分為核心層、匯聚層、接入層3個主要層次。依題意，結(jié)合題干關(guān)鍵信息“3．為滿足以后應(yīng)用的需求，要求核心交換機到匯聚交換機以千兆鏈路聚合”可得，與各幢建筑物中匯聚交換機相連接的設(shè)備③應(yīng)為核心交換機。由圖1-12可知，該校園剛要接入Intemet，因此需要在校園網(wǎng)的邊界(即設(shè)備①處)部署一臺路由器，用于實現(xiàn)邊界路由計算。題干給出了“5．部署流控網(wǎng)關(guān)對P2P流量進行限制，以保證正常上網(wǎng)需求”這一關(guān)鍵信息，而此處的“P2P流量”是針對整個校園網(wǎng)而言的，而不是針對該校園網(wǎng)的服務(wù)器區(qū)域而言，因此需要在邊界路由器和核心交換機之間串接、一臺流控服務(wù)器，即設(shè)備②應(yīng)為流控服務(wù)器。結(jié)合題干給出的“1．信息中心部署在圖書館”和“4．學校信息中心部署服務(wù)器，根據(jù)需求，一方面要對服務(wù)器有完善的保護措施，另一方面要對內(nèi)外網(wǎng)分別提供不同的服務(wù)”等關(guān)鍵信息，設(shè)備④應(yīng)為防火墻，用于實現(xiàn)服務(wù)器區(qū)域與校園網(wǎng)絡(luò)之間的邏輯隔離，提高服務(wù)器區(qū)域的網(wǎng)絡(luò)安全性能。同時，應(yīng)該將設(shè)備④連接到設(shè)備③(即核心交換機)的某個千兆以太端口上?！締栴}2】(4分)基于IEEE802．3z標準的千兆以太網(wǎng)共有4種物理層標準，即1000Base-SX、1000Base—LX、1000Base-CX、1000Base—T。其中，1000Base—SX采用62．5μm多模光纖時，工作波長為850nm，半雙工和全雙工工作模式的光纖最大長度均為275m；采用50μm多模光纖時，半雙工和全雙工工作模式的光纖最大長度均為550m。1000Base-LX采用62.5μm或50μm多模光纖時，工作波長為1300nm，半雙工工作模式的光纖最大長度為316m，全雙工工作模式的光纖最大長度為550m：采用62.5μm或50μm單模光纖時，工作波長為1300nm，半雙工工作模式的光纖最大長度為316m，全雙工工作模式的光纖最大長度為5km。1000Base-Cx采用STP(屏蔽雙絞線)，半雙工模式FSTP最大長度為25m，全雙工模式下STP最大長度為50m。1000Base-T采用4對5類(或超5類、6類)UTP(非屏蔽雙絞線)，最大段長為100m。在圖1-12所示的拓撲結(jié)構(gòu)圖中，傳輸介質(zhì)1主要用于連接設(shè)備③(即核心交換機)和實驗樓的匯聚交換機。結(jié)合題干給出的“1．信息中心部署在圖書館”和“3．為滿足以后應(yīng)用的需求，要求核心交換機到匯聚交換機以千兆鏈路聚合”等關(guān)鍵信息，以及圖1-11中所標識的圖書館與實驗樓的距離為1500米。由于100m<550m<1500m<5km，因此圖1-12中傳輸介質(zhì)1應(yīng)選用單模光纖。同理，傳輸介質(zhì)2主要用于圖書館內(nèi)部匯聚交換機與接入交換機之間的連接。結(jié)合題干給出的“3．為滿足以后應(yīng)用的需求……同時千兆到桌面”等關(guān)鍵信息，因此建議圖1-12中傳輸介質(zhì)1選用6類非屏蔽雙絞線。由于圖1-12所示的拓撲結(jié)構(gòu)圖中，食堂僅有一臺接入交換機，且是作為學生宿舍樓匯聚交換機的一個接入節(jié)點。題干給出的“2．……食堂部署17個點”等關(guān)鍵信息也說明了這一層拓撲連接關(guān)系。在圖1—11中，食堂與學生宿舍樓之間的距離為170米。由于100m<170m<550m，綜合考慮防雷等因素的影響，因此建議圖1-12中傳輸介質(zhì)3應(yīng)選用多模光纖。由于“所有接入交換機都直接連接匯聚交換機”，這就意味著對于一臺24口的接入交換機而言，需要使用一個電端口作為上連端口，可以用于連接終端信息點的端口數(shù)為23個。而“實驗樓部署237個點”，則實驗樓至少需要使用11臺24口的接入交換機，即237／23≈10．3，并將計算結(jié)果向上取整數(shù)；同理，由“辦公樓部署87個點”可得，辦公樓至少需要使用4臺24口的接入交換機(即87<23×4=92)；由“學生宿舍部署422個點”可得，學生宿舍樓至少需要使用19臺24口的接入交換機(即422<23×19=437)；由“食堂部署17個點”可得，食堂需要使用1臺24口的接入交換機(即17<23)。因此在不考慮服務(wù)器區(qū)域和圖書館區(qū)域所使用的交換機，該校園網(wǎng)中至少需要11+4+19+1=35臺24口的接入交換機?！締栴}3】(4分)吞吐量是指在單位時間內(nèi)無差錯地傳輸數(shù)據(jù)的能力。網(wǎng)絡(luò)互連設(shè)備的吞吐量可以用PPS(每秒包數(shù))來度量。它是指網(wǎng)絡(luò)互連設(shè)備在不丟失任何分組的情況下所能轉(zhuǎn)發(fā)分組的最大速率。當網(wǎng)絡(luò)互連設(shè)備的端口按理論上的最大值轉(zhuǎn)發(fā)分組時，就稱該端口處于線速工作狀態(tài)。通常，將交換機進行數(shù)據(jù)包轉(zhuǎn)發(fā)的能力稱為包轉(zhuǎn)發(fā)率。交換機的背板帶寬(也稱之為交換帶寬)是指該交換機接口處理器(或接口卡)與數(shù)據(jù)總線問所能吞吐的最大數(shù)據(jù)量。背板帶寬標志了交換機總的數(shù)據(jù)交換能力，單位為Gbps。通常，交換機全雙工端口總帶寬的計算方法：端口數(shù)×端口速率×2。例如，一臺交換機有24個固定的千兆端口，則其背板帶寬=24×109×2=48×109bps=48×103Mbps=48Gbps?！締栴}4】(2分)以太網(wǎng)供電(PowderoverEthemet，POE)技術(shù)可以在現(xiàn)有的以太網(wǎng)5類布線基礎(chǔ)架構(gòu)不作任何改動的情況下，為一些基于IP的終端(無線AP、IP電話、網(wǎng)絡(luò)攝像機等小型網(wǎng)絡(luò)設(shè)備)傳輸數(shù)據(jù)信號的同時，還直接提供直流電源的技術(shù)。該技術(shù)是通過4對雙絞線中空閑的2對來傳輸電力的，可以輸出44V～57V的直流電壓、350mA～400mA的直流電流，為功耗在15.4W以下的設(shè)備提供電源能量。該技術(shù)可以避免大量的獨立鋪設(shè)電力線，以簡化系統(tǒng)布線，降低網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)成本。依題意，若圖書館需要支持無線網(wǎng)絡(luò)接入，其部分交換機需要提供POE功能，POE的標準供電電壓值為48V。(2):【問題1】(4分)在Linux服務(wù)器中，運行ifconfig命令可以顯示出系統(tǒng)中相關(guān)網(wǎng)絡(luò)接口的配置信息及其運行情況。圖1-14中應(yīng)執(zhí)行ifconfigetho命令，以查看網(wǎng)卡etho的配置信息。由圖1-14中“inetaddr：192．168．1．126……Mask：255．255．255．128”等關(guān)鍵信息可知，網(wǎng)卡etho所配置的IP地址為192．168．1．126，子網(wǎng)掩碼為255．255．255．128。192．168．X．X是一個C類私有地址段，其默認的標準子網(wǎng)掩碼為255．255．255．0。圖1-13中已給出銷售部子網(wǎng)中PCI的IP地址為192．168．1．2，PC2的IP地址為192．168．1.3。而Linux服務(wù)器etho網(wǎng)卡所配置的IP地址是192．168．1．126，子網(wǎng)掩碼是255．255．255．128，二者“邏輯與”運算的結(jié)果是192．168．1．0／25，即銷售部子網(wǎng)向網(wǎng)絡(luò)地址192．168．1．0／24借用了一位作為子網(wǎng)號，且所分配的子網(wǎng)號為0。因此銷售部子網(wǎng)的主機號為7位，該子網(wǎng)可實際分配的IP地址總數(shù)=27-2=126個。其中“-2”表示扣除該子網(wǎng)中主機號全0的廣義網(wǎng)絡(luò)地址(即192．168．1．0／25)和主機號全1的直接廣播地址(即192．168．1．127／25)。換而言之，銷售部子網(wǎng)最多可以容納126臺主機(包括Linux服務(wù)器網(wǎng)卡etho)，或者最多可以容納125臺主機(扣除Linux服務(wù)器網(wǎng)卡etho)。同理，圖1-13中已給出研發(fā)部子網(wǎng)中PCI的IP地址為192．168．1．129，PC2的IP地址為192．168．1．130，以及Linux服務(wù)器etho網(wǎng)卡所配置的IP地址192．168．1．254。而地址段192．168．1．0～192．168．1．127己分配給銷售部子網(wǎng)。因此可將研發(fā)部子網(wǎng)中已知的3個IP地址進行“邏輯與”運算，其運算結(jié)果是192．168．1．128／25，即研發(fā)部子網(wǎng)所分配的子網(wǎng)號為1。該子網(wǎng)的主機號也為7位，可供實際分配的IP地址總數(shù)也為126個?！締栴}2】(4分)Linux服務(wù)器配置Web服務(wù)之前，可以執(zhí)行命令rpm-qalgrephttpd檢查當前操作系統(tǒng)中是否安裝了Apache服務(wù)器(或者確認Apache軟件包是否已經(jīng)成功安裝)。若沒有系統(tǒng)輸出信息，則表明當前操作系統(tǒng)中沒有安裝Apache軟件包。若是以源碼安裝的Apache服務(wù)器，則此種方法無效，需要用find工具查找httpd文件是否存在。Web服務(wù)器配置完成后，可以執(zhí)行命令servicehttpdstart來啟動Web服務(wù)(即Apache服務(wù)進程)；執(zhí)行命令servicehttpdstop來停止Apache服務(wù)進程；執(zhí)行命令servicehttpdrestart來重新啟動Apache服務(wù)進程?！締栴}3】(3分)缺省安裝時，Apache的主要配置文件：基本信息配置文件httpd．conf，訪問權(quán)限設(shè)置文件access．conf,服務(wù)器所提供的網(wǎng)絡(luò)資源配置文件srm．conf。其中，文件hapd．conf位于／etc／httpd／conf文件目錄中。依題意，由該配置文件中“Allowfrom192．168．1．2”、“Denyfromall”、“<Directory“／var／www／html／secure”>”等關(guān)鍵信息可知，該段配置信息的含義是：只允許IP地址為192．168．1．2的主機訪問目錄“／var／www／html／secure”?！締栴}4】(4分)在Apache的主配置文件hRpd．conf中，配置語句Listen192．168．1．126：80的含義是：使用IP地址192．168．1．126提供Web服務(wù)，服務(wù)端口號是80。由【問題1】分析結(jié)果可知，銷售部、研發(fā)部是兩個不同的子網(wǎng)，且試題沒有給出這兩個子網(wǎng)互連互通的相關(guān)路由信息，即這兩個子網(wǎng)在默認情況下是不能相互訪問的。因此啟動Apache服務(wù)進程之后，僅銷售部的主機可以訪問Web服務(wù)。若要研發(fā)部的主機也可以訪問該Web服務(wù)，則可將主配置文件httpd．conf中的“Listen192．168．1．126：80”配置語句修改為“l(fā)isten80”，或者在Linux服務(wù)器中增加從研發(fā)部子網(wǎng)到銷售部子網(wǎng)的相關(guān)路由配置語句。(3):【問題1】(3分)為了使DNS服務(wù)器能正確地解析本地wWw服務(wù)器的域名，需對DNS服務(wù)器中的“DNS服務(wù)”進行配置。選擇【開始】|【程序】|【管理工具】|【DNs】命令，進入DNS控制臺窗口。然后右擊【正向查找區(qū)域】選項，在彈出的快捷菜單中選擇【新建區(qū)域】命令。在“歡迎使用新建區(qū)域向?qū)А苯缑嬷?，單擊【下一步】按鈕。在【區(qū)域類型】界面中，先單擊【主要區(qū)域】按鈕，再單擊【下一步】按鈕。在如圖1-16所示的【區(qū)域名稱】界面的【區(qū)域名稱】文本框中輸入“abc．edu”，單擊【下一步】按鈕。系統(tǒng)將彈出【區(qū)域文件】對話框，其中，系統(tǒng)自動生成的和默認的區(qū)域文件名為“abe．edu．dns”，即“區(qū)域名．dns”。在域名WWW．a(chǎn)bc．edu中，最高域名為edu，次高域名為abc，主機名為www。主機(A)資源記錄用于靜態(tài)建立主機名與IP地址之間的對應(yīng)關(guān)系。在圖1．15所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖中，已給出了www服務(wù)器的IP地址參數(shù)221．166．1．1／23，即IP地址為221．166．1．1、子網(wǎng)掩為255．255．254．0。在DNS服務(wù)器中添加一條域名為“www．a(chǎn)bc．edu”主機記錄的操作步驟如下：①打開DNS控制臺窗口，在左窗格中展開“正向查找區(qū)域”目錄。②右鍵單擊區(qū)域名稱“abc．edu”，在彈出的快捷菜單中選擇【新建主機】命令。③在如圖1-17所示的【新建主機】對話框中的【名稱】文本框中輸入www，并在【IP地址】文本框中輸入映射該域名計算機的IP地址，即221．166．1．1。④如果在圖1-17中選擇【創(chuàng)建相關(guān)的指針(PTR)記錄】復選框，則在創(chuàng)建“www．a(chǎn)bc．edu”主機記錄的同時，也會在反向查找區(qū)域中創(chuàng)建一條名為“221．166．1．1”的指針資源記錄。⑤最后單擊【添加主機】按鈕完成相關(guān)的配置任務(wù)。完成DNS主機資源記錄配置后，在客戶端emd窗口中可以使用命令nslookupWWW．a(chǎn)bc．edu(或pingwww．a(chǎn)bc．edu，或tracertwww．a(chǎn)bc．edu等)檢查DNS服務(wù)器的主機資源記錄是否正常工作?！締栴}2】(4分)依題意，由于所需創(chuàng)建的“DNS輸入”IP篩選器的主要用途是——“用以對客戶端發(fā)來的DNS請求消息進行篩選”，而試題中并沒有給出具體的DNS客戶端方面的信息，因此可將此處的“客戶端”理解為廣義上的DNS客戶端(如既可以是來自圖1．15中網(wǎng)絡(luò)內(nèi)部的客戶，也可以是來自Internet的客戶)。在如圖1-18所示的【IP通信源】界面中，下拉框中應(yīng)選中【任何IP地址】選項，以接收源IP地址為任意參數(shù)的所有IP數(shù)據(jù)包。在如圖1-19所示的【IP通信目標】界面中，下拉框中應(yīng)選中【我的IP地址】選項，以進一步縮小所接收的IP數(shù)據(jù)包的范圍，即將目的IP地址不是本DNS服務(wù)器地址的IP數(shù)據(jù)包過濾掉。由于本試題中并沒有給出該DNS服務(wù)器IP地址方面的信息，因此圖1-19中只能選中【我的IP地址】選項。若知道該DNS服務(wù)器IP地址，則在圖1-19中也可以先選中【一個特定的IP地址】選項，接著在剛激活的“IP地址”文本框中輸入當前DNS服務(wù)器的IP地址。域名服務(wù)器采用客戶機／服務(wù)器(C／S)工作模式。默認情況下，DNS服務(wù)器開放TCP53和UDP53這兩個端口號對外提供服務(wù)，即等待由DNS客戶端發(fā)起的查詢請求數(shù)據(jù)包。而DNS客戶端則是從1024～65535中選擇某個整數(shù)作為源端口號發(fā)出域名查詢請求數(shù)據(jù)包。因此，在圖1—20所示的IIP協(xié)議端口】界面中，源端口應(yīng)選中【從任意端口】單選框；目的端口應(yīng)選中【到此端口】單選框，并在剛激活的文本框中填入“53”?！締栴}3】(2分)在圖1-21中雙擊“新IP安全策略”即可查看“DNS輸入”安全規(guī)則。若要使該安全規(guī)則生效，則需要在圖1—21中右擊“新IP安全策略”，在彈出的右鍵菜單中選中【指派】命令(或選中【所有任務(wù)】|【指派】命令)，如圖1-25所示。默認情況下，在圖1．25中最多只能指派1條IPSec策略?！締栴}4】(6分)ipconfig操作命令用于顯示所有當前的TCP／IP網(wǎng)絡(luò)配置值、刷新DHCP配置和DNS域名系統(tǒng)設(shè)置。其完整的語法如下：其中，與本問題有關(guān)的“／displaydns”參數(shù)，用于顯示當前計算機的DNS緩存；參數(shù)“／flushdns”用于清除當前DNS緩存，即刷新DNS解析器的當前緩存。在DNS服務(wù)器中，資源記錄是指區(qū)域中的一組結(jié)構(gòu)化的記錄。常見的資源記錄包括(但不限于)：①A(主機地址)——將指定域名映射到IP地址；②PTR(指針)——將IP地址映射到指定域名；③NS(名字服務(wù)器)——本區(qū)域權(quán)限域名服務(wù)器的名字；④MX(郵件交換機)——標識一個郵件服務(wù)器與其對應(yīng)的IP地址的映射關(guān)系；⑤CNAME(別名)——將別名映射到標準DNS域名；⑥HINFO(主機描述)——通過ASCII符串對CPU和OS等主機配置信息進行說明；⑦SOA(授權(quán)開始)——標識一個資源記錄集合(稱為授權(quán)區(qū)段)的開始；⑧TXT(文本)——ASCII字符串等。在圖1-22所示的DNS緩存中，由“RecordType：1”、“RecordName：aaa．bbb．com”、“A(Host)Record：217．141．248．156”等關(guān)鍵信息可知，“RecordType”字段中的值為4時，存儲的資源記錄是A(主機地址)；由“RecordName：w．ccc．tom”、“RecordType：5”、“CNAMERecord：cache．ccc．com”等關(guān)鍵信息可知，“RecordType”字段中的值為5時，存儲的資源記錄是CNAME(別名)。結(jié)合試題中已給出“‘RecordType”字段中的值為4時，存儲的記錄是MX”關(guān)鍵信息，可以間接推導出：“RecordType”字段中的值為2時，存儲的資源記錄是PTR(指針)或IP地址對應(yīng)的域名。(4):【問題1】(2分)訪問控制列表(ACL)是應(yīng)用到路由器接口的命令列表，列表告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。IP訪問控制列表主要有標準ACL和擴展ACL兩種類型。標準ACL只能檢查數(shù)據(jù)包的源地址，根據(jù)源網(wǎng)絡(luò)、子網(wǎng)或主機的IP地址來決定對數(shù)據(jù)包的過濾；擴展ACL可以檢查數(shù)據(jù)包的源IP地址、目的IP地址、指定的協(xié)議、端口號等來決定對數(shù)據(jù)包的過濾?！締栴}2】(3分)在路由器的全局配置模式Router(config)#下，使用命令interface<接口名稱>可進入相應(yīng)接口的配置子模式。在接口配置模式下，使用命令ipaddress<IP地址><子網(wǎng)掩碼>可配置當前接口的IP地址信息。依題意，在圖1-23所示的拓撲結(jié)構(gòu)中，已給出邊界路由器s0／O端口的IP地址10．10．2．1。因此由(5)空缺處的下一條配置語句“ipaddress10．10．2．1255．255．255．0”可知，該處應(yīng)填入serial0／0(或s0／0)。在圖1-23中，已給出Web服務(wù)器所配置的IP地址10．10．1．10。由此間接可知，與Web服務(wù)器互連的路由器e0／0端口的IP地址應(yīng)該是10．X．X．X這個A類私有地址段中的某個地址。結(jié)合(3)空缺處的下一條配置語句“ipaddress10．10．1．1255．255．255．0”可知，(3)空缺處應(yīng)填入ethernet0／0(或e0／0)。同理，由圖1-23中路由器e0／1端口所連接的客戶機IP地址192．168．1．2～192．168．1．254，以及(4)空缺處的下一條配置語句“ipaddress192．168．1．1255．255．255．0”可得，(4)空缺處應(yīng)填入ethemet0／1(或e0／1)?！締栴}3】(4分)配置及應(yīng)用ACL的具體步驟是：①定義一個標準(或擴展)的ACL；②為ACL配置包過濾的規(guī)則；③配置ACL的應(yīng)用接口。在全局配置模式下，標準ACL的配置語句是：access-listaccess-list-number{permit|deny}source—ipaddresswildcard-mask。其中，標準ACL的表號范圍是1～99和1300～1999；訪問控制列表通配符(Wildcard．Mask)的作用是，指出訪問控制列表過濾的IP地址范圍，即路由器在進行基于源IP地址、目的IP地址過濾時，通配符告訴路由器應(yīng)檢查哪些地址位，忽略哪些地址位。通配符為0，表示檢查相應(yīng)的地址位；通配符為1，表示忽略，即不檢查相應(yīng)的地址位。實際上，通配符就是子網(wǎng)掩碼的反碼。依題意，需要按需定義一條配置語句“access-1istldenyhostl92．168．1．254”或“access—listldeny192．168．1．2540．0．0．0”，即定義一條表號為1，禁止單臺主機192．168．1．254訪問的標準ACL。因此，(6)空缺處應(yīng)填入hostl92．168．1．254(或192．168．1．2540．0．0．O)。由于試題要求主機l92．168．1．254同時不能訪問公司W(wǎng)eb服務(wù)器和外網(wǎng)，因此需要將該表號為1的標準ACL應(yīng)用至路由器e0／1端口，即只要路由器e0／1端口接收到源IP地址為192．168．1．254的IP數(shù)據(jù)包，就直接將該IP數(shù)據(jù)包丟棄。(7)空缺處需要使用關(guān)鍵字in，用于過濾進入當前路由器端口的數(shù)據(jù)包。關(guān)鍵字out則是用于過濾出站的數(shù)據(jù)包?！締栴}4】(3分)在路由器全局配置模式下，使用命令access-listaccess-list-number{permit|deny}protocolsourcewildcard-maskdestinationwildcard-mask[operator][operand]配置擴展訪問控制列表。其中，operator(操作)有l(wèi)t(小于)、gt(大于)、eq(等于)、neq(不等于)；operand(操作數(shù))指的是端口號。依題意，Web服務(wù)器所配置的IP地址為10．10．1．10。對于表號為101的擴展ACL語句：access-list101penmittcpanyhost10．10．1．10eqwww，其功能是允許任何主機訪問公司基于TCP80端口提供的Web服務(wù)。配置語句interfaceethemet0／0的功能是：進入路由器e0／0端口的配置子模式。配置語句ipaccess-group1010ut的功能是：將表號為101的擴展ACL應(yīng)用于路由器e0／0端口的出方向上。【問題5】(3分)Telnet協(xié)議是一種基于TCP23端口號提供遠程登錄服務(wù)的應(yīng)用層協(xié)議。它通過引入網(wǎng)絡(luò)虛擬終端(NVT)，使得用戶能夠在本地計算機上完成對遠程主機的相關(guān)操作。依題意，要實現(xiàn)“內(nèi)網(wǎng)主機192．168．1．2可以使用telnet對Web服務(wù)器進行維護”的應(yīng)用需求，可以在【問題4】的ACL語句之前添加以下一條配置語句。其中，host192．168．1．2可以寫成l92．168．1．20．0．0．0；host10．10．1．10可以寫成10．10．1．100．0．0．0：telnet可以寫成23。(5):【問題1】(4分)網(wǎng)絡(luò)地址轉(zhuǎn)換——協(xié)議轉(zhuǎn)換(NAT-PT)是一種純IPv6節(jié)點和IPv4節(jié)點間的互通方式，所有包括地址、協(xié)議在內(nèi)的轉(zhuǎn)換工作都由網(wǎng)絡(luò)互連設(shè)備(如路由器)來完成。支持NAT-PT的網(wǎng)關(guān)路由器應(yīng)具有IPv4地址池，在從IPv6域向IPv4域中轉(zhuǎn)發(fā)數(shù)據(jù)包時使用，地址池中的地址是用來轉(zhuǎn)換IPv6報文中的源地址的。此外，網(wǎng)關(guān)路由器需要DNS-ALG和FTP-ALG這兩種常用的應(yīng)用層網(wǎng)關(guān)的支持，在IPv6節(jié)點訪問IPv4節(jié)點時發(fā)揮作用。若沒有DNS-ALG的支持，則只能實現(xiàn)由IPv6節(jié)點發(fā)起的與IPv4節(jié)點之間的