試題一（共20分）閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)?！菊f明】某企業(yè)網(wǎng)絡(luò)拓撲如圖1-1所示。A~E是網(wǎng)絡(luò)設(shè)備的編號【問題1】（每空1分，共4分）根據(jù)圖1-1，將設(shè)備清單表1-1所示內(nèi)容補充完整。設(shè)備名在途中的編號防火墻USG3000（1）路由器AR2220（2）交換機QUIDWAY3300（3）服務(wù)器IBM X3500M5（4）表1-1【問題2】（每空2分，共4分）以下是AR2220的部分配置。[AR2220]acl 2000[AR2220-acl-2000]rule normal pemut source 192.168.0.0 0.0.255.255[AR2220-acl-2000]rule normal deny source any[AR2220-acl-2000]quit[AR2220]interface Ethemet0[AR2220-EthemetO]ip address 192.168.0.1255.255.255.0[AR2220-EthemetO]quit[AR2220]interface Ethemet1[AR2220 - Ethemet1 ]ip address 59.41.221.100255.255.255.0[AR2220-Ethemetl]nat outbound 2000mterface [AR2220-Ethernetl]quit[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74221.254設(shè)備AR2220硬用( 5 )接口實現(xiàn)NAT功能，該接口地址韻網(wǎng)關(guān)是( 6 )？【問題3】(每空2分，共6分）若只允許內(nèi)網(wǎng)發(fā)起ftp、http連接，并且拒絕來自站點2. 2. 2.11的Java Applets報文。在USG3000設(shè)備中有如下配置，請補充完整。[US63000]acl number3000[AR2220-acl-3000]rule permit tcp destination-port eq www[AR2220-acl-3000]rule permit tcp destination-port eq ftp[AR2220-acl-3000]rule permit tcp destination-port eq ftp-date[USG3000]acl number 2010[USG3000-acl-basic-2010]rule ( 7 ) source 2.2.2.1 1.0.0.0.0[USG3000-acl-basic-2010]rule permit source any [USG3000]( 8 ) interzone trust untrust [USG3000-interzone-ttust-untrust] packer-filter 3000 ( 9 )[USG3000-interzone-ttust-untrust] detect http [USG3000-interzone-ttust-untrust] detect java-blocking2010 ( 7 )、（ 8 ）、( 9 )備選答案 :A . FirewallB . trustC . denyD . permitE . outboundF . inbound【問題4】（每空2分，共6分）PC-1、PC-2、PC-3、網(wǎng)絡(luò)設(shè)置如下表1-2：設(shè)備名網(wǎng)絡(luò)地址網(wǎng)關(guān)VLANPC-11921682.2/24192.168.2.1VLAN100PC-2192168.3.2/24192.168.3.1VLAN200PC-3192168.4.2/24192.168.4.1VLAN300表1-2通過配置RIP，使得PC=l、PC-2、PC-3能相互訪問，請補充設(shè)備E上的配置，或解釋相關(guān)命令。//配置E上vlan路由接口地址interface vlanif 3000ip address ( 10 )255.255.255.0interface vlanif 1000 //互通VLANipaddress192.168.100.1 255.255.255.0//配置E上的rip協(xié)議ripnetwork 192.168.4.0network ( 11 )//配置E上的trunk鏈路Int e0/1Port link-type trunk // ( 12 )Port trunk permit vlan all 參考答案：【問題1解析】：路由器：網(wǎng)絡(luò)互連設(shè)備，放置在互聯(lián)網(wǎng)出口處。防火墻：IP、端口控制等，放置于路由器與交換機之間。交換機：核心層、分布層、接入層。服務(wù)器：內(nèi)網(wǎng)區(qū)或者DMZ區(qū)答案：(1)B、(2)A、(3)C、(4)D【問題2解析】：1、訪問控制列表( Access Control List，ACL)是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。2、目前有三種主要的ACL:標(biāo)準(zhǔn)ACL、擴展ACL及命名ACL。其他的還有標(biāo)準(zhǔn)MAC ACL、時間控制ACL、以太協(xié)議ACL、IPv6 ACL等。標(biāo)準(zhǔn)的ACL使用1~99以及1300~1999之間的數(shù)字作為表號，擴展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號。3、NAT（Network Address Translation．網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的。當(dāng)在專用網(wǎng)內(nèi)部的一些主機本來已經(jīng)分配到了本地IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機通信（并不需要加密）時，可使用NAT方法。4、NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用OverLoad。5、默認路由是—種特殊的靜態(tài)路由，指的是當(dāng)路由表中與包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。答案 : ( 5 ) El ( 6 ) 59.74.221.254【問題3解析】：1、access-list命令。(1)標(biāo)準(zhǔn)訪問列表access-list access-list-number{ permit /deny) {source [source-wildcard]/any)命令解釋如下。access-list：訪問列表命令。access-list-number：訪問列表號碼，值為1~99．permit：允許。deny：拒絕。source：源IP地址。source-wildcard：源IP地址的通配符。(2)擴展訪問列表access-list access-list-num ber{permit /deny){protocol＼protocol-keyword}{source【source-wildcard】/any}{destination destination-wildcard)/any }[protocol-specific options][log]命令解釋如下。access-list-number：訪問列表號碼，值為100~199.protocol＼protocol-keyword：可使用的協(xié)議，包括IP、ICMP、 IGRP、EIGRP、OSPF等。destination destination-wild：目的IP地址，格式與源IP地址相同。protocol-specific options：協(xié)議制定的選項。log：記錄有關(guān)數(shù)據(jù)報進入訪問列表的信息。firewall packet-filter令用來配置接口的IPv4報文過濾功能答案：(7)C、(8)A、(9)F【問題4解析】：答案：（10）192.168.4.1 （11）192.168.100.0 （12）將接口e0/1配置為trunk接口試題二（共20分）閱讀以下材料，回答問題1至3，【說明】某學(xué)校的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如圖2-1所示。【問題1】(每空1分，共7分)常用的IP訪問控制列表有兩種，它們是編號為（ 1 ）和1300-1399的標(biāo)準(zhǔn)訪問控制列表和編為（ 2 ）和2000-2699的擴展訪問控制列表、其中，標(biāo)準(zhǔn)訪問控制列表是根據(jù)IP報的（ 3 ）來對IP報文進行過濾，擴展訪問控制列表是根據(jù)IP報文的（ 4 ）、（ 5 ）、上層協(xié)議和時間等來對IP報文進行過濾。一般地，標(biāo)準(zhǔn)訪問控制列表放置在靠近（ 6 ）的位置，擴展訪問控制列表放置在靠近（ 7 ）的位置?！締栴}2】（每空1分，共10分）為保障安全，使用ACL對網(wǎng)絡(luò)中的訪問進行控制。訪問控制的要求如下：(1)家屬區(qū)不能訪問財務(wù)服務(wù)器，但可以訪問互聯(lián)網(wǎng)；(2)學(xué)生宿舍區(qū)不能訪問財務(wù)服務(wù)器，且在每天晚上18:00 - 24:00禁止訪問互聯(lián)網(wǎng)(3)辦公區(qū)可以訪問財務(wù)服務(wù)器和互聯(lián)網(wǎng)；(4)教學(xué)區(qū)禁止訪問則務(wù)服務(wù)器，且每天8:00 -18:00禁止訪問互聯(lián)網(wǎng)。1.使用ACL對財務(wù)服務(wù)器進行訪問控制，請將下面配置補充完整。R1(config)#access-list1 （ 8 ）、（ 9 ） 0.0.0.255R1(config)#access-list1 deny 172.16.10.0 0.0.0.255R1(config)#access-list1 deny 172.16.20.0 0.0.0.255R1(config)#access-list1 deny （ 10 ） 0.0.0.255R1(config)#mterface （ 11 ）R1(config-if)#ip access-group l （ 12 ）2.使用ACL對internt進行訪問控制，請將下面配置補充完整。Route-Switch (config)#time-range .jxq //定義教學(xué)區(qū)時間范圍Route-Switch(config-tune-range)# periodic daily （ 13 ）Route-Switch(config)#time-range xsssq //定義學(xué)生宿舍區(qū)時間范圍Route-Switch(config-time-range)#periodic （ 14 ） 18:00 to 24:00Route-Switch(config-time-range)#exitRoute-Switch(config)#access-Iist 100 permit ip 172.16.10. 0 0.0.0 255 anyRoute-Switch(config)#access-Iist 100 permit ip 172.16.40. 0 0.0.0.255 anyRoute-Switch(config)#access-Iist 100 deny ip （ 15 ） 0.0.0.255 time-range.jxqRoute-Switch(corffig)#access-Iist 100 deny ip （ 16 ） 0.0.0.255 time-range xsssclRoute-Switch(config)#interface （ 17 ）Route-Switch(config-if)#ip access-group l00out【問題3】(每空1分，共3分)網(wǎng)絡(luò)在運行過程中發(fā)現(xiàn)，家屬區(qū)網(wǎng)絡(luò)經(jīng)常受到學(xué)生宿舍區(qū)網(wǎng)絡(luò)的DDoS攻擊，現(xiàn)對家屬區(qū)網(wǎng)絡(luò)和學(xué)生宿舍區(qū)網(wǎng)絡(luò)之間的流量進行過濾，要求家屬區(qū)網(wǎng)絡(luò)可訪問學(xué)生宿舍區(qū)網(wǎng)絡(luò)，但學(xué)生宿舍區(qū)網(wǎng)絡(luò)禁止訪問家屬區(qū)網(wǎng)絡(luò)。采用自反訪問列表實現(xiàn)訪問控制，請解釋配置代碼。Route-Switch(config)#ip access-hst extended infilterRoute-Switch(config-ext-nacl)#permit ipany172.16.20.0 0.0.0.255 refiect jsq //（ 18 ）Route-Switch (config-ext-nacl)#exitRoute Switch(config)#ip access-list extended outfilter Route-Switch(config-ext-nacl)# evaluate jsq // （ 19 ）Route-Switch(config-ext-nacl)#exit Route Switch(config)#interface fastethernet 0/1 Route Switch(config-if)#ip access-group infilter in Route-Switch(config-if)#ip access-group outfilter out // （ 20 ） 參考答案：【問題1解析】：1、訪問控制列表( Access Control List，ACL)是路由器和交換機接口的指令列表，用來控制揣口進出的數(shù)據(jù)包。2、目前有三種主要的ACL:標(biāo)準(zhǔn)ACL、擴展ACL及命名ACL。其他的還有標(biāo)準(zhǔn)MAC ACL、時間控制ACL、以太協(xié)議ACL、IPv6 ACL等。標(biāo)準(zhǔn)的ACL使用1~99以及1300~1999之間的數(shù)字作為表號，擴展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號。答案：(1) 1-99 (2)100-199 (3)源IP地址(4)源、目的IP地址 (5)源、目的端口號(6)目的端(7)源端【問題2解析】：1、access-list命令(1)標(biāo)準(zhǔn)訪問列表access-list access-list-number{ permit/deny} {source[source-wildcard]/any}命令解釋如下。access-list：訪問列表命令。access-list-number：訪問列表號碼，值為1~99。permit：允許。deny：拒絕。source：源IP地址。source-wildcard：源IP地址的通配符。(2)擴展訪問列表access-list access-list-number{ permit I deny}{ protocol＼protocol-keyword){ source[source-wildcard]l/any){ destination destination-wildcard)/any)[protocol-specific options][log]命令解釋如下。access-list-number：訪問列表號碼，值為100~199。protocol＼protocol-keyword：可使用的協(xié)議，包括IP、ICMP、 IGRP、EIGRP、OSPF等。destination destination-wild：目的IP地址，格式與源IP地址相同。protocol-specific options：協(xié)議制定的選項。log：記錄有關(guān)數(shù)據(jù)報進入訪問列表的信息。答案：(8) permit (9) 172.16.40.0 (10) 172.16.30.0 (11) f0/1 (12) out (13) 08:00 to 18:00 (14)daily (15) 17 2.16.30.0 (16)17 2.16.20.0 (17) F0/5【問題3解析】：答案：(18)允許訪問學(xué)生宿舍區(qū)網(wǎng)絡(luò)并創(chuàng)建自反列表jsp(19)應(yīng)用自反列表jsp，允許訪問宿舍區(qū)網(wǎng)絡(luò)流量返回(20)將outfilter列表應(yīng)用于f0/1接口出方向試題三（共20分）閱讀以下材料，回答問題1至4，【說明】某企業(yè)采用Windows Server 2003配置了DHCP、DNS和WEB服務(wù)?！締栴}1】（每空1分，共4分）DHCP服務(wù)器地址池192.168.0.1~192.168.0.130．其中192.168.0.10分配給網(wǎng)關(guān)192.168.011~192.168.0.15分配給服務(wù)器，192.168.0.20分配給網(wǎng)絡(luò)管理員。請?zhí)畛鋰?-1至圖3-3中（1）、（2）、（3）、（4）處空缺內(nèi)容?！締栴}2】（每空1.5分，共9分）DNS的配置如下圖3-4所示。根據(jù)圖3-4判斷正誤（正確的答”對”，借誤的答“錯”）。A.XACHINA-IDCOB33的IP地址為114.114.114.114 （ 5 ）B.該域名服務(wù)器無法解析的域名轉(zhuǎn)發(fā)到114.114.114.114或8.8.8 .8。（ 6 ）C.域lyrh.com的資源記錄包含在該DNS服務(wù)器中。（ 7 ）D.客戶機的“首選DNS服務(wù)器”地址必須與該DNS服務(wù)器地址一致。（ 8 ）E.該域名服務(wù)器是lyrh.com的授權(quán)域名服務(wù)器。（ 9 ）F.該域名服務(wù)器支持192.168.101.6地址的反向域名查找。（ 10 ）【問題3】（每空2分，共4分）Web服務(wù)器的配置如圖3-5所示。1.如圖3-5所示，通過主機頭的方式建立兩個網(wǎng)站www.ycch.Com和www.lyrh.com網(wǎng)站配置是（ 11 ）。(11)備選答案：A.相同的IP地址，不同的端口號B.不同的IP地址，相同的目錄C.相同的IP地址，不同的目錄D.相同的主機頭，相同的端口號2.除了主機頭方式，還可以采用（ 12 ）方式在一臺服務(wù)器上配置多網(wǎng)站?！締栴}4】（每空1分，共3分）Windows Server 2003管理界面如圖3-6所示。1.圖3-6中設(shè)備打“？”的含義是（ 13 ），設(shè)備打“x”的含義是（ 14 ）。2.圖3-6中1394網(wǎng)絡(luò)適配器能連接什么設(shè)備？（ 15 ）參考答案：【問題1解析】：(1) 192.168.0.1(2) 192.168.0.130(3) 192.168.0.10-192.168.0.15(4) 192.168.0.20【問題2解析】：1、DNS（Domain Name System，域名系統(tǒng)），因特網(wǎng)上作為域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住自目夠被機器直接讀取的IP數(shù)串。通過主機名，最終得到該主機名對應(yīng)的IP地址的過程叫做域名解析（或主卡幾名解析）。DNS協(xié)議運行在UDP協(xié)議之上，使用端口號53。2、常用的資源記錄類型A地址此記錄列出特定主機名的IP地址。這是名稱解析的重要記錄。CNAME標(biāo)準(zhǔn)名稱此記錄指定標(biāo)準(zhǔn)主機名的別名。MX郵件交換器此記錄列出了負責(zé)接收發(fā)到域中的電子郵件的主機。NS名稱服務(wù)器此記錄指定負責(zé)給定區(qū)域的名稱服務(wù)器。PTR (Pointer Record)，指針記錄，是電子郵件系統(tǒng)中的一種數(shù)據(jù)類型，被互聯(lián)網(wǎng)標(biāo)準(zhǔn)文件RFC1035所定義。與其相對應(yīng)的是A記錄、地址記錄。A記錄解析名字到地址，而PTR記錄解析地址到名字。答案：(5)錯 (6)對 (7)對 (8)錯 (9)對 (10)錯【問題3解析】：配置域名的方式、主機頭、IP地址、端口、組合答案：(11)C (12)不同的IP或相同的IP，不同端口【問題4解析】：1、打？代表驅(qū)動沒有裝好2、打×號設(shè)備停用3、美國電氣和電子工程師學(xué)會(IEEE)制定了IEEE1394標(biāo)準(zhǔn)，它是一個串行接口，但它能像并聯(lián)SCSI接口—樣提供同樣的服務(wù)，而其成本低廉。它的特點是傳箱捆渡快，適合傳送數(shù)字圖像信號。4、IEEE-1394被應(yīng)用在眾多的領(lǐng)峨包括數(shù)碼攝像機、高速外接硬盤、打印機和掃描儀等多種設(shè)備答案：（13）驅(qū)動沒有裝好 （14）1394網(wǎng)絡(luò)適配器已經(jīng)停用（15）數(shù)碼攝像機、高速外接硬盤、打印機和掃描儀等試題四（共15分）閱讀以下說明，回答問題1和問題2，【說明】某公司有3個分支機構(gòu)，網(wǎng)絡(luò)拓撲結(jié)構(gòu)及分配如圖4-1所示?！締栴}1】（每空1分，共11分)公司申請到202.111.1.0/29的公有地址段，采用NAPT技術(shù)實現(xiàn)公司內(nèi)部訪問互聯(lián)網(wǎng)的要求，其中，192 .168.16.0/22網(wǎng)段禁止訪問互聯(lián)網(wǎng)。R1、R2和R3的基本配置已正確配置完成，其中R1的配置如下。請根據(jù)拓撲結(jié)構(gòu)，完成下列配置代碼。R1的基本配置及NAPT配置如下R1>enableR1#confiq tenrunaR1(config)#interface f 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.252R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface fO/1R1(config-if)#ip address 192.168.0.9 255.255.255.252R1(config-if)#no shutdownR1(config-if)#exit R1(config)#interface f0/2R1(config-if)#ip addresz（ 1 ）255.255.252 //使用網(wǎng)段中最后個地址R1(config-if)#no shutdownR1(config-if)#exit R1(config)#interface sOR1(eonfig-if)#ip address 202.111.1.1 255.255.255.248R1(config-if)#no shutdownR1(config)#ip nat pool ss 202.111.1.1（ 2 ）netmask（ 3 ）R1(config)#interface（ 4 ）interface 0/0-1R1(config-if)#ip nat （ 5 ）R1(config-if)#exitR1(config)# interface s0 R1(config-if)#ipnat（ 6 ） R1(config-if)#exit R1(config)#acce ss-list 1 permit192.168.0.0 （ 7 ）R1(config)#acce ss-list 1 permit 192.168.0.0R1(config)#ip nat inside （ 8 ） list （ 9 ） pool （ 10 ）（ 11 ）【問題2】 （每空2分，共4 分）在R1、R2和R3之間運行OSPF路由f女議，其中剛、R2和R3的配置如下。行號 配置代碼1.配置完成后，在R1和R2上均無法ping通R3的局域網(wǎng)，可能原因是（ 12 ）備選答案：A.在R3上未宣告局域網(wǎng)路由B.以上配置中第7行和第13行配置錯誤C.第1行配置錯誤D.R1、R2未宣告直璉路由2.在OSPF中重分布默認路由的命令是：（ 13 ）A.R1#default-informaton originateB.R1(config-if)#default information originateC.R1(config-router)#default -information originateD.R1(config)#default-information originate參考答案：【問題1解析】：（1） NAT---網(wǎng)絡(luò)地址轉(zhuǎn)換． NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換，就是指在一個網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義IP地址，而不需要經(jīng)過申請合法IP地址，在網(wǎng)絡(luò)內(nèi)部，各計算機間通過內(nèi)部的IP地址進行通信。而內(nèi)部的計算機要與外部Internet網(wǎng)絡(luò)進行通信時，具有NAT功能的設(shè)備（比如：路由器）負責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請的IP地址）進行通信。 NAT的應(yīng)用場景主要有兩種：從安全角度考慮，不想讓外外部網(wǎng)絡(luò)用戶了解自己的網(wǎng)絡(luò)結(jié)構(gòu)和內(nèi)部網(wǎng)絡(luò)地址；從IP地址資源角度考慮，當(dāng)內(nèi)部網(wǎng)絡(luò)人數(shù)太多時，可以通過NAT實現(xiàn)多臺共用一個合法IP訪問Internet。 NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換三種。 ●靜態(tài)地址轉(zhuǎn)換 靜態(tài)地址轉(zhuǎn)換（示例如圖18-20所示）將本地地址與合法地址進行一對一的轉(zhuǎn)換，且需要指定和哪個合法地址進行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有E-mail服務(wù)器或FTP服務(wù)器等，則可以為外部用戶提供的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以使外部用戶可以使用這些服務(wù)。整個配置過程包括三個步驟，如表18-17所示?！駝討B(tài)地址轉(zhuǎn)換動態(tài)地址轉(zhuǎn)換也是將本地地址與合法地址進行一對一的轉(zhuǎn)換，但是動痞地址轉(zhuǎn)換是從合法地址池中動態(tài)地選擇個卡使用的地址對本地地址進行轉(zhuǎn)換。其配置包括5個步驟，如表18-18所示。答案：（1）1192.168.4.1（2）202.111.1.6（3）255.255.255.248(4) Range (5)inside (6)outside (7)0.0.15.255 (8)source(9)1 (10)ss (ll)overload【問題2解析】：答案（12）A （13）C