2010年上半年網(wǎng)絡(luò)工程師下午試卷參考答案

試題一（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
某校園網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖1-1所示。
該網(wǎng)絡(luò)中的部分需求如下：
1．信息中心距圖書館2千米，距教學(xué)樓300米，距實驗樓200米。
2．圖書館的匯聚交換機(jī)置于圖書館主機(jī)房內(nèi)，樓層設(shè)備間共2個，分別位于二層和四層，距圖書館主機(jī)房距離均大于200米，其中，二層設(shè)備間負(fù)責(zé)一、二層的計算機(jī)接入，四層設(shè)備間負(fù)責(zé)三、四、五層的計算機(jī)接入，各層信息點數(shù)如表1-1所示。

3．所有計算機(jī)采用靜態(tài)IP地址。
4．學(xué)校網(wǎng)絡(luò)要求千兆干線，百兆到桌面。
5．信息中心有兩條百兆出口線路，在防火墻上根據(jù)外網(wǎng)IP設(shè)置出口策略，分別從兩個出口訪問Internet 。
6．信息中心共有多臺服務(wù)器，通過交換機(jī)接入防火墻。
7．信息中心提供的信息服務(wù)包括Web、FTP、數(shù)據(jù)庫、流媒體等，數(shù)據(jù)流量較大，要求千兆接入。

【問題1】（4分）
根據(jù)網(wǎng)絡(luò)的需求和拓?fù)鋱D，在滿足網(wǎng)絡(luò)功能的前提下，本著最節(jié)約成本的布線方式，傳輸介質(zhì)1應(yīng)采用（1），傳輸介質(zhì)2應(yīng)采用（2），傳輸介質(zhì)3應(yīng)采用（3），傳輸介質(zhì)4應(yīng)采用（4）。
（1）～（4）備選答案：
A．單模光纖          B．多模光纖         C．基帶同軸電纜
D．寬帶同軸電纜      E．1類雙絞線 　　F．5類雙絞線
答案：（1）A  （2）B  （3）F （4）B

【問題2】（6分）
學(xué)校根據(jù)網(wǎng)絡(luò)需求選擇了四種類型的交換機(jī)，其基本參數(shù)如表1-2所示。
　　 　　 　　    

根據(jù)網(wǎng)絡(luò)需求、拓?fù)鋱D和交換機(jī)參數(shù)類型，在圖1-1中，Switch1應(yīng)采用（5）類型交換機(jī)，Switch2應(yīng)采用（6）類型交換機(jī)，Switch3應(yīng)采用（7）類型交換機(jī)，Switch4應(yīng)采用（8）類型交換機(jī)。
根據(jù)需求描述和所選交換機(jī)類型，圖書館二層設(shè)備間最少需要交換機(jī)（9）臺，圖書館四層設(shè)備間最少需要交換機(jī)（10）臺。
答案：（5）C  （6）B  （7）D  （8）A  （9）2  （10）4

【問題3】（2分）
該網(wǎng)絡(luò)采用核心層、匯聚層、接入層的三層架構(gòu)。根據(jù)層次化網(wǎng)絡(luò)設(shè)計的原則，數(shù)據(jù)包過濾、協(xié)議轉(zhuǎn)換應(yīng)在（11）層完成。（12）層提供高速骨干線路，MAC層過濾和IP地址綁定應(yīng)在（13）層完成。
答案：
　　（11）匯聚  （12）核心  （13）接入

【問題4】（2分）
根據(jù)該網(wǎng)絡(luò)的需求，防火墻至少需要（14）個百兆接口和（15）個千兆接口。
答案：（14）2  （15）2

試題二（共15分）
閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
在Linux服務(wù)器中，inetd/xinetd是Linux系統(tǒng)中一個重要服務(wù)。
【問題1】（2分）
下面選項中（1）是xinetd的功能。
（1）備選答案：
A．網(wǎng)絡(luò)服務(wù)的守護(hù)進(jìn)程   B．定時任務(wù)的守護(hù)進(jìn)程
C．負(fù)責(zé)配置網(wǎng)絡(luò)接口     D．負(fù)責(zé)啟動網(wǎng)卡
答案：（1）A

【問題2】（2分）
默認(rèn)情況下，xinetd配置目錄信息為：drwxr-xr-x root  root  4096 2009004-23 18:27 xinetd.d則下列說法錯誤的是（2）。
（2）備選答案：
A． root用戶擁有可執(zhí)行權(quán)限。
B．除root用戶外，其它用戶不擁有執(zhí)行權(quán)限。
C．root用戶擁有可寫權(quán)限
D．除root用戶外，其它用戶不擁有寫權(quán)限。
答案：（2）B

【問題3】（4分）
在Linux系統(tǒng)中，inetd服務(wù)的默認(rèn)配置文件為（3）。
（3）備選答案
A．/etc/inet.conf    B．/etc/inetd.config
C．/etc/inetd.conf   D．/etc/inet.config
在Linux 系統(tǒng)中，默認(rèn)情況下，xinetd所管理服務(wù)的配置文件存放在（4）。
（4）備選答案：
A．/etc/xinetd/      B．/etc/xinetd.d/
C．/usr/etc/xinetd/  D．/usr/etc/xinetd.d/
答案：（3）C  （4）B

【問題4】（4分）
某Linux服務(wù)器上通過xinetd來對各種網(wǎng)絡(luò)服務(wù)進(jìn)行管理，該服務(wù)器上提供ftp服務(wù)，ftp服務(wù)器程序文件為/usr/bin/ftpd，ftp服務(wù)器的配置文件/etc/xinetd.d/ftp內(nèi)容如下所示，目前服務(wù)器屬于開啟狀態(tài)：
Service ftp
{ Socket-type  =stream
　Protocol     =   TCP（5） 
　Wait 　　 = no
　User 　　 = root
　Server       =   /usr/bin/ftpd （6） 
　Server_args  = -el
　Disable      = no}
請完善該配置文件。
（5）備選答案：
A．TCP   B．UDP   C．IP   D．HTTP
(6) 備選答案：
A．/usr/bin/ftpd    B.ftpd    C.ftp    D./bin/ftpd
答案：（5）A  （6）A

【問題5】（3分）
Xinetd 可使用only_from，no_access以及access_time等參數(shù)對用戶進(jìn)行訪問控制。若服務(wù)器上ftp服務(wù)的配置信息如下所示：
Service ftp
{ ……
Only_from    = 192.168.3.0/24 172.16.0.0
no_access    = 172.16,{1,2}
access_times = 07:00-21:00
……}
則下列說法中錯誤的是   （7）  。
（7）備選答案：
A．允許192.168.3.0/24 中的主機(jī)訪問該ftp服務(wù)器
B．172.16.3.0/24網(wǎng)絡(luò)中的主機(jī)可以訪問該ftp服務(wù)器
C．IP地址為172.16.x.x的主機(jī)可以連接到此主機(jī)，但地址屬于172.16.1.x、172.16.2.x的則不能連接
D．ftp服務(wù)器可以24小時提供服務(wù)
答案：（7）D

試題三（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
終端服務(wù)可以使客戶遠(yuǎn)程操作服務(wù)器，Windows Server2003中開啟終端服務(wù)時需要分別安裝終端服務(wù)的服務(wù)器端和客戶端，圖3-1為客戶機(jī)Host1連接終端服務(wù)器Server1的網(wǎng)絡(luò)拓?fù)涫疽鈭D。

圖3-2是Server1“系統(tǒng)屬性”的“遠(yuǎn)程”選項卡，圖3-3是Server1“RDP-Tcp屬性”的“環(huán)境”選項卡，圖3-4為Host1采用終端服務(wù)登錄Server1的用戶登錄界面。

此外，在Server1中為了通過日志了解每個用戶的行蹤，把“D: om ote.bat”設(shè)置成用戶的登錄腳本，通過腳本中的配置來記錄日志。

【問題1】（3分）
默認(rèn)情況下，RDU2對終端服務(wù)具有（1）和（2）權(quán)限。
（1）、（2）備選答案：
A．完全控制  B．用戶訪問  C．來賓訪問  D．特別權(quán)限
答案：（1）B  （2）C

注：（1）和（2）的答案可以互換。

【問題2】（7分）
將RDU2設(shè)置為Server1的終端服務(wù)用戶后，在Host1中登錄Server1時，圖3-4中“計算機(jī)”欄應(yīng)填入（3）；“用戶名”欄應(yīng)填入（4）。
此時發(fā)現(xiàn)Host1不能遠(yuǎn)程登錄終端服務(wù)器，可能原因是（5）。
答案：（3）210.154.1.202  （4）RDU2
（5）Host1無法連接到終端服務(wù)器，或者的終端服務(wù)器的遠(yuǎn)程桌面服務(wù)沒有啟動，或者沒有在Server1上設(shè)置RDU2具有“允許用戶遠(yuǎn)程連接到您的計算機(jī)” 的權(quán)限。（如圖3-2所示）

【問題3】（2分）
在圖3-3“程序路徑和文件名”欄中應(yīng)輸入（6）。
答案：（6）D: om ote.bat

【問題4】（3分）
note.bat腳本文件如下：
time /t>>note.log
netstat –n –p tcp︱find“:3389”>>note.log
start Explorer
第一行代碼用于記錄用戶登錄的時間，“time /t”的意思是返回系統(tǒng)時間，使用符號“>>”把這個時間記入“note.log”作為日志的時間字段。請解釋下面命令的含義。
netstat –n –p tcp︱find“:3389”>>note.log
答案：執(zhí)行netstat，以數(shù)字形式表示地址和端口，只選出所有tcp的連接，再從中挑選出含有“:3389”字樣的內(nèi)容（即Remote Desktop使用的端口），將結(jié)果寫入文件“note.log”中。

試題四（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
在Windows Sever 2003系統(tǒng)中，用戶分為本地用戶和域用戶，本地用戶的安全策略用“本地安全策略”設(shè)置，域用戶的安全策略通過活動目錄管理。

【問題1】（2分）
在“本地安全設(shè)置”中啟用了“密碼必須符合復(fù)雜性要求”功能，如圖4-1所示，則用戶“ABC”可以采用的密碼是（1）。
（1）備選答案：
A.ABC007   B.deE#3   C.Test123   D.adsjfs
答案：（1）C

【問題2】（4分）
在“本地安全設(shè)置”中,用戶賬戶鎖定策略如圖4-2所示，當(dāng)3次無效登錄后，用戶賬戶被鎖定的實際時間是（2）。如果“賬戶鎖定時間”設(shè)置為0，其含義為（3）。

（2）備選答案：
A.30分鐘    B.10分鐘    C.0分鐘    D.永久鎖定
（3）備選答案：
A．賬戶將一直鎖定，直到管理員明確解除對它的鎖定
B．賬戶將永久鎖定，無法使用
C．賬戶鎖定時間無效
D．賬戶鎖定時間由鎖定計數(shù)器復(fù)位時間決定
問題解析：

安全設(shè)置確定鎖定帳戶在自動解鎖之前保持鎖定的分鐘數(shù)。可用范圍從 0 到 99,999 分鐘。如果將帳戶鎖定時間設(shè)置為 0，帳戶將一直被鎖定直到管理員明確解除對它的鎖定。
有考生做了測試，在自己的WIN2003實驗一下，按照題目給的計數(shù)器10分鐘，鎖定時間為0，閥值3，登陸三次錯誤，賬號就被鎖定了。

答案：（2）A  （3）A

【問題3】（3分）
在Windows Sever 2003 中活動目錄必須安裝在ntfs（4）分區(qū)上，并且需要有dns（5）服務(wù)的支持。
（4）備選答案：
A.NTFS    B.FAT32    C.FAT16    D.ext2
（5）備選答案：
A.web     B.DHCP    C.IIS     D.DNS
答案：（4）A  （5）D

【問題4】（6分）
在Windows Sever 2003 中活動目錄中，用戶分為全局組（Global Groups）、域本地組（Domain Local Groups）和通用組（Universal Groups）。全局組的訪問權(quán)限是a （6），域本地組的訪問權(quán)限是c（7），通用組的訪問權(quán)限是 b（8）。
（6）~（8）備選答案：
A．可以授予多個域中的訪問權(quán)限   
B．可以訪問域林中的任何資源     
C．只能訪問本地域中的資源   
試題解析：

域本地組：域本地組的成員可以來自于任何域，但是只能夠訪問本域的資源。
全局組：全局組的成員只來自于本域，但其成員可以訪問林中的任何資源。需要注意的是：全局組用于限制本域的用戶對其他域的訪問，如果要能訪問其他域，只有一種方法，那就是給用戶授予多個域中的訪問權(quán)限；
通用組：通用組成員來自于任何域，并且可以訪問林中的任何資源。需要注意的是：通用組的建立會帶來大量活動目錄之間的復(fù)制流量，而且非常適于林中跨域訪問使用。
答案：（6）A  （7）C  （8）B

試題五（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
某單位網(wǎng)絡(luò)內(nèi)部部署有IPv4主機(jī)和IPv6主機(jī)，該單位計劃采用ISATAP隧道技術(shù)實現(xiàn)兩類主機(jī)的通信，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5-1所示，路由器R1、R2、R3通過串口經(jīng)IPv4網(wǎng)絡(luò)連接，路由器R1連接IPv4網(wǎng)絡(luò)，路由器R3連接IPv6網(wǎng)段。通過ISATAP隧道將IPv6的數(shù)據(jù)包封裝到IPv4的數(shù)據(jù)包中，實現(xiàn)PC1和PC2的數(shù)據(jù)傳輸。
 

【問題1】（2分）
雙棧主機(jī)使用ISATAP隧道時，IPv6報文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。在ISATAP地址中，前64位是向ISATAP路由器發(fā)送請求得到的，后64位中由兩部分構(gòu)成，其中前32位是    （1）   ，后32位是    （2）   。
（1）備選答案：
A．0:5EFE  B．5EFE:0  C．FFFF:FFFF  D．0:0
（2）備選答案：
A．IPv4廣播地址  B．IPv4組播地址  C．IPv4單播地址
試題解析：
IEEE EUI-64格式的接口標(biāo)識符的低32位為Tunnel接口的源IPv4地址，ISATAP隧道的接口標(biāo)識符的高32位為0000:5EFE，其他隧道的接口標(biāo)識符的高32位為全0。
答案：（1）A  （2）C

【問題2】（6分）
根據(jù)網(wǎng)絡(luò)拓?fù)浜托枨笳f明，完成路由器R1的配置。
R1(config)# interface Serial 1/0
R1(config-if)# ip address（3) 255.255.255.0 (設(shè)置串口地址)
R1(config-if)#no shutdown(開啟串口)
R1(config)# interface FastEtherne0/0
R1(config-if)#ip address（4）255.255.255.0(設(shè)置以太口地址)
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#network 192.0.0.1（5）area 0
R1(config-router)#network 192.1.1.1（6）area 0
試題解析：
OSPF的配置中，采用以下命令指定與路由器直接相連的網(wǎng)絡(luò)：
network address wildcard-mask area area_id
“wildcard-mask”是通配符掩碼，用于告訴路由器如何處理相應(yīng)的IP地址位。通配符掩碼中，0表示“檢查相應(yīng)的位”，1表示“忽略相應(yīng)的位”。在大多數(shù)情況下，可以將通配符掩碼理解為標(biāo)準(zhǔn)掩碼的反向。
答案：（3）192.1.1.1  （4）192.0.0.1
　　  （5）0.0.0.255  （6）0.0.0.255

特別說明：

這道試題與《網(wǎng)絡(luò)工程師教程（第三版）》P422頁的例子是一模一樣的。我之前沒有看過這本書這部分的內(nèi)容，但我在做模擬題時，對于（5）和（6）這兩個填空是相當(dāng)猶豫的。一般來說，如果我們使用network來聲明一個網(wǎng)絡(luò)，會使用網(wǎng)絡(luò)地址，例如“network 192.1.1.0 0.0.0.255”，像“network 192.1.1.1 0.0.0.0“這種方式，我是從來沒有用過。從命令來看，掩碼應(yīng)當(dāng)是0.0.0.0，但這樣聲明似乎并不太合適。因此，我還是按照通常的做法，填寫的是0.0.0.255。

有一個考生在評論中說到：“教材上掩碼就是寫成192.1.1.1 0.0.0.255，這其實是不符合命令語法的。因為既然前面是具體的32位IP地址，就應(yīng)該是宣告具體的接口，所以后面按語法來說是要寫0.0.0.0，或者“192.1.1.0 0.0.0.255”這樣也是符合語法的。證據(jù)有2：1、OSPF協(xié)議中的network的含義并不是將該網(wǎng)段宣告進(jìn)OSPF協(xié)議，而是宣告將該IP地址段內(nèi)的接口參與到OSPF協(xié)議中，所以說，可以用network 192.1.1.1 0.0.0.0 明確的宣告該接口，或者對于這題來說，network 192.1.1.0 0.0.0.255 也是一樣的，因為在這網(wǎng)段下只有1個要被宣告的接口。具體可參見Jeff的tcp/ip 卷一。2、在CISCO的路由器上，如果你敲入network 192.1.1.1 0.0.0.255 這條語句，是OK的，但是你show run查看的時候，會發(fā)現(xiàn)設(shè)備已經(jīng)幫你這條語句修改成 network 192.1.1.0 0.0.0.255,所以說，這條語句的語法是不對的，只是設(shè)備能夠識別，自動修改了。其實重點也就是理解network這條命令的含義。理解了就應(yīng)該知道：并不是說接口的ip地址是192.1.1.1/24，宣告的時候反掩碼就必須是0.0.0.255。按照這題，‘network 192.1.1.1 0.0.0.0’、‘network 192.1.1.0 0.0.0.255’、‘network 192.1.0.0 0.0.255.255’都是正確的宣告該接口的命令”

我認(rèn)為，如果命令是“network 192.1.1.1 0.0.0.0”的話，這就相當(dāng)于聲明了一個單IP的網(wǎng)絡(luò)，這樣的話整個網(wǎng)絡(luò)的通信就斷了，因為它沒法和192.1.1.2進(jìn)行直接數(shù)據(jù)轉(zhuǎn)發(fā)了。如果路由器能夠?qū)?amp;ldquo;network 192.1.1.1 0.0.0.0”自動識別為“network 192.1.1.0 0.0.0.255”的話，那么就可以認(rèn)為“0.0.0.0”和“0.0.0.255”都算正確。

不過，從嚴(yán)格意義來說，“network 192.1.1.1 0.0.0.255”這種表達(dá)方法，是不準(zhǔn)確的。

【問題3】（6分）
根據(jù)網(wǎng)絡(luò)拓?fù)浜托枨笳f明，解釋路由器R3的ISATAP隧道地址。
……
R3(config)#interface tunnel 0（7）  
R3(config-if)# ipv6 address 2001:DA8:8000:3::/64 eui-64    為tunnel配置IPV6地址
R3(config-if)#no ipv6 nd suppress-ra啟用了隧道口的路由器廣播
R1(config-if)#tunnel source s1/0（8）  
R1(config-if)#tunnel mode ipv6ip isatap（9）  
答案：（7）進(jìn)入端口tunnel0的配置模式
　　  （8）設(shè)置隧道入口為s1/0
　　  （9）設(shè)置采用ISATAP隧道技術(shù)進(jìn)行IP地址轉(zhuǎn)換

【問題4】（1分）
實現(xiàn)ISATAP。需要在PC1進(jìn)行配置，請完成下面的命令。
C:/>netsh interface ipv6 isatap set router（10）        
答案：（10）192.2.2.1