2011年上半年軟考網絡工程師下午試題答案

試題一（共15分）
閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內。
【說明】
某企業欲構建局域網，考慮到企業的很多業務依托于網絡，要求企業內部用戶能夠高速訪問企業服務器，并且對網絡的可靠性要求很高。因此，在網絡的設計中，要考慮網絡的冗余性，不能因為單點故障引起整個網絡的癱瘓。
某網絡公示根據企業需求，將網絡拓撲結構設計為雙核心來進行負載均衡和容錯。該公司給出的網絡拓撲如圖1-1所示：

【問題1】（6分）
在該網絡拓撲圖中，請根據用戶需求和設計要求，指出至少三個不合理之處，并簡要說明理由。

答案：
1．所有匯聚層交換機應當分別鏈接到2個核心層交換機上，形成鏈路冗余，提高可靠性。
2．2個核心層交換機應該分別鏈接到路由器上，形成鏈路冗余，提高可靠性。
3．企業服務器應該直接連到核心層交換機上，提高訪問速度。
4．桌面用戶不應該直接鏈接核心層交換機，這樣會影響交換機性能。
（指出三個就可以拿滿6分）

【問題2】（5分）
該企業有分支機構地處其他省市，計劃采用MPLS VPN進行網絡互連，請根據MPLS VPN的技術原理回答以下問題：
1．MPLS技術主要為了提高路由器轉發速率而提出的，其核心思想是利用標簽交換取代復雜的路由運算和路由交換；該技術實現的核心是把（1）封裝在（2)　數據包中。
（1）（2）備選答案：
A．IP數據報  B．MPLS  C．TCP  D．GRE
答案：
（1）A 或 IP數據報，（2）B 或 MPLS

2．MPLS VPN承載平臺由PE路由器、CE路由器和P路由器組成，其中（3）是MPLS核心網中的路由器，這種路由器只負責依據MPLS標簽完成數據包的高速轉發，（4）是MPLS邊緣路由器，負責待傳送數據包的MPLS標簽的生成和彈出，還負責發起根據路由建立交換標簽的動作。（5）是直接與電信運營商相連的用戶端路由器，該設備上不存在任何帶有標簽的數據包。
試題解析：
MPLS VPN的一些基本概念：

P（Provider）是核心層設備，提供商路由器，服務提供商是不連接任何CE路由器的骨干網路由設備，它相當于標簽交換路由器（LSR）。
PE（Provider Edge）是Provider的邊緣設備，服務提供商骨干網的邊緣路由器，它相當于標簽邊緣路由器（LER）。PE路由器連接CE路由器和P路由器，是最重要的網絡節點。用戶的流量通過PE路由器流入用戶網絡，或者通過PE路由器流到MPLS骨干網。
CE（Customer Edge）是用戶邊緣設備，服務提供商所連接的用戶端路由器。CE路由器通過連接一個或多個PE路由器，為用戶提供服務接入。CE路由器通常是一臺IP路由器，它與連接的PE路由器建立鄰接關系。
答案：
（3）P，（4）PE，（5）CE

【問題3】（4分）
企業網絡運行過程中會碰到各種故障。一方面，網絡管理人員可以利用網絡設備及系統提供的集成命令對網絡進行故障排除，例如利用（6）命令可以查看系統的安裝情況與網絡的正常運行狀況，另一方面，利用專用故障排除工具可以快速的定位故障點，例如利用（7）可以精確地測量光纖的長度、定位光纖的斷點。
（6）備選答案：
A．ping   B．debug  C．show  D．tracert
（7）備選答案：
A．數字萬用表 B．時域放射計 C．光時域反射計 D．網絡分析儀
試題解析：
光時域反射計根據光的后向散射與菲涅耳反向原理制作，利用光在光纖中傳播時產生的后向散射光來獲取衰減的信息，可用于測量光纖衰減、接頭損耗、光纖故障點定位以及了解光纖沿長度的損耗分布情況等，是光纜施工、維護及監測中必不可少的工具。

答案：
（6）C 或 show，（7）C 或 光時域反射計

試題二（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。
【說明】
Linux系統有其獨特的文件系統ext2，文件系統包括文件的組織結構、處理文件的數據結構及操作文件的方法。可以通過命令獲取系統及磁盤分區狀態信息，并能對其進行管理。

【問題1】（6分）
以下命令中，改變文件所屬群組的命令是（1），編輯文件的命令是（2），查找文件的命令是（3）。
（1）~（3）備選答案：
A．chmod  B．chgrp  C．vi  D．which
答案：
（1）B 或 chgrp，（2）C 或 vi，（3）D 或 which

【問題2】（2分）
在Linux中，偽文件系統　（4）　只存在于內存中，通過它可以改變內核的某些參數。
A．/proc   B．ntfs   C．/tmp  D．/etc/profile
試題解析：
proc文件系統是一個偽文件系統，它只存在內存當中，而不占用外存空間。它以文件系統的方式為訪問系統內核數據的操作提供接口。用戶和應用程序可以通過proc得到系統的信息，并可以改變內核的某些參數。由于系統的信息，如進程，是動態改變的，所以用戶或應用程序讀取proc文件時，proc文件系統是動態從系統內核讀出所需信息并提交的。

答案：
　　（4）A 或 /proc

【問題3】（3分）
　　在Linux系統中，對于（7）文件中列出的Linux分區，系統啟動時會自動掛載。此外，超級用戶可以通過（8）命令將分區加載到指定目錄，從而該分區才在Linux系統中可用。
答案：
　　（7）/etc/fstab，（8）mount

試題三（共15分）
閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應的解答欄內。
【說明】
某網絡拓撲結構如圖3-1所示，網絡1和網絡2 的主機均由DHCP_Server分配IP地址。FTP_Server的操作系統為Windows Server 2003，Web_Server的域名為www.softexamtest.com。

圖3-1

【問題1】（4分）
DHCP_Server服務器可以動態分配的IP地址范圍為　（1）　和　（2）　。
答案：
（1）110.115.3.4~110.115.3.254，（2）61.202.117.193~61.202.117.252
注：（1）和（2）的內容可以調換

【問題2】（2分）
若在host1上運行ipconfig命令，獲得如圖3-2所示結果，host1能正常訪問Internet嗎？說明原因。

圖3-2

試題解析：
當客戶端未能從DHCP服務器獲得IP地址時，客戶端會檢查自己是否配置了“備用IP地址”。如果配置了“備用IP地址”，那么客戶端會首先啟用“備用IP配置”；如果沒有配置“備用IP地址”，客戶機將從169.254.0.0/16這個B 類網段中選擇一個作為IP地址，并且每隔5分鐘就再次進行DHCP地址申請。
答案：
host1不能正常訪問Internet。因為它的IP地址屬于169.254.0.0/16這個B 類網段，表明它沒有從DHCP服務器成功獲取到一個有效IP地址。

【問題3】（3分）
若host1成功獲取IP地址后，在訪問http://www.abc.com網站時，總是訪問到www.softexamtest.com,而同一網段內的其他客戶端訪問該網站正常。在host1的C:WINDOWSsystem32driversetc目錄下打開（3）文件，發現其中有如下兩條記錄：
　　127.0.0.1  localhost
　（4）　  www.abc.com
在清除第2條記錄后關閉文件，重啟系統或host1訪問http://www.abc.com網站正常。請填充（4）處空缺內容。

答案：
（3）hosts，（4）61.202.117.253

【問題4】（2分）
在配置FTP＿server時，圖3-3的“IP地址”文本框應填入（5）。

圖3-3

答案：
（3）110.115.3.2

【問題5】（4分）
若FTP配置的虛擬目錄為pcn，虛擬目錄配置如圖3-4與3-5所示。

圖3-4

圖3-5

根據以上配置，哪些主機可以訪問該虛擬目錄？訪問該虛擬目錄的命令是（6）。
答案：
只有110.115.3.10這臺主機可以訪問該虛擬目錄。
（6）ftp://110.115.3.2:2121/ 或 ftp://110.115.3.2:2121/pcn

試題四（共15分）
閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應的解答欄內。
【說明】
某公司兩分支機構之間的網絡配置如圖4-1所示，為保護通信安全，在路由器router-a和router-b上配置IPSec安全策略，對192.168.8.0/24網段和192.168.9.0/24網段之間數據進行加密處理。

圖4-1

【問題1】（3分）
為建立兩個分支機構之間的通信，請完成下面的路由配置命令。
Router-a(config)#ip router 0.0.0.0 0.0.0.0 （1）
Router-b(config)#ip router 0.0.0.0 0.0.0.0 （2）
試題解析：
這個問題的答案目前有兩組說法，一組答案是填對端的IP地址，即（1）201.18.8.1，（2）203.25.25.1。另一組答案是填接入Internet的對應網關地址，即（1）203.25.25.254，（2）201.18.8.254。我原先選擇的是前一組。
網友aq1972提出了很有分量的質疑：“隧道是建立在已經通的路由上的。ipsec只是加密，tunnel是建立隧道。如果路由的前提都不通，如何建立隧道？” 我認為他的觀點是對的，是我原先看資料時受誤導了，而且自己并沒有做實驗加以驗證，應該是我錯了。因此，我將答案改為第二組。
如果哪位網友能夠親自做實驗驗證一下，還請給我一個明確的答案。
答案：
（1）203.25.25.254，（2）201.18.8.254

【問題2】（3分）
下面的命令是在路由器router-a中配置IPSec隧道。請完成下面的隧道配置命令。
router-a(config)# crypto tunnel tun1    （設置IPSec隧道名稱為tun1）
router-a(config-tunnel)# peer address （3） （設置隧道對端IP地址）
router-a(config-tunnel)# local address （4） （設置隧道本端IP地址）
router-a(config-tunnel)# set auto-up    （設置為自動協商）
router-a(config-tunnel)# exit      （退出隧道設置）
答案：
（3）201.18.8.1，（4）203.25.25.1

【問題3】（3分）
router-a與router-b之間采用預共享密鑰“12345678”建立IPSec安全關聯，請完成下面配置命令
router-a(config)# crypt ike key 123456789 address （5）
router-b(config)# crypt ike key 123456789 address （6）
答案：
（5）201.18.8.1，（6）203.25.25.1 
【問題4】（3分）
下面的命令在路由器router-a中配置了相應的IPSec策略，請說明該策略的含義。
Router-a(config)# crypto policy p1
Router-a(config-policy)# flow 192.168.8.0 255.255.255.0 192.168.9.0 255.255.255.0 ip tunnel tun1
答案：
建立IPSec策略p1，在網段192.168.8.0/24和網段192.168.9.0/24之間啟用隧道tun1。 
【問題5】（3分）
下面的命令在路由器router-a中配置了相應的IPSec提議。
router-a(config)#crypto ipsec proposal secp1
router-a(config-ipsec-prop)# esp 3des sha1
router-a(config-ipsec-prop)#exit
該提議表明：IPsec采用ESP報文，加密算法采用（7），認證算法采用（8）。
試題解析：
用【認證算法】的措辭再次讓人撓頭，這個問題中應該問的是【摘要算法】才是。
答案：
（7）3DES，（8）SHA-1
試題五（共15分）
閱讀以下說明，回答問題1至問題3，將解答填入答題紙對應的解答欄內。
【說明】
某單位網絡的拓撲結構示意圖如圖5-1所示。該網絡采用RIP協議，要求在R2上使用訪問控制列表禁止網絡192.168.20.0/24上的主機訪問網絡192.168.10.0/24，在R3上使用訪問控制列表禁止網絡192.168.20.0/24上的主機訪問10.10.10.0/24上的Web服務，但允許訪問其他服務器。

圖5-1

【問題1】（8分）
下面是路由器R1的部分配置，請根據題目要求，完成下列配置。
……
R1(config)#interface Serial0
R1(config-if)#ip address （1） （2）
R1(config)#ip routing
R1(config)# （3）    （進入RIP協議配置子模式）
R1(config-router)# （4）    （聲明網絡192.168.1.0/24）
答案：
（1）192.168.1.1
（2）255.255.255.0
（3）router rip
（4）network 192.168.1.0
 
【問題2】（3分）
R2#config t
R2(config)#access-list 50 deny 192.168.20.0 0.0.0255
R2(config)#access-list 50 permit any
R2(config)#interface （5）
R2(config-if)#ip access-group （6） （7）
答案：
（5）e0 或 fastethernet 0/0 或 ethernet 0/0
（6）50
（7）out

【問題3】（4分）
1．下面是路由器R3的部分配置，請根據題目要求，完成下列配置。
R3(config)#access-list 110 deny （8） 192.168.20.0 0.0.0.255 10.10.10.0 0.0.0.255 eq （9）
R3(config)#access-list 110 permit ip any any
答案：
（8）tcp
（9）www 或 80
2．上述兩條語句次序是否可以調整？簡單說明理由。
答案：
次序不可以調整。一旦調整，則所有的IP數據包都可以通過了，起不到【禁止網絡192.168.20.0/24上的主機訪問10.10.10.0/24上的Web服務】的作用。