2010年上半年網絡工程師下午試卷參考答案

試題一（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。
【說明】
某校園網拓撲結構如圖1-1所示。
該網絡中的部分需求如下：
1．信息中心距圖書館2千米，距教學樓300米，距實驗樓200米。
2．圖書館的匯聚交換機置于圖書館主機房內，樓層設備間共2個，分別位于二層和四層，距圖書館主機房距離均大于200米，其中，二層設備間負責一、二層的計算機接入，四層設備間負責三、四、五層的計算機接入，各層信息點數如表1-1所示。

3．所有計算機采用靜態IP地址。
4．學校網絡要求千兆干線，百兆到桌面。
5．信息中心有兩條百兆出口線路，在防火墻上根據外網IP設置出口策略，分別從兩個出口訪問Internet 。
6．信息中心共有多臺服務器，通過交換機接入防火墻。
7．信息中心提供的信息服務包括Web、FTP、數據庫、流媒體等，數據流量較大，要求千兆接入。

【問題1】（4分）
根據網絡的需求和拓撲圖，在滿足網絡功能的前提下，本著最節約成本的布線方式，傳輸介質1應采用（1），傳輸介質2應采用（2），傳輸介質3應采用（3），傳輸介質4應采用（4）。
（1）～（4）備選答案：
A．單模光纖          B．多模光纖         C．基帶同軸電纜
D．寬帶同軸電纜      E．1類雙絞線 　　F．5類雙絞線
答案：（1）A  （2）B  （3）F （4）B

【問題2】（6分）
學校根據網絡需求選擇了四種類型的交換機，其基本參數如表1-2所示。
　　 　　 　　    

根據網絡需求、拓撲圖和交換機參數類型，在圖1-1中，Switch1應采用（5）類型交換機，Switch2應采用（6）類型交換機，Switch3應采用（7）類型交換機，Switch4應采用（8）類型交換機。
根據需求描述和所選交換機類型，圖書館二層設備間最少需要交換機（9）臺，圖書館四層設備間最少需要交換機（10）臺。
答案：（5）C  （6）B  （7）D  （8）A  （9）2  （10）4

【問題3】（2分）
該網絡采用核心層、匯聚層、接入層的三層架構。根據層次化網絡設計的原則，數據包過濾、協議轉換應在（11）層完成。（12）層提供高速骨干線路，MAC層過濾和IP地址綁定應在（13）層完成。
答案：
　　（11）匯聚  （12）核心  （13）接入

【問題4】（2分）
根據該網絡的需求，防火墻至少需要（14）個百兆接口和（15）個千兆接口。
答案：（14）2  （15）2

試題二（共15分）
閱讀以下說明，回答問題1至問題5，將解答填入答題紙對應的解答欄內。
【說明】
在Linux服務器中，inetd/xinetd是Linux系統中一個重要服務。
【問題1】（2分）
下面選項中（1）是xinetd的功能。
（1）備選答案：
A．網絡服務的守護進程   B．定時任務的守護進程
C．負責配置網絡接口     D．負責啟動網卡
答案：（1）A

【問題2】（2分）
默認情況下，xinetd配置目錄信息為：drwxr-xr-x root  root  4096 2009004-23 18:27 xinetd.d則下列說法錯誤的是（2）。
（2）備選答案：
A． root用戶擁有可執行權限。
B．除root用戶外，其它用戶不擁有執行權限。
C．root用戶擁有可寫權限
D．除root用戶外，其它用戶不擁有寫權限。
答案：（2）B

【問題3】（4分）
在Linux系統中，inetd服務的默認配置文件為（3）。
（3）備選答案
A．/etc/inet.conf    B．/etc/inetd.config
C．/etc/inetd.conf   D．/etc/inet.config
在Linux 系統中，默認情況下，xinetd所管理服務的配置文件存放在（4）。
（4）備選答案：
A．/etc/xinetd/      B．/etc/xinetd.d/
C．/usr/etc/xinetd/  D．/usr/etc/xinetd.d/
答案：（3）C  （4）B

【問題4】（4分）
某Linux服務器上通過xinetd來對各種網絡服務進行管理，該服務器上提供ftp服務，ftp服務器程序文件為/usr/bin/ftpd，ftp服務器的配置文件/etc/xinetd.d/ftp內容如下所示，目前服務器屬于開啟狀態：
Service ftp
{ Socket-type  =stream
　Protocol     =   TCP（5） 
　Wait 　　 = no
　User 　　 = root
　Server       =   /usr/bin/ftpd （6） 
　Server_args  = -el
　Disable      = no}
請完善該配置文件。
（5）備選答案：
A．TCP   B．UDP   C．IP   D．HTTP
(6) 備選答案：
A．/usr/bin/ftpd    B.ftpd    C.ftp    D./bin/ftpd
答案：（5）A  （6）A

【問題5】（3分）
Xinetd 可使用only_from，no_access以及access_time等參數對用戶進行訪問控制。若服務器上ftp服務的配置信息如下所示：
Service ftp
{ ……
Only_from    = 192.168.3.0/24 172.16.0.0
no_access    = 172.16,{1,2}
access_times = 07:00-21:00
……}
則下列說法中錯誤的是   （7）  。
（7）備選答案：
A．允許192.168.3.0/24 中的主機訪問該ftp服務器
B．172.16.3.0/24網絡中的主機可以訪問該ftp服務器
C．IP地址為172.16.x.x的主機可以連接到此主機，但地址屬于172.16.1.x、172.16.2.x的則不能連接
D．ftp服務器可以24小時提供服務
答案：（7）D

試題三（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。
【說明】
終端服務可以使客戶遠程操作服務器，Windows Server2003中開啟終端服務時需要分別安裝終端服務的服務器端和客戶端，圖3-1為客戶機Host1連接終端服務器Server1的網絡拓撲示意圖。

圖3-2是Server1“系統屬性”的“遠程”選項卡，圖3-3是Server1“RDP-Tcp屬性”的“環境”選項卡，圖3-4為Host1采用終端服務登錄Server1的用戶登錄界面。

此外，在Server1中為了通過日志了解每個用戶的行蹤，把“D: om ote.bat”設置成用戶的登錄腳本，通過腳本中的配置來記錄日志。

【問題1】（3分）
默認情況下，RDU2對終端服務具有（1）和（2）權限。
（1）、（2）備選答案：
A．完全控制  B．用戶訪問  C．來賓訪問  D．特別權限
答案：（1）B  （2）C

注：（1）和（2）的答案可以互換。

【問題2】（7分）
將RDU2設置為Server1的終端服務用戶后，在Host1中登錄Server1時，圖3-4中“計算機”欄應填入（3）；“用戶名”欄應填入（4）。
此時發現Host1不能遠程登錄終端服務器，可能原因是（5）。
答案：（3）210.154.1.202  （4）RDU2
（5）Host1無法連接到終端服務器，或者的終端服務器的遠程桌面服務沒有啟動，或者沒有在Server1上設置RDU2具有“允許用戶遠程連接到您的計算機” 的權限。（如圖3-2所示）

【問題3】（2分）
在圖3-3“程序路徑和文件名”欄中應輸入（6）。
答案：（6）D: om ote.bat

【問題4】（3分）
note.bat腳本文件如下：
time /t>>note.log
netstat –n –p tcp︱find“:3389”>>note.log
start Explorer
第一行代碼用于記錄用戶登錄的時間，“time /t”的意思是返回系統時間，使用符號“>>”把這個時間記入“note.log”作為日志的時間字段。請解釋下面命令的含義。
netstat –n –p tcp︱find“:3389”>>note.log
答案：執行netstat，以數字形式表示地址和端口，只選出所有tcp的連接，再從中挑選出含有“:3389”字樣的內容（即Remote Desktop使用的端口），將結果寫入文件“note.log”中。

試題四（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。
【說明】
在Windows Sever 2003系統中，用戶分為本地用戶和域用戶，本地用戶的安全策略用“本地安全策略”設置，域用戶的安全策略通過活動目錄管理。

【問題1】（2分）
在“本地安全設置”中啟用了“密碼必須符合復雜性要求”功能，如圖4-1所示，則用戶“ABC”可以采用的密碼是（1）。
（1）備選答案：
A.ABC007   B.deE#3   C.Test123   D.adsjfs
答案：（1）C

【問題2】（4分）
在“本地安全設置”中,用戶賬戶鎖定策略如圖4-2所示，當3次無效登錄后，用戶賬戶被鎖定的實際時間是（2）。如果“賬戶鎖定時間”設置為0，其含義為（3）。

（2）備選答案：
A.30分鐘    B.10分鐘    C.0分鐘    D.永久鎖定
（3）備選答案：
A．賬戶將一直鎖定，直到管理員明確解除對它的鎖定
B．賬戶將永久鎖定，無法使用
C．賬戶鎖定時間無效
D．賬戶鎖定時間由鎖定計數器復位時間決定
問題解析：

安全設置確定鎖定帳戶在自動解鎖之前保持鎖定的分鐘數。可用范圍從 0 到 99,999 分鐘。如果將帳戶鎖定時間設置為 0，帳戶將一直被鎖定直到管理員明確解除對它的鎖定。
有考生做了測試，在自己的WIN2003實驗一下，按照題目給的計數器10分鐘，鎖定時間為0，閥值3，登陸三次錯誤，賬號就被鎖定了。

答案：（2）A  （3）A

【問題3】（3分）
在Windows Sever 2003 中活動目錄必須安裝在ntfs（4）分區上，并且需要有dns（5）服務的支持。
（4）備選答案：
A.NTFS    B.FAT32    C.FAT16    D.ext2
（5）備選答案：
A.web     B.DHCP    C.IIS     D.DNS
答案：（4）A  （5）D

【問題4】（6分）
在Windows Sever 2003 中活動目錄中，用戶分為全局組（Global Groups）、域本地組（Domain Local Groups）和通用組（Universal Groups）。全局組的訪問權限是a （6），域本地組的訪問權限是c（7），通用組的訪問權限是 b（8）。
（6）~（8）備選答案：
A．可以授予多個域中的訪問權限   
B．可以訪問域林中的任何資源     
C．只能訪問本地域中的資源   
試題解析：

域本地組：域本地組的成員可以來自于任何域，但是只能夠訪問本域的資源。
全局組：全局組的成員只來自于本域，但其成員可以訪問林中的任何資源。需要注意的是：全局組用于限制本域的用戶對其他域的訪問，如果要能訪問其他域，只有一種方法，那就是給用戶授予多個域中的訪問權限；
通用組：通用組成員來自于任何域，并且可以訪問林中的任何資源。需要注意的是：通用組的建立會帶來大量活動目錄之間的復制流量，而且非常適于林中跨域訪問使用。
答案：（6）A  （7）C  （8）B

試題五（共15分）
閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。
【說明】
某單位網絡內部部署有IPv4主機和IPv6主機，該單位計劃采用ISATAP隧道技術實現兩類主機的通信，其網絡拓撲結構如圖5-1所示，路由器R1、R2、R3通過串口經IPv4網絡連接，路由器R1連接IPv4網絡，路由器R3連接IPv6網段。通過ISATAP隧道將IPv6的數據包封裝到IPv4的數據包中，實現PC1和PC2的數據傳輸。
 

【問題1】（2分）
雙棧主機使用ISATAP隧道時，IPv6報文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。在ISATAP地址中，前64位是向ISATAP路由器發送請求得到的，后64位中由兩部分構成，其中前32位是    （1）   ，后32位是    （2）   。
（1）備選答案：
A．0:5EFE  B．5EFE:0  C．FFFF:FFFF  D．0:0
（2）備選答案：
A．IPv4廣播地址  B．IPv4組播地址  C．IPv4單播地址
試題解析：
IEEE EUI-64格式的接口標識符的低32位為Tunnel接口的源IPv4地址，ISATAP隧道的接口標識符的高32位為0000:5EFE，其他隧道的接口標識符的高32位為全0。
答案：（1）A  （2）C

【問題2】（6分）
根據網絡拓撲和需求說明，完成路由器R1的配置。
R1(config)# interface Serial 1/0
R1(config-if)# ip address（3) 255.255.255.0 (設置串口地址)
R1(config-if)#no shutdown(開啟串口)
R1(config)# interface FastEtherne0/0
R1(config-if)#ip address（4）255.255.255.0(設置以太口地址)
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#network 192.0.0.1（5）area 0
R1(config-router)#network 192.1.1.1（6）area 0
試題解析：
OSPF的配置中，采用以下命令指定與路由器直接相連的網絡：
network address wildcard-mask area area_id
“wildcard-mask”是通配符掩碼，用于告訴路由器如何處理相應的IP地址位。通配符掩碼中，0表示“檢查相應的位”，1表示“忽略相應的位”。在大多數情況下，可以將通配符掩碼理解為標準掩碼的反向。
答案：（3）192.1.1.1  （4）192.0.0.1
　　  （5）0.0.0.255  （6）0.0.0.255

特別說明：

這道試題與《網絡工程師教程（第三版）》P422頁的例子是一模一樣的。我之前沒有看過這本書這部分的內容，但我在做模擬題時，對于（5）和（6）這兩個填空是相當猶豫的。一般來說，如果我們使用network來聲明一個網絡，會使用網絡地址，例如“network 192.1.1.0 0.0.0.255”，像“network 192.1.1.1 0.0.0.0“這種方式，我是從來沒有用過。從命令來看，掩碼應當是0.0.0.0，但這樣聲明似乎并不太合適。因此，我還是按照通常的做法，填寫的是0.0.0.255。

有一個考生在評論中說到：“教材上掩碼就是寫成192.1.1.1 0.0.0.255，這其實是不符合命令語法的。因為既然前面是具體的32位IP地址，就應該是宣告具體的接口，所以后面按語法來說是要寫0.0.0.0，或者“192.1.1.0 0.0.0.255”這樣也是符合語法的。證據有2：1、OSPF協議中的network的含義并不是將該網段宣告進OSPF協議，而是宣告將該IP地址段內的接口參與到OSPF協議中，所以說，可以用network 192.1.1.1 0.0.0.0 明確的宣告該接口，或者對于這題來說，network 192.1.1.0 0.0.0.255 也是一樣的，因為在這網段下只有1個要被宣告的接口。具體可參見Jeff的tcp/ip 卷一。2、在CISCO的路由器上，如果你敲入network 192.1.1.1 0.0.0.255 這條語句，是OK的，但是你show run查看的時候，會發現設備已經幫你這條語句修改成 network 192.1.1.0 0.0.0.255,所以說，這條語句的語法是不對的，只是設備能夠識別，自動修改了。其實重點也就是理解network這條命令的含義。理解了就應該知道：并不是說接口的ip地址是192.1.1.1/24，宣告的時候反掩碼就必須是0.0.0.255。按照這題，‘network 192.1.1.1 0.0.0.0’、‘network 192.1.1.0 0.0.0.255’、‘network 192.1.0.0 0.0.255.255’都是正確的宣告該接口的命令”

我認為，如果命令是“network 192.1.1.1 0.0.0.0”的話，這就相當于聲明了一個單IP的網絡，這樣的話整個網絡的通信就斷了，因為它沒法和192.1.1.2進行直接數據轉發了。如果路由器能夠將“network 192.1.1.1 0.0.0.0”自動識別為“network 192.1.1.0 0.0.0.255”的話，那么就可以認為“0.0.0.0”和“0.0.0.255”都算正確。

不過，從嚴格意義來說，“network 192.1.1.1 0.0.0.255”這種表達方法，是不準確的。

【問題3】（6分）
根據網絡拓撲和需求說明，解釋路由器R3的ISATAP隧道地址。
……
R3(config)#interface tunnel 0（7）  
R3(config-if)# ipv6 address 2001:DA8:8000:3::/64 eui-64    為tunnel配置IPV6地址
R3(config-if)#no ipv6 nd suppress-ra啟用了隧道口的路由器廣播
R1(config-if)#tunnel source s1/0（8）  
R1(config-if)#tunnel mode ipv6ip isatap（9）  
答案：（7）進入端口tunnel0的配置模式
　　  （8）設置隧道入口為s1/0
　　  （9）設置采用ISATAP隧道技術進行IP地址轉換

【問題4】（1分）
實現ISATAP。需要在PC1進行配置，請完成下面的命令。
C:/>netsh interface ipv6 isatap set router（10）        
答案：（10）192.2.2.1