2009 上半年网络工程师考试真题及答案-下午卷
试题一
某公司有 1 个总部和 2 个分部,各个部门都有自己的局域网。该公司申请了 4 个 C 类
IP 地址块 202.114.10.0/24〜202.114.13.0/24。公司各部门通过帧中继网络进行互联,网
络拓扑结构如图 1-1 所示。
【问题 1】
请根据图 1-1 完成 R0 路由器的配置:
R0 (config) #interface s0/0 (进入串口配置模式)
R0 (config-if) # ip address 202.114.13.1 (1) (设置 IP 地址和掩码)
R0 (config)* # encapsulation (2) (设置串口工作模式)
(1)225.255.255.0
(2) frame-relay
本题涉及 IP 地址配置、VLAN 以及交换机路由器配置基本命令。
从网络拓扑图可以看出,R0 所在路由器 S0 端口掩码应为 255.255.255.0,同时,由于
S0 端口线路工作为帧中继,因此 S0 端口工作模式应配置为帧中继模式。
【问题 2】
Switch0、Switch1、Switch2 和 Switch3 均为二层交换机。总部拥有的 IP 地址块为
202.114.12.0/24。Switch0 的端口 e0/24 与路由器 R2 的端口 e0/0 相连,请根据图 1-1 完
成路由器 R2 及 Switch0 的配置。
R2 (config) tinterface fastethernet 0/0.1 R2 (config-subif) #encapsulation dotlq
(3)
R2 (config-subif) #ip address 202.114.12.1 255.255.255.192 R2 (config-subif) #no
shutdown R2 (config-subif) #exit
R2 (config) #interface fastethernet 0/0.2 R2 (config-subif) .encapsulation dotlq
(4)
R2 (config-subif) tip address 202.114.12.65 255.255.255.192 R2 (config-subif) #no
shutdown R2 (config-subif) #exit
R2 (config) #interface fastethernet 0/0.3 R2 (config-subif) #encapsulation dotlq
(5)
R2 (config-subif) tip address 202.114.12.129 255.255.255.192 R2 (config-subif) #no
shutdown R2 (config-subif) #exit R2 (config) #interface fastether0/0 R2 (config-if)
#no shutdown
SwitchO (config) #interface f0/24
SwitchO (config-if) # switchport mode (6)
SwitchO (config-if) #switchport trunk encapsulation (7)
SwitchO (config-if) # switchport trunk allowed all Switch0(config-if) #exit
3)100
4)200
5)300
6)trunk
7)dotlq
由于 Switch0、Switch 1 % Switch2 和 Switch3 均为二层交换机。根据拓扑图可以看出,
在路由器 R2 的端口 e0/0 需要通过配置独臂路由实现 VLAN 间路由。根据 VLAN 的 IP 地址分
配,路由器 e0/0 下的端口 e0/0.1 负责线路 VLAN100,e0/0.2 负责线路 VLAN 200, e0/0.3
负责线路 VLAN300。同时在 Switch0 的 f0/24 端口需要配置工作模式为 Trunk, 允许通过不
同 VLAN 的数据,VLAN 的封装协议为 802.1q。
【问题 3】
若主机 A 与 Switch1 的 e0/2 端口相连,请完成 Switch1 相应端口设置。
若主机 A 与主机 D 通信,请填写主机 A 与 D 之间的数据转发顺序。
(8)switchport mode access
(9)switchPort access vlan 100
(10)B
主机 A 与 Switch1 之间线路为接入链路,因此需要将端口设置为接入链路模式,相应命
令为 switchport mode access,同时主机 A 所处 VLAN 为 100,因此使用 switch access vlan
100 设定端口 VLAN 号为 100。
主机 A 与主机 D 属于不同 VLAN,同时由于不同 VLAN 间路由通过独臂路由实现,因此主
机 A 的数据会通过路由器 R2 进行转发。
【问题 4】
为了部门 A 中用户能够访问服务器 Serverl,请在 R0 上配置一条特定主机路由。
R0 (config) #ip route 202.114.10.253 (11) (12)
11) 255.255.255.255
12) 202.114.13.2
部门 A 中用户配置特定主机路由时,子网掩码需配置为 255.255.255.255,同时下一条
目的地址应指向路由器 R1 的 S0/0 端口,相应 EP 地址为 202.114.13.2。
试题二
某公司总部服务器 1 的操作系统为 Windows Server 2003,需安装虚拟专用网(VPN) 服
务,通过 Internet 与子公司实现安全通信,其网络拓扑结构和相关参数如图 2-1 所示。
【问题 1】
在 Windows Server 2003 的“路由和远程访问”中提供两种隧道协议来实现 VPN 服务:
(1)和 L2TP, L2TP 协议将数据封装在(2) 协议帧中进行传输。
1. PPTP (点对点隧道协议)
2. PPP (点对点协议)
考査的是“路由和远程访问”提供的两种用于创建路由器到路由器的 VPN 连接的隧道
协议:点对点隧道协议(PPTP)和第二层隧道协议(L2TP)。PPTP 是一种 VPN 隧道协议,是
点对点协议(PPP)的扩展,并利用 PPP 的身份验证、压缩和加密机制。L2TP 是一个工业标
准 Internet 隧道协议,它先把各种网络协议封装到 PPP 中,再把 整个数据包装入隧道协议
中。与 PPTP—样,L2TP 也利用 PPP 的身份验证和压缩机制。但与 PPTP 不同的是,L2TP 不
采用“Microsoft 点对点加密(MPPE)”来加密 PPP 帧。L2TP 依赖于加密服务的 Internet
协议安全性(IPSec)。
【问题 2】
在服务器 1 中,利用 Windows Server2003 的管理工具打开“路由和远程访问”,在所列
出的本地服务器上选择“配置并启用路由和远程访问”,然后选择配置“远程访问(拨号或
VPN)”服务,在图 2-2 所示的界面中,“网络接口”应选择(3)
(3)备选答案:
A.连接 1B.路由和远程访问
B
本题考查的是远程访问 VPN 服务的部署。在 VPN 连接页,应选择连接到 Internet 的网
络接口,因此应选择对应的接口连接 2。
【问题 3】
为了加强远程访问管理,新建一条名为“Sublnc”的访问控制策略,允许来自子公司服
务器 2 的 VPN 访问。在图 2-3 所示的配置界面中,应将“属性类型(A)”的名称为 (4) 的
值设置为“Layer Two Tunneling Protocol”,名称为(5) 的值设置为“Virtual (VPN)”。
编辑 Sublnc 策略的配置文件,添加“入站 IP 筛选器”,在如图 2-4 所示的配置界面中,IP
地址应填为(6),子网掩码应填为(7)。
4) Tunnel-Type
5) NAS-Port-Vpe
6) 202.115.12.34
7) 255.255.255.255
本题考查的是远程访问策略的配置。要配置远程访问策略以控制 VPN 连接的身份验证和
加密选项,要使用以下设置创建远程访问策略:将 NAS-Port-TVpe 条件设置为 “Virtual
(VPN)”,并将 Tunnel-T^pe 条件设置为“Layer Two Tunneling Protocol' 在配置数据包
筛选器时,要键入外部接口的 IP 地址。在“子网掩码”框中,键入 255.255. 255,255.
【问题 4】
子公司 PCI 安装 Windows XP 操作系统,打开“网络和 Internet 连接”。若要建立与公
司总部服务器的 VPN 连接,在如图 2-5 所示的窗口中应该选择 (8),在图 2-6 所示的配置界
面中填写(9) 。
(8)备选答案:
A. 设置或更改您的 internet 连接
B. 创建一个到您的工作位置的网络连接
C. 设置或更改您的家庭或小型办公网络
D. 为家庭或小型办公室设置无线网络
E. 更改 Windows 防火墙设置
8)B
9)61.134.1.37
本题考查的是 VPN 客户端的配置。客户端上应新建一个“到您的工作位置的网络连接”,
在 VPN 服务器选择时,要键入 VPN 服务器计算机的 IP 地址或主机名。
【问题 5】
用户建立的 VPN 连接 xd2 的属性如图 2-7 所示,启动该 VPN 连接时是否需要输入用户名
和密码?为什么?
不需要。因为选中“自动使用我的 Windows 登录名和密码”,此时用本机 Windows 登录
的用户名和密码进行 VPN 连接。
本题考査的是 VPN 身份验证。该 VPN 连接时是不需要输入用户名和密码的,因为选中了
“自动使用我的 Windows 登录名和密码”,此时用本机 Windows 登录的用户名和密码进行 VPN
连接。
【问题 6】
图 2-8 所示的配置窗口中所列协议“不加密的密码(PAP)”和“质询握手身份验证协议
(CHAP)”有何区别?
PAP 使用明文身份验证。
CHAP 通过使用 MD5 和质询-响应机制提供一种加密身份验证。
本题考查的是 PPP 协议定义的两种类型的认证。握手认证协议(CHAP)使用一种算法
(MD-5)来计算只有认证系统和远程设备知道的值。它总是对用户 ID 和密码进行加密,所以
该协议比 PAP 更安全。此协议对回放和试错法访问企图有效。可以在连接期间执行多次 CHAP
认证。认证系统向正在尝试连接到网络的远程设备发送一个握手信号。远程设备通过由两个
设备使用的公共算法(MD-5)所算出的值进行响应。认证系统对照自己的计算结果检查该响
应。当这些值匹配时,认证被认可;否则,结束连接。
不加密的密码(PAP)使用双向握手为同级系统提供鉴别其身份的简单方法,也就是普通
的口令认证,要求将密钥信息在通信信道中明文传输。在建立链接时进行握手。 在建立链
接之后,远程设备将一个用户 ID/密码对发送到认证系统。根据用户 ID/密码对的正确与否,
认证系统继续连接或结束连接。