2016 上半年网络工程师考试真题及答案-下午卷
试题一
阅读以下说明,回答问题 1 至问题 4,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑如图 1-1 所示,A~E 是网络设备的编号。
【问题 1】(每空 1 分,共 4 分)
根据图 1-1,将设备清单表 1-1 所示内容补充完整。
(每空 1 分,共 4 分)
(1)B
(2)A
(3)C
(4)D
【问题 2】(每空 2 分,共 4 分)
以下是 AR2220 的部分配置。
[AR2220]acl 2000
[AR2220-acl-2000]rule normal permit source 192.168.0.0 0.0.255.255
[AR2220-acl-2000]rule normal deny source any
[AR2220-acl-2000]quit
[AR2220]interface Ethernet0
[AR2220-Ethernet0]ip address 192.168.0.1 255.255.255.0
[AR2220-Ethernet0]quit
[AR2220]interface Ethernet1
[AR2220-Ethernet1]ip address 59.41.221.100 255.255.255.0
[AR2220-Ethernet1]nat outbound 2000 interface
[AR2220-Ethernet1]quit
[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74.221.254
设备 AR2220 应用( )接口实现 NAT 功能,该接口地址网关是( )。
(每空 2 分,共 4 分)
(5)Ethernet 1
(6)59.74.221.254
【问题 3】(每空 2 分,共 6 分)
若只允许内网发起 ftp、http 连接,并且拒绝来自站点 2.2.2.11 的 Java Applets 报文。
在 USG3000 设备中有如下配置,请补充完整。
[USG3000]acl number 3000
[USG3000-acl-adv-3000] rule permit tcp destination-port eq www
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp-data
[USG3000]acl number 2010
[USG3000-acl-basic-2010] rule( )source 2.2.2.11.0.0.0.0
[USG3000-acl-basic-2010] rule permit source any
[USG3000]( ) interzone trust untrust
[USG3000-interzone-tust-untrust] packet-filter 3000 ( )
[USG3000-interzone-tust-untrust] detect ftp
[USG3000-interzone-tust-untrust] detect http
[USG3000-interzone-tust-untrust] detect java-blocking 2010
( )~( )备选答案:
A.Firewall
B.trust
C.deny
D.permit
E.outbound
F.inbound
(每空 2 分,共 6 分)
(7)C
(8)A
(9)E
【问题 4】(每空 2 分,共 6 分)
PC-1、PC-2、PC-3、网络设置如表 1-2。
表 1-2
通过配置 RIP,使得 PC-1、PC-2、PC-3 能相互访问,请补充设备 E 上的配置,或解释
相关命令。
// 配置 E 上 vlan 路由接口地址
interface vlanif 300
ip address( )255.255.255.0
interface vlanif 1000
ip address 192.168.100.1 255.255.255.0
//配置 E 上的 rip 协议
rip
network 192.168.4.0
network ( )
//配置 E 上的 trunk 链路
int e0/1
Port link-type trunk //( )
port trunk permit vlan all
(每空 2 分,共 6 分)
(10)192.168.4.1
(11)192.168.100.0
(12)把 E0/1 接口配置成 TRUNK 口
试题二
阅读以下说明,回答问题 1 至问题 3,将解答填入答题纸对应的解答栏内。
【说明】
某学校的网络拓扑结构图如图 2-1 所示。
【问题 1】
常用的 IP 访问控制列表有两种,它们是编号为(1)和 1300~1999 的标准访问控制列
表和编为(2 )和 2000~2699 的扩展访问控制列表、其中,标准访问控制列表是根据 IP 报
的(3)来对 IP 报文进行过滤,扩展访问控制列表是根据 IP 报文的(4)、(5)、上层协议
和时间等来对 IP 报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩
展访问控制列表放置在靠近(7)的位置。
(每空 1 分,共 7 分)
(1)1-99
(2)100-199
(3)源地址
(4)源地址
(5)目的地址
(6)数据目的地
(7)数据源
【问题 2】(每空 1 分,共 10 分)
为保障安全,使用 ACL 对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上 18:00~24:00 禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天 8:00~18:00 禁止访问互联网。
1.使用 ACL 对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 (8)(9) 0.0.0.255
R1(config)#access-Iist 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-Iist 1 deny (10)0.0.0.255
R1(config)#interface (11)
R1(config-if)#ip access-group 1 (12)
2.使用 ACL 对 Internt 进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jsp // 定义教学区时间范围
Route-Switch(config-time-range)# periodic daily (13)
Route-Switch(config)#time-range xsssq
// 定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic (14) 18:00 t0 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip(15)0.0.0.255 time-range jsp
Route-Switch(config)#access-list 100 deny ip(16)0.0.0.255 time-range xsssq
Route-Switch (config)#interface(17)
Route-Switch(config-if)#ip access-group 100 out
(每空 1 分,共 10 分)
(8)permit
(9)172.16.40.0
(10)172.16.30.0
(11)F0/1
(12)out
(13)8:00 to 18:00
(14)daily
(15)172.16.30.0
(16)172.16.20.0
(17)F0/5
【问题 3】(每空 1 分,共 3 分)
网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的 DDoS 攻击,现对家属
区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但
学生宿舍区网络禁止访问家属区网络。
采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-list extended infilter
Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect jsp //
(18)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)# evaluate jsp //(19)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethernet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //(20)
(每空 1 分,共 3 分)
(18)当符合任何网络访问 172.16.20.0/16 网络的数据流通过的时候,建立自反控制列表
jsp。
(19)计算并生成自反列表
(20)在接口 F0/1 出口方向上应用这个自反列表
试题三
阅读以下说明,回答问题 1 至问题 4,将解答填入答题纸对应的解答栏内。
【说明】
某企业采用 Windows Server 2003 配置了 DHCP、DNS 和 WEB 服务。
【问题 1】(每空 1 分,共 4 分)
DHCP 服务器地址池 192.168.0.1~192.168.0.130,其中 192.168.0.10 分配给网关,
192.168.0.11~192.168.0.15 分配给服务器,192.168.0.20 分配给网络管理员。