全國計算機(jī)等級考試四級網(wǎng)絡(luò)工程師2011年9月真題詳細(xì)解析

1、全國計算機(jī)等級考試 （ 四級網(wǎng)絡(luò) 工程師）2011 年 9 月真題詳細(xì)解 析2011年9月筆試真卷及答案詳解 第 2頁（共 12頁）2011年9月筆試真卷及答案詳解 第 3頁（共 12頁）2011年9月筆試真卷及答案詳解 第 4頁（共 12頁）（5） 答案：B 解 析 ： RAID 磁 盤 陣 列 就 是 將 N 臺 硬 盤 通 過 RAID Controller（分 Hardware ，Software）結(jié)合成虛擬單臺 大容量的硬盤使用，從而提高硬盤性能。Cluster 集群是指一組連接起來的電腦，它們共同工 作對外界來說就像一個電腦一樣。集群一般用于單個 電腦無法完成的高性能計算，擁有較高

2、的性價比?？?以實(shí)現(xiàn)負(fù)載均衡和性能優(yōu)化。如 Baidu 和 Google等大 的搜索引擎后臺服務(wù)器就是利用 Cluster 實(shí)現(xiàn)。RISC 精簡指令集計算機(jī)是一種執(zhí)行較少類型計算 機(jī)指令的微處理器， 起源于 80 年代的 MIPS 主機(jī)（即 RISC 機(jī)），RISC 機(jī)中采用的微處理器統(tǒng)稱 RISC 處理 器。IBM 的 Power PC就是采用的 RISC。CISC 復(fù)雜指令集計算機(jī)，和 RISC ，都是指的計算 機(jī)的中央處理器內(nèi)核的指令類型。不同的是指令由完 成任務(wù)的多個步驟所組成，把數(shù)值傳送進(jìn)寄存器或進(jìn) 行相加運(yùn)算。如 Intel 和 AMD 的 x86就是采用的 CISC 。 綜上分析

3、可推得，服務(wù)器組中一臺出現(xiàn)故障后，立即 轉(zhuǎn)移到其他主機(jī)中， 應(yīng)該通過 B）Cluster 集群來實(shí)現(xiàn)。（6） 答案：D 解析：路由器的性能指標(biāo)主要包括吞吐量 （路由器的包轉(zhuǎn)發(fā)2011年9月筆試真卷及答案詳解 第 5頁（共 12頁） 能力）、丟包率 （路由器在穩(wěn)定的持續(xù)負(fù)荷下， 由于資源 缺少而不能轉(zhuǎn)發(fā)的數(shù)據(jù)包在應(yīng)該轉(zhuǎn)發(fā)的數(shù)據(jù)包中所占 的比例，常用作衡量路由器在超負(fù)荷工作時路由器的 性能）、時延 （數(shù)據(jù)包第一個比特進(jìn)入路由器到最后一個 比特從路由器輸出的時間間隔 ）、時延抖動、路由表能 力（路由表內(nèi)所容納路由表項數(shù)量的極限 ）、背靠背幀數(shù) （以最小幀間隔發(fā)送最多數(shù)據(jù)包不引起丟包時的數(shù)據(jù)包 數(shù)量

4、）、背板能力 （輸入與輸出端口間的物理通路 ）、服 務(wù)質(zhì)量能力、網(wǎng)絡(luò)管理、可靠性和可用性等。因此不屬于路由器性能指標(biāo)的是 D）最大可堆疊數(shù)。（7）答案：C 解析：系統(tǒng)的可用性用平均無故障時間（ MTTF ）來度量， 即計算機(jī)系統(tǒng)平均能夠正常運(yùn)行多長時間，才發(fā)生一次故 障。系統(tǒng)的可靠性越高，平均無故障時間越長?？删S護(hù)性 用平均維修時間（ MTTR ）來度量，即系統(tǒng)發(fā)生故障后維 修和重新恢復(fù)正常運(yùn)行平均花費(fèi)的時間。系統(tǒng)的可維護(hù)性 越好，平均維修時間越短。計算機(jī)系統(tǒng)的可用性定義為： MTTF/（MTTF+MTTR） * 100% 。上述服務(wù)器年停機(jī)事件 55 分鐘， （365*24*60-50）/3

5、65*24*60*100% 99.99%，因此可用性達(dá) 到 C）99.99% 。計算機(jī)產(chǎn)業(yè)界通常用如下表所示的 9 的個 數(shù)來劃分計算機(jī)系統(tǒng)可用性的類型。2011年9月筆試真卷及答案詳解 第 6頁（共 12頁）8）答案：D 解析：因為 IP 地址塊為 20/29，后面數(shù)字為 29， 所以子網(wǎng)掩碼應(yīng)該 32位中前 29 位為 1，屬于三位為 0，也 就是（ 11111111.11111111.11111111.1111100）0 2 轉(zhuǎn)換為十 進(jìn)制就是 48，答案為 D。（9） 答案：B 解析：上圖中的 NAT 轉(zhuǎn)換過程是從 Internet 中

6、IP 為 ，端口 8080的源主機(jī)發(fā)送了一個包給 IP 為 ，端口為 2341的目標(biāo)主機(jī)，而NAT 轉(zhuǎn)換器將這個 IP 為 ，端口為 2341 的目標(biāo)主機(jī)轉(zhuǎn)換成 IP 為 ，端口為 1234 在局域網(wǎng)中工作， 然后再逆向轉(zhuǎn)換成 返回 Internet 中。因此題中 NAT 轉(zhuǎn)換表中轉(zhuǎn)換后 的 IP 為 ；轉(zhuǎn)換之前，也就是主機(jī)專用 IP 為 ， 答案選 B。（10） 答案：B 解析：IP 地址塊 /27和 2/27經(jīng)過聚 合后

7、為 /26，其中全 0和全 1不能用，因此可用 地址數(shù)為 2（32-26）-2=62 個，而 4/27無法聚合， 可 2011年9月筆試真卷及答案詳解 第 7頁（共 12頁）用地址數(shù)為 2（32-27）-2=30 個。所以總共可用的地址數(shù)為 62+30=92 個，答案選 B。也有認(rèn)為應(yīng)該聚合為聚合得到 /25得到的 2（32-25）-2=126。但是這樣做的話， 會將不在范圍內(nèi)的 /27 也包括在內(nèi)。個人認(rèn)為 不正確。（11）答案：D解析：IPv4 地址采用 32位的點(diǎn)分四段十進(jìn)制表示， 而 IPv

8、6 采用的是 128 位的冒分八段十六進(jìn)制法。按照 RFC2373 定義，一個完整的 IPv6 地址的表示法： xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx 例如： 2031:0000:1F1F:0000:0000:0100:11A0:ADDF。為了 簡化其表示法， RFC2373 提出每段中前面的 0 可以省略， 連 續(xù) 的 0 可 省 略 為 : ， 但 只 能 出 現(xiàn) 一 次 ， 例 如 ： 1080:0:0:0:8:800:200C:417A 可 以 簡 寫 為 1080:8:800:200C:417A。類似于 IPv4 中的 CDIR 表示法， IP

9、v6 用前綴來表示網(wǎng)絡(luò)地址空間，比如： 2001:250:6000:/48 表示前綴為 48 位的地址空間。而 D） 選項中的 FF34:42:BC:0:50F:21:0:03D 已經(jīng)超過 8 段，所以表示錯誤，答案選擇 D。（12） 答案：C 解析：BGP 有 4種分組類型：打開 open分組用來建立連接；2011年9月筆試真卷及答案詳解 第 8頁（共 12頁） 更新 update 分組用來通告可達(dá)路由和撤銷無效路由；周期 性地發(fā)送存活 keepalive分組，以確保連接的有效性；當(dāng)檢 測到一個差錯時，發(fā)送通告 notification 分組。因此需要周 期交換的是選項 C） 存活 keep

10、alive 分組。（13） 答案：D 解析：因為 R1 更新距離值為 0、3、3、4，因此可以肯定 的是目的網(wǎng)絡(luò) 和 肯定通過路由 R2，以及 通過 R2 到達(dá) 的距離應(yīng)該不小于 4。減去 R1 到 R2 的距離 1，因此 R2 到目的網(wǎng)絡(luò) 和 的距離 也就是和均為 2，到 的距離也就是應(yīng)該不小 于 3。因此可以得出答案應(yīng)該為 D 。（14） 答案：C 解析：OSPF（Open Shortest Path First開放式最短路徑優(yōu)先 ） 是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng) AS 內(nèi)決策路

11、 由。OSPF 鏈路狀態(tài)度量值 （metric）一般包括費(fèi)用、 距離、 時延、帶寬等等。不包括路徑，因此答案選 C 。（15） 答案：A 解析：綜合布線設(shè)計標(biāo)準(zhǔn)主要包括以下幾類：ANSI/TIA/ EIA-568A 商業(yè)大樓電信布線標(biāo)準(zhǔn)（加拿 大采用 CSA 工 T529）2011年9月筆試真卷及答案詳解 第 9頁（共 12頁）TIA/EIA-568-BEIA/ TIA-569CSA T530)EIA/ TIA-570T525TIA/ EIA-606CSA T528)TIA/ EIA-607商業(yè)建筑通信布線系統(tǒng)標(biāo)準(zhǔn) 電信通道和空間的商業(yè)大樓標(biāo)準(zhǔn)住宅和 N 型商業(yè)電信布線標(biāo)準(zhǔn) CSA商業(yè)大樓電信

12、基礎(chǔ)設(shè)施的管理標(biāo)準(zhǔn)商業(yè)大樓接地 / 連接要求（ CSAT527）ANSI/ IEEE 802.5-1989 令牌環(huán)網(wǎng)訪問方法和物理 層規(guī)范GB/T 50311-2000 建筑與建筑群綜合布線系統(tǒng)工 程設(shè)計規(guī)范GB/T 50312-2000 建筑與建筑群綜合布線系統(tǒng)工 程驗收規(guī)范CECS72:97 建筑與建筑群綜合布線系統(tǒng)工程設(shè)計 及驗收規(guī)范而 A 選項中的 ISO/IEC 18011 不是綜合布線系統(tǒng)標(biāo)準(zhǔn)。16）解析：STP 電纜價格比 UTP 要貴，而且對安裝施工的要求 較高，但是 STP 比 UTP 的抗電磁干擾能力好。在綜合布線系統(tǒng)中，水平布線子系統(tǒng)都采用 5 類（或超 5 類，或 6

13、類 ）4 對非屏蔽雙絞線。雙絞線電纜長度應(yīng)該在2011年 9月筆試真卷及答案詳解 第 10頁（共 12頁）90m 以內(nèi)，信息插座應(yīng)在內(nèi)部作固定線連接。 工作區(qū)子系統(tǒng)的信息插座大致可分為嵌入式安裝插 座（暗座 ）、表面安裝插座和多介質(zhì)信息插座 （光纖和銅纜 ）等。 其中，嵌入式安裝插座是用來連接雙絞線的，多介質(zhì)信息 插座用來連接銅纜和光纖，用以解決用戶對 光纖到桌面 的需求。建筑群布線子系統(tǒng)所采用的鋪設(shè)方式主要有架空布線、 巷道布線、直埋布線、地下管道布線，或者是這 4 種鋪設(shè) 方式的任意組合。其中地下管道布線的鋪設(shè)方式能夠?qū)€ 纜提供最佳的機(jī)械保護(hù)，是最理想的方式。因此描述錯誤的是 C。（17

14、）答案：B解析：交換表的內(nèi)容包括： 目的 MAC 地址、該地址所對應(yīng) 的交換機(jī)端口號以及所在的虛擬子網(wǎng)。Cisco大中型交換機(jī)使用 “ show cam dynamic”命令顯 示交換表內(nèi)容； 小型交換機(jī)使用 “ show mac-address-tabl”e 命令顯示交換表內(nèi)容。因此錯誤的是 B （18）答案：A解析：為交換機(jī) A 的 g0/1 端口分配 VLAN 的配置。以 Cisco 3548 交換機(jī)為例：2011年 9月筆試真卷及答案詳解 第 11頁（共 12頁） 步驟一：進(jìn)入交換機(jī)端口配置模式 (config)#interface g0/1 步驟二：配置 VLAN Trunk 模式

15、(config-if)#switchport mode trunk 步驟三：為端口分配 VLAN (config-if)#switchport trunk allowed vlan 10,15(19)答案：B解析：交換機(jī) telnet 遠(yuǎn)程管理方式進(jìn)行配置。 以 Cisco 3548 交換機(jī)為例：步驟一：進(jìn)入端口配置模式 (config)#interface vlan1 步驟二：配置端口通信 IP 地址與子網(wǎng)掩碼 (config-if)#ip address 3 步驟三：退出 (config-if)#exit步 驟 四 ： 配 置 缺 省 路

16、由 (config)#ip default-gateway 步 驟 五 ： 配 置 遠(yuǎn) 程 登 錄 口 令 (config)#line vty 0 4 (config-line)#password 7 ccc 步驟六：退出 (config-line)#exit(20)答案：D 解析：設(shè)置路由器端口的通信方式。以 Cisco 6500 交換機(jī) 為例：步驟一：設(shè)置第 4 模塊第 1 端口的通信方式設(shè)置為半雙工2011年 9月筆試真卷及答案詳解 第 12頁(共 12頁)set port 4/1 duplex half 步驟二：設(shè)置第 224 端口的通信方式設(shè)置為全雙工 set

17、port duplex 4/2-24 full(21) 答案：C 解析：從 NVRAM 加載配置信息命令為 Configure memory 將路由器配置保存在 NVRAM 中命令為 Write memory(22) 答案：A 解析：題中路由器的端口配置方法如下： 步驟一：進(jìn)入第 3 模塊第 1 端口配置模式 (config)#interface s3/1 步驟二：設(shè)置帶寬，其中 E1 速率為 2.048Mbps，所以設(shè)置 帶寬為 2048 (config-if)#bandwidth 2048 步驟三：配置端口通信 IP 地址與子網(wǎng)掩碼 (config-if)#ip address 195.1

18、12.41.81 52 步 驟 四 ： 設(shè) 置 遠(yuǎn) 程 路 由 器 端 口 封 裝 PPP 協(xié) 議 ， (config-if)#encapsulation ppp 步驟五：退出 (config-if)#exit(23) 答案：B 解析：擴(kuò)展的控制列表命令格式如下：2011年 9月筆試真卷及答案詳解 第 13頁(共 12頁)Router(config)#access-list access-list-number permit or deny protocol soure soure-wildcard log 注： access-list-number是訪問控制列表號，

19、標(biāo)準(zhǔn)控制列表 命令訪問控制列表號在 0-99。 permit 是語句匹配時允許通 過，deny是語句不匹配時， 拒絕通過。 soure是源 IP 地址， protocol 是值得數(shù)據(jù)包遵守的協(xié)議，也就是數(shù)據(jù)類型。 soure-wildcard是通配符， log 是可選項，生成有關(guān)分組匹 配情況的日志消息，發(fā)到控制臺。題中 拒絕轉(zhuǎn)發(fā)所有 IP 地址進(jìn)與出方向的、端口號為 1434的 UDP 數(shù)據(jù)包 :deny udp any any eq 1434 拒絕轉(zhuǎn)發(fā)所有 IP 地址進(jìn)與出方向的、端口號為 4444的 TCP 數(shù)據(jù)包 :deny tcp any any eq 4444 允許其他端口和其他類

20、型的數(shù)據(jù)包： permit ip any any (24) 答案：C 解析： Cisco路由器 DHCP 地址池的配置： 步驟一：首先排除不用于動態(tài)分配的地址 (config)#ip dhcp excluded-address 0 步驟二：配置一個名為 zw246 的 DHCP 地址池(config)#ip dhcp pool zw246 步 驟三： 配置 動態(tài)分 配的 地址段 (dhcp-config)#network 2011年 9月筆試真卷及答案詳解 第 14頁(共 12頁)步 驟

21、 四 ： 配 置 缺 省 網(wǎng) 關(guān) (dhcp-config)#default-router 步驟五：為客戶機(jī)配置域后綴 (dhcp-config)#domain-name 步驟六：為客戶機(jī)配置 DNS 地址 (dhcp-config)#dns-server address 6 步驟七：配置租借期為 6 小時 30 分鐘 (dhcp-config)#lease 06 30，格式為 lease 天數(shù) 小時數(shù) 分鐘數(shù)25)答案：B解析：IEEE802.11b IEEE 為了改進(jìn)其最初推出的無線標(biāo)準(zhǔn) IEEE802.11 而推出的第二代無線局域網(wǎng)絡(luò)

22、協(xié)議標(biāo)準(zhǔn)。 802.11 無線局域網(wǎng)運(yùn)作模式基本分為兩種：點(diǎn)對點(diǎn)( Ad Hoc)模 式和基本( Infrastructure )模式。點(diǎn)對點(diǎn)模式指無線網(wǎng)卡和無線網(wǎng)卡之間的直接通信方 式。只要 PC 插上無線網(wǎng)卡即可與另一具有無線網(wǎng)卡的 PC 連接，這是一種便捷的連接方式，最多可連接 256 個移動 節(jié)點(diǎn)。基本模式指無線網(wǎng)絡(luò)規(guī)模擴(kuò)充或無線和有線網(wǎng)絡(luò)并存的 通信方式，這也是 802.11 最常用的方式。此時，插上無線 網(wǎng)卡的移動節(jié)點(diǎn)需通過接入點(diǎn) AP( Access Point)與另一 臺移動節(jié)點(diǎn)連接。接入點(diǎn)負(fù)責(zé)頻段管理及漫游管理等工作， 一個接入點(diǎn)最多可連接 1024 個移動節(jié)點(diǎn)。2011年

23、9月筆試真卷及答案詳解 第 15頁(共 12頁)因此描述錯誤的是 B（26） 答案：D 解析：廣域網(wǎng)與局域網(wǎng)電腦交換數(shù)據(jù)要通過路由器或網(wǎng)關(guān) 的 NAT （網(wǎng)絡(luò)地址轉(zhuǎn)換）進(jìn)行。而上述無線局域網(wǎng)設(shè)備中 只有路由器位于廣域網(wǎng)和局域網(wǎng)之間，所以只有無線路由 器具有 NAT 功能。答案選 D。（27） 答案：C 解析：SSID（Service Set Identifier）服務(wù)集標(biāo)識是客戶端設(shè)備 用來訪問接入點(diǎn)的唯一標(biāo)識?？梢詫⒁粋€無線局域網(wǎng)分為 幾個需要不同身份驗證的子網(wǎng)絡(luò)，每一個子網(wǎng)絡(luò)都需要獨(dú) 立的身份驗證，只有通過身份驗證的用戶才可以進(jìn)入相應(yīng) 的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)。最長可達(dá) 32

24、 個 區(qū)分 大小寫 ?？?速配置 頁面中“ Broadcast SSID in Beacon”選項，可用于設(shè)定允許設(shè)備不指定 SSID 而訪問接 入點(diǎn)。是一個選項框，默認(rèn)應(yīng)該是沒有選中 No。所以應(yīng)該 是不允許設(shè)備不指定 SSID 而訪問接入點(diǎn) =設(shè)備必須指定 SSID 才能訪問接入點(diǎn)。（28） 答案：D 解析： DNS 服務(wù)器的 IP 地址應(yīng)該是靜態(tài)設(shè)置的固定地址， A 選項錯誤。 DNS 服務(wù)器根 DNS 服務(wù)器可以自動配置， 不2011年 9月筆試真卷及答案詳解 第 16頁（共 12頁） 需要管理員手動配置， B 選項錯誤。主機(jī)記錄的生存時間 指指該記錄被客戶端查詢到，存放在緩存中的持續(xù)

25、時間， 默認(rèn)值是 3600 秒，C 選項錯誤。轉(zhuǎn)發(fā)器是網(wǎng)絡(luò)上的 DNS 服務(wù)器，它將對外部 DNS 名稱的 DNS 查詢轉(zhuǎn)發(fā)到網(wǎng)絡(luò) 外部的 DNS 服務(wù)器。（29） 答案：C 解析：作用域是網(wǎng)絡(luò)上 IP 地址的連續(xù)范圍，修建作用域后 必須激活才可為客戶機(jī)分配地址， A 選項錯誤。地址池是 作用域應(yīng)用排除范圍之后剩余的 IP 地址， B 選項錯誤。保 留地址可以使用作用域地址范圍中的任何 IP 地址，D 選項 錯誤。而 C） 客戶機(jī)的地址租約續(xù)訂是由客戶端軟件自動完 成的是正確選項。（30） 答案：D 解析：Web 站點(diǎn)可以配置靜態(tài) IP 地址，也可以配置動態(tài) IP 地址，因此 A 選項錯誤。而

26、同一臺服務(wù)器可以構(gòu)建多個網(wǎng) 站，B 選項錯誤。訪問 Web 站點(diǎn)時必須使用站點(diǎn)的域名， 也可以使用站點(diǎn)的 IP 地址，因此 C 選項錯誤。而 D）建立 Web 站點(diǎn)時必須為該站點(diǎn)指定一個主目錄是正確選項。（31） 答案：D 解析：新用戶的添加與注冊必須由管理員來操作，永無無2011年 9月筆試真卷及答案詳解 第 17頁（共 12頁） 法自行操作， A 選項錯誤。配置服務(wù)器域名時，可以使用 域名或其它描述，因此 B選項錯誤。服務(wù)器 IP 地址可為空， 當(dāng)服務(wù)器有多個 IP 地址或使用動態(tài) IP 地址時， IP 地址為 空會比較方便，因此 C 項錯誤。而選項 D） 添加名為 anonymous”的

27、用戶時，系統(tǒng)會自動判定為匿名用戶為正 確答案。（32） 答案：A 解析：在 Winmail 快速設(shè)置向?qū)е?，可選擇是否允許客戶 通過 Webmail 注冊新郵箱，因此 A 錯誤。 Winmail 郵件服 務(wù)器可以允許用戶使用 Outlook 創(chuàng)建在服務(wù)器中已經(jīng)建立 好的郵件帳戶，但并不支持用戶使用 OutLook 自行注冊新 郵件，因此 B 選項錯誤。用戶自行注冊新郵箱時需輸入郵 箱名、密碼等信息，而域名是服務(wù)器固定的，并不能自行 設(shè)置，因此 C 選項錯誤。為建立郵件路由，需在 DNS 服務(wù) 器中建立郵件服務(wù)器主機(jī)記錄和郵件交換器記錄，因此 D 是正確選項。（33） 答案：D 解析：網(wǎng)絡(luò)安全風(fēng)

28、險評估系統(tǒng)是一種集網(wǎng)絡(luò)安全檢測、風(fēng) 險評估、修復(fù)、統(tǒng)計分析和網(wǎng)絡(luò)安全風(fēng)險集中控制管理功 能于一體的網(wǎng)絡(luò)安全設(shè)備。網(wǎng)絡(luò)安全評估包括漏洞檢測、 修復(fù)建議和整體建議等幾個方面。在大型網(wǎng)絡(luò)中評估分析2011年 9月筆試真卷及答案詳解 第 18頁（共 12頁） 系統(tǒng)通常采用控制臺和代理結(jié)合的結(jié)構(gòu)。網(wǎng)絡(luò)安全評估技 術(shù)常被用來進(jìn)行穿透實(shí)驗和安全審計。 X-Scanner 采用多線 程方式對指定 IP 地址段（或單機(jī) ）進(jìn)行安全漏洞檢測，對系 統(tǒng)進(jìn)行安全評估。 ISS 的 System Scanner通過依附于主機(jī) 上的掃描器代理偵測主機(jī)內(nèi)部的漏洞，采用的是主動采用 積極的、非破壞的掃描方式。被動掃描工作方式

29、類似于 IDS。因此 D 中描述錯誤。 （34）答案：B 解析：數(shù)據(jù)備份策略決定何時進(jìn)行備份、備份收集何種數(shù) 據(jù)，以及出現(xiàn)故障時進(jìn)行恢復(fù)的方式。通常使用的備份方 式有 3 種：完全備份、增量備份和差異備份。各種備份策 略的比較如下表所示。完全備份增量備份差異備份空間使用最多最少少于完全 備份備份速度最慢最快快于完全 備份恢復(fù)速度最快最慢快于增量 備份所以 B 選項錯誤。（35） 答案：A 解析：入侵檢測系統(tǒng)（ Intrusion Detection System，簡稱 IDS ） 是一種被動的掃描方式，將探測器部署在鏈路中對網(wǎng)絡(luò)性 能影響最大。（36）2011年 9月筆試真卷及答案詳解 第 1

30、9頁（共 12頁） 答案：C 解析：美國國防部公布了可信計算機(jī)系統(tǒng)評估準(zhǔn)則 TCSEC（Trusted Computer System Evaluation Criteria） ， 將計算機(jī)系統(tǒng)的安全可信度從低到高分為 D、C、B、A 四 類共七個級別： D 級，C1級， C2 級， B1級， B2級， B3 級，A1 級。（最小保護(hù) ）D 級：該級的計算機(jī)系統(tǒng)除了物理上的安全 設(shè)施外沒有任何安全措施，任何人只要啟動系統(tǒng)就可以訪 問系統(tǒng)的資源和數(shù)據(jù)，如 DOS，Windows 的低版本和 DBASE 均是這一類 （指不符合安全要求的系統(tǒng)， 不能在多用 戶環(huán)境中處理敏感信息 ）。（自主保護(hù)類 ）

31、C1 級：具有自主訪問控制機(jī)制、用戶登 錄時需要進(jìn)行身份鑒別。（自主保護(hù)類 ）C2 級：具有審計和驗證機(jī)制 （對 TCB） 可 信計算機(jī)基進(jìn)行建立和維護(hù)操作，防止外部人員修改 ）。如 多用戶的 UNIX 和 ORACLE 等系統(tǒng)大多具有 C 類的安全 設(shè)施。（強(qiáng)制安全保護(hù)類 ）B1 級：引入強(qiáng)制訪問控制機(jī)制，能 夠?qū)χ黧w和客體的安全標(biāo)記進(jìn)行管理。B2 級：具有形式化的安全模型，著重強(qiáng)調(diào)實(shí)際評價的 手段，能夠?qū)﹄[通道進(jìn)行限制。 （主要是對存儲隱通道 ）2011年 9月筆試真卷及答案詳解 第 20頁（共 12頁）B3 級：具有硬件支持的安全域分離措施，從而保證安 全域中軟件和硬件的完整性，提供可信

32、通道。對時間隱通 道的限制。A1 級：要求對安全模型作形式化的證明，對隱通道作 形式化的分析，有可靠的發(fā)行安裝過程。（其安全功能，依次后面包含前面的 ） 因此用戶能定義訪問控制要求的自主保護(hù)類型系統(tǒng)屬于 C 類。（37） 答案：C 解析： SNMP 簡單網(wǎng)絡(luò)管理協(xié)議。 MIB-2 庫中計數(shù)器類型 的值只能增加，必能減少；而計量器類型的值可以增加也 可以減少。SNMP 主要操作有主要有獲取 （get）、設(shè)置（ set）、 通知（ notification）。 SNMP 管理模型中， Manager 通過 SNMP 定義的 PDU 向 Agent 發(fā)出請求，而 Agent 將得到 MIB 值通過

33、SNMP 協(xié)議傳給 Manager。而標(biāo)識符（ OID ） 是用于對網(wǎng)絡(luò)硬件進(jìn)行唯一的標(biāo)識，其中 .4.1.9開頭 的 OID 定義的是私有管理對象。（38） 答案：A 解析：路由器通常具有包過濾功能，可以將從某一端口接 收到的符合一定特征的數(shù)據(jù)包進(jìn)行過濾而不再轉(zhuǎn)發(fā)。 Teardrop 是基于 UDP 的病態(tài)分片數(shù)據(jù)包的攻擊方法， 其工2011年 9月筆試真卷及答案詳解 第 21頁（共 12頁） 作原理是向被攻擊者發(fā)送多個分片的 IP 包。包過濾路由器 可以對接收到的分片數(shù)據(jù)包進(jìn)行分析，計算數(shù)據(jù)包的片偏 移量（ Offset）是否有誤。從而阻斷 Teardrop 攻擊?？缯灸_本攻

34、擊（也稱為 XSS）指利用網(wǎng)站漏洞從用戶那 里惡意盜取信息。 cookie篡改（ cookie poisonin）g 是攻擊 者修改 cookie（網(wǎng)站用戶計算機(jī)中的個人信息）獲得用戶 未授權(quán)信息，進(jìn)而盜用身份的過程。 SQL 注入是通過把 SQL 命令插入到 Web 表單遞交或輸入域名或頁面請求的查詢字 符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。（39） 答案：C 解析：通過 這個域名， 可以正確轉(zhuǎn)換到 IP3，說明為 提供名字解析 的服務(wù)器以及本機(jī)使用的 DNS 服務(wù)器工作正常，并且主機(jī) ，但并不能說明該主機(jī) WWW 服務(wù)工作 正常。選項 C 錯誤。（40）

35、 答案：A 解析： Windows 中 route命令用于在本地 IP 路由表中顯示 和修改條目，在 Windows 中可以通過 route add命令來添 加和修改默認(rèn)網(wǎng)管； ipconfig 命令用于顯示所有適配器的基 本 TCP/IP 配置； NET 命令權(quán)限很大，主要用于管理本地 或者遠(yuǎn)程計算機(jī)的網(wǎng)絡(luò)環(huán)境，以及各種服務(wù)程序的運(yùn)行和2011年 9月筆試真卷及答案詳解 第 22頁（共 12頁） 配置?？梢岳?netsh來實(shí)現(xiàn)對主機(jī)默認(rèn)網(wǎng)關(guān)的設(shè)置； NBTSTAT 命令用于 NBTSTAT 命令用于查看當(dāng)前基于 NRTBIOS 的 TCP IP 連接狀態(tài)，通過該工具你可以獲得 遠(yuǎn)程或本地機(jī)

36、器的組名和機(jī)器名。因此答案為 A。 二、綜合題（每空 2 分，共 40 分）請將每一個空的正確答案寫在答題卡【 1】【 20】序 號的橫線上，答在試卷上不得分。1.1】A 類；解析：題目中給定的 IP 地址 的第一字節(jié)范圍 屬于 1126之間，可以判斷該 IP 地址屬于 A 類地址；或者 將 IP 地址寫成二進(jìn)制形式為： 01101111.10001111.00010011.0000011，1 第一字節(jié)以“ 01” 開頭，也可以判斷出該 IP 地址屬于 A 類地址。2】；解析：由題目知， 該 IP 地址的子網(wǎng)掩碼為 寫成 二進(jìn)

37、制表示法為 11111111.11110000.00000000.0000000，0 子網(wǎng)掩碼的前 12 位為“ 1”，說明前 12 位為網(wǎng)絡(luò)號，后 20 位為主機(jī)號。用子網(wǎng)掩碼與 IP 地址做“與”運(yùn)算，得到網(wǎng) 絡(luò)地址為 01101111. 10000000.00000000.0000000，0 寫成十 進(jìn)制即 或 /12。3】55；2011年 9月筆試真卷及答案詳解 第 23頁（共 12頁） 解析：把 IP 地址的主機(jī)號全部置“ 1”即可得到直接廣播 地址，即 01101111.10001111.11111111.11

38、11111，1 寫成十 進(jìn)制即 55。4】；解析：將網(wǎng)絡(luò)號地址全部置“ 0”，便可得到該 IP 的主機(jī) 號，即 00000000.00001111.00010011.0000011，1 寫成十進(jìn) 制即 5】 54； 解析：由于主機(jī)號全置“ 1”時為廣播地址，是不可用的 IP 地址。所以最后一個 IP 地址為主機(jī)號為廣播地址減去 1， 即 54。26】 crc；解析： （config-if）# crc 32指的是配置 CRC 的校驗功能； 7】S1 S0 0；解析：在 pos fla

39、g 的設(shè)置中， s1 s0=00（十進(jìn)制 0）表示是 SONET 幀的數(shù)據(jù)， s1 s0=10（十進(jìn)制 2）表示是 SDH 幀的 數(shù)據(jù)。本題要求設(shè)置為 SONET 幀的數(shù)據(jù)，故填寫為 s1 s0 0。8】27；解析：在路由器的 OSPF 配置模式下，可以使用“ network ip area ”命令定義參 與 OSPF 的子網(wǎng)地址。因為整個園區(qū)網(wǎng)內(nèi)部都采用 OSPF 協(xié) 議 ， 而 園 區(qū) 網(wǎng) 由 兩 個 子 網(wǎng) “ 28/26 ” 和2011年 9月筆試真卷及答案詳解 第 24頁（共 12頁）92/26”兩個網(wǎng)址塊組成，對這兩個網(wǎng)址塊

40、進(jìn)行 匯聚，得到的園區(qū)網(wǎng)的網(wǎng)絡(luò)地址為 28/25，其子 網(wǎng)掩碼為 28，所以在 中應(yīng)該 填寫子網(wǎng)掩碼的反碼，即 27。9】28；解析：可以使用“ area range ”命令定義某一特定范圍子網(wǎng)的聚合。對于本題的網(wǎng) 絡(luò)中，根據(jù)上一題的解釋，可知聚合后的網(wǎng)絡(luò)地址為 28/25，所以子網(wǎng)掩碼即為 28。10】 92 ； 解析：靜態(tài)路由配置 ip route 源地址 目標(biāo)網(wǎng)段 下一跳地 址 ，由于 需要 前往 222.

41、98.66.128/26，因 此目標(biāo) 網(wǎng)段為 92，下一跳地址為 R3 地址 311】； 解析：從報文中可以看出，第一行報文為客戶機(jī)發(fā)送的 DHCP discover 報文。在發(fā)送此報文的時候，客戶機(jī)沒有 IP 地址，也不知道 DHCP 服務(wù)器的 IP 地址。所以，該報 文以廣播的形式發(fā)送，源 IP 地址為 ，代表網(wǎng)絡(luò)中本 主機(jī)的地址；目的 IP 地址為 55，代表廣播地 址，對當(dāng)前網(wǎng)絡(luò)進(jìn)行廣播。12】00；【13】55；【14】offer； 解

42、析：第二行報文是 DHCP 服務(wù)器發(fā)送 DHCP offer 作為對2011年 9月筆試真卷及答案詳解 第 25頁（共 12頁）DHCP discover 報文的響應(yīng)，源 IP 地址為 DHCP 服務(wù)器 00；目的 IP 地址為 55，代表廣播 地址，對當(dāng)前網(wǎng)絡(luò)進(jìn)行廣播。15】0；解析：從“ DHCP ：Client hardware address=11223344556”6 可以看出， 客戶端的 MAC 地址為 112233445566，該 MAC 地址是圖 2中用戶的 MAC 地址，其 IP 地址為 192.168.0

43、.20。416】 ping ； 解析：從報文段中可以看出， 本題中的報文段是通過 ICMP 協(xié)議傳輸出錯報告控制信息，所以本題中執(zhí)行的命令一定 為“ping”命令；由于在剛開始的時候進(jìn)行了域名解析，說 明“ping”后面的地址是以域名的形式寫的， 從報文端可以 看出，該域名為 。所以在題目中使用的命 令為 ping 。17】DNS 服務(wù)器；【 18】53； 解析：從第一行報文中的“ DNS C”可以看出，這是客戶 機(jī)向 DNS 服務(wù)器發(fā)出的報文。 所以在該報文中， IP 地址為 23的客戶機(jī)向 IP 地址為 的 DNS 服 務(wù)器發(fā)出的報文。所以 5

44、為域名服務(wù)器，即 DNS 服務(wù)器。 DNS 的默認(rèn)缺省端口為 53。19】 Echo reply2011年 9月筆試真卷及答案詳解 第 26頁（共 12頁） 解析：返回的是 ICMP 的頭，其中 TYPE=8, 并且顯示返回 的內(nèi)容 Echo reply20】； AppIntell 解析： Sniffer Pro 內(nèi)置了一個 AppIntell 是專門用于監(jiān)控應(yīng) 用程序流量的，所以答案是 AppIntell 。三、應(yīng)用題（共 20 分）。 應(yīng)用題必須用藍(lán)、黑色鋼筆或者圓珠筆寫在答題紙的 相應(yīng)位置上，否則無效。答案：（ 1） 32/30 ； 59.67.

45、147.128/30 解析】空是路由器 RG 的 S0端口直接連接的目的網(wǎng)絡(luò)， 從圖中可以看出應(yīng)為 33與 34匯聚后 的網(wǎng)絡(luò)，設(shè)為目的網(wǎng)絡(luò) A；同理，空是路由器 RG 的 S1 端口直接連接的網(wǎng)絡(luò)，從圖中可以看出應(yīng)為 30 與 29 匯聚后的網(wǎng)絡(luò)，設(shè)為目的網(wǎng)絡(luò) B。同時應(yīng) 該注意的是，網(wǎng)絡(luò) A 和網(wǎng)絡(luò) B 并不在同一個網(wǎng)絡(luò)中，所以 最終匯聚的結(jié)果只有一個， 目的網(wǎng)絡(luò) A 為 32/30， 網(wǎng)絡(luò) B 為 28/30。4/28； 8/28 解析】從圖中可以看出，空是路由器 RF 下面連接的網(wǎng) 絡(luò)，即 5、3以及 4匯聚后 的網(wǎng)絡(luò)，設(shè)為目的網(wǎng)絡(luò) C；空是路由器 RE 下連接的網(wǎng)絡(luò)， 即 8、6和 7聚合后的網(wǎng)絡(luò)， 設(shè)為目的網(wǎng)絡(luò) D?？紤]到要保留網(wǎng)絡(luò)號和廣播地址，并且2011年 9月筆試真卷及答案詳解 第 27頁（共 12頁） 網(wǎng)絡(luò) C 和網(wǎng)